DSGVO-Auskunft zu Krankenhausdaten – aktuelles Urteil im Überblick

Problemaufriss

Wie weit reicht das Recht auf Auskunft über eigene Gesundheitsdaten und deren Zugriffe – vor allem, wenn Patientinnen und Patienten Herausgabe und Offenlegung aller Datenzugriffe über Klinik-Jahrzehnte hinweg fordern? Das Kammergericht Berlin hatte im April 2025 über eine solche Auskunftsklage einer ehemaligen Patientin zu entscheiden. Dabei ging es vordergründig um DSGVO-Ansprüche, aber auch um praxisrelevante Abgrenzungen: Müssen Zugriffsprotokolle und Namen von Mitarbeiterinnen und Mitarbeitern offengelegt werden? Wie ist zwischen internen und externen Empfängern zu differenzieren, und wie weit reicht der Anspruch in die „Vor-DSGVO-Zeit“ zurück? Das Urteil gibt Orientierung für Krankenhäuser und Betroffene – und stellt klar, dass es um einen eigenständigen Auskunftsanspruch geht, nicht um die erste Stufe einer Stufenklage.

Der Fall kurz zusammengefasst

Die Klägerin war über viele Jahre (ab 1998) in verschiedenen Kliniken, getragen von der Beklagten und deren Rechtsvorgängerinnen, behandelt worden. Sie begehrte im Kern:

  • Auskunft, wann, warum und von wem auf welche ihrer personenbezogenen Gesundheitsdaten zugegriffen wurde,
  • Angaben zu erfolgten Übermittlungen dieser Daten an konkrete externe Dritte und auch interne Stellen,
  • sowie – soweit vorhanden – Offenlegung der Zugriffsprotokolle.

Daneben verlangte sie die Abgabe einer eidesstattlichen Versicherung über die Richtigkeit und Vollständigkeit der Auskunft. Einen eigenen, darauf aufbauenden Leistungsantrag (z.B. auf Schadensersatz oder Löschung) hatte sie insoweit nicht angekündigt, sodass es dem Gericht hier um einen eigenständigen Informationsanspruch zur Kontrolle der Rechtmäßigkeit der Verarbeitung ging.

Die Entscheidung des Kammergerichts

Das Gericht gab der Klägerin teilweise Recht: Sie erhält einen weitreichenden Auskunftsanspruch zu Zugriffen und Übermittlungen, nicht aber in der von ihr gewünschten Form (insbesondere ohne Anspruch auf Zugriffsprotokolle und Namenslisten sowie ohne sofortige eidesstattliche Versicherung).

  1. Zugriffs- und Übermittlungsinformation (Inhalt der Auskunft)
    Die Auskunftspflicht umfasst Angaben dazu,
    • wann
    • auf welche elektronisch oder nicht elektronisch gespeicherten personenbezogenen Daten
    • aus welchem Grund
    • von welchen Einheiten/Abteilungen der von der Beklagten getragenen Einrichtungen oder ihrer Rechtsvorgängerinnen
      ein Zugriff oder eine Übermittlung erfolgt ist.
      Für Übermittlungen an externe Dritte sind diese konkret zu benennen. Maßgeblich ist dabei, ob konkrete Empfänger (juristische oder natürliche Personen) bekannt sind; ein Wahlrecht, lediglich Kategorien anzugeben, besteht nur, wenn überwiegende Geheimhaltungsinteressen des einzelnen Empfängers entgegenstehen. Soweit Mitarbeiter externer Dritter als eigenständige Empfänger personenbezogener Daten auftreten und keine überwiegenden Interessen entgegenstehen, müssen auch diese konkret bezeichnet werden.
  2. Keine Herausgabe von Zugriffsprotokollen und strenge Grenzen bei Personennamen
    Die reine Aushändigung von systemgenerierten Zugriffsprotokollen steht der Klägerin nicht zu. Die DSGVO gewährt insoweit einen Anspruch auf Auskunft zu den sie betreffenden Informationen (also „was, wann, warum, welche Einheit“), nicht aber auf Vorlage der zugrunde liegenden technischen Logfiles. Zugriffsprotokolle enthalten typischerweise Metadaten sowie personenbezogene Daten der Beschäftigten; deren Schutz ist in die Abwägung einzustellen.
    Die explizite Nennung von Einzelpersonen (Namen und Anschriften von Mitarbeitenden oder „übermittelnden Personen“) ist grundsätzlich nicht geschuldet. Eine Pflicht zur Nennung einzelner Mitarbeiterinnen und Mitarbeiter besteht nur ausnahmsweise, wenn ohne diese Namensnennung die eigenen Rechte aus der DSGVO nicht wirksam wahrgenommen werden können. Für die Durchsetzung etwaiger Ansprüche gegen das Krankenhaus als Verantwortliche (zum Beispiel auf Schadensersatz) genügt regelmäßig die Auskunft auf Ebene von Abteilungen und Empfängereinheiten.
  3. Abgrenzung intern/extern und Empfängerbegriff
    Auch Übermittlungen an interne Abteilungen müssen offengelegt werden – wiederum bezogen auf Einheiten/Abteilungen, nicht auf einzelne Personen. Das Kammergericht stellt ausdrücklich klar, dass „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c DSGVO nicht auf Stellen außerhalb des Verantwortlichen beschränkt ist: Auch interne Organisationseinheiten können Empfänger sein, wenn ihnen personenbezogene Daten offengelegt werden. Damit wendet das Gericht den Empfängerbegriff aus Art. 4 Nr. 9 DSGVO auch auf interne Strukturen an und grenzt sich von Auffassungen ab, die Empfänger ausschließlich „außerhalb“ der verantwortlichen Stelle verorten.
    Bei Übermittlungen an interne oder externe Organisationseinheiten ist eine verständliche, konkrete Zuordnung erforderlich; eine rein pauschale oder abstrakt-kategoriale Beschreibung reicht nicht aus, wenn der Verantwortliche konkrete Empfänger kennt.
  4. Zeitliche Reichweite: auch „Altverarbeitungen“ vor Mai 2018
    Besonders praxisrelevant: Der Auskunftsanspruch erfasst hier auch Verarbeitungen, die lange vor Geltung der DSGVO stattfanden. Entscheidend ist, dass das Auskunftsersuchen nach dem 25. Mai 2018 gestellt wurde. Das Krankenhaus muss deshalb auch für frühere Zeiträume (im Fall: ab 1998) Auskunft über Zugriffe und Übermittlungen erteilen, soweit noch Daten vorhanden sind.
  5. Eidesstattliche Versicherung
    Der Antrag auf Abgabe einer eidesstattlichen Versicherung wurde als derzeit unzulässig abgewiesen. Begründung: Eine eidesstattliche Versicherung über die Richtigkeit und Vollständigkeit der Auskunft setzt logisch voraus, dass überhaupt eine konkrete Auskunft erteilt wurde, deren Vollständigkeit oder Richtigkeit zweifelhaft erscheint.
    Solange die nun tenorierte Auskunft noch nicht erteilt ist, fehlt das Rechtsschutzinteresse für einen parallel anhängigen Eid-Antrag. Ein solcher Antrag kann – typischerweise auf Grundlage von § 260 Abs. 2 BGB – erst dann relevant werden, wenn die betroffene Person nach erteilter Auskunft konkrete Anhaltspunkte für Unvollständigkeit oder Unrichtigkeit vorträgt.
  6. Keine Entscheidung über Kopien sämtlicher Behandlungsunterlagen
    Nicht Gegenstand des Berufungsverfahrens war der Anspruch auf Herausgabe von Kopien sämtlicher personenbezogener Daten (Arztbriefe, Gesprächsnotizen, Telefonvermerke etc.) nach Art. 15 Abs. 3 DSGVO. Ein entsprechender Antrag war in erster Instanz nur angekündigt, aber nicht gestellt worden. Das Kammergericht entschied daher ausdrücklich nur über den Auskunftsanspruch zu Zugriffen und Übermittlungen, nicht über die Reichweite eines Kopienanspruchs inhaltlicher Behandlungsdokumentation.
  7. Keine Stufenklage, sondern eigenständige Auskunftsklage
    Prozessorientiert wichtig: Das Gericht qualifiziert den Antrag nicht als erste Stufe einer Stufenklage nach § 254 ZPO. Der Auskunftsanspruch ist hier nicht bloß Mittel zur Bestimmung eines weiteren Leistungsantrags, sondern steht eigenständig im Raum, um der Klägerin die Kontrolle der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen. Das ist für die Gestaltung künftiger Klageschriften und die Streitwertbemessung bedeutsam.

Praxistipps für Krankenhäuser, Ärztinnen und Ärzte

  1. Auskunft strukturiert vorbereiten
    Das Urteil zeigt, wie wichtig ein differenziertes, verständlich gegliedertes Auskunftskonzept ist:
    • Wer Auskunft begehrt, erhält Informationen über Datenzugriffe und -übermittlungen auf der Ebene von Abteilungen/Einheiten, Zeitpunkten, Kategorien bzw. Arten der Daten und Verarbeitungszwecken.
    • Systemprotokolle selbst und Mitarbeitendennamen sind nur in eng begrenzten Ausnahmefällen herauszugeben; im Regelfall genügt eine strukturierte tabellarische Darstellung der relevanten Informationen.
  2. Klare Dokumentation und Protokollierung
    Krankenhäuser sollten so dokumentieren, dass Überblick und Rekonstruktion von Zugriffen und Übermittlungen abteilungsbezogen möglich sind. Eine strukturierte, DSGVO-konforme Protokollierung unterstützt sowohl die Erfüllung der Auskunftsansprüche als auch den Schutz von Beschäftigtendaten, ohne logfiles oder Nutzerkennungen direkt offenlegen zu müssen. Wichtig ist, dass Empfänger – intern wie extern – konkret identifizierbar sind, sofern ihnen Daten tatsächlich offengelegt wurden.
  3. Transparente Kommunikation mit Patientinnen und Patienten
    Gegenüber Betroffenen sollte klar kommuniziert werden, welche Informationen offengelegt werden (Zeitpunkte, Datenarten, Zwecke, Einheiten/Empfänger) und wo rechtliche Grenzen bestehen (kein allgemeiner Anspruch auf technische Logfiles, keine generellen Namenslisten von Mitarbeitenden). Ziel ist eine effektive Kontrolle der eigenen Daten durch Betroffene, ohne den Beschäftigtendatenschutz zu unterlaufen. Gerade bei langjährigen Behandlungsverläufen sollte frühzeitig erläutert werden, dass sich der Auskunftsanspruch auch auf Altzeiträume erstrecken kann, soweit noch Daten vorhanden sind.

Fazit und Ausblick

Die Auskunftsrechte nach Art. 15 DSGVO bestimmen sich nach dem Ziel, effektive Kontrolle der Datenverarbeitung zu ermöglichen – auch über viele Jahre zurück. Das Kammergericht Berlin bestätigt:

  • Betroffene haben weitreichende Informationsansprüche zu Zugriffen und Übermittlungen, auch für Verarbeitungen vor Inkrafttreten der DSGVO, wenn ihr Auskunftsbegehren in der DSGVO-Zeit gestellt wird.
  • Es besteht kein Anspruch auf Herausgabe von Zugriffsprotokollen als technischen Logfiles; Auskunft ist inhaltlich zu erteilen, nicht über die zugrunde liegenden Systeme.
  • Übermittlungen – intern wie extern – sind nach konkreten Empfängern, Zeitpunkten und Gründen zu benennen; Mitarbeitendennamen werden nur in Ausnahmefällen geschuldet, wenn sie für die Wahrnehmung eigener Rechte unerlässlich sind.
  • Ein Antrag auf eidesstattliche Versicherung setzt eine bereits erteilte Auskunft und einen konkret begründeten Verdacht auf Unvollständigkeit oder Unrichtigkeit voraus.

Das Urteil stärkt das individuelle Kontrollrecht über Gesundheitsdaten, zieht aber klare Linien für den Auskunftsumfang. Krankenhäuser sollten ihre Datenschutzorganisation, Dokumentation und Prozesse zur Beantwortung von Auskunftsersuchen daran ausrichten und klare interne Leitlinien entwickeln, wie Auskünfte zu Zugriffen und Übermittlungen strukturiert, rechtssicher und transparent erteilt werden.

Autor: Ulf Castelle, vgl. Impressum