Herausgabeanspruch einer Krankenkasse: Patientenunterlagen

Herausgabeanspruch, Krankenkasse, Patientenunterlagen, Beispielbild, Medikamente

Anspruch einer Krankenkasse auf Herausgabe von Patientenunterlagen

Ob und welche Daten ihrer Patienten Ärzte auf Anfrage einer gesetzlichen Krankenkasse herausgeben dürfen und müssen, bereitet auch nach Einführung der EU-Datenschutzgrundverordnung (DSGVO) am 25.05.2018 immer wieder Probleme. Mitunter fordern Krankenkassen etwas, was sie garnicht dürfen. Hintergrund derartiger Anfragen ist häufig der Verdacht der Krankenkasse, dass ihr durch einen Behandlungsfehler Kosten entstanden sind, die sie von dem behandelnden Arzt erstattet haben möchte. Um den Verdacht prüfen zu können, fordert die Krankenkasse die Patientenakte oder Teile davon an. Kann sich die Krankenkasse auf Rechte des Patienten berufen oder hat sie eigene Auskunftsrechte?

Ansprüche des Patienten: Auskunftsanspruch, Herausgabeanspruch und Anspruch auf (kostenlose) Kopie

Patienten selbst steht hingegen aus dem Behandlungsvertrag nach § 630g Abs. 1 BGB ein Einsichtsrecht in die vollständige Patientenakte zu, soweit nicht Rechte Dritter betroffen sind oder therapeutische Gründen entgegen stehen. Nach § 630g Abs. 2 BGB steht dem Patienten das Recht auf eine elektronische Kopie (Scan als pdf) der Patientenakte zu, für die der Arzt oder das Krankenhaus Kostenerstattung verlangen können. Das Gleiche ergibt sich berufsrechtlich aus § 10 MBO-Ä.

Der Anspruch aus dem Behandlungsvertrag nach § 630g BGB geht bezüglich der vermögensrechtlichen Interessen auf die Erben über, während das Datenschutzrecht nicht für Tode gilt, also keine datenschutzrechtlichen Auskunftsansprüche vererbt werden können.

Im Datenschutzrecht hat der Patient nach Art. 15 Abs. 3 DSGVO sogar das Recht auf eine kostenfreie Kopie (kostenfreie Erstkopie) der über ihn gespeicherten personenbezogenen Daten.

Es siehe allgemein die Ausführungen der Landesdatenschutzaufsicht Rheinland-Pfalz zum Auskunftsanspruch bei Heilbehandlung  und hier .

Ein Krankenhaus hat versucht die Auskunftserteilung von der Erstattung von (Versand)-Kosten unter Berufung auf § 630g BGB abhängig zu machen, wohl weil die Auskunft zur Vorbereitung von Arzthaftungsansprüchen diente. Das LG Dresden hat dem aber mit Urteil vom 25.05.2020, Az. 6 O 76/20 eine Absage erteilt. Das Krankenhaus wurde verurteilt eine unentgeltliche Auskunft über die über die Klägerin bei ihr gespeicherten personenbezogenen Daten durch Übermittlung der vollständigen Behandlungsdokumentationen im pdf-Format für den Behandlungszeitraum zu erteilen. Der kostenfreie Auskunftsanspruch kann auf die EU-Datenschutzgrund-Verordnung gestützt werden. Das deutsche Zivilrecht steht dem nicht entgegen und geht insbesondere nicht als spezielles Recht vor.

Rn 23. Die Regelung des § 630 g BGB hat nicht Vorrang vor den Bestimmungen des Art. 15 Abs. 3 DSGVO. Ein Vorrangverhältnis als lex spezialis kann eine Reglung auf nationaler Ebene bezüglich einer europarechtlichen Regelung nicht enthalten. Die DSGVO sieht eine Öffnung für anderslautende nationale Regelungen nicht vor. Mithin ist einem Auskunftsverlangen, welches statt auf § 630 g BGB auf Art. 15 Abs. 3 DSGVO gestützt wird, vollumfänglich zu entsprechen. Rn 29: Die Erstauskunft ist vielmehr kostenfrei. Rn 36: Der Streitwert des Verfahrens beträgt 6.000,00 EUR.

In der Praxis ist es wichtig sicherzustellen, dass Auskünfte, gerade über Gesundheitsdaten, nur an die berechtigte Person erteilt werden. Ist die Adresse, an die die Auskunft erteilt werden soll, bekannt, kann an die Postanschrift ohne weitere Nachfragen die Auskunft erteilt werden. Rückfragen sind aber zur eindeutigen Identifizierung geboten, wenn der Patient von einer unbekannte Adresse anfragt oder eine andere Person für den Patienten anfragt. Hier können Ausweiskopie oder Vollmacht helfen.

Zudem bietet es sich an und es ist auch zulässig, bei sehr weit gefassten Auskunftsanfrage (“alles”) zurückzufragen, woran genau der Patient interessiert ist, ob etwa an einen bestimmten Zeitraum oder einer bestimmten Krankheit oder einen bestimmten Befund.

Ärztliche Schweigepflichten vs. Herausgabeanspruch

Ein auf Auskunft in Anspruch genommener Arzt könnten es sich vermeintlich einfach machen und die geforderten Daten einfach herausgeben. Allerdings steht dies nicht zu ihrer freien Disposition. Einerseits unterliegen die Daten dem strafbewehrte Berufsgeheimnis, § 203 StGB, und andererseits dem Datenschutzrecht, Art. 9 Abs. 1 DSGVO. Bei den Patientenunterlagen handelt es sich um besondere Kategorien von personenbezogenen Daten, den Gesundheitsdaten, Art. 3 Nr. 15 DSGVO, die durch Art. 9 Abs. 1 DSGVO sowie § 22 BDSG (BDSG = Bundesdatenschutzgesetz) besonders geschützt sind – sogenanntes Verbot mit Erlaubnisvorbehalt (= vorbehaltlich einer Erlaubnis ist die Datenverarbeitung verboten = Die Datenverarbeitung ist nur dann rechtmäßig, wenn es eine Erlaubnisnorm gibt):

Die Verarbeitung personenbezogener Daten, …, sowie die Verarbeitung von … Gesundheitsdaten … ist untersagt.

Verarbeiten ist hierbei als Oberbegriff für die Erhebung, Speicherung, Übermittlung etc. zu verstehen (Art. 4 Nr. 2 DSGVO), umfasst also auch die Herausgabe von Daten an die Krankenkasse.

Hinzu kommt die Schweigepflicht als Nebenpflicht zum Behandlungsvertrag, § 630a BGB, und die berufsrechtliche Schweigepflicht nach § 9 MBOÄ bzw. § 9 Berufsordnung der Landesärztekammer Brandenburg sowie das Berufsgeheimnis, § 203 StGB. Ärzte machen sich also strafbar, riskieren erhebliche Bußgelder wegen Datenschutzverstößen, Art. 83 DSGVO, Schadensersatz- und neuerdings drohen auch Schmerzensgeldforderungen (immaterieller Schadensersatz), Art. 82 DSGVO bis hin zu berufsrechtlichen Sanktionen, wenn sie ihre Schweigepflichten verletzten. Daher bedarf es einer Rechtsgrundlage, um Gesundheitsdaten an die Krankenkasse durch Übermittlung offenlegen zu dürfen, vgl. Art. 4 Nr. 2 DSGVO.

Durchbrechung der Schweigepflichten

Die Schweigepflichten aus den verschiedenen Rechtsnormen gelten parallel. Daher muss auch eine Durchbrechung der Schweigepflichten für alle Rechtsnormen wirken, also sowohl für die ärztliche Schweigepflicht als auch für das Datenschutzrecht. Im Wesentlichen komme hier die

  • Einwilligung des Patienten,
  • gesetzliche Offenbarungspflichten und
  • gesetzliche Offenbarungsbefugnisse in Betracht.

Gesetzliche Offenbarungspflichten bestehen z.B. nach SGB V gegenüber gesetzlichen Krankenkassen und kassenärztlichen Vereinigungen, Sozialversicherungsträgern, dem MDK, Berufsgenossenschaften, dem RKI bei bestimmten Infektionskrankheiten (z.B. aktuell: Verordnung zur Meldung von Coronavirus Infektionen – Covid 19 nach dem Infektionsschutzgesetz), dem Krebsregistergesetz, Verdacht auf Kindesmissbrauch etc.

Eine Offenbarungsbefugnis kann sich z.B. aus einem rechtfertigenden Notstand, § 34 StGB, ergeben, wenn es gilt eine drohende HIV-Ansteckung oder eine absehbare Trunkenheitsfahrt zu verhindern.

Einwilligung als Datenverarbeitungsgrundlage

Nach Art. 9 Abs. 2a) DSGVO ist die Datenverarbeitung zulässig, wenn der betroffene Patient

für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt

hat. Bei der datenschutzrechtlichen Einwilligung genügt eine mutmaßliche Einwilligung oder eine Einwilligung durch schlüssiges Handeln anders als im Strafrecht nicht. Vielmehr ist eine ausdrückliche Einwilligung erforderlich (Erwägungsgrund 51 Satz 6). Eine Einwilligung setzt die Information, worin eingewilligt werden soll, voraus und muss freiwillig erfolgen (sog. informierte Einwilligung, Art. 7 DSGVO). Sie soll aktuell und konkret sein (welche Daten von welchem Arzt für welchen Zweck verwendet werden sollen). Daher ist es dringend zu empfehlen, sich die Einwilligung des Patienten von der Krankenkasse zeigen zu lassen, bevor man Daten des Patienten an die Krankenkasse herausgibt. Wurde z.B. die von der Krankenkasse vorgelegte Einwilligung nicht vom Patienten, sondern einem Angehörigen mit einer notariellen Vorsorgevollmacht unterschrieben und gestattet die Vorsorgevollmacht keine Erteilung von Untervollmachten, ist die Einwilligung mangels gültiger Vollmacht unwirksam.

Datenerhebungsbefugnis der gesetzlichen Krankenkassen

Auch die datenerhebende Krankenkasse bedarf einer Rechtsgrundlage für die Erhebung von Patientendatei direkt beim behandelnden Arzt. Die Verarbeitung von Patientendaten durch eine Krankenkasse unterfällt dem Sozialdatenschutz, § 35 SGB I. Durch das zweite Datenschutzanpassungsgesetz an die DSGVO vom 20.11.2019 wurde klargestellt, dass im SGB die Verarbeitung von Sozialdaten abschließend geregelt ist. Nach § 67a Abs. 2 S. 2 Nr. 2a SGB X dürfen Sozialdaten ohne Mitwirkung der betroffenen Person bei anderen Personen – hier bei dem behandelnden Arzt – nur erhoben werden, wenn eine Rechtsvorschrift die Erhebung bei ihnen zulässt. Die Erhebung auf der Grundlage einer Einwilligung eines Patienten ist hierbei nicht erwähnt und somit unzulässig.

Vielmehr regelt § 284 SGB V die Verarbeitung von Sozialdaten durch die gesetzlichen Krankenkassen. Dort findet sich ausdrücklich nicht die Datenverarbeitung bzw. konkret die Befugnis, Daten bei behandelnden Ärzten im Rahmen von § 116 SGB X zu erheben.

Diese Bewertung teilen auch die Datenschutzaufsichtsbehörden (vgl. Landesdatenschutzaufsicht (LDA) Baden-Württemberg in ihrem jüngst vorgelegten 35. Tätigkeitsbericht für 2019 unter Ziff. 7.2). Schon der Bundesdatenschutzbeauftragte hatte in seinem 21. Tätigkeitsbericht 2005-2006 die unmittelbare Datenerhebung durch die Krankenkassen kritisiert und wurde dabei von der Bundesregierung bestätigt:

Stellungnahme der Bundesregierung zum 20. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz gemäß § 26 Abs. 1 des Bundesdatenschutzgesetzes

Bundestagsdrucksache 15/5252

Zu Nr. 17.1.5 – Krankenhausentlassungsberichte

Der BfD kritisiert, dass weiterhin Krankenkassen Krankenhausentlassungsberichte und andere ärztliche Unterlagen bei den Leistungserbringern anfordern. Die Bundesregierung vertritt hierzu die Auffassung, dass diese ärztlichen Daten nur im Rahmen der Aufgaben der Medizinischen Dienste der Krankenversicherung ohne Kenntnisnahme der Krankenkassen verarbeitet werden dürfen.

Bereits 2010 hatte das Bundessozialgericht eine Entscheidung des Landessozialgerichts Niedersachsen-Bremen vom 11. November 2009 – L 1 KR 152/08 – bestätigt, dass die Krankenkasse keinen Anspruch auf Herausgabe der Patientenakte an sich selbst hat.

Der Krankenkasse steht es nicht zu, sich durch Einwilligungen mehr Befugnisse einräumen zu lassen, als ihr der Gesetzgeber eingeräumt hat (Grundsatz der Gesetzmäßigkeit der Verwaltung, Art. 30 Absatz 3 GG i. V. m. § 30 SGB IV). Sie kann sich folglich auch nicht auf die Auskunftsrechte des Patienten aus dem Behandlungsvertrag oder dem Datenschutzrecht berufen.

Herausgabeanspruch: Datenerhebung durch den MDK

Der Gesetzgeber hat jedoch einen anderen Weg eröffnet, um die Patientenakte auf etwaige Behandlungsfehler hin begutachten zu lassen, nämlich durch den Medizinischen Dienst der Krankenkassen, den MDK. Nach § 275 SGB V Abs. 3 Nr. 4 können Krankenkassen

„in geeigneten Fällen durch den Medizinischen Dienst prüfen lassen, ob Versicherten bei der Inanspruchnahme von Versicherungsleistungen aus Behandlungsfehlern ein Schaden entstanden ist (§ 66).“

Der MDK hat dann der Krankenkasse das Ergebnis in einer gutachterlichen Stellungnahme mitzuteilen. Nach § 276 Abs. 2 S. 1 SGB V darf der MDK Sozialdaten zu Begutachtung erheben und verarbeiten. Ein Leistungserbringer, also ein behandelnder Arzt, ist dabei verpflichtet, die Daten unmittelbar an den MDK zu übermitteln, § 276 Abs. 2 S. 2 SGB V, also ausdrücklich nicht an die Krankenkasse. Vielmehr ist geregelt, dass die Krankenkasse die Daten zur Begutachtung zwar beim Leistungserbringer (hier Arzt) anfordern darf, aber nur zur unmittelbaren Übermittlung an den MDK.

Fazit: kein Herausgabeanspruch der Krankenkasse an sich selbst

Ärzte sollte zur Vermeidung eigener Bußgeld- und Strafbarkeitsrisiken prüfen bzw. prüfen lassen, ob sie in einem konkreten Fall die datenschutzrechtliche und strafrechtliche Pflicht haben, Herausgabeverlangen von Patientenakten durch die Krankenkasse an sich selbst zu verweigern. Auf Verlagen der Krankenkasse oder des MDK müssen sie jedoch dem MDK die Patientenakte zur Prüfung zur Verfügung zu stellen.

Autor: Rechtsanwalt David Seiler, Lehrbeauftragter an der btu für IT-Security Law , Gründungsgesellschafter der dpc Data Protection Consulting GmbH

www.ds-law.eu

Cottbus, den 03.03.2020 – veröffentlicht im Brandenburgischen Ärzteblatt 4-2020, S. 14 – 15 (aktualisiert am 28.03.2020 und am 09.02.2021)