IITR Datenschutz Blog

Das Datenschutz-Blog

26
Jul

Datenschutz: Übermittlung von Patientendaten an Hausarztverbände zu Abrechnungszwecken derzeit rechtswidrig?

Die Thematik begleitet die Datenschützer schon seit längerem: dürfen Hausärzte die Daten ihrer Patienten an die jeweiligen Hausarztverbände übermitteln, damit diese (unter Zuhilfenahme weiterer Dienstleister) die Abrechnungen über erbrachte Arztleistungen erstellen? Die Aufsichtsbehörde in Schleswig-Holstein zieht nun als erste Behörde die Bremsen und sagt: “Nein, nicht in dieser Form”. Lesen Sie weitere Details in unserem Artikel.

Hintergrund

Den Kassenärzten und kassenärztlichen Vereinigungen droht Streit mit den Datenschutz-Aufsichtsbehörden. Generell ist es bei den meisten Hausärzten in Deutschland üblich, dass diese die Arztleistungen nicht selbst abrechnen sondern die Patientendaten an die für sie zuständige hausärztliche Vereinigung übermitteln, die im Auftrag der Ärzte die Abrechnungsleistungen erbringen. Hierbei beauftragen die hausärztlichen Vereinigungen häufig Service-Unternehmen.

Entscheidung in Schleswig-Holstein: Untersagungsverfügung mit Zwangsgeldandrohung

Diese Praxis verstößt nach Ansicht der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein gegen geltendes Datenschutzrecht. Die Aufsichtsbehörde hat nun eine Untersagungsverfügung mit Zwangsgeldandrohung erlassen und die sofortige Vollziehung angeordnet, wie in einer aktuellen Pressemitteilung zu lesen ist.

“Damit sind die in der HÄV SH (Anm.: “Hausärzteverband Schleswig-Holstein e. V.”) zusammengeschlossenen Hausärztinnen und Hausärzte nicht berechtigt, Abrechnungsdaten auf dem im Vertrag vorgesehenen elektronischen Weg zu übermitteln”, heißt es in der Meldung.

Zu der Begründung führt die Behörde aus: “An dem Rahmenvertrag, der das Verhältnis zwischen dem HÄV SH, Dienstleistern und den einzelnen Ärztinnen und Ärzten festlegt, sind Letztere überhaupt nicht beteiligt. Darin werden diese gezwungen, auf ihren Praxissystemen Software gemäß den Vorgaben des Hausärzteverbandes zu installieren, womit das Auftragsverhältnis geradezu auf den Kopf gestellt wird. Ihnen wird sogar vertraglich verboten, Kenntnis von wesentlichen Elementen der Software zu nehmen, so dass sie faktisch keine vollständige Kontrolle mehr über die Daten auf ihrem System hätten.

Damit würden sie nicht nur ihre Datenschutzpflichten verletzen, sondern auch ihre ärztliche Schweigepflicht. Ein Auftragsverhältnis ist rechtlich zudem dadurch ausgeschlossen, dass der Hausärzteverband, der ausschließlich im Interesse und nach Weisung der einzelnen Ärzte die Daten verarbeiten sollte, ein eigenes Interesse an diesen Daten hat.”

Übermittlung von Patientendaten an Dienstleister generell fragwürdig

Gerade in dem zuletzt zitierten Satz (“eigenes Interesse der kassenärztlichen Vereinigung an den Daten”) liegt ein weiteres Problem: § 28 Abs. 6 BDSG sieht an sich nur wenige Ausnahmen für die Übermittlung von Patientendaten (so genannte “besondere Arten personenbezogener Daten”) ohne Einwilligung des Patienten vor. Diese Ausnahmen greifen vorliegend aber meines Erachtens nicht ein.

Letztlich dürfte das derzeit praktizierte Abrechnungssystem in Deutschland damit ohne Gesetzesänderungen nur zu halten sein, wenn man auf Einwilligungen der Patienten zurückgreift. Da Einwilligungen aber jederzeit widerruflich sein müssen, bliebe betroffenen Ärzten im Fall der Verweigerung oder des Widerrufs dieser Einwilligung nur die Möglichkeit, die Abrechnung der Arztleistung selbst vorzunehmen.

Fazit

Die Entscheidung der Aufsichtsbehörde in Schleswig-Holstein betrifft rein von der Sachlage her die Kassenärzte in ganz Deutschland. Generell besteht meiner Erfahrung nach gerade im Gesundheitsbereich ein hohes Defizit im Bereich des Datenschutzes. Die Entscheidung der Behörde selbst ist in der Sache völlig zutreffend – das Datenschutzrecht sieht schlicht keine Ausnahmen für diesen Fall vor. Langfristig bleiben zwei Alternativen: a) der Rückgriff auf Einwilligungen der Patienten als Lösungskonzept (mit großen Fragezeichen im Detail), oder b) die Schaffung eines eigenen Patienten-Datenschutzgesetzes, um der besonderen Komplexität und Sachlage des Themas gerecht zu werden.

 

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

 

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

 

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Kontakt:

Beitrag teilen:

Ähnliche Beiträge:

2 Kommentare zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif