Praxisnachricht

Aktualisierungsdatum: 05.02.2026
Serie IT-Sicherheit

Sicheres Löschen sensibler Daten in der Praxis

Ärzte und Psychotherapeuten verarbeiten hochsensible personenbezogene Daten. Dabei unterliegen sie strengen gesetzlichen Vorgaben sowie der ärztlichen Schweigepflicht. Doch auch das Löschen dieser Daten muss sicher erfolgen. Was das bedeutet und worauf Praxisteams achten können, stellen wir im achten Teil unserer Serie vor.

Praxen haben grundsätzlich Aufbewahrungsfristen zu beachten, wenn es um das Löschen geht. Das heißt: Daten dürfen erst gelöscht werden, wenn die für sie geltende gesetzliche Aufbewahrungsfrist abgelaufen ist (siehe unten). In der Regel sind das zehn Jahre nach Abschluss der Behandlung. Aber es gibt auch abweichende Fristen, etwa 15 Jahre für Durchgangsarztverfahren nach Arbeits- und Wegeunfällen oder Röntgenaufnahmen von Minderjährigen, die laut Strahlenschutzgesetz mindestens bis zur Vollendung des 28. Lebensjahres aufbewahrt werden müssen.

Digitaler Papierkorb reicht nicht

Sollen ärztliche Behandlungsunterlagen gelöscht werden, reicht es nicht aus, die Dokumente in den digitalen Papierkorb zu verschieben. Das ist keine Löschung, sondern nur eine Art Zwischenlager.

Der Rechner entfernt hierbei nicht den Inhalt der Datei, sondern verschiebt nur den Verweis darauf (also Dateinamen und Speicherort) in den Papierkorb. Der Inhalt, beispielsweise sensible Patientendaten, bleiben auf dem Datenträger gespeichert und sind wiederherstellbar.

Selbst wenn der digitale Papierkorb geleert wird, kann die Datei wiederhergestellt werden. Dies ist mit Datenrettungsprogrammen möglich, die Daten nach dem Leeren des Papierkorbs wieder sichtbar machen können.

Für Patientendaten ist dieses Vorgehen somit nicht sicher genug. Unverschlüsselte, wiederherstellbare Patientendaten sind ein klares Datenschutzrisiko.

Speicherorte berücksichtigen

Zu beachten ist außerdem, dass die zu löschenden Daten zum Teil nicht nur an einem Ort gespeichert wurden. Sie können sich im Speicher des Praxisverwaltungssystems befinden, in einer Cloud, im Ordner des Kommunikationsdienstes KIM oder einem anderen E-Mail-Programm, in einem Terminkalender, auf einer externen Festplatte, einem USB-Stick oder auch auf einem ausrangierten Praxiscomputer. Somit ist beim Löschen an die Hard- und Software an mehreren Orten zu denken.

Technik wird nicht mehr genutzt: Datenträger vernichten

Wenn die Technik ausgewechselt werden soll oder eine Praxis aufhört und deshalb die Technik nicht mehr genutzt wird, ist die Vernichtung des Datenträgers die sicherste Methode, sensible Daten zu löschen.

Hierbei wird das Speichermedium zerkleinert, zerteilt oder anderweitig zerstört, bis die enthaltenen Speicherchips oder Magnetscheiben nicht mehr wiederherzustellen sind. Ein Beispiel für dieses sogenannte physische Vernichten ist das Schreddern von Festplatten.

Möglich ist auch die physikalische Zerstörung durch Hitze oder Magnetismus. Diese Methode nutzt beispielsweise starke Magnetfelder (Entmagnetisierer/Degausser) oder sehr hohe Temperaturen, um die Datenträgerstrukturen zu zerstören, ohne den Datenträger unbedingt mechanisch zu zerkleinern.

Zertifizierte Fachbetriebe bieten eine professionelle Entsorgung an (Zertifizierung nach der Norm ISO/IEC 21964). Dies zählt zu den sichersten Methoden, besonders für ausgemusterte Hardware. Die Übergabe von Geräten (bzw. den darauf befindlichen personenbezogenen Daten) an Dienstleister darf dabei nur mit einem Vertrag zur Auftragsverarbeitung (AV-Vertrag) erfolgen. Darüber hinaus bieten diese Fachbetriebe auch die sichere Entsorgung von analogen, papiergebundenen Informationen an.

Programm für sicheres Löschung nutzen

Sollen Geräte in der Praxis weiter im Einsatz sein, aber die darauf befindlichen Daten sicher gelöscht werden, muss ein gezieltes und unwiederbringliches Überschreiben der Daten erfolgen. Das heißt, die Daten müssen so vom Datenträger beziehungsweise Speichermedium entfernt werden, dass sie mit Software-Werkzeugen oder mit forensischen Methoden nicht wiederhergestellt werden können.

Dazu bieten sich Löschprogramme an. Im Idealfall ist ein solches Programm bereits im Praxisverwaltungssystem enthalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert über sichere Methoden zur Datenlöschung (siehe unten).

Daten überschreiben

Beim Überschreiben werden dort, wo die alten Daten waren, neue Daten gespeichert. Bildlich ausgedrückt, wird eine Zeichnung nicht wegradiert, um sie unkenntlich zu machen, sondern so lange übermalt, bis sie nicht wieder im Ursprungszustand erkenntlich zu machen ist.

Eine Datei besteht aus vielen Bits (0 und 1), die sich in einem bestimmten Bereich der Festplatte befinden. Beim Überschreiben werden Zufallszahlenfolgen generiert und genau dort gespeichert. Sind die alten Bits ersetzt, ist auch die ursprüngliche Information weg, weil die alten Muster nicht mehr existieren.

Daten verschlüsseln und Schlüssel „wegwerfen“

Eine weitere Möglichkeit: Hat die Praxis sensible Daten auf dem Datenträger oder Gerät verschlüsselt, können die Schlüssel gelöscht werden. Diese Methode bietet – sofern der Schlüssel tatsächlich gelöscht und nicht nur als gelöscht markiert wurde – einen zuverlässigen Schutz gegen eine unbefugte Wiederherstellung.

Erfolgreiche Löschung dokumentieren

Auch wenn die Daten selbst weg sind, sollte etwas bleiben: Die Praxis sollte dokumentieren, wann die Daten gelöscht wurden und wer für die Löschung verantwortlich war. Auch sollten Lösch oder Vernichtungszertifikate aufbewahrt werden. Wie lange, hängt von der gesetzlichen Aufbewahrungsfrist ab, in der Regel sind es zehn Jahre.
Wird die Praxis geschlossen oder einem Nachfolger übergeben, ist auch an die gesetzlichen Aufbewahrungsfristen zu denken.

Daten an Nachfolger übergeben

Bei einem Praxisverkauf werden die Patientendaten nicht automatisch übergeben. Dafür braucht es die Einwilligung jedes einzelnen Patienten (Paragraf 630g BGB, DSGVO).

Will der Nachfolger den Patientenstamm übernehmen, sollte das Verfahren angewendet werden, das als „Zwei-Schrank-Modell“ bekannt ist. Das heißt, der Nachfolger hat erst nach Zustimmung der Patienten Zugriff auf deren Patientendaten, und kann sie in seinen eigenen „Schrank“ übertragen. Anderenfalls bleibt der Zugriff auf die Daten in dem ersten „Schrank“ verwehrt.

Daten von Patienten, die der Übertragung nicht zustimmen, bleiben vollständig beim alten Arzt. Er darf sie erst nach Ablauf der gesetzlichen Fristen löschen.

Nächster Teil am 5. März

Im neunten Teil unserer Serie am 5. März geht es um den sicheren Umgang mit medizinischen Großgeräten in der Praxis.

Sicheres Löschen: 3 Tipps für die Praxis

1. Dateninventur machen

Damit die Praxis den Überblick behält, regelmäßig prüfen: Welche Daten können gelöscht werden?

Dies hilft Datenberge zu vermeiden, wertvollen Speicherplatz freizugeben, Aufbewahrungs- und Löschfristen einzuhalten, Risiken durch vergessene Alt Daten oder Alt-Geräte zu reduzieren und einen Löschplan für die Praxis zu erstellen oder zu aktualisieren.

2. Datenlöschplan aufstellen

In einem individuellen Datenlöschplan kann die Praxis festlegen, wer wann welche Daten löschen darf. Dazu kann die Praxis das Verzeichnis von Verarbeitungstätigkeiten nutzen.

3. Besprechung im Team

Das gesamte Praxisteam sollte wissen, dass sensible Daten jeweils nach Ablauf der gesetzlichen Aufbewahrungsfrist sicher zu löschen sind und wie dies erfolgt. Sowohl beim Aufbewahren als auch Löschen von Daten dürfen diese nicht in unbefugte Hände gelangen.

Eine Teambesprechung kann hilfreich sein, um alle auf den gleichen Wissensstand zu bringen, intern Zuständigkeiten festzulegen, Erfahrungen aus dem Praxisalltag einzubringen, Risiken und Fehler beim sicheren Löschen zu vermeiden.

Datenschutz

Hinweise für Vertragsärzte und Vertragspsychotherapeuten und MVZ zur Datenschutz-Grundverordnung (DSGVO) sowie passendes Infomaterial für Praxen und FAQ.

Beispiele für sicheres Löschen

Überschreiben

Es gibt professionelle Löschprogramme, um Dateien oder Datenträger zu überschreiben. Hierbei wird der Speicherplatz mehrfach mit Zufallswerten überschrieben. Überschreiben heißt vereinfacht, dass an der Stelle der alten Daten immer wieder neue Daten gespeichert werden.

Integrierte Löschfunktion

Zum Teil haben Praxisverwaltungssysteme die Funktion des sicheren Löschens integriert, beispielsweise das datenschutzkonforme Löschen einzelner Patientenakten, die vollständige Datenbereinigung bei einem Systemwechsel oder das revisionssichere Löschen.

Verschlüsseln und Schlüssel vernichten

Sollen verschlüsselte Daten gelöscht werden, kann der Schlüssel vernichtet werden, mit dem der Zugriff auf die Daten bisher möglich war – ohne Schlüssel sind die Daten technisch nicht mehr zugänglich.

Zerstörung und professionelle Entsorgung

Auch die Zerstörung des Speichermediums ist eine Option. Zertifizierte Fachbetriebe bieten eine professionelle Entsorgung an. Dies zählt zu den sichersten Methoden, besonders für ausgemusterte Geräte. Die Übergabe von Geräten an Dienstleister darf nur mit Vertrag zur Auftragsverarbeitung erfolgen.

Praxis-Tipp: Achten Sie auf eine Zertifizierung nach der Norm ISO/IEC 21964.

Informationen des BSI nutzen

Das BSI informiert ausführlich über das sichere Löschen.

Informationen des BSI: Daten auf Festplatten, Datenträgern und Smartphones sicher löschen

Wann darf sicher gelöscht werden? Aufbewahrungsfristen beachten

Ärztliche Behandlungsunterlagen, Laborbefunde und vieles mehr: Praxen müssen bei Daten gesetzliche Aufbewahrungsfristen einhalten. Dies gilt auch dann, wenn Patienten eine Löschung mit Verweis auf das „Recht auf Löschung“ in Artikel 17 der Datenschutzgrundverordnung verlangen.

Ist die Aufbewahrungsfrist abgelaufen, muss die Praxis die Daten löschen, sofern kein anderer legitimer Zweck besteht.

Eine Übersicht der Fristen und weitere Informationen dazu enthält das Dokument „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ (Tabelle auf Seite 22). Es wurde herausgegeben von der Bundesärztekammer und der KBV.

01.10.2025

Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (PDF)

PraxisNachrichten zur IT-Sicherheit

- Aktualisierungsdatum: 08.01.2026
- Serie IT-Sicherheit
Darauf sollten Praxen bei Passwörtern und Sperrcodes achten
- Aktualisierungsdatum: 04.12.2025
- Serie IT-Sicherheit
Festplatte, Rechenzentrum, Cloud: So können Praxen ihre Daten sichern
- Aktualisierungsdatum: 06.11.2025
- Serie IT-Sicherheit
Darum sind Updates so wichtig
- Aktualisierungsdatum: 02.10.2025
- Serie IT-Sicherheit
Das ist bei einem IT-Sicherheitsvorfall zu tun
- Aktualisierungsdatum: 04.09.2025
- Serie IT-Sicherheit
Cyberangriffe per E-Mail verhindern
- Aktualisierungsdatum: 14.08.2025
- IT-Sicherheit
Neue Online-Fortbildung zur IT-Sicherheit in der Praxis
- Aktualisierungsdatum: 07.08.2025
- Serie IT-Sicherheit
Basis-Schutz für die IT-Infrastruktur: Das gehört dazu und so können Praxen vorgehen
- Aktualisierungsdatum: 03.07.2025
- Serie IT-Sicherheit
Teamaufgabe IT-Sicherheit: Praxisteam sensibilisieren und schulen
- Aktualisierungsdatum: 19.06.2025
- IT-Sicherheit
KBV startet Informationsoffensive zur IT-Sicherheit in Praxen

Hub zur IT-Sicherheit

Publikation

Aktualisierungsdatum: 11.06.2025
PraxisWissen

IT-Sicherheit (PDF)

Hinweise zur Richtlinie, Tipps zur Umsetzung, Beispiele für die Praxis

Abonnieren Sie unsere kostenlosen Newsletter

Bitte wählen Sie mindestens ein Thema aus

PraxisNachrichten - Wöchentliche News für den Praxisalltag

Ich habe die Hinweise zum Datenschutz gelesen und erkläre mich damit einverstanden. Diese Zustimmung kann ich jederzeit widerrufen.

Bitte lesen Sie unsere Datenschutzhinweise sowie unsere Infos zum Newsletter-Abo.