Die Berliner Aufsichtsbehörde für den Datenschutz setzt künftig einen Schwerpunkt im Gesundheitsbereich. Letzteres stellte der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, in einer Rede vor dem Abgeordnetenhaus (23. Juni 2011) klar. Insbesondere kündigte er an, sowohl Hersteller als auch Betreiber sog. Krankenhausinformationssysteme (KIS) in den Fokus seiner Tätigkeit zu nehmen. Die ilex Datenschutz GbR, die in KIS-Fragen berät, erklärt die Hintergründe dieser Ankündigung.
1. Was sind Krankenhausinformationssysteme
Krankenhausinformationssysteme sind eine Zukunftstechnologie. Doch bei aller Euphorie für den hochinteressanten und wirtschaftsstarken IT-Sektor, darf nicht vergessen werden, dass die KIS die Erhebung, Verarbeitung und Nutzung hochsensibler Patientendaten ermöglichen. Die Vielfältigkeit der bisherigen KIS-Produkte führte zu vielen datenschutzrechtlichen Fragen. Daher haben sich die deutschen Aufsichtsbehörden auf ein gemeinsames wording und eine gemeinsame Rechtsauffassung zum Thema KIS geeinigt.
Da die ilex Datenschutz GbR ausschließlich nach praxisgerechten Lösungen sucht, die bei der Kontrolle durch Aufsichtsbehörden auch Bestand haben, schließen wir uns dieser beschlossenen Orientierungshilfe an.
Unter Krankenhausinformationssystemen wird daher:
„die Gesamtheit aller in einem Krankenhaus eingesetzten informationstechnischen Systeme zur Verwaltung und Dokumentation elektronischer Patientendaten verstanden. Dabei handelt es sich in aller Regel um einen Verbund selbständiger Systeme meist unterschiedlicher Hersteller. Auf einzelne Fachbereiche beschränkte Verfahren wie z.B. Labor-, Radiologie- oder Diagnosesysteme gehören als Subsysteme ebenfalls zum Krankenhausinformationssystem.“
(Quelle: Orientierungshilfe Krankenhausinformationssysteme, Glossar, S. 2)
Mit anderen Worten: KIS sind die IT-Strukturen eines Krankenhauses, die v.a. die Kommunikation zwischen den Rechnern (Server, Clients) ermöglichen.
2. Was müssen KIS-Entwickler beachten?
Der Berliner Datenschutzbeauftragte, Dr. Dix, hat in seiner Rede unmissverständlich klar gemacht, dass nicht nur die Krankenhäuser in die Pflicht genommen werden. Vielmehr sollen schon die Hersteller dazu verpflichtet sein, nur solche KIS auf dem Markt anzubieten, die ein datenschutzkonformes Arbeiten ermöglichen. In seiner Rede vor dem Berliner Abgeordnetenhaus heißt es:
„Vielmehr sind jetzt auch die Hersteller solcher Systeme in die Pflicht genommen, ihren Teil dazu beizutragen, damit datenschutzgerechte Technik auf den Markt kommt, die die Einhaltung der ärztlichen Schweigepflicht in einem hochtechnisierten Klinikumfeld erst ermöglicht.“
(Quelle: Rede von Dr. Alexander Dix im Abgeordnetenhaus von Berlin)
Ob Hersteller nun direkt von den Aufsichtsbehörden in Anspruch genommen werden oder von ihren Vertragspartnern (wegen Inverkehrbringens von Produkten, die nur ein rechtswidriges Arbeiten ermöglichen), kann derzeit noch dahinstehen. Feststeht, dass die Hersteller ihre aktuellen Produkte auf Datenschutzkonformität überprüfen und das Thema Datenschutz bei der Entwicklung neuer Produkte berücksichtigen müssen.
Zwei Beispiele für hier einschlägige Datenschutzprinzipien sind die Datentrennung und die begrenzten Zugriffsrechte. Beide stehen in einem Zielkonflikt mit einer umfassenden, medizinischen Versorgung. Daher ist es notwendig, den exakten, rechtlichen Rahmen zu definieren und dann nach wirtschaftlichen Lösungen zu suchen. Hierbei kann fachkundige Beratung helfen. Daneben gibt es eine Vielzahl weiterer Prinzipien, die es zu beachten gilt.
3. Was müssen KIS-Betreiber beachten?
Die KIS-Betreiber sind v.a. Krankenhäuser. Ihre datenschutzrechtlichen Pflichten liegen auf der Hand, denn sie erheben, verarbeiten und nutzen Patientendaten beinah sekündlich. Hierzu hat der Berliner Datenschutzbeauftragte in seiner Rede ausgeführt:
„Es gibt wohl kaum einen anderen Bereich des menschlichen Lebens, in dem so sensitive Informationen über den Einzelnen verarbeitet werden. Die Medizintechnik in Kliniken entwickelt sich rasant, ohne dass die Krankenhausinformationssysteme den Schutz des Patientengeheimnisses immer ausreichend gewährleisten würden. […] Denn es nützt den betroffenen Patienten wenig, wenn bei Prüfungen nur festgestellt wird, dass in Krankenhäusern nicht nachvollzogen werden kann, wer wann auf ihre Daten zugegriffen hat, weil die technischen Systeme das bisher nicht protokollieren.“
Spätestens an dieser Stelle muss klar sein: Krankenhäuser – egal ob öffentlich-rechtlich oder privat – stehen unter besonderer Beobachtung der Aufsichtsbehörden. Dies hat auch einen Grund: Sowohl das für private Kliniken geltende Bundesdatenschutzgesetz als auch die für die öffentlichen-rechtlichen Kliniken geltenden Landesgesetze messen Gesundheitsdaten eine besondere Bedeutung zu (vgl. etwa § 3 Absatz 9 BDSG). Hiermit gehen strenge Pflichten einher, die kaum noch – ohne das nötige Datenschutz-Know-How- zu bewältigen sind.
Beispielsweise muss schon der Aufnahmebereich abhörsicher vom Warteraum getrennt werden; und hierbei geht es noch nicht einmal um IT-Fragen. Dieses Diskretions- und Trennungsprinzip entlädt sich an derart vielen Stellen, dass fachkundiger Rat hilfreich sein kann.
4. Was kann eine Beratung leisten?
Die Rede des Berliner Beauftragten für Datenschutz und Informationsfreiheit hat eines deutlich gemacht. Die Aufsichtsbehörden – überall in Deutschland – werden das Thema Krankenhausinformationssysteme verstärkt angehen.
Wir haben nun die Erfahrung gesammelt, dass es sinnvoll ist, das Datenschutzthema pro-aktiv anzugehen. Denn früher oder später kommen die Aufsichtsbehörden und kontrollieren die Kliniken; hoffentlich nicht erst nach einem Datenschutzskandal. Daher lebt es sich – gerade im Hinblick auf das erhebliche Haftungsrisiko – sehr viel ruhiger, wenn man sein KIS datenschutzkonform gestaltet.
Eine sinnvolle Beratung setzt aber voraus, dass der Berater nicht erst alle Information sammeln muss. Bei der ilex Datenschutz GbR ist dies anders. Hier ist das notwendige Wissen längst ermittelt und zusammengetragen. Eine Beratung kann sofort erfolgen.
Die ilex Datenschutz GbR berät sowohl öffentlich-rechtliche als auch private Träger von Krankenhäuser und gern auch Entwicklerunternehmen.
5. Fazit
KIS – das ist ein Zukunftsthema. Es wäre schlichtweg fahrlässig, schon jetzt zu behaupten, für alle Zeit passgerechte Lösungen zu haben. Denn sowohl die Technik als auch das Recht werden sich weiterentwickeln.
Dies haben die Aufsichtsbehörden längst erkannt. Sie werden einen Schwerpunkt auf dieses Thema setzen und Krankenhäuser kontrollieren. Spannend ist, dass nun auch die KIS-Entwickler in den Fokus der Behörden geraten. Die datenschutzrechtlichen Fragen sind durchaus kompliziert.
Eine gute Beratung kann helfen!
Dr. iur. Stephan Gärtner
Compliance Manager
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!