Herausgabeanspruch einer Krankenkasse: Patientenunterlagen

Herausgabeanspruch, Krankenkasse, Patientenunterlagen, Beispielbild, Medikamente

Anspruch einer Krankenkasse auf Herausgabe von Patientenunterlagen

Ob und welche Daten ihrer Patienten Ärzte auf Anfrage einer gesetzlichen Krankenkasse herausgeben dürfen und müssen, bereitet auch nach Einführung der EU-Datenschutzgrundverordnung (DSGVO) am 25.05.2018 immer wieder Probleme. Mitunter fordern Krankenkassen etwas, was sie garnicht dürfen. Hintergrund derartiger Anfragen ist häufig der Verdacht der Krankenkasse, dass ihr durch einen Behandlungsfehler Kosten entstanden sind, die sie von dem behandelnden Arzt erstattet haben möchte. Um den Verdacht prüfen zu können, fordert die Krankenkasse die Patientenakte oder Teile davon an.

Patienten selbst steht hingegen aus dem Behandlungsvertrag nach § 630g BGB ein kostenpflichtiges Einsichtsrecht in die vollständige Patientenakte zu. Im Datenschutzrecht hat der Patient nach Art. 15 DSGVO sogar das Recht auf eine kostenfreie Kopie der über ihn gespeicherten personenbezogenen Daten. Kann sich aber die Krankenkasse auf diese Rechte berufen? (siehe allgemein zum Auskunftsanspruch bei Heilbehandlung und hier)

Ärztliche Schweigepflichten vs. Herausgabeanspruch

Ein auf Auskunft in Anspruch genommener Arzt könnten es sich vermeintlich einfach machen und die geforderten Daten einfach herausgeben. Allerdings steht dies nicht zu ihrer freien Disposition. Einerseits unterliegen die Daten dem strafbewehrte Berufsgeheimnis, § 203 StGB, und andererseits dem Datenschutzrecht, Art. 9 Abs. 1 DSGVO. Bei den Patientenunterlagen handelt es sich um besondere Kategorien von personenbezogenen Daten, den Gesundheitsdaten, Art. 3 Nr. 15 DSGVO, die durch Art. 9 Abs. 1 DSGVO sowie § 22 BDSG (BDSG = Bundesdatenschutzgesetz) besonders geschützt sind – sogenanntes Verbot mit Erlaubnisvorbehalt (= vorbehaltlich einer Erlaubnis ist die Datenverarbeitung verboten = Die Datenverarbeitung ist nur dann rechtmäßig, wenn es eine Erlaubnisnorm gibt):

Die Verarbeitung personenbezogener Daten, …, sowie die Verarbeitung von … Gesundheitsdaten … ist untersagt.

Verarbeiten ist hierbei als Oberbegriff für die Erhebung, Speicherung, Übermittlung etc. zu verstehen (Art. 4 Nr. 2 DSGVO), umfasst also auch die Herausgabe von Daten an die Krankenkasse.

Hinzu kommt die Schweigepflicht als Nebenpflicht zum Behandlungsvertrag, § 630a BGB, und die berufsrechtliche Schweigepflicht nach § 9 MBOÄ bzw. § 9 Berufsordnung der Landesärztekammer Brandenburg sowie das Berufsgeheimnis, § 203 StGB. Ärzte machen sich also strafbar, riskieren erhebliche Bußgelder wegen Datenschutzverstößen, Art. 83 DSGVO, Schadensersatz- und neuerdings drohen auch Schmerzensgeldforderungen (immaterieller Schadensersatz), Art. 82 DSGVO bis hin zu berufsrechtlichen Sanktionen, wenn sie ihre Schweigepflichten verletzten. Daher bedarf es einer Rechtsgrundlage, um Gesundheitsdaten an die Krankenkasse durch Übermittlung offenlegen zu dürfen, vgl. Art. 4 Nr. 2 DSGVO.

Durchbrechung der Schweigepflichten

Die Schweigepflichten aus den verschiedenen Rechtsnormen gelten parallel. Daher muss auch eine Durchbrechung der Schweigepflichten für alle Rechtsnormen wirken, also sowohl für die ärztliche Schweigepflicht als auch für das Datenschutzrecht. Im Wesentlichen komme hier die

  • Einwilligung des Patienten,
  • gesetzliche Offenbarungspflichten und
  • gesetzliche Offenbarungsbefugnisse in Betracht.

Gesetzliche Offenbarungspflichten bestehen z.B. nach SGB V gegenüber gesetzlichen Krankenkassen und kassenärztlichen Vereinigungen, Sozialversicherungsträgern, dem MDK, Berufsgenossenschaften, dem RKI bei bestimmten Infektionskrankheiten (z.B. aktuell: Verordnung zur Meldung von Coronavirus Infektionen – Covid 19 nach dem Infektionsschutzgesetz), dem Krebsregistergesetz, Verdacht auf Kindesmissbrauch etc.

Eine Offenbarungsbefugnis kann sich z.B. aus einem rechtfertigenden Notstand, § 34 StGB, ergeben, wenn es gilt eine drohende HIV-Ansteckung oder eine absehbare Trunkenheitsfahrt zu verhindern.

Einwilligung als Datenverarbeitungsgrundlage

Nach Art. 9 Abs. 2a) DSGVO ist die Datenverarbeitung zulässig, wenn der betroffene Patient

für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt

hat. Bei der datenschutzrechtlichen Einwilligung genügt eine mutmaßliche Einwilligung oder eine Einwilligung durch schlüssiges Handeln anders als im Strafrecht nicht. Vielmehr ist eine ausdrückliche Einwilligung erforderlich (Erwägungsgrund 51 Satz 6). Eine Einwilligung setzt die Information, worin eingewilligt werden soll, voraus und muss freiwillig erfolgen (sog. informierte Einwilligung, Art. 7 DSGVO). Sie soll aktuell und konkret sein (welche Daten von welchem Arzt für welchen Zweck verwendet werden sollen). Daher ist es dringend zu empfehlen, sich die Einwilligung des Patienten von der Krankenkasse zeigen zu lassen, bevor man Daten des Patienten an die Krankenkasse herausgibt. Wurde z.B. die von der Krankenkasse vorgelegte Einwilligung nicht vom Patienten, sondern einem Angehörigen mit einer notariellen Vorsorgevollmacht unterschrieben und gestattet die Vorsorgevollmacht keine Erteilung von Untervollmachten, ist die Einwilligung mangels gültiger Vollmacht unwirksam.

Datenerhebungsbefugnis der gesetzlichen Krankenkassen

Auch die datenerhebende Krankenkasse bedarf einer Rechtsgrundlage für die Erhebung von Patientendatei direkt beim behandelnden Arzt. Die Verarbeitung von Patientendaten durch eine Krankenkasse unterfällt dem Sozialdatenschutz, § 35 SGB I. Durch das zweite Datenschutzanpassungsgesetz an die DSGVO vom 20.11.2019 wurde klargestellt, dass im SGB die Verarbeitung von Sozialdaten abschließend geregelt ist. Nach § 67a Abs. 2 S. 2 Nr. 2a SGB X dürfen Sozialdaten ohne Mitwirkung der betroffenen Person bei anderen Personen – hier bei dem behandelnden Arzt – nur erhoben werden, wenn eine Rechtsvorschrift die Erhebung bei ihnen zulässt. Die Erhebung auf der Grundlage einer Einwilligung eines Patienten ist hierbei nicht erwähnt und somit unzulässig.

Vielmehr regelt § 284 SGB V die Verarbeitung von Sozialdaten durch die gesetzlichen Krankenkassen. Dort findet sich ausdrücklich nicht die Datenverarbeitung bzw. konkret die Befugnis, Daten bei behandelnden Ärzten im Rahmen von § 116 SGB X zu erheben.

Diese Bewertung teilen auch die Datenschutzaufsichtsbehörden (vgl. Landesdatenschutzaufsicht (LDA) Baden-Württemberg in ihrem jüngst vorgelegten 35. Tätigkeitsbericht für 2019 unter Ziff. 7.2). Schon der Bundesdatenschutzbeauftragte hatte in seinem 21. Tätigkeitsbericht 2005-2006 die unmittelbare Datenerhebung durch die Krankenkassen kritisiert und wurde dabei von der Bundesregierung bestätigt:

Stellungnahme der Bundesregierung zum 20. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz gemäß § 26 Abs. 1 des Bundesdatenschutzgesetzes

Bundestagsdrucksache 15/5252

Zu Nr. 17.1.5 – Krankenhausentlassungsberichte

Der BfD kritisiert, dass weiterhin Krankenkassen Krankenhausentlassungsberichte und andere ärztliche Unterlagen bei den Leistungserbringern anfordern. Die Bundesregierung vertritt hierzu die Auffassung, dass diese ärztlichen Daten nur im Rahmen der Aufgaben der Medizinischen Dienste der Krankenversicherung ohne Kenntnisnahme der Krankenkassen verarbeitet werden dürfen.

Bereits 2010 hatte das Bundessozialgericht eine Entscheidung des Landessozialgerichts Niedersachsen-Bremen vom 11. November 2009 – L 1 KR 152/08 – bestätigt, dass die Krankenkasse keinen Anspruch auf Herausgabe der Patientenakte an sich selbst hat.

Der Krankenkasse steht es nicht zu, sich durch Einwilligungen mehr Befugnisse einräumen zu lassen, als ihr der Gesetzgeber eingeräumt hat (Grundsatz der Gesetzmäßigkeit der Verwaltung, Art. 30 Absatz 3 GG i. V. m. § 30 SGB IV). Sie kann sich folglich auch nicht auf die Auskunftsrechte des Patienten aus dem Behandlungsvertrag oder dem Datenschutzrecht berufen.

Herausgabeanspruch: Datenerhebung durch den MDK

Der Gesetzgeber hat jedoch einen anderen Weg eröffnet, um die Patientenakte auf etwaige Behandlungsfehler hin begutachten zu lassen, nämlich durch den Medizinischen Dienst der Krankenkassen, den MDK. Nach § 275 SGB V Abs. 3 Nr. 4 können Krankenkassen

„in geeigneten Fällen durch den Medizinischen Dienst prüfen lassen, ob Versicherten bei der Inanspruchnahme von Versicherungsleistungen aus Behandlungsfehlern ein Schaden entstanden ist (§ 66).“

Der MDK hat dann der Krankenkasse das Ergebnis in einer gutachterlichen Stellungnahme mitzuteilen. Nach § 276 Abs. 2 S. 1 SGB V darf der MDK Sozialdaten zu Begutachtung erheben und verarbeiten. Ein Leistungserbringer, also ein behandelnder Arzt, ist dabei verpflichtet, die Daten unmittelbar an den MDK zu übermitteln, § 276 Abs. 2 S. 2 SGB V, also ausdrücklich nicht an die Krankenkasse. Vielmehr ist geregelt, dass die Krankenkasse die Daten zur Begutachtung zwar beim Leistungserbringer (hier Arzt) anfordern darf, aber nur zur unmittelbaren Übermittlung an den MDK.

Fazit: kein Herausgabeanspruch der Krankenkasse an sich selbst

Ärzte sollte zur Vermeidung eigener Bußgeld- und Strafbarkeitsrisiken prüfen bzw. prüfen lassen, ob sie in einem konkreten Fall die datenschutzrechtliche und strafrechtliche Pflicht haben, Herausgabeverlangen von Patientenakten durch die Krankenkasse an sich selbst zu verweigern. Auf Verlagen der Krankenkasse oder des MDK müssen sie jedoch dem MDK die Patientenakte zur Prüfung zur Verfügung zu stellen.

Autor: Rechtsanwalt David Seiler, Lehrbeauftragter an der btu für IT-Security Law , Gründungsgesellschafter der dpc Data Protection Consulting GmbH

www.ds-law.eu

Cottbus, den 03.03.2020 – veröffentlicht im Brandenburgischen Ärzteblatt 4-2020, S. 14 – 15 (aktualisiert am 28.03.2020)