Patientendaten gehören zu den sensibelsten Informationen, die es gibt. Diagnosen, Medikamentenpläne, Laborwerte, psychiatrische Berichte: Unterlagen einer Arztpraxis sind nicht nur nach der DSGVO besonders geschützt, sondern auch strafrechtlich relevant. Wer sie falsch entsorgt, riskiert Bußgelder, Strafanzeigen und den Verlust des Patientenvertrauens. Dabei beginnt das Risiko nicht erst beim Datenleck, sondern schon beim falschen Entsorgungsweg.
Unverbindliches Angebot anfragenInhalt
Warum Patientendaten besonders geschützt sind
Die DSGVO teilt personenbezogene Daten in zwei Kategorien ein: gewöhnliche Daten und solche, die einen besonders hohen Schutz erfordern. Gesundheitsdaten zählen nach Art. 9 DSGVO zur zweiten Kategorie, gemeinsam mit Daten über Religion, politische Überzeugungen oder genetische Merkmale. Das hat praktische Konsequenzen: Jede Verarbeitung, jede Weitergabe und jede Vernichtung von Gesundheitsdaten unterliegt strengeren Anforderungen als die normaler Geschäftsunterlagen.
Hinzu kommt die ärztliche Schweigepflicht nach § 203 StGB. Sie ist kein bloßes Standesrecht, sondern Strafrecht. Wer als Arzt, Zahnärztin oder Angehöriger eines Heilberufs Patientendaten unbefugt offenbart, auch durch fahrlässige Entsorgung, macht sich strafbar. Die Schweigepflicht gilt nicht nur während der Behandlung, sondern auch nach Abschluss der Arzt-Patienten-Beziehung, nach Praxisauflösung und über den Tod des Patienten hinaus.
Das bedeutet für die Praxisführung: Wer Patientenakten entsorgt, muss sicherstellen, dass kein Unbefugter Einblick nehmen kann, weder beim Transport noch bei der eigentlichen Vernichtung. Auch externe Dienstleister, die mit der Vernichtung beauftragt werden, müssen zur Verschwiegenheit verpflichtet sein.
Welche Unterlagen in der Arztpraxis aufbewahrt werden müssen
Bevor Unterlagen vernichtet werden dürfen, müssen die gesetzlichen Aufbewahrungsfristen abgelaufen sein. In Arztpraxen gelten dabei teils andere und längere Fristen als in normalen Unternehmen.
- Patientenakten (allgemein): mindestens 10 Jahre nach der letzten Behandlung, geregelt in § 10 Abs. 3 der Musterberufsordnung für Ärzte (MBO-Ä)
- Unterlagen minderjähriger Patienten: mindestens bis zur Volljährigkeit des Patienten plus 10 weitere Jahre, in der Praxis also oft bis ins 28. Lebensjahr
- Röntgenaufnahmen und -befunde: 10 Jahre nach der Aufnahme (Strahlenschutzverordnung)
- Laborberichte und Befunde: in der Regel 10 Jahre
- Buchführungs- und Abrechnungsunterlagen: 10 Jahre (HGB / AO)
- Geschäftsbriefe, Verträge: 6 Jahre
Manche Unterlagen haben noch längere Fristen, etwa bei Behandlungen im Rahmen von Berufsgenossenschafts- oder Rentenversicherungsverfahren. Im Zweifel gilt: lieber etwas länger aufbewahren und dann geordnet vernichten. Eine vollständige Übersicht mit Fristen nach Dokumententyp finden Sie in der Übersicht der Aufbewahrungsfristen.
Wichtig: Die DSGVO verbietet gleichzeitig, Daten länger aufzubewahren als nötig. Wer Patientenakten aus den 1990ern hortet, weil „man ja nie weiß”, verstößt gegen den Grundsatz der Datensparsamkeit. Ein strukturierter Vernichtungsplan mit klaren Zeitpunkten je Dokumententyp ist deshalb keine Kür, sondern datenschutzrechtliche Pflicht.
Welche Sicherheitsstufe für Patientenakten erforderlich ist
Nicht jede Vernichtungsmethode ist für Patientendaten geeignet. Die DIN 66399 (ISO 21964) definiert sieben Sicherheitsstufen für Papierdokumente, von P-1 (grobe Streifen) bis P-7 (Staubpartikel). Die Sicherheitsstufe legt fest, wie klein die Partikel nach der Vernichtung sein müssen. Je kleiner, desto schwieriger ist eine Rekonstruktion.
Für gewöhnliche Personendaten gilt P-3 als Mindeststandard. Für Gesundheitsdaten, also alle Patientenakten, wird aufgrund ihrer Klassifizierung als besonders schutzwürdig nach Art. 9 DSGVO P-4 empfohlen. Bei dieser Stufe entstehen Partikel, die sich praktisch nicht mehr zusammensetzen lassen.
Der Büro-Aktenvernichter reicht in den meisten Praxen nicht aus. Günstige Geräte arbeiten häufig mit Streifenschnitt (P-2), was für Patientenunterlagen klar ungenügend ist. Wer prüfen möchte, welche Sicherheitsstufe das eigene Gerät erreicht, findet die Angabe im technischen Datenblatt. Mehr zu den Stufen erklärt die Seite zur DIN 66399.
Neben Papier fallen in der modernen Arztpraxis zunehmend auch digitale Datenträger an: CDs mit Röntgenbefunden, USB-Sticks mit Patientendaten, alte Praxis-PCs oder ausrangierte Tablets. Diese Geräte einfach zu löschen oder zu formatieren reicht nicht. Dateirückgewinnungs-Software kann solche Daten in vielen Fällen vollständig wiederherstellen. Für Datenträger aus dem medizinischen Bereich ist physische Vernichtung Pflicht. Entsprechende Verfahren gibt es speziell für Festplatten und andere Datenträger.
Auftragsverarbeitungsvertrag (AVV) – auch für Arztpraxen Pflicht
Wer die Aktenvernichtung an einen externen Dienstleister übergibt, muss vorher einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Das gilt für jedes Unternehmen mit personenbezogenen Daten, und erst recht für Arztpraxen mit Gesundheitsdaten.
Ohne AVV trägt die Praxis als Auftraggeber die volle datenschutzrechtliche Verantwortung für alles, was der Dienstleister mit den Unterlagen macht. Geht etwas schief, etwa weil Akten nicht vollständig vernichtet wurden, haftet der Praxisinhaber, nicht der Dienstleister.
Ein seriöser Anbieter stellt den AVV standardmäßig zur Verfügung. Im Vertrag wird geregelt: welche Daten verarbeitet werden, welche technischen und organisatorischen Maßnahmen (TOMs) der Dienstleister einhält, wie der Transport gesichert ist und dass nach der Vernichtung ein schriftliches Entsorgungszertifikat ausgestellt wird. Dieses Zertifikat ist im Rahmen der DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2) zu dokumentieren und für mindestens drei Jahre aufzubewahren.
Für Praxen mit mehreren Standorten, etwa eine Hauptpraxis und eine Zweigstelle, hat ein bundesweit tätiger Anbieter einen praktischen Vorteil: ein einziger AVV-Vertrag gilt für alle Standorte, mit einheitlichen TOMs und zentraler Abrechnung.
Jetzt unverbindliches Angebot anfragenSonderfall: Praxisauflösung und Praxisübergabe
Wer eine Praxis aufgibt oder übergibt, steht vor einer besonderen Herausforderung. Patientenakten dürfen nicht einfach weggeworfen werden, auch nicht in den Büro-Reißwolf im Flur. Und sie dürfen nicht einfach im Praxisraum zurückbleiben, wenn ein neuer Arzt einzieht.
Bei einer Praxisübergabe gilt: Akten können nur mit ausdrücklicher Einwilligung der Patienten an den Nachfolger übertragen werden. Ohne diese Einwilligung müssen sie sicher aufbewahrt oder vernichtet werden, je nach verbleibender Aufbewahrungsfrist.
Bei einer Praxisauflösung ohne Nachfolger muss der Praxisinhaber dafür sorgen, dass die Akten bis zum Ablauf der Fristen sicher gelagert und danach geordnet vernichtet werden. Die Ärztekammern bieten für solche Fälle teilweise Archivierungsmodelle an. In jedem Fall sind die Patienten zu informieren, damit sie ihre Unterlagen bei Bedarf einfordern können.
Gerade bei Praxisauflösungen entstehen oft große Mengen, Tausende von Aktenordnern, die über Jahrzehnte angesammelt wurden. Für solche Situationen gibt es spezialisierte Entsorgungslösungen: abschließbare Container, die in der Praxis aufgestellt werden, und eine diskrete Abholung durch geschultes Personal. Auch in dieser Phase gilt die Schweigepflicht. Das Personal des Dienstleisters muss entsprechend verpflichtet sein.
Was bei Verstößen tatsächlich passiert
Falsche Aktenentsorgung in Arztpraxen ist kein theoretisches Risiko. Das Ravensburger Altpapier-Beispiel aus dem 7-Fehler-Artikel ist kein Einzelfall. Vergleichbare Vorfälle wurden aus Kliniken, Rehazentren und niedergelassenen Praxen gemeldet. Die Folgen treffen die Praxis auf mehreren Ebenen.
Die DSGVO sieht bei Verstößen im Umgang mit besonders sensiblen Datenkategorien (Art. 9) Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Für eine niedergelassene Praxis bedeutet das: selbst bei moderaten Jahresumsätzen können empfindliche fünf- bis sechsstellige Beträge entstehen.
Hinzu kommt § 203 StGB: Die unbefugte Offenbarung von Patientendaten, auch durch nachlässige Entsorgung, ist eine Straftat. Betroffene Patienten können zudem zivilrechtliche Schadensersatzansprüche geltend machen.
Der vielleicht gravierendste Schaden ist aber der Vertrauensverlust. Patienten, die erfahren, dass ihre Diagnosen im Altpapier gelandet sind, kommen nicht zurück und empfehlen die Praxis auch nicht weiter. Das lässt sich in keiner Haftpflichtversicherung abbilden.
Häufige Fragen zur Aktenvernichtung in Arztpraxen
Wie lange müssen Patientenakten aufbewahrt werden?
In der Regel mindestens 10 Jahre nach der letzten Behandlung (§ 10 MBO-Ä). Bei Kindern gilt die Frist bis zur Volljährigkeit plus 10 Jahre, also mindestens bis zum 28. Lebensjahr. Röntgenaufnahmen müssen 10 Jahre nach der Aufnahme aufbewahrt werden. Abrechnungsunterlagen unterliegen der handelsrechtlichen 10-Jahres-Frist.
Darf ich Patientenakten selbst schreddern?
Ja, aber nur mit einem Gerät der Sicherheitsstufe P-4 oder höher. Viele handelsübliche Büro-Aktenvernichter erreichen nur P-2 (Streifenschnitt), was für Patientendaten nicht ausreicht. Für größere Mengen ist ein zertifizierter Dienstleister die sicherere und oft günstigere Lösung.
Brauche ich für die Aktenvernichtung einen AVV?
Ja. Sobald ein externer Dienstleister Patientenakten übernimmt, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtend. Kein seriöser Anbieter nimmt einen Auftrag ohne AVV an, und kein Praxisinhaber sollte ohne AVV beauftragen.
Was passiert mit Patientenakten bei Praxisauflösung?
Die Akten dürfen nicht einfach entsorgt werden. Patienten müssen informiert werden, damit sie ihre Unterlagen einfordern können. Akten, die noch der Aufbewahrungsfrist unterliegen, müssen sicher archiviert werden. Abgelaufene Unterlagen werden von einem zertifizierten Dienstleister vernichtet. Die ärztliche Schweigepflicht gilt auch in dieser Phase weiterhin.
Gilt die Schweigepflicht auch für den Dienstleister?
Ja, indirekt. Über den AVV und die vertraglichen Verpflichtungen ist der Dienstleister an die Weisungen des Praxisinhabers gebunden und zur Verschwiegenheit verpflichtet. Bei seriösen Anbietern ist das Personal zusätzlich nach § 203 StGB auf die Verschwiegenheitspflicht hingewiesen und entsprechend geschult.