0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Der Berliner Datenschutzbeauftragte Dix mahnt Verbesserungen bei Krankenhausinformationssystemen an

Die Berliner Aufsichtsbehörde für den Datenschutz setzt künftig einen Schwerpunkt im Gesundheitsbereich. Letzteres stellte der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, in einer Rede vor dem Abgeordnetenhaus (23. Juni 2011) klar.

Insbesondere kündigte er an, sowohl Hersteller als auch Betreiber sog. Krankenhausinformationssysteme (KIS) in den Fokus seiner Tätigkeit zu nehmen. Die ilex Datenschutz GbR, die in KIS-Fragen berät, erklärt die Hintergründe dieser Ankündigung.

Übersicht


1. Was sind Krankenhausinformationssysteme

Krankenhausinformationssysteme sind eine Zukunftstechnologie. Doch bei aller Euphorie für den hochinteressanten und wirtschaftsstarken IT-Sektor, darf nicht vergessen werden, dass die KIS die Erhebung, Verarbeitung und Nutzung hochsensibler Patientendaten ermöglichen. Die Vielfältigkeit der bisherigen KIS-Produkte führte zu vielen datenschutzrechtlichen Fragen. Daher haben sich die deutschen Aufsichtsbehörden auf ein gemeinsames wording und eine gemeinsame Rechtsauffassung zum Thema KIS geeinigt.

Da die ilex Datenschutz GbR ausschließlich nach praxisgerechten Lösungen sucht, die bei der Kontrolle durch Aufsichtsbehörden auch Bestand haben, schließen wir uns dieser beschlossenen Orientierungshilfe an.

Unter Krankenhausinformationssystemen wird daher:

„die Gesamtheit aller in einem Krankenhaus eingesetzten informationstechnischen Systeme zur Verwaltung und Dokumentation elektronischer Patientendaten verstanden. Dabei handelt es sich in aller Regel um einen Verbund selbständiger Systeme meist unterschiedlicher Hersteller. Auf einzelne Fachbereiche beschränkte Verfahren wie z.B. Labor-, Radiologie- oder Diagnosesysteme gehören als Subsysteme ebenfalls zum Krankenhausinformationssystem.“

Mit anderen Worten: KIS sind die IT-Strukturen eines Krankenhauses, die v.a. die Kommunikation zwischen den Rechnern (Server, Clients) ermöglichen.

2. Was müssen KIS-Entwickler beachten?

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat in seiner Rede unmissverständlich klar gemacht, dass nicht nur die Krankenhäuser in die Pflicht genommen werden. Vielmehr sollen schon die Hersteller dazu verpflichtet sein, nur solche KIS auf dem Markt anzubieten, die ein datenschutzkonformes Arbeiten ermöglichen. In seiner Rede vor dem Berliner Abgeordnetenhaus heißt es:

„Vielmehr sind jetzt auch die Hersteller solcher Systeme in die Pflicht genommen, ihren Teil dazu beizutragen, damit datenschutzgerechte Technik auf den Markt kommt, die die Einhaltung der ärztlichen Schweigepflicht in einem hochtechnisierten Klinikumfeld erst ermöglicht.“

Ob Hersteller nun direkt von den Aufsichtsbehörden in Anspruch genommen werden oder von ihren Vertragspartnern (wegen Inverkehrbringens von Produkten, die nur ein rechtswidriges Arbeiten ermöglichen), kann derzeit noch dahinstehen. Feststeht, dass die Hersteller ihre aktuellen Produkte auf Datenschutzkonformität überprüfen und das Thema Datenschutz bei der Entwicklung neuer Produkte berücksichtigen müssen.

Zwei Beispiele für hier einschlägige Datenschutzprinzipien sind die Datentrennung und die begrenzten Zugriffsrechte. Beide stehen in einem Zielkonflikt mit einer umfassenden, medizinischen Versorgung. Daher ist es notwendig, den exakten, rechtlichen Rahmen zu definieren und dann nach wirtschaftlichen Lösungen zu suchen. Hierbei kann fachkundige Beratung helfen. Daneben gibt es eine Vielzahl weiterer Prinzipien, die es zu beachten gilt.

3. Was müssen KIS-Betreiber beachten?

Die KIS-Betreiber sind v.a. Krankenhäuser. Ihre datenschutzrechtlichen Pflichten liegen auf der Hand, denn sie erheben, verarbeiten und nutzen Patientendaten beinah sekündlich. Hierzu hat der Berliner Datenschutzbeauftragte in seiner Rede ausgeführt:

„Es gibt wohl kaum einen anderen Bereich des menschlichen Lebens, in dem so sensitive Informationen über den Einzelnen verarbeitet werden. Die Medizintechnik in Kliniken entwickelt sich rasant, ohne dass die Krankenhausinformationssysteme den Schutz des Patientengeheimnisses immer ausreichend gewährleisten würden. […] Denn es nützt den betroffenen Patienten wenig, wenn bei Prüfungen nur festgestellt wird, dass in Krankenhäusern nicht nachvollzogen werden kann, wer wann auf ihre Daten zugegriffen hat, weil die technischen Systeme das bisher nicht protokollieren.“

Spätestens an dieser Stelle muss klar sein: Krankenhäuser – egal ob öffentlich-rechtlich oder privat – stehen unter besonderer Beobachtung der Aufsichtsbehörden. Dies hat auch einen Grund: Sowohl das für private Kliniken geltende Bundesdatenschutzgesetz als auch die für die öffentlichen-rechtlichen Kliniken geltenden Landesgesetze messen Gesundheitsdaten eine besondere Bedeutung zu (vgl. etwa § 3 Absatz 9 BDSG). Hiermit gehen strenge Pflichten einher, die kaum noch – ohne das nötige Datenschutz-Know-How- zu bewältigen sind.

Beispielsweise muss schon der Aufnahmebereich abhörsicher vom Warteraum getrennt werden; und hierbei geht es noch nicht einmal um IT-Fragen. Dieses Diskretions- und Trennungsprinzip entlädt sich an derart vielen Stellen, dass fachkundiger Rat hilfreich sein kann.

4. Was kann eine Beratung leisten?

Die Rede des Berliner Beauftragten für Datenschutz und Informationsfreiheit hat eines deutlich gemacht. Die Aufsichtsbehörden – überall in Deutschland – werden das Thema Krankenhausinformationssysteme verstärkt angehen.

Wir haben nun die Erfahrung gesammelt, dass es sinnvoll ist, das Datenschutzthema pro-aktiv anzugehen. Denn früher oder später kommen die Aufsichtsbehörden und kontrollieren die Kliniken; hoffentlich nicht erst nach einem Datenschutzskandal. Daher lebt es sich – gerade im Hinblick auf das erhebliche Haftungsrisiko – sehr viel ruhiger, wenn man sein KIS datenschutzkonform gestaltet.

Eine sinnvolle Beratung setzt aber voraus, dass der Berater nicht erst alle Information sammeln muss. Bei der ilex Datenschutz GbR ist dies anders. Hier ist das notwendige Wissen längst ermittelt und zusammengetragen. Eine Beratung kann sofort erfolgen.

Die ilex Datenschutz GbR berät sowohl öffentlich-rechtliche als auch private Träger von Krankenhäuser und gern auch Entwicklerunternehmen.

5. Fazit

KIS – das ist ein Zukunftsthema. Es wäre schlichtweg fahrlässig, schon jetzt zu behaupten, für alle Zeit passgerechte Lösungen zu haben. Denn sowohl die Technik als auch das Recht werden sich weiterentwickeln.

Dies haben die Aufsichtsbehörden längst erkannt. Sie werden einen Schwerpunkt auf dieses Thema setzen und Krankenhäuser kontrollieren. Spannend ist, dass nun auch die KIS-Entwickler in den Fokus der Behörden geraten. Die datenschutzrechtlichen Fragen sind durchaus kompliziert.

Eine gute Beratung kann helfen!

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com