Erscheinungsdatum – 13.03.2024
Wie sieht die rechtliche Situation aus?
Nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) haben Patientinnen und Patienten das Recht, zu erfahren, welche personenbezogenen Daten durch eine Gesundheitseinrichtung verarbeitet werden (Auskunftsrecht). Dieses Recht umfasst Auskünfte über Patientenakten, Befunde sowie interne Vermerke und sonstige Kommunikation. Erreicht Sie eine Anfrage, haben Sie gemäß Artikel 12 DSGVO einen Monat Zeit, die Anfrage zu beantworten.
Wann liegt ein missbräuchliches Auskunftsersuchen vor?
Uns erreichen in den letzten Jahren immer wieder Anfragen von Einrichtungen zu Auskunftsersuchen. In jüngster Zeit erreichen uns jedoch vermehrt Anfragen mit hohem Komplexitätsgrad, die sich zum Teil über mehrere Seiten erstrecken, wie das nachfolgende anonymisierte Beispiel zeigt. Liegen missbräuchliche Auskunftsersuchen vor, können Sie als verantwortliche Stelle das Auskunftsersuchen einschränken oder ablehnen.
Beispiel „Auskunftsersuchen eines Patienten„:
Welche Formulieren sind berechtigt, welche nicht?
Folgende beispielhafte Übersicht soll es Ihnen erleichtern, berechtigte von unberechtigten Fragen abzugrenzen:
Berechtigte Fragen | Unberechtigte Fragen |
Frage, ob und welche personenbezogenen Daten verarbeitet werden | Frage nach Nutzerkennungen, um von extern auf Daten der Praxis zugreifen zu können |
Frage, wie lange Daten in der Einrichtung aufbewahrt werden | Fragen nach Einblick in Verträge mit Auftragsverarbeitern |
Frage, ob Daten die Einrichtung verlassen haben | Frage nach internen Datenschutzregelungen, z. B. Informationspolitik- und Informationsstandards |
Frage, wer auf die Daten in der Einrichtung Zugriff hat | Frage nach technischen Schutzmaßnahmen, z. B. Einbruchsschutz, Firewalltechnologien, Zugangs- oder Identitätsmanagement, Datenbankprüfungs- oder Sicherheitstools |
Was können Sie tun, wenn Sie sich unsicher sind, ob ein Auskunftsersuchen missbräuchlich ist?
Ein missbräuchliches Auskunftsersuchen ist nicht immer auf den ersten Blick zu erkennen. Binden Sie Ihren Datenschutzbeauftragten in die Klärung der Frage ein oder schicken Sie uns Ihr Auskunftsersuchen gerne an info@kraussmanagement.de. Wir nehmen mit Ihnen Kontakt auf und besprechen die weiteren Schritte.
Autor: Mario Krauß und Gerda Reshetnykov