Laborauftrag durch behandelnden Arzt, Datenschutzrecht und Kostenschuldner

Laborauftrag, Datenschutzrecht, Labormedizin, Einsender, Laboruntersuchung, Auftrag, Schadensersatzanspruch, Vollmacht, Rechtsanwalt David Seiler, Cottbus, Brandenburg, Leipzig, Dresden

Medizinischen Laboruntersuchungen und rechtliche Herausforderungen beim Laborauftrag

Es gehört zum Praxisalltag, dass behandelnde Ärzte Laborleistungen in Auftrag geben (Laborauftrag). Dabei sind Bestimmungen des Bundesdatenschutzgesetzes und des Bürgerlichen Gesetzbuches, aber auch der Berufsordnung (MBO-Ä) und der Gebührenordnung für Ärzte (GOÄ) aber auch des Strafrechts (StGB, ärztliche Schweigepflicht, § 203 StGB) zu beachten, um nicht erhebliche finanzielle Schäden zu erleiden. Bei der Auslegung und Anwendung dieser Bestimmungen helfen die Interpretationen durch die Rechtsprechung des Bundesgerichtshofes und durch die Datenschutzaufsichtsbehörden der einzelnen Bundesländer. Da es sich um die Interpretation von Bundesrecht handelt, kann das Verständnis einer Landesdatenschutzaufsichtsbehörde auch als Orientierungshilfe in anderen Bundesländern dienen.

Patient beschwert sich bei der Datenschutzaufsicht oder bezahlt die Laborrechnung nicht

In den konkreten Fällen ging es zum einen um einen Patienten, der von einem unterbeauftragten Speziallabor eine Rechnung bekam, ohne von seinem behandelnden Arzt über die Einschaltung dieses Labors unterrichtet worden zu sein und der sich daraufhin an die Datenschutzaufsichtsbehörde wandte.

In zwei weiteren Fällen ging es um Laborrechnungen über mehr als 5.000 Euro für eine Diabetestypisierung und über mehr als 21.000 Euro für eine Genotypisierung zur Marfandiagnostik. Die Patienten mussten diese Rechnungen nicht bezahlen. Das Labor kann statt dessen einen Schadensersatzanspruch gegen den einsendenden Arzt geltend machen, da die behandelnden Ärzte nach Ansicht der höchsten deutschen Zivilrichter medizinisch objektiv nicht notwendige Analysen beauftragt hatten

Der Landesdatenschutzbeauftragte für Baden-Württemberg hat in seinem 32. Tätigkeitsbericht für 2014/2015, veröffentlicht am 29.01.2016, sehr hilfreiche Ausführungen zum Datenschutz für die medizinischen Labore getroffen (S. 129 im TB 32 und zuvor im TB 30 S. 100). Damit gibt es eine zutreffende aufsichtsrechtliche Position, die die überholte Ansicht der Datenschutzaufsicht aus Schleswig-Holstein korrigiert, die eine schriftliche Einwilligung oder die pseudonyme Auftragserteilung gefordert hatte.

Die DSK (Datenschutzkonferenz – Gremium der Datenschutzaufsichtsbehörden) hat in ihrem Kurzpapier 13 in Anhang B festgehalten, dass die Inanspruchnahme fremder Fachleistungen, z.B. von Berufsgheimnisträgern, § 203 StGB, wie Anwälte, Steuerberater oder Ärzte keine Auftragsverarbeitung nach Art. 28 DSGVO darstellt.

Die Landesdatenschutzaufsicht Bayern hat in einem FAQ-Papier zur DSGVO bestätigt, dass die Einschaltung eines Labors durch einen Arzt keine Auftragsverarbeitung ist. Rechtsgrundlage ist der Behandlungsvertrag, Art. 9 Abs. 2 h) DSGVO, § 22 Abs. 1 b) BDSG. Wenn das Labor von einem Berufsgeheimnisträger (z.B. Laborarzt, Transfusionsmediziner) geführt ist, benötigt der Einsender auch keine gesonderte datenschutzrechtliche Einwilligung für die Datenübermittlung an das Labor (wobei anzumerken ist, dass nach anderer, zutreffender Auffassung keine Datenübermittlung durch den Arzt vorliegt, sondern diese als Bote des Patienten tätig wird.) Siehe auch die FAQ zur Abgrenzung bei Auftragsverarbeitung.

Die Landesdatenschutzaufsicht Niedersachsen besteht ebenfalls in einem FAQ-Papier DS-GVO im Gesundheitsbereich zur Ziff. 11, dass medizinische Labore eine (im datenschutzrechtlichen Sinne) weisungsfreie Tätigkeit durchführen und daher kein Vertrag zur Auftragsverarbeitung erforderlich ist.

(Update 01.12.2018) Die der Auftragsverarbeitung immanente Weisungsgebundenheit ist der ärztlichen Tätigkeit wesensfremd, wie sich auch den nachstehenden rechtlichen Bestimmungen entnehmen lässt:

§ 95 Abs. 1 S. 2 SGB V
“Der ärztliche Leiter muss in dem medizinischen Versorgungszentrum selbst als angestellter Arzt oder als Vertragsarzt tätig sein; er ist in medizinischen Fragen weisungsfrei.“

§ 32 Ärztliche Zulassungsverordnung
(1) Der Vertragsarzt hat die vertragsärztliche Tätigkeit persönlich in freier Praxis auszuüben.

§ 1 MBOÄ Musterberufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte i.d.F. 2018
Der ärztliche Beruf … ist seiner Natur nach ein freier Beruf.

§ 2 MBOÄ Allgemeine ärztliche Berufspflichten
(1) Ärztinnen und Ärzte üben ihren Beruf nach ihrem Gewissen, den Geboten der ärztlichen Ethik und der Menschlichkeit aus. Sie  dürfen keine Grundsätze anerkennen und keine Vorschriften oder Anweisungen beachten, die mit ihren Aufgaben nicht vereinbar sind oder deren Befolgung sie nicht verantworten können.
….
(4) Ärztinnen und Ärzte dürfen hinsichtlich ihrer ärztlichen Entscheidungen keine Weisungen von Nichtärzten entgegennehmen.

Zusammenfassung

Laborauftrag und Datenschutzrecht bei Laboruntersuchung

Der behandelnde Arzt kann den Laborarzt mit stillschweigender Vollmacht (sogenannte Innenvollmacht) des Patienten mit Laboruntersuchungen beauftragen. Der Vertrag über die Laboruntersuchung kommt also unmittelbar zwischen Patient und Laborarzt zustande, d.h. nicht der behandelnde Arzt schließt den Vertrag mit dem Labor sondern der Patient vertreten durch den behandelnden Arzt. Der behandelnde Arzt übermittelt die Patientendaten daher nicht selbst als verantwortliche Stelle, sondern als Vertreter des Patienten. Da es nicht zu einer Datenübermittlung durch den behandelnden Arzt im rechtlichen Sinne kommt, bedarf der behandelnde Arzt auch keiner datenschutzrechtlichen Einwilligung des Patienten. Es bedarf daher auch keines Vertrags zur Auftragsdatenverarbeitung nach § 11 BDSG bzw. zur Auftragsverarbeitung nach Art. 28 DSGVO. Bei der Erteilung von Laboraufträgen handelt es sich nicht um eine Auftrags(daten)verarbeitung weil es sich bei der laborärztlichen Tätigkeit um eine Tätigkeit „höherer Art“ eines Berufsgeheimnisträger handelt, die der strengen Weisungsgebundenheit der Auftragsdatenverarbeitung fremd ist.

Laborauftrag und Vertragsrecht

Grundlage dieser Auffassung sind zwei Entscheidungen des Bundesgerichtshofes vom 14.01.2010, wonach die stellvertretende Beauftragung des Laborarztes durch den behandelnden Arzt der Regelfall ist. Voraussetzung hierfür ist jedoch, dass

  1. der Patient von seinem Arzt zumindest im Grundprinzip über Sinn und Zweck der Probenentnahme aufgeklärt wurde und
  2. dass es sich bei der beauftragten Laboruntersuchung um eine für die weitere Behandlung medizinisch objektiv notwendige Laboruntersuchung handelt.

Hinzu kommt die Informationspflicht nach § 4 Abs. 5 GOÄ, wenn die Abrechnung durch das Labor gegenüber dem Patienten erfolgen soll. Handelt es sich nicht um objektiv medizinisch notwendige Laboruntersuchungen, etwa weil die Untersuchungen bereits vom vorbehandelnden Arzt vorgenommen wurden, sich aus dem Ergebnis keine Behandlung ableiten lässt oder sie für die weitere Behandlung nicht notwendig sind, so handelt der das Labor beauftragende Arzt ohne Vollmacht. Die Folge ist, dass zwischen dem Patienten und dem Labor kein Vertrag zustande gekommen ist und das Labor keinen Kostenerstattungsanspruch gegen den Patienten hat. Unerheblich ist dabei, ob das Labor bzw. der Laborarzt die Notwendigkeit erkennen konnte, denn das ist Sache des behandelnden Arztes. Der Laborarzt hat in dem Fall dann einen Anspruch auf Schadensersatz gegen den behandelnden und ihn als Vertreter ohne „Vertretungsmacht“ beauftragenden Arzt. Ob er diesen Anspruch durchsetzen mag, ist dann eine Frage der Geschäftspolitik.

Praktische Empfehlung

Empfehlung zum Datenschutz bei Laboraufträgen – Erfüllung der Informationspflichten nach DSGVO

Der behandelnde Arzt (Einsender) kann sich und auch die von ihm – im Namen des Patienten – beauftragten Labore in datenschutzrechtlicher Hinsicht absichern, in dem er den Empfehlungen der Datenschutzaufsicht folgend die Patienten über Folgendes informiert:

  1. Sofern Probenentnahmen (z.B. Blut) für diagnostische Zwecke vorgenommen werden, führt die Praxis die Untersuchung der Proben nicht selbst durch, sondern beauftragt damit im Namen des Patienten einen Laborarzt bzw. ein medizinisches Labor.
  2. Dieses Labor ist berechtigt, Spezialuntersuchungen, die es selbst nicht durchführt, an ein spezialisiertes Labor weiterzuleiten.

Welches konkrete Labor beauftragt wird, musste nach altem Recht erst auf Nachfragen mitgeteilt werden. Dies hat sich nach Art. 13 DSGVO geändert. Danach ist der konkrete Empfänger (sofern bekannt und absehbar, was bei Laboren typischerweise der Fall ist) zu bekennen, sonst die Kategorie von Empfängern (z.B. bei Speziallaboren). Wenn der Einsender von einem Labor im Rahmen der Dritterhebung Datenschutzinformationen zur Laboruntersuchung nach Art. 14 DSGVO erhält, kann der Einsender damit neben seinen eigenen Datenschutzinformationen nach Art. 13 DSGVO zugleich seine Informationspflichten erfüllen. Damit entfällt dann zugleich nach Art. 14 Abs. 5a) DSGVO die Pflicht des Labors zur nochmaligen Datenschutzinformation der Patienten, zu denen das Labor im Regelfall (außer bei Selbstveranlassern) keinen unmittelbaren Kontakt (und auch nicht die Postanschrift) hat. Zusätzlich kann man daran denken, dass auch nach Art. 11 Abs. 1 DSGVO keine Informationspflicht seitens der Labor gegenüber den Patienten besteht, deren Postanschrift ihnen fehlt. (Musterpatienteninfo, die an den jeweiligen Fall, die jeweilige med. Fachgruppe anzupassen sind: KBV-Muster: Patienteninformation Datenschutz; Landesdatenschutzaufsicht Niedersachen: Muster-Patienteninformationen, Landesärztekammer Hessen: Muster-Infoflyer

Um die allgemeine Information nicht ständig wiederholen zu müssen, bietet sich die Übergabe eines Datenschutzinfoblattes bei der Patientenaufnahme an (siehe FAQ unter Ziff 4), dessen Empfang z.B. im Zusammenhang mit der Einhaltung der Einwilligung nach § 73 SGB V abgefragt wird (auch wenn diese nicht speziell bei Laboraufträgen als nötig angesehen wird). Welche konkreten Laboruntersuchungen gemacht werden sollen, sollte dann im Patientengespräch erläutert werden.

Empfehlung zum Laborvertrag

Es ist zur Absicherung des behandelnden Arztes empfehlenswert, dass er dem Patienten mitteilt, welche Analysen durchgeführt werden sollen, warum dies für die weitere Behandlung wichtig ist und mit welchen Kosten er in etwa rechnen kann. Sofern die Kosten den üblichen Rahmen oder eine bestimmte Betragsgrenze, z.B. 1.000,- Euro, überschreiten, kann der behandelnde Arzte einen Kostenvoranschlag anfordern bzw. das Labor von sich aus zur Absicherung auf die zu erwartenden Kosten hinweisen und eine Bestätigung einholen.

Rechtliche Hintergründe

Grundsätzlich kann man sich aus rechtlicher Sicht zwei verschiedene Modelle der Vertragsgestaltung im Verhältnis Patient – Arzt – Labor vorstellen:

  1. Modell: Auftragskette:
    Patient – Behandlungsvertrag – Arzt – Laborauftrag – Labor
  2. Modell: parallele Verträge:
    Patient – Behandlungsvertrag – Arzt
    Patient – Laborauftrag – Labor
    (wobei der Patient vom Arzt bei Erteilung des Laborauftrages vertreten wird)

Der BGH hat sich in den beiden Urteilen vom 14.01.2010 zu den Aktenzeichen III ZR 188/09 und III ZR 173/09 für die Auffassung entscheiden, dass der Patient seinen Arzt bevollmächtigt, stellvertretend für ihn ein Labor mit der Durchführung der Untersuchungen zu beauftragen, es also zu zwei parallelen Verträgen kommt und nicht zu einer Auftragskette. Dieses zivilrechtliche Ergebnis hat bei der datenschutzrechtlichen Bewertung die Konsequenz, dass rechtlich gesehen der Patient die Daten für die Laboruntersuchung an das Labor gibt (wenn auch faktisch vertreten durch den Arzt). Dann benötigt der einsendende Arzt aber auch keine datenschutzrechtliche Einwilligung des Patienten, um die Patientendaten an das Labor geben zu dürfen. Damit erübrigt sich auch die von der Datenschutzaufsicht in Schleswig-Holstein geforderte schriftlich (= handschriftliche Unterschrift auf Papier) Einwilligungserklärung des Patienten nach genauer vorangehender Aufklärung durch seinen Arzt über die genauen Umstände der Datenverarbeitung. Die aus Schleswig-Holstein vorgeschlagene pseudonyme Erteilung von Laboraufträgen, z.B. durch eine Patientennummer, die nur der Einsender einem Patienten zuordnen kann, ist schon aufgrund der sozialrechtlichen Vorschriften zur Abrechnung von ärztlichen Leistungen unzulässig, die u.a. die Aufzeichnung von Familienname und Vorname der Versicherten fordern, § 295 Abs. 1 Nr. 3 SGB V i.V.m. § 291 Abs. 2 Nr. 2 SGB V. Zudem ist das Labor nach §§ 8, 9 Infektionsschutzgesetz zur namentlichen Meldung bei bestimmten Infektionskrankheiten verpflichtet.

Der Patient kann stillschweigend durch schlüssiges Verhalten – er lässt sich z.B. Blut für die zuvor besprochene Untersuchung abnehmen – seinem behandelnden Arzt (Einsender) eine Vollmacht erteilen, in seinem Namen einen Laborarzt mit der Laboruntersuchung zu beauftragen.

§ 167 BGB Erteilung der Vollmacht

(1) Die Erteilung der Vollmacht erfolgt durch Erklärung gegenüber dem zu Bevollmächtigenden (= der Arzt)…..

Diese Vollmacht reicht jedoch nur soweit, wie die Untersuchungen objektiv medizinisch notwendig sind für die weitere Behandlung. Zu diesem Auslegungsergebnis kommt der BGH aufgrund der Gebührenvorschrift des § 1 GOÄ:

§ 1 Gebührenordnung für Ärzte (GOÄ)

Abs. (2) Vergütungen darf der Arzt nur für Leistungen berechnen, die nach den Regeln der ärztlichen Kunst für eine medizinisch notwendige ärztliche Versorgung erforderlich sind. Leistungen, die über das Maß einer medizinisch notwendigen ärztlichen Versorgung hinausgehen, darf er nur berechnen, wenn sie auf Verlangen des Zahlungspflichtigen erbracht worden sind.

Gestützt wird dieses Ergebnis von der Überlegung, dass ein Arzt nur das abrechnen darf, was er als Eigenleistungen in seinem Fachgebiet selbst an Leistungen erbringt (siehe z.B. § 42 Abs. 1 Brandenburgisches Heilberufegesetz und § 4 Abs. 2 GOÄ).

Daraus ergibt sich dann bei nicht objektiv medizinisch notwendigen Untersuchungen, dass der Einsender ohne Vollmacht handelt. Dann kommt auch kein Vertrag über die Laboruntersuchungen zwischen Labor und Patient zustande. Das Labor hat folglich keinen Anspruch auf Zahlung der Laborrechnung gegen die Patienten. Zudem bedeutet dies, dass die Datenübermittlung vom Einsender an das Labor und evtl. vom Labor an ein Speziallabor rechtswidrig erfolgt ist. Dieses Ergebnis gilt nach Ansicht des BGH auch dann, wenn das Labor seine Arbeit ordnungsgemäß und fehlerfrei erbracht hat. Das Labor darf grundsätzlich auf die Patientenuntersuchung und darauf basierende Laborbeauftragung des Einsenders vertrauen. Das Labor muss und kann hierauf keinen Einfluss nehmen. Auch wenn der BGH daher die Zahlungsklagen der Labore gegen die Patienten abgewiesen hat, sieht er die Labore dennoch nicht als schutzlos an, da sie nach seiner Ansicht gegen den Einsender einen Schadensersatzanspruch nach § 311 Abs. 3, § 241 Abs. 2 BGB haben kann. Der Einsender nimmt das besondere Vertrauen des Laborarztes in Anspruch. Dies rechtfertigt ihn für schuldhaft pflichtwidrige Beauftragung einer medizinisch nicht notwendigen Untersuchung haften zu lassen (BGH, Az. III ZR 188/09 – Randnummer 26). M.E. ist aber auch ein Schadensersatzanspruch gegen den Einsender als Vertreter ohne Vertretungsmacht bzw. vollmachtslosen Vertreter nach § 179 Abs. 1 BGB denkbar. Diese rechtstheoretische Sicht berücksichtigt aber nicht die wirtschaftliche und geschäftspolitische Situation der Labore. Diese dürften wirtschaftlich, zumindest aber geschäftspolitisch die Einsender als ihre Kunden ansehen und wären in Folge der BGH-Ansicht gehalten gegen ihre eigenen Kunden vorzugehen und damit ihre Geschäftsbeziehungen zu gefährden. Daher haben Labor und Einsender ein gemeinsames Interesse daran, die durch die fehlende Vollmacht entstehenden Probleme erst gar nicht entstehen zu lassen.

Der Einsender und behandelnde Arzt hat es also in der Hand, sich selbst und das von ihm beauftragte Labor in datenschutzrechtlicher wie auch in zivilrechtlicher Hinsicht durch eine Information des Patienten über den Umfang und die Kosten der Laboruntersuchung abzusichern und damit auch dem Eindruck vorzubeugen, dass Privatpatienten überzogene Rechnungen gestellt werden (man darf vermuten, dass die BGH-Richter mit ihrem beamtenähnlichen Status privat versichert sind und sich somit gut in die Situation der verklagten Patienten hinein versetzen konnten). Am Rande sei angemerkt, dass der BGH betont, dass er bzgl. der Vollmacht und der sonstigen zivilrechtlichen Konstruktion keinen Unterschied zwischen Privatpatienten und gesetzlich versicherten Personen sieht. Dies ist für die datenschutzrechtliche Einordnung wichtig und sichert Einsender und Labor somit (bei medizinisch notwendigen Untersuchungen) nicht nur bei Privatpatienten ab.

Update: Nach der Neuregelung des § 203 StGB vom 09.11.2017 bedarf es auch keiner Belehrung über die Strafbarkeit nach § 203 StGB, weil die Laborärzte und deren Mitarbeiter als berufsmäßig tätige Gehilfen sowie weiter mitwirkende Personen selbst der Strafbarkeit nach § 203 StGB unterliegen, vgl. Art. 9 Abs. 3 DSGVO.

Ob der Laborauftrag per physischem Auftragsschein erteilt wird oder (zusätzlich) elektronisch über ein Order/Entry-System per LDT (LDT 3.0, Labor Daten Transfer nach dem Datensatzstandard 2016 der Kassenärztlichen Bundesvereinigung) übermittelt wird, spielt für die datenschutzrechtliche Beurteilung aus Sicht des Einsenders keine Rolle. Welche Daten die Untersuchungsanforderung des Einsenders enthalten muss, ergibt sich grundsätzlich aus 6.1.3 der “Richtlinie der Bundesärztekammer zur Qualitätssicherung laboratoriumsmedizinischer Untersuchungen” (Fassung vom 20.06.2014, Dt. Ärztbl. Heft 38 19.09.2014, A1583ff) und wird in der Datensatzbeschreibung LDT 3.0 präzisiert.

Laborauftrag und pseudonyme Einsendung

(Update 20.08.2018)

Es gab die Idee einer Datenschutzaufsichtsbehörde aus 2003, dass bei Laboraufträgen das Probenmaterial (Blut, Stuhl, Urin, Gewebe) nur mit einer Auftragsnummer pseudonym an das medizinische Labor geschickt werden sollte, um dem Grundsatz der Datensparsamkeit und Datenvermeidung, § 3a BDSG a.F., genüge zu tun – jetzt Datenminimierung, vgl. Art. 5 Abs. 1c DSGVO, Art. 25 DSGVO. Hiergegen sprechen jedoch mehrere Gründe.

Medizinische Gründe: Zum Einen werden nähere Angaben zur Medikation, zum Alter, zum Geschlecht etc. benötigt, um die richtigen Referenzwerte anzusetzen und beurteilen zu können, ob ein bestimmtes Analysenergebnis im Normbereich liegt oder ein pathologischer Wert vorliegt.

Abrechnungsgründe: Zum Anderen sind die abrechnenden Ärzte des Labors nach § 295 Abs. 1 S. 1 Nr. 2. und Nr. 3 SGB V i.V.m. § 291 Abs. 2 Nr. 1 – bis 10 SGB V verpflichtet, in den Abrechnungsunterlagen die erbrachten Leistungen, die Diagnosen, sowie insbesondere

  1. Familienname und Vorname des Versicherten,
  2. Geburtsdatum,
  3. Geschlecht,
  4. Anschrift,
  5. Krankenversichertennummer,

aufzuzeichnen und zu übermitteln. Damit liegt eine gesetzliche Pflicht zur Datenverarbeitung vor, die im Zusammenhang mit einem Vertrag mit einem Angehörigen eines Heilberufes steht und letztlich der Gesundheitsversorgung und Diagnostik dient, Art. 9 Abs. 2h) DSGVO, § 22 Abs. 1 b) BDSG.

Nach § 6 und § 7 Infektionsschutzgesetz (IfSG) besteht auch für das Labor, § 8 Abs. 1 Nr. 2 IfSG, eine Pflicht, bei bestimmten, vom Robert Koch Institut (RKI) festgelegten, hochansteckenden Infektionserkrankungen den zuständigen Gesundheitsämtern namentliche Meldungen zu senden. Auch hierin liegt eine gesetzliche Pflicht zur personenbezogenen Datenerhebung und Datenübermittlung, die gegen eine pseudonyme Probeneinsendung an die humanmedizinischen Labore spricht.

Rechtsanwalt David Seiler berät unter anderem zu Fragen des Datenschutzrecht im Gesundheitsbereich.

(aktualisiert am 31.07.2017, update am 20.08.2018, 01.12.2018)