Hintergrund

Neue Verträge und Kooperationen: Patientendaten sind immer öfter in Gefahr

Der Bundesdatenschützer geht in seinem Jahresbericht mit den Kassen schwer ins Gericht. Und kritisiert die Ärzteschaft.

Rebekka HöhlVon Rebekka Höhl Veröffentlicht:
Mit Blick auf das Datenschutzverhalten von Kassen und Ärzten notiert der Datenschutzbeauftragte Peter Schaar erhebliche Mängel.

Mit Blick auf das Datenschutzverhalten von Kassen und Ärzten notiert der Datenschutzbeauftragte Peter Schaar erhebliche Mängel.

© Dustin Lyson / fotolia.com

Der Tätigkeitsbericht 2009/10 des Bundesdatenschutzbeauftragen Peter Schaar liest sich wie das Skript zum "kleinen Horrorladen": Da gibt es gesetzliche Krankenkassen, die sensible Patientendaten inklusive Bankverbindung an externe Callcenter weitergeben, deren Berater am heimischen PC und Telefon arbeiten. Es werden Versichertendaten nach psychischen Erkrankungen gescreent. Aber auch die Ärzte bekommen ihr Fett weg: Bei den Selektivverträgen würden sie nicht ihren Datenschutzpflichten gerecht.

Dabei hält Peter Schaar die Verstöße, insbesondere der gesetzlichen Kassen, nicht für Einzelfälle. Im Fall des Callcenters sagt er ganz klar: Ihm dränge sich der Eindruck auf, "dass eine einseitige Fokussierung auf wirtschaftliche Kenngrößen sich negativ auf den Datenschutz auswirke".

Doch erst einmal zu dem für Ärzte wohl spannendsten Thema, den Selektivverträgen. Wirklichen Datenmissbrauch konnten Schaar und seine Kollegen auf Landesebene hier noch nicht feststellen. Aber beim Datenschutz geht es ja auch darum, vorzubeugen. Was Schaar und seine Kollegen bemängeln, ist den meisten Ärzten spätestens bekannt, seit der Bremer Hausarztvertrag Anfang des Jahres gestoppt werden musste - wegen Bedenken samt Verfügung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Der Kritikpunkt: Die Ärzte geben zur Abrechnung ihrer Leistungen Patientendaten an eine privatrechtliche Stelle weiter. Bei den Hausarztverträgen sind das meist neu eingerichtete Abrechnungsstellen der Hausärztlichen Vertragsgemeinschaft (HÄVG). Und diese würden eben nicht ähnlich transparent wie das Kollektivsystem, also die KVen, arbeiten.

Den Ärzten fehlt jegliche Kontrollmöglichkeit

Denn zum einen würden die Ärzte verpflichtet, ihre Abrechnung über eine bestimmte Software vorzunehmen. Gleichzeitig würden die Verträge oder Verbände den Ärzten die Kenntnis wesentlicher Funktionen der Software verwehren. "Es ist daher zweifelhaft, ob die Ärzte wissen, welche genauen Daten sie mittels der Software an den Hausärzteverband weitergeben", schreibt Schaar in seinem Bericht. Aber, so der nächste Kritikpunkt, die Ärzte sind rechtlich gesehen die Auftraggeber der privatrechtlichen Abrechnungsstelle und damit datenschutzrechtlich verantwortlich für den sicheren Umgang mit den Patientendaten. Das beinhaltet die Pflicht, zur Kontrolle der Auftragnehmer. In der bisherigen hausarztzentrierten Versorgung könnten die Ärzte diese Kontrollfunktion jedoch nicht wahrnehmen.

Und so steht es im Gesetz

Erhebung, Verarbeitung, Nutzung von Sozialdaten im Auftrag, Paragraf 80, SGB X: "(1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich ... (2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. ... Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren."

Allein die Ausgestaltung der Verträge nehme Ärzten de facto schon die Gestaltungsbefugnis und damit die Rolle des Auftraggebers. Denn alle Vertragsinhalte - und eben auch die Auswahl eines wiederum unterbeauftragten Rechenzentrums - würden die Hausärzteverbände bestimmen, so Schaar. Häufig vergessen wird dabei, dass nach der Arzneimittelrechts-Novelle vom 17. Juni 2009 die strengen datenschutzrechtlichen Regelungen des Paragrafen 80 SGB 10, an die sich die gesetzlichen Kassen halten müssen, auch für Ärzte gelten (vgl. Kasten). Und danach muss der Auftraggeber, also der einzelne Arzt, regelmäßig die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz in Augenschein nehmen.

Allerdings gilt diese Regelung nur befristet bis zum Sommer dieses Jahres. Schaar und seine Kollegen auf Landesebene seien aber bereits mit allen Beteiligten in Gesprächen, um eine Lösung für eine endgültige Rechtsgrundlage zu erarbeiten. Für Ärzte bleibt es also spannend.

Dass eine gesetzliche Regelung allein nicht reicht und regelmäßige Kontrollen der Datenschützer durchaus ihre Berechtigung haben, zeigen die gesetzlichen Kassen. So versuchte eine Kasse ihr internes Callcenter zu entlasten, indem sie für Zeiten hohen Anrufaufkommens sowie in den Abend- und Nachtstunden einen externen Dienstleister einschaltete. Nur, dieser beauftragte wiederum ein Schwesterunternehmen mit der Erbringung von Teilen der Leistung.

Das wäre noch nicht schlimm gewesen, wenn das Schwesterunternehmen nicht selbstständige Berater eingesetzt hätte, die zu Hause mit ihren Privat-PC arbeiteten - dabei hatten sämtliche Berater "undifferenzierten Zugriff auf den gesamten Versichertendatenbestand" inklusive Bankverbindungen. Auf diesen Rechnern konnten sie zwar keine Versichertendaten direkt speichern und ausdrucken, aber Screenshots (einzelne Maskeninhalte des Programms) lokal abspeichern.

Ebenfalls aufgestoßen ist dem Bundesdatenschützer die Praktik, bei den Finanzämtern die Steuer-ID nachzufragen, um absetzbare Versichertenbeträge bei Selbstständigen direkt dem Fiskus zu melden. Und die Versicherten lediglich im Kundenmagazin auf ihr Widerspruchsrecht hinzuweisen. Hier müsse jeder Versicherte einzeln und direkt angeschrieben werden. Schaar: "Nicht alle Versicherten werden die Zeitschrift lesen, und kaum ein Leser wird sich der rechtlichen Folgen des Verzichts auf sein Widerspruchsrecht bewusst sein." Doch hier sieht Schaar das Bundesministerium der Finanzen gefragt, denn dieses lehnt bislang eine Papierbescheinung ab.

Kasse durchforstete Datenbank nach Diagnosen

Eine Ersatzkasse hatte ein an sich löbliches Projekt auf die Beine gestellt: Sie wollte gemeinsam mit dem Caritasverband psychisch erkrankten Personen den Wiedereinstieg in ein geregeltes Leben ermöglichen, indem sie sich über die Caritas als ehrenamtliche Helfer engagieren sollten. Um geeignete Versicherte zu identifizieren, screente die Kasse ihre kompletten Daten allerdings nach Medikamentenverordnungen, Krankenhauseinweisungsdiagnosen etc. Zusätzlich wurden die Daten der Projektteilnehmer auch noch ausgwertet - laut Schaar ein Verstoß gegen den Datenschutz, weil hierzu die gesetzliche Grundlage und die Einwilligung der Versicherten fehle.

In der Regel zeigen die Kassen jedoch Einsicht und bessern die Datenmissstände schnell nach. In zwei Fällen laufen allerdings noch die staatsanwaltlichen Ermittlungen, schreibt Schaar. Zwei gesetzliche Kassen hätten zum Zweck der Vermittlung privater Zusatzversicherungen kooperierenden privaten Krankenversicherern Zugang zu sensiblen Daten ihrer Versicherten verschafft.

Missstände taten sich aber auch beim Paul-Ehrlich-Institut (PEI) auf. Beim Forschungsprojekt "Humanes endogenes Retrovirus, Typ K (HERV-K)" erfolgte das Speichern der Datensätze von Patienten mit Angaben zum Gesundheitszustand und Diagnosen ohne Einwilligung der Betroffenen und teilweise sogar unter Nennung der Klarnamen. Zusätzlich sei die Datei unverschlüsselt geführt worden und die Zugangsberechtigungen zu den Daten seien nicht geklärt gewesen, berichtet Schaar. Inzwischen habe das PEI die festgestellten Mängel jedoch beseitigt.

Lesen Sie dazu auch den Kommentar: Laxer Umgang mit Patientendaten

Ihr Newsletter zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Erhöhtes Thromboserisiko

Fallbericht: Lungenembolie bei einem Hobby-Bergsteiger

Lesetipps
Die Autorinnen und Autoren resümieren, dass eine chronische Lebererkrankungen ein Risikofaktor für einen schweren Verlauf einer akuten Pankreatitis ist. Sie betonen aber, dass für eine endgültige Schlussfolgerungen die Fallzahlen teils zu gering und die Konfidenzintervalle zu weit sind.

© Jo Panuwat D / stock.adobe.com

Mehr Komplikationen, höhere Sterblichkeit

Akute Pankreatitis plus CLD – eine unheilvolle Kombination

Einweg-E-Zigaretten

© Moritz Frankenberg / dpa

Vaping

Konsum von fruchtigen E-Zigaretten im Trend