Datenschutz bei Krankenhausschließungen: Darauf ist zu achten

In Zeiten steigender Krankenhausschließungen wird der Schutz von Patientendaten immer wichtiger. Daher hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 15.05.2024 eine Entschließung zum Datenschutz für solche Fälle veröffentlicht.

Die Datenschutzkonferenz

Die DSK, kurz für "Datenschutzkonferenz", ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland. Diese Institution besteht aus den Landesdatenschutzbeauftragten sowie dem Bundesbeauftragten für Datenschutz und Informationsfreiheit. Die DSK koordiniert die Datenschutzaufsicht und sorgt für eine einheitliche Anwendung der Datenschutzgesetze, insbesondere der Datenschutzgrundverordnung (DSGVO). Sie entwickelt regelmäßig Strategien und Richtlinien und veröffentlicht Positionspapiere oder Entschließungen, die sowohl in der Praxis als auch für die Gesetzgebung als Orientierung und Anregung dienen können.

Datenschutzprobleme bei Krankenhausschließungen

In den vergangenen Monaten hat die Anzahl an Betriebseinstellungen und Insolvenzen von Krankenhäusern in Deutschland besorgniserregend zugenommen. Allein im Jahr 2023 erfolgten insgesamt 18 Krankenhausschließungen.¹ Diese Tendenz hat zum einen erhebliche Auswirkungen auf die Gesundheitsversorgung, bringt andererseits aber auch datenschutzrechtliche Risiken mit sich.

Datenschutzrechtliche Hintergrundinformationen

Krankenhäuser verwalten zahlreiche sensible Gesundheitsdaten, die gemäß Art. 4 Nr. 15 und Art. 9 DSGVO besonders zu schützen sind. Die Verarbeitung solcher Daten ist grundsätzlich untersagt und nur unter bestimmten Voraussetzungen rechtmäßig. Aber selbst wenn eine Datenverarbeitung gestattet ist, müssen Verantwortliche – in unserem Fall die Krankenhausleitung – dafür sorgen, dass sämtliche datenschutzrechtliche Vorgaben gewahrt werden. So müssen etwa bestimmte technische und organisatorische Maßnahmen getroffen werden, um eine sichere Aufbewahrung zu gewährleisten. Des Weiteren müssen Verantwortliche auch sicherstellen, dass die Betroffenenrechte der Patientinnen und Patienten gewahrt werden. Dazu gehört zum Beispiel das Auskunftsrecht nach Art. 15 DSGVO oder der Löschungsanspruch nach Art. 17 DSGVO.

Herausforderungen im Insolvenzverfahren

Laut der DSK-Entschließung ist die sichere Aufbewahrung und der Zugang zu Patientendaten bei einer Schließung oder Insolvenz des Krankenhauses oft nicht garantiert, was zu weitreichenden Datenschutzgefahren führen kann.² Teilweise bestünde sogar das Risiko, dass Unbefugte Zugang zu Patientenakten erhalten.

Oftmals können ab einem bestimmten Zeitpunkt die Aufbewahrungskosten von Insolvenzverwalterinnen oder Insolvenzverwaltern nicht mehr finanziert werden. Solange das Insolvenzverfahren andauert, können Patientendaten normalerweise über die Insolvenzverwaltung abgerufen werden. Sobald das Insolvenzverfahren abgeschlossen ist oder falls es gar nicht eröffnet wird, verschlechtert sich die datenschutzrechtliche Lage allerdings deutlich.

Fehlende gesetzliche Regelung für Krankenhäuser

Bei der Stilllegung ambulanter Arztpraxen gibt es teilweise Landesgesetze, die eine Notverantwortung der Heilberufskammer vorschreiben (vgl. § 22 Abs. 2 des rheinland-pfälzischen Heilberufsgesetzes). Für Krankenhäuser existieren jedoch keine vergleichbaren rechtliche Vorgaben, die die Verantwortlichkeit der weiteren Aufbewahrung, datenschutzkonforme Löschung und den Zugang zu Patientendaten regeln. Dennoch müssen die datenschutzrechtlichen Regeln auch nach der Schließung eingehalten werden.

Lösungsvorschläge der DSK

Um diese Herausforderungen zu lösen, schlägt die DSK verschiedene konkrete Maßnahmen vor:

Aufbewahrungskonzepte für Betriebsschließungen

Zunächst sollten Krankenhäuser verpflichtet werden, Konzepte zur Aufbewahrung von Patientendaten im Falle einer Insolvenz oder ungeplanten Betriebseinstellung auszuarbeiten. Diese Pläne sollten der zuständigen Fachaufsicht vorgelegt werden. Vergleichbare Vorgaben gibt es bereits in den Landeskrankenhausgesetze von Nordrhein-Westfalen (§ 34c Abs. 1 KHGG NRW) und Hessen (§ 12 Abs. 5 HKHG).

Finanzierungsplan für die Aufbewahrung

Länder sollten außerdem Maßnahmen entwickeln, um die Aufbewahrung von Patientendaten finanziell zu garantieren. Ein Beispiel hierfür sei der Patientenaktensicherungsfonds in § 34c Abs. 2 6 KHGG NRW.

Datenschutzkonforme Lösungen durch Verantwortliche

Solange noch keine gesetzlichen Vorgaben bestehen, sollten Krankenhausleitungen und Interessenvertretungen zusammen Datenschutzkonzepte erstellen, wobei die Datenschutzaufsicht beratend zur Seite stehen kann.

Die Gesundheitsministerkonferenz

Die DSK rät schließlich, dass die Gesundheitsministerkonferenz bei ihrem nächsten Zusammenkommen Lösungskonzepte für die datenschutzkonforme Verwaltung von Patientendaten stillgelegter Krankenhäuser erarbeiten soll.

Fazit: Trotz undurchsichtiger Gesetzeslage ist Datenschutz bei Klinikschließungen zu gewährleisten

Der Datenschutz bei der Schließung von Krankenhäusern ist ein entscheidender Faktor. Es geht hierbei nicht nur um die Sicherung personenbezogener Daten, sondern auch um die Durchsetzung von Patientenrechten und die Garantie einer erfolgreichen Gesundheitsversorgung. Nur bei ordnungsgemäßer Aufbewahrung können Patientinnen und Patienten auch nach einer Schließung ihre Gesundheitsdaten einsehen und ihre Behandlung nahtlos in einem anderen Krankenhaus fortsetzen. Die DSK hat umsetzbare Vorschläge erarbeitet, um diese Aufgabe zu meistern. Nun müssen die politischen und administrativen Verantwortlichen diese Ansätze aufgreifen und die erforderlichen rechtlichen Rahmenbedingungen schaffen. Bis dahin sollten Verantwortliche selbstständig nach den Vorschlägen der DSK Maßnahmen entwickeln, die die Einhaltung des Datenschutzes gewährleisten.

Wichtige Punkte im Überblick:

Gesundheitsdaten sind sensible Daten, die besonderem Schutz bedürfen.
Dieser ist bei Krankenhausschließungen und Insolvenzen häufig nicht gewährleistet.
Zurzeit gibt es kein bundesweites Gesetz, das den Datenschutz im Fall einer Insolvenz regelt.
Trotzdem sind sämtliche Datenschutzvorgaben einzuhalten.
Krankenhäusern wird empfohlen, spezielle Konzepte für den Fall der Insolvenz zu erarbeiten.

Referenzen:

https://www.gesundheitsmarkt.de/krankenhausschliessungen-aktuell
https://www.datenschutzkonferenz-online.de/media/en/2024-05-15_DSK-Entschliessung_Krankenhausschliessung.pdf

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.