Der niedergelassene Arzt Logo
 
  • Home
  • Praxis
  • Recht
  • Raus aus dem Datenschutz-Dschungel: Das Auskunfts- und Löschungsrecht von Patienten

Raus aus dem Datenschutz-Dschungel: Das Auskunfts- und Löschungsrecht von Patienten

Das Datenschutzrecht kann wie ein undurchsichtiger Urwald ohne Ausweg wirken. Doch ist die Einhaltung des Rechts unumgänglich, um Unannehmlichkeiten und Strafen zu vermeiden. Wie werde ich den Anforderungen gerecht? Diese Frage stellt sich nahezu täglich in vielen Arztpraxen. Ein Patient* verlangt die Löschung seiner Daten, ein anderer möchte Kopien seiner Patientenakte haben. Ein Überblick über die im Praxisalltag am häufigsten geltend gemachten Betroffenenrechte auf Auskunft, Herausgabe und Löschung.

Rechtstipps für niedergelassene Ärztinnen und Ärzte. Foto: Perawich Charoenphan/Shutterstock

Im Jahr 2018 ist das Datenschutzrecht durch Inkrafttreten der europäischen Datenschutzgrundverordnung (DS-GVO) reformiert und aktualisiert worden. Bereits vorher galten die Regelungen des Datenschutzrechts auch für Arztpraxen. Die DS-GVO hat das Thema Datenschutz jedoch in den Fokus der Öffentlichkeit gerückt und diesem einen neuen Stellenwert verliehen.

Patientendaten, die als Gesundheitsdaten gelten, gehören zu den besonders schützenswerten Daten, weshalb strenge Regelungen für den Umgang mit ihnen gelten. Dies macht die Umsetzung datenschutzrechtlicher Vorgaben für Arzt­praxen besonders komplex. Darüber hinaus erfordert deren Einhaltung erheblichen organisatorischen Aufwand im ohnehin stressigen Praxisalltag.

Art. 4 Nr. 15 DS-GVO
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
(…)

,Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

 

Muss ich Patientendaten übermitteln?

In vielen Arztpraxen stellt sich im Zusammenhang mit einem von Patienten geltend gemachten Auskunftsanspruch die Frage, wie weit dieser datenschutzrechtliche Anspruch tatsächlich reicht, und ob der gesamte Inhalt der Patientenakte übermittelt werden muss.

Ein häufiges Szenario im Praxisalltag: 

Eine Patientin bittet um Einsicht in die Patientenakte oder um die Herausgabe von Behandlungsunterlagen, und dies möglichst kostenfrei. Manche Patienten beziehen sich dabei ausdrücklich auf den Anspruch aus Art. 15 DS-GVO. In vielen Arztpraxen herrscht Unsicherheit darüber, welche Auskünfte erteilt und welche Daten herausgegeben werden müssen und ob sie dem Patienten kostenfrei zur Verfügung zu stellen sind. 

Art. 15 DS-GVO (s. Infobox) bestimmt zunächst, dass Patienten das Recht haben, jederzeit zu erfahren, ob personenbezogene Daten über sie verarbeitet werden. Ist das der Fall, hat der Betroffene das Recht zu erfahren, um welche Daten es sich handelt. Weiterhin gewährt Art. 15 Absatz 3 DS-GVO Patienten das Recht, eine Kopie ihrer verarbeiteten personenbezogenen Daten zu erhalten. 

Art. 15 Abs. 1 DS-GVO
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten (…).“
Foto: Anatolir/Shutterstock

 

Welche Daten sind das genau?

Neben dem allgemeinen Auskunftsanspruch in Bezug auf personenbezogene (Gesundheits-)Daten nach der DS-GVO gibt es weitere Ansprüche, die sich speziell auf die Patientenakte beziehen, wie sie in § 630g des Bürgerlichen Gesetzbuches (BGB) oder § 10 Absatz 2 der (Muster-)Berufsordnung Ärzte (MBO-Ä) festgelegt sind. Nach wohl überwiegender Ansicht wird angenommen, dass der datenschutzrechtliche Auskunftsanspruch nicht zwangsläufig ein umfassendes Recht auf Akteneinsicht begründet. Daher kann der Patient allein aufgrund dieses Anspruchs normalerweise keine vollständige Kopie seiner Patientenakte verlangen. Kompliziert kann die Beurteilung werden, wenn sich in der ärztlichen Behandlungsakte nicht ausschließlich personenbezogene Daten des Patienten befinden. 

Recht auf Akteneinsicht vorrangig

Fakt ist, dass der datenschutzrechtliche Auskunftsanspruch seinem Zweck nach in erster Linie auf Datenschutzbelange abzielt und daher im Allgemeinen kürzer greifen dürfte als die Ansprüche, die sich auf die Patientenakte als Ganzes beziehen. Im Endeffekt haben Patienten aber aufgrund der weiteren existierenden Ansprüche ohnehin umfassende Rechte zur Einsichtnahme. 

Um Unannehmlichkeiten wie Auskunftsklagen, Schadensersatzforderungen oder Meldungen bei Datenschutzbehörden und Ärztekammern zu vermeiden, sollten Ärzte daher in Erwägung ziehen, umfassenden Anfragen zur Auskunft und Datenherausgabe vollständig nachzukommen und dem Patienten eine Kopie der gesamten Patientenakte auszuhändigen.

Darf ich für die Übermittlung von Patientendaten Gebühren verlangen?

Angesichts des mitunter erheblichen Aufwands, insbesondere bei der physischen Bereitstellung von Patientendaten, stellt sich die berechtigte Frage, inwieweit diese Informationen kostenfrei an den Patienten übermittelt werden müssen. Nach der DS-GVO muss zumindest die erstmalige Datenherausgabe kostenlos erfolgen. Patienten sind sich dessen bewusst und stützen ihre Anfragen zur Datenherausgabe immer häufiger gezielt auf Art. 15 der DS-GVO. Wenn jedoch Ansprüche geltend gemacht werden, die auf die Herausgabe von Behandlungsunterlagen abzielen, wie sie in § 630g des BGB oder § 12 der MBO-Ä festgelegt sind, können Behandler Gebühren von bis zu 50 Cent pro Aktenseite für die Anfertigung von Kopien und Aufwendungen für die Anschaffung von Datenträgern oder Versendungskosten berechnen. 

Die Frage, ob der datenschutzrechtliche Anspruch des Patienten auf kostenfreie Zurverfügungstellung einer Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten dem entgegensteht, hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof (EuGH) zur Beurteilung vorgelegt. Eine Entscheidung des EuGH steht derzeit noch aus und dürfte künftig für mehr Klarheit in diesem Zusammenhang sorgen.

Praxistipp
Sollte eine Zurverfügungstellung von Patientendaten ohne nennenswerten Aufwand möglich sein, mag sich die Frage der Kostenerstattung für die Praxis nicht stellen. Müssen umfangreiche, noch nicht digitalisierte Behandlungsunterlagen eingescannt bzw. kopiert und verschickt werden, besteht die Möglichkeit, sich eine Erstattung der entstandenen Kosten zumindest vorzubehalten und diese ggf. nachträglich geltend zu machen, wenn der rechtliche Hintergrund dazu geklärt ist.

 

Spielt das Ziel des Herausgabeverlangens eine Rolle?

Das Verlangen, in die Patientenakte Einsicht zu nehmen oder eine Kopie der Behandlungsunterlagen zu erhalten, ist für den Behandelnden nicht selten deshalb unangenehm, weil der Betroffene zum Ausdruck bringt, die Informationen und Unterlagen zur Ermittlung eines möglichen Behandlungsfehlers zu benötigen. Es wird vertreten, dass ein Auskunftsersuchen nach Art. 15 DS-GVO, das nicht lediglich der Überprüfung der datenschutzrechtlichen Zulässigkeit einer Verarbeitung dient, rechtsmissbräuchlich ist und die verantwortliche Person die Herausgabe in einem solchen Fall verweigern kann. Jedoch ist auch die Frage, welche Rolle der mit dem datenschutzrechtlichen Auskunftsverlangen verfolgte Zweck spielt, bislang gerichtlich noch nicht geklärt.

Besser fristgerecht tätig werden

Trotz aller Unsicherheiten sollte der Auskunftsanspruch eines Patienten wegen Art. 12 Abs. 3 DS-GVO innerhalb eines Monats erfüllt werden, um Schadensersatzansprüche zu vermeiden. Aus Gründen der Komplexität oder bei einer Vielzahl von Anträgen darf diese Frist auf maximal drei Monate verlängert werden. Darüber hinaus ist Auskunft auch dann zu erteilen, wenn Daten des Betroffenen in der Praxis gerade nicht vorhanden sind.

Unter welchen Umständen sollte oder muss ich Patientendaten löschen?

Ein weiteres Szenario, das in der Praxis häufig vorkommt, betrifft Patienten, die die Löschung ihrer in der Arztpraxis gespeicherten Daten verlangen. Hintergrund kann beispielsweise ein gestörtes Arzt-­Patienten-Verhältnis sein.

Foto: Anatolir/Shutterstock
Praxistipp
Nicht nur über die Speicherung der Patientendaten an sich und die vorgeschriebene Dauer der Aufbewahrung, sondern über sämtliche sogenannte „Betroffenenrechte“ (Auskunftsrecht, Recht auf die Herausgabe einer Datenkopie, Recht auf Datenberichtigung oder -löschung oder auf Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht usw.) ist jeder Patient der Praxis im Rahmen der Begründung des Behandlungsverhältnisses zu informieren. Es bietet sich an, standardisierte Informationsblätter bereits beim Erstkontakt an die Patienten auszugeben.

Die DS-GVO gewährt grundsätzlich ein Recht auf Löschung gespeicherter personenbezogener Daten, das oft als „Recht auf Vergessenwerden“ bezeichnet wird. In der Praxis greifen jedoch oftmals Ausnahmen ein, wie sie in § 17 Absatz 3 Buchstabe b) und e) der DS-GVO vorgesehen sind. Danach ist die Löschung personenbezogener Daten nicht erforderlich, wenn die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist.

Art. 17 Abs. 1 DS-GVO
Recht auf Löschung
„Recht auf Vergessenwerden“
„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: (…).“
Praxistipp
Trotzdem sollten Sie beim Thema Datenschutz nicht „locker lassen“. Regelmäßige Schulungen der Mitarbeiter, standardisierte Prozesse und eine vorausschauende Planung helfen dabei, diese wichtige Aufgabe erfolgreich zu bewältigen. Zur Unterstützung der bzw. des Verantwortlichen kann ein Mitglied des Praxisteams zum Datenschutzbeauftragten gemacht werden, auch wenn eine Verpflichtung zur Benennung aufgrund des überschaubaren Datenverarbeitungsumfangs bzw. der Größe der Praxis (noch) nicht besteht. Zunehmender Beliebtheit erfreut sich zuletzt auch die Fortbildung eines Mitarbeiters zum „Datenschutzkoordinator“, der – darauf sei der Vollständigkeit halber hingewiesen – im Gegensatz zum Datenschutzbeauftragten keinen besonderen Kündigungsschutz genießt.

 

Im medizinischen Bereich stehen dem Löschungsanspruch vor allem gesetzliche Aufbewahrungspflichten entgegen. Solche Vorschriften sind beispielsweise in der Berufsordnung (vgl. § 10 Absatz 3 der MBO-Ä) und im BGB (§ 630f Absatz 3 BGB) verankert. Ärzte müssen demnach die Dokumentation für mindestens zehn Jahre nach Abschluss der Behandlung aufbewahren. In einigen Fällen können sogar längere Aufbewahrungsfristen gelten, wie beispielsweise bei Röntgenaufnahmen, die 30 Jahre aufbewahrt werden müssen.

Ein Anspruch auf Löschung besteht auch nicht, wenn der Praxisinhaber die Daten für Abrechnungszwecke oder zur Verteidigung gegen Schadensersatzansprüche aufgrund eines vermuteten Behandlungsfehlers benötigt. Wenn die Datenverarbeitung im öffentlichen Interesse liegt, etwa für das Krebsregister oder den Infektionsschutz, kann dies ebenfalls dazu führen, dass der Anspruch auf Daten­löschung nicht durchgesetzt werden kann.

Um dem in der DS-GVO festgelegten Grundsatz der Datenspeicherbegrenzung gerecht zu werden, ist es ratsam, im Praxis­alltag regelmäßige Überprüfungen durchzuführen, um festzustellen, ob und wie lange die Aufbewahrung von Patientendaten (noch) erforderlich ist. Hierbei kann die Praxisverwaltungssoftware Hilfe­stellung leisten. 

Fazit

Das Datenschutzrecht bleibt auch nach Einführung der DS-GVO ein komplexes und unübersichtliches Gebiet. Arztpraxen sehen sich täglich mit den Herausforderungen des Datenschutzrechts konfrontiert. Insbesondere die Frage, welche Daten im Rahmen eines Auskunftsverlangens kostenfrei herausgegeben werden müssen, ist im Einzelfall nicht leicht zu beantworten, da nicht alle Informationen in der Patientenakte zwangsläufig personenbezogene Daten darstellen. Die genaue Prüfung dieser Frage erfordert besondere Datenschutzkenntnisse und oft auch mehr Zeit, als im Praxisalltag eigentlich zur Verfügung steht. Auf andere Fragen (wie die der Kostenerstattung) gibt es derzeit noch keine klaren Antworten. 

Anika Mattern
Rechtsanwältin
Kanzlei am Ärztehaus
Dorpatweg 10
48159 Münster 
0251 270 7688–0
a.mattern@kanzlei-am-aerztehaus.de
kanzlei-am-aerztehaus.de

Tim Hesse
Rechtsanwalt, Zertifizierter Datenschutzbeauftragter
Kanzlei am Ärztehaus
Dorpatweg 10
48159 Münster und
Freie-Vogel-Str. 367
44269 Dortmund
0251 270 7688–0
t.hesse@kanzlei-am-aerztehaus.de
kanzlei-am-aerztehaus.de

Das könnte Sie auch interessieren

Interessiert an neuen Fortbildungen oder Abrechnungstipps?

Abonnieren Sie unseren Infoletter.
 

Zur Infoletter-Anmeldung

x
Newsletter-Anmeldung