Patientendaten sind besonders sensible Daten. Deshalb ist die Vertraulichkeit nach Außen für das Krankenhaus ein strenges Gebot. Die Krankenhäuser haben dafür zu sorgen, dass nicht jeder Beschäftigte auf alle Patientendaten zugreifen kann. Vielmehr gilt das Prinzip: Jeder darf nur auf solche Daten zugreifen, die er für seine Aufgaben benötigt. Außerdem muss das Grundprinzip „Keine Datenverarbeitung ohne Erlaubnis“ gelebt werden. Ein weiterer Grundsatz ist die Zweckbindung: Daten sollen nur für definierte Zwecke erhoben und verarbeitet werden. Diese Regeln reichen der Berliner Stadtpolitik allerdings nicht. Der Berliner Senat (Landesregierung) plant stattdessen gesetzlich „aufzusatteln“.
Beispiel: § 24 Absatz 7 Berliner Krankenhausgesetz wurde aufgrund von Protesten aus der Branche bis zum 30.09.2022 zeitlich befristet zwar außer Kraft gesetzt, droht nun aber in wenigen Wochen Geltung zu erlangen. Was bedeutet das?
In diesem Paragrafen wird die Auftragsverarbeitung für Berliner Krankenhäuser geregelt. So ist dort unter anderem zu lesen, dass Berliner Kliniken die Datenverarbeitung von „genetischen Daten und Gesundheitsdaten“ nur an externe Dienstleister geben dürfen, wenn diese „der gleichen Unternehmensgruppe“ oder zu einem anderen Krankenhaus gehören. Das Zurückgreifen auf Expertenwissen der Hersteller oder spezialisierter Dienstleister (das Wissen bezieht sich oftmals auch auf Datenschutz und IT-Sicherheit) wird damit unmöglich. Das Vorhalten dieses Know Hows ist für viele Krankenhäuser alleine ob der Vielzahl an verschiedenen Anwendungen und IT-Systeme kaum möglich.
Der eigentliche Widerspruch, die eigentliche Posse, besteht zum Krankenhauszukunftsgesetz (KHZG). Mit diesem Fördergesetz von Bund und Ländern sollten gerade Krankenhäuser digital fit, sicher und datenschutzkonform aufgestellt werden. Bemerkenswert: Das Land Berlin plant Projekte im Rahmen des KHZG mit 60 Mio. Euro Eigenmitteln zu fördern. Die Gelder sollen im Sommer bewilligt werden. Im Herbst werden dann aber geförderte Projekte wieder eingestampft werden müssen, weil sie dann dem Berliner Datenschutzgesetz widersprechen. „Das erscheint skurril und schreit nach einer pragmatischen Lösung im Sinne aller Akteure des Gesundheitswesens. Außerdem geht es um einen effizienten Finanzmitteleinsatz. Auch scheint die Verbesserung von Verfügbarkeit, Integrität und Vertraulichkeit ohne Expertenwissen noch schwieriger zu werden“, betont Dr. Jörn Voßbein.
Übrigens: Die Position der Berliner Datenschützer lautet: Die Einschränkungen in Paragraf 24 Abs. 7 sollen verhindern, dass global agierende externe Dienstleister mit der Auftragsverarbeitung betraut werden. Die Einschränkungen betreffen aber gleichermaßen europäische, deutsche und auch Berliner Dienstleister.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de