Häufig gestellte Fragen (Allgemein)
Fragen aus der Wirtschaft.
Wann muss ich einen Datenschutzbeauftragten (DSB) benennen?
Ein/e DSB ist immer zu benennen wenn 10 oder mehr Personen einschließlich der oder dem Verantwortlichen mit der Verarbeitung von Personen- oder Unternehmensdaten befasst sind. Bei weniger als 10 Personen benötigen Sie dennoch eine/n DSB,
• wenn eine weit über das normale Maß hinausgehende, umfangreiche Datenverarbeitung erfolgt oder
• wenn eine Pflicht zur Erstellung einer Datenschutzfolgenabschätzung nach Art. 35 DS-GVO besteht. Eine Übersicht, welche Verarbeitungsvorgänge diese Pflicht auslösen, finden Sie auf dieser sog. „Blacklist“ (PDF-Download).
Wer darf DSB sein und welche Anforderungen gibt es?
Die Aufgabe des DSB ist die Kontrolle des Verantwortlichen (also z. B. des Unternehmers) in Bezug auf die Einhaltung der datenschutzrechtlichen Vorschriften. Ein DSB muss daher über die erforderliche Fach- und Sachkunde verfügen, welche durch zertifizierte Aus- oder Fortbildungen nachgewiesen werden kann.
Aufgrund der Kontrollfunktion kann der Unternehmer sowie ein IT-Verantwortlicher nicht DSB sein, da hier ein Interessenskonflikt vorliegen kann. Als DSB kann jedoch jeder Praxismitarbeiter benannt werden, auch angestellte Ärzte. Auch ein externer DSB kann benannt werden.
Wie kann ich die Informationspflichten nach den Artikeln 12 ff. DSGVO erfüllen?
Wichtig: Die Bekanntgabe der Informationen über die Art und Weise, wie die Daten verarbeitet werden, stellt KEINE Rechtsgrundlage für eine Datenverarbeitung dar.
Die Mindestanforderungen an ein Informationsschreiben ergeben sich aus der DSGVO, wenn die Datenerhebung direkt bei den Patienten erfolgt und aus Artikel 14 DS-GVO. Ein Muster dafür finden Sie hier (Word-Download). Dieses ist auf die jeweiligen Besonderheiten anzupassen.
Die Information muss zu dem Zeitpunkt erfolgen, zu dem die Daten der betroffenen ab dem 25.05.2018 verarbeitet werden. Die Information muss nicht bei jedem Kontakt wiederholt werden. Sollte das Unternehmen jedoch die Art und Weise der Datenverarbeitung verändern, sind die Kunden darüber zu informieren.
Bei einer eingehenden E-Mail, einem Fax, einem Brief oder einem Anruf sieht die DS-GVO vor, dass auch in diesen Fällen entsprechende Informationen erteilt werden. Gerade bei Anrufen ist jedoch eine verkürzte, auf die durch den Anruf entstehende Datenverarbeitung bezogene Information, mit einem Verweis auf die Fundstelle der vollständigen Informationen (z. B. im Internet oder als Aushang), zulässig.
Muss ich ein Verzeichnis von Verarbeitungstätigkeiten führen?
Wann muss eine Datenschutz-Folgenabschätzung vorgenommen werden?
Verantwortliche, welche eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vornehmen, müssen eine Datenschutz-Folgenabschätzung vorzunehmen. Selbiges gilt bei einer Form der Verarbeitung, die aufgrund der Art, Umfang, den Umständen und Zwecken voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (besonders bei Einsatz von neuen Technologien). Ausführliche Hinweise finden Sie in den DSK-Kurzpapieren Nr. 5 (PDF-Download) und Nr. 18 (PDFDownload).
Wie kann ich meine Beschäftigten auf die Wahrung des Datenschutzes verpflichten?
Hinweise zu diesem Thema und ein entsprechendes Muster sind in Kurzpapier Nr. 19 (PDF-Download) veröffentlicht (Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der DS-GVO).
In welchen Fällen muss ein Auftrags-Verarbeitungsvertrag geschlossen werden?
Nicht jede Auftragsvergabe stellt eine Auftragsverarbeitung (AV) im datenschutzrechtlichen Sinne dar. Typische Fälle, in denen aufgrund der weisungsgebundenen Tätigkeit ein AV-Vertrag geschlossen werden muss, sind:
• Installation und Wartung der EDV-Anlage,
• externe Archivierung von Daten,
• Aktenvernichtung,
• externer Schreibdienst.
Sind Auftragsverarbeitungsverträge anzupassen?
Es wird empfohlen, bestehende Auftragsverarbeitungsverträge hinsichtlich der neuen Regelungen der DS-GVO (zum Beispiel die Informationspflicht bei Datenpannen binnen 72 Stunden) zu überprüfen, anzupassen und entsprechende Mitteilungspflichten aufzunehmen.
Was habe ich beim Betrieb einer Website zu beachten?
Eine Website muss mit einer Verschlüsselung (TLS / SSL) betrieben werden. Sofern Kontaktformulare genutzt werden, sind auch diese mit einer Verschlüsselung zu betreiben. Ob eine Webseite bereits verschlüsselt ist, erkennt man daran, dass im Internetbrowser die Adresse mit https://www… beginnt.
Wird eine E-Mail-Adresse zur Kontaktaufnahme bereitgestellt, ist ein Hinweis aufzunehmen, dass die Kommunikation unverschlüsselt erfolgt und keine sensiblen Daten übermittelt werden dürfen.
Jede Website muss eine Datenschutzerklärung enthalten, welche ähnlich wie das Impressum ohne größeren Aufwand leicht zugänglich sein muss. In der Datenschutzerklärung müssen alle auf der Website eingesetzten Programme genannt und die Datenverarbeitung dieser Programme beschrieben werden. Sie bezieht sich nur auf die Website und ist unabhängig von den Informationspflichten gem. Art. 13 und Art. 14 DS-GVO zu erstellen.
Sofern auf der Website Fotos von Beschäftigten eingestellt werden, ist für jedes Foto das schriftliche Einverständnis der betroffenen Personen einzuholen. Sobald eine Person das Einverständnis widerruft, ist das Foto unverzüglich von der Website zu nehmen. Das gilt auch für Gruppenbilder.
Was mache ich, wenn ich eine Datenpanne feststelle?
Eine Datenpanne liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig einem Dritten zur Kenntnis gelangt sind, beschädigt oder vernichtet wurden oder verloren gegangen sind. Sofern hierdurch ein Risiko für die Betroffenen entstehen könnte, ist die LfD Niedersachsen spätestens innerhalb von 72 Stunden über diesen Vorfall zu informieren. Hierzu ist ein entsprechendes Meldeformular auf der Website der LfD eingerichtet. Könnte aufgrund des Vorfalls sogar ein hohes Risiko für die Betroffenen vorliegen, sind gem. Art. 34 DS-GVO auch die Betroffenen in geeigneter Weise unverzüglich zu unterrichten. Die Einrichtung eines fest vorgegebenen, internen Meldeweges wird empfohlen.
Muss ich eine schriftlich erteilte Einwilligung in Papierform aufbewahren oder kann ich diese nach dem Einscannen und Speichern vernichten?
Das Datenschutzrecht kennt verschiedene Schutzziele, welche in der DS-GVO normiert sind. Eine elektronische Datensammlung muss diesen Vorgaben entsprechen. Ist dies der Fall, ist es aus datenschutzrechtlicher Sicht nicht erforderlich, die eingescannte Unterschrift auf Papier aufzubewahren.
Darf ich E-Mails mit personenbezogenen Daten versenden?
Eine unverschlüsselte E-Mail ist vergleichbar mit einer Postkarte, welche leicht von Dritten mitgelesen werden kann. Dies kann eine unbefugte Offenbarung von Personen- und Unternehmensgeheimnissen darstellen. Daher dürfen E-Mails nur mit einem, dem aktuellen Stand der Technik entsprechenden, sicheren Verschlüsselungsverfahren übermittelt werden. Weitere Informationen bietet das Bundesamt für Sicherheit in der Informationstechnik unter folgendem Link.
Darf ich WhatsApp in der beruflichen Kommunikation nutzen?
Nein. Der Einsatz von WhatsApp ist datenschutzrechtlich aus verschiedenen Gründen unzulässig. Unter anderem werden die im Adressbuch gespeicherten Daten (z. B. Telefonnummern) ohne Einverständnis der betroffenen Personen an WhatsApp übermittelt. Diese Datenübermittlung ist nach der DS-GVO unzulässig. Selbst wenn eine Einwilligung aller Betroffenen vorliegen würde, wäre es den Verantwortlichen im Falle eines Widerrufs der Einwilligung unmöglich, die Daten bei WhatsApp löschen zu lassen. Mehr Informationen zur Nutzung von WhatsApp erhalten Sie hier (PDF-Download).
Fragen aus dem Gesundheitswesen.
Wo finde ich die rechtlichen Grundlagen für die Verarbeitung von Gesundheitsdaten?
Der Begriff „Gesundheitsdaten“ ist in Art. 4 Ziffer 15 DS-GVO definiert. Es handelt sich dabei um Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist gem. Art. 9 Abs. 1 DS-GVO grundsätzlich verboten, es sei denn, es liegt eine Befugnis nach Art. 9 Abs. 2 DS-GVO vor. Hier kommt entweder eine gesetzliche Befugnis, der Behandlungsvertrag oder die Einwilligung der Betroffenen in Betracht.
Welche datenschutzrechtlichen Besonderheiten sind bei einer Gemeinschaftspraxis / Berufs-Ausübungs-Gemeinschaft zu beachten?
Gemeinschaftspraxen sind Berufsausübungsgemeinschaften und stellen berufsrechtlich „eine“ Praxis dar. Grundsätzlich schließt der Patient bei einer Gemeinschaftspraxis mit allen Ärztinnen und Ärzten gemeinschaftlich einen Behandlungsvertrag. Die Ärzte sind aufgrund des Behandlungsvertrags zur wechselseitigen Behandlung berechtigt und insoweit auch untereinander von der ärztlichen Schweigepflicht befreit. Ärzte in Gemeinschaftspraxen haben deshalb in der Regel einen gemeinsamen Patientenstamm, eine gemeinsame Dokumentation und einen gemeinsamen Datenbestand, auf den jeder Arzt zugreifen darf.
Für die Prüfung, ob aufgrund der Personenzahl eine oder ein Datenschutzbeauftragter zu benennen ist, sind alle Ärzte und Beschäftigten zu zählen.
Welche datenschutzrechtlichen Besonderheiten sind bei einer Gemeinschaftspraxis / Berufs-Ausübungs-Gemeinschaft zu beachten?
Der Begriff „Gesundheitsdaten“ ist in Art. 4 Ziffer 15 DS-GVO definiert. Es handelt sich dabei um Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist gem. Art. 9 Abs. 1 DS-GVO grundsätzlich verboten, es sei denn, es liegt eine Befugnis nach Art. 9 Abs. 2 DS-GVO vor. Hier kommt entweder eine gesetzliche Befugnis, der Behandlungsvertrag oder die Einwilligung der Betroffenen in Betracht.
Welche datenschutzrechtliche Besonderheiten sind bei einer Praxisgemeinschaft zu beachten?
Bei Praxisgemeinschaften handelt es sich um einen Zusammenschluss mehrerer Ärzte zum Zweck der gemeinsamen Nutzung der Praxisräume und / oder des Praxispersonals. Jede Praxis ist rechtlich selbständig und muss daher einen eigenen Patientenstamm, eine eigene Dokumentation und einen eigenen Datenbestand führen. Jeder Arzt behandelt grundsätzlich nur seine eigenen Patienten und ist verpflichtet, hierüber eine eigene Dokumentation zu führen, die für die weiteren Ärzte nicht zugänglich ist.
Sollte es kein gemeinsames Praxispersonal geben, so hat auch nur das Praxispersonal des jeweils behandelnden Arztes Zugriff auf die entsprechenden Daten. Unter den Partnern der Praxisgemeinschaft gilt die ärztliche Schweigepflicht. In Praxisgemeinschaften können deshalb nur EDV-Systeme eingesetzt werden, die technisch eine Zuordnung der Patientendaten zum jeweils behandelnden Arzt ermöglichen und einen Zugriff der anderen Partner der Praxisgemeinschaft und des Praxispersonals der anderen Partner ausschließen.
Die Prüfung, ob aufgrund der Personenzahl eine oder ein Datenschutzbeauftragter zu benennen ist, ist von jeder Praxis gesondert vorzunehmen. Es sind nur die Ärzte und Beschäftigten zu zählen, welche Zugriff auf die Daten der jeweiligen Praxis haben. Angestellte beider Praxen sind von beiden Praxen zu zählen.
Im Falle einer Praxisgemeinschaft ist darüber hinaus die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO zu prüfen, sofern die beteiligten Praxen gemeinsam Daten verarbeiten (gemeinsame telefonische oder elektronische Erreichbarkeit, gemeinsame Empfangstheke oder gemeinsame Patientenverwaltung).
Wie kann ich meine Praxis datenschutzgerecht gestalten?
In jeder Praxis kann man durch organisatorische Maßnahmen sehr viel für den Datenschutz tun.
Der wichtigste Bereich in der Praxis ist der, den die Patientinnen und Patienten sowie Besucher der Praxis sehen und betreten können. In diesen Bereichen dürfen keine Patientendaten abgelegt werden, damit diese für Dritte nicht einsehbar sind.
Ein Kopierer, die Server für die EDV-Anlage, die Ablage für die Karteikarten oder ein Faxgerät dürfen nicht dort abgestellt werden, wo Patienten und Besucher einen unbeobachteten Zugriff auf diese Geräte haben können.
Am Empfangstresen müssen die Patienten die Möglichkeit haben, sich anzumelden und ggf. den Grund ihres Besuchs zu schildern, ohne dass andere Patienten zuhören können. Im Idealfall setzen Sie das durch eine ausreichend große Diskretionszone um. Zudem sollten Sie auf einen Wartebereich in der Nähe des Empfangs verzichten. Ist dies aufgrund der räumlichen Situation nicht möglich, sind die Beschäftigten anzuweisen, abhängig von der Situation vor Ort, die Patienten leise und nicht direkt mit Namen und der vorliegenden Erkrankung oder Behandlungsmethode anzusprechen.
In den Behandlungsräumen dürfen nur die Daten des jeweiligen Patienten vorhanden sein. Ein EDV-Gerät ist entsprechend zu sperren, bis die Ärztin oder der Arzt das Zimmer betritt.
Benötige ich zur Speicherung der Patientendaten eine schriftliche Einverständniserklärung der Patienten?
Die Befugnis, Patientendaten verarbeiten zu dürfen, ergibt sich aus dem Behandlungsvertrag, welcher mit jeder Patientin / mit jedem Patienten geschlossen werden muss. Es besteht keine Pflicht, einen Behandlungsvertrag schriftlich zu schließen.
Aufgrund der sich aus dem Patientenrechtegesetz (§ 630f BGB), der Berufsordnung, Rahmenvereinbarungen und ggf. weiteren Gesetzen ergebenden Dokumentationspflichten, ist die für die Durchführung des Behandlungsvertrages erforderliche Datenverarbeitung und -speicherung gesetzlich verpflichtend geregelt. Für eine Einwilligung der Patienten ist daher kein Raum.
Wie lange dürfen oder müssen Patientenakten gespeichert werden und können Patienten die Löschung von Daten verlangen?
Art. 17 DS-GVO besagt, dass personenbezogene Daten gelöscht werden müssen, wenn diese zur Aufgabenerfüllung nicht mehr erforderlich sind und keine Aufbewahrungspflichten oder vorrangige Interessen der Betroffenen einer Löschung entgegenstehen.
Aus § 630f Abs. 3 BGB ergibt sich die Verpflichtung, Patientenakten mindestens 10 Jahre nach Abschluss der Behandlung aufzubewahren.
Die Röntgenverordnung und das Strahlenschutzgesetz sehen für bestimmte Daten eine Aufbewahrungsfrist von 30 Jahren vor.
Zur Abwehr von Schadensersatzansprüchen kann nach § 823 BGB i.V.m. § 199 Abs. 2 BGB in begründeten Fällen, unabhängig von der Art der Daten, auch eine Aufbewahrungsfrist von 30 Jahren zulässig sein.
Das bedeutet, Patienten haben erst nach Ablauf dieser Fristen einen Anspruch auf Löschung ihrer Daten.
Welche Anforderungen werden an eine Einwilligung oder Schweigepflicht-Entbindungs-Erklärung im Gesundheitswesen gestellt?
Die Abgabe dieser Erklärungen muss freiwillig sein. In Fällen, in welchen eine gesetzliche Befugnis zur Übermittlung von Daten vorliegt, zum Beispiel Meldungen nach dem Infektionsschutzgesetz, den Krebsregistergesetzen oder die Abrechnung bei gesetzlich versicherten Patienten über die Kassenärztliche Vereinigung, bedarf es keiner Einwilligungserklärung.
Kann eine Datenübermittlung mangels einer Rechtsgrundlage nur mit Einwilligung der Patienten erfolgen, müssen die Patienten dennoch die Möglichkeit haben, die Einwilligung nicht zu erteilen. Im Falle einer fehlenden Einwilligung für die Abrechnung privatärztlicher Leistungen über eine PVS bietet es sich an, die Abrechnung selbst durchzuführen, anstatt die Behandlung abzulehnen.
Auch wenn die Schriftform nicht von der Datenschutz-Grundverordnung verlangt wird, bietet sich diese aus Gründen der Nachweisführung an. Folgende Punkte müssen mindestens enthalten sein:
- Wer übermittelt? (Name, Anschrift Sender)
- Wessen Daten? (Name der oder des Betroffenen)
- Wem? (Name, Anschrift Empfänger)
- Welche Daten? (Datenumfang)
- Wofür? (Zu welchem Zweck)
- Hinweis auf Freiwilligkeit
- Hinweis auf Möglichkeit des Widerrufes („mit Wirkung für die Zukunft, ohne Angabe von Gründen“)
Ist die Übergabe von Arztbriefen oder Rezepten an Angehörige und Bevollmächtigte zulässig?
Sofern die Patientin oder der Patient in der Zeit vor dem 25.05.2018 bereits eine Einwilligung erteilt hat, dass Rezepte oder Arztbriefe usw. an eine namentlich benannte Person übergeben werden dürfen, so ist dies auch nach dem 25.05.2018 zulässig.
Eine ggf. erforderliche Anpassung der Einwilligungserklärung an die aktuell gültige Rechtslage hat beim nächsten direkten Patientenkontakt oder zusammen mit der gewünschten Übersendung oder Übergabe der Dokumente zu erfolgen. Die aktualisierte Erklärung ist von den Patienten zurück zu senden oder zum nächsten Termin mitzubringen.
Die oder der Dritte, welcher die Dokumente in Empfang nehmen möchte, muss sich entsprechend ausweisen.
Ist eine Rezeptversendung an Apotheken, Pflegeheime oder Patienten zulässig?
Sofern die Patientin oder der Patient in der Zeit vor dem 25.05.2018 bereits eine Einwilligung erteilt hat, dass Rezepte per Post an eine ausdrücklich benannte Apotheke, das Pflegeheim, in welchem die oder der Patient wohnt, oder an die in der Praxis gespeicherte private Wohnadresse gesandt werden dürfen, so ist dies auch nach dem 25.05.2018 zulässig.
Eine ggf. erforderliche Anpassung der Einwilligungserklärung an die aktuell gültige Rechtslage hat beim nächsten direkten Patientenkontakt oder zusammen mit der gewünschten Übersendung des Rezeptes zu erfolgen. Die aktualisierte Erklärung ist von den Patienten zurück zu senden oder zum nächsten Termin mitzubringen.
Darf ein Dritter einen Termin vor Ort oder am Telefon vereinbaren oder absagen?
Grundsätzlich sollte auch für derartige Sachverhalte eine entsprechend formulierte Einverständniserklärung eingeholt werden.
Die Vereinbarung eines neuen Termins durch Dritte ist datenschutzrechtlich unproblematisch, sofern ausschließlich die oder der Dritte die entsprechenden personenbezogenen Daten der Patientin oder des Patienten nennt und die Praxis lediglich die aktuelle Terminbuchung bestätigt.
Sofern ein Dritter einen Termin absagen oder verschieben möchte, ist hierzu eine entsprechende Einverständniserklärung der Patientin oder des Patienten erforderlich, da die Praxis hierbei zumindest bestätigt, dass bereits ein Termin vereinbart gewesen ist. Dies stellt bereits eine Übermittlung von Gesundheitsdaten ohne Rechtsgrundlage dar.
Zusätzlich muss sich die oder der Dritte vor Ort ausweisen oder der Anruf muss von der im Praxissystem hinterlegten Telefonnummer erfolgen.
Darf ich die Patienten an einen Untersuchungstermin erinnern (Recall-System)?
Ja, sofern die Patienten ihr Einverständnis hierzu erteilt haben. Bitte bedenken Sie, dass auch mit der Erinnerung eines Patienten an einen Untersuchungstermin bereits besondere Kategorien personenbezogener Daten verarbeitet werden. Eine Postkarte ohne Briefumschlag ist daher nicht zulässig.
Darf ich mit einer Kollegin/einem Kollegen über die Patientin/den Patienten im Rahmen eines Konsils sprechen?
Ja, die Befugnis zu der hierfür erforderlichen Datenübermittlung ergibt sich grundsätzlich auch aus dem Behandlungsvertrag. Indem die oder der Patient Ihnen auf Ihre Nachfrage den Namen der oder des mit- oder vorbehandelnden Arztes mitteilt, kann davon ausgegangen werden, dass das Einverständnis erteilt wird (§ 9 Abs. 4 der Berufsordnung der Ärztekammer Niedersachsen).
Sofern lediglich eine zweite Meinung zu einem Krankheitsbild eingeholt werden soll, hat dies ohne Nennung der Namen der Patienten zu erfolgen. Eine Entbindung von der Schweigepflicht ist dann nicht erforderlich.
Darf ich Arztberichte oder Röntgenbilder per Fax senden oder anfordern?
Vor einer Nutzung von Faxgeräten ist immer eine individuelle Risikoanalyse durchzuführen und das Einverständnis der Betroffenen einzuholen. Liegt dies vor und ist der Nutzen der Datenübermittlung mittels Fax höher als das datenschutzrechtliche Risiko, ist der Fax-Versand besonders sensitiver Daten ohne weitergehende technische Sicherungsmaßnahmen (Verschlüsselung) maximal im Ausnahmefall hinnehmbar.
In diesen Fällen müssen dann zwingend organisatorische Datenschutzmaß-nahmen getroffen werden (Kontrolle der Fax-Nummer, vorherige Unterrichtung, kein Zugriff durch Dritte auf das Faxgerät etc.).
Eine regel- und standardmäßige Übersendung per Fax ist weder dem Stand der Technik entsprechend, noch im Allgemeinen dem Risiko angemessen und daher unzulässig.
Datenschutzgerechte Übermittlungswege sind unter anderem: Persönliche Übergabe, Versand per Brief, hinreichend inhaltsverschlüsselte E-Mail (Ende-zu-Ende Verschlüsselung bzw. per Gateway-Lösung) oder die Inanspruchnahme gesonderter abgesicherter Umgebungen (z.B. KV-SafeNet o.ä.).
Ein Patient ist verstorben, die Angehörigen wollen Einsicht in die Patientenakte nehmen. Ist dies zulässig?
Die DS-GVO findet nur bei lebenden Personen Anwendung.
Die ärztliche Schweigepflicht gilt jedoch auch über den Tod hinaus (§ 203 Abs. 5 StGB). Sie benötigen daher eine Offenbarungsbefugnis, die aus verschiedenen Gründen vorliegen kann:
- Es gibt eine Erklärung der oder des Patienten zu Lebzeiten.
- Erbberechtigte wünschen Einsicht, z.B. zur Durchsetzung der Erbberechtigung (Prüfung der Testierfähigkeit) oder von Schadensersatzforderungen (§ 630g Abs. 3 Satz 1 BGB), es sei denn der mutmaßliche Wille der oder des Verstorbenen steht einer Auskunft entgegen.
- Verwandte können Einsicht verlangen, soweit sie immaterielle Interessen geltend machen, z. B. wenn Sie den Verdacht haben, an Erbkrankheiten zu leiden (§ 630g Abs. 3 Satz 2 BGB).