Zuletzt aktualisiert am 1. Juni 2026

Das Wichtigste in Kürze: Das Einsichtsrecht in die Patientenakte ist ein fundamentales Recht jedes Patienten, das sowohl im BGB als auch in der DSGVO verankert ist. Mit der Digitalisierung des Gesundheitswesens und der Einführung der elektronischen Patientenakte ergeben sich neue Chancen, aber auch neue datenschutzrechtliche Herausforderungen, die Arztpraxen und Patienten gleichermaßen kennen sollten.

Patienten haben das Recht, ihre Patientenakte einzusehen oder kopiert zu bekommen. Wie weit dieses Recht geht und wann es doch eingeschränkt werden darf, erfahren Sie hier.

Rechtliche Grundlagen zur Patientenakte

Aus § 630 f BGB ergibt sich für den Behandelnden die Pflicht, eine Patientenakte zu führen. Dies kann in Papierform oder elektronisch erfolgen. Aus der Patientenakte muss ersichtlich werden, wann etwaige Änderungen des Inhalts vorgenommen wurden und was geändert wurde. In einer Patientenakte dokumentiert der Behandelnde sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse. Grundsätzlich ist die Patientenakte auch nach Abschluss der Behandlung noch zehn Jahre aufzubewahren.

§ 630 g BGB regelt dazu das Recht des Patienten zur Einsichtnahme in diese Patientenakte. Dies kann der Behandelnde nur verweigern, wenn „erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen“ (dazu sogleich mehr).

Ebenfalls hat der Patient aus Art. 15 III DSGVO einen Anspruch auf eine vollständige und kostenlose Kopie der Akte.

Keine Einsicht in Patientenakte aus therapeutischen Gründen?

§ 630g I BGB regelt auch, dass der Behandelnde die Einsichtnahme nur verweigern kann, wenn „erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen“.

Diese Beschränkung der Herausgabe von Informationen an den Patienten selbst darf nicht zu weit gehen. Grundsätzlich ist diese Ausnahme nach Art. 23 Abs. 1 lit. i DSGVO zulässig. Eine ähnliche Ausnahme sieht zur Zeit auch der Verordnungsentwurf zum „europäischen Datenraum für Gesundheitsdaten“ vor (Art. 3 III der Verordnung).

Geschichtliche Entwicklung

Dass der Patient überhaupt ein Recht auf Einsicht hat, hat sich erst in der jüngsten Geschichte ergeben. So war es in den 1970er Jahren noch normal, dass ärztliche Unterlagen nicht an die betroffene Person herausgegeben wurden. Bis zur Einführung der §§ 630 a – 630 h BGB im Jahre 2012 und später dem Inkrafttreten der DSGVO wurden schrittweise einerseits die Anforderungen an die medizinische Dokumentation erhöht und andererseits die Rechte der Betroffenen gestärkt.

Entscheidung im Einzelfall

Ob eine Einsichtnahme aus therapeutischen Gründen trotzdem zu verweigern ist, ist im Einzelfall zu untersuchen. Insbesondere ist meist von einer Einsichtnahme abzusehen, wenn eine psychiatrische Diagnose besteht, die nahelegt, dass das Vertrauensverhältnis des Patienten zum Behandelnden oder Dritten durch die Einsichtnahme nachhaltig zerstört wird oder traumatisierte Patienten eine Re-Traumatisierung erleiden.

Bei schweren und unheilbaren Krankheiten wird heutzutage kein Grund zur Verweigerung der Einsichtnahme mehr angenommen. Die Sterbehilfe-Entscheidung des BVerfG machte hier bereits 2020 deutlich, dass dies einer Bevormundung gleich käme und der „Schutz eines Menschen vor sich selbst“ nur der Entscheidungsfreiheit dienen darf und nicht umgekehrt.

Begründung der Verweigerung

Wird dem Patienten die Einsichtnahme verweigert, ist dies zu begründen (§ 630 g I 2 BGB). Dem Patienten muss die Verweigerung also offen mitgeteilt werden. Eine Einsichtnahme in eine zensierte oder modifizierte Akte ist nicht zulässig. Hierbei muss der Behandelnde den schmalen Grat wahren, dem Patienten auf der einen Seite hinreichend darzulegen, warum er die Akte nicht einsehen kann, ohne auf der anderen Seite das zu verraten, was der Patient gerade nicht erfahren soll.

Umstände der Einsichtnahme in Patientenakte

Statt einer kompletten Verweigerung der Einsichtnahme kann und muss der Behandelnde auch über mildere Mittel nachdenken, die Rechte des Patienten zu wahren.

In Frage kommt hier vor allem die Anpassung der Umstände der Einsichtnahme: Der Behandelnde kann dem Patienten eine begleitete Einsichtnahme anbieten. Die Person, die die Einsichtnahme begleitet, kann der Behandelnde selbst oder eine vertraute Person des Patienten sein. Wenn der Behandelnde die Einsichtnahme begleitet, kann er zudem sicherstellen, dass die Informationen für den Patienten einfach zu verstehen sind (Art. 12 I DSGVO).

Anforderungen an die digitale Übermittlung von Patientendaten

Mit der zunehmenden Digitalisierung stellt sich die Frage, in welcher Form Patienten ihre Daten erhalten können. Art. 15 Abs. 3 DSGVO sieht vor, dass bei elektronischer Antragstellung die Informationen in einem gängigen elektronischen Format bereitgestellt werden, sofern der Betroffene nichts anderes angibt. In der Praxis bedeutet dies, dass Arztpraxen in der Lage sein müssen, Patientendaten sicher und in einem lesbaren Format digital zu übermitteln. Die Übermittlung per unverschlüsselter E-Mail genügt den Anforderungen an die Datensicherheit bei Gesundheitsdaten regelmäßig nicht. Stattdessen sollten verschlüsselte Übertragungswege oder sichere Download-Portale genutzt werden, um die Vertraulichkeit der sensiblen Gesundheitsinformationen zu gewährleisten.

Form der Bereitstellung

Die elektronische Patientenakte und ihre datenschutzrechtlichen Herausforderungen

Mit der schrittweisen Einführung der elektronischen Patientenakte (ePA) ergeben sich neue datenschutzrechtliche Fragestellungen. Seit 2025 wird die ePA für alle gesetzlich Versicherten automatisch angelegt, sofern nicht aktiv widersprochen wird (Opt-out-Verfahren). Dieses Vorgehen wurde von Datenschützern kritisch begleitet, da eine automatische Anlage ohne aktive Einwilligung datenschutzrechtliche Bedenken aufwirft.

Die ePA speichert Befunde, Diagnosen, Therapiemaßnahmen, Medikationspläne und weitere behandlungsrelevante Daten zentral und digital. Der Patient behält dabei die Hoheit über seine Daten und kann festlegen, welcher Arzt auf welche Daten zugreifen darf. Diese granulare Zugriffssteuerung ist aus datenschutzrechtlicher Sicht begrüßenswert, stellt aber auch hohe Anforderungen an die technische Umsetzung.

Aufbewahrungsfristen und Löschpflichten bei Patientendaten

Die Aufbewahrung von Patientendaten unterliegt verschiedenen gesetzlichen Regelungen. Grundsätzlich gilt die zehnjährige Aufbewahrungspflicht nach § 630f Abs. 3 BGB. Für bestimmte Unterlagen können jedoch abweichende Fristen gelten: Röntgenaufnahmen sind beispielsweise nach der Röntgenverordnung mindestens zehn Jahre, bei Minderjährigen bis zur Vollendung des 28. Lebensjahres aufzubewahren.

Nach Ablauf der gesetzlichen Aufbewahrungsfristen sind die Daten zu löschen, sofern keine weiteren Rechtsgrundlagen für die Speicherung bestehen. Dies ergibt sich sowohl aus dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO als auch aus dem Löschungsanspruch nach Art. 17 DSGVO. In der Praxis stellt die fristgerechte Löschung insbesondere bei Papierdokumenten eine erhebliche organisatorische Herausforderung dar.

Einsichtsrecht nach dem Tod des Patienten

Eine besondere Konstellation ergibt sich nach dem Tod eines Patienten. Grundsätzlich geht das Einsichtsrecht in die Patientenakte auf die Erben über, soweit sie ein berechtigtes Interesse geltend machen können. Dies kann beispielsweise der Fall sein, wenn vermögensrechtliche Ansprüche wie Schadensersatzansprüche gegen den Behandelnden geprüft werden sollen.

Allerdings kann der Patient zu Lebzeiten bestimmt haben, dass bestimmte Teile der Akte nicht an Angehörige oder Erben herausgegeben werden dürfen. Ein solcher ausdrücklicher oder mutmaßlicher Wille des Verstorbenen ist vom Behandelnden zu berücksichtigen. Dies verdeutlicht, dass das Recht auf informationelle Selbstbestimmung in gewissem Umfang auch über den Tod hinaus wirkt.

Patientenrechte bei Datenpannen in Arztpraxen

Kommt es in einer Arztpraxis zu einer Datenpanne — beispielsweise durch einen Cyberangriff, den Verlust eines unverschlüsselten Datenträgers oder die versehentliche Weitergabe einer Patientenakte an unbefugte Dritte — hat der betroffene Patient weitreichende Rechte. Neben dem Auskunftsrecht nach Art. 15 DSGVO steht ihm insbesondere ein Recht auf Benachrichtigung nach Art. 34 DSGVO zu, wenn die Datenpanne voraussichtlich ein hohes Risiko für seine persönlichen Rechte und Freiheiten darstellt.

Da es sich bei Gesundheitsdaten um besondere Kategorien personenbezogener Daten handelt, wird ein hohes Risiko bei Datenpannen mit Gesundheitsdaten regelmäßig anzunehmen sein. Die Benachrichtigung muss unverzüglich erfolgen und den Betroffenen in klarer und einfacher Sprache über die Art der Datenschutzverletzung, die wahrscheinlichen Folgen und die ergriffenen Gegenmaßnahmen informieren.

Außerdem können betroffene Patienten nach Art. 82 DSGVO Schadensersatz verlangen, wenn ihnen durch die Datenschutzverletzung ein materieller oder immaterieller Schaden entstanden ist. Die Gerichte sprechen bei Verstößen im Bereich sensibler Gesundheitsdaten zunehmend höhere Schadensersatzsummen zu, was die Bedeutung eines vollständigen Datenschutzkonzepts in Arztpraxen unterstreicht.

Für Patienten ist es daher empfehlenswert, bei Zweifeln an der datenschutzkonformen Handhabung ihrer Daten den behandelnden Arzt direkt anzusprechen oder sich an die zuständige Datenschutzaufsichtsbehörde zu wenden. Das Beschwerderecht nach Art. 77 DSGVO steht jedem Betroffenen uneingeschränkt zu.

Datenschutzrechtliche Anforderungen an Arztpraxen

Arztpraxen sind als Verantwortliche im Sinne der DSGVO verpflichtet, vollständige technische und organisatorische Maßnahmen zum Schutz der Patientendaten zu ergreifen. Dazu gehören unter anderem verschlüsselte Datenübertragungen, Zugangskontrollen zu den IT-Systemen, regelmäßige Datensicherungen sowie die Schulung des Praxispersonals im Umgang mit sensiblen Daten.

Ein weiterer wichtiger Aspekt ist die sichere Übermittlung von Patientendaten zwischen verschiedenen Behandlern. Die Übermittlung per unverschlüsselter E-Mail oder Fax ist datenschutzrechtlich bedenklich, da die Vertraulichkeit der Daten nicht gewährleistet werden kann. Stattdessen sollten sichere Kommunikationswege wie verschlüsselte E-Mails, das KIM-System (Kommunikation im Medizinwesen) der Telematikinfrastruktur oder sichere Patientenportale genutzt werden. Die zuständigen Datenschutzaufsichtsbehörden haben wiederholt klargestellt, dass die Übermittlung sensibler Gesundheitsdaten per unverschlüsseltem Fax nicht mehr dem Stand der Technik entspricht und daher in der Regel nicht datenschutzkonform ist.

Außerdem muss die Praxis ein Verzeichnis der Verarbeitungstätigkeiten führen und gegebenenfalls einen Datenschutzbeauftragten bestellen. Ab einer Praxisgröße von 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten verpflichtend. Aufgrund der Verarbeitung besonderer Kategorien personenbezogener Daten kann die Bestellpflicht aber auch schon bei kleineren Praxen bestehen.

Dem Patienten muss die Einsichtnahme oder Kopie der Akte kostenlos ermöglicht werden. Eine Kopie kann der Patient in Papierform oder in elektronischer Form erhalten (§ 630 g II BGB, Art. 15 III DSGVO).