Hintergrund

Neue Verträge und Kooperationen: Patientendaten sind immer öfter in Gefahr

Der Bundesdatenschützer geht in seinem Jahresbericht mit den Kassen schwer ins Gericht. Und kritisiert die Ärzteschaft.

Von Rebekka Höhl Veröffentlicht: 18.04.2011, 15:00 Uhr
Neue Verträge und Kooperationen: Patientendaten sind immer öfter in Gefahr

Mit Blick auf das Datenschutzverhalten von Kassen und Ärzten notiert der Datenschutzbeauftragte Peter Schaar erhebliche Mängel.

© Dustin Lyson / fotolia.com

Der Tätigkeitsbericht 2009/10 des Bundesdatenschutzbeauftragen Peter Schaar liest sich wie das Skript zum "kleinen Horrorladen": Da gibt es gesetzliche Krankenkassen, die sensible Patientendaten inklusive Bankverbindung an externe Callcenter weitergeben, deren Berater am heimischen PC und Telefon arbeiten. Es werden Versichertendaten nach psychischen Erkrankungen gescreent. Aber auch die Ärzte bekommen ihr Fett weg: Bei den Selektivverträgen würden sie nicht ihren Datenschutzpflichten gerecht.

Dabei hält Peter Schaar die Verstöße, insbesondere der gesetzlichen Kassen, nicht für Einzelfälle. Im Fall des Callcenters sagt er ganz klar: Ihm dränge sich der Eindruck auf, "dass eine einseitige Fokussierung auf wirtschaftliche Kenngrößen sich negativ auf den Datenschutz auswirke".

Doch erst einmal zu dem für Ärzte wohl spannendsten Thema, den Selektivverträgen. Wirklichen Datenmissbrauch konnten Schaar und seine Kollegen auf Landesebene hier noch nicht feststellen. Aber beim Datenschutz geht es ja auch darum, vorzubeugen. Was Schaar und seine Kollegen bemängeln, ist den meisten Ärzten spätestens bekannt, seit der Bremer Hausarztvertrag Anfang des Jahres gestoppt werden musste - wegen Bedenken samt Verfügung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Der Kritikpunkt: Die Ärzte geben zur Abrechnung ihrer Leistungen Patientendaten an eine privatrechtliche Stelle weiter. Bei den Hausarztverträgen sind das meist neu eingerichtete Abrechnungsstellen der Hausärztlichen Vertragsgemeinschaft (HÄVG). Und diese würden eben nicht ähnlich transparent wie das Kollektivsystem, also die KVen, arbeiten.

Den Ärzten fehlt jegliche Kontrollmöglichkeit

Denn zum einen würden die Ärzte verpflichtet, ihre Abrechnung über eine bestimmte Software vorzunehmen. Gleichzeitig würden die Verträge oder Verbände den Ärzten die Kenntnis wesentlicher Funktionen der Software verwehren. "Es ist daher zweifelhaft, ob die Ärzte wissen, welche genauen Daten sie mittels der Software an den Hausärzteverband weitergeben", schreibt Schaar in seinem Bericht. Aber, so der nächste Kritikpunkt, die Ärzte sind rechtlich gesehen die Auftraggeber der privatrechtlichen Abrechnungsstelle und damit datenschutzrechtlich verantwortlich für den sicheren Umgang mit den Patientendaten. Das beinhaltet die Pflicht, zur Kontrolle der Auftragnehmer. In der bisherigen hausarztzentrierten Versorgung könnten die Ärzte diese Kontrollfunktion jedoch nicht wahrnehmen.

Und so steht es im Gesetz

Erhebung, Verarbeitung, Nutzung von Sozialdaten im Auftrag, Paragraf 80, SGB X: "(1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich ... (2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. ... Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren."

Allein die Ausgestaltung der Verträge nehme Ärzten de facto schon die Gestaltungsbefugnis und damit die Rolle des Auftraggebers. Denn alle Vertragsinhalte - und eben auch die Auswahl eines wiederum unterbeauftragten Rechenzentrums - würden die Hausärzteverbände bestimmen, so Schaar. Häufig vergessen wird dabei, dass nach der Arzneimittelrechts-Novelle vom 17. Juni 2009 die strengen datenschutzrechtlichen Regelungen des Paragrafen 80 SGB 10, an die sich die gesetzlichen Kassen halten müssen, auch für Ärzte gelten (vgl. Kasten). Und danach muss der Auftraggeber, also der einzelne Arzt, regelmäßig die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz in Augenschein nehmen.

Allerdings gilt diese Regelung nur befristet bis zum Sommer dieses Jahres. Schaar und seine Kollegen auf Landesebene seien aber bereits mit allen Beteiligten in Gesprächen, um eine Lösung für eine endgültige Rechtsgrundlage zu erarbeiten. Für Ärzte bleibt es also spannend.

Dass eine gesetzliche Regelung allein nicht reicht und regelmäßige Kontrollen der Datenschützer durchaus ihre Berechtigung haben, zeigen die gesetzlichen Kassen. So versuchte eine Kasse ihr internes Callcenter zu entlasten, indem sie für Zeiten hohen Anrufaufkommens sowie in den Abend- und Nachtstunden einen externen Dienstleister einschaltete. Nur, dieser beauftragte wiederum ein Schwesterunternehmen mit der Erbringung von Teilen der Leistung.

Das wäre noch nicht schlimm gewesen, wenn das Schwesterunternehmen nicht selbstständige Berater eingesetzt hätte, die zu Hause mit ihren Privat-PC arbeiteten - dabei hatten sämtliche Berater "undifferenzierten Zugriff auf den gesamten Versichertendatenbestand" inklusive Bankverbindungen. Auf diesen Rechnern konnten sie zwar keine Versichertendaten direkt speichern und ausdrucken, aber Screenshots (einzelne Maskeninhalte des Programms) lokal abspeichern.

Ebenfalls aufgestoßen ist dem Bundesdatenschützer die Praktik, bei den Finanzämtern die Steuer-ID nachzufragen, um absetzbare Versichertenbeträge bei Selbstständigen direkt dem Fiskus zu melden. Und die Versicherten lediglich im Kundenmagazin auf ihr Widerspruchsrecht hinzuweisen. Hier müsse jeder Versicherte einzeln und direkt angeschrieben werden. Schaar: "Nicht alle Versicherten werden die Zeitschrift lesen, und kaum ein Leser wird sich der rechtlichen Folgen des Verzichts auf sein Widerspruchsrecht bewusst sein." Doch hier sieht Schaar das Bundesministerium der Finanzen gefragt, denn dieses lehnt bislang eine Papierbescheinung ab.

Kasse durchforstete Datenbank nach Diagnosen

Eine Ersatzkasse hatte ein an sich löbliches Projekt auf die Beine gestellt: Sie wollte gemeinsam mit dem Caritasverband psychisch erkrankten Personen den Wiedereinstieg in ein geregeltes Leben ermöglichen, indem sie sich über die Caritas als ehrenamtliche Helfer engagieren sollten. Um geeignete Versicherte zu identifizieren, screente die Kasse ihre kompletten Daten allerdings nach Medikamentenverordnungen, Krankenhauseinweisungsdiagnosen etc. Zusätzlich wurden die Daten der Projektteilnehmer auch noch ausgwertet - laut Schaar ein Verstoß gegen den Datenschutz, weil hierzu die gesetzliche Grundlage und die Einwilligung der Versicherten fehle.

In der Regel zeigen die Kassen jedoch Einsicht und bessern die Datenmissstände schnell nach. In zwei Fällen laufen allerdings noch die staatsanwaltlichen Ermittlungen, schreibt Schaar. Zwei gesetzliche Kassen hätten zum Zweck der Vermittlung privater Zusatzversicherungen kooperierenden privaten Krankenversicherern Zugang zu sensiblen Daten ihrer Versicherten verschafft.

Missstände taten sich aber auch beim Paul-Ehrlich-Institut (PEI) auf. Beim Forschungsprojekt "Humanes endogenes Retrovirus, Typ K (HERV-K)" erfolgte das Speichern der Datensätze von Patienten mit Angaben zum Gesundheitszustand und Diagnosen ohne Einwilligung der Betroffenen und teilweise sogar unter Nennung der Klarnamen. Zusätzlich sei die Datei unverschlüsselt geführt worden und die Zugangsberechtigungen zu den Daten seien nicht geklärt gewesen, berichtet Schaar. Inzwischen habe das PEI die festgestellten Mängel jedoch beseitigt.

Lesen Sie dazu auch den Kommentar: Laxer Umgang mit Patientendaten

Mehr zum Thema

Zwei aktuelle Urteile

Zulassungsentzug – BSG bleibt hart

Tipps für die Abrechnung

So verschenken Ärzte bei Privatpatienten kein Geld mehr

Karte des Monats

Arztzentren selten ein Modell fürs Land

Kommentare
Uwe Schneider

Datenschutz in der PKV

@ Dr. Schmidt: Der BfDI ist, abgesehen von der Telekommunikationsbranche, nicht für die Kontrolle der Privatwirtschaft zuständig, also auch nicht der PKV. Von daher konnte er dazu nichts schreiben.

Immerhin hat das Bundesverfassungsgericht durch Beschluss v. 23.11.2006 pauschale Vorab-Schweigepflichtentbindungen für jegliche künftige Leistungsfälle für unwirksam erklärt. Freilich muss man als Privatversicherter gleichwohl im Leistungsfall die erforderlichen ärztlichen Bestätigungen vorlegen. Wenn man keine eigene Kontrollinstitutionen wie MDK oder KV auch in der PKV einrichten will, wird man ihr das zur Leistungsprüfung aber nicht vollkommen verweigern können.

In Bezug auf die vorgelagerte Risikoprüfung haben die für den Datenschutz zuständigen Aufsichtsbehörden der Länder immerhin eine Reform des Hinweis- und Informationssystems der Privatversicherungen (HIS) erreicht. Dieses greift u.a. auch bei Gesundheitsangaben für Lebens-, Renten- oder Berufsunfähigkeitsversicherungen ein, nicht jedoch für die PKV, die ihre eigene Sonderwagnisdatei hat. Da sollte man in der Tat noch einmal etwas genauer hinschauen und möglicherweise die Reform des HIS übertragen. Solange man die PKV mit dem Prinzip der Risikoäquivalenz halten möchte, muss man ihr aber grds. aber auch eine Risikoprüfung gestatten (nicht dass die PKV eine Bestandsgarantie hätte, aber wer a sagt muss auch b sagen).

Dr. Jürgen Schmidt

Und die Privatversicherten ?

Warum die Betrachtung auf die gesetzlich Versicherten und die Handhabung der zugehörigen Daten beschränken?

In Deutschand besteht Krankenversicherungspflicht und nicht alle Menschen haben Zugang zur gesetzlichen Krankenkasse, müssen sich also privatrechtlich versichern.
Die Preisgabe persönlicher Daten, und zwar aller, auch jahrzehntelang zurück liegender Gesundheitsereignisse, ist in diesem Fall keine freiwillige Entscheidung, die datenschutzrechtlich nicht zu beanstanden wäre, sondern erfolgt unter indirektem, dafür aber um so folgenschwererem Zwang, der aus der Versicherungspflicht resultiert.

Die Folge ist, dass im konkreten Fall der Versicherte bei einem Wechsel der Kasse oder des Tarifes sozusagen beweispflichtig wird, dass seine Vorerkrankungen keine Risikoerhöhung bedeuten, denn die Privatkassen nutzen ihr Wissen nicht nur gnadenlos aus, sondern konstruieren aus anamnestischen Risikofaktoren, wie z.B einem früher bestandenen Übergewicht oder einer leichten nicht behandlungspflichtigen Hyperurikämie massiv prämienträchtige Versicherungsbedingungen.
Da hier weder ein Kontrahierungszwang greift, noch eine rechtliche Überpüfung der Privatkassenentscheidung möglich ist, ist nicht nur Datenschutz sondern Datenmissbrauchsschutz zu fordern!

Wolfgang Thoma

Schein und sein

Die Schere zwischen Soll und Haben klafft auch beim Datenschutz immer schneller und immer weiter auseinander. Die Vorschriften, hier im Klinikumfeld, können in ihrer Gesamtheit nicht mehr überblickt werden, da helfen auch keine Seminare der einschlägigen Organisationen. Vor allem der Email Kontakt zwischen den Beteiligten des Gesundheitswesens per Mail ist ein erhebliches Problem, da jegliches Sicherheitsbewußtsein bei den Kommunikationspartnern fehlt. MDK Anfragen, Kassenanfragen, Kommunikation mit Niedergelassenen, läüft alles per Mail im Klartext. Personelle Unterbestzung und Unterfinanzierung lassen leider regionale Lösungen versanden, die entsprechenden Mitarbeiter sind mit der Menge und Komplexität der Aufgaben mehr als ausgelastet. Verschlüsselte Email ? Da gibts drängendere Probleme... Und die Ärzte interessierts nicht wirklich, solange sie keine Vergütung für "Zusatzaufwände" bekommen.
Ob die eGK die Wunder bewirkt, mit der sie angekündigt wurde, bleibt abzuwarten. Andererseits boomt das Geschäft mit Paybackkarten und Location Based Services der Android- und iPhone Gesellschaft, als Resultat stecken persönliche Profile vöölig entblößt im Netz. Die Privatsphäre ist mit einem Klick unwiderbringlich dahin. Wo hat der Datenschutz da wirklich einen Platz ?


Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Flughafen-Malaria am Frankfurter Airport

Zwei erkrankte Männer

Flughafen-Malaria am Frankfurter Airport

Triage mit Stempel und roter Mütze

Mit den German Doctors in Indien

Triage mit Stempel und roter Mütze

Gassen: Servicenummer 116117 kommt an

KBV-Vertreterversammlung

Gassen: Servicenummer 116117 kommt an

Diese Website verwendet Cookies. Weitere Informationen zu Cookies und und insbesondere dazu, wie Sie deren Verwendung widersprechen können, finden Sie in unseren Datenschutzhinweisen.  Verstanden