Nein – die Entscheidung ist zwar richtig, es fehlt aber an der notwendigen Begründung. Zwei Krankenhausgesellschaften wollten den Zuschlag für ein digitales Entlassmanagement einem Unternehmen geben, das die Daten mit nutzerseitiger Verschlüsselung bei einem luxemburgischen Unternehmen mit amerikanischer Muttergesellschaft hostet. Die Vergabekammer hatte gegen diesen Anbieter entschieden, da das Risiko eines Zugriffs einer Übermittlung gleichstehe. Sie hat damit ein etwas überraschendes Verständnis von datenschutzrechtlichen Begrifflichkeiten offenbart, das auch nicht die Zustimmung des Landesdatenschutzbeauftragten fand.
In der nächsten Instanz hätte Karlsruhe nun die Chance gehabt, sich den obersten Gerichten in Paris und Brüssel anzuschließen, die unter den gegebenen vertraglichen, technischen und organisatorischen Maßnahmen DSGVO-Konformität bestätigt hatten. Das Gericht hat sich aber darauf beschränkt, die Zusicherung des Anbieters, es gehe datenschutzkonform bei der Übermittlung zu, ausreichen zu lassen.
Damit wurde eine Chance vertan, rechtliche Sicherheit für Krankenhäuser (und auch für ambulante
Leistungserbringer und Krankenkassen) zu schaffen, die aus Gründen der Sicherheit und Wirtschaftlichkeit ihr Datenmanagement in die Cloud verlegen müssen. Deutschland hat sich damit wieder eine kleine Pause für den Fortschritt verordnet.
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company