Änderung des bayerischen Krankenhausrechts
Die Bayerische Staatsregierung plant eine wesentliche Änderung des Bayerischen Krankenhausgesetzes, die es Krankenhäusern zukünftig ermöglichen soll, ihre IT an externe Serviceanbieter auszulagern. Entsprechende IT-Strategien können somit zukünftig zur erhöhten IT-Professionalisierung und zu Kostenersparnissen führen.
Aktuelle Rechtslage
Nach Art. 27 Abs. 4 S. 6 des Bayerischen Krankenhausgesetzes („BayKrG“) ist es bayerischen Krankenhäusern bisher grundsätzlich nur erlaubt, Patientendaten, die nicht nur zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, intern – auf dem Gelände des Krankenhauses – oder durch andere Krankenhäuser zu verarbeiten bzw. verarbeiten zu lassen. Diese Regelung stellt bislang für bayerische Krankenhäuser ein echtes Hemmnis dar, IT-Infrastruktur außerhalb des eigenen Betriebsgeländes durch externe Dienstleister betreiben zu lassen, wie es die DS-GVO und die im Jahr 2017 novellierte Regelung zur Verschwiegenheitspflicht in § 203 StGB grundsätzlich schon gestatten würden. Das gilt insbesondere für das Leistungsportfolio von Cloud-Service-Providern. Zusätzlich müssen Krankenhäuser seit dem 1.1.2022 die Anforderungen des § 75c SGB V an die IT-Sicherheit berücksichtigen. Besonders große Krankenhäuser können zudem Betreiber Kritischer Infrastruktur im Sinne des BSIG sein, sodass § 8a BSIG anwendbar ist.
Geplante Änderung
Der Gesetzentwurf der Staatsregierung – Gesetz über den Öffentlichen Gesundheitsdienst (Gesundheitsdienst-Gesetz – „GDG“) – sieht nun folgende Änderung vor:
Der vorbenannte Art. 27 Abs. 4 S. 6 BayKrG soll gestrichen und hierdurch der Weg für ein IT-Outsourcing von Krankenhäusern geebnet werden. So lautet es hierzu in der Gesetzesbegründung:
„Mit der Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG soll es den Krankenhäusern ermöglicht werden, die Verarbeitung von Patientendaten auch außerhalb des Krankenhauses durch Auftragsverarbeiter vornehmen zu lassen, die keine Krankenhäuser sind.“ (Bayrischer Landtag, Drucksache 18/19685, S. 53)
Nach neuer Rechtslage wird es aber auch bei zukünftigen IT-Outsourcings erforderlich sein, die Vorschriften der Art. 28 und 32 DS-GVO zu beachten. Durch eine neue Regelung im Art. 27 Abs. 6 BayKrG wird klargestellt, dass sich die zu ergreifenden Schutzmaßnahmen gegen unberechtigte Verwendung oder Übermittlung im Rahmen der Anforderungen der DS-GVO halten müssen. Dies bedeutet im Ergebnis insbesondere:
- Krankenhäuser müssen eine Auftragsverarbeitungsvereinbarung nach Art. 28 (3) DS-GVO mit ihren Outsourcing-Unternehmen abschließen. Da die zu verarbeitenden Patientendaten überwiegend besondere Kategorien personenbezogener Daten sind, steht zu erwarten, dass die Krankenhäuser hier besonderen Wert auf die Sicherheit der Verarbeitung legen. Zusätzlich werden Zusatzvereinbarungen im Lichte von § 203 StGB vereinbart werden.
- Weiterhin müssen sowohl der externe Auftragsverarbeiter als auch das verantwortliche Krankenhaus die gemäß Art. 32 DS-GVO notwendigen Schutzmaßnahmen in Form eines geeigneten Sicherheitskonzeptes gewährleisten.
Nach Vorstellung des Landesgesetzgebers sollen außerdem die Interessensvertretungen der Bayerischen Krankenhausträger und deren Spitzenverbände ein Regelwerk zu den technisch-organisatorischen Anforderungen eines Outsourcings vorbereiten.
Kliniken, die zukünftig IT-Leistungen outsourcen, sich aber in öffentlicher Hand befinden, werden abhängig vom Volumen des geplanten Outsourcings das Vorhaben öffentlich ausschreiben müssen. Aus IT-vertraglicher Sicht wird sich der Inhalt und notwendige Detaillierungsgrad der Auslagerungsvereinbarung an dem noch zu erwartendem Regelwerk der Spitzenverbände sowie an solchen anderen regulierten Industrien orientieren, wie etwa dem Finanzsektor.
Fazit
Der Landesgesetzgeber sieht selbst, dass er mit der geplanten Änderung nur rechtlich dem digitalen Fortschritt nachzieht. So heißt es in der Begründung:
„Der rasant fortschreitende Digitalisierungsprozess betrifft auch die Krankenhäuser in Bayern. Dies erfordert in einzelnen Punkten eine kurzfristige Anpassung der bayerischen Vorschriften zum Datenschutz im Krankenhaus. Ziel der Änderung … ist, den Krankenhäusern eine in Bezug auf Digitalisierung und Innovation moderne, IT-gestützte Patientenversorgung zu ermöglichen und zugleich ein hohes Datenschutzniveau im Krankenhaus zu gewährleisten. Mit Blick auf die gestiegenen Anforderungen an die IT-Sicherheit sind für die Zukunft vor allem die Möglichkeiten der Externalisierung von Gesundheitsdaten von Patientinnen und Patienten zu berücksichtigen.“ (Bayrischer Landtag, Drucksache 18/19685, Seite 2)
Die geplante Änderung der rechtlichen Zulässigkeit der Einschaltung externer Dienstleister ist daher sehr zu begrüßen und auch längst überfällig.
Damit würden in Bayern, ähnlich wie unter dem Krankenhausrecht etwa in Hamburg, Niedersachsen und Rheinland-Pfalz, vergleichsweise liberale Bedingungen für den Einsatz von Auftragsverarbeitern durch Krankenhäuser herrschen. Indes enthält das Krankenhausrecht etwa von Baden-Württemberg, Mecklenburg-Vorpommern, Nordrhein-Westfalen und Sachsen-Anhalt noch vergleichsweise strenge Einschränkungen, die den Einsatz von Auftragsverarbeitern erschweren.