FRAGE | Bislang habe ich noch nichts zur Vernichtung von Patientenakten nach der Datenschutz-Grundverordnung (DS-GVO) gefunden. Welche Vorgaben macht die DS-GVO hierzu?

ANTWORT | Zunächst einmal kommt es darauf an, ob Sie die Patientenakten nach Ende der regelmäßigen Aufbewahrungsfrist von zehn Jahren (bei Aufzeichnungen über Röntgenbehandlungen von 30 Jahren) selbst vernichten oder einen externen Dienstleister damit beauftragen.Wenn Sie die Akten selbst vernichten, halten Sie sich an die DIN 66399, die weiterhin gilt. Diese Norm teilt Datenträger je nach Schutzbedürftigkeit in drei Schutzklassen und sieben Sicherheitsstufen ein: Patientenakten gehören zur Sicherheitsstufe vier, Bewerbungen und Personalunterlagen zur Sicherheitsstufe drei. Achten Sie darauf, dass Sie den richtigen Aktenvernichter verwenden. Nur Aktenvernichter mit Partikelschnitt und der Sicherheitsstufe vier oder höher erfüllen die Kriterien der DS-GVO zur Vernichtung personenbezogener Daten. Viele Geräte sind aber nur auf die geringeren Stufen eins und zwei ausgelegt (Streifen und große Partikel) und genügen nicht für die Vernichtung von Patientenakten.

Vernichtet ein Dienstleister die Patientenakten, handelt es sich um eine Auftragsverarbeitung (AV) – und zwar unabhängig davon, ob der Dienstleister die Unterlagen in Ihrer Praxis vernichtet oder sie zur Entsorgung abholt und an einem anderen Ort endgültig entsorgt. Daher müssen Sie als Auftraggeber (Verantwortlicher) nach Art. 28 Abs. 3 DS-GVO mit dem Auftragnehmer (Auftragsverarbeiter) einen Vertrag schließen. Wählen Sie den Dienstleister sorgfältig aus. Ein wichtiges Qualitätskriterium ist z. B. eine Zertifizierung (durch den TÜV oder die Gesellschaft für Datenschutz und Datensicherheit e. V. [GDD]).

Weiterführende Hinweise

• Eine Übersicht des TÜV Süd zu den Schutzklassen und Sicherheitsstufen von Datenträgern finden Sie online unter www.iww.de/s1871.

• „Datenschutzbehörden prüfen Arztpraxen per Fragebogen“ in RWF Nr. 01/2019