Im September 2023 startete der BfD EKD in die Schwerpunktprüfung im Bereich der evangelischen Krankenhäuser. Eine Schwerpunktprüfung ist für den BfD EKD eine anlasslose Prüfung in einem kirchlichen oder diakonischen Tätigkeitsfeld mit dem Ziel der kontinuierlichen Verbesserung des Datenschutzes in der geprüften Einrichtung.
Die zu prüfenden Krankenhäuser wurden nach dem Zufallsprinzip ausgewählt. Die Häuser wurden zunächst angeschrieben und gebeten, einen online-basierten Fragebogen auszufüllen. Der Fragebogen enthielt neben allgemeinen Fragen zum rechtlichen und organisatorischen Datenschutz insbesondere auch Fragen zum technischen Umfeld. Ein Schwerpunkt lag dabei auf dem Krankenhausinformationssystem. Zeitgleich mit den zu prüfenden Krankenhäusern hat der BfD EKD auch die Diakonischen Landesverbände über die Schwerpunktprüfung informiert.
Ergänzend zu den Angaben aus dem Fragebogen und der nachfolgenden schriftlichen Korrespondenz mit den zuständigen Außenstellen, finden derzeit in einigen Häusern stichprobenhaft Prüfungen vor Ort statt.
Erwartungsgemäß erfüllen alle Krankenhäuser die grundsätzlichen datenschutzrechtlichen Anforderungen, etwa die Benennung von örtlich Beauftragten für den Datenschutz oder auch die Verpflichtung der Mitarbeitenden auf das Datengeheimnis. Nicht immer ist die gesetzlich vorgeschriebene Stellvertretung ausdrücklich geregelt. Der Umgang mit Datenpannen ist in der Regel angemessen, lediglich die notwendige interne Dokumentation sollte weiter optimiert werden. Nur wenige Krankenhäuser verfügen über ein vollständiges Löschkonzept für personenbezogene Daten und setzten dieses auch in der Praxis um.
Positiv macht sich der hohe Grad der Digitalisierung bei der Erfüllung der Nachweispflichten, beispielsweise für Einwilligungen bemerkbar: Diese werden meistens im Krankenhausinformationssystem (KIS) im Zusammenhang mit der Patientenakte dokumentiert und nur noch in wenigen Fällen in reiner Papierform. Alle Krankenhausinformationssysteme bieten die Möglichkeit, Berechtigungen entsprechend der fachlichen Aufgaben und der strukturellen Zuordnung der Anwendenden zu Stationen und Abteilungen zu vergeben. Berechtigungsvergaben werden durch die IT-Administration immer gut dokumentiert. Eine Herausforderung bleibt aber der Umgang mit temporären Vertretungen oder Sondersituationen, in denen zusätzliche Berechtigungen vorübergehend und revisionssicher zugewiesen werden müssen.
Nach Abschluss der Vor-Ort-Prüfungen und der individuellen Abschlussschreiben werden wir auf unserer Homepage den Abschlussbericht und den Fragebogen veröffentlichen.
Wir danken allen in der Prüfung befindlichen Krankenhäuser für die gute Kooperation und den konstruktiven und freundlichen Umgang miteinander.