Datenschutzwissen

In Bayern ändert sich das Krankenhausgesetz: Ab jetzt sind Cloud-Services erlaubt, wenn der Datenschutz stimmt

Cloud-Unternehmen sind die Basis der meisten relevanten Digital-Netzwerke. Allerdings bereiten Clouds Datenschützern schon seit jeher Kopfzerbrechen. Ein rotes Tuch für Datenschützer ist das Cloud-Computing vor allem, wenn es sich um personenbezogene Daten handelt.

Auf der anderen Seite steht der Wunsch nach Professionalität und Effizienz, was nicht zuletzt Krankenhauspatienten zugutekommen dürfte. Grund genug für den Bayerischen Landtag, im Krankenhausgesetz nachzubessern. Jetzt dürfen Krankenhäuser IT-Services an externe Unternehmen übergeben, sofern die genügenden Datenschutz nachweisen.

Die Verarbeitung von Daten soll effektiver werden

Bislang waren bayerische Kliniken dazu verpflichtet, Patientendaten nur innerhalb der Klinikgebäude zu bearbeiten und zu speichern. Ein Outsourcing sah das Gesetz nicht vor. Dieses Verbot diente dem Datenschutz, wirkte sich aber auf die Effizienz des Krankenhausbetriebs nicht sonderlich fördernd aus. Das Manko wurde nun behoben – und dennoch ein Kompromiss gefunden, der auch Datenschützer zufriedenstellt. Das Gesetz über den Öffentlichen Gesundheitsdienst (GDG) erhält durch seinen Artikel 32c der Artikel 27 des Bayerischen Krankenhausgesetzes (BayKrG) eine neue Freizügigkeit. Die präsentiert sich durch die Option, künftig externe Dienstleister ins Boot zu holen.

Besserer Service für Patienten

In Krankenhäusern hinkt die Digitalisierung oft so stark hinterher, dass die Zustände kaum mehr hinnehmbar sind. Hier muss sich im Sinne der Patienten schnellstens etwas tun. In der Begründung des Landesgesetzgebers heißt es denn auch, dass sich Kliniken in einem fortschreitenden Digitalisierungsprozess befinden, der eine kurzfristige Anpassung der Datenschutz-Vorschriften vor Ort erfordere. Damit soll eine innovative IT-gestützte Patientenversorgung ermöglicht werden – bei einem gleichzeitig hohen Niveau des Datenschutzes. Neben Bayern praktizieren auch Niedersachsen und Rheinland-Pfalz diese Liberalisierung, in Nordrhein-Westfalen hingegen ist das Auslagern immer noch absolut tabu.

Datenschutz als Basisforderung

Wenn externe Dienstleister DSGVO-Konformität nachweisen, sind sie fortan für Kliniken potenzielle Partner. Dazu wird in Absatz 6 wie folgt formuliert:

„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“ (BayKrG, Art. 27, Absatz 6)

Beide Seiten müssen mitziehen

Doch allzu leicht gestaltet sich das Outsourcen nicht, wenn man die Forderungen ansieht, die im Gesetz formuliert wurden. Kliniken in Bayern können auch künftig nicht einfach vorbehaltlos Cloud-Dienste beauftragen, sondern müssen mit dem jeweiligen Dienstleister Auftragsverarbeitungsverträge schließen, die den Artikeln 28 und 32 der DSGVO gerecht werden. Dazu gehört ein entsprechendes Sicherheitskonzept, das beide Seiten anzuwenden und zu dokumentieren haben. Fortan müssen also auch Krankenhäuser mit Themen wie individuelle Zugriffsberechtigungen, Security by Design, Privacy by Design oder Ende-zu-Ende-Verschlüsselung etwas anfangen können und diese mit Leben füllen. Die Gefahr, dass ein Datenleck oder gar ein gezielter Zugriff aufseiten des Cloud-Anbieters Informationen über bayerische Krankenhauspatienten in die falschen Hände gelangen lässt, muss mit ebenso zeitgemäßen Technologien verhindert werden wie jene es sind, mit denen der Wunsch nach effizienterem Umgang mit Daten nun verwirklicht werden kann. Heißt also, dass dieselbe Energie, die künftig in die Effizienzverbesserungen investiert wird, auch für die der Technik entsprechenden Datenschutzmaßnahmen aufgewendet werden muss. Das wird sicher ein zusätzliches spannendes Thema für die Datenschutz-Aufsichtsbehörden.

Zurück

Hier bloggt Ihre Redaktion.