Das Outsourcing ist kein Selbstläufer
10.12.2019 -
Hohe Erwartungen an die Sicherheit und Verfügbarkeit der IT, dazu heftige gesetzliche Anforderungen, bringen Outsourcing in die Diskussion.
Angesichts des wachsenden Kostendrucks liegt die Vermutung nahe, dass Kliniken derzeit verstärkt auf die Angebote der externen Dienstleister zurückgreifen, um Kosten zu senken. Vermutung oder Wahrheit? Gründe für ein IT-Outsourcing sind häufig der Mangel an eigenem IT- und Fachpersonal, ein Nichtvorhandensein interner Kompetenzen bei kritischen Themen wie beispielsweise Datenschutz und IT-Security, fehlende, aber nötige Zertifizierungen wie ISO 27000 / ISO 27001 oder ISO 9000 / 9001, begrenzte Kapazitäten sowie fehlende Skalierbarkeit, Performance und Flexibilität. Die IT inhouse zu betreiben ist für viele Krankenhäuser eher risikoreich und kostspielig, weshalb die Tendenz hin zum IT-Outsourcing geht. Es geht schon lange nicht mehr um die reibungslose Bereitstellung von Technik, sondern um das Verständnis der Abläufe in Gesundheitseinrichtungen, der Prozesse und Anforderungen. Der Fokus liegt nicht mehr auf der Supply-Seite, die eigentlich längst Commodity sein sollte, sondern vielmehr auf der Demand-Seite. Dabei sind zwei Gefahrenmomente präsent: Erstens ermöglichen neue Technologien den Fachbereichen, die Services, die sie zur Bewältigung ihrer Aufgaben benötigen, selbst einzukaufen – das erforderliche Know-how ist bei den eigenen Mitarbeitern (vermeintlich) vorhanden und die Lösungen sind als „X as a Service“ nun einmal schneller und kostengünstiger einzukaufen, als die IT-Abteilung sie bereitstellen kann. Zweitens wird durch die zunehmende Eigenständigkeit der Fachbereiche die Uhr gleichermaßen zurückgestellt: Die Schlagwörter waren früher Integration und Zentralisierung – also Zusammenspiel und Kontrolle. Der jetzt drohende Wildwuchs stellt die mühsam errungene Integration der IT in den Krankenhäusern in Frage und wirft -neben Compliance - auch ganz konkrete Sicherheitsfragen auf. Die hohe Erwartungshaltung der Auftraggeber „mit dem Outsourcing werde endlich alles besser und günstiger“ wird durch unrealistische Zeitpläne und unzureichende Vorbereitung noch begünstigt.
Veränderungen auf der Agenda
Eine komplette Auslagerung der IT existiert in öffentlichen Krankenhäusern heute nicht. Wenn etwas ausgelagert wird, dann handelt es sich meist um sehr gezieltes, selektives Outtasking in Bereichen ohne personenbezogene Daten. Ausgelagert werden etwa der Service Desk, Endgeräte- und Infrastruktur-Management, also nicht-systemrelevante Leistungen. Veränderungen stecken nicht nur im Detail. Gefragt ist der CIO als „Facilitator“, also als Moderator, Vermittler, Prozessbegleiter – kurz als „Enabler“. Und als solcher steht er vor zwar nicht neuen, aber immer schwieriger zu erfüllenden Herausforderungen: Bei weiter steigender Komplexität muss er sich der Forderung nach mehr Flexibilität und gleichzeitiger Effizienzsteigerung stellen. Das lässt sich nicht mehr allein mit dem probaten Mittel „Standardisierung innerhalb der IT“ lösen. Letzten Endes profitieren die Outsourcing-Anbieter vom Fachkräftemangel. „Die meisten Gesundheitseinrichtungen, und vor allem die Behörden, schaffen es nicht, eigene Ressourcen für ihre Transformationsvorhaben einzustellen und sind darauf angewiesen, stärker mit IT-Services-Anbietern zusammenzuarbeiten, sowohl durch die Vergabe von Projekten, Managed-Services- und Outsourcing-Verträgen als auch durch klassisches Body Shopping“, erklären die Analysten. Konkret investieren Kliniken in Lösungen rund um vernetzte Systeme. Außerdem in Automatisierung, Robotic Process Automation (RPA) und Künstliche Intelligenz (KI) sowie in Agile/DevOps, APIs, Container und Microservices. Und: Entscheider können auf Investitionen in Cybersecurity nicht verzichten. Hier drängt die Frage, wie man sich von der Funktionsfähigkeit einer Outsourcing-Lösung an einem laufenden System überzeugen kann. Diese Bereiche können prüfungsrelevant sein:
a) Zustand der Betriebstätten des Anbieters und Status der eingesetzten Technologien; b) Räumlichkeiten des Anbieters und gegebenenfalls seiner Subunternehmer - auch unter den Aspekten Datenschutz (technische und organisatorische Maßnahmen im Sinne der DSGVO), IT-Sicherheit und Notfallplanung; c) personelle Kapazitäten, mit denen der Anbieter seine Leistungen erbringen kann (fachliche Qualitäten, Erfahrung, Kommunikations-Skills und ausreichende Anzahl der einzusetzenden Mitarbeiter); d) Zuverlässigkeit der personellen Kapazitäten unter strafrechtlichen und sicherheitsrechtlichen Aspekten ("Staff Vetting", "Background Checks"); e) finanzielle Ausstattung des Anbieters und seiner Subunternehmer. Diese 5-Punkte-Checkliste bringt einen ersten Überblick. Die Qualität der angebotenen Leistungen mit der angebotenen Lösung kann mit einem Proof of Concept (PoC) unter Beweis gestellt werden. Außerdem steht auf dem Prüfplan: vorhandene Prozesse zur kontinuierlichen Verbesserung des Leistungsniveaus (Einführung technologische Neuheiten, Innovationsbereitschaft des Anbieters), die beim Anbieter vorhandene Dokumentation, zum Beispiel zu Datenschutz, IT-Sicherheit, Notfallplanung und Umfang der Versicherungen des Anbieters.
Datenschutz (fast) kompromisslos
Datenschutzrechtlich werden hinsichtlich der Beauftragung von (externen) Dienstleistern zwei Möglichkeiten der Auftragsvergabe unterschieden: die Funktionsübertragung und die Auftragsdatenverarbeitung (ADV). Bei der Funktionsübertragung werden an einen Dritten Daten übermittelt, damit dieser eine bestimmte Aufgabe (Funktion) eigenverantwortlich übernehmen kann. Für eine solche Datenübermittlung ist entweder eine gesetzliche Erlaubnis oder eine Einwilligung des Patienten erforderlich. Da die gesetzlichen Bestimmungen für Patientendaten einen maximalen Schutz fordern, wird regelmäßig rechtlich keine Erlaubnis für eine weisungsfreie externe Be- und Verarbeitung von Patientendaten vorliegen. Eine Einwilligung scheidet sowohl aus praktischen als auch formalen Gründen (Stichwort: Freiwilligkeit) aus. Die Auftragsdatenverarbeitung gilt als eine „privilegierte“ Form der Funktionsübertragung, für welche der Gesetzgeber vertragsrechtliche Anforderungen (§ 11 Bundesdatenschutzgesetz – BDSG, § 80 Sozialgesetzbuch X, landesrechtliche Bestimmungen) stellt. Als „privilegiert“ wird diese Form der externen Datenverarbeitung deswegen angesehen, weil keine Einverständniserklärung des jeweiligen Patienten für die Bearbeitung durch externe Dienstleister eingeholt werden muss. In nahezu allen bundes- beziehungsweise landesrechtlichen Datenschutzbestimmungen wird die Auftragsdatenverarbeitung explizit erlaubt, das heißt, eine Arztpraxis oder ein Krankenhaus kann das Outsourcing, zu dem auch die (Fern-) Wartung von IT-Systemen durch Hersteller zählt, nur in Form einer Auftragsdatenverarbeitung durchführen. Da eine Einwilligung eines Patienten nur freiwillig geschehen kann und ein Nicht-Vorliegen einer Einwilligung keinerlei Auswirkung auf die Behandlung beinhalten kann, ist diese Form der Auftragsvergabe im Workflow eines Krankenhauses in den meisten Fällen schlicht nicht integrierbar. Eine Besonderheit stellt das Gesetz zur Neuregelung des § 203 StGBD dar: Es betrifft ein Reformvorhaben zur Anpassung der strafrechtlichen Geheimnisschutzregelungen für Berufsgeheimnisträger, wie Rechtsanwälte, Steuerberater, Notare, Wirtschaftsprüfer, Versicherungsgesellschaften, Ärzte oder Therapeuten. Aufgrund der Änderungen vom November 2017 können zur Verschwiegenheit verpflichtete Personen nunmehr IT-Dienstleistungen und Cloud-Computing-Dienste unter bestimmten Voraussetzungen nutzen, ohne ein Risiko von strafrechtlichen oder berufsrechtlichen Sanktionen einzugehen. Es bleibt jedoch abzuwarten, ob diese Anpassung die durch den Gesetzgeber anvisierte Rechtsklarheit herbeiführt.