Datenschutz bei Schließung von Krankenhäusern

23. Mai 2024

In Zeiten zunehmender Schließungen und Insolvenzen von Krankenhäusern wird der Schutz von Patientendaten immer wichtiger. Deshalb hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 15.05.2024 eine Entschließung zum Datenschutz bei der Schließung von Krankenhäusern veröffentlicht. Die DSK betont hierfür frühzeitig Maßnahmen zu ergreifen, um die datenschutzrechtlichen Herausforderungen zu bewältigen. Dieser Appell richtet sich an sämtliche entscheidenden Interessengruppen, die politisch Verantwortlichen und die Legislative des Bundes und der Länder.

Datenschutzrechtlich problematische Krankenhausschließungen

In den letzten Monaten hat die Zahl der Krankenhausschließungen und Insolvenzen in Deutschland besorgniserregend zugenommen. So gab es laut einem Bericht von Gesundheitsmarkt.de allein im Jahr 2023 insgesamt 18 Krankenhausschließungen. Diese Entwicklung hat nicht nur erhebliche Auswirkungen auf die Gesundheitsversorgung, sondern wirft auch datenschutzrechtliche Fragen auf. Krankenhäuser verwalten eine Fülle sensibler Gesundheitsdaten, die gemäß Art. 4 Nr. 15 und Art. 9 der Datenschutzgrundverordnung (DSGVO) besonders schützenswert sind. Die sichere Aufbewahrung dieser Daten ist bei einer Schließung oder Insolvenz laut der DSK häufig nicht gewährleistet, was zu erheblichen Datenschutzrisiken führen kann. Teilweise existiere sogar das Risiko, dass unbefugt Zugang zu Patientenakten bestünde.

Herausforderungen im Insolvenzverfahren

Die Aufbewahrung und der Zugang zu Patientendaten im Rahmen des Insolvenzverfahrens bringt nach der Entschließung (abrufbar hier) der DSK häufig Schwierigkeiten mit sich. Immer wieder komme es vor, dass ab einem bestimmten Zeitpunkt die Aufbewahrungskosten vom Insolvenzverwalter nicht mehr getragen werden können. Während eines Insolvenzverfahrens können Patienten in der Regel über den Insolvenzverwalter auf ihre Daten zugreifen. Nach Abschluss des Insolvenzverfahrens oder falls dieses aufgrund fehlender Insolvenzmasse nicht eröffnet wird, verschlechtert sich die datenschutzrechtliche Situation jedoch erheblich.

Im Rahmen der Schließung ambulanter Arztpraxen existieren hierfür teilweise landesrechtliche Vorgaben nach denen eine Notverantwortung der Heilberufskammer angeordnet ist (vgl. etwa § 22 Abs. 2 des rheinland‐pfälzischen Heilberufsgesetzes). Für Krankenhäuser fehlen jedoch klare rechtliche Vorgaben darüber, wer für die weitere Aufbewahrung, die datenschutzkonforme Löschung und den Zugang zu den Patientendaten verantwortlich ist. Fakt sei nur, dass die datenschutzrechtlichen Regeln auch nach der Schließung weiter zu wahren sind.

Lösungsvorschläge der DSK

Um diese Problematik zu adressieren, schlägt die DSK mehrere konkrete Maßnahmen vor:

Verpflichtende Aufbewahrungskonzepte

Zunächst sollte für Krankenhäuser die Pflicht bestehen, Konzepte zur Aufbewahrung von Patientendaten im Falle einer Insolvenz oder ungeplanten Betriebseinstellung zu erstellen. Diese Konzepte sollte die zuständige Fachaufsicht erhalten, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt sind. Diese Maßnahme orientiert sich an bereits existierenden Vorgaben der Landeskrankenhausgesetze von Nordrhein‐Westfalen (§ 34c Abs. 1 KHGG NRW) und Hessen (§ 12 Abs. 5 HKHG).

Finanzierungslösungen für Übergangszeiträume

Um das Problem der Finanzierung zu meistern, sollten Länder zudem eine Lösung entwickeln, um wirtschaftlich die Aufbewahrung und Sicherung von Patientendaten zu gewährleisten. Beispielhaft erwähnt die DSK hierfür die Patientenaktensicherungsfonds in § 34c Abs. 2-6 KHGG NRW.

Entwicklung datenschutzkonformer Lösungen durch Stakeholder

Bis taugliche Regelungen etabliert sind, sollten Krankenhausleitungen und Interessenvertretungen gemeinsam datenschutzkonforme Lösungskonzepte erarbeiten. Hierbei könne auch die Datenschutzaufsicht beratend zur Seite stehen.

Einbindung der Gesundheitsministerkonferenz

Die DSK schlägt zuletzt vor, dass die Gesundheitsministerkonferenz bei ihrer nächsten Sitzung Lösungsansätze für die datenschutzkonforme Verwaltung von Patientendaten geschlossener Krankenhäuser entwickelt.

Fazit

Der Datenschutz bei der Schließung von Krankenhäusern stellt einen nicht zu vernachlässigenden Faktor dar. Dabei geht es nicht bloß um den Schutz personenbezogener Daten. Vielmehr gewährt der Datenschutz auch die Durchsetzung von Patientenrechten und die Gewährleistung einer effektiven Gesundheitsversorgung. Nur wenn die Daten entsprechend geschützt und aufbewahrt werden, können Patienten auf ihre Gesundheitsinformationen auch nach Schließung zugreifen und so bei anderen Gesundheitseinrichtungen ihre Weiterbehandlung bestmöglich Fortsetzung. Die DSK hat klare und umsetzbare Vorschläge gemacht, um diese Herausforderung zu bewältigen. Es liegt nun an den politischen und administrativen Entscheidungsträgern, diese Vorschläge aufzugreifen und die notwendigen rechtlichen Rahmenbedingungen zu schaffen. Bis dahin wird Verantwortlichen dringend empfohlen sich eigenständig nach den Vorschlägen der DSK um Konzepte zu kümmern, die die Einhaltung der datenschutzrechtlichen Vorgaben gewährleisten. Dabei helfen wir als externe Datenschutzbeauftragte gerne weiter.