Curacon hat dies auf Basis einer im Sommer 2017 durchgeführten deutschlandweiten Befragung der ersten Führungsebene und den Datenschutzbeauftragten von Krankenhäusern aufgearbeitet.
Die hieraus entstandene Curacon-Datenschutzstudie 2018, erhebt den Umsetzungsstand datenschutzrechtlicher Vorgaben sowie bereits initiierter Maßnahmen zur Anpassung der bestehenden Datenschutzmanagementsysteme hinsichtlich der ab Mai Geltung entfaltenden EU-Datenschutz-Grundverordnung (DS-GVO)i . Die Antworten von 105 Einrichtungen lassen sowohl bei Maßnahmen nach bisher geltenden Rechtsgrundlagen als auch in Vorbereitung auf die neue DS-GVO zum Teil erhebliche Defizite erkennbar werden.
Maßnahmen zur Schwachstellenidentifizierung unzureichend
In Art. 32 DS-GVO ist festgeschrieben, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen getroffen werden müssenii. Voraussetzung für die Implementierung zielführender Maßnahmen zur Sicherstellung der Schutzbedarfe verschiedener Datenkategorien ist die Analyse der Ist-Situation sowie die Identifizierung von Schwachstellen. Hierzu sind Begehungen das erste Mittel der Wahl. Die Studie konnte zeigen, dass diese jedoch nur von einem Drittel der Einrichtungen regelmäßig und von weiteren 44 % unregelmäßig durchgeführt werden. In einem Viertel der Einrichtungen haben Begehungen unter Berücksichtigung der Datenschutzaspekte bisher nie stattgefunden. Da in Art. 32 Abs. 1 lit. d DS-GVO die Einführung eines Prozesses, der einen Demingkreis bestehend aus den Komponenten „Plan-Do-Check-Act“ abbildetiii, gefordert ist, besteht in Einrichtungen ohne regelmäßige Bestandsaufnahmen hierdurch dringender Handlungsbedarf.iv
Orientierungshilfe-Krankenhausinformationssysteme (OH-KIS)v als Maßstab
Maßnahmen der Zugriffskontrolle dienen der Kontrolle und Steuerung des Zugriffs auf personenbezogene Daten in den IT-Systemen. Basis jeglicher Zugriffskontrolle ist die Einführung eines Berechtigungskonzepts, das nach dem Grundsatz des „Need-to-know“-Prinzips ausgestaltet sein sollte. Mit der OH-KIS liegt eine Richtlinie vor, die die gesetzlichen Vorgaben konkretisiert und die Maßnahmen zur technischen Umsetzung darstellt. Die OH-KIS hat zwar keinen Rechtscharakter, wurde von Aufsichtsbehörden im Rahmen von Prüfungen aber als gemeinsamer Maßstab zugrunde gelegt.
Sowohl im ärztlichen und pflegerischen Dienst als auch für das Verwaltungspersonal werden bei rund 90 % der Einrichtungen definierte Berechtigungskonzepte genutzt. Allerdings sind diese nur hälftig nach den Vorgaben der OH-KIS ausgestaltet, während 44 % diese noch teilweise und 7 % gar nicht berücksichtigen.
Prüfung organisatorischer Maßnahmen nimmt mit Aufwand ab
Auf die Frage, ob in den Einrichtungen der Studienteilnehmer die organisatorische Umsetzung des Datenschutzes bereits systematisch überprüft wurden, konnten dies 59 % nur mit „teilweise“ beantworten. Eine systematische Erfassung ist dagegen nur bei rund einem Drittel der Teilnehmer erfolgt. Dem stehen 12 % der Einrichtungen gegenüber, in denen keine Überprüfung der organisatorischen Maßnahmen stattgefunden hat.
Dies schlägt sich auch in den Ergebnissen hinsichtlich der Umsetzung der gesetzlichen Vorgaben nieder. Diese offenbaren, dass die Vorgaben in Teilen keine Berücksichtigung finden. Werden schriftliche Verpflichtungen der Mitarbeiter auf das Datengeheimnis noch von 90 % der Einrichtungen eingeholt, existieren Vereinbarungen zur Auftragsdatenverarbeitung nur noch bei rund drei Vierteln, gefolgt vom Vorliegen eines schriftlichen Datenschutzkonzepts (71 %), dem Verarbeitungsverzeichnis (59 %) und der Durchführung von Vorabkontrollen (43 %). Auffällig hierbei ist, dass mit zunehmenden organisatorischem Aufwand, die Umsetzung der gesetzlichen Vorgaben abnimmt.
Kaum Vorbereitung auf Datenschutz-Grundverordnung
Rund drei Viertel der Teilnehmer haben angegeben sich mit den möglichen Auswirkungen der DS-GVO auseinanderzusetzen. Von diesen hatten aber zum Zeitpunkt der Befragung wiederum nur ein Drittel konkrete Maßnahmen initiiert. Hier rangieren die Anpassung der Vereinbarungen zur Auftragsdatenverarbeitung (20 %) sowie das Verarbeitungsverzeichnis und die neue Datenschutz-Folgenabschätzung (je 16 %) auf den ersten Plätzen. Insbesondere, da zu der letzteren von den Aufsichtsbehörden bisher eher unspezifische Vorgaben gemacht worden sindvi, scheinen hier die Prioritäten falsch gesetzt zu sein. Vielmehr sollte der Fokus auf der Implementation eines ganzheitlichen Datenschutzmanagementsystems liegen, um den durch die DS-GVO gestiegenen Rechenschaftspflichten nachkommen zu können.
Fazit
Insbesondere vor dem Hintergrund der sich durch die DS-GVO verschärften Anforderungen sowie dem deutlich höheren Bußgeldrahmen, ist die Tatsache, dass erst wenige Einrichtungen konkrete Maßnahmen umsetzen als sehr kritisch zu werten. Erste Initiativen der Aufsichtsbehörden lassen zudem eine verschärfte Prüfpraxis und die Verwirklichung von Sanktionen erwarten, wodurch die fehlende Berücksichtigung der datenschutzrechtlichen Vorgaben schnell zu einem Risiko für die betriebswirtschaftliche Stabilität werden könnte.
Die Ergebnisse der Studie haben gezeigt, dass ein wesentlicher Teil der befragten Einrichtungen noch Lücken zur Erfüllung der bereits heute geltenden gesetzlichen Grundlagen aufweist. Daher kann für Krankenhäuser nur gelten, die Hausaufgaben der Vergangenheit schnellstmöglich nachzuholen und hierbei gleich die neuen Forderungen aus der DS-GVO zu berücksichtigen.
Die Ergebnisse der Studie können Sie unter datenschutzstudie@curacon.de anfordern.
Autoren:
Stefan Strüwe, Syndikusrechtsanwalt, Prokurist, Seniormanager Geschäftsfeld Datenschutz und Johannes Mönter, Berater im Geschäftsfeld Datenschutz
i EU-Datenschutz-Grundverordnung (DS-GVO), ABl. 2016 L 119, 1 ff., die am 24. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 in Deutschland unmittelbare Geltung entfalten wird.
ii Vergleiche hierzu ausführlich Isele et al., (2018). Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO, Bundesverband Gesundheits-IT e.V. und Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V.
iii Piltz, Art. 32 Rn. 33 in: Gola, DSGVO: Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar. C.H.Beck Verlag 2017
iv Vergleiche hierzu ausführlich Mönter & Strüwe, KVI ID, 02/2017, Seite 62 ff.
v Die „Orientierungshilfe Krankenhausinformationssysteme“ zielt darauf ab, konkrete „Maßnahmen zur technischen Umsetzung der bestehenden datenschutzrechtlichen Regelungen und Vorgaben zur ärztlichen Schweigepflicht beim Einsatz von Krankenhausinformationssystemen“ für die Hersteller und Betreiber zu formulieren. Das Dokument kann auch als Prüfliste für die datenschutzrechtliche Überprüfung von bestehenden Installationen in Krankenhäusern genutzt werden, bei der das Vorhandensein konkreter, „spezifizierter“ technischer Ziele auf eine einfach abfragbare Ja-/Nein-Liste reduziert wird.
vi So dient das Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“ der Datenschutzkonferenz lediglich als erste Orientierung für den nicht-öffentlichen Bereich. Der darin aufgezeigte praktische Vollzug gilt nur vorbehaltlich, bis zu einer möglicherweise abweichenden Auslegung des Europäischen Datenschutzausschusses.