Die privatärztliche Abrechnung ist für Patienten und verantwortliche Ärzte ein sensibles Thema und sollte – ebenso wie bei anderen Patientenbelangen, wenn es um besonders schützenswerte Personendaten geht – in verantwortungsvolle Hände gelegt werden.
Doch wie passen die Themen Abrechnung privatärztlicher Forderungen und Datenschutz zusammen und wie klappt dies DSGVO-konform?
Das Problem mit der Datenweitergabe
Die Rechtsanwältin Petra Müller erhält kurz nach ihrem Zahnarztbesuch eine Rechnung von einer privatärztlichen Verrechnungsstelle per Post zugeschickt. Sie konnte sich hierauf aber keinen Reim machen. Der Arzt hatte die Forderung wohl ohne ihr Wissen und Wollen an diese abgetreten. Also ruft sie bei der Verrechnungsstelle an und hakt nach.
Sie könne sich nicht daran erinnern, dass sie hier zugestimmt hätte. Die Verrechnungsstelle antwortet, dass man dies nachprüfen wolle und sich wieder bei ihr melde. Ein paar Tage später ruft ein Anwalt der Verrechnungsstelle zurück. Zunächst äußerte er sein Unverständnis über den Sachverhalt, die Forderung sei doch schließlich wirksam abgetreten worden. Nach einigem Hin und Her und kräftezehrenden Diskussionen spricht Frau Müller ihn als „Kollegen“ an und gibt sich somit als Anwältin zu erkennen. Plötzlich wird es still in der Leitung. Daraufhin lenkt der Anwalt der Verrechnungsstelle ein. Eine wirksame datenschutzrechtliche Einwilligungserklärung für die Datenweitergabe liege leider nicht vor, die Rechnung könne erst einmal als gegenstandslos betrachtet werden. „Entschuldigen Sie, Frau Kollegin, auf Wiederhören.“
Eine solche Situation schafft wenig Vertrauen – weder in den behandelnden Arzt noch zu der abrechnenden Einzugsstelle.
Wie klappt es DSGVO-konform?
Der vorstehende Sachverhalt ist kein Einzelfall – so sollte es allerdings nicht ablaufen. Doch wie klappt es denn nun DSGVO-konform?
Im Folgenden möchten wir Ihnen die drei wichtigsten Aspekte aus datenschutzrechtlicher Sicht für die privatärztliche Abrechnung näher beleuchten:
Zum einen spielt das Erfordernis einer wirksamen Einwilligungserklärung des Patienten eine wichtige Rolle. Zum anderen ist auch die Einhaltung der Informationspflichten nach den gesetzlichen Vorgaben ein wesentlicher Baustein. Schließlich muss die Frage geklärt werden, ob und in welchen Fällen ein sog. Auftragsverarbeitungsvertrag mit der privatärztlichen Verrechnungsstelle zu schließen ist.
Allgemeines zu personenbezogenen Daten und Gesundheitsdaten
Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gesundheitsdaten, wie zum Beispiel die Daten über die konkrete Behandlung, zählen zu den besonders sensiblen Daten und unterliegen nach der DSGVO einem besonderen Schutz. Die Verarbeitung solcher Informationen ist bei der Abrechnung jedoch üblicherweise notwendig. Zudem gilt für den Arzt die allseits bekannte ärztliche Schweigepflicht. Aus diesen Gründen sollte in diesem Bereich mit besonderer Sensibilität gearbeitet werden.
Weitergabe von Patientendaten nur mit Einwilligung
Damit Patientendaten überhaupt zur Abrechnung an die Verrechnungsstelle weitergegeben werden dürfen, ist eine datenschutzrechtlich wirksame Einwilligungserklärung erforderlich. Dies klärte bereits der BGH in einer Grundsatzentscheidung 2013, nach welcher die Weitergabe von Patientendaten ohne vorherige Einwilligungserklärung an eine Verrechnungsstelle als Verstoß gegen die ärztliche Schweigepflicht anzusehen ist. Die Einwilligungserklärung ist somit sowohl unter strafrechtlichen als auch datenschutzrechtlichen Aspekten zwingend erforderlich.
Einhaltung der Informationspflichten gem. Art. 13 DSGVO
Der Patient muss nach Vorgabe der DSGVO bei Erhebung seiner personenbezogenen Daten (bspw. mittels Patientenaufnahmebogen) ausreichend über seine Rechte, die Zwecke und die Rechtsgrundlage der Verarbeitung informiert werden. Die datenschutzkonforme Einwilligung stellt eine in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung dar. Die gesetzliche Informationspflicht gem. Art. 13 DSGVO, ist somit unbedingt auch für die rechtliche Wirksamkeit der Einwilligungserklärung bei Beauftragung einer Verrechnungsstelle zu beachten.
Ist ein Auftragsverarbeitungsvertrag notwendig?
Im Einzelfall kann es darüber hinaus erforderlich sein, dass der Arzt mit der externen Verrechnungsstelle einen Auftragsverarbeitungsvertrag (AVV) abzuschließen hat.
Ein solcher kommt immer dann in Betracht, wenn die Verrechnungsstelle den Forderungseinzug betreibt. Dies gilt es für den jeweiligen Einzelfall zu prüfen. Der Abschluss eines solchen Vertrages ist nicht nur deswegen ratsam, um die vertraglichen Rechte und Pflichten eindeutig zu definieren, sondern auch, um mögliche aufsichtsbehördlichen Sanktionen zu vermeiden.
Fazit
Als Arzt sollten Sie unbedingt darauf achten, dass vor der Datenweitergabe an eine externe Verrechnungsstelle eine wirksame Einwilligungserklärung des Patienten eingeholt wird. Empfehlungswert ist es, diese in einem gesonderten Formular bei der Patientenaufnahme einzuholen. Ansonsten riskieren Sie erhebliche straf- und berufsrechtliche sowie datenschutzrechtliche Konsequenzen, die eigentlich einfach zu vermeiden sind. Daneben ist die Einhaltung der Informationspflichten gegenüber Ihren Patienten unabkömmlich.
Unter Umständen kann es erforderlich sein, dass Sie mit Ihrer externen Verrechnungsstelle einen sog. AVV abschließen müssen. Liegt kein solcher AVV vor, obwohl er erforderlich wäre, kann die zuständige Datenschutzbehörde ein entsprechendes Bußgeld verhängen.
