Skip to main content
Skip to main navigation
Skip to footer

von Till Berger
veröffentlicht am 18.07.2017

Was die EU-Datenschutzgrundverordnung für Krankenhäuser bedeutet

Einhergehend mit der Digitalisierung und fortschreitenden Vernetzung im Gesundheitswesen müssen sich Krankenhäuser zunehmend mit Datenschutz und Datensicherheit befassen. Neue Gesetze, wie das 2015 in Kraft getretene IT-Sicherheitsgesetz und das 2016 in Kraft getretene E-Health-Gesetz, haben auch Konsequenzen für das Gesundheitswesen und alle medizinischen Bereiche.

Aktuell steht die neue EU-Datenschutzgrundverordnung (DSGVO) vor der Tür. Nach mittlerweile fünf Jahren sollen ab Mai 2018 die EU-weit geltenden Datenschutzstandards endgültig Anwendung finden. Die DSGVO ist die Antwort auf den digitalen Wandel und soll den Schutz des Bürgers, seiner Privatsphäre und seiner persönlichen Daten gewährleisten. Die bisher geltende Datenschutzrichtlinie von 1995 wird abgelöst – und damit zum Teil auch der Flickenteppich aus einer Vielzahl an nationalen Datenschutzregelungen innerhalb der EU.

Die DSGVO ersetzt als direkt anwendbares Recht nationales Datenschutzrecht. Allerdings bieten sogenannte „Öffnungsklauseln“ die Möglichkeit, bereichsbezogen auch abweichende, teils sogar strengere nationale Regelungen zu erlassen. Eine solche Öffnungsklausel erlaubt es beispielsweise, dass Mitgliedsstaaten eigene – auch strengere – Regeln für die Verarbeitung von Gesundheitsdaten festlegen. Es bleibt abzuwarten, wie Deutschland diese Freiheiten umsetzt. Dies gilt insbesondere auch für unsere landesrechtlichen Datenschutzregularien, z. B. in Landeskrankenhausgesetzen.

In Deutschland gelten neben der DSGVO gleichzeitig die 16 Landesdatenschutzgesetze, die Datenschutzverordnungen der evangelischen und katholischen Kirche sowie das Bundesdatenschutzgesetz, insgesamt also 20 gleichzeitige Regelungen.

Worauf müssen sich Krankenhäuser einstellen?

Für Krankenhäuser wird vor allem das Thema Auftragsdatenverarbeitung (ADV) wichtig. Krankenhäuser müssen sich darauf einstellen, dass sie besser als bisher über die Verarbeitung von personenbezogenen Daten bzw. Patientendaten Auskunft geben müssen. Die Einrichtungen sollten entsprechend ihre Verträge mit Partnern prüfen und gegebenenfalls anpassen. Die DSGVO stellt zudem klar, dass bei Einhaltung der grundsätzlichen Regeln zum Datentransfer eine ADV auch außerhalb der EU stattfinden kann.

Zudem müssen sich Krankenhäuser auf mehr Dokumentationspflichten einstellen. Die Einwilligung des Patienten in die Nutzung seiner Daten erhält beispielsweise mehr Bedeutung und muss beweispflichtig dokumentiert werden. Bisher waren Inhalt und Form korrekter Einwilligungen umstritten und kontrovers diskutiert. Die DSGVO bestimmt, dass nur eine „[…] in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, […]“ wirksam ist.

Einrichtungen sollten auch ihr IT-Konzept überprüfen und anpassen. Gerade die letzten Monate haben gezeigt, wie schnell ein Krankenhaus Opfer eines Hackerangriffs werden kann. Diese Prozesse beziehen sich aber nicht nur auf den Schutz nach außen, sondern auch nach innen: Was passiert bei Datenverlust? Wer hat bei einem solchen Fall welche Aufgaben? Wie sehen Daten-Portabilität und Löschungskonzepte aus? Krankenhäuser sollten diese Prozesse gegebenenfalls neu organisieren und standardisieren.

Wie bereitet sich Cerner auf die Umsetzung der DSGVO vor?

Direkt nach der offiziellen Einführung der DSGVO hat Cerner ein Compliance-Programm erarbeitet, das die strukturierte Implementierung der neuen Anforderungen der DSGVO in die eigenen IT-Lösungen fristgerecht sicherstellt. Gleichzeitig wird Cerner Geschäftsprozesse wo nötig an die DSGVO angleichen.

Die IT-Lösungen sind so gestaltet, dass sie ein hohes Maß an Sicherheit ermöglichen. Cerner berät die Kunden bei ihrer Verpflichtung gegenüber Betroffenen, etwa Zugriffskontrollen oder -berechtigungen. Zudem kann Cerner bei der Daten-Portabilität unterstützen und seine Lösungen individuell nach den dokumentierten Weisungen der Kunden anpassen.

Auf Prozessebene unterstützt Cerner die Auditrechte der Kunden durch transparente Geschäftsprozesse. Schon jetzt stellt Cerner höchste Ansprüche an die Sublieferanten und ist nach dem EU-US Privacy Shield zertifiziert.

Cerner berät seine Kunden außerdem bei der Erfüllung ihrer organisatorischen Verpflichtungen, z. B. im Hinblick auf die Datensicherheit, Meldung von Daten- schutzvorfällen und Datenschutzfolgeabschätzungen.

Für Fragen zur DSGVO wenden Sie sich gern an unsere Datenschutzbeauftragten Jana Fuchs und Andrea Hohmann.

Ade Excel-Listen – Servus MetaHMS!

von Till Berger
15.10.2018
Anfang 2017 startete die Klinik Mühldorf am Inn mit der Implementierung des Infektionspräventions- und Surveillancesystems (IPSS/MetaHMS) von Cerner. Derzeit arbeitet das Projektteam an einer letzten Herausforderung: Die Einrichtung der Schnittstellen zwischen dieser IT-Lösung und dem externen Laborsystem. Die Hygienefachkräfte auf den Stationen können bereits erste Funktionen von MetaHMS testen und sind sehr zufrieden mit den Ergebnissen. Die Lösung soll helfen, Infektionen früher zu erkennen, standardisierte Hygienemaßnahmen frühzeitig anzuwenden und klinikweit gesammelte Daten in einer Lösung zusammenzuführen. Der Go-live ist für Mitte dieses Jahres geplant. Dann heißt es: „Ade Excel-Listen!“

Von Prozessen und digitalen Akten

von Norbert Neumann
10.10.2018
Das Klinikum Lippe, mit 1.198 Planbetten an drei Standorten eines der größten kommunalen Krankenhäuser Deutschlands, setzte in den letzten Jahren ein Projekt zur Digitalisierung und Langzeitarchivierung der Dokumentation um. Ein zentraler Punkt dabei war die forensische Güte des digitalen Archivs, die der eines konventionellen Papierarchivs gleichwertig sein sollte.

Gerüstet für die Zukunft

von Carsten Emmerling
04.10.2018
„Wir haben Ihre Patientendaten!“, ist so ziemlich das Letzte, was ein Krankenhausbetreiber in einer E-Mail lesen will. Und doch ist es bitterer Ernst. Laut der Roland Berger Krankenhausstudie 2017 wurden 64 Prozent der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs.

Ein individuelles Pflegeprozessmanagement von der Stange

von Norbert Neumann
18.09.2018
Die FEK – Friedrich-Ebert-Krankenhaus Neumünster GmbH (FEK) legt großen Wert auf eine qualitativ hochwertige Patientenversorgung und möglichst individuelle Pflege. Um das Pflegepersonal dabei bestmöglich zu unterstützen, setzt man in der Klinik auf ein IT-unterstütztes Pflegeprozessmanagement und Standards für die Basispflege. Innerhalb von rund 1 ¼ Jahren wurde die Lösung auf fast allen Abteilungen ausgerollt und erfreut sich beim Pflegepersonal steigender Beliebtheit.