In 2 Sätzen. Die DSGVO gibt Ihnen 6 Rechte an Ihren personenbezogenen Daten, einschliesslich der Gesundheitsdaten (als «besondere Kategorien» betrachtet). So üben Sie sie aus, mit den genauen Rechtsgrundlagen und den zu kennenden Fristen.
Bevor Sie beginnen: wer ist betroffen?
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) gilt für jede Organisation, die in der EU personenbezogene Daten bearbeitet. Für Ihre Gesundheitsdaten betrifft das:
- Ihren Hausarzt, Ihre Spezialisten, Ihren Apotheker
- Die Spitäler, Kliniken, Labore, Radiologiezentren
- Die CNAM, Ihre Zusatzversicherung, Mon Espace Santé
- Die Gesundheits-Apps (darunter My Data My Care)
- Die vernetzten Gesundheitsgeräte und ihre Hersteller
Gesundheitsdaten gelten gemäss Artikel 9 der DSGVO als «besondere Kategorien personenbezogener Daten»: Ihre Bearbeitung ist grundsätzlich untersagt, ausser in streng geregelten Ausnahmen (ausdrückliche Einwilligung, Erbringung von Behandlungen, öffentliches Interesse im Gesundheitsbereich).
Recht Nr. 1 – Die Auskunft (Artikel 15)
Sie haben das Recht zu erfahren, welche Daten über Sie gehalten werden, zu welchen Zwecken, mit wem sie geteilt werden und wie lange sie aufbewahrt werden.
Wie man es ausübt
Senden Sie einen schriftlichen Antrag (eine E-Mail genügt) an den Verantwortlichen oder den DPO (Datenschutzbeauftragten). Formulierung: «Ich verlange auf Grundlage von Artikel 15 der DSGVO die Übermittlung der mich betreffenden Daten».
Antwortfrist
1 Monat, bei komplexen Anträgen auf 3 Monate verlängerbar. Kostenlos (ausser bei wiederholten Anträgen).
Recht Nr. 2 – Die Berichtigung (Artikel 16)
Sind Ihre Daten unrichtig oder unvollständig (falsches Geburtsdatum, falsch erfasste Allergie, fehlerhafte Vorgeschichte), können Sie deren Korrektur verlangen.
Sonderfall der Krankenakte
Die klinischen Beobachtungen eines Arztes können vom Patienten nicht «berichtigt» werden – sie sind Ausdruck einer geschützten ärztlichen Meinung. Sie können jedoch die Aufnahme einer abweichenden Anmerkung verlangen («Patientenkommentar»), die in der Akte verbleibt.
Recht Nr. 3 – Die Löschung (Artikel 17)
Auch «Recht auf Vergessenwerden» genannt. Sie können in bestimmten Fällen die Löschung Ihrer Daten verlangen:
- Wenn sie für den ursprünglichen Zweck nicht mehr erforderlich sind
- Wenn Sie Ihre Einwilligung widerrufen
- Wenn die Bearbeitung rechtswidrig ist
- Wenn Sie die medizinische Mündigkeit erreicht haben und Daten während Ihrer Minderjährigkeit erhoben wurden
Wichtige Grenzen
Gesundheitsdaten haben eine gesetzliche Aufbewahrungsdauer (20 Jahre nach der letzten Behandlung, Code de la santé publique). Sie können ihre Löschung verlangen, doch der Verantwortliche kann sie unter Berufung auf eine gesetzliche Pflicht oder ein öffentliches Gesundheitsinteresse verweigern.
Recht Nr. 4 – Die Übertragbarkeit (Artikel 20)
Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Dienst übermitteln.
In der Praxis für die Gesundheit
Das Standardformat ist FHIR R4 (Fast Healthcare Interoperability Resources). Alle konformen Gesundheitsdienste müssen einen FHIR-Export anbieten. My Data My Care etwa liefert diesen Export mit einem Klick aus der App, ohne Verfahren oder Begründung.
Wichtig. Dieses Recht gilt nur für die Daten, die Sie bereitgestellt haben, oder für die durch Ihre Aktivität erzeugten Daten (vernetzte Geräte, Termine). Es gilt nicht für die von einem Arzt abgeleiteten klinischen Beobachtungen.
Recht Nr. 5 – Der Widerspruch (Artikel 21)
Sie können einer Bearbeitung Ihrer Daten aus Gründen widersprechen, die sich aus Ihrer besonderen Situation ergeben. Im Gesundheitsbereich ermöglicht das beispielsweise:
- Abzulehnen, dass Ihre Daten eine epidemiologische Studie speisen
- Die automatische Erstellung Ihres Mon Espace Santé abzulehnen (Opt-out auf monespacesante.fr zu aktivieren)
- Der Übermittlung Ihrer Daten an Ihre Zusatzversicherung über das für die Rückerstattung strikt Notwendige hinaus zu widersprechen
Der Verantwortliche kann die Bearbeitung aufrechterhalten, wenn er ein zwingendes berechtigtes Interesse nachweist. Für die Gesundheit kann das öffentliche Interesse im Bereich der öffentlichen Gesundheit Ihren Widerspruch überwiegen.
Recht Nr. 6 – Die Einschränkung (Artikel 18)
Sie können das vorübergehende Einfrieren einer Bearbeitung verlangen, etwa für die Dauer, bis ein Streit über die Richtigkeit der Daten geklärt ist. Während der Einschränkung werden Ihre Daten aufbewahrt, aber nicht mehr genutzt.
Gesundheitsspezifische Rechte
Direkter Zugang zur Krankenakte
Über die DSGVO hinaus gibt Ihnen der Code de la santé publique (Artikel L. 1111-7) ein Recht auf direkten Zugang zu Ihrer Krankenakte, ohne den Umweg über einen vermittelnden Arzt. Frist: 8 Tage (jüngere Akten) bis 2 Monate (ältere Archive).
Anweisungen für den Todesfall
Seit dem Gesetz von 2016 können Sie zu Lebzeiten eine Person bestimmen, die nach Ihrem Tod Zugang zu Ihren Gesundheitsdaten erhält, oder im Gegenteil die sofortige Löschung verlangen.
Was tun bei Ablehnung oder Schweigen?
Antwortet der Verantwortliche nicht innert 1 Monat oder lehnt er ohne triftigen Grund ab, können Sie:
- Die CNIL anrufen – kostenlos, online auf cnil.fr. Antwortfrist: 3 bis 6 Monate.
- Das Zivilgericht anrufen – in schweren Fällen, um Schadenersatz zu erhalten.
- Einen Ombudsmann anrufen – manche Zusatzversicherungen und Stellen haben einen eigenen Ombudsmann.
Die Verpflichtungen von MDMC gegenüber diesen Rechten
Bei My Data My Care sind diese 6 Rechte direkt aus der Anwendung heraus ausübbar:
- Auskunft – alles ist jederzeit in Ihrem Pass sichtbar
- Berichtigung – direkte Änderung Ihres Profils, Verlauf erhalten
- Löschung – Kontolöschung mit einem Klick, unwiderrufliche Löschung innert 30 Tagen
- Übertragbarkeit – vollständiger FHIR-R4-Export mit einem Klick
- Widerspruch – jede optionale Bearbeitung lässt sich einzeln deaktivieren
- Einschränkung – «Nur-Lese»-Modus aktivierbar
Um Ihre Rechte ausserhalb der App auszuüben: dpo@mydatamycare.com. Antwort innert maximal 1 Monat.