Kein Betrieb in Deutschland produziert so viele sensible Dokumente wie ein Krankenhaus. Patientenakten, OP-Berichte, Anästhesieprotokolle, Laborwerte, Einwilligungserklärungen: Täglich entstehen in einer mittelgroßen Klinik Hunderte neuer Vorgänge, die irgendwann sicher vernichtet werden müssen. Gleichzeitig stehen Krankenhäuser unter besonders strenger gesetzlicher Beobachtung, weil sie mit Gesundheitsdaten der sensibelsten Kategorie arbeiten. Wer hier bei der Entsorgung nachlässig ist, riskiert nicht nur Bußgelder, sondern auch das Vertrauen der Patienten.
Unverbindliches Angebot anfragenInhalt
Warum Kliniken unter besonderem Datenschutzdruck stehen
Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonders schutzwürdigen Datenkategorien. Das gilt für jede Arztpraxis genauso wie für jedes Krankenhaus. Der Unterschied liegt im Ausmaß: Eine Klinik behandelt nicht Dutzende, sondern Tausende Patienten pro Jahr. Entsprechend größer sind die Datenmengen, die entstehen, gelagert werden und irgendwann vernichtet werden müssen.
Hinzu kommt die strafrechtliche Dimension. Die ärztliche Schweigepflicht nach § 203 StGB gilt nicht nur für Ärzte, sondern auch für alle anderen Berufsgruppen im Gesundheitswesen, die von Patientendaten Kenntnis erhalten: Pflegepersonal, Verwaltungsmitarbeiter, medizinisch-technische Fachkräfte. Eine fahrlässige Aktenentsorgung durch einen nicht ausreichend kontrollierten Prozess kann also nicht nur datenschutzrechtliche, sondern auch strafrechtliche Konsequenzen haben.
Viele Bundesländer haben zudem eigene Krankenhausgesetze, die spezifische Anforderungen an Dokumentation und Aufbewahrung stellen. Diese können über die allgemeinen handelsrechtlichen Fristen hinausgehen. Kliniken, die bundesweit oder in mehreren Ländern tätig sind, müssen im Zweifelsfall die jeweils strengere Regelung anwenden.
Welche Dokumente in Krankenhäusern anfallen und wie lange sie aufbewahrt werden müssen
Die Dokumentenvielfalt in einer Klinik ist erheblich. Neben den eigentlichen Patientenakten entstehen in jeder Abteilung eigene Unterlagen, die unterschiedliche Fristen haben.
- Patientenakten (allgemein): mindestens 10 Jahre nach der letzten Behandlung, geregelt in den jeweiligen Landeskrankenhausgesetzen und der Musterberufsordnung (MBO-Ä)
- Unterlagen minderjähriger Patienten: bis zur Volljährigkeit plus 10 Jahre, also mindestens bis zum 28. Lebensjahr
- Psychiatrische Unterlagen: in mehreren Bundesländern 20 Jahre, teils länger. Hier unbedingt das jeweilige Landesrecht prüfen.
- OP-Berichte und Anästhesieprotokolle: mindestens 10 Jahre
- Röntgenaufnahmen und bildgebende Befunde: 10 Jahre nach der Aufnahme (Strahlenschutzverordnung)
- Pflegedokumentation: mindestens 10 Jahre
- Buchführungs- und Abrechnungsunterlagen: 10 Jahre (HGB / AO)
Gerade bei psychiatrischen Unterlagen und Behandlungsdokumenten aus besonderen Versorgungsbereichen lohnt es sich, die aktuellen Vorgaben des jeweiligen Bundeslandes zu prüfen. Eine vollständige Übersicht nach Dokumententyp bietet die Tabelle der Aufbewahrungsfristen.
Die besondere Herausforderung: Menge, Abteilungen, Logistik
Was eine Klinik von einer Arztpraxis grundlegend unterscheidet, ist die schiere Menge an Unterlagen, die gleichzeitig an verschiedenen Stellen entstehen und verwaltet werden. In einem mittelgroßen Krankenhaus mit 300 Betten können pro Jahr mehrere Tausend Patientenakten neu angelegt werden. Dazu kommen die laufend entstehenden Unterlagen aus Pflege, Verwaltung, Labor und Apotheke.
Hinzu kommt die organisatorische Komplexität: Unterlagen entstehen dezentral in verschiedenen Abteilungen und Stationen. Eine einheitliche Vernichtung setzt voraus, dass alle Bereiche mit sicheren Behältern ausgestattet sind, klare Zuständigkeiten existieren und der Entsorgungsprozess verlässlich dokumentiert wird.
Für Krankenhäuser empfiehlt sich daher ein Dauersservice mit regelmäßiger Abholung der befüllten Sicherheitsbehälter. Dieser Service lässt sich auf die Anforderungen der Klinik abstimmen: feste Abholintervalle für Stationen mit hohem Aufkommen, bedarfsgesteuerte Abholung für kleinere Abteilungen. Der entscheidende Vorteil gegenüber einer einmaligen Entsorgungslösung liegt in der lückenlosen Dokumentation jedes einzelnen Vernichtungsvorgangs.
Welche Sicherheitsstufe für Krankenhaus-Unterlagen gilt
Für Patientenunterlagen gilt dieselbe Empfehlung wie in Arztpraxen: mindestens Sicherheitsstufe P-3 nach DIN 66399, für Gesundheitsdaten im Sinne von Art. 9 DSGVO wird P-4 empfohlen. Bei dieser Stufe entstehen Partikel, deren Rekonstruktion praktisch nicht mehr möglich ist.
Neben der Vernichtungsqualität spielt auch die Schutzklasse eine Rolle. Sie regelt den Prozess rund um Transport und Zugang zu den Unterlagen. Schutzklasse 3 bedeutet, dass das Personal des Dienstleisters zu keinem Zeitpunkt Einblick in die Originalakten hat. Für Krankenhäuser mit psychiatrischen, onkologischen oder anderen besonders sensiblen Behandlungsbereichen ist das keine Option, sondern Voraussetzung.
Was viele unterschätzen: Die Vernichtungsqualität gilt nicht nur für Papier. In modernen Kliniken entstehen täglich digitale Datenträger mit Patientendaten, von CD und DVD mit DICOM-Bilddaten (Röntgen, CT, MRT) bis hin zu ausrangierten Computern aus Verwaltung und Radiologie. Auch diese müssen physisch vernichtet werden. Spezifische Verfahren gibt es für Festplatten und andere Datenträger.
Jetzt unverbindliches Angebot anfragenAVV und einheitliche TOMs für alle Abteilungen
Sobald ein externer Dienstleister mit der Vernichtung beauftragt wird, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verpflichtend. Für Krankenhäuser gilt das genauso wie für jede andere Organisation, die mit personenbezogenen Daten arbeitet.
Besonders relevant ist dabei die Frage der technischen und organisatorischen Maßnahmen (TOMs). Der AVV muss dokumentieren, wie der Dienstleister die Sicherheit der Daten gewährleistet: Welche Behältertypen werden eingesetzt? Wie sind die Fahrzeuge gesichert? Wer hat Zutritt zu den Vernichtungsanlagen? Werden die Mitarbeiter regelmäßig auf die Schweigepflicht verpflichtet?
Für Kliniken mit mehreren Standorten oder Häusern eines Verbunds bietet ein bundesweit tätiger Anbieter einen klaren Vorteil: Ein einziger AVV-Vertrag gilt für alle Standorte. Die TOMs sind einheitlich, die Abrechnung läuft zentral, und die Entsorgungszertifikate für alle Häuser stammen aus einer Hand. Das vereinfacht die Dokumentation erheblich und reduziert den administrativen Aufwand.
Was passiert, wenn die Kontrolle verloren geht
Die Risiken fahrlässiger Aktenentsorgung sind im Krankenhausbereich besonders gut dokumentiert. Bekannt ist der Fall des Hamburger Klinikkonzerns Asklepios, bei dem sensible Patientendaten in offenen Müllcontainern landeten, weil beauftragte Dienstleister die Unterlagen nicht ordnungsgemäß vernichtet hatten. Der Fall zeigt exemplarisch, was passiert, wenn der Entsorgungsprozess nicht konsequent überwacht wird.
Die Konsequenzen sind mehrschichtig. Die DSGVO sieht bei Verstößen im Umgang mit Gesundheitsdaten (Art. 9) Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Für einen Klinikverbund mit mehreren Häusern bedeutet das potenziell erhebliche finanzielle Risiken. Dazu kommen Schadensersatzansprüche betroffener Patienten und im schlimmsten Fall strafrechtliche Ermittlungen gegen Verantwortliche nach § 203 StGB.
Der langfristige Schaden für das öffentliche Ansehen der Klinik ist dabei kaum zu beziffern. Patienten, die erfahren, dass ihre Diagnosen oder Behandlungsdetails durch nachlässige Entsorgung in falsche Hände geraten sind, verlieren das Vertrauen dauerhaft. In einem Umfeld, in dem Kliniken zunehmend auch im Wettbewerb stehen, ist das ein ernsthaftes Risiko.
Häufige Fragen zur Aktenvernichtung im Krankenhaus
Gelten für Krankenhäuser andere Aufbewahrungsfristen als für Arztpraxen?
Im Kern gelten ähnliche Fristen: 10 Jahre nach letzter Behandlung für allgemeine Patientenakten, 10 Jahre für Röntgenaufnahmen. Der wichtige Unterschied ist, dass viele Bundesländer in ihren Krankenhausgesetzen eigene, teils längere Fristen festlegen. Psychiatrische Unterlagen unterliegen in mehreren Ländern einer 20-Jahres-Frist. Kliniken sollten daher immer das jeweilige Landesrecht einbeziehen.
Müssen alle Abteilungen eines Krankenhauses im gleichen AVV erfasst sein?
Ja, idealerweise. Ein einheitlicher AVV für das gesamte Haus vereinfacht die Dokumentation, stellt sicher, dass überall dieselben TOMs gelten, und reduziert das Risiko von Lücken in der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Bei Klinikverbunden mit mehreren Häusern bietet ein bundesweit tätiger Anbieter den Vorteil eines einzigen Vertrags für alle Standorte.
Welche Sicherheitsstufe ist für Patientenakten im Krankenhaus vorgeschrieben?
Es gibt keine gesetzlich festgeschriebene Sicherheitsstufe für Papiervernichtung, aber die DSGVO verlangt angemessene technische und organisatorische Maßnahmen. Für Gesundheitsdaten als besondere Datenkategorie nach Art. 9 gilt P-4 nach DIN 66399 als fachliche Empfehlung. P-3 ist das absolute Minimum für personenbezogene Daten.
Dürfen Krankenhäuser Patientenakten selbst vernichten?
Technisch ja, wenn das Gerät die erforderliche Sicherheitsstufe erreicht und der Prozess dokumentiert wird. Praktisch ist das bei der Menge an Unterlagen in einer Klinik kaum sinnvoll. Professionelle Dienstleister bieten die nötige Kapazität, ausreichende Sicherheitsstufen, lückenlose Vernichtungszertifikate und den AVV als rechtliche Grundlage.
Was passiert mit digitalen Bilddaten (DICOM, CD, DVD)?
CDs und DVDs mit Röntgen-, CT- oder MRT-Aufnahmen sind Datenträger, die physisch vernichtet werden müssen. Löschen oder Formatieren reicht nicht. Dafür gibt es zertifizierte Vernichtungsverfahren nach DIN 66399, die auch für optische Datenträger gelten. Dasselbe gilt für ausrangierte Workstations aus Radiologie und Verwaltung.