Weitergabe von Patientendaten: Abkehr von der „Einwilligeritis“ in der Arztpraxis?
Braucht ein Arzt stets eine gesonderte (schriftliche) Einwilligung des Patienten, wenn er Gesundheitsdaten an einen anderen Berufsgeheimnisträger weitergibt? Oder reicht nicht schon etwa der Behandlungsvertrag und eine transparente Information des Patienten als Rechtsgrundlage dafür aus?
Dies ist seit Jahren streitig und betrifft nicht nur die Weitergabe von Blutproben vom Hausarzt an ein Labor, die Übermittlung von Patientendaten an andere Ärzte, sondern auch an spezialisierte Abrechnungsdienstleister – die „Privatärztlichen Verrechnungsstellen“ (PVS). Während es beim Laborauftrag richterliche Entscheidungen gibt, die für eine Weitergabe ohne ausdrückliche Einwilligung sprechen, heißt es für die Weitergabe zu Abrechnungszwecken aus den Kreisen der Ärztekammern und der Aufsichtsbehörden immer noch oft, dass eine Information der Patienten und die Möglichkeit zum Widerspruch nicht ausreiche. Vielmehr sei stets eine (schriftliche) Einwilligung des Patienten erforderlich.
In Schleswig-Holstein vollzieht das Unabhängige Landeszentrum für Datenschutz (ULD) im Rahmen einer verwaltungsgerichtlichen Auseinandersetzung jetzt eine überraschende Kehrtwende, die eine Abkehr von der „Einwilligeritis“ anbahnen könnte.
Hintergrund
Die PVSen unterstützen Heilbehandler bei der Erstellung der wegen gesetzlicher Vorgaben (GoÄ) sehr komplexen privatärztlichen Abrechnungen sowie bei der Refinanzierung, dem Debitoren- und Forderungsmanagement. Für ihre Kunden verarbeiten sie Leistungsdaten, die ihnen von den Praxen, Laboren und Krankenhausverwaltungen zur Verfügung gestellt werden, erstellen eine den einschlägigen Vorschriften genügende Abrechnung für den Patienten und rechnen mit diesem die medizinischen Leistungen ab. Der Abrechnung nachgelagert erfolgt dabei oft ein sog. „echtes“ oder „unechtes“ Factoring.
Rechtsgrundlagen: Da es sich bei diesen Informationen um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO handelt, bedarf es für deren Weitergabe einer entsprechenden Rechtsgrundlage. Dabei kommt spätestens seit der Einführung der DSGVO jedoch nicht nur eine ausdrückliche Einwilligungserklärung des Patienten in Betracht, sondern wegen Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO in Verbindung mit § 22 Abs. 1 Ziff. 1 lit. b BDSG auch der Behandlungsvertrag zwischen Patienten und Behandler. Denn die Zahlung der Rechnung für eine Heilbehandlung steht gem. § 630a BGB im Synallagma, weswegen die Daten zu Abrechnungszwecken auch ohne Einwilligung des Patienten (weiter-)verarbeitet werden können, insbesondere wenn ein Dienstleister, wie die PVS, gem. § 203 Abs. 1 Nr. 7 StGB zum Kreis derjenigen gehört, die wie Versicherungen, Steuerberater oder Rechtsanwälte mit den sensiblen Daten eines Patienten im Auftrag eines Arztes umgehen dürfen.
Effekt: Das ist auch ein sachgemäßes Ergebnis, denn es wäre geradezu widersinnig, wenn ein Arzt die Rechnung für die Einforderung der Gegenleistung des Behandlungsvertrags nur aufgrund einer „freiwilligen und stets widerruflichen Einwilligungserklärung“ vornehmen dürfte und bei Widerruf durch den Patienten die Bezahlung gar nicht mehr fordern könnte, ohne selbst aufwändig Rechnungen erstellen und seine Forderungen managen zu müssen. Soweit die Bezahlung und alle damit zusammenhängenden Zwischenschritte, bis hin zur Liquiditätssicherung des Arztes und ggf. zum Inkasso, für die Erfüllung des auf Gegenseitigkeit von Leistung und Gegenleistung beruhenden Vertrags als „erforderlich“ anzusehen ist, stellt sich das neue Recht als Erleichterung für Ärzte und Abrechnungsstellen dar.
Irrige Verengung auf Einwilligung: Dennoch wird oftmals – vermutlich mehr aus Gewohnheit vieler Jahre als aufgrund vertiefter rechtlicher Erwägungen – etwa in einigen (insoweit ggfs. unbeachtlichen ärztlichen Berufsordnungen) weiterhin davon ausgegangen, dass eine Abrechnung über die PVS „stets nur bei einer dezidierten Einwilligung des Patienten“ erlaubt sein soll (so etwa BÄK und KBV unter 2.4.1 der „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“, Deutsches Ärzteblatt, 9. März 2018). Soweit dafür überhaupt eine rechtliche Begründung erfolgt, verweist diese meist pauschal auf (die alte Fassung) des § 203 StGB und das angebliche Fehlen einer anderen Rechtsgrundlage im Datenschutzrecht.
Kehrtwende des ULD
Ausgangsbescheid des ULD: Dies ist auch Hintergrund eines Verfahrens, in dem das ULD Anfang 2017 Zugang zum Rechenzentrum einer PVS in Schleswig-Holstein begehrte. Dort wollte sie Einblick in alle Datensätze von Ärzten und Patienten nehmen dürfen, um dann aus einer Stichprobe von 25 Ärzten das Vorliegen schriftlicher Einwilligungen von jeweils 25 Patienten zu überprüfen.
Reaktion der PVS: Die PVS verweigerte sich diesem Ansinnen der Datenschutzaufsichtsbehörde, die daraufhin einen entsprechenden Bescheid erließ, den die PVS im Interesse aller Kunden und Patienten mit Widerspruch und nach dessen Zurückweisung schließlich mit Klage vor dem Verwaltungsgericht entgegen trat.
Widerruf des ULD: Im Rahmen des (noch nicht abgeschlossenen) Gerichtsverfahrens (VG Schleswig, AZ: 8 A 58/17) widerrief das ULD kürzlich überraschend seinen Bescheid. Das ULD begründete dies im Wesentlichen damit, dass aufgrund der Änderungen der gesetzlichen Regelungen eine Neubewertung der Voraussetzungen der datenschutzrechtlichen Zulässigkeit der Abrechnung durch die PVS vorzunehmen wäre. Wörtlich heißt es:
„Mit dem Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen (BT-Drs. 18/11936 – Gesetzentwurf vom 12. April 2017) hat der Gesetzgeber zeitlich nach Erlass der datenschutzrechtlichen Anordnung u. a. eine Änderung von § 203 Abs. 3 StGB geschaffen. Demnach gilt: „Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.“
Mit Inkrafttreten dieser Gesetzesänderung in § 203 Abs. 3 StGB ist für die ab diesem Zeitpunkt vorgenommenen Übermittlungen der wesentliche Kontrollgrund nachträglich weggefallen, da die Ärzte Patientendaten nun grundsätzlich auch ohne Einwilligung der Patienten an die PVS übermitteln dürfen: Werden Patientendaten zu Verwaltungs- und Abrechnungszwecken an einen Dienstleister übermittelt, so kann dieser Dienstleister fortan als „sonstige Person“ im Sinne von § 203 Abs. 3 Satz 2 StGB qualifiziert werden, so dass eine nicht einwilligungsbedürftige Offenbarungsbefugnis der Ärzte besteht (Eisele, in: Schönke/Schröder, StGB, Auflage, 2019, § 203, Rn. 26 und 46; Cierniak/Niehaus, in: Münchener Kommentar zum StGB, 3. Auflage 2017, § 203, Rn. 134). Als datenschutzrechtliche Grundlage für die Weitergabe der Daten kommen Art. 6 Abs. 1, 9 Abs. 2 Buchst, h DSGVO in Betracht.
Die veränderte Rechtslage war im Rahmen der Ermessensausübung zu beachten. Der Widerruf der Prüfungsanordnung ist ein geeignetes und verhältnismäßiges Mittel, um auf die veränderte Rechtslage zu reagieren. Eine Prüfung könnte lediglich mögliche Verstöße in der Vergangenheit aufdecken. Änderungsbedarf für die Zukunft wäre daraus aufgrund der veränderten Rechtslage nicht abzuleiten. Ein besonderes Interesse an einer ausschließlich retrograden Prüfung besteht nicht. Daher ist es sachgerecht, auf die ursprünglich geplante Prüfung endgültig zu verzichten.“ (Hervorhebungen hinzugefügt)
Neuer Ansatz des ULD: Somit vollzieht das ULD nunmehr die Argumentation der PVS im Widerspruchsverfahren nach, dass spätestens in Folge der Änderungen des § 203 StGB sowie im Hinblick auf Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 BDSG die Weitergabe von Patientendaten zu Abrechnungszwecken an eine PVS und die damit zusammenhängenden Verarbeitungen keiner gesonderten Einwilligung des Patienten (mehr) bedarf, wenn
1. Transparenz: der Heilbehandler seine Patienten in transparenter Weise darüber informiert hat, dass eine Weitergabe von Patientendaten zu Zwecken der Abrechnung eines Behandlungsvertrags an eine PVS erfolgt,
2. Vertrag: die PVS die Verarbeitung der zur Abrechnung erforderlichen Daten auf Grundlage eines schriftlichen Auftrags vornimmt,
3. Betroffenenrechte: die PVS und der Arzt auch im Rahmen des Forderungsmanagements die datenschutzrechtlichen Betroffenenrechte wahren und transparent über diese informieren.
Grundsätzliche Bedeutung
Die bisherige Rechtsauffassung, die von einer ausdrücklichen, freiwilligen und stets widerruflichen Einwilligungserklärung des Patienten ausgegangen ist, hat das ULD offenbar aufgegeben. Setzt sich diese Erkenntnis auch bei anderen Aufsichtsbehörden und den Ärztekammern durch, hat sie weitreichende Bedeutung. Denn nicht nur für Abrechnungsleistungen werden immer wieder unnötige schriftliche Einwilligungserklärungen der Patienten gefordert.
Keine zusätzliche Einwilligung bei Berufsgeheimnisträgern: Aufgrund der Regelungen in § 22 BDSG in Verbindung mit Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO erkannte das ULD, dass die Verarbeitung von Daten einer Heilbehandlung grundsätzlich schon aufgrund des Vertrags mit einem Angehörigen eines Gesundheitsberufs auch durch (nachgelagerte) Dienstleister erfolgen kann. Einer zusätzlichen Einwilligungserklärung des Patienten bedarf es dabei nicht, soweit die für die Datenweitergabe relevanten Informationen transparent und unter Wahrung strikter Vertraulichkeit zwischen den beteiligten Berufsgeheimnisträgern ausgetauscht werden und kein anderer Verwendungszweck als etwa hier die konkrete Abrechnung und das damit zusammenhängende Forderungsmanagement verfolgt wird, oder im Falle eines Labors die Erstellung einer Analyse samt Diagnose, beim Steuerberater die korrekte steuerliche Verbuchung usw.
Datenschutzrechtliche Rollen unerheblich: Auf die Frage, wie das Vertragsverhältnis zwischen Heilbehandlern und PVS datenschutzrechtlich zu qualifizieren ist, kommt es nicht mehr entscheidend an, da sowohl bei selbstständiger Bearbeitung als auch im Rahmen gemeinsamer Verantwortung i. S. d Art. 26 DSGVO die Weitergabe der Daten gerechtfertigt ist und da es im Rahmen einer Auftragsverarbeitung ohnehin keiner gesonderten Einwilligung des Patienten zur Datenverarbeitung bedarf.
Fazit
Es bleibt zu hoffen, dass die Kehrtwende des ULD in anderen Bereichen die Erkenntnis befördert, dass die „Einwilligeritis“ nicht nur alle Betroffenen „nervt“, sondern die damit einhergehende Bürokratie keine Grundlage im geltenden Recht hat.
Autor: Jan Mönikes, Rechtsanwalt
*Disclaimer: Der Autor hat die betroffene PVS im Widerspruchsverfahren anwaltlich vertreten.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.
Datenschutz & Datensicherheit Das Fachinformationsportal
- Aktuelles Fachwissen
- Rechtssichere Entscheidungen
- Praktische Arbeitshilfen
- Schritt-für-Schritt-Anleitungen
- Sofort einsetzbare Schulungen