News
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt. Zugleich sieht das KHZG verpflichtende Anforderungen vor, deren Nichteinhaltung dazu führen kann, dass Krankenhäusern ab dem Jahr 2025 bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen vereinbarter Zu- und Abschläge abgezogen werden können. Welche Anforderungen in Bezug auf die IT-Sicherheit und den Datenschutz für eine Förderung erfüllt werden müssen, ergibt sich aus dem Gesetz nicht eindeutig und sollte daher bei jedem förderungsfähigen Vorhaben genau geklärt werden.
Ziel der Förderung durch das KHZG
Im Vordergrund des KHZG steht wie eingangs erwähnt u. a. die Förderung von Digitalisierungsmaßnahmen. Auch im Hinblick auf den Datenschutz und die IT-Sicherheit werden Investitionen in eine sichere digitale Infrastruktur gefördert. Diese wird z. B. bei der Einrichtung von Patientenportalen, der elektronischen Dokumentation von Pflege- und Behandlungsleistungen oder im digitalen Medikamentenmanagement besonders relevant.
Um die Förderung zu erhalten, müssen die Krankenhäuser ihren Förderbedarf bei der zuständigen Stelle ihres Bundeslandes melden und eine Förderung beantragen. Damit ermittelt werden kann, ob und inwieweit diese Fördermaßnahmen zu einer Verbesserung des digitalen Reifegrads der Krankenhäuser geführt haben, müssen die Krankenhäuser u. a. eine Selbsteinschätzung vorlegen. Die erste Überprüfung erfolgte bereits am 30. Juni 2021, eine zweite soll am 30. Juni 2023 stattfinden. Die Krankenhäuser müssen den Stand der Umsetzung der digitalen Maßnahmen an die vom Bundesministerium für Gesundheit (BMG) beauftragte Stelle melden.
Datenschutz und IT-Sicherheit als Förderungsvoraussetzung
Elf förderungsfähige Vorhaben werden durch das KHZG in § 19 Abs. 1 S. 1 der Krankenhausstrukturfonds-Verordnung (kurz KHSFV) eingeführt. Für sechs dieser förderungsfähigen Vorhaben müssen gemäß § 19 Abs. 2 KHSFV zusätzliche Anforderungen eingehalten werden. Zu diesen Vorhaben zählen u. a. die Schaffung eines Patientenportals, die Sicherstellung elektronischer Leistungsdokumentation sowie ein digitales Medikationsmanagement. Diese Vorhaben werden u.a. nur dann gefördert, wenn
- Maßnahmen zur Informationssicherheit nach dem jeweiligen Stand der Technik durchgehend berücksichtigt werden und
- die einschlägigen Datenschutzbestimmungen eingehalten werden.
Was genau davon umfasst ist, lässt sich aus dem Gesetz nicht ohne Weiteres ableiten. Es wird sich aller Voraussicht nach nicht um völlig neue IT-sicherheits- und datenschutzrechtliche Anforderungen handeln. Gleichwohl wird eine allgemeine Erfüllung dieser Anforderungen nicht ausreichen. Denn Krankenhäuser gelten als kritische Infrastrukturen i. S. d. BSIG und der Kritis-Verordnung und benötigen daher insbesondere mit Blick auf die IT-Sicherheit aber auch den Datenschutz erhöhte und ggf. spezielle Schutzmaßnahmen. Hier wird daher im Einzelfall eine gründliche Überprüfung der bestehenden Datenschutz- und IT-Sicherheitsmaßnahmen erforderlich sein. Die Anforderung, die „einschlägigen Datenschutzbestimmungen“ einzuhalten, mag auf dem Papier gut aussehen, erfordert unserer Erfahrung nach aber in der Praxis umfassende Vorarbeiten und ein kontinuierliches Monitoring des internen Datenschutzmanagements. Denn, wenn man hiervon jegliche anwendbare Datenschutzvorschrift umfasst sieht, bezieht sich diese Anforderungen z. B. etwa auch auf ein korrektes Verzeichnis der Verarbeitungstätigkeiten, Information von Patienten, etc.
Handlungsbedarf bei Krankenhäusern
Wie eingangs erwähnt, können Krankenhäusern, die die Anforderungen nach § 19 Abs. 1 S. 1 Nr. 2 – 6 KHSFV nicht bis zum 1. Januar 2025 eingeführt haben, bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen der vereinbarten Zu- und Abschläge abgezogen werden. Soweit der vom Gesetzgeber anvisierte Standard u. a. in Bezug auf Datenschutz und IT-Sicherheit nicht erreicht wird, besteht also auch das Risiko von Einnahmeverlusten.
Wir raten daher dazu, bereits jetzt aktiv zu werden und die Inanspruchnahme der Fördergelder durch Überprüfung der folgenden Aspekte sicherzustellen:
- Durchführung einer Ist-Aufnahme bezüglich:
- des Einsatzes Digitaler Dienste und deren Interoperabilität;
- der Gewährleistung der Informationssicherheit (wie wird insbesondere insoweit der Stand der Technik sichergestellt?);
- der Einhaltung anwendbarer datenschutzrechtlicher Vorschriften.
- Prüfung des Förderbedarfs auf förderungsfähige Vorhaben unter Einhaltung insbesondere der IT-sicherheits- und datenschutzrechtlichen Förderungsbedingungen.
- Dokumentation der Einhaltung der vorstehenden Vorgaben zum Nachweis im Rahmen des Förderungsverfahrens.
Gerade mit Blick darauf, dass sich die IT-sicherheits- und datenschutzrechtlichen Anforderungen nicht ohne Weiteres aus dem Gesetz ergeben, empfehlen wir Krankenhäusern, die eine Förderung nach dem KHZG anstreben, eine sorgsame Prüfung der im Einzelfall einschlägigen Normen und Vorgaben, um eine möglichst vollumfassende Förderung zu erlangen.
News
Tracking und Auswertung von Leistungsdaten im Profisport
Die Datenerfassung im Leistungssport hat sich zu einem unverzichtbaren Instrument für moderne Sportorganisationen entwickelt. Vereine, Verbände und Unternehmen nutzen umfangreiche Datenanalysen zur Leistungsoptimierung und strategischen Entscheidungsfindung. Hierbei werden im Allgemeinen Leistungsdaten, aber mitunter auch sensible Gesundheitsdaten verarbeitet. Verantwortliche müssen die Anforderungen der DSGVO beachten und Rechtsgrundlagen für die Datennutzung nachweisen können. Dieser Beitrag beleuchtet, vor welchen rechtlichen Herausforderungen Vereine bei der Auswertung von Leistungs- und Gesundheitsdaten von Sportlern stehen und auf welche Rechtsgrundlagen sie diese Verarbeitung stützen können.
Der Beitrag von Dr. Carlo Piltz und Ilia Kukin aus dem DSB 10/2025 ist hier abrufbar.
Neue Entwicklungen im UN-Kaufrecht
Die zentrale Stellung des UN-Kaufrechts/CISG als juristische Basis für Export- und Importverträge wird heute nicht mehr infrage gestellt. Praktiker berichten von einer deutlichen Tendenz in den Unternehmen, ihre Außenhandelsgeschäfte gezielt auf das UN-Kaufrecht umzustellen. Ein Ausschluss des UN-Kaufrechts erklärt sich heute überwiegend mit mangelnder Vertrautheit mit seinen Inhalten und fehlender Neigung, diesem Zustand abzuhelfen, lässt sich angesichts der weitreichenden Dispositivität seiner Bestimmungen jedoch kaum mit nicht akzeptablen Lösungen des UN-Kaufrechts belegen. In Fortführung des Gliederungsschemas der vorangegangenen Berichtsaufsätze (zuletzt NJW 2023, 2542) wird die Liste der Vertragsstaaten aktualisiert und neben Hinweisen auf aktuelle Arbeitsmittel insbesondere die seit dem letzten Berichtsaufsatz bekannt gewordene in- und ausländische Rechtsprechung zum UN-Kaufrecht/CISG aufgearbeitet.
EuGH-Urteil zum Personenbezug und Informationspflichten – pseudonymisierte Daten können für den Empfänger auch anonym sein
Das EuGH-Urteil in der Rechtssache EDSB vs. SRB (Rs. C‑413/23 P) und dessen Folgen für die Rechtsanwendung werden derzeit zu Recht kontrovers diskutiert. In dem Urteil geht es zwar um Bestimmungen aus der Verordnung 2018/1725, die für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Der EuGH hat aber ausdrücklich entschieden, dass der Begriff „personenbezogene Daten“ in dieser Verordnung und der DSGVO und der nicht mehr gültigen Richtlinie 95/46 EG identisch auszulegen ist (Rn. 52). Das Urteil ist für Unternehmen und mitgliedstaatliche Behörden gleichermaßen bedeutsam.
Rechtswidrigkeit von (Gebühren) Bescheiden wegen DSGVO-Verstoß - Dürfen öffentliche Stellen ihre Verfahren automatisieren?
Automatisierte Entscheidungen unterliegen gem. Art. 22 DSGVO besonderen gesetzlichen Anforderungen, welche auch im Bereich der öffentlichen Verwaltung gelten. Zentrale Voraussetzung für die Zulässigkeit solcher Entscheidungen ist das Vorliegen einer entsprechenden Rechtsgrundlage. Fehlt diese, ist der Bescheid rechtswidrig. Wie die Verwaltungsgerichte damit umgehen, zeigt eine aktuelle Entscheidung des VG Bremen (Urt. v. 14.07.2025, 2 K 763/23).
Dürfen Datenschutzbehörden die Namen der sanktionierten Unternehmen veröffentlichen?
Sowohl die BfDI als auch die Landesdatenschutzbehörden informieren regelmäßig in Pressemitteilungen über aktuelle Bußgeldverfahren. Mitunter werden dabei auch die betroffenen Unternehmen namentlich genannt. Doch ist dieses Vorgehen überhaupt rechtlich zulässig und welche Grenzen haben die Behörden dabei einzuhalten? In anderen Rechtsgebieten existiert zu diesen Fragen durch umfangreiche Rechtsprechung - allerdings bislang nicht speziell im Bereich des Datenschutzrechts.
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.