Auskunftsrecht in der Pflege: Welche Daten Angehörige wirklich erfahren dürfen
„Guten Tag, hier ist die Tochter von Frau M., wie geht es meiner Mutter, und was steht in der Pflegedokumentation?“ Dieser Anruf gehört zum Alltag jedes Pflegedienstes, und er ist rechtlich heikler, als er klingt. Denn das Auskunftsrecht der DSGVO steht dem Pflegekunden selbst zu, nicht automatisch seiner Familie, und am Telefon weiß niemand sicher, wer wirklich anruft. Gleichzeitig sind Angehörige die wichtigsten Partner der Versorgung und zu Recht verärgert, wenn sie ohne erkennbaren Grund abgewiesen werden. Dieser Beitrag erklärt, was der Pflegekunde selbst nach Art. 15 DSGVO verlangen kann, über welche drei Wege Angehörige legitim Auskünfte erhalten, wie der Telefonprozess aussehen sollte und was bei zerstrittenen Familien gilt.
Das Auskunftsrecht nach Art. 15 DSGVO: Was der Pflegekunde selbst verlangen kann
Der Pflegekunde selbst hat einen umfassenden Anspruch: Nach Art. 15 DSGVO kann er Auskunft über alle zu ihm gespeicherten Daten verlangen, einschließlich der Zwecke, Empfänger und Speicherdauern, sowie eine Kopie dieser Daten. Bei Behandlungspflege tritt das Einsichtsrecht in die Dokumentation nach § 630g BGB hinzu. Die erste Kopie ist unentgeltlich, die Auskunft ist unverzüglich, spätestens innerhalb eines Monats zu erteilen; bei komplexen Fällen kann die Frist um zwei Monate verlängert werden, was innerhalb des ersten Monats mitzuteilen und zu begründen ist (Art. 12 Abs. 3 DSGVO).
Zwei Grenzen sind zu beachten. Erstens die Rechte Dritter: Die Kopie darf Rechte anderer Personen nicht beeinträchtigen (Art. 15 Abs. 4 DSGVO); Angaben über Angehörige, Hinweise anderer Personen oder Daten von Mitarbeitern werden vor der Herausgabe geschützt, etwa durch Schwärzung. Zweitens die Ernsthaftigkeit der Pflicht: Verstöße gegen Betroffenenrechte fallen in die höchste Bußgeldkategorie der DSGVO mit bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes, und verspätete oder verweigerte Auskünfte sind einer der häufigsten Beschwerdegründe bei den Aufsichtsbehörden. Ein Auskunftsersuchen ist deshalb kein lästiger Sonderfall, sondern ein Prozess mit Frist. Welche Grundpflichten darüber hinaus gelten, lesen Sie in unserem Grundlagenbeitrag zum externen Datenschutzbeauftragten im Pflegedienst.
Angehörige haben kein eigenes Auskunftsrecht: Die drei Legitimationswege
So hart es klingt: Ehepartner, Kinder und Geschwister haben aus der DSGVO kein eigenes Recht auf Auskünfte über den Pflegekunden. Das Auskunftsrecht ist höchstpersönlich, und die Schweigepflicht der Pflegefachkräfte gilt auch gegenüber der Familie. Auskünfte an Angehörige sind dennoch möglich und im Versorgungsalltag gewollt, allerdings nur über einen von drei Wegen:
- 1. Einwilligung des Pflegekunden: Der einfachste und häufigste Weg. Beim Versorgungsbeginn wird dokumentiert, welche Personen welche Auskünfte erhalten dürfen, von der allgemeinen Befindensauskunft bis zu Details der Versorgung, jeweils konkret und einzeln benannt statt als Pauschalklausel. Diese Auskunftsliste ist jederzeit änderbar; der Pflegekunde kann Personen ergänzen, beschränken oder streichen.
- 2. Vorsorgevollmacht: Ein Bevollmächtigter übt die Rechte des Pflegekunden aus, soweit die Vollmacht reicht. Entscheidend ist der Wortlaut: Für Auskünfte über Gesundheitsdaten muss die Vollmacht die Gesundheitsangelegenheiten umfassen, idealerweise mit ausdrücklicher Entbindung von der Schweigepflicht. Die Vollmachtsurkunde wird im Original oder als beglaubigte Kopie vorgelegt und in Kopie zur Akte genommen.
- 3. Rechtliche Betreuung:Der Betreuer erhält Auskünfte, soweit sein gerichtlich festgelegter Aufgabenkreis dies trägt, typischerweise Gesundheitssorge; nachgewiesen wird das durch Betreuerausweis oder Bestellungsbeschluss. Wichtig: Auch bei bestehender Betreuung bleibt der Wille des Pflegekunden maßgeblich, soweit er ihn äußern kann, und die Betreuung endet automatisch mit dem Tod; was danach gilt, erklärt unser Beitrag zum Datenschutz nach dem Todesfall.
Alles, was nicht über einen dieser drei Wege legitimiert ist, bleibt Smalltalk ohne Inhalt: Freundlichkeit ja, Gesundheits- und Versorgungsdetails nein. Für die Weitergabe an Institutionen wie Ärzte, Kassen und den Medizinischen Dienst gelten eigene Regeln, die unser Beitrag zur Schweigepflicht und Datenweitergabe im Pflegedienst behandelt.
Der Anruf der Tochter: Identitätsprüfung und Telefonauskünfte
Selbst wenn die Tochter auf der Auskunftsliste steht, bleibt am Telefon ein Problem: Niemand sieht, wer anruft. Die DSGVO erlaubt es ausdrücklich, bei begründeten Zweifeln zusätzliche Informationen zur Identitätsprüfung anzufordern (Art. 12 Abs. 6 DSGVO), und bei Gesundheitsdaten sind Zweifel am Telefon der Normalfall, nicht die Ausnahme. Die Aufsichtsbehörden haben Auskünfte an falsche Anrufer wiederholt als meldepflichtige Datenpannen eingeordnet.
Bewährt hat sich ein dreistufiges Telefonverfahren. Erstens der Rückruf: Auskünfte gibt es nicht im eingehenden Gespräch, sondern per Rückruf auf die in der Akte hinterlegte Nummer der berechtigten Person. Zweitens das Kennwort: Mit dem Pflegekunden und den benannten Angehörigen wird beim Versorgungsbeginn ein Auskunftskennwort vereinbart, das bei telefonischen Anfragen abgefragt wird. Drittens die Eskalation: Wer weder hinterlegt noch kennwortfähig ist, erhält keine inhaltliche Auskunft, sondern das Angebot, die Berechtigung nachzuweisen oder die Einwilligung des Pflegekunden einzuholen. Dieses Verfahren schützt nicht nur die Daten, es entlastet auch die Pflegekraft am Telefon: Sie muss nicht situativ entscheiden, sondern folgt einem Prozess.
Wenn die Familie zerstritten ist: Auskunft im Konflikt
Die schwierigsten Fälle entstehen, wenn Angehörige untereinander im Streit liegen: Ein Kind ist bevollmächtigt, das andere nicht und verlangt trotzdem Auskünfte; Geschwister werfen sich gegenseitig Einflussnahme vor; der neue Lebensgefährte und die Kinder misstrauen einander. Die Grundregel für den Pflegedienst lautet: Er ist Versorger, nicht Schiedsrichter. Auskünfte folgen ausschließlich der dokumentierten Legitimation, nicht der Lautstärke, der Hartnäckigkeit oder dem Verwandtschaftsgrad. Wer nicht legitimiert ist, erhält keine Inhalte, auch dann nicht, wenn er mit Anwalt oder Beschwerde droht.
Drei Punkte helfen in der Praxis. Erstens zählt allein der Wille des Pflegekunden, solange er ihn bilden kann: Er darf einzelne Angehörige ausschließen, und dieser Ausschluss wird dokumentiert und respektiert, so unangenehm das Gespräch mit der betroffenen Person sein mag. Zweitens werden Konfliktfälle zentralisiert: Anfragen aus zerstrittenen Familien beantwortet nicht die Pflegekraft an der Haustür, sondern die Leitung nach Aktenlage, schriftlich und dokumentiert. Drittens gilt Neutralität in beide Richtungen: Auch dem bevollmächtigten Kind werden nur die Daten des Pflegekunden mitgeteilt, nicht etwa, was die Geschwister gesagt oder gefragt haben; deren Anfragen sind deren eigene Daten.
Was Pflegedienste jetzt organisieren müssen
- Auskunftsliste je Klient: Beim Versorgungsbeginn wird strukturiert erfasst, wer welche Auskünfte erhalten darf, mit Abstufung zwischen Befindensauskunft und Versorgungsdetails, inklusive Kennwort und hinterlegten Rückrufnummern. Änderungen und Ausschlüsse werden datiert dokumentiert.
- Prozess für Art.-15-Anfragen: Eingang erfassen, Frist notieren, Zuständigkeit festlegen, Identität prüfen, Daten zusammenstellen, Rechte Dritter schützen, Versand dokumentieren. Ein einfaches Formular und eine Checkliste genügen, aber sie müssen existieren, bevor die erste Frist läuft.
- Vollmachten und Betreuungen prüfen und ablegen: Urkunden werden bei Vorlage auf Umfang und Gültigkeit geprüft, in Kopie zur Akte genommen und mit der Auskunftsliste verknüpft, damit die Information am Telefon sofort verfügbar ist.
- Schulung am Szenario: Das Team übt die Standardfälle: der bekannte Angehörige mit Kennwort, der unbekannte Anrufer, der drohende Nichtberechtigte, der Klient, der eine Person streichen möchte. Wer die Sätze einmal gesprochen hat, bleibt im Ernstfall freundlich und sicher.
Wann externe Unterstützung sinnvoll ist
Das Auskunftsrecht ist tägliches Konfliktterrain mit kurzen Fristen und hoher Bußgeldkategorie, und es trifft im Zweifel die Pflegekraft am Telefon, die dafür nie ausgebildet wurde. Ein externer Datenschutzbeauftragter mit Pflegeerfahrung liefert die Muster für Auskunftsliste, Kennwortverfahren und Art.-15-Prozess, prüft Vollmachts- und Betreuungsnachweise im Zweifelsfall mit und übernimmt die Kommunikation, wenn aus einer Anfrage eine Beschwerde wird. zweiplus betreut bereits über 30 Pflegedienste bundesweit und kennt die typischen Familienkonstellationen aus der laufenden Beratung. Für KMU besteht zudem die Möglichkeit, Beratungsleistungen im Bereich Datenschutz über das Förderprogramm der BAFA bezuschussen zu lassen. Ob eine Förderung in Frage kommt, klären wir im Erstgespräch.
Fazit: Klare Legitimation schützt Klienten, Angehörige und das eigene Team
Das Auskunftsrecht nach Art. 15 DSGVO gehört dem Pflegekunden; Angehörige erhalten Auskünfte über genau drei Wege: dokumentierte Einwilligung, ausreichende Vollmacht oder Betreuung mit passendem Aufgabenkreis. Mit Auskunftsliste, Kennwort- und Rückrufverfahren sowie einem festen Prozess für förmliche Auskunftsersuchen wird aus dem täglichen Konfliktthema eine Routine, die Klienten schützt, berechtigten Angehörigen schnell hilft und das Team aus der Schusslinie nimmt. Wer diese Prozesse aufbauen oder prüfen lassen möchte, findet in zweiplus einen Partner mit nachgewiesener Branchenerfahrung in der Pflege. Nehmen Sie Kontakt auf und lassen Sie Ihre Auskunftsprozesse unverbindlich prüfen.