Krankenhaus-Datenschutz: Alles in die Cloud?

Viele Krankenhäuser betreiben aufgrund von Datenschutzbestimmungen eigene Rechenzentren.


Foto: Yentafern – shutterstock.com

Die DigitalisierungDigitalisierung erfreute sich nicht nur als Thema im Bundestagswahlkampf 2021 großer Beliebtheit. Sie ist vom Bund für den KrankenhausbereichKrankenhausbereich bereits im Jahr 2020 zum Anlass genommen worden, den Krankenhauszukunftsfond mit einem Fördervolumen von bis zu 4,3 Milliarden Euro aufzusetzen. Das Ziel dieser Milliardenförderung ist die Vernetzung des Gesundheitssektors und damit die Verbesserung der Patientenversorgung, beispielsweise mittels digitaler Aufnahme- und Entlassprozesse oder sprachbasierter Patientendokumentation. Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Gesundheit

Die Datenschutzkonformität eines solchen Vorhabens ist Voraussetzung für dessen Förderungsfähigkeit. Und damit kommen wir zum Kern des Problems: Wie lassen sich digitale – zum Großteil Cloud-basierte – Vorhaben im Krankenhausbereich überhaupt mit dem derzeitigen Rechtsrahmen in Deutschland datenschutzkonform umsetzen?

Lesetipp: CIO des Jahres – Uniklinikum Frankfurt: Wie aus Wissen Gesundheit wird

Es stellt sich zunächst die Frage, welche datenschutzrechtlichen Regelungen überhaupt Anwendung finden. Insoweit kommt es nämlich nicht auf das konkrete Vorhaben an, sondern darauf, wer Träger des jeweiligen Krankenhauses ist. Abhängig davon, ob das Krankenhaus in staatlicher, privater oder kirchlicher Trägerschaft ist, müssen neben der Datenschutz-Grundverordnung (DSGVODSGVO) und Bundesgesetzen (z. B. Bundesdatenschutzgesetz, BDSG) auch die jeweiligen Landesdatenschutz– oder Landeskrankenhausgesetze sowie weiteres spezielles Landesgesetz beachtet werden. Alles zu DSGVO auf CIO.de

Je nach Einrichtung kommen weitere, noch speziellere datenschutzrechtliche Vorgaben hinzu. Beispiele dafür sind:

Auf Bundesebene spezielle Vorgaben aus:

Mehr die IT-Sicherheit als den DatenschutzDatenschutz betreffend: Alles zu Datenschutz auf CIO.de

Advertisements

Der Umstand, dass die Hierarchien und Anwendungsvorränge zwischen DSGVO, BDSG und den zum Teil stark fragmentierten landesrechtlichen Vorgaben nicht aufeinander abgestimmt sind, führt in diesem Bereich nicht wirklich zu einer Rechtssicherheit.

  1. Martin Peuker, Charité
    Martin Peuker ist CIO der Berliner Charité. Große Hoffnungen setzt Peuker in die europäische Cloud-Initiative Gaia-X, die allmählich Formen annimmt: “Von Gaia-X könnte der gesamte Health-Sektor profitieren”, ist er überzeugt. Die Charité unterstütze die Initiative schon jetzt aktiv. Bisher kommen Cloud-Ressourcen ausschließlich im Verwaltungsbereich der Charité zum Einsatz.
  2. Ingo Elfering, Fresenius
    Seit Juli 2020 besetzt Ingo Elfering den neu geschaffenen CIO-Posten bei der Fresenius Gruppe. Der gelernte Wirtschaftsinformatiker soll die globalen IT-Aktivitäten des Konzerns koordinieren und weiterentwickeln. Zudem übernimmt er die Leitung der IT-Dienstleistungs-Tochter Fresenius Netcare, die mittlerweile in Fresenius Digital Technology umbenannt wurde. Elfering berichtet an den Finanzvorstand.
  3. Markus Balser, Rhön Klinikum AG
    Markus Balser ist seit Februar 2018 Konzernbereichsleiter IT/Konzern-EDV an der Rhön-Klinikum AG. Zuvor war er seit 2008 bei der Accenture GmbH als Managing Director im Bereich Technology Strategy verantwortlich für Enterprise Architecture & Application Strategy im deutschsprachigen Raum.
  4. Holger Witzemann, AOK Systems
    Holger Witzemann ist seit Mai 2016 Geschäftsführer der AOK Systems. Der Diplom-Ingenieur für Technische Informatik war vorher Geschäftsführer im Bitmarck-Konzern in Essen, einem IT-Anbieter für Betriebs-, Innungs- und Ersatzkassen sowie die DAK-Gesundheit und weitere Ersatzkassen. Witzemann verantwortet nun die Softwareentwicklung für die gesamte AOK-Gemeinschaft, die BARMER, die BKK Mobil Oil, die VIACTIV Krankenasse und die Hanseatische Krankenkasse.
  5. Henning Schneider, Asklepios Konzern
    Henning Schneider hat im Oktober 2016 die Leitung des Konzernbereichs IT im Asklepios Konzern übernommen. Er folgt auf Martin Stein, der das Unternehmen verlassen hat, um als Kaufmännischer Geschäftsführer des Gemeinschaftsklinikums Mittelrhein tätig zu sein. Schneider wechselte vom Universitätsklinikum Hamburg-Eppendorf (UKE) zu Asklepios. Am UKE leitete er seit 2012 als CIO den Geschäftsbereich Informationstechnologie. Bereits seit 2008 trug er dort Verantwortung für die medizinischen IT-Systeme und die Umsetzung der elektronischen Patientenakte.
  6. Jens Schulze, Universitätsklinikum Frankfurt am Main
    Jens Schulze ist seit September 2019 CIO und Leiter des Dezernats für Informations- und Kommunikationstechnologie (DICT) im Universitätsklinikum Frankfurt. Sein Vorgänger Martin Overath ist jetzt Geschäftsleiter Medizinischer Arbeitsplatz beim Softwarehersteller Knowledgepark. In seiner Rolle verantwortet Schultz alle Bereiche der administrativen und klinischen IT inklusive der Telekommunikation. Er berichtet an den kaufmännischen Direktor als Mitglied des Vorstands. Für seine Leistungen als CIO der Uniklinik Leverkusen (2013-2019) wurde Jens Schulze beim CIO des Jahres 2019 in der Kategorie Public Sektor ausgezeichnet.
  7. Andreas Strausfeld, Bitmarck Holding
    Im Juli 2014 ist Andreas Strausfeld zum Geschäftsführer der Bitmarck Holding GmbH aufgestiegen. Damit steht er dem IT-Dienstleister für Krankenkassen vor. Andreas Strausfeld ist seit 2008 als Geschäftsführer bei der Bitmarck Holding GmbH und seit 2010 bei der Bitmarck Vertriebs- und Projekt GmbH aktiv. In gleicher Funktion war er in Personalunion auch von 2012 bis 2013 bei der Bitmarck Software GmbH tätig. 2018 wurde sein Vertrag bei Bitmarck vorzeitig um vier Jahre bis 2024 verlängert.
  8. Kurt Kruber, Klinikum der Universität München
    Seit Dezember 2012 verantwortet Kurt Kruber am Klinikum der Ludwig-Maximilians-Universität Medizintechnik und Informationstechnik. Beide Ressorts sollen unter der Führung des 49-Jährigen näher zusammenrücken, wie sich auch an der Agenda des IT-Chefs zeigt: Eines seiner Projekte ist das Zusammenführen der Mitarbeiter aus diesen Bereichen.
  9. Bernd Christoph Meisheit, Sana Kliniken
    Bernd Christoph Meisheit ist seit August 2009 Geschäftsführer bei der IT-Tochter der Sana Kliniken. Meisheit stieß damals zu Gerald Götz, der die Sana IT Services bereits zwölf Jahre lang leitete, und formte mit ihm eine Doppelspitze. Seit Götz Sana im Herbst 2010 verlassen hat, leitet Meisheit die IT des Klinikbetreibers allein. Meisheit war zuvor IT-Verantwortlicher des Klinikverbandes St. Antonius und Geschäftsführer der Gesellschaft für Information und Technologie im Gesundheitswesen in Wuppertal. In den Jahren 2000 bis 2008 war er CIO der MTG Malteser Trägergesellschaft und Mitglied des Kooperationsrates der Deutsche Malteser GmbH. In dieser Funktion wurde er 2007 von unserer Schwesterpublikation Computerwoche für ein Rechenzentrumsprojekt zum Anwender des Jahres in der Kategorie IT-Performance gekürt. Von 1992 bis 1997 war er Leiter der Abteilung IT und Organisation und ab 1998 stellvertretender Leiter der Hauptabteilung Finanzen, Unternehmensrechnung und Informationssysteme der Flughafen Köln/Bonn GmbH. Meisheit hat in Köln die Fächer Nachrichtentechnik und Informationsverarbeitung studiert.
  10. Michael Kraus, Universitätsklinikum Freiburg
    Michael Kraus ist seit August 2014 für die IT am Universitätsklinikum Freiburg verantwortlich. Bereits seit 2009 war er stellvertretender Leiter des Klinikrechenzentrums. Nach seinem Physik-Studium und einer Promotion im Bereich der Systembiologie war Kraus wissenschaftlicher Mitarbeiter an der Medizinischen Fakultät der Universität Freiburg. 1996 wechselte er als IT-Leiter in die Universitätsverwaltung und verantwortete dort ab 1999 als Dezernatsleiter neben der IT für das Campus Management die Bereiche Controlling, Organisation und Neue Medien.
  11. Gerald Götz, Klinikum München
    Seit Anfang August 2012 ist Gerald Götz Leiter Technologiemanagement beim Städtischen Klinikum München. Er verantwortet neben IT auch die Medizintechnik und die Telekommunikations-Infrastruktur in dem Unternehmen, zu dem fünf Krankenhäuser gehören.
  12. Rudolf Dück, UKSH
    IT-Chef am Universitätsklinikum Schleswig-Holstein (UKSH) ist seit Januar 2019 Rudolf Dück. Er übernahm die Leitung der Stabsstelle Informationstechnologie. Zugleich ist er Geschäftsführer der UKSH Gesellschaft für IT Services mbH (ITSG) sowie der Gesellschaft für Informationstechnologie (GfIT). Davor war Dück als Leiter des Bielefelder IT-Servicezentrums (BITS) an der Universität Bielefeld tätig.
  13. Manfred Criegee-Rieck, Klinikum Nürnberg
    Manfred Criegee-Rieck leitet seit Juni 2017 die IT des Klinikums Nürnberg. Der neue IT-Leiter ist Nachfolger des langjährigen CIOs Helmut Schlegel. Er kommt von den Franziskanerbrüdern vom Heiligen Kreuz, wo er Gesamtleiter IT war.
  14. Heiko Reinhard, Ottobock
    Heiko Reinhard ist seit Mai 2018 neuer CIO beim Duderstädter Medizintechnik-Hersteller Ottobock. Er war bislang als CEO des IT-Dienstleisters Sycor, der IT-Tochter von Ottobock, in Amerika und als IT Director North America für Ottobock tätig.
  15. Gunther Nolte, Vivantes-Klinik
    Gunther Nolte ist schon seit 2001 IT- und TK-Direktor beim Gesundheitsnetzwerk Vivantes. Der Diplom-Informatiker arbeitete nach seinem Studium zunächst als Softwareentwickler in einem Systemhaus. Zwischen 1986 und 2001 war er unter anderem als Projektleiter für den Aufbau eines Tumorregisters am onkologischen Schwerpunkt Klinikum Kassel verantwortlich.
  16. Dirk Herzberger, Helios Kliniken
    Seit 1998 leitet Dirk Herzberger die IT der Klinikkette Helios, die seit 2005 zu Fresenius gehört. Mit seiner Abteilung “Zentraler Dienst IT” stellt er dem gesamten Unternehmen die PC-gestützte Infrastruktur zur Verfügung – das reicht von medizinischen Dokumentationssystemen über die IT für Abrechnungen bis zu Telemedizin-Lösungen. Diplom-Ingenieur Herzberger war zuvor sechs Jahre Leiter EDV der Asklepios Neurologischen Klinik Bad Salzhausen und ab 1993 am Aufbau der Zentrale Dienste EDV der Asklepios Gruppe beteiligt. Zwischen 1988 und 1992 arbeitete Herzberger als Entwicklungsingenieur in der Forschungs- und Entwicklungsabteilung sowie in der Abteilung Technische EDV der Firma Weiss Umwelttechnik.
  17. Markus Schlobohm, Techniker Krankenkasse
    Markus Schlobohm hat im Oktober 2019 den Posten als Geschäftsbereichsleiter Informationstechnologie bei der Techniker Krankenkasse (TK) von Dietmar Schröder übernommen. Er berichtet nun direkt an Jens Baas, Vorstandsvorsitzender der TK. Schlobohm kam bereits 2017 zur Krankenkasse und leitete bisher den Geschäftsbereich der Unternehmensentwicklung. Von 2002 bis 2016 war der Diplommathematiker in verschiedenen Management-Positionen bei der Lufthansa tätig. zuletzt als Geschäftsführer einer Lufthansa-Tochter im Finanzbereich.
  18. Hans-Ulrich Prokosch, Uniklinikum Erlangen
    Hans-Ulrich Prokosch ist CIO am Uniklinikum Erlangen und Inhaber des Lehrstuhls für Medizinische Informatik an der Universität Erlangen-Nürnberg. Bis 2003 war er Professor für Medizinische Informatik an der Universität Münster. Prokosch hat Mathematik studiert, dann einen Doktor in Humanbiologie gemacht und sich anschließend im Fach Medizinische Informatik habilitiert.
  19. Franz-Helmut Gerhards, DAK
    Franz-Helmut Gerhards ist seit Oktober 2016 CDO und Mitglied der Geschäftsleitung der DAK-Gesundheit in Hamburg. Er ist für die unternehmensweite digitale Transformation der Krankenkasse verantwortlich. Dazu gehört neben der strategischen Ausrichtung der DAK den Aufbau eines digitalen Ökosystems sowie die digitale Transformation aller relevanten Kundenprozesse mit dem Fokus auf die Kundenorientierung. Zudem verantwortet Gerhards den mit der Digitalisierung verbundenen kulturellen Wandel und leitet die Digitale Fabrik, die als interner Inkubator die digitale Transformation der Kasse operativ gestaltet.

Der zersplitterte Rechtsrahmen und das Auffinden der anzuwendenden Regelung ist allerdings nur die erste Hürde, die Krankenhäuser in Deutschland bei der Umsetzung datenschutzkonformer Digitalisierungsvorhaben zu bewältigen haben. Die zweite Schwierigkeit liegt in der Umsetzung der (landesrechtlichen) Vorgaben, welche den Stand der heutigen Digitalisierung schlichtweg nicht mehr abbilden. Als Beispiel für diese Problematik sei eine Cloud-basierte Krankenhausanwendung eines Anbieters angeführt, mittels der ein Krankenhaus in privater Trägerschaft Patientendaten verarbeiten möchte:

Ausgehend von den Vorgaben der DSGVO würde der geneigte Datenschützer an Themen wie Auftragsverarbeitung, Drittlandtransfer und Standardvertragsklauseln denken. Allesamt datenschutzrechtliche Themen, die an sich schon sehr komplex sind und sich zudem in stetiger Entwicklung befinden.

Das Krankenhaus wird sich in diesem Beispiel zusätzlich noch mit den deutschen landesrechtlichen Vorgaben beschäftigen müssen. Konkrete Vorgaben für Cloud Services existieren zwar in keinem Bundesland, dafür finden sich divergierende Regelungen zum Einsatz von Auftragsverarbeitern (Anbieter, die personenbezogene Daten auf Weisung des Krankenhauses verarbeiten).

Während beispielsweise das Landeskrankenhausgesetz Niedersachsen keine spezifischen Vorgaben zum Cloud-Einsatz vorsieht, bedarf es in Sachsen zur Auftragserteilung der Zustimmung der zuständigen Behörde. Hier stellt sich die Frage, wie eine Klinik-Gruppe mit Krankenhäusern in beiden Bundesländern mit diesem Rechtsrahmen eine datenschutzkonforme sichere Lösung implementieren kann. Das Ergebnis ist derzeit wohl eher das Folgende: die größten rechtlichen Risiken versuchen zu umschiffen und dann, mit beiden Augen zugedrückt, Kurs in Richtung Digitalisierung nehmen.

Und genau in dieser Konsequenz liegt ein erhebliches Risiko. Ohne einen datenschutzrechtlich verständlichen und auf die heutige Zeit angepassten Rechtsrahmen werden die Kliniken ihre eigenen – ebenfalls voneinander divergierenden – Datenschutzstandards in Deutschland entwickeln. Hier ist der Gesetzgeber gefragt, durch klare Vorgaben sicherzustellen, dass der politisch intendierten und mit Milliarden Euro geförderten digitalen Vernetzung des Gesundheitswesens auch das gleiche Datenschutzniveau zu Grunde liegt.

Lesetipp: eHealth-Strategie – Charité forciert smarten Datenaustausch

Eine erste Erleichterung hat es nun in Bayern gegeben. Nach der alten Rechtslage durften Patientendaten in Bayern, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, nur auf dem Gelände des Krankenhauses oder durch andere Krankenhäuser verarbeitet werden. Bei der Einführung von Cloud-basierten digitalen Vorhaben stellte diese Vorgabe die Krankenhäuser vor große Herausforderungen, da sie die Wahl von externen Dienstleistern ausschloss. Krankenhäuser mussten eine eigene IT-Infrastruktur mit Servern auf dem Krankenhausgelände betreiben.

Diese, die Krankenhäuser stark einschränkende Regelung gemäß Art. 27 Abs. 4 S. 6 Bayerisches Krankenhausgesetz (BayKrG), wurde mit Wirkung zum 1. Juni 2022 durch Art. 32c Nr. 2 lit. a Gesetz über den Öffentlichen Gesundheitsdienst (GDG) aufgehoben. Die bayrische Landesregierung und der Bayrische Landtag stellen jeweils ausdrücklich klar, dass es den bayrischen Krankenhäusern ermöglicht werden soll, eine Auftragsverarbeitung von Patientendaten auch durch externe IT-Dienstleister vornehmen zu lassen, die keine Krankenhäuser sind (Bayerischer Landtag, Drs. 18/19685, S. 3, 53; Bayerischer Landtag, Drs. 18/22430).

Die Neufassung des Art. 27 Abs. 6 BayKrG verweist nun ausdrücklich auf die Anforderungen der DSGVO zur Auftragsverarbeitung (Art. 28 DS-GVO) und Sicherheit der Verarbeitung (Art. 32 DSGVO). Weiterhin wird klargestellt, dass im Krankenhausbereich ein besonderes Augenmerk auf die Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten zu richten sei. Insoweit solle nach der Gesetzesbegründung (Bayerischer Landtag, Drs. 18/19685, S. 53) die Aufhebung der Einschränkung idealerweise durch ein einvernehmliches, selbstverpflichtendes Regelwerk kompensiert werden.

Dieses Regelwerk soll nach Maßgabe der DSGVO die technischen und organisatorischen Maßnahmen präzisieren und zu einem einheitlichen, hohen Schutzniveau führen. Der Bayrische Gesetzgeber schlägt vor, dass dieses auf Selbstverpflichtungsbasis durch die Interessensvertretung der Bayerischen Krankenhausträger und deren Spitzenverbände ins Leben gerufen werden soll, bei Bedarf unterstützt durch die zuständige Datenschutzaufsichtsbehörde. Wann ein solches Regelwerk entsteht, bleibt abzuwarten.

Für die Praxis hat die Änderung zur Folge, dass sich Bayrische Krankenhäuser künftig externer IT-Dienstleister außerhalb des Klinikgeländes bedienen können, selbstredend unter Einhaltung der Vorgaben der DSGVO, und unter Vereinbarung weiterer Sicherheitsmaßnahmen. Letzteres führt allerdings wieder zu neuen Unsicherheiten, solange es keine Regelwerke hierfür gibt.

Parallel wurden am 1. März 2022 neue Musterverträge für die öffentliche Hand zur Beschaffung von Cloud-Leistungen veröffentlicht, die sog. EVB-IT Cloud Verträge. Sie sind das Ergebnis eines intensiven Abstimmungsprozesses der öffentlichen Hand mit der IT-Wirtschaft, vertreten durch den Bitkom. Erstmalig kann die öffentliche Hand, und damit auch Krankenhäuser, auf standardisierte Einkaufsbedingungen für Cloud-Leistungen zurückgreifen, welche die hohen Anforderungen der öffentlichen Hand an Leistungsqualität, Daten- und IT-Sicherheit sowie Kontrollrechten bei deren Nutzung berücksichtigen.

Die EVB-IT Cloud Verträge bestehen aus

  • einem Vertragsmuster,
  • Einkaufsbedingungen (AGB),
  • einem fachlichen Kriterienkatalog und
  • einer Anlage zur partiellen Einbeziehung von Anbieter AGB.

Weiterhin setzen sie die vertraglichen Mindeststandards des Bundesamts für Sicherheit in der Informationstechnik und die Basisanforderungen des C5-Kataloges (Cloud ComputingCloud Computing ComplianceCompliance Criteria Catalogue) um. Bei der Umsetzung helfen die Hinweise zur Nutzung. Alles zu Cloud Computing auf CIO.de Alles zu Compliance auf CIO.de

Die neuesten rechtlichen Entwicklungen in Deutschland führen zu ersten Erleichterungen und sind als erster Schritt in Richtung Digitalisierung zu bewerten. Dennoch haben es Träger von Krankenhäusern in mehr als nur einem Bundesland in Deutschland aufgrund der divergierenden landesrechtlichen Regelungen und dadurch bedingten unklaren Rechtslage weiterhin schwer, Cloud-Dienste zu nutzen. (bw)

https://www.cio.de/a/alles-in-die-cloud,3690604

Leave a Reply