Der jahrelange Streit zwischen Berliner Krankenhäusern und dem rot-rot-grünen Senat um rigide Datenschutzbestimmungen ist beigelegt. Eine für Anfang Oktober vorgesehene Verschärfung des Berliner Krankenhausgesetzes beim Datenschutz ist aufgrund des erbitterten Widerstandes der Berliner Krankenhausgesellschaft vom Tisch.
Der jahrelange Streit zwischen Berliner Krankenhäusern und dem rot-rot-grünen Senat um rigide Datenschutzbestimmungen ist beigelegt. Eine für Anfang Oktober vorgesehene Verschärfung des Berliner Krankenhausgesetzes beim Datenschutz (kma berichtete) ist aufgrund des erbitterten Widerstandes der Berliner Krankenhausgesellschaft vom Tisch, die rot-rot-grüne Koalition hat entsprechende Passagen im überarbeiteten Gesetz entschärft.
kma hatte im Juni über die jahrelange Posse berichtet, die der Hauptstadt bundesweit viel Häme und Fassungslosigkeit in der deutschen Gesundheitsbranche eingebracht hat. Wären die ursprünglichen Pläne umgesetzt wurden, hätte die Berliner Landesregierung im Oktober über die Verschärfung des Datenschutzes zahlreiche KHZG-Projekte ausgekontert, die sie im Sommer noch mit großen Millionenbeträgen gefördert hat.
Casus Belli im Streit zwischen den Krankenhäusern und der rot-rot-grünen Koalition war der Paragraf 24, Absatz 7 im Berliner Landeskrankenhausgesetz. Als im Frühjahr 2020 der Berliner Senat die Regelungen der Europäischen Datenschutzgrundverordnung (DSGVO) in Berliner Landesrecht überführen will, will der Senat jedoch noch im Berliner Datenschutzgesetz über die ohnehin bereits rigiden Datenschutzvorgaben der DSGVO hinausgehen. Betroffen von diesen Plänen ist auch das Berliner Landeskrankenhausgesetz.
Eingeschränkte Datenverarbeitung
In dessen Paragrafen 24, Absatz 7 wird die Auftragsdatenverarbeitung für Berliner Krankenhäuser geregelt. So war in der 2020 geltenden Fassung dort zu lesen, dass Berliner Kliniken die Datenverarbeitung von „genetischen Daten und Gesundheitsdaten“ nur an externe Dienstleister geben dürfen, wenn diese „der gleichen Unternehmensgruppe“ bzw. zu einem anderen Berliner Krankenhaus gehören. Andere externe Dienstleister, die dafür häufig cloud- oder netzwerkbasierte Lösungen haben – was inzwischen beinahe Standard in der Branche ist – waren danach verboten.
Die geplante Regelung löste damals prompt Entsetzen und heftige Gegenwehr bei Berliner Klinikmanagern aus. Der hartnäckige Widerstand und die Gefahr, dass sich das Inkrafttreten des gesamten Datenschutzgesetzes weiter verzögern könnte, führte im Oktober 2020 schließlich dazu, dass der Paragraf 24 zeitlich befristet bis 30. September 2022 ausgesetzt wurde. Stattdessen galt in Berlin die DSGVO. Parallel zu diesen Entwicklungen verabschiedete der Bund Im September 2020 das KHZG. Die Bundesländer – damit auch das Land Berlin – verpflichteten sich darin, mit einer Komplementärfinanzierung Digitalisierungsprojekte im Rahmen des KHZG mitzufinanzieren. Die Regelungen des KHZG waren also der Berliner Landespolitik durchaus bekannt. Und es sollte auch klar gewesen sein, dass der ausgesetzte Paragraf 24, Absatz 7 entweder entfallen oder bis September 2022 überarbeitet werden müsste, um nicht viele geplante KHZG-Projekte wie zum Beispiel Patientenportale, weitere cloudbasierte Lösungen oder auch KI-unterstützte Diagnostik auszubremsen, die das Land gleichzeitig mit 65 Millionen Euro Steuergeldern fördert.
Doch in Berlin passierte in dieser Hinsicht nichts. Bis Mitte Mai zog es die Kommune vor, offenbar bei dem Thema besser nichts zu tun und stillschweigend einfach den Paragrafen durch „Aussitzen“ scharfzuschalten. „Alle unsere Versuche, mit der Politik darüber ins Gespräch zu kommen, sind bislang gescheitert“, kritisierte damals Marc Schreiner von der Berliner Krankenhausgesellschaft das lange Schweigen der Koalitionäre. Auch auf Nachfragen von kma reagierten die Berliner Landesregierung nicht.
Einigung in allerletzter Minute
Nun ist doch noch Bewegung in die Angelegenheit gekommen. Zunächst gab es ein Moratorium bis zum 25. Oktober, um nach dem eigentlichen Auslaufen der Frist am 30. September keine kritische Rechtsituation zu schaffen. Am 20. Oktober verabschiedete dann das Berliner Landesparlament eine Änderung des bislang umstrittenen Paragrafen 24,7, wie die Berliner Krankenhausgesellschaft (BKG) den Krankenhäusern in einem der kma vorliegenden Schreiben jetzt mitteilte. Zum Zeitpunkt der Veröffentlichung dieses Artikels war die Änderung aber noch nicht durch amtliche Veröffentlichung in Kraft getreten.
In der nun beschlossenen Änderung wird der Dienstleister für die Auftragsdatenverarbeitung laut Schreiben verpflichtet, die Verarbeitung „der genetischen Daten oder Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in einem Mitgliedstaat der Europäischen Union, des Europäischen Wirtschaftsraums, der Schweiz oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgt und die Daten darüber hinaus nicht in Drittstaaten offengelegt werden.“
Im Wesentlichen folgt diese und weitere der nun gefundenen Regelungen damit der DSGVO. Allerdings setzte der Senat auch einzelne Verschärfungen durch, etwa eine besondere Anzeigepflicht an die zuständige Senatsgesundheitsverwaltung. Diese soll sicherstellen, dass Mitarbeiter des Datenverarbeiters „einer strafbewährten Verschwiegenheitspflicht unterliegen“ und die technischen und organisatorischen Voraussetzungen beim Datenverarbeiter vorliegen. Außerdem muss dieser die „Art und Menge der genetischen Daten und Gesundheitsdaten“ sowie den Zweck der Datenverarbeitung anzeigen.
Quelle: Guntram Doelfs 2022. Thieme