Unter Datenschutz-Auflagen

Bayern öffnet Cloud Computing für Krankenhäuser

13. Juli 2022, 11:05 Uhr | Martin Fryba | Kommentar(e)
Dracoon
Thomas Haberl gründete Dracoon vor mehr als 15 Jahren.
© Dracoon

Ohne IT-Outsourcing an externe Dienstleister, keine Modernisierung in bayerischen Krankenhäusern. Das hat nun auch Bayern erkannt und sein Krankenhausgesetz geändert. Über alte und neue Hürden berichtet Thomas Haberl von Dracoon.

Etwas über einen Monat ist es mittlerweile her, dass der Münchener Landtag die bayerische Rechtsordnung zum Outsourcing bayerischer Krankenhaus-IT liberalisiert hat. Am 1. Juni 2022 ist das Gesetz über den Öffentlichen Gesundheitsdienst (GDG) in Kraft getreten. In Artikel 32c modifiziert es Artikel 27 des Bayerischen Krankenhausgesetzes (BayKrG)  – mit weitreichenden Folgen. 

Damit sind nun endlich auch Bayerische Krankenhäuser in der Lage, den digitalisierten und vernetzten Teil ihrer Patientenversorgung auf den neuesten, heutzutage meist cloudbasierten, technologischen Stand zu heben. Die modifizierte Rechtsordnung gestattet ihnen einen weitgehend unbeschränkten Zugriff auf die neuesten cloudbasierten digitalen Lösungen und Verfahren – sofern diese sich nur an die datenschutzrechtlichen Vorgaben der DSGVO halten. Letzteres ist von enormer Bedeutung. Handelt es sich bei den zu verarbeitenden Informationen doch zu einem erheblichen Teil um personenbezogene oder personenbeziehbare Daten. 

Patientendaten müssen besonders geschützt werden
Bisher war es bayerischen Krankenhäusern nicht erlaubt, Daten, die nicht ausschließlich zur verwaltungsmäßigen Abwicklung der Behandlung eines Patienten erforderlich sind, außerhalb des eigenen Betriebsgeländes – zum Beispiel durch externe Cloud-Dienstleister – speichern und verarbeiten zu lassen. Der Einsatz innovativer cloudbasierter Lösungen zur Anhebung der Effektivität und Effizienz schied damit praktisch aus; bis jetzt. Mit der Gesetzesänderung ist es bayerischen Krankenhäusern nun endlich gestattet, Daten in die Cloud zu verlagern. Jedoch nur unter Auflagen. Denn Absatz 6 wurde modifiziert, seine Datenschutzvorgaben spezifiziert:

„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“ (BayKrG, Art. 27, Absatz 6)

Datenschutzmaßnahmen müssen nun also ganz konkret im Hinblick auf die Artikel 28 und 32 der DSGVO implementiert und umgesetzt werden. Das hat zur Konsequenz, dass Krankenhäuser mit ihrem IT-Outsourcing-Anbieter einen Auftragsverarbeitungsvertrag abzuschließen und ein gemeinsames Sicherheitskonzept zu entwickeln haben, das dann auch implementiert und nachgewiesen werden muss. Das Mehr an Freiheit, das bayerische Krankenhäuser mit der neuen Rechtsordnung erhalten, ist dementsprechend auch mit einigen datenschutzrechtlichen Auflagen verknüpft.

Um Patientendaten gesetzeskonform in der Cloud speichern und verarbeiten zu können, werden Kliniken nicht um Cloud-Lösungen herumkommen, die über Features wie Security by Design, Privacy by Design und eine clientseitige Ende-zu-Ende-Verschlüsselung verfügen. Denn der Cloud-Anbieter sollte sich zu keinem Zeitpunkt einen Zugang zu oder gar einen Zugriff auf die personenbezogenen und personenbeziehbaren Daten im Storage seiner Kunden verschaffen können. 

So viele Berechtigungen wie nötig, so wenige wie möglich
Die Lösungen müssen in der Lage sein, Zugangs- und Zugriffsberechtigungen individuell auf einzelne Nutzer zugeschnitten zu vergeben. Als Motto gilt hier, so viele Berechtigungen wie nötig, so wenige wie möglich. Nur so werden bayerische Krankenhäuser die Forderung aus Absatz 6, dass „Patientendaten nicht unberechtigt verwendet oder übermittelt werden können“, effektiv sicherstellen können. Mit cloudbasierten IT-Lösungen, die solche und ähnliche Datenschutzfeatures zur Basis haben, wird die Bayerische Krankenhaus-IT definitiv ohne Bedenken gesetzeskonform von der Liberalisierung des BayKrG profitieren können.

Thomas Haberl ist Director Key Account beim Regensburger Softwarespezialisten Dracoon.

Volle Kontrolle beim Nutzer

Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. Draccon aus Regensburg ist laut eigener Aussage Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum. Die Vision des Softwareunternehmens aus dem deutschen Mittelstand:  Nichts weniger als der Welt die Souveränität über ihre Daten zurückzugeben. 

Dracoon beruft sich auf unabhängigen Analysten wie ISG, die die Lösungen der Regensburger als führend in ihrer Klasse bezeichnen. Zertifikate, Siegel und Testate wie BSI C5, ISO27001 und IDW PS 951 DRACOON sollen höchste Sicherheitsstandards signalisieren. Nach dem Prinzip „Privacy by Design“ verfügt die Software über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten seien „maximal geschützt“, denn der Schlüssel zur Entschlüsselung bleibe immer beim Besitzer. „Nicht einmal der Admin oder Dracoon als Betreiber einer Plattform haben Zugriff“.

Außerdem verweist der Hersteller auf ein feingranulares Benutzer- und Rechtemanagement in seiner Software, die individuelle Zugriffsrechte auf alle abgelegten Daten biete. Autorisierte Nutzer sollen die volle Kontrolle über die Daten in der Cloud haben. Eine universelle API ermögliche die Integration externer Services und Applikationen, über sichere E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File Services, beschreibt Dracoon seine Services.

Eine Reihe namhafter Kunden wie nKfW, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger, EbnerStolz, Datev, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison oder Bechtle führt Dracoon als Referenzkunden ins Feld.



 


Verwandte Artikel

Dracoon

Healthcare

Matchmaker+