Im Mai 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) seinen Tätigkeitsbericht für das Jahr 2024 vorgestellt. Ein Schwerpunkt bei seiner Tätigkeit war erneut das Gesundheitswesen – dieser soll in Auszügen kurz vorgestellt werden.
Veröffentlichung von Patientendaten im Rahmen von Google-Rezensionen
Der HBDI führte im Jahr 2024 zwei Verfahren gegen Arztpraxen durch, die im Rahmen von Rezensionen personenbezogene Daten ihrer Patientinnen und Patienten veröffentlicht hatten. Die Ärztinnen und Ärzte reagierten hierbei auf negative Bewertung ihrer Patientinnen und Patienten öffentlich und offenbarten sowohl Patienten- als auch Behandlungsdaten. Unter anderen wurden die Patientinnen und Patienten im Klarnamen angesprochen, es wurden Behandlungsdetails, Diagnosen, Befunde, Medikation und andere Informationen zur Behandlung von ihnen veröffentlicht. Eine Einwilligung der Patientinnen und Patienten in die Veröffentlichung lag nicht vor.
In den beiden Verfahren wurden von Seiten des HBDI Geldbußen in Höhe von insgesamt 3.700 Euro bzw. 3.300 Euro verhängt. Diese Entscheidungen wurden rechtskräftig.
Auch bei der Landesärztekammer Hessen gehen häufiger Beschwerden von Patientinnen und Patienten über Ärztinnen und Ärzte ein, denen eine Schweigepflichtverletzung im Rahmen von Google-Rezensionen vorgeworfen werden. Hervorzuheben ist ein Fall, bei dem der Patient ursprünglich seine Google-Rezension mit Klarnamen abgab. Nachdem der Arzt ihm unter Verwendung des Klarnamens geantwortet hatte, anonymisierte der Patient seine ursprüngliche Google-Rezension und beschwerte sich bei der Landesärztekammer Hessen über den Arzt. Durch die Anonymisierung der Google-Rezensionen durch den Patienten, die von dem Arzt nicht ebenfalls vorgenommen wurde, verstieß der Arzt gegen seine ärztliche Schweigepflicht.
→ Bewertungen im Internet führen häufig zu einer nachvollziehbaren emotionalen Belastung, gerade wenn die darin erhobenen Vorwürfe nicht den Tatsachen entsprechen sollten. Es ist jedoch zu beachten, dass auf keinen Fall unbekannte Behandlungsinhalte oder Klarnamen der Patientinnen und Patienten in Google-Rezensionen veröffentlicht werden sollten. Zu Bedenken ist auch immer, dass Google-Rezensionen von Patientinnen und Patienten noch verändert werden können.
Unsachgemäße Aufbewahrung von Patientenunterlagen
In einem anderen Verfahren konnte der HBDI folgende Feststellungen treffen: Ein Praxismanager, der die Abrechnung für eine Arztpraxis erstellte und hierfür Zugang zu den Patientenakten hatte, nahm Patientenakten mit nach Hause, um dort zu arbeiten. Die Patientendokumentation verwahrte der Praxismanager in offenen Regalen, wobei das Arbeitszimmer nicht durchgehend abgeschlossen war. Bei einer Feier legten die Gäste ihre Jacken und Handtaschen dort ab, so dass die Möglichkeit bestand, Einsicht in die Patientenakten zu nehmen.
Darüber hinaus bat der Praxismanager seine Lebensgefährtin, mit ihrem privaten Smartphone Aufnahmen von Ausgangsrechnungen aus den Patientenunterlagen zu machen und ihm per WhatsApp zu schicken. Zu diesem Zeitpunkt war die Lebensgefährtin spontan mit dem Pkw, in dem sich die Patientenunterlagen befanden, auf eine länge Reise gefahren. Da der Praxismanager die Unterlagen jedoch für einen am darauffolgenden Tag geplanten Termin mit dem Steuerberater benötigte, hatte er die Dokumente angefragt.
Der HBDI verhängte eine Geldbuße in Höhe von 2.500 Euro gegen die Praxisinhaberin.
→ Zu beachten ist in diesem Fall, dass das Verhalten des Praxismanagers der Praxisinhaberin als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO (Datenschutz-Grundverordnung) zuzurechnen ist. Sollten Mitarbeiterinnen und Mitarbeiter einer Arztpraxis oder Ärztinnen und Ärzte Patientenakten mit nach Hause nehmen, müssen dort die gleichen Datenschutzvorkehrungen eingehalten werden wie in der Arztpraxis. Die Mitnahme von Patientenakten in den privaten Wohnbereich sollte in der Regel unterbleiben und nur in absoluten Ausnahme- oder Eilfällen erfolgen.
Kostenlose Kopie der Patientenakte
Mit seinem Urteil vom 26. Oktober 2023 (C-307/22) beendete der EuGH (Gerichtshof der Europäischen Union) eine jahrelange juristische Diskussion zum Umfang des Auskunftsanspruchs nach Art. 15 DSGVO der Patientinnen und Patienten gegenüber einer Arztpraxis.
Der HBDI berichtet jedoch weiterhin von einer Vielzahl von Eingaben hinsichtlich des Auskunftsanspruchs nach Art. 15 DSGVO, bei denen Ärztinnen und Ärzten vorgeworfen wird, die Patientenakten nicht herauszugeben oder dem erst nach wiederholten Nachfragen und mit Zeitverzug nachzukommen. Zudem werde für die erste Kopie häufig noch ein Entgelt verlangt.
→ Patientinnen und Patienten haben einen Anspruch aus Art. 15 Abs. 3 DSGVO auf eine unentgeltliche erste Kopie der gesamten, sie betreffenden Patientenakte. Der Anspruch nach Art. 15 DSGVO besteht nicht für Angehörige oder sonstige Dritte. In diesem Fall kommt nur ein Anspruch nach § 630g Abs. 3 BGB (Bürgerliches Gesetzbuch) in Betracht. Hiernach hat die den Anspruch geltend machende Person die Kosten der Aktenkopie zu tragen. → Der Landesärztekammer Hessen ist bewusst, dass der EuGH nicht den Aufwendungen der Ärztinnen und Ärzte bei der Erfüllung des Auskunftsanspruchs Rechnung trägt. Gerade bei längeren Behandlungen mit komplexen Krankheitsbildern kann die Erfüllung des Auskunftsanspruchs sehr viel Zeit in Anspruch nehmen. Dennoch ist dem Auskunftsersuchen der Patientinnen und Patienten nach Art. 15 DSGVO zu entsprechen.
Datenschutz bei der digitalen Terminverwaltung durch Heilberufspraxen
Die hessischen Arztpraxen nutzen im zunehmenden Umfang das Serviceangebot von Dienstleistern, die die Terminverwaltung der Arztpraxen digital gestalten. Bei der digitalen Terminverwaltung werden eine Vielzahl von personenbezogenen Daten der Patientinnen und Patienten verarbeitet. Diese Serviceangebote für die digitale Terminvereinbarung sind regelmäßig Gegenstand von Prüfungen des HBDI.
Die Datenschutzkonferenz, ein Zusammenschluss der Datenschutzbehörden des Bundes und der Länder, hat am 16. Juni 2025 ein Positionspapier zur datenschutzkonformen Nutzung der Terminverwaltungssysteme veröffentlicht, das auf der Website der Datenschutzkonferenz (https://www.datenschutzkonferenz-online.de) zu finden ist. Dieses Positionspapier kann zukünftig bei datenschutzrechtlichen Bewertungen eines digitalen Terminservices herangezogen werden.
Terminhinweis: Aktuelle datenschutzrechtliche Themen werden am 1. November 2025 im Rahmen der 15. Frankfurter Medizinrechtstage, die sich sowohl an Juristen als auch an Ärztinnen und Ärzte richten, Gegenstand sein. Siehe Infos unten.
Andreas Wolf, Stellv. Justitiar, Landesärztekammer Hessen
15. Frankfurter Medizinrechtstage 2025 am 31.10. & 1.11.2025, auch für Ärzte
Ort:
Landesärztekammer Hessen, Hanauer Landstraße 152, 60314 Frankfurt
Termin:
Fr., 31.10.2025, 13–19 Uhr, hybrid
Sa., 01.11.2025, 9–15 Uhr, hybrid
Anmeldung/Information:www.hera-fortbildung.de
CME sind für Sa., 1. November, beantragt
Moderation: Dr. Ole Ziegler, RA
Themen am Fr., 31. Oktober 2025, 13 bis 19 Uhr
- 13–14.15 Uhr: Arzthaftungsrecht (Jens-Daniel Braun, Richter)
- 14.15–15.30 Uhr: Der Beweisbeschluss aus Sicht des gynäkologisch-geburtshilflichen Sachverständigen: Wie die Frage so die Antwort (?) – (Prof. Dr. med. Thomas Hitschold)
- 16–17.15 Uhr: Update Heilmittelwerbegesetz – von Cannabiswerbung bis Payback-Punkte (Dr. Hans-Jürgen Ruhl, RA)
- 17.15–18.30 Uhr: Durchgangsarztverfahren (Dr. Ole Ziegler)
Themen am Sa., 1. November 2025, 9 bis 15 Uhr
- 9–10 Uhr: Was beschäftigt den Rettungsdienst der aktuellen Zeit aus Sicht des Juristen? (Dr. Tilmann Dittrich, LL.M., RA)
- 10.15–11.15 Uhr: Organisationspflichten in der ärztlichen Hausarztpraxis (Prof. Dr. iur. Alexander Eufinger)
- 11.15–12.15 Uhr: Rechtsfragen insbesondere zur elektronischen Terminverwaltung, ggfs. unter Einsatz von Chat-Bots (Dr. Katja Kumpmann, RA und Ärztin)
- 13–14 Uhr: Datenschutz in der Arztpraxis – vermeidbare Fehler und Eingaben-Klassiker beim HBDI (Dr. Nils Gaebel)
- 14–15 Uhr: Die ärztliche Weiterbildung im föderalen System (André Zolg)
