Takea­ways (AI):
  • Der Gene­ral­an­walt Emi­li­ou stell­te am 20. April 2023 sei­ne Schluss­an­trä­ge in der Rechts­sa­che C‑307/22 vor.
  • Der BGH stellt drei wich­ti­ge Fra­gen zu den Rech­ten betrof­fe­ner Per­so­nen gemäss der DSGVO.
  • Das Aus­kunfts­recht gilt auch für daten­schutz­frem­de Zwecke, wie die Prü­fung von arzt­haf­tungs­recht­li­chen Ansprüchen.
  • Eine natio­na­le Rege­lung kann die Kosten für Kopien von Pati­en­ten­ak­ten unter bestimm­ten Bedin­gun­gen verlangen.
  • Der Anspruch auf Kopien umfasst nicht alle Doku­men­te, jedoch in bestimm­ten Situa­tio­nen kann er bestehen.

In der Rechts­sa­che C‑307/22 hat der Gene­ral­an­walt Emi­li­ou am 20. April 2023 sei­ne Schluss­an­trä­ge gestellt. Das Ver­fah­ren beruht auf einem Vor­ab­ent­schei­dungs­er­su­chen des deut­schen Bun­des­ge­richts­hofs vom 10. Mai 2022.

Hin­ter­grund ist eine zunächst erfolg­rei­che Kla­ge eines Pati­en­ten, der einen (zahn­ärzt­li­chen) Behand­lungs­feh­ler ver­mu­tet und des­halb vom Zahn­arzt gefor­dert hat­te, ihm unent­gelt­lich eine Kopie aller ihn betref­fen­den Kran­ken­un­ter­la­gen zur Ver­fü­gung zu stellen.

Aus­kunft für daten­schutz­frem­de Zwecke?

Der BGH leg­te dabei drei Fra­gen vor, zuerst die folgende:

Ist Art. 15 Abs. 3 Satz 1 in Ver­bin­dung mit Art. 12 Abs. 5 [DSGVO] dahin­ge­hend aus­zu­le­gen, dass der Ver­ant­wort­li­che […] nicht ver­pflich­tet ist, dem Betrof­fe­nen […] eine erste Kopie sei­ner […] per­so­nen­be­zo­ge­nen Daten unent­gelt­lich zur Ver­fü­gung zu stel­len, wenn der Betrof­fe­ne die Kopie nicht zur Ver­fol­gung der in Erwä­gungs­grund 63 Satz 1 […] genann­ten Zwecke begehrt, […] son­dern einen ande­ren – daten­schutz­frem­den, aber legi­ti­men – Zweck (hier: die Prü­fung des Bestehens arzt­haf­tungs­recht­li­cher Ansprü­che) verfolgt?

Der Gene­ral­an­walt schlägt dar­auf fol­gen­de Ant­wort vor:

[…] dass Art. 12 Abs. 5 und Art. 15 Abs. 3 DSGVO dahin aus­zu­le­gen sind, dass der Ver­ant­wort­li­che ver­pflich­tet ist, der betrof­fe­nen Per­son eine Kopie ihrer per­so­nen­be­zo­ge­nen Daten zur Ver­fü­gung zu stel­len, und zwar auch dann, wenn die betrof­fe­ne Per­son die Kopie nicht für die im 63. Erwä­gungs­grund der DSGVO genann­ten Zwecke, son­dern für einen ande­ren, daten­schutz­frem­den Zweck beantragt.

Der BGH fragt nach daten­schutz­frem­den, “aber legi­ti­men” Zwecken, der Gene­ral­an­walt ant­wor­tet gene­rell für daten­schutz­frem­de Zwecke – zu bedeu­ten hat das aber wenig, weil grund­sätz­lich ille­gi­ti­me Zwecke nicht zur Debat­te standen.

Nach­voll­zieh­bar ist sodann, dass der Aus­kunfts­tel­ler nicht an die im Erwä­gungs­grund 63 genann­ten Zwecke (Bewusst­wer­dung, Kon­trol­le der Recht­mä­ssig­keit) gebun­den ist. Die Fra­ge wäre aber gewe­sen, ob im Rah­men der DSGVO nicht ein Rechts­miss­brauchs­ver­bot gilt. Dazu sagt der Gene­ral­an­walt nichts – lei­der oder zum Glück. Aus sei­nen Ausa­gen geht nur – aber immer­hin – her­vor, dass es nicht per se rechts­miss­bräuch­lich sein soll, kei­nen daten­schutz­spe­zi­fi­schen Zweck zu verfolgen.

Kosten­er­stat­tung nach natio­na­lem Recht?

Die zwei­te Vor­la­ge­fra­ge betrifft § 630g BGB (“Ein­sicht­nah­me in die Pati­en­ten­ak­te”). Dem­nach haben Pati­en­ten das Recht, Ein­sicht in ihre Pati­en­ten­ak­te zu neh­men. Will ein Pati­ent aber eine elek­tro­ni­sche Abschrift, hat er die ent­ste­hen­den Kosten zu erstat­ten. Der BGH fragt, ob eine sol­che Bestim­mung mit der DSGVO zu ver­ein­ba­ren ist.

Der Gene­ral­an­walt meint grund­sätz­lich ja und schlägt fol­gen­de Ant­wort vor:

[…] dass eine natio­na­le Rege­lung, die von Pati­en­ten, die Kopien ihrer in Pati­en­ten­ak­ten ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten bean­tra­gen, ver­langt, dass sie den Ärz­ten die ent­stan­de­nen Kosten erstat­ten, nach Art. 23 Abs. 1 DSGVO zuläs­sig ist, sofern die Beschrän­kung des Aus­kunfts­rechts unter Berück­sich­ti­gung aller rele­van­ten Umstän­de im Hin­blick auf die Zie­le des Schut­zes der öffent­li­chen Gesund­heit und der unter­neh­me­ri­schen Frei­heit der Ärz­te erfor­der­lich und ver­hält­nis­mä­ßig ist. Das natio­na­le Gericht hat ins­be­son­de­re zu prü­fen, ob die Kosten, deren Erstat­tung die Ärz­te von den Pati­en­ten ver­lan­gen kön­nen, strikt auf die tat­säch­lich anfal­len­den Kosten beschränkt sind.

Anspruch auf Kopie von Dokumenten?

Die drit­te Fra­ge betrifft das Recht, Kopien der Per­so­nen­da­ten zu verlangen:

Umfasst der Anspruch […] im Arzt-Pati­en­ten-Ver­hält­nis einen Anspruch auf Über­las­sung von Kopien aller die per­so­nen­be­zo­ge­nen Daten des Pati­en­ten ent­hal­ten­den Tei­le der Pati­en­ten­ak­te oder ist er nur auf Her­aus­ga­be einer Kopie der per­so­nen­be­zo­ge­nen Daten des Pati­en­ten als sol­che gerich­tet, wobei es dem daten­ver­ar­bei­ten­den Arzt über­las­sen bleibt, in wel­cher Wei­se er dem betrof­fe­nen Pati­en­ten die Daten zusammenstellt?

Hier sagt der Gene­ral­an­walt, dass es kei­nen grund­sätz­li­chen Anspruch auf Her­aus­ga­be aller Doku­men­te gibt, die Per­so­nen­da­ten ent­hal­ten, dass ein sol­ches Recht in bestimm­ten Situa­tio­nen aber bestehen könne:

[…] nicht dahin aus­ge­legt wer­den kann, dass er der betrof­fe­nen Per­son ein all­ge­mei­nes Recht dar­auf gewährt, eine voll­stän­di­ge Kopie aller in ihrer Pati­en­ten­ak­te ent­hal­te­nen Doku­men­te zu erhal­ten. Dies schließt die Mög­lich­keit, dass der Ver­ant­wort­li­che den betrof­fe­nen Per­so­nen bestimm­te Doku­men­te teil­wei­se oder voll­stän­dig in Kopie zur Ver­fü­gung zu stel­len hat, nicht aus. Dies ist der Fall, wenn eine Kopie des Doku­ments erfor­der­lich ist, um sicher­zu­stel­len, dass die über­mit­tel­ten Daten ver­ständ­lich sind und dass die betrof­fe­ne Per­son in der Lage ist, zu über­prü­fen, ob die über­mit­tel­ten Daten voll­stän­dig und rich­tig sind.

Ob der EuGH die Sache gleich sieht, ist offen – so oder anders kann die­ses Ergeb­nis für die Schweiz höch­stens in Tei­len über­nom­men werden:

  • Selbst­ver­ständ­lich kann sich der daten­schutz­recht­li­che Aus­kunfts­an­spruch nur auf Per­so­nen­da­ten rich­ten. Doku­men­te betrifft der Anspruch genau­so wenig wie den Ser­ver, auf dem die Daten gespei­chert sind; bei­des sind Din­ge, die Per­so­nen­da­ten ent­hal­ten, aber nicht sind.
  • Nach Art. 16 Abs. 4 DSV muss die “Form” der Aus­kunft ver­ständ­lich sein – es geht also um die Form, nicht den Inhalt. Das ist kein Sophis­mus, son­dern auch die Auf­fas­sung des Erläu­te­rungs­be­richts: “Wer­den Per­so­nen­da­ten in einer tech­ni­schen Form, also bei­spiels­wei­se in einem nicht übli­chen Datei­en­for­mat, gelie­fert, die für die betrof­fe­ne Per­son nicht les­bar und/oder nicht ver­ständ­lich ist, muss der Ver­ant­wort­li­che imstan­de sein, ihr ergän­zen­de Erläu­te­run­gen zu geben, bei­spiels­wei­se münd­lich”. Kommt die Daten­schutz­aus­kunft in einem JSON-For­mat, kann der Betrof­fe­ne allen­falls also nach­fra­gen. Das kann man so sehen, weil eine unver­ständ­li­che Aus­kunft eine Nicht­aus­kunft ist. Dabei gilt aber ein objek­ti­ver Mas­stab, nicht sub­jek­ti­ve Einschränkungen.
  • Das bedeu­tet aber jeden­falls nicht, dass der Ver­ant­wort­li­che dem Betrof­fe­nen Kon­text­in­for­ma­tio­nen lie­fern muss. Wird die Aus­kunft in einem les­ba­ren For­mat gelie­fert, ist die Aus­kunfts­pflicht grund­sätz­lich erfüllt. Der Ver­ant­wort­li­che muss dann kei­ne Zusatz­er­klä­run­gen lie­fern – ausser man lei­te dies aus der Gene­ral­klau­sel in Art. 25 Abs. 2 nDSG ab. In die­sem Fall ist die Erläu­te­rungs­pflicht aber nicht straf­be­wehrt, weil die Gene­ral­klau­sel viel zu vage ist, um vor dem Bestimmt­heits­ge­bot standzuhalten.
  • Aber selbst wenn man eine Erläu­te­rungs­pflicht beja­hen soll­te: Dar­aus wür­de sich ein Anspruch auf not­wen­di­ge Erläu­te­run­gen erge­ben, aber noch kein Anspruch auf Kopien von Doku­men­ten auch mit Bezug auf nicht per­so­nen­be­zo­ge­ne Passagen.

AI-generierte Takeaways können falsch sein.