Bereits in den Jahren 2011 bis 2014 beschäftigten sich die Datenschutzaufsichtsbehörden des Bundes und der Länder intensiv mit dem datenschutzgerechten Einsatz von Krankenhausinformationssystemen. Die in diesem Zusammenhang entwickelte und zuletzt 2014 veröffentlichte Orientierungshilfe sowie die im Land Rheinland-Pfalz zur Umsetzung der datenschutzrechtlichen Vorgaben seitens des LfDI durchgeführten Maßnahmen waren bereits mehrfach Gegenstand der Tätigkeitsberichte des LfDI (vgl. 23. Tb., Tz. I3.6; 24. Tb., Tz. II7.1; 25. Tb., Tz. III5.1).

Erst mit der Veröffentlichung der Orientierungshilfe „Krankenhausinformationssysteme“ und den hierzu seitens des LfDI durchgeführten Aktivitäten führte die weit überwiegende Zahl der in Rheinland-Pfalz ansässigen und der Aufsicht des LfDI unterliegenden Häuser eine Revision der eingesetzten Systeme durch. Dabei wurde fast überall ein konkreter Handlungsbedarf festgestellt. Neben der Erstellung oder Überarbeitung technischer Konzepte (z.B. Datenschutzkonzept, IT-Sicherheitskonzept, Rollen- und Berechtigungskonzept, Protokollierungskonzept, Archivierungs- und Löschkonzept) wurden vermehrt interne Schulungsmaßnahmen durchgeführt und ein strukturierter Austausch zu datenschutzrelevanten Aspekten der Krankenhausinformationssysteme mit den Systemherstellern etabliert.

Die letzte Veröffentlichung der Orientierungshilfe „Krankenhausinformationssysteme“ liegt mittlerweile deutlich zurück. Die seitdem eingetretene Weiterentwicklung der informationstechnischen Systeme und der rechtlichen Rahmenbedingungen sollen durch eine Überarbeitung und Aktualisierung der Orientierungshilfe aufgegriffen werden. Ziel ist es, sowohl den Krankenhausbetreibern als auch den IT-Herstellern eine an die aktuellen Anforderungen und Entwicklungen angepasste, praxisorientierte Hilfestellung zur Umsetzung des Datenschutzes zur Verfügung zu stellen. Wie schon bei der erstmaligen Erstellung der Orientierungshilfe Krankenhausinformationssysteme“ werden auch bei deren Neufassung die primär fachlich hierfür zuständigen Arbeitskreise der Datenschutzkonferenz – der Arbeitskreis Gesundheit und Soziales sowie der Arbeitskreis Technik – in einer eigens dazu eingerichteten Arbeitsgruppe tätig werden.

Seit 2009 steht der datenschutzgerechte Einsatz von Krankenhausinformationssystemen (KIS) im Fokus der Datenschutzaufsichtsbehörden in der Bundesrepublik. Bei diesen IT-Systemen handelt es sich um Verfahren, die Behandlungsprozesse in Krankenhäusern durch die Bereitstellung patientenbezogener Informationen unterstützen. Hierzu gehören administrative Angaben, wie z.B. zur Krankenversicherung oder zu den Angehörigen der Patientinnen und Patienten, insbesondere aber medizinische Daten. Die in Krankenhausinformationssystemen enthaltenen Daten dienen der Verwaltung und Dokumentation der stationären Behandlungsfälle und werden somit von einer Vielzahl der in einem Krankenhaus tätigen Beschäftigten zu unterschiedlichen Zwecken (z.B. Aufnahme, ärztliche Behandlung und Pflege, Therapie, Abrechnung, seelsorgerische Betreuung, Qualitätssicherung, Controlling) genutzt. Da zur Erfüllung dieser einzelnen Aufgaben jeweils unterschiedliche Informationen von den verschiedenen Organisationseinheiten im Krankenhaus benötigt werden, müssen die Systeme bereits Funktionalitäten beinhalten, die eine differenzierte Gewährung von Zugangsrechten erlauben. Zugleich sind die Krankenhausbetreiber verpflichtet, derartige Instrumente dann auch tatsächlich einzusetzen.

• Beschluss des Düsseldorfer Kreises vom 5. Mai 2011 "Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen"

• Orientierungshilfe "Krankenhausinformationssysteme" (OH KIS Version 2, März 2014)