Neue Kooperationsmöglichkeiten im bayerischen Krankenhaussektor durch Liberalisierung des IT-Outsourcing?!

PrintMailRate-it

​veröffentlicht am 25. April 2022; Autoren: Norman Lenger-Bauchowitz, Maximilian S. Dachlauer, Jürgen Schwestka

 
Die Digitalisierung und Vernetzung ist nach wie vor ein zentrales Thema in der Krankenhaus-IT. Durch die zunehmende Komplexität und dem sehr schwierigen Personalmarkt denken immer mehr Krankenhäuser darüber nach, den Betrieb ihrer Systeme auszulagern, respektive mit anderen Krankenhäusern Know-how in einer gemeinsamen IT-Service-Gesellschaft zu bündeln. Dies ist vor dem Hintergrund des Kostendrucks im Gesundheitswesen nur allzu verständlich. Das Problem in Bayern: Das bayerische Krankenhausgesetz (BayKrG) erlaubt es bisher lediglich, Patientendaten, die nicht ausschließlich zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind intern – also innerhalb des eigenen Krankenhauses – oder durch andere Krankenhäuser zu verarbeiten (lassen). Bayerische Krankenhäuser sind also gehalten, eine eigene IT-Infrastruktur vorzuhalten. Dies soll sich nun ändern.


Der rasant fortschreitende Digitalisierungsprozess betrifft insbesondere die Krankenhäuser. Die Bayerische Landesregierung hat daher erkannt, dass in einzelnen Punkten eine kurzfristige Anpassung der bayerischen Vorschriften zum Datenschutz im Krankenhaus notwendig sind. Ziel ist eine Änderung in Art. 27 Abs. 4 BayKrG, die den Krankenhäusern eine in Bezug auf Digitalisierung und Innovation moderne, IT-gestützte Patientenversorgung ermöglicht und zugleich ein hohes Datenschutzniveau im Krankenhaus gewährleistet. Mit Blick auf die gestiegenen Anforderungen an die IT-Sicherheit (wir berichteten bereits) auch bei Nicht-Kritis-Häusern sollen für die Zukunft vor allem die Möglichkeiten einer Externalisierung von Gesundheitsdaten von Patientinnen und Patienten berücksichtigt werden.

 

Was gilt bisher?

Art. 27 Abs. 4 S. 6 BayKrG sieht in der aktuellen Fassung für die Krankenhäuser in Bayern lediglich vor, Patientendaten, die nicht nur zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, nur intern (selbst) oder durch andere Krankenhäuser zu verarbeiten bzw. verarbeiten zu lassen.

 

Dies führte in der Vergangenheit dazu, dass es keine Kooperationsmöglichkeiten respektive Outsourcing-Möglichkeiten hinsichtlich der IT-Infrastruktur an externe Dienstleister bestanden. Hinzu kommt, dass immer mehr Anbieter ihre Produkte nur noch in der Cloud anbieten und Krankenhäusern somit nur noch eine eingeschränkte oder veraltete Auswahl an Softwarelösungen zur Verfügung steht. Diese Einschränkung ist insoweit nicht mehr zeitgemäß, als dass die DS-GVO selbst und die Novellierung der Verschwiegenheitspflicht in § 203 StGB dies grundsätzlich schon erlauben würden. Von daher stellte sich regelmäßig die Frage, warum eine Gestaltung nach den strengen Strafgesetzen grundsätzlich möglich, durch das BayKrG allerdings eingeschränkt ist. Dies insbesondere vor dem Hintergrund, dass das Schutzniveau hinsichtlich der Gesundheitsdaten sukzessive – letztmalig mit Wirkung zum 01.01.2022 durch die Änderung des § 75c SGB V – angehoben wurde. Für besonders große Krankenhäuser, die ohnehin als kritische Infrastrukturen gelten, ist ohnehin das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), dort § 8a BSIG anwendbar, das alle zwei Jahre einen entsprechenden Prüfungsnachweis vor sieht. 

 

Was soll gelten?

Nach dem Entwurf des Gesetzes über den Öffentlichen Gesundheitsdienst (Gesundheitsdienst-Gesetz – „GDG”) (Drucksache Nr. 18/19685) sollen künftig einige Privilegien gelten, die kreative Lösungsansätze möglich machen. Der wohl entscheidendste Punkt ist hier die Aufhebung des Art. 27 Abs. 4 S. 6 BayKrG. 

 
Durch die Streichung soll es künftig keine Beschränkungen mehr hinsichtlich des Gesundheitsdatenverarbeiters mehr geben. Auftragsverarbeitungen sollen dann auch durch Dienstleister vorgenommen werden können, die eben keine Krankenhäuser sind. 

 

Wann soll die Regelung in Kraft treten?

Die Aufhebung des Art. 27 Abs. 4 S. 6 BayKrG soll sechs Monate nach Inkrafttreten des GDG in Kraft treten.

 

Was ist weiter zu beachten?

Die neue Rechtslage ist natürlich kein „Freibrief”, was den Umgang mit Gesundheitsdaten angeht. Es wird auch bei zukünftigen IT-Outsourcings erforderlich sein, die Vorschriften der Art. 28 und 32 DS-GVO zu berücksichtigen. Insoweit soll in Art. 27 Abs. 6 BayKrG eine entsprechende Klarstellung und ausdrückliche Bezugnahme auf die geltenden Vorgaben der DS-GVO erfolgen, die im Zusammenhang mit der Auftragsverarbeitung von Patientendaten uneingeschränkt zu beachten sind. Nach der Gesetzesbegründung stammt der gegenwärtige Wortlaut des Art. 27 Abs. 6 noch aus der Zeit vor Geltung der DS-GVO. Dieser stellt terminologisch bereits auf die besonderen Schutzmaßnahmen technisch und organisatorischer Art ab. Hier soll klargestellt werden, dass diese eben nicht als abschließende Spezialregelung im Verhältnis zu den Bestimmungen der DS-GVO aufgefasst werden sollen. 

 

Denn natürlich ist dem Gesetzgeber auch klar, dass angesichts der allgegenwärtigen Risiken für die Datensicherheit bei Fortschreiten der Digitalisierung gerade im Krankenhausbereich ein besonderes Augenmerk auf die 

  • Vertraulichkeit
  • Integrität 
  • Authentizität und
  • Verfügbarkeit 

der Patientendaten zu richten ist, um letztendlich zu gewährleisten, dass die Vorgaben der Datenschutz-Grundverordnung auch dann eingehalten werden, wenn die Verarbeitung außerhalb des verantwortlichen Krankenhauses durch Auftragsverarbeiter erfolgt. Als zusätzliche Schutzziele werden durch den Branchenstandard (B3S) die Patientensicherheit und Behandlungseffektivität definiert.

 

Die Gesetzesbegründung führt zudem aus, dass die beabsichtigte Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG dazu führe, bewährte Schutzelemente für die Verarbeitung von Patientendaten zunächst ersatzlos zu stellen. Diese Lücke solle für die verantwortlichen Krankenhäuser bedarfsgerecht und idealerweise auf Selbstverpflichtungsbasis zum Beispiel durch ein einvernehmlich geschaffenes Regelwerk geschlossen werden, welches nach Maßgabe der DS-GVO die unabdingbaren technischen und organisatorischen Maßnahmen präzisieren könnte und damit den Weg für eine möglichst einheitliche Anwendungspraxis bei gleichbleibend hohem Schutzniveau für die Patientendaten ebne. Hier übersieht der Gesetzgeber, dass es ein derartiges Regelwerk mit dem sog. B3S bereits gibt. 

 

Fallstrick Vergaberecht bei öffentlichen Auftraggebern beachten 

Sollte das Gesetz entsprechend umgesetzt und die zukünftige IT-Leistung bei Krankenhäusern in öffentlicher Hand ausgegliedert werden, ist ferner zu berücksichtigen, dass je nach geplantem Volumen des geplanten Outsourcings das Vorhaben öffentlich ausgeschrieben werden muss.

 

Konkrete Hilfestellung: Checkliste

Als erste Orientierung könnte zur Vorbereitung auf die geplante Gesetzesänderung folgende Checkliste/Überlegungen dienen:

 

Habe ich eine rechtssichere Auftragsdatenverarbeitungsvereinbarung nach Art. 28 Abs. 3 DS-GVO?
​Haben wir das Vergaberecht berücksichtigt bzw. müssen wir das berücksichtigen?
​Kann der Outsourcing Partner besondere Sicherheit der Verarbeitung personenbezogener Daten gewährleisten?
​Werden ggf. Zusatzvereinbarungen unter Berücksichtigung des § 203 StGB notwendig?
​Verfügt der externe Auftragsverarbeiter über die notwendigen Schutzmaßnahmen in Form eines geeigneten Sicherheitskonzepts?
​Verfügt mein Krankenhaus über die notwendigen Schutzmaßnahmen in Form eines geeigneten Sicherheitskonzepts?

 

Zusammenfassung 

Der Landesgesetzgeber hat eingesehen, dass die geplanten Änderungen notwendig sind, damit die Krankenhäuser noch besser mit der digitalen Entwicklung mithalten können. 

 

Die geplante Änderung, die eine Einschaltung externer Dienstleister möglich macht, ist aus unserer Sicht sehr zu begrüßen und liefert den Krankenhäusern die Möglichkeit unter Kosten- und Effizienzgesichtspunkten bestimmte Teilstrukturen zu überdenken.

 

Gerne unterstützen wir Sie mit unserem interdisziplinären Team bei der Konzeptionierung eines entsprechenden Vorhabens. Sprechen Sie uns gerne unverbindlich an.

Kontakt

Contact Person Picture

Norman Lenger-Bauchowitz, LL.M.

Mediator & Rechtsanwalt, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)

Partner

+49 911 9193 3713

Anfrage senden

Profil

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu