ArchivDÄ-TitelSupplement: PRAXiSPraxis Computer 3/1999Datenschutzrecht für Ärzte, Teil 6: Datenspeicherung und Datenweitergabe

Supplement: Praxis Computer

Datenschutzrecht für Ärzte, Teil 6: Datenspeicherung und Datenweitergabe

Dtsch Arztebl 1999; 96(23): [11]

Seidel, Uwe M.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Im letzten Teil der Serie geht es um die Voraussetzungen, unter denen die Datenspeicherung beim Arzt selbst und die Datenweitergabe durch den Arzt an andere Institutionen und Personen zulässig ist.
Die Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn der Betroffene eingewilligt und den Arzt von seiner Schweigepflicht entbunden hat, wenn dies in einer bereichsspezifischen Vorschrift zum Datenschutzrecht erlaubt oder angeordnet wird (zum Beispiel im Sozialgesetzbuch) oder wenn eine allgemeine Zulässigkeitsvorschrift des Bundesdatenschutzgesetzes die Verarbeitung oder Nutzung zuläßt (§ 28 BDSG).
Im Hinblick auf die Regelung des § 28 BDSG gilt grundsätzlich: Im Unterschied zu den Fällen, die in der Privatwirtschaft eine Datenübermittlung an Dritte aufgrund einer Abwägung der schutzwürdigen Interessen des Betroffenen mit den Interessen der speichernden Stelle (zum Beispiel Handwerksbetrieb, Hotel, Industrieunternehmen) zulassen, ist im Bereich der Personen, die einem Berufsgeheimnis unterliegen (zum Beispiel Arzt, Steuerberater, Anwalt) eine allgemeine Zulässigkeitsvorschrift des BDSG nicht ausreichend. Vielmehr ist hier die Einwilligung des Patienten bzw. Mandanten erforderlich. Dies wird insbesondere durch die Rechtsprechung deutlich.
Allgemeine Zulässigkeitsvorschriften des § 28 BDSG
Die Datenerhebung unterliegt nicht dem Erlaubnisvorbehalt des § 4 BDSG (siehe Teil 4, PC 1/99, Seite 11 ff.). Dagegen hat der Gesetzgeber in § 28 Abs. 1 Satz 2 BDSG festgelegt, daß die Daten nach dem Grundsatz von Treu und Glauben und auf rechtmäßige Weise erhoben werden müssen. Ein Verstoß gegen den Grundsatz von Treu und Glauben und damit eine unzulässige Datenerhebung liegt beispielsweise dann vor, wenn die Daten durch Täuschung, Drohung oder Zwang gewonnen wurden. Die Erhebung von Daten bei Dritten oder die übermäßige Datenerhebung stellt ebenfalls einen Verstoß gegen diesen Grundsatz dar. Die Erhebung auf rechtmäßige Weise verlangt, daß keine Rechtsvorschrift existiert, die das Beschaffen von Daten verbietet oder beschränkt. Verbote können sich auch aus der Rechtsprechung ergeben, denkt man etwa an das Fragerecht des Arbeitgebers bei Bewerbungsgesprächen und -bogen: Ein Maßstab für die Zulässigkeit von Fragen ist hier der geforderte Zusammenhang der Fragen mit dem Arbeitsverhältnis.
In § 28 BDSG werden Zulässigkeitstatbestände genannt, unter denen zulässig erhobene Daten gespeichert, verändert, übermittelt und genutzt werden dürfen (siehe Kasten, Seite 12). Von der Regelung ausgenommen wurden die Sperrung und Löschung personenbezogener Daten, die aber bei der Datenverarbeitung für eigene (berufliche) und fremde (geschäftsmäßige) Zwecke durch § 35 BDSG geregelt werden.
Vertragsverhältnis
Für die Datenverarbeitung beim Arzt (insbesondere für die Datenspeicherung) ist vor allem die Zulässigkeitsvorschrift des § 28 Abs. 1 Nr. 1 BDSG von Bedeutung. Dort ist festgelegt, daß das Speichern, Verändern oder Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke im Rahmen der Zweckbindung eines Vertragsverhältnisses zulässig ist. Unter den Begriff "Vertragsverhältnis" fallen dabei sämtliche Verträge, die die speichernde Stelle mit dem Betroffenen abschließt. Es handelt sich hierbei um zivilrechtliche Verträge (zum Beispiel Kauf-, Miet- oder Arbeitsvertrag). Im Verhältnis Arzt-Patient fällt hierunter der Behandlungsvertrag. Zulässig ist eine Verarbeitung oder Nutzung personenbezogener Daten nur dann, wenn diese auch für die Erfüllung des Vertragsverhältnisses erforderlich ist. Nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) muß zwischen der Datenverarbeitung und dem Vertrag ein unmittelbarer sachlicher Zusammenhang bestehen. Dementsprechend gilt auch hierfür der Grundsatz der Verhältnismäßigkeit.
Ist ein Vertragsverhältnis zwischen Betroffenen und speichernder Stelle zu bejahen, so ergibt sich daraus eine Zweckbindung, nach welcher zu beurteilen ist, welche personenbezogenen Daten verarbeitet oder genutzt werden dürfen. Die Zweckbindung kann sich unmittelbar oder mittelbar aus dem Vertragsinhalt ergeben. Sowohl der Vertrag als auch Abreden zwischen den Vertragspartnern können unmittelbare Regelungen über die Verarbeitung und Nutzung von Daten enthalten. Fordert beispielsweise ein Arbeitnehmer die Überweisung seines Lohns auf ein Konto, muß der Arbeitgeber zwangsläufig Daten an die Bank übermitteln, zu deren Übermittlung - würde der Lohn bar ausbezahlt - er nicht befugt wäre. Gibt es keine vertragliche Regelung, müssen die Rechte und Pflichten der Vertragsparteien durch eine Interessenabwägung festgestellt werden.
Die Art der Daten, die im Rahmen einer vertraglichen Zweckbindung gespeichert werden dürfen, ist durch die Art des Vertrages und die Parteivereinbarungen bestimmt. Dabei ist eine Speicherung von Basisdaten (zum Beispiel Vertragsart, -inhalt und -partner) erlaubt. Welche Daten als zulässig verarbeitet und genutzt werden dürfen, bedarf einer Interessenabwägung der Vertragsparteien.
Diese Zulässigkeitsalternative gilt somit sowohl im Verhältnis Arzt-Patient (Behandlungsvertrag) als auch im Verhältnis Arzt-Mitarbeiter (Arbeitsvertrag).
Vertragsähnliches Vertrauensverhältnis
Das Speichern, Verändern, Übermitteln und Nutzen personenbezogener Daten ist auch zulässig, wenn zwischen dem Betroffenen und der speichernden Stelle ein vertragsähnliches Vertrauensverhältnis besteht (§ 28 Abs. 1, Nr. 1, 2. Alt. BDSG).
Ein vertragsähnliches Vertrauensverhältnis liegt klassischerweise bei der Vertragsanbahnung vor. Dabei ist unerheblich, ob der angestrebte Vertrag tatsächlich zustande kommt. Weitere Beispiele sind die Geschäftsführung ohne Auftrag oder die Anbahnung eines Arbeitsvertrages. Auch hier gilt, wie bei jedem anderen Vertragsverhältnis auch, daß nur die Daten verarbeitet oder genutzt werden dürfen, die erforderlich sind. Die Vor- und Nachvertragsphase wirft insoweit datenschutzrechtliche Bedenken auf, da nicht immer die Altdaten seitens der speichernden Stelle gelöscht werden. So ist eine weitergehende Verarbeitung von Daten, die im Rahmen eines vertragsähnlichen Vertrauensverhältnisses erhoben und gespeichert wurden, nur zulässig, wenn beispielsweise ein Bewerber noch nicht abgelehnt wurde, gegenüber einem ehemaligen Mitarbeiter noch Verpflichtungen bestehen oder ein früherer Kunde gegen das Unternehmen möglicherweise noch Gewährleistungsansprüche durchsetzen könnte.
Die Parteien eines vertragsähnlichen Vertrauensverhältnisses sind zu gegenseitiger Sorgfalt und Rücksichtnahme, gegebenenfalls aber auch zu Information und Aufklärung verpflichtet. Eine Verletzung dieser Pflichten kann zu Schadensersatzansprüchen führen.
Die gegenseitigen Treuepflichten in einem vorvertraglichen (vertragsähnlichen) Vertrauensverhältnis wirken auch nach Beendigung des Vertrages in Form eines nachvertraglichen Vertrauensverhältnisses weiter. Ob und welche Daten nach Vertragsabschluß weiter gespeichert werden dürfen, hängt von der Art des Vertragsverhältnisses ab. Die Speicherung nicht mehr benötigter Daten (auch: Altdaten) ist in jedem Fall unzulässig.
Datenübermittlung aufgrund bereichsspezifischer Vorschriften
Das Vertrauensverhältnis Arzt-Patient ist durch die ärztliche Schweigepflicht geschützt. Eine Befugnis zur Offenbarung von Patientendaten gegenüber Dritten bedarf - neben dem Fall der ausdrücklichen Schweigepflichtentbindung durch den Patienten - einer (spezial-)gesetzlichen Übermittlungsermächtigung bzw. -verpflichtung. Diese sind dem Patienten oftmals nicht bekannt. Der Arzt braucht diese Regelungen dem Patienten auch nicht mitzuteilen. Die Übermittlung von Patientendaten durch den Arzt an andere Institutionen verpflichtet diese, die Daten nur für den jeweiligen Zweck zu nutzen, für den sie die Daten erhalten haben (Grundsatz der Zweckbindung).
Insbesondere das Sozialgesetzbuch (SGB) sieht regelmäßige Übermittlungen von Patientendaten durch den Arzt an die Kassenärztlichen Vereinigungen (KVen) und die gesetzlichen Krankenkassen vor:
n Die Übermittlung an die KV ist schon deshalb erforderlich, weil der "Vertragsarzt" seine Leistungen mit dieser Institution abrechnet. Weitergegeben werden hierbei der Name, die Anschrift und das Geburtsdatum des Patienten, die Krankenkasse, die Versichertennummer sowie die ärztlichen Leistungen einschließlich der Diagnose. Die Übermittlung erfolgt in maschinenlesbarer Form. Eine Übermittlung einzelner Befunde ist grundsätzlich nicht vorgesehen.
n Eine direkte Übermittlung von Patientendaten an die Krankenkassen erfolgt im Falle der Arbeitsunfähigkeit des Patienten. Hierbei wird neben der Tatsache, daß der Patient arbeitsunfähig ist, auch die Diagnose übermittelt. Die von den Bundesverbänden der Kassen und KVen entwickelten "Vordrucke für Arztanfragen" können - nach Ansicht des Hamburgischen Datenschutzbeauftragten - den Arzt allein nicht zu Übermittlungen ermächtigen. Eine indirekte Datenübermittlung erfolgt über das vom Arzt ausgestellte Rezept über die Apotheken. Für StichprobenPrüfungen nach dem SGB übermittelt die KV darüber hinaus der Krankenkasse die Versichertennummer des Patienten, die sie über die Abrechnungsunterlagen vom Arzt erhalten hat. Entgegen der Auffassung einiger KVen darf für die Abrechnung mit den Krankenkassen die KV keine Versichertennamen oder -nummern übermitteln (so der Hamburgische Datenschutzbeauftragte). Darüber hinaus können Patientendaten vom Arzt auch in besonderen Fällen übermittelt werden (siehe Kasten, Seite 14).
Datenübermittlung aufgrund von Schweigepflichtentbindung
In der Privatwirtschaft - mit Ausnahme der nichtöffentlichen Stellen, die einem Berufsgeheimnis unterliegen - kann eine Speicherung, Veränderung oder Übermittlung personenbezogener Daten auch zur Wahrung der berechtigten Interessen der speichernden Stelle zulässig sein. Dabei darf kein Grund zur Annahme bestehen, daß das schutzwürdige Interesse des Betroffenen überwiegt (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG).
Nach herrschender Meinung ist ein berechtigtes Interesse ein nach vernünftiger Erwägung durch die Sachlage gerechtfertigtes, also ein tatsächliches Interesse, das wirtschaftlicher oder ideeller Natur sein kann. Damit soll eine zu enge Begrenzung der Datenverarbeitung vermieden werden. Durch die Forderung der Abwägung des berechtigten Interesses der speichernden Stelle mit den schutzwürdigen Interessen des Betroffenen versucht der Gesetzgeber, der persönlichen Integrität einerseits und dem ständig steigenden Informationsbedarf in einer zunehmend durch neue Informationstechnologien beherrschten Gesellschaft andererseits gerecht zu werden. Folglich sind die Interessen der speichernden Stelle dann als nachrangig zu beurteilen, wenn die Verarbeitung oder Nutzung personenbezogener Daten des Betroffenen eine Verletzung seines Persönlichkeitsrechts zur Folge hätte.
Grund zur Annahme etwaiger Gegeninteressen des Betroffenen lassen sich beispielsweise aus einem Widerspruch, der jedoch nur in den Fällen des § 28 Abs. 3 BDSG und § 29 Abs. 3 BDSG (Widerspruch bei Werbung) eine Sperrwirkung zur Folge hat, gegen die Verarbeitung und Nutzung seiner Daten ableiten. In diesem Fall hat die speichernde Stelle die vorgebrachten Gründe zu prüfen und - bei überwiegenden schutzwürdigen Interessen des Betroffenen - dem Widerspruch zuzustimmen. Die Überprüfung kann im Rahmen einer Pauschalprüfung, sofern keine Anhalts-punkte für eine Verletzung des Persönlichkeitsrechts bestehen, oder - bei der Annahme einer Interessenkollision - durch eine Einzelfallprüfung geschehen.
Im Falle des Arztes kann zum Beispiel die Übermittlung von Patientendaten aufgrund dieser Zulässigkeitsalternative nicht ohne ausdrückliche Einwilligung des Patienten erfolgen. Denkbare Fälle, in denen ein wirtschaftliches Interesse des Arztes gegeben ist, wären die Abrechnung von Honoraren über privatärztliche Verrechnungsstellen oder die Weitergabe von Patientendaten an ein externes Labor. In diesen Fällen ist eine schriftliche Einwilligung des Patienten mit einer Schweigepflichtentbindung des Arztes erforderlich.
Diese Schweigepflichtentbindung erfolgt regelmäßig mittels standardisierter Formulare und wird oft nicht gegenüber dem Arzt selbst, sondern häufig gegenüber der Institution kundgetan, die vom Arzt die Patientendaten erhalten soll. Diese reicht die Schweigepflichtentbindung an den Arzt weiter. Eine Schweigepflichtentbindung ist Voraussetzung für eine zulässige Datenübermittlung:
n an private Versicherungen bei Vertragsschluß für Kranken-, Unfall-, Lebens- und andere Versicherungen zur Ermittlung der Versicherungsrisiken.
n an das Versorgungsamt zur Feststellung einer Behinderung und ihres Grades.
n bei Praxisverkauf. Hier liegt zwar ein berechtigtes Interesse der speichernden Stelle (veräußernder Arzt) bzw. des Empfängers (übernehmender Arzt) vor, jedoch geht die Abwägung mit den schutzwürdigen Belangen des Betroffenen (hier: Patienten) zu Gunsten des Patienten aus, so daß eine Schweigepflichtentbindung des Arztes zur Datenweitergabe erforderlich ist und die allgemeinen Zulässigkeitstatbestände des
§ 28 Abs. 1 und 2 BDSG nicht ausreichen. Anderenfalls liegt eine Nichtigkeit des Verkaufs wegen Verstoß gegen das Datenschutzrecht vor. Die früheren Patienten können angeschrieben und um ihre Einwilligung zur Übergabe der Patientenunterlagen an den Praxisnachfolger gebeten werden. Dies ist bei großen Arztpraxen allerdings sehr aufwendig. Alternativ kann der Praxisveräußerer die Patientenakten durch den Praxisnachfolger verwahren lassen. Dabei ist sicherzustellen, daß der Praxisnachfolger sie nicht ohne Willen des Patienten einsehen kann.
n an privatärztliche Verrechnungsstellen. Nach einer Entscheidung des Bundesgerichtshofs darf der Arzt der Verrechnungsstelle die Abrechnungsdaten seiner Privatpatienten nur dann übermitteln, wenn diese vorher eingewilligt haben. Nicht zulässig ist in diesem Zusammenhang auch die Erweiterung der Einwilligung auf eventuelle Gläubiger der Verrechnungsstelle, denen die Arztforderung abgetreten werden könnte.
n an einen weiterbehandelnden Arzt.
n an die Berufshaftplichtversicherung anläßlich der Prüfung ihrer Leistungsverpflichtung anhand der Patientenunterlagen im Rahmen eines Kunstfehlerprozesses.
n an die Angehörigen des Patienten, insbesondere wenn der Patient vom Arzt über die Diagnose noch nicht aufgeklärt wurde. Hierbei ist zu beachten, daß die unterlassene Aufklärung des Patienten grundsätzlich der informationellen Selbstbestimmung des Patienten widerspricht. Der Patient kann erklären, daß er selbst nicht, jedoch ein Angehöriger unterrichtet werden soll. Uwe Seidel


Diese Serie kann lediglich einen ersten Einblick in die komplexe Materie des Datenschutzrechts geben. PraxisComputer wird daher auch künftig einzelne Themen zum Datenschutzrecht für Ärzte aufgreifen und in abgeschlossenen Beiträgen behandeln.


Zum Autor: Dipl.-Kfm. Dr. rer. pol. Uwe M. Seidel ist Seniorberater bei der KPMG Consulting GmbH, München, und Autor von Beiträgen zum Rechnungswesen und zum Datenschutz- und Telekommunikationsrecht.

Übermittlung von Patientendaten in besonderen Fällen (Beispiele):
n Bei ansteckenden Krankheiten sieht das Bundesseuchengesetz eine Mitteilung des Arztes an das Gesundheitsamt vor.
n Bei Krebskrankheiten berechtigen Krebsregistergesetze den Arzt, im einzelnen festgelegte persönliche und medizinische Daten an das Register weiterzugeben (hierbei ist abzuklären, welches Gesetz für den jeweiligen Arzt zutreffend ist).
n Zum Schutz vor unnötiger Strahlenbelastung bestimmt die Röntgenverordnung, daß der Arzt Röntgenaufnahmen einer besonderen "ärztlichen Stelle" zur Prüfung zugänglich machen muß.
n Nach der Betäubungsmittel-Verschreibungsverordnung ist die Substitutionsbehandlung eines Drogensüchtigen der zuständigen Behörde anzuzeigen.
n Bei Unfällen und Berufskrankheiten verpflichtet die Reichsversicherungsordnung (RVO) den Arzt, auf Anforderung im Einzelfall der Berufsgenossenschaft bzw. der Landesunfallkasse Auskunft über die Behandlung und den Zustand des Verletzten zu erteilen.
n Bei einer Geburt ist neben anderen Personen auch der anwesende Arzt verpflichtet, die Geburt beim Standesbeamten anzuzeigen.


Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.