Betroffenenrechte nach der DSGVO: Die Reichweite im Gesundheitswesen

von | 20. März 2024 | Experten Fachartikel | 8 Minuten Lesezeit

Recht Smarte IT

Im Gesundheitsbereich wird tagtäglich mit besonders schützenswerten Daten hantiert. Doch wie weit gehen die Rechte eigentlich? Erfahren Sie es bei uns!

Der korrekte Umgang mit Betroffenenanfragen nach der Datenschutz-Grundverordnung (DSGVO) ist für ein datenschutzkonformes Unternehmen essenziell. Egal, ob es um Löschung, Auskunft, Berichtigung oder Datenmitnahme geht – es handelt sich um Rechte der Betroffenen, denen im gesetzlich vorgeschriebenen Rahmen nachgekommen werden muss. Oft geht es jedoch in der Praxis um die Frage: wie weit gehen die Rechte eigentlich? Was mache ich, wenn sie mit anderen Rechten kollidieren? Insbesondere im Gesundheitsbereich wird tagtäglich mit besonders schützenswerten sensiblen Daten hantiert, wo sich vor allem die Frage nach der konkreten Reichweite der Betroffenenrechte stellt. Darf der Patient Einsicht in die vollständige Patientenakte erhalten oder sogar die Löschung? Welche Informationen darf der Arzt zurückhalten, insbesondere vor Familienmitgliedern? Diese und weitere wichtige Fragen dürften sich Verantwortliche im Gesundheitswesen jeden Tag stellen – wir liefern die Antwort.

Wie erkenne ich eine Betroffenenanfrage?

Damit korrekt mit einer Betroffenenanfrage umgegangen werden kann, muss sie erst einmal als eine solche identifiziert werden. Das ist gar nicht so einfach, schließlich ist sich nicht jeder Betroffene dessen bewusst, dass er gerade ein Betroffenenrecht nach der DSGVO ausübt und formuliert das entsprechend laienhaft und nichtjuristisch. Vor allem muss eine Betroffenenanfrage auch gar nicht als solche tituliert werden, um eine zu sein. So können folgende Formulierungen speziell im Gesundheitsbereich auf eine Betroffenenanfrage hinweisen und sollten als solche behandelt werden:

  • „Ich möchte etwas zum Umgang mit meinen Daten wissen“
  • „Kann ich Einblick in meine Patientenakte erhalten?“
  • „Welche Gesundheitsdaten von mir haben Sie auf dem Computer abgespeichert?“
  • „Können Sie bitte meine Kontaktdaten in Ihrer Patientendatei auf Richtigkeit überprüfen und ggf. aktualisieren?“
  • Die Begriffe Information, Auskunft, Einblick, Herausgabe, Löschung oder Widerspruch werden verwendet

Diese Anfragen können dann einem oder mehreren Betroffenenrechten zugeordnet werden. In der DSGVO werden folgende Betroffenenrechte gewährt:

  • Das Recht auf Auskunft: der betroffenen Person sind die über sie gespeicherten Daten mitzuteilen und die Informationen im gesetzlich definierten Umfang zur Verfügung zu stellen.
  • Das Recht auf Datenlöschung: die betroffene Person kann die Löschung der personenbezogenen Daten verlangen.
  • Das Recht auf Einschränkung der Verarbeitung: die betroffene Person kann verlangen, dass die Verarbeitung aufhört.
  • Das Recht auf Datenberichtigung: die betroffene Person kann verlangen, dass die die Person betreffenden unrichtigen Daten korrigiert und ergänzt werden.
  • Recht auf Datenübertragbarkeit: die betroffene Person kann verlangen, seine personenbezogenen Daten in einem strukturierten, maschinenlesbaren und gängigen Format zu erhalten, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist.
  • Widerruf einer zuvor erteilten Einwilligung: die betroffene Person kann eine erteilte Einwilligung widerrufen und so die Datenverarbeitung für die Zukunft unzulässig machen.
  • Das Recht auf Widerspruch: die betroffene Person kann Widerspruch gegen die Datenverarbeitung erheben, wenn diese aufgrund berechtigter Interessen oder in Ausübung öffentlicher Gewalt erfolgt.
  • Das Recht auf Beschwerde bei einer Aufsichtsbehörde: die betroffene Person hat das Recht, sich bei der Vermutung eines Verstoßes gegen Datenschutzrecht an eine Aufsichtsbehörde zu wenden und den mutmaßlichen Verstoß zu melden. Die Aufsichtsbehörde kann daraufhin weitere Schritte gegen das datenverarbeitende Unternehmen vornehmen.

Die Reichweite der Betroffenenrechte nach der DSGVO

Nicht nur die Datenschutz-Grundverordnung zeigt Grenzen der Betroffenenrechte auf. Über eine sogenannte Öffnungsklausel in Art. 23 Abs. 1 DSGVO gibt der europäische Gesetzgeber den einzelnen nationalen Gesetzgebern die Möglichkeit, in einem bestimmten Rahmen die Reichweite der Betroffenenrechte einzuschränken oder Ausnahmen zuzulassen (Art. 89 Abs. 2 DSGVO). So ergeben sich sowohl im (nationalen) Bundesdatenschutzgesetz (BDSG) als auch in der DSGVO selbst einige Grenzen, die im Rahmen des Gesundheitsbereichs besonders relevant sind.

Insbesondere können Betroffene ihre Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und auf Widerspruch nicht geltend machen, wenn die Ausübung der Rechte voraussichtlich die Verwirklichung von Forschungs- und Statistikzwecken unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung der Rechte für die Erfüllung der Forschungs- und Statistikzwecke notwendig ist. Werden die Patientendaten also rechtmäßig für medizinische Forschungszwecke verarbeitet, dann kann der Patient seine Rechte nur mit Einschränkungen geltend machen.

Speziell das Recht auf Auskunft des Patienten entfällt zudem, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung unverhältnismäßigen Aufwand erfordern würde. Das ist vor allem der Fall, wenn ein Forschungsvorhaben besonders große Mengen an Daten verarbeiten muss, was bei medizinischen Forschungsprojekten immer der Fall sein dürfte. Im Bereich des Auskunftsrechts statuiert § 29 Abs. 1 S. 2 BDSG, dass die Auskunft nicht erteilt werden muss, soweit Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen. Darunter fallen vor allem diejenigen Informationen, die der ärztlichen Schweigepflicht unterliegen und damit vor allem Auskünfte, die in irgendeiner Art Dritte betreffen.

Das Recht auf Löschung unterliegt zudem Grenzen, wenn es gesetzliche Aufbewahrungspflichten oder Dokumentationspflichten gibt, die eingehalten werden müssen. Die Daten dürfen dann, solange diese Fristen reichen, nicht gelöscht werden. Im Gesundheitsbereich müssen hier verschiedene Gesetze beachtet werden, die jeweils verschiedene Fristen vorschreiben. Grundsätzlich schreibt § 630 f BGB eine Aufbewahrung der Patientenakte von 10 Jahren vor, wenn speziellere Gesetze nichts anderes vorgeben. So kann es nach dem Transfusionsgesetz besonders lange Aufbewahrungspflichten bis zu 30 Jahren geben. Außerdem kann das Recht auf Löschung wiederum nicht bei Datenverarbeitungen zu Forschungszwecken sowie aus entgegenstehenden Gründen der öffentlichen Gesundheit ausgeübt werden.

Fokus: Das Verhältnis von Auskunftsrecht und Einsichtnahme in Patientenunterlagen

Ein besonderer Fokus liegt im Gesundheitsbereich auf der Ausübung des Auskunftsrechts. Möchte ein Patient nämlich Auskunft über die über ihn gespeicherten Daten, dann geht damit in der Regel eine Einsichtnahme in die Patientenunterlagen einher. Bereits vor Inkrafttreten der DSGVO gab es mit § 630 g BGB eine Regelung, die Patienten auf Verlangen in ihre Patientenunterlagen hineinschauen zu lassen. Diese Vorschrift wird nun um das Auskunftsrecht aus der DSGVO in Art. 15 erweitert. Dessen Regelungen sind zudem vorrangig anwendbar, da die DSGVO ein Gesetz aus dem Europarecht ist, das BGB jedoch rein nationales deutsches Recht. Europarecht ist immer vor nationalem Recht anwendbar, wenn es denselben Inhalt regelt.

Dass nun zusätzlich zu § 630 g BGB die DSGVO beachtet werden muss hat auch zur Folge, dass ein Verstoß gegen das Auskunftsrecht ein Bußgeld mit sich bringt. Der Patient hat einen Anspruch darauf zu erfahren, ob seine personenbezogenen Daten (also alle Daten, die seine Identifikation möglich machen) verarbeitet werden (u.a. erhoben, erfasst, gespeichert, verändert, übermittelt). Wenn das der Fall ist, dann kann er auch Auskunft über das Wie und Worüber verlangen:

  • Die Zwecke der Verarbeitung
  • Die Kategorien der verarbeiteten Daten (z.B. Gesundheitsdaten, genetische Daten)
  • Den Empfänger bei bereits erfolgter oder zu erfolgender Offenlegung und Übermittlung der Daten
  • Die Dauer der Datenspeicherung (bei Behandlungsunterlagen den gesetzlichen Aufbewahrungspflichten entsprechend)
  • Das Bestehen eines Rechts auf Berichtigung oder Löschung, Einschränkung der Verarbeitung oder eines Widerspruchs gegen diese Verarbeitung
  • Das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • Die Herkunft der Daten, wenn sie nicht bei dem Patienten selbst erhoben wurden (z.B. bei Fremdbefunden, Fremdanamnese)

Die Reichweite des Rechts auf Einsichtnahme in die Patientenunterlagen ist ebenfalls sehr weit und erstreckt sich auf Einsichtnahme in die vollständige Patientenakte. Sinn und Zweck dieser großen Reichweite ist es auch, dass der Patient seine Behandlung nachvollziehen kann, sodass auch in der Akte abgelegte Befunde anderer Ärzte und Arztbriefe erfasst sind.

In Bezug auf § 630 g BGB sind die Einschränkungen in den Berufsordnungen der Ärztekammern für Ärzte geregelt. Diese unterscheiden sich pro Ärztekammer nur geringfügig, sodass auch die Ausnahmen inhaltlich dieselben sind. Danach kann die Einsichtnahme verwehrt werden, wenn

  • therapeutische Gründe entgegenstehen: Das ist insbesondere der Fall, wenn die Patientenakte psychiatrische und psychotherapeutische Behandlungen enthält und der Patient durch Kenntnis der darin enthaltenen Informationen Schaden erleiden könnte (z.B. bei einer dokumentierten Suizidgefahr). Dies ist jedoch in jedem Einzelfall neu zu entscheiden.
  • Rechte Dritter entgegenstehen: Rechte Dritter können entgegenstehen, wenn die Patientenakte auch Informationen über andere Personen enthält, wie z.B. den Lebensgefährten oder die Eltern des Patienten. Ergibt eine Abwägung, dass das Persönlichkeitsrecht dieser Personen dem Informationsinteresse des Patienten überwiegt, so kann die Einsichtnahme verweigert werden.
  • Rechte des Arztes / der Ärztin entgegenstehen: In den Berufsordnungen konkret nicht geregelt, aber verfassungsrechtlich gerechtfertigt ist die Verweigerung der Einsichtnahme, wenn das Persönlichkeitsrecht des Arztes / der Ärztin entgegensteht. Das kann Eintragungen betreffen, die die subjektiven Empfindungen eines Arztes / einer Ärztin dem Patienten gegenüber wiedergeben und nicht für Dritte geeignet waren.

Mit dem Recht auf Auskunft eng zusammen hängt die Pflicht zur Information über die Verarbeitung personenbezogener Daten. Diese kommt jedoch zeitlich früher zur Anwendung, nämlich bereits bei der Erhebung der personenbezogenen Daten. Die betroffene Person hat ein Recht darauf darüber informiert zu werden, wenn personenbezogene Daten von ihr verarbeitet werden und warum.

Klargestellt werden sollte zudem an dieser Stelle, dass das Auskunftsrecht der DSGVO nichts mit der Auskunft von Familienmitgliedern von Verstorbenen zu tun hat. Die Auskunft kann immer nur die betroffene Person selbst, also der verstorbene Patient zu seinen Lebzeiten, verlangen. Zur Einsichtnahme in die Behandlungsunterlagen Verstorbener sind stattdessen andere Vorschriften heranzuziehen und vor allem die ärztliche Schweigepflicht zu beachten, die grundsätzlich über den Tod eines Patienten fortdauert.

Fazit: Den Betroffenenrechten ist im Gesundheitsbereich grundsätzlich vollumfänglich nachzukommen

Die Betroffenenrechte erfahren im Gesundheitsbereich keine andere Behandlung, als in anderen Berufsfeldern auch. Sie sind grundsätzlich in einem weiten Umfang zu gewähren. Daher ist es wichtig, Betroffenenanfragen als solche zu erkennen und strukturiert zu beantworten. Gerade im Gesundheitsbereich gibt es jedoch eine Vielzahl an speziellen Regelungen und Gesetzen, deren Anwendbarkeit neben der DSGVO stets geprüft werden sollte. Insbesondere bei Ausübung des Auskunftsrechts sollte immer auch an § 630 g BGB gedacht werden sowie beim Recht auf Löschung an die verschiedenen Aufbewahrungspflichten. Soweit die Ausnahmen von der Gewährung der Betroffenenrechte geprüft werden, ergeben sich im Gesundheitsbereich einige Anwendungsfelder bei der Verarbeitung zu Forschungszwecken.

Dieser Artikel erschien am und wurde am aktualisiert.

Ähnliche Beiträge

Nach oben scrollen