KHZG-Zwischen- und Schlussnachweise 2025

Dass die Digitalisierung der Krankenhauslandschaft in Deutschland mit dem Krankenhauszukunftsgesetz (KHZG) einen weiteren Schub erhalten hat, bezweifelt niemand. Ebenso ist aber offensichtlich, dass es zusammen mit dem KHZG zu einer weiteren Ausweitung der bürokratischen Verpflichtungen gekommen ist, denn die Nachweispflicht und die Bestätigung durch einen berechtigten (d. h. zertifizierten) IT-Dienstleister gehören zu den jährlichen Pflichtaufgaben.


Wer KHZG-Fördergelder beantragt und einen positiven Bescheid erhalten hat, der weiß: Das erste Quartal des Jahres ist in der Regel die Zeit für den jährlichen Zwischennachweis. Zusätzlich zu einem aktuellen Projektbericht muss zu den meisten Fördertatbeständen (2 bis 6, 8 und 10) die Bestätigung eines berechtigten IT-Dienstleisters eingereicht werden. Die Frist zur Einreichung kann sich von Bundesland zu Bundesland unterscheiden (z. B. Bayern: 20. Januar, Nordrhein-Westfalen: 1. Februar, Hamburg: 28. Februar, Rheinland-Pfalz: 1. März). Ebenso gibt es teilweise spezielle Anforderungen zu den Angaben in den Projekt-Sachberichten der Antragsstelle, insbesondere in Bayern. Diese Regelungen und Fristen sind für die Einhaltung der Förderbedingungen von entscheidender Bedeutung und müssen von den Antragstellern strikt beachtet werden, um den Erhalt der Fördermittel nicht zu gefährden.
 

Umfang der Bestätigung des berechtigten IT-Dienstleisters

Die Bestätigung muss in der Regel folgende Inhalte umfassen:

  • (wahrscheinliche) Umsetzung der für den jeweiligen Fördertatbestand definierten MUSS-Kriterien
  • Interoperationalität der Schnittstellen sowie Verwendung international anerkannter technischer, syntaktischer und semantischer Standards zur Herstellung einer durchgehenden internen und externen Interoperabilität digitaler Dienste (Vorgaben des ehemaligen § 291d SGB V)
  • Anbindung an die Telematikinfrastruktur und die elek­tronische Patientenakte
  • Einhaltung der Maßgabe, dass 15 % der bewilligten Mittel für Maßnahmen zur IT-Sicherheit ausgegeben werden
  • Angemessenheit der Maßnahmen zur Informationssicherheit nach dem Stand der Technik (z. B. nach dem Branchenstandard B3S)
  • Einhaltung datenschutzrechtlicher Vorschriften

In Bezug auf nicht abgeschlossene Projekte gilt dabei, dass für den Zwischennachweis grundsätzlich noch keine Pflicht zur vollständigen Umsetzung der inhaltlichen Anforderungen wie der MUSS-Kriterien, der Schnittstellen sowie der Maßnahmen nach den Vorgaben der Informationssicherheit und des Datenschutzes geben muss. Hier reichen Planungsannahmen sowie Angaben der Hersteller meist aus. Der Status „in Planung“ oder „teilweise umgesetzt“ stellt daher beim Zwischennachweis kein Problem dar.
 

Einbiegen auf die Zielgerade

Grundsätzlich gilt, dass mit dem Ausstellen des Förderbescheids eine Frist von drei Jahren für die Umsetzung gilt. Wenn der Bescheid der jeweiligen Landesbehörde zum Beispiel das Datum 20. August 2022 trägt, muss dieses Projekt bis zum 20. August 2025 abgeschlossen sein. Und auch hier gilt: Ja nach Bundesland gelten andere Fristen für die Bereitstellung der Schlussnachweise (z. B. NRW und Bayern: sechs Monate nach Projektende, Rheinland-Pfalz: 30. Januar 2026, Hamburg: 30. April 2026). Insbesondere für NRW und Bayern gilt damit, dass für Projekte, die im ersten Halbjahr 2025 enden, die Schlussnachweispflicht bis zum 31. Dezember 2025 erfüllt werden muss. Und diesmal muss die Umsetzung der oben genannten Kriterien nachgewiesen und vom berechtigten IT-Dienstleister bestätigt werden – Planungen und Annahmen sind dann nicht mehr relevant.

Das Bundesamt für soziale Sicherung (BAS) hat mit Schreiben vom 24. Juli 2023 eindeutig festgelegt, wann ein Vorhaben final abgeschlossen ist: „Ein Vorhaben ist dann abgeschlossen, wenn die Maßnahmen umgesetzt, d.h. die Hardware besorgt, die Software installiert und die MUSS‐Kriterien erfüllt sind.“ Ein vollständiges Ausrollen der Lösung im Haus ist also nicht notwendig, um ein Projekt abzuschließen.
 

Nachweispflicht zum Datenschutz und zur Informationssicherheit

Neben der fachlichen Prüfung der MUSS-Kriterien und der Schnittstellenanforderungen sind Maßnahmen zum Datenschutz und zur Umsetzung von Maßnahmen zur Informationssicherheit relevant. Während die Anforderungen des Datenschutzes aus der Datenschutz-Grundverordnung (DS-GVO) sowie dem evangelischen (DSG-EKD) und dem katholischen Datenschutzrecht (KDG) entnommen werden können, bietet sich im Bereich der Informationssicherheit der branchenspezifische Sicherheitsstandard B3S „Medizinische Versorgung“ an:

Datenschutz

  • Einordnung der zu verarbeitenden Daten
  • Rechtliche Grundlage der Verarbeitung
  • Löschverfahren, Konzept
  • Dokumentation von technischen und organisatorischen Maßnahmen
  • Einordnung der Datenübermittlung in Drittländer
  • Dokumentation sämtlicher Erkenntnisse im Verarbeitungsverzeichnis
  • Prüfung der Grundsätze für die Verarbeitung personenbezogener Daten
  • Einordnung Auftragsverarbeitung/Übersicht auftragsverarbeitende Dienstleister
  • Durchführung einer Datenschutzfolgenabschätzung
  • Abschluss von Auftragsverarbeitungsverträgen (AVV)
  • Betroffenenrechte
    -     Auskunftsanspruch
    -     Recht auf Berichtigung
    -     Recht auf Löschung
    -     Recht auf Einschränkung der Verarbeitung
    -     Mitteilungspflicht
    -     Recht auf Datenübertragbarkeit
  • Gegebenenfalls weitere Anforderungen je nach Projektinhalt
     

Informationssicherheit

  • Schutzbedarfsfeststellung
  • IT-Risikoanalyse und -bewertung
  • Ausfallkonzept, Geschäftsfortführungskonzept, Alarmierungsplan, Wiederanlaufplan
  • Rollen- und Berechtigungskonzept
  • Sichere Authentisierung (Passwortregelungen)
  • Datensicherungskonzept
  • Protokollierungskonzept
  • Test- und Freigabeverfahren bzw. Nachweis
  • Datentransfer (Verschlüsselung)
  • Sicherheitskonzept für mobile Endgeräte und Speichermedien
  • IT-Netzwerkarchitektur (Segmentierung, Firewall-Konzept)
  • Absicherung von Fernzugriffen
  • Gegebenenfalls weitere Anforderungen je nach Projektinhalt

In der praktischen Umsetzung kommt der Zusammenarbeit der Beauftragen für Datenschutz (DSB) und für Informationssicherheit (ISB) mit den Projektverantwortlichen eine herausragende Bedeutung zu. Eine nachträgliche Umsetzung der oben dargestellten Anforderungen ist hochgradig unpraktisch und führt im Negativfall zu einer nachträglichen Projektanpassung. Daher ist es sinnvoll, die Beauftragten für Datenschutz und Informationssicherheit ab Projektbeginn zu integrieren, spätestens aber dann einzubinden, wenn es an die Konzeption und Implementierung der fachlichen Lösung geht.
 

Praxis-Hinweis

Die Anpassung von Systemeinstellungen oder von Verantwortlichkeiten und Prozessen kurz vor Projektende sorgt für unnötigen Stress bei allen Projektbeteiligten. Für Häuser, die ihre DBS und/oder ISB immer noch nicht in die KHZG-Projekte einbezogen haben, bedeutet das im Nachhinein und konkret vor dem Schlussnachweis ein erhöhtes Stresslevel bei Dokumentation der Erfüllung der genannten Anforderungen. Nehmen Sie sich also der oben genannten Themen zeitnah an und dokumentieren Sie deren Umsetzung bereits vor und spätestens mit Projektende in einer für sachverständige Dritte nachvollziehbaren Form.

 

Solidaris Thomas Heithausen
Autor
+49 2203 8997-116
Kontaktformular
vCard
Solidaris Alexander Gottwald
Autor
+49 251 48261-173
Kontaktformular
vCard
Solidaris Thomas Heithausen
Autor
Thomas Heithausen
Wirtschaftsprüfer, Steuerberater, CISA, Leitung Geschäftsbereich IT-Beratung
+49 2203 8997-116
Kontaktformular
vCard
Solidaris Alexander Gottwald
Autor
Alexander Gottwald
Rechtsanwalt
+49 251 48261-173
Kontaktformular
vCard

Weitere Artikel, die Sie interessieren könnten

13.03.2025

Die letzten beiden Stellungnahmen der Regierungskommission zur Krankenhausreform - Was sind die Empfehlungen für die Zukunft?

Die im Mai 2022 eingerichtete Regierungskommission von Karl Lauterbach, deren Einsatz zur Abgabe von Empfehlungen für die notwendigen Reformen im Krankenhausbereich erfolgte, beendete nunmehr am letzten Freitag (7. März 2025) ihre Arbeit. Zum Abschluss gab sie ihre letzten beiden Stellungnahmen (13.(...)
10.03.2025

Omnibus-Verfahren: Weniger Berichtspflichten – Was ändert sich für die Gesundheits- und Sozialwirtschaft?

Die Europäische Kommission hat mit dem Omnibus-Verfahren umfassende Änderungen bei der CSRD (Corporate Sustainability Reporting Directive), der Taxonomie-Verordnung und der CSDDD (Corporate Sustainability Due Diligence Directive) auf den Weg gebracht. Ziel ist es, die Berichtspflichten für kleinere(...)
19.02.2025

KHVVG-Planungshilfe

Die Definitionen der Leistungsgruppen des Bundes sind bekannt. Wir haben an ca. 60.000 Fällen die unterschiedlichen Ergebnisse zwischen den beiden Leistungsgruppensystemen (NRW/Bund) simuliert.
18.02.2025

Nachhaltigkeitsberichterstattung – CSRD-Umsetzung stockt

Die Umsetzung der Corporate Sustainability Reporting Directive (CSRD) in nationales Recht verzögert sich weiterhin. Ursprünglich sollte die Umsetzung bis zum 6. Juli 2024 erfolgt sein, doch bislang gibt es lediglich einen Regierungsentwurf für das Umsetzungsgesetz. Angesichts der anstehenden(...)
18.02.2025

Schwierige Rahmenbedingungen in der Altenhilfe

Die Altenhilfebranche befindet sich in schweren wirtschaftlichen Turbulenzen. Regelmäßig wird von neuen Insolvenzen in der Altenpflege berichtet. „Jeden Tag schließen zwei Einrichtungen“ (FOCUS Online). „Durch die Branche rollt eine nie da gewesene Insolvenzwelle, hunderte Altenheime stehen vor der(...)
18.02.2025

EU-Vorgaben für die Barrierefreiheit von Websites

Was sich wie ein weiteres Bürokratiestärkungsgesetz liest, kommt als Tandem daher und hört auf die Namen Barrierefreiheitsstärkungsgesetz (BFSG) und Verordnung zum Barrierefreiheitsstärkungsgesetz (BFSGV). Gemeinsam dienen sie der Umsetzung der EU-Richtlinie 2019/882 über die(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß