Orientierungshilfe Krankenhausinformationssysteme (KIS), 2. Fassung

Die Herausforderung

Die Herausforderung für Betreiber von Krankenhäusern und für niedergelassene Ärzte ist es, die Vielzahl der zu beachtenden Rechtsvorschriften in Einklang zu bringen mit einer effizienten und praktikablen Patientenbehandlung. Der Datenschutz und die ärztliche Schweigepflicht sind die dabei die zentral zu beachtenden Rechtsvorschriften.

Welche Vorteile bietet die zweite Fassung der Orientierungshilfe für KIS gegenüber der ersten Fassung?

Die erste Fassung der Orientierungshilfe stieß bei Krankenhausbetreibern auf Kritik. Ein Ziel der Orientierungshilfe KIS, nämlich den Betreibern von Krankenhäusern Hilfe bei der rechtskonformen Umsetzung von datenschutzrechtlichen Fragestellung zu geben, wurde in seiner ersten Fassung nicht gänzlich erreicht.
Die zweite Fassung beruht auf den Erfahrungen der Kontroll- und Beratungstätigkeit der Datenschutzbeauftragten des Bundes und der Länder und auf dem Austausch der Gruppe mit den Betreibern von Krankenhäusern (DKG, Landeskrankenhausgesellschaften), die sinnvoller Weise mit ins „Boot“ genommen wurden.
Mit der zweiten Fassung ist nun wesentlich klarer geworden, dass den rechtlichen Rahmenbedingungen durch System- und Prozessgestaltung entsprochen werden kann. Eine effiziente Patientenbehandlung und guter Datenschutz sind in Einklang zu bringen.

Die Vorteile der zweiten Fassung im Einzelnen:
• Präzisierung der rechtlichen Rahmenbedingungen
• Katalog von konkreten Handlungssituationen und Fallbeispielen
• Technische Anforderungen wurden durch den rechtlichen Bezug präzisiert und unterteilt in „muss“, „soll“, „sollte“

Zweck der Orientierungshilfe

Häufig wurden bei Prüfungen in verschiedenen Bundesländern zum Teil beträchtliche Defizite in den Bereichen Datenschutz und ärztliche Schweigepflicht im Zusammenhang mit der Nutzung von Krankenhausinformationssystemen (KIS) festgestellt. Aus diesem Grund haben u.a. die Datenschutzbeauftragten des Bundes und der Länder eine „Orientierungshilfe Krankenhausinformationssysteme“ erstellt. Diese soll es Betreibern und Herstellern von KIS erleichtern, den “umfangreichen gesetzlichen Anforderungen und den gerechtfertigten Erwartungen der Patienten“ gerecht zu werden.
Auch niedergelassene Ärzte oder Forschungsunternehmen auf dem medizinischen Sektor können Erkenntnisse für ihren persönlichen Patientendatenschutz aus dieser Orientierungshilfe gewinnen. Hilfreich ist für diese Stellen wohl vor allem der Katalog von konkreten Handlungssituationen und Fallbeispielen.
Für die Aufsichts- und Kontrollbehörden wird diese Orientierungshilfe den Maßstab bei der künftigen Bewertung konkreter Verfahren im Rahmen ihrer Kontroll- und Beratungstätigkeit bilden. Ein Grund mehr für uns, mit Ihnen die Orientierungshilfe genauer zu betrachten.

Datenflut in einem Krankenhaus

In kaum einer anderen Institution ist die Datenverarbeitung so komplex wie in einem Krankenhaus und in kaum einer anderen Institution spielt der Datenschutz dabei eine so große Rolle. Woraus das resultiert, liegt auf der Hand.
In erster Linie ist es der Tatsache geschuldet, dass Patientendaten als besonders schutzwürdig einzustufen sind (§ 3 Abs. 9 BDSG). Die Offenbarung von Krankheiten, Beschwerden und Leiden kann für den Betroffenen nicht nur unangenehm sein, sondern kann auch zu weitreichende Konsequenzen für seinen sozialen und beruflichen Status führen. Gleiches gilt für zukünftige Vertragsverhältnisse mit Versicherungsunternehmen und Kreditinstituten, auch hier kann die Offenbarung von Patientendaten sich negativ auswirken.
Darüber hinaus resultiert die enorme Wichtigkeit von Datenschutz im Krankenhaus aus der Tatsache, dass Krankenhäuser nach dem SGB V auftreten, sie zugleich Vertragspartner von Krankenkassen und Patienten sind, sowie dass sie zusätzlich gegenüber den Krankenhausmitarbeitern die Arbeitgeberfunktion wahrnehmen. Diese Datenflut bringt umfangreiche Dokumentationspflichten und das komplexe System der Leistungsabrechnung mit sich.

Datenverarbeitung und ärztliche Schweigepflicht: Was gilt es speziell zu beachten?

Bei der Beurteilung der Zulässigkeit einer Verarbeitung und Nutzung von personenbezogenen Daten kommt es neben der Beachtung der zahlreichen Regelungen auf Landes- und Bundesebene auch noch darauf an, die ärztliche Schweigepflicht zu berücksichtigen. Die Schweigepflicht stellt neben der datenschutzrechtlichen “Schranke“ eine zusätzliche, gleichrangige “Schranke“ dar, die es ebenfalls zu beachten gilt, um eine rechtskonforme Datenverarbeitung zu gewährleisten. Man spricht in diesem Zusammenhang von einem „Zwei-Schranken-Prinzip“.
Probleme treten diesbezüglich häufig bei der Auftragsdatenverarbeitung (ADV) auf. Datenschutzrechtlich hat der Arzt die Möglichkeit Patientendaten an externe Dienstleister weiterzugeben, jedoch ist er damit noch nicht von seiner Schweigepflicht (§ 203 StGB) entbunden. Hier stößt die Orientierungshilfe an ihre Grenzen und es ist durchaus sinnvoll, sich an dieser Stelle an einen erfahrenen Datenschutzberater zu wenden.

Die Orientierungshilfe setzt rechtliche Rahmenbedingungen

Bei der Aufnahme eines Patienten in ein Krankenhaus spielen sowohl medizinische als auch administrative Belange eine Rolle. Je nach Krankenhaus unterscheiden sich Abfolge und handelnde Personen. Der Grundsatz bzw. die rechtliche Rahmenbedingung bleibt jedoch immer gleich:
„Der Umfang der Daten, welche die Beschäftigten jeweils aufnehmen dürfen, richtet sich nach den ihnen zugewiesenen Aufgaben und ist auf das für die Erfüllung der Aufgaben Erforderliche zu beschränken.“ (Orientierungshilfe 2. Fassung, KIS)
Gleiches gilt für die Zugriffsrechte auf Patientendaten. Es ist naheliegend, dass das in der Aufnahme beschäftigte Personal nicht die gleichen Zugriffsrechte haben darf und benötigt wie der behandelnde Arzt oder das behandelnde Ärzteteam. Die Orientierungshilfe zeigt aber nun wesentlich genauer, wer welche Zugriffsrechte zu welchem Zeitpunkt haben darf und wer befugt ist diese Zugriffsrechte festzulegen und / oder zu ändern. Fälle, die unter die Notwendigkeit einer solchen Regelung fallen, sind zum Beispiel die Patientenverlegung in eine andere Abteilung oder die Beendigung der Behandlung.
Des Weiteren trägt die Orientierungshilfe auch zu weiteren Präzisierungen von datenschutzrechtlichen Anforderungen bei, beispielsweise bei der Protokollierung von Zugriffen auf Patientendaten oder bei den Auskunftsrechten von Patienten.

Die Aufsichtsbehörde wird künftig differenzieren zwischen „zwingenden Anforderungen („muss“), Anforderungen, ohne deren Einhaltung ein datenschutzgerechter Betrieb eines KIS wesentlich erschwert wird („soll“), und Anforderungen, die allgemein einen datenschutzfreundlichen Einsatz unterstützen („sollte“).“

Technische Anforderungen an die Gestaltung und den Betrieb von KIS

Die Orientierungshilfe enthält zahlreiche Informationen über technische Anforderungen, von denen hier nur einige genannt werden sollen:
• Welche Strukturen müssen in einem Patientendatensystem (PAS) vorliegen?
• Wann ist eine Verschlüsselung der Daten notwendig?
• Welche Anforderungen müssen bei einem Rollen- und Berechtigungskonzept erfüllt werden?
• Wie ist der Systemzugang zu gestalten?
• Welche Ereignisse müssen dringend protokolliert werden?
• usw.
Ein rechtskonformes Krankenhausinformationssystem muss vor allem zwei Anforderungen erfüllen:
Zum einen muss es geeignete Funktionen oder Mechanismen für einen datenschutzkonformen Umgang mit Daten zur Verfügung stellen. Diese Anforderung wendet sich vor allem an die Hersteller von KIS.
Zum anderen muss ein KIS eine datenschutzkonforme Konfiguration des Systems ermöglichen. Diese Anforderung wendet sich an die Krankenhausbetreiber. Eine datenschutzkonforme Konfiguration liegt vor allem in der Verantwortung der Betreiber der Systeme als der datenschutzrechtlich verantwortlichen Stelle. Dies ist wichtig festzuhalten, weil es letztlich der Betreiber von KIS ist, der bei möglichen Datenschutzverstößen haftet, nicht der Hersteller!

Fazit

Die 2. Fassung der Orientierungshilfe wird ihrem Ziel, Verständnisschwierigkeiten abzubauen bezüglich der rechtskonformen Nutzung von schutzwürdigen Patientendaten, weitestgehend gerecht.
Sie kann jedoch die Frage der datenschutzrechtlich und strafrechtlich zulässigen Auslagerung (ADV / Übermittlung) von Patientendaten nicht zufriedenstellend beantworten. Lösungswege zu finden ist unsere Kernkompetenz. Sprechen Sie uns gerne an!