(PM) Potsdam, 17.11.2011 - 1. Hintergründe zu den Krankenhausinformationssystemen

Krankenhausinformationssysteme sind das neue Schlagwort im eHealth-Sektor. Nach einer gemeinsamen Beschlussfassung der deutschen Aufsichtsbehörden wird unter Krankenhausinformationssystemen (KIS)

„die Gesamtheit aller in einem Krankenhaus eingesetzten informationstechnischen Systeme zur Verwaltung und Dokumentation elektronischer Patientendaten verstanden. Dabei handelt es sich in aller Regel um einen Verbund selbständiger Systeme meist unterschiedlicher Hersteller. Auf einzelne Fachbereiche beschränkte Verfahren wie z.B. Labor-, Radiologie- oder Diagnosesysteme gehören als Subsysteme ebenfalls zum Krankenhausinformationssystem.“

(Quelle: Orientierungshilfe Krankenhausinformationssysteme, Glossar, S. 2)

Gerade in der Bundeshauptstadt setzt die Datenschutzaufsicht mit dem KIS-Komplex ein neues Schwerpunktthema. Dies kündigte der Landesdatenschutzbeauftragte, Dix, erst kürzlich in einer Rede vor dem Abgeordneten Haus an. Doch diese Entwicklung macht in Berlin nicht stopp. Alle deutschen Aufsichtsbehörden haben sich dieses Themas angenommen.

2. Beschlussempfehlung an den Landesgesetzgeber

Die Aktivitäten der Berliner Aufsichtsbehörde im Wirkungsfeld der KIS zeigen erste Wirkungen. Der Innenausschuss hat sich mit dem Thema beschäftigt und konkrete Verbesserungsvorschläge formuliert (Drs. 16/3377). Diese Beschlussempfehlung ist ein wichtiger Fingerzeig in Zukunft des KIS-Themas und seiner gesetzlichen Regulierung. Zumindest für öffentlich-rechtliche Kliniken wird hier ein verbindlicher Rahmen gesetzt. In der Beschlussempfehlung heißt es u.a.:

„Der Senat wird aufgefordert, darauf hinzuwirken, dass beim Einsatz von Krankenhausinformationssystem in den Berliner Krankenhäusern das Patientengeheimnis sichergestellt wird. Der Zugriff auf personenbezogene Daten von Patientinnen und Patienten darf technisch und organisatorisch nur ermöglicht werden, wenn und soweit dies für die optimale Behandlung oder für die korrekte Abrechnung der an ihnen erbrachten Leistungen erforderlich ist. Kontrollen haben auch in Berlin ergeben, dass die Zugriffsmöglichkeiten des Krankenhauspersonals auf die elektronischen Krankenakten in den meisten Krankenhäusern weit über das notwendige Maß hinausgehen. […]“

(Quelle: Beschlussempfehlung)

Dieser Beschlussempfehlung können drei Kernaussagen entnommen werden:

- Berliner Krankenhäuser verwenden KIS; gelegentlich aber datenschutzwidrig.

- Datenschutzverstöße treten v.a. bei der Ausgestaltung von Zugriffsrechten
auf. Letztere sind in persönlicher und sachlicher Hinsicht zu großzügig
gestaltet.

- Eine Lösung ist die technisch und organisatorische Begrenzung der
Zugriffsrechte, die sich an den Zwecken der optimalen Behandlung und
korrekten Abrechnung orientiert.

Diese Grundsätze lassen sich auf alle KIS im gesamten Bundesgebiet übertragen.

3. Konsequenzen für Entwickler und Betreiber

Nun stehen sowohl die Entwickler als auch die Betreiber von KIS vor einer Grundsatzentscheidung: Entweder sie belassen alles beim Alten – bis der Gesetzgeber gehandelt hat. Oder sie antizipieren schon jetzt die gesetzgeberische Entwicklung und passen ihre Systeme an. Die ilex Datenschutz GbR vertritt einen pro-aktiven Ansatz im Datenschutzrecht.

Eine Anpassung ist jetzt schon möglich. Offenbar ist es dem Berliner Gesetzgeber wichtig, dass ein striktes Trennungsprinzip durchgehalten wird. Die Definition eines entsprechenden Rechtemanagements kann hier schon hilfreich sein.

Allerdings stellt sich immer die Frage, wie genau eine solche Trennung aussehen muss. Maßgeblich sind hier zahlreiche Normen, die sogar von Bundesland zu Bundesland unterschiedlich sein können. Auch gelten für private und öffentlich-rechtliche Träger unterschiedliche Gesetze.

Daher ist eine fachkundige Beratung in diesem Feld hilfreich.

4. Fazit

Es verändert sich etwas im Gesundheitsdatenschutzrecht. Die Zeichen sind recht deutlich; Aufsichtsbehörden engagieren sich in diesem Bereich mit zunehmenden Eifer. Letzterer bewirkt nun auch Reaktionen beim Gesetzgeber, die Hersteller und Betreiber von KIS genau beachten sollten. Gerade private Entwickler und Kliniken sollten hinsichtlich der Haftungs- und Bußgeldfragen genau beachten, in welche Richtung die Aufsichtsbehörden und Gesetzgeber tendieren. Eine Liberalisierung ist derzeit nicht zu erwarten.