Anreize und Förderungen für die Digitalisierung wurden durch das Krankenhauszukunftsgesetz (KHZG) geschaffen. Über vier Milliarden Euro Fördermittel stehen zur Verfügung, um Kliniken digital aufzurüsten. Ein wesentliches Förderkriterium ist die Beachtung der allgemeinen und bereichsspezifisch anwendbaren datenschutzrechtlichen Vorschriften (u.a. DSGVO, SGB, BDSG) und landesspezifischer Regelungen (u.a. Landesdatenschutzgesetze oder Landeskrankenhausgesetze). Neben dem Gesetzgeber, der einen klaren Fokus auf Datenschutz setzt, kommen auch interne Vorgaben von Gesundheitseinrichtungen zur Vermeidung von Schadensersatz, Reputationsschaden und Geldstrafen ins Spiel. Aufgrund der zunehmenden gesellschaftlichen Debatte auch Patienten ein erhöhtes Problembewusstsein entwickelt und haben hohe Erwartungen an den Schutz ihrer sensiblen Gesundheitsdaten.
Die aktuellen Fördermöglichkeiten für digitale Technologien eröffnen im Gesundheitswesen zahlreiche Chancen und Möglichkeiten. Allerdings ergeben sich auch diverse Faktoren, die eine Herausforderung für die Digitalisierung in Kliniken darstellen: die komplizierte Auftragsvergabe, der Mangel an Fachkräften sowie datenschutzrechtliche Hürden für die Verarbeitung und Weitergabe sensibler Gesundheitsdaten.
Die Bestimmung der Rechtmäßigkeit bei der Verarbeitung von Gesundheitsdaten ist hochkomplex, da oft eine mehrstufige Prüfung durchgeführt werden muss. Gesundheitsdaten dürfen grundsätzlich nicht verarbeitet werden, außer es liegen eine oder mehrere gesetzliche Ausnahmen vor. Zur Bestimmung dieser Ausnahmen müssen oftmals nicht nur die DSGVO, sondern auch zahlreiche Spezialgesetze aus EU-, Bundes- und Landesebene berücksichtigt werden. Diese Komplexität der Zulässigkeitsbestimmung geplanter digitaler Verarbeitungen verursacht eine zunehmende Unsicherheit oder sogar den vollständigen Stopp von Digitalisierungsprojekten.
In unserer datengetriebenen Welt wird es immer wichtiger, die zur Verfügung stehenden Daten werthaltig zu nutzen. Die Nutzung von Gesundheitsdaten zu Forschungszwecken und zur Unterstützung von Entscheidungsprozessen in Diagnostik und Therapie ist essenziell, um Patienten bestmöglich zu behandeln. Da auch von Gesetzgebern der Bedarf gesehen wird, die rechtlichen Vorgaben an das neue Umfeld anzupassen, befinden sich diese Bestimmungen – getrieben durch die EU-Datenstrategie und landesspezifischen Vorgaben wie zum Beispiel dem European Health Data Space (EHDS) oder der Datentransparenzverordnung (DaTraV) – in einem starken Wandel. Insbesondere die teilweise unklare Wechselwirkung zwischen den neuen Datengesetzen und der Datenschutzgrundverordnung (DSGVO) stellt eine Herausforderung in Digitalisierungsprojekten dar.
Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Daten, die verarbeitet werden können. Daher unterliegen diese einem erhöhten Schutzbedarf. Bei der Konzeption und Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz der Daten müssen gängige Standards eingehalten und dem Schutzbedarf angemessene Maßnahmen umgesetzt werden.
Um den dargestellten Herausforderungen besser begegnen zu können, empfehlen wir folgende Handlungsfelder zu betrachten:
Ein geringer Reifegrad des Datenschutzmanagementsystems führt dazu, dass Digitalisierungsprojekte verzögert werden. Wir empfehlen, dass Vorgaben, Abläufe und Verantwortlichkeiten zum Datenschutz klar spezifiziert, kommuniziert und geschult werden, sodass in Digitalprojekten mehr Handlungssicherheit entsteht. Darüber hinaus sollte ein Datenschutzmanagement-Tool eingeführt werden, über welches die Abläufe standardisiert und in Teilen automatisiert werden können, sodass weitere Effizienzverbesserungen entstehen.
Um den hohen Anspruch an Datensicherheit gerecht zu werden, sollte ein risikobasierter Ansatz zur Umsetzung eines angemessenen Schutzniveaus eingeführt werden. Ein methodischer Ansatz stellt sicher, dass das Risiko für Patienten bei der Verarbeitung von Gesundheitsdaten konsistent bewertet und der Schutzbedarf daraus abgeleitet werden kann. Zur Umsetzung eines angemessenen Schutzniveaus nach dem Stand der Technik sollten unter anderem Pseudonymisierungs- und Anonymisierungsmethoden eingeführt werden, welche bei der Produkt- und Dienstentwicklung und bei der Weitergabe von Daten (z. B. zu Forschungszwecken) zum Einsatz kommen können. Technische Lösungen zur Anonymisierung von Datenbeständen (sog. „Privacy Enhancing Technologies“) können eine wichtige Rolle für das Ermöglichen einer datenschutzkonformen Verarbeitung spielen.
Es sollte grundsätzlich evaluiert werden, welche Spezialgesetze als Ausnahmen für die Verarbeitung von Gesundheitsdaten im jeweiligen Geschäftsfeld herangezogen werden. Ein hieraus gebildeter Katalog von Rechtsgrundlagen kann bei Digitalisierungsprojekten als erste Indikation genutzt werden. Jedoch sollte eine genaue Prüfung und Festlegung weiterhin durch den Rechtsbereich stattfinden.
Für die Einführung oder Optimierung digitaler Prozesse in Kliniken oder die Einführung neuer Techniken zur Telemedizin oder Patientenpartizipation bedarf es einer sorgfältigen datenschutzrechtlichen Prüfung. Dabei kann ein wirksames Datenschutzmanagementsystem helfen, diese Prüfungen effektiv durchzuführen. Auf dieser Grundlage können Digitalisierungsprojekte in Kliniken datenschutzkonform und erfolgreich umgesetzt werden.