Datenschutzrecht für Ärzte unzureichend geklärt

von RA Dr. Tim Oehler, Lehrbeauftragter der Universität Witten/Herdecke, Wallenhorst

Der Datenschutz-Grundverordnung (DS-GVO) liegt ein „one-fits-all-approach“ zugrunde. Dieses allumfassende Einheitskonzept bereitet einzelnen Wirtschaftszweigen weiterhin erhebliche Anwendungsschwierigkeiten. Inzwischen liegen erste Aussagen zu drängenden Datenschutz-Problemen der Gesundheitswirtschaft vor. Doch nicht alle Fragen sind hinreichend geklärt.

Datenschutzbeauftragte in der Arztpraxis

Die Frage, wann Arztpraxen einen Datenschutzbeauftragten zu bestellen haben, lag bisher weitgehend im Dunkeln. Art. 37 Abs. 1 c) DS-GVO gibt vor, dass ein Datenschutzbeauftragter zu benennen ist, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, wie es bei einer ärztlichen Behandlung grds. der Fall ist. Damit liegt die Vermutung nahe, dass mit der Arzttätigkeit zugleich und unausweichlich die Bestellpflicht eines Datenschutzbeauftragten verbunden ist. Zusätzlich gibt § 38 Bundes-Datenschutzgesetz (BDSG) vor, einen Datenschutzbeauftragten zu benennen, soweit i. d. R. mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Für Einzel-Arztpraxen gilt die Zehn-Personen-Regel

Zusammengenommen haben diese Vorgaben aus Art. 37 DS-GVO und § 38 BDSG die sog. Datenschutz-Konferenz auf deutscher Ebene zum Beschluss vom 26.04.2018 veranlasst. Demnach ist ein Datenschutzbeauftragter gemäß § 38 BDSG im Falle einer Einzel-Arztpraxis zu benennen, in der mindestens zehn Personen (einschließlich des Praxisinhabers!) mit der regelmäßigen Verarbeitung von Personendaten beschäftigt sind.

Gemeinsames Praktizieren: Kein Zwang zum Datenschutzbeauftragten

Auch das gemeinsame Praktizieren von Ärzten führt nicht per se dazu, schon von einer umfangreichen Verarbeitung besonderer Personendaten auszugehen. Nur ausnahmsweise kann bei den Kooperationsformen der Berufsausübungsgemeinschaft (BAG) oder Praxisgemeinschaft und einer geringeren Anzahl als zehn Personen dennoch ein Datenschutzbeauftragter zu benennen sein. Diese Ausnahmesituation tritt ein, wenn mit einem hohen Risiko für die Rechte und Freiheiten bei der Datenverarbeitung zu rechnen ist. Dieses hohe Risiko wird bei einer umfangreichen Verarbeitung (z. B. große Praxisgemeinschaft) oder z. B. beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, bejaht.

Allerdings bestehen Zweifel, ob die Datenschutz-Konferenz die Unterschiede in den Kooperationsformen beim gemeinsamen Praktizieren von Ärzten vollständig berücksichtigt hat.

Patienten-Unterschrift für eine Vertragsarzt-Behandlung

Man kann die unklare datenschutzrechtliche Lage zusammenbringen mit dem Phänomen, dass Ärzte ihren Patienten Unterschriften für die Kenntnisnahme der Informationen nach Art. 13 DS-GVO abverlangen. Verweigern die Patienten diese „Quittierung“, sollen Ärzte die Behandlung mittlerweile ablehnen oder dies mindestens androhen. Die Datenschutz-Aufsichtsbehörden stufen dieses Vorgehen als unvereinbar mit der DS-GVO ein.

Informationen für Patienten nur „zur Kenntnis“

Der Art. 13 DS-GVO verpflichtet den z. B. in einer Einzelpraxis tätigen Arzt dazu, Patienteninformationen zur Verfügung zu stellen. Ist der Patient unmittelbare Datenquelle, muss der Arzt u. a. über die Kontaktdaten des Praxis-Betreibers, die Zwecke der Datenverarbeitung (Durchführung des Behandlungsvertrags) und die Rechtsgrundlage der Datenverarbeitung informieren. Mit der Informationspflicht (zur Verfügung stellen, vgl. Art. 13 Abs. 2 und Abs. 3 DS-GVO) geht jedoch keine Kenntnisnahmepflicht des Patienten einher.

Nachweis ist nicht eng

Dass der Arzt seinen Informationspflichten nachkommt, muss er gemäß Art. 24 Abs. 1 DS-GVO nachweisen können. Nach dem Zusammenschluss der Aufsichtsbehörden kann er diesen Nachweis auf unterschiedlichen Wegen führen. Eine Möglichkeit ist es, das übliche Procedere zur Realisierung der Informationspflichten nach Art. 13 DS-GVO schriftlich festzuhalten.

Eine weitere Variante besteht darin, in der Patienten-Dokumentation das Aushändigen der Informationen nach Art. 13 DS-GVO zu notieren. Damit ist die Anfrage nach einer Unterschrift des Patienten eine zusätzliche Spielart, die jedoch nicht alternativlos ist. Erst recht ist der Patient nicht verpflichtet, seinen subjektiven Kenntnisstand zu den Informationen zu quittieren.

Merke

Der Arzt muss den subjektiven Kenntnisstand des Patienten zur Datenverarbeitung nicht nachweisen, sondern nur die rechtzeitige Bereitstellung der geforderten Informationen. Diesen Nachweis wiederum muss er auch nicht durch eine Patientenunterschrift unter ein Schriftstück führen, die den Erhalt der Informationen quittiert.

 

Ablehnung der Behandlung ist unberechtigt

Wie sich gezeigt hat, besteht also kein datenschutzrechtlicher Grund für die (Androhung einer) Behandlungsverweigerung. Dies hat zur Folge, dass die Behandlung von gesetzlich versicherten Patienten durch Vertragsärzte nicht verweigert werden darf, weil der Patient seine Unterschrift bzgl. der Bestätigung der Kenntnisnahme der Informationen verweigert. Geschieht dies dennoch, liegt ein Verstoß gegen § 13 Abs. 7 Bundesmantelvertrag-Ärzte vor.

Informationen bei Regressverfahren

Auf eine bisher unbekannte, „unerwünschte Nebenwirkung“ der DS-GVO für das Arzt-Patienten-Verhältnis im Rahmen von sachlich-rechnerischen Berichtigungen oder Wirtschaftlichkeitsprüfungen durch die KV und ggf. den Beschwerdeausschuss (BA) hat Sozialrichter Fabian Elsaesser hingewiesen.

Patientenakten anfordern, Patienten informieren

In beiden Honorarkorrektur-Verfahren werden die Abrechnungsunterlagen einzelner Patienten geprüft. Diese Sichtung patientenbezogener Unterlagen setzt sich bei Meinungsverschiedenheiten zwischen dem geprüften Arzt und der KV oder dem BA in einem Sozialgerichtsverfahren regelmäßig fort: Das Sozialgericht zieht nämlich die behördlichen Verwaltungsakten (der KV/des BAes) mit diesen Dokumenten bei. Mit dieser Heranziehung sind für das Sozialgericht datenschutzrechtliche Pflichten verbunden.

Aus Art. 14 DS-GVO erwächst die Pflicht – sofern Daten nicht bei der betroffenen Person direkt erhoben werden – ,dem Patienten die in Art. 14 DS-GVO genannten Informationen zur Verfügung zu stellen. Zu diesen Informationen gehört der Zweck der Datenverarbeitung.

Merke

Jeder Patient, der Gegenstand des „Abrechnungsstreits“ ist, müsste Nachricht von laufenden Gerichts- und Regressverfahren des Arztes erhalten.

 

Kenntnis von Regressverfahren als Last

Diese an den Patienten gerichteten Informationen über Regressverfahren des Arztes können das Arzt-Patienten-Verhältnis belasten. Bestenfalls verwirrt den Patienten die Information über eine Kontroverse zwischen dem Arzt und der zuständigen Institution.

Identifiziert der Patient in Unkenntnis der Hintergründe diese Verfahren aber pauschal z. B. mit „Abrechnungsunregelmäßigkeiten“, eröffnet dies eine völlig andere Assoziationskette.

Sofern ein BA ins Spiel kommt, ist zudem die Frage der datenschutzrechtlichen Verantwortlichkeit zu beachten. Denn der BA agiert unabhängig von der KV und „haftet“ auch für die Frage der Richtigkeit seiner Entscheidungen, indem er der richtige Beklagte in einem Gerichtsverfahren zu seiner Entscheidung über seine Honorarkürzung ist. Daher muss der BA selbst bei der Anforderung von patientenbezogenen Abrechnungspositionen bei der KV den Informationspflichten nach Art. 14 DS-GVO Rechnung tragen.

Fazit

Die vorherigen Ausführungen bestätigen, wie schwierig die Anwendung des unspezifischen Datenschutzrechts für den „Wirtschaftsraum“ Medizin ist. Fehlende Spezialkenntnisse bei den beteiligten Aufsichtsbehörden, Entscheidungsgremien, Leistungserbringern oder Patienten können für alle Beteiligten schädliche Wirkungen haben. Sei es, dass Unkenntnis über das Datenschutzrecht oder Regressverfahren das Arzt-Patienten-Verhältnis unterminieren oder dass zumindest ungenaue Ausführungen der Aufsichtsbehörden zum Datenschutzrecht für zusätzliche Verunsicherung der Ärzte sorgen können.