Krankenhausschließungen und Datenschutz: Herausforderungen und Lösungen

§ 630 f BGB sind die Daten für die Dauer von mindestens zehn Jahren nach Abschluss der Behandlung aufzubewahren. Die Ärztekammern und auch die Deutsche Krankenhausgesellschaft empfehlen sogar eine Aufbewahrung von 30 Jahren, parallel zu den zivilrechtlichen Verjährungsfristen bei etwaigen Haftungsfällen gemäß § 197 Abs. 1 Nr. 1 BGB.
Bei der insolvenzbedingten Schließung eines Krankenhauses gilt zumindest die gesetzliche Aufbewahrungspflicht weiterhin fort, § 36 Abs. 2 Nr. 2, 2. HS InsO.
Dies ist oft problematisch, da die Kosten für die Aufbewahrung im Insolvenzverfahren und darüber hinaus nicht immer gedeckt sind. Es besteht das Risiko, dass unbefugte Personen Zugang zu den Daten erhalten, werden diese nicht ausreichend geschützt.
 
Dabei stellt sich die Frage, wer im Anschluss an eine erfolgte Krankenhausschließung als datenschutzrechtlich Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist. Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten und ist für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sowie verpflichtet, diese nachzuweisen (vgl. Art. 5 Abs. 2 DSGVO). In einem Krankenhaus bezieht sich diese Verantwortung u.a. auf die Patientendaten, die meist in elektronischer Form innerhalb eines Krankenhausinformationssystems (KIS) vorliegen. Hinzu kommt jedoch häufig die Herausforderung, dass außerdem Patientenakten aus der Zeit vor Einführung des KIS in Papierform existieren, da Patientenakten unter Verweis auf die Verjährungsfrist für ärztliche Haftung nach § 197 Abs. 1 Nr. 1 BGB oftmals für einen Zeitraum von 30 Jahren archiviert werden.
 
Die Verantwortung für die sichere Aufbewahrung der Patientenakten trifft in der Regel die Krankenhausleitung. Zumindest für die Dauer eines Insolvenzverfahrens geht diese Verantwortung auf den Insolvenzverwalter über. Nach Beendigung oder Nichteröffnung mangels Masse erlischt jedoch mangels weiterer Zuständigkeit diese Verantwortung.
 
Bundes- oder landesgesetzlichen Regelungen, die bestimmen, wer für die Aufbewahrung und Löschung der Patientendaten verantwortlich ist und in welcher Form dies geschehen soll, existieren nicht.
 

Lösungsvorschläge der DSK​

Die Datenschutzkonferenz (DSK) als Dachgremium der deutschen Datenschutzaufsichtsbehörden sieht diese aktuelle Situation mit großer Sorge. Daher hat sie zu diesem Thema im Mai 2024 eine Entschließung veröffentlicht und wichtige Forderungen zum besseren Schutz von Patientendaten bei der Schließung von Krankenhäusern formuliert:

• Krankenhäuser sollen bundesweit verpflichtet werden, Konzepte für den Fall der Insolvenz oder der ungeplanten Krankenhausschließung anzufertigen zur weiteren Verwahrung der Patientenakten für den Fall der Insolvenz oder der ungeplanten Schließung anzufertigen.
  
• Länder sollen sich mit einer Finanzierungslösung befassen, damit die Aufbewahrung von Patientenakten für eine Übergangszeit weiter finanziert wird.
• Relevante Stakeholder (Krankenhausleitungen, Träger und Interessenvertretungen) sollten gemeinsam datenschutzkonforme Lösungen entwickeln, um im Bedarfsfall die kurzfristige und sichere Aufbewahrung von Patientenakten geschlossener Kliniken zu gewährleisten.
• Die Gesundheitsministerkonferenz soll bei ihrer nächsten Zusammenkunft mit der Thematik befasst und Lösungsmöglichkeiten erarbeitet. Dabei sollte eine lückenlose Regelung der Notverantwortung für Patientendaten geschlossener Krankenhäuser angestrebt werden.

 
Vorbild bei der bundesweiten Umsetzung könnten die Regeln in den Landeskrankenhausgesetzen von Hessen (§ 12 Abs. 5 HKHG) und Nordrhein-Westfalen (§ 34 c Abs. 1 KHGG NRW) sein. Hiernach haben die Krankenhausträger Konzepte zu erstellen, wie nach Schließung die Patientendaten weiterhin geschützt werden. Die Konzepte sind den Aufsichtsbehörden alle zwei Jahre vorzulegen.
 
Ungeklärt bleibt aber hier die Frage der Finanzierung. Eine Lösung könnte zum Beispiel sein, dass die Krankenhausträger hierfür finanzielle Mittel auf Unterkonten zu hinterlegen haben, die im Falle einer Insolvenz geschützt sind und nicht zur Befriedigung der Gläubiger genutzt werden dürfen. Auch die Finanzierung aus öffentlichen Mitteln ist denkbar.
 
Hier besteht aber die Problematik, dass die gesetzliche Frist zur Aufbewahrung nur 10 Jahre vorsieht und es sich bei den 30 Jahren um eine Empfehlung aus Gründen der Beweissicherung handelt. Eine Finanzierung des dadurch entstehenden Mehraufwandes dürfte aber aus öffentlichen Mitteln nicht realisierbar sein, so dass hier wohl eine Finanzierung über die Krankenhäuser selbst notwendig werden wird.
 
Es bleibt abzuwarten, wie hier die Lösungsvorschläge aussehen werden. Es empfiehlt sich jedoch bereits jetzt, dass Krankenhäuser sich ihrerseits um entsprechende Sicherungs- und Aufbewahrungskonzepte kümmern und diese entwickeln, um ihre Verantwortung für die Patientendaten zu erfüllen. Der Datenschutzbeauftragte sollte in diese Bemühungen einbezogen werden, da er die Aufgabe hat, den Verantwortlichen bei der Einhaltung seiner datenschutzrechtlichen Pflichten zu beraten.
 

Wir beraten Sie gern bei Fragestellungen!
 
Auch unsere Kollegen im Datenschutzrecht stehen Ihnen gerne bei Fragestellungen oder der Entwicklung von datenschutzrechtlichen Konzepten beratend zu Seite.

Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats​”»​​