Recht auf Kopie: EuGH stärkt Auskunftsrecht ein weiteres Mal

Wir beginnen mal direkt mit einem Zitat, welches nicht aus der DSGVO stammt, obwohl es so klingt. Es stammt vielmehr aus Art. 8 Abs. 2 S. 2 der EU-Grundrechtecharta:

Jede Person hat das Recht, Auskunft über die
sie betreffenden erhobenen Daten zu erhalten

Das Auskunftsrecht ist also ein Grundrecht. Konkretisiert wird das Grundrecht auf Auskunft in Art. 15 DSGVO. Einem Auskunftsersuchen ist „unverzüglich“ zu entsprechen, wie Art. 12 DSGVO eindeutig normiert; spätestens innerhalb eines Monats müssen Betroffene unter anderem darüber informiert sein,

  • welche Daten konkret
  • zu welchem Zweck konkret verarbeitet,
  • wann die Daten konkret gelöscht werden,
  • an wen die Daten (soweit möglich) konkret weitergeleitet wurden oder noch werden und
  • auf welcher Rechtsgrundlage nach Kapitel V DSGVO konkret ein etwaiger Drittlandtransfer
  • in welches Drittland konkret stattfand oder beabsichtigt ist.

Da das Auskunftsrecht ein sehr wichtiges Betroffenenrecht in der DSGVO darstellt, haben wir zu diesem Thema schön häufiger berichtet, so beispielsweise in unserer Serie zu den Betroffenenrechten oder in weiteren Artikeln zur Reichweite des Auskunftsanspruchs (hier und hier), zu möglichen Fallstricken oder zur Definition zur bereitzustellenden Kopie der personenbezogenen Daten.

Zudem räumt Art. 15 DSGVO den betroffenen Personen den Anspruch auf eine kostenlose (Erst-)Kopie über die bei der verantwortlichen Stelle verarbeiteten Daten ein. Mit seiner Entscheidung C-487/21 vom 4. Mai 2023 hatte der EuGH klargestellt, dass dieses Recht weit auszulegen ist. Auch kommt es nicht darauf an, dass eine Kopie ausdrücklich im Auskunftsersuchen verlangt wird. Vielmehr genügt ein allgemeiner Hinweis darauf, dass von dem bestehenden Auskunftsrecht Gebrauch gemacht wird.

Die Anfertigung von Kopien der verarbeiteten personenbezogenen Daten verursacht in den meisten Fällen Aufwand und Kosten. Kein Wunder also, dass auskunftspflichtige Stellen versuchen, hierfür Entgelte zu verlangen. Ärztinnen und Ärzte, Krankenhäuser und medizinische Versorgungszentren konnten sich dabei bislang auf § 630g BGB stützen. Diese Norm berechtigt sie, den Patient*innen die Kosten für die Bereitstellung der Patientenakte in Rechnung zu stellen. In der Vergangenheit gelebte Praxis – nun ein Widerspruch!? Was gilt: Art. 15 Abs. 3 DSGVO (die erste Kopie ist kostenlos bereitzustellen) oder § 630g BGB (auch die erste Kopie darf in Rechnung gestellt werden)? Oder kommt es womöglich auf die Motivation der betroffenen Person an oder darauf, auf welche Norm sich Patient*innen berufen?

Der EuGH hat (Az C-307/22) im Oktober 2023 entschieden, dass das Recht auf kostenfreie Kopie nach Art. 15 Abs. 3 DSGVO unabhängig von der Motivlage gilt und auch nicht durch eine nationale Regelung – hier § 630g BGB – eingeschränkt werden kann. Art. 15 Abs. 3 Satz 1 DSGVO sei dahingehend auszulegen, dass „im Rahmen eines Arzt-Patienten-Verhältnisses das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, umfasst, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt voraus, eine vollständige Kopie der Dokumente zu erhalten, die sich in der Patientenakte befinden und unter anderem diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um der betroffenen Person die Überprüfung der Richtigkeit und Vollständigkeit der Daten zu ermöglichen und die Verständlichkeit der Daten zu gewährleisten. In Bezug auf die Gesundheitsdaten der betroffenen Person schließt dieses Recht jedenfalls das Recht ein, eine Kopie der Daten aus ihrer Patientenakte zu erhalten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu an ihr vorgenommenen Behandlungen oder Eingriffen umfasst.“

Ein VVT und ein gelungenes Datenschutzmanagement helfen, Aufwand zu minimieren

Damit bleibt der EuGH seiner Linie treu, das (Grund-) Recht auf Auskunft zu verteidigen und zu stärken. Auf den Fall eines eingehenden Auskunftsbegehrens sollten sich Verantwortliche – nicht nur Ärzt*innen, Krankenhäuser und medizinische Versorgungszentren – vorbereiten. Sie sollten sowohl datenschutzrechtlich als auch organisatorisch gut aufgestellt sein, um Auskunftsersuchen rechtzeitig angemessen zu bearbeiten und um Kosten und Mehraufwand zu vermeiden. Dabei helfen insbesondere ein aktuelles Verzeichnis der Verarbeitungstätigkeiten (VVT), welches eine gute Übersicht liefern sollte, welche Angaben zu beauskunften sind, ein definierter Prozess zur Beantwortung von Auskunftsersuchen (wer tut was wann, wie und wie schnell?) sowie die Sensibilisierung und Schulung der Führungs- und Fachkräfte – kurzum: eine gut durchdachte Datenschutzorganisation. Sie vor allem kann bewirken, dass Verantwortliche Auskunftsersuchen gelassen entgegenschauen können.

_____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.