Patientendaten: Gefahren durch ärzt­li­ches Abrech­nungs-Out­sour­cing

Weil die Sicherung der medizinischen Versorgung nur mit Einsparungen und einer generellen Strukturänderung im Gesundheitswesen gelingen kann, hat der Gesetzgeber in den letzten Jahren eine Reihe von Regelungen geschaffen. Ziel ist die Gewährleistung einer schnelleren und koordinierteren Patientenversorgung.

So sollen Hausärzte mit den Krankenkassen Verträge abschließen und die Leistungen und deren Bezahlung einzeln aushandeln. Patienten können sich in diese Verträge einschreiben und an der so genannten hausarztzentrierten Versorgung teilnehmen. Ihnen soll damit eine medizinische Versorgung aus einer Hand geboten werden, wobei der Hausarzt eine Art "Lotsenfunktion" für die hausärztliche, fachärztliche und stationäre Behandlung übernimmt.

Der Patient bindet sich für mindestens ein Jahr an den jeweiligen Hausarzt. Dafür kommt er in den Genuss einiger Vorteile: Auf einzelne ärztliche Leistungen gibt es Rabatte oder die Krankenkasse zahlt Prämien, wenn der Patient bestimmte Vorgaben erfüllt. Auf diesem Weg soll Geld eingespart werden und die Versorgung dennoch sichergestellt sein. Der Hausarzt hat nach diesem Modell Kenntnis von dem gesamten Behandlungsverlauf eines Patienten und kann so gezielter Fachärzte in die Behandlung einbeziehen.

Sensible Informationen in den Händen privater Rechenzentren

Ein Datenschutzproblem stellt die hausarztzentrierte Versorgung selbst nicht dar. Anders sieht es bei der Abrechnung der Verträge aus, sofern die momentan einschlägigen gesetzlichen Bestimmungen weiterhin gültig sind und nicht durch den aktuell vorgesehenen Gesetzentwurf hinreichend modifiziert werden.

Hintergrund ist folgender: Auch wenn es in der Regel so vorgesehen ist, rechnen Hausärzte vielfach ihre Leistungen nicht mehr direkt mit der Krankenkasse ab. Oft haben sie sich in Verbänden organisiert, die dann mit den Kassen einheitliche Rahmenverträge abschließen und so wesentlich günstigere und vielleicht qualitativ bessere Bedingungen für die Mediziner aushandeln. Diese Hausarztverbände rechnen dann mit den Krankenkassen die jeweiligen Leistungen ab.

Rechtlich problematisch ist dabei die Übermittlung sensibler Patientendaten. Denn den Abrechnungsvorgang führen regelmäßig nicht die Hausarztverbände selbst durch, sondern vielmehr private Rechenzentren als Unterauftragnehmer. Dabei stellen die Daten, mit denen sie im Zuge der Abrechnung hantieren, so genannte sensible Daten dar: Sie unterfallen grundsätzlich der ärztlichen Schweigepflicht und sind daher einem besonderen Schutz unterworfen.

Das Datenschutzniveau ist wesentlich herabgesetzt

Im Rahmen der aktuell noch bestehenden medizinischen Regelversorgung übermittelt der Arzt die nach § 295 Abs. 1 Fünftes Sozialgesetzbuch (SGB V ) explizit für die Abrechnung erforderlichen Patientendaten an die Krankenkasse. Diese beauftragt dann die Kassenärztliche Vereinigung (KV) mit der Abrechnung. Dabei handelt es sich um eine Körperschaft des öffentlichen Rechts, die der Rechtsaufsicht durch das Bundesgesundheitsministerium unterliegt. Die KV erhält die Patientendaten daher lediglich als Auftragnehmer der Krankenkassen, die weiter verantwortlich für die Daten sind. Dabei gelten für die Vereinigung detaillierte Abrechnungsregelungen, Vorschriften  für die Datenverarbeitung und aufsichtsrechtliche Bestimmungen.

Bei der Abrechnung der "hausarztzentrierten Versorgung" hingegen führt die Abrechnung eben ein privates Abrechnungszentrum als Unterauftragnehmer des Hausarztverbandes durch. Für diese Dienstleistung bestehen keine materiellen Vorgaben: Die für die Abrechnung erforderlichen Daten sind gesetzlich nicht festgeschrieben, womit es an einer Transparenz für die Patienten fehlt. Vielmehr sollen die Daten nach dem Willen des Gesetzgebers für jeden Vertrag einzeln bestimmt werden. Dabei verpflichtet das Gesetz die Vertragsparteien nicht zu einer abschließenden Nennung derjenigen Daten, die für die Abrechnung des einzelnen Vertrages erforderlich sind.

Das Datenschutzniveau bei der hausarztzentrierten Versorgung ist damit im Vergleich zu der detailliert geregelten Abrechnung der Regelversorgung wesentlich herabgesetzt. Der Patient selbst hat keine Übersicht mehr, welche seiner schützenswerten Daten an eine private Stelle übermittelt werden.

Der Patient hat keine Wahl

Dabei ist eine transparente Datenverarbeitung unerlässlich: Patienten müssen wissen, welche ihrer Patientendaten wohin zu welchem Zweck übermittelt werden. Das gilt entsprechend für Ärzte. Der Zweck muss jeweils vor der Übermittlung der Daten für jedes einzelne Datum abschließend feststehen. Dies ist mit dem Entwurf eines neuen § 295 a SGB V nicht gewährleistet. Zudem vermag die gesetzliche Differenzierung zwischen dem Hausärzteverband und der Kassenärztlichen Vereinigung nicht zu überzeugen.

Der Gesetzentwurf lässt dem Patienten keine Wahl: Mit der Einschreibung in den Vertrag zur Teilnahme an der hausarztzentrierten Versorgung stimmt er der Verarbeitung seiner Daten durch private Unternehmen zu. Eine Teilnahme ohne eine entsprechende Datenverarbeitung ist nicht möglich.

Der Gesetzgeber muss deshalb die geplante Regelung dringend datenschutzkonform gestalten. Zwar ist die Einführung einer neuen Abrechnungsmöglichkeit datenschutzrechtlich nicht zu beanstanden. Es muss aber sichergestellt werden, dass die Patientendaten sicher sind und eine Verarbeitung transparent für Patient und Arzt ist. Dazu ist Klarheit darüber unerlässlich, wer welche Daten zu welchem Zweck erhält. Last but not least muss der Patient freiwillig entscheiden können, ob er seine sensiblen Patientendaten durch ein privates Unternehmen verarbeiten lassen möchte.

Dr. Carola Drechsler ist Referentin beim Unabhängigen Landeszentrum für Datenschutz und Informationsfreiheit in Schleswig-Holstein.

 

Mehr auf LTO.de:

Gesundheitsdatenschutzrecht: Effektiverer Schutz für höchstpersönliche Informationen

Haftung für Arzneimittelschäden: Der Auskunftsanspruch des Geschädigten