Inhalt:
Wann ist mit Vorschlägen für Selbstverpflichtungsregelungen im Sinn des Gesetzgebers zu rechnen?
Müssen Krankenhäuser mit Auftragsvergaben warten, bis geeignete Selbstverpflichtungsregelungen vorliegen?
Vor dem 1. 6. 2022 galt seit Jahrzehnten folgende Regelung in Art. 27 Abs. 4 Satz 6 BayKrG: „Zur Verarbeitung oder Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen.“
Daten, die lediglich der verwaltungsmäßigen Abwicklung der Behandlung von Patientinnen und Patienten dienten (verwaltungsmäßige Patientendaten), konnten somit Gegenstand einer Auftragsverarbeitung sein. Ein wichtiges Beispiel hierfür war die Verarbeitung von verwaltungsmäßigen Patientendaten für die Durchführung der Abrechnung. Für Daten, die unmittelbar der Behandlung von Patientinnen und Patienten dienten (medizinische Patientendaten), war dies dagegen faktisch ausgeschlossen. Zwar wäre auch in Bezug auf sie eine Auftragsverarbeitung denkbar gewesen. Diese hätte jedoch nur durch andere Krankenhäuser vorgenommen werden dürfen. Entsprechende Angebote von Krankenhäusern, für andere Krankenhäuser die Auftragsverarbeitung von Behandlungsdaten durchzuführen, gab es in der Praxis jedoch so gut wie nicht.
Das Ziel der Regelung bestand darin, die oftmals sehr sensiblen Daten von Patientinnen und Patienten besonders zu schützen. Dazu führten der Bayer. Landesbeauftragte für den Datenschutz (BayLfD) und das Bayer. Landesamt für Datenschutzaufsicht (BayLDA) im Jahr 2016 gemeinsam Folgendes aus:
„Sinn und Zweck des Art. 27 Abs. 4 Satz 6 BayKrG ist insbesondere, den Kreis der Personen, die mit sensiblen medizinischen Daten in Berührung kommen, möglichst eng und die Qualifikation der betreffenden Personen möglichst hochzuhalten. Die Aufsichtsbefugnisse der Krankenhäuser auch während der Datenverarbeitung sollen gestärkt, die Kenntnisnahme durch Unbefugte soll vermieden und die missbräuchliche Verwendung medizinischer Patientendaten damit soweit wie möglich ausgeschlossen werden.“
(So BayLfD und BayLDA im gemeinsamen „Leitfaden Auftragsdatenverarbeitung bei der Aktenverwaltung in bayerischen öffentlichen und privaten Krankenhäusern / Stand 22.06.2016“, Seite 5; der Leitfaden ist abrufbar unter https://www.lda.bayern.de/media/info_kh_leitfaden.pdf.
Dass für diese Sichtweise gute Gründe sprachen, zeigt die Erfolglosigkeit von Verfassungsbeschwerden, die sowohl beim Bayerischen Verfassungsgerichtshof wie beim Bundesverfassungsgericht gegen die Regelung eingereicht wurden. Die bis zum 1. 6. 2022 maßgebliche Regelung des Art. 27 Abs. 4 Satz 6 BayKrG war nach der Entscheidung des Bayerischen Verfassungsgerichtshofs vom 06.04.1989 (Az.: Vf. 2-VII-87) verfassungsgemäß. Die gegen diese Entscheidung gerichtete Verfassungsbeschwerde wurde vom Bundesverfassungsgericht im Beschluss vom 25.09.1990 nicht zur Entscheidung angenommen (Az.: 1 BvR 1555/87).
Mit Wirkung vom 1. 6. 2022 wurde der oben beschriebene Art. 27 Abs. 4 Satz 6 BayKrG gestrichen.
Zugleich wurde Art. 27 Abs. 6 BayKrG neu gefasst:
Vor dem 1. 6. 2022 lautete dieser Absatz wie folgt: „Es sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“
In der seit 1. 6. 2022 maßgebliche Neufassung hat er folgenden Wortlaut:
„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“
Es wäre eine unzulässig verkürzte Betrachtung, sich bei der Neuregelung von Art. 27 BayKrG lediglich auf die Streichung des bisherigen Art. 27 Abs. 4 Satz 6 BayKrG zu fokussieren. Diese Streichung muss vielmehr im Zusammenhang mit der gleichzeitig erfolgten Neufassung von Art. 27 Abs. 6 BayKrG gesehen werden. Ansonsten käme es zu einer nicht vertretbaren Absenkung des Schutzniveaus für Behandlungsdaten von Patientinnen und Patienten.
In der einschlägigen Gesetzesbegründung heißt es recht knapp: „Mit der Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG soll es den Krankenhäusern ermöglicht werden, die Verarbeitung von Patientendaten auch außerhalb des Krankenhauses durch Auftragsverarbeiter vornehmen zu lassen, die keine Krankenhäuser sind.“ (Bayer. Landtag, Drs. 18/19685 v. 22. 12. 2021, Seite 53 - Begründung zu Art. 32 c).
Dies darf nicht so verstanden werden, dass Nicht-Krankenhäuser als Auftragsverarbeiter seitens des Gesetzgebers als völlig problemlos angesehen werden. Vielmehr betont die Gesetzesbegründung in diesem Zusammenhang Folgendes: „Angesichts der allgegenwärtigen Risiken für die Datensicherheit bei Fortschreiten der Digitalisierung ist aktuell gerade im Krankenhausbereich ein besonderes Augenmerk auf die Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten zu richten, um zu gewährleisten, dass die Vorgaben der Datenschutz-Grundverordnung auch dann eingehalten werden, wenn die Verarbeitung außerhalb des verantwortlichen Krankenhauses durch Auftragsverarbeiter erfolgt.“ Dies weist auf die Bedeutung der Neufassung von Art. 27 Abs. 6 BayKrG hin. Sie ist als Einheit mit der Streichung des bisherigen Art. 27 Abs. 4 Satz 6 BayKrG zu sehen und kompensiert teilweise die angesprochenen Risiken, die mit der Einschaltung von Auftragsverarbeitern außerhalb des Krankenhauses verbunden ist.
In der Sache hatte der Gesetzgeber kaum eine andere Wahl, als das bisherige Verbot der Auftragsverarbeitung durch Auftragsverarbeiter, die keine Krankenhäuser sind, zu streichen. Dies liegt nicht zuletzt an den Fortschritten der Medizintechnik. Zum Wohle der Patienten und zur Sicherung des Behandlungserfolgs müssen Krankenhäuser inzwischen immer wieder auf EDV-Anwendungen zurückgreifen, die sie selbst entweder technisch nicht ausreichend beherrschen können und/oder die sie von Anbietern nur dann erhalten, wenn sie auch die EDV-technische Betreuung mit beauftragen, bis hin zur Inanspruchnahme von Cloud-Leistungen und dergleichen. Alternativen hierzu bestehen auch für größere Krankenhäuser öfter nicht mehr.
Der Gesetzgeber hat durchaus gesehen, dass die Aufhebung der bisherigen restriktiven Regelung eine zweischneidige Sache ist. Hierzu heißt es in der Gesetzesbegründung: „Durch die Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG gehen bewährte Schutzelemente für die Verarbeitung von Patientendaten zunächst ersatzlos verloren.“
Dies soll durch geeignete Maßnahmen kompensiert werden, die allerdings nicht näher gesetzlich vorgegeben sind. Hierzu die Gesetzesbegründung: „Diese Lücke sollte für die verantwortlichen Krankenhäuser bedarfsgerecht und idealerweise auf Selbstverpflichtungsbasis zum Beispiel durch ein einvernehmlich geschaffenes Regelwerk geschlossen werden, welches nach Maßgabe der Datenschutz-Grundverordnung die unabdingbaren technischen und organisatorischen Maßnahmen präzisiert und damit den Weg ebnet für eine möglichst einheitliche Anwendungspraxis bei gleichbleibend hohem Schutzniveau für die Patientendaten. Ein derartiges Regelwerk zur Präzisierung der technischen und organisatorischen Maßnahmen könnte beispielsweise seitens der Interessensvertretung der bayerischen Krankenhausträger und deren Spitzenverbände ins Leben gerufen werden. Im Bedarfsfall sollten die zuständigen Datenschutzaufsichtsbehörden diesen Selbstverpflichtungsprozess unterstützend begleiten.“
Die Gespräche hierzu laufen. Ein offizielles Ergebnis liegt bisher noch nicht vor. Sehr wohl ist jedoch bereits zu erkennen, welche Aspekte die geplanten Selbstverpflichtungsregelungen voraussichtlich behandeln werden. In diese Richtung weisen die Ausführungen in einer aktuellen Kurzinformation, die der Bayer. Landesbeauftragte für den Datenschutz zu der Neuregelung veröffentlicht hat. Es heißt dort:
„Die Gesetzesänderung macht bewusst, dass bayerische öffentliche Krankenhäuser Patientendaten betreffende Auftragsverarbeitungsverhältnisse mit externen IT-Dienstleistern nun noch mehr als bislang aktiv gestalten müssen. Das ist keine "banale" Aufgabe:
In Krankenhäusern werden große Mengen an Daten verarbeitet, welche die Gesundheit der Patientinnen und Patienten und damit deren intimsten Lebensbereich betreffen.
Durch die Beteiligung externer Stellen wird der Kreis derer, die mit sensiblen medizinischen Patientendaten in Berührung kommen, größer. Gleichzeitig sinken die direkten Einflussmöglichkeiten der Krankenhäuser auf den Umgang mit den Daten ihrer Patientinnen und Patienten.
Krankenhäuser sind nicht selten Opfer von Cybercrime-Attacken mit teilweise schwerwiegenden Folgen für die Patientinnen und Patienten. Eine Konzentration der Patientendatenverarbeitung auf wenige IT-Dienstleister erhöht die Attraktivität und damit die Eintrittswahrscheinlichkeit von Cybercrime-Angriffen in diesem Bereich.
Für die Verarbeitung setzen nicht wenige IT-Dienstleister Betriebsmittel ein, bei denen die Zulässigkeit einer (möglichen) Datenübermittlung in ein Drittland oder an eine internationale Organisation gewährleistet sein muss. Übermittlungen dieser Art sind seit Geltungsbeginn der Datenschutz-Grundverordnung allerdings strikt reglementiert, wie das Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II zeigt. Dabei ist zu beachten, dass auch ein Fernzugriff, den eine Stelle in einem Drittland auf die im Europäischen Wirtschaftsraum befindlichen Patientendaten hat, eine Übermittlung begründen kann.
Im Krankenhausbereich sind mit zunehmender Digitalisierung sehr viele neue, innovative Formen der Verarbeitung von Patientendaten - oft unter Beteiligung mehrerer Stellen - zu beobachten. In diesem Zusammenhang ist es empfehlenswert, frühzeitig die jeweilige datenschutzrechtliche Rolle einer an der Verarbeitung beteiligten Stelle (wie etwa eigenständiger oder gemeinsamer Verantwortlicher, Auftragsverarbeiter, Datenexporteur, Datenimporteur) mit ihren datenschutzrechtlichen Pflichten und Befugnissen zu identifizieren und die damit erforderlichen Nachweise und sonstigen Unterlagen zu erarbeiten (wie beispielsweise eine Auftragsverarbeitungsvereinbarung, eine Datenschutz-Folgenabschätzung oder eine allgemeine Risikoanalyse).
Die fortschreitende Digitalisierung und die wachsende Komplexität aktueller IT-Systeme führen regelmäßig dazu, dass IT-Dienstleister als Auftragsverarbeiter zur Erbringung ihrer Leistungen weitere Unterauftragsnehmer nutzen, deren Verarbeitung ebenfalls die Anforderungen der Datenschutz-Grundverordnung erfüllen müssen (vgl. Art. 28 Abs. 4 DSGVO).
(Siehe Aktuelle Kurz-Information 43: Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern, Stand: 1. Juni 2022, abrufbar unter https://www.datenschutz-bayern.de/datenschutzreform2018/aki43.html)
Rein rechtlich gesehen ist dies nicht der Fall. Der Gesetzestext selbst verpflichtet nicht dazu, geeignete Selbstverpflichtungen vorzusehen. Eine Orientierung an folgenden Grundsätzen dürfte empfehlenswert sein:
Soweit in der Vergangenheit zufriedenstellende Lösungen gefunden worden waren, die Auftragsvergaben an Nicht-Krankenhäuser vermeiden, sollten diese Lösungen in der Regel fortgeführt werden. Insofern sind die Ausführungen in dem oben (unter Nr. 2) angeführten Leitfaden aus dem Jahr 2016 nicht überholt. In diesem Leitfaden wird anhand vieler Beispiele gezeigt, wie Lösungen ohne Auftragsvergabe an Nicht-Krankenhäuser aussehen können.
Soweit sachlich nichts dagegensteht, die voraussichtlich überschaubare Zeit bis zur Veröffentlichung von Vorschlägen für Selbstverpflichtungsregelungen abzuwarten, sollten diese Vorschläge abgewartet werden.
Soweit es sachlich geboten ist, bereits in nächster Zeit ein Nicht-Krankenhaus als Auftragsverarbeiter einzuschalten, sollten die Hinweise der Aktuellen kurz-Information vom Juni 2022 sorgfältig analysiert und so weit wie möglich berücksichtigt werden.
Dr. Eugen Ehmann
Mitautor von Datenschutz in Bayern
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
Kontaktformular