Zurück zur Übersicht

Der Datenschutz hat gerade in den letzten Jahren enorm an Bedeutung gewonnen. Die Öffentlichkeit wurde insbesondere auch durch die Medien hinsichtlich der Beachtung des Datenschutzes sensibilisiert. Dies hat vor allem auch Auswirkungen auf das Arzt-Patienten-Verhältnis, gerade im Hinblick auf die ärztliche Schweigepflicht. Von gesonderter Problematik ist hier die Abrechnung der ärztlichen Leistungen durch externe private Abrechnungsstellen. Da hierzu die Weitergabe der Patientendaten sowie der durch den Arzt erbrachten ärztlichen Leistungen und oftmals auch der gestellten Diagnose erfolgt, stellt sich die Frage, ob und in welchen Fällen dies zulässig ist.

Die wichtigsten gesetzlichen Regelungen

1. § 203 Abs. 1 Nr. 1 StGB

Diese Vorschrift stellt den Verstoß gegen die ärztliche Schweigepflicht unter Strafe. Hierin heißt es:

„Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Arzt anvertraut worden oder sonst bekanntgeworden ist, macht sich strafbar.“

Gemäß Absatz 4 gilt dies auch über den Tod des Betroffenen hinaus.

Der Begriff des Geheimnisses meint Tatsachen, die sich auf die Person des Betroffenen sowie seine vergangenen und bestehenden Lebensverhältnisse beziehen. Dies können auch Tatsachen der Identifikation, wie beispielsweise der Patientenname sein (vgl. Fischer T., Strafgesetzbuch, Kommentar, § 203 Rn. 4, 55. Auflage 2008, Verlag C. H. Beck). Selbstverständlich fallen insbesondere Gesundheitsdaten hierunter.

Unbefugt bedeutet ohne Einwilligung bzw. mutmaßliche Einwilligung des Betroffenen oder ohne gesetzliche Offenbarungspflicht.

2. § 9 Muster-Berufsordnung Ärzte (MBO-Ä)

Auch berufsrechtlich ist die ärztliche Schweigepflicht umfassend normiert. Danach haben Ärztinnen und Ärzte gemäß Absatz 1 über das, was ihnen in ihrer Eigenschaft als Ärztin oder Arzt anvertraut oder bekannt geworden ist – auch über den Tod der Patientin oder des Patienten hinaus – zu schweigen. Schriftliche Mitteilungen der Patienten, Aufzeichnungen über Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde zählen auch hierzu.

Absatz 2 legt berufsrechtlich eine Befugnis zur Offenbarung fest, wonach diese besteht, soweit der Arzt/die Ärztin von der Schweigepflicht entbunden worden ist oder soweit die Offenbarung zum Schutze eines höherwertigen Rechtsgutes erforderlich ist. Unberührt hiervon bleiben gesetzliche Aussage- und Anzeigepflichten. Ist die ärztliche Schweigepflicht durch gesetzliche Vorschriften eingeschränkt, so soll der Patient darüber unterrichtet werden.

Zudem sieht Absatz 4 vor, dass für den Fall, dass mehrere Ärztinnen und Ärzte gleichzeitig oder nacheinander denselben Patienten untersuchen oder behandeln, sie untereinander nur insoweit von der Schweigepflicht befreit sind, als das Einverständnis des Patienten vorliegt oder anzunehmen ist.

3. Bundesdatenschutzgesetz (BDSG)

Dem Bundesdatenschutzgesetz kommt für die Erhebung, Verarbeitung und Nutzung von Daten eine zentrale Stellung zu, dessen Vorschriften grundsätzlich von Jedermann zu beachten sind. Daneben können aber noch weitere Gesetze bestehen, die Geltung besitzen oder als Spezialvorschriften primären Vorrang haben. Zu nennen sind hier insbesondere die Landesdatenschutzgesetze, die für Krankenhäuser geltenden Krankenhausgesetze der Länder oder auch das SGB V für die vertragsärztliche Versorgung.

Personenbezogene Daten sind nach § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, wie zum Beispiel Name, Anschrift und Geburtsdatum.

Besondere personenbezogene Daten sind nach § 3 Abs. 9 BDSG Angaben über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Nach § 4 Abs. 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn eine gesetzliche Rechtsgrundlage nach dem BDSG oder einem anderen Gesetz dies erlaubt oder anordnet oder der Betroffene hierzu seine Einwilligung erteilt hat. Dies gilt nach Auffassung des Verfassers erst recht für besondere personenbezogene Daten. Folglich setzt die Zulässigkeit der Übermittlung von Patientendaten hiernach entweder eine gesetzliche Grundlage oder die Einwilligung des Patienten voraus.

Die Einwilligung ist jedoch gemäß § 4a Abs. 1 BDSG nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Zudem bestehen hiernach Hinweispflichten gegenüber dem Betroffenen hinsichtlich des Zwecks der Erhebung, Verarbeitung oder Nutzung sowie, bei Erforderlichkeit oder auf Verlangen des Betroffenen, der Folgen der Verweigerung der Einwilligung. Die Einwilligung bedarf grundsätzlich der Schriftform. Wenn die Einwilligung zur Erhebung, Verarbeitung oder Nutzung von Daten zusammen mit anderen Erklärungen schriftlich erteilt wird, muss sie besonders hervorgehoben werden.

Soweit besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen (§ 4a Abs. 3 BDSG).

§ 39 BDSG unterstellt die Verarbeitung oder Nutzung von personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle (also z. B. dem Arzt) in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, einer Zweckbindung, d. h. sie dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. Eine Verarbeitung oder Nutzung zu einem anderen Zweck ist nur zulässig, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.

Rechtsprechung

a. Privatpatienten

Für die Übermittlung, Verarbeitung, Nutzung und Speicherung der Patientendaten zum Zwecke der Abrechnung an eine externe private Abrechnungsstelle benötigt der Arzt vom Privatpatienten nach ständiger Rechtsprechung mangels gesetzlicher Grundlage zwingend eine ausdrückliche Schweigepflichtentbindungserklärung sowie eine datenschutzrechtliche Einwilligungserklärung (vgl. BGH, NJW 1991, 2955; OLG Karlsruhe, NJW 1998, 831; OLG Düsseldorf, Urteil vom 17.08.2007 – I-16 U 209/05; BGH, Urteil vom 10.10.2013 – III ZR 325/12). Ohne Vorliegen dieser Erklärungen bzw. bei Verweigerung der Unterzeichnung der Erklärungen durch den Patienten dürfen die Daten nicht an die Abrechnungsstelle weitergegeben werden. Ferner reicht nach ständiger Rechtsprechung eine konkludente Einwilligung zur Legitimation der Datenübermittlung nicht aus. Dieser Grundsatz gilt unabhängig davon, ob die externe gewerbliche Abrechnungsstelle nur mit der Rechnungserstellung beauftragt ist, oder ob die ärztliche Forderung zudem an diese zur Einziehung abgetreten wurde (vgl. BGH, Urteil vom 10.10.2013 – III ZR 325/12).

Hinsichtlich des Zugriffs der externen Abrechnungsstelle durch Einwahl in das Praxisprogramm zur Kontrolle der Privatliquidation anhand der Karteikarteneinträge ist dies aus datenschutzrechtlicher Sicht nach Meinung des Verfassers durchaus höchst problematisch.

Denn die Einwilligungserklärung des Patienten bezieht sich in der Regel ausschließlich auf diejenigen Daten, die zur Abrechnung erforderlich sind. Sofern durch die Einwahl in das Praxisprogramm bei dem jeweiligen Patienten durch die Abrechnungsstelle auch Daten zur Kenntnis genommen werden können, die für die Abrechnung nicht erforderlich sind und hiermit nichts zu tun haben, ist dies aus Sicht des Verfassers unzulässig und überdies auch nicht mehr von der Einverständniserklärung des Patienten gedeckt. Alle Daten, die somit nicht für die Abrechnung erforderlich sind, müssen vor dem unbefugten Zugriff Dritter geschützt werden. Ansonsten liegt sowohl ein datenschutzrechtlicher als auch ein strafrechtlicher Verstoß gegen die ärztliche Schweigepflicht vor. Umfassen jedoch die Schweigepflichtentbindungs- und die Datenschutzerklärungen auch diese Vorgehensweise, wird der Patient hierüber informiert und willigt er ausdrücklich ein, so wäre dies nach Meinung des Verfassers rechtlich zulässig.

Eine wirksame Schweigepflichtentbindungserklärung setzt nach ständiger höchstrichterlicher Rechtsprechung voraus, dass

der Patient eine im Wesentlichen zutreffende Vorstellung davon hat, worin er einwilligt,

er die Bedeutung und Tragweite seiner Entscheidung überblicken kann,

er deshalb wissen muss, aus welchem Anlass und mit welcher Zielsetzung er welche Personen von ihrer Schweigepflicht entbindet und

er über Art und Umfang der Einschaltung Dritter (die genau benannt werden müssen mit Anschrift) unterrichtet wird (vgl. BGH, NJW 1992, 2348; ders. Urteil vom 10.10.2013 – III ZR 325/12).

Dies bedeutet vor allem im Falle der Abtretung der Forderung zur Einziehung, dass der Patient eindeutig und zweifelsfrei erkennen kann, wer Forderungsinhaber ist und zu welchem Zweck (also zum Beispiel Forderungseinziehung und gegebenenfalls gerichtliche Geltendmachung) die Behandlungsdaten weitergegeben werden sowie, dass der Patient darauf hingewiesen wird, dass etwaige Einwendungen gegen die ärztliche Honorarforderung in einem folgenden Prozess gegenüber der Abrechnungsstelle geltend zu machen sind und hierzu möglicherweise Einzelheiten aus der Krankengeschichte und der Behandlung offenbart werden müssen (vgl. BGH, Urteil vom 10.10.2013 – III ZR 325/12).

Die datenschutzrechtliche Einwilligungserklärung setzt nach Auffassung des Verfassers unter Berücksichtigung der gesetzlichen Anforderungen voraus, dass

sie schriftlich abgegeben wird,

sie für den Fall, dass sie zusammen mit anderen Erklärungen erteilt wird, besonders deutlich hervorgehoben wird,

sie den Patientin auf den Zweck der Erhebung, Verarbeitung oder Nutzung sowie der Folgen der Verweigerung der Einwilligung (dem Patienten sollte eine alternative Möglichkeit zur Abrechnung gegeben werden) hinweist,

sie deutlich erkennen lässt, an welches gewerbliche Abrechnungsunternehmen und welche Daten (personenbezogene und/oder besondere personenbezogene Daten, bei Forderungsabtretung i. d. R. die gesamten Behandlungsdokumente) übermittelt werden,

der Patient erkennen kann, ob die Erklärung nur für den konkreten Behandlungsfall gilt oder für die gesamte Dauer der ärztlichen Vertragsbeziehung (vgl. Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Übermittlung von Patientendaten an private Abrechnungsdienste, unter http://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Gesundheit/Inhalt/01_Uebermittlung_von_Patientendaten_an_private_Abrechnungsdienste/01_Uebermittlung_von_Patientendaten_an_private_Abrechnungsdienste.php) und

sie den deutlichen Hinweis enthält, dass die Einwilligung freiwillig erteilt wird und vom Patienten jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

b. GKV-Patienten

Für den vertragsärztlichen Bereich hat das BSG allerdings entschieden, dass eine Weitergabe von Patientendaten an externe private Abrechnungsstellen grundsätzlich unzulässig ist mangels gesetzlicher Rechtsgrundlage und eine solche auch nicht entbehrlich wird durch eine schriftliche Einwilligungserklärung des GKV-Patienten zur Datenweitergabe (vgl. BSG, Urteil vom 10.12.2008 – B 6 KA 37/07 R).

Die datenschutzrechtlichen Bestimmungen des SGB I und des SGB X finden aus Sicht des BSG auf vertragsärztliche Leistungserbringer keine Anwendung, da diese Vorschriften allein den Schutz von Sozialdaten im Verwaltungsverfahren der Sozialleistungsträger regeln. Die §§ 284 ff. SGB V enthalten diesbezüglich (nahezu) ausschließlich Bestimmungen, die sich mit datenschutzrechtlichen Anforderungen an die Erhebung, Speicherung, Verarbeitung und Nutzung von Daten durch die KVen und die gesetzlichen Krankenkassen auseinandersetzen, jedoch (nahezu) keine Regelungen, die sich mit der Weitergabe von Patientendaten durch Leistungserbringer befassen. Von den im SGB V gesetzlich normierten oder als selbstverständlich vorausgesetzten Abrechnungswegen (Abrechnung zwischen Vertragsarzt-KV-Krankenkasse) sei deshalb nur dann eine Abweichung zulässig, wenn dies auf einer ausdrücklichen gesetzlichen Grundlage beruhe. Die im SGB V zu findende unterschiedliche Regelungsdichte hinsichtlich der Einschaltung Dritter in den Datenfluss sei nach Auffassung des BSG nur dann nachvollziehbar, wenn davon ausgegangen werde, dass die Krankenkassen bzw. KVen die allein in Betracht kommenden Empfänger und Nutzer der von den Vertragsärzten weiterzugebenden Sozialdaten seien. Für die Zulässigkeit der Datenübermittlung an externe Abrechnungsstellen bedürfte es insoweit deshalb detaillierter datenschutzrechtlicher Bestimmungen, die denen für KV und Kassen entsprächen, welche allerdings fehlen. Die wenigen gesetzlich geregelten Ausnahmefälle (z. B. § 300 Abs. 2 Satz 2 und 3 SGB V) würden hingegen belegen, dass die Einschaltung Dritter dann gerade angemessenen datenschutzrechtlichen Beschränkungen unterworfen ist. Letztendlich sei die Weitergabe von Gesundheitsdaten nach der Konzeption des SGB V auf das Unerlässliche beschränkt. Die gegenüber den Vorschriften des SGB V subsidiären Vorschriften des BDSG können nach Meinung des BSG nur in solchen Fällen Anwendung finden, in denen die Vorschriften des SGB V ausdrücklich hierauf verweisen. Denn das Sozialgesetzbuch treffe in seinem Geltungsbereich als abschließend zu verstehende bereichsspezifische Regelungen, die eine entsprechende oder ergänzende Anwendung des BDSG verbieten. Folglich komme hiernach für eine zulässige Datenweitergabe und verarbeitung durch externe Abrechnungsstellen der Rückgriff auf die Einwilligung des Patienten als Ermächtigungsgrundlage weder direkt noch analog in Betracht. Dies vor allem auch im Hinblick darauf, dass an anderen Stellen eine Normierung der Zulässigkeit einer auf eine Einwilligung gestützten Datenübermittlung durch Leistungserbringer gerade für erforderlich angesehen wurde und ausdrücklich erfolgt sei (z. B. § 17 Abs. 3 Satz 6 KHEntgG, §§ 73 Abs. 1b Satz 1und 2, 137f Abs. 3 Satz 2, 63 Abs. 3a Satz 2 SGB V). Diese Grundsätze gelten entsprechend der Begründung des BSG für alle Personen und Institutionen, die Leistungen der ambulanten Krankenbehandlung erbringen (solange keine abweichende Gesetzesvorschrift besteht), sodass der Teilnahmestatus im Rahmen der vertragsärztlichen Versorgung insoweit unmaßgeblich ist. Mangels bestehender spezifischer Datenschutzregelungen in den Vorschriften über besondere Versorgungsformen (§§ 73b, 73c oder 140a SGB V) dürften aus Sicht des BSG dieselben Grundsätze gelten. Damit verbundene abrechnungs-organisatorische Einschränkungen der Ärzte und der Abrechnungsstellen seien zumutbar und im Übrigen zulässige Berufsausübungsregelungen (vgl. zu alledem: BSG, a. a. O.).

Exkurs: Minderjährige

Bei minderjährigen Patienten gelten nach Auffassung des Verfassers grundsätzlich die gleichen Maßstäbe wie für die Aufklärung von Minderjährigen. Die Schweigepflichtentbindungs- und die Datenschutzerklärung sind generell von dem Patienten zu erteilen.

Minderjährige können dann die vorgenannten Erklärungen selbständig abgeben, wenn sie einsichts- und einwilligungsfähig sind, d. h. sie eine im Wesentlichen zutreffende Vorstellung davon haben, worin sie einwilligen, und die Bedeutung und Tragweite ihrer Entscheidung zu überblicken vermögen. Dies ist sicherlich bei Minderjährigen zwischen 14 und 18 Jahren in der Regel anzunehmen (vgl. BGH, NJW 1959, 811). Eine konkrete Feststellung der Einsichtsfähigkeit hat dennoch stets in jedem Einzelfall durch den Arzt zu erfolgen. Deshalb sollten diese Patienten die Schweigepflichtentbindungs- und die Datenschutzerklärung (mit ) unterschreiben. Da hier regelmäßig auch Daten der Eltern, die als Versicherte die Rechnung erhalten, weitergegeben werden, müssen diese jedoch auch die jeweiligen Erklärungen nach Meinung des Verfassers unterschreiben.

Nachdem bei Minderjährigen unter 14 Jahren die Einsichtsfähigkeit in der Regel abzulehnen sein wird, ist es hier aus Sicht des Verfassers zwingend, die Erklärungen von den Eltern einzuholen.

Rechtsfolgen bei Verstoß

Die Erfüllung des Straftatbestandes des § 203 Abs.1 StGB sieht eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe als Bestrafung vor.

Aus dem BDSG ergibt sich zum einen, dass nach § 6 Abs. 1 der Betroffene ein Recht auf Auskunft, Berichtigung, Löschung oder Sperrung seiner Daten hat und dieses Recht auch nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden kann.

Zum anderen normiert § 7 BDSG eine Schadensersatzpflicht der verantwortlichen Stelle gegenüber dem Betroffenen bei einer nach dem BDSG oder nach anderen Vorschriften über den Datenschutz unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten, wenn dem Betroffenen hierdurch ein Schaden zugefügt wird. Bei Beachtung der gebotenen Sorgfalt durch die verantwortliche Stelle kann die Ersatzpflicht jedoch entfallen.

Überdies sieht das BDSG sowohl für einige Verstöße gemäß § 43 BDSG ein Bußgeld vor. Beispielsweise für die Fälle, dass jemand entgegen § 28 Abs. 5 Satz 2 BDSG personenbezogene Daten übermittelt oder nutzt (Abs. 1 Nr. 4) oder wenn vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben oder verarbeitet werden (Abs. 2).

Absatz 3 sieht für Ordnungswidrigkeiten im Fall des Absatzes 1 eine Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 eine Geldbuße bis zu dreihunderttausend Euro vor. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen, wobei die vorgenannten Beträge nach Absatz 3 Satz 3 überschritten werden können, wenn sie hierfür nicht ausreichen.

Des Weiteren wird in § 44 BDSG ein Straftatbestand geschaffen, wenn eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begangen wird. Hier droht eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe. Diese Tat wird jedoch nur bei Stellung eines Strafantrages verfolgt.

Bei einem Verstoß gegen die berufsrechtliche Vorschrift des § 9 MBO-Ä muss u. a. mit einer Rüge, einer Geldauflage oder auch mit der Einleitung eines berufsgerichtlichen Verfahrens gerechnet werden. Maßgeblich sind die Vorschriften in den Heilberufe-Kammergesetzen der jeweiligen Bundesländer.

In diesem Zusammenhang darf der Verfasser darauf hinweisen, dass die Bundesärztekammer und die Kassenärztliche Bundesvereinigung „Empfehlungen zu ärztlicher Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ herausgegeben haben, die unter www.bundesaerztekammer.de/downloads/Empfehlung_Schweigepflicht_Datenschutz.pdf eingesehen und heruntergeladen werden können. Dieser Empfehlung ist eine technische Anlage beigefügt zur Etablierung und Aufrechterhaltung eines angemessenen IT-Sicherheitsstandards in der ärztlichen Praxis. Ferner hat die KBV einen Leitfaden für Ärzte zu den Anforderungen an Hard- und Software veröffentlicht mit Hinweisen zum Datenschutz, der unter www.kbv.de/25718.html eingesehen werden kann.

Im Ergebnis ist festzuhalten, dass bei Nichteinhaltung der datenschutzrechtlichen Vorschriften sowie bei einem Verstoß gegen die ärztliche Schweigepflicht dem Arzt somit insgesamt erhebliche Konsequenzen drohen können.

Heberer J. Datenschutz bei Abrechnung durch private Abrechnungsstelle. Passion Chirurgie. 2014 Mai; 4(05): Artikel 06_01.

Autor des Artikels

Dr. jur. Jörg Heberer

Justitiar des BDC, Rechtsanwalt und Fachanwalt für Medizinrecht kontaktieren

Um diesen Artikel kommentieren zu können, müssen Sie bei myBDC registriert und eingeloggt sein.

Weitere Artikel zum Thema

Passion Chirurgie

Lesen Sie PASSION CHIRURGIE!

Die Monatsausgaben der Mitgliederzeitschrift können Sie als eMagazin online lesen.