Digitalisierung im Krankenhaus : Auftragsdatenverarbeitung und DS-GVO

Noch gut in Erinnerung ist der Cyberangriff („WannaCry“) auf Teile des britischen National Health Service. Die Digitalisierung bietet für Kliniken allerdings nicht nur Risiken, sondern auch enorme Entwicklungschancen. Alternativlos bleibt es hier im Rahmen der Compliance die rechtlichen Rahmenbedingungen stets im Auge zu behalten.

Dr. Bodo von Wolff

Freitag, der 16. November 2018

Die bereits ab dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) gab und gibt hier Anlass zur Überprüfung und Anpassung der bisherigen Praxis. Sensibel ist hier insbesondere der Bereich der Auftragsdatenverarbeitung.

Rechtzeitiges Handeln erforderlich

Es ist die primäre Verantwortung der Krankenhäuser, für die umfassende Umsetzung der Vorgaben der GS-GVO zu sorgen. Die IT-Dienstleister werden bei der ggf. noch erforderlichen Anpassung der Altverträge sowie beim künftigen Abschluss von Neuverträgen versuchen, für sie vorteilhafte Regelungen oder Vergütungserhöhungen durchzusetzen. Eine angemessene Lösung zu finden, fällt leichter, wenn man ohne Zeitdruck verhandeln kann und die realistische Möglichkeit hat, einen anderen IT-Dienstleister zu beauftragen. Wer hingegen die Anpassung oder den Neuabschluss aufschiebt, geht als Klinik das Risiko ein, sich ohne Not ungünstigen Vertragsbedingungen unterwerfen zu müssen, um die rechtssichere Auftragsverarbeitung gewährleisten zu können.

Mögliche Orientierung an dem Muster-Auftragsverarbeitungs-Vertrag für das Gesundheitswesen

Unter Mitwirkung der DKG einerseits und des Bundesverbands Gesundheits-IT e.V. (bvitg) andererseits haben insgesamt 5 Verbände das vorhandene Vertragsmuster an die DS-GVO angepasst. Zudem wurden Hinweise formuliert, wie mit Altverträgen umgegangen werden kann.

Vgl. nur http://www.dkgev.de/dkg.php/cat/38/aid/26051/title/GEMEINSAME_PRESSEMITTEILUNG

Die Muster und Umsetzungshinweise dürften eine gute Grundlage dafür bieten, im Einzelfall eine angemessene Regelung zu finden. Aufgrund der Mitwirkung von Vertretern der IT-Dienstleistern sollten die Vorschläge allerdings nicht unkritisch übernommen werden.

Umgang mit Vorschlägen der IT-Dienstleister

Sollten Dienstleister einen abweichenden „eigenen“ Vertragsentwurf vorschlagen, ist Vorsicht geboten. Zudem hat bekanntlich derjenige einen Verhandlungsvorteil, der den Gesprächen den eigenen Vertragsentwurf zugrunde legen kann. Inhaltlich wichtig sind insbesondere die klare und umfassende Regelung der Pflichten des Dienstleisters und eine interessengerechte Haftungsverteilung.

Dem etwaigen Ansinnen einer Vergütungserhöhung ließe sich entgegenhalten, dass die DS-GVO die Pflichten der Beteiligten überwiegend nur spezifiziert habe. Insbesondere dann, wenn der Dienstleister („Auftragsverarbeiter“) seine Verpflichtung ins Feld führt, dass er nunmehr die technischen und organisatorischen Maßnahmen zur angemessenen Datensicherung umsetzen müsse (vgl. Art. 32, 28 Abs. 3 S. 2 lit. c DS-GVO), wird man dem regelmäßig entgegenhalten können, dass der Dienstleister dazu schon bisher vertraglich verpflichtet gewesen sei. Auch die Erweiterung des Haftungsrisikos auf materielle Schäden ohne Beschränkung auf schwere Persönlichkeitsverletzungen trifft Klinik und Dienstleister gleichermaßen und ist daher kein triftiger Grund, die Vergütung einseitig zu erhöhen.