Praxis-Hardware sicher entsorgen: Datenträger vernichten
Alte Festplatten, USB-Sticks, Drucker: So entsorgen Sie Praxis-Hardware sicher. Datenlöschung, Datenträgervernichtung, Sicherheitsstufen und Nachweis.
Auf einen Blick (TL;DR): Eine alte Praxis-Festplatte ist erst dann entsorgt, wenn die Daten nachweislich weg sind, nicht, wenn das Gerät im Container liegt. Sicher sind zwei Wege: mehrfaches Überschreiben (oder kryptografisches Löschen bei verschlüsselten Laufwerken) bei Geräten, die weiterleben sollen, und physische Vernichtung durch Schreddern bei allem, was endgültig stillgelegt wird. Gesundheitsdaten gelten als höchste Schutzklasse, die Vernichtung gehört dokumentiert. Den ganzen Rahmen finden Sie im Hub FMH IT-Grundschutz.
> Hinweis: Dieser Beitrag ordnet die Datensicherheit beim Geräteende ein. Die technische Durchführung, also sicheres Löschen, kryptografisches Erase oder die zertifizierte Vernichtung, übernimmt Ihr IT-Partner oder ein zertifizierter Entsorger, nicht Sie selbst am Praxisempfang.
Warum sind alte Praxis-Festplatten ein Datenschutzrisiko?
Weil «gelöscht» im Alltag fast nie «weg» heisst. Wer eine Datei in den Papierkorb zieht oder ein Laufwerk schnellformatiert, entfernt nur den Verweis auf die Daten, nicht die Daten selbst. Mit frei verfügbarer Recovery-Software lassen sich Patientendossiers, Befunde und Abrechnungen oft in Minuten rekonstruieren. Genau hier entsteht das Risiko: beim Verkauf alter Rechner, bei der Rückgabe von Leasinggeräten und besonders bei den unscheinbaren Datenträgern, an die niemand denkt.
Wie verbreitet das Problem ist, zeigt eine Untersuchung des Datenlösch-Spezialisten Blancco Technology Group an gebrauchten, über Online-Plattformen gekauften Geräten: «Trotz der Löschversuche der Nutzer seien auf 48 Prozent der Festplatten und 35 Prozent der Mobilgeräte zahlreiche Restdaten verblieben», berichtet Verivox zur Studie. Für eine Arztpraxis, die Patientendaten sicher verwalten muss, ist das kein theoretisches Restrisiko, sondern ein meldepflichtiger Vorfall in spe.
Dazu kommt die Schweizer Rechtslage. Das revidierte Datenschutzgesetz (revDSG), seit dem 1. September 2023 in Kraft, verlangt angemessene technische Massnahmen über den gesamten Lebenszyklus der Daten, und der Lebenszyklus endet nicht beim Backup, sondern bei der sicheren Entsorgung. Der EDÖB hält zu den Strafbestimmungen fest: «Die Höchststrafe beträgt 250 000 Franken», und: «Es werden in erster Linie natürliche Personen bestraft.» Diese Busse trifft also die verantwortliche Person, in der Regel die Praxisinhaberin oder den Praxisinhaber.
Zuerst Aufbewahrungsfristen prüfen, dann löschen
Bevor irgendetwas überschrieben oder geschreddert wird, steht eine Frage am Anfang: Dürfen diese Daten überhaupt schon weg? Krankengeschichten unterliegen in der Schweiz langen Aufbewahrungspflichten. Die FMH empfiehlt in ihrem Leitfaden für die Aufbewahrung und Archivierung eine Aufbewahrung von mindestens 20 Jahren, angelehnt an die auf 20 Jahre verlängerten Verjährungsfristen bei Personenschäden, während die gesetzliche Mindestdokumentationspflicht bei 10 Jahren liegt. Der EDÖB betont umgekehrt, dass Daten zu löschen sind, sobald sie nicht mehr benötigt werden.
Eine ausgemusterte Festplatte, die noch das einzige Exemplar archivpflichtiger Dossiers enthält, darf deshalb nicht einfach vernichtet werden, die Daten müssen vorher revisionssicher ins aktive System oder ein Archiv überführt sein. Ihr IT-Inventar und ein sauberes Backup-Konzept sagen Ihnen, welche Daten auf einem Gerät liegen und ob sie anderswo gesichert sind, bevor das Gerät die Praxis verlässt.
> Hinweis: Vernichten Sie nie den letzten Datenträger einer aufbewahrungspflichtigen Krankengeschichte. Erst die Sicherung im aktiven Archiv prüfen, dann das Altgerät freigeben.
Sicheres Löschen oder physische Vernichtung: was wann?
Die Faustregel: Soll ein Gerät weiterleben, also verkauft, an den Leasinggeber zurückgegeben oder intern umgenutzt werden, kommt sicheres Löschen infrage. Soll es endgültig verschwinden oder ist es defekt, ist die physische Vernichtung der sichere Weg.
Sicheres Überschreiben: Eine spezialisierte Software schreibt den gesamten Speicher mit Mustern voll und macht die alten Inhalte unlesbar. Bei klassischen Magnetfestplatten (HDD) gilt das als bewährt. Bei SSDs und Flash-Speicher ist Überschreiben wegen der internen Speicherverwaltung unzuverlässig, hier ist kryptografisches Löschen oder physische Vernichtung vorzuziehen.
Kryptografisches Löschen (Crypto-Erase): Ist ein Laufwerk von Anfang an verschlüsselt, etwa per BitLocker unter Windows oder FileVault am Mac, genügt es, den Schlüssel zu vernichten. Ohne Schlüssel bleibt nur unlesbarer Datensalat. Das funktioniert auch bei SSDs zuverlässig und ist ein gutes Argument dafür, Praxisgeräte von Beginn an zu verschlüsseln.
Physische Vernichtung: Schreddern oder Zerspanen zerstört den Datenträger mechanisch. Für endgültig stillgelegte oder defekte Geräte ist das die sicherste Variante, weil sie nicht von Softwarezuständen abhängt. Ein zertifizierter Entsorger vernichtet vor Ort oder nach Abholung und stellt einen Nachweis aus.
Welche Sicherheitsstufe gilt für Gesundheitsdaten?
Orientierung gibt eine Norm aus dem deutschsprachigen Raum, die in der Schweiz sinngemäss herangezogen wird. Die frühere DIN 66399 ist 2018 in die internationale Norm ISO/IEC 21964 überführt und 2023 vom DIN zurückgezogen worden. Der Bundesbeauftragte für den Datenschutz (BfDI) bestätigt, dass «die nationale Norm DIN 66399 im Jahr 2023 vom DIN zurückgezogen» wurde, ihre Konzepte aber «über die Gültigkeit der Norm selbst hinaus wertvoll» bleiben. An Schutzklassen und Sicherheitsstufen hat sich inhaltlich nichts geändert.
Die Norm kennt drei Schutzklassen und Materialgruppen mit eigenen Sicherheitsstufen, etwa P für Papier und H für magnetische Festplatten. Gesundheitsdaten fallen in die höchste. Das Deutsche Ärzteblatt ordnet das klar zu: «Gesundheitsdaten von Patienten sind auf Empfehlung der Ärztekammern und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit der höchsten Schutzklasse 3 mit den Sicherheitsstufen 4 bis 7 zuzuordnen.» Für Festplatten bedeutet das die Materialgruppe H, Stufen H-4 bis H-7, wobei höhere Stufen kleinere Restpartikel fordern.
| Datenträger / Material | Materialgruppe | Empfohlene Stufe (Schutzklasse 3) | Übliche Methode |
|---|---|---|---|
| Magnetfestplatte (HDD) | H | H-4 bis H-7 | Überschreiben oder Schreddern |
| SSD, USB-Stick, Speicherkarte | E | E-4 bis E-7 | Crypto-Erase oder Schreddern |
| CD, DVD, optische Medien | O | O-4 bis O-7 | Schreddern |
| Papier, Ausdrucke, Akten | P | P-4 bis P-5 (sensibel) | Aktenvernichter / zertifizierte Vernichtung |
Die Stufen sind keine starre Pflicht, sondern eine fachlich anerkannte Orientierung. Für eine Praxis genügt das Verständnis: Gesundheitsdaten sind die höchste Kategorie, also wird konsequent geschreddert oder kryptografisch gelöscht, nicht nur formatiert. Die konkrete Stufe wählt Ihr Entsorger anhand der Geräteart.
Wie nehme ich ein Gerät sicher ausser Betrieb?
Damit beim Geräteende nichts durchrutscht, hilft ein fester Ablauf. Die folgenden Schritte halten die Verantwortung nachvollziehbar, ohne dass Sie selbst zur Löschsoftware greifen müssen.
Welche Geräte werden beim Entsorgen vergessen?
Praxisserver und Arbeitsplatzrechner hat fast jede Praxis im Blick. Gefährlich sind die unscheinbaren Geräte. Moderne Drucker, Kopierer und Multifunktionsgeräte enthalten oft eigene Festplatten oder Flash-Speicher, auf denen gescannte Befunde und gedruckte Dokumente zwischengespeichert werden. Wird so ein Leasinggerät ohne Löschung zurückgegeben, verlässt ein voller Datenträger unbemerkt die Praxis.
Ebenso oft übersehen: USB-Sticks, externe Festplatten und alte Backup-Medien, die in Schubladen liegen, sowie Smartphones und Tablets mit Praxis-Apps oder Mail-Zugriff. Auch sie gehören vor der Entsorgung sicher gelöscht oder vernichtet. Und schliesslich Papier: ausgedruckte Befunde, Etiketten, Notizen. Die gehören in den Aktenvernichter, nicht in den Papierkorb. Wie Sie Papier, Clean-Desk und den physischen Zugriff im Praxisalltag organisieren, behandeln wir gesondert im Beitrag Physische Sicherheit der Praxis-IT.
> Hinweis: Bei der Rückgabe von Leasinggeräten gilt: Lassen Sie schriftlich bestätigen, dass interne Datenträger vor der Rückgabe sicher gelöscht oder ausgebaut wurden. Sonst tragen Sie das Risiko, obwohl das Gerät nicht mehr in Ihrem Besitz ist.
Warum braucht es ein Vernichtungsprotokoll?
Weil sichere Entsorgung im Streitfall belegbar sein muss. Der FMH IT-Grundschutz, die Sammlung der Minimalanforderungen für Praxen, baut durchgehend auf Nachvollziehbarkeit, auch beim Geräteende. Ein Lösch- oder Vernichtungsprotokoll hält fest, welcher Datenträger wann mit welcher Methode beseitigt wurde, idealerweise mit Seriennummer und Bestätigung des Entsorgers.
Dieser Nachweis ist Ihre Absicherung: Gegenüber einer Aufsichtsbehörde belegt er die erfüllte Sorgfaltspflicht, intern schliesst er die Lücke zwischen «das Gerät ist weg» und «die Daten sind nachweislich vernichtet». Bei der Auslagerung an einen Entsorger empfiehlt sich, die sichere Vernichtung samt Protokoll vertraglich zu vereinbaren, im Rahmen der nDSG-Massnahmen, die ohnehin für Auftragsbearbeiter gelten.
Häufig gestellte Fragen (FAQ)
Nein. Eine normale Schnellformatierung entfernt nur das Inhaltsverzeichnis, die Daten selbst bleiben physisch erhalten und sind mit Recovery-Software wiederherstellbar. Sicher sind nur mehrfaches Überschreiben, kryptografisches Löschen bei verschlüsselten Laufwerken oder die physische Vernichtung. Bei Gesundheitsdaten ist Formatieren allein keine ausreichende Massnahme.
Bei SSDs und Flash-Speichern ist reines Überschreiben wegen der internen Speicherverwaltung unzuverlässig. Sicherer ist kryptografisches Löschen, sofern das Laufwerk verschlüsselt war, oder die physische Vernichtung durch Schreddern. Für endgültig ausgemusterte USB-Sticks und Speicherkarten mit Patientendaten ist Schreddern durch einen zertifizierten Entsorger der klarste Weg.
Grundsätzlich ja, aber nur, wenn alle Datenträger vorher nachweislich sicher gelöscht wurden. In der Praxis ist das die häufigste Datenpanne, weil «gelöscht» mit «geleert» verwechselt wird. Bei Geräten mit besonders sensiblen Daten ist die physische Vernichtung des Datenträgers oft die sicherere Entscheidung als die Weitergabe.
Ja. Viele Multifunktionsgeräte speichern gescannte und gedruckte Dokumente auf internen Festplatten oder im Flash-Speicher. Vor Entsorgung, Verkauf oder Rückgabe eines Leasinggeräts muss dieser Speicher sicher gelöscht oder ausgebaut werden. Lassen Sie sich die sichere Löschung vom Leasinggeber oder Entsorger schriftlich bestätigen.
Die Durchführung übernimmt Ihr IT-Partner oder ein zertifizierter Entsorgungsdienstleister, nicht das Praxisteam selbst. Wichtig ist, dass Sie ein Lösch- oder Vernichtungsprotokoll als Nachweis erhalten und die Zusammenarbeit datenschutzkonform geregelt ist. Die Auswahl der Methode und Sicherheitsstufe richtet sich nach Datenträgertyp und Sensibilität der Daten.
Es ist im Kern dieselbe Norm. Die deutsche DIN 66399 wurde 2018 in die internationale ISO/IEC 21964 überführt und 2023 vom DIN zurückgezogen. Schutzklassen und Sicherheitsstufen sind inhaltlich gleich geblieben. In der Schweiz gibt es keine eigene Pflichtnorm dazu, beide dienen als fachliche Orientierung, sinngemäss anwendbar.
Key-Takeaways
Unsicher, wie Ihre Altgeräte sauber stillgelegt werden? Wir prüfen mit Ihnen, welche Datenträger in der Praxis stecken, und organisieren die sichere Löschung samt Nachweis. Jetzt Kontakt aufnehmen oder zuerst den Überblick im Hub FMH IT-Grundschutz verschaffen.
---
*Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Massgebend sind im Einzelfall die geltenden gesetzlichen Bestimmungen und die Empfehlungen von FMH und EDÖB.*
Verwandte Ratgeber
FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026
FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.
IT-Inventar für die Arztpraxis: Geräte, Software und Zertifikate
IT-Inventar für die Arztpraxis: welche ICT-Mittel Sie erfassen, welche Attribute jeder Eintrag braucht und wie das Inventar Patch-Management und revDSG stützt.
Datensicherung & Backup für Arztpraxen: 3-2-1-Regel, nDSG & Kosten 2026
Datensicherung in der Arztpraxis: die 3-2-1-Regel, nDSG-konformes Backup, Schutz vor Ransomware und realistische Kosten, der Praxis-Leitfaden 2026.
Patientendaten sicher verwalten
Datenschutz und IT-Sicherheit in der Arztpraxis gemäss nDSG: technische Massnahmen, Backup-Strategien und Checkliste für den Praxisalltag.
nDSG für Arztpraxen: Konkrete IT-Massnahmen, Checkliste & Bussgelder 2026
Das nDSG verpflichtet Arztpraxen zu konkreten IT-Massnahmen: Verzeichnis, technische Schutzmassnahmen und Meldepflicht bei Datenpannen, Leitfaden 2026.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedInDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.