Der niedergelassene Arzt Logo
 
  • Home
  • Praxis
  • Recht
  • Herrenlose Patientenunterlagen – wie ist datenschutzkonform damit umzugehen?

Herrenlose Patientenunterlagen – wie ist datenschutzkonform damit umzugehen?

Wie ist mit zurückgelassenen Patientenakten datenschutzkonform umzugehen? Ab wann gelten Patientenunterlagen als „herrenlos“? Und wer ist eigentlich dafür zuständig: Die Erbin oder der Erbe, die Ärztekammer oder die Vermieterin bzw. der Vermieter der Praxisräumlichkeiten? Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) in Nordrhein-Westfalen (NRW) ist diesen Fragen auf den Grund gegangen.

Auf einen BlickWas sind „herrenlose“ Patientenunterlagen?

Wie und durch welche Situation können Patientenakten „herrenlos“ – also zurückgelassen – werden? 
Die LDI NRW hat hierfür einige Situationen genannt: Die ehemalige Praxisinhaberin oder der Praxisinhaber

  • hat sich in das Ausland abgesetzt,
  • ist obdachlos geworden oder 
  • verstorben.

Eigentlich sollte man meinen, die Fälle 1 und 2 sind bei Ärztinnen und Ärzten ausgeschlossen. 
Fall 3 dagegen könnte schon eher denkbar sein. Allerdings gibt es zu denken, dass die Aufsichtsbehörde sicherlich nicht ohne Grund die beiden ersten Fälle mit aufgenommen hat. Denn sie spricht in ihrem Bericht von: „Immer häufiger werden wir um Beratung gebeten …“. 

Die LDI NRW behandelt in den in der Infobox genannten Fällen die betroffenen Patientenunterlagen faktisch als „herrenlos“. Eine konkrete gesetzliche Regelung, die das Problem regelt, existiert in NRW nicht, betont die LDI NRW.
Die (datenschutz-) rechtlichen 

Aspekte

Nach Art. 9 Abs. 1 Datenschutz-Grund­verordnung (DSGVO) gehören Patientendaten als „Gesundheitsdaten“ zu den besonderen Kategorien personenbezogener Daten, denn sie sind besonders sensibel. Zudem sind sie als Privatgeheimnis nach § 203 Strafgesetzbuch (StGB) sowie nach § 9 Musterberufsordnung-Ärzte (MBO-Ä) geheim zu halten. Daher ist der Schutz von Patientenunterlagen nicht nur während des Betriebs einer ärztlichen Praxis, sondern auch bei Aufgabe, Übergabe, Verkauf oder Insolvenz zu gewährleisten.

Grundsätzlich müssen Patientendaten bis zum Ablauf der gesetzlichen Aufbewahrungsfristen, im Regelfall zehn Jahre nach § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB), aufbewahrt werden. Nach Ablauf der Aufbewahrungsfristen sind die personenbezogenen Daten ordnungsgemäß zu löschen bzw. zu vernichten, Art. 17 Abs. 1 DSGVO. Bis zum Ablauf der gesetzlichen Aufbewahrungsfristen sind demzufolge sowohl eine sichere Aufbewahrung durch technisch-organisatorische Maßnahmen nach Art. 32 DSGVO als auch die Erfüllung der Betroffenenrechte nach Art. 12 ff. DSGVO zu gewährleisten.

Besondere datenschutzrechtliche Schwierigkeiten

Nach Aussage der LDI NRW kommt es in den Fällen des Absetzens von Ärztinnen und Ärzten in das Ausland oder beim Versterben nicht selten zu Schwierigkeiten bei den datenschutzrechtlichen Pflichten und Anforderungen.

Zwar regele § 10 Abs. 4 MBO-Ä für den Fall der Übergabe oder der Aufgabe der Praxis, dass die Patientenunterlagen nicht herrenlos werden dürfen, sondern weiterhin aufzubewahren sind oder „in gehörige Obhut“ gegeben werden sollen. Diese Pflicht obliegt mithin den Ärztinnen und Ärzten. Allerdings komme es in der Praxis dazu, dass die Erfüllung dieser Pflicht nicht durch diese gewährleistet sei.

Wer ist für die Unterlagen ­verantwortlich?

Richtig problematisch werde es bei plötzlich aufgegebenen Praxen und den „herrenlosen“ Patientenunterlagen, denn dann sei meist keine datenschutzrechtlich verantwortliche Stelle mehr zu ermitteln. Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es bleibt festzuhalten, dass datenschutzrechtlich verantwortlich in den o. g. Problem­fällen demnach die Ärztinnen und Ärzte selbst sind, auch wenn sie sich ins Ausland abgesetzt haben oder obdachlos geworden sind. 

Regelungen in den einzelnen Bundesländern

Es gibt Bundesländer, die die Problematik erkannt haben und entsprechende Regelungen vorhalten. In Rheinland-Pfalz und Baden-­Württemberg ist beispielsweise im jeweiligen Heilberufsgesetz geregelt, dass eine grundsätzliche Verwahrungs- und Verwaltungspflicht der Ärztekammer besteht, wenn diese nicht durch das Kammermitglied oder dessen Rechtsnachfolgerin bzw. -nachfolger gewährleistet ist. 

Baden-Württemberg

Nach § 4 Heilberufe-Kammergesetz Baden-Württemberg haben die Kammern bei der Wahrnehmung ihrer Aufgaben die Interessen des Gemeinwohls und die Rechte der Patientinnen und Patienten zu beachten. Deren Unterlagen haben sie für die Dauer der Aufbewahrungspflicht in Obhut zu nehmen und Patientinnen und Patienten Einsicht zu gestatten, sofern dies nicht durch das verpflichtete Kammer­mitglied oder dessen Rechtsnachfolgerinnen und -nachfolgern gewährleistet ist. Gegenüber den Verpflichteten besteht in diesem Fall ein Anspruch auf Erstattung der Kosten, die im Zusammenhang mit der Aufbewahrung der Patientenakten entstehen. Die Kammern können andere Kammermitglieder oder Dritte mit der Erfüllung dieser Aufgabe betrauen, zudem können die Kammern gemeinsame ­Einrichtungen zur Erfüllung dieser Aufgabe errichten oder nutzen.

Rheinland Pfalz und Berlin

§ 22 Abs. 2 Satz 2 Heilberufsgesetz Rheinland-Pfalz regelt, dass die Kammer verpflichtet ist, die Unterlagen im Rahmen der Verwaltungsvollstreckung zu verwahren und zu verwalten, wenn das Kammermitglied dieser Pflicht nicht nachkommt. 

Eine vergleichbare Regelung ist in § 27 Abs. 2 des Heilberufe-Kammergesetzes Berlin vorhanden. Dort erstreckt sich die Vorschrift auch auf Nachfolgerinnen und Nachfolger sowie Erbinnen und Erben. In beiden Vorschriften werden auch die Verpflichtungen aus dem Datenschutzrecht miteinbezogen.

… und in Nordrhein Westfalen?

Eine solche Regelung besteht in NRW nicht. Hier wurde lediglich im Krankenhausbereich der § 34c Krankenhausgestaltungsgesetz des Landes NRW geschaffen. Danach besteht die Pflicht, schon vor Eintreten eines Insolvenzfalls Regelungen für die Aufbewahrung von Patientenunterlagen und die ­Gewährleistung von Betroffenenrechten zu treffen.

Schlussbemerkung

Die LDI NRW empfiehlt daher die Schaffung einer gesetzlichen Regelung mit Zuweisung der datenschutzrechtlichen Verantwortlichkeit für die Fälle, in denen die oder der primär datenschutzrechtlich Verantwortliche nicht greifbar ist.

 

Die Situation bei Erbschaft

Auch im Falle des Versterbens gehe die datenschutzrechtliche Verantwortlichkeit nicht ohne Weiteres auf Erbinnen und Erben über. Zwar gehe die zivilrechtliche Aufbewahrungspflicht im Wege der Gesamtrechtsnachfolge auf die vorhandenen Erbenden über. Damit sei allerdings nicht zwingend ein Übergang der datenschutzrechtlichen Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO verbunden. Denn dies erfordere eine Verarbeitung nach Art. 4 Nr. 2 DSGVO und demnach eine Handlung bzw. die Veränderung eines Zustands. Zudem könne es auch bei Erbinnen und Erben, die durch die Verarbeitung der personenbezogenen Daten datenschutzrechtlich verantwortlich werden, dazu kommen, dass die Erfüllung der Betroffenenrechte nicht gewährleistet sei. Seien keine erbenden Personen vorhanden, gehe die zivilrechtliche Aufbewahrungspflicht auf den Staat über. Welche Stelle in diesem Fall allerdings die datenschutzrechtliche Verantwortung trägt, sei unklar.

Die Situation bei Vermietung

Können Vermieterinnen und Vermieter von Praxisräumen automatisch verantwortlich für die „herrenlosen“ Patientenunterlagen werden? Die LDI NRW verneint das und verweist auf eine Entscheidung des Oberverwaltungsgerichts (OVG) Hamburg vom 15.10.2020 (Az. 5 Bs 152/20). Das Gericht bestätigte die Entscheidung der vorherigen Instanz (Verwaltungsgericht Hamburg), wonach eine Anordnung gegen den Gebäude-Eigentümer mangels datenschutzrechtlicher Verantwortlichkeit für die Lagerung rechtswidrig war. Es liege nämlich gar keine Datenverarbeitung nach Art. 4 Nr. 2 DSGVO vor. Das Verwaltungsgericht stellte seinerzeit fest, dass in der bloßen Lagerung der Patientenakten in den Räumen eines ehemaligen Krankenhauses keine Datenverarbeitung durch den Gebäude-Eigentümer liege. Denn eine Datenverarbeitung im Sinne der DSGVO setze eine Handlung bzw. die Veränderung eines Zustands voraus, die hier aber nicht vorliege. Die Frage nach dem Verantwortlichen ließ das Verwaltungsgericht offen.

Fazit

In den beschriebenen Fällen ist die datenschutzrechtlich verantwortliche Stelle faktisch nicht greifbar, sodass die Anforderungen der DSGVO nicht durchgesetzt werden können, so die LDI NRW. Auch die Ärztekammern würden eine Zuständigkeit ablehnen. Die Ordnungsbehörden könnten nur eine Sicherung der Patientenunterlagen gewährleisten, die Erfüllung der Betroffenenrechte allerdings nicht.

28. Bericht 2023 der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 139 ff.

Heike Mareck
Rechtsanwältin
Kanzlei Mareck
Tannenstr. 52a, 44225 Dortmund
info@kanzlei-mareck.de
www.kanzlei-mareck.de 

Das könnte Sie auch interessieren

Interessiert an neuen Fortbildungen oder Abrechnungstipps?

Abonnieren Sie unseren Infoletter.
 

Zur Infoletter-Anmeldung

x
Newsletter-Anmeldung