Mit der DSGVO ist der Wunsch von Patienten nach Löschung von Gesundheitsdaten bei Ärzten und in Krankenhäusern stärker in den Fokus gerückt. Gleichzeitig sind Ärzte unsicher, ob und wenn ja, wann Daten gelöscht werden dürfen.
Arztpraxen und Krankenhäusern haben die Befugnis, besondere Kategorien personenbezogener Daten in Form der Patientendaten zu verarbeiten. Das ergibt sich aus Art. 9 Abs. 2 lit. h) DSGVO in Verbindung mit dem schriftlich oder mündlich geschlossenen Behandlungsvertrag.
Einwilligung nur bei Weitergabe an Dritte
Eine weitergehende Einwilligung in die Datenverarbeitung oder Entbindung von der Schweigepflicht ist nur dann erforderlich, wenn der Arzt oder das Krankenhaus die Daten des Patienten an dritte Stellen übermitteln möchte, die bisher nicht in den Behandlungsvertrag eingebunden sind. Exemplarisch kommen hier die Datenübermittlung an den Hausarzt zur Dokumentation ohne Weiterbehandlung oder die Übermittlung der Abrechnungsdaten an ein externes Unternehmen oder eine privatärztliche Verrechnungsstelle in Betracht.
Der Verantwortliche muss nachweisen können, dass diese Einwilligung vorliegt. Deshalb ist in diesen Fällen weiterhin die Schriftform zu wählen, auch wenn die DSGVO oder die einschlägigen Fachgesetze dies nicht mehr explizit vorsehen.
Pflicht zur Dokumentation
Arztpraxen und Krankenhäuser sind verpflichtet, eine eigene medizinische Dokumentation zu führen. Diese Pflicht ergibt sich sowohl aus § 630f Abs. 1 BGB, als auch aus den entsprechenden Vorschriften der einschlägigen Berufsordnungen. Behandlungsrelevante Unterlagen von Patienten oder Dritten können ebenso Teil der Dokumentation werden wie die eigenen Aufzeichnungen.
Die Aufzeichnungen unterliegen verschiedenen Aufbewahrungsfristen.
Nach § 630f Abs. 3 BGB sind Patientendaten immer mindestens zehn Jahre nach Abschluss der Behandlung aufzubewahren. Das Strahlenschutzgesetz sieht für bestimmte Daten, wie beispielsweise Aufzeichnungen über Röntgenbehandlungen, sogar eine Mindestaufbewahrungsfrist von 30 Jahren vor.
Zur Abwehr von Schadensersatzansprüchen kann nach § 823 BGB in Verbindung mit § 199 Abs. 2 BGB in begründeten Fällen auch für andere Daten eine Aufbewahrungsfrist von 30 Jahren zulässig sein. Sofern eine Aufbewahrung nach Ablauf der gesetzlichen Frist im berechtigten Interesse des Patienten zu vermuten ist, dürfen die Daten ebenfalls länger aufbewahrt werden.
Fristen im VVT dokumentieren
Die Gründe und die Dauer der Datenspeicherung nach diesen Vorschriften sind von den Verantwortlichen im Verzeichnis der Verarbeitungstätigkeiten (VVT) darzulegen. Die Fristen gelten unabhängig davon, auf welchem Medium die Patientendaten gespeichert werden. Eine Löschung vor Ablauf der Aufbewahrungspflicht ist nicht zulässig
Löschung von Daten
Art. 5 Abs. 1 lit. c) DSGVO besagt, dass Daten nur so lange in einer Form, die die Identifizierung ermöglicht, gespeichert werden dürfen, wie es für die Zwecke der Datenverarbeitung erforderlich ist (Datensparsamkeit). Das bedeutet, dass Daten grundsätzlich nach Abschluss der Behandlung zu löschen wären. Die genannten Aufbewahrungspflichten stehen einer Löschung jedoch entgegen, sodass die Pflicht aus Art. 5 DSGVO erst nach Ablauf der Aufbewahrungsfristen greifen kann.
Unabhängig von der allgemeinen Pflicht der Verantwortlichen zur Datensparsamkeit, haben Betroffene gem. Art. 17 Abs. 1 lit. a) DSGVO auch das Recht auf Löschung. Sie können von den Verantwortlichen verlangen, dass die sie betreffenden personenbezogenen Daten gelöscht werden, wenn diese zur Aufgabenerfüllung nicht mehr erforderlich sind.
In diesem Bereich gibt es regelmäßig Beschwerden, da die Betroffenen bei Ihren Anträgen gegenüber den Verantwortlichen häufig übersehen, dass der Anspruch auf Löschung eingeschränkt wird, wenn Aufbewahrungspflichten dem entgegenstehen (Art. 17 Abs. 3 lit. b) DSGVO). Das bedeutet: Patienten haben erst nach Ablauf dieser Fristen einen Anspruch auf Löschung ihrer Daten.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
- Externen Datenschutzbeauftragten beauftragen
Dieser Absatz enthält Affiliatelinks/Werbelinks