Datenschutz - Fluch oder Segen? - www.medizin-edv.de Preis: 12 Euro - Krankenhaus-IT Journal
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Ausgabe 1 / 2020 www.medizin-edv.de ISSN 1619-0629 Preis: 12 Euro
Datenschutz –
Fluch oder Segen?
Bundesverband
der Krankenhaus
IT-Leiterinnen / Leiter e. V. ENTSCHEIDERFABRIK
Editorial
Der Preis: das Wohl des Patienten!
Seit Mai 2018 gilt europaweit die einheitliche Datenschutz-Grund-
verordnung (DSGVO). Die festgelegten Vorgaben verlangen jeder
Branche einiges ab. Für das Gesundheitswesen ist es besonders
relevant, da es sich bei der Datenverarbeitung zum größten Teil um
personenbezogene Daten handelt. Datenschutzverstöße werden
mit hohen Bußgeldern belegt.
Die Umsetzung und Einhaltung der Verordnung beinhaltet einen Dagmar Finlayson
hohen Aufwand - zeitlich, personell und finanziell.
Die sensiblen Daten müssen einerseits geschützt, andererseits
aber zugänglich gemacht werden. Die Digitalisierung im Gesund-
heitswesen in Deutschland kann nur fortschreiten, wenn die Daten
genutzt werden dürfen. Auch um im internationalen Wettbewerb
zu bestehen. Unsere Gesundheitsdaten haben großen Wert, aber zu
welchem Preis? Hartmuth Wehrs
Der Bundesgesundheitsminister setzt auf datengetriebene Gesund-
heitsforschung. Und überhaupt auf eine richtige digitale Offensive,
damit vor allem eins verbessert wird: die Versorgung und das Wohl
des Patienten und der Gesellschaft!
Herzliche Grüße, Dagmar Finlayson
Kim Wehrs
Impressum Fotonachweis
Antares Computer Verlag GmbH,
Gießener Straße 4, D - 63128 Dietzenbach Adobe Stock
E-Mail: antares@medizin-edv.de, www.medizin-edv.de S. 1, 25, 39, 45, 64
Verlagsleitung und Herausgeber Hartmuth Wehrs (hw),
Geschäftsführer Kim Wehrs (kw). Tel.: 0 60 74 / 25 35 8, Fax: 0 60 74 / 2 47 86 S. 5 Siemens Healthineers;
Redaktion, Chefredakteurin Dagmar Finlayson (df) (verantwortlich) 0 60 74 / 25 35 8 S. 58 Antares;
Mitglied der Chefredaktion Wolf-Dietrich Lorenz, Berlin
Redaktionelle Mitarbeit Kai Wehrs (Fotos und Onlineredaktion) (kaw) S. 59 Universitätsklinikum Frankfurt;
Anzeigen + Verkauf Kim Wehrs, D - 63128 Dietzenbach, Tel.: 0 60 74 / 2 53 58 (kw) S. 61 Entscheiderfabrik;
Layout, Grafik, & Satz Nebil Abdulgadir
S. 62, 63 Antares;
Lektorat Maike Buchholz, Jügesheim
Druck und Versand: Westdeutsche Verlags- und Druckerei GmbH, S. 66 Nao;
Mörfelden-Walldorf S. 67, 68, 69 Messe Düsseldorf;
Erscheinungsweise 6 x jährlich Einzelpreis EUR 12,00 -zzgl. EUR 1,80 Versand
Abonnement: 60,00-zzgl. EUR 11,00 Versand jährlich. S. 70 Siemens Healthineers;
Verbandsorgan des Bundesverbandes der Krankenhaus - IT Leiterinnen/Leiter e. V. S. 71 Hyperfine; S. 72, 73, 74 Uslu;
Mitglied im Börsenverein des Deutschen Buchhandels (VK Nr. 14815 Verlag, 32320 Buchhandel)
S. 75, 76 GE Healthcare;
Alle Rechte liegen beim Verlag. Insbesondere Vervielfältigung, Mikroskopie und Einspeicherung in elektronische S. 77 OSM;
Datenbanken, sowie Übersetzung bedürfen der Genehmigung des Verlages. Die Autoren-Beiträge geben die
Meinung des Autors, nicht in jedem Fall auch die Meinung des Verlages wieder. Eine Haftung für die Richtigkeit S. 81 Antares.
und Vollständigkeit der Beiträge und zitierten Quellen wird nicht übernommen. Bei den im Kapitel
„Aus dem Markt“ abgedruckten Beiträgen handelt es sich um Industrieinformationen.
Krankenhaus-IT Journal 01 /2020
03
Titelstory Offline-Spracherkennung
Datenschutz-Fluch oder Segen? 6 Sprich mit mir! 39
Digitale-Versorgung-Gesetz (DVG) und
Datenschutz 8 Künstliche Intelligenz /Robotik
Roboter ROGER trainiert mit Patienten
Niemand hat nichts zu verbergen und deswegen erfolgreich das Laufen 45
nichts zu befürchten 10
Geduld ist gefragt 14
Verbandsseiten KH-IT
Datenschutz und Gesundheitsschutz 16
Aufbruch in eine neue Zeit 46
Datenschutzmanagement im Krankenhaus 18 KH-IT-Frühjahrstagung 2020 48
„Probleme zeitnah angehen“ 20 Kostet Digitalisierung Jobs in der IT? 51
Datenschutz im Interesse der Allgemeinheit 20 Auszeichnung zum CIO des Jahres 2019
des IDG-Verlages 52
IT-Management
Erster Health IT-Talk Nordbayern des KH-IT e.V.
Der ISMS-Ratgeber –
und des BVMI e.V. 53
ein Leitfaden für die Praxis (Teil 9) 22
Virtuelles Krankenhaus soll Gesundheitssystem
verbessern 26
Telematikinfrastruktur: Nur so sicher, wie Ihre
bestehende Krankenhaus-IT
Studie „Benchmark Krankenhaus-IT“
28
39
-- Luft nach oben -- 30
Auf dem Weg zu neuen Geschäftsmodellen in
der Medizintechnik 34
Ein ideales Umfeld für die Digitalisierung im
Krankenhaus 37
Krankenhaus-IT Journal 01 /2020
04
70
Startups /Junge Szene
Der eHealth-Branche zum Durchbruch verhelfen 56 Von der Kunst, Künstliche Intelligenz
zu orchestrieren 75
Veranstaltungen
Meeting-am-Meer 2020: Impulse für Aus dem Markt
Führungsverantwortliche 58 MEET OSM: Faktor Mensch in der digitalen
Transformation – wie Fortschritt zum Erfolg wird! 77
Veranstaltungen der Entscheiderfabrik 60
Verantwortung abgeben, Sicherheit gewinnen 79
Gesundheitsdaten in der Cloud – mit den richtigen
Rahmenbedingungen der Schritt in die Zukunft 62
Vor Ort
"Datenschutz in der Medizin- Update 2020" 64 Wie das Klinikum Aschaffenburg-Alzenau seine
Postprozesse optimiert 81
Translation für digitalisierte
Gesundheitsversorgung 65
MEDICA 2019 unauffällig auf
dem neuesten Stand 67
Radiologie/RSNA
81
KI ist das beste Zugpferd im RSNA-Stall 70
Die Radiologie bleibt Spielfeld für Innovatoren 73
Krankenhaus-IT Journal 01 /2020
05
Titelstory
Datenschutz – Fluch oder Segen?
Die Digitalisierung ist in vollem Gang und entwickelt sich rasant. Für das Gesundheitswesen
bietet sich hierbei die Chance für enorme Fortschritte für alle Akteure. Doch die großen
Datenmengen, die tagtäglich generiert werden und werden sollen, müssen sinnvoll und sicher
genutzt, gespeichert und gehandhabt werden. Seit Inkrafttreten der DSGVO im Mai 2018 sind
auch die Krankenhäuser verpflichtet, entsprechende Maßnahmen für den Datenschutz zu
beachten und umzusetzen, zumal es sich beim Hauptteil der Datenverarbeitung in den
Häusern um personenbezogene Daten handelt. Von Dagmar Finlayson
Das legt Art. 9 der DSGVO fest. Datenschutzrechtlich gehören
Gesundheitsdaten also in die Kategorie der personenbezoge-
nen Daten, die besonders schutzbedürftig sind. Und diese dür-
fen somit nur unter strengen Vorgaben und im Regelfall nur mit
der Einwilligung der jeweils Betroffenen verwendet werden.
Die Gesundheitsdaten sind nicht nur signifikant, sondern auch
in höchstem Maße brisant. Bei so einem sensiblen Thema ist
der Datenschutz ein sehr wichtiger Aspekt.
Bessere Versorgung durch Digitalisierung
Bundesgesundheitsminister Jens Spahn ist ein großer Ver-
Prof. Dr. Hans-Hermann Dirksen, Professor für das Recht der
fechter der Digitalisierung und er macht Druck – die digitale Digitalisierung und Rechtsanwalt für Wirtschaftsrecht: „ Daher
Transformation bringt er mit vielen Gesetzesplänen auf den ist die Europäische Datenschutzgrundverordnung (DS-GVO)
Weg. Das von ihm eingeführte und im November letzten als eines der wichtigen Instrumente zum gegenwärtigen Schutz
Jahres beschlossene Digitale-Versorgung-Gesetz (DVG) soll unserer Persönlichkeit zu bezeichnen.“
„die Versorgung besser machen“, so Spahn. Ermöglicht durch
Gesundheitsapps auf Rezept, Videosprechstunden, Patienten- Daten im Visier
daten für die Forschung. Auch wenn der Bundesgesundheits- Manfred Weitz, Jurist und früherer Mitarbeiter des Hessischen
minister das Gesetz als durchweg positiv sieht und versichert, Datenschutzbeauftragten, erklär t: „Die Gesundheitsdaten
dass der „Datenschutz auf höchstem Standard“ eingehalten spielen eine essenzielle Rolle und geraten manchmal schnell
werde, so sehen Datenschützer und Gesundheitsverbände unter die Räder handfester Gewinnabsichten.“ In Kliniken
erhebliche Mängel und Nachbesserungsbedarf. Kritik besteht lassen sich notwendige Investitionen und betrieblicher Daten-
am Patientendatenschutz, denn das DVG sieht nicht vor, schutz scheinbar nicht immer vereinbaren, doch bieten sie ein
Widerspruch gegen Weitergabe der Daten an die Forschung durchaus attraktives Ziel für kriminelle Hacker, wie Ereignisse
zu verhindern. Doch die Europäische Datenschutzgrundver- in jüngster Zeit gezeigt haben.
ordnung (EU-DSGVO) gibt explizit ein Widerspruchsrecht
für forschungsbezogene Datenverarbeitungen vor. So könnte
das DVG eigentlich im Einklang mit der DSGVO stehen, sieht
es doch eine Anonymisierung und Pseudonymisierung der
Patientendaten vor. Doch Prof. Dr. Hans-Hermann Dirksen,
Professor für das Recht der Digitalisierung und Rechtsanwalt
für Wirtschaftsrecht, mahnt, „dass es aufgrund der Menge an
vergleichbaren Datensätzen in absehbarer Zeit kaum möglich
ist, die Daten in einer solchen Form zu anonymisieren, dass
sie wirklich nicht mehr zuordenbar sind.“ Oftmals werden die
Daten für die Forschung unbrauchbar, wenn alle identifizieren-
Manfred Weitz, Jurist und früherer Mitarbeiter des Hessischen
den Merkmale gelöscht werden, so Prof. Dirksen. Für ihn ist die
Datenschutzbeauftragten: „Strenge Rahmenbedingungen zur
DSGVO ein wichtiges Instrument zum gegenwärtigen Schutz Verarbeitung der Gesundheitsdaten und effiziente
unserer Persönlichkeit. IT-Sicherheitsmaßnahmen können hier also durchaus als
„Segen“ angesehen werden.“
Krankenhaus-IT Journal 01 /2020
06
„Die Kommerzialisierung der Gesundheitsdaten von Versi-
cherten muss verhindert werden.“, so Dr. Dr. Fabian-S. Frielitz,
Universität zu Lübeck, Zentrum für Bevölkerungsmedizin
und Versorgungsforschung. Hier muss ausreichend investiert
werden, um solche Szenarien zu verhindern. Doch Thomas
Petri, Landesbeauftragte für Datenschutz in Bayern, sagt dass
es wünschenswert sei, wenn Krankenhäuser mit ihrer daten-
schutzrechtlichen Verantwortlichkeit nicht allein gelassen wer-
den, denn es fehle nicht am guten Willen, sondern vielmehr an
der hinreichend finanziellen Ausstattung. Das betrifft vor allem Ariane Schenk, Dr. Dr. Fabian-S. Frielitz,
kleine und mittelgroße Häuser, die nicht auf wichtige Förder- Referentin Universität zu Lübeck,
Health&Pharma, Zentrum für Bevölkerungsmedizin
mittel für die IT-Sicherheit zugreifen können. „Ein wirksames
Bitkom und Versorgungsforschung
Datenschutzmanagement bedarf der Einsicht der Entschei-
dungsträger, dass die Einhaltung der Anforderung der DSGVO
mit dem Bereitstellen nicht unerheblich zeitlicher, personeller
und finanzieller Ressourcen einhergeht.“, erklärt Sven Venzke-
Caprerese, Prokurist und Senior Berater Datenschutz bei der
datenschutz nord GmbH. Ulrich Kelber, Bundesbeauftragter für
den Datenschutz und Informationsfreiheit (BfDI), erklärt, dass
die Patienten sehr von der Digitalisierung profitieren, wenn der
Datenschutz von Anfang an mitgedacht wird. Bei jeder tech-
nischen Lösung bleibt die Datensicherheit eine Daueraufgabe,
so Kelber. Er warnt davor, dass es keine Abstriche geben darf,
um bestimmte Anwendungen fristgerecht einzuführen.
Thomas Petri, Juliane Dannewitz,
Landesbeauftragter für Volljuristin, Consultant
Daten für Fortschritt
Datenschutz in Bayern Datenschutz, intersoft
Sehen Datenschützer und Gesundheitsverbände noch viel consulting services AG
Nachholbedarf bei den neuen Gesetzen, geht den Indust-
rieverbänden das DVG noch nicht weit genug. So sagt Ari- Schutz ist nicht umsonst
ane Schenk, Referentin Health&Pharma beim Bundesverband Die Chancen der Digitalisierung sind enorm und versprechen
Informationswirtschaft Bitkom: „Pseudonymisierte Gesund- viele Vorteile, dennoch sind auch Angriffe auf den Gesund-
heitsdaten müssen auch für die privatwirtschaftliche Forschung heitssektor inzwischen keine Einzelfälle mehr. Gesundheits-
sowie für Hersteller von Medikamenten und Gesundheitsan- daten sind sensibel und wertvoll und rücken somit mehr und
wendungen zugänglich gemacht werden, damit wir einen ech- mehr in den Fokus.
ten und zukunftsfähigen medizinischen Fortschritt erreichen Unzureichender Schutz hängt oft mit einem großen Finanz-
können.“ Bitkom sieht in dem Digitale-Versorgung-Gesetz den druck zusammen. Kostengünstige Lösungen und Konzepte, die
Durchbruch für die Digitalisierung der Gesundheitsversorgung unter zeitlichem und finanziellen Druck angestrebt werden,
und erwartet eine Weiterentwicklung und eine pragmatische bringen oft nicht das angestrebte Ergebnis oder führen gar
Umsetzung. So sieht das auch der Bund der Industrie (BDI), zu unerwünschtem Mehraufwand. Die Regularien legen den-
dessen Hauptgeschäftsführung sagt, die größte Gefahr bestehe noch Fristen fest, die eingehalten werden sollten oder müssen,
nicht im Datenmissbrauch, sondern darin, Daten gar nicht denn Verantwortliche werden dann nicht mehr nur verwarnt,
erst zu nutzen. vielmehr werden Bußgelder verhängt. Der Datenschutz darf
Der Datenschutz hindert nicht medizinische Innovationen, weder außer Kraft gesetzt noch als Schutzschild zur Vermei-
erklärt Juliane Dannewitz, Volljuristin, Consultant Datenschutz, dung unbequemer Investitionen werden, das Gesundheits-
intersoft consulting services AG: „Datenschutz verbietet tech- system muss den medizinischen Fortschritt mitgehen. Doch
nischen und medizinischen Fortschritt nicht, sondern legt nur die Akteure im Gesundheitssektor bewegen sich hierbei
die Regularien fest, um die Interessen und Rechte des Einzel- auf einem Minenfeld, der Schutz der hochsensiblen Daten
nen hinreichend zu schützen.“. Da es sich beim Datenschutz durch ein wirksames Konzept ist unumgänglich und uner-
im Gesundheitswesen um ein extrem komplexes Thema han- lässlich. Der Datenschutz ist ein segensreicher Fluch und ein
delt, bietet es sich an, externe Fachexpertise zu Rate zu ziehen. verfluchter Segen. df
Krankenhaus-IT Journal 01 /2020
07
Titelstory
Digitale-Versorgung-Gesetz (DVG) und
Datenschutz
Das Digitale-Versorgung-Gesetz (DVG) soll dem deutschen Gesundheitswesen einen erneuten Impuls
für den stattfindenden Digitalisierungsprozess geben. Patienten sollen künftig digitale Gesundheits-
Apps vom Arzt auf Kassenkosten verschrieben bekommen, Patienten sollen die Möglichkeit erhalten,
ihre Gesundheitsdaten in einer elektronischen Patientenakte (ePA) speichern zu lassen.
Der Ausbau der Telematik-Infrastruktur wird vorangetrieben, Betreiber werden ein Datenschutzkonzept vorhalten müssen,
indem Apotheken und Krankenhäuser verpflichtet werden, einschließlich einer leicht verständlichen und nicht zu lan-
sich anschließen zu lassen. Telemedizinische Angebote wie die gen, aber den gesetzlichen Anforderungen entsprechenden
Videosprechstunden sollen leichter genutzt werden können. Datenschutz- und Einwilligungserklärung. Trotz der zahlreichen
Abrechnungsdaten der Krankenkassen sollen durch ein sog. und engen Datenschutzvorgaben sollte der Datenschutz als
Forschungsdatenzentrum für Forschungszwecke in anonymi- Herausforderung verstanden werden. Anbieter, die zukünftig
sierter Form auf Antrag zur Verfügung gestellt werden. für höchstpersönliche und sensible Daten eine entsprechende
Für alle vorgesehenen Neuerungen und möglichen Ände- Verschlüsselung (AES-256-Bit-Verfahren) vorhalten können,
rungen durch das Digitale-Versorgung-Gesetz (DVG) gilt, dass werden einen Wettbewerbsvorteil gegenüber den Mitbewer-
die Datenschutzkonformität gewahrt sein muss. Der Daten- bern haben, die diese nicht vorweisen können. Der strenge
schutz wird zum Nadelöhr. Datenschutz kann für die deutsche Gesundheitsindustrie eine
Gerade für Anbieter von sog. Gesundheits-Apps sind Chance sein, wenn es gelingt, die Vereinbarkeit zwischen hohen
Datenschutzvorgaben oftmals ein „Fluch“ bei der Umsetzung datenschutzrechtlichen Standards und der benötigten Gewäh-
möglicher innovativer Versorgungskonzepte in der Praxis. Das rung von Datenverarbeitung und -speicherung bei maximaler
Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) Digitalisierung zu schaffen.
nimmt nach dem DVG eine Schlüsselstellung ein, indem Funkti- Auch wenn ein „Datenschutzbewusstsein“ vermutlich
onstauglichkeit, Qualität und in besonderer Weise die Aspekte noch stärker wachsen muss, so steht heute bereits fest, dass
Datensicherheit und Datenschutz geprüft werden. Damit tre- jegliche Gesundheitsdaten, die erhoben werden, letztlich
ten zukünftig noch stärker datenschutzrechtliche Fragen in einen Teil unserer „Gesundheitsidentität“ darstellen, die uns
den Fokus bei Erhebung, Speicherung und Verarbeitung von ein Leben lang begleitet. Immer neue Datenspannen und
Gesundheitsdaten. Anbieter sind verpflichtet, i.S.d. Art. 4 Nr. -skandale zeigen die potenzielle Gefahr, wie Daten und Pro-
7 DSGVO gegenüber den Aufsichtsbehörden nachzuweisen, file, die zunächst als anonym gelten, von Usern durch die Ver-
dass die Vorgaben der DSGVO eingehalten werden. Die Verar- netzung von Datenmosaiken eine eindeutige Identifizierung
beitung von Gesundheitsdaten ist nur dann rechtmäßig, wenn und Zuweisung ermöglichen. Es bleibt zu hoffen, dass die
ein angemessenes Verhältnis zu dem verfolgten Ziel besteht angekündigte Novellierung des Datenschutzgesetzes unsere
(Art. 9 Abs. 2 DSGVO). Sollten bestimmte Apps auf den Markt Gesundheitsdaten genauso gut schützt wie bisher und dabei
kommen, die potenziell für 73 Millionen Versicherte geeignet die Potenziale digitaler Versorgung nicht zu sehr einschränkt.
sein werden, wird man dem Datenschutz die gleiche Aufmerk- Der Datenschutz darf als „Segen“ verstanden werden, wenn
samkeit schenken müssen, wie der Frage nach der Verwendung es gelingt, eine Kommerzialisierung der Gesundheitsdaten von
von Routinedaten für Forschungszwecke. Versicherten zu verhindern.
Datenschutzrechtliche Fragen für Gesundheits-Apps:
■ Wo werden die Daten gespeichert – direkt lokal im Gerät?
■ Welche Daten müssen für die Funktionalität aber auch für
die Evaluation der Gesundheits-App übermittelt werden?
Besteht Vereinbarkeit mit dem Grundsatz der Datenmini-
mierung? (Art. 5 DSGVO)
■ Welche Zugriffsrechte werden für die Gesundheits-App
benötigt?
■ Wie wird das Recht der Nutzer auf Löschung sicherge-
stellt? - (Art. 17 DSGVO)
■ Haftung und Recht auf Schadenersatz - (Art. 82 DSGVO)
Dr. Dr. Fabian-S. Frielitz, LL.M., M.A., MBA, MHEd
Krankenhaus-IT Journal 01 /2020
08
Think Medical!
Act Digital!
21.–23. April 2020
Messegelände Berlin
Connecting Digital Health www.dmea.de
GOLD Partner SILBER Partner
Veranstalter Organisation In Kooperation mit Unter Mitwirkung von
Titelstory
Niemand hat nichts zu verbergen
und deswegen nichts zu befürchten
In einer Sternstunde der Rechtsprechung hat das Bundesverfassungsgericht 1983 ein neues
Grundrecht erfunden: das Recht auf informationelle Selbstbestimmung. Ausgangspunkt für das
Bundesverfassungsgericht war dabei das sog. allgemeine Persönlichkeitsrecht, also Art. 2 Abs.
1 GG in Verbindung mit Art. 1 Abs. 1 GG: „Mit dem Recht auf informationelle Selbstbestimmung
wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar,
in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie
weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information
dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch
solche Verhaltensweisen aufzufallen“ (BVerfG, Urt. v. 5.12.1983-1 BvR209/83).
Bedrohung unserer Daten?
Dem Grundgesetz liege demnach die Vorstellung zugrunde,
dass der Mensch in der Schöpfungsordnung einen eigenen
selbständigen Wert besitze. Der einzelne Mensch und seine
Würde stünden im Mittelpunkt einer wertgebundenen Ord-
nung. Der Mensch sei aber auch eine mit der Fähigkeit zu
eigenverantwortlicher Lebensgestaltung begabte Persönlich-
keit. Dieses widerspräche der Vorstellung, durch die moderne
Datenverarbeitung eine ständige Überwachung befürchten zu
müssen.
Damit hat das Bundesverfassungsgericht aber auch klar
gemacht, dass die einzelnen Daten/Informationen, die die
natürliche Person beschreiben (sog. personenbezogene
Daten), nicht dieser Person gehören. Eine Sichtweise, die bis
heute Bestand hat. Daten sind nicht das persönliche Eigentum
der betroffenen Person. Stattdessen ist es so, dass die tatsäch-
Prof. Dr. Hans-Hermann Dirksen, Professor für das Recht
liche Verfügungsgewalt zu großen Teilen beim Datenverarbei- der Digitalisierung, FOM – Hochschule für Oekonomie und
ter liegt, während der Einzelne sein Selbstbestimmungsrecht Management; Rechtsanwalt, LIEBENSTEIN LAW – Kanzlei für
dahingehend ausübt, zu entscheiden, ob der Datenverarbeiter Wirtschaftsrecht, Eschersheimer Landstr. 351, Frankfurt/M.,
diese Informationen überhaupt erhalten sollte. www.liebenstein-law.de, mail@liebenstein.law.de
Im Kontext informationeller Selbstbestimmung bedeutet
das, dass für jeden Menschen die aus den Daten gewinnbaren Möglichkeit, diese Daten miteinander zu vergleichen und
Informationen kontrollierbar und beherrschbar sein müssen. auszuwerten.
Nun, bald 40 Jahre später, im Jahr 2020, kommt die Bedro- Durch den digitalen Zugriff und die Auswertbarkeit von
hung für unsere Daten – von wenigen Ausnahmen abgese- Daten ist es möglich, Zusammenhänge von personenbezoge-
hen – nicht mehr vom Staat, sondern vielmehr und in einem nen Daten herzustellen, die den immer befürchteten gläsernen
geballten nie vorgestellten Ausmaß von Unternehmen aus der Menschen nun tatsächlich zur Realität werden lassen. Der frü-
Privatwirtschaft. Die Möglichkeit dazu hat das als „Big Data“ here Datenschutzbeauftragte des Landes Schleswig-Holstein,
bezeichnete Phänomen erschaffen, die nahezu unbegrenzte Thilo Weichert, hatte daher bereits 2014 erklärt, dass das
Speichermöglichkeit von Daten und die damit einhergehende Recht auf informationelle Selbstbestimmung für den Schutz
Krankenhaus-IT Journal 01 /2020
010der Privatsphäre auch in Zukunft von großer Bedeutung Es gibt wenig so Mächtiges, Belohnendes und Aufregendes
sein werde, faktisch derzeit aber ein solches Recht nicht wie zwischenmenschliche Kommunikation und Anerkennung.
vorhanden sei. Das Internet gewährt Ausdrucksmöglichkeiten für Menschen,
Fataler noch ist der Umstand, dass es aufgrund der Menge denen sonst keiner zuhört. Damit wird das Bedürfnis gestillt,
an vergleichbaren Datensätze in absehbarer Zeit wohl gar Teil von etwas zu sein und mitreden zu können. Obwohl wir
nicht mehr möglich sein wird, Daten in einer solchen Form zu also wissen, wie unsicher unsere Informationen im Internet
anonymisieren, dass die Daten wirklich nicht mehr zuordenbar sind, geben wir dennoch mehr Daten und Details aus unserem
sind. Privatleben preis als je zuvor.
Andererseits ist eine absolute Anonymisierung insbeson-
dere im Gesundheitsbereich und im Rahmen der wissen- Wirksamer Datenschutz
schaftlichen Forschung wiederum sehr unbefriedigend. Oft- Aufgrund dieser unterschiedlichen Faktoren erscheint es
mals werden Daten für die Forschung unbrauchbar, wenn alle nur folgerichtig und wichtiger denn je, einen wirksamen und
den Probanden identifizierenden Merkmale gelöscht werden schlagkräftigen Datenschutz in Europa zu etablieren. Nur so
müssen. kann dem unbedarften und allzu leichtfertigen Umgang mit
unseren eigenen Daten Einhalt geboten werden. Und nur so
Wir tun es trotzdem kann dem Missbrauch unserer Daten vorgebeugt werden.
Hinzu kommt der Umstand, dass eine erhebliche Diskrepanz Daher ist die Europäische Datenschutzgrundverordnung (DS-
zwischen der hohen abstrakten Wertschätzung des Daten- GVO) als eines der wichtigen Instrumente zum gegenwärtigen
schutzes einerseits und eine demgegenüber sehr geringe Schutz unserer Persönlichkeit zu bezeichnen.
Bereitschaft zur aktiven Mitwirkung oder zum Verzicht auf Wenn man der DS-GVO dennoch auch einen Vorwurf
Kommunikation zugunsten des Datenschutzes andererseits machen muss, dann den, dass die Verordnung, die ihrerseits
zu konstatieren ist. Diese Feststellung, die wir alle täglich selbst transparente Datenschutzerklärungen fordert, selbst mitnich-
erleben, ist auch aus einem anderen Grund bemerkenswert: ten transparent und übersichtlich ist. Leider sind auch einige
Offensichtlich haben sich die Bundesverfassungsrichter im Jahr wichtige Regelungen nicht so gestaltet, dass sie wirklich durch-
1983 bei der Einschätzung der Befindlichkeiten der Bürger setzbar sind.
getäuscht. Wir werden von den Suchmaschinen im Inter- Als Beispiel mag hier das Prinzip des „Privacy by Design“
net und den sozialen Medien in einem Umfang überwacht, genannt werden (Art. 25 DS-GVO). Die Bestimmung dieses
getrackt und gespeichert, wie es keiner der Richter sich damals Prinzips soll bedeuten, dass Privatsphäre und Schutz im gesam-
hätte auch nur in seinen kühnsten (Alp-)Träumen hätte vor- ten Lebenszyklus der Technologien einzubetten sind. Das heißt,
stellen können. dass sie bereits im frühen Entwurfsstadium über die Entwick-
Dennoch ist es mitnichten zu einer Verhaltensänderung lung hin bis zum Gebrauch und zur Beendigung einzubauen
von uns Bürgern gekommen. Jeden Tag nutzen wir die Such- sind; eine wichtige Voraussetzung für den datenschutzkonfor-
maschinen, die uns zum Dank verfolgen, und posten fleißig men Betrieb der meisten Medizinprodukte. Leider ist dieses
Bilder in den Social Media. Und das, obwohl diese uns in ihren Prinzip nicht bußgeldbewehrt, sodass Verstöße dagegen nicht
AGB sogar erklären, was sie alles mit unseren Bildern machen geahndet werden können.
werden. Und ja, wir nutzen sogar den Messenger-Dienst mit Das ist sehr unangenehm für alle Betreiber in Gesund-
ungetrübter Freude, von dem wir wissen, dass er selbst die heitseinrichtungen, denn diese wiederum haften sehr wohl für
Telefonnummer von Oma Erna aus unserem Adressbuch Datenschutzverstöße der von ihnen verwendeten Medizin-
ziehen wird, die noch nicht mal weiß, wie das Wort Internet produkte. Gegenwärtig kann man hier aus der Not nur eine
überhaupt buchstabiert wird. Und das sogar im Bewusstsein, Tugend machen und als Hersteller darauf hinweisen, dass bei
dass es andere Messenger-Dienste gibt, die das nicht tun der Konzeption der Geräte das „Privacy by Design“ beachtet
(oder heimlich doch?). Wenn die Richter von damals also recht wird, und daraus sogar ein Alleinstellungsmerkmal machen.
gehabt hätten, würde niemand solche Funktionen des Inter- Überhaupt lassen sich aus der genauen Kenntnis der DS-
nets in Anspruch nehmen und schon gar nicht unsichere Apps GVO eine ganze Reihe Wettbewerbsvorteile gewinnen. Die
zur Nutzung auf das Smartphone laden. Verordnung bietet in Wirklichkeit eine Menge Möglichkeiten,
personenbezogene Daten rechtskonform (z.B. nach Art. 6
Kommunikation als menschliches Bedürfnis DS-GVO oder für Gesundheitsdaten nach Art. 9 DS-GVO)
Über dieses Verhalten ist viel spekuliert worden. Die Internet- zu verarbeiten. Auch für kleinere KMU ist möglich, mit einem
nutzung ist ganz offensichtlich zum Ausdruck eines fundamen- überschaubaren Aufwand ein adäquates Datenschutzmanage-
talen menschlichen Bedürfnisses nach Kommunikation gewor- ment aufzubauen.
den. Dieses Bedürfnis scheint stärker zu sein als die Angst Die DS-GVO selbst spricht nicht davon, dass jede kleine
vor dem Eingriff in die stets behütete subjektive Privatsphäre. Unternehmung einen bombensicheren Serverkeller etc. haben
Krankenhaus-IT Journal 01 /2020
011Titelstory
muss. Vielmehr wird ein angemessenes den Umständen ver- müssen, warum man nicht im Vorfeld adäquate Maßnahmen
hältnismäßiges Schutzniveau für die Datensicherung gefordert getroffen hat.
und als ausreichend erachtet (Art. 32 DS-GVO). Wenn eine Zum anderen – und das ist weitaus Wesentlicher – muss
Aufforderung zum Löschen durch einen Kunden oder Pati- man sich immer wieder darüber klar werden, dass der Daten-
enten kommt, muss nicht gleich panisch der Delete-Button schutz und die weiteren Verordnungen für Handel und Verkehr
gedrückt werden. Es sollte vielmehr zunächst in Ruhe geprüft im Internet in der Zeit von Big Data wirklich eins der wenigen
werden, ob es nicht vielleicht rechtliche Gründe gibt, warum Bollwerke sind, mit denen versucht wird, unsere Identität und
man diese Daten möglicherweise doch behalten darf (Art. 17 damit unser Recht auf informationelle Selbstbestimmung zu
DS-GVO). schützen. Nach Gesagtem drängt es sich auf, dass der Daten-
Viele dieser Aspekte sehen Verantwortliche leider nicht, schutz Aufmerksamkeit verdient und dass er, soweit es eben
weil sie für den ungeliebten Datenschutz kein Geld investie- angemessen ist, adäquat gehandhabt wird, auch und gerade
ren möchten und daher, statt einen erfahrenen Datenschutz- durch seine vielen Möglichkeiten. Auch wenn es vielleicht
berater zu konsultieren, den Billiganbieter aus dem Internet pathetisch klingt, die Investition in den Datenschutz dient dem
beauftragen. Fortbestand unserer Freiheit und unserer persönlichen Unab-
Aber wenn man später betrachtet, was solche Anbieter oft hängigkeit! Und dieses wertvolle Gut sollte uns Zeit und Auf-
liefern, kann man den Geschäftsführer nur bedauern, wenn er wand wert sein!
über einem Stapel unausgefüllter Formulare sinniert und sich Es wäre daher zu begrüßen, wenn der Datenschutz in sei-
darüber ärgert, wie viele Extrastunden er bei dem nun gar ner Wirkung und in seinen Vorteilen gesehen würde und ihm
nicht mehr billigen Anbieter dazukaufen muss, um zu verste- nicht nur deswegen zähneknirschend Aufmerksamkeit gewid-
hen, was er mit den Formularen anfangen soll. Passend dazu, met wird, weil 20 Millionen Euro Bußgeld drohen. Das hat die
werden auf LegalTech-Messen „Wunder-Apps“ zum Ausfüllen DS-GVO tatsächlich nicht verdient.
aller Datenschutzformulare angeboten. Fakt ist jedoch: Daten- Mögen sich also die Richter des Bundesverfassungsgerichts
schutzfolgeabschätzung (Art. 35 DS-GVO), gemeinsam Ver- bei der Einschätzung der Auswirkungen von „Big Data“ auf das
antwortliche (Art. 26 DS-GVO) und Outsourcing in die Cloud Verhalten der Bürger geirrt haben, sahen sie zumindest einen
können diese Helferlein nicht. Punkt auf fast schon visionäre Weise voraus: Ohne das Recht
auf informationelle Selbstbestimmung ist eine eigenverant-
Professionelles Datenschutzmanagement wortliche Lebensgestaltung in unserer heutigen Gesellschaft
Insofern kann man nur zu der Feststellung gelangen, dass eine kaum denkbar.
erfolgreiche Beratung im Datenschutz derzeit nicht auto-
matisch von LegalTech-Anwendungen oder von Formular-
generatoren umgesetzt werden kann. Nicht, weil es keine
Anwendungen gäbe, die ordentliche Musterformulare liefern
würden – viele Verantwortliche wissen schlicht nicht, wie sie
sie ausfüllen sollen. Um seine Rechenschaftspflicht aus der LITERATURHINWEISE:
DS-GVO erfüllen zu können, muss allerdings jedem Geschäfts- Simitis, Bundesdatenschutzgesetz, 6. Auflage 2019,
führer geraten werden, einen Rechtsberater zu beauftragen, Nomos Verlag
der in der Lage ist, ein genau auf die Situation des jeweiligen Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage 2018,
Unternehmens angepasstes Datenschutzmanagement imple- C. H. BECKVerlag
mentieren zu können. Dieser übernimmt damit auch die Ehmann, Datenschutz kompakt, Loseblattsammlung, 2019
Haftung für die Richtigkeit und die stetige Pflege des Daten-
WEKA Verlag
schutzmanagementsystems.
Kongehl/Federrath/Greß/Weck, Datenschutz-Management,
In der Konsequenz lassen sich dadurch teure Bußgelder
Loseblattsammlung, 2019, Haufe Verlag
vermeiden, die in den letzten Monaten bemerkenswert zuge-
nommen haben. Gegenwärtig sind die Landesdatenschutz- Auer-Reinsdorff / Conrad, Handbuch IT- und
beauftragten noch sehr stark belastet, aber spätestens dann, Datenschutzrecht, 3. Auflage 2019 C.H.BECK Verlag
wenn es in einem Unternehmen und insbesondere in einer Kühling / Buchner, Datenschutz-Grundverordnung,
Gesundheitseinrichtung zu einem Datenleck kommt, steht Bundesdatenschutzgesetz: DS-GVO/BDSG, Kommentar 2.
der Landesdatenschutz vor der Tür und man wird erklären Auflage 2018 C.H.BECK Verlag
Krankenhaus-IT Journal 01 /2020
012
DigiPatientenaufklärungsbögen und eigene Dokumente
digital bearbeiten, unterschreiben und sicher archivieren
Eigene Dokumente komplett digital!
E-DocumentPro
Patienten mobil aufklären und informieren!
E-ConsentPro mobile
www.thieme-compliance.de
Digitale_Loesungen_213x303.indd 1 04.06.2019 13:08:43Titelstory
Geduld ist gefragt
Zum aktuellen Titelthema nimmt Manfred Weitz, Jurist und früherer Mitarbeiter des Hessischen
Datenschutzbeauftragten Stellung. Er ist der Initiator der Tagungsreihe „Update Datenschutz“, die
mit unterschiedlichen Themenschwerpunkten den Datenschutzpraktikern, vor allem betrieblichen
Datenschutzbeauftragten, möglichst konkrete Handlungshilfen in aktuellen und komplexen Prob-
lemkreisen, wie etwa dem Beschäftigtendatenschutz, Datenschutz in der Medizin usw. vermittelt.
D as Titelhema „Datenschutz – Fluch oder Segen?“ darf
eine solche, etwas überspitzte Fragestellung bieten, um
ein möglichst breites Spektrum an grundsätzlichen Einschät-
Mehr und mehr Ärzte und Kliniken können berichten von
Erpressungssoftware in ihren Systemen (sogenannte ransom-
ware), der Preis illegal erworbener Mengen von Gesundheits-
zungen zur heutigen Bedeutung des Datenschutzes im medizi- daten steigt dauerhaft.
nischen Bereich anzusprechen. Strenge Rahmenbedingungen zur Verarbeitung der
Die Antwort zu dieser Frage muss aber naturgemäß sehr Gesundheitsdaten und effiziente IT-Sicherheitsmaßnahmen
differenziert ausfallen, und sie hängt auch ab vom Blickwinkel können hier also durchaus als „Segen“ angesehen werden.
des von der Umsetzung des Datenschutz jeweils Betroffenen.
Die Gesundheitswirtschaft in Deutschland ist eine der größten Rechtlicher Rahmen
Wirtschaftssektoren und wegen der täglich in Medien nachles- Zunächst soll genauer eingegangen werden auf den allgemei-
baren Digitalisierungswelle zudem ein besonders dynamischer, nen und besonderen rechtlichen Rahmen, der für den Daten-
profitabler Wachstumsmarkt. Gesundheitsdaten spielen hier schutz im medizinischen Sektor gilt.
eine essenzielle Rolle und geraten manchmal schnell unter Nach jahrelangen quälenden Diskussionen, die auch
die Räder handfester Gewinnabsichten. Ein Klinikmanager, der gezeichnet waren durch eine recht erfolgreiche Einflussnahme
plötzlich hohe Geldbeträge in eine Aufrüstung der IT-Sicher- von Lobbyisten, konnten die EU-Gremien 2016 ein neues
heit der Klinik bereitstellen soll, wird naturgemäß das Thema Regelwerk zum EU-weit geltenden Datenschutz verabschieden,
Datenschutz kritischer angehen als der betriebliche Daten- die “Europäische Datenschutz-Grundverordnung“(DSGVO),
schutzbeauftragte, der zumindest inhaltlich verantwortlich ist die nach einer längeren Übergangszeit am 25.8.18 in allen
für die betriebliche Beachtung der Normen zur IT-Sicherheit. EU-Staaten voll in Kraft trat und alle entsprechenden natio-
Gesundheitsdaten erfreuen sich zudem einer stark zunehmen- nalen Regelwerke außer Kraft setzte, soweit sie der DSGVO
den Attraktivität im kriminellen Sektor. widersprachen.
Die DSGVO stellt im Datenschutz eine Zeitenwende dar,
weil zahlreiche neue Vorschriften den bislang geltenden Daten-
schutzstandard zum Teil nun verschärfen und gänzlich neue
formale Regeln dem Betrieb, der personenbezogene Daten
verarbeitet, Handlungspflichten auferlegen, die von vorherein
einen höheren Stellenwert im betrieblichen Ablauf erfordern.
Wer nun fragt, welche Behörde all das kontrollieren und
einen Regelverstoß mit Sanktionen belegen soll, erhält einen
Hinweis, der durchaus blutdrucksteigernd wirken kann: wird
- veranlasst durch Beschwerden, zufällig oder bei Prüfbesu-
chen - ein Rechtsverstoß festgestellt, muss im Regelfall die
zuständige Aufsichtsbehörde ein Bußgeldverfahren einleiten
(Art. 83, DSGVO), das mit schmerzvollen Bußgeldern enden
kann, bis zu 4% des weltweiten Jahresumsatzes (www.enforce-
menttracker.com). Zudem wird der Personalbestand der Auf-
sichtsbehörden spürbar aufgestockt, sodass Kontrollen wahr-
scheinlicher werden. Es gäbe also für die „Täter“ Anlass zu
einem Fluch.
Manfred Weitz
Krankenhaus-IT Journal 01 /2020
014Datenschutz als Segen die sich gerade ergeben aus dem notwendigen Schutz der
Dieser Aspekt soll aber den Blick nicht verstellen auf das eher Patientendaten vor nicht von Vorschriften gedeckten, medi-
präventive Grundanliegen der DSGVO, das mit diesem neuen zinisch orientierten Verwendungszwecken. Außerhalb dieser
Regelwerk wahrscheinlich etwas näher gerückt ist: den Schutz kann nur eine aufgeklärte Einwilligung eine Zulässigkeit der
der personenbezogenen Daten als einem Aspekt der Men- Datenverwendung vermitteln. Die Grundsatzentscheidungen
schenrechte im Wirtschaftsleben noch effizienter zu gestalten, trifft der Gesetzgeber, dem beratend die Datenschutzbehör-
gerade im Hinblick auf die viel zitierte Erkenntnis, dass Daten den zur Seite stehen. Je geregelter die begleitenden Daten-
das Öl des 21. Jahrhunderts darstellen. Interpretiert man erste schutzregeln ausfallen, desto größer ist die Akzeptanz des Pro-
Einschätzungen der deutschen Aufsichtsbehörden zur Effizienz jekts bei den Patienten und Ärzten.
der DSGVO richtig, sehen diese spürbare Fortschritte seit Welche Kräfte wirken bei der Frage, wie die Digitalisierung
dem 25.8.18. ohne Gefährdung des Patienten recht sinnvoll weiterentwi-
Also käme nun der „Segen“ des neuen Datenschutzrechts ckelt werden kann?
eher zum Tragen. Die E-health-Politik der Bundesregierung setzt sicher
Möchte man an der Stelle auf die Gesundheitsdaten einge- normativ den entscheidenden Impuls für gewünschte Neue-
hen, wird der Ansatz des „Segens“ noch deutlicher. rungen, wie das als Meilenstein anzusehende „ Digitale Versor-
Ausgangspunkt der Betrachtung ist zunächst ein Tausende gungsgesetz“ von Ende 2019 zeigt. Bei den Details der Umset-
Jahre alter Grundsatz, dessen überragende Bedeutung von nie- zungsfragen wirkt der Bundesbeauftrage für Datenschutz und
mandem bestritten würde: vom Arzt erhobene und regelmä- Informationsfreiheit mit, um die Beachtung der DSGVO zu
ßig dokumentierte Gesundheitsdaten des Patienten genießen garantieren. Er will Neuerungen aber nicht verhindern, son-
den Schutz der ärztlichen Schweigepflicht. Sie kommt in zahl- dern ihre Umsetzung rechtskonform gestalten.
reichen Vorschriften zum Tragen, insbesondere im § 203 STGB. Die gewünschte zeitnahe Umsetzung der Gesetze stößt
Die DSGVO hat den Gesundheitsdaten (Art 4 Nr. 15) als aber oft auf vorhersehbare Hemmnisse.
Daten „besonderer Kategorie“ zahlreiche Sondervorschriften Soweit Behörden technische Neuerungen wie z.B. medi-
gewidmet und ihre Verarbeitung im Vergleich zu nicht sensib- zinische Apps genehmigen müssen, braucht die Beschäftigung
len Daten unter besonders strenge Vorrausetzungen gestellt mit neuen, zum Teil noch zu entwickelnden komplizierten
(Art. 9, Abs. 2-4). Wer also Gesundheitsdaten verarbeiten Normen Zeit ebenso wie bei der Prüfung der komplexen IT-
möchte, muss sicherstellen, dass er eine Rechtsgrundlage vor- Sicherheitsfragen.
weisen kann und ein besonderer Ausnahmetatbestand erfüllt Zum weiteren muss die IT-Landschaft in der Anwendungs-
ist. Eine solche oftmals nicht einfache Rechtsprüfung mag man- ebene, also z.B. in den Arztpraxen, auf die Neuerungen ein-
chen Schweißtropfen verursachen, ist aber im Hinblick auf die gestellt werden. Hier ist eine nicht unwesentliche Verzögerung
überragende Bedeutung der Gesundheitsdaten sicher zumut- auszumachen. Denn der Arzt muss die Hardware beschaffen
bar. können und den Digitalisierungsprozess aktiv fördern wollen,
Eine praktische Folge der DSGVO ist z.B. die spürbare einschließlich entsprechender Schulungen.
Zunahme von dem Arzt nun dringlich gewordenen Einwilli- Schon jetzt bringt die Bürokratie die Arztpraxis oft an den
gungserklärungen, die der Patient ihm überlassen soll für die Rand der Belastbarkeit.
gewünschte Weitergabe der Diagnosedaten an Dritte, z.B. das Schlussendlich muss der Patient auch mitspielen, da er
ärztliche Verrechnungszentrum. grundsätzlich beim Umgang mit den neuen Techniken Herr
Im Hinblick auf die normative Seite des medizinischen seiner Daten bleiben soll. Technik-affine Personen fördern den
Datenschutzes und seine Auswirkung auf die Praxis stellen sich Digitalierungstrend sicher intensiver.
für den unbefangenen Betrachter der Entwicklungen einige
interessante Fragestellungen, auf die hier kurz eingegangen Fazit
werden soll. Zusammenfassend kann also etwas recht Banales festgestellt
Behindern medizinische Datenschutzregeln die fortschrei- werden: Selbst wenn neue IT-Techniken die medizinische
tende Digitalisierung in Deutschland? Behandlung verbessern und Verwaltungsprozesse effizienter
Jein. Zum einen ist der Datenschutz nun mit der DSGVO werden können: Je mehr Akteure an den Entwicklungen betei-
eine europäische Angelegenheit. ligt sind, desto mehr Geduld ist gefragt.
Große Firmen, die europaweit im medizinischen IT-Markt Fachtagungen zum Thema helfen bei der Klärung zahlrei-
agieren, haben nun den Vorteil, dass sie in allen EU-Ländern cher Detailfragen, wie z.B. die Fachtagung “Datenschutz in der
gleiche Spielregeln vorfinden. Medizin-Update 2020“ am 4. Juni 2020 in Wiesbaden (Infor-
Zum zweiten setzt der Datenschutz gewünschten Zielen mationen unter esturias.de).
der sehr aktiven IT-Branche bei der Digitalisierung Grenzen,
Krankenhaus-IT Journal 01 /2020
015Titelstory
Datenschutz und Gesundheitsschutz stellt einen zentralen Datenschutzgrundsatz dar, für die der
Eine Großklinik versendet trotz entsprechender Hinweise immer Krankenhausbetreiber verantwortlich ist.
wieder Arztbriefe an falsche Adressen.1 Ungeschwärzte Pati- Im Ergebnis geht es dabei nicht darum, dem Klinikpersonal
entenunterlagen landen auf der Straße.2 Etwa 60 Prozent der Datenzugriffe zu verweigern, die es für eine effektive Behand-
Kliniken E-Mail- und Passwort-Kombinationen sollen im Darknet lung benötigt. Vielmehr sollen unbefugte Zugriffe im Rahmen
wiederzufinden sein.3 985 Beschäftigte eines Klinikums haben des technisch Möglichen erschwert werden. Um es ausdrück-
Zugriffsrechte in der Rolle eines Arztes, obwohl nur knapp 300 lich klarzustellen: Natürlich soll Klinikpersonal gerade in Not-
Ärzte angestellt sind4. Beschäftigte greifen aus Neugier auf die fallsituationen möglichst schnell und vollständig auf Patienten-
Behandlungsdaten Prominenter zu5. Aufgrund des Befalls von daten im Klinikinformationssystem zugreifen können. Allerdings
Schadsoftware6 müssen mehrere Kliniken ihre Klinik-IT-Systeme darf im digitalen Zeitalter dieser legitime Bedarf nicht dazu
tagelang vom Netz nehmen, neue Patienten können nicht mehr führen, dass Kliniken mehr oder weniger aus Bequemlichkeits-
aufgenommen und Operationen müssen verschoben werden.7 gründen grundlegende Datenschutz- und Datensicherheits-
Hackerangriffe und Schadsoftware erzeugen häufig derartige vorgaben gänzlich außer Acht lassen. Die eingangs genannten
mehrtägige Ausfälle der befallenen Klinik-IT, weil zu oft Klinik- Beispiele verdeutlichen, dass die zentralen datenschutzrechtli-
netzwerke immer noch nicht die von IT-Sicherheits- und Daten- chen Prinzipien Brandschutzmauern darstellen, die heutzutage
schutzbehörden geforderten Netzwerksegmentierung aufweisen, für eine stabile klinische Gesundheitsversorgung unabdingbar
die die Ausbreitung von Schadcode im eigenen Netz begrenzt. sind. Angesichts zahlreicher schwerwiegender Sicherheitsvor-
Häufig werden veraltete und unsichere Betriebssystem- und Soft- fälle wirkt es auf mich etwas skurril, wenn immer noch mantra-
wareversionen verwendet und keine ausreichenden Maßnahmen mäßig ein angeblich zu strenges Datenschutzreglement beklagt
zum Virenschutz umgesetzt. Die Zahl der bekannten Pannen und behauptet wird, dieses würde effektive Heilbehandlungen
bei Datensicherheit und Datenschutz in Kliniken nimmt mitt- verhindern. Das Gegenteil ist der Fall: Letztlich trägt die Ein-
lerweile dramatisch zu. Die Entwicklung allein in 2019 verdeut- haltung der zentralen datenschutzrechtlichen Prinzipien dazu
licht: Viele Krankenhäuser setzen zentrale datenschutzrechtli- bei, dass auch im Zeitalter der Datenvernetzung, App-Nutzung,
che und sicherheitstechnische Vorgaben nicht ausreichend um. elektronischer Patientenakten und KI eine flächendeckende
Nach der Datenschutz-Grundverordnung (EU) 2016/679 stabile Gesundheitsversorgung durch sichere und daten-
(DSGVO) dürfen personenbezogen Daten nur verarbeitet schutzgerechte IT-Systeme möglich bleibt.
werden, wenn es dafür eine Rechtsgrundlage gibt. Und schon Allerdings wäre es wünschenswert, wenn Krankenhäuser
die Möglichkeit des Zugriffs ist als Bereitstellung personen- mit ihrer datenschutzrechtlichen Verantwortlichkeit nicht allein
bezogener Daten eine solche schutzwürdige Verarbeitung im gelassen werden. Kliniken fehlt es oft weniger am guten Willen,
Sinne der DSGVO. Patientendaten sind überdies Gesundheits- sondern vielmehr an der hinreichenden finanziellen Ausstat-
daten, die nach Art. 9 DSGVO besonders zu schützen sind. Sie tung.8 Das gilt namentlich für kleinere Häuser, die nicht auf
werden auch strafrechtlich durch § 203 Strafgesetzbuch und wichtige Fördermittel für IT-Sicherheit zugreifen können. So
durch z.B. § 9 MBOÄ berufsrechtlich geschützt. manche kleine oder mittelgroße Klinik steht damit vor der Ent-
Zur Absicherung einer rechtskonformen Verarbeitung von scheidung, ob sie einen zweiten Server zur Absicherung des
Gesundheitsdaten verlangt das Datenschutzrecht gemäß Art. Klinik-Informationssystems oder ein zusätzliches MRT-Gerät
24, 25 und 32 DSGVO spezifische technisch-organisatorische anschaffen kann. Gegenwärtig dürften sich die meisten Kliniken
Schutzmaßnahmen auf mehreren Ebenen: Dies betrifft zum für das zusätzliche MRT-Gerät entscheiden. Noch.
einen die Basis-IT-Sicherheit der eingesetzten Netzwerke, Autor: Thomas Petri, Landesbeauftragter
Komponenten und Software, zum anderen auch die speziel- für Datenschutz in Bayern
len Anforderungen an ein datenschutzgerechtes Klinikinfor-
1 Vgl. NDR, Patientendaten an falsche Empfänger verschickt, Bericht vom 3.12.2019 (www.ndr.de). Alle
mationssystem. Hierzu gehört auch die beim Klinikpersonal zitierten online-Quellen wurden vom Autor zuletzt am 21.1.2020 abgerufen.
unbeliebte Beschränkung des Zugangs zu den personenbezo- 2 Auch in 2019. Siehe z.B. General-Anzeiger, Patientenakten in der Godesberger City entsorgt, vom 3.7.2019
(www.general-anzeiger-bonn.de), allerdings wohl bezogen auf eine Arztpraxis. Ähnliche Vorfälle, die auch
genen Daten innerhalb der verantwortlichen Stelle. Sie lässt Kliniken betrafen, veranlassten die beiden bayerischen Datenschutzbehörden im Jahr 2016 dazu, einen
sich vereinfacht durch das Need-to-Know-Prinzip ausdrücken. Leitfaden herauszugeben (BayLfD/LDA Bayern, Leitfaden: Auftragsverarbeitung bei der Aktenverwaltung in
Personal, das keinen Zugang zu den Daten haben muss, etwa bayerischen öffentlichen und nicht-öffentlichen Krankenhäusern; abrufbar unter www.datenschutz-bayern.de).
3 Vgl. GDV (Herausgeber), Branchenreport Cyberrisiken bei Ärzten und Apotheken, abrufbar unter www.
weil es nicht an der Behandlung der Patienten beteiligt ist, darf gdv.de.
insoweit auch keinen Zugang zu den Patientendaten erhal- 4 So angeblich ein portugiesisches Klinikum, gegen das laut Nachricht vom 23.10.2018 ein Bußgeld in Höhe
von 400.000 Euro verhängt wurde, vgl. https://www.datenschutz-recht-medizin.de/bussgeld-krankenhaus-dsgvo/
ten. Die Klinikverantwortlichen haben diese Beschränkung 5 Zu einem vergleichbaren Fall in den Niederlanden siehe https://www.datenschutz-recht-medizin.de/460000-
auf erforderliche Zugriffe im Rahmen von Berechtigungskon- euro-bussgeld-krankenhaus-wegen-datenschutzverstoss/.
6 Vgl. Der Landesbeauftragte für Datenschutz Rheinland-Pfalz, Aktueller Sicherheitsvorfall zeigt Verwundbarkeit
zepten sicherzustellen. Sie sind ein elementarer Baustein des von Krankhaus-IT, Pressemitteilung vom 19.7.2019.
technisch-organisatorischen Datenschutzes und eine zentrale 7 Vgl. z.B. www.dhpg.de, Emotet: Klinikum, Uni und Onlineshops gehackt, abrufbar unter www.dhpg.de;
Bayerischer Rundfunk, Klinikum Fürth wurde Opfer von Trojaner "Emotet", abrufbar unter www.
Voraussetzung für den Schutz der Integrität und Vertraulichkeit br.de (Bericht
vom 20.12.2019), Klinikum Fürstenfeldbruck, abrufbar www.heise.de (Bericht vom 16.11.2018).
von Patientendaten. Der Schutz vor unbefugter Verarbeitung
Krankenhaus-IT Journal 01 /2020
016health
Wir digitalisieren
und entwickeln
Unternehmen
GESUNDHEITSWESEN
Im Zeitalter der Digitalisierung stehen Klinik-Einrichtungen vor großen
Herausforderungen. Ärzte und Pflegekräfte müssen in ihrer täglichen Arbeit optimal
unterstützt werden. Bezüglich der Digitalisierung gilt es, Rahmenbedingungen zu
beachten und kreative Lösungen zu entwickeln. Hier setzt die birkle IT AG an, indem wir
unsere Kunden beraten und gemeinsam mit ihnen intelligente Lösungen finden.
IT-Beratung von der Analyse über die Implementierung bis zur Umsetzung
Digitalisierung von Prozessen in der Medizin und Verwaltung
KI-basierte Software-Lösungen für Input-Management (Auslesen von Dokumenten etc.)
Evaluation und Ablösung von Alt-/Bestandssystemen
Data Warehousing und Business Intelligence
Individuelle Software-Lösungen (Cloud-Systeme, OCR/ICR etc.)
…
Martin von Hummel
CEO der ATOS - Klinikgruppe
“Die birkle IT AG hat als Spezialist in der Digitalisierung durch Innovationskraft, Agilität, Wirtschaftlichkeit und eine
ebenso unkomplizierte Zusammenarbeit von Anfang an überzeugt. Die ersten Entwicklungen mit dem digitalen
Patientenfragebogen mit Dashboard sind bereits nach kurzer Zeit produktiv und ersetzen vollständig das Papier.“
Leopoldstraße 16
Telefon: +49 89 413251156 E-Mail: info@birkle-it.com
80802 MünchenTitelstory
Datenschutzmanagement
im Krankenhaus
Die Datenschutzgrundverordnung Vereinfacht dargestellt muss grundsätzlich gewährleistet wer-
den, dass nur die Personen Zugriff auf Patientendaten erhalten,
(DSGVO) ist nunmehr seit über eineinhalb die diese unmittelbar zur Aufgabenerfüllung benötigen (need
Jahren wirksam. Die meisten Kranken- to know Prinzip). Datenzugriffe im Rahmen der Aufnahme und
hausbetreiber sollten sich mittlerweile Behandlung müssen klar geregelt sein, wobei z.B. auch zwi-
schen Verwaltungs-, Pflegepersonal- und Arztzugriffen unter-
mit den wichtigsten Punkten der DSGVO schieden werden muss. Außerdem sollten sämtliche Lese- und
auseinandergesetzt und bestenfalls ein Schreibzugriffe protokolliert sowie anlassbezogen überprüft
Datenschutzmanagementsystem mit klarer werden. Sofern übergreifende Notfallzugriffe eingerichtet wer-
den, sollten diese nicht nur anlassbezogen, sondern regelmäßig
Aufgabenverteilung und festen Prozessen überprüft werden. Behandelt das Krankenhaus Personen
etabliert haben. von öffentlichem Interesse oder eigene Mitarbeiter, muss der
Zugriff auf die Patientendaten ggf. weiter eingeschränkt wer-
den können. Es muss zudem geregelt werden, wie die Daten
Hohes Bußgeldrisiko wird konkret nach Abschluss des Behandlungsfalls eingeschränkt und wann
Im Rahmen eines wirksamen Datenschutzmanagements ist sie gelöscht werden. Darüber hinaus müssen Prozesse exis-
nicht nur ein kontinuierlicher Verbesserungsprozess erforder- tieren, die dafür sorgen, dass ausgeschiedenes Personal keine
lich. Es bedarf zusätzlich auch der Einsicht der Entscheidungs- Zugriffsrechte mehr besitzt.
träger, dass die Einhaltung der Anforderungen der DSGVO
mit dem Bereitstellen nicht unerheblicher zeitlicher, perso- Konkrete Fälle
neller und finanzieller Ressourcen einhergeht. Wird dies nicht Wie schwer die Umsetzung der differenzier ten Anforde-
erkannt, drohen hohe Risiken: Erst vor kurzem haben die rungen an das Krankenhausinformationssystem ist, bzw. wie
Datenschutzaufsichtsbehörden ein „Konzept zur Bußgeldzu- schlecht einige Krankenhäuser aufgestellt sind, zeigen insbe-
messung“ (https://www.datenschutz.rlp.de/fileadmin/lfdi/Kon- sondere die folgenden in der Presse öffentlich gewordenen
ferenzdokumente/Datenschutz/DSK/Bussgeldkonzept_DSK. Verfahren:
pdf) vorgelegt, wonach Bußgelder künftig am konzernweiten ■■ Gegen ein Krankenhaus in den Niederlanden wurde
Umsatz bemessen werden sollen. In der Praxis führt dies dazu, ein Bußgeld in Höhe von 460.000 € erlassen, da die
dass bei großen Einrichtungen selbst kleine Verstöße zu Buß- Leserechte nicht hinreichend eingeschränkt und die
geldern in Millionenhöhe führen können. Zugriffe auf Patientendaten nicht durch eine Zwei-Fak-
tor-Authentisierung abgesichert worden sind. Im konkre-
Krankenhausinformationssystem ten Fall hatten mehrere Mitarbeiter unbefugt auf Patien-
Auch die Überprüfung der Krankenhaus-IT muss vor diesem tendaten einer prominenten Person zugreifen können.
Hintergrund betrachtet werden. Es darf u.a. die Frage gestellt
werden, ob die eingesetzte Software die Anforderungen der ■■ Gegen ein Krankenhaus in Portugal wurde ein Bußgeld
DSGVO erfüllt, also z.B. ob diese angemessen sicher ist, über in Höhe von 400.000 € verhängt, nachdem die Aufsichts-
die geforderten Funktionen verfügt und diese Funktionen auch behörde feststellte, dass über 900 aktive Nutzer mit der
richtig genutzt werden. Momentan scheint dabei insbesondere Rolle „Arzt“ registriert waren, obwohl das Krankenhaus
das Krankenhausinformationssystem (KIS) von Aufsichtsbehör- nur knapp 300 Ärzte beschäftigte.
den in den Fokus genommen zu werden. Hier gelten in der
Praxis sehr hohe Anforderungen, welche durch die Aufsichts- Dass die Bußgelder auch in Deutschland grundsätzlich hoch
behörden bereits im Jahr 2014 in der sogenannten „OHYPER- ausfallen würden, zeigt ein Fall aus Rheinland-Pfalz. Hier wurde
LINK "https://www.datenschutzzentrum.de/uploads/medizin/ ein Bußgeld in Höhe von 105.000 € verhängt, nachdem eine
OH_KIS.pdf"rientierungshilfe HYPERLINK "https://www.daten- Patientenverwechslung im Rahmen der Aufnahme systemati-
schutzzentrum.de/uploads/medizin/OH_KIS.pdf"KIS“ (https:// sche Fehler offenbarte.
www.datenschutzzentrum.de/uploads/medizin/OH_KIS.pdf)
konkretisiert wurden.
Krankenhaus-IT Journal 01 /2020
018Sie können auch lesen
