Die Betroffenenrechte nach der DSGVO im Praxisalltag

Die DSGVO kennt zahlreiche Informationsrechte. So sind Patienten einer Arztpraxis bereits bei oder zumindest im unmittelbaren Zusammenhang mit der erstmaligen Erhebung ihrer personenbezogenen Daten, unter anderem die Kontaktdaten des für deren Verarbeitung Verantwortlichen (also regelmäßig des Praxis­inhabers), der Zweck jeder einzelnen Datenverarbeitung und ihre Dauer sowie Informationen zu den Empfängern weitergeleiteter Daten und die Rechtsgrundlage der Datenverarbeitung mitzuteilen. Außerdem sind die Patienten frühzeitig über ihre Betroffenenrechte zu informieren. Der richtige Zeitpunkt für entsprechende Hinweise ist in der Regel das (erstmalige) Einlesen der Gesundheitskarte (eGK). Es empfiehlt sich, die Patienteninformation in gedruckter Form auszugeben oder in Wartebereichen gut einsehbar auszuhängen. 

1. Das Auskunftsrecht

Abgesehen davon kann ein Patient jederzeit Auskunft darüber verlangen, ob personenbezogene Daten über ihn verarbeitet werden. Ist dies der Fall, hat der Betroffene das Recht zu erfahren, welche Daten das sind. In diesem Fall muss der Verantwortliche über Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Empfänger und Empfängerkategorien, Speicherdauer, das Beschwerderecht und andere Betroffenenrechte, die Herkunft der Daten sowie eine eventuelle automatisierte Entscheidungsfindung oder Profiling Auskunft erteilen. Darüber hinaus gewährt Art. 15 Abs. 3 DSGVO dem Patienten ein Recht auf Aushändigung einer Kopie seiner verarbeiteten personenbezogenen Daten.

Dabei steht fest:

• Eine eingegangene Anfrage ist unverzüglich, spätestens aber binnen eines Monats zu beantworten.
• Die Ansprüche sind in der Form zu erfüllen, die der Betroffene wünscht (also z. B. schriftlich oder auf elektronischem Wege). 
• Die erste angeforderte Datenkopie ist unentgeltlich zur Verfügung zu stellen.
• Eventuell ersichtliche Daten Dritter in den Unterlagen sind im Vorfeld der Herausgabe unkenntlich zu machen.

Die Auskunfterteilung kann und sollte unter Zuhilfenahme vorgehaltener Formulare erfolgen. Zuvor ist allerdings sicherzustellen, dass der Antragsteller tatsächlich berechtigt ist, die Auskunft zu erhalten. Bestehen Zweifel an seiner Identität, kann die Praxis zusätzliche Informationen oder einen Nachweis zur Bestätigung anfordern (z. B. eine Kopie des Personalausweises oder die Angabe von Daten, die der Praxis vorliegen und in der Regel nur der Betroffene kennt). 

Ungeklärte Fragen

In der Praxis oft relevant, aber rechtlich ungeklärt sind die Fragen, wie weit der DSGVO-Auskunftsanspruch konkret reicht und ob danach sämtliche ärztlich gespeicherte Daten kostenfrei zu übermitteln sind. Bei der Geltendmachung anderer auf die Herausgabe von Behandlungsunterlagen gerichteter Ansprüche nach § 630g BGB oder § 10 der ärztlichen Berufsordnung muss der verpflichtete Arzt die Behandlungsdokumentation vollständig übermitteln. Er kann dabei aber ein Entgelt von bis zu 50 Cent pro Aktenseite für die Anfertigung von Kopien verlangen. 

Zur Erfüllung des daneben bestehenden datenschutzrechtlichen Auskunftsanspruchs muss zumindest die erstmalige Datenherausgabe kostenlos erfolgen. Daher stützen Patienten Herausgabeverlangen zunehmend häufig auf Art. 15 DSGVO. Weil bisher gerichtlich ungeklärt ist, ob dieser Anspruch in seinem Umfang tatsächlich genauso weit reicht wie die bisher bekannten Ansprüche, bleibt die rechtliche Beurteilung des Verlangens schwierig, wenn sich in der ärztlichen Behandlungsakte nicht ausschließlich sog. personenbezogene Daten befinden, die dem Patienten zugeordnet werden (können). Dann stellt sich die Frage, ob der Verantwortliche Teile der Patientenakte zurückhalten darf. 

Greift Art. 15 DSGVO kürzer als § 630g BGB?

Nachvollziehbar wird in diesem Zusammenhang etwa von behördlicher Seite vertreten, dass nach Art. 15 DSGVO lediglich eine „sinnvoll strukturierte Zusammenstellung“ der ärztlich verarbeiteten personenbezogenen Daten herauszugeben ist. Mehr gibt der Wortlaut der Norm auch eigentlich nicht her. Zudem zielt der Zweck des Auskunftsanspruchs der DSGVO primär auf datenschutzrechtliche Belange ab. Danach greift der DSGVO-Anspruch kürzer als der aus § 630g Abs. 1 BGB.

Umgang mit Auskunftsansprüchen im Praxisalltag: Weil Patienten die bekannten umfassenden Einsichtnahme-Ansprüche sowieso zur Verfügung stehen, dürfte sich die Frage des zulässigen Zurückhaltens von Informationen aus der Patientenakte in der Praxis darauf reduzieren, inwieweit der Verantwortliche darauf bestehen darf, Teile der Akte nur gegen die Zahlung eines angemessenen Entgelts herauszugeben. Zu hinterfragen ist, ob der Arzt im Einzelfall unter erheblichem Zeitaufwand prüfen möchte, welche in der Patientenakte vorhandenen Daten personenbezogene Daten im Sinne der DSGVO darstellen – um womöglich zu dem Ergebnis zu gelangen, dass dies auf alle wesentlichen gespeicherten Daten zutrifft. Bei einem Streit mit dem Patienten riskiert der Arzt zudem eine Auskunftsklage sowie Anzeigen bei der Datenschutzbehörde und/oder der Ärztekammer. Die praktisch eigentlich zu beantwortende Frage dürfte deshalb sein, ob sich lohnt, all dies zu riskieren.

2. Das Recht auf Datenlöschung

Unter Berufung auf Art. 17 DSGVO können Patienten die Löschung der bei ihrem Arzt gespeicherten personenbezogenen Daten verlangen – es sei denn, die Datenverarbeitung ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. 

Im Rahmen der ärztlichen Tätigkeit verhindern vor allem gesetzliche Aufbewahrungspflichten eine Durchsetzung des Löschungsanspruchs. Solche Pflichten sind beispielsweise bezüglich der ärztlichen Dokumentation in der Berufsordnung (§ 10 Abs. 3 Muster-Berufsordnung) und im Patientenrechtegesetz (§ 630f Abs. 3 BGB) verankert. Der Arzt hat die Dokumentation danach für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren. In besonderen Fällen können sich auch längere Aufbewahrungsfristen ergeben (etwa bei Röntgenaufnahmen: 30 Jahre).

Ein Anspruch auf Löschung besteht auch dann nicht, wenn ein Praxisinhaber die Daten zur Abrechnung seiner Leistungen oder zur Abwehr von Schadensersatz­ansprüchen wegen eines geltend gemachten Behandlungsfehlers benötigt. Liegt die Datenverarbeitung im öffentlichen Interesse (etwa für das Krebsregister oder zum Infektionsschutz), kann auch dies dem Datenlöschungsanspruch entgegengehalten werden.

Umgang mit Löschungsansprüchen im Praxisalltag: Praxisinhaber sollten sorgsam (bestenfalls mithilfe der Praxissoftware) prüfen, ob und wie lange eine weitere Aufbewahrung der Daten ihrer Patienten erforderlich ist. Anderenfalls sollte der Verantwortliche für die sichere Löschung der Daten mitsamt aller Kopien und Back-Ups Sorge tragen. 

3./4. Rechte auf Berichtigung und Einschränkung 

Patienten haben gemäß Art. 16 DSGVO das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen und gemäß Art. 18 DSGVO das Recht, die Einschränkung („Sperrung“) der weiteren Verarbeitung zu fordern. In der ärztlichen Praxis sind diese Betroffenenrechte jedoch praktisch wenig bedeutsam.

5. Das Recht auf Datenübertragbarkeit

Auch mit dem Recht auf Datenübertragbarkeit aus Art. 20 DSGVO dürften sich Ärzte eher selten konfrontiert sehen. Es beinhaltet den Anspruch, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und die Übermittlung an Dritte zu verlangen. Der Anspruch betrifft ausschließlich solche Daten, die der Praxis durch Patienten zur Verfügung gestellt worden sind.

6. Das Widerspruchsrecht

Verarbeitet ein Arzt personenbezogene Daten auf Grundlage berechtigter Interessen, haben Patienten gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung einzulegen – sofern die Datenverarbeitung nicht auf einer gesetzlichen Grundlage (z.B. des Krebsregistergesetzes oder Infektionsschutzgesetzes) erfolgt. Im Widerspruchsfall hat eine umfassende Abwägung betroffener Interessen und Rechte zu erfolgen.

Fazit

Die DSGVO soll die Verarbeitung personenbezogener Daten transparent und nachvollziehbar machen. Angesichts des täglichen Umgangs mit besonders sensiblen Gesundheitsdaten sollten Arztpraxen besonderes Augenmerk darauf richten, ihren Vorgaben zu entsprechen. Vorausschauend erarbeitete Konzepte, standardisierte Prozesse und gut informierte Mitarbeiter können helfen, der Geltendmachung von Betroffenenrechten durch Patienten adäquat zu entsprechen sowie Bußgelder und andere Sanktionen zu vermeiden.