Krankenhaus-Datenschutz
Alles in die Cloud?
Die DigitalisierungDigitalisierung erfreute sich nicht nur als Thema im Bundestagswahlkampf 2021 großer Beliebtheit. Sie ist vom Bund für den KrankenhausbereichKrankenhausbereich bereits im Jahr 2020 zum Anlass genommen worden, den Krankenhauszukunftsfond mit einem Fördervolumen von bis zu 4,3 Milliarden Euro aufzusetzen. Das Ziel dieser Milliardenförderung ist die Vernetzung des Gesundheitssektors und damit die Verbesserung der Patientenversorgung, beispielsweise mittels digitaler Aufnahme- und Entlassprozesse oder sprachbasierter Patientendokumentation. Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Gesundheit
Die Datenschutzkonformität eines solchen Vorhabens ist Voraussetzung für dessen Förderungsfähigkeit. Und damit kommen wir zum Kern des Problems: Wie lassen sich digitale - zum Großteil Cloud-basierte - Vorhaben im Krankenhausbereich überhaupt mit dem derzeitigen Rechtsrahmen in Deutschland datenschutzkonform umsetzen?
Lesetipp: CIO des Jahres - Uniklinikum Frankfurt: Wie aus Wissen Gesundheit wird
Fragmentierte (landesrechtliche) Regelungen
Es stellt sich zunächst die Frage, welche datenschutzrechtlichen Regelungen überhaupt Anwendung finden. Insoweit kommt es nämlich nicht auf das konkrete Vorhaben an, sondern darauf, wer Träger des jeweiligen Krankenhauses ist. Abhängig davon, ob das Krankenhaus in staatlicher, privater oder kirchlicher Trägerschaft ist, müssen neben der Datenschutz-Grundverordnung (DSGVODSGVO) und Bundesgesetzen (z. B. Bundesdatenschutzgesetz, BDSG) auch die jeweiligen Landesdatenschutz- oder Landeskrankenhausgesetze sowie weiteres spezielles Landesgesetz beachtet werden. Alles zu DSGVO auf CIO.de
Je nach Einrichtung kommen weitere, noch speziellere datenschutzrechtliche Vorgaben hinzu. Beispiele dafür sind:
Landesgesetze für psychiatrische Einrichtungen oder den Maßregelvollzug,
Berufsordnungen der Ärzte
Auf Bundesebene spezielle Vorgaben aus:
dem Sozialgesetzbuch V (SGB V),
dem Strafgesetzbuch (z.B. ärztliche Schweigepflicht / Arztgeheimnis)
Mehr die IT-Sicherheit als den DatenschutzDatenschutz betreffend: Alles zu Datenschutz auf CIO.de
BSI-Gesetz,
BSI-KRITIS-Verordnung
(neu) dem Patientendaten-Schutz-Gesetz
Der Umstand, dass die Hierarchien und Anwendungsvorränge zwischen DSGVO, BDSG und den zum Teil stark fragmentierten landesrechtlichen Vorgaben nicht aufeinander abgestimmt sind, führt in diesem Bereich nicht wirklich zu einer Rechtssicherheit.
- Holger Witzemann, AOK Systems
Holger Witzemann ist seit Mai 2016 Geschäftsführer der AOK Systems. Der Diplom-Ingenieur für Technische Informatik war vorher Geschäftsführer im Bitmarck-Konzern in Essen, einem IT-Anbieter für Betriebs-, Innungs- und Ersatzkassen sowie die DAK-Gesundheit und weitere Ersatzkassen. Witzemann verantwortet nun die Softwareentwicklung für die gesamte AOK-Gemeinschaft, die BARMER, die BKK Mobil Oil, die VIACTIV Krankenasse und die Hanseatische Krankenkasse. - Stefan Henkel, Siemens Healthineers
Stefan Henkel ist CIO von Siemens Healthineers. Stefan Henkel absolvierte sein Studium in Wirtschaftswissenschaften an der Universität Bamberg, wo er ebenfalls seine Promotion abschloss. Nach Stationen als Lehrbeauftragter und selbstständiger IT-Berater, startete er im Jahr 1996 seine berufliche Laufbahn bei Siemens Management Consulting in München. Bereits 1997 übernahm er die Leitung der Supply Chain Beratung im Bereich Corporate Procurement and Logistics. Nach weiteren leitenden Positionen in verschiedenen Abteilungen wechselte er 2006 in den Bereich Customer Services der Healthcare-Sparte. Dort verantwortete er weltweit "Product Support" und den "Siemens Remote Service". Nachdem er ein unternehmensweites Transformationsprojekt erfolgreich leitete, übernahm Stefan Henkel 2011 die Position des Leiters für Customer Relationship Management Operations. Daraufhin übernahm er die Verantwortung als Leiter der IT und seit 2018 besetzt Stefan Henkel die Position des CIO von Siemens Healthineers. - Hans-Ulrich Prokosch, Uniklinikum Erlangen
Hans-Ulrich Prokosch ist CIO am Uniklinikum Erlangen und Inhaber des Lehrstuhls für Medizinische Informatik an der Universität Erlangen-Nürnberg. Bis 2003 war er Professor für Medizinische Informatik an der Universität Münster. Prokosch hat Mathematik studiert, dann einen Doktor in Humanbiologie gemacht und sich anschließend im Fach Medizinische Informatik habilitiert. - Markus Balser, Rhön Klinikum AG
Markus Balser ist seit Februar 2018 Konzernbereichsleiter IT/Konzern-EDV an der Rhön-Klinikum AG. Zuvor war er seit 2008 bei der Accenture GmbH als Managing Director im Bereich Technology Strategy verantwortlich für Enterprise Architecture & Application Strategy im deutschsprachigen Raum. - Andreas Strausfeld, Bitmarck Holding
Im Juli 2014 ist Andreas Strausfeld zum Geschäftsführer der Bitmarck Holding GmbH aufgestiegen. Damit steht er dem IT-Dienstleister für Krankenkassen vor. Andreas Strausfeld ist seit 2008 als Geschäftsführer bei der Bitmarck Holding GmbH und seit 2010 bei der Bitmarck Vertriebs- und Projekt GmbH aktiv. In gleicher Funktion war er in Personalunion auch von 2012 bis 2013 bei der Bitmarck Software GmbH tätig. 2018 wurde sein Vertrag bei Bitmarck vorzeitig um vier Jahre bis 2024 verlängert. - Stefan Domsch, Synlab
Im Juli 2024 wechselte Stefan Domsch die Branche und stieg als IT-Chef bei Synlab ein. Bisher war er Group CIO vom TÜV Süd. - Ingo Elfering, Fresenius
Seit Juli 2020 besetzt Ingo Elfering den neu geschaffenen CIO-Posten bei der Fresenius Gruppe. Der gelernte Wirtschaftsinformatiker soll die globalen IT-Aktivitäten des Konzerns koordinieren und weiterentwickeln. Zudem übernimmt er die Leitung der IT-Dienstleistungs-Tochter Fresenius Netcare, die mittlerweile in Fresenius Digital Technology umbenannt wurde. Elfering berichtet an den Finanzvorstand. - Jens Schulze, Universitätsklinikum Frankfurt am Main
Jens Schulze ist seit September 2019 CIO und Leiter des Dezernats für Informations- und Kommunikationstechnologie (DICT) im Universitätsklinikum Frankfurt. Sein Vorgänger Martin Overath ist jetzt Geschäftsleiter Medizinischer Arbeitsplatz beim Softwarehersteller Knowledgepark. In seiner Rolle verantwortet Schultz alle Bereiche der administrativen und klinischen IT inklusive der Telekommunikation. Er berichtet an den kaufmännischen Direktor als Mitglied des Vorstands. Für seine Leistungen als CIO der Uniklinik Leverkusen (2013-2019) wurde Jens Schulze beim CIO des Jahres 2019 in der Kategorie Public Sektor ausgezeichnet. - Michael Kraus, Universitätsklinikum Freiburg
Michael Kraus ist seit August 2014 für die IT am Universitätsklinikum Freiburg verantwortlich. Bereits seit 2009 war er stellvertretender Leiter des Klinikrechenzentrums. Nach seinem Physik-Studium und einer Promotion im Bereich der Systembiologie war Kraus wissenschaftlicher Mitarbeiter an der Medizinischen Fakultät der Universität Freiburg. 1996 wechselte er als IT-Leiter in die Universitätsverwaltung und verantwortete dort ab 1999 als Dezernatsleiter neben der IT für das Campus Management die Bereiche Controlling, Organisation und Neue Medien. - Rudolf Dück, UKSH
IT-Chef am Universitätsklinikum Schleswig-Holstein (UKSH) ist seit Januar 2019 Rudolf Dück. Er übernahm die Leitung der Stabsstelle Informationstechnologie. Zugleich ist er Geschäftsführer der UKSH Gesellschaft für IT Services mbH (ITSG) sowie der Gesellschaft für Informationstechnologie (GfIT). Davor war Dück als Leiter des Bielefelder IT-Servicezentrums (BITS) an der Universität Bielefeld tätig. - Manfred Criegee-Rieck, Klinikum Nürnberg
Manfred Criegee-Rieck leitet seit Juni 2017 die IT des Klinikums Nürnberg. Der neue IT-Leiter ist Nachfolger des langjährigen CIOs Helmut Schlegel. Er kommt von den Franziskanerbrüdern vom Heiligen Kreuz, wo er Gesamtleiter IT war. - Heiko Reinhard, Ottobock
Heiko Reinhard ist seit Mai 2018 neuer CIO beim Duderstädter Medizintechnik-Hersteller Ottobock. Er war bislang als CEO des IT-Dienstleisters Sycor, der IT-Tochter von Ottobock, in Amerika und als IT Director North America für Ottobock tätig. - Patrick Wenz, Universitätsmedizin Mainz
Patrick Wenz leitet die IT der Universitätsmedizin Mainz bis Ende 2023 im Interim. - Jan Vitt, Universitätsmedizin Mainz
Ab Januar 2024 soll Jan Vitt die IT der Universitätsmedizin Mainz leiten. - Aude Vik, Techniker Krankenkasse
Seit Anfang 2024 ist Aude Vik Geschäftsbereichsleiterin Informationstechnologie bei der Techniker Krankenkasse. - Gunther Nolte, Vivantes-Klinik
Gunther Nolte ist schon seit 2001 IT- und TK-Direktor beim Gesundheitsnetzwerk Vivantes. Der Diplom-Informatiker arbeitete nach seinem Studium zunächst als Softwareentwickler in einem Systemhaus. Zwischen 1986 und 2001 war er unter anderem als Projektleiter für den Aufbau eines Tumorregisters am onkologischen Schwerpunkt Klinikum Kassel verantwortlich. - Dirk Herzberger, Helios Kliniken
Seit 1998 leitet Dirk Herzberger die IT der Klinikkette Helios, die seit 2005 zu Fresenius gehört. Mit seiner Abteilung "Zentraler Dienst IT" stellt er dem gesamten Unternehmen die PC-gestützte Infrastruktur zur Verfügung - das reicht von medizinischen Dokumentationssystemen über die IT für Abrechnungen bis zu Telemedizin-Lösungen. Diplom-Ingenieur Herzberger war zuvor sechs Jahre Leiter EDV der Asklepios Neurologischen Klinik Bad Salzhausen und ab 1993 am Aufbau der Zentrale Dienste EDV der Asklepios Gruppe beteiligt. Zwischen 1988 und 1992 arbeitete Herzberger als Entwicklungsingenieur in der Forschungs- und Entwicklungsabteilung sowie in der Abteilung Technische EDV der Firma Weiss Umwelttechnik. - Franz-Helmut Gerhards, DAK
Franz-Helmut Gerhards ist seit Oktober 2016 CDO und Mitglied der Geschäftsleitung der DAK-Gesundheit in Hamburg. Er ist für die unternehmensweite digitale Transformation der Krankenkasse verantwortlich. Dazu gehört neben der strategischen Ausrichtung der DAK den Aufbau eines digitalen Ökosystems sowie die digitale Transformation aller relevanten Kundenprozesse mit dem Fokus auf die Kundenorientierung. Zudem verantwortet Gerhards den mit der Digitalisierung verbundenen kulturellen Wandel und leitet die Digitale Fabrik, die als interner Inkubator die digitale Transformation der Kasse operativ gestaltet. - Henning Schneider, Asklepios Konzern
Henning Schneider hat im Oktober 2016 die Leitung des Konzernbereichs IT im Asklepios Konzern übernommen. Er folgt auf Martin Stein, der das Unternehmen verlassen hat, um als Kaufmännischer Geschäftsführer des Gemeinschaftsklinikums Mittelrhein tätig zu sein. Schneider wechselte vom Universitätsklinikum Hamburg-Eppendorf (UKE) zu Asklepios. Am UKE leitete er seit 2012 als CIO den Geschäftsbereich Informationstechnologie. Bereits seit 2008 trug er dort Verantwortung für die medizinischen IT-Systeme und die Umsetzung der elektronischen Patientenakte. - Kurt Kruber, Klinikum der Universität München
Seit Dezember 2012 verantwortet Kurt Kruber am Klinikum der Ludwig-Maximilians-Universität Medizintechnik und Informationstechnik. Beide Ressorts sollen unter der Führung des 49-Jährigen näher zusammenrücken, wie sich auch an der Agenda des IT-Chefs zeigt: Eines seiner Projekte ist das Zusammenführen der Mitarbeiter aus diesen Bereichen. - Bernd Christoph Meisheit, Sana Kliniken
Bernd Christoph Meisheit ist seit August 2009 Geschäftsführer bei der IT-Tochter der Sana Kliniken. Meisheit stieß damals zu Gerald Götz, der die Sana IT Services bereits zwölf Jahre lang leitete, und formte mit ihm eine Doppelspitze. Seit Götz Sana im Herbst 2010 verlassen hat, leitet Meisheit die IT des Klinikbetreibers allein. Meisheit war zuvor IT-Verantwortlicher des Klinikverbandes St. Antonius und Geschäftsführer der Gesellschaft für Information und Technologie im Gesundheitswesen in Wuppertal. In den Jahren 2000 bis 2008 war er CIO der MTG Malteser Trägergesellschaft und Mitglied des Kooperationsrates der Deutsche Malteser GmbH. In dieser Funktion wurde er 2007 von unserer Schwesterpublikation Computerwoche für ein Rechenzentrumsprojekt zum Anwender des Jahres in der Kategorie IT-Performance gekürt. Von 1992 bis 1997 war er Leiter der Abteilung IT und Organisation und ab 1998 stellvertretender Leiter der Hauptabteilung Finanzen, Unternehmensrechnung und Informationssysteme der Flughafen Köln/Bonn GmbH. Meisheit hat in Köln die Fächer Nachrichtentechnik und Informationsverarbeitung studiert.
Internationale Cloud trifft auf deutsches Landesrecht
Der zersplitterte Rechtsrahmen und das Auffinden der anzuwendenden Regelung ist allerdings nur die erste Hürde, die Krankenhäuser in Deutschland bei der Umsetzung datenschutzkonformer Digitalisierungsvorhaben zu bewältigen haben. Die zweite Schwierigkeit liegt in der Umsetzung der (landesrechtlichen) Vorgaben, welche den Stand der heutigen Digitalisierung schlichtweg nicht mehr abbilden. Als Beispiel für diese Problematik sei eine Cloud-basierte Krankenhausanwendung eines Anbieters angeführt, mittels der ein Krankenhaus in privater Trägerschaft Patientendaten verarbeiten möchte:
Ausgehend von den Vorgaben der DSGVO würde der geneigte Datenschützer an Themen wie Auftragsverarbeitung, Drittlandtransfer und Standardvertragsklauseln denken. Allesamt datenschutzrechtliche Themen, die an sich schon sehr komplex sind und sich zudem in stetiger Entwicklung befinden.
Das Krankenhaus wird sich in diesem Beispiel zusätzlich noch mit den deutschen landesrechtlichen Vorgaben beschäftigen müssen. Konkrete Vorgaben für Cloud Services existieren zwar in keinem Bundesland, dafür finden sich divergierende Regelungen zum Einsatz von Auftragsverarbeitern (Anbieter, die personenbezogene Daten auf Weisung des Krankenhauses verarbeiten).
Während beispielsweise das Landeskrankenhausgesetz Niedersachsen keine spezifischen Vorgaben zum Cloud-Einsatz vorsieht, bedarf es in Sachsen zur Auftragserteilung der Zustimmung der zuständigen Behörde. Hier stellt sich die Frage, wie eine Klinik-Gruppe mit Krankenhäusern in beiden Bundesländern mit diesem Rechtsrahmen eine datenschutzkonforme sichere Lösung implementieren kann. Das Ergebnis ist derzeit wohl eher das Folgende: die größten rechtlichen Risiken versuchen zu umschiffen und dann, mit beiden Augen zugedrückt, Kurs in Richtung Digitalisierung nehmen.
Und genau in dieser Konsequenz liegt ein erhebliches Risiko. Ohne einen datenschutzrechtlich verständlichen und auf die heutige Zeit angepassten Rechtsrahmen werden die Kliniken ihre eigenen - ebenfalls voneinander divergierenden - Datenschutzstandards in Deutschland entwickeln. Hier ist der Gesetzgeber gefragt, durch klare Vorgaben sicherzustellen, dass der politisch intendierten und mit Milliarden Euro geförderten digitalen Vernetzung des Gesundheitswesens auch das gleiche Datenschutzniveau zu Grunde liegt.
Lesetipp: eHealth-Strategie - Charité forciert smarten Datenaustausch
Erste Erleichterung für bayrische Krankenhausträger
Eine erste Erleichterung hat es nun in Bayern gegeben. Nach der alten Rechtslage durften Patientendaten in Bayern, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, nur auf dem Gelände des Krankenhauses oder durch andere Krankenhäuser verarbeitet werden. Bei der Einführung von Cloud-basierten digitalen Vorhaben stellte diese Vorgabe die Krankenhäuser vor große Herausforderungen, da sie die Wahl von externen Dienstleistern ausschloss. Krankenhäuser mussten eine eigene IT-Infrastruktur mit Servern auf dem Krankenhausgelände betreiben.
Diese, die Krankenhäuser stark einschränkende Regelung gemäß Art. 27 Abs. 4 S. 6 Bayerisches Krankenhausgesetz (BayKrG), wurde mit Wirkung zum 1. Juni 2022 durch Art. 32c Nr. 2 lit. a Gesetz über den Öffentlichen Gesundheitsdienst (GDG) aufgehoben. Die bayrische Landesregierung und der Bayrische Landtag stellen jeweils ausdrücklich klar, dass es den bayrischen Krankenhäusern ermöglicht werden soll, eine Auftragsverarbeitung von Patientendaten auch durch externe IT-Dienstleister vornehmen zu lassen, die keine Krankenhäuser sind (Bayerischer Landtag, Drs. 18/19685, S. 3, 53; Bayerischer Landtag, Drs. 18/22430).
Die Neufassung des Art. 27 Abs. 6 BayKrG verweist nun ausdrücklich auf die Anforderungen der DSGVO zur Auftragsverarbeitung (Art. 28 DS-GVO) und Sicherheit der Verarbeitung (Art. 32 DSGVO). Weiterhin wird klargestellt, dass im Krankenhausbereich ein besonderes Augenmerk auf die Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten zu richten sei. Insoweit solle nach der Gesetzesbegründung (Bayerischer Landtag, Drs. 18/19685, S. 53) die Aufhebung der Einschränkung idealerweise durch ein einvernehmliches, selbstverpflichtendes Regelwerk kompensiert werden.
Dieses Regelwerk soll nach Maßgabe der DSGVO die technischen und organisatorischen Maßnahmen präzisieren und zu einem einheitlichen, hohen Schutzniveau führen. Der Bayrische Gesetzgeber schlägt vor, dass dieses auf Selbstverpflichtungsbasis durch die Interessensvertretung der Bayerischen Krankenhausträger und deren Spitzenverbände ins Leben gerufen werden soll, bei Bedarf unterstützt durch die zuständige Datenschutzaufsichtsbehörde. Wann ein solches Regelwerk entsteht, bleibt abzuwarten.
Für die Praxis hat die Änderung zur Folge, dass sich Bayrische Krankenhäuser künftig externer IT-Dienstleister außerhalb des Klinikgeländes bedienen können, selbstredend unter Einhaltung der Vorgaben der DSGVO, und unter Vereinbarung weiterer Sicherheitsmaßnahmen. Letzteres führt allerdings wieder zu neuen Unsicherheiten, solange es keine Regelwerke hierfür gibt.
Neuer Musterverträge für Cloud-Leistungen für die öffentliche Hand
Parallel wurden am 1. März 2022 neue Musterverträge für die öffentliche Hand zur Beschaffung von Cloud-Leistungen veröffentlicht, die sog. EVB-IT Cloud Verträge. Sie sind das Ergebnis eines intensiven Abstimmungsprozesses der öffentlichen Hand mit der IT-Wirtschaft, vertreten durch den Bitkom. Erstmalig kann die öffentliche Hand, und damit auch Krankenhäuser, auf standardisierte Einkaufsbedingungen für Cloud-Leistungen zurückgreifen, welche die hohen Anforderungen der öffentlichen Hand an Leistungsqualität, Daten- und IT-Sicherheit sowie Kontrollrechten bei deren Nutzung berücksichtigen.
Die EVB-IT Cloud Verträge bestehen aus
einem Vertragsmuster,
Einkaufsbedingungen (AGB),
einem fachlichen Kriterienkatalog und
einer Anlage zur partiellen Einbeziehung von Anbieter AGB.
Weiterhin setzen sie die vertraglichen Mindeststandards des Bundesamts für Sicherheit in der Informationstechnik und die Basisanforderungen des C5-Kataloges (Cloud ComputingCloud Computing ComplianceCompliance Criteria Catalogue) um. Bei der Umsetzung helfen die Hinweise zur Nutzung. Alles zu Cloud Computing auf CIO.de Alles zu Compliance auf CIO.de
Die neuesten rechtlichen Entwicklungen in Deutschland führen zu ersten Erleichterungen und sind als erster Schritt in Richtung Digitalisierung zu bewerten. Dennoch haben es Träger von Krankenhäusern in mehr als nur einem Bundesland in Deutschland aufgrund der divergierenden landesrechtlichen Regelungen und dadurch bedingten unklaren Rechtslage weiterhin schwer, Cloud-Dienste zu nutzen. (bw)