Sonografiegeräte, alte Röntgenanlagen, Praxis-Computer oder gar TI-Konnektoren: Die zunehmende Digitalisierung und der vermehrte Technikeinsatz in der Diagnostik sorgen dafür, dass sich Arztpraxen intensiver mit dem Thema Entsorgung von Altgeräten unter Beachtung des Datenschutzes auseinandersetzen müssen. Ein Verstoß gegen das Datenschutzrecht kann mit Bußgeldern bis zu 2.500, – Euro geahndet werden.
Auf dem nächsten Wertstoffhof oder dem Elektrohändler um die Ecke können Geräte nur entsorgt werden, die auch in privaten Haushalten genutzt werden (Kaffeemaschinen, Blutdruckmessgeräte, elektrische Thermometer etc.). Anders verhält es sich bei EDV-Geräten und Komponenten aus der TI, wie Konnektoren und Kartelesegeräte. Da im Praxisbetrieb eine gewerbliche Nutzung stattfindet und keine haushaltsüblichen Mengen vorliegen, sollte die Entsorgung über die Hersteller bzw. Anbieter erfolgen (vergleiche § 19 Elektro- und Elektronikgerätegesetz – ElektroG). Insbesondere, wenn Praxen ihre komplette EDV-Ausstattung über einen Dienstleister beziehen und warten lassen, hat sich dieser auch um die Altgeräte zu kümmern. Anders ist es für Praxen nur dann, wenn die Ausstattung der Geräte geleast sind, dann nimmt der Eigentümer die Geräte nach Ablauf des Leasings oder Mietzeit zurück.
Für TI-Komponenten ist neben den Regularien des ElektroG auch die Regelung der sicheren Lieferkette für Komponenten der Gesundheitstelematik in Deutschland zu beachten. Die Anbieter sind verpflichtet, TI-Komponenten zurückzunehmen und deren Entsorgung zu kümmern. Eine eigenständige, sichere Entsorgung durch die Leistungserbringer sieht die „Sichere Lieferkette“ nicht vor. Der Wertstoffhof ist damit ausgeschlossen.
Die Rückgabe von Konnektor und Kartelesegeräten gestaltet sich als weniger kompliziert, der Hersteller wird unter Mitteilung der betroffenen Komponenten mit Seriennummer um Zusendung eines Rücksendungslabels gebeten. Die Anbieter der TI-Infrastruktur senden die Geräte dann ihrerseits an die Hersteller zurück und / oder vernichten diese selbst.
Allerdings müssen Praxen vor dem Zurücksenden folgendes beachten: Konnektoren müssen deregistriert und auf die Werkseinstellung zurückgesetzt werden, dies gilt auch für Kartelesegeräte. Dadurch wird sichergestellt, dass die gespeicherten Verbindungsdaten mit dem Konnektor gelöscht werden. Wenn nur ein Kartenlesegerät entsorgt und der Konnektor weiterverwendet wird, sollten auf dem Konnektor dennoch die entsprechenden Informationen gelöscht werden. Zudem muss aus den Kartenlesern vor dem Einsenden an den Hersteller die Gerätekarte (gSMC-KT) entnommen werden. Wenn die Karte noch gültig ist, kann sie auch in einem anderen Kartenterminal verwendet werden, andernfalls ist sie zu zerstören.
Üblicherweise werden im Konnektor sowie in den Kartenlesegeräten lediglich technische Konfigurationsdaten und Logdaten, jedoch keinerlei Patienten- oder Gesundheitsdaten, gespeichert. Eine Ausnahme bilden mobile Kartenterminals, in denen die Stammdatensätze der gelesenen Karten bis zum Auslesen verschlüsselt zwischengespeichert werden. Auch hier müsste der mobile Kartenleser auf die Werkseinstellung zurückgesetzt werden.
Bei der Praxis- EDV und Festplatten oder kleineren Datenservern sowie bei USB-Sticks reicht für die Sicherheit in der Informationstechnik das Zurücksetzen auf die Werkseinstellung nicht aus. Abhängig vom Gerät wird dadurch ggf. nur das jeweilige Inhaltsverzeichnis gelöscht und die Daten könnten unter Umständen wieder hergestellt werden. Deswegen sollte hier professionelle Unterstützung geholt werden, um die Daten durch einen IT-Spezialisten zu löschen oder überschreiben und sich dieses bescheinigen lassen.
Soweit die Praxis das Löschen der Daten selbst erledigen möchte, sollte sich hierfür eine spezielle Software zum Überschreiben der Daten besorgt, mit denen die Daten dann irreversibel gelöscht werden. Hier wird empfohlen, den Vorgang des Überschreibens mehrfach zu wiederholen.
Werden Altgeräte tatsächlich ins Rohstoff- Recycling übergeben, ist die Sicherstellung und brutalste Methode zum Daten löschen die physische Beschädigung oder Zerstörung. Es sollte sozusagen der maximale Schaden am Speichermedium angerichtet werden. Schon das Verbiegen der Scheiben in einer Festplatte führt dazu, dass die gängigen Methoden der Datenrettung nicht mehr angewendet werden können.
Welche Geräte für die Entsorgung verifiziert sind, kann auf der Webseite der Stiftung EAR eingesehen werden (www.stiftung-ear.de/verzeichnisse/). Daneben kann aber auch stets mit dem Hersteller oder Lieferanten eine Rückgabevereinbarung und Verwertung geprüft werden.
Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) bietet auf seiner Webseite Anleitungen zur sicheren Datenlöschung bei verschiedenen Betriebssystemen an (www.bsi.bund.de, Themen), dort heißt es aber auch, dass nur Mittel dargestellt werden, mit denen Anwender ihre Daten vor einem einfachen Zugriff durch Dritte schützen können. Ein Schutz gegen hochspezialisierte Angreifer sei nicht gegeben, in diesen Fällen würde nur eine physische Zerstörung des Speichermediums helfen.
Kontakt: Jörg Hohmann
Weitere Beiträge - Aktuelles
- „Wichtiger Schritt zu mehr Versorgungsgerechtigkeit”: Gesetzgeber beendet endlich den diskriminierenden Ausschluss vulnerabler Patientengruppen von Hybrid-DRG
- Droht Entschädigung bei langen Wartezeiten in Arztpraxis?
- Erst Kopie der Patientenakte kostenlos für Patienten
- Privatrechnungen Absichern / GOÄ-Streite vermeiden
- Ende des Qualitätssicherungsverfahren „Vermeidung nosokomialer Infektionen – postoperative Wundinfektionen“