Digitalisierung in Krankenhäusern: Datenschutz als Hemmnis oder als Chance?

Foto: Gorodenkoff – shutterstock.com

Die Digitalisierung erfreute sich nicht nur als Thema im Bundestagswahlkampf 2021 großer Beliebtheit, sondern ist vom Bund für den Krankenhausbereich bereits im Jahr 2020 zum Anlass genommen worden, den Krankenhauszukunftsfond mit einem Fördervolumen von bis zu 4,3 Milliarden Euro aufzusetzen. Das Ziel dieser Milliardenförderung ist die Vernetzung des Gesundheitssektors und damit die Verbesserung der Patientenversorgung, beispielsweise mittels digitaler Aufnahme- und Entlassprozesse oder sprachbasierter Patientendokumentation. Die Datenschutzkonformität eines solchen Vorhabens ist Voraussetzung für dessen Förderungsfähigkeit (§ 19 Abs. 2 Nr. 5 KHSFV). Und damit kommen wir zum Kern des Problems: Wie lassen sich digitale – zum Großteil cloudbasierte – Vorhaben im Krankenhausbereich überhaupt mit dem derzeitigen Rechtsrahmen datenschutzkonform umsetzen?

Fragmentierte (landesrechtliche) Regelungen

Es stellt sich zunächst die Frage, welche datenschutzrechtlichen Regelungen überhaupt Anwendung finden. Insoweit kommt es nämlich nicht auf das konkrete Vorhaben an, sondern darauf, wer Träger des jeweiligen Krankenhauses ist. Abhängig davon, ob das Krankenhaus in

• staatlicher,

• privater oder

• kirchlicher Trägerschaft

ist, müssen neben Bundesgesetzen wie der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz die jeweiligen Landesdatenschutz- oder Landeskrankenhausgesetze sowie weiteres spezielles Landesgesetz beachtet werden.

Je nach Einrichtung kommen weitere datenschutzrechtliche Vorgaben hinzu, beispielsweise Landesgesetze für psychiatrische Einrichtungen, für den Maßregelvollzug, die Berufsordnungen der Ärzte.

Weiter kommen auf Bundesebene spezielle Vorgaben aus dem

• Sozialgesetzbuch V (SGB V),

• dem Strafgesetzbuch und

• eher die IT-Sicherheit als den Datenschutz betreffend: dem BSI-Gesetz,

• der BSI-KritisV und

• (neu) dem Patientendaten-Schutz-Gesetz

hinzu. Der Umstand, dass die Hierarchien und Anwendungsvorränge zwischen den Bundesgesetzen und den zum Teil stark fragmentierten landesrechtlichen Vorgaben nicht aufeinander abgestimmt sind, führt in diesem Bereich nicht wirklich zu einer Rechtssicherheit. Bereits mit dieser stark vereinfachten Darstellung wird deutlich, dass der datenschutzrechtliche Rechtsrahmen für Krankenhäuser höchst komplex und in sich nicht abgestimmt ist.

Beispiel: Internationale Cloud trifft auf deutsches Landesrecht

Der zersplitterte Rechtsrahmen ist allerdings nur die erste Hürde, die Krankenhäuser bei der Umsetzung datenschutzkonformer Digitalisierungsvorhaben zu bewältigen haben. Die zweite Schwierigkeit liegt in den konkreten landesrechtlichen Vorgaben, die den Stand der heutigen Digitalisierung schlichtweg nicht mehr abbilden.

Als Beispiel für diese Problematik sei eine cloudbasierte Krankenhausanwendung eines Anbieters angeführt, mittels der ein Krankenhaus in privater Trägerschaft Patientendaten verarbeiten möchte. Ausgehend von den Vorgaben der Datenschutzgrundverordnung (DSGVO) würde der geneigte Datenschützer an Themen wie Auftragsverarbeitung, Drittlandtransfer und Standardvertragsklauseln denken. Allesamt datenschutzrechtliche Themen, die an sich schon recht komplex sind und sich zudem in stetiger Entwicklung befinden.

Das Krankenhaus wird sich in diesem Beispiel zusätzlich noch mit landesrechtlichen Vorgaben beschäftigen müssen. Konkrete Vorgaben für Cloud-Services existieren zwar in keinem Bundesland. Dafür finden sich divergierende Regelungen zum Einsatz von Auftragsverarbeitern. Dabei handelt es sich um Anbieter, die – wie bei cloudbasierten Services üblich – personenbezogene Daten auf Weisung des Krankenhauses verarbeiten.

In Berlin existiert beispielsweise überhaupt kein Landeskrankenhausgesetz. Die Konsequenz daraus: die obigen skizzierte Vorgaben nach DSGVO und Bundesdatenschutzgesetz gelten.

In Sachsen dagegen bedarf es zur Auftragserteilung der Zustimmung der zuständigen Behörde (§ 33 Abs. 8 S. 2 Sächsisches Krankenhausgesetz)

In Bayern darf wiederum nur ein anderes Krankenhaus als Auftragsverarbeiter eingesetzt werden (Art. 27 Abs. 4 S. 5 bis 6 Bayerisches Krankenhausgesetz).

Hier stellt sich die Frage, ob eine Klinik-Gruppe mit Krankenhäusern in Berlin, Sachsen und Bayern mit diesem Rechtsrahmen überhaupt eine datenschutzkonforme sichere Lösung finden kann. Das Ergebnis ist derzeit wohl eher das Folgende: Die größten rechtlichen Risiken versuchen zu umschiffen und dann mit beiden Augen zugedrückt Kurs in Richtung Digitalisierung nehmen.

Foto: insta_photos – shutterstock.com

Und genau in dieser Konsequenz liegt ein erhebliches Risiko. Ohne einen datenschutzrechtlich verständlichen und auf die heutige Zeit angepassten Rechtsrahmen werden die Kliniken ihre eigenen -ebenfalls voneinander divergierenden – Datenschutzstandards entwickeln. Hier ist der Gesetzgeber gefragt, durch klare Vorgaben sicherzustellen, dass der politisch intendierten und mit Milliarden Euro geförderten digitalen Vernetzung des Gesundheitswesens auch das gleiche Datenschutzniveau zu Grunde liegt.

Positive Entwicklungen

Dass sich der datenschutzrechtliche Rechtsrahmen vereinfachen lässt, hat der Gesetzgeber zuletzt während der COVID-19-Pandemie gezeigt: So gelten für die länderübergreifende Versorgungs- und Gesundheitsforschung “nur” noch die Regelungen des Bundesdatenschutzgesetzes statt der zahlreichen Landesregelungen (vgl. § 287a SGB V). Das Ziel des Gesetzgebers war hierbei die Verzögerungen bei Forschungsprojekten aufgrund der bis dato fragmentarischen Datenschutzregelugen zu vermeiden. Auch wenn sich an der konkreten Umsetzung Kritik üben lässt (z.B. Standort der Regelung im SGB V) ist dieser Ansatz grundsätzlich als positiv zu bewerten. Die Erkenntnis, dass zersplitterte Datenschutzregelungen aufgrund ihrer Komplexität und teilweisen Widersprüchlichkeit Innovationen hemmen können, sollte der Gesetzgeber auch für die Digitalisierung des Krankenhausbereichs zu Grunde legen.

Übergreifender Datenschutz

Um die Digitalisierung der Krankenhäuser voranzutreiben, bedarf es eines einheitlichen Rechtsrahmens. Dieser sollte klare Vorgaben enthalten, unter welchen Voraussetzungen Krankenhäuser und Auftragsverarbeiter Patientendaten auch unter Einsatz cloudbasierter Anwendungen verarbeiten dürfen. Der Datenschutz kann so vom vermeintlichen Hemmnis, zum Motor der Digitalisierung werden. Mit strengen aber einheitlichen Datenschutzstandards lässt sich nicht nur der Schutz von Gesundheitsdaten krankenhausübergreifend erhöhen. Es würde auch eine Anreizfunktion für (internationale) Anbieter digitaler Gesundheitsprodukte gesetzt, diese für den deutschen Gesundheitsmarkt nach vorgegebenen einheitlich hohen Standards aufzusetzen. (bw)