News

Änderung des bayerischen Krankenhausrechts

20.04.2022

Die Bayerische Staatsregierung plant eine wesentliche Änderung des Bayerischen Krankenhausgesetzes, die es Krankenhäusern zukünftig ermöglichen soll, ihre IT an externe Serviceanbieter auszulagern. Entsprechende IT-Strategien können somit zukünftig zur erhöhten IT-Professionalisierung und zu Kostenersparnissen führen.

Aktuelle Rechtslage

Nach Art. 27 Abs. 4 S. 6 des Bayerischen Krankenhausgesetzes („BayKrG“) ist es bayerischen Krankenhäusern bisher grundsätzlich nur erlaubt, Patientendaten, die nicht nur zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, intern – auf dem Gelände des Krankenhauses – oder durch andere Krankenhäuser zu verarbeiten bzw. verarbeiten zu lassen. Diese Regelung stellt bislang für bayerische Krankenhäuser ein echtes Hemmnis dar, IT-Infrastruktur außerhalb des eigenen Betriebsgeländes durch externe Dienstleister betreiben zu lassen, wie es die DS-GVO und die im Jahr 2017 novellierte Regelung zur Verschwiegenheitspflicht in § 203 StGB grundsätzlich schon gestatten würden. Das gilt insbesondere für das Leistungsportfolio von Cloud-Service-Providern. Zusätzlich müssen Krankenhäuser seit dem 1.1.2022 die Anforderungen des § 75c SGB V an die IT-Sicherheit berücksichtigen. Besonders große Krankenhäuser können zudem Betreiber Kritischer Infrastruktur im Sinne des BSIG sein, sodass § 8a BSIG anwendbar ist.

Geplante Änderung

Der Gesetzentwurf der Staatsregierung – Gesetz über den Öffentlichen Gesundheitsdienst (Gesundheitsdienst-Gesetz – „GDG“) – sieht nun folgende Änderung vor:

Der vorbenannte Art. 27 Abs. 4 S. 6 BayKrG soll gestrichen und hierdurch der Weg für ein IT-Outsourcing von Krankenhäusern geebnet werden. So lautet es hierzu in der Gesetzesbegründung:

„Mit der Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG soll es den Krankenhäusern ermöglicht werden, die Verarbeitung von Patientendaten auch außerhalb des Krankenhauses durch Auftragsverarbeiter vornehmen zu lassen, die keine Krankenhäuser sind.“ (Bayrischer Landtag, Drucksache 18/19685, S. 53)

Nach neuer Rechtslage wird es aber auch bei zukünftigen IT-Outsourcings erforderlich sein, die Vorschriften der Art. 28 und 32 DS-GVO zu beachten. Durch eine neue Regelung im Art. 27 Abs. 6 BayKrG wird klargestellt, dass sich die zu ergreifenden Schutzmaßnahmen gegen unberechtigte Verwendung oder Übermittlung im Rahmen der Anforderungen der DS-GVO halten müssen. Dies bedeutet im Ergebnis insbesondere:

  1. Krankenhäuser müssen eine Auftragsverarbeitungsvereinbarung nach Art. 28 (3) DS-GVO mit ihren Outsourcing-Unternehmen abschließen. Da die zu verarbeitenden Patientendaten überwiegend besondere Kategorien personenbezogener Daten sind, steht zu erwarten, dass die Krankenhäuser hier besonderen Wert auf die Sicherheit der Verarbeitung legen. Zusätzlich werden Zusatzvereinbarungen im Lichte von § 203 StGB vereinbart werden.

  2. Weiterhin müssen sowohl der externe Auftragsverarbeiter als auch das verantwortliche Krankenhaus die gemäß Art. 32 DS-GVO notwendigen Schutzmaßnahmen in Form eines geeigneten Sicherheitskonzeptes gewährleisten.

Nach Vorstellung des Landesgesetzgebers sollen außerdem die Interessensvertretungen der Bayerischen Krankenhausträger und deren Spitzenverbände ein Regelwerk zu den technisch-organisatorischen Anforderungen eines Outsourcings vorbereiten.

Kliniken, die zukünftig IT-Leistungen outsourcen, sich aber in öffentlicher Hand befinden, werden abhängig vom Volumen des geplanten Outsourcings das Vorhaben öffentlich ausschreiben müssen. Aus IT-vertraglicher Sicht wird sich der Inhalt und notwendige Detaillierungsgrad der Auslagerungsvereinbarung an dem noch zu erwartendem Regelwerk der Spitzenverbände sowie an solchen anderen regulierten Industrien orientieren, wie etwa dem Finanzsektor.

Fazit

Der Landesgesetzgeber sieht selbst, dass er mit der geplanten Änderung nur rechtlich dem digitalen Fortschritt nachzieht. So heißt es in der Begründung:

„Der rasant fortschreitende Digitalisierungsprozess betrifft auch die Krankenhäuser in Bayern. Dies erfordert in einzelnen Punkten eine kurzfristige Anpassung der bayerischen Vorschriften zum Datenschutz im Krankenhaus. Ziel der Änderung … ist, den Krankenhäusern eine in Bezug auf Digitalisierung und Innovation moderne, IT-gestützte Patientenversorgung zu ermöglichen und zugleich ein hohes Datenschutzniveau im Krankenhaus zu gewährleisten. Mit Blick auf die gestiegenen Anforderungen an die IT-Sicherheit sind für die Zukunft vor allem die Möglichkeiten der Externalisierung von Gesundheitsdaten von Patientinnen und Patienten zu berücksichtigen.“ (Bayrischer Landtag, Drucksache 18/19685, Seite 2)

Die geplante Änderung der rechtlichen Zulässigkeit der Einschaltung externer Dienstleister ist daher sehr zu begrüßen und auch längst überfällig.

Damit würden in Bayern, ähnlich wie unter dem Krankenhausrecht etwa in Hamburg, Niedersachsen und Rheinland-Pfalz, vergleichsweise liberale Bedingungen für den Einsatz von Auftragsverarbeitern durch Krankenhäuser herrschen. Indes enthält das Krankenhausrecht etwa von Baden-Württemberg, Mecklenburg-Vorpommern, Nordrhein-Westfalen und Sachsen-Anhalt noch vergleichsweise strenge Einschränkungen, die den Einsatz von Auftragsverarbeitern erschweren.

 

Kontakt

Alexander Brandt
Alexander Brandt+49 89 28628457
Julian Monschke
Julian Monschke+49 69 971477179

Datenschutz
Digital Business
IT & Outsourcing
Life Sciences
Regulierung & Governmental Affairs
Data Protection Litigation

Share

Alle anzeigen

Insights

mirror cube structure with pulse
News

Plattformarbeit: Richtlinie zur Verbesserung der Arbeitsbedingungen heute verabschiedet

24.04.2024
Sports car in curve wP300
News

„In-Car-Entertainment­systeme“ als regulierte Benutzer­oberflächen? - Automobil­hersteller im Fokus der Landes­medienanstalten

22.04.2024
Cubes structure
News

EU Listing Act ante portas

22.04.2024
River bridge
News

Europäische Richtlinie zur Entgelt­transparenz zwischen Männern und Frauen

22.04.2024
zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024