Aufbewahrungsfristen in Arztpraxen: Gibt es ein Recht auf Datenlöschung?
Patienten dürfen verlangen, dass ein Arzt die von ihnen gespeicherten personenbezogenen Daten löscht. Das ist in der Datenschutz-Grundverordnung (DSGVO) so geregelt. Gleichzeitig sind Ärzte verpflichtet, bestimmte Daten – teils für lange Zeit – zu archivieren. Wie sich die beiden Pflichten zueinander verhalten, weiß Axel Keller, Rechtsanwalt bei Ecovis in Rostock.
Herr Keller, welche rechtlichen Grundlagen gibt es für Löschung oder Aufbewahrung von Patientendaten?
Mit der ärztlichen Schweigepflicht oder den berufsrechtlichen Regelungen zu Dokumentation und Aufbewahrungsfristen für Befunde sind Mediziner meistens vertraut. Mit der DSGVO kam dann im Jahr 2018 ein weiteres Regelwerk hinzu, das ebenfalls den Umgang mit Patientendaten regelt, und das ist teils sehr komplex. Nach dieser EU-Verordnung, die in Deutschland unmittelbar wirksam ist, hat eine Person das Recht, die Löschung von gespeicherten personenbezogenen Daten zu verlangen.
Gilt das Recht auf Löschung personenbezogener Daten unbeschränkt?
Nein. In Artikel 17 der DSGVO ist unter anderem festgehalten, dass Ärzte solche Daten speichern und verarbeiten dürfen, wenn sie zum Beispiel zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind oder wenn Mediziner eigene Rechtsansprüche geltend machen wollen.
Sind Aufbewahrungs- und Archivierungspflichten, denen Ärzte unterliegen, solche rechtlichen Verpflichtungen?
Ja, natürlich. Wenn der Gesetzgeber Ärztinnen und Ärzte in Paragraph 630f Absatz 3 des Bürgerlichen Gesetzbuchs verpflichtet, die Patientenakte für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, ist dies eine Verpflichtung, die man dem Löschungsgesuch eines Patienten nach der DSGVO entgegenhalten kann und im Zweifel muss. Die Aufbewahrungspflicht geht hier vor.
Nach zehn Jahren kann man die Daten also löschen. Bedeutet das aber auch, dass man sie löschen muss?
Grundsätzlich sind personenbezogene Daten zwingend zu löschen, wenn es keinen rechtlichen Grund für deren Speicherung mehr gibt. Die zehnjährige Aufbewahrungspflicht nach dem Bürgerlichen Gesetzbuch ist aber nicht die einzige solche Pflicht: Aufzeichnungen über eine Strahlen- oder Röntgenbehandlung müssen Ärzte oder Kliniken beispielsweise 30 Jahre lang aufheben. Außerdem ist auch an die eigene Rechtsposition zu denken: Ansprüche auf Schadenersatz oder Schmerzensgeld wegen eines Behandlungsfehlers verjähren zwar nach drei Jahren nach Ende des Jahres, in dem der Geschädigte Kenntnis von dem Fehler erlangt hat. Unabhängig von der Kenntnis tritt die Verjährung aber erst 30 Jahre nach Entstehung des Anspruchs ein.
Ärzte müssen also Behandlungsdaten erst 30 Jahre nach Ende der Behandlung löschen?
Im Grunde ja. Falls der Patient allerdings vorher die Löschung verlangt, würde ich dafür sorgen, dass das Praxispersonal nicht auf die Daten zugreifen kann, etwa indem ich den Datensatz sperre. Das würde ich dem Patienten dann zu seiner Beruhigung auch mitteilen.
