Wenn Sie zum Arzt gehen, entstehen medizinische Unterlagen: Diagnosen, Behandlungspläne, Laborergebnisse, Rezepte. Diese Daten sind hochsensibel – und gleichzeitig muss Ihre Arztpraxis oder das Krankenhaus sie für eine bestimmte Zeit aufbewahren, auch wenn Sie das vielleicht nicht wollen.
Warum? Weil es gesetzliche Aufbewahrungspflichten gibt – aber gleichzeitig müssen diese Pflichten mit der DSGVO im Einklang stehen. Und genau da wird’s kompliziert.
Warum medizinische Unterlagen aufbewahrt werden müssen
In Deutschland müssen Ärzte und Krankenhäuser Patientenakten mindestens zehn Jahre aufbewahren. Das steht in der Berufsordnung für Ärzte und im Patientenrechtegesetz. Der Grund: Wenn Jahre später Fragen zur Behandlung auftauchen – zum Beispiel wegen Spätfolgen oder rechtlicher Auseinandersetzungen – müssen die Unterlagen verfügbar sein.
Aber: Die DSGVO sagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es nötig ist. Wenn die zehnjährige Frist abgelaufen ist, müssen die Daten gelöscht werden – es sei denn, es gibt einen guten Grund, sie länger zu behalten. Viele Praxen und Krankenhäuser nutzen heute Systeme wie Korto, um Aufbewahrungsfristen automatisch zu überwachen und Daten rechtzeitig zu löschen.
Was die DSGVO für Patienten bedeutet
Als Patient haben Sie durch die DSGVO mehrere Rechte – auch wenn medizinische Daten unter besonderen Schutz fallen:
Auskunftsrecht: Sie können jederzeit eine Kopie Ihrer Patientenakte anfordern. Die Praxis oder das Krankenhaus muss Ihnen die Unterlagen innerhalb eines Monats aushändigen – meist gegen eine kleine Gebühr für Kopien.
Berichtigungsrecht: Wenn etwas Falsches in Ihrer Akte steht, können Sie verlangen, dass es korrigiert wird. Ärzte dürfen aber keine Einträge einfach löschen – stattdessen wird eine Korrektur hinzugefügt.
Löschrecht – mit Einschränkungen: Nach Ablauf der Aufbewahrungsfrist können Sie Löschung verlangen. Aber während der zehn Jahre haben Sie kein Recht auf Löschung, weil die Aufbewahrung gesetzlich vorgeschrieben ist.
Widerspruchsrecht bei Forschung: Wenn Ihre Daten für medizinische Forschung genutzt werden sollen, können Sie widersprechen – vorausgesetzt, die Daten sind nicht anonymisiert.
Der Konflikt zwischen DSGVO und lokalen Gesetzen
Hier wird’s kompliziert. Die DSGVO gilt EU-weit, aber jedes Land hat eigene Gesetze zu medizinischen Aufbewahrungspflichten. In Deutschland zehn Jahre, in Österreich ebenfalls, in anderen EU-Ländern teilweise länger oder kürzer.
Das Problem: Was passiert, wenn Sie nach fünf Jahren verlangen, dass Ihre Daten gelöscht werden? Die Praxis darf nicht – wegen der gesetzlichen Aufbewahrungspflicht. Aber gleichzeitig muss sie sich an die DSGVO halten, die sagt, dass Daten nicht länger als nötig gespeichert werden dürfen.
Die Lösung: Die Aufbewahrungspflicht geht vor – aber nur während der gesetzlichen Frist. Danach müssen die Daten gelöscht werden, es sei denn, es gibt einen berechtigten Grund (zum Beispiel eine laufende Gerichtsverhandlung). Systeme im gesundheitswesen helfen dabei, solche Fristen automatisch zu überwachen.
Was Patienten tun können
Fragen Sie nach Ihrer Akte: Sie haben das Recht, Ihre Patientenakte einzusehen. Wenn Sie den Verdacht haben, dass falsche Informationen drin stehen, fordern Sie eine Kopie an und prüfen Sie sie.
Korrektur verlangen: Wenn Sie Fehler finden, bitten Sie um Korrektur. Ärzte sind verpflichtet, das zu tun – allerdings dürfen sie alte Einträge nicht einfach löschen, sondern fügen eine Berichtigung hinzu.
Löschung nach Fristablauf: Wenn mehr als zehn Jahre seit Ihrer letzten Behandlung vergangen sind, können Sie fragen, ob Ihre Daten noch gespeichert sind, und Löschung verlangen. Viele Praxen löschen automatisch – aber nicht alle.
Widerspruch bei Forschung: Wenn Ihre Daten für Studien genutzt werden sollen, haben Sie das Recht zu widersprechen. Fragen Sie nach, ob Ihre Daten weitergegeben werden, und widersprechen Sie wenn nötig.
Wie Praxen und Krankenhäuser damit umgehen sollten
Viele medizinische Einrichtungen haben Schwierigkeiten, die Balance zwischen Aufbewahrungspflichten und DSGVO zu finden. Manche behalten Daten zu lange, andere löschen zu früh. Beide Fehler sind problematisch.
Die beste Lösung: Ein automatisiertes System, das Aufbewahrungsfristen überwacht und Daten automatisch löscht, wenn die Frist abläuft. Das reduziert das Risiko von Datenlecks (weil weniger alte Daten herumliegen) und stellt sicher, dass die Einrichtung rechtlich abgesichert ist.
Was passiert bei Verstößen
Wenn eine Praxis oder ein Krankenhaus gegen die DSGVO verstößt – zum Beispiel weil sie Daten zu lange speichert oder unberechtigten Zugriff zulässt – können hohe Bußgelder drohen. Die DSGVO sieht Strafen bis zu 20 Millionen Euro vor.
In der Praxis werden kleine Praxen meist nicht so hart bestraft – aber es gab schon Fälle, wo medizinische Einrichtungen Zehntausende Euro zahlen mussten, weil sie Patientendaten nicht ordentlich geschützt haben.
Für Sie als Patient heißt das: Wenn Ihre Daten missbraucht werden oder die Praxis Ihre Rechte ignoriert, können Sie sich bei der Datenschutzbehörde beschweren. Das kostet nichts und kann die Praxis zur Rechenschaft ziehen.
Unterm Strich
Medizinische Unterlagen müssen aufbewahrt werden – das ist gesetzlich vorgeschrieben. Aber gleichzeitig haben Sie als Patient das Recht, zu wissen, was gespeichert wird, und nach Ablauf der Frist Löschung zu verlangen.
Praxen und Krankenhäuser, die Ihre Daten ernst nehmen, nutzen moderne Systeme, um Aufbewahrungsfristen zu überwachen und Daten rechtzeitig zu löschen. Wenn Sie den Verdacht haben, dass Ihre Daten nicht ordentlich geschützt werden, fragen Sie nach – und wenn Sie keine zufriedenstellende Antwort bekommen, beschweren Sie sich. Es ist Ihr Recht.