Hintergrund
Neue Verträge und Kooperationen: Patientendaten sind immer öfter in Gefahr
Der Bundesdatenschützer geht in seinem Jahresbericht mit den Kassen schwer ins Gericht. Und kritisiert die Ärzteschaft.
Veröffentlicht:
Mit Blick auf das Datenschutzverhalten von Kassen und Ärzten notiert der Datenschutzbeauftragte Peter Schaar erhebliche Mängel.
© Dustin Lyson / fotolia.com
Der Tätigkeitsbericht 2009/10 des Bundesdatenschutzbeauftragen Peter Schaar liest sich wie das Skript zum "kleinen Horrorladen": Da gibt es gesetzliche Krankenkassen, die sensible Patientendaten inklusive Bankverbindung an externe Callcenter weitergeben, deren Berater am heimischen PC und Telefon arbeiten. Es werden Versichertendaten nach psychischen Erkrankungen gescreent. Aber auch die Ärzte bekommen ihr Fett weg: Bei den Selektivverträgen würden sie nicht ihren Datenschutzpflichten gerecht.
Dabei hält Peter Schaar die Verstöße, insbesondere der gesetzlichen Kassen, nicht für Einzelfälle. Im Fall des Callcenters sagt er ganz klar: Ihm dränge sich der Eindruck auf, "dass eine einseitige Fokussierung auf wirtschaftliche Kenngrößen sich negativ auf den Datenschutz auswirke".
Doch erst einmal zu dem für Ärzte wohl spannendsten Thema, den Selektivverträgen. Wirklichen Datenmissbrauch konnten Schaar und seine Kollegen auf Landesebene hier noch nicht feststellen. Aber beim Datenschutz geht es ja auch darum, vorzubeugen. Was Schaar und seine Kollegen bemängeln, ist den meisten Ärzten spätestens bekannt, seit der Bremer Hausarztvertrag Anfang des Jahres gestoppt werden musste - wegen Bedenken samt Verfügung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Der Kritikpunkt: Die Ärzte geben zur Abrechnung ihrer Leistungen Patientendaten an eine privatrechtliche Stelle weiter. Bei den Hausarztverträgen sind das meist neu eingerichtete Abrechnungsstellen der Hausärztlichen Vertragsgemeinschaft (HÄVG). Und diese würden eben nicht ähnlich transparent wie das Kollektivsystem, also die KVen, arbeiten.
Den Ärzten fehlt jegliche Kontrollmöglichkeit
Denn zum einen würden die Ärzte verpflichtet, ihre Abrechnung über eine bestimmte Software vorzunehmen. Gleichzeitig würden die Verträge oder Verbände den Ärzten die Kenntnis wesentlicher Funktionen der Software verwehren. "Es ist daher zweifelhaft, ob die Ärzte wissen, welche genauen Daten sie mittels der Software an den Hausärzteverband weitergeben", schreibt Schaar in seinem Bericht. Aber, so der nächste Kritikpunkt, die Ärzte sind rechtlich gesehen die Auftraggeber der privatrechtlichen Abrechnungsstelle und damit datenschutzrechtlich verantwortlich für den sicheren Umgang mit den Patientendaten. Das beinhaltet die Pflicht, zur Kontrolle der Auftragnehmer. In der bisherigen hausarztzentrierten Versorgung könnten die Ärzte diese Kontrollfunktion jedoch nicht wahrnehmen.
Und so steht es im Gesetz
Erhebung, Verarbeitung, Nutzung von Sozialdaten im Auftrag, Paragraf 80, SGB X: "(1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich ... (2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. ... Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren."
Allein die Ausgestaltung der Verträge nehme Ärzten de facto schon die Gestaltungsbefugnis und damit die Rolle des Auftraggebers. Denn alle Vertragsinhalte - und eben auch die Auswahl eines wiederum unterbeauftragten Rechenzentrums - würden die Hausärzteverbände bestimmen, so Schaar. Häufig vergessen wird dabei, dass nach der Arzneimittelrechts-Novelle vom 17. Juni 2009 die strengen datenschutzrechtlichen Regelungen des Paragrafen 80 SGB 10, an die sich die gesetzlichen Kassen halten müssen, auch für Ärzte gelten (vgl. Kasten). Und danach muss der Auftraggeber, also der einzelne Arzt, regelmäßig die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz in Augenschein nehmen.
Allerdings gilt diese Regelung nur befristet bis zum Sommer dieses Jahres. Schaar und seine Kollegen auf Landesebene seien aber bereits mit allen Beteiligten in Gesprächen, um eine Lösung für eine endgültige Rechtsgrundlage zu erarbeiten. Für Ärzte bleibt es also spannend.
Dass eine gesetzliche Regelung allein nicht reicht und regelmäßige Kontrollen der Datenschützer durchaus ihre Berechtigung haben, zeigen die gesetzlichen Kassen. So versuchte eine Kasse ihr internes Callcenter zu entlasten, indem sie für Zeiten hohen Anrufaufkommens sowie in den Abend- und Nachtstunden einen externen Dienstleister einschaltete. Nur, dieser beauftragte wiederum ein Schwesterunternehmen mit der Erbringung von Teilen der Leistung.
Das wäre noch nicht schlimm gewesen, wenn das Schwesterunternehmen nicht selbstständige Berater eingesetzt hätte, die zu Hause mit ihren Privat-PC arbeiteten - dabei hatten sämtliche Berater "undifferenzierten Zugriff auf den gesamten Versichertendatenbestand" inklusive Bankverbindungen. Auf diesen Rechnern konnten sie zwar keine Versichertendaten direkt speichern und ausdrucken, aber Screenshots (einzelne Maskeninhalte des Programms) lokal abspeichern.
Ebenfalls aufgestoßen ist dem Bundesdatenschützer die Praktik, bei den Finanzämtern die Steuer-ID nachzufragen, um absetzbare Versichertenbeträge bei Selbstständigen direkt dem Fiskus zu melden. Und die Versicherten lediglich im Kundenmagazin auf ihr Widerspruchsrecht hinzuweisen. Hier müsse jeder Versicherte einzeln und direkt angeschrieben werden. Schaar: "Nicht alle Versicherten werden die Zeitschrift lesen, und kaum ein Leser wird sich der rechtlichen Folgen des Verzichts auf sein Widerspruchsrecht bewusst sein." Doch hier sieht Schaar das Bundesministerium der Finanzen gefragt, denn dieses lehnt bislang eine Papierbescheinung ab.
Kasse durchforstete Datenbank nach Diagnosen
Eine Ersatzkasse hatte ein an sich löbliches Projekt auf die Beine gestellt: Sie wollte gemeinsam mit dem Caritasverband psychisch erkrankten Personen den Wiedereinstieg in ein geregeltes Leben ermöglichen, indem sie sich über die Caritas als ehrenamtliche Helfer engagieren sollten. Um geeignete Versicherte zu identifizieren, screente die Kasse ihre kompletten Daten allerdings nach Medikamentenverordnungen, Krankenhauseinweisungsdiagnosen etc. Zusätzlich wurden die Daten der Projektteilnehmer auch noch ausgwertet - laut Schaar ein Verstoß gegen den Datenschutz, weil hierzu die gesetzliche Grundlage und die Einwilligung der Versicherten fehle.
In der Regel zeigen die Kassen jedoch Einsicht und bessern die Datenmissstände schnell nach. In zwei Fällen laufen allerdings noch die staatsanwaltlichen Ermittlungen, schreibt Schaar. Zwei gesetzliche Kassen hätten zum Zweck der Vermittlung privater Zusatzversicherungen kooperierenden privaten Krankenversicherern Zugang zu sensiblen Daten ihrer Versicherten verschafft.
Missstände taten sich aber auch beim Paul-Ehrlich-Institut (PEI) auf. Beim Forschungsprojekt "Humanes endogenes Retrovirus, Typ K (HERV-K)" erfolgte das Speichern der Datensätze von Patienten mit Angaben zum Gesundheitszustand und Diagnosen ohne Einwilligung der Betroffenen und teilweise sogar unter Nennung der Klarnamen. Zusätzlich sei die Datei unverschlüsselt geführt worden und die Zugangsberechtigungen zu den Daten seien nicht geklärt gewesen, berichtet Schaar. Inzwischen habe das PEI die festgestellten Mängel jedoch beseitigt.
Lesen Sie dazu auch den Kommentar: Laxer Umgang mit Patientendaten
