Kategorien
Datenschutzrecht

Löschpflicht, Löschkonzept und Aufbewahrungspflichten

Aufbewahrungs- und Löschpflicht  und Datenschutz in der Arztpraxis

Warum müssen Patientendaten gelöscht werden? Daten, die nicht mehr gebraucht werden (weil die Behandlung abgeschlossen ist und die Aufbewahrungsfristen abgelaufen sind), können gleichwohl noch gefährdet sein, gehackt und missbraucht werden und um das zu vermeiden sind sie zu löschen. Außerdem entfällt auch die Rechtsgrundlage zur Datenverarbeitung, wenn der Verarbeitungszweck erfüllt, erledigt oder entfallen ist.

Warum benötigte eine datenverarbeitende Stelle ein Löschkonzept? Die EU-Datenschutzgrundverordnung (DSGVO) verpflichtet die Verantwortlichen (Art. 4 Nr. 7 DSGVO, Unternehmen, Praxisinhaber) personenbezogene Daten (Art. 4 Nr. 1 DSGVO, z.B. Beschäftigtendaten, Patientendaten) nur so langen zu verarbeiten, wie dies zur Erfüllung der festgelegten Zwecke der Datenverarbeitung erforderlich ist. Dies ergibt sich aus dem Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1e) DSGVO. Der Verantwortliche muss die Einhaltung der Speicherbegrenzung nachweisen können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Der Verantwortliche muss weiter nach Art. 24 DSGVO  geeignete technische und organisatorische Maßnahmen ergreifen und umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Datenverarbeitung – dazu gehört nach Art. 4 Nr. 2 DSGVO auch die Löschung – gemäß der DSGVO erfolgt. Nach Art. 25 Abs. 1 DSGVO sind dabei die Datenschutzgrundsätze – also inklusive der Speicherbegrenzung) – in die betriebliche Praxis umzusetzen und nach Art. 25 Abs. 2 Satz 2 DSGVO betrifft die Verpflichtung insbesondere auch die Speicherfristen von personenbezogenen Daten.

Pflicht zur Datenlöschung, Art. 17 DSGVO

Löschanspruch: Nach Art. 17 Abs. 1 Alternative 1 DSGVO hat der Betroffene das Recht auf Vergessenwerden und kann vom Verantwortlichen verlangen, dass die ihn / sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden.

Löschpflicht: Nach Art. 17 Abs. 1 Alt. 2 DSGVO ist der Verantwortliche verpflichtet, von sich aus – ohne Aufforderung durch den Betroffenen – unverzüglich personenbezogene Daten zu löschen, wenn z.B. die weitere Speicherung für die Erfüllung des Verarbeitungszwecks nicht mehr erforderlich ist oder wenn die Rechtsgrundlage z.B. durch Widerruf oder Widerspruch entfallen ist.

Ausnahmen: Dies gilt nicht, wenn und solange eine der Ausnahme vom Löschanspruch vorliegt. Nach Art. 17 Abs. 3 DSGVO müssen Daten z.B. nicht gelöscht werden, wenn

  • diese zur Ausübung der Meinungsäußerungs- und Informationsfreiheit benötigt werden,
  • die Daten zu Erfüllung rechtlicher Pflichten verarbeitet werden (insb. gesetzliche Aufbewahrungspflichten),
  • die Verarbeitung im Interesse der öffentlichen Gesundheit erforderlich ist,
  • im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statische Zwecke durch die Datenlöschung beeinträchtigt würden oder
  • wenn die Daten noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden könnten.

30 Jahre Aufbewahrungsdauer?

Beim letzten Punk spielen die gesetzlichen Verjährungsansprüche mit in die Betrachtung. Solange der Datenverarbeiter (Verantwortlicher) z.B. im Rahmen der regelmäßigen Verjährungsfrist von 3 Jahren auf z.B. Schadensersatz verklagt werden kann, könnte er ein Interesse haben, die Daten, die er zur Verteidigung gegen derartige Ansprüche benötigt, noch weiter aufzubewahren. Bei Gesundheitsschäden kann die Verjährungsfrist bis zu 30 Jahren betragen. Nur: diese müssen nach Auffassung der Datenschutzaufsicht Hessen (s.u.) auch sich realistisch abzeichnen und dürfen nicht standardmäßig zur Speicherung aller Patientendaten über 30 Jahre herangezogen werden. Das Verjährungsrecht sollte also bei der Erstellung eines Löschkonzepts berücksichtigt werden.

Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel legte am 8. Juni 2022 seinen 50. Tätigkeitsbericht zum Datenschutz und seinen 4. Tätigkeitsbericht zur Informationsfreiheit vor: https://www.zaftda.de/tb-bundeslaender/hessen/landesdatenschutzbeauftragter-2 (Hervorhebungen durch den Autor)

17.4
Aufbewahrungsdauer der Patientenakte in Zahnarztpraxis

Eine Aufbewahrung der Patientendaten einer Zahnarztpraxis nach Ablauf der gesetzlichen zehnjährigen Aufbewahrungsfrist (§ 630f Abs. 3 BGB) ist grundsätzlich nicht zulässig. Auch die zivilrechtlichen Verjährungsfristen von Schadensersatzansprüchen rechtfertigen regelmäßig keine längere Aufbewahrung der Daten durch die Zahnarztpraxis.

Eine längere Aufbewahrung ist vielmehr nur im Einzelfall zulässig, soweit hierfür besondere medizinische Gründe bestehen oder konkrete Anhaltspunkte für eine rechtliche Auseinandersetzung vorliegen. In diesen Fällen hat die Zahnarztpraxis die Begründung der längeren Aufbewahrung zu dokumentieren.

Anlässlich einer Eingabe habe ich das Verfahrensverzeichnis einer Zahnarztpraxis geprüft. Im Verfahrensverzeichnis war vorgesehen, dass die Patientendaten auch nach Ablauf der zehnjährigen Aufbewahrungsfrist noch archiviert aufbewahrt werden.

Die Zahnarztpraxis teilte mir mit, dass die Patientendaten bis zu 30 Jahre nach Beendigung des Behandlungsverhältnisses aufbewahrt würden. Diese lange Aufbewahrung sei aufgrund der späten Verjährung entsprechender Schadensersatzansprüche erforderlich. Nach § 199 Abs. 2 BGB beträgt die Höchstfrist der Verjährung von Schadensersatzansprüche wegen der Verletzung des Lebens, des Körpers oder der Gesundheit 30 Jahre.

Grundsätzlich sind personenbezogene Daten nach den Prinzipien der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und Speicherbegrenzung (Art. 5 Abs. 1 lit.e DS-GVO) zu löschen, wenn die Zwecke der Datenverarbeitung erreicht sind (Art. 17 Abs. 1 lit. a DS-GVO) und keine gesetzlichen Aufbewahrungspflichten gemäß Art. 17 Abs. 3 lit. b DS-GVO eine längere Speicherung verlangen. In der Regel sind daher die Patientendaten mit dem Ende der folgenden Aufbewahrungsfristen nach zehn Jahren zu löschen.  page203image1889728.png

S. 188

Nach 630f Abs. 3 BGB und § 12 Abs. 1 der Berufsordnung für hessische Zahnärztinnen und Zahnärzte sind die Patientenakten für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen.

Der Beginn der Aufbewahrungsfrist setzt den Abschluss der Behandlung voraus. Dabei ist zu differenzieren, ob es sich um einen einzelnen abgeschlossenen Behandlungsvorgang wegen eines konkreten Leidens handelt oder um eine Dauerbehandlung z. B. wegen einer chronischen Erkrankung.

Bei Einzelerkrankungen beginnt die Aufbewahrungsfrist mit Abschluss des konkreten Behandlungsvorgangs.

Bei einer dauerhaften oder zeitlich gestreckten Behandlung kommt es auf den Tag an, an dem der Patient letztmalig zu diesem Krankheitsvorgang behandelt wurde (Rehborn/Kern in: Laufs/Kern/Rehborn Handbuch des Arztrechts, 5. Auflage 2019, § 61, Rn. 31). Dies ist der erste Tag der 10-Jahres-Frist. Der letzte Patientenkontakt, der aus einem anderen Grunde erfolgt, ist demgegenüber nicht maßgeblich (Spickhoff in: Spickhoff, Medizinrecht, 3. Aufl. 2018, BGB § 630f Rn. 7).

Nach § 85 Abs. 2 Satz 1 Nr. 2 Strahlenschutzgesetz (StrlSchG) sind Auf- zeichnungen sowie Röntgenbilder, digitale Bilddaten und sonstige Untersuchungsdaten bei einer volljährigen Person für eine Dauer von zehn Jahren (a) und bei einer bei einer minderjährigen Person bis zur Vollendung ihres 28. Lebensjahres (b) aufzubewahren. Eine 30-jährige Aufbewahrungsfrist gilt für diese Unterlagen nur im Falle von Behandlungen mit ionisierender Strahlung oder radioaktiven Stoffen (§ 85 Abs. 2 Satz 1 Nr. 1 StrlSchG).

Im Einzelfall können für Zahnarztpraxen weitere spezialgesetzliche Aufbewahrungspflichten gelten, die dann für die betreffenden Daten zu berücksichtigen sind.

Sollte für die Erreichung des Zwecks, für den die Patientendaten erhoben wurden, die Aufbewahrung noch notwendig sein, müssen diese nicht gelöscht werden (vgl. Art. 17 Abs. 1 lit.a DS-GVO). Dies kann insbesondere dann der Fall sein, wenn die Gesundheitsdaten wichtige Informationen enthalten, bezüglich derer davon ausgegangen werden kann, dass auch nach Ablauf gesetzlicher Aufbewahrungsfristen das Interesse des Patienten an der Speicherung das Interesse an der Löschung überwiegt (z.B. wenn es sich im Verlauf der Behandlung abzeichnet, dass die längere Aufbewahrung der Patientenunterlagen zur zukünftigen Behandlung eines Patienten besonders wichtig ist).

Dies ist aber nicht der Regelfall, sondern kann nur bei besonderen medizinischen Gründen im Einzelfallgelten. In einem Löschkonzept sind über page203image1889728.png

S. 189

die Aufbewahrungsfristen hinausgehende Löschfristen entsprechend zu begründen und zu dokumentieren.

Eine pauschale Aufbewahrung der personenbezogenen Patientendaten über die Frist des § 630f Abs. 3 BGB hinaus aufgrund der 30-jährigen Verjährungshöchstfrist des § 199 Abs. 2 BGB ist nicht zulässig.

Nach Art. 17 Abs. 3 lit.e DS-GVO gilt die Löschpflicht nach Art. 17 Abs. 1 DS-GVO nicht, wenn die Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Anmerkung Seiler: z.B. Honorarklage, Arzthaftungsprozess) erforderlich ist. Dies setzt aber voraus, dass ein Streitfall schon besteht oder konkret absehbar ist. Eine generelle vorsorgliche Anwendung für den Fall, dass theoretisch noch ein Anspruch gegen den Behandelnden geltend gemacht werden könnte, ist nicht zulässig.

Eine Aufbewahrung der Patientendaten nach Ablauf der zehnjährigen Aufbewahrungsfrist kann mithin im Einzelfall zulässig sein, wenn die Zahnarztpraxis nach einer Abwägung der widerstreitenden Interessen (Wahrscheinlichkeit der Geltendmachung von Rechtsansprüchen gegenüber dem anhaltenden Grundrechtseingriff durch Speicherung) zu dem entsprechenden Ergebnis kommt.

Auch die Beweislastumkehr nach § 630h Abs. 3 BGB führt zu keiner anderen Bewertung. Diese Beweislastumkehr im Falle fehlender Behandlungsdokumentation gilt nicht mehr, wenn die zehnjährige Aufbewahrungspflicht des § 630f Abs. 3 BGB abgelaufen ist (vgl. Gesetzesbegründung „Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten“ vom 15.08.2012, BT-Drs. 17/10488, S.30).

Den Behandelnden trifft insoweit nach Ablauf der zehnjährigen Frist des § 630f Abs. 3 BGB aus dem Nichtvorhandensein der Dokumentation kein Nachteil. Löscht oder vernichtet er die Dokumentation der Behandlung nach Ablauf der Frist, greift die Beweislastregelung des § 630h Abs. 3 BGB nicht mehr.

Aufgrund regelmäßiger Anfragen zu diesem Themenkomplex habe ich die Bundeszahnärztekammer und die Landeszahnärztekammer Hessen um Stellungnahme gebeten. Beide Kammern sehen ebenfalls bei Zahnärzten keine Erforderlichkeit für eine Aufbewahrung, die über zehn Jahre hinausgeht. Die Landeszahnärztekammer Hessen hat klargestellt, dass auch sie im Einzelfall, bei entsprechender Behandlungsrelevanz, eine längere Aufbewahrung aus medizinischen Gründen als zulässig ansieht.

Ich habe die Zahnarztpraxis über die Rechtslage informiert und zur Anpassung der Löschprozesse aufgefordert. Daraufhin hat mir die Zahnarztpraxis mitgeteilt, dass sie ihre Löschfristen hinsichtlich der Patientendaten entspre- chend anpasst.

Bußgeldrisiko bei fehlendem Löschkonzept

Die Verletzung der Datenschutzgrundsätze des Art. 5 DSGVO, wozu die Speicherbegrenzung und die Rechenschaftspflicht gehören, ist mit einem theoretischen Bußgeldrisiko von bis zu 20 Millionen Euro oder 4% des Jahresgesamtumsatzes bedroht, Art. 83 Abs. 5a) DSGVO.

Wenn z.B. bei einem Hackerangriff neben den noch aufzubewahrenden Daten auch Daten, die schon längst hätten gelöscht werden müssen, in unberechtigte Hände kommen, erhöht das nicht nur die Anzahl der über die Datenpanne zu benachrichtigenden Personen nach Art. 34 DSGVO bei erheblichen Datenpannen, sondern damit zugleich auch das mögliche Bußgeld. Dessen Höhe kann nach Art. 82 Abs. 2 DSGVO u.a. von der Anzahl der betroffenen Personen und den (unzureichenden) technischen und organisatorischen Datenschutzmaßnahmen abhängig gemacht werden.

U.a. die Nichtumsetzung der Löschpflicht führte zu einem Bußgeld über 14,5 Millionen Euro gegen die Deutsche Wohnen, über das noch vor Gericht gestritten wird. Gegen die Delivery Hero GmbH wurde u.a. deshalb ein Bußgeld von über 195 Tausend Euro verhängt, weil personenbezogene Daten ehemaliger Kunder nicht gelöscht wurden. Gegen eine Dänische Bank wurde ein Bußgeld von über 1,3 Millionen Euro verhängt, weil sie keine dokumentierten Regelung zur Speicherung und Löschung personenbezogener Daten hatte.

Der Bußgeldfall „Deutsche Wohnen“ zeigt die möglichen Dimensionen: Die Deutsche Wohnen SE hatte ohne Rechtsgrundlage persönliche Daten ihrer Ex-Mieter aufbewahrt (z.B. Gehaltsnachweise etc.) und trotz vorangegangener Beanstandung durch die Datenschutzaufsicht diese Daten nicht gelöscht. Der Bußgeldbescheid  wurde zwar vom LG Berlin aufgehoben, jedoch gehen die Staatsanwaltschaft und die Datenschutzaufsicht gegen diese Entscheidung vor – die Aufhebung des Bußgeldbescheides ist also noch nicht rechtskräftig und ist vorallem als formalen Gründen erfolgt und nicht weil die fortgesetzte Datenspeicherung rechtens war. Der Fall zeigt aber, welche Konsequenzen sich aus einem fehlenden oder unzureichenden Löschkonzept und Löschprozess ergeben können.

Schadensersatz bei unterlassener Datenlöschung

Nach Art. 82 DSGVO besteht die Möglichkeit, von betroffenen Personen, die einen irgendwie gearteten materiellen oder immateriellen Schaden erlitten haben auf Schadensersatz (bzw. Schmerzensgeld bei immateriellen Schäden) in Anspruch genommen zu werden.

Dokumentation eines Löschkonzeptes

Daher ist die Dokumentation eines Löschkonzeptes erforderlich (siehe Muster für Arztpraxen). Bei einem Löschkonzept ist es wichtig zunächst zu analysieren, welche Daten man überhaupt gespeichert hat, wer für diesen Daten innerhalb der eigenen Organisation (Arztpraxis, Unternehmen) verantwortlich ist und wielange diese Daten aufbewahrt werden müssen oder sollen. Hierzu muss man sich für einzelnen Datenarten die in vielen Fällen bestehenden gesetzlichen Aufbewahrungspflichten (z.B. steuerrechtlich, berufsrechtlich) bewusstmachen und regeln, wer wann die Daten in welcher Form datenschutzkonform löscht bzw. vernichtet. Neben den gesetzlichen Aufbewahrungspflichten gilt es auch eigene Aufbewahrungsinteressen, z.B. zur Beweissicherung und zur Abwehr unberechtigter Ansprüche mit Blick auf die Verjährungsfristen zu beachten. Dabei ist das Recht der Betroffenen auf Löschung bzw. auf Vergessenwerden nach Art. 17 DSGVO zu berücksichtigen, welches seine Grenze an den gesetzlichen Aufbewahrungspflichten findet.

Eine Orientierung an der DIN-Norm 66399 (Vernichtung von Datenträgern) zur Datenlöschung, an dem Baustein 60des Standard-Datenschutzmodels der Datenschutzaufsichtsbehörden zur Löschung und Vernichtung von Daten sowie an den Empfehlungen zur Löschung von Daten des Bundesamtes für Sicherheit in der Informationsgesellschaft (BSI) im BSI-Grundschutzkompendium Baustein „Löschen und Vernichten“ CON. 6 ist zu empfehlen.

Nach Art. 30 Abs. 1 f) DSGVO ist im Verzeichnis der Verarbeitungstätigkeiten (3Verarbeitungsverzeichnis) die Dauer der Datenverarbeitung anzugeben. Dies kann praktisch durch den Verweis auf das Löschkonzept erfolgen.

Zum Inhalt eines Löschkonzeptes und Löschklassen siehe den Beitrag der DPC Data Protection Consulting.

Dienstleister bei der Erfüllung des Löschkonzepts

Werden dazu externe Dienstleister (z.B. Aktenvernichtung, Schreddern) eingeschaltet, ist mit diesen ein Vertrag zur Auftragsverarbeitung, Art. 28 DSGVO nebst technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO und bei besonderen Datenarten, z.B. Gesundheitsdaten, spezifische Schutzmaßnahmen nach § 22 Abs. 2 BDSG sowie bei Berufsgeheimnisträgern (z.B. Anwälte, Steuerberater, Ärzte) zusätzlich eine Verpflichtung und Belehrung auf das Berufsgeheimnis nach § 203 StGB (Strafgesetzbuch) erforderlich.

David Seiler

Rechtsanwalt, Lehrbeauftragter

08.12.2022