Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie…
… dann kann eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde helfen. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.13 – ab S. 150) aufmerksam.
Gemäß Art. 15 Abs. 3 DSGVO muss das Krankenhaus (beziehungsweise Klinikum oder der behandelnde Arzt) dem betroffenen Patienten auf Anforderung eine (kostenfreie) Kopie seiner personenbezogenen (Gesundheits-)Daten aushändigen. Stellt der/die betroffene Patient/in den Antrag auf eine Kopie seiner/ihrer verarbeiteten Daten elektronisch, so ist die Kopie in einem gängigen elektronischen Format zur Verfügung zu stellen .
Der TlfDI erhielt eine Beschwerde über ein Krankenhaus:
- Die Beschwerdeführerin hatte das Krankenhaus gebeten, ihr gemäß Art. 15 Abs. 3 eine Kopie der personenbezogenen Daten und Informationen ihrer Patientenakte zu übersenden.
- Das Krankenhaus übersandte die angeforderten Dokumente nicht.
- Die betriebliche Datenschutzbeauftragte teilte der Beschwerdeführerin mit, dass die von ihr angeforderten Patientendaten keine personenbezogenen Daten seien, da lediglich Name, Anschrift und Telefonnummer personenbezogene Daten seien. Die Beschwerdeführerin habe daher kein Recht, diese Daten anzufordern und auch noch kostenfrei zu erhalten.
Der TLfDI wies das Krankenhaus darauf hin, dass seine datenschutzrechtlich vertretene Auffassung völlig unzutreffend ist. Denn nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Gemäß Art. 15 Abs. 3 Satz 1 und Satz 2 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Hieraus ergibt sich die Verpflichtung, die erste Kopie der verarbeiteten personenbezogenen Daten kostenfrei zur Verfügung zu stellen und nur für Folgekopien ein Entgelt zu erheben. Erwägungsgrund 63 Satz 2 DSGVO präzisiert, dass sich dies auch auf personenbezogene Patientendaten bezieht: Das Auskunftsrecht „…schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.“
Der TLfDI wies das Krankenhaus deutlich auf diese Rechtslage der DSGVO hin und forderte das Krankenhaus auf, der Beschwerdeführerin umgehend die angeforderten Patientendaten zu übersenden und zwar, da es eine Erst-Anfrage war, kostenfrei. Dieser Aufforderung kam das Krankenhaus umgehend nach und übersandte der Beschwerdeführerin eine Kopie ihrer eigenen Patientenakte.
Siehe zu dieser Problematik auch eine vergleichbare Entscheidung des Sozialgerichts Dresden (Urteil vom 29.05.2020 – Aktenzeichen: 6 O 76/20). Dieser Aufforderung kam das Krankenhaus umgehend nach und übersandte der Beschwerdeführerin eine Kopie ihrer eigenen Patientenakte.
Bleibt zu hoffen, dass das betroffene Krankenhaus sich zwischenzeitlich eine fach-kompetentere betriebliche Datenschutzbeauftragte gesucht hat.