Datenschutzgerechte Entsorgung von Patientenunterlagen

Datenschutzgerechte Entsorgung von
Patientenunterlagen
Hinweise des Ministeriums des Innern des Landes Sachsen-Anhalt vom 23. Mai 2002
(in Anlehnung an eine Empfehlung des Unabhängigen Landeszentrums für Datenschutz
Schleswig Holstein vom 11. April 2002 - URL:
https://www.datenschutzzentrum.de/artikel/52-Datenschutzgerechte-Entsorgung-vonPatientenunterlagen.html)
aktualisiert durch den Landesbeauftragten für den Datenschutz Sachsen-Anhalt im September 2015
Alle Patientenunterlagen sind nach Ablauf der jeweils geltenden Aufbewahrungsfristen
datenschutzgerecht zu entsorgen bzw. entsorgen zu lassen.
Angesichts der Sensibilität von personenbezogenen medizinischen Daten ist bei ihrer
Entsorgung auf das Einhalten der gesetzlichen Vorgaben besondere Sorgfalt zu verwenden. Die Pflicht zur datenschutzgerechten Entsorgung ist in dem strafrechtlich
geschützten Patientengeheimnis des § 203 Strafgesetzbuch begründet. Ausdrückliche
Regelungen enthalten das Bundesdatenschutzgesetz (BDSG) für Patientenunterlagen
im nicht öffentlichen Bereich - also insbesondere in privaten Arztpraxen - und die Landesdatenschutzgesetze für den öffentlichen Bereich. Für Krankenhäuser in öffentlicher
Trägerschaft gelten gemäß § 3 Abs. 2 Nr. 1 des Gesetzes zum Schutz personenbezogener Daten der Bürger (DSG LSA) grundsätzlich die gleichen materiell-rechtlichen
Regelungen wie für nicht-öffentliche Stellen. Zu beachten sind neben den Vorgaben
des allgemeinen Datenschutzrechtes weitere gesetzliche und standesrechtliche Bestimmungen, sei es im Bürgerlichen Gesetzbuch zur Arzthaftung oder in den Berufsordnungen der Ärztekammern zur Schweige- und Dokumentationspflicht.
Es besteht nicht nur eine Pflicht des Arztes zur datenschutzgerechten Vernichtung von
Patientenunterlagen. Die Regelungen zur Datenvernichtung gemäß § 35 Abs. 2 BDSG
bzw. § 16 Abs. 2 DSG LSA finden sich im Abschnitt über die Rechte des Betroffenen.
Danach besteht grundsätzlich auch ein Recht des Patienten auf Löschung, d. h. auf
Unkenntlichmachen seiner Daten. Ausnahmsweise - etwa bei entgegenstehenden
Aufbewahrungspflichten - kann der Patient zumindest die Sperrung seiner Daten verlangen, also das grundsätzliche Verbot der weiteren Datenverarbeitung.
Im Folgenden finden Ärzte und Zahnärzte Anregungen und Vorschläge, die ihnen bei
einer ordnungsgemäßen Datenvernichtung helfen.
1.
Umfang der Entsorgung
Der Entsorgungspflicht unterliegen nicht nur die dokumentationspflichtigen Unterlagen
der Anamnese, Diagnose und Therapie. Daneben sind auch alle sonstigen Daten erfasst, die sich auf einen bestimmten Patienten beziehen lassen. Einen besonderen
Schutz bei der Entsorgung genießen damit nicht etwa nur Untersuchungsberichte und
Patientenkarteikarten.
2
Auch bei Telefonnotizen, Terminkalendern, Patientenlisten, Briefumschlägen mit Adressangaben oder Telefaxen ist zu prüfen, ob anstelle einer Entsorgung im Altpapier bei
der Möglichkeit des Patientenbezugs eine gesicherte Entsorgung notwendig ist.
Ein typisches praktisches Beispiel, bei dem eine vermeidbare Unachtsamkeit zur
Verletzung des (strafrechtlich geschützten!) Patientengeheimnisses führen kann, ist
in diesem Zusammenhang die Entsorgung von Fehldrucken und Fehlkopien. Erfahrungsgemäß fallen beim Drucken oder Kopieren immer wieder fehlerhafte
Exemplare an, die gedankenlos in den Papierkorb wandern, der sich neben dem
Kopierer oder Drucker befindet. So gelangen sensible Daten in den normalen Papiermüll, der spätestens in der Altpapiertonne auch Unbefugten zugänglich ist.
Neben Patientenunterlagen in Papierform liegen in einer Praxis patientenbezogene
Daten auch in elektronisch gespeicherter Form vor, die zur gegebenen Zeit vernichtet
werden müssen. Beispiele für Datenträger sind die Festplatten CD-ROMs und USBSticks. Als weitere Datenträger fallen in Arztpraxen und vor allem in medizinischen
Labors Gewebe- und Blutproben an. Bei den Proben selbst handelt es sich zwar nicht
um personenbezogene Daten. Sobald aber eine Kennzeichnung erfolgt ist, aus der
genetische oder sonstige medizinische individualisierbare Erkenntnisse - also personenbezogene Daten - abgeleitet werden können, sind auch sie datenschutzkonform zu
vernichten.
2.
Zeitpunkt der Entsorgung
Die Entsorgung wird je nach Art der Unterlage zu einem anderen Zeitpunkt fällig. § 35
Abs. 2 BDSG bzw. § 16 Abs. 2 DSG LSA bestimmen für den privaten und öffentlichen
Bereich im Wesentlichen übereinstimmend, dass personenbezogene Daten zu löschen
sind, wenn ihre Speicherung unzulässig oder sobald ihre Kenntnis für die Aufgabenerfüllung des Arztes nicht mehr erforderlich ist. Die Speicherdauer ärztlicher Daten
hat sich also grundsätzlich danach zu richten, wie lange die Daten für Behandlungszwecke benötigt werden.
Eine über die Dauer der Behandlung hinausgehende Aufbewahrung wird erforderlich,
wenn sie spezialgesetzlich angeordnet ist. Den Datenschutzgesetzen vorrangig gelten
zahlreiche besondere Aufbewahrungspflichten, die unabhängig von datenschutzrechtlichen Erwägungen stets einzuhalten sind. Beispielsweise für 30 Jahre aufzubewahren sind nach § 85 Abs. 3 der Strahlenschutzverordnung Aufzeichnungen über die
Behandlung mit radioaktiven Stoffen oder nach § 28 Abs. 3 Satz 1 der Röntgenverordnung Aufzeichnungen über Röntgenbehandlungen [vgl. für weitere spezielle Aufklärungspflichten: Uhlenbruck, in: Laufs/Uhlenbruck, Handbuch des Arztrechts, § 59, Rn. 3].
Soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht,
setzt das Standesrecht in § 10 Abs. 3 der Berufsordnung der Ärztekammer SachsenAnhalt den Zeitpunkt der Entsorgung für die dokumentationspflichtigen ärztlichen Aufzeichnungen einheitlich (und datenschutzkonform) auf den Ablauf von zehn Jahren
fest.
Eine längere Aufbewahrungszeit kann sich im Einzelfall aus den Verjährungsvorschriften des Bürgerlichen Gesetzbuchs ergeben. Vertragliche und deliktische Ansprü-
3
che des Patienten aus der Arzthaftung können nach Inkrafttreten der Neufassung des
Bürgerlichen Gesetzbuchs (BGB) im Januar 2002 auch deutlich nach Ablauf der
zehnjährigen Dokumentationspflicht verjähren: Es gilt die regelmäßige Verjährungsfrist
von drei Jahren (§ 195 BGB), die erst mit Ablauf des Jahres zu laufen beginnt, in dem
der Anspruch entstanden ist und der Patient Kenntnis von den anspruchsbegründenden
Umständen erlangt hat bzw. ohne grobe Fahrlässigkeit hätte erlangen müssen (§ 199
Abs. 1 BGB). Unbeschadet der Kenntnis bzw. der grob fahrlässigen Unkenntnis tritt
Verjährung spätestens 30 Jahre nach Vornahme der schadensauslösenden Behandlung ein (§ 199 Abs. 2 BGB). . Voraussetzung für eine entsprechend lange Aufbewahrung ist jedoch, dass mit der Geltendmachung zivilrechtlicher Ansprüche wirklich
noch zu rechnen ist; Ersatzansprüche gegen den Arzt werden in der Regel deutlich vor
Ablauf der Verjährungsfrist geltend gemacht. Zudem muss den jeweiligen Patientenunterlagen eine Beweisfunktion zukommen. Das ist regelmäßig nur bei den dokumentationspflichtigen Anamnese-, Diagnose- und Therapiedaten der Fall, kaum jedoch bei
sonstigen Aufzeichnungen. Eine rein theoretische Möglichkeit einer Haftung vermag die
Erforderlichkeit und damit Zulässigkeit weiterer Speicherung nicht zu begründen. Sind
die Unterlagen datenschutzgerecht entsorgt, darf dem Arzt daraus kein Nachteil entstehen (vgl. Oberlandesgericht Hamm, Urteil vom 29. Januar 2013, Az.: 3 U 91/02, juris;
vgl. weiter ausführlich in XI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt, Nr. 10.1.9). Eine Notwendigkeit zur Beweissicherung fehlt weiter, wenn der Patient vorher die Datenvernichtung selbst verlangt hat. Sich in einem
solchen Fall in einem Prozess auf eine Beweispflicht des Arztes zu berufen, wäre treuwidrig und daher unzulässig.
Zusammenfassend ist beim Zeitpunkt der Vernichtung zu unterscheiden:




Bestehen spezialgesetzliche Dokumentationspflichten, die eine spezielle Aufbewahrungsfrist anordnen? Dann gelten nur diese.
Handelt es sich um allgemein dokumentationspflichtige ärztliche Aufzeichnungen, die der zehnjährigen Aufbewahrungsfrist des Standesrechts unterliegen?
Dann gilt grundsätzlich die zehnjährige Aufbewahrungsfrist.
Ist ausnahmsweise ein Haftungsprozess zu erwarten, der eine an die Verjährungsfristen des Bürgerlichen Gesetzbuchs angelehnte Aufbewahrungsdauer
rechtfertigt? Dann kann eine Aufbewahrung von bis zu 30 Jahren gerechtfertigt sein.
Handelt es sich um sonstige patientenbezogene Daten, die nach den Datenschutzgesetzen von Bund und Ländern zu vernichten sind, sobald sie nicht mehr
benötigt werden? Dann hat eine Aufbewahrung nur für die Dauer der Behandlung
zu erfolgen.
Bei verlängerten Aufbewahrungsfristen ist zu beachten, dass die Daten zumindest zu
sperren sind, wenn ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nach
Abschluss der Behandlung nicht mehr erforderlich ist (vgl. § 35 Abs. 3, 4, 8 Bundesdatenschutzgesetz; § 16 Abs. 3, 4 DSG LSA. Tritt an die Stelle der Löschung die Sperrung, dann müssen die Unterlagen gesondert aufbewahrt oder besonders gekennzeichnet werden. Sie dürfen ohne Einwilligung der Betroffenen nur noch verwendet werden, wenn eine Rechtsvorschrift dies ausdrücklich zulässt, oder wenn die Verarbeitung
zur Behebung einer bestehenden Beweisnot bzw. aufgrund eines besonderen überwiegenden Interesses des Arztes oder eines Dritten unerlässlich ist.
4
3.
Art und Weise der Entsorgung
Für die Vernichtung von Patientenunterlagen - also allen Datenträgern in Papierform
(wovon auch Röntgenbilder und ähnliche Aufnahmen erfasst sind), aber auch in magnetischer Form (Festplatten, Magnetbänder) oder in optischer Form (insbesondere CDROM, DVD) - wurden in DIN 66399 (Büro- und Datentechnik - Vernichten von Datenträgern) in Abhängigkeit von Schutzbedarf und Schutzklasse des Vernichtungsgutes
verschiedene Sicherheitsstufen festgelegt. Die Sicherheitsstufen bestimmen je nach
Sensibilität des zu vernichtenden Materials bzw. Schutzklasse unterschiedliche
Grenzwerte für Zustand, Form und Größe der nach der Vernichtung verbleibenden
Materialteilchen. Die Einteilung nach DIN 66399 erfolgt in drei Schutzklassen: 1 (normaler Schutzbedarf), 2 (hoher Schutzbedarf) und 3 (sehr hoher Schutzbedarf). Informationsträger mit besonders sensiblen personenbezogenen Daten, wozu auch medizinische Daten zählen, werden in Schutzklasse 2 oder 3 einzugruppieren sein. Deshalb
sollte eine Vernichtung solcher Datenträger mindestens nach Sicherheitsstufe 4 sichergestellt sein, nach der die Reproduktion der Daten nur unter außergewöhnlich hohem
Aufwand (Personen, Hilfsmittel, Zeit) möglich wäre. Aus Sicht des Datenschutzes wünschenswert wäre eine Vernichtung nach der Sicherheitsstufe 5. In dieser Sicherheitsstufe wäre die Reproduktion der Daten nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen sowie forensischen Methoden möglich.
Bereits vor der eigentlichen Vernichtung ist darauf zu achten, dass die zu entsorgenden
Unterlagen nicht ungesichert lagern. Anstatt die Unterlagen etwa in einem allgemein also auch für Unbefugte - zugänglichen Ablagefach zu sammeln, sollte ein verschlossener Raum gewählt werden.
Ein Arzt muss die Datenträger mit Patientendaten nicht selbst vernichten. Er kann diese
Arbeiten auch Praxismitarbeitern übertragen oder Unternehmen beauftragen, die sich auf
die Vernichtung von Datenträgern spezialisiert haben. Bei der eigenen Vernichtung durch
den Arzt oder seine Mitarbeiter müssen bei der Wahl der entsprechenden Geräte zur Datenträgervernichtung die Anforderungen der DIN 66399-2 (Büro- und Datentechnik –
Vernichten von Datenträgern – Teil 2: Anforderungen an Maschinen zur Vernichtung von
Datenträgern) berücksichtigt werden. Das so vernichtete Material kann dem normalen
Altpapier bzw. sonstigen Müll zugeführt werden. Entscheidet man sich für eine Entsorgung
durch ein externes Unternehmen, muss unter Berücksichtigung des strafrechtlich geschützten Patientengeheimnisses sichergestellt sein, dass keine unbefugte Offenbarung
im Sinne des § 203 Strafgesetzbuch an die Mitarbeiter des Entsorgungsunternehmens
erfolgt. Aus diesem Grund ist eine bloß vertragliche Absicherung im Wege einer Auftragsdatenverarbeitung (vgl. § 11 BDSG, § 8 DSG LSA gegen einen unbefugten Zugriff nicht
ausreichend. Auch die Datenweitergabe im Rahmen einer Auftragsdatenverarbeitung stellt
ein strafbares Offenbaren dar. Eine datenschutzkonforme Vernichtung durch Dritte ist nur
möglich,

wenn der Arzt die Verfügungsgewalt über die Datenträger bis zur durchgeführten
Vernichtung oder Löschung behält, indem deren Vernichtung durch ihn selbst oder
einen Mitarbeiter überwacht wird (praktikabel ist diese Möglichkeit wohl nur bei Unternehmen, die mit mobilen Einrichtungen die Datenträger vor Ort vernichten, nicht
hingegen, wenn auch noch der Transport zur Vernichtungsstelle begleitet werden
muss), oder
5

wenn das Unternehmen ausschließen kann, dass eine Einsichtnahme in die Unterlagen überhaupt möglich ist, weil die im Beisein des Arztes in Behältnissen verschlossenen Datenträger ohne weitere Möglichkeit zur Kenntnisnahme unmittelbar
der Vernichtung zugeführt werden.
Stets muss zudem eine den eingangs geschilderten DIN-Anforderungen gerechte Entsorgung durch das Unternehmen vertraglich abgesichert sein.
4.
Zusammenfassung
Patientenunterlagen werden dann datenschutzgerecht entsorgt, wenn



von einer gesonderten Entsorgung umfassend alle Unterlagen mit Patientenbezug
erfasst sind,
die Entsorgung zeitnah nach Ablauf der Aufbewahrungsfrist erfolgt und
bei einer eigenen Vernichtung die datenschutzrechtlichen Sicherheitsanforderungen eingehalten werden, oder bei einer Vernichtung durch Dritte die Einhaltung
gewährleistet werden kann, sowie die Einschaltung von Dritten das Patientengeheimnis nicht verletzt.

Download Report