Page 109 - index
P. 109
Christian Teichter ist Rechtsanwalt der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und auf das Datenschutz- und
IT-Recht spezialisiert. Er berät vornehmlich Mandanten aus den Bereichen Life Sciences, Biotech, Pharma, Wissenschaft & Forschung,
Healthcare und eHealth. Hierzu gehören internationale Pharma- und Biotech-Unternehmen ebenso wie Start-Ups, Behörden,
Forschungsinstitute, Klinikbetreiber, Betreiber Medizinischer Versorgungszentren sowie Leistungserbringer wie Krankenversicherungen.
Zudem sind sämtliche Subauftragnehmer im Vertrag anzugeben zwar, wenn das Krankenhaus so Störungen im Betriebsablauf
und die durch diese zu ergreifenden technisch-organisatori- vermeiden, die Datenverarbeitung kostengünstiger gestalten
schen Maßnahmen (TOM) zu regeln. Im Gesundheitswesen kann oder seinen Betrieb einstellt. Außerdem ist nach § 38 III
treten häufig Regelungen im Hinblick auf die Wahrung des LKHG M-V eine über drei Monate hinausgehende Speiche-
Berufsgeheimnisses und der ärztlichen Schweigepflicht hinzu. rung von Patient:innendaten durch Auftragsverarbeiter außer-
halb des Krankenhauses nur zulässig, wenn die Daten bei den
4. Landesrechtliche Besonderheiten Auftragsverarbeitern auf getrennten Datenträgern gespeichert
Die meisten deutschen Bundesländer haben eigene sind. Hiermit wird einer gängigen und regelmäßig zulässigen
Landeskrankenhaus(datenschutz)gesetze erlassen, welche im Virtualisierungslösung wohl eine Absage erteilt.
Rahmen der Auftragsverarbeitung für Krankenhäuser rele-
vant sind. [3] Sofern das jeweilige Krankenhaus in den Anwen- III. Fazit
dungsbereich eines Landesgesetzes fällt, [4] kommen diese zur Auftragsverarbeitung im Krankenhaus ist datenschutzrecht-
Anwendung. lich kompliziert und risikobehaftet. Sie sollte mit der nötigen
Problematisch sind hier vor allem die großen Unterschiede Sorgfalt geschehen, um nicht einen Datenschutzverstoß zu
zwischen den einzelnen Bundesländern. So sieht beispielsweise riskieren. Vor allem die unterschiedlichen landesrechtlichen
§ 24 VII LKG Berlin vor, dass Daten grundsätzlich nur im Auf- Regelungen zeigen, dass der Weg zur erfolgreichen Digitalisie-
trag durch ein anderes Krankenhaus verarbeitet werden dür- rung im Gesundheitswesen mitunter noch lang ist. Wir beraten
fen; darüber hinaus ist eine Auftragsverarbeitung nur gestattet, und unterstützen Sie beim Einsatz von Auftragsverarbeitern im
wenn sichergestellt ist, dass der Auftragsverarbeiter bei der Ver- Krankenhaus gerne.
arbeitung der Daten keinen Personenbezug herstellen kann. In
Bremen hingegen gibt § 10 BremKHDSG vor, dass die Daten-
verarbeitung im Auftrag mit Daten von Patient:innen nur dann [1] Einen Überblick hierzu finden Sie unter: https://www.srd-rechtsanwaelte.de/blog/
zulässig ist, wenn „die Wahrung der Datenschutzbestimmungen saas-recht-ueberblick/
dieses Gesetzes bei der verarbeitenden Stelle sichergestellt ist [2] Einen Muster-Auftragsverarbeitungsvertrag für das Gesundheitswesen finden Sie
z.B. hier: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.
und diese sich insoweit der Kontrolle des Landesbeauftrag- gdd.de%2Farbeitskreise%2Fdatenschutz-und-datensicherheit-im-gesundheits-und-
ten für den Datenschutz unterwirft“. Was die Unterwerfung sozialwesen%2Fmaterialien-und-links%2Fauftragsverarbeitungs-mustervertrag-fuer-
konkret bedeutet, sagt das Gesetz dagegen nicht. Um die Ver- das-gesundheitswesen%2Fmuster-vertrag-docx&wdOrigin=BROWSELINK.
[3] Hiervon gibt es nur wenige Ausnahmen, wie etwa Nordrhein-Westfalen oder Bre-
wirrung auf die Spitze zu treiben, lässt das Mecklenburg-Vor- men – hier gibt es aber eigene bereichsspezifische Regelungen.
pommersche Landeskrankenhausgesetz nach § 38 I LKHG [4] Einige Krankenhäuser fallen regelmäßig nicht in den Anwendungsbereich, wie etwa
M-V eine AV der Daten nur in eng begrenzten Fällen zu – und Krankenhäuser der Polizei oder des Bundes.
Krankenhaus-IT Journal 6 /2022
109
