a) Überprüfen Sie, ob Sie alle Vorgaben der DSGVO erfüllt haben Inzwischen hat es erste Vor-Ort-Prüfungen von Datenschutzämtern gegeben – z.B. durch das Bayrische Landesamt für Datenschutzaufsicht (BayLDa).

Auf seiner Internetseite macht dieses Amt sein Vorgehen aber auch transparent und hat auf der Unterseite „Datenschutzkontrollen“ eine Auswahl der vom BayLDA durchgeführten Kontrollen aufgelistet und stellt eine Reihe von Prüfbögen, unter anderem zu Ransomware-Attacken zur Verfügung. Quelle: https://www.lda.bayern.de/de/kontrollen.html Deshalb unsere Bitte: Überprüfen Sie, ob Sie allen Vorgaben zur DSGVO beachtet haben. Es ist davon auszugehen, dass auch andere Datenschutzaufsichtsbehörden nachziehen. Umfangreiche Hilfen zum Datenschutz finden Sie im internen Mitgliederbereich unter „Downloads“ → „Datenschutz“.

b) Erweitern Sie Ihr Verarbeitungsverzeichnis um „Löschfristen“ Patientinnen und Patienten haben nach DSG-VO das Recht auf Löschung ihrer Daten. Eine offene Frage war, wie die Löschung von Patientendaten in unseren Beratungs- bzw. Therapiepraxen zu handhaben ist und ob ein „Löschkonzept“ dafür erforderlich ist. Wir haben den Sachverhalt prüfen lassen und empfehlen Ihnen deshalb, Ihr Verarbeitungsverzeichnis zu erweitern und eine Spalte „Löschfristen nach Löschkonzept“ hinzuzufügen.

Im Mittelpunkt des Löschkonzepts stehen die Fristen, nach denen gehandelt werden muss. Aufgrund des Behandlungsvertrages (§ 630ff BGB) haben Sie eine Dokumentationspflicht der Behandlung und eine Aufbewahrungspflicht von 10 Jahren nach Abschluss der Behandlung. Dieser Löschzeitpunkt gilt übrigens auch, wenn der Patient weiter in der Behandlung ist (!).Allerdings ist in diesem Zusammenhang auch das „Verjährungsrecht“ von Bedeutung. Bei Heilbehandlungen tritt neben die „Verjährung des Behandlungsvertrags“ immer die „Verjährung aus Delikt“ (Körperverletzung). Für Verletzungen „des Körpers und der Gesundheit“ gilt eine Verjährungshöchstfrist von 30 Jahren (§ 199 Abs. 2 BGB).

Was heißt das im Klartext? - Rein rechtlich wäre es möglich, dass Ihre Patientin/ Ihr Patient zum Beispiel 20 Jahre nach Abschluss der Behandlung noch Schmerzensgeld- und Schadensersatzansprüche gegen Sie geltend macht. Und diese Ansprüche können im Todesfall sogar auf die Erben übergehen. Deshalb ist es gerechtfertigt, die Behandlungsdaten erst 30 Jahre nach Abschluss der Behandlung zu löschen. Damit dürfte sich der Verwaltungsaufwand zur Löschung von Behandlungsdaten in Grenzen halten. Praktisch: Legen Sie bitte einen Zeitpunkt für die Löschung fest – z. B.: 01.01.2048 - Dann können in einem großen Umfang Daten gelöscht werden. Möglich ist auch eine Löschung immer zum 1. eines Jahres, auch wenn dadurch beispielsweise nach 29 Jahren bereits eine Löschung erfolgt. Wie soll gelöscht werden? Die DSGVO definiert nicht, wie Sie Ihre Daten zu löschen haben. Für das Löschen reicht es aus, die Daten für den gewöhnlichen Gebrauch unbenutzbar zu machen. Jegliche Art der Unkenntlichmachung soll danach erfasst sein. Vorausgesetzt, die Daten sind nicht unlesbar geworden bzw. stehen nicht mehr zur Verfügung. Eine Löschung auf allen verfügbaren Datenträgern oder eine Löschung sämtlicher Zwischen- und Sicherheitskopien ist hierfür nicht erforderlich; auch muss der Löscherfolg nicht strikt irreversibel sein; es genügt die technische Löschung von elektronischen Daten.

Alternativ können Sie personenbezogene Daten in Behandlungsdokumentationen auch nach 30 Jahren vernichten, das bedeutet dann zum Beispiel die Zerstörung der Festplatte, idealerweise wenn die Datensicherung auf einer externen Festplatte erfolgt. Hier kann eine zeitlich gestaffelte Verwendung von externen Festplatten, z.B. in einem 10-Jahres-Zeitraum, eine praktikable Organisation sein und ohne großen Aufwand erfolgen.

Andere personenbezogene Daten müssen nach Ablauf der kurzen Verjährungsfristen (z.B. aus Arbeitsrecht oder Mietrecht) nach Ablauf dieser verhältnismäßig kurzen Fristen gelöscht oder vernichtet werden. Hinweis: Wenn Sie diese Daten nicht elektronisch verarbeiten, sondern beispielsweise einen im Computer gespeicherten Basisarbeitsvertrag für die Einstellung einer neuen Mitarbeiterin lediglich anpassen, ausdrucken und anschließend gleich löschen, ergibt sich keine Lösch- oder Vernichtungsfrist nach einem Löschkonzept.

c) Beachten Sie unser Musterformular „Einwilligung ab 14 Jahre“ Wenn Sie in Ihrer Praxis Minderjährige behandeln, die 14 Jahre oder älter sind, müssen diese nach der Rechtsprechung zusätzlich in ihre Behandlung (und in die Speicherung ihrer Daten) einwilligen. Deshalb finden Sie im internen Mitgliederbereich unter „Downloads“ „Datenschutz“ jetzt das passendes Musterformular „Einwilligungserklärung bei der Behandlung eines Minderjährigen“, das Sie downloaden und für Ihre Praxis individualisieren können.

 

< zurück