Ein Blogbeitrag von Mareike Gehrmann und Dr. Carolin Monsees: Die Autorinnen sind Fachanwältinnen für IT-Recht und Salary Partnerinnen bei der Wirtschaftskanzlei Taylor Wessing.
Die Digitalisierung erfreute sich nicht nur als Thema im Bundestagswahlkampf 2021 in Deutschland großer Beliebtheit, sondern ist vom Bund für den Krankenhausbereich bereits im Jahr 2020 zum Anlass genommen worden, den Krankenhauszukunftsfond mit einem Fördervolumen von bis zu 4,3 Milliarden Euro aufzusetzen. Das Ziel dieser Milliardenförderung ist die Vernetzung des Gesundheitssektors und damit die Verbesserung der Patientenversorgung, beispielsweise mittels digitaler Aufnahme- und Entlassprozesse oder sprachbasierter Patientendokumentation. Die Datenschutzkonformität eines solchen Vorhabens ist Voraussetzung für dessen Förderungsfähigkeit. Und damit kommen wir zum Kern des Problems: Wie lassen sich digitale – zum Großteil cloudbasierte – Vorhaben im Krankenhausbereich überhaupt mit dem derzeitigen Rechtsrahmen in Deutschland datenschutzkonform umsetzen?
Es stellt sich zunächst die Frage, welche datenschutzrechtlichen Regelungen überhaupt Anwendung finden. Insoweit kommt es nämlich nicht auf das konkrete Vorhaben an, sondern darauf, wer Träger des jeweiligen Krankenhauses ist. Abhängig davon, ob das Krankenhaus in staatlicher, privater oder kirchlicher Trägerschaft ist, müssen neben Bundesgesetzen (hier: Datenschutzgrundverordnung und Bundesdatenschutzgesetz) die jeweiligen Landesdatenschutz- oder Landeskrankenhausgesetze sowie weiteres spezielles Landesgesetz beachtet werden. Je nach Einrichtung kommen weitere datenschutzrechtliche Vorgaben hinzu, beispielsweise Landesgesetze für psychiatrische Einrichtungen oder den Maßregelvollzug, die Berufsordnungen der Ärzte und auf Bundesebene spezielle Vorgaben aus dem Sozialgesetzbuch V (SGB V), dem Strafgesetzbuch (Stichwort: ärztliche Schweigepflicht/Arztgeheimnis) und – eher die IT-Sicherheit als den Datenschutz betreffend – aus dem BSI-Gesetz, der BSI-KritisV und (neu) dem Patientendaten-Schutz-Gesetz. Der Umstand, dass die Hierarchien und Anwendungsvorränge zwischen den Bundesgesetzen und den zum Teil stark fragmentierten landesrechtlichen Vorgaben nicht aufeinander abgestimmt sind, führt in diesem Bereich nicht wirklich zu einer Rechtssicherheit.
Bereits mit dieser stark vereinfachten Darstellung wird deutlich, dass der datenschutzrechtliche Rechtsrahmen für Krankenhäuser in Deutschland höchst komplex und in sich nicht abgestimmt ist.
Internationale Cloud trifft auf deutsches Landesrecht
Der zersplitterte Rechtsrahmen ist allerdings nur die erste Hürde, die Krankenhäuser in Deutschland bei der Umsetzung datenschutzkonformer Digitalisierungsvorhaben zu bewältigen haben. Die zweite Schwierigkeit liegt in den konkreten (landesrechtlichen) Vorgaben, die den Stand der heutigen Digitalisierung schlichtweg nicht mehr abbilden.
Als Beispiel für diese Problematik sei eine cloudbasierte Krankenhausanwendung eines Anbieters angeführt, mittels der ein Krankenhaus in privater Trägerschaft Patientendaten verarbeiten möchte: Ausgehend von den Vorgaben der Datenschutzgrundverordnung (DSGVO) würde der geneigte Datenschützer an Themen wie Auftragsverarbeitung, Drittlandtransfer und Standardvertragsklauseln denken. Allesamt datenschutzrechtliche Themen, die an sich schon recht komplex sind und sich zudem in stetiger Entwicklung befinden.
Das Krankenhaus wird sich in diesem Beispiel zusätzlich noch mit den deutschen landesrechtlichen Vorgaben beschäftigen müssen. Konkrete Vorgaben für Cloud-Services existieren zwar in keinem Bundesland, dafür finden sich divergierende Regelungen zum Einsatz von Auftragsverarbeitern (d.h. Anbietern, die – wie bei cloudbasierten Services üblich – personenbezogene Daten auf Weisung des Krankenhauses verarbeiten). Während beispielsweise in Berlin überhaupt kein Landeskrankenhausgesetz existiert (Konsequenz: die obigen skizzierte Vorgaben nach DSGVO und Bundesdatenschutzgesetz gelten), bedarf es in Sachsen zur Auftragserteilung der Zustimmung der zuständigen Behörde, während in Bayern nur ein anderes Krankenhaus als Auftragsverarbeiter eingesetzt werden darf. Hier stellt sich die Frage, ob eine Klinik-Gruppe mit Krankenhäusern in Berlin, Sachsen und Bayern mit diesem Rechtsrahmen überhaupt eine datenschutzkonforme sichere Lösung finden kann. Das Ergebnis ist derzeit wohl eher das Folgende: die größten rechtlichen Risiken versuchen zu umschiffen und dann mit beiden Augen zugedrückt Kurs in Richtung Digitalisierung nehmen.
Und genau in dieser Konsequenz liegt ein erhebliches Risiko: ohne einen datenschutzrechtlich verständlichen und auf die heutige Zeit angepassten Rechtsrahmen werden die Kliniken ihre eigenen – ebenfalls voneinander divergierenden – Datenschutzstandards in Deutschland entwickeln. Hier ist der Gesetzgeber gefragt, durch klare Vorgaben sicherzustellen, dass der politisch intendierten und mit Milliarden Euro geförderten digitalen Vernetzung des Gesundheitswesens auch das gleiche Datenschutzniveau zu Grunde liegt.
Positive Entwicklungen
Dass sich der datenschutzrechtliche Rechtsrahmen vereinfachen lässt, hat der Gesetzgeber zuletzt während der COVID-19-Pandemie gezeigt: So gelten für die länderübergreifende Versorgungs- und Gesundheitsforschung „nur“ noch die Regelungen des Bundesdatenschutzgesetzes statt der zahlreichen Landesregelungen. Das Ziel des Gesetzgebers war hierbei die Verzögerungen bei Forschungsprojekten aufgrund der bis dato fragmentarischen Datenschutzregelugen zu vermeiden. Auch wenn sich an der konkreten Umsetzung Kritik üben lässt (z.B. Standort der Regelung im SGB V) ist dieser Ansatz grundsätzlich als positiv zu bewerten. Die Erkenntnis, dass zersplitterte Datenschutzregelungen aufgrund ihrer Komplexität und teilweisen Widersprüchlichkeit Innovationen hemmen können, sollte der Gesetzgeber auch für die Digitalisierung des Krankenhausbereichs zu Grunde legen.
Blick in die Niederlande
Der datenschutzrechtliche Rechtsrahmen für Kliniken in den Niederlanden stellt sich mangels einer föderalen Struktur im Vergleich deutlich einfacher dar. Dies beginnt bereits damit, dass es nur eine zuständige Datenschutzbehörde gibt, die „Autoriteit Persoonsgegevens“. Die rechtlichen Vorgaben für Krankenhäuser in den Niederlanden ergeben sich primär aus der DSGVO und deren nationaler Umsetzung (vergleichbar mit dem deutschen Bundesdatenschutzgesetz), dem „Uitvoeringswet Algemene verordening gegevensbescherming“. Dieser allgemeine Rechtsrahmen wird ergänzt durch spezielle Vorgaben für den Gesundheitsbereich. Hierzu zählen beispielsweise das Gesetz über zusätzliche Vorschriften für die Verarbeitung personenbezogener Daten im Gesundheitswesen („Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg“ Wabvpz), das Krankenversicherungsgesetz („Zorgverzekeringswet“, Zvw) oder das Gesetz über Behandlungsvereinbarungen („Wet op de geneeskundige behandelingsovereenkomst“, WGBO). Das Arztgeheimnis tritt – wie auch in Deutschland – neben diese Verpflichtungen. Dieser rechtliche Rahmen wird durch Stellungnahmen und Empfehlungen der niederländischen Datenschutzbehörde ergänzt.
Das Fazit ist hier eindeutig: die zentrale Struktur in den Niederlanden mit einem einheitlichen Rechtsrahmen stellt an Digitalisierungsvorhaben im Gesundheitsbereich wesentlich klarere Vorgaben als die fragmentierten Regelungen in Deutschland.
Fazit
Um die Digitalisierung der Krankenhäuser in Deutschland voranzutreiben, bedarf es eines einheitlichen Rechtsrahmens. Dieser sollte klare Vorgaben enthalten, unter welchen Voraussetzungen Krankenhäuser und Auftragsverarbeiter Patientendaten auch unter Einsatz cloudbasierter Anwendungen verarbeiten dürfen. Der Datenschutz kann so vom vermeintlichen Hemmnis zum Motor der Digitalisierung werden: Mit strengen, aber einheitlichen, Datenschutzstandards lässt sich nicht nur der Schutz von Gesundheitsdaten krankenhausübergreifend erhöhen. Es würde auch eine Anreizfunktion für (internationale) Anbieter digitaler Gesundheitsprodukte gesetzt, diese für den deutschen Gesundheitsmarkt nach vorgegebenen einheitlich hohen Standards aufzusetzen. Die Niederlande macht es vor. Es verwundert deshalb nicht, dass die Digitalisierung des Gesundheitssektors in den Niederlanden bereits weiter vorangeschritten ist.
