·

Klinische Dokumentation

Gesundheitswesen

Praxismanager / Admin

DSGVO-Korrekturen in Patientenakten: Pflichten für Behandler

Erfahren Sie, was die DSGVO (GDPR) vorschreibt, wenn Patient:innen Korrekturen oder Löschungen in klinischen Akten beantragen – inklusive Audit-Trails und rechtlicher Ausnahmen

Gesundheitsakten stehen an der Schnittstelle zweier rechtlicher Verpflichtungen, die in entgegengesetzte Richtungen ziehen können. Die Datenschutz-Grundverordnung (DSGVO) gewährt Patientinnen und Patienten bedeutsame Rechte über ihre personenbezogenen Daten, einschließlich des Rechts auf Berichtigung unrichtiger Informationen und unter bestimmten Umständen auf Löschung. Gleichzeitig verlangen berufsrechtliche und regulatorische Rahmenwerke von Behandlern, vollständige, korrekte und unveränderte klinische Dokumentation der Versorgung zu führen. Für klinische Verwaltungskräfte, die täglich mit solchen Anfragen umgehen, ist es eine zentrale Anforderung der DSGVO-Compliance im Gesundheitswesen, genau zu verstehen, wo diese Verpflichtungen beginnen, enden und sich überschneiden.

Die zwei DSGVO-Rechte, auf die es hier ankommt: Berichtigung und Löschung

Zwei Artikel der DSGVO sind unmittelbar relevant, wenn eine Patientin oder ein Patient den Inhalt der klinischen Akte anfechtet.

Artikel 16, das Recht auf Berichtigung, gibt Einzelpersonen das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen und unvollständige personenbezogene Daten vervollständigen zu lassen. Wie die irische Datenschutzkommission bestätigt, gilt dieses Recht für faktische personenbezogene Daten (wie ein falsches Geburtsdatum, eine falsche Adresse oder einen falsch geschriebenen Namen) relativ unkompliziert. Es wird erheblich komplexer, wenn es sich bei den fraglichen Daten um eine klinische Meinung, eine Diagnose oder eine Behandlungsnotiz handelt.

Artikel 17, das Recht auf Löschung (auch Recht auf Vergessenwerden genannt), gibt Einzelpersonen das Recht, die Löschung ihrer personenbezogenen Daten unter bestimmten Umständen zu verlangen: wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, wenn die Einwilligung widerrufen wurde oder wenn die Daten unrechtmäßig verarbeitet wurden. Wie die Leitlinien des Information Commissioner's Office (ICO) zum Recht auf Löschung deutlich machen, ist dieses Recht nicht absolut. Das Recht gilt nur für personenbezogene Daten, die der Verantwortliche zum Zeitpunkt des Eingangs der Anfrage tatsächlich gespeichert hat.

Beide Rechte können von jeder identifizierten betroffenen Person geltend gemacht werden (in diesem Kontext die Patientin oder der Patient, deren oder dessen Akte geführt wird). Beide unterliegen einer Antwortfrist von einem Kalendermonat. Keines von beiden gilt ohne erhebliche Einschränkungen im Gesundheitswesen.

Wenn eine Patientin oder ein Patient eine Berichtigung verlangt: Was die DSGVO tatsächlich von Ihnen verlangt

Wenn eine Patientin oder ein Patient einen Berichtigungsantrag stellt, verlangt Artikel 16, dass der Verantwortliche (in der Regel die Gesundheitseinrichtung) prüft, ob die fraglichen Daten tatsächlich unrichtig oder unvollständig sind, und innerhalb eines Monats entsprechend handelt.

Bei einfachen Sachfehlern wie einer falschen NHS-Nummer oder einem falschen Geburtsdatum ist dies relativ unkompliziert. Der Eintrag wird korrigiert, die Änderung wird protokolliert und die Patientin oder der Patient wird benachrichtigt. Die Komplexität entsteht bei klinischen Einträgen (einschließlich Diagnosen, Beobachtungen, Risikobewertungen und Medikationsentscheidungen), bei denen der Begriff der Unrichtigkeit nicht selbstverständlich ist.

Das ICO geht direkt darauf ein. Seine Leitlinien zur Berichtigung besagen, dass, wenn eine Patientin oder ein Patient eine Diagnose erhält, die sich später als falsch herausstellt, die Patientenakte sowohl die ursprüngliche Diagnose als auch die endgültigen Befunde dokumentieren sollte. Der ursprüngliche Eintrag wird nicht gelöscht. Er wird kontextualisiert. Dies spiegelt ein Grundprinzip der klinischen Dokumentation wider: Die Akte dient dazu zu zeigen, was zu einem bestimmten Zeitpunkt bekannt war und entschieden wurde, nicht nur, was derzeit als wahr verstanden wird.

Berichtigung im Kontext klinischer Akten bedeutet fast immer einen Nachtrag oder eine Anmerkung, nicht das Überschreiben. Der GDPR-Hub-Kommentar zu Artikel 16 bestätigt, dass Berichtigung durch Änderung der Daten, durch teilweise oder vollständige Löschung oder durch Vervollständigung erreicht werden kann und dass die betroffene Person in manchen Situationen zwischen Berichtigung oder Löschung wählen kann. In der Praxis ist bei klinischen Akten die Vervollständigung durch eine ergänzende Erklärung der häufigste und rechtlich vertretbarste Ansatz.

Wenn eine Patientin oder ein Patient eine Löschung verlangt: Die Grenzen von Artikel 17 im Gesundheitswesen

Das Recht auf Löschung ist die Anfrage, die klinische Verwaltungskräfte am ehesten falsch handhaben (entweder indem sie es als automatisch gültig behandeln oder indem sie es ohne ordnungsgemäße Prüfung ablehnen). Keiner der beiden Ansätze ist rechtskonform.

Der vollständige Text von Artikel 17(3) legt mehrere Ausnahmen fest, die für Gesundheitsakten unmittelbar relevant sind. Löschung gilt nicht, wenn die Aufbewahrung erforderlich ist:

  • Zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten

  • Aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9(2)(h) und (i)

  • Für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche oder historische Forschungszwecke

  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

In der Praxis fallen die meisten klinischen Akten unter mindestens eine dieser Ausnahmen. Nationale Rechtsvorschriften in den Mitgliedstaaten der Europäischen Union und im Vereinigten Königreich schreiben gesetzliche Mindestaufbewahrungsfristen für Patientenakten vor (in der Regel zwischen acht und dreißig Jahren, je nach Aktentyp und Rechtsordnung), die eine rechtliche Verpflichtung gemäß Artikel 17(3)(a) darstellen. Die Leitlinien von Secure Privacy für Datenschutzbeauftragte im Gesundheitswesen bestätigen, dass Löschungsanträge rechtmäßig abgelehnt werden können, wenn eine gesetzliche Aufbewahrungspflicht besteht.

Die koordinierte Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses (EDSA) 2025 ergab allerdings, dass Verantwortliche die Ausnahmen nach Artikel 17(3) häufig falsch anwendeten, indem sie diese als automatisch anwendbar behandelten, ohne Einzelfallprüfungen durchzuführen. Die Maßnahme analysierte Antworten von 764 Verantwortlichen in ganz Europa. Neun Datenschutzbehörden leiteten daraufhin formelle Durchsetzungsverfahren ein. Die Lehre für klinische Verwaltungskräfte ist klar: Die Ablehnung eines Löschungsantrags erfordert eine dokumentierte Begründung, keine pauschale Richtlinie.

Selbst wenn ein Löschungsantrag rechtmäßig abgelehnt wird, muss die Organisation der Patientin oder dem Patienten innerhalb eines Monats antworten, die Ablehnungsgründe erläutern und über das Recht informieren, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

Die Anforderung an den Prüfpfad: Was bei einer Änderung der Akte dokumentiert werden muss

Wann immer ein klinischer Akteneintrag korrigiert, kommentiert oder als umstritten gekennzeichnet wird, muss die Organisation einen vollständigen Prüfpfad führen. Dies ist sowohl eine DSGVO-Rechenschaftspflicht als auch eine medizinisch-rechtliche Notwendigkeit.

Ein rechtskonformer Prüfpfad für eine Aktenänderung muss Folgendes erfassen:

  • Die Identität der Person, die die Änderung vorgenommen hat

  • Datum und Uhrzeit der Änderung

  • Den Grund für die Änderung

  • Den Inhalt des ursprünglichen Eintrags, vollständig erhalten

  • Die Art der Änderung (Nachtrag, Korrektur oder Streitkennzeichnung)

Die Richtlinie für den Zugang zu Hausarztakten, die mit den NHS-Leitlinien übereinstimmt, besagt ausdrücklich: „Informationen können aus der Anzeige entfernt werden, aber der Prüfpfad wird die Akte immer vollständig erhalten. Änderungen an Akten können vorgenommen werden, sofern die Änderungen so vorgenommen werden, dass erkennbar ist, warum die Änderung vorgenommen wurde, sodass klar ist, dass die Akten nicht manipuliert wurden."

Das Überschreiben oder Löschen ursprünglicher Einträge ohne Spur ist einer der schwerwiegendsten Compliance-Fehler, den eine klinische Verwaltungskraft machen kann. Es entsteht gleichzeitig ein DSGVO-Risiko (Verstoß gegen die Rechenschaftspflicht nach Artikel 5(2)) und ein medizinisch-rechtliches Risiko (potenzieller Nachweis von Aktenmanipulation in einer Untersuchung wegen klinischer Fahrlässigkeit oder einer behördlichen Untersuchung). Prüfpfade müssen manipulationssicher sein und sollten detaillierte Angaben zu jeder Interaktion erfassen, einschließlich Benutzeridentität, Zeitstempel, IP-Adresse, Gerätekennung, Datenklassifizierung und durchgeführter Aktion, wie es die DSGVO-Rechenschaftsgrundsätze und die NHS-Leitlinien zum Management von Gesundheitsakten verlangen.

Wie berufliche Standards und Aufsichtsbehörden mit DSGVO-Verpflichtungen interagieren

Die DSGVO setzt eine Untergrenze, keine Obergrenze. Nationale Ärztekammern, Berufsaufsichtsbehörden und Gesundheitssystemgremien fügen zusätzliche Verpflichtungen hinzu. In den meisten Fällen verstärken diese den DSGVO-Ansatz zur Aktenintegrität, anstatt ihm zu widersprechen.

Im Vereinigten Königreich verlangen sowohl der General Medical Council (GMC) als auch der Nursing and Midwifery Council (NMC) von Behandlern, klare, genaue und zeitnahe Aufzeichnungen zu führen. Die NHS-Leitlinien zum Aktenmanagement legen Aufbewahrungsfristen fest, die die Mindestdauer bestimmen, für die verschiedene Aktentypen aufbewahrt werden müssen. Diese Verpflichtungen stehen in direktem Zusammenhang mit Artikel 17(3)(a): Wo eine gesetzliche oder regulatorische Aufbewahrungspflicht besteht, bietet sie die Rechtsgrundlage, um einen Löschungsantrag abzulehnen.

In den EU-Mitgliedstaaten ist das Bild ähnlich, aber variabel. Nationale Rechtsrahmen in Schweden, dem Vereinigten Königreich und Deutschland spiegeln die DSGVO weitgehend wider und bieten gleichzeitig unterschiedliche zusätzliche Mechanismen für den Umgang mit Fehlern in Patientenaktensystemen. Der kommende Europäische Gesundheitsdatenraum (EHDS) wird voraussichtlich den Berichtigungsprozess innerhalb digitaler Gesundheitsdienste verorten und möglicherweise systemintegrierte Patienteneingaben ermöglichen, obwohl dies zum Zeitpunkt der Erstellung dieses Artikels noch prospektiv ist.

Klinische Verwaltungskräfte, die grenzüberschreitend tätig sind oder in Organisationen arbeiten, die sowohl der UK GDPR als auch der EU-DSGVO unterliegen, sollten sich bewusst sein, dass die Vorschriften der Mitgliedstaaten strenger sein können als die DSGVO-Grundlinie. Bei unklarem anwendbarem Rahmen sollten sie rechtsgebietsspezifische Rechtsberatung einholen.

Das korrekte Verfahren zur Bearbeitung eines Berichtigungsantrags Schritt für Schritt

Der folgende Arbeitsablauf spiegelt die Anforderungen der Artikel 16 und 19 DSGVO, die einmonatige Antwortfrist und bewährte Verfahren für das Management klinischer Akten wider.

Schritt 1: Antrag empfangen und protokollieren. Dokumentieren Sie das Eingangsdatum. Die einmonatige Frist beginnt sofort, unabhängig davon, wie der Antrag eingereicht wurde (Brief, E-Mail, Online-Formular oder mündlicher Antrag mit schriftlicher Bestätigung).

Schritt 2: Identität der Patientin oder des Patienten überprüfen. Bearbeiten Sie den Antrag nicht, bevor die Identität bestätigt ist. Dies schützt vor unbefugten Änderungen an Akten Dritter.

Schritt 3: Die spezifischen Daten identifizieren. Bitten Sie die Patientin oder den Patienten, genau anzugeben, welchen Eintrag oder welche Einträge sie oder er für unrichtig oder unvollständig hält und welche Berichtigung gewünscht wird.

Schritt 4: Den verantwortlichen Behandler konsultieren. Die NHS-konforme Aktenrichtlinie ist eindeutig: „Wenn sich der Streit auf einen medizinischen Eintrag bezieht, sollte der Behandler, der den Eintrag vorgenommen hat, konsultiert werden, und es sollte geprüft werden, ob eine Änderung angemessen ist." Dieser Schritt ist nicht optional.

Schritt 5: Die angemessene Maßnahme bestimmen. Basierend auf der Einschätzung des Behandlers und der Art der Daten:

  • Wenn der Eintrag einen eindeutigen Sachfehler enthält (falsches Datum, falscher Name): korrigieren Sie ihn und bewahren Sie das Original im Prüfpfad auf

  • Wenn der Eintrag eine klinische Meinung ist, zu der der Behandler steht: fügen Sie eine ergänzende Notiz hinzu, die den Widerspruch der Patientin oder des Patienten dokumentiert, ohne das Original zu ändern

  • Wenn der Eintrag tatsächlich unvollständig ist: fügen Sie eine Vervollständigungserklärung hinzu

Schritt 6: Die Akte rechtskonform aktualisieren. Bewahren Sie den ursprünglichen Eintrag auf, datieren und kennzeichnen Sie die Änderung eindeutig und dokumentieren Sie den Grund für die Änderung.

Schritt 7: Die Patientin oder den Patienten über das Ergebnis informieren. Antworten Sie innerhalb eines Kalendermonats nach dem ursprünglichen Antrag. Wenn der Antrag ganz oder teilweise abgelehnt wird, erläutern Sie die Gründe und informieren Sie über das Recht, sich bei der Aufsichtsbehörde zu beschweren.

Schritt 8: Den Entscheidungsprozess dokumentieren. Dokumentieren Sie, was geprüft wurde, wer konsultiert wurde, welche Entscheidung getroffen wurde und warum. Diese Dokumentation ist der Nachweis der Organisation für die Compliance, falls die Entscheidung später angefochten wird.

Was zu tun ist, wenn Sie mit der Version der Patientin oder des Patienten nicht übereinstimmen

Eine Patientin oder ein Patient kann behaupten, dass ein klinischer Eintrag unrichtig ist, während der Behandler, der den Eintrag vorgenommen hat, zu dessen Richtigkeit steht. Dies ist eines der häufigsten und am meisten missverstandenen Szenarien im Management klinischer Akten.

Die DSGVO verlangt nicht von Gesundheitsdienstleistern, die bevorzugte Version der Patientin oder des Patienten als Tatsache zu akzeptieren. Die Leitlinien der irischen Datenschutzkommission sind ausdrücklich, dass weder das Recht auf Berichtigung noch das Recht auf Löschung ohne Weiteres auf medizinische Meinungen, Diagnosen und klinische Behandlungsnotizen anwendbar sind, gerade weil diese professionelle Beurteilungen und nicht objektive Fakten darstellen.

Die DSGVO-konforme Reaktion in einem Szenario mit umstrittenem klinischen Eintrag besteht darin, der Akte eine Notiz hinzuzufügen, die angibt, dass die Patientin oder der Patient den Eintrag bestreitet, während die ursprüngliche Dokumentation des Behandlers intakt bleibt. Dieser Ansatz:

  • Bewahrt die Integrität der ursprünglichen klinischen Akte

  • Erkennt das Recht der Patientin oder des Patienten an, die eigene Sichtweise dokumentieren zu lassen

  • Schafft einen transparenten Prüfpfad, der zeigt, dass der Streit bearbeitet wurde

  • Verlangt nicht von der Organisation, zwischen konkurrierenden Darstellungen zu entscheiden

Die einmonatige Antwortfrist gilt weiterhin. Die Patientin oder der Patient muss über das Ergebnis informiert werden, einschließlich der Tatsache, dass der ursprüngliche Eintrag beibehalten wurde, und über das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn weiterhin Unzufriedenheit besteht.

Benachrichtigungen Dritter: Müssen Sie andere über die Änderung informieren?

Artikel 19 der DSGVO verlangt von Verantwortlichen, jeden Dritten, dem die Daten offengelegt wurden, über eine Berichtigung oder Löschung zu informieren, es sei denn, dies ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden. Wenn eine Benachrichtigung Dritter erfolgt ist, muss der Verantwortliche die betroffene Person auf Anfrage auch über diese Empfänger informieren.

Im klinischen Kontext hat diese Verpflichtung direkte operative Auswirkungen. Wenn die Akte einer Patientin oder eines Patienten geändert wurde und diese Akte zuvor mit einem Anbieter der stationären Versorgung nach einer Überweisung geteilt wurde, einem Facharzt, der ein Überweisungsschreiben erhalten hat, einem Versicherer oder Arbeitgeber (wenn die Patientin oder der Patient der Offenlegung zugestimmt hat) oder einem Sozialversorgungsteam, dann sollte grundsätzlich jeder dieser Empfänger über die Änderung informiert werden. In der Praxis erfordert dies von klinischen Verwaltungskräften, klare Aufzeichnungen darüber zu führen, wer welche Informationen wann erhalten hat.

Die Ausnahme des unverhältnismäßigen Aufwands bietet eine gewisse Erleichterung, wenn die Benachrichtigung tatsächlich unpraktikabel ist, beispielsweise wenn Daten vor vielen Jahren mit mehreren Parteien geteilt wurden und Kontaktdaten nicht mehr verfügbar sind. Diese Ausnahme erfordert jedoch eine dokumentierte Begründung. Sie kann nicht standardmäßig geltend gemacht werden.

Häufige Fehler, die klinische Verwaltungskräfte bei der Bearbeitung dieser Anträge machen

Die Durchsetzungsergebnisse des EDSA 2025 identifizierten systematische Fehler bei Verantwortlichen im Umgang mit Löschungsrechten. Im Kontext klinischer Akten umfassen die häufigsten Compliance-Fehler:

  • Versäumen der einmonatigen Frist. Die Frist beginnt am Eingangsdatum, nicht am Datum der formellen Protokollierung oder internen Zuweisung. Verzögerungen bei der internen Weiterleitung sind kein gültiger Grund für eine verspätete Antwort.

  • Überschreiben ursprünglicher Einträge. Das Ersetzen eines ursprünglichen Eintrags ohne Aufbewahrung in einem Prüfpfad ist sowohl ein DSGVO-Rechenschaftsverstoß als auch eine potenzielle medizinisch-rechtliche Haftung.

  • Versäumnis, den Entscheidungsprozess zu dokumentieren. Die Entscheidung, eine Akte nicht zu ändern oder einen Nachtrag statt einer Korrektur hinzuzufügen, erfordert eine dokumentierte Begründung. Eine nicht dokumentierte Entscheidung ist eine nicht vertretbare Entscheidung.

  • Alle Löschungsanträge als automatisch gültig behandeln. Das Akzeptieren von Löschungsanträgen ohne Prüfung, ob eine Ausnahme gilt, insbesondere die gesetzliche Aufbewahrungsausnahme, setzt die Organisation dem Risiko aus, Akten zu vernichten, die sie gesetzlich aufbewahren muss.

  • Alle Löschungsanträge als automatisch ungültig behandeln. Der EDSA identifizierte das reflexartige Ablehnen aller Löschungsanträge ohne Einzelfallprüfung als häufigen und sanktionierbaren Fehler.

  • Nicht an den Datenschutzbeauftragten (DSB) eskalieren. Komplexe Anträge, Streitigkeiten mit sensiblen Daten oder Fälle, in denen die Rechtsgrundlage für die Aufbewahrung wirklich unklar ist, sollten an den DSB gehen, anstatt auf Verwaltungsebene gelöst zu werden.

Wann eskaliert werden sollte: Ihr DSB, Ihr Rechtsteam und Ihre Aufsichtsbehörde

Nicht jeder Berichtigungs- oder Löschungsantrag kann oder sollte auf der Ebene der klinischen Verwaltung gelöst werden. Die folgenden Szenarien rechtfertigen eine Eskalation an den DSB, das Rechtsteam oder in einigen Fällen die Aufsichtsbehörde:

  • Anträge von Minderjährigen. Das Zusammenspiel zwischen elterlichen Rechten, Gillick-Kompetenz (in britischen Rechtsordnungen) und den eigenen Datenrechten des Kindes erfordert rechtliche Beratung.

  • Grenzüberschreitend geteilte Akten. Wenn Daten an Auftragsverarbeiter oder Empfänger in anderen Rechtsordnungen übermittelt wurden, können die anwendbaren Aufbewahrungs- und Löschungsregeln unterschiedlich sein.

  • Echte Unsicherheit über die Rechtsgrundlage für die Aufbewahrung. Wenn nicht klar ist, ob eine gesetzliche Aufbewahrungspflicht gilt oder ob eine Ausnahme aus öffentlichem Interesse greift, ist dies eine rechtliche Frage, keine administrative.

  • Anträge, die sich offenbar auf einen möglichen Rechtsanspruch beziehen. Wenn es Hinweise darauf gibt, dass die Patientin oder der Patient ein Gerichtsverfahren erwägt oder eingeleitet hat, hat die Akte potenziellen Beweiswert und jede Änderung erfordert Rechtsberatung.

  • Wiederholte oder eskalierende Streitigkeiten. Wenn sich eine Patientin oder ein Patient bereits bei der Aufsichtsbehörde beschwert hat oder angegeben hat, dies zu tun, muss der DSB einbezogen werden.

Gemäß Artikel 37 DSGVO sind die meisten EU-Gesundheitsorganisationen, die Gesundheitsdaten in großem Umfang verarbeiten, verpflichtet, einen Datenschutzbeauftragten zu benennen. Die Gesundheitsleitlinien von Secure Privacy bestätigen, dass Verfahren vorhanden sein müssen, damit Patientinnen und Patienten alle Betroffenenrechte ausüben können, und dass die Rolle des DSB darin besteht, bei Anträgen zu beraten, die mit gesetzlichen Verpflichtungen in Konflikt stehen. Klinische Verwaltungskräfte sollten wissen, wer ihr DSB ist, wie sie ihn kontaktieren können und welche Schwelle eine Überweisung auslöst, bevor ein komplexer Antrag eintrifft, nicht danach.

Häufig gestellte Fragen

Haben Patientinnen und Patienten das Recht, ihre klinischen Akten gemäß DSGVO zu korrigieren?

Ja, aber mit wichtigen Einschränkungen. Artikel 16 der Datenschutz-Grundverordnung gibt Patientinnen und Patienten das Recht, unrichtige personenbezogene Daten berichtigen zu lassen. Bei einfachen Sachfehlern (einem falschen Geburtsdatum oder einem falsch geschriebenen Namen) ist die Korrektur relativ unkompliziert. Bei klinischen Einträgen wie Diagnosen, Risikobewertungen oder Behandlungsnotizen ist der Begriff der Unrichtigkeit komplexer. Das professionelle Urteil eines Behandlers ist nicht dasselbe wie eine objektive Tatsache. Die irische Datenschutzkommission bestätigt, dass das Recht auf Berichtigung nicht ohne Weiteres auf medizinische Meinungen und klinische Behandlungsnotizen anwendbar ist.

Kann eine Patientin oder ein Patient die Löschung der Patientenakte gemäß DSGVO verlangen?

Patientinnen und Patienten können einen Löschungsantrag gemäß Artikel 17 der DSGVO stellen, aber dieses Recht ist im Gesundheitswesen nicht absolut. Die meisten klinischen Akten fallen unter mindestens eine der Ausnahmen nach Artikel 17(3), einschließlich der Erfüllung einer rechtlichen Verpflichtung, des öffentlichen Interesses an der öffentlichen Gesundheit oder der Geltendmachung oder Verteidigung von Rechtsansprüchen. Nationale Rechtsvorschriften in den EU-Mitgliedstaaten und im Vereinigten Königreich legen gesetzliche Mindestaufbewahrungsfristen für Patientenakten fest (in der Regel zwischen acht und dreißig Jahren), die eine rechtliche Verpflichtung darstellen, die es Organisationen erlaubt, Löschungsanträge rechtmäßig abzulehnen. Die Ablehnung erfordert jedoch eine dokumentierte Einzelfallbegründung, keine pauschale Richtlinie.

Was ist die korrekte Vorgehensweise zur Änderung einer klinischen Akte, wenn eine Patientin oder ein Patient einen Eintrag bestreitet?

Der korrekte Ansatz besteht darin, der Akte einen Nachtrag oder eine Anmerkung hinzuzufügen, nicht den ursprünglichen Eintrag zu überschreiben oder zu löschen. Wenn eine Patientin oder ein Patient eine klinische Meinung bestreitet, zu der der verantwortliche Behandler steht, sollte eine ergänzende Notiz hinzugefügt werden, die den Widerspruch dokumentiert, während die ursprüngliche Dokumentation intakt bleibt. Wenn der Eintrag einen echten Sachfehler enthält, sollte er korrigiert werden, wobei das Original im Prüfpfad erhalten bleibt. Das Information Commissioner's Office bestätigt, dass, wenn sich eine Diagnose später als falsch herausstellt, die Akte sowohl die ursprüngliche Diagnose als auch die endgültigen Befunde zeigen sollte.

Was muss ein Prüfpfad enthalten, wenn eine klinische Akte geändert wird?

Ein rechtskonformer Prüfpfad muss die Identität der Person, die die Änderung vorgenommen hat, Datum und Uhrzeit der Änderung, den Grund für die Änderung, den vollständigen Inhalt des ursprünglichen Eintrags und die Art der Änderung erfassen. Die NHS-Leitlinien sind ausdrücklich, dass Informationen aus der Anzeige entfernt werden können, aber der Prüfpfad muss die Akte immer vollständig erhalten. Das Überschreiben ursprünglicher Einträge ohne Spur schafft sowohl einen DSGVO-Rechenschaftsverstoß nach Artikel 5(2) als auch ein medizinisch-rechtliches Risiko, einschließlich potenziellen Nachweises von Aktenmanipulation in einer Untersuchung wegen klinischer Fahrlässigkeit.

Wie lange hat eine Gesundheitseinrichtung Zeit, auf einen Berichtigungs- oder Löschungsantrag zu antworten?

Sowohl das Recht auf Berichtigung nach Artikel 16 als auch das Recht auf Löschung nach Artikel 17 unterliegen einer Antwortfrist von einem Kalendermonat. Die Frist beginnt am Eingangsdatum des Antrags, nicht am Datum der formellen Protokollierung oder internen Zuweisung. Wenn der Antrag ganz oder teilweise abgelehnt wird, muss die Organisation dennoch innerhalb dieses Monats antworten, die Ablehnungsgründe erläutern und über das Recht informieren, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

Verlangt die DSGVO von Gesundheitsdienstleistern, die Version der Patientin oder des Patienten als Tatsache zu akzeptieren?

Nein. Die DSGVO verlangt nicht von Gesundheitsdienstleistern, die bevorzugte Version der Patientin oder des Patienten als Tatsache zu akzeptieren. Die irische Datenschutzkommission ist ausdrücklich, dass das Recht auf Berichtigung nicht ohne Weiteres auf medizinische Meinungen, Diagnosen und klinische Behandlungsnotizen anwendbar ist, weil diese professionelle Beurteilungen und nicht objektive Fakten darstellen. Wenn ein Behandler zu seinem ursprünglichen Eintrag steht, besteht die DSGVO-konforme Reaktion darin, eine Notiz hinzuzufügen, die dokumentiert, dass die Patientin oder der Patient den Eintrag bestreitet, während die ursprüngliche Dokumentation intakt bleibt. Die Patientin oder der Patient muss dann über das Ergebnis und über das Recht informiert werden, sich bei der Aufsichtsbehörde zu beschweren.

Löst die Änderung einer klinischen Akte eine Pflicht zur Benachrichtigung Dritter aus?

Ja. Artikel 19 der DSGVO verlangt von Verantwortlichen, jeden Dritten, dem die Daten offengelegt wurden, über eine Berichtigung oder Löschung zu informieren, es sei denn, dies ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden. Im klinischen Kontext kann dies Anbieter der stationären Versorgung umfassen, die eine Überweisung erhalten haben, Fachärzte, die ein Überweisungsschreiben erhalten haben, oder Sozialversorgungsteams. Klinische Verwaltungskräfte müssen klare Aufzeichnungen darüber führen, wer welche Informationen wann erhalten hat. Die Ausnahme des unverhältnismäßigen Aufwands kann gelten, wenn die Benachrichtigung tatsächlich unpraktikabel ist, erfordert aber eine dokumentierte Begründung und kann nicht standardmäßig verwendet werden.

Was sind die häufigsten Fehler bei der Bearbeitung von Berichtigungs- und Löschungsanträgen von Patientinnen und Patienten?

Die koordinierten Durchsetzungsergebnisse des Europäischen Datenschutzausschusses 2025 identifizierten mehrere wiederkehrende Fehler. Dazu gehören das Versäumen der einmonatigen Antwortfrist, das Überschreiben ursprünglicher Einträge ohne Aufbewahrung in einem Prüfpfad, das Versäumnis, die Begründung hinter Entscheidungen zu dokumentieren, das Behandeln aller Löschungsanträge als automatisch gültig und das Behandeln aller Löschungsanträge als automatisch ungültig ohne Einzelfallprüfung. Der EDSA stellte fest, dass neun Datenschutzbehörden formelle Durchsetzungsverfahren einleiteten, weil Verantwortliche die Ausnahmen nach Artikel 17(3) ohne ordnungsgemäße individuelle Prüfung falsch anwendeten.

Wann sollte eine klinische Verwaltungskraft einen Berichtigungs- oder Löschungsantrag an den Datenschutzbeauftragten eskalieren?

Mehrere Szenarien rechtfertigen eine Eskalation statt einer Lösung auf Verwaltungsebene. Dazu gehören Anträge von Minderjährigen, bei denen elterliche Rechte und die eigenen Datenrechte des Kindes aufeinandertreffen. Grenzüberschreitend geteilte Akten, bei denen unterschiedliche Aufbewahrungsregeln gelten können. Fälle, in denen echte Unsicherheit über die Rechtsgrundlage für die Aufbewahrung besteht. Anträge, die sich möglicherweise auf einen potenziellen Rechtsanspruch beziehen, bei denen die Akte Beweiswert hat. Und Situationen, in denen sich die Patientin oder der Patient bereits bei der Aufsichtsbehörde beschwert hat oder angegeben hat, dies zu tun. Gemäß Artikel 37 der DSGVO sind die meisten EU-Gesundheitsorganisationen, die Gesundheitsdaten in großem Umfang verarbeiten, verpflichtet, einen Datenschutzbeauftragten zu benennen. Klinische Verwaltungskräfte sollten wissen, wer ihrer ist, bevor ein komplexer Antrag eintrifft.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.