Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Bundesland               Art des Auftragnehmers       Sitz des Auftragnehmers Weitere Verpflichtungen    Sonstige materielle         Obligate Einschaltung des Auftragnehmers         Anforderungen               der Datenschutzaufsicht Thüringen                Keine speziellen Anforde-    Verpflichtung DSGVO und - Schweigepflicht (§ 203   - Störungen im Betriebsab-  Mitteilung an Aufsichtsbe- § 27b LKHG               rungen                       LDSG [LDSG]             StGB) [LKHG]               lauf sonst nicht vermeidbar hörde [LKHG] - Befugnis zur jederzeiti- [LKHG] oder gen Kontrolle durch Auf-   - Verarbeitung erheblich traggeber oder LfD [LKHG]  kostengünstiger [LKHG] - 162 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 3.4.19 Überblick: Technische und organisatorische Maßnahmen nach Landesrecht Die Bundesländer regeln teilweise konkrete Maßnahmen als Vorgaben oder Vorschläge für die technischen und organisatorischen Maßnahmen bei der Verarbeitung von Patientendaten in ihren Landesdatenschutz- und Landeskrankenhausgesetzen. Folgende Tabelle enthält eine Übersicht dahingehend, ob Gesetze der Bundesländer solche Vorgaben und ob diese auf die Verarbeitung von Patientendaten Anwendung finden. Die Spalte „Eingeschränkter Anwen- dungsbereich der TOM“ zeigt an, ob diese Maßgaben für jegliche Verarbeitung personenbe- zogener Daten im Anwendungsbereich der Landesgesetze gelten (dann mit „-ʺ markiert) oder ob dies an zusätzliche Voraussetzungen geknüpft ist, wie zum Beispiel Auftragsverarbeitung oder Fernwartung in Berlin oder die Verarbeitung besonderer Kategorien personenbezogener Daten in Bremen (dann mit „+ʺ gekennzeichnet). Tabelle 3-3: Vorgaben zu technischen und organisatorischen Maßnahmen (TOM) für Krankenhäuser im Landesrecht Bundesland      Regelung zu TOM im            Eingeschränkter   Anwendung auf die LDSG / LKHG                   Anwendungsbereich Verarbeitung von der TOM           Patientendaten zu Behandlungszwecken BW              + (§ 3 LDSG BW)               -                 + BY              -                             -                 - BE              + (§ 26 LDSG BE)              +                 + BB              + (§ 24 LDSG BB)              +                 + HB              + (§ 11 DSGVOAG HB)           +                 + HH              -                             -                 - HE              + (§ 20 LDSG HE)              +                 + MV              + (§ 8 LDSG MV)               +                 - NI              + (§ 17 LDSG NI)              +                 + NW              + (§ 15 LDSG NW)              -                 + RP              + (19 LDSG RP)                +                 + SL              + (§ 8 LDSG SL)               +                 + SN              -                             -                 - ST              + (§ 18 LKHG ST und           -                 + § 14 LDSG ST) SH              + (§ 12 LDSG SH)              +                 - TH              -                             -                 - - 163 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 3.5 Datenschutzrechtliche Anforderungen an Cloud-KIS in kirchlichen Kran- kenhäusern 3.5.1 Vorbemerkung zur Anwendbarkeit der kirchlichen Datenschutzregeln Die Position der beiden großen Kirchen in Deutschland Im Zuge der Einführung der DSGVO erließen sowohl die evangelische als auch die katholische Kirche eigene Datenschutzgesetze. Zuvor war es den Kirchen im Krankenhausdatenschutz nach verbreiteter Meinung nur bei Bestehen von Öffnungsklauseln erlaubt, eigene Regelungen zu erlassen.303 Nach Ansicht der beiden Kirchen sollen diese neuen Datenschutzgesetze aber nun bundesweit gelten. Dies leiten die Kirchen aus Art. 91 DSGVO ab, der es ermögliche, beste- hende (kirchliche) Datenschutzvorschriften weiter anzuwenden, wenn sie mit der EU-DSGVO in Einklang gebracht würden. Die DSGVO und das BDSG würden daher nicht für den Anwen- dungsbereich der kirchlichen Datenschutzgesetze gelten.304 Kritik an der kirchlichen Rechtssetzungskompetenz für Patientendaten Diese Ansicht der Kirchen ist sehr zweifelhaft. Der Wortlaut des Art. 91 Abs. 1 DSGVO könnte zwar so interpretiert werden, dass er eine Öffnung der DSGVO nicht gegenüber den Mitglied- staaten, sondern direkt gegenüber Kirchen oder religiösen Vereinigungen oder Gemeinschaf- ten enthält, ohne dass ein Mitgliedstaat diese Öffnung für Kirchen bestätigen oder regulieren müssten. Dies gilt aber jedenfalls nur dann, wenn die Kirchen bei Inkrafttreten der DSGVO schon umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung angewendet haben, was jedenfalls aufgrund der bisherigen deutschen Regeln bezüglich dem Patientenda- tenschutz in einigen Bundesländern nicht gegeben war. Zudem verweist der korrespondierende Erwägungsgrund 165 der DSGVO auf den Status, den Kirchen in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genießen. Lediglich dieser durch das nationale Verfassungsrecht bedingte Status wird durch die DSGVO im Einklang mit Art. 17 Abs. 1, 2 AEUV geachtet und nicht beeinträchtigt. Vor diesem Hintergrund ist das kirchliche Selbstbestimmungsrecht nach Art. 137 Abs. 3 S. 1 der Weimarer Reichsverfassung, die nach Art. 140 GG insoweit fort gilt, aber auch die dort vorgenommene Eingrenzung dieser Selbstbestimmung auf die eigenen Angelegenheiten der Kirchen „innerhalb der Schranken des für alle geltenden Gesetzes“ auch im Datenschutz nach wie vor zu beachten. Der Patientendatenschutz in Krankenhäusern ist davon nach hier vertretener Auffassung, mit Ausnahme einer eventuellen Krankenhausseelsorge, jedoch nicht umfasst. Denn die medizini- sche Versorgung der Bevölkerung, gerade wenn sie aus Mitteln der GKV finanziert wird, gehört 303 Schneider, Sekundärnutzung klinischer Daten, S. 80 f. 304 So das FAQ der Bischofskonferenz zum KDG: https://www.dbk.de/themen/kirche-staat-und-recht/datenschutz- faq (Stand 15.12.2020). Der Sache nach vertritt auch die Evangelische Kirche in Deutschland diese Position. - 164 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme nicht zu den eigenen oder gar inneren Angelegenheiten der Kirchen, für welche diese eigene Regelungen erlassen dürften – auch nicht nach Art. 91 DSGVO.305 Daher muss für eigenständige Regelungen der Kirchen auf dem Gebiet des Patientendaten- schutzes im Krankenhaus weiterhin zumindest eine Öffnungsklausel im Landesrecht bestehen, die als Befugnis zum Erlass von kirchlichen Datenschutzbestimmungen dient. Verfassungs- rechtlich geboten erscheint dies jedoch nach den bereits gemachten Ausführungen keines- wegs, falls es überhaupt zulässig wäre.306 Im Folgenden sollen gleichwohl exemplarisch einzelne Regelungen der beiden großen deut- schen Kirchen vorgestellt werden. 3.5.2 Evangelische Kirche Auf Krankenhäuser anwendbare Datenschutzvorschriften Bundeseinheitlich soll in der evangelischen Kirche das Datenschutzgesetz der evangelischen Kirche in Deutschland (DSG-EKD) gelten. Zur Anwendbarkeit der kirchlichen Datenschutzregelungen auf kirchliche Krankenhäuser in Ab- grenzung zum staatlichen Recht sei auf die eben gemachten Ausführungen verwiesen. Diese Anwendung kirchlicher Regeln auf Krankenhäuser ist damit letztlich nach hier vertretener Auf- fassung von einer Öffnungsklausel in den jeweiligen Landeskrankenhausgesetzen (LKHG) ab- hängig. Dies könnte auch mit § 2 Abs. 6 DSG-EKD in Einklang gebracht werden, wonach andere Rechts- vorschriften, die kirchliche Stellen anzuwenden haben, dem Kirchengesetz vorgehen, soweit sie die Verarbeitung personenbezogener Daten regeln. Nach § 2 Abs. 2 DSG-EKD gilt das Kirchengesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung perso- nenbezogener, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ge- mäß § 2 Abs. 3 DSG-EKD findet das Kirchengesetz Anwendung auf die Verarbeitung personen- bezogener Daten im Rahmen der Tätigkeit einer kirchlichen Stelle oder in deren Auftrag, un- abhängig vom Ort der Verarbeitung. Der Umgang mit Gesundheitsdaten auch für Behandlungszwecke ist in § 13 Abs. 1 DSK-EKD geregelt. Besondere Vorschriften zur Auftragsverarbeitung finden sich hier jedoch nicht. 305 Im Ergebnis gleicher Meinung, jedenfalls für die bundeslandübergreifende Forschung unter Beteiligung von kirchlichen Krankenhäusern, in der Tendenz aber auch für die Behandlung, mit ausführlicherer Begründung und Darstellung des Streitstandes: Dierks, Lösungsvorschläge für ein neues Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 77 ff. m.w.N. Ebenso Kircher, Der Schutz personenbezogener Gesundheitsdaten im Gesund- heitswesen, 2016, S. 116; S. 249 dort Nr. 7. 306 Man muss dabei auch bedenken, dass kirchlichen Gemeinschaften eine Rechtssetzungsbefugnis mit Wirkung für alle Patienten ihrer Krankenhäuser eingeräumt würde, ganz gleich, ob diese der entsprechenden Kirchen angehören und damit theoretisch – zumindest in der evangelischen Kirche – über Wahlen zum Kirchenparlament Einfluss auf diese Regelungen nehmen könnten. Wenn solche Krankenhäuser jedoch in einen Landeskrankenhausplan aufge- nommen wurden, werden sie maßgeblich über GKV-Beiträge sowie Investitionszuschüsse des Staates finanziert und müssen allen Patienten offenstehen. - 165 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Grundsätzlich gilt somit für die Verarbeitung von Gesundheits- und Patientendaten für alle evangelischen Kirchen das DSG-EKD, soweit eine landesrechtliche Öffnungsklausel vorhanden ist. Nachrangig gelten gegebenenfalls landesrechtliche Bestimmungen oder das BDSG und im Übrigen die DSGVO. Evangelische Landeskirche in Baden-Württemberg als exemplarisches Beispiel Nach § 54 Abs. 1 DSG-EKD kann der Rat der Evangelischen Kirche in Deutschland durch Rechts- verordnung mit Zustimmung der Kirchenkonferenz Durchführungsbestimmungen zu diesem Kirchengesetz oder ergänzende Bestimmungen zum Datenschutz erlassen. Dies wurde mit der Verordnung zur Sicherheit der Informationstechnik (ITSVO) vorgenommen.307 Nach § 6 Abs. 1 ITSVO-EKD können die Evangelische Kirche in Deutschland, die Gliedkirchen und die glied- kirchlichen Zusammenschlüsse jeweils für ihren Bereich Durchführungsbestimmungen zu die- ser Verordnung und ergänzende Bestimmungen zur IT-Sicherheit erlassen, soweit sie dieser Verordnung nicht widersprechen. Nach § 54 Abs. 2 DSG-EKD können die Gliedkirchen für ihren Bereich Durchführungsbestim- mungen zu diesem Kirchengesetz und ergänzende Bestimmungen zum Datenschutz erlassen, soweit sie dem Recht der Evangelischen Kirche in Deutschland nicht widersprechen. Dies wurde beispielsweise durch die Evangelische Landeskirche in Württemberg durch die 905. Kirchliche Verordnung zur Durchführung und Ergänzung des EKD-Datenschutzrechts (DSDEVO)308 vorgenommen, die auf § 25 Abs. 4 Kirchenverfassungsgesetz, § 54 Abs. 2 DSG-EKD und § 6 Abs. 1 ITSVO beruht. Das LKHG BW enthält eine Öffnungsklausel, sodass auch nach hier vertretener Auffassung eine eigene Regelung der evangelischen Kirche vertretbar ist. Die Evangelische Landeskirche in Württemberg hat beispielsweise gemäß §§ 2 Abs. 1 Satz 1, 8 DSDEVO, § 1 ff. Datenschutzkirchenbezirksfestlegungsverordnung (DKBFVO)309 für die Bestel- lung eines örtlich Beauftragten für Datenschutz neben dem Kirchenkreis Stuttgart jeweils die Kirchenbezirke im Zuständigkeitsbereich einer Kirchlichen Verwaltungsstelle zusammenge- fasst. Für die Evangelische Landeskirche in Württemberg sind somit die Bestimmungen der DSDEVO, der ITSVO-EKD und des DSG-EKD und im Übrigen gegebenenfalls weitere landesrechtliche Bestimmungen, sowie außerhalb der Nutzung von Öffnungsklauseln die DSGVO maßgebend. Zusammenfassung Für Krankenhäuser der evangelischen Kirche gelten – sofern eine Öffnungsklausel im Landes- recht vorliegt - das DSG-EKD und die ITSVO-EKD. Die einzelnen Landeskirchen können wiede- rum eigene Regelungen in Verordnungen festlegen, was beispielsweise durch die Evangelische 307 Verordnung zur Sicherheit der Informationstechnik (IT-Sicherheitsverordnung – ITSVO-EKD) vom 29. Mai 2015 (ABl. EKD s. 146); Ermächtigung noch nach § 9 Abs. 2 Satz 2 DSG-EKD a.F. 308 905. Kirchliche Verordnung zur Durchführung und Ergänzung des EKD-Datenschutzrechts (Datenschutzdurch- führungs- und -ergänzungsverordnung – DSDEVO) vom 14 Mai 2018 (Abl. 68 S. 56). 309 906. Verordnung des Oberkirchenrats über die Festlegung von Kirchenbezirken bezüglich der Bestellung von örtlichen Beauftragten für den Datenschutz und für IT-Sicherheit (Datenschutzkirchenbezirksfestlegungsverordnung – DKBFVO) vom 21. Mai 2019 - 166 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Landeskirche in Württemberg mit der DSDEVO vorgenommen wurde. Im Übrigen gelten lan- desrechtliche Regelungen und außerhalb der Nutzung von Öffnungsklauseln die DSGVO di- rekt. Vorschriften zur Auftragsverarbeitung Das DSG-EKD enthält Regelungen zur Auftragsverarbeitung. Auftragsverarbeiter im Sinne des DSG-EKD ist gemäß § 4 Nr. 10 DSG-EKD eine natürliche oder juristische Person, kirchliche oder sonstige Stelle, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet. Kapitel 4 des DSG-EKD behandelt die Pflichten der verantwortlichen Stellen und Auftragsver- arbeiter. Nach § 26 DSG-EKD ist es den bei der Datenverarbeitung tätigen Personen untersagt, perso- nenbezogene Daten unbefugt zu verarbeiten. Diese sind bei der Aufnahme ihrer Tätigkeit auf dieses Datengeheimnis schriftlich zu verpflichten, soweit sie nicht aufgrund anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet wurden. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. Nach § 30 Abs. 1 DSG-EKD bleibt die auftraggebende kirchliche Stelle für die Einhaltung der Vorschriften des DSG-EKD und anderer Vorschriften über den Datenschutz verantwortlich, wenn personenbezogene Daten im Auftrag durch andere Stellen oder Personen verarbeitet werden. Die Rechte der betroffenen Person nach Kapitel 3 des DSG-EKD sind ihr gegenüber geltend zu machen und zuständig für die Aufsicht ist die Aufsichtsbehörde der beauftragenden kirchlichen Stelle. Gemäß § 30 Abs. 2 DSG-EKD gilt für eine Auftragsverarbeitung in Drittländer § 10 DSG-EKD (Datenübermittlung an und in Drittländer oder an internationale Organisationen). § 30 Abs. 3 Satz 1 DSG-EKD bestimmt, dass der Auftragsverarbeiter unter besonderer Berück- sichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnah- men sorgfältig auszuwählen. Der Auftrag ist gemäß § 30 Abs. 3 Satz 2 DSK-EKD schriftlich zu erteilen, wobei insbesondere 1. der Gegenstand und die Dauer des Auftrags, 2. 2. der Umfang, die Art und der Zweck der vorgesehenen Verarbeitung, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 27 DSG-EKD zu treffenden technischen und organisatorischen Maßnah- men sowie ihre Kontrolle durch den Auftragsverarbeiter, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die Verpflichtung der Beschäftigten des Auftragsverarbeiters auf das Datengeheim- nis, 6. gegebenenfalls die Berechtigung zur Begründung sowie die Bedingungen von Un- terauftragsverhältnissen, 7. die Kontrollrechte der beauftragenden kirchlichen Stelle und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters, - 167 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 8. mitzuteilende Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnis, die sich die beauftragende kirchliche Stelle ge- genüber dem Auftragsverarbeiter vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragsverarbeiter gespeicherter Daten nach Beendigung des Auftrags. Nach §§ 30 Abs. 3 Satz 3, Satz 4 DSG-EKD hat sich die beauftragende Stelle vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer ge- troffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis schriftlich festzuhalten. Gemäß § 30 Abs. 4 DSG-EKD darf der Auftragsverarbeiter die Daten nur im Rahmen der Wei- sungen der kirchlichen Stellen verarbeiten und er hat die kirchliche Stelle unverzüglich darauf hinzuweisen, wenn er der Ansicht ist, dass eine Weisung der kirchlichen Stelle gegen dieses Kirchengesetz oder andere Vorschriften über den Datenschutz verstößt. Nach § 30 Abs. 5 Satz 1 DSK-EKD ist die kirchliche Stelle verpflichtet sicherzustellen, dass der Auftragsverarbeiter diese oder gleichwertige Bestimmungen beachtet, sofern die kirchlichen Datenschutzbestimmungen auf den Auftragsverarbeiter keine Anwendung finden. In diesem Fall dürfen sich gemäß § 30 Abs. 5 Satz 2 DSG-EKD die Vertragsinhalte abweichend von Ab- satz 3 an Art. 28 DSGVO orientieren. Der Auftragsverarbeiter muss sich aber der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD). Gemäß § 30 Abs. 6 DSK-EKD gelten die Absätze 1 bis 5 entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht aus- geschlossen werde kann. § 30 Abs. 7 DSK-EKD erklärt, dass das Recht der Evangelischen Kirche in Deutschland, der Gliedkirchen und der gliedkirchlichen Zusammenschlüsse bestimmen kann, dass vor der Be- auftragung die Genehmigung einer kirchlichen Stelle einzuholen ist oder Mustervereinbarun- gen zu verwenden sind, wobei bei der Beauftragung anderer kirchlicher Stellen in den Rechts- vorschriften von §§ 30 Abs. 3 Satz 2 Nr. 3, Nr. 5, Nr. 7 und Nr. 9 DSK-EKD abgesehen werden kann. Nach § 30 Abs. 8 DSG-EKD kann können die Einhaltung von genehmigten Verfahrensregeln und die Verwendung zertifizierter und kirchlich geprüfter Informationstechnik herangezogen werden, um die Erfüllung der datenschutzrechtlichen Anforderungen durch den Auftragsver- arbeiter nachzuweisen. Nach § 31 Abs. 2 DSG-EKD hat jeder Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von im Auftrag einer verantwortlichen Stelle durchgeführten Tätigkeiten der Verarbeitung zu führen. Das Verzeichnis ist gemäß § 31 Abs. 3 DSG-EKD schriftlich oder elektronisch zu führen und der Auftragsverarbeiter hat die Verzeichnisse auf Antrag der Aufsichtsbehörde gemäß § 31 Abs. 4 DSG-EKD zur Verfügung zu stellen. - 168 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Die in § 31 Abs. 2 DSG-EKD genannten Pflichten gelten gemäß § 31 Abs. 5 DSG-EKD nicht für verantwortliche Stellen, die weniger als 250 Beschäftigte haben; diese erstellen Verzeichnisse nach Absatz 2 nur hinsichtlich der Verfahren, die die Verarbeitung besonderer Kategorien per- sonenbezogener Daten einschließen, also in jedem Fall bezüglich der Patientendaten im Kran- kenhaus. Nach § 31 Abs. 6 DSG-EKD kann das Recht der Evangelischen Kirche in Deutschland, der Gliedkirchen und der gliedkirchlichen Zusammenschlüsse vorsehen, dass für einheitliche Ver- fahren das Verzeichnis zentral geführt wird. Verletzt ein Auftragsverarbeiter oder ein Verantwortlicher eine im DSG-EKD vorgeschrieben Pflicht, kann eine Geldbuße nach § 45 DSG-EKD die Folge sein. Verantwortliche Stellen sind von Geldbußen ausgenommen, soweit sich nicht als Unternehmen im Sinne des § 4 Nr. 1 DSG-EKD am Wettbewerb teilnehmen. Die Geldbuße kann zudem gemäß § 45 Abs. 5 DSG-EKD maximal 500.000 Euro betragen und kann gemäß § 45 Abs. 6 DSG-EKD zusätzlich oder anstelle von Maßnahmen nach § 44 Abs. 3 DSG-EKD (Maßnahmen zur Wiederherstellung eines rechtmäßi- gen Zustands) verhängt werden. Evangelische Landeskirche in Württemberg als exemplarisches Beispiel Die Evangelische Landeskirche in Württemberg hat nach obigen Ausführungen eine eigene Verordnung erlassen, die auch eigene Regelungen zur Auftragsverarbeitung enthält. Gemäß § 3 DSDEVO legt der Oberkirchenrat den Wortlaut der Verpflichtung nach § 30 Abs. 3 Satz 2 Nr. 5 DSG-EKD fest. Das Original der Verpflichtung ist zu den Personalakten zu nehmen und bei ehrenamtlichen Mitarbeiterinnen und Mitarbeitern sind die Originale gesammelt auf- zubewahren. Nach § 4 Abs. 1 DSDEVO ist die vom Oberkirchenrat festgelegte Mustervereinbarung zu ver- wenden, wenn personenbezogene Daten im Auftrag verarbeitet werden. Im Einzelfall kann auf schriftlichen Antrag der auftraggebenden kirchlichen Stelle mit Genehmigung des Oberkir- chenrats von der Mustervereinbarung abgesehen werden. Gemäß § 4 Abs. 2 DSDEVO wird bei der Beauftragung anderer kirchlicher Stellen von §§ 30 Abs. 3 Satz 2 Nr. 3, Nr. 5, Nr. 7 und Nr. 9 und Satz 4 DSG-EKD abgesehen. Das Verzeichnis nach § 31 Abs. 6 DSG-EKD führt der Oberkirchenrat für einheitliche Verfahren gemäß § 5 DSDEVO zentral. Im Übrigen gilt aber auch hier das DSG-EKD und ferner außerhalb der Nutzung von Öffnungs- klauseln der DSGVO der Art. 28 DSGVO. Vorschriften zu technischen und organisatorischen Maßnahmen Das DSG-EKD enthält eine Regelung zu technischen und organisatorischen Maßnahmen in § 27 DSG-EKD. Nach § 27 Abs. 1 Satz 1 DSG-EKD haben die verantwortliche Stelle und der kirchliche Auf- tragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschied- - 169 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme lichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten na- türlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und einen Nachweis hierüber führen zu können. Gemäß § 27 Abs. 1 Satz 2 DSG-EKD schließen diese Maßnahmen unter anderem ein: 1. die Pseudonymisierung, die Anonymisierung und die Verschlüsselung personenbezo- gener Daten, 2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Sys- teme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, 3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzu- stellen, 4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirk- samkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Gemäß § 27 Abs. 2 DSG-EKD sind bei der Beurteilung des angemessenen Schutzniveaus insbe- sondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, ge- speichert oder auf andere Weise verarbeitet wurden. Nach § 27 Abs. 3 DSG-EKD sind Maßnahmen nur erforderlich, wenn ihr Aufwand in einem an- gemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Einhaltung eines nach dem EU-Recht zertifizierten Verfahrens kann gemäß § 27 Abs. 4 DSG- EKD als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten der verantwortli- chen Stelle gemäß Absatz 1 nachzuweisen. Die verantwortliche Stelle und der kirchliche Auftragsverarbeiter haben nach § 27 Abs. 5 DSG- EKD sicherzustellen, dass natürliche Personen, die Zugang zu personenbezogenen Daten ha- ben, diese nur auf ihre Weisung verarbeiten. Zudem sind verantwortliche Stellen und Auftragsverarbeiter gemäß § 27 Abs. 6 DSG-EKD ver- pflichtet, IT-Sicherheit zu gewährleisten, wobei das Nähere durch die ITSVO-EKD geregelt wurde. Nach § 1 Abs. 1 ITSVO-EKD sind die mit der Informationstechnik erhobenen oder verarbeiteten Daten insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Ge- fahr des Verlustes zu schützen (IT-Sicherheit), um deren Vertraulichkeit, Integrität und Verfüg- barkeit zu gewährleisten. Nach § 1 Abs. 2 ITSVO-EKD ist ein Sicherheitskonzept zu erstellen und kontinuierlich fortzuschreiben. Gemäß § 1 Abs. 3 ITSVO-EKD orientiert sich der für die Umset- zung des IT-Sicherheitskonzeptes erforderliche Sicherheitsstandard an den Empfehlungen des BSI310 zur Informationssicherheit und zum IT-Grundschutz, wobei vergleichbare Sicherheits- standards ebenfalls zu Grunde gelegt werden können. Dieses IT-Sicherheitskonzept muss den 310 Bundesamt für Sicherheit und Informationstechnik. - 170 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Schutzbedarf der Daten, die Art der eingesetzten IT und die örtlichen Gegebenheiten der je- weiligen kirchlichen Stelle berücksichtigen. Die Evangelische Kirche in Deutschland stellt nach Maßgabe des Absatzes 3 Muster-IT-Sicherheitskonzepte zur Verfügung gemäß § 1 Abs. 4 ITSVO-EKD. Nach § 5 ITSVO-EKD ist zudem ein IT-Sicherheitsbeauftragter zu bestimmen. Zudem ist gemäß § 6 ITSVO-EKD es den einzelnen Kirchenteilen für ihren Bereich Durchführungsbestimmungen und ergänzende Bestimmungen zu erlassen. Evangelische Kirche in Württemberg als exemplarisches Beispiel Die evangelische Kirche in Württemberg hat hierzu ebenfalls Regelungen in der DSDEVO er- lassen. Nach § 6 Abs. 1 DSDEVO sind den IT-Sicherheitskonzepten die Muster-IT-Sicherheits- konzepte der Evangelischen Kirche zugrunde zu legen und es dürfen nur die vom Oberkirchen- rat geprüften und freigegebenen Verfahren und Programme eingesetzt werden. Nach § 7 Abs. 1 DSDEVO bestellt der Oberkirchenrat den oder die IT-Sicherheitsbeauftragten, wobei nach § 7 Abs. 2 DSDEVO durch Verordnung auch ein Beauftragter für mehre Kirchenbe- zirke festgelegt werden kann. Im Übrigen gilt aber auch hier das DSG-EKD, sowie außerhalb der Nutzung von Öffnungsklau- seln der DSGVO der Art. 32 DSGVO. 3.5.3 Katholische Kirche Auf Krankenhäuser anwendbare Datenschutzvorschriften Die katholische Kirche regelt ihr Datenschutzrecht umfassend im Gesetz über den kirchlichen Datenschutz (KDG). Zur Anwendbarkeit der kirchlichen Datenschutzregelungen in Abgrenzung zum staatlichen Recht sei auf die obigen Ausführungen verwiesen. Diese Anwendung kirchli- cher Regeln zum Patientendatenschutz in Krankenhäusern ist damit zumindest von einer Öff- nungsklausel in den jeweiligen Landeskrankenhausgesetzen (LKHG) abhängig. Dies sich auch in Einklang mit § 2 Abs. 2 KDG befinden, wonach soweit besondere kirchliche oder besondere staatliche Rechtsvorschriften auf personenbezogene Daten einschließlich de- ren Veröffentlichung anzuwenden sind, sie den Vorschriften dieses Gesetzes vorgehen, sofern sie das Datenschutzniveau des Gesetzes nicht unterschreiten. Nach § 2 Abs. 1 KDG gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Gemäß § 2 Abs. 3 KDG blieben zudem die Verpflichtung zur Wahrung des Beicht- und Seelsorgegeheim- nisses, anderer gesetzlicher Geheimhaltungspflichten oder anderer Berufs- oder besonderer Amtsgeheimnisse, die nicht auf gesetzlichen Vorschriften beruhen, unberührt. Das KDG gilt gemäß § 3 Abs. 1 lit c) KDG für die Verarbeitung personenbezogener Daten durch die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform. Nach § 3 Abs. 2 KDG findet das KDG Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt, unabhängig davon, - 171 -