Alle archivierten Daten haben eine bestimmte Lebensdauer, bezogen auf ihren jeweiligen Datenlebenszyklus. Diese beginnt mit ihrer „Geburt“, über die Nutzung, ihrer zeitlich begrenzten Archivierung und abschließenden Zerstörung egal ob es sich um eine kurz-, mittel- oder langfristige oder sogar zunächst unbegrenzte Archivierung handelt. Die Archive sind überwiegend auf Bändern gespeichert aufgrund ihrer geringen Kosten im Vergleich zu ihrer Kapazität und Langlebigkeit. Je nach Geschäftsfeld, der Datenarten und der Archivierungsmethoden, die genutzt werden, gibt es bestimmte Anwendungsfälle von Datenmanagement-Zyklen. In so genannten reglementierten Berufen, sind diese sogar noch strenger. Dieser zweiteilige Artikel zeigt anhand zweier stark reglementierter Branchen die rechtlichen Auswirkungen und die Verpflichtungen für die Datenarchivierung am Beispiel der Gesundheitsbranche und des Finanzsektors.
Gesundheitsberufe und Apotheker: Obligatorisches Berufsgeheimnis
In den Gesundheitsberufen gibt es eine Vielzahl von Einschränkungen beim Umgang mit Daten. Manche vertraulichen Informationen, die aus dem Arzt-Patienten-Verhältnis entstehen, können weder verarbeitet noch überhaupt gespeichert werden. Dann gibt es Informationen, die für rein administrative Zwecke eingesetzt werden können. Und schließlich gibt es Informationen, die aus den Patientendaten extrahiert werden können, um für Forschungs- oder Gesundheitsdienstleistungsstatistiken verwendet zu werden. Das einzige Grundprinzip aus der IT, das von den rechtlichen Vorgaben unverändert auch in diesem Einsatzfeld systematisch genutzt wird, ist die Datenverschlüsselung im Speicher / bei der Archivierung und während des Transports.
Frankreich: Ein Datenschutzrecht, dass immer mehr verschärft wird
In Bezug auf die Sicherheit durch die Datenverschlüsselung bei der Speicherung, einschließlich der Archivierung, hat Frankreich mit der Einführung des Datenschutzgesetzes vom 6. Januar 1978, eine Durchführungsverordnung bereits seit längerem in Kraft, das alle Fragen im Zusammenhang mit personenbezogenen Daten einschließlich der Gesundheit, regelt (Gesetz 78-17 Artikel 8, 34, 35). Das sogenannte Kouchner Gesetz Nr. 2002-303 vom März 2002 stellt das Konzept der Ethik und der Vertraulichkeit für alles, was die Patienten betrifft in den Vordergrund (bereits in Artikel 226-13 des Strafgesetzbuches definiert) und verurteilt denjenigen zu 3 Jahren Gefängnis und einer Geldstrafe von 45.000 €, der persönliche Gesundheitsdaten ohne Berechtigung sammelt oder bei Nichteinhaltung der Compliance-Regeln bei der Datenverarbeitung. Das Datenschutzgesetz wurde im Oktober 2005 (Dekret 1309) geändert und im Jahr 2009 nochmal verschärft.
Staatliche Daten-Sicherheitsstandards in den USA
In den USA wurde der Health Insurance Portability and Accountability Act (HIPAA) im Jahr 1996 geschaffen: Die HIPAA Privacy Rule definiert dabei personenbezogene Gesundheitsdaten grundsätzlich als privat. Die HIPAA Security Rule definiert dabei Sicherheitsstandards für digitale Gesundheitsdaten und die HIPAA Breach Notification Rules erfordert Erklärungen von Unternehmen, die persönliche Daten nicht sichern. Eine vollständige Anleitung der Durchführungsbestimmungen für HIPAA wird von NIST veröffentlicht. Im Jahr 2009, definiert der Health Information Technology for Business-Clinical Health (HITECH) Act die Verwendung von persönlichen Daten (für geschützte Gesundheitsdaten PHI (Personal Health Information)), darunter den Austausch von Daten zwischen den beiden Organisationen (HIE für Health Information Exchange), die in einer kollaborativen Art wie z.B. EHR (Electronic Health Record in den USA) oder EMR (Electronic Medical Record) gespeichert werden: Ab 2015 haben Krankenhäuser und Ärzte, die / der nicht mit dem erforderlichen Format arbeiten mit Sanktionen in Form von Strafen von 1% bis 3% über einen Zeitraum von 3 Jahre der überwiesenen Geldleistungen von Medicare (gesetzliche Krankenkasse in den USA) zu rechnen.
Ein strenges Datenarchivierungsprotokoll in Frankreich
In Frankreich zwingen die Vorgaben für den sicheren und verschlüsselten Datentransport Organisationen aus der Gesundheitsbranche, alle Dokumente mit Bezug auf Patientendaten in verschlüsselter Form zu archivieren und zwar alle Elemente im Zusammenhang mit dem Absender, dem Zeitpunkt der Lieferung und dem Empfänger. Dadurch soll die Rückverfolgbarkeit aller Vorgänge gewährleistet werden, insbesondere wegen der Norm ISO 15189:2012 in Bezug auf klinische Labors; denn gerade bei E-Mails ist jeder Sender und/oder Empfänger, der keine E-Mail-Adresse über ein sicheres Transportprotokoll nutzt, und dabei das Risiko eingeht in der gleichen Weise gehackt zu werden, wie wenn man bei Internet-Bankgeschäften oder bei Käufen mit Kreditkarte nicht das https-Protokoll verwendet. In den USA gelten so ziemlich die gleichen Regeln wie in Frankreich, allerdings auf der Grundlage des HITECH Act.
Personenbezogene Daten sollen Europa nicht verlassen
In Europa wird, aufbauend auf den Vorgaben des amerikanischen HITECH, noch zusätzlich präzisiert, dass es zu gewährleisten gilt, dass personenbezogene Daten, nicht nur im Gesundheitsbereich, auf europäischem Boden bleiben.
Aufbewahrungsfristen hängen von der Art der Informationen ab
Bezüglich der Aufbewahrungsfristen startete Frankreich einen Dienst namens "ASIP Santé" auf der Website esante.gouv.fr: Es handelt sich dabei um eine Regierungsbehörde, die dafür zuständig ist die Akteure des Gesundheitsbereichs in Frankreich zu vereinigen und zu managen. In der Rubrik "Partner" auf der Webseite sind alle Gesundheitsberufe aufgeführt, die bestimmte Anforderungen bei der Lagerung und Archivierung von medizinischen Patientendaten erfüllen müssen. So können hier z.B. Apotheker kostenlos eine Vorlage für den Pharmaceutical Record (PR) erhalten, der für jeden Patienten erstellt werden kann. Diese Datei enthält Daten über Arzneimittel (Menge, Lieferdatum), die der Patient in den vergangenen vier Monaten eingenommen hat. Nur der Apotheker hat darauf Zugriff und seit 2013 auch Probeweise und mit Zustimmung des Patienten, bei der Notfallaufnahme, bei Anästhesisten und in der Geriatrie.
Seit 2015 werden in Frankreich die Angaben über die Impfungen im Pharmaceutical Record (PR) für 21 Jahre archiviert, so vereinfacht die Verwaltung dieses Problems und ermöglicht eine bessere Qualitätssicherung bei der Immunisierung auf nationaler Ebene. In dieser PR gibt es einen sogenannten "PR-Gesundheits-"Zugang, der es Behörden ermöglicht auf anonyme Patientendaten für Statistikzwecke zuzugreifen. Bei Apotheken empfiehlt der Code of Public Health bei der Vorratsspeicherung von Daten der meisten Arten von Rezepten eine Dauer von drei Jahren, für das Abrechnungsregister von Suchtmitteln und bei Bestellungen zehn Jahre. Eine spezielle Erwähnung gilt auch der 40-Jahres-Aufbewahrungsfrist für ein Register von Blut- abgeleiteten Medikamenten.
Generell rät der französische Apotheker-Berufsverband alle Dokumente die sich auf Präparate beziehen besser unbegrenzt aufzubewahren denn die meisten Berufshaftpflichtpolicen haben gar keine zeitlichen Einschränkungen, sodass im Falle einer Rechtsstreitigkeit hier die Beschränkung von 30 Jahren nicht greift. So ist es für Apotheker in Frankreich nahezu unumgänglich ein umfangreiches (elektronisches) Dokumentenarchiv aufzubauen, stets auf dem aktuellen Stand zu halten und mindestens bis zum Ende der Berufsausübung und eventuell darüber hinaus zu betreiben.
Wer noch mehr Informationen über die unterschiedlichen einzelstaatlichen Rechtsvorschriften über die elektronischen Patientenakten in den EU-Mitgliedstaaten erhalten möchte, findet diese auf der Webseite der Europäischen Kommission.
Die Situation in Deutschland
Generell muss man in Deutschland zwischen der Archivierung von Daten zwischen Behandlungs- und verwaltungsbezogenen Daten unterscheiden. Dabei greifen im Bereich der behandlungsbezogenen Daten eine Vielzahl von unterschiedlichen Gesetzen bei den Aufbewahrungsfristen: So z.B. die Röntgenverordnung, das Transfusionsgesetz sowie die Apothekenbetriebsordnung. Allein in diesen Verordnungen sind Aufbewahrungszeiträume von bis zu 30 Jahren festlegt. Und dabei handelt es sich um Mindestfristen, die unter Umständen deutlich höher ausfallen können. Generell gilt bei allen Tätigkeiten im Bereich der medizinischen Versorgung die Einhaltung des §199 Abs. 2 des Bürgerlichen Gesetzbuches, der sich mit Schadensersatzansprüchen bei Verletzung des Lebens und des Körpers befasst.
Entscheidend ist auch hier, egal ob es sich um einen Arzt, einen Apotheker, ein Krankenhaus oder ein Pharmaunternehmen handelt, dass die folgenden Archivierungsfristen mindestens eingehalten werden müssen: Unterlagen mit Relevanz für mögliche Rechtstreitigkeiten, 30 Jahre (z.B. bei Behandlungen mit Röntgenstrahlen), Buchungsbelege (z.B. Lieferscheine o.ä., 10 Jahre, und Aufträge, 6 Jahre. Zu diesen generellen Fristen kommen dann noch unterschiedliche je nach Aufgabe definierte Aufbewahrungsfristen wie beispielsweise die Dokumentationspflicht durch den Arzt der durch das Standesrecht definiert ist (§ 10 Abs. 1 BO ÄK SH/MBO-Ä). Diese können zum Zwecke der Kontrolle durch Datenschutzbehörden (§ 41 Abs. 1 S. 2 Nr. 1 LDSG SH, §§ 24 Abs. 2 S. 1 Nr. 2, 38 BDSG) oder bei Ermittlungen gegen einen Arzt durch die Strafverfolgungsbehörden (§§ 53 Abs. 1 Nr. 3, 53a, 97 Abs. 1, 2 Strafprozessordnung (StPO) eingesehen werden.