In einem Krankenhaus werden täglich eine Vielzahl an Gesundheitsdaten erhoben, verarbeitet und gespeichert. Wichtig dabei ist, dass die Sicherungsmaßnahmen dieser besonderen Kategorie personenbezogener Daten den Anforderungen des Datenschutzes genügen. Leider wird dieser Schutz sensibler Patientendaten häufig nicht über die Schließung eines Krankenhauses hinaus aufrechterhalten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert daher Politik und Krankenhausträger dazu auf, entsprechende Maßnahmen zu ergreifen.
Der Inhalt im Überblick
Gesundheitsdaten sind besonders schutzbedürftige Daten
Die Zahl an Krankenhausschließungen betraf im Jahr 2023 laut gesundheitsmarkt.de bundesweit 18 Krankenhäuser. Den höchsten Verlust hat Baden-Württemberg mit 1072 Patientenbetten erlitten. Dieser Trend wird sich voraussichtlich auch in Zukunft weiter fortsetzen.
Die DSK ist ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die Ergebnisse ihrer halbjährig abgehaltenen Sitzungen fasst sie in Entschließungen zusammen.
In ihrer Enschließung vom 15. Mai 2024 fordert die DSK Politik und Krankenhausträger dazu auf, besseren Schutz von Patientendaten im Falle von Krankenhausschließungen zu gewährleisten.
Ein Krankenhaus hat aufgrund seines Umgangs mit Patiendaten einer ganzen Reihe Maßnahmen zum Datenschutz umzusetzen, denn insbesondere die Patientenakte erfasst ärztlichen Aufzeichnungen wie die Krankheitsgeschichte und Behandlungsdokumentation eines Patienten. Diese Gesundheitsdaten sind sensible Daten, die gemäß Art. 4 Nr. 15 und Art. 9 der DSGVO besonders schützenswert sind.
„‘Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“
Diese Aufzeichnungen unterliegen gesetzlichen Aufbewahrungspflichten. Gemäß § 10 Abs. 3 MBO-Ä und § 630f Abs. 3 BGB sind diese Daten für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht.
Diese Aufbewahrungspflicht bleibt auch über eine insolvenzbedingte Schließung eines Krankenhauses hinaus bestehen, § 36 Abs. 2 Nr. 1 Hs. 2 InsO.
Fehlende Sicherungskonzepte bei Krankenhausschließung
Das große Problem besteht nun darin, dass es vielen Krankenhäusern an entsprechenden Konzepten für eine Aufbewahrung der Daten für den Fall einer Schließung fehlt.
Hier liegt die Gefahr für erhebliche negative datenschutzrechtlich relevante Auswirkungen, wie beispielsweise der Zugriff auf diese Daten durch unbefugte Dritte oder auch die fehlende Anlaufstelle für Betroffenenanfragen sowie die nicht vorhandene sichere Vernichtung der Daten nach Ablauf der Aufbewahrungsfristen.
Die Suche nach dem Verantwortlichen
Derzeit fehlt es meist an einen Verantwortlichen, der die Aufgaben der sicheren Aufbewahrung nach Schließung einer Einrichtung übernimmt.
Bisher trifft jedenfalls im Falle insolvenzbedingter Schließungen die Verpflichtung, die Akten vor dem Zugriff von Unbefugten zu sichern und den Patienten die Möglichkeit einzuräumen, innerhalb der Aufbewahrungsfristen Einsicht in ihre Akte gewähren den Insolvenzverwalter. Sobald das Insolvenzverfahren jedoch beendet ist oder mangels Masse nicht eröffnet wird, ist die Suche nach anderen rechtlich Verantwortlichen oft erfolglos.
Derzeit gibt es leider noch keine flächendeckenden landes- oder bundesgesetzlichen Regelungen, welche festlegen, durch wen nach Schließung eines Krankenhauses und auch nach Beendigung des Insolvenzverfahrens eine weitere Aufbewahrung zu erfolgen hat und wie die Finanzierung der Aufbewahrung zu gewährleisten ist.
Dies ist einerseits datenschutzrechtlich bedenklich, aber auch für den betroffenen Patienten insbesondere dann problematisch, wenn die Einsicht in die Patientenakte für medizinische Weiterbehandlungen notwendig wird.
Pläne für datenschutzsicheres Vorgehen nach Schließungen
Für die Zukunft hat die DSK Vorschläge gemacht, wie eine lückenlose Regelung für Patientendaten geschlossener Krankenhäuser gewährleistet werden soll.
Flächendeckende gesetzliche Vorgaben für Sicherungskonzepte
Geeignet wäre eine flächendeckende landesgesetzliche oder eine bundesgesetzliche Regelung in Anlehnung an die Landeskrankenhausgesetze von Nordrhein‐Westfalen (§ 34c Abs. 1 KHGG NRW) und Hessen (§ 12 Abs. 5 HKHG).
Nach § 12 Abs. 5 HKHG werden Krankenhausträger dazu verpflichtet Konzepte mit Maßnahmen zu erstellen,
„die sicherstellen, dass im Falle der Schließung eines Krankenhauses, insbesondere aufgrund einer drohenden Zahlungsunfähigkeit, oder einer Betriebsstätte eines Krankenhauses die dort geführten Patientenunterlagen entsprechend ihrer individuellen Aufbewahrungsdauer unter Beachtung der datenschutzrechtlichen Vorgaben, insbesondere zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit aufbewahrt werden können, und dass Ansprüche der Patientinnen und Patienten auf jederzeitige Durchsetzung ihrer Rechte nach der Verordnung (EU) 2016/679 sowie ihrer Rechte nach dem Bürgerlichen Gesetzbuch nicht beeinträchtigt werden.“
Diese Konzepte haben Sicherungsmaßnahmen zu umfassen, die
„einen Zugang zu, einen Zugriff auf und die Kenntnisnahme von Patientenunterlagen durch unbefugte Personen verhindern sowie die in regelmäßigen Abständen durchgeführte Prüfung, ob Patientenunterlagen vernichtet werden können.“
Zur Kontrolle sind diese Konzepte alle zwei Jahre einer zuständigen Aufsichtsbehörde vorzulegen.
Eigenverantwortliches Handeln der Krankenhausträger
Solange noch keine solchen geeigneten landesrechtlichen Regelungen existieren, appelliert die DSK an die relevanten Stakeholder, insbesondere Leitungen, Träger und Interessenvertretungen der Krankenhäuser gemeinsam datenschutzkonforme Lösungen zu entwickeln. So soll auch kurzfristig eine sichere Aufbewahrung von Patientenakten bei Schließung der Kliniken sichergestellt werden.
Gesetzliche Regelungen zur Notverantwortung
Auch für den Fall, dass eine Aufbewahrung beispielsweise mangels Insolvenzmasse nicht mehr durch den Insolvenzverwalter erfolgen kann, bedarf es einer schnellen Lösung, wie die Datensicherung weiter gewährleistet ist. Vorbild könnten hier die Regelungen zur Notverantwortung sein, wie einzelne Länder sie bereits in ihren Heilberufs- oder Pflegekammergesetzen festgelegt haben. Hier wird unter bestimmten Voraussetzungen eine Notverantwortung der Heilberufskammern bei der Schließung ambulanter Arztpraxen festgelegt (z. B. § 22 Abs. 2 HeilBG, § 4 Abs. 1 S. 4 HBKG BW, § 7 Abs. 3 SächsHKaG). Dies könnte entsprechend auch bei Krankenhausschließungen einen Ansatz bilden. Hier müssen sich die Länder ebenfalls mit Finanzierungslösungen befassen, damit im Bedarfsfall eine geeignete Notverantwortung auch finanziert werden kann.
Vorausschauende Planung ist der sichere Weg
Mit Scheuklappen vor den Augen weiteren Krankenhausschließungen entgegenzulaufen ist keine Option. Maßnahmen nach dem Vorbild von NRW und Hessen könnten den Schutz der Patientendaten nach Krankenhausschließungen immens steigern. Es bleibt zu hoffen, dass Bund und Länder hier entsprechend zügige gesetzliche Regelungen verabschieden werden.
Da es derzeit noch an flächendeckenden Festlegungen fehlt, sollten die Verantwortlichen Träger laufender Krankenhäuser sich bereits heute um entsprechende Aufbewahrungskonzepte bemühen. Gerade die Einsicht in die Patientenakte für medizinische Weiterbehandlungen ist für viele Betroffene von immenser Wichtigkeit. Die Datenschutzbeauftragten können hier entsprechende Hilfestellung bei der Erstellung geeigneter Notfallpläne bieten.
Diese Problematik besteht nicht nur bei Krankenhäusern, sondern auch bei Herstellern von Medizinprodukten. Konkret z.B. bei den Dental Laboren, diese haben aufgrund der Aufbewahrungspflicht nicht selten weit über 100.000 Datensätze von Patienten. Wenn diese aufgrund einer fehlenden Nachfolge ihre Unternehmen schließen, ist der Verbleib und der Zugriff auf die Patientendaten nicht gesichert, bzw. nicht mehr vorhanden. Abgesehen von der mangelnden Datensicherheit.