Bildnachweis: j-mel (Adobe Stock)
18. März 2020

Datenschutzgerechte Röntgenfilmentsorgung

Mit Anwendungspflicht der Datenschutzgrundverordnung (DSGVO) seit 25. Mai 2018 mussten Arztpraxen, Radiologien und Kliniken ihren Umgang mit personenbezogenen Daten und somit auch analogen Röntgenbildern neu ausrichten. Zweckgebundene Speicherbegrenzung, Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, Integrität und Vertraulichkeit sind nur einige Grundsätze, die Artikel 5 der DSGVO für die generelle Handhabung von Patienten- und Gesundheitsdaten vorschreibt. Entsprechend sicher und geschützt vor unbefugtem Zugriff müssen Patientenakten und enthaltene Röntgenfilme archiviert werden. Ist die 10-jährige Aufbewahrungsfrist ausgelaufen (für Röntgendiagnostik-Aufnahmen gelten 30 Jahre), steht die Entsorgung an. Hierfür schreibt die DSGVO eine Reihe von Anforderungen vor, deren Einhaltung die Landesdatenschutzbeauftragten regelmäßig überprüfen. Bei Fehlern drohen empfindliche Bußgelder.

DSGVO-konformer Auftragsverarbeitungs-Vertrag (AV-Vertrag)

Artikel 28 der DSGVO schreibt für die Röntgenbildentsorgung einen AV-Vertrag zwischen medizinischer Einrichtung und Entsorgungsunternehmen vor. Seriöse, im Bereich Datenschutz zertifizierte Entsorger legen diese vor Beginn der Zusammenarbeit unaufgefordert vor. Darin müssen alle Auftragsdetails, auch die häufig eingesetzten Subunternehmen, ausgewiesen sein. Das betrifft beispielsweise Sammler, die über keine eigene Verwertungsanlage verfügen.

Der AV-Vertrag dient der prüfenden Aufsichtsbehörde im Übrigen auch als Nachweis, dass die Daten während des gesamten Entsorgungsprozesses bestmöglich geschützt waren. Umso wichtiger ist, vor der Entsorgung zu prüfen, ob der Vertrag rechtlich einwandfrei ist.

Zertifizierung nach DIN SPEC 66399-3 / ISO/IEC 21964

Röntgenfilmentsorger müssen inzwischen auch garantieren, dass die Entsorgung nach den höchsten Datenschutz- und Sicherheitsstandards in einem geschlossenen Prozess erfolgt. Maßgeblich hierfür ist das Zertifikat nach DIN SPEC 66399-3 / ISO/IEC 21964. Dieses sollte alle drei Schutzklassen einschließen, die Sicherheitsstufe 7 für analoge Röntgenfilme und die Sicherheitsstufe 4 für digitales Röntgenmaterial und Patientenakten ausweisen. Datenschutz-Auszeichnungen legen Entsorgungsunternehmen in der Regel zusammen mit dem AV-Vertrag vor.

Ärzte und Abfallbeauftragte von Kliniken können sich den zertifizierten Entsorgungsprozess nach Abschluss aller Arbeiten zusätzlich in einem Vernichtungsprotokoll bestätigen lassen.

Vertraulichkeit und Geheimhaltung nach § 203 StGB

Alle Mitarbeiter eines beauftragten Entsorgungsunternehmens müssen auf die Verschwiegenheit und das Datengeheimnis verpflichtet sein – und das nicht nur im Sinne der Datenschutzgrundverordnung: Nach § 203 Strafgesetzbuch (StGB) ist heutzutage gesetzlich vorgeschrieben, dass Praxen und Kliniken ihre externen Dienstleister zur Geheimhaltung verpflichten. Wenn das nicht passiert und vertrauliche Patienteninformationen durch einen Fehler oder eine Nachlässigkeit des Entsorgers öffentlich werden, steht der Arzt mit in der Verantwortung. In der Regel ist auch die Verpflichtung zur Vertraulichkeit nach § 203 StGB im AV-Vertrag bestätigt.

Datenschutzanforderungen auch für Kleinmengen, Test- und Fehlaufnahmen

Arztpraxen, die nur kleine Mengen an Röntgenbildern archivieren, sind genauso zur datenschutzkonformen Entsorgung verpflichtet wie Krankenhäuser, die jährlich große Mengen bewältigen. Viele Arztpraxen, vor allem auch Tierärzte, nutzen die sogenannte Röntgenfilm-Box. Diese wird kostenfrei angeliefert, über einen festgelegten Zeitraum befüllt und später zur Entsorgung wieder in der Praxis abgeholt.

Gleiches gilt für fehlerhafte oder zerstörte Röntgenaufnahmen. Da auch diese personenbezogene Daten enthalten, sind sie genauso sorgfältig zu behandeln wie andere Röntgenfilme.

Röntgenblick

Mit unserem Newsletter „Röntgenblick“ auf dem Laufenden bleiben!

Ihre E-Mail-Adresse wird ausschließlich für den Versand des Newsletters über CleverReach verwendet, und Sie können sich jederzeit wieder abmelden.
Eine Nutzung darüber hinaus oder eine Weitergabe an Dritte findet nicht statt. Mehr Infos unter Datenschutz.