Die privatärztliche Abrechnung ist für Patienten und verantwortliche Ärzte ein sensibles Thema und sollte – ebenso wie bei anderen Patientenbelangen, wenn es um besonders schützenswerte Personendaten geht – in verantwortungsvolle Hände gelegt werden. Ein wichtiges Thema dabei ist auch der Datenschutz, denn der Schutz vor Datenmissbrauch wird vor allem im Zusammenhang mit der Digitalisierung immer wichtiger. Doch wie passen die Themen Abrechnung privatärztlicher Forderungen und Datenschutz zusammen und wie klappt dies DSGVO-konform?
Hier haben wir die wichtigsten Hintergründe und wertvolle Tipps für Sie zusammengestellt, mit denen Sie Ihren Praxisalltag gelassen angehen können und vor bösen Überraschungen durch mögliche Abmahnverfahren bestens geschützt sind.
Die Rechtsanwältin Petra Müller erhält kurz nach ihrem Zahnarztbesuch eine Rechnung von einer privatärztlichen Verrechnungsstelle per Post zugeschickt. Sie konnte sich hierauf aber keinen Reim machen. Der Arzt hatte die Forderung wohl ohne ihr Wissen und Wollen an diese abgetreten. Also ruft sie bei der Verrechnungsstelle an und hakt nach.
Sie könne sich nicht daran erinnern, dass sie hier zugestimmt hätte. Die Verrechnungsstelle antwortet, dass man dies nachprüfen wolle und sich wieder bei ihr melde. Ein paar Tage später ruft ein Anwalt der Verrechnungsstelle zurück. Zunächst äußerte er sein Unverständnis über den Sachverhalt, die Forderung sei doch schließlich wirksam abgetreten worden. Nach einigem Hin und Her und kräftezehrenden Diskussionen spricht Frau Müller ihn als „Kollegen“ an und gibt sich somit als Anwältin zu erkennen. Plötzlich wird es still in der Leitung. Daraufhin lenkt der Anwalt der Verrechnungsstelle ein. Eine wirksame datenschutzrechtliche Einwilligungserklärung für die Datenweitergabe liege leider nicht vor, die Rechnung könne erst einmal als gegenstandslos betrachtet werden. „Entschuldigen Sie, Frau Kollegin, auf Wiederhören.“
Eine solche Situation schafft wenig Vertrauen – weder in den behandelnden Arzt noch zu der abrechnenden Einzugsstelle.
Der vorstehende Sachverhalt ist leider kein Einzelfall – so sollte es allerdings nicht ablaufen. Doch wie klappt es denn nun DSGVO-konform?
Im Folgenden möchten wir Ihnen die drei wichtigsten Aspekte für die privatärztliche Abrechnung aus datenschutzrechtlicher Sicht näher beleuchten: Zum einen spielt das Erfordernis einer wirksamen Einwilligungserklärung des Patienten eine wichtige Rolle. Zum anderen ist auch die Einhaltung der Informationspflichten nach den gesetzlichen Vorgaben ein wesentlicher Baustein. Schließlich muss die Frage geklärt werden, ob und in welchen Fällen ein sog. Auftragsverarbeitungsvertrag mit der privatärztlichen Verrechnungsstelle zu schließen ist.
Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gesundheitsdaten, wie zum Beispiel die Daten über die konkrete Behandlung, zählen zu den besonders sensiblen Daten und unterliegen nach der DSGVO einem besonderen Schutz. Die Verarbeitung solcher Informationen ist bei der Abrechnung jedoch üblicherweise notwendig. Zudem gilt für den Arzt die allseits bekannte ärztliche Schweigepflicht. Aus diesen Gründen sollte in diesem Bereich mit besonderer Sensibilität gearbeitet werden.
Damit Patientendaten überhaupt zur Abrechnung an die Verrechnungsstelle weitergegeben werden dürfen, ist eine datenschutzrechtlich wirksame Einwilligungserklärung erforderlich. Dies klärte bereits der BGH in einer Grundsatzentscheidung 2013, nach welcher die Weitergabe von Patientendaten ohne vorherige Einwilligungserklärung an eine Verrechnungsstelle als Verstoß gegen die ärztliche Schweigepflicht anzusehen ist. Die Einwilligungserklärung ist somit sowohl unter strafrechtlichen als auch datenschutzrechtlichen Aspekten zwingend erforderlich.
Der Patient muss nach Vorgabe der DSGVO bei Erhebung seiner personenbezogenen Daten (bspw. mittels Patientenaufnahmebogen) ausreichend über seine Rechte, die Zwecke und die Rechtsgrundlage der Verarbeitung informiert werden. Die datenschutzkonforme Einwilligung stellt eine in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung dar.
Die gesetzliche Informationspflicht gem. Art. 13 DSGVO ist somit unbedingt auch für die rechtliche Wirksamkeit der Einwilligungserklärung bei Beauftragung einer Verrechnungsstelle zu beachten. Ist ein Auftragsverarbeitungsvertrag notwendig?
Im Einzelfall kann es darüber hinaus erforderlich sein, dass der Arzt mit der externen Verrechnungsstelle einen Auftragsverarbeitungsvertrag (AVV) abzuschließen hat. Ein solcher kommt immer dann in Betracht, wenn die Verrechnungsstelle den Forderungseinzug betreibt. Dies gilt es für den jeweiligen Einzelfall zu prüfen. Der Abschluss eines solchen Vertrages ist nicht nur deswegen ratsam, um die vertraglichen Rechte und Pflichten eindeutig zu definieren, sondern auch, um mögliche aufsichtsbehördlichen Sanktionen zu vermeiden.
Als Arzt sollten Sie unbedingt darauf achten, dass vor der Datenweitergabe an eine externe Verrechnungsstelle eine wirksame Einwilligungserklärung des Patienten eingeholt wird. Empfehlungswert ist es, diese in einem gesonderten Formular bei der Patientenaufnahme einzuholen. Ansonsten riskieren Sie erhebliche straf- und berufsrechtliche sowie datenschutzrechtliche Konsequenzen, die eigentlich einfach zu vermeiden sind. Daneben ist die Einhaltung der Informationspflichten gegenüber Ihren Patienten unabkömmlich.
Unter Umständen kann es erforderlich sein, dass Sie mit Ihrer externen Verrechnungsstelle einen sog. AVV abschließen müssen.
Über weitere interessante Informationen, Tipps und Tricks rund um die Arztpraxis und andere Unternehmen aus dem Gesundheitswesen informieren wir Sie gerne in unserem Newsletter.
Die Rechtsanwaltskanzlei Datenschutzdoktor wurde im Jahre 2017 von RA Dr. Matthias Müller gegründet. Seitdem berät die Kanzlei mit mehreren Berufsträgern und Sitz in Nürnberg deutschlandweit Ärzte, Zahnärzte und Apotheker zum Thema Datenschutz und ist als externer Datenschutzbeauftragter bestellt.
RA Dr. Müller ist geschäftsführender Gesellschafter, zugelassener Rechtsanwalt und TÜV-zertifizierter Datenschutzbeauftragter. Nach seiner mehrjährigen Tätigkeit in einer internationalen Wirtschaftsrechtskanzlei, spezialisierte er sich auf das Thema Datenschutz mit dem Fokus auf Heilberufe.
Neben der Veröffentlichung von regelmäßigen Fachbeiträgen, hält er Seminare und Vorträge zum Thema: „Datenschutz in Heilberufen“ u.a. für die Niedersächsische Zahnärztekammer und wirkt an der Gestaltung zur Auslegung der datenschutzrechtlichen Regelungen für Heilberufe in mehreren Fachgremien mit.