Hiermit loggen Sie sich bei DocCheck-Login aus.
Abbrechen

PraxisführungDas ABC der Aktenvernichtung

Jeden Tag gehen Ärztinnen und Ärzte und ihre Praxisteams mit Gesundheitsdaten sensibel um. Doch der Datenschutz endet nicht mit der ordnungsgemäßen Dokumentation, dazu zählt auch die Daten richtig zu vernichten, ob selbst oder mithilfe eines Dienstleisters – für beides gibt es einiges zu beachten.

Sowohl Gesundheits-, als auch Sozialdaten sind der Schutzklasse 3 zuzuordnen.

Ihre ärztliche Aufgabe ist es, nicht nur die Gesundheit Ihrer Patientinnen und Patienten, sondern auch deren Daten, vor allem vor unbefugtem Zugriff, ausreichend zu schützen. Dieser Schutz geht über die ordnungsgemäße Art der Speicherung und Aufbewahrung hinaus und bezieht sich auch auf die Löschung oder Vernichtung der entsprechenden Daten.

Wie Sie personenbezogene Daten, mit welchen Sie in Ihrem Praxisalltag stetig konfrontiert werden, entsorgen und was Sie beachten müssen, erklären die folgenden drei Schritte.

Grundlage ist die deutsche Verfassung, die das Recht auf Informationelle Selbstbestimmung beinhaltet. Demnach hat jede Person das Recht, selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen. Zur ärztlichen Behandlung sind Sie als Behandelnde allerdings verpflichtet, zum Zweck der Dokumentation in unmittelbarem zeitlichen Zusammenhang mit der Behandlung eine Patientenakte in Papierform oder elektronisch zu führen.

Diese ist, sofern nicht andere Vorschriften einschlägig sind, für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren. Sofern bestimmte Voraussetzungen vorliegen, haben Ihre Patientinnen und Patienten das Recht, auf die unverzügliche Löschung ihrer personenbezogenen Daten. Denn eine langfristige Aufbewahrung widerspricht dem sogenannten Recht auf Vergessenwerden, welches der Europäische Gerichtshof 2014 begründete.

Wie läuft eine ordnungsgemäße Datenvernichtung ab?

Aufbewahrungsfrist

Überprüfen Sie, ob im konkreten Fall eine besondere Aufbewahrungsfrist für die betroffenen Daten einschlägig ist (z.B. Paragraf 14 Abs. 3 Transfusionsgesetz; s. Link-Tipp unten).

Sortierung der Daten

Sortieren Sie die Daten entsprechend des Materials der Datenträger oder der Form ihrer Darstellung. Machen Sie sich dafür zunächst mit den 6 Materialklassen vertraut:

  • P: Informationsdarstellung in Originalgröße wie Papier
  • E: Elektronische Datenträger wie Chipkarten, USB-Sticks, Handy
  • F: Kunststoffdatenträger wie Mikrofilme
  • O: Kunststoffdatenträger optisch wie CD, DVD, Blu-ray
  • T: Kunststoffdatenträger magnetisch wie Disketten, ID-Karten
  • H: Festplatten (magnetische Datenträger mit höherer Datendichte)

Eigenhändige Vernichtung oder Dienstleister

Entscheiden Sie sich nun, ob Sie die betroffenen Daten eigenhändig oder mit Hilfe eines Dienstleisters vernichten wollen.

a) Eigenhändige Vernichtung

Sofern Sie sich für eine eigenhändige Vernichtung entscheiden, müssen Sie sich dabei an die DIN-Norm 66399 halten. Diese legt die technischen Anforderungen an die Vernichtung von Datenträgern jeglicher Art fest. Dabei werden Schutzklassen und Sicherheitsstufen unterschieden.

Die Daten werden Ihrem Schutzbedarf entsprechend in drei Schutzklassen eingeteilt. Die Wahl der Schutzklasse ist danach ausschlaggebend für die Zuteilung einer Sicherheitsstufe, welche die maximale Partikelgröße der Datenträger nach der Vernichtung festlegt.

Ihnen steht an dieser Stelle ein Auswahlermessen zu, da Sie die Datenträger entsprechend der Sicherheitsstufe 4 bis 7 entsorgen können. Bitte beachten Sie, dass eine höhere Sicherheitsstufe automatisch mit einem gesteigerten Aufwand und somit auch Kosten verbunden ist.

Merke: Ihre Daten müssen mindestens nach der Sicherheitsstufe 4 entsorgt werden. Damit erfüllen Sie bereits alle Anforderungen einer ordnungsgemäßen Vernichtung. Geeignete Aktenvernichter sind beispielsweise “Schredder”. Je nach Materialklasse und Umfang der zu vernichtenden Daten sollten Sie sich ein entsprechendes Gerät anschaffen.

Wichtig: Sowohl Gesundheits-, als auch Sozialdaten, mit welchen Sie in Ihrer Praxis täglich umgehen müssen, sind der Schutzklasse 3 zuzuordnen, da eine unberechtigte Weitergabe ernsthafte Auswirkungen auf Ihre Person oder Ihre Praxis hätte und im Ernstfall ein Verstoß gegen Ihr Berufsgeheimnis, Verträge und sonstiges Recht vorliegen würde.

Gleichfalls Vorsicht ist bei der Vernichtung von Festplatten geboten. Hier ist oft von einer “Entmagnetisierung”, also der Aussetzung durch einen starken Magneten, gesprochen. Dies gilt jedoch nur für die immer seltener werdenden HDD-Festplatten.

Für die schnelleren SSD-Festplatten gilt dies nicht. Dort sind Sie rechtlich bereits bei einer ordnungsgemäßen Löschung mittels zertifizierter Software sicher. Zu empfehlen ist dennoch – auch weil es bei Benutzung und Auswahl der Software zu Fehlern kommen kann – stets zusätzlich die physische Vernichtung der Chips. Dies können Sie auch den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entnehmen.

b) Vernichtung mit Hilfe eines Dienstleisters

Entscheiden Sie zunächst für sich, ob die Datenvernichtung bei Ihnen vor Ort oder extern auf dem Betriebsgelände eines Dienstleisters stattfinden soll und suchen Sie dann nach einem passenden Angebot.

Bei der Wahl des Dienstleisters obliegt Ihnen als Praxisinhabenden die Aufgabe einen solchen auszuwählen, der die hinreichende Garantie bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO (EU-Datenschutzgrundverordnung) erfolgt und den Schutz der betroffenen Person gewährleistet. Dies kann beispielsweise anhand eines ISO/IEC 27001-Zertifikates bestätigt werden. Zudem besteht die Möglichkeit das Sicherheitskonzept des Dienstleisters zusätzlich durch fachkundige Dritte bewerten zu lassen.

Sofern Sie sich für einen bestimmten Dienstleister entschieden haben, ist mit diesem ein schriftlicher Vertrag über die Verarbeitung der Daten zu schließen. In der Regel nutzen die Dienstleister dazu ihre AGB.

Künftig findet die Datenverarbeitung durch den ausgewählten Dienstleister lediglich aufgrund einer entsprechenden Weisung Ihrerseits statt. Trotzdem ist zu empfehlen, die Einhaltung der vertraglichen Vereinbarungen regelmäßig zu kontrollieren, denn die Anstellung eines externen Dienstleisters begründet für Sie nicht den Haftungsausschluss im Falle eines Verstoßes. Ganz im Gegenteil haftet der Dienstleister lediglich neben Ihnen, während Sie jedoch vorrangig die Verantwortung tragen.

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.

Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.

Hier erfolgt die Registrierung für das Portal und den Newsletter.


Persönliche Daten

Ihr Beruf

Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.

Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.
Newsletter abbestellen

Wenn Sie den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.