Aktenvernichtung, darüber machen sich die wenigsten von uns tatsächlich Gedanken. Irgendeiner wird schon wissen ob und vor allen wann Dokumente oder Daten weg können. Leider wird diese Annahme immer wieder zerstört. Zuletzt machte die Meldung von zur Vernichtung bestimmter Röntgenbilder eines Krankenhauses in Weilheim, die am Straßenrand standen, Schlagzeilen. Da diese mit Namen und Geburtsdaten versehen waren, waren die dazu gehörigen Personen relativ leicht bestimmbar. Der beauftragte Entsorgungsbetrieb erbringt nach Aussage des Krankenhauses Weilheim seit Jahren halbjährlich Entsorgungsdienstleistungen. Es habe noch nie Anlass zu Beanstandungen gegeben.

Der Bayerische Datenschutzbeauftragte Dr. Thomas Petri kündigte als eine Reaktion auf diesen Vorfall an, verstärkt die Einhaltung datenschutzrechtlicher Vorschriften beim Outsourcing in den bayerischen öffentlichen Krankenhäusern auch vor Ort zu kontrollieren.

Dieses Vorfall nehmen wir zu Anlass, einmal genauer zu schauen, wann der Einsatz externer Firmen zur Entsorgung von Patientenakten für Krankenhäuser zulässig ist und wann nicht.

Zuständigkeit

Ob und für welche Fälle eine Auftragsdatenverarbeitung (z.B.: Auslagerung von Dienstleistungen wie Schreibarbeiten, der Einsatz von Rechenzentren oder die Entsorgung von Patientenakten) erlaubt ist, wird in den Landesgesetzen der Bundesländer geregelt. Diese heißen z.B. „Landeskrankenhausgesetz“ (Baden-Württemberg), „Krankenhausdatenschutzgesetz“ (Bremen), „Krankenhausdatenschutzverordnung“ (Brandenburg) oder „Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen“ (Nordrhein-Westfalen). In Schleswig-Holstein existiert kein Krankenhausgesetz mit datenschutzrechtlichen Regelungen. Darüber hinaus finden sich in den kirchlichen Datenschutzgesetzen entsprechende Regelungen, beispielsweise in der „Datenschutzdurchführungsverordnung“ (Lippischen Landeskirche) oder der Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern (Diözese Osnabrück). Das macht eine Auffindbarkeit der einschlägigen Regelungen nicht immer einfach.

Wer erlaubt was?

Exemplarisch haben wir einmal in vier Bundesländern und einer Gliedkirche der Evangelischen Kirche Deutschland überprüft, ob eine externe Aktenvernichtung erlaubt ist. Die Antworten gehen von einem „Ja“, über ein „Ja, wenn“ bzw. „Jein“ bis hin zu einem klaren „Nein“. Die zuständigen Datenschutzbeauftragten der Krankenhäuser müssen also immer genau prüfen, was zulässig ist und was nicht. Problematisch wird dies bei Krankenhauskonzernen, die Krankenhäuser in mehreren Bundesländern betreiben.

„Ja“

Ein klares „Ja“ kommt aus Hamburg. Das Hamburgische Krankenhausgesetz regelt in §9, dass eine Auftragsdatenverarbeitung und somit auch die externe Vernichtung von Aktenzulässig ist.

„Ja, wenn“

Das Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen aus Nordrhein-Westfalen favorisiert eine Aktenvernichtung im Krankenhaus. Jedoch regelt §7 Abs.2-4 GDSG NW wann eine Auftragsdatenverarbeitung möglich ist. So muss sich der Aktenvernichter, sofern er keine öffentliche Stelle ist, der Kontrolle durch die Aufsichtsbehörde unterwerfen. Zudem muss die Aufsichtsbehörde unterrichtet werden, wenn die Auftragsdurchführung außerhalb des Geltungsbereichs des GDSG NW erfolgt (§7 Abs. 4 GDSG NW).

In der Lippischen Landeskirche ist eine Auftragsdatenverarbeitung neben anderen Voraussetzungen nur zulässig, wenn eine Genehmigung durch das Landeskirchenamt erfolgte (§ Abs. 1 Datenschutzdurchführungsverordnung).

 „Jein“

Nach dem Bayerischen Krankenhausgesetz ist eine Vernichtung von Patientenakten durch externe Stellen nur unter ganz engen Voraussetzungen zulässig (Art. 27 Abs. 4 Satz 5 und 6 BayKrG).

 „Nein“

Ein klares „Nein“ kommt aus Baden Württemberg. §48 Abs. 1 Landeskrankenhausgesetz Baden-Württemberg regelt, dass Patientendaten in dem Krankenhaus selbst oder im Auftrag des Krankenhauses durch ein anderes Krankenhaus zu verarbeiten sind.

Fazit

Eine pauschale Aussage ist nicht möglich. Auf Grund des Föderalismus gibt es in jedem Bundesland eigenen Regelungen. Weitere Besonderheiten bestehen, wenn die Einrichtung in kirchlicher Trägerschaft ist. In jedem Fall muss genau geprüft werden, ob ein Outsourcing generell zulässig ist und welche Voraussetzungen erfüllt sein müssen.