Das lange Warten vieler bayerischer Krankenhausbetreiber hat ein Ende. Zum 1. Juni 2022 wurde Art. 27 Abs. 4 Satz 6 des Bayerischen Krankenhausgesetzes (BayKrG) im Hinblick auf die Verarbeitung von Patientendaten durch externe Dienstleister aufgehoben. Führt dies nun zu einer Liberalisierung von Outsourcing, insbesondere im IT-Bereich? Was die neue Regelung besagt und welche Anforderungen Verantwortliche immer noch zu beachten haben, erfahren Sie in diesem Artikel.
Bisherige Problematik und Kritik
Durch den ehemaligen Art. 27 BayKrG war es bayerischen Krankenhäusern bisher nur in engen Grenzen gestattet, Patientendaten außer Haus verarbeiten zu lassen. Ausnahmen gab es bis dato nur für Aufgaben, die im Zusammenhang mit der verwaltungsmäßigen Abwicklung der Behandlung von Patienten erforderlich waren. Die Auslagerung von Services war ausschließlich an andere (Dienstleistungs-)Krankenhäuser möglich.
Zudem sorgte für Schwierigkeiten in der Praxis insbesondere der damit einhergehende vorausgesetzte Gewahrsam über alle Patientendaten. Im Kern musste das verantwortliche Krankenhaus zu jederzeit Herr über die Daten nicht nur aus rechtlicher, sondern auch aus tatsächlicher Sicht sein. Die Hoheit über die Daten musste daher sowohl räumlich als auch zeitlich gewährleistet sein.
In der Praxis hatte dies beispielsweise Auswirkungen auf ausgelagerte Archive oder Aktenvernichtung bis hin zum Betrieb der zentralen IT-Infrastruktur. Für die Archivierung mussten eigens Räumlichkeiten angemietet werden, die Aktenvernichtung hatte auf dem Krankenhausgelände unter Aufsicht von Krankenhauspersonal erfolgen und die zentrale Serverlandschaft durfte ausschließlich lokal eingerichtet sein.
SaaS-Services konnten nur mittels lokaler Installation, Cloudservices noch eingeschränkter genutzt werden. Der Gewahrsam war außerhalb des räumlichen Geltungsbereichs der Kliniken nur mittels technisch nicht trivialer Vollverschlüsselung einschließlich eigener Schlüsselverwaltung durch das Krankenhaus oder einen Treuhänder realisierbar.
Während Privatunternehmen sich etwa auch durch Managed-Services IT-Know-How einkaufen konnten, mussten die Betreiber bayerischer Krankenhäuser ihre Kompetenzen intern selbst aufbauen – kein leichtes Unterfangen.
In der Gesamtschau führte dies nicht selten zu einem Technikvorsprung von Krankenhäusern in anderen Bundesländern mit weniger harten Beschränkungen. Adressierte Betreiber äußerten oft Unmut und kritisierten das BayKrG häufig als nicht mehr zeitgemäß.
Mitunter waren bayerische Krankenhäuser gezwungen sehenden Auges geltendes Recht zu brechen, wenn es unabdingbar war, Dienstleister medizinischer Geräte zwecks (Notfall-)Wartung remote auf die Systeme zugreifen zu lassen.
Mit dem im Juni 2022 in Kraft getretenen Gesetz über den Öffentlichen Gesundheitsdienst (Gesundheitsdienstgesetz – GDG) wurde Art. 27 Abs. 4 Satz 6 des Bayerischen Krankenhausgesetzes nun ersatzlos gestrichen.
Derzeitige (datenschutzrechtliche) Anforderungen an Outsourcingvorhaben
Voranzustellen ist, dass man zwischen der Datenübermittlung an einen eigenständigen Verantwortlichen und dem echten Outsourcing eigener Tätigkeiten im Zuständigkeitsbereich der Krankenhäuser unterscheiden muss. Ersteres war unter Einhaltung datenschutzrechtlicher Vorgaben auch nach alter Rechtslage möglich.
Die neue Regelung erlaubt nunmehr das Outsourcing von Tätigkeiten im Rahmen einer Auftragsverarbeitung nach Maßgabe des Art. 28 DSGVO sowie insbesondere Art. 24 und 32 DSGVO. Darüber hinaus können für Verantwortliche in kirchlicher Trägerschaft weitere Maßgaben nach kirchlichem Datenschutzrecht oder aber weitere spezifische Anforderungen einschlägig sein.
Wichtig bleibt nach wie vor, Krankenhäuser als datenschutzrechtlich Verantwortliche hinsichtlich der gesteigerten Vorgaben an die eigenen Verpflichtungen zum Schutze besonders schützenswerter (Gesundheits-)Daten im Sinne des Art. 9 DSGVO zu sensibilisieren. Denn ein Outsourcing und damit eine Verarbeitung personenbezogener Daten im Auftrag eines Dienstleisters darf nie zu Lasten der Aufrechterhaltung des gesetzlich geforderten hohen Datenschutzniveaus führen.
Verantwortliche müssen dafür Sorge tragen, dass auch die eingesetzten Dienstleister geeignete und risikoangemessene Garantien im Einsatz haben sowie regelmäßig prüfen, um das vorausgesetzte Schutzniveau nicht zu untergraben. Die Verlagerung der Tätigkeit hat nämlich immer auch einen Kontrollverlust zur Folge, da die tatsächliche Datenverarbeitung in die Sphäre des vertraglich verpflichteten Dienstleisters fällt. Dies setzt in der Praxis eine regelmäßige Kontrolle der eingesetzten Auftragsverarbeiter durch die Verantwortlichen voraus.
Neben den allgemeinen Anforderungen findet die Liberalisierung auch ihre Grenzen in weiteren datenschutzrechtlichen Maßgaben. Oft wird verkannt, dass mit der bloßen Möglichkeit nicht gleichzeitig die generelle Erlaubnis einhergeht, Daten beispielweise in einem unsicheren Drittland verarbeiten zu lassen. Sind die Anforderungen bereits für nicht sensible Daten hoch, gilt dies erst recht für sensible Gesundheitsdaten der Patienten. Der remote Wartungszugriff auf ein Krankenhausinformationssystem (KIS), dessen Subsysteme und andere netzgebundene Medizintechnik ist daher nicht – wie oft fälschlicherweise angenommen – ohne Weiteres von in einem Drittland ansässigen Tochterunternehmen des Dienstleisters möglich, obwohl der Vertrag mit einer EWR-Gesellschaft geschlossen wird. Oftmals wird sich ein Zugriff innerhalb des Konzernverbunds nämlich durch den Dienstleister vertraglich vorbehalten. Auch ein Cloud-Backup in ein Rechenzentrum der großen US-Dienstleister ist nicht ohne zusätzliche Anforderungen zu realisieren. Serverstandorte innerhalb der Europäischen Union verleihen dabei trügerische Rechtssicherheit.
Zudem gilt auch weiterhin die Strafbewehrtheit einer Offenbarung von Berufsträgern anvertrauten Privatgeheimnissen, darunter sämtliche behandlungsrelevante Daten. Auch strafrechtliche Normen dürfen durch ein Outsourcing nicht ausgehebelt werden. Dies gilt insbesondere auch für internationale Unternehmen, auf die das deutsche Strafrecht keine Anwendung findet.
Datenschutzrechtliche Bewertung
Das Outsourcing von Tätigkeiten im Krankenhauskontext ist nach wie vor ein schwieriges Unterfangen. Konnten beratende Stellen bislang bereits der Frage nach dem Ob einer entsprechenden Möglichkeit schnell den Riegel vorschieben, gilt es nun rechtssichere Verträge abzuschließen, die im Einzelfall auch eine Prüfung anhand konkreter vertraglicher Zusagen ermöglichen. Ziel der Liberalisierung darf nicht sein, datenschutzrechtliche Pflichten mit outzusourcen, sondern einem bestmöglichen Automatisierungsgrad und einer bestmöglichen IT-gestützten Patientenversorgung im Gesundheitswesen die Zukunft zu bereiten.
Auch Dienstleister im Gesundheitssektor sollten sich in den Bereichen Datenschutz und Informationssicherheit auf diese Chancen einstellen und sich einen Marktvorteil vor denjenigen Marktbegleitern sichern, bei denen Datenschutzgesichtspunkte bis zu diesem Zeitpunkt eine noch untergeordnete Rolle spielen.
Eine Liberalisierung war auch vor dem Hintergrund weiterer gesetzlicher Vorgaben an den technischen Datenschutz notwendig. Das Patienten-Daten-Schutzgesetz (PDSG) und der § 75 c SGB V bei Nicht-KRITIS-Krankenhäusern oder dem § 8a BSIG für KRITIS-Krankenhäuser setzen bereits in gewisser Weise ein Outsourcing voraus. Es wäre unmöglich nicht offen zu einer Umgehung des Art. 27 Abs. 4 BayKrG aufzurufen, wenn der Gesetzgeber dort gleichsam die umfangreiche Implementierung von Sicherheitsvorkehrungen zum Schutz der Patientendaten verlangt.
Ein gänzlich abgeschottetes Krankenhausnetz ohne Zugriff von außen wird auch in Hinblick auf die Anforderungen an die Telematikinfrastruktur nicht mehr betrieben werden können.
Eine dem Stand der Technik entsprechende Sicherheitsarchitektur ist vor diesem Hintergrund zwingend. Nicht allein aufgrund des stetig anwachsenden Sicherheitsinteresses war der Gesetzgeber auf Bundesebene schneller und ermöglichte eingedenk des eigentlich strengeren strafrechtlichen Geheimnisschutzes im neugefassten § 203 StGB bereits Ende 2017 eine Offenbarungsmöglichkeit des Geheimnisträgers an berufsmäßig tätige Gehilfen auch in Form von outgesourcten IT-Dienstleistungen.
Fazit: Liberalisierung ist kein datenschutzrechtlicher Freibrief
Die bisherige Regelung des Art. 27 BayKrG war zweifelsohne aus der Zeit gefallen. Die Änderung hat viel zu lange auf sich warten lassen und ist im Grundsatz zu begrüßen.
Betreiber bayerischer Krankenhäuser dürfen nun aber nicht dem Irrglauben unterliegen, dass damit auch sonstige Erleichterungen hinsichtlich der Einhaltung einschlägiger datenschutzrechtlicher Vorschriften einhergehen. Insbesondere im Kontext der Verarbeitung von besonders sensiblen Patientendaten ist die Messlatte der datenschutzrechtlichen Anforderungen an die Übertragung von Aufgaben an Auftragsverarbeiter weiterhin hoch.
Die neu eröffneten Möglichkeiten bedingen auch ein Mehr an Prüfpflicht und Überwachung. Fundierte Kenntnisse über die Prüfung vertraglich durch den Dienstleister zugesicherter Pflichten, sowie die Umsetzung technischer Sicherheitsmaßnahmen sind unabdingbar.