Datenschutzverstöße bei der Röntgenfilmentsorgung können Folgen haben.

Aufbewahrungsfrist
Datenschutz
Röntgenfilmentsorgung

Bildnachweis: Arbalest (AdobeStock)
13. Juli 2020

Röntgenbilder in Klinikruinen gefunden: Welche Folgen haben Datenschutzverstöße?

Datenschutzskandale um unsicher aufbewahrte bzw. nicht entsorgte Patientenakten und Röntgenbilder sind derzeit in aller Munde: Ende Mai 2020 entdeckte ein Youtuber tausende ungesicherte Patientenakten im früheren St. Nikolaus-Hospital in Büren. Kurz darauf wurden im ehemaligen Kurhaus Ernstmeier in Bünde ebenfalls liegengebliebene Patientenunterlagen gefunden. In der früheren Weserbergland-Klinik in Bad Eilsen zeigte sich einem Fotografen bereits 2011 ein ähnliches Bild, im Kontext der Vorfälle in Büren und Bünde wird jetzt darüber berichtet. Diese Aufzählung ließe sich noch erweitern. In früheren Kliniken zurückgelassene Befunde, Röntgenaufnahmen, Bewerbungen und andere sensible Unterlagen wie Lohnabrechnungen mit personenbezogenen Daten sind keine Seltenheit. Datenschützer und Behörden ermitteln wegen der Verletzung von Privatgeheimnissen, Verstößen gegen das Datenschutzrecht und Hausfriedensbruch. Im Visier stehen nicht nur die einstigen Betreiber bzw. Eigentümer, sondern auch andere Beteiligte wie Insolvenzverwalter. Wer also ist für die ordnungsgemäße Aufbewahrung und Entsorgung verantwortlich? Und welche Konsequenzen drohen bei Pflichtverletzungen?

Datenschutzrecht definiert Sanktionen

Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU: Wenn Verantwortliche oder Auftragsverarbeiter gegen die Verordnung verstoßen, obliegen der zuständigen Aufsichtsbehörde verschiedene Befugnisse (Artikel 58 DSGVO). Unter anderem sind die Kontrollinstanzen zur Verwarnung und auch zur Geldbuße berechtigt. „Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“, heißt es in Artikel 83 DSGVO über die Verhängung von Geldbußen. Das zwar nachrangige, aber ebenso bei Datenschutzvorfällen potenziell greifende Bundesdatenschutzgesetz (BDSG neu) schreibt in § 42 sogar eine mögliche Freiheitsstrafe von bis zu drei Jahren fest.

Datenschutzverstöße immer häufiger geahndet

Im Januar 2020 bilanzierte das Handelsblatt, dass Datenschutzverstöße seit Geltung der DSGVO häufiger geahndet werden. So seien im Jahr 2019 auf Basis der Datenschutzgrundverordnung 185 Bußgelder in Deutschland verhängt worden. Die meisten Strafen für Datenschutzverstöße erfolgten im bevölkerungsreichsten Land Nordrhein-Westfalen. Darüber hinaus habe die DSGVO in Deutschland einen rasanten Anstieg von Beschwerden zur Folge gehabt.

Zudem müssen Unternehmen nach der seit Mai 2018 geltenden Rechtslage jede Datenschutzverletzung melden (Artikel 33 DSGVO). Seit dem Start des neuen Regelwerks seien laut Handelsblatt schon rund 21.000 Datenpannen mitgeteilt worden.

DSGVO-konform archivieren und entsorgen

Ärzte, medizinisches wie auch nicht-medizinisches Personal arbeiten tagtäglich mit Patienteninformationen. Deshalb sind gerade sie dazu verpflichtet, diese personenbezogenen Daten umfassend zu schützen – nach den Vorschriften der Datenschutzgrundverordnung (DSGVO). Vor allem Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten), Artikel 9 (Verarbeitung besonderer Kategorien personenbezogener Daten), Artikel 17 (Recht auf Löschung, „Recht auf Vergessenwerden“) und Artikel 32 (Sicherheit der Verarbeitung) sollten den in medizinischen Einrichtungen arbeitenden Berufsgruppen bekannt sein.

Patientenakten und enthaltene Röntgenfilme sowie Datenträger sind nach DSGVO grundsätzlich sicher und geschützt vor unbefugtem Zugriff aufzubewahren. Zur Aufbewahrung gelten gesetzliche Fristen, die Artikel 9 Absatz 4 der DSGVO für zulässig erklärt. Wenn diese abgelaufen sind und es keinen rechtlichen Grund gibt, die Daten länger aufzuheben, müssen sie umgehend sicher und unwiederbringlich nach DIN SPEC 66399-3 / ISO/IEC 21964 vernichtet werden. Der Grundsatz der Speicherbegrenzung (Artikel 5) und das Recht auf Löschung (Artikel 17) sind in der DSGVO explizit benannt.

Nach Ablauf der gesetzlichen Aufbewahrungsfrist muss die datenschutzgerechte Entsorgung veranlasst werden. Mit beauftragten Entsorgungsunternehmen ist dann nach Artikel 28 DSGVO ein Datenschutzvertrag / Auftragsverarbeitungsvertrag (AV-Vertrag) zu schließen.

Ärzte, Eigentümer und Betreiber in der Pflicht

Verantwortlich für die ordnungsgemäße Aufbewahrung und Verwertung von Patientenakten, Befunden, Behandlungsplänen und auch Röntgenbildern sind gemäß Ärzte-Berufsordnung und Kreislaufwirtschaftsgesetz (KrWG) die Ärztin bzw. der Arzt, benannte Vertreter, Nachfolger oder Erben. Wenn die sensiblen Daten nach einer Praxisschließung niemand verwaltet, wie es vor einigen Jahren in einer kinderärztlichen Praxis in Siegen der Fall war, kann die jeweilige Landesärztekammer einspringen.

Bei insolventen Krankenhäusern sei die Frage der Verantwortung für die Patientendaten nicht so leicht zu klären, schreibt das Westfalen Blatt im Rahmen seiner Berichterstattung über den Datenschutzskandal in Büren. Es müsse geprüft werden, welche Regelungen zu den Akten im Insolvenzverfahren festgelegt wurden.

Röntgenblick

Aktuelle Informationen zur Röntgenfilmentsorgung –
mit unserem Newsletter bleiben Sie auf dem Laufenden!

Der „Röntgenblick“ ist ein Angebot der Schmidt + Kampshoff GmbH. Ihre E-Mail-Adresse wird ausschließlich für den Versand des Newsletters über CleverReach verwendet, und Sie können sich jederzeit wieder abmelden. Eine Nutzung darüber hinaus oder eine Weitergabe an Dritte findet nicht statt. Mehr Infos unter Datenschutz.