Georg Thieme Verlag KG

Datenschutz in der HauptstadtSchilda an der Spree

Berliner Kliniken haben für mehr als 200 Millionen Euro Fördermittel nach dem KHZG beantragt, darunter sind auch cloud- bzw. netzwerkbasierte Projekte wie Patientenplattformen. Weil der Berliner Senat gleichzeitig im Oktober den Datenschutz verschärfen will, werden viele geförderte Projekte gleich wieder ausgebremst.

DSGVO
Thaut Images/stock.adobe.com

Symbolfoto

Wohl bei kaum einem anderen Thema schütteln Klinikmanager in diesem Land so schnell den Kopf wie beim Datenschutz. Der föderal geregelte Datenschutz ist mit Wildwuchs noch milde umschrieben, jedes Bundesland bastelt sich seine eigenen Regelungen – was zu teilweise kuriosen Stilblüten in der länderübergreifenden Zusammenarbeit von Krankenhäusern führt. Welche Auswüchse rigide Datenschutzregelungen selbst in einem Bundesland haben können, zeigt aktuell das Beispiel Berlin.

Dort will das Land auf der einen Seite jetzt mit mehr als 60 Millionen Euro Eigenbeitrag rund 170 Projekte im Rahmen des Krankenhauszukunftsgesetzes (KHZG) fördern. Bis Ende Juni werden die Gel- der dafür voraussichtlich freigegeben. Gleichzeitig soll aber ab Oktober eine verschärfte Datenschutzbestimmung im Berliner Landeskrankenhausgesetz in Kraft treten – und viele KHZG-Projekte so gleich wieder ausbremsen. Oder in den lakonischen Worten eines Berliner Klinikmanagers: „Det is halt Berlin.“

Die Hauptstadtposse hat ihren Ursprung im Frühjahr 2020. Nach langen Debatten will der damalige rot-rot-grüne Senat die Regelungen der seit 2018 gültigen Europäischen Datenschutzgrundverordnung (DSGVO) endlich in Landesrecht überführen. Mittel zum Zweck ist das sogenannte Berliner Datenschutzgesetz, ein breites Bündel an Änderungen und datenschutzrechtlichen Neuregelungen für eine breite Palette gesellschaftlicher Bereiche, mit der die Rechtslage in Berlin an die Vorgaben der DSGVO angepasst werden soll. Allerdings will die Berliner Koalition teilweise über die Vorgaben der DSGVO hinausgehen und noch schärfere Datenschutzvorgaben als die DSGVO umsetzen. Ein Beispiel für diese schärfere Berliner Gangart ist der damals vorgesehene neue Paragraf 24, Absatz 7 im Berliner Landeskrankenhausgesetz.

Eingeschränkte Datenverarbeitung

In diesem Paragrafen wird die Auftragsdatenverarbeitung für Berliner Krankenhäuser geregelt. So ist dort z.B. zu lesen, dass Berliner Kliniken die Datenverarbeitung von „genetischen Daten und Gesundheitsdaten“ nur an externe Dienstleister geben dürfen, wenn diese „der gleichen Unternehmensgruppe“ bzw. zu einem anderen Berliner Krankenhaus gehören. Andere externe Dienstleister, die dafür häufig cloud- oder netzwerkbasierte Lösungen haben – was inzwischen beinahe Standard in der Branche ist – sind verboten.

Die geplante Regelung löste damals prompt Entsetzen bei Berliner Klinikmanagern aus. „Das ist so, als ob man Mercedes dazu zwingen würde, die eigenen Daten durch BMW verarbeiten zu lassen“, witzelt Marc Schreiner, Geschäftsführer der Berliner Krankenhausgesellschaft (BKG), über den Plan. Der hartnäckige Widerstand der Berliner Krankenhäuser und die Gefahr, dass sich das Inkrafttreten des gesamten Datenschutzgesetzes weiter verzögern könnte, führte im Oktober 2020 schließlich dazu, dass der Paragraf zeitlich befristet bis 30.09.2022 ausgesetzt wurde. Stattdessen gilt seitdem in Berlin die DSGVO.

Im September 2020 verabschiedete nahezu parallel dazu der Bund das KHZG. Die Bundesländer – damit auch das Land Berlin – verpflichteten sich, mit einer Komplementärfinanzierung Digitalisierungsprojekte im Rahmen des KHZG mitzufinanzieren. Die Regelungen des KHZG waren also der Berliner Landespolitik durchaus bekannt. Und es sollte auch klar gewesen sein, dass der ausgesetzte Paragraf 24, Absatz 7 entweder entfallen oder bis September 2022 überarbeitet werden müsste, um nicht viele geplante KHZG-Projekte wie zum Beispiel Patientenportale, weitere cloudbasierte Lösungen oder auch KI-unterstützte Diagnostik auszubremsen, die das Land gleichzeitig mit 65 Millionen Euro Steuergeldern fördern will. Das Land Bayern, das ursprünglich ähnlich strikte Datenschutzvorgaben bei der Auftragsdatenverarbeitung hatte, hat entsprechend reagiert und ändert dazu gerade die Regelungen nach Art. 27 Abs. 4 S. 6 des Bayerischen Krankenhausgesetzes.

Senatsverwaltung schweigt

Doch in Berlin passierte in dieser Hinsicht nichts. Die Kommune hat es bis Mitte Mai vorgezogen, offenbar bei dem Thema besser nichts zu tun und stillschweigend einfach den Paragrafen durch „Aussitzen“ scharfzuschalten. „Alle unsere Versuche, mit der Politik darüber ins Gespräch zu kommen, sind bislang gescheitert“, kritisiert Marc Schreiner. Er verweist auf unzählige Schreiben der BKG an die Fachpolitiker der drei Berliner Regierungsparteien sowie an die zuständige Senatsverwaltung für Gesundheit. Darunter direkt an die frühere Senatorin Dilek Kalayci (SPD) sowie nach der Landtagswahl 2021, als die Verantwortung für den Bereich Gesundheit in der neu aufgelegten rot-rot-grünen Koalition an die Grünen überging, an den grünen Gesundheitsstaatssekretär Thomas Götz. Es habe auf alle diese Schreiben keine Reaktion gegeben, klagt Schreiner. Auch auf eine Anfrage von kma antwortete die Senatsverwaltung für Gesundheit nicht, ebensowenig wie die gesundheitspolitischen Sprecherinnen der Fraktionen von SPD und Grünen.

Nur Jens Lehmann, datenschutzpolitischer Sprecher der SPD-Fraktion im Berliner Abgeordnetenhaus, reagierte und wies die Vorwürfe von Schreiner zurück. „Die Aussage, die Politik reagiere nicht, ist absurd. Wir haben mehrmals mit der Gesellschaft telefoniert und E-Mails ausgetauscht“, sagt Lehmann. Er schob den schwarzen Peter an die BKG zurück, diese habe leider keine konkreten Vorschläge gemacht, wie denn der Paragraf 24,7 geändert werde könne, ohne grundsätzliche und wichtige Datenschutzrechte der Patienten zu gefährden.

Die Berliner Datenschutzbehörde verweist auf den „jahrelangen intensiven Abstimmungsprozess“ zwischen allen Beteiligten. Die Ende Oktober 2022 in Kraft tretende neue Vorschrift würde Kliniken „im Vergleich zur bisherigen restriktiven Rechtslage neue Möglichkeiten für die Verarbeitung von Patient*innendaten schaffen, ohne das Schutzniveau für die sensiblen Daten der Patient:innen zu senken.“ Die Einschränkungen in Paragraf 24 Abs. 7 seien notwendig, um zu verhindern, dass global agierende externe Dienstleister, die nicht dem Geheimnisschutz unterliegen, mit der Auftragsverarbeitung betraut werden. „Auf diese Weise lässt sich verhindern, dass internationale Cloud-Dienstleister Zugriff auf sensible Gesundheitsdaten nehmen und sie mit anderen Daten verknüpfen“, so Simon Rebiger, Sprecher des Berliner Datenschutzbeauftragten.

IT-Sonderlösungen für Berliner Klinkstandorte

So wie es derzeit aussieht, wird der Paragraf 24,7 in Kraft treten, mit erheblichen Schwierigketen für die Berliner Krankenhäuser. „Das wird uns an unserem Standort in Berlin-Lichtenberg Probleme bereiten“, sagt Sanas IT-Chef Bernd Christoph Meisheit. Der deutschlandweit agierende Klinikkonzern arbeitet derzeit an einem konzernweiten Patientenportal, wie im KHZG vorgeschrieben. „Mit der neuen Regelung müssten wir dann nur für den Berliner Standort eine eigene Sonderlösung entwickeln“, so Meisheit. Die technische Insellösung wäre nicht nur teuer, sondern ist auch für Patienten aus der länderübereifenden Gesamtregion Berlin-Brandenburg nicht optimal. Doch ganz auf ein Patientenportal zu verzichten ist keine Option für Sana, denn dann drohen Maluszahlungen nach dem KHZG.

Für Dr. Peter Gocke, CDO der Charité, ließ sich die Liste problemlos fortführen – vom digitalen Entlassmanagement über KI- Anwendungen, die auf größere Datenpools zugreifen können müssen oder den sektorenübergreifenden Datenaustausch. Die Berliner Regelung „ist mit den Realitäten im digitalisierten Gesundheitswesen nicht mehr vereinbar“, sagt er. Ein entscheidender Punkt ist zudem aus Sicht vieler IT-Leiter der trügerische Glaube, dass standortbezogene Auftragsdatenverarbeitung („on premise“) per se sicherer sei als Cloudlösungen. „Das Gegenteil ist der Fall, denn große IT-Security-Unternehmen bieten über die Cloud viel mehr Schutz als es die in Regel kleinen IT-Abteilungen von Kliniken leisten können“, so der IT-Chef eines Klinikträgers. Bernd Meisheit von Sana versteht dennoch die Bedenken von Datenschützern und Politikern und fordert Kompromissfähigkeit auf beiden Seiten. „Wir brauchen einfach zweckgebundene Lösungen, mit denen sowohl Datenschützer wie auch Klinikträger leben können.“

2022. Thieme. All rights reserved.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!