Fälle aus der Praxis: Archivierung von besonders schützenswerten Daten durch das Staatsarchiv

Fallbeschreibung/Problemstellung

Eine Spitex Institution wird vom Staatsarchiv aufgefordert, Daten (sämtliche Unternehmensdaten: Finanzen, Pflegedokumentation, Mitarbeiterdaten) deren Aufbewahrungspflicht abgelaufen ist dem Staatsarchiv anzubieten.

Fragestellung/Antwort KDSB

Frage an den KDSB

1. Besteht diese Pflicht wirklich? Die Konsequenz ist, dass Pflegedokumentationen, Gesundheitsdaten, psychiatrische Daten durch den Staat unendlich lange aufbewahrt werden.
2. Ist im Falle der Übergabe der Daten an das Staatarchiv vorgängig eine Einwilligung von den betroffenen Personen einzuholen? Muss über diese Weitergabe der Daten wenn nicht eingewilligt, dann informiert werden?
3. Falls das Archiv die Übernahme der Klientendokumentation ablehnt: Müssen die Unterlagen den betroffenen Personen vor der endgültigen Vernichtung nochmals zur Verfügung gestellt werden, oder dürfen sie nach Ablauf der gesetzlichen Fristen ohne weiteres gelöscht werden, sofern keine Rückmeldung erfolgt ist?

Antwort vom KDSB

Öffentliche Organe müssen nach Ablauf der Aufbewahrungsfrist (in der Regel höchstens zehn Jahre, vorbehältlich anderer gesetzlicher Bestimmungen) ihre Informationen dem zuständigen Archiv anbieten. Eine Einwilligung der betroffenen Personen ist damit in diesem Kontext nicht angezeigt. Informationen, die das zuständige Archiv für nicht archivwürdig befindet und deshalb nicht übernimmt, sind zu vernichten. Ein vorheriges Angebot von (besonderen) Personendaten zuhanden der betroffenen Personen ist in der einschlägigen Bestimmung nicht vorgesehen.

Kommentar von Sirius

Die Fragestellung war für uns neu und wurde bislang noch nicht an uns herangetragen.

Das Staatsarchiv archiviert Daten von öffentlichen Organen, um das staatliche Handeln zu dokumentieren. Aus unserer Sicht fällt die Pflegedokumentation von Spitex-Klientinnen und -Klienten jedoch nicht unter diesen Zweck.

Die Konsequenz daraus ist, dass Klientinnen und Klienten einer öffentlich beauftragten Spitex damit rechnen müssen, dass ihre Daten dauerhaft archiviert und nicht gelöscht werden.

Bei privaten Spitex-Organisationen ist dies anders: Dort werden die Daten gemäss den gesetzlichen Vorgaben nach 10 bzw. 20 Jahren vernichtet.

Da das Datenschutzgesetz keine Vorrangstellung gegenüber spezialgesetzlichen Archivierungspflichten hat, ist diese Praxis zwar rechtlich korrekt – aus unserer Sicht wird dem Schutz der Privatsphäre der betroffenen Personen jedoch nicht in dem Ausmass entsprochen, wie es wünschenswert wäre.