News
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt. Zugleich sieht das KHZG verpflichtende Anforderungen vor, deren Nichteinhaltung dazu führen kann, dass Krankenhäusern ab dem Jahr 2025 bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen vereinbarter Zu- und Abschläge abgezogen werden können. Welche Anforderungen in Bezug auf die IT-Sicherheit und den Datenschutz für eine Förderung erfüllt werden müssen, ergibt sich aus dem Gesetz nicht eindeutig und sollte daher bei jedem förderungsfähigen Vorhaben genau geklärt werden.
Ziel der Förderung durch das KHZG
Im Vordergrund des KHZG steht wie eingangs erwähnt u. a. die Förderung von Digitalisierungsmaßnahmen. Auch im Hinblick auf den Datenschutz und die IT-Sicherheit werden Investitionen in eine sichere digitale Infrastruktur gefördert. Diese wird z. B. bei der Einrichtung von Patientenportalen, der elektronischen Dokumentation von Pflege- und Behandlungsleistungen oder im digitalen Medikamentenmanagement besonders relevant.
Um die Förderung zu erhalten, müssen die Krankenhäuser ihren Förderbedarf bei der zuständigen Stelle ihres Bundeslandes melden und eine Förderung beantragen. Damit ermittelt werden kann, ob und inwieweit diese Fördermaßnahmen zu einer Verbesserung des digitalen Reifegrads der Krankenhäuser geführt haben, müssen die Krankenhäuser u. a. eine Selbsteinschätzung vorlegen. Die erste Überprüfung erfolgte bereits am 30. Juni 2021, eine zweite soll am 30. Juni 2023 stattfinden. Die Krankenhäuser müssen den Stand der Umsetzung der digitalen Maßnahmen an die vom Bundesministerium für Gesundheit (BMG) beauftragte Stelle melden.
Datenschutz und IT-Sicherheit als Förderungsvoraussetzung
Elf förderungsfähige Vorhaben werden durch das KHZG in § 19 Abs. 1 S. 1 der Krankenhausstrukturfonds-Verordnung (kurz KHSFV) eingeführt. Für sechs dieser förderungsfähigen Vorhaben müssen gemäß § 19 Abs. 2 KHSFV zusätzliche Anforderungen eingehalten werden. Zu diesen Vorhaben zählen u. a. die Schaffung eines Patientenportals, die Sicherstellung elektronischer Leistungsdokumentation sowie ein digitales Medikationsmanagement. Diese Vorhaben werden u.a. nur dann gefördert, wenn
- Maßnahmen zur Informationssicherheit nach dem jeweiligen Stand der Technik durchgehend berücksichtigt werden und
- die einschlägigen Datenschutzbestimmungen eingehalten werden.
Was genau davon umfasst ist, lässt sich aus dem Gesetz nicht ohne Weiteres ableiten. Es wird sich aller Voraussicht nach nicht um völlig neue IT-sicherheits- und datenschutzrechtliche Anforderungen handeln. Gleichwohl wird eine allgemeine Erfüllung dieser Anforderungen nicht ausreichen. Denn Krankenhäuser gelten als kritische Infrastrukturen i. S. d. BSIG und der Kritis-Verordnung und benötigen daher insbesondere mit Blick auf die IT-Sicherheit aber auch den Datenschutz erhöhte und ggf. spezielle Schutzmaßnahmen. Hier wird daher im Einzelfall eine gründliche Überprüfung der bestehenden Datenschutz- und IT-Sicherheitsmaßnahmen erforderlich sein. Die Anforderung, die „einschlägigen Datenschutzbestimmungen“ einzuhalten, mag auf dem Papier gut aussehen, erfordert unserer Erfahrung nach aber in der Praxis umfassende Vorarbeiten und ein kontinuierliches Monitoring des internen Datenschutzmanagements. Denn, wenn man hiervon jegliche anwendbare Datenschutzvorschrift umfasst sieht, bezieht sich diese Anforderungen z. B. etwa auch auf ein korrektes Verzeichnis der Verarbeitungstätigkeiten, Information von Patienten, etc.
Handlungsbedarf bei Krankenhäusern
Wie eingangs erwähnt, können Krankenhäusern, die die Anforderungen nach § 19 Abs. 1 S. 1 Nr. 2 – 6 KHSFV nicht bis zum 1. Januar 2025 eingeführt haben, bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen der vereinbarten Zu- und Abschläge abgezogen werden. Soweit der vom Gesetzgeber anvisierte Standard u. a. in Bezug auf Datenschutz und IT-Sicherheit nicht erreicht wird, besteht also auch das Risiko von Einnahmeverlusten.
Wir raten daher dazu, bereits jetzt aktiv zu werden und die Inanspruchnahme der Fördergelder durch Überprüfung der folgenden Aspekte sicherzustellen:
- Durchführung einer Ist-Aufnahme bezüglich:
- des Einsatzes Digitaler Dienste und deren Interoperabilität;
- der Gewährleistung der Informationssicherheit (wie wird insbesondere insoweit der Stand der Technik sichergestellt?);
- der Einhaltung anwendbarer datenschutzrechtlicher Vorschriften.
- Prüfung des Förderbedarfs auf förderungsfähige Vorhaben unter Einhaltung insbesondere der IT-sicherheits- und datenschutzrechtlichen Förderungsbedingungen.
- Dokumentation der Einhaltung der vorstehenden Vorgaben zum Nachweis im Rahmen des Förderungsverfahrens.
Gerade mit Blick darauf, dass sich die IT-sicherheits- und datenschutzrechtlichen Anforderungen nicht ohne Weiteres aus dem Gesetz ergeben, empfehlen wir Krankenhäusern, die eine Förderung nach dem KHZG anstreben, eine sorgsame Prüfung der im Einzelfall einschlägigen Normen und Vorgaben, um eine möglichst vollumfassende Förderung zu erlangen.
News
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.
Kontaktformular nur mit Einwilligung?
Kontaktformulare sind auf nahezu jeder Website zu finden und datenschutzrechtlich in mehrfacher Hinsicht relevant. Im Mittelpunkt steht regelmäßig die Frage nach einer tragfähigen Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten. Häufig wird hierfür eine Einwilligung angenommen und per Checkbox eingeholt. Ähnlich stellt sich die Situation bei der Kontaktaufnahme per E-Mail dar. Auch hier stützen Verantwortliche die Verarbeitung nicht selten auf eine (vermeintlich konkludente) Einwilligung des Betroffenen. Rechtlich kommen aber neben der Einwilligung auch andere Rechtsgrundlagen in Betracht, die in der Praxis vorzugswürdig erscheinen.
Entwurf der Europäischen Kommission für die Leitlinien zum CRA
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).