Auch bei Schließung eines Krankhauses den Datenschutz beachten

Gesetzesänderung für Krankenhäuser, denn „Lost Places“ darf nicht zu „Lost Privacy“ führen

Mitte Juli 2021 wurden die Krankenhäuser im Regierungsbezirk Arnsberg aufgefordert, nachzuweisen, welche Maßnahmen zur Sicherung von Patientenunterlagen im Falle der Schließung eines Krankenhauses getroffen wurden. Hintergrund ist eine Änderung des Krankenhausgestaltungsgesetzes NRW, das entsprechende Maßnahmen vorschreibt. In der Vergangenheit wurden Patientenakten häufig entweder einfach zurückgelassen oder auf der Stelle komplett vernichtet. Welche Maßnahmen sind erforderlich, um der neuen gesetzlichen Grundlage zu entsprechen?

Verlassene Gebäude sind für Fotografen ein gefundenes Fressen, um beeindruckende Fotos und Filme in diesen sog. „Lost Places“ zu erstellen. Dies führte aber vor knapp einem Jahr zu einen einem Skandal, der durch ein YouTube-Video ausgelöst wurde: Ein junger Mann streifte durch ein verlassenes Krankenhaus in Büren bei Paderborn. Die Türen standen offen. Im Keller des Gebäudes findet er Regale voller Patientenakten, weder verschlossen noch verschlüsselt und somit frei zugänglich. Das Krankenhaus war bereits im Jahr 2010 geschlossen worden, die Akten aber immer noch vor Ort. Die zuständige Datenschutzbehörde versuchte die Eigentümerin der Immobilie zur sofortigen Sicherung der Akten zu verpflichten, scheiterte aber in mehreren Gerichtsverfahren. Das Land Nordrhein-Westfalen reagierte schnell und erließ eine entsprechende Gesetzesänderung, die im März 2021 in Kraft trat.

Seitdem sind die Krankenhausträger verpflichtet, Maßnahmen zu treffen, um im Falle der Schließung eines Krankenhauses die Vertraulichkeit, Integrität und Verfügbarkeit von Patientenakten zu gewährleisten. Den zuständigen oberen Aufsichtsbehörden gegenüber muss dies alle zwei Jahre nachgewiesen werden.

Es ist also auf der einen Seite sicherzustellen, dass die Akten vor dem Zugriff von Unbefugten gesichert, auf der anderen Seite muss aber für die Patienten selbst eine Möglichkeit geschaffen werden, wie sie innerhalb der Aufbewahrungsfristen Zugriff auf ihre Akten erhalten können. Mit einem bloßen Lösch- oder Vernichtungskonzept ist es nicht getan. Neben einer Kontaktmöglichkeit für die ehemaligen Patienten zur Wahrung ihrer Betroffenenrechte muss auch geklärt werden, wie die Löschung der Daten nach Ende der Aufbewahrungsfristen sichergestellt wird.

„Man kann den Fall der Betriebsaufgabe nicht isoliert betrachten“ gibt der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein zu bedenken. „Es braucht ein ganzheitliches Konzept, dass dieses Szenario in die insgesamt getroffenen Maßnahmen im Bereich des Datenschutzes, der Patientenrechte und der Informationssicherheit einbettet.“