Anzeige

Vernichtung von Papier-Akten: Ist Ihr Entsorger up to date?

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Anzeige

Der Arzt haftet bis zum letzten Krümel: Seit 2012 gibt es zur Vernichtung von Papierakten eine neue DIN. Wissen Sie, ob Ihr Entsorger diesen Ansprüchen nachkommt? Ihre Schweigepflicht endet erst mit der finalen Vernichtung der Daten, riskieren Sie keine unbefugte Offenbarung!

Unter der Überschrift „Patientenakten aus der Konfetti-Kanone“ berichteten im Februar dieses Jahres „heise online“ und die „Thüringer Allgemeine“, dass eine Frau nach dem Faschingsumzug Konfetti-Papierschnipsel gefunden hatte, auf denen Namen und Adressen lesbar waren und die offenbar aus Akten eines zum Klinikum Bad Salzungen gehörenden MVZ stammten. Zugegebenermaßen eine nette Anekdote. Aber auch ein Beispiel dafür, wie Patientenakten durch unsachgemäßen Umgang der Öffentlichkeit „unbefugt offenbart“ wurden, um mit § 203 Strafgesetzbuch zu sprechen.

Jeder zweite Datenpanne durch Papierakten verursacht

Auf der Tagung „Datenschutz in der Medizin – Update 2016“ berichtete Sabine Sülberg von dem Unternehmen Akten-Ex von einer amerikanischen Studie aus dem Jahr 2015, wonach die Hälfte aller Datenpannen papierbasiert ist – und nicht digital verursacht. Denn die fortschreitende Digitalisierung lasse nicht weniger Papierdaten entstehen, sondern mache es leicht, immer mehr Daten zu produzieren.

Problematisch ist für den Arzt: Nach § 203 StGB haftet er bis zur finalen Vernichtung des bei ihm entstandenen Datenmaterials – und das bezieht sich natürlich auch auf papierbasierte Daten.

Prüfen Sie Ihren Entsorgervertrag!

Sie meinen, das sei in Ihrer Praxis kein Problem, weil Sie einen Dienstleister mit der Entsorgung Ihrer Papierdaten beauftragt haben? Achtung, warnt Sülberg: Ist der Vertrag mit dem Entsorger älter als aus dem Jahr 2012, sollte man ihn überprüfen! Denn zu diesem Zeitpunkt wurde eine neue DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ ausgearbeitet. Anstatt wie bisher fünf definiert die neue Norm nun sieben Sicherheitsstufen. Für personenbezogene Daten mit medizinischem Hintergrund ist die „Schutzklasse 3“ einzuhalten, was zur Folge hat, dass die Datenvernichtung mit den Sicherheitsstufen 4 bis 7 erfolgen muss (siehe Kasten).

Komplizierte, aber wichtige Spezifizierung, damit sich aus Ihren Akten nicht so leicht Konfetti machen lässt: Nach der Norm darf sich Sicherheitsstufe 3, bei der Papierschnipsel verwirbelt und verpresst werden, auch P-4 nennen. Das Problem ist, dass die Teilchengröße so bei 320 mm2 bleibt, und somit eine Rekonstruierbarkeit nicht mehr nur „mit außergewöhnlichem Aufwand“ möglich ist, wie es die Schutzklasse 3 für Patientenakten aber erfordert. Erforderlich ist also die „echte“ P-4 mit einer Teilchengröße von 160 mm2.

Standesinstitutionen empfehlen hohe Sicherheitsstufen

Zwar schreibt die DIN nur einen Standard fest – trotzdem bietet sie eine Orientierung, die auch juris­tisch herangezogen werden kann. Standesinstitutionen ist das bewusst und sie geben ihren Mitgliedern entsprechende Empfehlungen. So erklärt die KV Bayerns, dass Datenträger nach Schutzklasse 3 und Sicherheitsstufe 4 (Partikelgröße 160 mm2) und kleine Mengen sogar nach Sicherheitsstufe 5 (Partikelgröße 30 mm2) vernichtet werden müssen.1 Und die Deutsche Krankenhausgesellschaft empfiehlt, Patientenakten nach einer Sicherheitsstufe zu vernichten, die nach aktueller Norm mindestens P-5 entspricht,2 genauso wie das ULD Schleswig-Holstein3.

Doch nicht jeder Entsorgungsdienstleister hält mit den gewachsenen Ansprüchen Schritt. Städtische bzw. kleinere Unternehmen sind manchmal nicht entsprechend ausgestattet, um richtliniengerecht mit sensiblen Daten umzugehen.

Wenn Sie also bei der Überprüfung Ihres Entsorgervertrages bzw. Ihres Zertifikats feststellen, dass die Entsorgung nicht den Anforderungen entspricht und der Entsorger auch nicht in der Lage ist, das zu ändern, bleibt die Möglichkeit, zu wechseln.

Entsorger muss Einhaltung der DIN zusagen können

Denn Verträge zur Aktenvernichtung, die vor 2012 abgeschlossen wurden, behalten zwar ihre Gültigkeit, da aber der Auftraggeber als verantwortliche Stelle für die datenschutzkonforme Vernichtung seiner Datenträger verantwortlich ist, muss er sich vom Auftragnehmer die Einhaltung der DIN zusichern lassen.

Masse statt Klasse? Patientendaten schützen!

Macht Ihnen ein Entsorger ein kos­tengünstiges Angebot, damit es Ihnen leichter fällt, große Mengen zur Entsorgung zu geben, sollten Sie darauf achten, dass dies nicht zulasten des Datenschutzes geht. Denn gewinnversprechend sind für den Entsorger zwar einerseits höhere Einnahmen für die Vernichtung mit höheren Schutzklassen. Gewinne machen die Unternehmen aber auch durch den Weiterverkauf des Papiermaterials z.B. an China.

Wobei davon auszugehen ist, dass sobald im Mai 2018 die neue EU-Datenschutzverordnung in Kraft getreten ist, die Entsorger ganz sicher auf den Datenschutz achten werden: Dann wird nämlich die Verantwortung für die Vernichtung zu Teilen auf den Entsorger übergehen.

1) Datenschutz in der Arzt-/Psychotherapeutenpraxis, KV Bayerns, 2015

2) Deutsche Krankenhaus Verlagsgesellschaft mbH, Datenschutz im Krankenhaus, 2012

3) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Blaue Reihe 8, Datenschutz für Patienten, 2015


Quelle: Tagung Datenschutz in der Medizin – Update 2016 Wiesbaden

Anzeige