Betroffenenrechte nach der DSGVO: Die Reichweite im Gesundheitswesen

Seit Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) im Mai 2018 sind Unternehmen immer wieder mit Betroffenenanfragen konfrontiert. Der DSGVO-konforme Umgang damit ist für die Datenschutz-Compliance jedes Unternehmens essenziell. Egal, ob es um Löschung, Auskunft, Berichtigung oder Datenübertragbarkeit geht – es handelt sich um Rechte der Betroffenen, denen im gesetzlich vorgeschriebenen Rahmen nachgekommen werden muss. Doch wie weit gehen diese Rechte und was gilt es zu tun, wenn sie mit anderen Rechten kollidieren? Besonders relevant ist dies für Verantwortliche im Gesundheitswesen, die tagtäglich mit besonders schützenswerten, sensiblen Daten umgehen. Darf der Patient/die Patientin Einsicht in die vollständige Patientenakte erhalten oder sogar die Löschung verlangen? Welche Informationen dürfen Ärzte zurückhalten, insbesondere vor Familienmitgliedern? Wir liefern die Antworten auf diese und weitere wichtige Fragen.

Erkennungsmerkmale einer Betroffenenanfrage im Gesundheitswesen

Betroffene sind die Personen, deren personenbezogene Daten verarbeitet werden. Damit korrekt mit einer Betroffenenanfrage umgegangen werden kann, muss sie erst einmal als eine solche identifiziert werden. Das ist gar nicht so einfach, schließlich ist sich nicht jede/r Patient/in darüber bewusst, dass er/sie gerade ein Betroffenenrecht nach der DSGVO ausübt und formuliert das entsprechend laienhaft und nichtjuristisch. Eine Betroffenenanfrage muss auch nicht als solche tituliert werden, um die entsprechenden Rechte geltend zu machen. Bestimmte Stichworte oder Formulierungen können aber Hinweis auf eine Betroffenenanfrage geben und sollten den Verantwortlichen hellhörig werden lassen. Werden beispielsweise Begriffe wie „Information“, „Auskunft“, „Einblick“, „Herausgabe“, „Berichtigung“, „Löschung“ oder „Widerspruch“ benutzt, sollten Verantwortliche an das mögliche Vorliegen einer Betroffenenanfrage denken. Im Gesundheitswesen können folgende Formulierungen auf eine Betroffenenanfrage hinweisen und sollten als solche behandelt werden:

  • „Ich möchte etwas zum Umgang mit meinen Patientendaten wissen“
  • „Kann ich Einblick in meine Patientenakte erhalten?“
  • „Welche Gesundheitsdaten von mir haben Sie auf dem Computer abgespeichert?“
  • „Können Sie bitte meine Kontaktdaten in Ihrer Patientendatei auf Richtigkeit überprüfen und ggf. aktualisieren?“
  • „Vernichten Sie alles, was Sie über meinen Gesundheitszustand dokumentiert haben.“

Diese Anfragen können dann einem oder mehreren Betroffenenrechten zugeordnet werden. In der DSGVO werden folgende Betroffenenrechte gewährt:

  • Das Recht auf Auskunft: Die betroffene Person kann Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen (näheres hierzu s.u.).
  • Das Recht auf Datenberichtigung: Die betroffene Person kann verlangen, dass die sie betreffenden unrichtigen Daten korrigiert und ergänzt werden.
  • Das Recht auf Datenlöschung: Die betroffene Person kann bei Vorliegen bestimmter Voraussetzungen die Löschung ihrer personenbezogenen Daten verlangen.
  • Das Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann bei Vorliegen bestimmter Voraussetzungen verlangen, dass ihre personenbezogenen Daten lediglich eingeschränkt verarbeitet werden.
  • Recht auf Datenübertragbarkeit: Die betroffene Person kann verlangen, ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren und gängigen Format zu erhalten und einem anderen Verantwortlichen zu übermitteln, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist.
  • Widerruf einer zuvor erteilten Einwilligung: Die betroffene Person kann eine erteilte Einwilligung jederzeit widerrufen und so die Datenverarbeitung für die Zukunft unzulässig machen.
  • Das Recht auf Widerspruch: Die betroffene Person kann aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Datenverarbeitung einlegen, wenn diese aufgrund berechtigter Interessen oder in Ausübung öffentlicher Gewalt erfolgt.
  • Das Recht auf Beschwerde bei einer Aufsichtsbehörde: Die betroffene Person hat das Recht, sich bei der entsprechenden Aufsichtsbehörde zu beschweren, wenn sie in der Verarbeitung ihrer personenbezogenen Daten eine Verletzung ihrer nach der DSGVO garantierten Rechte sieht. Die Aufsichtsbehörde kann daraufhin weitere Schritte gegen das datenverarbeitende Unternehmen vornehmen.

Beschränkungen der Betroffenenrechte gemäß DSGVO: Ausnahmen und Öffnungsklausel im Gesundheitswesen

Die Betroffenenrechte in der DSGVO gelten jedoch nicht unbeschränkt. Der europäischen Union und ihren Mitgliedsstaaten ist die Möglichkeit gegeben, ihre Reichweite in einem gewissen Rahmen einzuschränken oder Ausnahmen zuzulassen (Art. 23 Abs. 1 DSGVO). Eine besondere Relevanz im Gesundheitswesen entfaltet die Öffnungsklausel in Art. 89 Abs. 2 DSGVO, nach der für die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken einzelne Betroffenenrechte abbedungen werden können. Davon hat der deutsche Gesetzgeber durch entsprechende Regelungen im Bundesdatenschutzgesetz (BDSG) Gebraucht gemacht.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Beschränkung der Betroffenenrechte bei medizinischer Forschung: Auswirkungen und Voraussetzungen gemäß BDSG

Insbesondere können Betroffene ihre Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und auf Widerspruch nicht geltend machen, wenn die Ausübung der Rechte voraussichtlich die Verwirklichung von Forschungs- und Statistikzwecken unmöglich machen oder ernsthaft beeinträchtigen würde und die Beschränkung der Rechte für die Erfüllung der Forschungs- und Statistikzwecke notwendig ist (§ 27 Abs. 2 S. 1 BDSG). Werden die Patientendaten also rechtmäßig für medizinische Forschungszwecke verarbeitet, dann kann die/der Patient/in ihre/seine Rechte nur mit Einschränkungen geltend machen. Dabei kann der Verantwortliche aber keinen pauschalen Einwand gegenüber den geltend gemachten Betroffenenrechten erheben, sondern muss in der konkreten Fallkonstellation die Umstände darlegen, die seine Forschungs- und Statistikzwecke voraussichtlich vereiteln.

Whitepaper zum European Health Data Space

Auskunftsrecht bei medizinischer Forschung: Ausnahmen und Geheimhaltung gemäß BDSG

Speziell das Recht auf Auskunft des/der Patienten/in entfällt zudem, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand für den Verantwortlichen erfordern würde (vgl. § 27 Abs. 2 S. 2 BDSG). Das ist vor allem der Fall, wenn ein Forschungsvorhaben besonders große Mengen an Daten verarbeiten muss, was bei medizinischen Forschungsprojekten in der Regel der Fall ist. Auch kann die Auskunftspflicht bei Informationen entfallen, die der Geheimhaltung unterliegen. So muss die Auskunft nicht erteilt werden , soweit Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen (vgl. § 29 Abs. 1 S. 1 BDSG). Darunter fallen vor allem diejenigen Informationen, die der ärztlichen Schweigepflicht unterliegen und bei Preisgabe das Berufsgeheimnis verletzen würden. Die Auskunft kann nach entsprechender Interessensabwägung auch dann unterbleiben, wenn dies zum Schutz eines Dritten oder des Betroffenen selbst erforderlich ist, beispielsweise zur Abwendung drohender Gefahren für Leben, Gesundheit oder Freiheit.


Das könnte Sie auch interessieren:


Grenzen des Löschungsrechts im Gesundheitswesen: Aufbewahrungspflichten und Ausnahmen gemäß BDSG

Das Recht auf Löschung unterliegt zudem Grenzen, wenn es gesetzliche Aufbewahrungspflichten oder Dokumentationspflichten gibt, die eingehalten werden müssen. Die Daten dürfen dann, solange diese Fristen reichen, nicht gelöscht werden. Im Gesundheitswesen müssen verschiedene Gesetze zur Regelung von Aufbewahrungspflichten beachtet werden, die jeweils verschiedene Fristen vorschreiben. Zentral ist hierbei § 630f BGB, wonach die Patientenakte für 10 Jahre aufzubewahren ist, sofern speziellere Gesetze nichts anderes vorgeben (längere Aufbewahrungsfristen ergeben sich beispielsweise im Falle von Bluttransfusionen und Röntgenaufnahmen). Außerdem kann das Recht auf Löschung wiederum nicht bei Datenverarbeitungen zu Forschungszwecken sowie aus entgegenstehenden Gründen der öffentlichen Gesundheit ausgeübt werden.

Grundsätzlich dürfen Betroffenenrechte wie der Auskunftsanspruch nicht rechtsmissbräuchlich – etwa zur Verfolgung sachfremder Gesinnungen (z.B. Schikane) – geltend gemacht werden.

Auskunftsrecht im Gesundheitswesen: Patientenakte und Regelungen gemäß DSGVO und § 630g BGB

Ein besonderer Fokus liegt im Gesundheitsbereich auf der Ausübung des Auskunftsrechts. Verlangt ein/e Patient/in Auskunft über seine gespeicherten personenbezogenen Daten, geht damit in der Regel die Einsichtnahme in die Patientenakte einher. Bereits vor Inkrafttreten der DSGVO im Mai 2018 gab es mit § 630g BGB eine Regelung, die Patienten auf Verlangen Einsicht in ihre Patientenunterlagen gewährte. Diese Vorschrift wird um das Auskunftsrecht aus der DSGVO in Art. 15 erweitert. Dessen Regelungen sind vorrangig anwendbar, da die DSGVO ein Gesetz aus dem Europarecht ist, das BGB hingegen deutsches Recht. Europarecht ist aufgrund der Normenhierarchie immer vor nationalem Recht anwendbar, wenn es denselben Inhalt regelt.

Bußgeldbewehrter Verstoß gegen das Auskunftsrecht: Umfang und Inhalte gemäß DSGVO

Ein Verstoß gegen das Auskunftsrecht kann bußgeldbewehrt sein. Der/die Patient/in hat einen Anspruch darauf zu erfahren, ob seine/ihre personenbezogenen Daten (also alle Daten, die seine Identifikation möglich machen) verarbeitet werden (u.a. erhoben, erfasst, gespeichert, verändert, übermittelt). Wenn das der Fall ist, kann er/sie auch Auskunft über das „Wie“ und „Worüber“ der Datenverarbeitung und damit über folgende Informationen verlangen:

  • Angabe der personenbezogenen Daten, die verarbeitet werden
  • Die Zwecke der Verarbeitung
  • Die Kategorien der verarbeiteten Daten (z.B. Gesundheitsdaten, genetische Daten)
  • Den Empfänger bei bereits erfolgter oder zu erfolgender Offenlegung und Übermittlung der Daten
  • Die Dauer der Datenspeicherung (bei Behandlungsunterlagen den gesetzlichen Aufbewahrungspflichten entsprechend)
  • Das Bestehen eines Rechts auf Berichtigung oder Löschung, Einschränkung der Verarbeitung oder eines Widerspruchs gegen diese Verarbeitung
  • Das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • Die Herkunft der Daten, wenn sie nicht bei dem Patienten selbst erhoben wurden (z.B. bei Fremdbefunden, Fremdanamnese)

Recht auf kostenfreie Übermittlung von personenbezogenen Daten: Umstrittene Frage der Patientenakte gemäß Auskunftsrecht

Darüber hinaus hat die betroffene Person im Rahmen des Rechts auf Auskunft auch Anspruch auf die kostenfreie Übermittlung einer Kopie der über sie verarbeiteten personenbezogenen Daten. Ob dies bedeutet, dass der/die Patient/in eine kostenlose Kopie seiner/ihrer Patientenakte verlangen kann, ist allerdings noch umstritten. Folgt man der restriktiveren Auffassung, ist dem/der Patienten/Patientin zwar keine Kopie der Patientenakte, aber eine strukturierte Zusammenfassung der darin enthaltenen personenbezogenen Daten auszuhändigen.

Die Reichweite des zivilrechtlichen Anspruchs auf Einsichtnahme in die Patientenunterlagen nach § 630g BGB ist ebenfalls sehr weit und erstreckt sich auf Einsichtnahme in die vollständige Patientenakte. Dabei ist das Einsichtsrecht nicht nur auf „objektive“ Daten (Befunde, Berichte) beschränkt, sondern erstreckt sich grundsätzlich auch auf Niederschriften über persönliche Eindrücke und subjektive Wahrnehmungen. Auch in der Akte abgelegte Befunde anderer Ärzte und Arztbriefe sind erfasst. Diesem weiten Verständnis liegt die Intention des Gesetzgebers zugrunde, dass der/die Patient/in seine/ihre Behandlung bestmöglich nachvollziehen können soll.

In Bezug auf § 630g BGB sind die Einschränkungen in den Berufsordnungen der jeweiligen Ärztekammern geregelt. Diese unterscheiden sich nur geringfügig, sodass auch die Ausnahmen inhaltlich dieselben sind. Danach kann die Einsichtnahme verwehrt werden, wenn:

  • therapeutische Gründe entgegenstehen: Das ist insbesondere der Fall, wenn die Patientenakte psychiatrische und psychotherapeutische Behandlungen enthält und der Patient durch Kenntnis der darin enthaltenen Informationen Schaden erleiden könnte (z.B. bei einer dokumentierten Suizidgefahr). Dies ist jedoch in jedem Einzelfall neu zu entscheiden. Eine Einschränkung darf nach dem Willen des Gesetzgebers nur in besonderen Fällen erfolgen, wenn erhebliche Gründe vorliegen.
  • Rechte Dritter entgegenstehen: Rechte Dritter können entgegenstehen, wenn die Patientenakte auch Informationen über andere Personen enthält, wie z.B. Lebensgefährten oder die Eltern der Patienten. Ergibt eine Abwägung, dass das vom Grundgesetz geschützte Persönlichkeitsrecht dieser Personen das Informationsinteresse des/der Patienten/in überwiegt, so kann die Einsichtnahme verweigert werden.
  • Rechte des Arztes / der Ärztin entgegenstehen: In den Berufsordnungen konkret nicht geregelt, aber verfassungsrechtlich gerechtfertigt ist die Verweigerung der Einsichtnahme, wenn das Persönlichkeitsrecht des Arztes / der Ärztin entgegensteht. Das kann Eintragungen betreffen, die die subjektiven Empfindungen eines Arztes / einer Ärztin dem Patienten/ der Patientin gegenüber wiedergeben und nicht für Dritte geeignet waren.

Differenzierung: Auskunftsrecht der DSGVO vs. Auskunft von Familienmitgliedern Verstorbener

Zur klaren Differenzierung: Das Auskunftsrecht der DSGVO hat nichts mit der Auskunft von Familienmitgliedern zu Verstorbenen zu tun. Die Auskunft kann immer nur die betroffene Person selbst, also der/die jeweilige Patient/in zu Lebzeiten, verlangen. Zur Einsichtnahme in die Behandlungsunterlagen Verstorbener sind stattdessen andere Vorschriften heranzuziehen und vor allem die ärztliche Schweigepflicht zu beachten, die grundsätzlich über den Tod eines Patienten/einer Patientin fortdauert.

Einführung der elektronischen Patientenakte (ePA) und ihre Bedeutung für die Daten- und Patientensouveränität

Seit dem 1.1.2021 muss jedem Versicherten auf Antrag eine elektronische Patientenakte (ePA) zur Verfügung gestellt werden (vgl. § 341 SGB V). Ziel ist nicht nur die Patientenversorgung durch eine vereinfachte Kommunikation der beteiligten im Gesundheitswesen zu verbessern, sondern auch den Versicherten sämtliche Informationen zu Befunden, Diagnosen und zu geplanten Therapiemaßnahmen sowie zu Behandlungsberichten barrierefrei elektronisch zur Verfügung zu stellen und damit zu mehr Daten- und Patientensouveränität beizutragen. Die ePA tritt dabei neben die klassische Patientenakte und ist eine versichertengeführte Akte. Das heißt, der Versicherte entscheidet darüber, ob und welche Daten gespeichert bzw. dokumentiert werden und wer Zugriff auf die jeweiligen Daten erhält. Um die Digitalisierung im Gesundheitswesen voranzutreiben und die bisher nur mäßig genutzte ePA besser zu etablieren, plant das Bundesgesundheitsministerium derzeit, die ePA bis Ende 2024 für alle Versicherten einzuführen. Ein Verzicht auf die Patientenakte soll danach nur dann möglich sein, wenn Versicherte ihr aktiv widersprechen (sog. Opt-out-Regelung).

Gewährleistung der Betroffenenrechte im Gesundheitsbereich: Herausforderungen und Besonderheiten

Die Betroffenenrechte erfahren im Gesundheitsbereich keine generelle Sonderbehandlung. Sie sind grundsätzlich in einem weiten Umfang zu gewähren. Daher ist es wichtig, Betroffenenanfragen als solche zu erkennen und strukturiert zu beantworten. Gerade im Gesundheitsbereich gibt es jedoch eine Vielzahl an speziellen Regelungen und Gesetzen, deren Anwendbarkeit neben der DSGVO stets geprüft werden muss. Insbesondere bei der Ausübung des Auskunftsrechts sollte immer auch § 630g BGB berücksichtigt werden sowie die verschiedenen Aufbewahrungspflichten beim Recht auf Löschung. Bezüglich einzelner Ausnahmen von der Gewährung der Betroffenenrechte, ergeben sich im Gesundheitsbereich einige Anwendungsfelder bei der Verarbeitung zu Forschungszwecken.

Expertise und Unterstützung: Betroffenenrechte im Gesundheitswesen verstehen und erfolgreich geltend machen

Möchten Sie Näheres zu dem Themenkomplex Betroffenenrechte im Gesundheitswesen erfahren oder brauchen Sie Unterstützung bei der Geltendmachung eines Betroffenenrechts? Wir erklären Ihnen die einzelnen Modalitäten der Beantwortung der Anfragen und was Sie zusätzlich zu beachten haben. Vertrauen Sie auf unsere jahrelange Erfahrung!

Sind bei Ihnen Fragen zu den Betroffenenrechten im Gesundheitswesen aufgetaucht?

Aktuelle Entwicklungen im digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor

Jetzt lesen

Digitalisierung im Gesundheitswesen: Rechtliche Grundlagen der Telematikinfrastruktur (TI)

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.