Stellt die Schweigepflichtsentbindung eine Einwilligung nach der DSGVO dar?

Viele Ärzte/-innen lassen sich bei administrativen Tätigkeiten von einem externen privaten Rechenzentrum unterstützen. Hierfür ist grundsätzlich eine Schweigepflichtsentbindung  erforderlich.

Doch stellt diese Entbindung von der Schweigepflicht auch eine Einwilligung in die Verarbeitung personenbezogener Daten nach der DSGVO dar? Widerspricht die Verarbeitung von Gesundheitsdaten durch externe Unternehmen dem sog. Kopplungsverbot der DSGVO?

Einwilligung in die Verarbeitung personenbezogener Daten

Werden im Rahmen eines Behandlungsvertrags personenbezogene Daten verarbeitet, müssen Patient/-innen dem ausdrücklich zustimmen. Eine solche Einwilligung darf allerdings nicht erzwungen werden, sie muss vielmehr freiwillig erfolgen (§ 4 Abs. 11 DSGVO).

Eine fehlende Einwilligung kann für beide Seiten gravierende Folgen mit sich bringen. Verweigern Patient/Innen die Einwilligung, müssen sie gegebenenfalls in Kauf nehmen, keine ärztliche Untersuchung oder Behandlung zu erhalten. Erfüllt die Datenverarbeitung außerdem nicht die gesetzlich vorgeschriebenen Voraussetzungen, kann das für Ärzte/-innen sogar umsatzbezogene Bußgelder nach sich ziehen.

Ärztliche Schweigepflicht

Ärzte unterliegen Sie im Rahmen Ihrer Tätigkeit grundsätzlich der ärztlichen Schweigepflicht. Sie sind demnach dazu verpflichtet, über die gesundheitlichen Daten ihrer Patient/-innen Stillschweigen zu bewahren.

Darunter fallen alle Angaben innerhalb von Patientenakten, aber auch weitere persönliche Informationen, die Ihnen unter anderem im Rahmen eines ärztlichen Gesprächs anvertraut werden. Deshalb sollen Patient/-innen vor Behandlungs- oder Untersuchungsbeginn in der Regel eine Einwilligungserklärung in die Entbindung von der ärztlichen Schweigepflicht unterzeichnen, wenn eine externe Abrechnungsstelle mit administrativen Aufgaben betraut werden soll.

Im Übrigen ist die Verletzung der ärztlichen Schweigepflicht in Deutschland unter Strafe gestellt. Wer im Rahmen seiner Berufsverschwiegenheit unbefugt fremde Geheimnisse offenbart, muss unter Umständen mit einer Freiheitsstrafe bis zu einem Jahr oder einer Geldstrafe rechnen (§ 203 Abs. 1 Nr. 1 StGB).

Offenbarungsbefugnis bei privaten Rechenzentren

In einigen Fällen sieht das Gesetz allerdings vor, dass bestimmte Daten gegenüber unbeteiligten Personen offenbart werden dürfen. Eine Offenbarungsbefugnis liegt zum Beispiel vor, wenn Sie externe Personen oder Dienstleistungsunternehmen damit beauftragen, zwingend notwendige Aufgaben in Ihrem Praxisbetrieb zu übernehmen.

Darunter können zum Beispiel externe Rechnungszentren fallen, die etwa Abrechnungen, das Mahnwesen und das Inkasso für Sie übernehmen. In diesem Fall sind Sie dazu berechtigt, bestimmte Daten offenzulegen, wenn dies für die Durchführung der Dienstleistung zwingend erforderlich ist.

Klartext: Wenn Sie im Praxisbetrieb bestimmte Dienstleistungen auslagern und das rechtlich sauber regeln, dann liegt keine unbefugte Offenbarung von Geheimnissen vor.

Kopplungsverbot nach der DSGVO

In vielen Praxen werden standardisierte Formulare verwendet, in welchen Patienten:innen der Weitergabe ihrer Daten an eine private Abrechnungsstelle und der dortigen Datenverarbeitung zustimmen.

Einige - überwiegend behördliche - Stimmen sehen in dieser Vorgehensweise einen Verstoß gegen das sog. DSGVO-Kopplungsverbot (§ 7 Abs. 4 DSGVO). Danach ist die Einwilligung grundsätzlich beispielsweise nicht freiwillig erfolgt, wenn Weitergabe personenbezogener Daten, die verarbeitet werden sollen, für die Vertragserfüllung grundsätzlich nicht erforderlich sind und die Vertragserfüllung von der Einwilligung in die Datenweitergabe und dortigen Datenverarbeitung abhängig gemacht wird.

Ziel dieser Vorschrift ist es zum einen, die Erhebung von Daten auf ein Minimum zu beschränken und somit einer pauschalen Datenverarbeitung entgegenzuwirken. Zum anderen sollen Betroffene eine Wahlfreiheithaben und selbst entscheiden, in welchem Umfang ihre personenbezogenen Daten verarbeitet werden.

Ohne die Datenweitergabe an eine private Abrechnungsstelle und die dortige Datenverarbeitung sind Ärzte/-innen oftmals allerdings nicht mehr in der Lage, den eigenen Praxisbetrieb aufrecht zu halten. Die Weitergabe von Patientendaten kann in diesem Fall eine Grundvoraussetzung für die Funktionsfähigkeitdes Praxisbetriebs sein. Demnach handelt es sich hierbei gerade um die Weitergabe personenbezogene Daten, die für die Vertragserfüllung zwingend erforderlich sind.

Aus diesem Grund liegt dann auch hier kein Verstoß gegen das DSGVO-Kopplungsverbot vor. 

Klartext: Wenn Sie ein privates Rechenzentrum mit der Wahrnehmung administrativer Aufgaben beauftragen, führt dies entgegen der Ansicht einiger Stellen nicht zwingend zu einem Verstoß gegen das datenschutzrechtliche Kopplungsverbot. Sie begehen grundsätzlich keine datenschutzrechtlichen Verstöße, wenn Sie ein privates Rechenzentrum beauftragen. 

Geheimhaltungsvereinbarung

Stellen Sie sicher, dass die Datenverarbeitung den gesetzlichen Vorgaben entspricht und Gesundheitsdaten nicht unbefugt an Dritte weitergegeben werden. Wenn Sie hier leichtfertig handeln, riskieren Sie eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe (§ 203 Abs. 4 S. 2 Nr. 1 StGB).

Mithilfe eines ergänzenden Vertrages zur Auftragsdatenverarbeitung (AV-Vertrag) minimieren Sie dieses rechtliche Risiko. 

Gerne unterstützen wir Sie in allen Bereichen der Patientendatensicherheit sowie bei der Erstellung und Ausarbeitung eines individuellen und rechtssicheren AV-Vertrags.