Umgang mit Patientenunterlagen – Vernichtung von Patientendaten Von Dr. Vanessa Christin Vollmar Bei den Patientendaten, die sich im Laufe einer Behandlung bei stationären und ambulanten Leistungserbringern ansammeln, handelt es sich um sensible Daten. Ihre Geheimhaltung ist nicht nur strafrechtlich über § 203 Abs. 1 Nr. 1 StGB geschützt; auch § 9 der (Muster-) Berufsordnung (MBO) verpflichtet den Arzt zur Verschwiegenheit. Nach Ablauf der geltenden Aufbewahrungsfristen (1.) sind Patientendaten daher datenschutzgerecht zu entsorgen (2.). 1. Aufbewahrungsfristen Patientendaten dürfen erst nach Ablauf der gesetzlichen Aufbewahrungsfristen vernichtet werden. Eine einheitliche Aufbewahrungsfrist für Patientendaten schlechthin gibt es nicht. Zwar bestimmt § 10 Abs. 3 MBO, dass Patientendaten grundsätzlich für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren sind. Vielfach existieren aber hiervon abweichende spezialgesetzliche Regelungen, sodass letztlich je nachdem, um was für Daten es sich konkret handelt, unterschiedliche Aufbewahrungsfristen gelten. Die in der Praxis wichtigsten von ihnen sind in der nachfolgenden Tabelle aufgeführt: Datenquelle Aufbewahrungsfrist(en) Rechtsgrundlage Allgemeine ärztliche Aufzeichnungen 10 Jahre § 10 Abs. 3 MBO Röntgenbilder 10 Jahre § 28 Abs. 3 S. 2 RöV Aufzeichnungen über Untersuchungen 10 Jahre § 85 Abs. 3 StrlSchV Aufzeichnungen über Röntgenuntersuchungen mit radioaktiven Stoffen und ionisierenden Strahlen Aufzeichnungen über Behandlungen 30 Jahre § 85 Abs. 3 StrlSchV mit radioaktiven Stoffen und ionisierenden Strahlen Aufzeichnungen über die Gewinnung Min. 15 Jahre § 11 Abs. 1 Satz 1 TFG von Blut und Blutbestandteilen 1 Karteikarten, Betäubungsmittelbücher 3 Jahre § 13 Abs. 3 BtMVV und EDV-Ausdrucke über den Verbleib und Bestand von BtM Handelt es sich um allgemeine dokumentationspflichtige ärztliche Aufzeichnungen (Anamnese, Aufnahme- und Aufklärungsbögen, diagnostische Befunderhebung, Laborbefunde, Medikation, Arztbriefe, OP-Bericht, etc.), die unter keine der genannten Spezialvorschriften fallen, gilt die zehnjährige Aufbewahrungsfrist des § 10 Abs. 3 MBO. Im Einzelfall kann es mit Blick auf die Verjährungsfristen des Bürgerlichen Gesetzbuches (BGB) jedoch ratsam sein, die Patientendaten länger als zehn Jahre aufzubewahren. Denn vertragliche und deliktische Schadensersatzansprüche eines Patienten aus Arzthaftung verjähren unbeschadet der Kenntnis bzw. grob fahrlässigen Unkenntnis des Patienten von diesen Ansprüchen erst 30 Jahre nach Vornahme der Behandlung (§ 199 Abs. 2 BGB). Patientenunterlagen mit Beweisfunktion (insbesondere Anamnese-, Diagnoseund Therapiedaten) sollten deshalb, wenn ein Haftungsprozess zu erwarten ist, vorsorglich auch länger als zehn Jahre aufbewahrt werden. 2. Arten der Entsorgung Nach Ablauf der Aufbewahrungsfrist stellt sich die Frage der ordnungsgemäßen Entsorgung. Für die Entsorgung von Patientendaten existieren abhängig von der Art der zu entsorgenden Daten verschiedene Sicherheitsstufen (geregelt in den DIN-Normen DIN 32 757 und DIN 33 858). Aufgrund der Sensibilität von Patientendaten wird eine Entsorgung mindestens nach Sicherheitsstufe 4 empfohlen, die vor allem bei elektronischen Datenträgern verlangt, dass eine Wiederherstellung nach der Entsorgung unter Verwendung von gewerbeüblichen Einrichtungen bzw. Sonderkonstruktionen ausgeschlossen ist. a. Papiergebundene Aufzeichnungen Papiergebundene Aufzeichnungen sind am einfachsten durch einen Aktenvernichter (Reißwolf/Schredder) zu entsorgen. Je größer dabei die Menge des Materials ist, das zerkleinert, verwirbelt und ggf. zu Altpapierballen verpresst wird, desto weniger kommt es auf eine „Atomisierung“ der verbleibenden Papierschnipsel an. b. Mikrofilme und Röntgenaufnahmen Das gleiche gilt im Ergebnis auch für Mikrofilme und Röntgenaufnahmen, für die es ebenfalls geeignete Shredder gibt. Bestehen die Datenträger aus konventionellem Material (Beschichtung 2 mit Silberoxyd), kommt sogar ein Recycling in Betracht, wenn vor der Entsorgung der Personenbezug entfernt wurde (vor allem bei Röntgenaufnahmen relevant). c. Elektronische Daten Für elektronische Aufzeichnungen auf magnetischen Datenträgern (Festplatten, Disketten) genügt das einfache Löschen mit Hilfe der Befehle des Betriebssystems grundsätzlich nicht, um eine Rekonstruktion der Daten zu verhindern. Denn durch das einfache Löschen wird lediglich Speicherplatz zum Überschreiben freigegeben; die Daten als solche bleiben erhalten. Dennoch dürfte das einfache Löschen bei einem Datenträger, der nach dem Löschvorgang wieder neu beschrieben wird, in der Praxis als ausreichend angesehen werden. Nach dreimaligem Überschreiben der zu löschenden Daten sind diese sicher gelöscht. Auch mit spezieller Software können die Datenträger einfach oder mehrfach überschrieben und dadurch die zu löschenden Daten unbrauchbar gemacht werden. d. CD-ROMs Eine CD-ROM wird durch einfaches Zerbrechen unbrauchbar. Sie kann anschließend im Kunststoffmüll entsorgt werden. e. Entsorgung durch externe Dritte Theoretisch kann die Entsorgung der Patientendaten auch durch ein externes Unternehmen ausgeführt werden; entsprechende Angebote zur professionellen Datenvernichtung gibt es genug. Allerdings muss mit Blick auf das strafrechtlich geschützte Patientengeheimnis (§ 203 StGB) dann gewährleistet sein, dass keine unbefugte Offenbarung von Patientendaten an die Mitarbeiter des Entsorgungsunternehmens erfolgt. Eine rein vertragliche Absicherung im Wege der Auftragsdatenverarbeitung (§ 11 Bundesdatenschutzgesetz) gegen unbefugten Zugriff genügt insoweit nicht. Datenschutzkonform lässt sich die Vernichtung der Patientendaten deshalb nur in zwei Fällen auf externe Dritte delegieren: zum einen, wenn der Leistungserbringer bis zur durchgeführten Vernichtung oder Löschung der Daten die Verfügungsgewalt hierüber behält (indem er die Vernichtung entweder selbst oder durch einen Mitarbeiter überwacht), zum anderen, wenn die Daten in einem verschlossenen Behältnis übergeben und unmittelbar der Vernichtung zugeführt werden, 3 sodass eine Einsichtnahme in die Unterlagen durch Dritte gar nicht erst möglich ist. Praktisch realisierbar dürfte dies nur bei Unternehmen sein, die mit mobilen Einrichtungen in der Lage sind, die Daten unmittelbar an Ort und Stelle zu vernichten. Dr. Vanessa Christin Vollmar Telefon: 0228 / 9 83 91-67 [email protected] Impressum BUSSE & MIESSEN Rechtsanwälte Partnerschaft mbB Dr. Vanessa Christin Vollmar Friedensplatz 1 53111 Bonn Telefon: 0228/98391-67 Telefax: 0228/630283 [email protected] www.busse-miessen.de Partnerschaftsgesellschaft mbB im Sinne des Partnerschaftsgesellschaftsgesetzes (PartGG) Zuständiges Registergericht: Amtsgericht Essen (PR 2768) UStIdentNr: DE 122127466 4
© Copyright 2024 ExpyDoc
