Patientenakten und medizinische Unterlagen DSGVO-konform vernichten
Arztpraxen, Kliniken und andere Einrichtungen des Gesundheitswesens verarbeiten, speichern und archivieren täglich empfindliche medizinische Daten. Um den Datenschutz in der Praxis zu gewährleisten, gilt es zum einen, die Daten der Patientinnen und Patienten gemäß der Aufbewahrungsfrist sicher zu lagern. Das höchste Ziel liegt vor allem darin, die personenbezogenen Daten vor unbefugtem Zugriff dauerhaft zu schützen. Sobald die Frist abläuft, stehen Praxen und Co. zum anderen vor der Aufgabe, das Archiv zu entlasten und die Unterlagen ebenso datenschutzgerecht zu entsorgen. Denn auch die Aktenvernichtung in der Arztpraxis und anderen medizinischen Einrichtungen unterliegt der ärztlichen Schweigepflicht. Generell regeln das Bundesdatenschutzgesetz (kurz BDSG) sowie weitere spezielle Vorschriften wie das Bürgerliche Gesetzbuch (BGB) alle Fristen zur Vernichtung von Daten in digitaler und analoger Form.

Wie lange muss eine Praxis Patientenunterlagen aufbewahren?
Für Patientenunterlagen gilt nach § 630f des Bürgerlichen Gesetzbuches eine Aufbewahrungspflicht von 10 Jahren nach Abschluss der Behandlung. Für einige gesetzlich geregelte Fälle verlängern sich allerdings die Aufbewahrungsfristen. Dazu zählen etwa Röntgenbehandlungen oder die Anwendung von Blutprodukten. Außerdem sorgen zivilrechtliche Verjährungsfristen für längere Aufbewahrungsfristen: Zwar verjähren die Ansprüche von Patientinnen oder Patienten nach drei Jahren. Doch die Frist startet erst am Ende desjenigen Jahres, in dem der Anspruch entsteht oder die betroffene Person von den Umständen erfährt, die den Anspruch begründeten. Je nach Fall umfassen solche Verjährungsfristen bis zu 30 Jahre. Beweisrelevante Behandlungsunterlagen sollten Sie daher lieber über diese Zeit hinweg ordnungsgemäß aufbewahren.
Wenn Gesundheitseinrichtungen die Aufbewahrungsfristen nicht beachten oder nicht gesetzeskonform vernichten, fallen im besten Fall hohe Ordnungsgelder oder Geldstrafen an. Offenbaren verantwortliche Personen Patientengeheimnisse und Behandlungsunterlagen gegenüber Dritten, drohen sogar Freiheitsstrafen bis zu einem Jahr.
Was passiert mit Patientenakten nach 10 Jahren?
Sobald die Aufbewahrungspflicht abläuft, entscheidet die Ärztin oder der Arzt selbstständig, was mit den Akten passiert. Generell lohnt es sich, das eigene Archiv zu entlasten und die Unterlagen ordnungsgemäß zu entsorgen. Soweit die Dokumente keine Unterlagen Dritter enthalten, können Sie sie auch an die Patientin oder den Patienten aushändigen.
Wie müssen Patientenakten vernichtet werden?
Praxen und Klinken stehen in der Pflicht, Patientenakten so zu entsorgen, dass sie von unbefugten Personen nicht mehr rekonstruiert werden können. Nur so gewährleisten Sie eine DSGVO-konforme Aktenvernichtung für die Arztpraxis. Dabei gilt es, die Daten der betroffenen Personen auf allen Unterlagen zu schützen: Werfen Sie also auch keine Telefonnotizen, falsch beschriftete Briefumschläge oder beim Drucken entstandene Fehlexemplare einfach in den Papiermüll. Auch diese Formen der Unterlagen enthalten meist sensible Patientendaten.
Sorgen Sie außerdem für eine Beaufsichtigung der Akten- oder Datenvernichtung. Dazu übertragen Sie die Verantwortlichkeit für das Management von Dokumenten auf zwei Personen. Diese übernehmen dann die Aufgabe, die Akten regelmäßig durchzusehen, zu ordnen und auszulagern beziehungsweise zu vernichten. Schulen Sie die entsprechenden Mitarbeiterinnen und Mitarbeiter regelmäßig zur Einhaltung der Datenschutzgrundverordnung in der Praxis.
Die Norm der DIN 66399 gilt nicht nur für marktwirtschaftliche Unternehmen, sondern auch für die Aktenvernichtung in der Arztpraxis. Diese definiert die Schutzklassen und Sicherheitsstufen, nach denen bestimmte Datenträger (auch Papier) vernichtet werden. Jede Sicherheitsstufe gibt demnach genau an, welche technischen Anforderungen die Serviceleistungen oder Geräte erfüllen sollen.
Aufzeichnungen auf anderen Materialien als Papier
Achten Sie nicht nur darauf, die Daten der Patientenschaft auf den Unterlagen und Akten zu schützen. Auch auf anderen Datenträgern wie Festplatten reicht es nicht aus, die Inhalte einfach zu löschen. Denn dabei bleiben die Daten zunächst trotzdem erhalten: Erst eine mehrfache Überschreibung mit spezialisierten Programmen stellen sicher, dass die Dateien nicht mehr ausgelesen werden können. Spielt der Anschaffungspreis keine Rolle oder sind die Datenträger veraltet, können Sie auch Disketten, Kassetten, CDs oder Festplatten schreddern lassen.
Ein Gerät, was neben Papier auch diese Materialien vernichtet, lohnt sich für Praxen meist nicht. Geben Sie bei einer Firma für Aktenvernichtung lieber zusätzlich an, wie viele Datenträger dieser Art Sie zusätzlich zum Papier vernichten wollen. Bei Röntgenaufnahmen und anderen Mikrofilmen gelten ähnliche Regeln wie bei Papierakten. Gänge Filme sind mit Silberoxid beschichtet und können sogar recycelt werden. Achten Sie dabei lediglich darauf, den darauf enthaltenen Personenbezug vorher zu entfernen.
Aktenvernichtung als Service oder selbstständige Aktenvernichtung durch Schredder?
Die Aktenvernichtung können Sie entweder outsourcen oder mit einem geeigneten Gerät selber machen. Welche Option für Ihre Gesundheitseinrichtung infrage kommt, hängt vor allem von Ihrem Sicherheitsanspruch sowie der Menge und Art der zu vernichtenden Datenträger ab. Doch egal, ob externer Service oder professioneller Aktenvernichter: Die Vernichtung medizinischer Dokumente sollte in jedem Fall mindestens der vierten Sicherheitsstufe für besonders sensible und vertrauliche Daten entsprechen. Das heißt: Die verbleibende Teilchenfläche der Materialien beträgt dann noch maximal 160 Quadratmillimeter.
Welcher Aktenvernichtungs-Service eignet sich für das Gesundheitswesen?
Um auch bei externem Aktenvernichtungs-Service die DSGVO zu gewährleisten, schließen Sie einen Vertrag mit der Firma für die Auftragsverarbeitung im Sinne von § 11 BDSG ab. Der wichtigste Punkt liegt vor allem darin, dass die Servicefirma keine Entscheidungsbefugnis über die Daten verfügt. Stattdessen handelt diese nach Ihrer Anordnung. Außerdem sollte der Vertrag eine Verschwiegenheitsverpflichtung beinhalten sowie Klauseln für mögliche Vertragsstrafen. Als wichtigstes Qualitätskriterium bei der Aktenvernichtung als Service gilt ein Zertifizierungssiegel durch den TÜV oder durch die Gesellschaft für Datenschutz und Datensicherheit.
Übrigens: Viele Firmen, die die Aktenvernichtung als Service anbieten, recyceln die entsprechenden Materialien. Indem Sie mit solchen Dienstleistungsunternehmen zusammenarbeiten, tragen Sie auch einen Teil zur Nachhaltigkeit in Ihrer Arztpraxis bei.
Wenn Sie keinen Aktenvernichter anschaffen oder sich den Arbeitsaufwand ersparen wollen, greifen Sie auf einen externen Dienstleister zurück. Für Einrichtungen des Gesundheitswesens eignet sich vor allem die Aktenvernichtung vor Ort. Dabei fährt ein spezieller Laster mit eingebautem Schredder vor und vernichtet die Unterlagen unter Ihrer Aufsicht. Dieser Prozess wird zusätzlich schriftlich dokumentiert und an Sie übergeben.
Falls Sie sich dennoch für eine Abholung entscheiden, wählen Sie vor allem solche Firmen, die Ihnen verschlossene Behältnisse zur Verfügung stellen. Diese Sicherheitsbehälter sollten nur über eine Einwurföffnung und ein integriertes Schloss verfügen. Außerdem übergeben Sie die Behältnisse verschlossen und die Firma entsorgt die darin enthaltenen Unterlagen nur maschinell ohne menschliche Arbeitsvorgänge. Zusätzlich lassen zertifizierte Firmen den Prozess per Video überwachen, um den höchstmöglichen Datenschutz zu gewährleisten.

Passender Service für die Aktenvernichtung
Was muss der Schredder für Akten mit Gesundheitsdaten erfüllen?
Was für den Service gilt, gilt zunächst auch beim Aktenvernichter für die Arztpraxis: Die Geräte sollten mindestens der vierten Sicherheitsstufe entsprechen. Um besonders sicherzugehen, greifen medizinische Einrichtungen sogar lieber zu P5-Modellen. Außerdem erfüllen nur solche Schredder die DSGVO zur Vernichtung personenbezogener Daten, die die Unterlagen im Partikelschnitt vernichten. Für die Auswahl des passenden Aktenvernichters spielen verschiedene Aspekte eine Rolle:
- Größe des Auffangbehälters
- Häufigkeit der Nutzung
- Schnittart
- Sicherheitsstufe
- Art der Materialien (siehe Klassifizierungsbuchstaben)

Moderne Aktenvernichter für Ihre Arztpraxis
Unser Fazit
Solange Sie die entsprechenden Standards für personenbezogene Daten in Arztpraxen, Kliniken und anderen medizinischen Einrichtungen beachten, senken Sie das Risiko dafür, dass unbefugte Dritte die Unterlagen einsehen können. Dies gilt auch für alle anderen Unterlagen, die Sie etwa im Zuge der Digitalisierung Ihrer Arztpraxis aus der bisherigen analogen Form in die digitale Umgebung implementieren. Um die Daten Ihrer Patientinnen und Patienten, aber auch des Personals zu schützen, ist es also nicht nur wichtig, die Aufbewahrungsfristen zu achten, sondern die Daten auch gesetzeskonform zu vernichten.
Dafür stehen Ihnen verschiedene Services sowie Aktenvernichter zur Auswahl. Welchen Weg Sie dabei wählen, hängt von Ihrer Menge sowie der Regelmäßigkeit Ihrer Aktenvernichtung ab. Für kleine und mittelständische Praxen eignet sich zum Beispiel eine Kombination: Für den alltäglichen Gebrauch und kleinere Mengen nutzen Sie einen Büroaktenvernichter und für die Vernichtung größerer Mengen etwa nach Ablauf bestimmter Aufbewahrungsfristen engagieren Sie einen Service.