News
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt. Zugleich sieht das KHZG verpflichtende Anforderungen vor, deren Nichteinhaltung dazu führen kann, dass Krankenhäusern ab dem Jahr 2025 bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen vereinbarter Zu- und Abschläge abgezogen werden können. Welche Anforderungen in Bezug auf die IT-Sicherheit und den Datenschutz für eine Förderung erfüllt werden müssen, ergibt sich aus dem Gesetz nicht eindeutig und sollte daher bei jedem förderungsfähigen Vorhaben genau geklärt werden.
Ziel der Förderung durch das KHZG
Im Vordergrund des KHZG steht wie eingangs erwähnt u. a. die Förderung von Digitalisierungsmaßnahmen. Auch im Hinblick auf den Datenschutz und die IT-Sicherheit werden Investitionen in eine sichere digitale Infrastruktur gefördert. Diese wird z. B. bei der Einrichtung von Patientenportalen, der elektronischen Dokumentation von Pflege- und Behandlungsleistungen oder im digitalen Medikamentenmanagement besonders relevant.
Um die Förderung zu erhalten, müssen die Krankenhäuser ihren Förderbedarf bei der zuständigen Stelle ihres Bundeslandes melden und eine Förderung beantragen. Damit ermittelt werden kann, ob und inwieweit diese Fördermaßnahmen zu einer Verbesserung des digitalen Reifegrads der Krankenhäuser geführt haben, müssen die Krankenhäuser u. a. eine Selbsteinschätzung vorlegen. Die erste Überprüfung erfolgte bereits am 30. Juni 2021, eine zweite soll am 30. Juni 2023 stattfinden. Die Krankenhäuser müssen den Stand der Umsetzung der digitalen Maßnahmen an die vom Bundesministerium für Gesundheit (BMG) beauftragte Stelle melden.
Datenschutz und IT-Sicherheit als Förderungsvoraussetzung
Elf förderungsfähige Vorhaben werden durch das KHZG in § 19 Abs. 1 S. 1 der Krankenhausstrukturfonds-Verordnung (kurz KHSFV) eingeführt. Für sechs dieser förderungsfähigen Vorhaben müssen gemäß § 19 Abs. 2 KHSFV zusätzliche Anforderungen eingehalten werden. Zu diesen Vorhaben zählen u. a. die Schaffung eines Patientenportals, die Sicherstellung elektronischer Leistungsdokumentation sowie ein digitales Medikationsmanagement. Diese Vorhaben werden u.a. nur dann gefördert, wenn
- Maßnahmen zur Informationssicherheit nach dem jeweiligen Stand der Technik durchgehend berücksichtigt werden und
- die einschlägigen Datenschutzbestimmungen eingehalten werden.
Was genau davon umfasst ist, lässt sich aus dem Gesetz nicht ohne Weiteres ableiten. Es wird sich aller Voraussicht nach nicht um völlig neue IT-sicherheits- und datenschutzrechtliche Anforderungen handeln. Gleichwohl wird eine allgemeine Erfüllung dieser Anforderungen nicht ausreichen. Denn Krankenhäuser gelten als kritische Infrastrukturen i. S. d. BSIG und der Kritis-Verordnung und benötigen daher insbesondere mit Blick auf die IT-Sicherheit aber auch den Datenschutz erhöhte und ggf. spezielle Schutzmaßnahmen. Hier wird daher im Einzelfall eine gründliche Überprüfung der bestehenden Datenschutz- und IT-Sicherheitsmaßnahmen erforderlich sein. Die Anforderung, die „einschlägigen Datenschutzbestimmungen“ einzuhalten, mag auf dem Papier gut aussehen, erfordert unserer Erfahrung nach aber in der Praxis umfassende Vorarbeiten und ein kontinuierliches Monitoring des internen Datenschutzmanagements. Denn, wenn man hiervon jegliche anwendbare Datenschutzvorschrift umfasst sieht, bezieht sich diese Anforderungen z. B. etwa auch auf ein korrektes Verzeichnis der Verarbeitungstätigkeiten, Information von Patienten, etc.
Handlungsbedarf bei Krankenhäusern
Wie eingangs erwähnt, können Krankenhäusern, die die Anforderungen nach § 19 Abs. 1 S. 1 Nr. 2 – 6 KHSFV nicht bis zum 1. Januar 2025 eingeführt haben, bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen der vereinbarten Zu- und Abschläge abgezogen werden. Soweit der vom Gesetzgeber anvisierte Standard u. a. in Bezug auf Datenschutz und IT-Sicherheit nicht erreicht wird, besteht also auch das Risiko von Einnahmeverlusten.
Wir raten daher dazu, bereits jetzt aktiv zu werden und die Inanspruchnahme der Fördergelder durch Überprüfung der folgenden Aspekte sicherzustellen:
- Durchführung einer Ist-Aufnahme bezüglich:
- des Einsatzes Digitaler Dienste und deren Interoperabilität;
- der Gewährleistung der Informationssicherheit (wie wird insbesondere insoweit der Stand der Technik sichergestellt?);
- der Einhaltung anwendbarer datenschutzrechtlicher Vorschriften.
- Prüfung des Förderbedarfs auf förderungsfähige Vorhaben unter Einhaltung insbesondere der IT-sicherheits- und datenschutzrechtlichen Förderungsbedingungen.
- Dokumentation der Einhaltung der vorstehenden Vorgaben zum Nachweis im Rahmen des Förderungsverfahrens.
Gerade mit Blick darauf, dass sich die IT-sicherheits- und datenschutzrechtlichen Anforderungen nicht ohne Weiteres aus dem Gesetz ergeben, empfehlen wir Krankenhäusern, die eine Förderung nach dem KHZG anstreben, eine sorgsame Prüfung der im Einzelfall einschlägigen Normen und Vorgaben, um eine möglichst vollumfassende Förderung zu erlangen.
News
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?