von RA und FA ArbR und MedR Dr. Tilman Clausen, armedis Rechtsanwälte, Hannover, www.armedis.de
Die Datenschutz-Grundverordnung (DS-GVO) hat weitreichende Folgen für die Verarbeitung von Daten im Krankenhaus. Auch für die Privatliquidation ärztlicher Leistungen in der Chefarztambulanz und im Rahmen stationärer Wahlleistungen werden Daten von Patienten verarbeitet. Dies geschieht z. T. durch privatärztliche Verrechnungsstellen (PVS). Welche Vorgaben der DS-GVO für die Datenverarbeitung in der Privatliquidation gelten und wie Sie diese umsetzen, fasst der folgende Beitrag zusammen.
Art. 1 DS-GVO definiert den Gegenstand und die Ziele der Verordnung. Bezogen auf die Verarbeitung von Gesundheitsdaten im Rahmen der Patientenversorgung im Krankenhaus will die Verordnung zweierlei erreichen:
Wenn also das Krankenhaus (oder in dessen Auftrag ein externer Dienstleister) personenbezogene Daten von Patienten verarbeitet, sollen diese Daten nur so weit geschützt sein, dass die reibungslose Patientenversorgung unbeeinträchtigt bleibt. Gleichwohl hat die DS-GVO zu Verunsicherung geführt. Die folgenden Ausführungen nehmen immer den sichersten Weg und damit möglicherweise etwas „zu viel an Datenschutz“.
Für die Abrechnung ärztlicher Leistungen, die ein ambulant oder stationär behandelter Privatpatient im Krankenhaus in Anspruch nimmt, sind insbesondere die Regelungen zur Verarbeitung von Gesundheitsdaten (Art. 9) und die Informationspflicht (Art. 13) relevant.
Nach Art. 9 Abs. 1 DS-GVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt. Hierzu gehören u. a. auch Gesundheitsdaten. Da aber z. B. die Gesundheitsversorgung ohne die Verarbeitung personenbezogener Daten nicht funktionieren würde, enthält Abs. 2 eine Vielzahl von Ausnahmeregelungen. Nach Abs. 3 dürfen Gesundheitsdaten zu den in Abs. 2h genannten Zwecken nur von Fachpersonal verarbeitet werden, das dem Berufsgeheimnis unterliegt. Im Krankenhaus sind das Ärzte, Pflege- und Administrationskräfte oder die Mitarbeiter von PVS. Nach § 203 Strafgesetzbuch (StGB) unterliegen diese Berufsgruppen dem Berufsgeheimnis.
Hier erlaubt Art. 9 DS-GVO die Verarbeitung von Gesundheitsdaten |
Wichtig: Damit dürfen Sie personenbezogene Daten in der Gesundheitsversorgung auch ohne Einwilligung des Patienten verarbeiten. Sie können die Datenverarbeitung in diesem Bereich aber auch vertraglich vereinbaren.
|
Praxistipp |
Im Jahr 2017 wurden die Bestimmungen zum Berufsgeheiminis in § 203 StGB geändert. Die Änderung gewährt auch externen Dienstleistern (z. B. IT-Beratern) den Zugang zu personenbezogenen Daten, die dem Berufsgeheimnis unterliegen. Diese verarbeiten i. d. R. aber keine Daten, sondern warten oder reparieren die EDV, die für die Datenverarbeitung notwendig ist. Die Dienstleister sind ebenfalls mithilfe eines schriftlichen Vertrags zur Verschwiegenheit zu verpflichten. |
Art. 13 DS-GVO regelt die Informationspflicht desjenigen, der personenbezogene Daten erhebt, gegenüber der betroffenen Person. Chefärzte, die eine Privatambulanz aufgrund einer Nebentätigkeitsgenehmigung betreiben, behandeln Privatpatienten und stellen ihnen ärztliche Leistungen in Rechnung. Dafür müssen sie personenbezogene Daten erheben und verarbeiten.
Wenn Sie als Chefarzt Ihre privatärztlichen Leistungen selbst abrechnen, müssen Sie Ihren Patienten zukünftig umfassend erläutern, was mit diesen Daten geschieht und wann sie wieder gelöscht werden. Dies muss im Zweifel auch nachweisbar sein. Daher ist es sinnvoll, wenn Sie sich für die Erläuterung am Inhalt von Art. 13 DS-GVO orientieren.
Bei der stationären Versorgung von Wahlleistungspatienten ist wie folgt zu differenzieren:
Eine Auftragsdatenverarbeitung liegt vor, wenn Sie eine PVS mit der Abrechnung Ihrer Privatliquidation beauftragt haben. In diesem Fall muss der Auftraggeber (Chefarzt oder Krankenhausträger) mit der PVS einen Vertrag über die Auftragsdatenverarbeitung schließen (Art. 26, Art. 28 DS-GVO, für Mustervertrag siehe weiterführende Hinweise). Wenn Sie dagegen an die PVS Ihre privatärztliche Honorarforderung verkaufen (Factoring-Vertrag), wird diese im eigenen Namen tätig. Es liegt dann weder eine Auftragsdatenverarbeitung vor noch benötigen Sie einen entsprechenden Vertrag.
Praxistipp |
Unabhängig davon, ob eine Auftragsdatenverarbeitung oder ein Factoring vorliegt, muss der Patient über die Datenverarbeitung unterrichtet werden. Dazu gehört auch der Zweck, zu dem die PVS Daten des Patienten verarbeitet. |
Der Patient muss in die Verarbeitung seiner personenbezogenen Daten durch die PVS einwilligen. Dabei spielt es keine Rolle, ob die PVS im Auftrag des Arztes oder nach Forderungsabtretung auf eine Rechnung handelt.
Die Einwilligung des Patienten ist notwendig, weil neben der DS-GVO auch das Berufsgeheimnis nach § 203 StGB gilt. Will der Arzt die Daten Dritten offenbaren, die ebenfalls dem Berufsgeheimnis unterliegen (z. B. einer PVS), muss der Patient vorher einwilligen. Dies gilt auch, wenn die PVS im Bereich der ärztlichen Abrechnung nach SGB V tätig wird (z. B. bei ASV nach § 116b SGB V i. V. m. § 295 SGB V). Berufsgeheimnis und DS-GVO sind rechtlich unabhängig voneinander anwendbar: Ist z. B. eine Datenübermittlung oder -nutzung nach der DS-GVO zulässig, verstößt aber gegen ein Berufsgeheimnis, so ist sie insgesamt unzulässig („2-Schranken-Prinzip“).
Merke |
Ginge es nur nach der DS-GVO, wäre nach Art. 9 Abs. 2h eine Datenverarbeitung durch die PVS auch ohne Einwilligung des Patienten gedeckt: Die Verarbeitung personenbezogener Gesundheitsdaten wäre aufgrund eines Vertrags zwischen dem Patienten mit einem Angehörigen eines Gesundheitsberufs (z. B. über die Beauftragung einer PVS) erlaubt. Indem der Patient einen solchen Vertrag unterschreibt, willigt er in die Tätigkeit der PVS ein. |
Im Rahmen der Einwilligungserklärung ist der Patient über die Datenverarbeitung durch die PVS zu unterrichten (Art. 13 DS-GVO). Außerdem ist die Einwilligung zweckbestimmt. Das gilt insbesondere, wenn Sie als Chefarzt Ihre Forderung an die PVS verkaufen und mit der Abtretung unterschiedliche Zwecke verbunden sind (z. B. Abrechnung, Bonitätsprüfung, Einschaltung von Inkassobüros, Weiterabtretung zur Refinanzierung). In diesen Fällen muss der Patient in jeden Zweck gesondert einwilligen (Art. 9 Abs. 2a, Art. 6 Abs. 1a i. V. m. Nr. 32 Erwägungsgründe DS-GVO).
Die meisten Einwilligungserklärungen, die im Krankenhaus für die Privatliquidation verwendet werden, dürften seit dem 25.05.2018 nicht mehr wirksam sein. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat eine Arbeitshilfe zur Erstellung von Einwilligungen veröffentlicht, die die Anforderungen gemäß Art. 7 DS-GVO erfüllen (siehe weiterführende Hinweise).Folgende Anforderungen an die Einwilligung ergeben sich gemäß Art. 7 DS-GVO:
Wenn der Patient die privatärztliche Rechnung nicht zahlen sollte, bleibt es bei der bisherigen Rechtslage. Der Arzt kann in diesem Fall einen Anwalt einschalten, der wiederum die personenbezogenen Daten des Patienten verarbeiten darf. Datenschutzrechtlich ergibt sich dies aus Art. 6 Abs. 1f DS-GVO. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies dürfte hier der Fall sein, da anders die Interessen des Arztes nicht durchsetzbar wären.
Weiterführende Hinweise
Wir bedanken uns für Ihren Besuch auf dieser Website. Hier finden Sie unsere
>>AGB
und unsere
>>Datenschutzbestimmungen.
Guerbet GmbH
Otto-Volger-Straße 11,
65843 Sulzbach/Taunus
Telefon: 06196 762-0
www.guerbet.de
E-Mail: info@guerbet.de
Wenn Sie Fragen oder Anregungen zur Berichterstattung haben, erreichen Sie uns über folgende E-Mail-Adresse: rwf@iww.de.
Wenn Sie Fragen oder Anmerkungen zu Produkten der Guerbet GmbH haben, kontaktieren Sie uns bitte hier.
>>Zum Kontaktformular