News
Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte
Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.
Zum Hintergrund der geplanten Regelungen
Der EuGH hatte auf Vorlage des Bundesgerichtshofs das Verhältnis von § 630g BGB zur DSGVO u.a. in Bezug auf die Kostentragung und den Umfang des Kopie-Anspruchs im Arzt-Patienten-Verhältnis beurteilt. Demnach steht einem Patienten das Recht zu, eine vollständige erste kostenfreie Kopie der Dokumente zu erhalten, die sich in seiner/ihrer Patientenakte befinden, da dies laut dem EuGH zum Verständnis der in dieser Akte enthaltenen personenbezogenen Daten erforderlich ist. Weil bislang in § 630g Abs. 2 BGB eine Kostenpflicht für solche Kopien normiert ist und dies im Widerspruch zu der Kostenfreiheit im Rahmen der DSGVO steht, ist eine Gesetzesänderung geboten.
Der Inhalt der geplanten Regelungen
Der Referentenentwurf für die Neufassung des § 630g BGB umfasst insbesondere folgende Themenpunkte:
- Mit § 630g BGB-E soll ein zu Art. 15 Abs. 1 und 3 DSGVO ergänzendes Recht auf Einsichtnahme betreffend der Patientenakte geschaffen werden.
- § 630g BGB-E regelt, dass Art. 12 Abs. 3 und 5 DSGVO auch für den Anspruch aus § 630g Abs. 1 BGB gelten. Wichtig: demnach soll zur Bearbeitung des behandlungsvertraglichen Anspruchs grundsätzlich die Monatsfrist gelten, die bei Komplexität um zwei Monate verlängert werden kann, aber gegenüber dem Anspruchssteller zu begründen ist. Auch soll bei elektronischem Antrag nach § 630g die Auskunftserteilung elektronisch erfolgen, soweit kein gegenteiliger Wunsch seitens des Patienten geäußert wird. Zudem könnte sich der Arzt / das Krankenhaus bei offenkundig unbegründeten oder exzessiven Anträgen weigern, den Antrag nach dem BGB zu beantworten.
- § 630g BGB-E enthält auch einen Verweis auf Art. 15 Abs. 3 DSGVO, der ebenfalls für den BGB-Anspruch gelten soll. Die Sätze 2 und 3 dieser Vorschrift fordern, dass für die Beauskunftung im entsprechenden Fall ein gängiges elektronisches Format verwendet werden soll und die erste Kopie der Patientenakte unentgeltlich zu erfolgen hat. Für weitere Kopien kann der Verantwortliche ein angemessenes Entgelt verlangen.
- Nach § 630g Abs. 2 BGB-E kann der Auskunftsanspruch aus dem BGB eingeschränkt werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Rechte Dritter können zudem betroffen sein, da gewisse Patientenakten auch Informationen über andere Personen enthalten, die durch die Offenlegung dieser Informationen in ihren Rechten verletzt werden könnten.
- Neben dem Erhalt einer Abschrift soll es auch weiterhin möglich bleiben, dass vor Ort eine Einsichtnahme in die Patientenakte erfolgt. Für den Fall soll jedoch weiterhin die Kostenregelung aus § 811 Abs. 2 BGB gelten.
Einordnung der geplanten neuen Regelungen
Es ist gut, dass der deutsche Gesetzgeber nach dem EuGH-Urteil aktiv wird. Gleichzeitig stellt sich die Frage, ob ein separater zivilrechtlicher Anspruch für das Arzt-Patienten-Verhältnis wirklich benötigt wird. Aus Sicht eines Patienten ist es schließlich weiterhin möglich, den Art. 15 DSGVO anstelle von § 630g BGB als Anspruchsgrundlage zu verwenden. Aus Perspektive eines Arztes / Krankenhauses ist es auch im Anwendungsbereich der DSGVO möglich, die Ausnahmen aus Art. 12 Abs. 5 DSGVO oder aus Art. 15 Abs. 4 DSGVO anzuwenden. Auch hierfür wäre die Regelung im BGB nicht notwendig.
Weil zumindest der Europäische Datenschutzausschuss davon ausgeht, dass eine Auskunft und Kopie gemäß Art. 15 Abs. 3 DSGVO auch mitunter durch Einsichtnahme vor Ort bereitgestellt werden können (siehe hier bspw. in Rn. 133), ist zumindest zweifelhaft, ob für die erste Einsichtnahme unter dem § 630g BGB-E überhaupt Kosten verlangt werden könnten. Für die Einsichtnahme könnten nur dann Kosten verlangt werden, wenn die Ansprüche aus Art. 15 Abs. 1 bis 3 DSGVO nicht auch durch Einsichtnahme vor Ort erfüllt werden könnten. Andernfalls muss der Grundsatz der Kostenfreiheit weiterhin gelten.
Aus Sicht von Ärzten / Krankenhäusern ist es sicher positiv, dass der deutsche Gesetzgeber die Chance nutzen möchte hat, eine Ausnahme vom Auskunftsrecht auf Basis von Art. 23 Abs. 1 lit. i DSGVO zu regeln, die nicht auf rein administrativen oder wirtschaftlichen Erwägungen basiert. Denn dazu hatte sich der EuGH bereits kritisch geäußert (siehe Rn. 64 bis 68 des Urteils).
Bei Rückfragen zur geplanten Gesetzesänderung oder dem EuGH-Urteil, können Sie sich jederzeit an uns wenden.
News
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.