Entsorgung von Datenträgern
Nicht nur der Schutz von „aktiv benutzten“ medizinischen, personenbezogenen Daten ist wichtig, sondern auch der Schutz nach dem Gebrauch, speziell bei der Entsorgung der Datenträger. So können die medizinischen Daten beispielsweise auch auf defekten Datenträgern noch ein hohes Sicherheitsrisiko darstellen. Aus diesem Grund widmet sich der aktuelle Beitrag der Entsorgung von Systemen und digitalen beziehungsweise analogen Datenträgern.
Zunächst geht dieser Artikel auf die Entsorgung von digitalen Datenträgern ein. Diese lässt sich in zwei unterschiedliche Bereiche einteilen – Löschung und Vernichtung. Bei der Löschung werden die vorhandenen Daten auf einem Speichermedium soweit unkenntlich gemacht, dass diese nicht oder nur durch unverhältnismäßig hohen Aufwand wiederhergestellt werden können. Das Speichermedium ist in der Regel danach für den weiteren Gebrauch nutzbar. Bei der Vernichtung von Speichermedien wird das Medium soweit zerstört, dass sich die darauf befindlichen Daten nicht wiederherstellen lassen und das Speichermedium von jedem weiteren Gebrauch ausgeschlossen ist.
Vor jeder Entsorgung sollte geklärt werden, ob das Speichermedium anschließend noch benötigt wird. Defekte oder archivierte Speichermedien, bei denen die Lebensdauer abläuft, sollten nicht weiter genutzt, sondern vollständig vernichtet werden.
Elektronische und analoge Datenträger
Bei elektronischen Datenträgern bieten sich drei verschiedene Löschverfahren an.
Löschkommando:
Bei dieser Variante wird nur der Verweis auf die Daten gelöscht. Die eigentlichen Daten befinden sich weiterhin auf dem Speichermedium. Ein Beispiel für das Löschkommando ist der Papierkorb des Betriebssystems.
Überschreiben einzelner Daten:
Hierbei werden einzelne Daten durch spezielle Softwarelösungen mehrmals überschrieben, bis die Daten nicht beziehungsweise nur schwer wiederherstellbar sind.
Überschreiben aller Daten:
Der komplette Datenbestand wird mittels einer Software durch mehrmaliges Überschreiben gelöscht. Um eine vollständige Löschung zu gewährleisten, sollte die Software nach jedem Löschvorgang eine Überprüfung vornehmen, um zu kontrollieren, ob die Daten erfolgreich gelöscht wurden.
Für Magnetspeichermedien, beispielsweise Festplatten oder Magnetbänder, bietet sich die Möglichkeit, das gesamte Speichermedium durch Löschgeräte, die ein Gleich- oder Wechselmagnetfeld aufbauen, zu löschen. Dies ist eine schnelle und einfache Variante um Daten zu entfernen. Neben der Löschung kann auch eine Zerstörung des Datenträgers für die Entsorgung der Daten in Anspruch genommen werden.
Auch bei der Entsorgung von analogen Datenträgern, etwa Papierakten, gibt es unterschiedliche Methoden. Einfache, wie Schwärzen, Ausschneiden oder Ausradieren, werden nicht empfohlen. Besser ist hierbei das Schreddern mithilfe eines Aktenvernichters oder das Verbrennen der Dokumente. Bei der Vernichtung durch einen Aktenvernichter sollte darauf geachtet werden, dass dieser der Sicherheitsstufe fünf nach DIN 32757–1 oder der Zerkleinerungsnummer acht nach DIN EN 15713 entspricht.
Dienstleister können bei der Entsorgung helfen
Bei der Entsorgung von elektronischen Geräten, wie Computern, Druckern oder Faxgeräten, sind alle patientenbezogenen Daten von den Speichermedien zu entfernen.
Bei einer Entsorgung ist die vollständige Zerstörung der eingesetzten Speichermedien sinnvoll, um einer möglichen Rekonstruktion der Daten entgegenzuwirken.
Die eigenständige Entsorgung von digitalen und analogen Datenträgern sowie Geräten ist für die meisten Zahnarztpraxen zu aufwendig und kostenintensiv. Daher empfiehlt es sich, einen Entsorgungsdienstleister zu beauftragen. Aber auch hierbei sind einige datenschutzrechtliche Aspekte zu berücksichtigen. So sollte zum Beispiel ein Vertrag über eine Auftragsdatenverarbeitung nach § 11 des Bundesdatenschutzgesetzes mit dem Dienstleiter abgeschlossen werden. Einen Mustervertrag stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung. Weiterhin sollten vor der Beauftragung eine Besichtigung der örtlichen Begebenheiten des Dienstleisters sowie eine Erläuterung der Vernichtungsverfahren stattfinden. Auch regelmäßige, unangekündigte Verfahrenskontrollen beim Dienstleister durch die Zahnarztpraxis sind zu empfehlen.
Erfolgt die Entsorgung durch einen Dienstleister, sind die Sammelstellen für die zu vernichtenden Datenträger und Systeme zu sichern. Auch der ordnungsgemäße Transport und die Vernichtung sind zu gewährleisten.
Über die Vorschriften zur Löschung und Vernichtung von Daten, Datenträgern und elektronischen Geräten sollten die Mitarbeiter beispielsweise durch ein internes Schreiben unterrichtet werden. Hierbei bietet sich auch an, in der jährlichen Datenschutzunterweisung die Mitarbeiter auf die Vorschriften aufmerksam zu machen und entsprechend zu schulen. Weiterhin empfiehlt sich der Aushang von Informationsblättern in der Praxis, beispielsweise neben dem Drucker, dem Faxgerät oder dem Aktenvernichter.
Prof. Dr. Thomas JäschkeAlexander Vogel, B.Sc.ISDSG Institut für Sicherheit und Datenschutz im GesundheitswesenWestfalendamm 25144141 Dortmund