- Online-Abrechnung
- Software
- Preise
- Für wen?
- Wissen
- Blog
In den bisherigen Artikeln zum Thema DSGVO haben wir erklärt, worauf es beim Datenschutz im Betrieb ankommt. Das betrifft vor allem den Umgang mit hoch sensiblen Gesundheitsdaten, mit denen unter anderem ambulante Pflegedienste, Praxen für Heilmittel oder auch Anbieter von Krankenfahrten und -transporten zu tun haben. Verständlich, dass dabei viele personenbezogene Daten zusammenkommen, die bestens geschützt und nach den Grundsätzen der Datenschutz-Grundverordnung aufbewahrt werden müssen. Die DSGVO gibt aber auch vor, dass jede:r das Recht zur Auskunft hat.
Das Auskunftsrecht: Alle Informationen zum „ob“, „was“ und „wie“
Artikel 15 DSGVO besagt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden (…).“
Aber es geht hier nicht nur um das „ob“, sondern auch um das „was“ und „wie“: Welche personenbezogenen Daten wurden über eine:n gespeichert? Wie wurden diese Daten verwendet, an wen wurden sie weitergegeben und wie lang sollen diese Daten noch gespeichert werden?
Tritt die betroffene Person mit einer solchen Anfrage an Dich heran, hast Du als Verarbeiter der Daten die Pflicht, eine Kopie der entsprechenden Daten zur Verfügung zu stellen. Artikel 12 DSGVO gibt vor, dass eine solche Anfrage „unverzüglich, in jedem Fall aber innerhalb eines Monats“ beantwortet werden muss. (Ist eine Anfrage aber sehr komplex oder ist die Datenmenge extrem groß, kann diese Frist auch begründet verlängert werden.) Und die Auskunft über die Verarbeitung der Daten muss „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ sein.
Ausnahmen von der Auskunftspflicht gibt es auch – nämlich dann, wenn dadurch die Rechte oder Freiheiten anderer Personen gefährdet sein sollten. Beispielsweise wäre das im Falle einer Strafverfolgung oder aus Gründen der nationalen Sicherheit so.
Wann Daten gelöscht werden müssen
Ein anderes Recht, das die Personen, deren Daten erhoben und verarbeitet werden, haben, ist das „Recht auf Vergessenwerden“. Dieses wird über Artikel 17 DSGVO geregelt.
Zu den Grundsätzen des Datenschutzes hatten wir bereits geschrieben, dass Daten erhoben werden, wenn die betroffen Person das explizit gestattet oder aber die Daten für die Durchführung eines Anliegens dringend benötigt werden. Für beide Fälle gilt: Die Daten müssen unverzüglich gelöscht werden, wenn diese für die besagten Zwecke nicht mehr notwendig sind. Also ein unendlich langes Horten von Daten ist untersagt. Wurden personenbezogene Daten unrechtmäßig verarbeitet, dann müssen diese natürlich auch gelöscht werden – und zwar unaufgefordert.
Die betroffenen Personen können aber auch von sich aus, die Löschung beantragen. Das kann über folgende Wege gehen:
Die Person hat die einstige Einwilligung zur Datenerhebung und -verarbeitung widerrufen.
Die Person legt Widerspruch gegen die Datenverarbeitung ein.
Ausnahmen der Datenlöschung und Fristen für bestimmte Dokumente
Es gibt jedoch auch Ausnahmen von dem Recht auf Löschung. Nicht alle Daten dürfen gelöscht werden: „Nicht davon betroffen sind (...) Daten, die Ärzte zum Nachweis der Leistungserbringung oder aus Haftpflichtgründen aufbewahren müssen“, erklärt Rebekka Höhl von der Ärzte Zeitung. „Diese Datensicherung darf dann allerdings nur begrenzt und in bestimmten Fällen zugänglich sein.“ Diese Regel betrifft nicht nur Ärzte, sondern natürlich auch andere Leistungserbringer:innen – wie z. B. Ergo- oder Physiotherapeut:innen, Logopäd:innen oder Pflegekräfte.
Für Leistungserbringer:innen im Gesundheitswesen sind vor allem folgende Aufbewahrungsfristen relevant:
Nach dem Patientenrechtegesetz müssen Patientenakten und ähnliche Dokumente gemäß § 630 f Abs. 3 BGB für mindestens zehn Jahre aufbewahrt werden. Das bedeutet, dass Krankenhäuser, Arztpraxen, Pflegeeinrichtungen (wozu auch ambulante Pflegedienste gehören), Heilmittelpraxen und andere medizinische Einrichtungen verpflichtet sind, die Dokumente über die Behandlung von Patienten für einen Zeitraum von mindestens zehn Jahren aufzubewahren, um sicherzustellen, dass die Patientenakten bei Bedarf noch verfügbar sind.
Geschäftsdokumente wie selbst ausgestellte Rechnungen, empfangene Handels- oder Geschäftsbriefe und weitere Geschäftsunterlagen müssen gemäß den steuerlichen Aufbewahrungsfristen für einen Zeitraum von sechs Jahren aufbewahrt werden.
Jahresabschlüsse, Inventare, Aufzeichnungen und Lagerberichte müssen mindestens zehn Jahre aufbewahrt werden. Dies ist erforderlich, um sicherzustellen, dass die Geschäftsdokumente auch in Zukunft verfügbar sind, falls sie bei steuerlichen Überprüfungen oder anderen rechtlichen Angelegenheiten benötigt werden. (Für konkrete Hilfestellung – angepasst an Deine Lebenslage – wendest Du Dich bitte an eine:n Steuerberater:in oder an einen Steuerhilfeverein.)
Übrigens: Um den Überblick über die vielen Unterlagen nicht zur verlieren, bietet DMRZ.de für das sichere und DSGVO-konforme Dokumentenmanagement die Funktion der Löschfristen an. So kannst Du im DMRZ.de-System noch Jahre später sehen, was aufbewahrt werden muss und was gelöscht werden muss. Für bestimmte Dokumententypen lassen sich die Löschfristen sogar einheitlich festlegen.
Demnächst befassen wir uns einmal konkret mit dem Datenschutz bei der Videotherapie. Worauf müssen Leistungserbringer:innen der Ergotherapie, Physiotherapie und Logopädie datenschutzrechtlich achten, wenn sie ihre Behandlungen per Video anbieten.
Allgemeiner Hinweis: Unsere Ratgebertexte zum Datenschutz und zur Datensicherheit dienen lediglich zur Information und bieten einen Überblick über das Thema. Sie stellen keine Rechtsberatung dar. Für konkrete Hilfestellung – angepasst an Deine berufliche Lebenslage – wendest Du Dich bitte an eine:n Fachanwält:in.