Datenschutz in der Praxis

Datenschutz und Datensicherheit sind Themen, die in Folge der zunehmenden Digitalisierung in ärztlichen und psychotherapeutischen Praxen immer wichtiger werden.

 

Datenschutzgrundverordnung für Praxen

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie bringt zusätzliche Pflichten für Praxen mit sich. Zudem drohen bei Verstößen gegen die Vorgaben des Datenschutzes deutlich härtere Sanktionen.

Nach der DSGVO sind Praxen verpflichtet nachzuweisen, dass Sie die datenschutzrechtlichen Grundsätze einhalten, zum Beispiel gegenüber den Aufsichtsbehörden. Außerdem kommen Informationspflichten gegenüber den Patienten hinzu.

Die DSGVO gilt für den gesamten öffentlichen Bereich, also für private Unternehmen, öffentliche Stellen, freiberuflich Tätige oder Vereine. Sie vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten.

Unter dem Begriff „Verarbeiten“ werden alle Tätigkeiten zusammengefasst wie Erheben und Abfragen, Ordnen, Speichern, Anpassen und Ändern, Auslesen und Weiterleiten, Löschen und Vernichten der Daten. In den Praxen beginnt dieser Prozess quasi bei der Terminvereinbarung am Telefon oder dem Einlesen der Gesundheitskarte.

Für Praxen geht es insbesondere um den Schutz der:

  • Patientendaten (Gesundheitsdaten), die Sie für die Behandlung der Patienten – ob gesetzlich oder privat versichert – benötigen, zum Beispiel Name und Versicherungsnummer, Befunde, Blutwerte, Röntgenaufnahmen
  • Personaldaten, die Sie als Arbeitgeber von Ihren Mitarbeitern benötigen – zum Beispiel Name, Adresse, Sozialversicherungsnummer

Rein private Daten des Praxisinhabers, zum Beispiel die auf seinem Rechner gespeicherten Kontaktdaten von Familie und Freunden, unterliegen nicht der Datenschutz-Grundverordnung.

 

Was Praxen und MVZ benötigen

Alle Praxen: Verzeichnis von Verarbeitungstätigkeiten

Praxen benötigen ein Verzeichnis von Verarbeitungstätigkeiten. Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden. Die Aufstellung und Beschreibung der Tätigkeiten ist auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verzeichnis vor, drohen Geldstrafen.

Das ist zu tun

Die KBV stellt für das Verzeichnis ein Muster bereit, das Sie nutzen können. Dazu gibt es ein Ausfüllbeispiel mit zwei Verarbeitungstätigkeiten. So können Sie vorgehen:

Schritt 1: Für das Erstellen des Verzeichnisses sollten Sie zunächst überlegen, wo überall in der Praxis personenbezogene Daten verarbeitet, also zum Beispiel erhoben, gespeichert, bearbeitet oder weitergeleitet, werden. Dabei bietet es sich an, Tätigkeiten, die demselben Zweck dienen, zusammenzufassen. Eine Tätigkeit, die in allen Praxen anfallen dürfte, ist die Nutzung des Praxisverwaltungssystems zum Zwecke der ärztlichen / psychotherapeutischen Dokumentation in der Patientenakte, der Qualitätssicherung, der Terminplanung und der Abrechnung. Eine weitere Tätigkeit ist beispielsweise das Führen von Personalakten, um Mitarbeiter beschäftigen zu können.

Schritt 2: Im nächsten Schritt fügen Sie zu jeder Tätigkeit die in der DSGVO geforderten Angaben hinzu. Das sind:

  • Zweck der Verarbeitung (z.B. ärztliche Dokumentation)
  • betroffene Personengruppen (z.B. Patienten, Beschäftigte)
  • Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)
  • Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen)
  • Fristen für die Löschung (z.B. zehn Jahre)

Schritt 3: Geben Sie jetzt noch den Namen und die Kontaktdaten Ihrer Praxis und gegebenenfalls des Datenschutzbeauftragten an. Dazu füllen Sie die Felder auf der ersten Seite der Dokumentenvorlage aus. Prüfen Sie bei der Erstellung des Verzeichnisses auch, ob bestimmte Datenverarbeitungsvorgänge ein besonders hohes Risiko bergen. Dann könnte unter Umständen eine Datenschutz-Folgenabschätzung nötig sein.

TIPP: Das Muster für ein Verarbeitungsverzeichnis und das Ausfüllbeispiel finden Sie auf der Homepage der KBV:

Muster für Praxen: Verzeichnis von Verarbeitungstätigkeiten (DOCX)

Ausfüllbeispiel: Verzeichnis von Verarbeitungstätigkeiten (PDF)

Alle Praxen: Aufstellung der Datenschutz-Maßnahmen

Praxen sind für den Schutz personenbezogener Daten verantwortlich. Sie müssen dazu geeignete technische und organisatorische Maßnahmen ergreifen und diese dokumentieren. So kennen alle Teammitglieder die Regeln, und bei externen Kontrollen oder Anfragen kann der interne Datenschutzplan vorgelegt werden.

Diese Maßnahmen zum Datenschutz gehören dazu

Die DSGVO macht keine konkreten Vorgaben, welche Maßnahmen im Einzelnen dokumentiert werden soll. Doch letztlich geht es darum, zu erfassen, welche Vorkehrungen die Praxis getroffen hat, um einen Missbrauch von personenbezogenen Daten zu verhindern. Auf diese Punkte kommt es insbesondere an:

  • Patientendaten werden niemals unverschlüsselt über das Internet versendet, beispielsweise per E-Mail.
  • Zugriffsberechtigungen sind vergeben; somit ist klar geregelt, wer in der Praxis auf Dateien und Ordner zugreifen kann.
  • In den Praxisräumlichkeiten wird auf Diskretion geachtet: Die Anmeldung sollte getrennt zum Wartebereich angeordnet sein. Möglich ist auch, Patienten beispielsweise mit einem Schild darauf hinzuweisen, dass sie am Tresen Abstand halten sollen, wenn mehrere Personen dort warten.
  • Patientenakten werden sicher verwahrt: Die Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert. Patientenunterlagen werden stets so positioniert, dass andere Patienten diese nicht einsehen können. Wenn der Arzt / Psychotherapeut nicht im Raum ist, werden Patientenakten generell unter Verschluss gehalten.
  • Vertrauliche Arzt-Patienten-Gespräche finden stets in geschlossenen Räumen statt.
  • Bei Auskünften am Telefon wird die Identität des Anrufers gesichert, zum Beispiel durch gezielte Zusatzfragen oder einen Rückruf.
  • Es ist festgelegt, wann und durch wen personenbezogene Daten gelöscht beziehungsweise vernichtet werden, sobald beispielsweise die Aufbewahrungsfrist abläuft.
  • Patientenakten werden nach DIN-Normen vernichtet.
  • Es ist festgelegt, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt (in der Regel an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden).
  • Die Mitarbeiter in der Praxis wurden über die Einhaltung von Schweigepflicht und Datenschutz informiert.

Alle Praxen: Patienteninformation

Praxen müssen Patienten darüber informieren, was mit ihren Daten passiert. Dies muss in der Regel zum Zeitpunkt der Datenerhebung erfolgen. Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten. Auch die Kontaktdaten der Praxis und gegebenenfalls des Datenschutzbeauftragten sind aufzuführen.

Das ist zu tun

Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis. Auch ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.

Muster für eine Patienteninformation zum Datenschutz (DOCX)

Alle Praxen: Vereinbarung zur Auftragsverarbeitung

Die Praxissoftware wird gewartet, Akten- und Datenträger müssen nach Ablauf der Aufbewahrungsfrist vernichtet werden. Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Vertrages zur Auftragsverarbeitung (als Anlage zum Hauptvertrag) erforderlich.

Die Auftraggeber müssen sich ferner davon überzeugen, dass der Dienstleister die Vorschriften des Datenschutzes einhält und entsprechende technische und organisatorische Maßnahmen durchführt. Die Firmen sollen dem Auftragsnehmer dazu ein Datenschutzsiegel oder eine Zertifizierung, zum Beispiel ISO/IEC 27001, vorlegen.

Auftragsverarbeitung: ja oder nein?

Eine Auftragsverarbeitung liegt nicht nur bei der Wartung der Praxis-EDV oder der Akten- und Datenträgervernichtung vor. Weitere Beispiele sind die Nutzung von Cloud-Systemen und die Terminvergabe durch Externe (die Terminservicestellen der KVen fallen nicht darunter). Dagegen ist eine rein technische Wartung der IT-Infrastruktur durch einen Externen, zum Beispiel Arbeiten an der Stromzufuhr, Kühlung oder Heizung, keine Auftragsverarbeitung. Dies gilt ebenso bei der Beauftragung von Steuerberatern, Rechtsanwälten, Wirtschaftsprüfern und Angehörigen anderer Berufe, die als „Geheimnisträger“ gelten. Auch hier liegt in der Regel keine Auftragsverarbeitung vor.

Das ist zu tun

Schritt 1: Schauen Sie zunächst, ob Sie für Ihre Dienstleistungsverträge (z.B. zur Wartung der Praxis-EDV) jeweils einen Vertrag zur Auftragsverarbeitung haben, und passen Sie diesen in Abstimmung mit dem Auftragnehmer gegebenenfalls an.

Schritt 2: Ist das nicht der Fall, sprechen Sie Ihren Dienstleister an. Er benötigt einen Vertrag zur Auftragsverarbeitung und wird Ihnen in der Regel einen Entwurf zusenden.

Folgende Inhalte sollte der Vertrag enthalten:

  • Gegenstand und Dauer der Verarbeitung (um welche Leistung handelt es sich, wie lange wird diese beauftragt)
  • Art und Zweck der Verarbeitung (wozu dient sie, welches Ziel soll erreicht werden)
  • Art der personenbezogenen Daten und Kategorien betroffener Personen (z.B. Zugriff auf Gesundheitsdaten)
  • Rechte und Pflichten des Auftraggebers sowie dessen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit
  • Benennung der technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz personenbezogener Daten durchführt (z.B. Einhaltung von Vorgaben der ISO/IEC 27001)
  • Verpflichtung des Auftragnehmers zur Unterstützung des Auftraggebers bei:
  • Anfragen und Ansprüchen Betroffener im Zusammenhang mit der Auftragsverarbeitung
  • der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Verpflichtung des Auftragnehmers, dem Auftraggeber alle Informatio-nen zum Nachweis der Einhaltung der datenschutzrechtlichen Pflich-ten bereitzustellen. Möglich ist auch eine Überprüfung oder Inspekti-on durch einen vereinbarten Prüfer.

Schritt 3: Lassen Sie sich vom Dienstleister ein geeignetes Zertifikat, zum Beispiel ISO/IEC 27001, vorlegen. Das Zertifikat dient dem Nachweis der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragnehmer. Eine weitergehende Pflicht zur Kontrolle durch Sie besteht nicht.

Große Praxen/MVZ: Datenschutzbeauftragter

Größere Praxen und MVZ benötigen einen Datenschutzbeauftragten. Wie bisher ist dies Pflicht, wenn mindestens 20 Personen regelmäßig Daten automatisiert – zum Beispiel am Computer – verarbeiten. In seltenen Fällen müssen auch kleinere Praxen einen Datenschutzbeauftragten einsetzen, nämlich wenn eine Datenschutz-Folgenabschätzung notwendig wird. Die Aufgabe des Datenschutzbeauftragten kann ein fachlich qualifizierter Mitarbeiter (nicht der Praxisinhaber) oder ein externer Datenschützer übernehmen. Name und Kontaktdaten des Datenschutzbeauftragten müssen dem Landesdatenschutzbeauftragten mitgeteilt werden.

Aufgabe des Datenschutzbeauftragten ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren und geeignete Maßnahmen festzulegen. Er informiert und berät das Praxisteam über ihre Pflichten nach dem Datenschutzrecht. Darüber hinaus ist er Ansprechpartner für die Aufsichtsbehörde.

 

 

Darüber hinaus kann dies erforderlich sein

Datenschutz-Folgenabschätzung

In seltenen Fällen kann eine Datenschutz-Folgenabschätzung erforderlich sein, zum Beispiel wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Auch eine systematische Videoüberwachung der Praxisräume kann ein Grund sein.

Bestehen möglicherweise hohe Risiken bei der Datenverarbeitung, ist eine externe Datenschutzprüfung zu empfehlen. Sollten Sie Zweifel haben, ob dies im Einzelfall nötig ist, empfiehlt es sich, dies beim Landesdatenschutzbeauftragten zu erfragen.

Ist eine Datenschutz-Folgenabschätzung erforderlich, muss ein Datenschutzbeauftragter benannt werden, auch wenn in der Praxis weniger als 20 Mitarbeiter tätig sind.

Einwilligungserklärungen

Das Erfassen, Bearbeiten, Speichern etc. von Patientendaten ist gesetzlich gestattet. Nur in besonderen Fällen kann es erforderlich sein, dass Patienten zustimmen müssen, zum Beispiel bei der Einbeziehung einer privatärztlichen Verrechnungsstelle. In diesen Fällen müssen Praxen nachweisen können, dass die Patienten eine Einwilligungserklärung zur Datenverarbeitung unterschrieben haben.

Das ist zu tun

Einwilligungserklärungen müssen einen Hinweis darauf enthalten, dass Patienten ihr Einverständnis jederzeit widerrufen können. Ergänzen Sie gegebenenfalls Ihre Vorlagen.

Datenschutzerklärung auf der Internetseite

Zahlreiche Praxen haben eine Internet- oder Facebook-Seite. Terminerinnerungen per SMS oder Patienten-Newsletter gehören zunehmend zum Serviceangebot. Auch dabei werden personenbezogene Daten verarbeitet, die geschützt werden müssen.

Das ist zu tun

Prüfen Sie, ob auf Ihrer Internet- oder Facebook-Seite eine Datenschutzerklärung eingestellt ist und diese alle nötigen Angaben beinhaltet. Außerdem können Sie die Patienteninformation zum Datenschutz in der Praxis auf Ihre Internetseite stellen.

Weisen Sie in der Datenschutzerklärung unter anderem darauf hin, dass

  • personenbezogene Daten wie Name, Postanschrift, E-Mail-Adresse, Telefonnummer oder das Geburtsdatum ausschließlich in Übereinstimmung mit dem jeweils geltenden Datenschutzrecht erhoben und genutzt werden,
  • die Daten nur gespeichert werden, wenn sie aktiv übermittelt werden,
  • die Daten zum Beispiel nur zur Beantwortung von Anfragen oder zur Zusendung von Informationsmaterial verwendet werden,
  • Kontaktdaten, die im Rahmen von Anfragen angegeben werden, ausschließlich für die Korrespondenz verwendet werden
  • und E-Mail-Adressen, die Nutzer für den Bezug eines Newsletters angegeben haben, nur dafür genutzt werden.

 

 

Bei Verstößen drohen Geldstrafen

Das Ausmaß der Sanktionen richtet sich vor allem nach der Schwere und der Dauer des Vorfalls sowie nach dessen Auswirkungen auf die Patienten. Leichte Verstöße werden zunächst zu einer Beratung führen.

Dennoch sollten Praxen alle nötigen Vorkehrungen treffen. Denn die DSGVO sieht bei Verstößen generell deutlich härtere Sanktionen vor als sie bisher üblich sind. Die Aufsichtsbehörden – in der Regel die Landesdatenschutzbeauftragten – können im Einzelfall Geldbußen von bis zu 20 Millionen Euro verhängen. Liegt kein Verzeichnis von Verarbeitungstätigkeiten vor, können bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes verlangt werden. Möglich sind zudem Schadensersatzforderungen von Betroffenen inklusive Schmerzensgeld, zum Beispiel wegen Rufverletzung.

IT-Sicherheitsrichtlinie

Für Arzt- und Psychotherapeutenpraxen gelten ab April 2021 und in weiteren Schritten ab 2022 neue Anforderungen an die IT-Sicherheit. Der Gesetzgeber hatte mit dem Digitale-Versorgung-Gesetz die KBV beauftragt, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln.

Die IT-Sicherheitsrichtlinie legt Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen fest. Sie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen. Vieles davon wird im Praxisalltag bereits angewendet, da es durch die europäische Datenschutzgrundverordnung vorgegeben ist.

Die Anforderungen richten sich nach der Größe der Praxis. Zusätzliche Anforderungen an die IT-Sicherheit gibt es zudem bei der Nutzung von medizinischen Großgeräten wie CT oder MRT und für dezentrale Komponenten der Telematikinfrastruktur, etwa bei der Installation des Konnektors.

Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.

Weiterführende Informationen

Landesrundschreiben der KV Bremen, Ausgaben März, April und Juni 2021

Aufbewahrungsfristen

Bei den hier aufgeführten Fristen handelt es sich um Mindestaufbewahrungsfristen. Zivilrechtliche Ansprüche eines Patienten gegen seinen Arzt verjähren nach dem Bürgerlichen Gesetzbuch aber erst nach 30 Jahren. Die KV Bremen empfiehlt daher, die Dokumentationsunterlagen mindestens so lange aufzuheben, bis eindeutig feststeht, dass aus der ärztlichen Behandlung keine Schadensersatzansprüche mehr erwachsen können.

 

A bis E

  • Ambulantes Operieren (Aufzeichnungen und Dokumentationen) 10 Jahre
  • Arbeitsunfähigkeitsbescheinigungen (Durchschrift des gelben Dreifachsatzes, Teil C) 1 Jahr
  • Arztakten 10 Jahre
  • Arztbriefe (eigene und fremde) 10 Jahre
  • Ärztliche Aufzeichnungen einschließlich Untersuchungsbefunde 10 Jahre
  • Ärztliche Behandlungsunterlagen 10 Jahre
  • Abrechnungsscheine (bei Diskettenabrechnung) 1 Jahr
  • Aufzeichnungen (des Arztes in seiner Kartei) 10 Jahre
  • Befunde 10 Jahre
  • Berichte (Überweiser und Hausarzt) 10 Jahre
  • Berufsunfähigkeitsgutachten 10 Jahre
  • Betäubungsmittel BTM (BTM-Rezeptdurchschrift, BTM-Karteikarten, BTM-Bücher) 3 Jahre
  • Befundmitteilungen 10 Jahre
  • Behandlung mit radioaktiven Stoffen und ionisierenden Strahlen 30 Jahre
  • Blutprodukte (Anwendung von Blutprodukten sowie gentechnisch hergestellten Plasmarproteinen zur Behandlung von Hämastasestörungen) 30 Jahre
  • Disease Management Programme (Unterlagen) 10 Jahre
  • Durchgangsarzt / D-Arzt-Verfahren (ärztliche Unterlagen einschließlich Krankenblätter und Röntgenbilder) 15 Jahre
  • EEG-Streifen 10 Jahre
  • EKG-Streifen nach Abschluss der Behandlung 10 Jahre
  • Ersatzverfahren, Abrechnungsscheine 1 Jahr

G bis K

  • Gesundheitsuntersuchung (Teil B des Berichtsvordrucks nach der Untersuchung) 5 Jahre
  • Gutachten über Patienten (für Krankenkasse, Versicherungen, Berufsgenossenschaften) 10 Jahre
  • H-Ärzte (Behandlungsunterlagen einschließlich Röntgenbilder) 15 Jahre
  • Häusliche Krankenpflege (Verordnung von) * 10 Jahre
  • Heilmittelverordnungen (Verordnung von) * 10 Jahre
  • Jugendarbeitsschutzuntersuchung (Untersuchungsbogen) 10 Jahre
  • Jugendgesundheitsuntersuchung (Berichtsvordrucke, Dokumentation) 5 Jahre
  • H-Ärzte (Behandlungsunterlagen einschließlich Röntgenbilder) 15 Jahre
  • Häusliche Krankenpflege (Verordnung von) * 10 Jahre
  • Heilmittelverordnungen (Verordnung von) * 10 Jahre
  • H-Ärzte (Behandlungsunterlagen einschließlich Röntgenbilder) 15 Jahre
  • Häusliche Krankenpflege (Verordnung von) * 10 Jahre
  • Heilmittelverordnungen (Verordnung von) * 10 Jahre
  • Jugendarbeitsschutzuntersuchung (Untersuchungsbogen) 10 Jahre
  • Jugendgesundheitsuntersuchung (Berichtsvordrucke, Dokumentation) 5 Jahre
  • Karteikarten (einschließlich ärztlicher Aufzeichnungen und Untersuchungsbefunde) 10 Jahre
  • Koloskopie (Teil B des Berichtsvordrucks) 5 Jahre
  • Kontrollkarten über interne Qualitätssicherung und Zertifikate über erfolgreiche Teilnahme an Ringversuchen 5 Jahre
  • Krankenhausberichte (stationäre Behandlung) nach Abschluss der Behandlung 10 Jahre
  • Krankenkassenanfragen (Durchschriften) 10 Jahre
  • Krankenhausbehandlung (Verordnung, Krankenhauseinweisung Teil C) 10 Jahre
  • Krankenhausberichte 10 Jahre
  • Kinderfrüherkennungsuntersuchungen (ärztliche Aufzeichnungen) 10 Jahre
  • Krebsfrüherkennung Frauen (Berichtsvordruck Teil B) 5 Jahre
  • Krebsfrüherkennung Frauen (Berichtsvordruck Teil A) 4 Quartale
  • Krebsfrüherkennung Männer (Berichtsvordruck Teil B) 5 Jahre
  • Krebsfrüherkennung Männer (Berichtsvordruck Teil A) 4 Quartale

L bis S

  • Laborqualitätssicherung (Kontrollkarten) 5 Jahre
  • Labor (Zertifikate von Ringversuchen) 5 Jahre
  • Labor (interne Qualitätssicherung) 5 Jahre
  • Laborbuch 10 Jahre
  • Laborbefunde 10 Jahre
  • Langzeit EKG (Computerauswertung, keine Tapes) 10 Jahre
  • Lungenfunktionsdiagnostik (Diagramme) 10 Jahre
  • Notfallschein, Teil A (EDV abrechnende Ärzte) 1 Jahr
  • Notfallschein, Teile B und C * 10 Jahre
  • Patientenkartei (nach der letzten Behandlung) 10 Jahre
  • Psychotherapie (Mitteilung der Krankenkasse) 10 Jahre
  • Röntgen (Konstanzprüfungen und Dokumentation) 2 Jahre
  • Röntgendiagnostik (Röntgenaufnahmen von Patienten über 18 Jahre. Die 10jährige Aufbewahrungsfrist beginnt erst ab dem 18. Lebensjahr bei Patienten, sodass alle Röntgenbilder von Kindern und Jugendlichen mindestens bis zur Vollendung des 28. Lebensjahres aufbewahrt werden müssen.) 10 Jahre
  • Röntgentherapie (Aufzeichnungen) 30 Jahre
  • Sicherungsdiskette (Abrechnung mit der KV) 4 Jahre
  • Sonographie (Aufzeichnungen, Fotos, Prints, Disketten) 10 Jahre
  • Strahlenbehandlung, Röntgenbehandlung /-therapie (Aufzeichnungen, Berechnungen nach der letzten Behandlung) 30 Jahre
  • Strahlendiagnostik, Röntgendiagnostik (Aufzeichnungen, Filme nach der letzten Untersuchung, auch mittels radioaktiven und ionisierenden Strahlen). Die 10jährige Aufbewahrungsfrist beginnt erst ab dem 18. Lebensjahr der Patienten, sodass alle Röntgenbilder von Kindern und Jugendlichen mindestens bis zur Vollendung des 28. Lebensjahres aufbewahrt werden müssen. 10 Jahre
  • Strahlenschutzprüfung (Unterlagen) 5 Jahre
  • Strahlenschutz (Unterlagen über Mitarbeiterbelehrung) 5 Jahre

T bis Z

  • Transfusionsgesetz (siehe Blutprodukte) 15 Jahre
  • Überweisungsschein (EDV abrechnende Ärzte, auch im Ersatzverfahren, auch Muster 7 Überweisung vor Aufnahme einer Psychotherapie) 1 Jahr
  • Untersuchungsbefunde 10 Jahre
  • Vertreterschein, Teil A (EDV abrechnende Ärzte) 1 Jahr
  • Vertreterschein, Teile B und C * 10 Jahre
  • Zertifikate von Ringversuchen 5 Jahre
  • Zytologie (Präparate und Befunde) 10 Jahre
  • Zytologie (statistische Zusammenfassungen) 10 Jahre

Ass. jur. Christoph Maaß

Abteilungsleitung Qualität & Plausibilität