Gesundheitsdaten gehören zu den besonderen Arten personenbezogener Daten, die nach der EU-Datenschutzrichtlinie und den deutschen Datenschutzgesetzen als besonders schützenswert anzusehen sind. Dies hat sowohl in Landesgesetzen wie dem Landesdatenschutzgesetz – LDSG – (§ 33 LDSG) als auch im Bundesdatenschutzgesetz – BDSG – (§ 3 Absatz 9, § 28 Absatz 6 bis 9 BDSG) seinen Niederschlag gefunden. Darüber hinaus gilt die ärztliche Schweigepflicht, deren Verletzung nach § 203 Strafgesetzbuch strafbewehrt ist. Zudem hat der Landesgesetzgeber mit dem Landeskrankenhausgesetz bereichsspezifische Vorschriften zum Datenschutz in Krankenhäusern erlassen.
Krankenhausinformationssysteme (KIS) sind heute zu unverzichtbaren Hilfsmitteln ärztlicher Behandlung in Krankenhäusern geworden. Ein Abruf der darin elektronisch gespeicherten Patientendaten ist jederzeit möglich und bietet damit die Grundlage für effiziente Behandlungsentscheidungen. Unbestreitbar hat dies Vorteile sowohl für den Patienten als auch für das ärztliche und das Pflegepersonal. Nicht übersehen werden darf dabei allerdings, dass die schnelle, leichte und vollständige Verfügbarkeit der Patientendaten erhebliche Datenschutzrisiken birgt.
Leider weist die reale Krankenhauspraxis beträchtliche Defizite bei der Wahrnehmung des Datenschutzes und der ärztlichen Schweigepflicht im Zusammenhang mit der Nutzung von Krankenhausinformationssystemen auf, wie die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bereits im Oktober 2009 konstatiert hatte. Sie forderte deshalb eine datenschutzkonforme Gestaltung der internen Abläufe und der Zugriffsrechte in der Informationstechnik von Krankenhäusern. Außerdem müssten die Patienten nachvollziehen können, wer auf ihre Daten tatsächlich zugegriffen hat.
Die Datenschutzanforderungen in Krankenhausinformationssystemen im Klinikalltag sowohl praxisgerecht als auch rechtskonform abzubilden bereitet den Krankenhausbetreibern Probleme weil die Hersteller der Softwaresysteme die datenschutzrechtlichen Anforderungen bisher nur unzureichend beziehungsweise nur gegen Aufpreis technisch umgesetzt haben.
Eine Unterarbeitsgruppe der Arbeitskreise „Gesundheit und Soziales“ und „Technik“ (UAG KIS) hat daher im Auftrag der Datenschutzkonferenz eine Orientierungshilfe erarbeitet, die als Richtschnur für alle beteiligten Aufsichtsbehörden, Krankenhausbetreiber und Softwareanbieter dienen soll. Einbezogen wurden dabei auch Krankenhäuser, Krankenhausgesellschaften, Hersteller von Krankenhausinformationssystemen, Anwendervereinigungen und Vertreter der Kirchen.
Die sowohl von den Datenschutzbeauftragten des Bundes und der Länder mit Entschließung vom 16./17. März 2011 als auch den obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) mit Beschluss vom 4./5. Mai 2011 zustimmend zur Kenntnis genommene Orientierungshilfe Krankenhausinformationssysteme (OH KIS) umfasst in einem ersten Teil „Normative Eckpunkte zur Zulässigkeit von Zugriffen auf elektronische Patientendaten im Krankenhaus“, die die bereits jetzt bestehenden gesetzlichen Anforderungen konkretisieren. In einem zweiten Teil werden die „Technischen Anforderungen an die Gestaltung und den Betrieb von Krankenhausinformationssystemen“ dargestellt, also Maßnahmen, die zur technischen Umsetzung der gesetzlichen Anforderungen erforderlich sind. Vorangestellt sind ein Begleitpapier mit einer kurzen Erläuterung der Ziele der Orientierungshilfe sowie ein umfassendes Glossar zu den zentralen Begriffen.
Um die Erfahrungen aus den Prüftätigkeiten der Datenschutzaufsichtsbehörden und Rückmeldungen aus der Praxis aufzunehmen, wurde diese Orientierungshilfe fortgeschrieben. Die Darstellung der rechtlichen Rahmenbedingungen wurde präzisiert. Speziell für einrichtungs- und mandantenübergreifende Zugriffe wurde ergänzend ein Szenarienkatalog bereitgestellt. Hinsichtlich der technischen Anforderungen wurde der durchgehende Bezug zu den rechtlichen Rahmenbedingungen verdeutlicht.
Die Orientierungshilfe hat keinen Gesetzescharakter. Die Aufsichtsbehörden werden jedoch bei ihren Prüfungen und Beratungen diesen gemeinsam gefundenen Maßstab zugrunde legen. Abweichungen werden sie nur dort akzeptieren, wo ein gleich hohes Schutzniveau auf andere Weise erreicht wird.
Was ist zu tun?
- Die OH KIS sollte Pflichtlektüre für alle betrieblichen Datenschutzbeauftragten, die EDV-Verantwortlichen und die Verwaltungsleiter in den Krankenhäusern sein.
- Krankenhäuser sollten zunächst prüfen, welche Teile der Orientierungshilfe bereits jetzt umgesetzt werden können und ihre Verfahren entsprechend einrichten.
- Soweit eine Umsetzung derzeit technisch noch nicht möglich ist, sollte ein Forderungskatalog erstellt und den Anbieterfirmen vorgelegt werden.
- Die Hersteller der Krankenhausinformationssysteme sind ihrerseits aufgefordert, ihre Systeme nachzubessern, um einen praxisgerechten und rechtskonformen Einsatz im Krankenhaus zu ermöglichen.
Das Ziel aller Beteiligten muss eine zügige Anpassung der Krankenhausinformationssysteme an die in der Orientierungshilfe geforderten Standards sein.
Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat zusammen mit der Baden-Württembergischen Krankenhausgesellschaft e. V. eine Arbeitsgruppe gebildet, die die Krankenhäuser im Land bei der Umsetzung der Orientierungshilfe unterstützen will.
Quellen:
- Orientierungshilfe KIS – Synopse (Teil 1) der Fassungen 2011 und 2014
- Orientierungshilfe KIS – Synopse (Teil 2) der Fassungen 2011 und 2014
Lesen Sie hierzu auch:
- Entschließung der Datenschutzbeauftragten des Bundes und der Länder vom 08./09. Oktober 2009
- Entschließung der Datenschutzbeauftragten des Bundes und der Länder vom 16./17. März 2011
- Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 4./5. Mai 2011