Der datenschutzrechtliche Auskunftsanspruch in der Arztpraxis

Home
Der datenschutzrechtliche Auskunftsanspruch in der Arztpraxis

Der datenschutzrechtliche Auskunftsanspruch in der Arztpraxis

Kategorien: Datenschutzrecht
Auskunftsanspruch, Auskunftsverlangen, Brief, DSGVO

Der datenschutzrechtliche Auskunftsanspruch in der Arztpraxis

Seit seiner Einführung erfreut sich der Auskunftsanspruch bei denjenigen, die ihn geltend machen, zunehmend größerer Beliebtheit. Im Grunde ist dies aus datenschutzrechtlicher Sicht positiv zu bewerten, da die betroffenen Personen so darüber Kenntnis erhalten, was mit ihren Daten geschieht. Unter Umständen ist eine Auskunft über Art und Umfang der Datenverarbeitung unerlässlich, um etwaige Ansprüche gegen den Verantwortlichen der Datenverarbeitung geltend zu machen oder überhaupt benennen zu können. Vor allem aber entspricht Art. 15 DSGVO dem Ziel der DSGVO, für Datenschutz, Transparenz in der Datenverarbeitung und mehr Datensicherheit zu sorgen.

Es mehren sich zugleich aber auch die Stimmen auf der Gegenseite, die Verweigerungsmöglichkeiten oder eine Eindämmung des Anspruchs fordern, um missbräuchliche Geltendmachung zu erschweren. Auch werden Auskunftsansprüche für datenschutzfremde Zwecke, z.B. als Grundlage für höhere Abfindungen im Kündigungsschutzprozess oder zur Vorbereitung von Arzthaftungsansprüchen genutzt. Insbesondere, weil die Auskunft nicht vergütet werden muss, sind missbräuchliche Auskunftsbegehren für die Auskunftspflichten – etwa für Arztpraxen – zunehmend problematisch.

1.) Der Auskunftsanspruch nach Art. 15 DSGVO

Zunächst folgt hier noch einmal eine knappe Darstellung der gesetzlichen Grundlage für den datenschutzrechtlichen Anspruch auf Auskunft.

Art. 15 Abs. 1, 2 DSGVO

  1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  1. die Verarbeitungszwecke;

  2. die Kategorien personenbezogener Daten, die verarbeitet werden;

  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

  1. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. […]

Der Begriff der personenbezogenen Daten ist hier sehr weit zu verstehen und umfasst jede Information über eine lebende Person. Im Kontext der Arztpraxis kommen erst einmal alle im Zusammenhang mit dem Patienten erhobenen Daten, Befunde und Informationen in Betracht aber auch alle Informationen anderer Personen, z.B. der Beschäftigten, die durch die Arztpraxis verarbeitet werden.

1.2 Auch zu beachten ist der Erwägungsgrund 63. Erwägungsgründe sind nicht Bestandteil des Gesetzes. Sie beschreiben die Intension und Überlegungen des Gesetzgebers beim Erarbeiten der Regelungen und sind eine Auslegungshilfe und Orientierung bei der Anwendung der entsprechenden Normen. Es ist wichtig, sie in den Blick zu nehmen, da auch Gerichte bei der Auslegung der gesetzlichen Normen auf sie zurückgreifen. Die relevanten Stellen für die Arztpraxis wurden hervorgehoben.

Erwägungsgrund 63:

Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befundeder behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.

Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

2.) Sicht der Auskunftsberechtigten

Aus Sicht des Auskunftsberechtigten ist so ein Anspruch sinnvoll. Der Auskunftsanspruch dient der Information, aber natürlich auch der Kontrolle des Verarbeiters bzw. Verantwortlichen. Der Auskunftsberechtigte kann so die Richtigkeit der Daten und die Rechtmäßigkeit sowohl der Datenverarbeitung, als auch weiterer damit in Verbindung stehender Maßnahmen überprüfen. Wegen einer nicht von der DSGVO gedecktenVerarbeitung der Daten durch den Verantwortlichen, hier also die Arztpraxis, hat die betroffene Person (z.B. Patient, Beschäftigte) dann möglicherweise weitere Ansprüche. Insofern dient der Auskunftsanspruch auch der Interessenwahrung des Betroffenen.

3.) Sicht der Verantwortlichen / der Arztpraxis

Aus Sicht der Verwender ist der Auskunftsanspruch durchaus problematisch. Die entstandenen Kosten für die ersten Auskunft können grundsätzlich nicht zurückverlangt werden, obwohl der technische und personelle Aufwand mitunter je nach Umfang der zu beauskunftenden Daten ist hoch. Außerdem besteht die Gefahr, dass Personen den Anspruch missbräuchlich einsetzen, etwa weil sie in einem vorherigen Rechtsstreit unterlegen sind oder unzufrieden mit der Leistung der Arztpraxis waren und andere Ansprüche entweder schwerer oder gar nicht geltend gemacht werden können. Hinzu kommt, dass ein solcher Missbrauch nur schwer nachzuweisen ist.

4.) Möglichkeiten der Auskunftsverweigerung

Insofern stellt sich die Folgefrage: Wann kann man die Auskunft verweigern? Diese Möglichkeit besteht nur in sehr begrenzten Fällen, es gibt praktisch nur die folgenden Fallgruppen der Auskunftsverweigerung:

4.1 Unmöglichkeit/Unverhältnismäßigkeit von Aufwand und Nutzen

Daten, die nicht mehr gespeichert sind (z.B. weil die gesetzliche Aufbewahrungspflicht abgelaufen ist und die Daten ordnungsgemäß / datenschutzkonform gelöscht wurden), müssen natürlich nicht mehr herausgegeben werden. Insofern kann es hilfreich sein, nicht mehr und nicht länger Daten zu erheben und zu speichern, als erforderlich. Weiterhin müssen keine Daten herausgegeben werden, wenn der dafür erforderliche Aufwand außer Verhältnis zum Nutzen für den Anspruchsberechtigten steht. Dies ist jedoch relativ eng zu verstehen. Im Regelfall kann hiervon gerade nicht ausgegangen werden. Beispielsweise sind unter Umständen auch die Korrespondenzen mit dem Auskunftsberechtigten mit zu übersenden, obwohl diese ihm bereits bekannt sind. Auch reicht es gerade nicht, nach dem Auskunftsbegehren des Berechtigten dessen personenbezogene Daten zu löschen. Es sind die im Zeitpunkt des Auskunftsbegehrens vorliegenden Daten zu übersenden.

4.2 Verweigerungsmöglichkeit wegen des Rechts des Berufsgeheimnisträgers

Als Arzt ist man Berufsgeheimnisträger und damit wegen spezialgesetzlicher Regelungen (etwa der MBO-Ä) in Verbindung mit § 29 Abs. 1 S. 2 BDSG und § 203 StGB dazu verpflichtet, Berufsgeheimnisse nicht an Unbefugte weiterzugeben. Als Berufsgeheimnisträger ist man, wenn sonst ein Verstoß gegen § 203 StGB vorliegen würde, also sogar dazu verpflichtet, keine Auskunft zu geben.

Allerdings ist auch hier Vorsicht geboten. Selbst wenn ein Dokument von § 203 StGB umfasste Daten enthält, sorgt dies nicht automatisch dafür, dass keine Auskunft zu erteilen ist, vielmehr sind entsprechende Passagen vor der Herausgabe zu schwärzen, also auf das Vorliegen personenbezogener Daten anderer Personen oder Berufsgeheimnisse zu überprüfen. Allerdings ist hier besondere Vorsicht geboten! Wenn mehr Passagen geschwärzt wurden als notwendig, kann dies als unvollständige und damit fehlerhafte Auskunft angesehen werden und Schadensersatzansprüche desBetroffenen auslösen, Art. 82 DSGVO i.V.m. Art. 15 DSGVO.

4.3 Treu und Glauben / Verhältnismäßigkeit

Der Grundsatz von Treu und Glauben (§ 242 BGB) wird von den Gerichten auch im Fall von Art. 15 DSGVO entsprechend angewendet. Ist beispielsweise ein Auskunftsbegehren offensichtlich missbräuchlich, so kann man die Auskunft verweigern. Allerdings ist es in der Praxis schwer, eine solche Missbräuchlichkeit nachzuweisen, weshalb die praktische Bedeutung einer Missbrauchskontrolle nicht so groß ist, wie man annehmen könnte. Allerdings braucht zum Beispiel keine Auskunft erteilt zu werden, wenn ein dadurch zu sichernder Anspruch ohnehin bereits verjährt ist. Auch hier ist aber Vorsicht geboten.

5.) Kritik

Aus Sicht der Arztpraxis als Verarbeiterin von personenbezogenen Daten, ist diese Regelung kritikwürdig.

Es ist damit zu rechnen, dass es missbräuchliche Auskunftsbegehren geben wird. Denn es ist aktuell leicht, einem Verarbeiter personenbezogener Daten – wie einer Arztpraxis – damit viel Arbeit zu machen, ohne dass den Anspruchsberechtigten irgendwelche Kosten entstehen. Die missbräuchliche Intention eines Auskunftsbegehrens ist aber nur schwer nachzuweisen.

Die Arztpraxis als datenschutzrechtlich verantwortliche muss wiederum einen hohen finanziellen, personellen und zeitlichen Aufwand betreiben, um die Auskunftsbegehren zu bearbeiten. Es muss sehr darauf geachtet werden, nicht zu wenig oder zu viel zu schwärzen und eine vollständige Auskunft zu erteilen. Insgesamt ist es aber schwer, die Interessen der beteiligten Parteien in Einklang zu bringen.

6.) Fazit und Handlungsempfehlung

Ein Auskunftsbegehren nach Art. 15 DSGVO ist durchaus ernst zu nehmen. Nicht darauf zu reagieren oder die Frist von längstens einem Monat (Art. 12 Abs. 3 DSGVO) verstreichen zu lassen, kann sowohl Gerichtsverfahren, als auch Konsequenzen von Seiten der Datenschutzaufsichtsbehörden nach sich ziehen. Es können (gem. Art. 83 Abs. 5b)DSGVO) empfindliche Sanktionen verhängt werden und eine fehlerhafte oder unvollständige Auskunft löst neben Bußgeldrisiken auch einen Schadensersatzanspruch aus.

Insofern ist es äußerst ratsam, zu kooperieren und Auskunft über die Verwendung der personenbezogenen Daten zu geben, wenn der Anspruch geltend gemacht wird. Wenn nötig sollte man als Verantwortlicher mehr Zeit (bis zu 2 Monate, siehe Art. 12 Abs. 3 S. 2 DSGVO) und eine Präzisierung des Auskunftsbegehrens erbitten.

Grundsätzlich hat der Anspruchsberechtigte das Recht auf eine Kopie (Art. 15 Abs. 3 DSGVO), es ist daher nicht erforderlich, doppelt Auskunft zu erteilen oder mehrere Ausfertigungen zu übersenden. Sollte dies dennoch verlangt werden, besteht in der Regel ein Anspruch auf Vergütung, in Höhe einer Kostenerstattung. Im Regelfall reicht weiterhin eine digitale Übermittlung. Es ist meist nicht erforderlich, die Auskunft in Papierform zu erteilen. Weiterhin sollten Daten nicht ohne Weiteres weitergeleitet werden, besondere Vorsicht ist dabei bei der Datenübermittlung in Nicht-EU-Staaten geboten.

Insbesondere scheint nach allem vorangegangenen die beste Lösung zu sein, diejenigen Daten zu löschen, bei denen keine Pflicht zur Speicherung oder Notwendigkeit zur Aufbewahrung besteht, allerdings schon bevor die Daten von den Berechtigten abgefragt werden.

In der Folge müsste daher weniger Auskunft erteilt werden, was eine massive Erleichterung für die Arztpraxis als Auskunftspflichtige darstellen würde. Dies scheint auch ein guter Schutz vor missbräuchlichen Anfragen zu sein. Auch die Personen, deren Daten betroffen sind haben ein Interesse daran, dass nicht mehr Daten von ihnen gespeichert und verwendet werden, als notwendig. Dieser Rat ist auch ganz im Sinne der DSGVO, deren Ziel es ist, für mehr Datenschutz und Datensicherheit zu sorgen.

Der Beitrag wurde mit Stand 1.3.2023 von Stud. Jur. Gero Blochwitz verfasst und von RA David Seiler redigiert.

7.) Vertiefende Informationen zum Auskunftsanspruch

finden Sie hier:

Rechtliche Grundlagen für die Weitergabe von Patientendaten:
Umgang mit Auskunftsanfragen – mit Stand 10.03.2023

Am 26.10.2023 hat der EuGH zum Az. C‑307/22 entschieden, dass ein Patient das Recht hat, ein unentgeltliche und vollständige Kopie seiner Patientenakte, inkl. Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen, zu erhalten. siehe Urteil im Volltext

Es ging bei dieser Entschweidung auch um das Verhältnis zur Regelung im Patientenrechtegesetz, § 630g BGB, wonach es einen Kostenerstattungsanspruch für Kopien gibt. Dieser wird aber vom EU-Recht verdrängt.

Mit Urteil vom 04.05.2023 hat der EuGH zum Az. C-487/21 entschieden, dass der Anspruch auf Kopie im Rahmen des Auskunftsverlangens eine originalgetreue und verständliche Reproduktion aller Daten umfasst, also praktisch gesehen; Fotokopie oder Scan. Siehe hierzu die Besprechung: Seiler, Auslegung des Umfangs des datenschutzrechtlichen Auskunftsanspruchs, des Begriffs „Kopie“ und des Begriffs „Informationen durch den EuGHjurisPR-BKR5/2023 Anm. 1

Weitere EuGH-Entscheidungen zum Auskunftsanspruch

Urteil vom 22. Juni 2023 – C‑579/21: Jedermann hat ein Recht darauf, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden. Dabei umfasst der Auskunftsanspruch auch Verarbeitungsvorgänge vor der Geltung der DSGVO, wenn die Daten nach wie vor verarbeitet (gespeichert) werden.

Bei weitergehende Fragen zur Bearbeitung des Ihnen konkrete vorliegenden Auskunftsverlangens können Sie sich gerne an Rechtsanwalt David Seiler wenden.

Stand 20.12.2023

Über Datenschutzrecht Health Care:

Gerade durch die Digitalisierung des Gesundheitswesens ist neben dem Arztgeheimnis des § 203 StGB und der standrechtliches ärztlichen Schweigepflicht (MBOÄ) auch das Datenschutzrecht von erheblicher praktischer Bedeutung wie zahlreiche Erwähnungen in den Tätigkeitsberichten der Landesdatenschutzaufsichsbehörden aber auch Presseberichten (z.B. in der Zeitschrift Test über „Plaudertaschen in Arztpraxen“) zeigen. Der Blog will hier sensibilisieren und informieren.

Neueste Beiträge

Kategorien

Kategorien

Über Rechtsanwalt David Seiler

Seit über 31 Jahren ist David Seiler selbst fotografisch tätig, war langjähriges Mitglied bei Freelens und im Verwaltungsrat der VG Bild-Kunst, berät den BVPA und ist seit über 23 Jahren Rechtsanwalt. Er verfügt damit über vielfältige Erfahrungen, die er bei seiner fotorechtlichen Beratung im Interesse der Mandanten aber auch als Autor und Referent gerne einbringt.

Letzte Beiträge:

Kategorien:

Kategorien

Kontakt:

Rechtsanwalt David Seiler
DS law
Chausseestr. 19
03051 Cottbus

T: 0355-29023254
F: 0355-29023255
seiler@ds-law.eu

© 2024 | Fotorecht Seiler | Gestaltung und technische Umsetzung: Werbeagentur DesignSplash

Menü

Kontakt

Fotorecht Seiler
David Seiler
Chausseestr. 19
03051 Cottbus

0355-29023254
Mobilnummer
seiler@ds-law.eu