Drucksache 18 / 21 550
Schriftliche Anfrage

18. Wahlperiode

Schriftliche Anfrage

des Abgeordneten Marcel Luthe (FDP)

vom 11. November 2019 (Eingang beim Abgeordnetenhaus am 11. November 2019)

zum Thema:
Charité – Auskunft nach DSGVO

und Antwort vom 29. November 2019 (Eingang beim Abgeordnetenhaus am 02. Dez. 2019)

Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen.
Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28.



 
 

Der Regierende Bürgermeister von Berlin 
Senatskanzlei - Wissenschaft und Forschung -  
 
 
 
 
 
 
 
Herrn Abgeordneten Marcel Luthe (FDP) 

über 

den Präsidenten des Abgeordnetenhauses von Berlin 

über Senatskanzlei - G Sen - 

 
 
 
A n t w o r t  
auf die Schriftliche Anfrage Nr. 18/21550  
vom 11. November 2019 
über Charité – Auskunft nach DSGVO 
___________________________________________________________________ 
 
Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: 
 
Die Anfrage betrifft Sachverhalte, die der Senat nicht ohne Beiziehung der Charité – Universitätsmedizin
 Berlin (Charité) beantworten kann. Sie wurde daher um Stellungnahme 
gebeten. 
 
1. Wie viele Patienten und ehemalige Patientinnen und Patienten haben bis heute eine Auskunft nach der 
Datenschutzgrundverordnung, DSGVO, bei der Charité Berlin gestellt? 

 
Zu 1.:  
Nach Auskunft der Charité haben bisher 24 Personen vollständige Auskunftsersuchen 
nach der Datenschutz-Grundverordnung (DS-GVO) mit der Bitte um Übersendung aller 
gespeicherten Informationen gestellt.  
Hinweis: In der Schriftlichen Anfrage Drucksache 18/18387 wurden ähnliche Fragen gestellt
. Auf Grund der Unterschiede in den Fragen sind jedoch die Zahlen mit dieser Schriftlichen
 Anfrage nicht vergleichbar.  
 
 
2. Wie viele von diesen (ehemaligen) Patientinnen und Patienten haben dabei Abrechnungsdaten, also alle 
Kopien von allen Rechnungen und ihre ICD-10-Diagnosen erhalten? 

 
Zu 2.:  
Nach Auskunft der Charité wurden Kopien aller Abrechnungen einschließlich darin enthaltener
 Diagnosecodes in keinem Fall versandt, da im regelmäßig anzuwendenden elektronischen
 Datenaustauschverfahren keine kopierbaren Rechnungen vorliegen.  
 
In allen erteilten Auskünften werden in transparenter, verständlicher und leicht zugänglicher
 Form adäquat zum Auskunftsbegehren die Daten und deren Verarbeitungszwecke 
dargelegt, d. h., das Vorhalten von Daten zur Abrechnung ist bekannt. Davon ausgenom-



-      - 
 
 

 

 

2 

men sind Behandlungsfälle, bei denen die Behandlung durch eine Ärztin oder einen Arzt 
erfolgte, die bzw. der selbst das Abrechnungsrecht wahrnimmt. 
 
 
3. Wie viele von diesen (ehemaligen) Patientinnen und Patienten haben dabei vollständig alle Altdaten zu 
ihrer Person in Kopie bzw. als Ausdrucke erhalten, die noch im elektronischen Computersystem der Charité 
gespeichert sind, obwohl sie gelöscht sein müssten? 

 
Zu 3.:  
Nach Auskunft der Charité wurden in einem Fall Altdaten als Ausdruck oder Kopie mitgeteilt
. Der Löschprozess dieser Daten ist eingeleitet. 
 
 
4. Bei wie vielen (ehemaligen) Patientinnen und Patienten, bei denen Zugriffe auf Altdaten stattfanden, die 
gelöscht sein müssten, wurden Zugriffsprotokolle erstellt? 

 
Zu 4.:  
Eine Anzahl wurde von der Charité nicht mitgeteilt. Zugriffsprotokolle wurden automatisch 
durch das SAP-System erstellt. 
 
 
5. Wie viele (ehemaligen) Patientinnen und Patienten, bei denen Datenzugriffe auf Altdaten stattfanden, die 
gelöscht sein müssten, wurden Zugriffsprotokolle gesendet, so dass sie ihre rechtlichen Interessen verfolgen 
können? (Es handelt sich bei Beschäftigten, die unbefugt auf Patientendaten zugegriffen haben, um einen 
Empfänger der zur Kenntnis genommenen Daten, der den unbefugten Zugriff – unbeschadet der Verantwortung
 des Krankenhauses für die Beschränkung der Zugriffsmöglichkeiten auf das erforderliche Maß – auch 
selbst zu verantworten hat. Gemäß Art. 15 Abs. 1 lit c DS-GVO ist damit das Krankenhaus verpflichtet, der 
auskunftssuchenden Person die Namen derjenigen Beschäftigten mitzuteilen, die Datenzugriffe getätigt haben
.) 

 
Zu 5.:  
Es wurden nach Auskunft der Charité keine Zugriffsprotokolle versendet. 
Darüber hinaus ist eine konkrete Auskunft zu erfolgten internen Zugriffen von Art. 15 Abs. 
1 lit. c DS-GVO nicht umfasst. Einerseits bezieht sich der Auskunftsanspruch nur auf Empfänger
 außerhalb des Verantwortlichen i.S.d. Art. 4 Nr. 7 DS-GVO (hier: Charité); andererseits
 wäre eine Nennung der Klarnamen von Beschäftigten in diesem Zusammenhang 
datenschutzrechtlich unzulässig. Sollte es in Einzelfällen zu unberechtigten Zugriffen 
kommen, geht die Charité hiergegen mit den im Einzelfall angezeigten Maßnahmen vor. 
 
 
6. Wie viele (aktuelle und ehemalige) Patientinnen und Patienten sind im Computersystem der Charité namentlich
 gespeichert, bei denen Daten nicht nach einem Jahr gemäß  § 24 Abs. 8, LKG Berlin, gesperrt sind, 
Zitat: "Bei Daten, die im automatisierten Verfahren mit der Möglichkeit des Direktabrufes gespeichert sind, ist 
die Möglichkeit des Direktabrufes zu sperren, sobald die Behandlung der Patientin oder des Patienten im 
Krankenhaus abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind und 
das Krankenhaus den Bericht über die Behandlung erstellt hat, spätestens jedoch ein Jahr nach Abschluss 
der Behandlung der Patientin oder des Patienten." 

 
Zu 6.:  
Zu unterscheiden ist hier das Speichern von Patientendaten gemäß § 24 Abs. 8 LKG Berlin
, der das Speichern von Patientendaten zur Erfüllung der Aufgaben, für die sie erhoben 
wurden und bis zum Ablauf der Aufbewahrungsfristen erlaubt. § 24 Abs. 8 S. 3 LKG Berlin 
bezieht sich auf Daten, die im automatisierten Verfahren mit der Möglichkeit des Direktabrufes
 gespeichert sind. Danach ist unabhängig von einer rechtmäßigen Speicherung 



-      - 
 
 

 

 

3 

der Patientendaten die Möglichkeit des Direktabrufes spätestens ein Jahr nach Abschluss 
der Behandlung zu sperren. 
 
Die Charité hat sich mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit 
(Bln BDI) dahingehend abgestimmt, wie zukünftig das Löschen und Sperren von Patientendaten
 (darunter auch das Sperren der Möglichkeit des Direktabrufes) strukturiert erfolgen
 kann. Der Aufsichtsbehörde für Datenschutz liegt ein Umsetzungsplan vor, dessen 
Umsetzungsstand von dort aus regelmäßig geprüft wird. 
 
 
7. Bei wie vielen Patientinnen und Patienten, die namentlich im Computersystem der Charité gespeichert 
sind, haben Auswertungen und Zusendungen von Zugriffsprotokollen stattgefunden? 

 
Zu 7.:  
Es wurden elf Auswertungen vorgenommen; Zugriffsprotokolle wurden nicht versandt. 
 
 
8. Welche Anordnungen hat die Senatskanzlei als Rechts- und Fachaufsicht getroffen, nachdem klar wurde, 
dass die Charité Patientinnen und Patienten, entgegen dem europäischen Gesetz nicht vollständig Auskunft 
erteilt? Welche Sanktionen erfolgten? 

 
Zu 8.:  
Die Senatskanzlei hat die Charité aufgefordert, die einschlägigen rechtlichen Regelungen 
zu beachten. Darüber hinaus wurde diese Thematik auch ausführlich in einem auf Initiative 
der Senatskanzlei anberaumten Gespräch mit der Berliner Beauftragten für Datenschutz 
und Informationsfreiheit und der Charité erörtert. 
 
 
9. Die Charité möchte bitte die Formulierung beifügen, mit der sie Patientinnen und Patienten DSGVO-
Auskünfte erteilt. Könnte womöglich der irreführende Eindruck entstehen, dass Auskünfte vollständig erteilt 
sind, obwohl das nicht der Fall ist? 

 
Zu 9.:  
Nach Auskunft der Charité werden üblicherweise DS-GVO-Auskünfte mit der Formulierung  
„uns hat am … Ihr Auskunftsersuchen gemäß Art. 15 DS-GVO erreicht. Dem kommen wir 
mit den nachstehenden Bemerkungen gerne nach …“ begonnen. Es folgen fallbezogen 
Datenbeschreibungen, Verwendungszwecke, ggfs. Datenübermittlungen, Darlegungen für 
Gründe und Dauer der Datenaufbewahrung, Auskünfte über Übermittlungen an Empfänger
, die sich außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums 
in einem Drittland befinden, Aussagen zu Verfahren zur automatisierten Entscheidungsfindung
 inklusive Profiling gemäß Art. 22 DS-GVO und Hinweise zu bestehenden Rechten. 
Meist folgen dann ein Part zu Einzelfallspezifika und der abschließende Hinweis zum Umgang
 mit den in Auskunftsverfahren selbst angefallenen Unterlagen.  
Die Frage suggeriert, dass die Charité regelhaft unvollständige Auskünfte erteilt. Dies ist 
nach Auskunft der Charité nicht der Fall. 
 
 
10. Stehen aus Sicht der Charité der Einhaltung von Löschfristen irgendwelche finanziellen Interessen oder 
Forschungsinteressen entgegen? 

 
Zu 10.:  
Die Charité hat der Senatskanzlei mitgeteilt, dass dies nicht der Fall ist.  
 



-      - 
 
 

 

 

4 

11. Wann wird die Charité Patientendaten auf Aufforderung von Patientinnen und Patienten löschen, deren 
Löschfristen abgelaufen sind? 

 
Zu 11.:  
Die Charité ist nunmehr technisch in der Lage, Patientendaten zu löschen und wird den 
Prozess für entsprechende Aufforderungen nun einrichten, sofern gesetzliche Vorschriften 
dem im Einzelfall nicht entgegenstehen. Der Bln BDI liegt zur Löschung von Daten nach 
Ablauf der Aufbewahrungsfristen ein Umsetzungsplan vor, dessen Umsetzungsstand von 
dort aus regelmäßig geprüft wird. Die Etablierung eines solchen Prozesses wird angesichts
 der Komplexität der Charité Zeit in Anspruch nehmen. 
 
 
12. Genügt aus Sicht der Charité die Aufbewahrung von Papierakten, wenn Fälle seit Jahren endabgerechnet
 sind und der Patient oder die Patientin die Löschung aus dem elektronischen System verlangt, weil er 
oder sie nicht mit einer (weiteren) elektronischen Verarbeitung einverstanden ist? 

 
Zu 12.:  
Nein. 
 
 
13. Auf die Daten wie vieler Patientinnen und Patienten wurden im Rahmen der folgenden zwei Forschungsprojekte
 bis heute jeweils zugegriffen, ohne das die Daten anonymisiert sind und ohne dass die Patientinnen 
und Patienten darüber informiert wurden? 
 
https://www.gesundheitsforschung-bmbf.de/de/beitrag-charite-8329.php 
https://www.gesundheitsforschung-bmbf.de/de/HD4CR-Medizininformatik-Charite.php 

 
14. Daten aus welchen Ambulanzen und Daten aus welchen stationären Abteilungen nehmen an diesen 
Projekten teil und in welcher Form (z. B. ganze Patientenakten, Diagnosen, o. ä.)? 

 
Zu 13. und 14.: 
Bisher wurden nach Auskunft der Charité im HiGHmed-Charite (erstes genanntes Projekt) 
keine Daten über Patientinnen und Patienten ausgetauscht. Was HiGHmed-Charite und 
den Austausch bzw. die Nutzung von Daten innerhalb des Gesamt-HiGHmed-Projektes 
betrifft, so wird momentan erst eine Infrastruktur aufgebaut, die es dem HiGHmed-
Konsortium später erlaubt, rechts- und datenschutzkonform Use Case-bezogen anonymisierte
 Daten für Forschungszwecke zu nutzen. 
 
Im Rahmen des zweiten genannten Projektes wurde ein Konzept entwickelt, das aber 
nicht zur Umsetzung kam und für das auch keine Umsetzung geplant ist. 
 
Insofern wurden in beiden Projekten keine Patientendaten verwendet.  
 
Berlin, den 29. November 2019 
 
In Vertretung  
Steffen Krach 
Der Regierende Bürgermeister von Berlin 
Senatskanzlei - Wissenschaft und Forschung -