Rechtsinformationen für Pathologen

Deutschland im Mai 2018: Auf dem Krankenhausflur füllen der Chef der Inneren und seine Oberärzte hektisch Schweigepflichtentbindungserklärungen, Verträge zur Auftragsverarbeitung, Verschwiegenheitsvereinbarungen, Datenschutzerklärungen, Einverständniserklärungen und Selbstverpflichtungsunterlagen aus. Währenddessen verstirbt auf Zimmer 137 der Patient P, weil alle Assistenzärzte und Schwestern auf Datenschutzlehrgängen sind und weil die Software der Herz-Lungenmaschine aufgrund eines anwaltlichen Abmahnschreibens vorübergehend vom Netz genommen wurde. Friede seinen Daten.

 

Sehr geehrte Damen und Herren,

 

der Tag X, der 25.5.2018, rückt näher und die allseitige Nervosität steigt. Jeder schickt an jeden irgendwelche Formulare und die Reste des tropischen Regenwalds fallen der Datenschutzverordnung zum Opfer, allerdings fast nur im vom Untertanengeist geprägten Deutschland. Im europäischen Ausland lehnt man sich im allgemeinen erst einmal zurück und wartet ab, so zumindest meine Wahrnehmung.

 

Die Pathologen spüren überwiegend einen gewissen Druck durch Einsender, die alle möglichen Ideen haben, was man nun miteinander vereinbaren sollte und wer wem was zu versichern und zu unterschreiben hat. Frisch zur Datenschutzbeauftragten ernannte Sprechstundenhilfen haben Seminare der KV besucht und dort nichts verstanden. Diese Geistesriesen setzen nunmehr phantasievoll die falsch memorierten Rechtsnormen durch selbst erfundene Verträge und Formulare um und verlangen unnachgiebig Unterschriften. Die Pathologen, die aus akquisitorischen Gründen an einem guten Verhältnis zu den Einsendern interessiert sind, entwickeln eine fatale Neigung, jeden Unsinn, den man ihnen vorlegt, zu unterschreiben. Die Folgen sind nicht absehbar.

 

Im vierten Teil meiner Serie möchte ich Ihnen eine Hilfestellung geben, was mit wem zu vereinbaren ist. Es gibt mittlerweile z.B. viele Muster für Vereinbarungen zur Auftragsverarbeitung, aber nirgendwo eine Übersicht, mit wem man denn genau solche Vereinbarungen schließt. Diese Lücke soll hier möglichst weitgehend geschlossen werden. Die Ausführungen erfolgen wie immer cum grano salis, weil derzeit nichts ganz klar ist und sich die Rechtslage permanent verändert.

 

A Wie ist wer zu behandeln?

 

1) EDV-Unternehmen:

 

Hier ist zu unterscheiden, ob tatsächlich Daten verarbeitet werden (dann Auftragsverarbeitung) oder ob es sich um die bloße Verwaltung technischer Infrastruktur handelt und der Dienstleister nur einmal „versehentlich“ Patientendaten zu sehen bekommt (dann Unterzeichnung einer Verschwiegenheitserklärung). Das bedeutet:

 

a) Firma, die das Pathologieprogramm zu Verfügung stellt und wartet (z.B. DC Pathos): Auftragsverarbeitung.

 

b) Firma, die das Netzwerk in der Praxis errichtet und wartet (Systemhaus oder Elektriker): keine Auftragsverarbeitung.

 

c) Firma, deren Software zur Erstellung der Website verwandt wird (z.B. Jimdo, 1&1): Unterschiedlich je nach eingesetzter Technik und Ort, an dem Speichervorgänge stattfinden. Tendenz: Auftragsverarbeitung.

 

d) Firma, die bestimmte Dienstleistungen im Zusammenhang mit der Website erbringt (z.B. Google bei Nutzung von Google Analytics): Auftragsverarbeitung.

 

e) Internet – und Email-Provider, auf deren Servern Patientendaten zumindest zwischengespeichert werden: Im allgemeinen Auftragsverarbeitung.

 

2) Einsender (ambulant und Wahlärzte):

 

Einsender übersenden das Patientenmaterial gemeinsam mit einer Anforderung, also einer Überweisung. In diesen Fällen liegt keine Auftragsverarbeitung vor, sondern ein Fall der Mit- und Weiterbehandlung. Die Einwilligung des Patienten zur Weitergabe von Gesundheitsdaten an die Pathologie erteilt dieser konkludent, wenn er sich in die Behandlung des Klinikers begibt. Eine ausdrückliche Einwilligung ist automatisch für jede Diagnostik erteilt, die medizinisch indiziert ist. Die Anforderungsscheine brauchen nicht geändert zu werden, weil sich in diesem Punkt durch die EU-DSGVO nichts geändert hat.

 

Eine ausdrückliche schriftliche Einwilligung des Patienten ist nur erforderlich bei IGeL-Leistungen. Da solche Leistungen ohnehin nur aufgrund einer schriftlichen Vereinbarung abrechenbar sind, liegt eine Einwilligung immer vor. Ganz Vorsichtige nehmen in die IGeL-Formulare noch einen entsprechenden, auf den Datenschutz bezogenen Satz auf.

 

3) Einsender (Krankenhäuser für Kassenpatienten):

 

Bei Einsendungen durch Krankenhäuser für DRG-Patienten entsteht zwischen Pathologen und Patient kein Behandlungsvertrag. Vertragspartner des Pathologen ist allein das Krankenhaus. Die Rechtslage ist deshalb unklar. Mit guten Argumenten läßt sich vertreten, daß es auf die Vertragsbeziehungen nicht ankommt, sondern der Pathologe im Rahmen eines Vertrages zugunsten und mit Schutzwirkung für Dritte seine Leistung erbringt, also eine eigene datenschutzrechtliche Beziehung zum Patienten entsteht. Das deckt sich mit dem deliktischen Haftungsrecht und dem Recht des Patienten zur Herausgabe von Behandlungsunterlagen, das ebenfalls dem Recht auf informatorische Selbstbestimmung entspringt. Ich bin daher der Meinung, daß keine Auftragsverarbeitung vorliegt. Die Pathologen müssen nicht aktiv werden. Sollte ein Krankenhaus den Abschluß einer Auftragsverarbeitungsvereinbarung verlangen, kann diese aber aufgrund der unsicheren Rechtslage unterzeichnet werden.

 

4) Putzfrau, sonstige dienstbare Geister, externer Fahrdienst:

 

Keine Auftragsverarbeitung, aber Unterzeichnung einer Verschwiegenheitserklärung wünschenswert.

 

5) Anwalt und Steuerberater

 

Die laufende Rechts- und Steuerberatung ist keine Auftragsverarbeitung. Ärzte sind berechtigt, die hierzu erforderlichen Informationen wegen eines berechtigten Eigeninteresses herauszugeben. Die Unterzeichnung von Vertraulichkeitszusagen und Verschwiegenheitserklärungen ist bei Berufsgeheimnisträgern (Anwalt, Steuerberater, Pastor) überflüssig.

 

Cave: Die externe Lohnbuchhaltung durch Steuerberater ist klassische Auftragsverarbeitung.

 

Zur Forderungsbeitreibung durch Anwälte und Dritte s.u. 12)

 

6) Komplettes Personal

 

Unterzeichnung einer umfassenden Verschwiegenheitserklärung notwendig, die in der Personalakte verwahrt werden sollte.

 

7) Aktenvernichtung

 

Es ist sehr zweifelhaft, ob es sich bei der rein physischen Vernichtung von Daten um Datenverarbeitung handelt. Der Ablauf „Müllauto fährt vor – Kartons werden rausgetragen – Kartons werden ins Müllauto geworfen“ erfordert m.E. keinen Abschluß einer Vereinbarung, dazu müßte eine Verschwiegenheitsverpflichtung ausreichen. Lediglich wenn die Vernichtung professioneller und mehrschrittiger erfolgt, könnte eine Auftragsverarbeitung vorliegen. Es kommt also auf den Einzelfall an. Die betreffenden Unternehmen werden hierzu eigene Überlegungen anstellen, die man getrost abwarten kann.

 

8) Abrechnung durch Krankenhäuser für Pathologen im Reutlinger Modell

 

Die Einführung der DS-GVO macht die Abrechnung von ambulanten Patienten durch Krankenhausverwaltungen für Pathologen im Reutlinger Modell kritisch. Sie ist Auftragsverarbeitung und ohne vorherige Einwilligung des jeweiligen Patienten nach meiner Meinung nicht zulässig. Diese Situation kann umgangen werden, indem man die Abrechnungsdame auf Teilzeitbasis in der Praxis anstellt und in der EDV die Nummernkreise der Praxis mit besonderen Zugangsbeschränkungen ausstattet. Eine weitere Erörterung würde den Rahmen dieser Ausarbeitung sprengen. Bei Beratungsbedarf melden Sie sich bitte.

 

9) Versicherungen

 

Häufig kommen Anfragen von Versicherungen nach Patientendaten. Hier gilt wie bisher: Ohne ausdrückliche Schweigepflichtentbindungserklärung des Patienten wird nichts herausgegeben. Diese sollte zeitnah erteilt sein und darf nicht ganz allgemein hinsichtlich jeder beliebigen Krankheit erteilt sein, muß also eine gewisse Spezialität haben. 

 

10) Anfragen zu verstorbenen Patienten

 

Zu verstorbenen Patienten siehe ausführlich hier. 

 

11) Forschung und humangenetische Beratung

 

Auch bei Anfragen von Leitern von Studien, Doktoranden und Universitäten sind schriftliche Schweigepflichtentbindungserklärungen zu verlangen. Eine bloß mündliche Erklärung des Anfordernden reicht auch unter dem Gesichtspunkt der Kollegialität nicht aus.

 

Die Schweigepflichtentbindungserklärung muß hinreichend bestimmt sein und sich auf die konkrete Studie und das konkrete Forschungsvorhaben beziehen.

 

Gleiches gilt natürlich für Anfragen zum Zwecke einer humangenetischen Beratung.

 

12) Privatärztliche Verrechnungsstellen

 

Die Rechtslage hinsichtlich privatärztlicher Verrechnungsstellen ist stark umstritten. Während die Anwälte, die den PVS-Unternehmen nahestehen, naturgemäß alles für zulässig halten, stehe ich auf dem Standpunkt, daß fast alles, was derzeit betrieben wird, zumindest für Pathologen unzulässig ist. „Die PVS“ gibt es eigentlich nicht, sondern es handelt sich um eine Vielzahl von Unternehmen, die ganz verschiedene Geschäftskonzepte anbieten. Folgende Gestaltungen sind zu unterscheiden:

 

a) Echter Forderungskauf

 

Wird die Honorarforderung an das Inkassounternehmen verkauft, liegt keine Auftragsverarbeitung vor, sondern eine Herausgabe von Daten an einen Dritten. Ein Forderungsverkauf durch Ärzte darf nur erfolgen, wenn vor Behandlungsbeginn eine entsprechende Einverständniserklärung des jeweiligen Patienten vorliegt. Ist das nicht der Fall, liegt eine Straftat, ein Berufsrechtsverstoß und eine Datenschutzverletzung vor und die Forderungsabtretung ist wegen Verstoßes gegen ein Verbotsgesetz nichtig.

 

b) Rechnungstellung durch das Inkassounternehmen

 

Ähnliches gilt für die Rechnungstellung durch Inkassounternehmen. Es handelt sich um Auftragsverarbeitung. Auch hier bedarf es der vorherigen schriftlichen Einwilligung jedes einzelnen Patienten (streitig). Ohne Zweifel ist ein Verstoß hiergegen ein Verstoß gegen die Berufsordnung für Ärzte, weil diese beim Datenschutz keine Ausnahmen macht. Nach meiner Auffassung ist es auch ein Straftat, weil privatärztliche Verrechnungsstellen jetzt zwar seit Herbst 2017 im Strafgesetzbuch genannt sind, aber dort nur geregelt ist, daß sie sich bei Verletzung der Vertraulichkeit strafbar machen, nicht aber, unter welchen Voraussetzungen die Patienteninformationen an sie herausgegeben werden dürfen. Also gelten allgemeine Regeln, die besagen, daß die Informationen, die hier dazu dienen, daß der Arzt seinen Honoraranspruch durchsetzt, nur genutzt werden dürfen, wenn es kein „milderes“ Mittel gibt. Ein solches Mittel gibt es aber, nämlich die Beschäftigung eigenen Abrechnungspersonals. Fazit: Von der Beauftragung von Abrechnungsunternehmen ohne Einverständnis der Patienten wird dringend abgeraten.

 

 c) Forderungseinzug

 

Das Inkasso erfolgt üblicherweise durch einen Anwalt, eine zugelassene Privatärztliche Verrechnungsstelle oder ein zugelassenes Inkassounternehmen. Das Inkasso durch Inkassounternehmen, die nicht vom zuständigen Oberlandesgericht zugelassen sind, ist mangels Eignung nach den Vorschriften des Rechtsdienstleistungsgesetzes und der DS-GVO verboten.

 

Der Forderungseinzug, also das eigentliche Medizininkasso, ist bei Anwälten keine Auftragsverarbeitung, sondern der Anwalt ist selbst Verantwortlicher im Sinne des Datenschutzrechts. Er entscheidet im Rahmen seines Berufsrechts selbst über Dauer und Umfang der Datenverarbeitung und Datenaufbewahrung und ist bei seinem Umgang mit den Daten weitgehend autonom und weisungsunabhängig. Das anwaltliche Berufsrecht überlagert wegen Spezialität Teile des Datenschutzrechts. Anwälte haben im übrigen Sonderrechte im Datenschutz: Die Aufsichtsbehörden haben bei ihnen kein Recht auf Zugang zu den Kanzleiräumen und kein Einsichtsrecht in die Datenverarbeitung, § 29 BDSG-neu. 

 

Bei Inkassounternehmen jeglicher Provenienz dürfte Auftragsverarbeitung vorliegen. Es ist also eine Vereinbarung zu schließen, was bei diesen Unternehmen aber ohnehin Standard ist.

 

Die Herausgabe von Patientendaten ist erst erlaubt, wenn der Arzt die zumutbaren Maßnahmen ergriffen hat, um selbst an sein Geld zu kommen, also die Rechnungstellung und Mahnung. An einen Anwalt darf die Sache nach einer Mahnung abgegeben werden, an die übrigen Unternehmen nach zwei Mahnungen.

 

Die Herausgabe der Patientendaten darf nicht unbeschränkt und nicht an jeden erfolgen, der irgendeine Form der Forderungsbeitreibung ausübt. Nach hier vertretener Meinung sollte ein verantwortlicher Arzt nur mit Organisationen zusammenarbeiten, deren Schweigepflicht mit Strafe bewehrt und abgesichert ist. Das sind Anwälte und neuerdings ärztliche Verrechnungsstellen. Letztere sollten einer der 13 regionalen Privatärztlichen Verrechnungsstellen angeschlossen sein. Von der Inanspruchnahme anderer Inkassobüros rate ich ab.

 

Bei der Datenübermittlung an Anwalt bzw. Verrechnungsstelle ist auf Datensparsamkeit zu achten. Verantwortliche Ärzte übermitteln deshalb gewöhnlich weder Befunde noch Rechnungen an den Dienstleister, sondern lediglich die Adressdaten und die Informationen zur Forderungshöhe und eventuellen Zahlungen. Das spart Aufwand und ist datenschutzrechtlich sauber. Letztlich wird die medizinische Information auf die Tatsache reduziert, daß der Patient bei der entsprechenden Pathologie Patient war. In mehr als 95 % der Fälle reichen diese Informationen bis zur Titulierung der Forderung inclusive Zwangsvollstreckung aus. Lediglich wenn sich der Schuldner aktiv wehrt, sind weitere Gesundheitsdaten erforderlich.

 

Die meisten Verrechnungsstellen sind hauptsächlich an der Durchführung der Abrechnung interessiert und geben bei Widerstand des Schuldners die Sache an Vertragsanwälte ab, die leider fast nie mit den besonderen Abrechnungsmodalitäten der Pathologie vertraut sind, von den diagnostischen Abläufen ganz zu schweigen (man verzeihe mir diesen Seitenhieb).

 

B Nachtrag zu Teil 3:

 

Auch der dritte Teil der Serie hat wieder vielfältige Rückfragen und Reaktionen zur Folge gehabt. Die Ausführungen zur technischen Gestaltung der Homepage sind teilweise schon wieder Makulatur, da mittlerweile (26.4.18) die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) neue konkrete Hinweise zur Datenschutzerklärung auf Webseiten veröffentlicht hat. Dieses Papier ist wegen seiner Praxisferne fast eine Kriegserklärung an den technischen Fortschritt. So reicht z.B. nicht mehr ein einfacher Hinweis, daß Cookies gesetzt werden, sondern dem Benutzer soll für jeden einzelnen Cookie, sofern es sich um sogenanntes Tracking handelt, eine gesondert anzuklickende Einverständniserklärung abverlangt werden. Das macht manche Internetseiten unbenutzbar und alle Internetseiten durch Abmahner angreifbar.

 

Schwierigkeiten bestehen nunmehr auch, wenn man besondere Schriften benutzt, weil für jede benutzte Schrift eine Art „Schrift-Copyright“ genannt werden muß. Da nicht jeder Times New Roman mag, betrifft auch dies viele Webseiten.

 

Der Link zu meiner persönlichen Datenschutzerklärung funktioniert noch, diese ist aber zwischenzeitlich aktualisiert worden. Falls Sie dort etwas abgeschrieben haben, überprüfen Sie bitte, ob das noch aktuell ist.

 

C Ausblick

 

Uns erwartet eine Abmahnwelle. Abmahner wollen gewöhnlich keine Rechte durchsetzen, sondern es geht ihnen in aller Regel um das schnelle Geld. Im Falle einer Abmahnung sollte man daher maximalen Widerstand leisten und bereits in der ersten Reaktion (falls eine Reaktion nach Prüfung der Sachlage sinnvoll erscheint) dem Gegner klar machen, daß man ihm einen Haufen Ärger und Arbeit machen wird. Es besteht dann eine ganz gute Chance, daß er seine Aufmerksamkeit anderen Opfern zuwendet, die es ihm leichter machen.

 

An dieser Stelle endet meine Serie zunächst. Ich sammle aber in den nächsten Wochen, die bestimmt noch einige Fragen, Antworten und noch mehr Fragen bringen, weiter Ihre Rückmeldungen und werde dann auf das Thema zurück kommen.

 

Mit freundlichen Grüßen

Renzelmann, RA

(Unter Mitarbeit von Frau Dipl. Jur. F. Gerling, Wuppertal)