Datenschutzgerechte Entsorgung von Patientenunterlagen
Alle Patientenunterlagen sind nach Ablauf der jeweils geltenden Aufbewahrungsfristen datenschutzgerecht zu entsorgen bzw. entsorgen zu lassen. Angesichts der Sensibilität von Medizindaten ist bei ihrer Entsorgung auf das Einhalten der gesetzlichen Vorgaben besondere Sorgfalt zu verwenden. In diesem Text finden Ärzte und Zahnärzte Anregungen und Vorschläge, die ihnen bei einer ordnungsgemäßen Datenvernichtung helfen.
Alle Patientenunterlagen [dazu unten 1. Umfang der Entsorgung] sind nach Ablauf der jeweils geltenden Aufbewahrungsfristen [2. Zeitpunkt der Entsorgung] datenschutzgerecht zu entsorgen bzw. entsorgen zu lassen [3. Art und Weise der Entsorgung].
Angesichts der Sensibilität von Medizindaten ist bei ihrer Entsorgung auf das Einhalten der gesetzlichen Vorgaben besondere Sorgfalt zu verwenden. Die Pflicht zur datenschutzgerechten Entsorgung ist in dem strafrechtlich geschützten Patientengeheimnis des § 203 Strafgesetzbuch begründet. Ausdrückliche Regelungen enthalten das Bundesdatenschutzgesetz für Patientenunterlagen im nicht öffentlichen Bereich - also insbesondere in privaten Arztpraxen - und die Landesdatenschutzgesetze für den öffentlichen Bereich. Zu beachten sind daneben weitere gesetzliche und standesrechtliche Bestimmungen, sei es im Bürgerlichen Gesetzbuch zur Arzthaftung oder in den Berufsordnungen der Ärztekammern zur Schweige- und Dokumentationspflicht.
Es besteht nicht nur eine Pflicht des Arztes zur datenschutzgerechten Vernichtung von Patientenunterlagen. Die Regelungen zur Datenvernichtung gemäß § 35 des Bundesdatenschutzgesetzes bzw. § 28 des Landesdatenschutzgesetzes Schleswig-Holstein finden sich im Abschnitt über die Rechte des Betroffenen. Danach besteht grundsätzlich auch ein Recht des Patienten auf Löschung, d.h. auf Unkenntlichmachen seiner Daten. Ausnahmsweise - etwa bei entgegenstehenden Aufbewahrungspflichten - kann der Patient zumindest die Sperrung seiner Daten verlangen, also das grundsätzliche Verbot der weiteren Datenverarbeitung.
Im Folgenden finden Ärzte und Zahnärzte Anregungen und Vorschläge, die ihnen bei einer ordnungsgemäßen Datenvernichtung helfen.
1. Umfang der Entsorgung
Der Entsorgungspflicht unterliegen nicht nur die dokumentationspflichtigen Unterlagen der Anamnese, Diagnose und Therapie. Daneben sind auch alle sonstigen Daten erfasst, die sich auf einen bestimmten Patienten beziehen lassen.
Einen besonderen Schutz bei der Entsorgung genießen damit nicht etwa nur Untersuchungsberichte und Patientenkarteikarten. Auch bei Telefonnotizen, Terminkalendern, Patientenlisten, Briefumschlägen mit Adressangaben oder Telefaxen ist zu prüfen, ob anstelle einer Entsorgung im Altpapier bei der Möglichkeit des Patientenbezugs eine gesicherte Entsorgung notwendig ist.
Ein typisches praktisches Beispiel, bei dem eine vermeidbare Unachtsamkeit zur Verletzung des (strafrechtlich geschützten!) Patientengeheimnisses führen kann, ist in diesem Zusammenhang die Entsorgung von Fehldrucken und Fehlkopien. Erfahrungsgemäß fallen beim Drucken oder Kopieren immer wieder fehlerhafte Exemplare an, die gedankenlos in den Papierkorb wandern, der sich neben dem Kopierer oder Drucker befindet. So gelangen sensible Daten in den normalen Papiermüll, der spätestens in der Altpapiertonne auch Unbefugten zugänglich ist.
Neben Patientenunterlagen in Papierform liegen in einer Praxis patientenbezogene Daten auch in anderer Form vor. So sind Computer aus einer Arztpraxis nicht mehr weg zu denken. Auch dabei fallen Daten an, die zur gegebenen Zeit [siehe unten 2. Zeitpunkt der Entsorgung] vernichtet werden müssen. Beispiele sind die lokale Festplatte, Disketten, MO-Datenträger, Magnetbänder und CD-ROMs. Als weitere Datenträger fallen in Arztpraxen und vor allem in medizinischen Labors Gewebe- und Blutproben an. Bei den Proben selbst handelt es sich zwar nicht um personenbezogene Daten. Sobald aber eine Kennzeichnung erfolgt ist, aus der genetische oder sonstige medizinische individualisierbare Erkenntnisse - also personenbezogene Daten - abgeleitet werden können, sind auch sie datenschutzkonform zu vernichten.
2. Zeitpunkt der Entsorgung
Die Entsorgung wird je nach Art der Unterlage zu einem anderen Zeitpunkt fällig.
§ 35 des Bundesdatenschutzgesetzes und § 28 des Landesdatenschutzgesetzes Schleswig-Holstein bestimmen für den privaten und öffentlichen Bereich im Wesentlichen übereinstimmend, dass personenbezogene Daten zu löschen sind, wenn ihre Speicherung unzulässig oder sobald ihre Kenntnis für die Aufgabenerfüllung des Arztes nicht mehr erforderlich ist. Die Speicherdauer ärztlicher Daten hat sich also grundsätzlich danach zu richten, wie lange die Daten für Behandlungszwecke benötigt werden.
Eine über die Dauer der Behandlung hinausgehende Aufbewahrung wird erforderlich, wenn sie spezialgesetzlich angeordnet ist. Den Datenschutzgesetzen vorrangig gelten zahlreiche besondere Aufbewahrungspflichten, die unabhängig von datenschutzrechtlichen Erwägungen stets einzuhalten sind. Beispielsweise für 30 Jahre aufzubewahren sind nach § 32 Abs. 2 der Strahlenschutzverordnung Aufzeichnungen über die Behandlung mit radioaktiven Stoffen oder nach § 28 Abs. 4 Nr. 1 der Röntgenverordnung Aufzeichnungen über Röntgenbehandlungen [vgl. für weitere spezielle Aufklärungspflichten: Uhlenbruck, in: Laufs/Uhlenbruck, Handbuch des Arztrechts, § 59, Rd.Nr. 3].
Soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht, setzt das Standesrecht in § 10 Abs. 3 der Berufsordnung der Ärztekammer Schleswig-Holstein - sowie in entsprechenden Regelungen der anderen Länder - den Zeitpunkt der Entsorgung für die dokumentationspflichtigen ärztlichen Aufzeichnungen einheitlich (und datenschutzkonform) auf den Ablauf von zehn Jahren fest.
Eine längere Aufbewahrungszeit kann sich im Einzelfall aus den Verjährungsvorschriften des Bürgerlichen Gesetzbuchs ergeben. Vertragliche und deliktische Ansprüche des Patienten aus der Arzthaftung können nach Inkrafttreten der Neufassung des Bürgerlichen Gesetzbuchs (BGB) im Januar 2002 auch deutlich nach Ablauf der zehnjährigen Dokumentationspflicht verjähren: Es gilt die regelmäßige Verjährungsfrist von drei Jahren (§ 195 BGB), die erst mit Ablauf des Jahres zu laufen beginnt, in dem der Anspruch entstanden ist und der Patient Kenntnis von den anspruchsbegründenden Umständen erlangt hat bzw. ohne grobe Fahrlässigkeit hätte erlangen müssen (§ 199 Abs. 1 BGB).Unbeschadet der Kenntnis bzw. der grob fahrlässigen Unkenntnis tritt Verjährung spätestens 30 Jahre nach Vornahme der schadensauslösenden Behandlung ein (§ 199 Abs. 2 BGB). Diese Verjährungsfrist kann sich durch zwischenzeitliche Hemmung oder Unterbrechung der Verjährung noch weiter verlängern (§§ 203 ff. BGB). Voraussetzung für eine entsprechend lange Aufbewahrung ist jedoch, dass mit der Geltendmachung zivilrechtlicher Ansprüche wirklich noch zu rechnen ist; Ersatzansprüche gegen den Arzt werden in der Regel deutlich vor Ablauf der Verjährungsfrist geltend gemacht. Zudem muss den jeweiligen Patientenunterlagen eine Beweisfunktion zukommen. Das ist regelmäßig nur bei den dokumentationspflichtigen Anamnese-, Diagnose- und Therapiedaten der Fall, kaum jedoch bei sonstigen Aufzeichnungen. Eine Notwendigkeit zur Beweissicherung fehlt weiter, wenn der Patient vorher die Datenvernichtung selbst verlangt hat. In einem solchen Fall sich in einem Prozess auf eine Beweispflicht des Arztes zu berufen, wäre treuwidrig und ist daher unzulässig.
Zusammenfassend ist beim Zeitpunkt der Vernichtung zu unterscheiden:
- Bestehen spezialgesetzliche Dokumentationspflichten, die eine spezielle Aufbewahrungsfrist anordnen? Dann gelten nur diese.
- Handelt es sich um allgemein dokumentationspflichtige ärztliche Aufzeichnungen, die der zehnjährigen Aufbewahrungsfrist des Standesrechts unterliegen? Dann gilt grundsätzlich die zehnjährige Aufbewahrungsfrist.
- Ist ausnahmsweise ein Haftungsprozess zu erwarten, der eine an die Verjährungsfristen des Bürgerlichen Gesetzbuchs angelehnte Aufbewahrungsdauer rechtfertigt? Dann kann eine Aufbewahrung von bis zu 30 Jahren (bei Verjährungshemmung oder -unterbrechung sogar noch länger) gerechtfertigt sein.
- Handelt es sich um sonstige patientenbezogene Daten, die nach den Datenschutzgesetzen von Bund und Ländern zu vernichten sind, sobald sie nicht mehr benötigt werden? Dann hat eine Aufbewahrung nur für die Dauer der Behandlung zu erfolgen.
Bei verlängerten Aufbewahrungsfristen ist zu beachten, dass die Daten zumindest zu sperren sind, wenn ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nach Abschluss der Behandlung nicht mehr erforderlich ist (vgl. § 35 Abs. 3, 4, 8 Bundesdatenschutzgesetz; § 28 Abs. 3, 4 Landesdatenschutzgesetz Schleswig-Holstein). Tritt an die Stelle der Löschung die Sperrung, dann müssen die Unterlagen gesondert aufbewahrt oder besonders gekennzeichnet werden. Sie dürfen ohne Einwilligung der Betroffenen nur noch verwendet werden, wenn eine Rechtsvorschrift dies ausdrücklich zulässt, oder wenn die Verarbeitung zur Behebung einer bestehenden Beweisnot bzw. aufgrund eines besonderen überwiegenden Interesses des Arztes oder eines Dritten unerlässlich ist.
3. Art und Weise der Entsorgung
Für die Vernichtung von Patientenunterlagen - also allen Datenträgern in Papierform (wovon auch Röntgenbild und ähnliche Aufnahmen erfasst sind), in magnetischer Form (insbesondere Diskette und Festplatte), in optischer Form (insbesondere MO-Datenträger, CD-ROM, DVD) - wurden in DIN 32 757 (01/1995) und DIN 33 858 (04/1993) verschiedene Sicherheitsstufen festgelegt. Die Stufen bestimmen je nach Sensibilität des zu vernichtenden Materials unterschiedliche Grenzwerte für Zustand, Form und Größe der nach der Vernichtung verbleibenden Materialteilchen. Bei Informationsträgern mit besonders sensiblen personenbezogenen Daten, wozu auch medizinische Daten zählen, sollte eine Vernichtung nach der vierten Stufe sicher gestellt sein. Das erfordert, dass ein Wiederherstellen unter Verwendung gewerbeüblicher Einrichtungen bzw. Sonderkonstruktionen ausgeschlossen ist. Aus Sicht des Datenschutzes wünschenswert ist eine Vernichtung nach der fünften Sicherheitsstufe mit anschließender Unmöglichkeit des Wiederherstellens nach dem Stand der Technik.
Bereits vor der eigentlichen Vernichtung ist darauf zu achten, dass die zu entsorgenden Unterlagen nicht ungesichert lagern. Anstatt die Unterlagen etwa in einem allgemein - also auch für Unbefugte - zugänglichen Ablagefach zu sammeln, sollte ein verschlossener Raum gewählt werden.
Ein Arzt muss die Datenträger mit Patientendaten nicht selbst vernichten. Er kann diese Arbeiten auch Praxismitarbeitern übertragen oder Unternehmen beauftragen, die sich auf die Vernichtung von Datenträgern spezialisiert haben. Bei der eigenen Vernichtung durch den Arzt oder seine Mitarbeiter müssen bei der Wahl der entsprechenden Geräte zur Datenträgervernichtung die DIN-Anforderungen berücksichtigt werden. Das so vernichtete Material kann dem normalen Altpapier bzw. sonstigen Müll zugeführt werden. Entscheidet man sich für eine Entsorgung durch ein externes Unternehmen - derartige Unternehmen zur Vernichtung von Datenträgern finden sich zahlreich etwa in den Gelben Seiten - muss unter Berücksichtigung des strafrechtlich geschützten Patientengeheimnisses sicher gestellt sein, dass keine unbefugte Offenbarung im Sinne des § 203 Strafgesetzbuch an die Mitarbeiter des Entsorgungsunternehmens erfolgt. Aus diesem Grund ist eine bloß vertragliche Absicherung im Wege einer Auftragsdatenverarbeitung (vgl. § 11 Bundesdatenschutzgesetz, § 17 Landesdatenschutzgesetz Schleswig-Holstein) gegen einen unbefugten Zugriff nicht ausreichend. Auch die Datenweitergabe im Rahmen einer Auftragsdatenverarbeitung stellt ein strafbares Offenbaren dar. Eine datenschutzkonforme Vernichtung durch Dritte ist nur möglich,
- wenn der Arzt die Verfügungsgewalt über die Datenträger bis zur durchgeführten Vernichtung oder Löschung behält, indem deren Vernichtung durch ihn selbst oder einen Mitarbeiter überwacht werden (praktikabel ist diese Möglichkeit wohl nur bei Unternehmen, die mit mobilen Einrichtungen die Datenträger vor Ort vernichten, nicht hingegen, wenn auch noch der Transport zur Vernichtungsstelle begleitet werden muss), oder
- wenn das Unternehmen ausschließen kann, dass eine Einsichtnahme in die Unterlagen überhaupt möglich ist, weil die im Beisein des Arztes in Behältnissen verschlossenen Datenträger ohne weitere Kenntnisnahmemöglichkeit unmittelbar der Vernichtung zugeführt werden.
Stets muss zudem eine den eingangs geschilderten DIN-Anforderungen gerechte Entsorgung durch das Unternehmen vertraglich abgesichert sein.
4. Zusammenfassung
Patientenunterlagen werden zusammenfassend dann datenschutzgerecht entsorgt, wenn
- von einer gesonderten Entsorgung umfassend alle Unterlagen mit Patientenbezug erfasst sind,
- die Entsorgung zeitnah nach Ablauf der Aufbewahrungsfrist erfolgt und
- bei einer eigenen Vernichtung die datenschutzrechtlichen Sicherheitsanforderungen eingehalten werden, oder bei einer Vernichtung durch Dritte die Einhaltung gewährleistet werden kann, sowie die Einschaltung von Dritten das Patientengeheimnis nicht verletzt.