Was die EU-Datenschutzgrundverordnung für Krankenhäuser bedeutet

Einhergehend mit der Digitalisierung und fortschreitenden Vernetzung im Gesundheitswesen müssen sich Krankenhäuser zunehmend mit Datenschutz und Datensicherheit befassen. Neue Gesetze, wie das 2015 in Kraft getretene IT-Sicherheitsgesetz und das 2016 in Kraft getretene E-Health-Gesetz, haben auch Konsequenzen für das Gesundheitswesen und alle medizinischen Bereiche.

Aktuell steht die neue EU-Datenschutzgrundverordnung (DSGVO) vor der Tür. Nach mittlerweile fünf Jahren sollen ab Mai 2018 die EU-weit geltenden Datenschutzstandards endgültig Anwendung finden. Die DSGVO ist die Antwort auf den digitalen Wandel und soll den Schutz des Bürgers, seiner Privatsphäre und seiner persönlichen Daten gewährleisten. Die bisher geltende Datenschutzrichtlinie von 1995 wird abgelöst – und damit zum Teil auch der Flickenteppich aus einer Vielzahl an nationalen Datenschutzregelungen innerhalb der EU.

Die DSGVO ersetzt als direkt anwendbares Recht nationales Datenschutzrecht. Allerdings bieten sogenannte „Öffnungsklauseln“ die Möglichkeit, bereichsbezogen auch abweichende, teils sogar strengere nationale Regelungen zu erlassen. Eine solche Öffnungsklausel erlaubt es beispielsweise, dass Mitgliedsstaaten eigene – auch strengere – Regeln für die Verarbeitung von Gesundheitsdaten festlegen. Es bleibt abzuwarten, wie Deutschland diese Freiheiten umsetzt. Dies gilt insbesondere auch für unsere landesrechtlichen Datenschutzregularien, z. B. in Landeskrankenhausgesetzen.

In Deutschland gelten neben der DSGVO gleichzeitig die 16 Landesdatenschutzgesetze, die Datenschutzverordnungen der evangelischen und katholischen Kirche sowie das Bundesdatenschutzgesetz, insgesamt also 20 gleichzeitige Regelungen.

Worauf müssen sich Krankenhäuser einstellen?

Für Krankenhäuser wird vor allem das Thema Auftragsdatenverarbeitung (ADV) wichtig. Krankenhäuser müssen sich darauf einstellen, dass sie besser als bisher über die Verarbeitung von personenbezogenen Daten bzw. Patientendaten Auskunft geben müssen. Die Einrichtungen sollten entsprechend ihre Verträge mit Partnern prüfen und gegebenenfalls anpassen. Die DSGVO stellt zudem klar, dass bei Einhaltung der grundsätzlichen Regeln zum Datentransfer eine ADV auch außerhalb der EU stattfinden kann.

Zudem müssen sich Krankenhäuser auf mehr Dokumentationspflichten einstellen. Die Einwilligung des Patienten in die Nutzung seiner Daten erhält beispielsweise mehr Bedeutung und muss beweispflichtig dokumentiert werden. Bisher waren Inhalt und Form korrekter Einwilligungen umstritten und kontrovers diskutiert. Die DSGVO bestimmt, dass nur eine „[…] in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, […]“ wirksam ist.

Einrichtungen sollten auch ihr IT-Konzept überprüfen und anpassen. Gerade die letzten Monate haben gezeigt, wie schnell ein Krankenhaus Opfer eines Hackerangriffs werden kann. Diese Prozesse beziehen sich aber nicht nur auf den Schutz nach außen, sondern auch nach innen: Was passiert bei Datenverlust? Wer hat bei einem solchen Fall welche Aufgaben? Wie sehen Daten-Portabilität und Löschungskonzepte aus? Krankenhäuser sollten diese Prozesse gegebenenfalls neu organisieren und standardisieren.

Wie bereitet sich Cerner auf die Umsetzung der DSGVO vor?

Direkt nach der offiziellen Einführung der DSGVO hat Cerner ein Compliance-Programm erarbeitet, das die strukturierte Implementierung der neuen Anforderungen der DSGVO in die eigenen IT-Lösungen fristgerecht sicherstellt. Gleichzeitig wird Cerner Geschäftsprozesse wo nötig an die DSGVO angleichen.

Die IT-Lösungen sind so gestaltet, dass sie ein hohes Maß an Sicherheit ermöglichen. Cerner berät die Kunden bei ihrer Verpflichtung gegenüber Betroffenen, etwa Zugriffskontrollen oder -berechtigungen. Zudem kann Cerner bei der Daten-Portabilität unterstützen und seine Lösungen individuell nach den dokumentierten Weisungen der Kunden anpassen.

Auf Prozessebene unterstützt Cerner die Auditrechte der Kunden durch transparente Geschäftsprozesse. Schon jetzt stellt Cerner höchste Ansprüche an die Sublieferanten und ist nach dem EU-US Privacy Shield zertifiziert.

Cerner berät seine Kunden außerdem bei der Erfüllung ihrer organisatorischen Verpflichtungen, z. B. im Hinblick auf die Datensicherheit, Meldung von Daten- schutzvorfällen und Datenschutzfolgeabschätzungen.

Für Fragen zur DSGVO wenden Sie sich gern an unsere Datenschutzbeauftragten Jana Fuchs und Andrea Hohmann.