Bayern zieht nach beim Datenschutz in Krankenhäusern

Etwas über einen Monat ist es mittlerweile her, dass der Münchener Landtag die bayerische Rechtsordnung zum Outsourcing bayerischer Krankenhaus-IT liberalisiert hat. Am 1. Juni 2022 ist das Gesetz über den Öffentlichen Gesundheitsdienst (GDG) in Kraft getreten. In Artikel 32c modifiziert es Artikel 27 des Bayerischen Krankenhausgesetzes (BayKrG)  – mit weitreichenden Folgen.

Damit sind nun endlich auch Bayerische Krankenhäuser in der Lage, den digitalisierten und vernetzten Teil ihrer Patientenversorgung auf den neuesten, heutzutage meist cloudbasierten, technologischen Stand zu heben. Die modifizierte Rechtsordnung gestattet ihnen einen weitgehend unbeschränkten Zugriff auf die neuesten cloudbasierten digitalen Lösungen und Verfahren – sofern diese sich nur an die datenschutzrechtlichen Vorgaben der DSGVO halten. Letzteres ist von enormer Bedeutung. Handelt es sich bei den zu verarbeitenden Informationen doch zu einem erheblichen Teil um personenbezogene oder personenbeziehbare Daten.

Bisher war es bayerischen Krankenhäusern nicht erlaubt, Daten, die nicht ausschließlich zur verwaltungsmäßigen Abwicklung der Behandlung eines Patienten erforderlich sind, außerhalb des eigenen Betriebsgeländes – zum Beispiel durch externe Cloud-Dienstleister – speichern und verarbeiten zu lassen. Der Einsatz innovativer cloudbasierter Lösungen zur Anhebung der Effektivität und Effizienz schied damit praktisch aus; bis jetzt. Mit der Gesetzesänderung ist es bayerischen Krankenhäusern nun endlich gestattet, Daten in die Cloud zu verlagern. Jedoch nur unter Auflagen. Denn Absatz 6 wurde modifiziert, seine Datenschutzvorgaben spezifiziert:

  Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“ (BayKrG, Art. 27, Absatz 6)

Datenschutzmaßnahmen müssen nun also ganz konkret im Hinblick auf die Artikel 28 und 32 der DSGVO implementiert und umgesetzt werden. Das hat zur Konsequenz, dass Krankenhäuser mit ihrem IT-Outsourcing-Anbieter einen Auftragsverarbeitungsvertrag abzuschließen und ein gemeinsames Sicherheitskonzept zu entwickeln haben, das dann auch implementiert und nachgewiesen werden muss. Das Mehr an Freiheit, das bayerische Krankenhäuser mit der neuen Rechtsordnung erhalten, ist dementsprechend auch mit einigen datenschutzrechtlichen Auflagen verknüpft.

Um Patientendaten gesetzeskonform in der Cloud speichern und verarbeiten zu können, werden Kliniken nicht um Cloud-Lösungen, die über Features wie Security by Design, Privacy by Design und eine clientseitige Ende-zu-Ende-Verschlüsselung verfügen, herumkommen. Denn der Cloud-Anbieter sollte sich zu keinem Zeitpunkt einen Zugang zu oder gar einen Zugriff auf die personenbezogenen und personenbeziehbaren Daten seiner Nutzer verschaffen können.

Die Lösungen müssen in der Lage sein, Zugangs- und Zugriffsberechtigungen individuell auf einzelne Nutzer zugeschnitten zu vergeben. Als Motto gilt hier, so viele Berechtigungen wie nötig, so wenige wie möglich. Nur so werden bayerische Krankenhäuser die Forderung aus Absatz 6, dass „Patientendaten nicht unberechtigt verwendet oder übermittelt werden können“, effektiv sicherstellen können. Mit cloudbasierten IT-Lösungen, die solche und ähnliche Datenschutzfeatures zur Basis haben, wird die Bayerische Krankenhaus-IT definitiv ohne Bedenken gesetzeskonform von der Liberalisierung des BayKrG profitieren können.