Wie können Arztpraxen und andere medizinische Einrichtungen die Daten ihrer Patienten an Dienstleister zwecks Abrechnung weitergeben und dabei die Vorgaben der DSGVO wahren? Wir erklären, welche Rechtsgrundlage infrage kommt und worauf sie außerdem achten sollten.
Abrechnung durch externe Dienstleister
Die Auslagerung der Abrechnung ärztlicher Leistungen an externe Abrechnungsstellen ist in Arztpraxen und medizinischen Einrichtungen weit verbreitet. Spezialisierte Dienstleister übernehmen Rechnungsstellung, Zahlungsüberwachung und Mahnwesen – und entlasten damit organisatorisch den Praxisbetrieb.
Datenschutzrechtlich ist diese Praxis jedoch besonders sensibel, da regelmäßig Gesundheitsdaten an Dritte übermittelt werden.
Vor diesem Hintergrund stellt sich die Frage, ob die Weitergabe von Patientendaten an externe Abrechnungsstellen ohne ausdrückliche Einwilligung der Patienten datenschutzrechtlich zulässig ist oder ob hierfür zwingend auf eine Einwilligung nach der DSGVO zurückgegriffen werden muss.
Einwilligung als Ausgangspunkt der datenschutzrechtlichen Bewertung
Die Verarbeitung personenbezogener Daten unterliegt nach der Datenschutz-Grundverordnung grundsätzlich dem Prinzip des Verbots mit Erlaubnisvorbehalt. Jede Verarbeitung bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. Für Gesundheitsdaten kommt hinzu, dass zusätzlich eine der Ausnahmen des Art. 9 Abs. 2 DSGVO eingreifen muss.
Die Einwilligung nimmt in diesem System eine besondere Stellung ein. Sie ist sowohl in Art. 6 Abs. 1 lit. a DSGVO als auch für besondere Kategorien personenbezogener Daten, wie hier Gesundheitsdaten, ausdrücklich in Art. 9 Abs. 2 lit. a DSGVO vorgesehen.
In der Praxis wird die Einwilligung als Standardinstrument eingesetzt, um Datenübermittlungen an externe Abrechnungsstellen datenschutzrechtlich abzusichern. Dieses Vorgehen entspricht auch der überwiegenden Auffassung der deutschen Datenschutzaufsichtsbehörden, die bei der Auslagerung von Abrechnungstätigkeiten regelmäßig eine ausdrückliche Einwilligung der Patienten verlangen.
Allerdings ist die Einwilligung kein einfaches Instrument. Sie muss gewisse Anforderungen erfüllen, um überhaupt wirksam zu sein. Sie muss freiwillig, informiert und unmissverständlich erteilt werden und ist jederzeit widerruflich. Im medizinischen Kontext wird dabei regelmäßig diskutiert, ob die erforderliche Freiwilligkeit tatsächlich gegeben ist oder ob das bestehende Behandlungsverhältnis faktisch Druck erzeugt. Hinzu kommt, dass ein Widerruf der Einwilligung auch laufende oder künftige Abrechnungsprozesse in Frage stellen könnte.
Diese praktischen Unsicherheiten führen dazu, dass verstärkt nach alternativen Rechtsgrundlagen gesucht wird, um externe Abrechnungsmodelle auch ohne Einwilligung zu legitimieren.
Alternative Rechtsgrundlagen zur Weitergabe von Patientendaten
Vor diesem Hintergrund wird vereinzelt erwogen, die Einschaltung externer Abrechnungsstellen nicht ausschließlich auf eine Einwilligung, sondern auf andere Rechtsgrundlagen der DSGVO zu stützen.
Im Folgenden erläutern wir die hierzu typischer Weise herangezogenen Rechtsgrundlagen und bewerten diese für die Praxis:
Verarbeitung zur Vertragserfüllung
Ausgangslage
Häufig wird zunächst auf Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 9 Abs. 2 lit. h DSGVO abgestellt. Danach ist eine Verarbeitung personenbezogener Daten zulässig, wenn sie für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist.
Unstreitig umfasst der Behandlungsvertrag nach § 630a BGB nicht nur die medizinische Behandlung, sondern auch die Pflicht des Patienten zur Vergütung der erbrachten Leistungen. Die Abrechnung ist damit funktional Teil des Vertragsverhältnisses. Entscheidend ist jedoch, ob auch die Weitergabe personenbezogener Daten an eine externe Abrechnungsstelle als für die Vertragserfüllung erforderlich im Sinne der DSGVO anzusehen ist.
Der unionsrechtliche Erforderlichkeitsmaßstab ist restriktiv. Erfasst sind nur solche Verarbeitungsvorgänge, ohne die der Vertrag nicht oder nicht ordnungsgemäß erfüllt werden kann. Maßgeblich ist dabei eine objektive Betrachtung, nicht die Frage, ob die Verarbeitung aus Sicht des Verantwortlichen zweckmäßig oder wirtschaftlich sinnvoll ist.
Einschätzung unserer Experten
Vor diesem Hintergrund spricht Wesentliches gegen die Anwendung von Art. 6 Abs. 1 lit. b DSGVO. Der Arzt kann die Abrechnung jederzeit selbst durchführen. Die Einschaltung einer externen Abrechnungsstelle ist weder rechtlich noch tatsächlich zwingend notwendig, sondern stellt eine organisatorische Entscheidung dar, die primär der Entlastung, Effizienzsteigerung oder Liquiditätssicherung dient. Die Weitergabe von Patientendaten an Dritte ist damit nicht erforderlich, sondern lediglich optional. Art. 6 Abs. 1 lit. b DSGVO trägt diese Konstellation daher nicht.
Diese Bewertung entspricht auch der überwiegenden Auffassung der deutschen Datenschutzaufsichtsbehörden, die bei der externen Abrechnung über private Abrechnungsstellen regelmäßig eine Einwilligung der Patienten verlangen. Zur Begründung wird insbesondere darauf abgestellt, dass die Einschaltung externer Abrechnungsdienstleister über das hinausgeht, was zur Erfüllung des Behandlungsvertrags notwendig ist und damit nicht mehr von der vertraglichen Erforderlichkeit gedeckt ist.
Berechtigtes Interesse und Rechtsdurchsetzung
Ausgangslage
Teilweise wird ferner erwogen, die Einschaltung externer Abrechnungsstellen auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu stützen. Als berechtigtes Interesse wird insbesondere das wirtschaftliche Interesse des Arztes an der Durchsetzung seiner Vergütungsansprüche angeführt.
Einschätzung unserer Experten
Diese Argumentation kann jedoch nur in nachgelagerten Konstellationen überzeugen, etwa bei Zahlungsverzug, streitigen Forderungen oder im Rahmen der Rechtsdurchsetzung. In solchen Fällen kann die Verarbeitung personenbezogener Daten – einschließlich Gesundheitsdaten – auf Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 9 Abs. 2 lit. f DSGVO gestützt werden, da es um die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen geht.
Für die regelmäßige, routinemäßige Abrechnung medizinischer Leistungen greift diese Rechtsgrundlage hingegen nicht. Solange keine Störung des Vertragsverhältnisses vorliegt, überwiegt das Schutzinteresse der Patienten an der Vertraulichkeit ihrer Gesundheitsdaten regelmäßig die bloßen Organisations- und Effizienzinteressen des Arztes. Eine Interessenabwägung fällt insoweit zulasten des Verantwortlichen aus.
Datenschutzrechtliche Gesamteinschätzung
Die vorstehende Analyse zeigt, dass die in der Praxis diskutierten alternativen Rechtsgrundlagen für die Einschaltung externer Abrechnungsstellen datenschutzrechtlich nur eingeschränkt tragfähig sind. Zwar ist die Abrechnung medizinischer Leistungen untrennbar mit dem Behandlungsvertrag verbunden. Daraus folgt jedoch nicht, dass auch die Weitergabe personenbezogener – insbesondere gesundheitsbezogener – Daten an externe Dritte ohne Weiteres zulässig ist.
Für die Praxis bedeutet dies, dass die häufig anzutreffende pauschale Annahme, externe Abrechnungsstellen ließen sich ohne Weiteres auf vertragliche oder administrative Rechtsgrundlagen stützen, rechtlich riskant ist. Leistungserbringer, die Patientendaten ohne tragfähige Rechtsgrundlage an externe Abrechnungsdienstleister übermitteln, setzen sich dem Risiko aufsichtsbehördlicher Maßnahmen, Beanstandungen im Rahmen von Prüfungen sowie möglichen Haftungs- und Schadensersatzansprüchen aus. Dies gilt insbesondere vor dem Hintergrund, dass Gesundheitsdaten zu den besonders schutzwürdigen Datenkategorien zählen und von den Aufsichtsbehörden erfahrungsgemäß streng geprüft werden.
Gleichzeitig ist zu berücksichtigen, dass alternative Rechtsgrundlagen nicht vollständig ausgeschlossen, sondern lediglich kontextabhängig sind. In nachgelagerten Konstellationen, etwa bei Zahlungsverzug oder streitiger Forderungsdurchsetzung, kann die Einschaltung externer Stellen datenschutzrechtlich anders zu bewerten sein. In diesen Fällen tritt der Charakter der Datenverarbeitung als Teil der medizinischen Versorgung zurück und es rückt die Geltendmachung rechtlicher Ansprüche in den Vordergrund. Für die vorgelagerte, routinemäßige Abrechnung medizinischer Leistungen lässt sich daraus jedoch keine generelle Rechtfertigung ableiten.
Fazit
Aus einer risikoorientierten datenschutzrechtlichen Perspektive spricht vieles dafür, die Einwilligung der Patienten weiterhin als zentrale Rechtsgrundlage für die externe Abrechnung heranzuziehen. Zwar ist die Einwilligung kein ideales Instrument für standardisierte Verwaltungsprozesse. Sie gewährleistet jedoch Transparenz, Rechtssicherheit und die notwendige Kontrolle der betroffenen Personen über den Umgang mit ihren besonders sensiblen Daten.
Alternativmodelle zur Einwilligung erfordern jedenfalls eine sehr sorgfältige Einzelfallprüfung und eine belastbare rechtliche Argumentation, um den hohen Anforderungen der DSGVO gerecht zu werden.
Wer externe Abrechnungsmodelle rechtssicher umsetzen möchte, sollte zudem darauf achten, dass die Einwilligung sowohl datenschutzrechtlich wirksam als auch mit den Anforderungen der ärztlichen Schweigepflicht abgestimmt ist. Dafür lohnt es sich, auf die Beratung durch einen datenschutzrechtlichen Spezialisten zurückzugreifen.