Datenschutz ist kein Silo: warum sich Krankenhäuser mit der DSGVO schwer tun

Interview

Veröffentlicht 10.09.2021 09:00, Kim Wehrs

Datenschutz findet oft noch keinen Eingang in die Arbeitsprozesse, wo Patientendaten tatsächlich verarbeitet werden. Datenschutzmanagement ist nicht als Silo-Organisation zu gestalten, sondern  auf die Gestaltung von Prozessen und Organisation zu übertragen. Verantwortlichen fehlt oft noch die Erkenntnis, dass die Bereiche zusammenhängen, die häufig die gleichen Informationen zum Nachweis benötigen und daher nur integriert umgesetzt werden können. Ein Interview mit Stefanie Köhl, Geschäftsführerin, eGovernment Consulting and Development GmbH

 

Wie schätzen Sie den aktuellen Stand der Umsetzung der Datengrundschutzverordnung DSGVO  in deutschen Krankenhäusern ein?

Stefanie Köhl: Der Reifegrad des Datenschutzes in deutschen Krankenhäusern ist vielfach eher noch als mäßig einzuschätzen, was eine kürzlich durchgeführte qualitative Studie der eGovCD (siehe weiterführende Literatur) bestätigte. Über die Jahre ist vielfach nicht bedacht worden, dass durch die zunehmende IT-Nutzung im Krankenhaus das Thema Schutz personenbezogener Daten mehr Aufmerksamkeit gebraucht hätte. Erst durch die tatsächliche Digitalisierung in den Krankenhäusern kommen IT-Sicherheit und Datenschutz in den Vordergrund und es werden die bestehenden Defizite der vergangenen Jahrzehnte sichtbar. Die nächste große Herausforderung kommt mit der Einführung der ePatientenakte. Hier werden die bestehenden Unsicherheiten und fehlenden Kenntnisse die Umsetzung erschweren bzw. im schlimmsten Fall zu zahlreichen Schutzverletzungen führen. Unsere empirische Erfahrung zeigt, dass die verantwortliche Führungsebene in Krankenhäusern die Frage danach, wie hoch das Risiko der Schutzverletzung von Daten in neuen digitalen Prozessen ist, wie Daten in diesen Prozessen geschützt und welche Maßnahmen genau dafür ergriffen werden, häufig nicht zweifelsfrei beantworten können.

 

Warum tun sich Ihrer Meinung nach so viele Krankenhäuser schwer mit der Umsetzung von Datenschutz?

Stefanie Köhl: Das Thema Datenschutz wird in vielen Organisationen als Fremdkörper und störend wahrgenommen: „zu komplex, zu unverständlich, das ist etwas für Rechtsexperten“. Fakt ist jedoch: die komplexen Datenschutzanforderungen können nur dann erfüllt werden, wenn sie in der gesamten Organisation verstanden und auch als Teil der Kultur gelebt werden. Deswegen kommt man nicht umhin, das Thema stärker in der Organisation zu verankern und nicht auf einzelne und vielleicht sogar noch externe Experten – nach dem Motto: „Aus den Augen, aus dem Sinn.“ – abzuwälzen. Große Defizite in Bewusstsein und Kenntnissen gibt es vor allem beim Krankenhauspersonal, was insofern problematisch ist, weil dieses täglich den Schutz von Patientendaten gewährleisten muss. Erschwerend kommt hinzu, dass Krankenhäuser generell eine hohe Arbeitsdichte aufweisen, die u.a. aus Personalmangel resultiert. Insgesamt bleibt Datenschutz damit derzeit oft noch auf einer deklaratorischen Ebene und findet keinen Eingang in die Arbeitsprozesse, d.h. dort wo die Patientendaten tatsächlich verarbeitet werden.

 

Was sollten Krankenhäuser beachten, wenn Sie einen sicheren und nutzerfreundlichen Datenschutz etablieren wollen?

Stefanie Köhl: Mitarbeiter fast aller Bereiche eines Krankenhauses verwenden personenbezogene Daten. Für all diese Tätigkeiten sind datenschutzkonforme Verarbeitungsvorgänge umzusetzen, womit die Arbeitsprozesse im Fokus stehen. Wichtigstes Ziel ist es, dass sich die Mitarbeiter vornehmlich auf den fachlichen Teil ihrer Tätigkeiten konzentrieren können und nicht zuerst überlegen müssen, ob sie gerade datenschutzkonform handeln. Soll das zunächst „sperrig“ anmutende Thema Datenschutz akzeptiert werden, muss es mehr oder weniger „unspürbar“ in die Arbeitsorganisation integriert werden. Dazu ist vor allem ein niedrigschwelliger Zugang zum Thema Datenschutz für alle zu gewährleisten, zuständigkeitsübergreifende Kommunikationsprozesse zu etablieren, Führungskräfte-Kompetenzen zu verbessern und das Prinzip „Datenschutz durch Technikgestaltung“ auf die Gestaltung von Prozessen und Organisation zu übertragen. Das alles bedarf erheblicher Interaktion und intensiver (organisationaler) Lernprozesse. Ein konkretes methodisches Vorgehen kann helfen, die Herausforderungen bei der Umsetzung des Datenschutzes einfacher zu meistern. Dabei geht es nicht darum, Expertentools für Datenschutzbeauftragte einzukaufen. Vielmehr sind Methoden und Tools zu nutzen, die auch von Nicht-Experten intuitiv anwendbar sind, sodass Datenschutz „nebenbei“ gelernt und nahezu unspürbar in die Arbeitsabläufe integriert wird.

 

Wenn Sie methodisches Vorgehen sagen, was genau meinen Sie damit und wie kann das konkret aussehen?

Stefanie Köhl: Es sind unbedingt organisationsweit Informationen darüber zu erheben, bei welchen Geschäftsprozessen (Fach- sowie Querschnittsprozesse) in welcher Art und Weise personenbezogene Daten verarbeitet werden. Hier müssen der DSB, IT-Experten, die Fachebene und ggf. weitere Beauftragte intensiv kommunizieren. Diese kollaborativen Prozesse sind methodisch zu unterstützen und die Datenschutzthematik für alle Bereiche einer Organisation zu vereinfachen, verständlich und nachvollziehbar zu gestalten. Hierfür lassen sich entsprechende Bausteine, bspw. Zweck der Datenerhebung, Verarbeitungsart der Daten, Zugang zu Daten etc, abgeleitet aus den fachlichen Anforderungen der DSGVO, definieren, die einer vordefinierten Systematik folgen. Mittels einfacher haptischer Karten und einer entsprechenden Moderation können auch Nichtexperten durch den DSGVO-Prüfprozess geleitet werden. Dabei werden die Datenschutzanalysen entlang von Fachprozessen vollzogen, um so eine enge Rückkopplung zur Arbeitsebene herzustellen und diese im Weiteren mit IT-Fragen zu verknüpfen. Durch dieses Vorgehen findet bereits bei der Datenerhebung eine fachübergreifende Zusammenarbeit und ein entsprechender Austausch der jeweiligen Experten (IT, Recht, Organisation, Management) statt, so dass es sich hier nicht mehr nur um eine bloße Informationssammlung handelt, sondern bereits Umsetzungs- und Gestaltungsfragen thematisiert werden. Ein nächster wichtiger Schritt ist die Risikobewertung, d.h. es muss eingeschätzt werden, welches Risiko für Schutzverletzungen bei der Verarbeitung personenbezogener Daten besteht. Hier können grundsätzlich Algorithmen – auch analog umgesetzt – unterstützen, indem bspw. auf Basis eines organisationseigenen Kriteriensets Empfehlungen zur Interpretation der erhobenen Informationen und bei der Zuordnung zu Risikoklassen gegeben werden. Sind die Risiken definiert, sind geeignete technische und organisatorische Schutzmaßnahmen (TOM) zu bestimmen.

 

 Welche Erfahrungen haben Sie mit diesem Ansatz bisher gemacht? Welche hilfreichen Tipps haben Sie für Verantwortliche in Krankenhäusern?

Unsere Erfahrungen mit diesem methodischen Vorgehen zeigen, dass Datenschutzanforderungen besser als vorher verstanden und umgesetzt werden können, weil Prozesse von Anfang an datenschutzsensibel gestaltet werden. Ein weiterer Vorteil ist, dass sich durch die prozessnahen Erhebungen datenschutzrelevante Aspekte für das von der DSGVO geforderte Verzeichnis aller Verarbeitungstätigkeiten inkl. entsprechender Prozessdarstellungen, Risikobewertungen und Dokumentation technisch-organisatorischer Maßnahmen nahezu automatisch ergeben, wodurch sich der Aufwand für Datenschutzbeauftragte erheblich reduziert und die Qualität des Datenschutzes maßgeblich erhöht. Entscheidungsträger und vor allem Verantwortliche für den Datenschutz und Datensicherheit sollten mehr als je zuvor dafür sorgen, Datenschutzmanagement nicht als Silo-Organisation zu gestalten, sondern mit den Bereichen IT/IT-Sicherheit, Prozesse und Organisation sowie weiteren Compliance-Bereichen, wie Qualitätsmanagement und Arbeitsschutz, in Beziehung zu setzen und entsprechend zu verbinden. Hier fehlt bei den Verantwortlichen derzeit oft noch die Erkenntnis, dass die Bereiche zusammenhängen, häufig die gleichen Informationen zum Nachweis benötigen und daher nur integriert umgesetzt werden können. Langfristig können so Aufwände für die gesamte Compliance einer Klinik reduziert werden – eine Investition, die sich lohnt.

 

Weiterführende Informationen

Um die praktische Umsetzung der Datenschutzanforderungen zu erleichtern, hat die eGovCD – ein SpinOff von Fraunhofer FOKUS – in Zusammenarbeit mit dem SHI Stein-Hardenberg Institut dieses methodisch strukturierte und modulare Vorgehen in ein handhabbares und intuitives Format gebracht: „PRIMO – Datenschutz im Handumdrehen in die Organisation integrieren: Eine Methode für Datenschützer, Entscheider, Mitarbeiter und Verantwortliche“  https://dsgvo-stressfrei.de

 

Hilfreiche Links

Kurzreport „Datenschutz und IT-Sicherheit in deutschen Krankenhäusern – Ergebnisse einer empirischen Untersuchung“ http://bit.ly/eGovCD-health-report (Free Download)

Branchenreport „Datenschutz und IT-Sicherheit in deutschen Krankenhäusern – DSGVO trifft oftmals auf (un-)organisierte Verantwortungslosigkeit, gepflegtes Nichtwissen und politisch getriebene Digitalisierung“ https://bit.ly/3fVO5kO

 

 

Foto

Stefanie Köhl, Geschäftsführerin, eGovernment Consulting and Development GmbH (stefanie.koehl@egovcd.de): “Hier fehlt bei den Verantwortlichen derzeit oft noch die Erkenntnis, dass die Bereiche zusammenhängen, häufig die gleichen Informationen zum Nachweis benötigen und daher nur integriert umgesetzt werden können.”

 


Lesen Sie mehr zum Thema "IT-Management"

Wearables – eine komplexe Technologie
IT-Management
Wearables
Strukturiert zu mehr Qualität
IT-Management
Interview

Lesen Sie hier die neuesten Beiträge