“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Der Elisabeth Vinzenz Verbund (EVV) zählt zu den größten katholischen Trägern von Krankenhäusern, Pflegeeinrichtungen und Ausbildungsstätten in Deutschland. Im Gespräch erzählt der Konzerndatenschutzbeauftragte Dr. Niclas Krohm aus der Praxis und davon, wie er den EVV durch zwei Datenschutzwelten (DSGVO und KDG) navigiert.
© EVV / Manuel Tennert
Der Elisabeth Vinzenz Verbund (EVV) beschäftigt mehr als 9.500 Mitarbeitende in seinen dreizehn Krankenhäusern und zählt damit zu den größten katholischen Trägern von Krankenhäusern, Pflegeeinrichtungen und Ausbildungsstätten in Deutschland.
Der Verbund betreibt Einrichtungen in sieben Bundesländern und muss beim Datenschutz sowohl durch landesrechtliche Vorgaben, die Datenschutzgrundverordnung als auch das katholische Datenschutzrecht navigieren.
Dr. Niclas Krohm trägt als Leiter Datenschutz und Konzerndatenschutzbeauftragter des EVV die Verantwortung dafür, den Datenschutz in den komplexen Verbundstrukturen zu überblicken und zu optimieren.
Dafür vertraut er auf die Datenschutzmanagement-Software von caralegal. In unserem Gespräch ergründen wir mit Dr. Krohm und Björn Möller, CEO bei caralegal, die Herausforderungen des katholischen Datenschutzrechts und die Zusammenarbeit zwischen dem EVV und caralegal.
Dr. Krohm: Das ist eine interessante Frage, ich habe nämlich erst kürzlich mit anderen Juristen gesprochen, die ebenfalls als Datenschutzbeauftragte in Konzernen tätig sind.
Wir haben uns dabei gegenseitig die Frage gestellt: Wie viel arbeiten wir eigentlich tagtäglich noch rein juristisch? Und dieser Anteil ist tatsächlich zurückgegangen. Wir haben mittlerweile zahlreiche Themen, die vielmehr strategischer und organisatorischer Natur sind.
Dr. Krohm: Bei den Themen strategischer Art geht es zum Beispiel darum, unser Datenschutzmanagementsystem immer wieder zu hinterfragen und zu optimieren.
Außerdem müssen wir regelmäßig Datenschutz-Folgenabschätzungen durchführen, da wir im Gesundheitssektor tätig sind. Das bedingen ganz einfach der Umgang mit den Gesundheitsdaten und die Digitalisierung.
Sprich: Wenn wir ein neues Tool anschaffen, müssen wir oftmals eine DSFA durchführen. Außerdem beschäftigen uns Betroffenenanfragen immer noch stark – also insbesondere Auskunftsersuche von Einzelpersonen.
Weitere Themen, die im strategischen Bereich einzuordnen sind, sind die Digitalisierung und speziell das Krankenhauszukunftsgesetz (KHZG). Dazu gehört unter anderem bei der Konzeption von Prozessen den Grundsatz „Privacy by Design“ umzusetzen.
Ein weiteres großes Thema, das bei mir praktisch täglich aufschlägt, ist die Vertragsprüfung. Dabei geht es einerseits um unsere Dienstleister, andererseits aber auch um die Zusammenarbeit innerhalb des EVV.
Dr. Krohm: Dabei geht es um sogenannte Intercompany-Verträge. Unsere Verbundstruktur funktioniert praktisch wie in einem Konzern. Dadurch tauschen wir auch Dienstleistungen untereinander aus, die datenschutzrechtlich abgesichert sein müssen.
Dabei sind insbesondere Themen wie Auftragsverarbeitungsverträge und Verträge zur gemeinsamen Verantwortung zu nennen.
Dr. Krohm: Wir sind ein katholischer Träger und gleichzeitig ein Wirtschaftsunternehmen, das dort dem katholischen Datenschutz unterliegt, wo wir mit unserer Arbeit einen karitativen Zweck verfolgen.
Insbesondere unsere Krankenhäuser unterliegen damit dem katholischen Datenschutzrecht. Wir haben aber auch andere Bereiche, die dem weltlichen, also staatlichen, Datenschutzrecht unterliegen. Das sind insbesondere oftmals unsere medizinischen Versorgungszentren (MVZ) und die Servicegesellschaften. Das bedeutet für uns, dass wir datenschutzrechtlich immer wieder zwischen zwei Datenschutzwelten hin- und herspringen und uns dementsprechend organisieren müssen.
„Das bedeutet für uns, dass wir datenschutzrechtlich immer wieder zwischen zwei Datenschutzwelten hin- und herspringen und uns dementsprechend organisieren müssen.“
Die beiden Datenschutzrechte weisen zwar große Überschneidungen auf, aber dennoch gibt es gravierende Unterschiede.
Laut dem katholischen Datenschutzrecht dürfen wir beispielsweise keine Dienstleister mit der Auftragsverarbeitung beauftragen, die in Drittstaaten wie den USA ansässig sind. Das müssen wir immer beachten, wenn es beispielsweise um die Krankenhäuser geht.
Wenn dieser Dienstleister für eine unserer Gesellschaften mit staatlichem Datenschutzrecht tätig ist, dürfen wir ihn wiederum gegebenenfalls nach gründlicher Risikoabwägung einsetzen. Das sind Herausforderungen, die wir laufend bewältigen müssen und für die es häufig nicht den einen Ansatz für alle Konzerngesellschaften gibt.
Dr. Krohm: Ein großes Thema ist zum Beispiel auch die Rechtsaufsicht. Unser Verbund hat Standorte in sieben Bundesländern in Deutschland.
Durch den Föderalismus treffen wir daher auf sehr viele Aufsichtsbehörden. In all diesen Bundesländern haben wir es sowohl mit der staatlichen Aufsicht als auch den jeweiligen Diözesandatenschutzbeauftragten zu tun.
Hinzu kann immer wieder noch der internationale Datenschutz kommen. Gerade im Bereich der Forschung können Kooperationen mit Einrichtungen weltweit geschlossen werden, die unter Umständen unser katholisches Datenschutzrecht nicht kennen. Das ist natürlich ebenfalls eine Herausforderung.
Dr. Krohm: Wir wollten den EVV in Bezug auf das Datenschutzmanagementsystem digitaler aufstellen und es vor allem in bestimmten Bereichen weiter standardisieren.
Insbesondere wollen wir von den Excel-Tabellen wegkommen, mit denen wir zum Teil unsere Verarbeitungsverzeichnisse pflegen. Außerdem haben wir nach einem Partner gesucht, der sich im Gesundheitsdatenschutz auskennt.
Auf der Suche nach dem richtigen Partner bin ich dann zunächst auf zu diesem Zeitpunkt bereits etablierte Anbieter am Markt zugegangen. Es ging dabei jedes Mal darum, die Klippe zu nehmen, wie wir mit dem katholischen Datenschutzrecht umgehen können.
Es gab einen Anbieter – und das finde ich im Grunde genommen heute noch sympathisch – der gleich sagte, dass er für diese Aufgabe aktuell keine Lösung anbieten könne. Das war eine ehrliche Antwort. Es gab aber auch einzelne Anbieter, die meinten, man könne die Besonderheiten des katholischen Datenschutzrechts in der bestehenden DSGVO-Systematik der Systeme gut abbilden. Dieser Ansatz hat uns letztendlich jedoch nicht ganz überzeugt.
Dr. Krohm: Genau, ich habe im Zuge unserer Suche den CEO von caralegal, Björn Möller kennengelernt und mit ihm gesprochen. Er räumte zunächst ein, dass er das Thema selbst nicht kenne. Jedoch fragte er auch direkt: „Was brauchen Sie denn dafür?“ Und das war der Türöffner für uns. Wir haben gesehen, dass wir in caralegal einen Partner haben, der Lösungen finden wollte für die Besonderheiten, die der katholische Datenschutz bereithält.
„Wir haben gesehen, dass wir in caralegal einen Partner haben, der Lösungen finden wollte für die Besonderheiten, die der katholische Datenschutz bereithält.“
Dr. Krohm: Das Gesetz schreibt bereits vor, wie Verarbeitungsverzeichnisse auszusehen haben. Das katholische Datenschutzrecht gibt uns allerdings darüber hinaus weitere Voraussetzungen an die Hand.
Diese Voraussetzungen hat caralegal zuerst nicht abgebildet, sie aber jetzt gemeinsam mit uns entwickelt. Wir müssen beispielsweise alle Daten, die wir verarbeiten, in drei spezielle Schutzklassen einteilen, die die sogenannte Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz vorgibt.
caralegal hat mittlerweile eine entsprechende Funktion zur Abbildung dieser Anforderungen in die Software integriert, was uns sehr weiterhilft. Diese Flexibilität zeichnet caralegal in der Zusammenarbeit aus – gemeinsam mit der Expertise im Gesundheitsbereich.
Dr. Krohm: Ich wusste bereits, dass bei caralegal aufgrund der engen Zusammenarbeit mit der Kanzlei Schürmann Rosenthal Dreyer (SRD) tiefgreifende Expertise und langjährige Erfahrung im Gesundheitsbereich vorhanden sind. Das war uns besonders wichtig, weil wir gleichzeitig ein Projekt „Musterkrankenhaus“ zur Standardisierung unseres Verarbeitungsverzeichnisses als Angebot für unsere Häuser in die Wege leiten wollten.
Wir wollten dabei nicht nur selbst Expertise einbringen, sondern durch die Verbindung von caralegal zur Kanzlei SRD auch fachliche Beratung aus einer Hand erhalten. Daher haben wir gesagt, dass caralegal für uns der richtige Partner ist, um das Projekt anzugehen sowie unser Datenschutzmanagementsystem zu standardisieren und zu digitalisieren.
Herr Möller: Unsere Unternehmensgruppe, bestehend aus der Kanzlei Schürmann Rosenthal Dreyer (SRD), der ISiCO Datenschutz GmbH und caralegal, hatte schon viele Mandate im Gesundheitswesen.
Während der Corona-Pandemie war die Kooperation mit dem Robert Koch-Institut (RKI) hinsichtlich der Betreuung der Corona-Warn-App sehr bedeutend. Derzeit sind wir als Unternehmensgruppe natürlich auch stolz darauf, beim E-Rezept die Gematik unterstützen zu dürfen.
Man hat sich aber auch davor durch die jahrelange Arbeit mit verschiedenen Krankenhäusern und Forschungsinstituten in ganz Deutschland und in der Health-Tech-Szene einen Namen gemacht.
All diese Erfahrungswerte sind auch von Anfang an in die Privacy Solution Platform caralegal eingeflossen. Mittlerweile bieten wir spezielle Module für den Gesundheitssektor an, unter anderem für Krankenhäuser, Krankenkassen sowie Medizinproduktehersteller und Health Tech Startups. Dazu kommt dank der Partnerschaft mit dem EVV ebenfalls ein Modul eigens für das katholische Datenschutzrecht.
Herr Möller: Zu den Besonderheiten des Datenschutzes im Gesundheitssektor gehört, dass häufiger Risiken evaluiert und dadurch mehr technische und organisatorische Maßnahmen (TOMs) identifiziert und umgesetzt werden müssen.
Dies liegt vor allem daran, dass diese Unternehmen mit besonders sensiblen Daten arbeiten und daher in der Regel eine Datenschutz-Folgenabschätzung (DSFA) erstellen müssen.
Aus diesem Grund sind den Unternehmen immer drei Anforderungen besonders wichtig: Erstens, die Übersicht und Kontrolle aller Risiken, TOM, DSFA’s und VT. Zweitens, die einfache Verknüpfung und Wiederverwendbarkeit der verschiedenen Dokumente und drittens eine Standardisierung bzw. Automatisierung dieser Workflows zur effizienten Zusammenarbeit mit den Fachbereichen.
Außerdem spielen die verschiedenen Rechtsgrundlagen eine bedeutende Rolle. Die Datenschutzkoordinator:innen benötigen zielgenaue Unterstützung dabei zu verstehen, ob sie sich gerade im Bereich der DSGVO, des KDG oder des jeweiligen LKHG (Landeskrankenhausgesetz) bewegen. caralegal bietet den Datenschutzexperten die Funktion, das übergeordnet zu steuern. Herr Dr. Krohm kann so für seine komplette Struktur festlegen, welche Abteilung auf welche gesetzlichen Grundlagen zugreifen darf.
Dr. Krohm: Die Arbeit wird durch die caralegal-Platform deutlich praktikabler.
Wenn wir zum Beispiel eine Aktualisierung der Verarbeitungsverzeichnisse in einem unserer Häuser vornehmen wollen, können wir das direkt vor Ort oder auch remote mit den einzelnen Prozessverantwortlichen machen.
In beiden Fällen sind die Änderungen sofort im System eingetragen, versioniert und standardisiert. Das ist natürlich deutlich komfortabler und intuitiver als die Arbeit mit Excel-Tabellen.
Das könnte man natürlich auch mit Excel machen. Wir wissen aber auch, was mit Excel-Tabellen passiert, sobald sie im Gebrauch sind – dann besteht die Gefahr, dass der Standard sehr schnell ‚zerschossen‘ ist. caralegal bietet uns nun ein System, mit dem wir den Standard nach und nach für alle Häuser ausrollen können.
Ein weiterer Vorteil sind die Anpassungen im DSMS. Immer wieder werden neue Anforderungen, beispielsweise durch die katholische Datenschutzaufsicht, an uns herangetragen. In diesen Fällen konnten wir in letzter Zeit stets mit einem Anruf oder einer E-Mail an caralegal besprechen, wie man diese Änderungen auch im Datenschutzmanagementsystem anpassen und einbauen kann.
Durch diese sehr schnellen Anpassungen konnten wir immer zeitlich so reagieren, wie es wiederum die Aufsicht von uns verlangt.
Herr Möller: Durch die Partnerschaft mit dem EVV haben wir unser Produkt weiterentwickelt und können nun etwas anbieten, das nicht nur auf katholische Gesundheitseinrichtungen zugeschnitten ist, sondern auf jedes katholische Bistum oder Einrichtung übertragen werden kann, die ihr Datenschutzmanagement digitalisieren möchte.
Beim EVV reden wir zudem von Krankenhäusern, deren Personal sich um die Gesundheit der Menschen kümmert. Die fragen sich natürlich, wieso sie dabei noch datenschutzrechtlich dokumentieren müssen.
Es macht für sie einen großen Unterschied, ob wir ihnen dann eine Excel-Datei vorlegen, in die sie sich erst einmal zwei Stunden lang einarbeiten müssen, oder ein System mit einer übersichtlichen Struktur und klaren Handlungsanweisungen vorgeben.
Durch caralegal wird ein „Oh nein, darauf habe ich keine Lust“ zum „Alles klar, diese fünf Schritte verstehe ich und machen Sinn“. Im Feedback von Herrn Dr. Krohm und unseren anderen Kunden wird immer wieder herausgestellt, wie wichtig die Fachbereiche für ihre Arbeit sind. Ohne die Mitarbeit der Fachbereiche macht man Datenschutz im Silo – und das ist dann kein Datenschutz, sondern einfach nur eine Dokumentenablage.
Dr. Krohm: In meiner zentralen Steuerungsfunktion ist es besonders wichtig, dass ich einen Gesamtüberblick über den Datenschutz im Verbund erhalte. caralegal bietet nun die Möglichkeiten, wichtige Informationen künftig mit einem Mausklick abzufragen, anstatt sie von allen Standorten per E-Mail einholen zu müssen.
Aufgrund der vielen vorgenommenen Anpassungen ist caralegal nun auch ideal für Einrichtungen, die dem katholischen Datenschutz unterliegen. Wir haben zudem einen zuverlässigen und im Gesundheitswesen spezialisierten Partner gefunden, den ich gerne weiterempfehle.
Herr Dr. Krohm, herzlichen Dank für das Gespräch.
Entdecke weitere Beiträge zu diesem Thema:
en_US
