Krankenhausschließungen und Datenschutz: Herausforderungen und Lösungen

PrintMailRate-it

​​​​​veröffentlicht am 31. Oktober 2024​


Zahlreiche Krankenhäuser stehen unter erheblichem wirtschaftlichen Druck. Leider nimmt dadurch auch die Anzahl der Krankenhausinsolvenzen stetig zu.  Doch auch bei einer  Schließung müssen die Patientendaten weiterhin sicher aufbewahrt werden. Dies ist oft problematisch, da die Kosten für die Aufbewahrung im Insolvenzverfahren nicht immer gedeckt sind. Wenn diese Patientendaten nicht ausreichend geschützt werden, besteht jedoch das Risiko, dass unbefugte Personen Zugang zu diesen sensiblen Daten erhalten. Im Mai 2024 hat sich die Datenschutzkonferenz (DSK) in einer Entschließung zu diesem Problem geäußert und Forderungen zum besseren Schutz von Patientendaten bei der Schließung von Krankenhäusern gestellt.
 
Die Zahl der Krankenhausinsolvenzen nimmt zu. Krankenhäuser stehen durch die in Deutschland deutlich gestiegenen Personal- und Sachkosten unter enormem Druck. Die Ergebnisse des Krankenhausrating-Reports 2024 zeigen, dass 70 Prozent der Kliniken für das Jahr 2024 ein negatives Ergebnis erwarten. Auch die aktuell verabschiedete Krankenhausreform wird nicht dazu führen, dass Krankenhausinsolvenzen vollständig der Vergangenheit angehören.​​
 
Die marktseitigen Effekte wie auch die Krankenhausreform haben  nicht nur Auswirkungen auf die Gesundheitsversorgung. Sie stellen auch eine erhebliche Herausforderung im Bereich des Datenschutzes dar. Besonders betroffen sind die sensiblen Patientendaten, die gemäß der Datenschutz-Grundverordnung (DSGVO) besonders geschützt werden müssen.​
 

Herausforderungen im Datenschutz bei Krankenhausschließungen

Patientendaten unterliegen gesetzlichen Aufbewahrungspflichten. Gemäß § 10 Abs. 3 MBO-Ä und 
§ 630 f BGB sind die Daten für die Dauer von mindestens zehn Jahren nach Abschluss der Behandlung aufzubewahren. Die Ärztekammern und auch die Deutsche Krankenhausgesellschaft empfehlen sogar eine Aufbewahrung von 30 Jahren, parallel zu den zivilrechtlichen Verjährungsfristen bei etwaigen Haftungsfällen gemäß § 197 Abs. 1 Nr. 1 BGB.
Bei der insolvenzbedingten Schließung eines Krankenhauses gilt zumindest die gesetzliche Aufbewahrungspflicht weiterhin fort, § 36 Abs. 2 Nr. 2, 2. HS InsO.
Dies ist oft problematisch, da die Kosten für die Aufbewahrung im Insolvenzverfahren und darüber hinaus nicht immer gedeckt sind. Es besteht das Risiko, dass unbefugte Personen Zugang zu den Daten erhalten, werden diese nicht ausreichend geschützt.
 
Dabei stellt sich die Frage, wer im Anschluss an eine erfolgte Krankenhausschließung als datenschutzrechtlich Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist. Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten und ist für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sowie verpflichtet, diese nachzuweisen (vgl. Art. 5 Abs. 2 DSGVO). In einem Krankenhaus bezieht sich diese Verantwortung u.a. auf die Patientendaten, die meist in elektronischer Form innerhalb eines Krankenhausinformationssystems (KIS) vorliegen. Hinzu kommt jedoch häufig die Herausforderung, dass außerdem Patientenakten aus der Zeit vor Einführung des KIS in Papierform existieren, da Patientenakten unter Verweis auf die Verjährungsfrist für ärztliche Haftung nach § 197 Abs. 1 Nr. 1 BGB oftmals für einen Zeitraum von 30 Jahren archiviert werden.
 
Die Verantwortung für die sichere Aufbewahrung der Patientenakten trifft in der Regel die Krankenhausleitung. Zumindest für die Dauer eines Insolvenzverfahrens geht diese Verantwortung auf den Insolvenzverwalter über. Nach Beendigung oder Nichteröffnung mangels Masse erlischt jedoch mangels weiterer Zuständigkeit diese Verantwortung.
 
Bundes- oder landesgesetzlichen Regelungen, die bestimmen, wer für die Aufbewahrung und Löschung der Patientendaten verantwortlich ist und in welcher Form dies geschehen soll, existieren nicht.
 

Lösungsvorschläge der DSK​

Die Datenschutzkonferenz (DSK) als Dachgremium der deutschen Datenschutzaufsichtsbehörden sieht diese aktuelle Situation mit großer Sorge. Daher hat sie zu diesem Thema im Mai 2024 eine Entschließung veröffentlicht und wichtige Forderungen zum besseren Schutz von Patientendaten bei der Schließung von Krankenhäusern formuliert:
  • Krankenhäuser sollen bundesweit verpflichtet werden, Konzepte für den Fall der Insolvenz oder der ungeplanten Krankenhausschließung anzufertigen zur weiteren Verwahrung der Patientenakten für den Fall der Insolvenz oder der ungeplanten Schließung anzufertigen.
  • Länder sollen sich mit einer Finanzierungslösung befassen, damit die Aufbewahrung von Patientenakten für eine Übergangszeit weiter finanziert wird.
  • Relevante Stakeholder (Krankenhausleitungen, Träger und Interessenvertretungen) sollten gemeinsam datenschutzkonforme Lösungen entwickeln, um im Bedarfsfall die kurzfristige und sichere Aufbewahrung von Patientenakten geschlossener Kliniken zu gewährleisten.
  • Die Gesundheitsministerkonferenz soll bei ihrer nächsten Zusammenkunft mit der Thematik befasst und Lösungsmöglichkeiten erarbeitet. Dabei sollte eine lückenlose Regelung der Notverantwortung für Patientendaten geschlossener Krankenhäuser angestrebt werden.
 
Vorbild bei der bundesweiten Umsetzung könnten die Regeln in den Landeskrankenhausgesetzen von Hessen (§ 12 Abs. 5 HKHG) und Nordrhein-Westfalen (§ 34 c Abs. 1 KHGG NRW) sein. Hiernach haben die Krankenhausträger Konzepte zu erstellen, wie nach Schließung die Patientendaten weiterhin geschützt werden. Die Konzepte sind den Aufsichtsbehörden alle zwei Jahre vorzulegen.
 
Ungeklärt bleibt aber hier die Frage der Finanzierung. Eine Lösung könnte zum Beispiel sein, dass die Krankenhausträger hierfür finanzielle Mittel auf Unterkonten zu hinterlegen haben, die im Falle einer Insolvenz geschützt sind und nicht zur Befriedigung der Gläubiger genutzt werden dürfen. Auch die Finanzierung aus öffentlichen Mitteln ist denkbar.
 
Hier besteht aber die Problematik, dass die gesetzliche Frist zur Aufbewahrung nur 10 Jahre vorsieht und es sich bei den 30 Jahren um eine Empfehlung aus Gründen der Beweissicherung handelt. Eine Finanzierung des dadurch entstehenden Mehraufwandes dürfte aber aus öffentlichen Mitteln nicht realisierbar sein, so dass hier wohl eine Finanzierung über die Krankenhäuser selbst notwendig werden wird.
 
Es bleibt abzuwarten, wie hier die Lösungsvorschläge aussehen werden. Es empfiehlt sich jedoch bereits jetzt, dass Krankenhäuser sich ihrerseits um entsprechende Sicherungs- und Aufbewahrungskonzepte kümmern und diese entwickeln, um ihre Verantwortung für die Patientendaten zu erfüllen. Der Datenschutzbeauftragte sollte in diese Bemühungen einbezogen werden, da er die Aufgabe hat, den Verantwortlichen bei der Einhaltung seiner datenschutzrechtlichen Pflichten zu beraten.
 

Wir beraten Sie gern bei Fragestellungen!
 
Auch unsere Kollegen im Datenschutzrecht stehen Ihnen gerne bei Fragestellungen oder der Entwicklung von datenschutzrechtlichen Konzepten beratend zu Seite.


Hier finden
Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats​”»​​


AUTORINNEN

Carina Richters
Denise Klante


FOLGEN SIE UNS!

Linkedin Banner

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

WIR BERATEN SIE GERN!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu