News
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt. Zugleich sieht das KHZG verpflichtende Anforderungen vor, deren Nichteinhaltung dazu führen kann, dass Krankenhäusern ab dem Jahr 2025 bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen vereinbarter Zu- und Abschläge abgezogen werden können. Welche Anforderungen in Bezug auf die IT-Sicherheit und den Datenschutz für eine Förderung erfüllt werden müssen, ergibt sich aus dem Gesetz nicht eindeutig und sollte daher bei jedem förderungsfähigen Vorhaben genau geklärt werden.
Ziel der Förderung durch das KHZG
Im Vordergrund des KHZG steht wie eingangs erwähnt u. a. die Förderung von Digitalisierungsmaßnahmen. Auch im Hinblick auf den Datenschutz und die IT-Sicherheit werden Investitionen in eine sichere digitale Infrastruktur gefördert. Diese wird z. B. bei der Einrichtung von Patientenportalen, der elektronischen Dokumentation von Pflege- und Behandlungsleistungen oder im digitalen Medikamentenmanagement besonders relevant.
Um die Förderung zu erhalten, müssen die Krankenhäuser ihren Förderbedarf bei der zuständigen Stelle ihres Bundeslandes melden und eine Förderung beantragen. Damit ermittelt werden kann, ob und inwieweit diese Fördermaßnahmen zu einer Verbesserung des digitalen Reifegrads der Krankenhäuser geführt haben, müssen die Krankenhäuser u. a. eine Selbsteinschätzung vorlegen. Die erste Überprüfung erfolgte bereits am 30. Juni 2021, eine zweite soll am 30. Juni 2023 stattfinden. Die Krankenhäuser müssen den Stand der Umsetzung der digitalen Maßnahmen an die vom Bundesministerium für Gesundheit (BMG) beauftragte Stelle melden.
Datenschutz und IT-Sicherheit als Förderungsvoraussetzung
Elf förderungsfähige Vorhaben werden durch das KHZG in § 19 Abs. 1 S. 1 der Krankenhausstrukturfonds-Verordnung (kurz KHSFV) eingeführt. Für sechs dieser förderungsfähigen Vorhaben müssen gemäß § 19 Abs. 2 KHSFV zusätzliche Anforderungen eingehalten werden. Zu diesen Vorhaben zählen u. a. die Schaffung eines Patientenportals, die Sicherstellung elektronischer Leistungsdokumentation sowie ein digitales Medikationsmanagement. Diese Vorhaben werden u.a. nur dann gefördert, wenn
- Maßnahmen zur Informationssicherheit nach dem jeweiligen Stand der Technik durchgehend berücksichtigt werden und
- die einschlägigen Datenschutzbestimmungen eingehalten werden.
Was genau davon umfasst ist, lässt sich aus dem Gesetz nicht ohne Weiteres ableiten. Es wird sich aller Voraussicht nach nicht um völlig neue IT-sicherheits- und datenschutzrechtliche Anforderungen handeln. Gleichwohl wird eine allgemeine Erfüllung dieser Anforderungen nicht ausreichen. Denn Krankenhäuser gelten als kritische Infrastrukturen i. S. d. BSIG und der Kritis-Verordnung und benötigen daher insbesondere mit Blick auf die IT-Sicherheit aber auch den Datenschutz erhöhte und ggf. spezielle Schutzmaßnahmen. Hier wird daher im Einzelfall eine gründliche Überprüfung der bestehenden Datenschutz- und IT-Sicherheitsmaßnahmen erforderlich sein. Die Anforderung, die „einschlägigen Datenschutzbestimmungen“ einzuhalten, mag auf dem Papier gut aussehen, erfordert unserer Erfahrung nach aber in der Praxis umfassende Vorarbeiten und ein kontinuierliches Monitoring des internen Datenschutzmanagements. Denn, wenn man hiervon jegliche anwendbare Datenschutzvorschrift umfasst sieht, bezieht sich diese Anforderungen z. B. etwa auch auf ein korrektes Verzeichnis der Verarbeitungstätigkeiten, Information von Patienten, etc.
Handlungsbedarf bei Krankenhäusern
Wie eingangs erwähnt, können Krankenhäusern, die die Anforderungen nach § 19 Abs. 1 S. 1 Nr. 2 – 6 KHSFV nicht bis zum 1. Januar 2025 eingeführt haben, bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen der vereinbarten Zu- und Abschläge abgezogen werden. Soweit der vom Gesetzgeber anvisierte Standard u. a. in Bezug auf Datenschutz und IT-Sicherheit nicht erreicht wird, besteht also auch das Risiko von Einnahmeverlusten.
Wir raten daher dazu, bereits jetzt aktiv zu werden und die Inanspruchnahme der Fördergelder durch Überprüfung der folgenden Aspekte sicherzustellen:
- Durchführung einer Ist-Aufnahme bezüglich:
- des Einsatzes Digitaler Dienste und deren Interoperabilität;
- der Gewährleistung der Informationssicherheit (wie wird insbesondere insoweit der Stand der Technik sichergestellt?);
- der Einhaltung anwendbarer datenschutzrechtlicher Vorschriften.
- Prüfung des Förderbedarfs auf förderungsfähige Vorhaben unter Einhaltung insbesondere der IT-sicherheits- und datenschutzrechtlichen Förderungsbedingungen.
- Dokumentation der Einhaltung der vorstehenden Vorgaben zum Nachweis im Rahmen des Förderungsverfahrens.
Gerade mit Blick darauf, dass sich die IT-sicherheits- und datenschutzrechtlichen Anforderungen nicht ohne Weiteres aus dem Gesetz ergeben, empfehlen wir Krankenhäusern, die eine Förderung nach dem KHZG anstreben, eine sorgsame Prüfung der im Einzelfall einschlägigen Normen und Vorgaben, um eine möglichst vollumfassende Förderung zu erlangen.
News
Private Nutzung betrieblicher E-Mail-Postfächer
Für die Zulässigkeit von Zugriffen auf Mitarbeiter-E-Mails ist die Anwendbarkeit des Fernmeldegeheimnisses höchst relevant. In der Vergangenheit wurden Arbeitgeber oft als Telekommunikationsanbieter eingestuft, wenn eine private Nutzung erlaubt war. Seit der Neuregelung der relevanten Vorschriften im Jahr 2021 vertreten die Aufsichtsbehörden zunehmend, dass das Fernmeldegeheimnis nicht greift. Auch die Bundesnetzagentur lehnt diese Einordnung in einem neuen Papier mit überzeugenden Argumenten ab. Aber welche Folgen hat das für die Unternehmen?
Mit dieser Frage befasst sich der aktuelle Beitrag von Dr. Carlo Piltz und Ilia Kukin in der K&R. Der Volltext ist hier abrufbar.
Handelsblatt-Ranking - Deutschlands „Beste Arbeitgeber“ – Platz 11 von 312 Arbeitgebern
Wir freuen uns sehr, in diesem Ranking Platz 11 von über 300 teilnehmenden Kanzleien erreicht zu haben und dafür vom Handelsblatt mit dem Siegel „Beste Arbeitgeber“ ausgezeichnet worden zu sein. Diese Auszeichnung bestätigt unseren Anspruch, ein Arbeitsumfeld zu schaffen, in dem sich alle Kolleginnen und Kollegen wohlfühlen und ihre Stärken entfalten können.
Geführt wird unsere Kanzlei von Prof. Burghard Piltz und Dr. Carlo Piltz, die sich seit vielen Jahren für eine moderne, wertschätzende und zukunftsorientierte Arbeitskultur einsetzen.
Wir danken allen Mitarbeitenden für ihr Engagement und ihr Vertrauen.
Tracking und Auswertung von Leistungsdaten im Profisport
Die Datenerfassung im Leistungssport hat sich zu einem unverzichtbaren Instrument für moderne Sportorganisationen entwickelt. Vereine, Verbände und Unternehmen nutzen umfangreiche Datenanalysen zur Leistungsoptimierung und strategischen Entscheidungsfindung. Hierbei werden im Allgemeinen Leistungsdaten, aber mitunter auch sensible Gesundheitsdaten verarbeitet. Verantwortliche müssen die Anforderungen der DSGVO beachten und Rechtsgrundlagen für die Datennutzung nachweisen können. Dieser Beitrag beleuchtet, vor welchen rechtlichen Herausforderungen Vereine bei der Auswertung von Leistungs- und Gesundheitsdaten von Sportlern stehen und auf welche Rechtsgrundlagen sie diese Verarbeitung stützen können.
Der Beitrag von Dr. Carlo Piltz und Ilia Kukin aus dem DSB 10/2025 ist hier abrufbar.
Neue Entwicklungen im UN-Kaufrecht
Die zentrale Stellung des UN-Kaufrechts/CISG als juristische Basis für Export- und Importverträge wird heute nicht mehr infrage gestellt. Praktiker berichten von einer deutlichen Tendenz in den Unternehmen, ihre Außenhandelsgeschäfte gezielt auf das UN-Kaufrecht umzustellen. Ein Ausschluss des UN-Kaufrechts erklärt sich heute überwiegend mit mangelnder Vertrautheit mit seinen Inhalten und fehlender Neigung, diesem Zustand abzuhelfen, lässt sich angesichts der weitreichenden Dispositivität seiner Bestimmungen jedoch kaum mit nicht akzeptablen Lösungen des UN-Kaufrechts belegen. In Fortführung des Gliederungsschemas der vorangegangenen Berichtsaufsätze (zuletzt NJW 2023, 2542) wird die Liste der Vertragsstaaten aktualisiert und neben Hinweisen auf aktuelle Arbeitsmittel insbesondere die seit dem letzten Berichtsaufsatz bekannt gewordene in- und ausländische Rechtsprechung zum UN-Kaufrecht/CISG aufgearbeitet.
EuGH-Urteil zum Personenbezug und Informationspflichten – pseudonymisierte Daten können für den Empfänger auch anonym sein
Das EuGH-Urteil in der Rechtssache EDSB vs. SRB (Rs. C‑413/23 P) und dessen Folgen für die Rechtsanwendung werden derzeit zu Recht kontrovers diskutiert. In dem Urteil geht es zwar um Bestimmungen aus der Verordnung 2018/1725, die für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Der EuGH hat aber ausdrücklich entschieden, dass der Begriff „personenbezogene Daten“ in dieser Verordnung und der DSGVO und der nicht mehr gültigen Richtlinie 95/46 EG identisch auszulegen ist (Rn. 52). Das Urteil ist für Unternehmen und mitgliedstaatliche Behörden gleichermaßen bedeutsam.
Rechtswidrigkeit von (Gebühren) Bescheiden wegen DSGVO-Verstoß - Dürfen öffentliche Stellen ihre Verfahren automatisieren?
Automatisierte Entscheidungen unterliegen gem. Art. 22 DSGVO besonderen gesetzlichen Anforderungen, welche auch im Bereich der öffentlichen Verwaltung gelten. Zentrale Voraussetzung für die Zulässigkeit solcher Entscheidungen ist das Vorliegen einer entsprechenden Rechtsgrundlage. Fehlt diese, ist der Bescheid rechtswidrig. Wie die Verwaltungsgerichte damit umgehen, zeigt eine aktuelle Entscheidung des VG Bremen (Urt. v. 14.07.2025, 2 K 763/23).