Ihr Löschkonzept für die Praxis
In unserem vierten Teil der Blogserie „Datenschutz im Gesundheitswesen“ widmen wir uns dem Thema „Fristen bei der Löschung von personenbezogenen Daten“.
Die Frage, wie lange im Praxisbetrieb oder auch in anderen Unternehmen personenbezogenen Daten gespeichert werden dürfen, hören wir als Datenschutzbeauftragte häufig. Und die Antwort auf diese Frage ist nicht immer ganz einfach. Denn im Datenschutz gilt der Grundsatz, dass nur “so viele Daten wie nötig und so wenige wie möglich” gespeichert werden dürfen.
Diese Aussage ist natürlich mehr als schwammig. Im Rahmen der DSGVO spricht man auch vom ausdrücklichen Recht der Patientinnen und Mitarbeiterinnen auf „Vergessenwerden“. Dieses “Vergessenwerden” zieht natürlich entsprechende Löschpflichten nach sich – wann die Daten jedoch “vergessen werden” sollten, ist von Fall zu Fall unterschiedlich. Lassen Sie uns versuchen, gemeinsam herauszufinden, wie lange personenbezogene Daten in Ihrer Praxis gespeichert werden dürfen.
Dürfen Sie einfach so alle Daten löschen?
Trotz des Rechts auf Vergessenwerden dürfen nicht einfach willkürlich Daten gelöscht werden und vermeintlich unwichtigen Daten eliminiert werden. Eine Löschung muss genauestens rechtlich geprüft werden, da es gerade im Gesundheitswesen klare Vorgaben gibt, über welchen Zeitraum hinweg bestimmte Daten sogar gespeichert werden müssen.
Was sagt die DSGVO zum Thema “Datenspeicherung und Löschung”?
Die geltende Datenschutzgrundverordnung (DSGVO) enthält leider keine speziellen Regelungen zu Aufbewahrungsfristen im Hinblick auf die von Ihnen gesammelten Daten. Nach dem in der DSGVO verankerten Grundsatz der Datenminimierung sind personenbezogene Daten jedoch zu löschen, soweit ihre Aufbewahrung nicht mehr erforderlich ist. Was bedeutet das für Ihre Praxis? In der Regel sollte das nach Ablauf der Aufbewahrungsfrist der Fall sein. Bei anhängigen Widerspruchs- und Klageverfahren sollten die Unterlagen dennoch unabhängig von den vorgenannten Aufbewahrungsfristen bis zum Abschluss der laufenden Verfahren aufbewahrt werden.
Und was heißt das nun konkret – Wie lange speichere ich meine Daten?
Es gibt einige Übersichten online, die auch immer wieder aktualisiert werden. Auf diesen Listen können Sie sich über die gängigen Fristen für die verschiedenen Arten von Daten informieren. Eine aus meiner Sicht sehr gute Übersicht finden Sie auf der Seite der Ärztekammer Sachsen Anhalt. Diese Liste wird oft aktualisiert und Sie können sich und Ihre Praxis hier gut selbst einordnen.
Löschen der Daten: Ja, aber halten Sie die Fristen ein!
Ein wichtiger Bestandteil des sogenannten Verzeichnisses für Verarbeitungstätigkeiten sind die Fristen zur Löschung der personenbezogenen Daten. Halten Sie diese also stets konkret in Ihrem VVT fest. In der folgenden Grafik sehen Sie eine Übersicht über einige der Daten, die im Gesundheitswesen häufig auftreten und darüber, wie lange diese Daten mindestens gespeichert werden sollten.
Natürlich gibt es weitere Aufbewahrungsfristen, die sich nicht unbedingt mit dem Gesundheitswesen befassen, aber dennoch in Ihrer Praxis auftreten könnten. Etwa:
- Buchhalterische Themen (Fortbildungskosten, Reisekostenabrechnung, Jahresabrechnungen etc
- Handelsbriefe (Schriftstück, mit dem ein Geschäft unter Kaufleuten in die Wege geleitet, durchgeführt oder rückgängig gemacht wird.
- Handwerkerrechnungen
- Bewerberunterlagen
- Gerichtsurteile, Beschlüsse, Ansprüche aus vollstreckbaren Vergleichen oder Urkunden
Auch bei diesen Daten ist es wichtig, die Fristen konkret einzuhalten und Sie in Ihren Dokumenten (z. B. im VVT) zu hinterlegen.
Ein Tipp für Sie – Wie können Sie vorgehen?
Werfen Sie einen detaillierten Blick auf Ihre Verarbeitungstätigkeiten und prüfen Sie, welche rechtliche Grundlage zu diesen Tätigkeiten passt. Ein Beispiel: Sie nehmen bestimmte Daten einer Patientin auf, da bei ihr eine Mamographieuntersuchung zur Krebsvorsorge durchgeführt werden soll. Laut Grafik (oben) fallen diese Art von Daten unter die Krebsfrüherkennung von Männern und Frauen und ziehen eine Löschfrist von 10 Jahren nach sich.
Sie sehen, durch diese genaue Einordnung können Sie genau evaluieren, wie lange die jeweiligen Aufbewahrungsfristen sind.
Das Ergebnis Ihrer Recherche dokumentieren Sie in Ihrem VVT und setzen die Fristen entsprechend um.
Nehmen Sie nun Ihr Dokument zur Hand, dass Sie nach der Lektüre des ersten Beitrags dieser Blogreihe erstellt haben (wenn nicht, dann können Sie das natürlich jetzt noch nachholen). Sie stellen nun bestimmt fest, dass das Dokument langsam, aber sicher länger oder breiter wird und auch deutlich komplexer, auch wenn die jeweiligen Einzel-Inhalte keinen hohen Schwierigkeitsgrad haben.
Zusammenfassung: Wann lösche ich personenbezogene Daten und wie lange darf ich sie speichern?
Leider mussten wir gemeinsam feststellen, dass Löschfristen in der DSGVO nicht eindeutig geregelt sind. Das heißt natürlich nicht, dass es keine Fristen gibt. In der Regel gibt es zu fast jedem Vorgang eindeutig geregelte Aufbewahrungsfristen, woraus sich dann die entsprechende Löschung ableitet. Doch die Herausforderung bleibt: Woher wissen Sie, wann Sie welche Daten löschen müssen und wie bleiben Sie hier immer Up to date? Hierzu können Sie sich immer auf der bereits erwähnten Website der Ärztekammer informieren und allgemein gilt: achten Sie immer auf die Art Ihrer Informationsquellen, um keine bußgeldrelevanten Fehler zu begehen.
Ankündigung nächster Blog: Verzeichnis für Verarbeitungstätigkeiten
Wie bereits mehrfach angekündigt, befassen wir uns im nächsten Blogartikel der Blogreihe “Datenschutz im Gesundheitswesen” mit dem Thema “Verzeichnis für Verarbeitungstätigkeiten”. Einige wichtige Punkte haben wir diesbezüglich bereits angesprochen, doch es bleiben noch einige Pflichten übrig, die wir dringend behandeln sollten.