Neue Wege in der vertragsärztlichen Versorgung – neue Herausforderungen für den Datenschutz

Der Bundesdatenschutzbeauftragte Peter Schaar stellte am 12. April seinen 23. Tätigkeitsbericht für die Jahre 2009 und 2010 vor. Darin wurde auch das Themenfeld "Gesundheit und Soziales" besonders bewertet. So heisst es unter der Überschift "Neue Wege in der vertragsärztlichen Versorgung – neue Herausforderungen für den Datenschutz" (Nr. 11, Seite 118 ff) in dem Bericht:

"Ärzte, die an besonderen Versorgungsformen teilnehmen, sind häufig auf die Hilfe privater Abrechnungsdienstleister angewiesen. Der Schutz der sensiblen Gesundheitsdaten der Versicherten muss dabei gewährleistet sein.

Der Gesetzgeber hält die gesetzlichen Krankenkassen verstärkt dazu an, ihren Versicherten besondere Versorgungsformen anzubieten. Eine solche besondere Versorgungsform ist beispielsweise die "integrierte Versorgung". Darin arbeiten verschiedene Akteure des Gesundheitswesens gemeinsam fach- und/oder sektorenübergreifend (ambulant und stationär) zusammen. Die "hausarztzentrierte Versorgung" stellt eine weitere besondere Versorgungsform dar. Sie zeichnet sich dadurch aus, dass ein Hausarzt als erste Anlaufstelle für den Patienten sämtliche Behandlungsschritte koordiniert ("Lotsenfunktion"). Die besonderen Versorgungsformen sollen die Qualität in der medizinischen Versorgung steigern, die Transparenz erhöhen und die Wirtschaftlichkeit verbessern.

Dabei werden bisweilen die bekannten, im Gesetz detailliert geregelten Abrechnungswege verlassen. Häufig werden sog. Selektivverträge abgeschlossen, die Inhalt und Vergütung der Versorgung über Verträge außerhalb der von den Kassenärztlichen Vereinigungen organisierten Regelversorgung ("Kollektivvertrag") individuell-vertraglich festlegen. Vertragspartner der Krankenkassen können vor allem Vertragsärzte und Gemeinschaften von Vertragsärzten sein. Die Teilnahme an diesen Versorgungsformen ist sowohl für den Arzt als auch für den Versicherten freiwillig.

Als datenschutzrechtlich problematisch erweist sich, dass die Ärzte innerhalb der vertraglich geregelten Versorgungsformen nicht auf die Kassenärztlichen Vereinigungen als abrechnende Stellen zurückgreifen können. Die Ärzte selbst verfügen aber oftmals nicht über die für die Leistungsabrechnung erforderliche Infrastruktur. Dies hat zur Folge, dass die Ärzte privatrechtlich organisierte Stellen mit der Leistungsabrechnung beauftragen. Diese Vorgehensweise hat das Bundessozialgericht (BSG) in seiner Entscheidung vom 10. Dezember 2008 (B 6 KA 37/07 R) für unzulässig erklärt, vor allem weil bereichsspezifische gesetzlichen Befugnisnormen für die Übermittlung der personenbezogenen Abrechnungsdaten fehlen. Nach Auffassung des Gerichts kann die Datenübermittlung auch nicht auf eine Einwilligungserklärung gestützt werden, da oftmals Zweifel an der Freiwilligkeit der Abgabe der Einwilligungserklärung bestehen. Das BSG räumte dem Gesetzgeber eine Frist von sechs Monaten zur Schaffung einer gesetzlichen Grundlage für die Fälle ein, in denen die Abrechnung der erbrachten Leistungen in der Praxis teilweise bereits durch private Abrechnungsstellen erfolgte.

Der Gesetzgeber hat diese Vorgaben mit der 15. Arzneimittelrechts-Novelle vom 17. Juni 2009 zunächst vorläufig umgesetzt, indem er mit den §§ 120 Absatz 6 und 295 Absatz 1b Sätze 5 bis 8 SGB V eine befristete Rechtsgrundlage für die Abrechnung verschiedener besonderer Versorgungsformen geschaffen hat. Im Rahmen des Gesetzgebungsverfahrens habe ich deutlich gemacht, dass ich in der Einführung besonderer Versorgungsformen eine sozial- und gesundheitspolitische Entscheidung sehe, die aber datenschutzrechtlich flankiert werden muss. Dies gelte auch für die Einschaltung privater Abrechnungsstellen. Wichtig ist mir allerdings, dass dabei das gesetzlich vorgegebene Schutzniveau für die Verarbeitung medizinischer Daten durch private Stellen dem für Sozialdaten geltenden Schutzniveau entspricht.

Der Gesetzgeber ist dieser Forderung nachgekommen: Die Neuregelungen unterwerfen auch die privaten Stellen dem Sozialgeheimnis (§ 35 SGB I), sie erklären § 80 SGB X (Auftragsdatenverarbeitung) für entsprechend anwendbar und enthalten Vorgaben zur aufsichtsrechtlichen Kontrolle von Auftraggebern und Auftragnehmern.

Auf Grundlage der Befugnis aus §§ 73b, 295 Absatz 1b SGB V wurden mittlerweile zwischen verschiedenen Krankenkassen und Hausarztverbänden auf Landesebene (teilweise durch Schiedsverfahren) Verträge zur hausarztzentrierten Versorgung geschlossen. Dabei wurden jedoch vielfach die datenschutzrechtlichen Anforderungen nicht hinreichend berücksichtigt. Insbesondere entsprachen die Verträge, denen sich die Hausärzte, die an der hausarztzentrierten Versorgung teilnehmen wollen, unterwerfen müssen, nicht den Voraussetzungen des § 80 SGB X (vgl. auch Nr. 11.1.2 und 2.4). Unzureichend erscheinen mir insbesondere folgenden Vertragsinhalte:

• Obwohl den Ärzten die Rolle des Auftraggebers zugeschrieben wird, haben sie de facto keine hinreichenden Gestaltungsbefugnisse. So bestimmen die Hausärzteverbände, also die vermeintlichen Auftragnehmer, über die vertragliche Ausgestaltung des Auftragsverhältnisses (z. B. die Auswahl eines wiederum unterbeauftragten Rechenzentrums).
• Die Verträge verpflichten die Ärzte zur Nutzung einer bestimmten Software zur Datenübertragung an die Hausärzteverbände. Gleichzeitig verwehren sie den Ärzten die Kenntnis wesentlicher Funktionen der Software. Es ist daher zweifelhaft, ob die Ärzte wissen, welche genauen Daten sie mittels der Software an den Hausärzteverband weitergeben. Die Ärzte als eigentlich verantwortliche Stelle haben damit nicht die gesetzlich vorgeschriebene Kontrolle über die verarbeiteten Daten.
• Die Hausärzteverbände verfolgen mit den Daten auch eigene, über die Abrechnung hinausgehende Zwecke (etwa das Führen von Musterprozessen als Teil der ihnen obliegenden Interessenvertretung), die von der gesetzlichen Ermächtigungsgrundlage nicht erfasst sind.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist im Juli 2010 gegen einen derartigen Vertrag von zwischen in seiner Zuständigkeit liegenden Krankenkassen und dem Hausärzteverband Schleswig-Holstein mit einer Verfügung nach § 38 Absatz 5 BDSG vorgegangen. Es hat dem Hausärzteverband Schleswig-Holstein unter Androhung eines Zwangsgeldes untersagt, auf Grundlage des geschlossenen Vertrags von eingeschriebenen Hausärzten stammende Patientendaten weiterzugeben oder diese selbst zu nutzen. Gegen diese datenschutzrechtliche Anordnung hat sich der Hausärzteverband Schleswig-Holstein gerichtlich gewehrt. Das VerwaltungsgerichtSchleswig hat einen Antrag auf vorläufigen Rechtsschutz gegen die Verfügung des ULD zurückgewiesen. Diese Entscheidung wurde inzwischen vom OVG Schleswig bestätigt.

Derzeit befinde ich mich – in Abstimmung mit den Datenschutzbehörden der Länder – in Gesprächen mit den Beteiligten mit dem Ziel, eine sowohl dem Datenschutz als auch den übrigen Interessen gerecht werdende Lösung herbeizuführen. Die befristeten Übergangsregelungen müssen vor deren Auslaufen im Sommer 2011 durch endgültige Rechtsgrundlagen ersetzt werden. Ich werde dem Gesetzgeber dabei beratend zur Seite stehen."

<- Zurück zu: Aktuelle Nachrichten