Das Vierte Bürokratieentlastungsgesetz (BEG IV) verkürzt die Aufbewahrungsfrist steuerrechtlicher Unterlagen. Doch für Arztpraxen und Krankenhäuser bleiben die Herausforderungen bei der Archivpflege auch 2026 komplex. Es gelten die Vorgaben der EU-Datenschutz-Grundverordnung, sogar bei der Entsorgung von Datenträgern wie Röntgenbildern.
Neue Aufbewahrungsfristen nach BEG IV
Zum Jahreswechsel stehen Arztpraxen oft vor der Frage, welche Unterlagen aus Archiv und Buchhaltung entsorgt werden können, was in die Akten- und Datenträgervernichtung gehen bzw. aus den elektronischen Speichern gelöscht werden darf. Und was noch unter die gesetzlichen Aufbewahrungsfristen fällt und folglich archiviert bleiben muss.
Grundsätzlich galt hier bisher für selbstständige Unternehmen – inklusive selbstständige Ärztinnen und Ärzte –, dass steuerrechtliche Unterlagen wie Inventar- und Buchungsbelege, Jahresabschlüsse, Eröffnungsbilanzen, Handels- und Geschäftsbücher, Arbeitsanweisungen, Organisationsunterlagen usw. zehn Jahre verfügbar bleiben müssen. Die Aufbewahrungsfrist beginnt dabei jeweils mit dem Ende des Kalenderjahres, in dem die letzte Eintragung in diese Unterlagen vorgenommen wurde.
Das mit dem am 1. Januar 2025 in Kraft getretene Vierte Bürokratieentlastungsgesetz (BEG IV), hat diese Frist für bestimmte dieser Unterlagen auf acht Jahre reduziert. Das BEG IV geht damit einen wichtigen und richtigen Schritt in Richtung verschlankter Bürokratie.
Nach acht Jahren entsorgt werden können jetzt folglich Buchungsbelege und Quittungen (Lohnabrechnungen, Patientenrechnungen, Bank-, Kassen- und Bewirtungsbelege). Die schon vor BEG IV bestehende sechsjährige Aufbewahrungsfrist für Handels- und Geschäftsbriefe bzw. deren Kopien bleibt erhalten. Achtung: Inventare oder Jahresabschlüsse fallen nicht unter diese BEG IV-Neuerungen. Sie unterliegen weiterhin der zehnjährigen Aufbewahrungspflicht.
Patientenakten und Röntgenbilder: Fristen für medizinische Unterlagen unverändert
Nicht betroffen vom BEG IV sind zudem die Aufbewahrungsfristen für medizinische Unterlagen. Hier bleiben die Vorgaben nach § 630f Absatz 3 BGB verbindlich. Arztpraxen sind somit nach wie vor verpflichtet, diese Dokumente (Patientenakten, Diagnoseberichte, Röntgenbilder usw.) zehn Jahre nach Abschluss der Behandlung aufzubewahren, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen.
Aufbewahrungspflichten über 15 Jahre (etwa bei Behandlungen, in denen Blutprodukte oder gentechnisch hergestellte Plasmaproteine zum Einsatz kommen) bleiben ebenso in Kraft wie 30-Jahres-Fristen. Letztere ergeben sich vor allem aus dem Röntgen- bzw. Strahlenschutzrecht. Dieses fixiert die Verwahrungsdauer von Röntgentherapie-Aufnahmen oder Unterlagen zu Behandlungen mit radioaktiven Substanzen und ionisierenden Strahlen.
Löschroutine und DSGVO
Nun geht es bei der Verwahrungs- und Entsorgungsorganisation speziell medizinischer Unterlagen nicht nur um die Frage „Was darf weg“. Es muss vielmehr auch ein verschärftes Augenmerk auf das „Wie“ gerichtet sein. Denn so unterschiedlich Löschroutinen von Arztpraxis zu Arztpraxis oder von Klinik zu Klinik organisiert sein mögen – das A und O ist und bleibt gerade auch bei der Handhabung digitaler Unterlagen: Daten dürfen nicht an Unbefugte gelangen.
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet hier zu regelmäßigen Backups, sicheren Zugriffsbeschränkungen und zur Verschlüsselung. Die höchste Verordnung im Bereich des Datenschutzes in der EU legt fest, dass nicht mehr benötigte Daten auch tatsächlich gelöscht werden müssen. Denn es reicht nicht, wie es häufig geschieht, dass Unterlagen nach Ablauf der Aufbewahrungsfrist lediglich in einen geschützten Datenbereich, gar nur in den digitalen Papierkorb verschoben werden. Vielmehr bedarf es für eine endgültig sichere Löschung ggf. eines mindestens sechsfachen Überschreibens der entsprechenden Festplatte bzw. deren Zerstörung mit einem Hochsicherheitsschredder.
Zur praxisnahen Orientierung sei hierfür Arztpraxen die DIN 66399 empfohlen, die verschiedene Datenträger unterschiedlichen Schutzklassen und Sicherheitsstufen zuordnet. Und natürlich bietet es sich darüber hinaus an, professionalisierte Entsorger zu beauftragen. Wobei zu beachten ist, dass der Auftragsverarbeitungsvertrag den Vorgaben nach Artikel 28 DSGVO genügen muss. Die Verantwortung dafür liegt beim Auftraggeber, das heißt, der Arztpraxis oder dem Krankenhaus.