Zurück zur Übersicht
18.12.2021

Krankenhaus sagt: Eine Kopie gibt’s nie!

Wenn das Krankenhaus sagt: „Eine Kopie gibt’s nie!“ …dann hilft der TLfDI

Gemäß Art. 15 Abs. 3 DSGVO muss das Krankenhaus (beziehungsweise Klinikum oder der behandelnde Arzt) dem betroffenen Patienten auf Anforderung eine (kostenfreie) Kopie seiner personenbezogenen (Gesundheits-)Daten aushändigen. Stellt der/die betroffene Patient/in den Antrag auf eine Kopie seiner/ihrer verarbeiteten Daten elektronisch, so ist die Kopie in einem gängigen elektronischen Format zur Verfügung zu stellen (vergleiche Art. 15 Abs. 3 Satz 3 DSGVO).

Im September 2020 erhielt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) eine Beschwerde über ein Krankenhaus. Die Beschwerdeführerin hatte das Krankenhaus im August 2020 gebeten, ihr gemäß Art. 15 Abs. 3 DatenschutzGrundverordnung (DSGVO) eine Kopie der personenbezogenen Daten und Informationen ihrer Patientenakte zu übersenden. Das Krankenhaus übersandte die angeforderten Dokumente nicht, sondern die betriebliche Datenschutzbeauftragte teilte der Beschwerdeführerin mit, dass die von ihr angeforderten Patientendaten keine personenbezogenen Daten seien, da lediglich Name, Anschrift und Telefonnummer personenbezogene Daten seien. Die Beschwerdeführerin habe daher kein Recht, diese Daten anzufordern und auch noch kostenfrei zu erhalten.

Der TLfDI wies das Krankenhaus darauf hin, dass seine datenschutzrechtlich vertretene Auffassung völlig unzutreffend ist. Denn nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind…“.

Gemäß Art. 15 Abs. 3 Satz 1 und Satz 2 DSGVO stellt der Verantwortliche „…eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.“ Hieraus ergibt sich die Verpflichtung, die erste Kopie der verarbeiteten personenbezogenen Daten kostenfrei zur Verfügung zu stellen und nur für Folgekopien ein Entgelt zu erheben. Erwägungsgrund 63 Satz 2 DSGVO präzisiert, dass sich dies auch auf personenbezogene Patientendaten bezieht: Das Auskunftsrecht „…schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.“

Der TLfDI wies das Krankenhaus deutlich auf diese Rechtslage der DSGVO hin und forderte das Krankenhaus auf, der Beschwerdeführerin umgehend die angeforderten Patientendaten zu übersenden und zwar, da es eine Erst-Anfrage war, kostenfrei (siehe hierzu auch Entscheidung des Sozialgerichts Dresden (Urteil vom 29. Mai 2020 Az. 6 O 76/20). Dieser Aufforderung kam das Krankenhaus umgehend nach und übersandte der Beschwerdeführerin eine Kopie ihrer eigenen Patientenakte.

Quelle: LfDI Thüringen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks