Weitergabe von Patientendaten an Dritte

Auch im Gesundheitswesen müssen manchmal Patientendaten an Dritte weitergegeben werden. Das kann Abrechnungszwecken dienen oder aus gesundheitlicher Sicht erforderlich sein. Hierbei gilt es, gewisse datenschutzrechtliche Voraussetzungen zu beachten.

Das Problem der Datenweitergabe in der Medizin

Das sensible Thema des Datenschutzes im medizinischen Bereich sorgt schon seit geraumer Zeit für Diskussionen und Unsicherheit. Zur Datensicherheit in der Arztpraxis müssen verschiedene Vorgaben eingehalten werden. Umso komplexer wird das Thema, wenn die Daten auch noch an Dritte weitergegeben werden sollen. Dabei stellt sich die Frage, inwieweit ein Berufsgeheimnisträger gesundheitsspezifische Daten weiterreichen darf. Darunter fällt neben der schlichten Weitergabe von Patientenakten an andere Arztpraxen auch beispielsweise das Übergeben von Blutproben vom Hausarzt an ein Labor. Daneben ergibt sich allerdings auch das Problem der Übermittlung von Patienteninformationen für Verwaltungszwecke wie etwa zur Abrechnung durch die gesetzlichen Krankenkassen oder die Privatärztlichen Verrechnungsstellen (PVS).

Datenschutzrechtliche Relevanz der Patientendaten

Patientendaten umfassen ein breites Spektrum an Informationen. Darunter fallen alle gesundheitsspezifischen Daten wie die Krankheitshistorie, Blutwerte oder verschriebene Medikamente. Bei all diesen Informationen handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und damit um eine besondere Art der personenbezogenen Daten, die auch besonderen Schutz erfahren. Hinzu kommt, dass die Daten auch unter den Schutz der ärztlichen Verschwiegenheitspflicht fallen. Auch bei pseudonymisierten Daten handelt es sich übrigens noch um personenbezogene Daten, weshalb die oft lukrative Weitergabe von Daten an Pharmaunternehmen in aller Regel rechtswidrig ist.

Erfordernis einer Rechtsgrundlage für die Datenweitergabe

Gerade aufgrund der datenschutzrechtlichen Vorgaben in Verbindung mit der ärztlichen Verschwiegenheitspflicht, ist die Weitergabe von Patientendaten an Dritte nur in Ausnahmefällen gestattet. Deswegen ist für die Weitergabe dieser Daten eine Rechtsgrundlage erforderlich. Zulässig ist eine Datenübermittlung nur beim Vorliegen einer expliziten Einwilligung oder einer sonstigen gesetzlichen Erlaubnis.

Gesetzliche Rechtsgrundlage

Existiert eine gesetzliche Rechtsgrundlage, ist keine Einwilligung der Patienten erforderlich. Das gilt in engem Rahmen zum Beispiel in folgenden Fällen:

Krankenkassen der Versicherten zu Abrechnungszwecken
Medizinischer Dienst der Krankenversicherung (MDK) zur Prüfung der Arbeitsfähigkeit
Sozialleistungsträger
Berufsgenossenschaften bei Berufskrankheiten
Gesundheitsamt
Datenschutzbehörden
Polizei oder Staatsanwaltschaft bei Personengefährdung oder zur Verhinderung von Straftaten

Ausdrückliche Patienteneinwilligung

Fehlt eine gesetzliche Grundlage, ist eine Einwilligung der Patienten erforderlich (Art. 6 Abs. 1 lit. a i. V. m. Art. 7. DSGVO). Im Rahmen dieser müssen die Betroffenen über den Zweck der Datenweitergabe und die jeweiligen Empfänger umfassend informiert werden. Jede Einwilligung muss die Patientenabsichten eindeutig und unmissverständlich ausdrücken. Das Einverständnis sollte zu Beweiszwecken idealerweise in Schriftform erfolgen.

Sonderfall der Privatärztlichen Verrechnungsstellen (PVS)

PVS sind Dienstleister, die sensible Gesundheitsdaten von Praxen, Laboren und Krankenhausverwaltungen erhalten, um bei der Abrechnung medizinischer Leistungen zu unterstützen. Teilweise wird angenommen, dass hierfür als rechtliche Grundlage der Behandlungsvertrag reicht (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG).

Jedenfalls müssen hierfür folgende Voraussetzungen vorliegen:

Den Patienten müsste transparent im Behandlungsvertrag verdeutlicht werden, dass eine Weitergabe an die PVS zu Abrechnungszwecken erfolgt.
Die Verarbeitung durch die PVS müsste auf Grundlage eines schriftlichen Auftrages erfolgen.
Die PVS und Datenübermittler müssen über die Betroffenenrechte transparent informieren.

Allerdings ist weiterhin noch nicht endgültig geklärt, ob es sich hierbei um eine taugliche Rechtsgrundlage handelt. Deswegen wird empfohlen, auch in diesem Fall eine ausdrückliche Einwilligung einzuholen.

Arztpraxis: Folgen einer unbefugten Datenweitergabe

Existiert keine Rechtsgrundlage für die Datenübermittlung, liegt ein Datenschutzverstoß vor. Das kann zum Verhängen von Bußgeldern durch die Datenschutzbehörde oder Schadensersatzansprüchen der Betroffenen führen. Im Übrigen könnte auch ein Verstoß gegen das Berufsgeheimnis und damit ein Verstoß gegen § 203 StGB mit einer drohenden Geld- oder Freiheitsstrafe vorliegen.

Fazit: So geben Sie Patientendaten korrekt an Dritte weiter

Insofern ist es wichtig, dass datenschutzrechtliche Prozesse in Arztpraxen und Krankenhäusern entsprechend angepasst werden. In allen Fällen ist es zu empfehlen, sich Einwilligungen für die notwendigen Fälle der Datenweitergabe geben zu lassen, um Bußgelder oder gegebenenfalls sogar strafrechtliche Konsequenzen zu vermeiden.

Das Wichtigste in Kürze

Gesundheitsdaten sind besonders sensible Daten, die nur in Ausnahmefällen an Dritte weitergegeben werden dürfen.
In seltenen Fällen existiert hierfür eine gesetzliche Rechtsgrundlage.
In der Regel bedarf es allerdings einer Einverständniserklärung der Patienten.
Eine unbefugte Weitergabe kann schwerwiegende finanzielle oder strafrechtliche Konsequenzen haben.

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.