Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Mittwoch, 7. Oktober 2009

Datenschutzrechte der Patienten

von Thilo Weichert
I. Die Wichtigkeit informationeller Patientenrechte
II. Rechtsgrundlagen
III. Allgemeines zu Patientenrechten
IV. Recht auf Auskunft
V. Recht auf Einsicht in Patientenakten
VI. Recht auf Benachrichtigung
VII. Anspruch auf Datenkorrektur (Berichtigung, Gegendarstellung)
VIII. Anspruch auf Datensperrung
IX. Anspruch auf Datenlöschung bzw. Aktenvernichtung
X. Recht auf Widerspruch/Einwand
XI. Schadensersatzanspruch
XII. Recht zur Inanspruchnahme fremder Hilfe
XIII. Recht auf Strafanzeige

 

I. Die Wichtigkeit informationeller Patientenrechte

Das Patientengeheimnis ist eine Grundbedingung für den Heilerfolg: Wer befürchten muss, dass seine im Rahmen einer medizinischen Untersuchung oder Behandlung dem Arzt bekannt gewordenen personenbezogenen Daten an Dritte weitergegeben werden, wird sich überlegen, ob er diesem Arzt alle für die Behandlung nötigen Informationen offen legt. Dies gilt insbesondere in sensiblen Bereichen, etwa wenn es um Krankheiten im Zusammenhang mit dem Sexualleben, um Diagnosen aus dem Psychiatriebereich oder um Ergebnisse genetischer Analysen geht.

Viele Stellen sind dazu aufgerufen, sich um die Einhaltung des medizinischen Datenschutzes zu kümmern. Dennoch besteht oft ein Vollzugsdefizit, da Patienten sich wegen der von ihnen so empfundenen Abhängigkeit vom Arzt bei Verletzungen der Vertraulichkeit weder den Arzt anzusprechen geschweige denn eine dritte Stelle (z.B. Datenschutzbeauftragte, Ombudsmann, Ärztekammer, Staatsanwaltschaft) anzurufen getrauen. Dies ist Grund genug, sich mit den (informationellen) Patientenrechten zu beschäftigen. Damit befasste sich erstmals global und umfassend der Weltärztebund im Oktober 1981, als er die "Deklaration von Lissabon zu den Rechten des Patienten" verabschiedete, in der u.a. das Recht auf Selbstbestimmung, das Recht auf Information und das Recht auf Vertraulichkeit festgeschrieben wurden. Dies war auch das Anliegen der 72. Gesundheitsministerkonferenz vom 09./10.06.1999, die einstimmig das Dokument "Patientenrechte in Deutschland heute" der Öffentlichkeit vorlegte. Dieser Initiative folgte die "Charta der Patientenrechte" des Bremer Diskussionsforums , an dem sich Vertreter aus allen medizinrelevanten gesellschaftlichen Gruppen beteiligt haben. Am 16.10.2002 wurde der Bundesjustizministerin und der Bundesgesundheitsministerin die Charta "Patientenrechte in Deutschland" übergeben, an deren Zustandekommen Ärzteverbände, Krankenkassen, Landesbehörden, Wohlfahrtsverbände und Patienten-, Selbsthilfe- und Verbraucherorganisationen beteiligt waren.

Patient und Arzt stehen sich i.d.R. nicht als Gegner gegenüber, sondern sind ein Team, das gemeinsam einen optimalen Heilungserfolg anstrebt. Vertraulichkeit und die Gewährleistung informationeller Patientenrechte liegen nicht nur im Patienteninteresse, sondern auch im Interesse des engagierten Arztes. Wer als Arzt den Patienten als Partner beim gemeinsamen Heilungsbestreben behandelt, der wird diesen Partner nicht von den notwendigen Informationen ausschließen; er wird außerdem darauf achten, dass niemand ohne Not in die Vertrauensbeziehung eindringt, indem ihm unnötig und ohne Wissen des Patienten Daten aus der Behandlung offenbart werden.

II. Rechtsgrundlagen

Das Datenschutzrecht, insbesondere im Medizinbereich, ist sehr komplex. Verschiedene Gesetze und eine Vielzahl teilweise konkurrierender Regelungen finden Anwendung. Auch wenn die Ergebnisse zumeist wenig von einander abweichen und die Prinzipien übereinstimmen, die Gesetzeslandschaft ist äußerst unübersichtlich:

Für ambulante Arztpraxen und private Krankenhäuser gilt das Bundesdatenschutzgesetz (BDSG), und zwar v.a. der erste (allgemeine Regelungen) und der dritte (Datenverarbeitung privater Stellen)Abschnitt des BDSG. Für die wenigen Einrichtungen des Bundes (z.B. Bundeswehrkrankenhäuser) gilt auch das BDSG, aber dort vor allem statt des dritten der zweite Abschnitt (Datenverarbeitung öffentlicher Stellen). Für kommunale Krankenhäuser und solche eines Landes (z.B. Universitätskliniken) ist dagegen weitgehend (teilweise nur subsidiär) das jeweiligeLandesdatenschutzgesetz (LDSG) anwendbar. Die Regelungen der LDSG entsprechen weitgehend, aber nicht vollständig denen des BDSG. Hinsichtlich der materiellen Regelungen ist im Krankenhausbereich regelmäßig auch bei öffentlichen Stellen der dritte Abschnitt des BDSG (Datenverarbeitung privater Stellen) anzuwenden, wenn damit eine Teilnahme "am Wettbewerb" zu privaten Konkurrenten (Kliniken) verbunden ist (vgl. z.B. § 3 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein - LDSG SH).

Neben dem allgemeinen Datenschutzrecht gibt es sowohl auf Bundes- wie auf Landesebenespezifische gesetzliche Regelungen, die für die Wahrnehmung von Patientenrechten von Bedeutung sein können. Als Beispiele können hier genannt werden:

Bundesebene:

  • Infektionsschutzgesetz
  • Transfusionsgesetz, Transplantationsgesetz,
  • Röngtenverordnung (RöntgVO),
  • für gesetzlich Krankenversicherte das Sozialgesetzbuch V (SGB V).

Landesebene:

  • Gesundheitsdienstgesetze,
  • evtl. gar Gesundheitsdatenschutzgesetz (NRW),
  • Psychisch-Kranken-Gesetze und Maßregelvollzugsgesetze,
  • Krankenhausgesetze (KHG).

Daneben gilt generell § 203 Strafgesetzbuch (StGB), der die berufliche Schweigepflicht von Ärzten sowie sonstigen Angehörigen von Heilberufen festlegt, also das "Patientengeheimnis". Dieses Patientengeheimnis ist weiterhin auch in den ärztlichen Berufsordnungen der (Landes-) Ärztekammern geregelt. Dort finden sich weitere Aussagen zum Arzt-Patientenverhältnis. Die Berufsordnungen auf Landesebene orientieren sich weitgehend an einer Musterberufsordnung der Bundesärztekammer (MBO-Ä). Schließlich besteht zwischen Arzt und Patient oft ein einfacher privatrechtlicher Behandlungsvertrag, aus dem die Patienten Rechte geltend machen können.

III. Allgemeines zu Patientenrechten

Im Folgenden sollen die Datenschutzrechte der Patienten dargestellt werden (eine Kurzdarstellung der "Patientenrechte" findet sich hier). Dabei werden die wichtigsten Differenzierungen möglicher Fallgestaltungen dargestellt. In Konflikt- und Zweifelsfällen kann es sinnvoll sein, Unterstützung zu suchen, die es bei unterschiedlichsten Stellen gibt (s.u. XII.). Sollte dies nicht genügen und ist z.B. ein Gerichtsverfahren nicht vermeidbar, so mag im Einzelfall die Inanspruchnahme eines anwaltlichen Beistandes sinnvoll sein.

In § 6 Abs. 1 BDSG ist geregelt, dass die Rechte der betroffenen Patienten auf Auskunft und auf Berichtigung, Löschung und Sperrung unabdingbar sind. Das heißt: diese Patientenrechte können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

Folgende Rechte bietet das Datenschutzrecht dem Patienten:

  • Recht auf Auskunft (IV.)
  • Recht auf Akteneinsicht (V.)
  • Recht auf Benachrichtigung (VI.)
  • Anspruch auf Datenkorrektur (Berichtigung, Gegendarstellung) (VII.)
  • Anspruch auf Datensperrung (VIII.)
  • Anspruch auf Datenlöschung bzw. Aktenvernichtung (IX.)
  • Recht auf Widerspruch/Einwand (X.)
  • Schadensersatzanspruch (XI.)
  • Recht zur Inanspruchnahme fremder Hilfe (betrieblicher/behördlicher Datenschutzbeauftragter, staatliche Datenschutzkontrollinstanz, Kammer, Ombudsmann, Verbraucherzentrale) (XII.)
  • Recht auf Strafanzeige (XIII.).

Die Ansprüche richten sich gegen die jeweils verantwortliche Stelle, d.h. die die Patientendaten verarbeitende Einrichtung (§ 3 Abs. 7 BDSG). Dies ist der ambulant behandelnde Arzt (auch bei Praxisgemeinschaft); im Fall einer Gemeinschaftspraxis richten sich die Ansprüche gegen diese Gemeinschaft, die in einer besonderen Rechtsform betrieben wird, z.B. als BGB-Gesellschaft oder GmbH. Bei Kliniken ist Adressat der Patientenrechte die Klinik; falls die Klinik keine eigene Rechtspersönlichkeit hat, der rechtliche Träger der Klinik. Eine Besonderheit besteht bei einer Chefarzt- oder Belegarztbehandlung in einer Klinik: Bezüglich der Behandlung besteht hier ein Vertrag nicht mit der Klinik, sondern mit dem jeweiligen behandelnden Arzt. Gegen diesen richten sich daher auch geltend zu machende Datenschutzansprüche. Die Patientenunterbringung ("Hotelbetrieb") erfolgt dagegen im Verhältnis zur Klinik, die insofern Vertragspartner ist. Richtet sich ein Patientenanspruch gegen eine öffentliche Stelle, z.B. ein Gesundheitsamt, so ist Adressat von Patientenrechten die die Einrichtung tragende Körperschaft, also z.B. der jeweilige Landkreis oder die Stadtverwaltung.

Da die Datenschutzrechte der Patienten im direkten Kontext zur ärztlichen Behandlung stehen, ist innerhalb der verantwortlichen Stelle i.d.R. der ärztliche Leiter der Einrichtung die richtige Ansprechsperson für die Entscheidung hierüber. Dieser kann sich dabei der Unterstützung weiterer Personen aus dem Behandlungsteam, aber auch aus der Verwaltung (Justiziar, interner Datenschutzbeauftragter) bedienen, die insofern als Hilfsperson des Arztes tätig werden (§ 203 Abs. 3 StGB).

Die Datenschutzrechte sollten vom Patienten grds. unter Benennung einer angemessenen Fristgeltend gemacht werden. Lässt der Arzt bzw. die verantwortliche Stelle bei Begründetheit des Anspruchs diese Frist fruchtlos verstreichen, befindet er bzw. sie sich im Verzug mit der Folge, dass die Kosten eines vom Patienten mit der Durchsetzung seines Anspruchs beauftragten Rechtsanwaltes und evtl. die Gerichtskosten zu tragen sind. Außerdem kann durch eine Verzögerung der Rechtsgewährung beim Patienten ein Schaden entstehen, der diesen zur Geltendmachung von Schadensersatzansprüchen berechtigt.

Hier dargestellt werden die außer- bzw. vorprozessualen Rechte des Patienten. Zweifellos sind die informationellen Patientenrechte auch bei gerichtlichen Auseinandersetzungen mit dem Arzt bzw. der ärztlichen Einrichtung von zentraler Bedeutung. So ist die Vorlage von Krankenunterlagen zur Prüfung und Durchsetzung von zivilrechtlichen Forderungen oft unabdingbare Voraussetzung, weshalb ein solcher Anspruch hierauf aus § 422 Zivilprozessordnung (ZPO) abgeleitet wird (vgl. § 427 ZPO). Doch bestehen die datenschutzrechtlichen Ansprüche unabhängig von der Möglichkeit bzw. der Absicht, gegenüber dem Arzt gerichtlich vorzugehen.

Bei der Behandlung von ausländischen Patienten, die keine oder nur begrenzte deutsche Sprachkenntnisse haben, bestehen für den Arzt bestimmte Verhaltensanforderungen. Grundsätzlich muss der Arzt sicherstellen, dass die Patientenrechte wahrgenommen werden können und die Aufklärung von dem Patienten verstanden wird. Notfalls ist ein sprachkundiger Kollege, ein Verwandter oder eine sonstige Person hinzuzuziehen.

Datenschutzrechte sind höchstpersönliche Rechte, doch kann deren Wahrnehmung Dritten übertragen werden. In Betracht für eine Bevollmächtigung kommen in erster Linie Rechtsanwälte, aber auch Verbraucherschutz- oder Patientenschutzorganisationen. Die auf den Vertreter ausgestellte Vollmacht (§§ 164 Bürgerliches Gesetzbuch - BGB) muss grds. schriftlich erteilt und inhaltlich eindeutig sein (vgl. § 4a Abs. 1 S. 3 BDSG). Sie muss im Zweifel dem Arzt bzw. dem Krankenhaus vorgelegt werden. Der Anspruch des Bevollmächtigten kann wegen des höchstpersönlichen Charakters der Datenschutzrechte nicht weiter gehen als der Anspruch des Patienten (zur Wahrnehmung des Akteneinsichtsrechts durch Dritte siehe aber unten unter V. 1. ganz am Ende).

Bei minderjährigen oder eingeschränkt rechtsfähigen Patienten kommt es für die Wahrnehmung des Rechts auf informationelle Selbstbestimmung nicht auf die Geschäftsfähigkeit nach dem Bürgerlichen Gesetzbuch (§§ 104 ff. BGB) an, sondern auf die Einsichtsfähigkeit, da das informationelle wie das medizinische Selbstbestimmungsrecht unabhängig von einer (gesetzlichen) Vertretung bestehen. Eine feste Altersgrenze für die Fähigkeit zur Wahrnehmung dieser Selbstbestimmungsrechte gibt es nicht. Jedoch ist bei Minderjährigen über 14 Jahren eine eigenständige Bestimmungsmöglichkeit in zunehmendem Maße zu respektieren. Spätestens ab dem 18. Lebensjahr ist generell von der eigenen Bestimmungsmöglichkeit auszugehen. Soweit noch keine Selbstbestimmungsmöglichkeit besteht, tritt an die Stelle des Patienten die gesetzliche Vertretung, i.d.R. sind dies die Eltern (vgl. §§ 107 ff., 1626 Abs. 2 BGB), wobei ein Zusammenwirken zwischen dem Vertreter und dem Vertretenen anzustreben ist.

Die Datenschutzrechte des Patienten sind Rechte, die diesem als lebende natürliche Person zustehen. Dessen ungeachtet wirkt das allgemeine Persönlichkeitsrecht über den Tod des Betroffenen hinaus. Dies gilt sowohl für persönlichkeitsrechtliche Abwehrrechte (Datenkorrektur, Löschung) wie auch für Leistungsansprüche (Auskunft, Akteneinsicht) und diesen evtl. folgend für vermögensrechtliche Ansprüche. Zumindest im letztgenannten Fall (bei einer vermögensrechtlichen Komponente) ist unbestritten, dass die Patientenansprüche auf die Erben bzw. auf die nächsten Angehörigen übergehen. Die Geltendmachung der datenschutzrechtlichen Ansprüche darf aber nicht dem ausdrücklich geäußerten oder mutmaßlichen Willen des Verstorbenen widersprechen. Im Zweifel ist davon auszugehen, dass ein Geheimhaltungsinteresse des Patienten sich auf die Lebzeiten beschränkt.

Fühlt sich ein Patient in seinen Datenschtzrechten verletzt, so kann er sich u. a. an die zuständige Datenschutzaufsichtsbehörde wenden, die unentgeltlich tätig wird und die von sich aus umfassend Akteneinsicht nehmen kann. In Schleswig-Holstein ist das Unabhängige Landeszentrum für Datenschutz zuständig (weitere Infos hierzu s. u. XII).

IV. Recht auf Auskunft

Jeder Mensch und damit auch jeder Patient hat einen Anspruch auf Auskunft über die zu seiner Person gespeicherten Daten (auch soweit er sich auf seine Herkunft bezieht), über die Empfänger der Daten sowie den Zweck der Speicherung (§§ 19 Abs. 1, 34 Abs. 1 BDSG, § 27 LDSG SH). Der Auskunftsanspruch erstreckt sich auf alle beim Arzt bzw. bei der Klinik zur eigenen Person gespeicherten Daten, unabhängig, ob diese auf einem elektronischen (Festplatte, Diskette, Datenband, CR-ROM) oder einem konventionellen (Patientenakte, Liste, Tagebuch, Kartei) Datenträger gespeichert sind. Davon erfasst sind auch solche Daten, die in Sachakten oder in unter einem anderen Namen geführten Patientenakten enthalten sind. Im privaten Bereich kann im Einzelfall streitig sein, ob konventionell geführte Patientendaten dateimäßig verarbeitet werden, was Voraussetzung für die Anwendung des BDSG ist (§§ 3 Abs. 2, 27 BDSG). In jedem Fall werden über den Namen oder eine Nummer erschlossene Patientenakten vom BDSG erfasst, da diese gleichartig aufgebaut sind und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können.

Wird im Rahmen der Behandlung ein elektronisches Gerät eingesetzt, das sowohl Mess- (= Untersuchung) wie auch Wirkfunktionen (= Behandlung) hat, so hat der Patient nach § 6a Abs. 3 BDSG (vgl. § 27 Abs. 1 Nr. 6 LDSG SH, Art. 12 a. EU-DSRL) Anspruch auf "Auskunft über den logischen Aufbau der automatisierten Verarbeitung" der ihn betreffenden Daten, da es sich insoweit um ein "automatisiertes Verfahren" handelt.

Insbesondere bei elektronischer Datenspeicherung kann das Auskunftsrecht dadurch leerlaufen, dass Daten nicht mehr auf Anhieb lokalisierbar sind. Daher gehört es zu den Pflichten einer verantwortlichen Stelle, durch eine entsprechende Datenorganisation die personenbezogenen Daten eines Patienten ohne größeren Aufwand abrufen zu können.

Es besteht auch ein Anspruch gegenüber einem Krankenhaus oder einem Ärztekollektiv auf Angabe der behandelnden Ärzte, deren Privatanschriften und evtl. deren Dienstzeiten (BGH NJW 1983, 2075; BGHZ 85, 327). Dieser Grundsatz gilt auch hinsichtlich des Hilfspersonals, etwa einer Krankenschwester, derer sich der behandelnde Arzt bedient. Ein Auskunftsanspruch über den Namen eines Mitpatienten besteht nicht, da dieser für sich das Patientengeheimnis in Anspruch nehmen kann. I.d.R. ist es aber einem Krankenhaus zumutbar, zum Zweck einer Zeugenbenennung in einem Zivilrechtsstreit den anderen Patienten anzuschreiben und um Zustimmung zur Weitergabe von Namen und Anschrift zu bitten.

Der Auskunftsanspruch als Wahrnehmung des Selbstbestimmungsrechtes des Patienten besteht,ohne dassein besonderes Interesse erklärt oder nachgewiesen werden müsste. Unabhängig von der datenschutzrechtlichen Ableitung hat die Rechtsprechung das Auskunftsrecht über den Grundsatz von Treu und Glauben (§§ 157, 242 BGB) begründet, "wenn sich auf der Grundlage besonderer rechtlicher Beziehungen vertraglicher oder außervertraglicher Art die Situation ergibt, dass der Auskunftsbegehrende in entschuldbarer Weise über das Bestehen oder den Umfang seines Rechts im Ungewissen ist, während der Verpflichtete unschwer in der Lage ist, die Auskunft zu erteilen" (OLG Düsseldorf DuD 1991, 542; BGH NJW 1986, 424). Diese Konstellation ist geradezu typisch für das Verhältnis zwischen dem Arzt und dem Patienten.

Insbesondere im Rahmen der Gentechnikdebatte wurde auch ein "negatorisches Recht" in Bezug auf personenbezogene Daten entwickelt. Das Recht auf Nichtwissen als Recht, keine Informationen aufgedrängt zu erhalten und damit einhergehend die Ablehnung einer Pflicht zum Wissen sind die zwangsläufige Konsequenz der Patientenselbstbestimmung. Dieses Recht auf Nichtwissen gilt nicht nur im genetischen, sondern generell im medizinischen Bereich. Es basiert auf der Überlegung, dass das Wissen über gesundheitliche Verhältnisse das eigene Verhalten, Denken und Fühlen massiv beeinflussen kann und der Mensch die Wahlfreiheit haben muss, von einer solchen Beeinflussung frei leben zu können. Praktisch relevant ist dieses Recht insbesondere bei der Feststellung von Dispositionen zu nicht heilbaren Krankheiten.

Die verantwortliche Stelle bestimmt nach pflichtgemäßem Ermessen die Form der Auskunftserteilung. Dies ändert nichts an dem Umstand, dass die Auskunft eine Bringschuld der verantwortlichen Stelle darstellt. Die Auskunft wird i.d.R. schriftlich, bei entsprechender Bitte mündlich oder fernmündlich erteilt. Möglich sind auch sonstige Kommunikationsformen. Dabei werden die vorhandenen Daten zusammenfassend dargestellt in Bezug auf die Auskunftsfragestellung. Dem Auskunftsanspruch kann auch in der Form genügt werden, dass Einblick in die Patientenakte oder in den Datensatz gewährt wird oder dass eine Datenträgerkopie für den Betroffenen angefertigt wird (dazu unten V.). Voraussetzung für eine wirksame Auskunft ist, dass der Dateninhalt auf eine für den Patienten verständliche Weise dargestellt wird.

Eine Auskunft kann verweigert werden, soweit diese die ordnungsgemäße Aufgabenerfüllung der verantwortlichen Stelle gefährden würde oder die Daten, insbesondere wegen überwiegender berechtigter Interessen Dritter, geheim gehalten werden müssen (§§ 19 Abs. 4, 34 Abs. 4 BDSG;§ 27 Abs. 3 LDSG SH). Wenn sich in Patientenunterlagen Berichte oder Auskünfte von Dritten oder über Dritte befinden, gilt diesen Dritten gegenüber auch die ärztliche Schweigepflicht. Im Fall eines Auskunftsersuchens des Patienten sind diese Drittbetroffenen um eine schriftliche Einwilligung in die Einsichtnahme zu bitten, soweit die Angaben ein Geheimnis i.S.d. § 203 StGB darstellen. Erfolgt keine Entbindung von der Schweigepflicht, so darf insofern keine Auskunft gegeben werden.

Bestehen Gründe zur Auskunftsverweigerung zu einem bestimmten Zeitpunkt der Antragstellung, so können diese zu einem späteren Zeitpunkt weggefallen sein. Daher ist bei einem neuen Antrag bzw. bei einem zeitlich nicht bestimmten Antrag neu zu prüfen, ob die Gründe der Auskunftsverweigerung fortbestehen.

Die Auskunftsverweigerung muss grds. begründet werden, wobei sich aus der Begründung nicht die Inhalte der verweigerten Informationen ergeben dürfen (vgl. §§ 19 Abs. 5, 6 BDSG; § 27 Abs. 4 LDSG SH). Die Gründe müssen nach Art und Richtung gekennzeichnet werden, ohne dass dabei ins Detail gegangen werden müsste. Im Fall einer Auskunftsverweigerung kann der Patient sich an die zuständige Datenschutzaufsichtsbehörde wenden und deren Zulässigkeit prüfen lassen (s.u. XII.).

Die Auskunft ist in jedem Fall unentgeltlich zu erteilen (§§ 19 Abs. 7, 34 Abs. 5 S. 1 BDSG).

Eine besondere Form des Auskunftserteilung ist in § 28 Abs. 3 RöntgVO geregelt. Danach ist der untersuchten oder behandelten Person auf deren Wunsch eine Abschrift oder Ablichtung der Aufzeichnungen über die Anwendung von Röntgenstrahlen auszuhändigen. Wird ein Röntgennachweisheft vorgelegt, so sind die darin vorgesehenen Eintragungen vorzunehmen. Der Arzt ist verpflichtet, einen Röntgenpass bereit zu halten und dem Patienten diesen ausdrücklich anzubieten.

V. Recht auf Einsicht in Patientenakten

1. Allgemeines

Das Recht auf Einsicht in die Patientendokumentation als eine besondere Form der Auskunftserteilung beruht nicht nur auf Datenschutzrecht bzw. dem "Recht auf Selbstbestimmung und der personalen Würde des Patienten" (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG; BVerfG NJW 1999, 1777 = ArztR 1999, 52 = MedR 1999, 180), sondern besteht auch als Nebenrecht aus dem Behandlungsvertrag und zivilrechtlich zur Durchsetzung von Rechtsansprüchen (§ 810 BGB). Eine weitere Grundlage dieses Recht findet sich in den ärztlichen Berufsordnungen (§ 10 Abs. 2 MBO-Ä). Im Rahmen eines Arztprozesses kommt noch ein prozessuales Einsichtsrecht des Patienten hinzu (§ 422 ZPO).

Als Nebenanspruch aus dem Behandlungsvertrag hat ein Patienten auch das vorprozessuale Recht auf Einblick in solche medizinischen Dokumentationen, die von Relevanz für die individuelle Behandlung sind, ohne dass diese zur Person des Patienten geführt sein müssten. Dies gilt z.B. bzgl. einer Bluttransfusion für die (anonymisierte) Blutspendedokumentation, die Herstellerdokumentation sowie die Ausgabedokumentation (LG Düsseldorf RDV 1999, 173).

Die Akteneinsicht ist ein Holrecht für den Patienten. Das Recht auf Einsichtnahme ist eine besondere Form der Auskunftserteilung, die bei einem umfangreichen Informationsersuchen aus einer Akte der einfachen Auskunftserteilung vorzuziehen ist. Die Akteneinsicht bezieht sich zunächst darauf, dass der Datenträger, auf dem die Patienteninformationen gespeichert sind, v.a. visuell zugänglich gemacht wird. Dadurch kann der Patient nicht nur seine Patientendaten zur Kenntnis nehmen, sondern zugleich auch den Datenträger und dadurch dessen Beweis- bzw. Dokumentationskraft prüfen.

Die Art und Weise der Einsichtsgewährung (Ort, Zeitpunkt, Umstände) liegt ebenso wie die Auskunftserteilung im Ermessen des Arztes. Grds. erfolgt die Einsicht in den Behandlungsräumen. Angemessen ist, wenn ein Patient eine Einsicht innerhalb von einem Monat verlangt.

Die Akteneinsicht verfehlt ihre Informationsfunktion, wenn die Patientendaten auf eine Art und Weise festgehalten sind, die der Patient nicht versteht. Dies ist schon bei handschriftlichen Aufzeichnungen in Arztbriefen oder auf Karteikarten oft der Fall, z.B. wenn eine nicht verständliche Terminologie oder eine nicht bzw. nur für ein Eingeweihte lesbare Schrift verwendet wird. Dies gilt nicht nur bei konventioneller, sondern auch bei elektronischer Speicherung, wenn Abkürzungen oder Codes genutzt werden, deren Entschlüsselung dem Patienten nicht möglich ist. Dem Arzt obliegt im Rahmen von Treu und Glauben für den Patienten Lesbarkeit und Nachvollziehbarkeitherzustellen. Die inhaltliche Vermittlung kann auch in einem Arztgespräch hergestellt werden.

Das Einsichtsrecht kann auch in der Form wahrgenommen werden, dass ein Arzt oder eine Person des Vertrauens des Patienten mit der Einsicht beauftragt wird. So kann der Patient die Herausgabe von Krankenunterlagen an den nachbehandelnden Arzt verlangen. Anstelle der persönlichen Einsichtnahme kann auch ein Rechtsanwalt mit der Akteneinsicht beauftragt werden. Ihm stehen dabei im Rahmen des erteilten Mandats die gleichen Rechte zu wie dem Betroffenen selbst. Einschränkungen der Akteneinsicht (dazu s.u. 2.), die in der Person des Patienten liegen, müssen bei einem Rechtsanwalt oder einer sonstigen dritten Person des Vertrauens nicht automatisch vorliegen. Dies ist z.B. der Fall, wenn einem Patienten die Einsicht aus Gründen des eigenen Gesundheitsschutzes vorenthalten wird. Gerade in diesen Fällen ist u.U. zur Wahrung der Patienteninteressen eine Einsicht durch eine Vertrauensperson geboten.

2. Verweigerung der Akteneinsicht

Das Recht auf Akteneinsicht unterliegt grds. den gleichen inhaltlichen Einschränkungen wie das Auskunftsrecht, geht aber insofern weiter, als hier der Patient statt passiv informiert zu werden, sich selbst durch Einblick in die Daten aktiv informieren kann.

Einschränkungen des Einsichtsrechtes können sich aus speziellen Gesetzen ergeben. So erlaubt§ 9 Abs. 3 Gesundheitsdatenschutzgesetz Nordrhein-Westfalen das Zurückhalten subjektiver Daten nach ärztlichem Ermessen. Art. 27 Abs. 3 S. 4 Bayerisches Krankenhausgesetz (KHG) und § 27 Abs. 8 S. 3 Thüringer KHG enthalten die Möglichkeit einer Einschränkung hinsichtlich ärztlicher Beurteilungen oder Wertungen. § 36 Abs. 5 KHG Rheinland-Pfalz, § 29 Abs. 7 S. 4 Saarländisches KHG (SKHG) und § 33 Abs. 4 S. 2 Sächsisches KHG sehen vor, dass die Einsichtsgewährung in Krankenakten nur durch den behandelnden Arzt erfüllt werden dürfen. § 29 Abs. 7 S. 5 SKHG negiert ein Recht auf Auskunft und Akteneinsicht bei berechtigten Geheimhaltungsinteressen des Arztes oder Dritter. Soweit keine solche Regelungen bestehen, gelten die unten stehenden allgemeinen Erwägungen.

Bei der Entscheidung über die Verweigerung der Akteneinsicht handelt der Arzt in gebundenem Ermessen, d.h. er darf die Einsicht nicht frei, sondern nur unter Abwägung bestimmter Interessen des Patienten, seiner Selbst oder Dritter ablehnen. Ist eine Einsichtnahme nur teilweise möglich bzw. zu gewähren, so muss der Arzt durch Abdecken/Schwärzen der vorzuenthaltenden Teile die Einsicht gewähren. Dem Arzt ist es grds. auch erlaubt, eine duale Aktenführung zu praktizieren, d.h. einsichtsfähige und einsichtsverweigerungsfähige Aktenteile getrennt zu führen. Da aber die Frage der Einsichtsverweigerung aus den gesamten Umständen des Einzelfalls zu beantworten ist, kann eine Einstufung als verweigerungsfähig nicht automatisch die Verweigerung begründen.

Nach der Rechtsprechung des Bundesgerichtshofes (BGH) zu zivilrechtlichen Behandlungsverhältnissen beschränkt sich das Einsichtsrecht auf "naturwissenschaftlich konkretisierbare Befunde und die Aufzeichnungen" über Behandlungsmaßnahmen, z.B. Angaben über Medikation und Operationen. Zu den objektiven Aufzeichnungen gehören weiterhin Fieberkurven, EKG, EEG, Computeraufzeichnungen, Röntgenaufnahmen sowie sonstige Ergebnisse aus bildgebenden Verfahren und Laborergebnisse (BGH Z 85, 327 = NJW 1983, 328; Z 85, 339 = NJW 1983, 330).

Nach der Rechtsprechung und dem Standesrecht (§ 10 Abs. 2 S. 1 MBO-Ä) nicht einsichtspflichtig sind Unterlagen, die subjektive Eindrücke und Wahrnehmungen des Arztes enthalten. Das Datenschutzrecht kennt eine solche Einschränkung i.d.R. dagegen nicht. Da die datenschutzrechtlichen Ansprüche unabhängig vom Standes- und Vertragsrecht gelten, kann bei deren Geltendmachung insofern eine Offenlegung nicht verhindert werden, es sei denn die subjektiven Aufzeichnungen werden zugleich durch ausdrücklich geregelte Ausnahmeregelungen mit abgedeckt.

Der Arzt soll Unterlagen zurückhalten können, soweit er hieran ein berechtigtes Interesse hat. Dies wird bei subjektiven Wertungen angenommen, der Wiedergabe persönlicher Eindrücke, einer vorläufigen Verdachtsdiagnose aber auch bei "emotionalen" persönlichen Bemerkungen des Arztes wie die Einschätzung als Querulant. Eine Behandlung auslösende ärztliche Verdachtsdiagnosen sind nicht als subjektive Eindrücke zu werten und unterliegen daher der Einsicht. Für die Behandlung im Krankenhaus spielt die Unterscheidung subjektiv/objektiv keine relevante Rolle, da dort die Dokumentation so weit vergegenständlicht und objektiviert ist, dass man nicht von subjektiven Daten sprechen kann. Für die gesamte behandlungsbezogene Dokumentation mit ihrer technischen wie kommunikativen Seite, die Vorsorge, Anamnese, Diagnose, Therapie und Nachsorge umfasst, spielt die Differenzierung zwischen subjektiv und objektiv keine Rolle; insofern ist das Einsichtsrecht nicht eingeschränkt.

Das Einsichtsrecht kann sich auch auf den sensiblen Bereich nicht objektivierter Befunde erstrecken (BVerfG NJW 1999, 1777). Das Einsichtsrecht in subjektive Daten besteht, wenn das Informationsinteresse des Patienten gegenüber den schützenswerten Interessen des Arztes überwiegt. Der Arzt hat grds. kein berechtigtes Interesse daran, eine kritische Hinterfragung seiner Behandlung zu verhindern. Bei der Abwägung ist zu beachten, dass der Arzt als professioneller Helfer grds. weniger schutzbedürftig ist als der Patient als Hilfsbedürftiger. Die Möglichkeit des Ausschlusses besteht auch nur im vorprozessualen Bereich. Kommt es zur gerichtlichen Auseinandersetzung, so muss auf Anordnung des Gerichtes die gesamte Dokumentation als Prozessmaterial herangezogen werden.

Therapeutische Gründe können einer Einsicht grds. nicht entgegenstehen. Der einsichtsfähige Patient muss im Rahmen seiner Selbstbestimmung festlegen können, welche gesundheitsrelevanten Informationen er wissen will und darf, auch wenn dieses Wissen schädigend wirken kann. Der Patient hat die Freiheit, sich durch die Kenntnisnahme von der Wahrheit zu schädigen, wenn er das will. Nur bei konkretem Anlass für die Annahme einer schweren Selbstgefährdung, d.h. nach ärztlicher Einschätzung einer akuten, wahrscheinlichen Gefahr für das Leben oder existenzielle Gesundheitsbeeinträchtigungen kann von diesem Grundsatz abgewichen werden. Ein pauschaler Verweis auf die Möglichkeit der Selbstgefährdung ist als Verweigerungsgrund unzulässig (BGH DuD 1991, 536; BVerwG DVBl. 1989, 880).

Auch dem psychisch Kranken steht ohne ein besonderes Interesse geltend machen zu müssen das Recht auf Akteneinsicht zu (BVerfG NJW 1999, 1777). Es gibt hier aber außerhalb des strengen Anwendungsbereiches der Datenschutzgesetze spezifische Ausnahmen. Hinsichtlich Unterlagen auspsychiatrischer Behandlung kommt der ärztlichen Entscheidung, ob eine Aushändigung an den Patienten medizinisch verantwortbar ist, besonderes Gewicht zu. Allerdings darf der Arzt die Einsicht nicht pauschal unter Hinweis auf ärztliche Bedenken verweigern. Er hat vielmehr die entgegen stehenden therapeutischen Gründe im Einzelfall nach Art und Richtung näher zu kennzeichnen, ohne dabei ins Detail gehen zu müssen. Es muss eine Abwägung zwischen dem aus dem Persönlichkeitsrecht abgeleiteten Anspruch des Patienten auf Wissen über Diagnose und Behandlung einerseits und medizinisch begründeten Patientenschutzinteressen andererseits erfolgen. Solche Schutzinteressen sind insbesondere gegeben, wenn infolge der Einsicht in die gesamte Akte eine Selbstgefährdung des Patienten droht. Darüber hinaus sind Interessen Dritter zu berücksichtigen, die in die Behandlung einbezogen worden sind. Der Arzt kann auch eigene Interessen an der Erhaltung der therapeutischen Handlungsfähigkeit oder des Eigenschutzes berücksichtigen. Bei noch nicht abgeschlossener Behandlung kann eine Verweigerung eher begründet werden als bei Befund-, Prognose- und Planungsdaten vor einer Behandlung und als in den Fällen einer u.U. seit Jahren abgeschlossenen bzw. abgebrochenen Behandlung. Wegen des "objektiven Charakters" von Arztbriefen, Befunden und Epikrisen können diese auch im Bereich der Psychiatrie nicht vom Einsichtsrecht ausgeschlossen werden. Bestehen die medizinischen Verweigerungsgründe bei Anwesenheit des behandelnden oder eines anderen Arztes bei der Akteneinsicht nicht, so muss vor der Verweigerung von dieser Möglichkeit Gebrauch gemacht werden.

In jedem Fall, auch bei psychiatrischen Unterlagen, muss bei der Einblicksverweigerung einInformationsparadox verhindert werden. Da das Einsichtsrecht auch ein Kontrollrecht ist, muss ausgeschlossen werden, dass der kontrollierte Arzt den Umfang seiner Kontrolle selbst bestimmen kann. Dies führt dazu, dass in jedem Fall eine unabhängige Instanz oder ein Arzt oder eine Person des Vertrauens durch Einsicht in relevante Arztakten eine Kontrolle durchführen darf.

Auch in Bezug auf genetische Dispositionen besteht ein Anspruch auf Wissen. Der Umstand, dass die genetischen Informationen auch direkt Verwandte betreffen, legitimiert eine Einsichtsverweigerung nicht. Es ist grds. die Aufgabe des Einsichtnehmenden, mit den erlangten Informationen so umzugehen, dass das Drittinteresse am Nichtwissen gewahrt bleibt. Dem Arzt obliegt es, auf dieses Recht Dritter hinzuweisen.

3. Modalitäten

Möglich ist statt der Einsicht in die Originalakte das Anfordern von Kopien aus der Dokumentation. Es besteht grds. kein Anspruch auf Zusendung solcher Kopien, wohl aber darauf, dass die Unterlagen bzw. Kopien beim Arzt bereit gehalten werden (§ 10 Abs. 2 S. 2 MBO-Ä). Durch die Weitergabe von derartigen medizinischen Unterlagen lassen sich bei einem Arztwechsel u.U. Doppeluntersuchungen und damit verbundene Belastungen und Kosten vermeiden. Der Arzt ist verpflichtet, auf Antrag die Kopien oder Ausdrucke zu fertigen, herauszugeben und zu versichern, dass die herausgegebenen Unterlagen vollständig sind. Hierfür muss der Patient evtl. entstehende Kosten erstatten. Dieser Anspruch ist übertragbar auf die Anforderung von für den Patienten nicht lesbaren Aufschrieben. Möchte der Patient eine für ihn verständliche Abschrift oder die Übertragung von Kürzeln und Fachausdrücken, so hat er hierauf zwar einen Anspruch aus vertraglicher Nebenpflicht, doch ist er zur Kostenerstattung verpflichtet.

Ein Recht auf ersatzlose Herausgabe von Patientenunterlagen besteht grds. nicht. Dies stünde in Widerspruch zur ärztlichen Dokumentationspflicht (§ 10 MBO-Ä). Die Unterlagen stehen zivilrechtlich im Eigentum der jeweiligen ärztlichen Stelle. Dass der Patient hieran informationsrechtliche Ansprüche geltend machen kann, ändert an diesem Umstand nichts. Lediglich nach der Spezialregelung des § 28 Abs. 6 S. 2 RöntgVO hat der Arzt auch ohne Verlangen des Patienten diesem Röntgenaufnahmen im Original zur Weiterleitung an einen nachbehandelnden Arzt mitzugeben, wenn dadurch voraussichtlich eine Doppeluntersuchung vermieden wird.

Das Akteneinsichtsrecht kann bei elektronischer Datenhaltung durch direkten Datenabruf des Patienten oder durch die Ausgabe von Patientenchipkarten erfolgen. Hierfür werden technische Lösungen auf dem Markt angeboten. Dabei ergeben sich jedoch viele technische Anforderungen: Es muss eine eindeutige elektronische Authentifizierung des Patienten erfolgen, was zumindest bei ausgelagerter elektronischer Datenhaltung die Verwendung digitaler Patientensignaturen nahelegt. Zur Sicherung der Authentizität des durch den Patienten abgerufenen Dokumentes bedarf es des Einsatzes einer digitalen Ärztesignatur (z.B. über Health Professional Card). Die Vertraulichkeit sowohl der Speicherung (z.B. auf einer Chipkarte) als auch auf dem Übermittlungsweg in öffentlichen Netzen kann praktisch nur durch Verschlüsselung sichergestellt werden. Im Interesse der Verhinderung erzwungener Offenbarung solcher Patientendokumente an unbefugte Dritte (z.B. Arbeitgeber, Versicherungen) ist beim Lesen der Chipkarte bzw. bei Abrufen externer Speicherungen eine zusätzliche Autorisierung, z.B. durch einen "Health Professional", sicherzustellen.

VI. Recht auf Benachrichtigung

Nach § 33 Abs. 1 BDSG ist eine verantwortliche Stelle verpflichtet, den Betroffenen von einer Speicherung (Art der Daten, Zweck, Identität der Stelle) zu benachrichtigen, wenn personenbezogene Daten erstmals ohne Kenntnis des Betroffenen gespeichert werden. Diese Benachrichtigungspflicht besteht nicht beim direkt behandelnden Arzt, da hier die Erhebung i.d.R. beim Patienten selbst erfolgt und dieser in jedem Fall damit rechnen muss, dass damit eine Datenspeicherung verbunden ist. Etwas anderes gilt bei mitbehandelnden Ärzten, von denen der Patient nichts weiß, z.B. wenn bei Konsil- oder Laborärzten kein direkter Patientenkontakt besteht und der Patient auch nicht über eine hinreichend bestimmte Einwilligungserklärung über die eingeschalteten Ärzte informiert ist.

Wenn ein Arzt Daten an Dritte übermittelt, ist er gehalten, den Patienten hierüber zu informieren. § 9 Abs. 2 S. 2 MBO-Ä sieht als Sollvorschrift eine Unterrichtung vor, wenn gesetzliche Vorschriften die ärztliche Schweigepflicht einschränken (z.B. Infektionsschutzgesetz, besondere Prüfungen nach SGB V). Eine Benachrichtigung ist dann nicht erforderlich, wenn der Patient auf andere Weise von der Speicherung oder Übermittlung Kenntnis erlangt hat (§ 33 Abs. 2 Nr. 1 BDSG). Da Patienten Kenntnis davon haben, dass bei gesetzlicher Krankenversicherung die Abrechnung gemäß dengesetzlichen Regelungen (§§ 295, 301 SGB V) erfolgt, ist eine Benachrichtigung in diesen Fällen nicht nötig. Erfolgt die Übermittlung auf Grund einer gesetzlichen Befugnis oder gar Verpflichtung, ohne dass der Patient damit rechnen kann, so muss eine Benachrichtigung nach § 33 BDSG bei einer Weitergabe an Private erfolgen. Erfolgt die Übermittlung an eine öffentliche Stelle, z.B. im Fall einer meldepflichtigen Krankheit nach dem Infektionsschutzgesetz oder im Fall einer Prüfung des Medizinischen Dienstes der Krankenkasse (§ 275 SGB V), so richtet sich die Benachrichtigungspflicht nach dem jeweils anwendbaren Recht. Insbesondere im allgemeinen Datenschutzrecht der Länder gibt es dem § 33 BDSG entsprechende Benachrichtigungspflichten (z.B. § 26 Abs. 3 LDSG SH).

VII. Anspruch auf Datenkorrektur (Berichtigung, Gegendarstellung)

Nach § 35 Abs. 1 BDSG (vgl. § 20 Abs. 1 BDSG, § 28 Abs. 1 LDSG SH) sind personenbezogene Daten, die unrichtig sind, zu berichtigen. Zu berücksichtigen ist aber § 35 Abs. 6 BDSG: Erfolgt eine Datenspeicherung zu Dokumentationszwecken, so besteht kein Anspruch auf Berichtigung (bzw. auf Sperrung oder Löschung). Dies ist wegen der Dokumentationspflicht des Arztes (§ 10 MBO-Ä) bei Behandlungsunterlagen regelmäßig der Fall. So sind z.B. Verdachtsdiagnosen keine u.U. inhaltlich falschen Daten, sondern objektive Angaben über die Behandlung zu einem bestimmten Zeitpunkt. Ein Anspruch auf Korrektur besteht bei objektiv nicht haltbaren oder bei ehrverletzenden Angaben. Bei falschen, aber dokumentationspflichtigen Daten muss auf Verlangen des Patienten für die gesamte Dauer der Speicherung eine Gegendarstellung des Patienten beigefügt werden. Werden dann Daten übermittelt, darf dies nicht ohne diese Gegendarstellung erfolgen (§ 35 Abs. 6 S. 2, 3 BDSG).

VIII. Anspruch auf Datensperrung

Der Patient hat einen Anspruch auf Datensperrung, wenn Daten aus persönlichkeitsrechtlichen Gründen gelöscht werden müssten (dazu unten IX.), die Löschung aber nicht möglich ist, z.B. weil gesetzliche oder sonstige rechtliche Aufbewahrungsfristen entgegenstehen, weil die Löschung schutzwürdige Betroffeneninteressen beeinträchtigen würde oder diese einen unverhältnismäßig großen Aufwand verursachen würde (§ 35 Abs. 3 BDSG, vgl. § 20 Abs. 3 BDSG, § 28 Abs. 3 Nr. 2-5 LDSG SH). Da Patientendaten generell einer zehnjährigen Dokumentationspflicht unterliegen, kommt in dieser Zeit statt des Löschungsanspruches nur die Sperrung in Betracht.

Daten sind außerdem zu sperren, soweit der Patient ihre Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (sog. Non-Liquet-Fälle, § 35 Abs. 4 BDSG, vgl. § 20 Abs. 4 BDSG, § 28 Abs. 3 Nr. 1 LDSG SH). Dieser Grundsatz schließt aber nicht aus, dass die verantwortliche Stelle auf Grund besonderer gesetzlicher Rechtfertigung die Daten verarbeiten darf. Dies ist z.B. oft bei gesetzlichen Übermittlungspflichten eines als Gutachter tätigen Arztes der Fall.

Sperren ist "das Kennzeichnen personenbezogener Daten, um ihre weitere Verarbeitung oderNutzung einzuschränken" (§ 3 Abs. 4 S. 2 Nr. 4 BDSG, § 2 Abs. 2 Nr. 4 LDSG SH). Die Kennzeichnung kann bei elektronischer Datenverarbeitung technisch z.B. durch Ausblendung erfolgen oder durch eine inhaltliche Ergänzung des Datenfeldes. Bei konventioneller Datenspeicherung ist eine eindeutig erkennbare Markierung notwendig, aus der hervorgeht, dass die Daten grds. nicht genutzt werden dürfen. Die Nutzung der gesperrten Daten ist ohne Einwilligung des Patienten nur zulässig zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder bei Unerlässlichkeit aus sonstigen im überwiegenden Interesse liegenden Gründen (§ 35 Abs. 8 BDSG, vgl. § 20 Abs. 7 BDSG, § 28 Abs. 4 LDSG SH).

IX. Anspruch auf Datenlöschung bzw. Aktenvernichtung

Patientendaten sind nach § 35 Abs. 2 Nr. 1 BDSG (vgl. § 20 Abs. 2 Nr. 1 BDSG, § 28 Abs. 2 Nr. 1 LDSG SH) zu löschen, wenn ihre Speicherung unzulässig ist. Die Unzulässigkeit kann darauf beruhen, dass die Erhebung beim Betroffenen oder die Übermittlung von einem Dritten mit dem Datenschutzrecht nicht vereinbar war (z.B. es lag keine wirksame Einwilligungserklärung vor).

Nach § 35 Abs. 2 Nr. 3 BDSG (vgl. § 20 Abs. 2 Nr. 2 BDSG, § 28 Abs. 2 Nr. 2 LDSG SH) muss eine Löschung auch erfolgen, sobald die Kenntnis der Daten für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist. Die fehlende Erforderlichkeit der weiteren Datenspeicherung ergibt sich nicht schon durch die Beendigung einer Behandlung bzw. Untersuchung.

Bei ärztlichen Unterlagen gilt, dass diese aus Dokumentationsgründen in jedem Fall 10 Jahre lang aufbewahrt werden müssen (§ 10 Abs. 3 MBO-Ä). Nach § 32 Abs. 2 Strahlenschutzverordnung und § 28 Abs. 4 Nr. 1 RöntgVO sind Aufzeichnungen über die Behandlung mit radioaktiven Stoffen sowie über Röntgenbehandlungen 30 Jahre (bei Untersuchung nur 10 Jahre) nach der letzten Behandlung aufzubewahren. Wegen eventuell erst später (erst nach 30 Jahren, vgl. § 197 BGB) verjährender zivilrechtlicher Ansprüche kann vom Arzt die Notwendigkeit einer Aufbewahrung medizinischer Unterlagen sogar für diesen langen Zeitraum geltend gemacht werden. Zweck der Aufbewahrung ist dann i.d.R. nur noch, die Art von Untersuchung und Behandlung nachzuweisen. Verzichtet der Patient wirksam (in schriftlicher Form) auf die Geltendmachung von vermögensrechtlichen Forderungen, so hat der Arzt i.d.R. keinen Grund mehr, über die 10 Jahre Dokumentationspflicht hinaus die medizinischen Unterlagen aufzubewahren.

Die Erforderlichkeit einer über 10 oder gar 30 Jahre hinaus gehenden Speicherung von medizinischen Daten kann sich aus Behandlungsgründen ergeben. Dies kann bei Krankheiten der Fall sein, die über Jahrzehnte hinweg fortdauern, etwa bei Erbkrankheiten, vielen psychischen Störungen oder Transplantationen. Die Erforderlichkeit darf aber in diesen Fällen nicht pauschal angenommen werden; vielmehr bedarf es bei einer über 30 Jahre hinausgehenden Archivierung einer Begründung und Legitimation im Einzelfall.

Forschungsgründe für sich allein können eine personenbezogene Aufbewahrung von medizinischen Unterlagen grundsätzlich nicht rechtfertigen. Hier bedarf es entweder einer ausdrücklichen Einwilligung des Patienten oder einer Anonymisierung bzw. Pseudonymisierung der Datensätze.

Sind Daten sowohl elektronisch wie auch konventionell gespeichert, so besteht eineAufbewahrungsnotwendigkeit nur bzgl. des Mediums, mit dem der medizinischen Dokumentationspflicht genügt werden soll. Dies dürfte heute noch weitgehend die konventionelle (Papier-) Akte sein. Elektronische Speicherungen können und sollten früher gelöscht werden, zumal sich durch redundante Speicherungen die Missbrauchsrisiken erhöhen; dies gilt wegen des leichten Zugriffs- und Auswertungsmöglichkeiten insbesondere bei elektronischen Datenspeicherungen.

Erfolgt innerhalb des medizinischen Bereiches eine Speicherung nach verschiedenen Zwecken, so besteht u.U. eine frühere Löschpflicht. So unterliegen z.B. sämtliche Abrechnungsdaten nicht der medizinischen Dokumentationspflicht. Diese Daten werden nicht mehr benötigt, wenn sie für finanzrechtliche Zwecke (Abrechnung nach SGB V, Dokumentationspflichten nach Handelsgesetzbuch bzw. Steuerrecht) nicht mehr aufbewahrt werden müssen.

Löschen ist "das Unkenntlichmachen gespeicherter personenbezogener Daten" (§ 3 Abs. 4 S. 2 Nr. 5 BDSG, § 2 abs. 2 Nr. 5 LDSG SH). Die Löschung kann dadurch erfolgen, dass der Datenträger mitsamt den darauf enthaltenen Daten zerstört wird, z.B. durch Schreddern von konventionellen Akten oder Festplatten. Eine andere Möglichkeit besteht darin, die Lesbarkeit auszuschließen, ohne den Datenträger zu vernichten, z.B. durch Schwärzen eines Schriftstücks oder durch Überschreiben einer Diskette.

X. Recht auf Widerspruch/Einwand

Nach § 35 Abs. 5 BDSG (vgl. § 20 Abs. 5 BDSG, § 29 LDSG SH) hat der Patient das Recht, unter Hinweis auf persönliche Gründe gegen die Verarbeitung seiner Daten einen Widerspruch bzw. Einwand zu erheben. Voraussetzung ist das Vorliegen eines besonderen schutzwürdigen Interesses, welches das Interesse an der Datenverarbeitung überwiegt. Zu denken ist z.B. daran, dass eine amtsärztliche Untersuchung zwar zulässigerweise angeordnet wird, der Patient aber geltend macht, dass der Amtsarzt zu seinen persönlichen Feinden gehört und eine parteiische Begutachtung zu befürchten sei. In derartigen Fällen hat der Patient die Möglichkeit, wegen der besonderen persönlichen Gründe gegen eine vorgesehene Datenerhebung oder Datennutzung Widerspruch einzulegen. Die verantwortliche Stelle muss darüber entscheiden, ob im konkreten Einzelfall das Patienteninteresse dem Verarbeitungsinteresse überwiegt. Im Beispielsfall wird das i.d.R. der Fall sein, da die Möglichkeit besteht, einen anderen Amtsarzt zu beauftragen.

Erfolgt ein Widerspruch (Einwand) nach einer dokumentationspflichtigen Behandlung, so rechtfertigt der Widerspruch nicht die Datenlöschung. Erweist sich der Widerspruch als begründet, so muss statt einer Löschung eine Sperrung der Daten erfolgen (§ 35 Abs. 3 Nr. 1 BDSG, vgl. § 20 Abs. 3 Nr. 1 BDSG, § 28 Abs. 3 Nr. 2 LDSG SH).

XI. Schadensersatzanspruch

Wird einem Patienten durch eine unzulässige Verarbeitung seiner Daten ein Schaden zugefügt, so ist der Arzt bzw. die ärztliche Stelle dem Patienten gegenüber zum Schadensersatz verpflichtet. Eine Ersatzpflicht entfällt, wenn der Arzt nachweisen kann, dass er die nach den Umständen des Falles gebotene Sorgfalt beachtet hat (§ 7 BDSG). Während im privaten Bereich ein Anspruch mit einer ArtBeweislastumkehr besteht, gilt im öffentlichen Bereich weitergehend eine verschuldensunabhängige Ersatzpflicht (vgl. § 8 BDSG, § 30 LDSG SH). Ist ein Verschulden der Mitarbeiter der verantwortlichen Stelle nachweisbar, so kommt zusätzlich ein Anspruch nach § 823 BGB in Betracht.

XII. Recht zur Inanspruchnahme fremder Hilfe

Patienten stehen in einem gewissen Abhängigkeitsverhältnis zum Arzt. Daher ist es notwendig, dem Patienten zur Wahrnehmung seiner Datenschutzrechte unabhängige bzw. neutrale Unterstützungdurch Stellen zukommen zu lassen, die eine Prüfung des Anliegens und eine Beratung des Patienten vornehmen und Einwirkungsmöglichkeiten auf den Arzt haben, ohne dass sich dies im Rahmen der weiteren Behandlung nachteilig auswirkt. Es gibt insofern verschiedene Möglichkeiten, die parallel nebeneinander wahrgenommen werden können, wobei jedoch regelmäßig ein abgestuftes Vorgehen zu empfehlen ist.

Zunächst sollte sich ein Patient, soweit es einen betrieblichen bzw. behördlichen Datenschutzbeauftragten bei der ärztlichen Stelle gibt, an diesen wenden (§§ 4f, 4g BDSG, insbes.§ 4f Abs. 5 S. 2 BDSG, vgl. § 10 LDSG SH). Dieser ist wegen seiner Nähe zur ärztlichen Leitung am ehesten in der Lage, kostenfrei und unbürokratisch eine einvernehmliche Lösung bzw. Klärung herbeizuführen. Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird (§ 4f Abs. 4 BDSG).

Gelingt eine Klärung durch die verantwortliche Stelle selbst nicht, so kann ebenso unentgeltlich dieDatenschutzkontrollbehörde angerufen werden. Dies sind im nicht-öffentlichen Bereich die Aufsichtsbehörden der Länder nach § 38 BDSG; während diese Aufgabe in Süddeutschland vorrangig von den Innenverwaltungen wahrgenommen wird (Innenministerium, Bezirksverwaltungen), sind dies in den norddeutschen Staaten zumeist die Landesbeauftragten für den Datenschutz (vgl. § 39 Abs. 2 LDSG SH: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein). Im öffentlichen Bereich erfolgt die Datenschutzkontrolle durchgängig durch die staatlichen Datenschutzbeauftragten (§§ 21, 24 BDSG; vgl. §§ 39 Abs. 1, 40 LDSG SH). Die ärztlichen Stellen sind verpflichtet, den Kontrollbehörden Auskunft und Akteneinsicht zu geben. Das Patientengeheimnis steht dem nicht entgegen. Wird ein Verstoß festgestellt, so kann eine Beanstandung ausgesprochen werden; im nicht-öffentlichen Bereich sind sogar weitergehende Sanktionen möglich. Der Patient hat gegenüber der Kontrollbehörde einen Rechtsanspruch auf Tätigwerden und auf Information über das Ergebnis. Welches Ergebnis festgestellt wird, liegt im gesetzmäßigen Ermessen der Kontrollinstanz.

Da mit einem Datenschutzverstoß i.d.R. zugleich eine Verletzung der ärztlichen Schweigepflicht oder von sonstigen Standespflichten verbunden ist, kann außerdem eine Anrufung der Ärzte- bzw. der Zahnärztekammer des jeweiligen Landes erfolgen (vgl. § 7 Abs. 1 HeilberufeG SH). Bei einigen Kammern sind Ombudsleute eingerichtet, deren vorrangige Aufgabe es ist, Patientenbeschwerden nachzugehen.

Keine eigenen Ermittlungsmöglichkeiten, jedoch eine Vielzahl von rechtlichen Handlungsmöglichkeiten bis hin zur Befugnis als Verband zu klagen, haben dieVerbraucherzentralen. Diese sind seit kurzem bundesweit im Verbraucherzentrale Bundesverband e.V. (vzbv) zusammengeschlossen.

XIII. Recht auf Strafanzeige

Verstöße gegen das Datenschutzrecht sind, soweit sie vorsätzlich oder zumindest fahrlässig begangen wurden, i.d.R. als Ordnungswidrigkeit (§ 43 BDSG, § 44 LDSG SH) oder Straftat (§ 44 BDSG) sanktionierbar. Bei einer Verletzung des Patientengeheimnisses kommt zusätzlich ein Verstoß gegen § 203 Abs. 1, 3 StGB in Betracht. Der Patient hat das Recht einer Anzeige dieser Verstöße gegenüber der zuständigen Behörde. Dies ist bei Straftaten die Polizei bzw. die Staatsanwaltschaft. Sämtliche Straftatbestände sind als Antragsdelikte ausgestaltet (§ 44 Abs. 2 BDSG, § 205 StGB); d.h. die Tat wird nur auf Strafantrag verfolgt. Der Antrag kann durch den betroffenen Patienten gestellt werden. Ein solcher Antrag des Patienten muss nach § 77b StGB innerhalb einer Frist von drei Monaten nach Kenntniserlangung von den strafrechtlich relevanten Umständen gestellt werden. Eine Beschwerde bei der zuständigen Ärztekammer oder Datenschutzkontrollinstanz genügt nicht zur Fristwahrung. Wird die Staatsanwaltschaft nicht tätig oder wird von ihr - entgegen der Überzeugung des Patienten - das Verfahren nach den §§ 170 Abs. 2, 153 StPO eingestellt, so besteht die Möglichkeit, die Datenschutzkontrollbehörde zu unterrichten und zu bitten, tätig zu werden. Diese hat seit 2001 gegenüber der Staatsanwaltschaft ein eigenständiges Strafantragsrecht bei Datenschutzverstößen (§ 44 Abs. 2 S. 2 BDSG).

Folgt die Staatsanwaltschaft einem Antrag auf Erhebung der öffentlichen Klage nicht oder verfügt sie nach Abschluss der Ermittlungen die Einstellung des Verfahrens, so erhält der Antragsteller unter Angabe der Gründe einen Bescheid (§ 171 StPO). Ist der Antragsteller zugleich der Verletzte, also z.B. der von einer Schweigepflichtverletzung betroffene Patient, dann kann dieser innerhalb von zwei Wochen gegen die Einstellung bei der vorgesetzten Staatsanwaltschaft Beschwerde einlegen (§ 172 Abs. 1 StPO). Ist auch diese Beschwerde erfolglos, so kann binnen eines Monates nach Bekanntmachung gerichtliche Entscheidung beantragt werden (Klageerzwingungsverfahren). Dieses Verfahren ist jedoch für den Verletzten im Fall der Erfolglosigkeit kostenpflichtig (§ 177 StPO)