Die Rechtslage im Datenschutz befindet sich in ständigem Wandel. Speziell im Gesundheitssektor, der besonders sensible Gesundheitsdaten verarbeitet, gibt es zahlreiche Neuerungen und Änderungen der rechtlichen Rahmenbedingungen. Doch nicht nur die Rechtslage erfordert ein Handeln, auch in der Realität zeigen sich Handlungsbedarfe bei der Digitalisierung, zuletzt eindrücklich im Rahmen der Corona-Pandemie.

Krankenhäuser müssen vor diesem Hintergrund handeln, um modern und datenschutzkonform zu sein. Die Einführung der elektronischen Patientenakte zum 1. Januar 2021 etwa erfordert Anpassungen an der IT-Infrastruktur. Um die zunehmend komplexe Rechtslage bewältigen können, ist auch ein effektives Datenschutzmanagement relevanter denn je.

Die rechtlichen Neuerungen im Überblick

Mit der elektronische Patientenakte (ePA), dem dazugehörigen Patientendaten-Schutz-Gesetz (PDSG) und dem Krankenhauszukunftsgesetz (KHZG), ergeben sich zahlreiche rechtliche Neuerungen. Während das KHZG finanzielle Unterstützung zur Verfügung stellt, die die Länder bis zum 31. Dezember 2021 beantragen können, damit Krankenhäuser in die Digitalisierung, ihre IT-Sicherheit und in moderne Notfallkapazitäten investieren können, entstehen durch die ePA echte technische Neuerungen, die durch das PDSG mit neuen Sicherheitsanforderungen verbunden sind.

Höhere Sicherheitsanforderungen

Seit dem 20. Oktober 2020 ist das PDSG in Kraft. Es trifft datenschutzrechtliche Regelungen für die elektronische Patientenakte (ePA). An die Krankenhaus-IT stellen sich insbesondere folgende Anforderungen:

  • § 75c wurde neu in das Sozialgesetzbuch (SGB) V eingefügt. Danach sind ab dem 1. Januar 2022 Krankenhäuser verpflichtet, Maßnahmen zur IT-Sicherheit verpflichtend umzusetzen. Danach müssen nach dem aktuellen Stand der Technik angemessene technisch-organisatorische Maßnahme ergriffen werden. Ziel ist es, Störungen der IT Infrastruktur zu vermeiden und so die dauerhafte Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der Patientendaten zu gewährleisten.
  • § 306 Abs. 3 SGB V n.F. stellt nochmals den besonderen Schutzbedarf der zu den besonderen Kategorien im Sinne von Artikel 9 DSGVO gehörenden Patientendaten heraus und ein entsprechend hohes Schutzniveau an, welchem durch Artikel 32 DSGVO Rechnung zu tragen ist.
  • § 307 SGB V n.F. regelt die datenschutzrechtliche Verantwortlichkeit der Telematikinfrastruktur. Danach ist die Person, die die Mittel bereithält und nutzt, um mit der Telematikinfrastruktur zu arbeiten, auch für den Schutz der Daten verantwortlich.
  • § 329 Abs. 2 SGB V verpflichtet Betreiber von Diensten und Komponenten innerhalb der Telematikinfrastruktur, Störungen und Sicherheitsmängel unverzüglich der gematik zu melden. Bei Verstoß droht ein Bußgeld von bis zu 300.000 Euro, § 395 Abs. 3 SGB V.

Krankenhäuser müssen diese neuen Anforderungen umsetzen und es zeigt sich, ob der weiter zunehmenden Komplexität der IT-Infrastruktur und der digitalen Vernetzung im Gesundheitswesen, einmal mehr das Erfordernis eines effizienten Datenschutz-Management. Nur sofern Unternehmen über eindeutige, festgelegte Prozesse und eine bestenfalls softwareseitig unterstützte datenschutzrechtliche Dokumentation verfügen, können sie schnell auf neue rechtliche Anforderungen reagieren und verzahnte Datenverarbeitungen abbilden und managen.

Zur Vertiefung

Wer sich vertiefend mit den rechtlichen Neuerungen auseinandersetzen kann auch bei unseren Partnerunternehmen ISiCO Datenschutz GmbH und Schürmann Rosenthal Dreyer Rechtsanwälte vorbeischauen. Die Kollegen von ISiCO haben ihren Artikel zum Thema Datenschutz im Krankenhaus geupdatet. Zum neuen PDSG, gibt es hier einen Artikel der Kollegen von ISiCO und auch die Kollegen von Schürmann Rosenthal Dreyer, geben unter dem Titel “Das Patientendaten-Schutzgesetz: Datenschutz für die elektronische Patientenakte”, einen Überblick über die rechtlichen Neuerungen durch das PDSG.