Article

Datenschutz bei der Digitalisierung in Kliniken

Nachhaltige Digitalisierung und Patientendatenschutz

Gemessen am Reifegrad nach dem Electronic Medical Record Adoption Model (EMRAM) besteht bei Kliniken in Deutschland ein deutlicher Optimierungsbedarf bei der Digitalisierung. Insbesondere gilt dies in den Bereichen klinische Prozesse, Informationsaustausch, Telemedizin und Patientenpartizipation. Auch die Weitergabe strukturierter Daten innerhalb von Kliniken sowie die Interoperabilität zwischen den vorherrschenden Softwarelösungen ist laut der Mitteilung der Healthcare Information and Management Systems Society (HIMSS) ausbaufähig.

Anreize und Förderungen für die Digitalisierung wurden durch das Krankenhauszukunftsgesetz (KHZG) geschaffen. Über vier Milliarden Euro Fördermittel stehen zur Verfügung, um Kliniken digital aufzurüsten. Ein wesentliches Förderkriterium ist die Beachtung der allgemeinen und bereichsspezifisch anwendbaren datenschutzrechtlichen Vorschriften (u.a. DSGVO, SGB, BDSG) und landesspezifischer Regelungen (u.a. Landesdatenschutzgesetze oder Landeskrankenhausgesetze). Neben dem Gesetzgeber, der einen klaren Fokus auf Datenschutz setzt, kommen auch interne Vorgaben von Gesundheitseinrichtungen zur Vermeidung von Schadensersatz, Reputationsschaden und Geldstrafen ins Spiel. Aufgrund der zunehmenden gesellschaftlichen Debatte auch Patienten ein erhöhtes Problembewusstsein entwickelt und haben hohe Erwartungen an den Schutz ihrer sensiblen Gesundheitsdaten.

Herausforderungen bei der Digitalisierung in Kliniken

Die aktuellen Fördermöglichkeiten für digitale Technologien eröffnen im Gesundheitswesen zahlreiche Chancen und Möglichkeiten. Allerdings ergeben sich auch diverse Faktoren, die eine Herausforderung für die Digitalisierung in Kliniken darstellen: die komplizierte Auftragsvergabe, der Mangel an Fachkräften sowie datenschutzrechtliche Hürden für die Verarbeitung und Weitergabe sensibler Gesundheitsdaten.

Hohe Komplexität bei der Bestimmung der Rechtmäßigkeit

Die Bestimmung der Rechtmäßigkeit bei der Verarbeitung von Gesundheitsdaten ist hochkomplex, da oft eine mehrstufige Prüfung durchgeführt werden muss. Gesundheitsdaten dürfen grundsätzlich nicht verarbeitet werden, außer es liegen eine oder mehrere gesetzliche Ausnahmen vor. Zur Bestimmung dieser Ausnahmen müssen oftmals nicht nur die DSGVO, sondern auch zahlreiche Spezialgesetze aus EU-, Bundes- und Landesebene berücksichtigt werden. Diese Komplexität der Zulässigkeitsbestimmung geplanter digitaler Verarbeitungen verursacht eine zunehmende Unsicherheit oder sogar den vollständigen Stopp von Digitalisierungsprojekten.

Gesetzliche Vorgaben zum Umgang mit Gesundheitsdaten im Wandel

In unserer datengetriebenen Welt wird es immer wichtiger, die zur Verfügung stehenden Daten werthaltig zu nutzen. Die Nutzung von Gesundheitsdaten zu Forschungszwecken und zur Unterstützung von Entscheidungsprozessen in Diagnostik und Therapie ist essenziell, um Patienten bestmöglich zu behandeln. Da auch von Gesetzgebern der Bedarf gesehen wird, die rechtlichen Vorgaben an das neue Umfeld anzupassen, befinden sich diese Bestimmungen – getrieben durch die EU-Datenstrategie und landesspezifischen Vorgaben wie zum Beispiel dem European Health Data Space (EHDS) oder der Datentransparenzverordnung (DaTraV) – in einem starken Wandel. Insbesondere die teilweise unklare Wechselwirkung zwischen den neuen Datengesetzen und der Datenschutzgrundverordnung (DSGVO) stellt eine Herausforderung in Digitalisierungsprojekten dar.

Hohe Anforderungen an die Datensicherheit in Bezug auf Gesundheitsdaten

Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Daten, die verarbeitet werden können. Daher unterliegen diese einem erhöhten Schutzbedarf. Bei der Konzeption und Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz der Daten müssen gängige Standards eingehalten und dem Schutzbedarf angemessene Maßnahmen umgesetzt werden.

Handlungsfelder beim Patientendatenschutz

Um den dargestellten Herausforderungen besser begegnen zu können, empfehlen wir folgende Handlungsfelder zu betrachten:

Optimierung des Datenschutzmanagementsystems

Ein geringer Reifegrad des Datenschutzmanagementsystems führt dazu, dass Digitalisierungsprojekte verzögert werden. Wir empfehlen, dass Vorgaben, Abläufe und Verantwortlichkeiten zum Datenschutz klar spezifiziert, kommuniziert und geschult werden, sodass in Digitalprojekten mehr Handlungssicherheit entsteht. Darüber hinaus sollte ein Datenschutzmanagement-Tool eingeführt werden, über welches die Abläufe standardisiert und in Teilen automatisiert werden können, sodass weitere Effizienzverbesserungen entstehen.

Risikobasierter Ansatz zur Umsetzung eines angemessenen Schutzniveaus

Um den hohen Anspruch an Datensicherheit gerecht zu werden, sollte ein risikobasierter Ansatz zur Umsetzung eines angemessenen Schutzniveaus eingeführt werden. Ein methodischer Ansatz stellt sicher, dass das Risiko für Patienten bei der Verarbeitung von Gesundheitsdaten konsistent bewertet und der Schutzbedarf daraus abgeleitet werden kann. Zur Umsetzung eines angemessenen Schutzniveaus nach dem Stand der Technik sollten unter anderem Pseudonymisierungs- und Anonymisierungsmethoden eingeführt werden, welche bei der Produkt- und Dienstentwicklung und bei der Weitergabe von Daten (z. B. zu Forschungszwecken) zum Einsatz kommen können. Technische Lösungen zur Anonymisierung von Datenbeständen (sog. „Privacy Enhancing Technologies“) können eine wichtige Rolle für das Ermöglichen einer datenschutzkonformen Verarbeitung spielen.

Rechtsgrundlagenkatalog für digitale Use Cases

Es sollte grundsätzlich evaluiert werden, welche Spezialgesetze als Ausnahmen für die Verarbeitung von Gesundheitsdaten im jeweiligen Geschäftsfeld herangezogen werden. Ein hieraus gebildeter Katalog von Rechtsgrundlagen kann bei Digitalisierungsprojekten als erste Indikation genutzt werden. Jedoch sollte eine genaue Prüfung und Festlegung weiterhin durch den Rechtsbereich stattfinden.

Fazit

Für die Einführung oder Optimierung digitaler Prozesse in Kliniken oder die Einführung neuer Techniken zur Telemedizin oder Patientenpartizipation bedarf es einer sorgfältigen datenschutzrechtlichen Prüfung. Dabei kann ein wirksames Datenschutzmanagementsystem helfen, diese Prüfungen effektiv durchzuführen. Auf dieser Grundlage können Digitalisierungsprojekte in Kliniken datenschutzkonform und erfolgreich umgesetzt werden.

Ihre Ansprechpartner

Stefan Buchholz

Partner | Cyber

stbuchholz@deloitte.de

+49 30 254684252

Stefan Buchholz verantwortet den Bereich Data & Privacy im Geschäftsbereich Risk Advisory und hat mehr als 12 Jahre Erfahrung in der Beratung nationaler und internationaler Kunden im Bereich Cybersich... Mehr

Ibo Teuber

Sector Lead Health Care

iteuber@deloitte.de

+49 89 290367839

Ibo Teuber ist Partner im Bereich Health Care. Er verfügt über viele Jahre Berufserfahrung im Bereich der ambulanten und stationären Leistungserbringer im Gesundheitswesen. Vor seinem Einstieg bei Del... Mehr

Audit & Assurance

Risk Advisory

Tax

Legal

Financial Advisory

Consulting

Deloitte Private (Mittelstand)

Spotlight

Sustainability & Climate

Consumer

Energy, Resources & Industrials

Financial Services

Government & Public Services

Life Sciences & Health Care

Technology, Media & Telecommunications

Jobsuche

Berufserfahrene

Studierende

Karriere bei Deloitte

Schüler:innen

Absolvent:innen