Patientenrechte nach DSGVO: Praxisleitfaden für Arztpraxen

Patientenrechte nach DSGVO: Praxisleitfaden für Arztpraxen

Inhaltsverzeichnis

Kurzüberblick: Die wichtigsten Patientenrechte gemäß DSGVO auf einen Blick

Die Datenschutz-Grundverordnung, kurz DSGVO (auf Englisch General Data Protection Regulation oder GDPR), stärkt die Rechte von Einzelpersonen im Umgang mit ihren persönlichen Daten. In einer Arztpraxis, wo hochsensible Gesundheitsdaten verarbeitet werden, ist die Beachtung dieser Rechte von zentraler Bedeutung. Ein korrektes Management der Patientenrechte gemäß DSGVO ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Baustein für ein vertrauensvolles Arzt-Patienten-Verhältnis. Dieser Leitfaden bietet praxisorientierte Hilfestellungen für Ärzte, Praxismanager und Datenschutzbeauftragte.

Hier ist ein Schnellcheck der zentralen Rechte Ihrer Patienten:

  • Recht auf Auskunft (Art. 15 DSGVO): Patienten dürfen wissen, welche Daten über sie gespeichert sind, zu welchem Zweck und wer diese Daten erhält.
  • Recht auf Berichtigung (Art. 16 DSGVO): Patienten können die Korrektur von sachlich falschen Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Das “Recht auf Vergessenwerden” ermöglicht die Löschung von Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): In bestimmten Fällen können Patienten verlangen, dass ihre Daten zwar gespeichert, aber nicht weiterverarbeitet werden.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Patienten haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Arzt zu übermitteln.
  • Widerspruchsrecht (Art. 21 DSGVO): Patienten können der Verarbeitung ihrer Daten aus besonderen Gründen widersprechen, was in der Praxis jedoch durch den Behandlungsvertrag stark eingeschränkt ist.

Das Recht auf Auskunft (Art. 15 DSGVO): Was Praxen prüfen müssen

Das Auskunftsrecht ist eines der am häufigsten geltend gemachten Patientenrechte gemäß DSGVO. Eine professionelle und fristgerechte Bearbeitung ist essenziell.

Anfragen identifizieren und authentifizieren

Stellen Sie sicher, dass die Anfrage tatsächlich von der betroffenen Person oder einem rechtmäßigen Vertreter (z. B. mit Vollmacht) stammt. Bei Zweifeln an der Identität dürfen und sollten Sie zusätzliche Informationen zur Bestätigung anfordern (z. B. Vorlage des Personalausweises bei Abholung). Dokumentieren Sie diesen Schritt sorgfältig.

Umfang der Auskunft: Was gehört in die Patientenakte?

Die Auskunft muss vollständig sein und alle über den Patienten gespeicherten personenbezogenen Daten umfassen. Dazu gehören:

  • Stammdaten (Name, Adresse, Geburtsdatum)
  • Anamnesen, Diagnosen, Befunde und Therapievorschläge
  • Laborwerte und Röntgenbilder
  • Arztbriefe und OP-Berichte
  • Abrechnungsdaten
  • Informationen über die Verarbeitungszwecke
  • Empfänger oder Kategorien von Empfängern der Daten (z. B. Kassenärztliche Vereinigung, Labor)
  • Die geplante Speicherdauer oder die Kriterien für deren Festlegung

Subjektive Notizen des Arztes, die nur der eigenen Gedächtnisstütze dienen, fallen in der Regel nicht unter das Auskunftsrecht. Die Abgrenzung kann jedoch schwierig sein.

Fristen und Formate

Die Auskunft muss unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags erteilt werden. Die erste Kopie der Daten ist für den Patienten kostenfrei. Die Bereitstellung kann in Papierform oder, falls vom Patienten gewünscht und technisch möglich, elektronisch erfolgen.

Zugangsrechte und Datenübertragbarkeit (Art. 20 DSGVO): Formate und Schnittstellen

Dieses Recht geht über die reine Auskunft hinaus und zielt darauf ab, den Wechsel zwischen Dienstleistern – in diesem Fall Ärzten – zu erleichtern. Es ist ein zentraler Aspekt der modernen Patientenrechte gemäß DSGVO.

Unterschied zwischen Auskunftsrecht und Datenübertragbarkeit

Während das Auskunftsrecht (Art. 15) eine Kopie der Daten gewährt, bezieht sich das Recht auf Datenübertragbarkeit (Art. 20) nur auf Daten, die der Patient selbst bereitgestellt hat und die automatisiert verarbeitet werden. Diagnosen oder ärztliche Beurteilungen fallen in der Regel nicht darunter. Ziel ist es, die Daten in einem strukturierten Format zu erhalten, um sie einem anderen Verantwortlichen (z. B. einem neuen Arzt) direkt zu übermitteln.

Technische Vorgaben: Maschinenlesbare Formate aus der Praxis-EDV

Praxen müssen ab 2025 in der Lage sein, die relevanten Daten in einem gängigen, maschinenlesbaren Format zu exportieren. Gängige Formate sind:

  • CSV (Comma-Separated Values): Einfaches Tabellenformat, das von fast jeder Software gelesen werden kann.
  • XML (Extensible Markup Language): Ein Standard für den strukturierten Datenaustausch im Gesundheitswesen.
  • JSON (JavaScript Object Notation): Ein modernes, leicht lesbares Format, das oft für Web-Schnittstellen verwendet wird.

Sprechen Sie mit dem Anbieter Ihrer Praxisverwaltungssoftware (PVS), um sicherzustellen, dass entsprechende Exportfunktionen vorhanden und Ihnen bekannt sind.

Hinweise zur elektronischen Patientenakte (ePA)

Die ePA vereinfacht die Datenübertragbarkeit erheblich, da Patienten ihre Daten selbst verwalten und anderen Leistungserbringern zugänglich machen können. Praxen sollten sich mit den technischen Schnittstellen zur ePA vertraut machen und ihre Prozesse darauf abstimmen.

Berichtigung und Einschränkung der Verarbeitung (Art. 16 und 18 DSGVO)

Nicht immer sind die gespeicherten Daten korrekt oder ihre Verarbeitung ist in jeder Situation gewünscht. Auch hier greifen die Patientenrechte gemäß DSGVO.

Recht auf Berichtigung: Wann sind Daten “unrichtig”?

Patienten können die Korrektur von sachlich falschen Daten verlangen. Dies betrifft typischerweise Stammdaten wie eine falsche Adresse oder ein falsches Geburtsdatum. Schwieriger wird es bei medizinischen Inhalten:

  • Faktische Fehler: Ein falsch notierter Blutdruckwert oder eine verwechselte Seitigkeit bei einer Diagnose muss korrigiert werden.
  • Subjektive Bewertungen: Ärztliche Einschätzungen oder Verdachtsdiagnosen, die sich später als falsch herausstellen, sind Teil der Behandlungshistorie und werden in der Regel nicht “berichtigt”, sondern durch neue Einträge ergänzt. Der Patient kann jedoch verlangen, dass seine Gegendarstellung zur Akte genommen wird.

Recht auf Einschränkung: Ein Entscheidungsbaum für Praxisfälle

Patienten können die Einschränkung der Verarbeitung verlangen, wenn:

  1. Die Richtigkeit der Daten bestritten wird: Die Verarbeitung wird eingeschränkt, bis die Richtigkeit geklärt ist.
  2. Die Verarbeitung unrechtmäßig ist: Der Patient lehnt eine Löschung ab und verlangt stattdessen die Einschränkung.
  3. Die Praxis die Daten nicht mehr benötigt, der Patient sie aber zur Geltendmachung von Rechtsansprüchen braucht.

In der Praxis bedeutet dies, die entsprechenden Datensätze zu sperren, sodass sie nicht mehr im normalen Praxisbetrieb verwendet, aber weiterhin aufbewahrt werden.

Recht auf Löschung (“Vergessenwerden”) versus Aufbewahrungspflichten (Art. 17 DSGVO)

Das Recht auf Löschung ist im medizinischen Bereich ein Sonderfall, da es fast immer mit gesetzlichen Aufbewahrungspflichten kollidiert.

Der grundsätzliche Löschanspruch

Grundsätzlich können Patienten die Löschung ihrer Daten verlangen, wenn der Zweck für die Speicherung entfallen ist (z. B. nach Abschluss der Behandlung).

Die große Ausnahme: Gesetzliche Aufbewahrungspflichten

Im Gesundheitswesen überwiegen fast immer die gesetzlichen, berufsrechtlichen oder vertraglichen Aufbewahrungspflichten. Diese dienen der Nachvollziehbarkeit der Behandlung, der Beweissicherung und der Abrechnung. Die wichtigste Vorschrift ist § 630f Abs. 3 BGB, der eine Aufbewahrungsfrist von 10 Jahren nach Abschluss der Behandlung vorschreibt. Weitere Fristen können sich aus anderen Gesetzen (z. B. Strahlenschutzverordnung, Transfusionsgesetz) ergeben.

Dokumentenart Gesetzliche Aufbewahrungsfrist
Allgemeine Behandlungsdokumentation 10 Jahre nach Behandlungsabschluss
Röntgenaufnahmen und -aufzeichnungen 10, 15 oder 30 Jahre je nach Art und Alter des Patienten
Unterlagen zu Blutprodukten 30 Jahre

Praxisbeispiele: Wann wird was gelöscht?

Ein Patient, der seit 12 Jahren nicht mehr in Ihrer Praxis war, kann die Löschung seiner allgemeinen Behandlungsakte verlangen. Daten, die längeren Fristen unterliegen (z. B. Röntgenbilder), müssen jedoch weiter aufbewahrt werden. Ein Löschantrag muss daher immer sorgfältig geprüft werden. Wird er abgelehnt, muss dies dem Patienten unter Nennung der Rechtsgrundlage (z. B. § 630f BGB) mitgeteilt werden.

Weitere relevante Patientenrechte in der Praxis

Widerspruchsrecht in der Behandlungspraxis (Art. 21 DSGVO)

Das Widerspruchsrecht ist im Rahmen des Behandlungsvertrags stark eingeschränkt. Die Verarbeitung von Gesundheitsdaten ist für die Behandlung unerlässlich. Ein Widerspruch würde die Behandlung unmöglich machen. Relevanz hat das Widerspruchsrecht jedoch, wenn Daten für andere Zwecke verwendet werden, z. B. für einen Praxis-Newsletter oder für Terminerinnerungen per SMS, sofern dies auf Grundlage eines berechtigten Interesses und nicht einer Einwilligung geschieht.

Automatisierte Entscheidungen und Profiling (Art. 22 DSGVO)

Dieses Recht schützt Personen vor Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche oder erhebliche Auswirkungen haben. Im typischen Praxisalltag spielt dies aktuell kaum eine Rolle. Zukünftige KI-gestützte Diagnosetools könnten dies jedoch ändern, weshalb Praxen die Entwicklungen für 2025 und darüber hinaus beobachten sollten.

Praktische Umsetzung im Praxisalltag: SOPs und Vorlagen für 2025

Ein strukturierter Prozess hilft, Anfragen zu Patientenrechten gemäß DSGVO effizient und fehlerfrei zu bearbeiten.

Standardarbeitsanweisungen (SOP) für Patientenanfragen

  1. Eingang: Jede Anfrage (schriftlich, per E-Mail, mündlich) wird im Posteingangsbuch oder einer speziellen Software mit Datum erfasst. Der zuständige Mitarbeiter wird benannt.
  2. Prüfung:
    • Identität des Antragstellers verifizieren.
    • Art des Rechts (Auskunft, Löschung etc.) klären.
    • Zulässigkeit prüfen (z. B. bei Löschanträgen: Bestehen Aufbewahrungspflichten?).
  3. Erledigung:
    • Daten zusammenstellen (Auskunft) oder Maßnahme durchführen (Löschung, Berichtigung).
    • Antwortschreiben formulieren.
    • Sicheren Übertragungsweg wählen (z. B. verschlüsselte E-Mail, persönliche Abholung).
  4. Dokumentation: Den gesamten Vorgang (Anfrage, Prüfschritte, Antwort, Datum der Erledigung) lückenlos in einer Verfahrensdokumentation festhalten.

Mustervorlagen für die Kommunikation

Eingangsbestätigung (bei absehbar längerer Bearbeitungszeit):
“Sehr geehrte/r [Patientenname], wir bestätigen den Eingang Ihres Antrags vom [Datum] zur Geltendmachung Ihrer Patientenrechte. Wir werden Ihr Anliegen prüfen und Ihnen fristgerecht innerhalb eines Monats antworten. Mit freundlichen Grüßen, [Praxisname]”

Antwort auf ein Auskunftsersuchen (Auszug):
“Sehr geehrte/r [Patientenname], gemäß Art. 15 DSGVO erteilen wir Ihnen Auskunft über die zu Ihrer Person in unserer Praxis gespeicherten Daten. Eine Kopie der Daten liegt diesem Schreiben bei. [Es folgen die weiteren Pflichtinformationen gemäß Art. 15 Abs. 1 DSGVO].”

Ablehnung eines Löschantrags mit Begründung:
“Sehr geehrte/r [Patientenname], wir haben Ihren Antrag auf Löschung Ihrer Patientendaten erhalten. Wir können diesem Antrag derzeit nicht vollständig nachkommen, da wir gemäß § 630f Bürgerliches Gesetzbuch (BGB) verpflichtet sind, die Behandlungsdokumentation für einen Zeitraum von 10 Jahren nach Abschluss der Behandlung aufzubewahren. Diese gesetzliche Pflicht geht Ihrem Löschanspruch vor. Ihre Daten werden nach Ablauf der gesetzlichen Frist gelöscht. Mit freundlichen Grüßen, [Praxisname]”

Technische und organisatorische Maßnahmen (TOMs)

Die Umsetzung der Patientenrechte gemäß DSGVO erfordert auch technische und organisatorische Vorkehrungen.

Technische Umsetzung: Sichere Datenübermittlung

  • Exportformate: Stellen Sie sicher, dass Ihre Praxis-EDV gängige, strukturierte Formate wie CSV oder XML exportieren kann.
  • Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden, wenn sie für statistische Zwecke oder Forschung verwendet werden.
  • Sicherer Übertragungsweg: Versenden Sie elektronische Patientendaten niemals unverschlüsselt. Nutzen Sie sichere E-Mail-Dienste (z. B. KV-Connect) oder passwortgeschützte Archive.

Fristen, Rollen und Eskalationswege

Definieren Sie klar, wer in der Praxis für die Bearbeitung von Anfragen zuständig ist (z. B. der Praxismanager oder ein Datenschutzkoordinator). Legen Sie einen internen Eskalationsweg fest, falls komplexe Anfragen oder drohende Fristüberschreitungen auftreten (z. B. Einbeziehung des externen Datenschutzbeauftragten).

Dokumentation und Nachweispflichten

Führen Sie ein Verzeichnis aller eingegangenen Anfragen. Dies dient als Nachweis gegenüber den Aufsichtsbehörden, dass Sie Ihren Pflichten nachkommen. Die Dokumentation sollte das Datum der Anfrage, den Namen des Patienten, die Art des Rechts, das Datum der Antwort und eine kurze Beschreibung der getroffenen Maßnahme enthalten.

Vorbereitung auf den Ernstfall: Auditcheckliste und Fallstudien

Auditcheckliste: Interne Kontrollen für Patientenrechte

  • [ ] Gibt es einen definierten Prozess (SOP) für die Bearbeitung von Anfragen?
  • [ ] Sind die Zuständigkeiten und Rollen im Team klar geregelt?
  • [ ] Werden Anfragen lückenlos dokumentiert?
  • [ ] Ist die Identitätsprüfung der Antragsteller sichergestellt?
  • [ ] Werden die gesetzlichen Fristen (insb. 1 Monat) überwacht?
  • [ ] Kann Ihre Praxis-EDV Daten in einem maschinenlesbaren Format exportieren?
  • [ ] Sind die Mitarbeiter im Umgang mit den verschiedenen Patientenrechten geschult?

Praktische Fallstudien

  • Fall 1: Ein Patient verlangt die “sofortige” Löschung seiner Akte nach einem Arztwechsel. Lösung: Der Patient wird freundlich darauf hingewiesen, dass die gesetzliche Aufbewahrungsfrist von 10 Jahren gilt und eine Löschung daher nicht möglich ist. Dies wird ihm schriftlich mitgeteilt.
  • Fall 2: Eine Anwaltskanzlei fordert im Namen eines Patienten eine vollständige Kopie der Patientenakte an. Lösung: Die Praxis fordert zunächst eine gültige, vom Patienten unterzeichnete Schweigepflichtentbindungserklärung und eine Vollmacht an. Erst nach positiver Prüfung wird die Aktenkopie bereitgestellt.

Anhang und weiterführende Informationen

Glossar: Wichtige Begriffe für Praxisteams

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, Geburtsdatum, Gesundheitsdaten).
  • Verantwortlicher: Die Arztpraxis, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Auftragsverarbeiter: Externe Dienstleister, die im Auftrag der Praxis Daten verarbeiten (z. B. externes Labor, IT-Dienstleister).
  • Aufsichtsbehörde: Die Landesdatenschutzbehörde, die für die Überwachung der Einhaltung der DSGVO zuständig ist.

Rechtsquellen und Links

Für detaillierte Informationen und offizielle Handreichungen können Sie die Webseiten der Datenschutzbehörden konsultieren:

Für spezifische Fragen zum Datenschutz im Gesundheitswesen empfiehlt sich zudem die Kontaktaufnahme mit Ihrer zuständigen Kassenärztlichen Vereinigung oder Ärztekammer.

One-Pager für Patienten (Mustertext für einen Praxisaushang)

Ihre Rechte als Patient im Datenschutz

Der Schutz Ihrer persönlichen Gesundheitsdaten ist uns sehr wichtig. Gemäß der EU-Datenschutz-Grundverordnung (DSGVO) haben Sie umfassende Rechte:

  • Auskunft: Sie können jederzeit erfahren, welche Daten wir über Sie speichern.
  • Berichtigung: Wir korrigieren falsche Angaben in Ihrer Akte.
  • Löschung: Nach Ablauf der gesetzlichen Aufbewahrungsfristen (in der Regel 10 Jahre) werden Ihre Daten gelöscht.
  • Datenübertragung: Sie können Ihre Daten in einem elektronischen Format für einen Arztwechsel erhalten.

Für Anfragen wenden Sie sich bitte an unser Praxisteam. Wir helfen Ihnen gerne weiter.