Bedingung für die Förderung digitaler Vorhaben nach dem Krankenhauszukunftsgesetz ist die Einhaltung datenschutzrechtliche Vorgaben. Wir haben die TOP5 Themen zusammengefasst.
Das Krankenhauszukunftsgesetz (KHZG) soll die Digitalisierung im Krankenhaussektor vorantreiben. Zu den förderungsfähigen Vorhaben zählen beispielsweise Patientenportale für das digitale Aufnahme- und Entlassmanagement, die automatisierte und sprachbasierte Dokumentation von Behandlungs- und Pflegeleistungen sowie das digitale Medikationsmanagement. Dieses Digitalisierung-Update der Krankenhäuser soll der Versorgung und damit der Sicherheit der Patienten dienen. Die Sicherheit umfasst hierbei nicht nur das gesundheitliche Wohlbefinden, sondern auch den Schutz der Gesundheitsdaten der Patienten: Digitale Vorhaben der Krankenhäuser sind nämlich nur dann förderungsfähig, wenn datenschutzrechtliche Vorschriften eingehalten werden. Die Datenschutz-Compliance im Krankenhausbereich wird damit zur Stellschraube für die finanzielle Förderung. Denn der Datenschutz wirft in der Praxis komplexe rechtliche Fragestellungen auf. Die datenschutzrechtlichen Regelungen für die Verarbeitung von Gesundheitsdaten in Krankenhäusern finden sich nämlich nicht nur in unterschiedlichen Bundesgesetzen (z.B. DSGVO, BDSG, SGB V), sondern auch verteilt in den Krankenhaus- und Psychiatriegesetzen der Länder.
Da die datenschutzrechtliche Compliance im KHZG für digitale Projekte ausdrücklich als Förderungsbedingung vorgesehen ist, muss auch der Förderungsantrag der Krankenhäuser eine entsprechende Erklärung enthalten.
Vor diesem Hintergrund haben wir unsere TOP-5 Datenschutz-Themen im Bereich der Krankenhaus-Digitalisierung zusammengefasst:
1. Patientendaten in der Cloud: es kommt darauf an …
… über welches Bundesland wir sprechen. Die datenschutzrechtlichen Regelungen zum Umgang mit Cloud-Systemen sind nämlich für den Krankenhausbereich stark fragmentiert. Während in einigen Bundesländern die allgemeinen Vorgaben der Datenschutzgrundverordnung (DSGVO) Anwendung finden, sehen andere in Landeskrankenhausgesetze wiederum besondere Regelungen für den Einsatz von Cloud-Anbietern als Auftragsverarbeiter vor. Besonders streng sind hier Bayern und Sachsen: So darf für die Auslagerung von Patientendaten nur ein anderes Krankenhaus als Auftragsverarbeiter eingesetzt bzw. es muss erst die Zustimmung der Datenschutzbehörde eingeholt werden. Die uneinheitlichen datenschutzrechtlichen Landesregelungen stellen für den Einsatz digitaler (Cloud-)Lösungen im Krankenhaussektor daher derzeit die größte Hürde dar. Um die Digitalisierung in diesem Bereich voranzutreiben und einheitliche Standards für die Sicherheit der Patientendaten zu schaffen, ist der Gesetzgeber gefragt.
Dass es anders geht, hat sich bereits im Rahmen der COVID-19 Pandemie gezeigt: Um Verzögerungen und Aufwände bei der Konzeptionierung von Forschungsprojekten aufgrund der fragmentarischen Datenschutzregelungen zu vermeiden, richten sich länderübergreifende Forschungsvorhaben von nun an „nur“ noch nach den Regelungen des Bundesdatenschutzgesetzes (vgl. § 287a SGB V). Ein höchst erfreulicher Ansatz, der für Digitalisierungsvorhaben mit Patientendaten im Krankenhausbereich (noch) aussteht.
Und als ob das Datenschutzrecht hier nicht schon komplex genug wäre, tritt beim Thema „Cloud“ auch noch das Strafrecht hinzu. Das Stichwort lautet „ärztliche Schweigepflicht“ nach § 203 StGB. Die Übermittlung von dem ärztlichen Berufsgeheimnis unterliegenden Patientendaten an Cloud-Anbietern ist nämlich nur unter engen Voraussetzungen zulässig.
2. Datenschutzfolgenabschätzungen: ohne geht es nicht
Plattformen für Patienten, digitale Unterstützung zur Medikation oder automatisierte Behandlungsdokumentation: all diese Vorhaben haben gemein, dass besonders geschützte gesundheitsbezogene Daten verarbeitet werden. Aus diesem Grund finden sich Telemedizin-Lösungen auch auf der „Black List“ der deutschen Datenschutzbehörden nach Art. 35 Abs. 4 DSGVO. Für die auf der Liste angeführten Verarbeitungsvorgänge ist eine Datenschutzfolgenabschätzung verpflichtend. Ein konkreter Anwendungsfall für derartige Telemedizin ist die Videotelefonie im Arzt-Patient-Verhältnis mittels einer App-Anwendung.
Für die Förderung digitaler Vorhaben mit Patientenbezug nach dem KHZG ist daher die Datenschutz-Dokumentation in Form einer Datenschutzfolgenabschätzung stets zu bedenken.
3. Vorsicht bei der Auswahl der Dienstleister
Viele Anbieter innovativer Technologien, die im Bereich förderungsfähiger digitaler Produkte tätig sind, sitzen im europäischen oder nicht europäischen Ausland. Hierbei ist im Rahmen der datenschutzrechtlichen Bewertung eines Anbieters zu beachten, ob Datentransfers zu diesem stattfinden. Dies kann schon der Fall sein, wenn personalisierte Zugangsdaten verwendet werden oder eine Wartung des Digitalprodukts durch den Anbieter erfolgt. Besondere Vorsicht ist geboten, wenn der Anbieter (auch nur theoretisch) Zugriff auf Patientendaten und Gesundheitsdaten nehmen kann. In jedem Fall ist bei einem möglichen Datenzugriff eine vertragliche Vereinbarung zum Datenschutz erforderlich. Zusätzlicher Aufwand muss betrieben werden, wenn der Anbieter oder einer der Unterauftragnehmer des Anbieters im nicht europäischen Ausland sitzt. In diesem Fall ist eine Prüfung des Datenschutzniveaus in dessen Sitzland unerlässlich. Gegebenenfalls müssen sog. Standardvertragsklauseln abgeschlossen werden. Hierbei ist zu beachten, dass auch bei Abschluss dieser Standardvertragsklauseln nach aktueller Rechtsprechung des EuGH unter Umständen kein ausreichendes Datenschutzniveau hergestellt ist und weitere technische oder organisatorische Maßnahmen ergriffen werden müssen. Die Krankenhäuser und Anbieter, die einen internationalen Datentransfer planen, sollten beachten, dass die EU Kommission im kommenden Jahr neue Standardvertragsklauseln veröffentlichen wird, die bereits jetzt im Entwurf vorliegen.
4. Automatisierte Entscheidungsfindung
Nach dem KHZG ausdrücklich förderungswürdig ist die Einrichtung teil- oder vollautomatisierter klinischer Entscheidungsunterstützungssysteme, die klinische Leistungserbringer mit dem Ziel der Steigerung der Versorgungsqualität bei Behandlungsentscheidungen durch automatisierte Hinweise und Empfehlungen unterstützen. Hierbei ist im Hinblick auf das jeweilige System zu prüfen, ob es sich gegebenenfalls um eine automatisierte Entscheidungsfindung im Einzelfall handelt, die nach Art. 22 DSGVO nur unter bestimmten Einschränkungen angewendet werden darf. Möglicherweise greift hier ein Einwilligungsvorbehalt und ist der Verantwortliche verpflichtet weitere Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen des Patienten zu treffen.
5. Allgemeine Datenschutz-Compliance
Schließlich wird für die Förderungsfähigkeit der neuen Digitalisierungsprojekte auch die Dokumentation der allgemeinen Datenschutz-Compliance erforderlich sein. Insofern müssen die Anforderungen an Rollen- und Berechtigungskonzepte sowie Löschkonzepte, wiederum unter Berücksichtigung landesrechtlicher Regelungen, erfüllt und im Hinblick auf die neuen zu fördernden Projekte angepasst werden. Auch Datenschutzhinweise für Mitarbeiter und Patienten müssen erstellt bzw. überarbeitet werden. Die Einbeziehung des betrieblichen Datenschutzbeauftragten und ein Update des Verarbeitungsverzeichnisses gehören ebenfalls zu den Hausaufgaben, die Krankenhäuser im Hinblick auf die nach dem KHZG förderungsfähigen Digitalprojekte zu erledigen haben.
