Bayern liberalisiert sein Krankenhausgesetz: Cloud-Services sind unter Wahrung des Datenschutzes künftig erlaubt

Ohne Cloud-Dienstleister kann man sich moderne Datenvernetzung gar nicht mehr vorstellen. Ein rotes Tuch für Datenschützer ist das Cloud-Computing jedoch, wenn es sich um personenbezogene Daten handelt. Auf der anderen Seite steht der Wunsch nach Professionalität und Effizienz, was nicht zuletzt Krankenhauspatienten zugutekommen dürfte.

Deshalb hat der Landtag in München zum 1. Juni das Bayerische Krankenhausgesetz modifiziert und für das Daten-Outsourcing von IT-Services von Kliniken geöffnet – unter strikten Datenschutzauflagen.

Mehr Effizienz bei der klinischen Datenverarbeitung

Bis dato war es Bayerns Krankenhäusern nicht erlaubt, Patientendaten, die nicht rein verwalterisch genutzt wurden, außerhalb des Klinik-Betriebsgeländes zu verarbeiten und abzuspeichern. Die Nutzung von externen Cloud-Diensten war damit lange Zeit tabu. Dieses Verbot diente dem Datenschutz, wirkte sich aber auf die Effizienz des Krankenhausbetriebs nicht sonderlich fördernd aus. Das Manko wurde nun behoben – und dennoch ein Kompromiss gefunden, der auch Datenschützer zufriedenstellt. Denn mit dem Inkrafttreten des Gesetzes über den Öffentlichen Gesundheitsdienst (GDG) erhält durch seinen Artikel 32c der Artikel 27 des Bayerischen Krankenhausgesetzes (BayKrG) eine neue Freizügigkeit.

Liberalisierung für innovative Patientenversorgung

Mag man bei Verwaltungsbehörden vielleicht noch ein Auge zudrücken können, so sind Effizienzdefizite im Krankenhausbereich auf Dauer nicht hinnehmbar. In der Begründung des Landesgesetzgebers heißt es denn auch, dass sich Kliniken in einem fortschreitenden Digitalisierungsprozess befinden, der eine kurzfristige Anpassung der Datenschutz-Vorschriften vor Ort erfordere. Damit soll eine innovative IT-gestützte Patientenversorgung ermöglicht werden – bei einem gleichzeitig hohen Niveau des Datenschutzes. Diese Liberalisierung geht einher mit ähnlichen Maßnahmen in Niedersachsen oder Rheinland-Pfalz, während andere Bundesländer, wie etwa Nordrhein-Westfalen die externe Auftragsdatenverarbeitung weiterhin streng einschränken.

Datenschutz wird eingefordert

Nunmehr können die Kliniken im Freistaat nahezu uneingeschränkt moderne digitale Datenspeicher- und -verarbeitungslösungen von Cloud-Services nutzen, sofern diese sich mit der DSGVO vereinbaren lassen.

Dazu heißt es in Absatz 6:

„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“ (BayKrG, Art. 27, Absatz 6)

Strikte Auflagen für beide Seiten

Was bedeutet diese Forderung des Gesetzgebers konkret? Bayerische Krankenhäuser können auch in Zukunft nicht einfach vorbehaltlos Cloud-Dienste beauftragen, sondern müssen mit dem jeweiligen Dienstleister Auftragsverarbeitungsverträge schließen, die den Artikeln 28 und 32 der DSGVO gerecht werden. Dazu gehört ein entsprechendes Sicherheitskonzept, das beide Seiten anzuwenden und zu dokumentieren haben. Fortan müssen also auch Krankenhäuser mit Themen wie individuelle Zugriffsberechtigungen, Security by Design, Privacy by Design oder Ende-zu-Ende-Verschlüsselung etwas anfangen können und diese mit Leben füllen. Die Gefahr, dass ein Datenleck oder gar ein gezielter Zugriff aufseiten des Cloud-Anbieters Informationen über bayerische Krankenhauspatienten in die falschen Hände gelangen lässt, muss mit ebenso zeitgemäßen Technologien verhindert werden wie jene es sind, mit denen der Wunsch nach effizienterem Umgang mit Daten nun verwirklicht werden kann.