X. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

Nach § 73b Abs. 1 SGB V haben die Krankenkassen ihren Versicherten eine besondere hausärztliche Versorgung (hausarztzentrierte Versorgung) anzubieten. Auch die im Rahmen der hausarztzentrierten Versorgung erbrachten ärztlichen Leistungen sind gemäß § 295 Abs. 4 SGB V grundsätzlich über die Kassenärztlichen Vereinigungen mit den Krankenkassen abzurechnen. § 295 Abs. 1b Satz 5 SGB V erlaubt aber ebenso die Beauftragung einer „anderen Stelle”. Diese nachträglich eingefügte und nur befristet gültige (allerdings immer wieder verlängerte) Vorschrift ist die unmittelbare Reaktion des Gesetzgebers auf ein Urteil des Bundessozialgerichts in einem ähnlichen Sachverhalt, wonach Krankenhäuser sowie Vertragsärzte Patientendaten, die gesetzlich Krankenversicherte betreffen, nicht zur Erstellung der Leistungsabrechnung an private Dienstleistungsunternehmen übermitteln dürfen (IX. Tätigkeitsbericht, Nr. 21.13).

Im Berichtszeitraum ist es deswegen in einigen Bundesländern zu datenschutzrechtlichen Problemen bei der Abrechnung der hausarztzentrierten Versorgung gekommen. Nicht so bei der AOK Sachsen-Anhalt, wo die Abrechnung über die Kassenärztliche Vereinigung erfolgt. Aber in Schleswig-Holstein hat das dortige Unabhängige Landeszentrum für Datenschutz in einer Verfügung dem Hausärzteverband Schleswig-Holstein e.V. (HÄV SH) unter Androhung eines Zwangsgeldes in Höhe von 30.000 Euro untersagt, gemäß dem zwischen der AOK Schleswig-Holstein, dem HÄV SH und Dienstleistern abgeschlossenen Vertrag von eingeschriebenen Hausärzten stammende Patientendaten weiterzugeben oder diese selbst zu nutzen. Damit sind die in dem HÄV SH zusammengeschlossenen Hausärztinnen und Hausärzte nicht berechtigt, Abrechnungsdaten auf dem im Vertrag vorgesehenen elektronischen Weg zu übermitteln. Grund dieser Anordnung ist, dass die Hausärzte faktisch keine ausreichende Möglichkeit der Kontrolle über die Weitergabe von Patientendaten durch ihr Praxissystem mehr hätten. Der Vertrag sieht vor, dass sich die Ärzte des HÄV SH als Auftragsdatenverarbeiter bedienen müssen, wenn sie von den für sie günstigen Hausarztabrechnungen Gebrauch machen wollen. Tatsächlich sind sie aber weder rechtlich noch faktisch in der Lage, die Kontrolle über ihre Patientendaten als Auftraggeber wahrzunehmen. An dem Rahmenvertrag, der das Verhältnis zwischen dem HÄV SH, Dienstleistern und den einzelnen Ärzten festlegt, sind letztere überhaupt nicht beteiligt. Darin werden diese gezwungen, auf ihren Praxissystemen Software gemäß den Vorgaben des Hausärzteverbandes zu installieren, womit das Auftragsverhältnis geradezu auf den Kopf gestellt wird. Ihnen wird sogar vertraglich verboten, Kenntnis von wesentlichen Elementen der Software zu nehmen, sodass sie faktisch keine vollständige Kontrolle mehr über die Daten auf ihrem System hätten. Damit würden sie nicht nur ihre Datenschutzpflichten verletzen, sondern auch ihre ärztliche Schweigepflicht. Ähnliche Problemlagen und datenschutzrechtliche Bedenken gibt es auch in anderen Bundesländern. In Schleswig-Holstein wurde die o. g. Untersagung des Unabhängigen Landeszentrums für Datenschutz im einstweiligen Rechtsschutzverfahren vor dem Oberverwaltungsgericht im Januar 2011 bestätigt (Beschluss vom 12. Januar 2011, 4 MD 56/10).

In diesem Zusammenhang sah sich die 79. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2010 veranlasst, in einer Entschließung „klare gesetzliche Regelungen zur Abrechnung durch private Stellen in der gesetzlichen Krankenversicherung” zu verlangen (Anlage 11).

Am 28. Juli 2011 wurde mit dem „Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze” ein neuer § 295a SGB V eingefügt (BGBl. I S. 1622). Der § 295a SGB V regelt nunmehr die Einbeziehung von Vertragspartnern auf Leistungserbringerseite in die Abrechnung. Für sie und ihre Auftragnehmer gilt § 35 SGB I entsprechend. Voraussetzung ist, dass der Versicherte neben der Teilnahmeerklärung an der Versorgungsform die Einwilligung in die damit verbundene Datenübermittlung erklärt. Gewisse datenschutzrechtliche Bedenken bleiben trotz der differenzierten Regelung bestehen, denn damit liegen dann sensible Patientendaten nicht mehr bei öffentlichen Stellen im Sinne des § 35 SGB I mit der entsprechend strukturierten Aufsicht. Die betroffenen Daten sind unklar beschrieben. Auch die geforderte gesonderte Einwilligung in die Datenübermittlung trägt nur, wenn die notwendige Freiwilligkeit (Alternativen) gegeben ist.