News
Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte
Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.
Zum Hintergrund der geplanten Regelungen
Der EuGH hatte auf Vorlage des Bundesgerichtshofs das Verhältnis von § 630g BGB zur DSGVO u.a. in Bezug auf die Kostentragung und den Umfang des Kopie-Anspruchs im Arzt-Patienten-Verhältnis beurteilt. Demnach steht einem Patienten das Recht zu, eine vollständige erste kostenfreie Kopie der Dokumente zu erhalten, die sich in seiner/ihrer Patientenakte befinden, da dies laut dem EuGH zum Verständnis der in dieser Akte enthaltenen personenbezogenen Daten erforderlich ist. Weil bislang in § 630g Abs. 2 BGB eine Kostenpflicht für solche Kopien normiert ist und dies im Widerspruch zu der Kostenfreiheit im Rahmen der DSGVO steht, ist eine Gesetzesänderung geboten.
Der Inhalt der geplanten Regelungen
Der Referentenentwurf für die Neufassung des § 630g BGB umfasst insbesondere folgende Themenpunkte:
- Mit § 630g BGB-E soll ein zu Art. 15 Abs. 1 und 3 DSGVO ergänzendes Recht auf Einsichtnahme betreffend der Patientenakte geschaffen werden.
- § 630g BGB-E regelt, dass Art. 12 Abs. 3 und 5 DSGVO auch für den Anspruch aus § 630g Abs. 1 BGB gelten. Wichtig: demnach soll zur Bearbeitung des behandlungsvertraglichen Anspruchs grundsätzlich die Monatsfrist gelten, die bei Komplexität um zwei Monate verlängert werden kann, aber gegenüber dem Anspruchssteller zu begründen ist. Auch soll bei elektronischem Antrag nach § 630g die Auskunftserteilung elektronisch erfolgen, soweit kein gegenteiliger Wunsch seitens des Patienten geäußert wird. Zudem könnte sich der Arzt / das Krankenhaus bei offenkundig unbegründeten oder exzessiven Anträgen weigern, den Antrag nach dem BGB zu beantworten.
- § 630g BGB-E enthält auch einen Verweis auf Art. 15 Abs. 3 DSGVO, der ebenfalls für den BGB-Anspruch gelten soll. Die Sätze 2 und 3 dieser Vorschrift fordern, dass für die Beauskunftung im entsprechenden Fall ein gängiges elektronisches Format verwendet werden soll und die erste Kopie der Patientenakte unentgeltlich zu erfolgen hat. Für weitere Kopien kann der Verantwortliche ein angemessenes Entgelt verlangen.
- Nach § 630g Abs. 2 BGB-E kann der Auskunftsanspruch aus dem BGB eingeschränkt werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Rechte Dritter können zudem betroffen sein, da gewisse Patientenakten auch Informationen über andere Personen enthalten, die durch die Offenlegung dieser Informationen in ihren Rechten verletzt werden könnten.
- Neben dem Erhalt einer Abschrift soll es auch weiterhin möglich bleiben, dass vor Ort eine Einsichtnahme in die Patientenakte erfolgt. Für den Fall soll jedoch weiterhin die Kostenregelung aus § 811 Abs. 2 BGB gelten.
Einordnung der geplanten neuen Regelungen
Es ist gut, dass der deutsche Gesetzgeber nach dem EuGH-Urteil aktiv wird. Gleichzeitig stellt sich die Frage, ob ein separater zivilrechtlicher Anspruch für das Arzt-Patienten-Verhältnis wirklich benötigt wird. Aus Sicht eines Patienten ist es schließlich weiterhin möglich, den Art. 15 DSGVO anstelle von § 630g BGB als Anspruchsgrundlage zu verwenden. Aus Perspektive eines Arztes / Krankenhauses ist es auch im Anwendungsbereich der DSGVO möglich, die Ausnahmen aus Art. 12 Abs. 5 DSGVO oder aus Art. 15 Abs. 4 DSGVO anzuwenden. Auch hierfür wäre die Regelung im BGB nicht notwendig.
Weil zumindest der Europäische Datenschutzausschuss davon ausgeht, dass eine Auskunft und Kopie gemäß Art. 15 Abs. 3 DSGVO auch mitunter durch Einsichtnahme vor Ort bereitgestellt werden können (siehe hier bspw. in Rn. 133), ist zumindest zweifelhaft, ob für die erste Einsichtnahme unter dem § 630g BGB-E überhaupt Kosten verlangt werden könnten. Für die Einsichtnahme könnten nur dann Kosten verlangt werden, wenn die Ansprüche aus Art. 15 Abs. 1 bis 3 DSGVO nicht auch durch Einsichtnahme vor Ort erfüllt werden könnten. Andernfalls muss der Grundsatz der Kostenfreiheit weiterhin gelten.
Aus Sicht von Ärzten / Krankenhäusern ist es sicher positiv, dass der deutsche Gesetzgeber die Chance nutzen möchte hat, eine Ausnahme vom Auskunftsrecht auf Basis von Art. 23 Abs. 1 lit. i DSGVO zu regeln, die nicht auf rein administrativen oder wirtschaftlichen Erwägungen basiert. Denn dazu hatte sich der EuGH bereits kritisch geäußert (siehe Rn. 64 bis 68 des Urteils).
Bei Rückfragen zur geplanten Gesetzesänderung oder dem EuGH-Urteil, können Sie sich jederzeit an uns wenden.
News
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.
Bestandskundenwerbung (nur) nach UWG: EuGH-Entscheidung Inteligo Media
Der EuGH hat in der Rechtssache C-654/23 (Inteligo Media) klargestellt, dass bei Bestandskundenwerbung nach Art. 13 Abs. 2 ePrivacy-RL die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO nicht zur Anwendung kommen. Damit weicht das Urteil von der bislang vielfach vertretenen Behördenpraxis ab. Zugleich erweitert der EuGH durch seine Auslegung des Begriffs „Verkauf“ den Anwendungsbereich der Bestandskundenausnahme.
Wer ist „Geschäftsleitung“ nach dem BSIG? Prokurist, CIO, Komplementär im Fokus
Das durch die europäische NIS-2-Richtlinie geänderte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) bringt eine ganze Reihe an Neuerungen im Bereich der IT-Sicherheit. Im Gegensatz zu sonstigen Rechtsakten der europäischen Digitalgesetzgebung enthalten die Änderungen des BSIG durch die NIS-2-Richtlinie eine neue Vorgabe, die explizit Geschäftsleitungen von BSIG-relevanten Unternehmen und sonstigen Stellen besonders interessieren dürfte.
Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG
Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.