Datenschutzgerechte Entsorgung von Patientenunterlagen

Transkript

1 Datenschutzgerechte Entsorgung von Patientenunterlagen Hinweise des Ministeriums des Innern des Landes Sachsen-Anhalt vom 23. Mai 2002 (in Anlehnung an eine Empfehlung des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein vom 11. April URL: Patientenunterlagen.html) aktualisiert durch den Landesbeauftragten für den Datenschutz Sachsen-Anhalt im September 2015 Alle Patientenunterlagen sind nach Ablauf der jeweils geltenden Aufbewahrungsfristen datenschutzgerecht zu entsorgen bzw. entsorgen zu lassen. Angesichts der Sensibilität von personenbezogenen medizinischen Daten ist bei ihrer Entsorgung auf das Einhalten der gesetzlichen Vorgaben besondere Sorgfalt zu verwenden. Die Pflicht zur datenschutzgerechten Entsorgung ist in dem strafrechtlich geschützten Patientengeheimnis des 203 Strafgesetzbuch begründet. Ausdrückliche Regelungen enthalten das Bundesdatenschutzgesetz (BDSG) für Patientenunterlagen im nicht öffentlichen Bereich - also insbesondere in privaten Arztpraxen - und die Landesdatenschutzgesetze für den öffentlichen Bereich. Für Krankenhäuser in öffentlicher Trägerschaft gelten gemäß 3 Abs. 2 Nr. 1 des Gesetzes zum Schutz personenbezogener Daten der Bürger (DSG LSA) grundsätzlich die gleichen materiell-rechtlichen Regelungen wie für nicht-öffentliche Stellen. Zu beachten sind neben den Vorgaben des allgemeinen Datenschutzrechtes weitere gesetzliche und standesrechtliche Bestimmungen, sei es im Bürgerlichen Gesetzbuch zur Arzthaftung oder in den Berufsordnungen der Ärztekammern zur Schweige- und Dokumentationspflicht. Es besteht nicht nur eine Pflicht des Arztes zur datenschutzgerechten Vernichtung von Patientenunterlagen. Die Regelungen zur Datenvernichtung gemäß 35 Abs. 2 BDSG bzw. 16 Abs. 2 DSG LSA finden sich im Abschnitt über die Rechte des Betroffenen. Danach besteht grundsätzlich auch ein Recht des Patienten auf Löschung, d. h. auf Unkenntlichmachen seiner Daten. Ausnahmsweise - etwa bei entgegenstehenden Aufbewahrungspflichten - kann der Patient zumindest die Sperrung seiner Daten verlangen, also das grundsätzliche Verbot der weiteren Datenverarbeitung. Im Folgenden finden Ärzte und Zahnärzte Anregungen und Vorschläge, die ihnen bei einer ordnungsgemäßen Datenvernichtung helfen. 1. Umfang der Entsorgung Der Entsorgungspflicht unterliegen nicht nur die dokumentationspflichtigen Unterlagen der Anamnese, Diagnose und Therapie. Daneben sind auch alle sonstigen Daten erfasst, die sich auf einen bestimmten Patienten beziehen lassen. Einen besonderen Schutz bei der Entsorgung genießen damit nicht etwa nur Untersuchungsberichte und Patientenkarteikarten.

2 2 Auch bei Telefonnotizen, Terminkalendern, Patientenlisten, Briefumschlägen mit Adressangaben oder Telefaxen ist zu prüfen, ob anstelle einer Entsorgung im Altpapier bei der Möglichkeit des Patientenbezugs eine gesicherte Entsorgung notwendig ist. Ein typisches praktisches Beispiel, bei dem eine vermeidbare Unachtsamkeit zur Verletzung des (strafrechtlich geschützten!) Patientengeheimnisses führen kann, ist in diesem Zusammenhang die Entsorgung von Fehldrucken und Fehlkopien. Erfahrungsgemäß fallen beim Drucken oder Kopieren immer wieder fehlerhafte Exemplare an, die gedankenlos in den Papierkorb wandern, der sich neben dem Kopierer oder Drucker befindet. So gelangen sensible Daten in den normalen Papiermüll, der spätestens in der Altpapiertonne auch Unbefugten zugänglich ist. Neben Patientenunterlagen in Papierform liegen in einer Praxis patientenbezogene Daten auch in elektronisch gespeicherter Form vor, die zur gegebenen Zeit vernichtet werden müssen. Beispiele für Datenträger sind die Festplatten CD-ROMs und USB- Sticks. Als weitere Datenträger fallen in Arztpraxen und vor allem in medizinischen Labors Gewebe- und Blutproben an. Bei den Proben selbst handelt es sich zwar nicht um personenbezogene Daten. Sobald aber eine Kennzeichnung erfolgt ist, aus der genetische oder sonstige medizinische individualisierbare Erkenntnisse - also personenbezogene Daten - abgeleitet werden können, sind auch sie datenschutzkonform zu vernichten. 2. Zeitpunkt der Entsorgung Die Entsorgung wird je nach Art der Unterlage zu einem anderen Zeitpunkt fällig. 35 Abs. 2 BDSG bzw. 16 Abs. 2 DSG LSA bestimmen für den privaten und öffentlichen Bereich im Wesentlichen übereinstimmend, dass personenbezogene Daten zu löschen sind, wenn ihre Speicherung unzulässig oder sobald ihre Kenntnis für die Aufgabenerfüllung des Arztes nicht mehr erforderlich ist. Die Speicherdauer ärztlicher Daten hat sich also grundsätzlich danach zu richten, wie lange die Daten für Behandlungszwecke benötigt werden. Eine über die Dauer der Behandlung hinausgehende Aufbewahrung wird erforderlich, wenn sie spezialgesetzlich angeordnet ist. Den Datenschutzgesetzen vorrangig gelten zahlreiche besondere Aufbewahrungspflichten, die unabhängig von datenschutzrechtlichen Erwägungen stets einzuhalten sind. Beispielsweise für 30 Jahre aufzubewahren sind nach 85 Abs. 3 der Strahlenschutzverordnung Aufzeichnungen über die Behandlung mit radioaktiven Stoffen oder nach 28 Abs. 3 Satz 1 der Röntgenverordnung Aufzeichnungen über Röntgenbehandlungen [vgl. für weitere spezielle Aufklärungspflichten: Uhlenbruck, in: Laufs/Uhlenbruck, Handbuch des Arztrechts, 59, Rn. 3]. Soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht, setzt das Standesrecht in 10 Abs. 3 der Berufsordnung der Ärztekammer Sachsen- Anhalt den Zeitpunkt der Entsorgung für die dokumentationspflichtigen ärztlichen Aufzeichnungen einheitlich (und datenschutzkonform) auf den Ablauf von zehn Jahren fest. Eine längere Aufbewahrungszeit kann sich im Einzelfall aus den Verjährungsvorschriften des Bürgerlichen Gesetzbuchs ergeben. Vertragliche und deliktische Ansprü-

3 3 che des Patienten aus der Arzthaftung können nach Inkrafttreten der Neufassung des Bürgerlichen Gesetzbuchs (BGB) im Januar 2002 auch deutlich nach Ablauf der zehnjährigen Dokumentationspflicht verjähren: Es gilt die regelmäßige Verjährungsfrist von drei Jahren ( 195 BGB), die erst mit Ablauf des Jahres zu laufen beginnt, in dem der Anspruch entstanden ist und der Patient Kenntnis von den anspruchsbegründenden Umständen erlangt hat bzw. ohne grobe Fahrlässigkeit hätte erlangen müssen ( 199 Abs. 1 BGB). Unbeschadet der Kenntnis bzw. der grob fahrlässigen Unkenntnis tritt Verjährung spätestens 30 Jahre nach Vornahme der schadensauslösenden Behandlung ein ( 199 Abs. 2 BGB).. Voraussetzung für eine entsprechend lange Aufbewahrung ist jedoch, dass mit der Geltendmachung zivilrechtlicher Ansprüche wirklich noch zu rechnen ist; Ersatzansprüche gegen den Arzt werden in der Regel deutlich vor Ablauf der Verjährungsfrist geltend gemacht. Zudem muss den jeweiligen Patientenunterlagen eine Beweisfunktion zukommen. Das ist regelmäßig nur bei den dokumentationspflichtigen Anamnese-, Diagnose- und Therapiedaten der Fall, kaum jedoch bei sonstigen Aufzeichnungen. Eine rein theoretische Möglichkeit einer Haftung vermag die Erforderlichkeit und damit Zulässigkeit weiterer Speicherung nicht zu begründen. Sind die Unterlagen datenschutzgerecht entsorgt, darf dem Arzt daraus kein Nachteil entstehen (vgl. Oberlandesgericht Hamm, Urteil vom 29. Januar 2013, Az.: 3 U 91/02, juris; vgl. weiter ausführlich in XI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt, Nr ). Eine Notwendigkeit zur Beweissicherung fehlt weiter, wenn der Patient vorher die Datenvernichtung selbst verlangt hat. Sich in einem solchen Fall in einem Prozess auf eine Beweispflicht des Arztes zu berufen, wäre treuwidrig und daher unzulässig. Zusammenfassend ist beim Zeitpunkt der Vernichtung zu unterscheiden: Bestehen spezialgesetzliche Dokumentationspflichten, die eine spezielle Aufbewahrungsfrist anordnen? Dann gelten nur diese. Handelt es sich um allgemein dokumentationspflichtige ärztliche Aufzeichnungen, die der zehnjährigen Aufbewahrungsfrist des Standesrechts unterliegen? Dann gilt grundsätzlich die zehnjährige Aufbewahrungsfrist. Ist ausnahmsweise ein Haftungsprozess zu erwarten, der eine an die Verjährungsfristen des Bürgerlichen Gesetzbuchs angelehnte Aufbewahrungsdauer rechtfertigt? Dann kann eine Aufbewahrung von bis zu 30 Jahren gerechtfertigt sein. Handelt es sich um sonstige patientenbezogene Daten, die nach den Datenschutzgesetzen von Bund und Ländern zu vernichten sind, sobald sie nicht mehr benötigt werden? Dann hat eine Aufbewahrung nur für die Dauer der Behandlung zu erfolgen. Bei verlängerten Aufbewahrungsfristen ist zu beachten, dass die Daten zumindest zu sperren sind, wenn ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nach Abschluss der Behandlung nicht mehr erforderlich ist (vgl. 35 Abs. 3, 4, 8 Bundesdatenschutzgesetz; 16 Abs. 3, 4 DSG LSA. Tritt an die Stelle der Löschung die Sperrung, dann müssen die Unterlagen gesondert aufbewahrt oder besonders gekennzeichnet werden. Sie dürfen ohne Einwilligung der Betroffenen nur noch verwendet werden, wenn eine Rechtsvorschrift dies ausdrücklich zulässt, oder wenn die Verarbeitung zur Behebung einer bestehenden Beweisnot bzw. aufgrund eines besonderen überwiegenden Interesses des Arztes oder eines Dritten unerlässlich ist.

4 4 3. Art und Weise der Entsorgung Für die Vernichtung von Patientenunterlagen - also allen Datenträgern in Papierform (wovon auch Röntgenbilder und ähnliche Aufnahmen erfasst sind), aber auch in magnetischer Form (Festplatten, Magnetbänder) oder in optischer Form (insbesondere CD- ROM, DVD) - wurden in DIN (Büro- und Datentechnik - Vernichten von Datenträgern) in Abhängigkeit von Schutzbedarf und Schutzklasse des Vernichtungsgutes verschiedene Sicherheitsstufen festgelegt. Die Sicherheitsstufen bestimmen je nach Sensibilität des zu vernichtenden Materials bzw. Schutzklasse unterschiedliche Grenzwerte für Zustand, Form und Größe der nach der Vernichtung verbleibenden Materialteilchen. Die Einteilung nach DIN erfolgt in drei Schutzklassen: 1 (normaler Schutzbedarf), 2 (hoher Schutzbedarf) und 3 (sehr hoher Schutzbedarf). Informationsträger mit besonders sensiblen personenbezogenen Daten, wozu auch medizinische Daten zählen, werden in Schutzklasse 2 oder 3 einzugruppieren sein. Deshalb sollte eine Vernichtung solcher Datenträger mindestens nach Sicherheitsstufe 4 sichergestellt sein, nach der die Reproduktion der Daten nur unter außergewöhnlich hohem Aufwand (Personen, Hilfsmittel, Zeit) möglich wäre. Aus Sicht des Datenschutzes wünschenswert wäre eine Vernichtung nach der Sicherheitsstufe 5. In dieser Sicherheitsstufe wäre die Reproduktion der Daten nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen sowie forensischen Methoden möglich. Bereits vor der eigentlichen Vernichtung ist darauf zu achten, dass die zu entsorgenden Unterlagen nicht ungesichert lagern. Anstatt die Unterlagen etwa in einem allgemein - also auch für Unbefugte - zugänglichen Ablagefach zu sammeln, sollte ein verschlossener Raum gewählt werden. Ein Arzt muss die Datenträger mit Patientendaten nicht selbst vernichten. Er kann diese Arbeiten auch Praxismitarbeitern übertragen oder Unternehmen beauftragen, die sich auf die Vernichtung von Datenträgern spezialisiert haben. Bei der eigenen Vernichtung durch den Arzt oder seine Mitarbeiter müssen bei der Wahl der entsprechenden Geräte zur Datenträgervernichtung die Anforderungen der DIN (Büro- und Datentechnik Vernichten von Datenträgern Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern) berücksichtigt werden. Das so vernichtete Material kann dem normalen Altpapier bzw. sonstigen Müll zugeführt werden. Entscheidet man sich für eine Entsorgung durch ein externes Unternehmen, muss unter Berücksichtigung des strafrechtlich geschützten Patientengeheimnisses sichergestellt sein, dass keine unbefugte Offenbarung im Sinne des 203 Strafgesetzbuch an die Mitarbeiter des Entsorgungsunternehmens erfolgt. Aus diesem Grund ist eine bloß vertragliche Absicherung im Wege einer Auftragsdatenverarbeitung (vgl. 11 BDSG, 8 DSG LSA gegen einen unbefugten Zugriff nicht ausreichend. Auch die Datenweitergabe im Rahmen einer Auftragsdatenverarbeitung stellt ein strafbares Offenbaren dar. Eine datenschutzkonforme Vernichtung durch Dritte ist nur möglich, wenn der Arzt die Verfügungsgewalt über die Datenträger bis zur durchgeführten Vernichtung oder Löschung behält, indem deren Vernichtung durch ihn selbst oder einen Mitarbeiter überwacht wird (praktikabel ist diese Möglichkeit wohl nur bei Unternehmen, die mit mobilen Einrichtungen die Datenträger vor Ort vernichten, nicht hingegen, wenn auch noch der Transport zur Vernichtungsstelle begleitet werden muss), oder

5 5 wenn das Unternehmen ausschließen kann, dass eine Einsichtnahme in die Unterlagen überhaupt möglich ist, weil die im Beisein des Arztes in Behältnissen verschlossenen Datenträger ohne weitere Möglichkeit zur Kenntnisnahme unmittelbar der Vernichtung zugeführt werden. Stets muss zudem eine den eingangs geschilderten DIN-Anforderungen gerechte Entsorgung durch das Unternehmen vertraglich abgesichert sein. 4. Zusammenfassung Patientenunterlagen werden dann datenschutzgerecht entsorgt, wenn von einer gesonderten Entsorgung umfassend alle Unterlagen mit Patientenbezug erfasst sind, die Entsorgung zeitnah nach Ablauf der Aufbewahrungsfrist erfolgt und bei einer eigenen Vernichtung die datenschutzrechtlichen Sicherheitsanforderungen eingehalten werden, oder bei einer Vernichtung durch Dritte die Einhaltung gewährleistet werden kann, sowie die Einschaltung von Dritten das Patientengeheimnis nicht verletzt.