Pressemitteilung, 18.11.2011 - 17:33 Uhr
Perspektive Mittelstand
Berliner Datenschutzbeauftragte Dix mahnt Verbesserungen bei KIS an
Die Berliner Datenschutz-Aufsichtsbehörde setzt künftig einen Schwerpunkt im Gesundheitsbereich. Dr. Alexander Dix kündigte an, sowohl Hersteller als auch Betreiber sog. Krankenhausinformationssysteme (KIS) in den Fokus seiner Tätigkeit zu nehmen.
(PM) Potsdam, 18.11.2011 - KIS sind eine Zukunftstechnologie. Doch bei aller Euphorie für den hochinteressanten und wirtschaftsstarken IT-Sektor, darf nicht vergessen werden, dass die KIS die Erhebung, Verarbeitung und Nutzung hochsensibler Patientendaten ermöglichen. Die Vielfältigkeit der bisherigen KIS-Produkte führte zu vielen datenschutzrechtlichen Fragen. Daher haben sich die deutschen Aufsichtsbehörden auf ein gemeinsames wording und eine gemeinsame Rechtsauffassung zum Thema KIS geeinigt.Unter KIS wird daher:„die Gesamtheit aller in einem Krankenhaus eingesetzten informationstechnischen Systeme zur Verwaltung und Dokumentation elektronischer Patientendaten verstanden. Dabei handelt es sich in aller Regel um einen Verbund selbständiger Systeme meist unterschiedlicher Hersteller. Auf einzelne Fachbereiche beschränkte Verfahren wie z.B. Labor-, Radiologie- oder Diagnosesysteme gehören als Subsysteme ebenfalls zum Krankenhausinformationssystem.“(Quelle: Orientierungshilfe Krankenhausinformationssysteme, Glossar, S. 2)Was müssen KIS-Entwickler beachten?Der Datenschutzbeauftragte, Dr. Dix, hat unmissverständlich klar gemacht, dass nicht nur die Krankenhäuser in die Pflicht genommen werden. Vielmehr sollen schon die Hersteller dazu verpflichtet sein, nur solche KIS auf dem Markt anzubieten, die ein datenschutzkonformes Arbeiten ermöglichen. Ob Hersteller nun direkt von den Aufsichtsbehörden in Anspruch genommen werden oder von ihren Vertragspartnern (wegen Inverkehrbringens von Produkten, die nur ein rechtswidriges Arbeiten ermöglichen), kann derzeit noch dahinstehen. Feststeht, dass die Hersteller ihre aktuellen Produkte auf Datenschutzkonformität überprüfen und das Thema Datenschutz bei der Entwicklung neuer Produkte berücksichtigen müssen.Zwei Beispiele für hier einschlägige Datenschutzprinzipien sind die Datentrennung und die begrenzten Zugriffsrechte. Beide stehen in einem Zielkonflikt mit einer umfassenden, medizinischen Versorgung. Daher ist es notwendig, den exakten, rechtlichen Rahmen zu definieren und dann nach wirtschaftlichen Lösungen zu suchen. Hierbei kann fachkundige Beratung helfen. Daneben gibt es eine Vielzahl weiterer Prinzipien, die es zu beachten gilt.Was müssen KIS-Betreiber beachten?Die KIS-Betreiber sind v.a. Krankenhäuser. Ihre datenschutzrechtlichen Pflichten liegen auf der Hand, denn sie erheben, verarbeiten und nutzen Patientendaten beinah sekündlich. Hierzu hat der Berliner Datenschutzbeauftragte in seiner Rede ausgeführt:„Es gibt wohl kaum einen anderen Bereich des menschlichen Lebens, in dem so sensitive Informationen über den Einzelnen verarbeitet werden. Die Medizintechnik in Kliniken entwickelt sich rasant, ohne dass die Krankenhausinformationssysteme den Schutz des Patientengeheimnisses immer ausreichend gewährleisten würden. […] Denn es nützt den betroffenen Patienten wenig, wenn bei Prüfungen nur festgestellt wird, dass in Krankenhäusern nicht nachvollzogen werden kann, wer wann auf ihre Daten zugegriffen hat, weil die technischen Systeme das bisher nicht protokollieren.“Spätestens an dieser Stelle muss klar sein: Krankenhäuser – egal ob öffentlich-rechtlich oder privat – stehen unter besonderer Beobachtung der Aufsichtsbehörden. Dies hat auch einen Grund: Sowohl das für private Kliniken geltende Bundesdatenschutzgesetz als auch die für die öffentlichen-rechtlichen Kliniken geltenden Landesgesetze messen Gesundheitsdaten eine besondere Bedeutung zu (vgl. etwa § 3 Absatz 9 BDSG). Hiermit gehen strenge Pflichten einher, die kaum noch – ohne das nötige Datenschutz-Know-How- zu bewältigen sind.Beispielsweise muss schon der Aufnahmebereich abhörsicher vom Warteraum getrennt werden; und hierbei geht es noch nicht einmal um IT-Fragen. Dieses Diskretions- und Trennungsprinzip entlädt sich an derart vielen Stellen, dass fachkundiger Rat hilfreich sein kann.Was kann eine Beratung leisten?Dr. Alexander Dix hat eines deutlich gemacht. Die Aufsichtsbehörden – überall in Deutschland – werden das Thema KIS verstärkt angehen. Deshalb ist es sinnvoll, das Datenschutzthema pro-aktiv anzugehen. Denn früher oder später kommen die Aufsichtsbehörden und kontrollieren die Kliniken; hoffentlich nicht erst nach einem Datenschutzskandal. Daher lebt es sich – gerade im Hinblick auf das erhebliche Haftungsrisiko – sehr viel ruhiger, wenn man sein KIS datenschutzkonform gestaltet.FazitKIS – das ist ein Zukunftsthema. Es wäre schlichtweg fahrlässig, schon jetzt zu behaupten, für alle Zeit passgerechte Lösungen zu haben. Denn sowohl die Technik als auch das Recht werden sich weiterentwickeln.Dies haben die Aufsichtsbehörden längst erkannt. Sie werden einen Schwerpunkt auf dieses Thema setzen und Krankenhäuser kontrollieren. Spannend ist, dass nun auch die KIS-Entwickler in den Fokus der Behörden geraten. Die datenschutzrechtlichen Fragen sind durchaus kompliziert.


ANSPRECHPARTNER/KONTAKT

ilex Datenschutz GbR
Herr Dr. iur. Stephan Gärtner
Alleestraße 13
14469 Potsdam
+331-97 93 75 0
info@ilex-datenschutz.de
www.ilex-datenschutz.de


ÜBER DR. IUR. STEPHAN GÄRTNER

Dr. iur. Stephan Gärtner ist als Compliance-Manager bei der ilex Datenschutz GbR tätig. In dieser Funktion berät er mittelständische private und kommunale Unternehmen, kommunale Gebietskörperschaften und Behörden in Datenschutzfragen. Sein Tätigkeitsfeld umfasst in concreto die Durchführung von Audits (Datenschutz-CheckUp), das Verfassen von Rechtsgutachten und das Schulen von Mitarbeitern, sowohl in den Grundlagen des Datenschutzrechts als auch zum betrieblichen Datenschutzbeauftragten. Dr. iur. Stephan Gärtner steht auch als externer betrieblicher Datenschutzbeauftragter zur Verfügung.