Wie wir bereits berichteten, hatte er Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, im letzten Jahr bei einer groß angelegten Prüfung von Krankenhäusern in Bayern zum Teil erhebliche Mankos in Sachen Aktenvernichtung und Auftragsdatenverarbeitung festgestellt. Hier noch einmal die wichtigsten Anforderungen
ANORDNUNG ÜBER DEN KIRCHLICHEN DATENSCHUTZ (KDO)
Bei der Aktenvernichtung durch Dritte spielt bei den, meist der katholischen Kirche zugehörigen Krankenhäusern, § 8 KDO eine wichtige Rolle. Dieser regelt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag. Vorraussetzungen sind ein schriftlicher Vertrag, eine vorherige sorgfältige Auswahl der Auftragnehmer, eine detaillierte Beschreibung des Entsorgungs-Verfahrens. Darüber hinaus hat der Auftragnehmer die Kontrollen des Auftraggebers zu akzeptieren und ihn dabei auch zu unterstützen.
ÄRZTLICHE SCHWEIGEPFLICHT
Das Entsorgungsunternehmen darf keinerlei Möglichkeit zur Einsichtnahme in die zu vernichtenden Daten bekommen. Dies ist durch die ärztlichen Verschwiegenheitspflicht nach § 203 StGB vorgeschrieben. Aus diesem Grund müssen die Daten dermaßen gesammelt, gelagert und and das Entsorgungsunternehmen weitergegeben werden, dass eine unautorisierte Einsichtnahme nicht möglich ist. Typischerweise bedeutet dies, dass ein Datenschutzkontainer im Einsatz befindlich sein sollte.
BESCHLAGNAHMESCHUTZ
Eine weitere Vorschrift findet man in § 97 Abs. 2 StPO, die besagt, dass sich die zu vernichten Unterlagen bis zu ihrer Vernichtung ausschließlich im Gewahrsam des Krankenhauses befinden dürfen, um den sogenannten Beschlagnahmeschutz zu gewährleisten.
VERNICHTUNG NACH DIN 66399
Die Vernichtung hat streng nach DIN 66399 zu erfolgen. Der Diözesandatenschutzbeauftragte des Erzbistums Hamburg stellt hierfür einen Mustervertrag zur Vernichtung von Datenträgern mit sensiblen personenbezogenen Daten zum Download bereit.
ACHTUNG ADV
Vorsicht, denn auch Tochtergesellschaften der Krankenhäuser oder Dienstleistungs GmbHs von Krankenhäusern sind sogenannte Dritte und benötigen einen Auftragsdatenverarbeitungsvertrag. Natürlich gilt dies auch für Kliniken eines Krankenhauskonzerns, da es in Deutschland kein Konzernprivileg gibt. Darum: Werden die Akten zentral in einer der angeschlossenen Kliniken entsorgt, muss auch hier ein ADV-Vertrag nach § 8 KDO abgeschlossen werden.