- Der Generalanwalt Emiliou stellte am 20. April 2023 seine Schlussanträge in der Rechtssache C‑307/22 vor.
- Der BGH stellt drei wichtige Fragen zu den Rechten betroffener Personen gemäss der DSGVO.
- Das Auskunftsrecht gilt auch für datenschutzfremde Zwecke, wie die Prüfung von arzthaftungsrechtlichen Ansprüchen.
- Eine nationale Regelung kann die Kosten für Kopien von Patientenakten unter bestimmten Bedingungen verlangen.
- Der Anspruch auf Kopien umfasst nicht alle Dokumente, jedoch in bestimmten Situationen kann er bestehen.
In der Rechtssache C‑307/22 hat der Generalanwalt Emiliou am 20. April 2023 seine Schlussanträge gestellt. Das Verfahren beruht auf einem Vorabentscheidungsersuchen des deutschen Bundesgerichtshofs vom 10. Mai 2022.
Hintergrund ist eine zunächst erfolgreiche Klage eines Patienten, der einen (zahnärztlichen) Behandlungsfehler vermutet und deshalb vom Zahnarzt gefordert hatte, ihm unentgeltlich eine Kopie aller ihn betreffenden Krankenunterlagen zur Verfügung zu stellen.
Auskunft für datenschutzfremde Zwecke?
Der BGH legte dabei drei Fragen vor, zuerst die folgende:
Ist Art. 15 Abs. 3 Satz 1 in Verbindung mit Art. 12 Abs. 5 [DSGVO] dahingehend auszulegen, dass der Verantwortliche […] nicht verpflichtet ist, dem Betroffenen […] eine erste Kopie seiner […] personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 Satz 1 […] genannten Zwecke begehrt, […] sondern einen anderen – datenschutzfremden, aber legitimen – Zweck (hier: die Prüfung des Bestehens arzthaftungsrechtlicher Ansprüche) verfolgt?
Der Generalanwalt schlägt darauf folgende Antwort vor:
[…] dass Art. 12 Abs. 5 und Art. 15 Abs. 3 DSGVO dahin auszulegen sind, dass der Verantwortliche verpflichtet ist, der betroffenen Person eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DSGVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.
Der BGH fragt nach datenschutzfremden, “aber legitimen” Zwecken, der Generalanwalt antwortet generell für datenschutzfremde Zwecke – zu bedeuten hat das aber wenig, weil grundsätzlich illegitime Zwecke nicht zur Debatte standen.
Nachvollziehbar ist sodann, dass der Auskunftsteller nicht an die im Erwägungsgrund 63 genannten Zwecke (Bewusstwerdung, Kontrolle der Rechtmässigkeit) gebunden ist. Die Frage wäre aber gewesen, ob im Rahmen der DSGVO nicht ein Rechtsmissbrauchsverbot gilt. Dazu sagt der Generalanwalt nichts – leider oder zum Glück. Aus seinen Ausagen geht nur – aber immerhin – hervor, dass es nicht per se rechtsmissbräuchlich sein soll, keinen datenschutzspezifischen Zweck zu verfolgen.
Kostenerstattung nach nationalem Recht?
Die zweite Vorlagefrage betrifft § 630g BGB (“Einsichtnahme in die Patientenakte”). Demnach haben Patienten das Recht, Einsicht in ihre Patientenakte zu nehmen. Will ein Patient aber eine elektronische Abschrift, hat er die entstehenden Kosten zu erstatten. Der BGH fragt, ob eine solche Bestimmung mit der DSGVO zu vereinbaren ist.
Der Generalanwalt meint grundsätzlich ja und schlägt folgende Antwort vor:
[…] dass eine nationale Regelung, die von Patienten, die Kopien ihrer in Patientenakten enthaltenen personenbezogenen Daten beantragen, verlangt, dass sie den Ärzten die entstandenen Kosten erstatten, nach Art. 23 Abs. 1 DSGVO zulässig ist, sofern die Beschränkung des Auskunftsrechts unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit der Ärzte erforderlich und verhältnismäßig ist. Das nationale Gericht hat insbesondere zu prüfen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind.
Anspruch auf Kopie von Dokumenten?
Die dritte Frage betrifft das Recht, Kopien der Personendaten zu verlangen:
Umfasst der Anspruch […] im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt?
Hier sagt der Generalanwalt, dass es keinen grundsätzlichen Anspruch auf Herausgabe aller Dokumente gibt, die Personendaten enthalten, dass ein solches Recht in bestimmten Situationen aber bestehen könne:
[…] nicht dahin ausgelegt werden kann, dass er der betroffenen Person ein allgemeines Recht darauf gewährt, eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Dies schließt die Möglichkeit, dass der Verantwortliche den betroffenen Personen bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen hat, nicht aus. Dies ist der Fall, wenn eine Kopie des Dokuments erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage ist, zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.
Ob der EuGH die Sache gleich sieht, ist offen – so oder anders kann dieses Ergebnis für die Schweiz höchstens in Teilen übernommen werden:
- Selbstverständlich kann sich der datenschutzrechtliche Auskunftsanspruch nur auf Personendaten richten. Dokumente betrifft der Anspruch genauso wenig wie den Server, auf dem die Daten gespeichert sind; beides sind Dinge, die Personendaten enthalten, aber nicht sind.
- Nach Art. 16 Abs. 4 DSV muss die “Form” der Auskunft verständlich sein – es geht also um die Form, nicht den Inhalt. Das ist kein Sophismus, sondern auch die Auffassung des Erläuterungsberichts: “Werden Personendaten in einer technischen Form, also beispielsweise in einem nicht üblichen Dateienformat, geliefert, die für die betroffene Person nicht lesbar und/oder nicht verständlich ist, muss der Verantwortliche imstande sein, ihr ergänzende Erläuterungen zu geben, beispielsweise mündlich”. Kommt die Datenschutzauskunft in einem JSON-Format, kann der Betroffene allenfalls also nachfragen. Das kann man so sehen, weil eine unverständliche Auskunft eine Nichtauskunft ist. Dabei gilt aber ein objektiver Masstab, nicht subjektive Einschränkungen.
- Das bedeutet aber jedenfalls nicht, dass der Verantwortliche dem Betroffenen Kontextinformationen liefern muss. Wird die Auskunft in einem lesbaren Format geliefert, ist die Auskunftspflicht grundsätzlich erfüllt. Der Verantwortliche muss dann keine Zusatzerklärungen liefern – ausser man leite dies aus der Generalklausel in Art. 25 Abs. 2 nDSG ab. In diesem Fall ist die Erläuterungspflicht aber nicht strafbewehrt, weil die Generalklausel viel zu vage ist, um vor dem Bestimmtheitsgebot standzuhalten.
- Aber selbst wenn man eine Erläuterungspflicht bejahen sollte: Daraus würde sich ein Anspruch auf notwendige Erläuterungen ergeben, aber noch kein Anspruch auf Kopien von Dokumenten auch mit Bezug auf nicht personenbezogene Passagen.