Krankenhäuser in NRW sollen entsprechende Nachweise für die Bezirksregierungen vorhalten
Mit dem am 18. März 2021 in Kraft getretenen Dritten Gesetz zur Änderung des Krankenhausgestaltungsgesetzes des Landes Nordrhein-Westfalen (KHGG NRW) wurde mit § 34c KHGG NRW auch eine Regelung zum Patientendatenschutz als Vorsorge für den Insolvenzfall eingeführt. Anlass für die Einführung der Regelung waren Fälle aus der Vergangenheit, bei denen sich Unbefugte Zutritt zu den Räumen eines geschlossenen bzw. verlassenen Klinikgebäudes verschafft und die dort gelagerten Patientenakten gesichtet und teilweise sogar im Internet veröffentlicht hatten (z. B. Oberverwaltungsgericht Hamburg, Beschluss vom 15. Oktober 2020 – 5 Bs 152/20).
Damit die Verantwortlichkeit für den Patientendatenschutz auch über die Insolvenz eines Krankenhauses hinaus geklärt ist, regelt nun § 34c KHGG NRW für Krankenhäuser die Pflicht, „Maßnahmen zu treffen, dass im Falle der Schließung eines Krankenhauses aufgrund einer drohenden Zahlungsunfähigkeit die dort geführten Patientenunterlagen entsprechend ihrer individuellen Aufbewahrungsdauer unter Beachtung der datenschutzrechtlichen Vorgaben, insbesondere zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit aufbewahrt werden können“.
Die Regelung gilt allerdings nicht erst im Falle der (drohenden) Insolvenz. Vielmehr werden die Krankenhäuser bereits gegenwärtig in die Pflicht genommen, geeignete Sicherungsmaßnahmen zu treffen und diese der zuständigen Bezirksregierung nachzuweisen, und zwar regelmäßig alle zwei Jahre. Diese Pflicht gilt seit dem 18. März 2021 und hat seitdem schon vielerorts die Bezirksregierungen auf den Plan gerufen, Nachweise über die getroffenen Maßnahmen bei den Krankenhäusern abzufragen.
Die Prüfung durch die Bezirksregierungen wird in der Gesetzesbegründung (LT-Drs. 17/11162) erläutert, wo explizit die Rede davon ist, dass den Bezirksregierungen die Möglichkeit eingeräumt wird zu prüfen, ob entsprechende Maßnahmen auch tatsächlich erfolgt sind. Dabei geht es um tatsächlich getroffene, also umgesetzte Maßnahmen, wie im Falle einer Insolvenz der Datenschutz der Patienten gewährleistet und Patientenakten vor dem Zugriff Unbefugter gesichert werden sowie (ehemaligen) Patienten ein jederzeitiges Einsichtsrecht in ihre Patientenakte zugesichert wird. Ein pauschaler Verweis, dass bei drohender Insolvenz beispielsweise der Insolvenzverwalter für die Aufbewahrung der Patientenunterlagen und den Patientendatenschutz verantwortlich ist, genügt daher unseres Erachtens nicht. Das Krankenhaus muss also beim Wechsel von Verantwortlichkeiten klären, wer nach einer Schließung die Patientenakten vor dem Zugriff Unbefugter sichert und wie das jederzeitige Einsichtsrecht der ehemaligen Patienten gewährleistet wird. Hier bedarf es der Benennung von konkreten Verantwortlichkeiten. Eine besondere Herausforderung ist dabei die lange Aufbewahrungsdauer ärztlicher Aufzeichnungen von mindestens zehn Jahren nach Abschluss der Behandlung. Daneben ist auch die Finanzierung für die Umsetzung der Sicherungsmaßnahmen zu klären bzw. nachzuweisen. Aus der Verpflichtung in § 34c KHGG NRW folgt die Notwendigkeit, dass finanzielle Mittel für die zweckentsprechende Verwendung bereitstehen und vor einem Zugriff durch die übrigen Gläubiger des Krankenhauses zu schützen sind.
Fazit
Krankenhäuser sind gut beraten, wenn sie ein rechtssicheres Maßnahmenpaket zur Sicherung von Patientendaten für den Fall der Insolvenz und darüber hinaus schnüren und entsprechende Nachweise für die Bezirksregierung vorhalten. Dabei sollten insbesondere die Verantwortlichkeiten und die Finanzierung geklärt werden. Die Sicherungsmaßnahmen sollten regelmäßig alle zwei Jahre überprüft und gegebenenfalls aktualisiert werden. Gerne unterstützen wir Sie sowohl bei der Entwicklung eines Konzepts zur Sicherung von Patientendaten als auch im Rahmen der Testierung der Maßnahmen zwecks Erfüllung der Nachweispflicht.
