Da es sich bei der DS-GVO um eine einheitliche Verordnung handelt, die für sämtliche Institutionen / Einrichtungen / Behörden in der ganzen EU gelten wird, ist die Verordnung sehr abstrakt gefasst und enthält wenige konkrete Vorgaben für deutsche Krankenhausträger. Der deutsche Gesetzgerber – sowohl auf Bundes- als auch auf Landesebene – ist derzeit damit beschäftigt, die aktuell bestehenden Regelungen zum Datenschutz auf ihre Vereinbarkeit mit der DS-GVO zu prüfen und anzupassen.

Diese Gegebenheiten führen dazu, dass zum heutigen Zeitpunkt noch wenige konkrete Aussagen über Konsequenzen und auch kaum konkrete Umsetzungsvorgaben gemacht werden können. In vielerlei Hinsicht ist bedauerlicherweise noch „Abwarten“ angesagt. Ein Regelungsgegenstand, der bereits jetzt recht klar ist, betrifft die Auftragsverarbeitung, weshalb hierzu aktuell folgende Empfehlungen erfolgen:

Empfehlung eines Mustervertrages zur Datenverarbeitung im Auftrag bzw. Auftragsverarbeitung

Aktuell ist die „Datenverarbeitung im Auftrag“ in Deutschland noch – neben landesrechtlichen Regelungen – auf Bundesebene in den §§ 9, 11 Bundesdatenschutzgesetz (BDSG) sowie der Anlage zu § 9 S. 1 BDSG geregelt. In der DS-GVO finden sich nunmehr Regelungen, die die „Auftragsverarbeitung“ (neuer Terminus!) zum Gegenstand haben, derzeit bestehende Regelungen obsolet werden lassen bzw. neue Regelungsinhalte einführen. Die wesentlichen Neuregelungen zur Auftragsverarbeitung finden sich in Art. 28 DS-GVO sowie in dem Erwägungsgrund 81.

Da das Thema im Krankenhausbereich eine wichtige Rolle spielt, hat die DKG gemeinsam mit nachfolgenden Verbänden einen Muster-Vertrag erarbeitet:

• Bundesverband Gesundheits-IT (bvitg),

• Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD),

• Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie

• Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS).

Der als Anlage 1 beiliegende Muster-Auftragsverarbeitungs-Vertrag beinhaltet neben einem einleitenden Teil mit Erläuterungen ein Vertragsmuster nebst entsprechenden Kommentierungen. Das Muster ist für die Verwendung in der Praxis vorgesehen, stellt jedoch lediglich eine Empfehlung dar, die die wesentlichen Vertragsinhalte abhandelt, aber keinen Anspruch auf Vollständigkeit erhebt. Es bleibt den jeweiligen Nutzern des Vertrages vorbehalten, die Regelungsgegenstände den spezifischen Anforderungen vor Ort anzupassen. Daher finden sich für verschiedene Anforderungen optionale Ergänzungen oder auch alternative Formulierungen im Text.

Umgang mit Altverträgen

Da die DS-GVO auch für Verträge Anwendung finden wird, die derzeit bereits existieren, empfiehlt sich, die vorhandenen Auftragsdatenverarbeitungs-Verträge daraufhin zu überprüfen, ob sie den durch die DS-GVO bedingten Anforderungen gerecht werden. Auch diesbezüglich hat die DKG mit den o.g. Verbänden Empfehlungen ausgesprochen, die diese Anpassungen erleichtern sollen. Die entsprechenden Empfehlungen „Umgang mit Altverträgen bezüglich Auftragsverarbeitung (ADV-Verträge)“ liegen als Anlage 2 anbei.

Weitere Einzelheiten können den Anlagen entnommen werden.

Gesetzgeberischer Umsetzungsstand DS-GVO

Da durch das Inkrafttreten der DS-GVO am 25.05.2018 weite Teile des bisherigen BDSG obsolet werden und Änderungen in zahlreichen weiteren Gesetzen notwendig werden, hat die Bundesregierung die Anpassungsarbeiten seit langem aufgenommen.

Hinsichtlich der Anpassungen des BDSG hatte die DKG bereits per Rundschreiben Nr. 67/2017 vom 21.02.2017 informiert, dass die DKG zu dem sog. Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU) gegenüber dem Bundesrat Stellung genommen hatte. Aktuell ist diesbezüglich zu verzeichnen, dass der Bundesrat dem DSAnpUG-EU am 12.05.2017 zugestimmt hat und das Gesetz am 25.05.2018 wie geplant in Kraft treten wird. Zeitgleich wird das aktuelle BDSG außer Kraft gesetzt werden. Eine Verkündung im Bundesgesetzblatt ist bis dato nicht erfolgt.

Hinsichtlich der Änderungen im SGB I und SGB X ist festzustellen, dass diese als fachfremde Änderungen im Rahmen des Gesetzgebungsverfahrens zur Änderung des „Bundesversorgungsgesetzes“ erfolgen. Der Bundestag hat dieses Gesetz bereits am 01.06.2017 in 2./3. Lesung beschlossen, der abschließende zweite Durchgang im Bundesrat ist für den 07.07.2017 vorgesehen. Es ist davon auszugehen, dass das Gesetz den Bundesrat passieren wird.

Bedauerlicherweise verweist die Bundesregierung – mit Blick auf die Sommerpause sowie die bevorstehenden Bundestagswahlen im Herbst 2017 – hinsichtlich des weiteren gesetzlichen Anpassungsbedarfs bezüglich der bereichsspezifischen Regelungen (SGB V, usw.), die für die Krankenhäuser von besonderer Relevanz sind, bisher lediglich auf gesonderte Gesetzgebungsverfahren. Etwaige diesbezügliche offizielle Entwürfe von Gesetzgebungsverfahren liegen jedoch noch nicht vor.

Die gesetzgeberischen Entwicklungen insgesamt bleiben weiterhin abzuwarten.

Empfehlungen zur Datenschutz–Folgenabschätzung, Art. 35 DS-GVO

Um möglichst zeitnah weitere Umsetzungsempfehlungen erteilen zu können, beschäftigt sich die DKG aktuell mit der neu durch die DS-GVO eingeführten sog. Datenschutz-Folgenabschätzung. Auch hierzu ist eine verbändeübergreifende Arbeitsgemeinschaft gebildet worden, die die Arbeit bereits aufgenommen hat.

DKG–Arbeitsgruppe

Hinsichtlich des weiteren notwendigen Änderungs- / Umsetzungsbedarfs hat die DKG bereits eine Arbeitsgruppe eingesetzt, die ihre Arbeit aufnehmen wird, sobald Klarheit besteht, welche Änderungen / Anpassungen der deutsche Gesetzgeber im Einzelnen vornehmen wird.