4. September 2012 - Datenschutz in der Archivierung

Digitale Archivierung: Ausweg aus der Papierflut

Der Traum vieler Organisationen ist das papierlose Büro. Mit dem Schritt in die digitale Archivierung kommt man diesem Ziel ein gutes Stück näher. Doch wie bei vielen Neuerungen ist auch hierbei der Datenschutz zu beachten. Denn sensible Daten in elektronischer Form lassen sich wesentlich leichter missbrauchen als Papierakten. Speziell das Gesundheitswesen stellt deshalb besondere Anforderungen an die digitale Archivierung.

digitale-archivierung-ausweg-aus-der-papierflut.jpeg
Den Schritt vom Papier zur digitalen Akte muss ein Datenschutzbeauftragter gut vorbereiten (Bild: Thinkstock)

Im Gesundheitswesen ist in letzter Zeit ein starker Trend in Richtung digitales Datenarchiv für Patientenakten zu verzeichnen. Dieser Trend ist nachvollziehbar, wenn man bedenkt, dass ein durchschnittliches Krankenhaus pro Jahr ungefähr 60.000 bis 100.000 stationäre Patientenakten für 30 Jahre archivieren muss.

Gesetze und Aufsichtsbehörden fordern lange Aufbewahrungszeiten

Diese lange Archivierungsdauer im stationären Bereich ergibt sich zum einen aus gesetzlichen Vorgaben der Röntgen- oder der Strahlenschutzverordnung und zum anderen aus den Verjährungsfristen von Schadenersatzansprüchen nach § 199 Abs. 2 Bürgerliches Gesetzbuch (BGB).

Außerdem hat die Datenschutzaufsicht in der Vergangenheit verschiedene Gesundheitseinrichtungen aufgefordert, nach Ablauf der gesetzlichen Aufbewahrungsfrist von zehn Jahren eine Risikoüberprüfung der Akten vorzunehmen, um eine längere Aufbewahrungsfrist von bis zu 30 Jahren zu rechtfertigen. Den nötigen Aufwand hierfür kann man sich vorstellen …

Besserung in Sicht?

Der durch das Bundeskabinett im Mai 2012 beschlossene Gesetzesentwurf zum neuen Patientenrechtegesetz soll hier mehr Rechtssicherheit schaffen. Er sieht eine für alle verbindliche Aufbewahrungsfrist von zehn Jahren vor. Wann das Gesetz tatsächlich in Kraft tritt, ist aber noch ungewiss.

Wo lagern Papier- und digitale Akten?

Nicht nur an die Aufbewahrungsdauer, auch an die Lagerung der Patientenakten stellt der Gesetzgeber besondere Anforderungen. Je nach Länderrecht dürfen die Akten zum Beispiel nur auf dem eigenen Gelände oder dem einer anderen Klinik desselben Bundeslands gelagert werden.

Dieses Prinzip lässt sich auch auf die digitale Akte übertragen. Prüfen Sie daher, wo der Server mit den digitalen Akten steht. Sind die Dateien auf den Servern eines Dienstleisters abgelegt, ist zudem zu prüfen, ob eine Auftragsdatenverarbeitung vorliegt.

Anforderungen an die digitale Akte

Die Anforderungen an eine digitale Patientenakte sind relativ einfach, der Teufel steckt aber im Detail:

  • Die Datenhaltung muss revisions-sicher erfolgen.
  • Es muss ein Zugriffskonzept wie bei den Papierakten vorliegen.
  • Die Belege müssen gerichtsverwertbar sein.
  • Der interne Ablauf muss auch ohne Papier möglich sein.
  • Es muss ein Löschkonzept vorhanden sein.
  • Und dann stellen die jeweiligen Landeskrankenhausgesetze noch Spezialanforderungen.

Prüfen Sie, welches Recht gilt

Bevor die Entscheidung zur Digitalisierung der Patientenakten fällt, ist ein Blick in das jeweilige Landeskrankenhausgesetz dringend notwendig.

Weiterhin ist von Belang, ob für das Krankenhaus das Bundesdatenschutzgesetz (BDSG), das Landesdatenschutzgesetz (LDSG) oder kirchliche Datenschutzgesetze angewendet werden müssen. Denn diese Gesetze regeln die Anforderungen an die Digitalisierung im Detail, speziell, ob und wie ein externer Dienstleister in den Prozess eingebunden werden darf. Grundsätzlich kann man aber sagen, dass die Digitalisierung auf dem eigenen Klinikgelände und mit eigenem Personal mit ganz wenigen Ausnahmen erlaubt ist.

Beziehen Sie die interne Organisation ein

Mit der internen Organisation steht oder fällt ein Projekt zur Einführung der digitalen Patientenakte. Regeln Sie im Vorfeld mit der IT, wie der Zugriff auf die Akten erfolgen soll:

  • Wer hat Zugriff?
  • Ist das bestehende Berechtigungskonzept übertragbar?

Bedenken Sie als verantwortlicher Datenschutzbeauftragter auch die Anforderungen aus den „Normativen Eckpunkten des Düsseldorfer Kreises“ zu Krankenhausinformationssystemen (abzurufen z.B. unter http://t1p.de/orientierungshilfe-krankenhaus).

Bedenken Sie: Digitale Akten vereinfachen nicht alles!

Erfahrungsgemäß gibt es immer wieder Probleme mit nachgereichten Belegen, die dann der bereits digitalisierten Akte zugeordnet werden müssen. Auch das Auskunftsersuchen eines Betroffenen (§ 34 BDSG) ist mit der digitalen Akte komplexer geworden. Können Sie die Frage „An wen wurden die Daten weitergegeben“ wahrheitsgemäß beantworten?

Schränken Sie die Funktionen ein

Klären Sie unbedingt mit der IT ab, ob die digitale Akte per E-Mail versendet oder auf andere Medien kopiert werden kann. Die Druckfunktion sollte nur sehr eingeschränkt zur Verfügung stehen. Es gibt leider immer noch Mitarbeiter, die grundsätzlich alles ausdrucken wollen.

Die Löschfristen und die Vorgaben zur datenschutzkonformen Aktenvernichtung sind auch für diese Ausdrucke gültig. Als Datenschutzbeauftragter haben Sie allerdings fast keine Chance, diese ausgedruckten Nebenakten in den Griff zu bekommen.

Achten Sie auf die Gerichtsverwert­barkeit der digitalen Akten

Die Gerichtsverwertbarkeit der Akten ist ein wichtiges Kriterium bei der Auswahl des Digitalisierungsverfahrens. Bis Anfang dieses Jahres war es üblich, dass parallel zur Digitalisierung ein Mikrofilm erzeugt wurde. Im Streitfall war es nicht die digitale Akte, sondern der Mikrofilm, den die Gerichte anerkannt haben.

Aktuell findet bei fast allen Dienstleistern ein Technologiewechsel auf eine revisionssichere digitale Langzeitarchivierung unter Einsatz der LTO-WORM-Bandtechnologie oder Vergleichbarem statt. Die Vorteile für den Datenschutz liegen auf der Hand:

  • revisionssichere signierte und verschlüsselte Datenhaltung
  • native Scandaten werden in Farbe direkt auf das WORM-Band geschrieben
  • bessere Qualität der Daten
  • einfacheres Auffinden von Daten im Prozessfall

Holen Sie eine Einwilligung ein und regeln Sie die Ausnahmen

Der Patient muss in die digitale Verarbeitung seiner Patientenakte einwilligen. Wenn Sie ein externes Unternehmen mit der Digitalisierung beauftragen dürfen (Landeskrankenhausgesetz), muss dieses Unternehmen auf der Einwilligung genannt werden. Die Einwilligung sollte Bestandteil der Akte sein und mit digitalisiert werden.

Regeln Sie verbindlich den Prozess, wenn ein Betroffener die digitale Verarbeitung ablehnt. Diese Akten müssen kenntlich gemacht und rechtzeitig ausgeschleust werden.

Prüfen Sie genau!

Sehen Sie sich als DSB im Vorfeld den Prozess der Digitalisierung genauestens an. Speziell im Fall eines Outsourcings sollten Sie die notwendigen Vereinbarungen zur Auftragsdatenverarbeitung nach § 11 BDSG und die Einholung der Einwilligungen der Betroffenen frühzeitig mit der Geschäftsführung abstimmen. Bei der Prüfung der einzelnen Punkte hilft Ihnen unsere Checkliste zur digitalen Archivierung.

Matthias Walliser
Dipl.-Ing. Matthias Walliser ist externer DSB, Inhaber einer Unternehmensberatung für Datenschutz und Vorstandsmitglied der Tercenum AG (Gesellschaft für Datenschutz), Berlin.

 

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln