Bayern öffnet unter Datenschutz-Auflagen Cloud Computing für Krankenhäuser

Etwas über einen Monat ist es mittlerweile her, dass der Münchener Landtag die bayerische Rechtsordnung zum Outsourcing bayerischer Krankenhaus-IT liberalisiert hat. Am 1. Juni 2022 ist das Gesetz über den Öffentlichen Gesundheitsdienst (GDG) in Kraft getreten. In Artikel 32c modifiziert es Artikel 27 des Bayerischen Krankenhausgesetzes (BayKrG)1) – mit weitreichenden Folgen.

Damit sind nun endlich auch Bayerische Krankenhäuser in der Lage, den digitalisierten und vernetzten Teil ihrer Patientenversorgung auf den neuesten, heutzutage meist cloudbasierten, technologischen Stand zu heben. Die modifizierte Rechtsordnung gestattet ihnen einen weitgehend unbeschränkten Zugriff auf die neuesten cloudbasierten digitalen Lösungen und Verfahren – sofern diese sich nur an die datenschutzrechtlichen Vorgaben der DSGVO halten. Letzteres ist von enormer Bedeutung. Handelt es sich bei den zu verarbeitenden Informationen doch zu einem erheblichen Teil um personenbezogene oder personenbeziehbare Daten.

Bisher war es bayerischen Krankenhäusern nicht erlaubt, Daten, die nicht ausschließlich zur verwaltungsmäßigen Abwicklung der Behandlung eines Patienten erforderlich sind, außerhalb des eigenen Betriebsgeländes – zum Beispiel durch externe Cloud-Dienstleister – speichern und verarbeiten zu lassen. Der Einsatz innovativer cloudbasierter Lösungen zur Anhebung der Effektivität und Effizienz schied damit praktisch aus; bis jetzt. Mit der Gesetzesänderung ist es bayerischen Krankenhäusern nun endlich gestattet, Daten in die Cloud zu verlagern. Jedoch nur unter Auflagen. Denn Absatz 6 wurde modifiziert, seine Datenschutzvorgaben spezifiziert:

Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“ (BayKrG, Art. 27, Absatz 6)

Datenschutzmaßnahmen müssen nun also ganz konkret im Hinblick auf die Artikel 28 und 32 der DSGVO implementiert und umgesetzt werden. Das hat zur Konsequenz, dass Krankenhäuser mit ihrem IT-Outsourcing-Anbieter einen Auftragsverarbeitungsvertrag abzuschließen und ein gemeinsames Sicherheitskonzept zu entwickeln haben, das dann auch implementiert und nachgewiesen werden muss. Das Mehr an Freiheit, das bayerische Krankenhäuser mit der neuen Rechtsordnung erhalten, ist dementsprechend auch mit einigen datenschutzrechtlichen Auflagen verknüpft.

Um Patientendaten gesetzeskonform in der Cloud speichern und verarbeiten zu können, werden Kliniken nicht um Cloud-Lösungen, die über Features wie Security by Design, Privacy by Design und eine clientseitige Ende-zu-Ende-Verschlüsselung verfügen, herumkommen. Denn der Cloud-Anbieter sollte sich zu keinem Zeitpunkt einen Zugang zu oder gar einen Zugriff auf die personenbezogenen und personenbeziehbaren Daten seiner Nutzer verschaffen können.

Die Lösungen müssen in der Lage sein, Zugangs- und Zugriffsberechtigungen individuell auf einzelne Nutzer zugeschnitten zu vergeben. Als Motto gilt hier, so viele Berechtigungen wie nötig, so wenige wie möglich. Nur so werden bayerische Krankenhäuser die Forderung aus Absatz 6, dass „Patientendaten nicht unberechtigt verwendet oder übermittelt werden können“, effektiv sicherstellen können. Mit cloudbasierten IT-Lösungen, die solche und ähnliche Datenschutzfeatures zur Basis haben, wird die Bayerische Krankenhaus-IT definitiv ohne Bedenken gesetzeskonform von der Liberalisierung des BayKrG profitieren können.

1). Absatz 4, Satz 6 wurde aufgehoben, Absatz 6 umgeschrieben.

Über den Autor Thomas Haberl, Director Key Account, DRACOON GmbH
Thomas Haberl fungiert als Director Key Account bei DRACOON und hat das Unternehmen praktisch mit aus der Taufe gehoben. Er gilt als Experte, wenn es um die Digitalisierung im Gesundheitswesen geht und hat bereits viele Kliniken und Unternehmen aus dem Healthcare-Bereich erfolgreich unterstützt.

Über die Dracoon GmbH

„Your key to digital freedom“
Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum und hat es sich mit seiner Plattform zur Aufgabe gemacht, der Welt die Souveränität über ihre Daten zurückzugeben.

Die Plattform wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate, Siegel und Testate wie BSI C5, ISO27001 und IDW PS 951 DRACOON höchste Sicherheitsstandards.

Nach dem Prinzip „Privacy by Design“ verfügt DRACOON über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind maximal geschützt, denn der Schlüssel zur Entschlüsselung bleibt immer beim Besitzer. Nicht einmal der Admin oder DRACOON als Betreiber haben Zugriff. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit behalten autorisierte Nutzer die volle Kontrolle.

Diese Unternehmen vertrauen DRACOON:
DATEV, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger, EbnerStolz, Volksbanken Raiffeisenbanken, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison, Bechtle u.v.m.
Weitere Informationen finden Sie im Netz unter: www.dracoon.com

Firmenkontakt und Herausgeber der Meldung:

Dracoon GmbH
Galgenbergstrasse 2a
93053 Regensburg
Telefon: +49 (941) 78385-0
Telefax: +49 (941) 78385-150
http://www.dracoon.de

Ansprechpartner:
Eva Janik
Manager Content / PR
Telefon: +49 (941) 78385-634
E-Mail: e.janik@dracoon.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel