IT-Sicherheit im Krankenhaus






































           Kathrin Schürmann ist Partnerin der Technologiekanzlei SCHÜRMANN ROSENTHAL DREYER Rechtsanwälte und spezialisiert
            auf das IT- und Datenschutzrecht. Ein Fokus ihrer beratenden Tätigkeit liegt in den Bereichen Digital Business, Technologie und Me-
            dien. Als Datenschutzexpertin betreut sie zudem relevante Pandemie-Digitalprojekte, u.a. die Gesundheits-Apps des RKI
           (Corona-Warn-App, Cov-Pass, Corona-Datenspende-App) und viele weitere Digitalprojekte im Gesundheitsbereich.


           I. Einführung                                    2. Auswahl der richtigen Dienstleistenden und
           Mit dem Krankenhauszukunftsgesetz (KHZG) möchte der   Drittstaatenproblematik
           Gesetzgeber der Digitalisierung und SaaS- Lösungen im   Weil regelmäßig Gesundheitsdaten von Patient:innen und
           Gesundheitswesen Schub geben. Im Krankenhauszukunfts-  damit nach Art. 9 DSGVO besonders geschützte Daten ver-
           fonds (KHZF) stehen insgesamt über 4 Milliarden Euro für die   arbeitet werden, muss der Auftragsverarbeiter sorgfältig aus-
           Förderung zur Verfügung.                         gewählt werden. Hier können Datenschutzsiegel wie das EU-
              Diverse Software-as-a-Service-Lösungen (SaaS) [1]  könnten   Privacy-Seal ein erster Anlaufpunkt sein. Insbesondere sollte
           dazu beitragen, die komplexen Abläufe im Krankenhaus zu opti-  auf geeignete technische und organisatorische Maßnahmen
           mieren. Sofern mit diesen Saas-Tools Daten von Patient:innen   (TOM) Wert gelegt werden. Außerdem müssen Auftragsver-
           verarbeitet werden, muss regelmäßig ein Auftragsverarbeitungs-  arbeiter gewährleisten können, dass kein unzulässiger Dritt-
           vertrag (AVV) [2]  nach Art. 28 DSGVO geschlossen werden.  staatentransfer stattfindet. Aus diesem Grund ist der Einsatz
                                                            von US-Dienstleistern problematisch und wohl regelmäßig
           II. Besondere datenschutzrechtliche              unzulässig.
           Herausforderungen bei der
           Auftragsverarbeitung                             3. Auftragsverarbeitungsvertrag
            1. Auftragsverarbeitung                         In der Praxis werden die Auftragsverarbeitungsverträge für
           Kennzeichnend für eine Auftragsverarbeitung ist, dass Auf-  Saas-Tools oft als Allgemeine Geschäftsbedingungen (AGB)
           tragsverarbeiter die Daten nur auf  Weisung des Verantwortli-  ausgestaltet. Auch wenn dagegen grundsätzlich nichts einzu-
           chen verarbeiten dürfen und Letzterer allein über die Zwecke   wenden ist, sollten die AGB vor Einsatz des SaaS-Tools immer
           und Mittel der Datenverarbeitung entscheiden. In unserem Bei-  kritisch geprüft werden. Art. 28 DSGVO gibt den Mindestin-
           spiel wird der Softwareanbieter als eine Art verlängerter Arm   halt eines Auftragsverarbeitungsvertrags vor. Zu regeln ist u.a.
           des Krankenhauses ohne eigene Entscheidungshoheit tätig. Das   der Gegenstand und die Dauer des Auftrags, die Art der verar-
           Krankenhaus bleibt für die Datenverarbeitung datenschutz-  beiteten Daten, die Kategorien der betroffenen Personen sowie
           rechtlich verantwortlich.                        der Umfang der Weisungsbefugnisse der Auftraggeber.






                                                                                   Krankenhaus-IT Journal 6 /2022
      108