Thema: Krankenhausinformationssysteme [Update]

27.04.2011 - 15:38

Hohe Anforderungen an den Datenschutz im Krankenhaus

Gesundheitsdaten gehören zu den besonderen Arten personenbezogener Daten, die nach der EU-Datenschutzrichtlinie und den deutschen Datenschutzgesetzen, einschließlich der kirchlichen Rechtsvorschriften, als besonders schützesnswert anzusehen sind. In der KDO hat dies in den §§ 2 Abs. 10, 3 Abs. 4, 9 Abs. 5, 7 und 10 Abs. 5, 6 seinen Niederschlag gefunden. Darüber hinaus gilt natürlich auch die berufsmäßige Verschweiegenheitspflicht, deren Verletzung nach § 203 StGB unter Strafe gestellt ist. Um den Anforderungen gerecht zu werden, haben die meisten Bundesländer und auch eine Reihe von Bistümern bereichsspezifische Vorschriften zum Datenschutz in Krankenhäusern erlassen. Aber wie sieht die Wirklichkeit aus?

 

Sind die Datenverarbeitungssysteme in Krankenhäusern wirklich datenschutzgerecht?

Bereits im Oktober 2009 hatte die 78. Konferenz der Datenschutzbeauftragten des Bundes und der Länder erhebliche Defizite bei der Umsetzung der gesetzlichen Vorschriften in der Praxis gerügt und zwei wichtige Forderungen erhoben:

  1. Der Zugriff auf Patientendaten darf nur durch Mitarbeiter der Kinik erfolgen, die den Patienten auch tatsächlich behandeln oder die Behandlung verwaltungsmässig abwickeln. Hierzu ist eine eingehende Rechteverwaltung erforderlich.
  2. Patienten müssen nachvollziehen können, wer auf ihre Daten zugegriffen hat. Dies muss durch eine entsprechende Protokollierung sichergestellt sein.

Die genannten Ziele sind allerdings schwer zu erreichen, da auch die Gestaltung der eingesetzen Software nicht in allen Fällen diesen Anforderungen entspricht. Veränderungen sind daher nötig, sowohl auf Seiten der Betreiber, wie auch der Anbieter solcher Programme.

 

Ein großer Schritt nach vorn: die Orientierungshilfe Krankenhausinformationssysteme

Eine Unterarbeitsgruppe Krankenhausinformationssysteme der Arbeitskreise "Gesundheit und Soziales" und "Technik" (UAG KIS) hat es im Auftrag der Konferenz unternommen, eine Orientierungshilfe zu erarbeiten, die als Richtschnur für alle beteiligten Aufsichtsbehörden, Krankenhausbetreiber und Softwareanbieter den Weg in eine datenschutzgerechte Zukunft in diesem wichtigen und zugleich hochsensiblen Lebensbereich weisen soll. Der Datenschutzbeauftragte der EKD und der Diözesandatenschutzbeauftragte der norddeutschen Diözesen wurden eingeladen, hieran teilzunehmen. Beide haben sich aktiv in die Arbeit der UAG KIS eingebracht, mit dem Ziel, diese Arbeit auch für die Krankenhäuser in kirchlicher Trägerschaft fruchtbar machen zu können.

Inzwischen liegt die Orientierungshilfe vollständig vor. Sie besteht aus zwei Teilen,

  1. den "Normativen Eckpunkten zur Zulässigkeit von Zugriffen auf elektronische Patientendaten im Krankenhaus", die die bereits jetzt bestehenden gesetzlichen Anforderungen konkretisieren und
  2. einer Beschreibung der "Technischen Anforderungen an die Gestaltung und den Betrieb von Krankenhausinformationssystemen", die zur Umsetzung der gesetzlichen Vorschriften erforderlich sind.

Zum besseren Verständnis wurden ein Begleitpapier und ein Glossar vorangestellt.

Die 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im März 2011 das Ergebnis zustimmend zur Kenntnis genommen. Die Orientierungshilfe hat keinen Gesetztescharakter. Die Aufsichtsbehördern werden jedoch bei ihren Prüfungen und Beratungen diesen gemeinsam gefundenen Maßstab zugrunde legen. Abweichungen werden sie nur dort akzeptieren, wo ein gleich hohes Schutzniveau erreicht wird.

 

Was ist zu tun?

Krankenhäuser sollten zunächst prüfen, welche Teile der Orientierungshilfe bereits jetzt umgesetzt werden können und ihre Verfahren entsprechend einrichten.

Soweit eine Umsetzung zur Zeit technisch noch nicht möglich ist, sollte ein Forderungskatalog erstellt und den Anbieterfirmen vorgelegt werden.

Auch bei auftretenden Fragen kann die Orientierungshilfe zu ihrer Beantwortung herangezogen werden.

Das gesamte Dokument sollte Pflichtlektüre für alle betrieblichen Datenschutzbeauftragten, die EDV-Verantwortlichen und die Verwaltungsleiter in den Krankenhäusern sein.

 

 --------------------- Update 03.04.2014 ----------------------

Die OH hat viel Zustimmung, aber auch Kritik erfahren. Manche Ausführungen wurden falsch interpretiert, andere waren zu weitgehend, um der verschiedenartigen und komplexen Realität der Krankenhausorganisationen zu entsprechen. Die UAG KIS hatte daher Ende 2012 den Entschluss gefasst, die OH in einer 2. Fassung neu zu formulieren. Dies ist inzwischen geschehen, so dass mittlerweile eine überarbeitete Version vorliegt.

Zuvor wurde eine intensive Diskussion mit der Deutschen Krankenhaushgesellschaft (DKG) und einigen Landeskrankenhausgesellschaften geführt. Die DKG hat schließlich zu der 2. Version der OH "Hinweise und Musterkonzepte für die Umsetzung der technischen Anforderungen der Orientierungshilfe Krankenhausinformationssysteme" herausgegeben, die von der UAG KIS sehr begrüßt und daher ebenfalls zur Lektüre empfohlen wird.