Schwerpunkt Allgemein, Digitalisierung, Menschlichkeit verbindet

Zwischen DSGVO und katholischem Datenschutzrecht

Der Elisabeth Vinzenz Verbund (EVV) betreibt Einrichtungen in sieben Bundesländern und muss beim Datenschutz sowohl durch landesrechtliche Vorgaben, die Datenschutzgrundverordnung als auch das katholische Datenschutzrecht navigieren.

Datenschutz in komplexer Konzernstruktur

Dr. Niclas Krohm trägt als Leiter Datenschutz und Konzerndatenschutzbeauftragter des EVV die Verantwortung dafür, den Datenschutz in den komplexen Verbundstrukturen zu überblicken und zu optimieren. Dafür vertraut er auf die Datenschutzmanagement-Software von caralegal.

Im Gespräch diskutieren Dr. Krohm und Björn Möller, CEO von caralegal, die Herausforderungen des katholischen Datenschutzrechts und die Zusammenarbeit zwischen Krankenhauskonzern und externen Fachleuten.

 

Herr Dr. Krohm, wie kann man sich den Arbeitsalltag eines Konzern-datenschutzbeauftragten in einem großen Verbund wie dem EVV vorstellen?
Dr. Krohm: Das ist eine interessante Frage, ich habe nämlich erst kürzlich mit anderen Juristen gesprochen, die ebenfalls als Datenschutzbeauftragte in Konzernen tätig sind. Wir haben uns dabei gegenseitig die Frage gestellt: Wie viel arbeiten wir eigentlich tagtäglich noch rein juristisch? Und dieser Anteil ist tatsächlich zurückgegangen.

Wir haben mittlerweile zahlreiche Themen, die vielmehr strategischer und organisatorischer Natur sind.


Was können Sie hier beispielsweise an organisatorischen und strategischen Aufgaben nennen?
Bei den Themen strategischer Art geht es zum Beispiel darum, unser Datenschutzmanagementsystem immer wieder zu hinterfragen und zu optimieren.

Außerdem müssen wir regelmäßig Datenschutz-Folgenabschätzungen durchführen, da wir im Gesundheitssektor tätig sind. Das bedingen ganz einfach der Umgang mit den Gesundheitsdaten und die Digitalisierung.

Sprich: Wenn wir ein neues Tool anschaffen, müssen wir oftmals eine DSFA durchführen. Außerdem beschäftigen uns Betroffenenanfragen immer noch stark – also insbesondere Auskunftsersuche von Einzelpersonen.

Weitere Themen, die im strategischen Bereich einzuordnen sind, sind die Digitalisierung und speziell das Krankenhauszukunftsgesetz (KHZG). Dazu gehört unter anderem bei der Konzeption von Prozessen den Grundsatz „Privacy by Design“ umzusetzen.

Ein weiteres großes Thema, das bei mir praktisch täglich aufschlägt, ist die Vertragsprüfung. Dabei geht es einerseits um unsere Dienstleister, andererseits aber auch um die Zusammenarbeit innerhalb des EVV.

 

Inwiefern spielen Verträge innerhalb des Verbunds eine Rolle für den Datenschutz?
Dabei geht es um sogenannte Intercompany-Verträge.

Unsere Verbundstruktur funktioniert praktisch wie in einem Konzern. Dadurch tauschen wir auch Dienstleistungen untereinander aus, die datenschutzrechtlich abgesichert sein müssen.

Dabei sind insbesondere Themen wie Auftragsverarbeitungsverträge und Verträge zur gemeinsamen Verantwortung zu nennen.


Weltliches vs. katholisches Datenschutzrecht

 

Das ist eine ganze Fülle an Datenschutzaufgaben. Mit welchen besonderen Herausforderungen sehen Sie sich als katholischer Verbund darüber hinaus konfrontiert?
Wir sind ein katholischer Träger und gleichzeitig ein Wirtschaftsunternehmen, das dort dem katholischen Datenschutz unterliegt, wo wir mit unserer Arbeit einen karitativen Zweck verfolgen.

Insbesondere unsere Krankenhäuser unterliegen damit dem katholischen Datenschutzrecht. Wir haben aber auch andere Bereiche, die dem weltlichen, also staatlichen, Datenschutzrecht unterliegen. Das sind insbesondere oftmals unsere medizinischen Versorgungszentren (MVZ) und die Servicegesellschaften.

Das bedeutet für uns, dass wir datenschutzrechtlich immer wieder zwischen zwei Datenschutzwelten hin- und herspringen und uns dementsprechend organisieren müssen.

Die beiden Datenschutzrechte weisen zwar große Überschneidungen auf, aber dennoch gibt es gravierende Unterschiede. Laut dem katholischen Datenschutzrecht dürfen wir beispielsweise keine Dienstleister mit der Auftragsverarbeitung beauftragen, die in Drittstaaten wie den USA ansässig sind.

Das müssen wir immer beachten, wenn es beispielsweise um die Krankenhäuser geht. Wenn dieser Dienstleister für eine unserer Gesellschaften mit staatlichem Datenschutzrecht tätig ist, dürfen wir ihn wiederum gegebenenfalls nach gründlicher Risikoabwägung einsetzen.

Das sind Herausforderungen, die wir laufend bewältigen müssen und für die es häufig nicht den einen Ansatz für alle Konzerngesellschaften gibt.


Föderalismus und Rechtsaufsicht

 

Das klingt sehr komplex. Welche Aspekte betrifft diese Doppelung mit dem weltlichen und katholischen Datenschutzrecht außer die Auswahl Ihrer Vertragspartner?
Ein großes Thema ist zum Beispiel auch die Rechtsaufsicht.

Unser Verbund hat Standorte in sieben Bundesländern in Deutschland. Durch den Föderalismus treffen wir daher auf sehr viele Aufsichtsbehörden. In all diesen Bundesländern haben wir es sowohl mit der staatlichen Aufsicht als auch den jeweiligen Diözesandatenschutzbeauftragten zu tun.

Hinzu kann immer wieder noch der internationale Datenschutz kommen.

Gerade im Bereich der Forschung können Kooperationen mit Einrichtungen weltweit geschlossen werden, die unter Umständen unser katholisches Datenschutzrecht nicht kennen.

Das ist natürlich ebenfalls eine Herausforderung.

 

Ihre Suche nach einer Lösung für diese Herausforderungen hat Sie dann zu caralegal geführt. Wie ist das vonstatten gegangen?
Wir wollten den EVV in Bezug auf das Datenschutzmanagementsystem digitaler aufstellen und es vor allem in bestimmten Bereichen weiter standardisieren.

Insbesondere wollen wir von den Excel-Tabellen wegkommen, mit denen wir zum Teil unsere Verarbeitungsverzeichnisse pflegen. Außerdem haben wir nach einem Partner gesucht, der sich im Gesundheitsdatenschutz auskennt.

Auf der Suche nach dem richtigen Partner bin ich dann zunächst auf zu diesem Zeitpunkt bereits etablierte Anbieter am Markt zugegangen. Es ging dabei jedes Mal darum, die Klippe zu nehmen, wie wir mit dem katholischen Datenschutzrecht umgehen können.

Es gab einen Anbieter – und das finde ich im Grunde genommen heute noch sympathisch – der gleich sagte, dass er für diese Aufgabe aktuell keine Lösung anbieten könne. Das war eine ehrliche Antwort.

Es gab aber auch  einzelne Anbieter, die meinten, man könne die Besonderheiten des katholischen Datenschutzrechts in der bestehenden DSGVO-Systematik der Systeme gut abbilden.

Dieser Ansatz hat uns letztendlich jedoch nicht ganz überzeugt.

 

War dies der Punkt, zu dem caralegal ins Spiel kam?
Genau, ich habe im Zuge unserer Suche den CEO von caralegal, Björn Möller kennengelernt und mit ihm gesprochen. Er räumte zunächst ein, dass er das Thema selbst nicht kenne. Jedoch fragte er auch direkt: „Was brauchen Sie denn dafür?“ Und das war der Türöffner für uns. Wir haben gesehen, dass wir in caralegal einen Partner haben, der Lösungen finden wollte für die Besonderheiten, die der katholische Datenschutz bereithält.

Besonderheit katholischer Datenschutz

 

Um welche Besonderheiten geht es beim katholischen Datenschutz konkret?
Das Gesetz schreibt bereits vor, wie Verarbeitungsverzeichnisse auszusehen haben. Das katholische Datenschutzrecht gibt uns allerdings darüber hinaus weitere Voraussetzungen an die Hand. Diese Voraussetzungen hat caralegal zuerst nicht abgebildet, sie aber jetzt gemeinsam mit uns entwickelt.

Wir müssen beispielsweise alle Daten, die wir verarbeiten, in drei spezielle Schutzklassen einteilen, die die sogenannte Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz vorgibt.

caralegal hat mittlerweile eine entsprechende Funktion zur Abbildung dieser Anforderungen in die Software integriert, was uns sehr weiterhilft. Diese Flexibilität zeichnet caralegal in der Zusammenarbeit aus – gemeinsam mit der Expertise im Gesundheitsbereich.

 

Damit sprechen Sie einen interessanten Punkt an. War Ihnen caralegal in Sachen Datenschutz für den Gesundheitssektor vorher bereits ein Begriff?
Ich wusste bereits, dass bei caralegal aufgrund der engen Zusammenarbeit mit der Kanzlei Schürmann Rosenthal Dreyer (SRD) tiefgreifende Expertise und langjährige Erfahrung im Gesundheitsbereich vorhanden sind.

Das war uns besonders wichtig, weil wir gleichzeitig ein Projekt „Musterkrankenhaus“ zur Standardisierung unseres Verarbeitungsverzeichnisses als Angebot für unsere Häuser in die Wege leiten wollten.

Wir wollten dabei nicht nur selbst Expertise einbringen, sondern durch die Verbindung von caralegal zur Kanzlei SRD auch fachliche Beratung aus einer Hand erhalten.

Daher haben wir gesagt, dass caralegal für uns der richtige Partner ist, um das Projekt anzugehen sowie unser Datenschutzmanagementsystem zu standardisieren und zu digitalisieren.

 

Zum Hintergrund bei caralegal kann sicher Herr Möller etwas ergänzen.
Welche besondere Erfahrung besitzt caralegal beim Datenschutz für den Gesundheitssektor?
Björn Möller: Unsere Unternehmensgruppe, bestehend aus der Kanzlei Schürmann Rosenthal Dreyer (SRD), der ISiCO Datenschutz GmbH und caralegal, hatte schon viele Mandate im Gesundheitswesen. Während der Corona-Pandemie war die Kooperation mit dem Robert Koch-Institut (RKI) hinsichtlich der Betreuung der Corona-Warn-App sehr bedeutend.

Derzeit sind wir als Unternehmensgruppe natürlich auch stolz darauf, beim E-Rezept die Gematik unterstützen zu dürfen. Man hat sich aber auch davor durch die jahrelange Arbeit mit verschiedenen Krankenhäusern und Forschungsinstituten in ganz Deutschland und in der Health-Tech-Szene einen Namen gemacht. All diese Erfahrungswerte sind auch von Anfang an in die Privacy Solution Platform caralegal eingeflossen.

Mittlerweile bieten wir spezielle Module für den Gesundheitssektor an, unter anderem für Krankenhäuser, Krankenkassen sowie Medizinproduktehersteller und Health Tech Startups. Dazu kommt dank der Partnerschaft mit dem EVV ebenfalls ein Modul eigens für das katholische Datenschutzrecht.

Datenschutz und Gesundheitssektor

 

Was macht aus Ihrer Sicht den Datenschutz im Gesundheitssektor so besonders?
Björn Möller: Zu den Besonderheiten des Datenschutzes im Gesundheitssektor gehört, dass häufiger Risiken evaluiert und dadurch mehr technische und organisatorische Maßnahmen (TOMs) identifiziert und umgesetzt werden müssen. Dies liegt vor allem daran, dass diese Unternehmen mit besonders sensiblen Daten arbeiten und daher in der Regel eine Datenschutz-Folgenabschätzung (DSFA) erstellen müssen.

Aus diesem Grund sind den Unternehmen immer drei Anforderungen besonders wichtig: Erstens, die Übersicht und Kontrolle aller Risiken, TOM, DSFA’s und VT. Zweitens, die einfache Verknüpfung und Wiederverwendbarkeit der verschiedenen Dokumente und drittens eine Standardisierung bzw. Automatisierung dieser Workflows zur effizienten Zusammenarbeit mit den Fachbereichen.

Außerdem spielen die verschiedenen Rechtsgrundlagen eine bedeutende Rolle. Die Datenschutzkoordinator:innen benötigen zielgenaue Unterstützung dabei zu verstehen, ob sie sich gerade im Bereich der DSGVO, des KDG oder des jeweiligen LKHG (Landeskrankenhausgesetz) bewegen. caralegal bietet den Datenschutzexperten die Funktion, das übergeordnet zu steuern. Herr Dr. Krohm kann so für seine komplette Struktur festlegen, welche Abteilung auf welche gesetzlichen Grundlagen zugreifen darf.

 

Dr. Krohm: Bezüglich dieser unterschiedlichen Rechtsgrundlagen kann ich direkt mit einem Beispiel einhaken: Es gibt in unseren Häusern Personen, die sowohl für das Krankenhaus als auch für ein angeschlossenes MVZ tätig sind.

Wenn sie im Krankenhaus arbeiten, unterliegen sie dem katholischen Datenschutzgesetz und bei ihren Tätigkeiten für das MVZ ist das staatliche Datenschutzrecht und damit vor allem die DSGVO maßgeblich. Das ist nicht immer einfach zu überblicken.

Wenn etwas beispielsweise in den DSGVO-Bereich fällt, können wir dank caralegal nun konkret auswählen, dass nur die entsprechenden Felder angesteuert werden können. Das erleichtert den Mitarbeitenden die Arbeit im Alltag und mir auf einer organisatorischen Ebene den Umgang mit den Dienstleistern, die unter diese unterschiedlichen Rechtsgrundlagen fallen.

 

Dadurch sparen Sie sich also Aufwand und Zeit. Welche Vorteile bietet Ihnen die Umstellung auf caralegal darüber hinaus?
Dr. Krohm: Die Arbeit wird durch die caralegal-Platform deutlich praktikabler. Wenn wir zum Beispiel eine Aktualisierung der Verarbeitungsverzeichnisse in einem unserer Häuser vornehmen wollen, können wir das direkt vor Ort oder auch remote mit den einzelnen Prozessverantwortlichen machen.

In beiden Fällen sind die Änderungen sofort im System eingetragen, versioniert und standardisiert. Das ist natürlich deutlich komfortabler und intuitiver als die Arbeit mit Excel-Tabellen.

Das könnte man natürlich auch mit Excel machen. Wir wissen aber auch, was mit Excel-Tabellen passiert, sobald sie im Gebrauch sind – dann besteht die Gefahr, dass der Standard sehr schnell ‚zerschossen‘ ist.

caralegal bietet uns nun ein System, mit dem wir den Standard nach und nach für alle Häuser ausrollen können.

Ein weiterer Vorteil sind die Anpassungen im DSMS. Immer wieder werden neue Anforderungen, beispielsweise durch die katholische Datenschutzaufsicht, an uns herangetragen. In diesen Fällen konnten wir in letzter Zeit stets mit einem Anruf oder einer E-Mail an caralegal besprechen, wie man diese Änderungen auch im Datenschutzmanagementsystem anpassen und einbauen kann.

Durch diese sehr schnellen Anpassungen konnten wir immer zeitlich so reagieren, wie es wiederum die Aufsicht von uns verlangt.


Datenschutz im EVV


Das zeugt von einer engen Kooperation. Herr Möller, was macht für Sie die Besonderheit der Zusammenarbeit mit dem EVV aus?
Björn Möller: Durch die Partnerschaft mit dem EVV haben wir unser Produkt weiterentwickelt und können nun etwas anbieten, das nicht nur auf katholische Gesundheitseinrichtungen zugeschnitten ist, sondern auf jedes katholische Bistum oder Einrichtung übertragen werden kann, die ihr Datenschutzmanagement digitalisieren möchte.

Beim EVV reden wir zudem von Krankenhäusern, deren Personal sich um die Gesundheit der Menschen kümmert. Die fragen sich natürlich, wieso sie dabei noch datenschutzrechtlich dokumentieren müssen. Es macht für sie einen großen Unterschied, ob wir ihnen dann eine Excel-Datei vorlegen, in die sie sich erst einmal zwei Stunden lang einarbeiten müssen, oder ein System mit einer übersichtlichen Struktur und klaren Handlungsanweisungen vorgeben.

Durch caralegal wird ein „Oh nein, darauf habe ich keine Lust“ zum „Alles klar, diese fünf Schritte verstehe ich und machen Sinn“.

Im Feedback von Herrn Dr. Krohm und unseren anderen Kunden wird immer wieder herausgestellt, wie wichtig die Fachbereiche für ihre Arbeit sind. Ohne die Mitarbeit der Fachbereiche macht man Datenschutz im Silo – und das ist dann kein Datenschutz, sondern einfach nur eine Dokumentenablage.

 

Welchen Vorteil von caralegal würden Sie, Herr Dr. Krohm, für Ihre persönliche Arbeit im EVV herausstellen?
Dr. Krohm:

In meiner zentralen Steuerungsfunktion ist es besonders wichtig, dass ich einen Gesamtüberblick über den Datenschutz im Verbund erhalte.

caralegal bietet nun die Möglichkeiten, wichtige Informationen künftig mit einem Mausklick abzufragen, anstatt sie von allen Standorten per E-Mail einholen zu müssen.

Aufgrund der vielen vorgenommenen Anpassungen ist caralegal nun auch ideal für Einrichtungen, die dem katholischen Datenschutz unterliegen. Wir haben zudem einen zuverlässigen und im Gesundheitswesen spezialisierten Partner gefunden, den ich gerne weiterempfehle.

Herr Dr. Krohm, herzlichen Dank für das Gespräch.

 

Die Experten

Dr. Niclas Krohm leitet seit Januar 2021 den Datenschutz aufseiten der Trägerholding EVV GmbH. Der gebürtige Berliner ist Syndikusrechtsanwalt und zentrale Anlaufstelle für alle relevanten Fragen rund um die Datenverarbeitungen der Verbund-Einrichtungen.

 

Björn Möller ist Geschäftsführer der caralegal GmbH. Mit seiner langjährigen Erfahrung in der Leitung digitaler Produkte im Health- und Mobility-Bereich ist er bei caralegal für die strategische Geschäftsentwicklung verantwortlich.

 

Die caralegal GmbH

Die caralegal GmbH ist ein Privacy Tech Unternehmen, das innovative Datenschutzverantwortliche in Ihrem Arbeitsalltag unterstützt. caralegal bietet mit seiner Privacy Solution Platform lösungsorientierte und benutzerfreundliche Datenschutz-Workflows für das gesamte Unternehmen an.

 

Interview mit freundlicher Genehmigung zur Veröffentlichung der caralegal GmbH.

Foto Dr. Krohm: EVV / Manuel Tennert
Foto Björn Möller: Clemens Bauernfeind 
Foto Computer: Philipp Katzenberger / www.unsplash.com
Foto Code: Shahadat Rahman / www.unsplash.com

Share on FacebookTweet about this on TwitterEmail this to someone