339
Passwort vergessen

Ein Jahr DSGVO

Im Schwebezustand

Im Schwebezustand

  • f&w
  • Politik
  • 26.04.2019

f&w

Ausgabe 5/2019

Seite 414

Seit fast einem Jahr gilt die EU-Datenschutz-Grundverordnung. Kliniken macht insbesondere noch die Rechtsunsicherheit zu schaffen, auch erste Bußgelder drohen. Doch Branchenexperten können der Verordnung auch einiges Positives abgewinnen. 

Als im vergangenen Jahr das erste hohe Bußgeld wegen eines Verstoßes gegen die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) verhängt wurde, dürften viele Klinikmanager aufgehorcht haben. Denn es war ein Krankenhaus, dem die portugiesische Datenschutzbehörde CNPD die Strafzahlung auferlegte. 400.000 Euro soll die portugiesische Klinik zahlen, weil sie gegen Vorgaben verstoßen haben soll.

In Deutschland blicken Branchenexperten rund ein Jahr nach dem Start der DSGVO im Mai 2018 mit gemischten Gefühlen auf die Veränderungen, die die Verordnung gebracht hat. Erste Bußgelder drohen auch hierzulande, der Aufwand hat in Teilen zugenommen. Viele können der Verordnung aber auch einiges an Positivem abgewinnen.

Was die Kliniken mit Blick auf die neuen Vorgaben vor allem noch bewegt, ist die Rechtsunsicherheit. „Es ist noch fast alles in der Schwebe“, sagt Andrea Hauser, Rechtsexpertin zu Datenschutzthemen bei der Deutschen Krankenhausgesellschaft (DKG). Die Verordnung ist in großen Teil abstrakt verfasst. Und so ist bei mehreren Themen noch unklar, wie sie in der Praxis genau umgesetzt werden müssen. Die DKG hat Arbeitsgruppen gebildet, die Formulare und Arbeitshilfen erstellt haben. Auch in Seminaren gab es Tipps dazu, wie sich die mitunter abstrakten Vorgaben konkret umsetzen lassen. „Letztlich müssen wir aber schauen, wie Gerichte zu einzelnen Themen entscheiden werden“, sagt Hauser.

Ein Beispiel dafür, wo weiterhin Unklarheit herrscht, ist die Datenschutz-Folgenabschätzung. Unternehmen sind seit dem Start der DSGVO verpflichtet, mögliche hohe Risiken einzuschätzen und zu bewerten. Die DKG hat für den Umgang  mit dem    Thema ein Arbeitspapier entworfen und versucht, von den Datenschutzbeauftragten der Länder eine einheitliche Einschätzung zu bekommen, wie sie das Papier bewerten. Bislang gibt es jedoch noch keine bundeseinheitliche Auslegung zur Datenschutz-Folgenabschätzung. „Die Datenschützer in den Ländern sind sich bei manchen Punkten uneins“, sagt Hauser.

Unklarheiten bei Auskunftsrechten

„Problematisch ist außerdem beispielweise, wie die Kliniken mit den Auskunftsrechten der Patienten genau umgehen sollen“, berichtet Lukas Mempel, der Konzerndatenschutzbeauftragte der Sana Kliniken AG. „Auch wenn hierzu klare gesetzliche Vorgaben bestehen, steckt die Tücke wie immer im Detail. Wie umfangreich muss auf die erste Anfrage hin Auskunft gegeben werden, inwiefern kann für vollständige Kopien der Patientenakte dennoch nach § 630 g II BGB Kostenerstattung verlangt werden – da sind weitere Klärungen notwendig“, sagt er.

Wie die Verordnung ausgelegt wird, dazu kommen laufend neue Einschätzungen: auf deutscher Ebene von der Datenschutzkonferenz, dem Gremium der Datenschutzbehörden des Bundes und der Länder. Zudem veröffentlicht der Europäische Datenschutzausschuss Leitlinien, damit die Verordnung in den EU-Ländern möglichst einheitlich umgesetzt wird. Da sich Aufsichtsbehörden der EU-Länder abstimmen, müsse man nun auch immer einen Blick auf die Entwicklungen in anderen Staaten haben, erklärt Mempel. „Wir müssen jetzt also viel europäischer denken.“ Und das bedeutet letztlich auch mehr Arbeit, für den es keinen finanziellen Ausgleich gibt.

Größerer Aufwand ist für die Kliniken seit dem Start der DSGVO insbesondere durch die Dokumentation entstanden. Denn mit der Verordnung ist die Rechenschaftspflicht eingeführt worden. Früher mussten Aufsichtsbehörden einem Unternehmen nachweisen, dass es beim Umgang mit Daten einen Fehler begangen hatte. Nun muss ein Unternehmen im Zweifelsfall belegen, dass es korrekt gearbeitet hat. „So ist ein enormer Dokumentationsaufwand entstanden“, sagt Dr. Bernd Schütze, Leiter der Arbeitsgruppe für Datenschutz und IT-Sicherheit bei der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. Wer den Nachweis nicht erbringen kann, muss mit einem Bußgeld rechnen. Schwierigkeiten bereite den Krankenhäusern bei der Dokumentation, dass es bislang nur Software auf dem Markt gebe, die einzelne Bereiche der DSGVO abdecke, erzählt Schütze.

Deutscher Sonderweg ignoriert Standards

Die Kliniken müssen zudem bei bestimmten Themen auch noch gezwungenermaßen hinter den Anforderungen der Verordnung zurückbleiben. So etwa bei der Datenübertragbarkeit. Zwar berechtigt die DSGVO Patienten, ihre personenbezogenen Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten. Doch wie soll das funktionieren, wenn es keinen einheitlichen Standard gibt, den man sowohl im ambulanten wie auch stationären Umfeld nutzen kann? Und wohin sollen Daten übertragen werden, wenn beispielsweise bislang nur ein Teil der Krankenkassen elektronische Patientenakten anbietet? Erst ab dem Jahr 2021 sind die Kassen dazu verpflichtet. Zum anderen erschweren unterschiedliche Standards in den EU-Ländern die grenzüberschreitende Datenübertragung. „Deutschland geht mit der Gematik-Lösung einen Weg abseits der allgemein anerkannten Standards, der im Rest der Welt nicht genutzt werden kann“, so Schütze. „Was nützt es aber, wenn man sich während eines Urlaubs oder bei einer Dienstreise im Ausland medizinisch versorgen lassen will, die elektronischen Daten aber nur in Deutschland abrufbar sind?“

Handlungsbedarf sehen Experten auch noch bei der Angleichung der Datenschutzregeln der einzelnen Bundesländer. So kritisiert unter anderem der Bundesverband Gesundheits-IT (BVITG) die unterschiedlichen Vorgaben zur Datenverarbeitung. So hat etwa Berlin festgelegt, dass Patientendaten grundsätzlich im Krankenhaus oder im Auftrag durch ein anderes Krankenhaus verarbeitet werden sollen. In Mecklenburg-Vorpommern hingegen ist vorgeschrieben, dass Daten extern nur unter bestimmten Bedingungen länger als drei Monate gespeichert werden dürfen.

Die Krankenhäuser hingegen hätten ihre Hausaufgaben weitgehend erledigt, sagt Jürgen Flemming, Vorstandsmitglied des Bundesverbandes der Krankenhaus-IT-Leiterinnen/Leiter. Sie hätten im vergangenen Jahr insbesondere Ordnung in ihre Auftragsverarbeitungsverträge mit Dienstleistern gebracht. Zwar müssten manche Häuser weiter an der Umsetzung ihrer Berechtigungskonzepte arbeiten – diese legen fest, wer im Krankenhaus auf welche Daten zugreifen kann. Insgesamt würden viele Häuser jedoch die Arbeiten zur DSGVO „weitgehend als erledigt ansehen“, so Flemming.

Auch in Deutschland gibt es aber Krankenhäuser, gegen die Bußgeldverfahren eingeleitet wurden oder bei denen es möglicherweise der Fall sein wird. In Hamburg gibt es ein laufendes Verfahren, weil ein Betroffener zu spät zu einer Datenschutzverletzung benachrichtigt wurde. In Bayern prüft der Landesbeauftragte für den Datenschutz, ob er ein Bußgeld verhängen wird. Insgesamt dürfte es in diesem Jahr zunehmend zu Kontrollen kommen, vermuten Branchenexperten. Und es gibt bereits erste Anzeichen dafür: So kündigte etwa der Bayerische Landesbeauftragte für den Datenschutz gegenüber f&w an, dass es „demnächst“ wieder Vorortprüfungen bei den Kliniken geben werde.

Bei allen Mühen, die die DSGVO mit sich gebracht hat: Viele sehen auch einige positive Aspekte darin. „Die Verordnung bringt beispielsweise Vorteile für die internationale Zusammenarbeit“, sagt Schütze. So ist die Auftragsverarbeitung nun auch außerhalb Europas möglich. Das kann hilfreich sein, wenn der IT-Dienstleister in einem Staat außerhalb der EU sitzt. Außerdem hat die Verordnung dafür gesorgt, dass der Stellenwert des Datenschutzes noch einmal weiter aufgewertet wurde. Andrea Hauser hat beispielsweise festgestellt, dass an ihren Seminaren nun auch Vertreter aus der oberen Führungsebene teilnehmen. „Das Thema ist auf der Chefetage angekommen.“

Autor

Unsere Zeitschriften

f&w

Pflege und Krankenhausrecht

Klinik-Newsletter

Abonnieren Sie unseren kostenlosen täglichen Klinik-Newsletter und erhalten Sie alle News bequem per E-Mail.

* Durch Angabe meiner E-Mail-Adresse und Anklicken des Buttons „Anmelden“ erkläre ich mich damit einverstanden, dass der Bibliomed-Verlag mir regelmäßig News aus der Gesundheitswirtschaft zusendet. Dieser Newsletter kann werbliche Informationen beinhalten. Die E-Mail-Adressen werden nicht an Dritte weitergegeben. Meine Einwilligung kann ich jederzeit per Mail an info@bibliomed.de gegenüber dem Bibliomed-Verlag widerrufen. 

Weitere Artikel dieser Ausgabe



Kontakt zum Kundenservice

Rufen Sie an: 0 56 61 / 73 44-0
Mo - Fr 08:00 bis 17:00 Uhr

Senden Sie uns eine E-Mail:
info@bibliomedmanager.de

Häufige Fragen und Antworten finden Sie im Hilfe-Bereich