Schreckgespenst DSGVO: Keine übertriebene Auslegung des Datenschutzes!
Seit 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Für Privatpersonen soll sie ein Mehr an Sicherheit über die Speicherung und Verwendung ihrer Daten gewährleisten. Für Unternehmen und Betreiber von Internetseiten bedeutet sie in erster Linie ein Mehr an Aufwand und Nachbesserung. Die Angst vor Abmahnanwälten scheint groß, die Grenze zur Panikmache fließend zu sein, ergänzt Lindemann. „Das erfahren wir gerade am Beispiel Labor.“
Hintergrund sind Informationen der Kassenärztlichen Vereinigung Nordrhein, die auf ihrer Internetseite in der Rubrik FAQ schreibt: „Auch die Weitergabe von Körpermaterial an ein externes Labor bedarf einer Auftragsverarbeitung.“ Laut SpiFa seien davon alle Facharztgruppen und jene Ärztinnen und Ärzte betroffen, die für ihre IGeL-GKV-Patienten und für ihre Privatpatienten in der Laborgemeinschaft Leistungen erbringen. Ebenso die Hausärzte im Bereich der hausarztzentrierten Versorgung. Sie alle müssten einen entsprechenden ADV-Vertrag vorweisen.
Auf Überweisung in Anspruch genommene Fachärzte würden demnach rechtlich nicht im Auftrag des Primärarztes tätig, sondern auf Grundlage eines eigenständigen Vertragsverhältnisses zum Patienten. Sie seien daher – sowohl in Bezug auf die fachgruppenbezogene Leistungserbringung, als auch hinsichtlich der damit im Zusammenhang stehenden Datenverarbeitung – originär selbst Verantwortlicher im Sinne der DSGVO und nicht Auftragsverarbeiter für den Primärarzt.
Für den SpiFa ist das eine juristisch falsche Einschätzung. „Offenbar geht die KV Nordrhein davon aus, dass externe Labore Dienstleister im Sinne der DSGVO sind. Diese Auffassung teilen wir nicht“, sagt Lindemann. Zudem erklärt die KV Nordrhein weiter: Wenn ein ADV-Vertrag existiert, kann auf die Einwilligungserklärung des Patienten verzichtet werden. „Wir sagen: Die Einwilligungserklärung des Patienten gegenüber dem behandelnden Arzt, egal ob Hausarzt oder Facharzt, ist essentiell, weil die personenbezogenen Daten des Patienten zum Zwecke seiner Behandlung an die unterschiedlichsten Stellen übermittelt werden – etwa an Krankenhäuser, Apotheken oder Fachärzte, die für die Mitbehandlung in Anspruch genommen werden“, so Lindemann weiter.
Die Interpretation der KV Nordrhein ist für den SpiFa ein klares Hemmnis für jedwede Kooperation und interprofessionelle Zusammenarbeit, und gefährdet so die Versorgung. „Denn nach dieser Auslegung steht derjenige mit einem Fuß im Gefängnis, der trotz nicht vorliegendem Auftragsdatenverarbeitungs-Vertrag – weil der Patient vielleicht nicht will oder nicht versteht – Behandlungsdaten, die zur Weiterbehandlung notwendig sind, übermittelt.“ Der SpiFa vermutet, dass bei der KV Nordrhein und ihren Beratern die Rechtsprechung des BGH nicht bekannt ist.
Der BGH hat sich, in den Urteilen vom 14.01.2010 (AZ III ZR 188/09 und III ZR 173/09) für die Auffassung entschieden, dass der Patient seinen Arzt bevollmächtigt, stellvertretend für ihn ein Labor mit der Durchführung der Untersuchungen zu beauftragen. Damit kommt es zu zwei parallelen Verträgen und nicht zu einer Auftragskette. Dieses zivilrechtliche Ergebnis hat bei der datenschutzrechtlichen Bewertung die Konsequenz, dass rechtlich gesehen der Patient die Daten für die Laboruntersuchung an das Labor gibt (wenn auch faktisch vertreten durch den Arzt). Dann benötigt der einsendende Arzt aber auch keine datenschutzrechtliche Einwilligung des Patienten, um die Patientendaten an das Labor geben zu dürfen. Der Patient kann stillschweigend durch schlüssiges Verhalten – er lässt sich z.B. Blut für die zuvor besprochene Untersuchung abnehmen – seinem behandelnden Arzt (Einsender) eine Vollmacht erteilen, in seinem Namen einen Laborarzt mit der Laboruntersuchung zu beauftragen.