Studie: Das Krankenhaus im Spannungsfeld Datenschutz

Curacon hat eine Studie auf Basis einer im Sommer 2017 durchgeführten deutschlandweiten Befragung der ersten Führungsebene und den Datenschutzbeauftragten im Krankenhaus aufgearbeitet.

Die Curacon-Datenschutzstudie 2018, erhebt den Umsetzungsstand datenschutzrechtlicher Vorgaben sowie bereits initiierter Maßnahmen zur Anpassung der bestehenden Datenschutzmanagementsysteme hinsichtlich der ab Mai Geltung entfaltenden EU-Datenschutz-Grundverordnung (DS-GVO)i . Die Antworten von 105 Einrichtungen lassen sowohl bei Maßnahmen nach bisher geltenden Rechtsgrundlagen als auch in Vorbereitung auf die neue DS-GVO zum Teil erhebliche Defizite erkennbar werden.

Maßnahmen zur Schwachstellenidentifizierung unzureichend

In Art. 32 DS-GVO ist festgeschrieben, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen getroffen werden müssenii. Voraussetzung für die Implementierung zielführender Maßnahmen zur Sicherstellung der Schutzbedarfe verschiedener Datenkategorien ist die Analyse der Ist-Situation sowie die Identifizierung von Schwachstellen. Hierzu sind Begehungen das erste Mittel der Wahl. Die Studie konnte zeigen, dass diese jedoch nur von einem Drittel der Einrichtungen regelmäßig und von weiteren 44 % unregelmäßig durchgeführt werden. In einem Viertel der Einrichtungen haben Begehungen unter Berücksichtigung der Datenschutzaspekte bisher nie stattgefunden. Da in Art. 32 Abs. 1 lit. d DS-GVO die Einführung eines Prozesses, der einen Demingkreis bestehend aus den Komponenten „Plan-Do-Check-Act“ abbildetiii, gefordert ist, besteht in Einrichtungen ohne regelmäßige Bestandsaufnahmen hierdurch dringender Handlungsbedarf.iv

Orientierungshilfe-Krankenhausinformationssysteme (OH-KIS)v als Maßstab

Maßnahmen der Zugriffskontrolle dienen der Kontrolle und Steuerung des Zugriffs auf personenbezogene Daten in den IT-Systemen. Basis jeglicher Zugriffskontrolle ist die Einführung eines Berechtigungskonzepts, das nach dem Grundsatz des „Need-to-know“-Prinzips ausgestaltet sein sollte. Mit der OH-KIS liegt eine Richtlinie vor, die die gesetzlichen Vorgaben konkretisiert und die Maßnahmen zur technischen Umsetzung darstellt. Die OH-KIS hat zwar keinen Rechtscharakter, wurde von Aufsichtsbehörden im Rahmen von Prüfungen aber als gemeinsamer Maßstab zugrunde gelegt.
Sowohl im ärztlichen und pflegerischen Dienst im Krankenhaus als auch für das Verwaltungspersonal werden bei rund 90 % der Einrichtungen definierte Berechtigungskonzepte genutzt. Allerdings sind diese nur hälftig nach den Vorgaben der OH-KIS ausgestaltet, während 44 % diese noch teilweise und 7 % gar nicht berücksichtigen.

Prüfung organisatorischer Maßnahmen nimmt mit Aufwand ab

Auf die Frage, ob in den Einrichtungen der Studienteilnehmer die organisatorische Umsetzung des Datenschutzes bereits systematisch überprüft wurden, konnten dies 59 % nur mit „teilweise“ beantworten. Eine systematische Erfassung ist dagegen nur bei rund einem Drittel der Teilnehmer erfolgt. Dem stehen 12 % der Einrichtungen gegenüber, in denen keine Überprüfung der organisatorischen Maßnahmen stattgefunden hat.
Dies schlägt sich auch in den Ergebnissen hinsichtlich der Umsetzung der gesetzlichen Vorgaben nieder. Diese offenbaren, dass die Vorgaben in Teilen keine Berücksichtigung finden. Werden schriftliche Verpflichtungen der Mitarbeiter im Krankenhaus auf das Datengeheimnis noch von 90 % der Einrichtungen eingeholt, existieren Vereinbarungen zur Auftragsdatenverarbeitung nur noch bei rund drei Vierteln, gefolgt vom Vorliegen eines schriftlichen Datenschutzkonzepts (71 %), dem Verarbeitungsverzeichnis (59 %) und der Durchführung von Vorabkontrollen (43 %). Auffällig hierbei ist, dass mit zunehmenden organisatorischem Aufwand, die Umsetzung der gesetzlichen Vorgaben abnimmt.

Kaum Vorbereitung auf Datenschutz-Grundverordnung im Krankenhaus

Rund drei Viertel der Teilnehmer haben angegeben sich mit den möglichen Auswirkungen der DS-GVO auseinanderzusetzen. Von diesen hatten aber zum Zeitpunkt der Befragung wiederum nur ein Drittel konkrete Maßnahmen initiiert. Hier rangieren die Anpassung der Vereinbarungen zur Auftragsdatenverarbeitung (20 %) sowie das Verarbeitungsverzeichnis und die neue Datenschutz-Folgenabschätzung (je 16 %) auf den ersten Plätzen. Insbesondere, da zu der letzteren von den Aufsichtsbehörden bisher eher unspezifische Vorgaben gemacht worden sindvi, scheinen hier die Prioritäten falsch gesetzt zu sein. Vielmehr sollte der Fokus auf der Implementation eines ganzheitlichen Datenschutzmanagementsystems liegen, um den durch die DS-GVO gestiegenen Rechenschaftspflichten nachkommen zu können.

Fazit

Insbesondere vor dem Hintergrund der sich durch die DS-GVO verschärften Anforderungen sowie dem deutlich höheren Bußgeldrahmen, ist die Tatsache, dass erst wenige Einrichtungen konkrete Maßnahmen umsetzen als sehr kritisch zu werten. Erste Initiativen der Aufsichtsbehörden lassen zudem eine verschärfte Prüfpraxis und die Verwirklichung von Sanktionen erwarten, wodurch die fehlende Berücksichtigung der datenschutzrechtlichen Vorgaben schnell zu einem Risiko für die betriebswirtschaftliche Stabilität werden könnte.

Die Ergebnisse der Studie haben gezeigt, dass ein wesentlicher Teil der befragten Einrichtungen noch Lücken zur Erfüllung der bereits heute geltenden gesetzlichen Grundlagen aufweist. Daher kann für Krankenhäuser nur gelten, die Hausaufgaben der Vergangenheit schnellstmöglich nachzuholen und hierbei gleich die neuen Forderungen aus der DS-GVO zu berücksichtigen.

Die Ergebnisse der Studie zum Thema Datenschutz im Krankenhaus können Sie unter datenschutzstudie@curacon.de anfordern.

Autoren:
Stefan Strüwe, Syndikusrechtsanwalt, Prokurist, Seniormanager Geschäftsfeld Datenschutz und Johannes Mönter, Berater im Geschäftsfeld Datenschutz

 


 

EU-Datenschutz-Grundverordnung (DS-GVO), ABl. 2016 L 119, 1 ff., die am 24. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 in Deutschland unmittelbare Geltung entfalten wird.
ii Vergleiche hierzu ausführlich Isele et al., (2018). Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO, Bundesverband Gesundheits-IT e.V. und Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V.
iii Piltz, Art. 32 Rn. 33 in: Gola, DSGVO: Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar. C.H.Beck Verlag 2017
iv Vergleiche hierzu ausführlich Mönter & Strüwe, KVI ID, 02/2017, Seite 62 ff.
Die „Orientierungshilfe Krankenhausinformationssysteme“ zielt darauf ab, konkrete „Maßnahmen zur technischen Umsetzung der bestehenden datenschutzrechtlichen Regelungen und Vorgaben zur ärztlichen Schweigepflicht beim Einsatz von Krankenhausinformationssystemen“ für die Hersteller und Betreiber zu formulieren. Das Dokument kann auch als Prüfliste für die datenschutzrechtliche Überprüfung von bestehenden Installationen in Krankenhäusern genutzt werden, bei der das Vorhandensein konkreter, „spezifizierter“ technischer Ziele auf eine einfach abfragbare Ja-/Nein-Liste reduziert wird.
vi So dient das Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“ der Datenschutzkonferenz lediglich als erste Orientierung für den nicht-öffentlichen Bereich. Der darin aufgezeigte praktische Vollzug gilt nur vorbehaltlich, bis zu einer möglicherweise abweichenden Auslegung des Europäischen Datenschutzausschusses.

Letztes Update:22.06.18

  • BfDI übergibt seinen Tätigkeitsbericht

    Gestern übergab der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, den 27. Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018. Stellvertretend für den Deutschen Bundestags nahm Wolfgang Schäuble diesen entgegen. Anwendungsbeginn der DS-GVO Ein zentrales in den Berichtszeitraum fallendes Thema war natürlich der Anwendungsbeginn der Datenschutzgrund-Verordnung (DS-GVO). Kelber resümierte ehrlich, dass

    Mehr erfahren
  • Klicksafe wirbt für Medienkompetenz

    Initiative klicksafe für mehr Medienkompetenz

    Medienkompetenz gilt als wichtige Voraussetzung für gesellschaftliche Teilhabe und Integration. Ein Schwerpunkt von klicksafe ist es, Menschen mit Zuwanderungsgeschichte darin zu fördern. Zum Thema Datenschutz, digitale Spiele oder Abzocke sind bereits Flyer in russischer, türkischer und arabischer Sprache verfügbar. EU-Initiative für Medienkompetenz Die EU-Initiative klicksafe bietet jetzt einen erweiterten mehrsprachigen Service: Das Portal für Internetsicherheit

    Mehr erfahren
  • Bundesdatenschutzbeauftragter: Wahl von Ulrich Kelber am 13.12.2018?

    Wie am 16. März bekannt wurde soll der ehemalige Staatssekretär beim Bundesminister für Justiz und Verbraucherschutz, Ulrich Kelber (SPD), Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) werden. Damit soll er Andrea Voßhoff (CDU) ablösen und Anfang nächsten Jahres die Bonner Bundesbehörde übernehmen. Ob das personelle Vorschlagsrecht turnusgemäß an die Sozialdemokraten übergangen ist oder sie

    Mehr erfahren