Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4.8

Gesundheitswesen

4.8.1

Prüfung der Kassenärztlichen Vereinigung Schleswig-Holstein

Abrechnungsdaten werden bei der Kassenärztlichen Vereinigung zu lange gespeichert. Bei der Vernichtung von Datenträgern konnten Verbesserungen des Verfahrens erreicht werden.

Gegenstand einer Prüfung bei der Kassenärztlichen Vereinigung waren die "routinemäßigen" Datenflüsse von den Ärzten zur Vereinigung und von dort zu den Krankenkassen. Zum Prüfungszeitpunkt erhielt sie noch die Krankenscheine bzw. Disketten zur Abrechnung der Honorare des abgelaufenen Quartals. Das neue automatisierte Abrechnungsverfahren unter Verwendung des sog. ICD-Schlüssels war noch nicht realisiert (vgl. Tz. 4.8.2).

Die Abrechnungsdaten der Ärzte werden versichertenbeziehbar zehn Jahre in einer automatisierten Datei gespeichert. Diese Speicherungsdauer wird damit begründet, daß es in den Abrechnungen immer wieder zu nachträglichen Korrekturen, z.B. bei unzulässigen Kombinationen von Gebührenordnungsnummern, komme. Hierüber seien langwierige Prozesse zwischen den jeweils betroffenen Ärzten und der Kassenärztlichen Vereinigung zu führen. Es werden allerdings derzeit nicht nur solche Honorarabrechnungsdaten dauerhaft aufbewahrt, bei denen die Ärzte Widerspruch eingelegt haben, sondern der gesamte Datenbestand.

Nach dem Sozialgesetzbuch V sind alle Daten mit Ausnahme der Angaben über Leistungsvoraussetzungen spätestens nach zwei Jahren zu löschen. Die Aufbewahrungsfrist beginnt mit dem Ende des Geschäftsjahres, in dem die Leistungen gewährt oder abgerechnet wurden. Lediglich in arztbezogener Form dürfen die Daten bis zu zehn Jahre aufbewahrt werden. Die bisherige Speicherpraxis war deshalb zu beanstanden.

Sämtliche Disketten mit den Abrechnungsdaten der Ärzte sowie sämtliche Ausdrucke der Abrechnungsunterlagen werden von einer privaten Firma vernichtet. Der Vertrag zur Übernahme und Vernichtung der ausgesonderten Unterlagen sieht vor, daß die Firma das gesamte Material ­ ohne vorherige Einsichtnahme - entsprechend den Bestimmungen des Landesdatenschutzgesetzes vernichtet. Die Kassenärztliche Vereinigung erhält abschließbare Sicherheitsbehälter, die dann später von der Firma zur Vernichtung abgefahren werden. Für jede Partie bekommt sie eine Vernichtungserklärung.

Bei den zu vernichtenden Daten handelt es sich fast ausschließlich um Unterlagen, die dem Sozial- und dem Patientengeheimnis unterliegen. Die externe Vernichtung von Datenträgern stellt eine Auftragsdatenverarbeitung im Sinne des § 80 Sozialgesetzbuch X dar, mit der eine Privatfirma nur betraut werden darf, wenn

• beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder

• die übertragenen Aufgaben beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfaßt.

Für beides sind im Rahmen der Prüfung keine Anhaltspunkte gefunden worden. Es ist der Kassenärztlichen Vereinigung zuzumuten, die Disketten zunächst unleserlich zu machen und erst dann zur weiteren Vernichtung an die Firma zu geben. Bezüglich der papierenen Unterlagen wäre es durchaus möglich, sie unter Aufsicht eines Mitarbeiters der Kassenärztlichen Vereinigung durch den externen Unternehmer vernichten zu lassen.

4.8.2

Datenaustausch zwischen Kassenärztlichen Vereinigungen und Krankenkassen im Streit

Die Einführung moderner Technik zur Abrechnung kassenärztlicher Leistungen darf nicht zum "gläsernen Patienten" führen. Wie dies eindeutig sichergestellt werden kann, wird derzeit noch diskutiert.

In seinem Bestreben, Kosten zu sparen, hat der Gesetzgeber auch das Abrechnungsverfahren in der kassenärztlichen Gesundheitsversorgung grundlegend neu organisiert. Bisher wurden die Krankenscheine quartalsweise gebündelt an die Kassenärztlichen Vereinigungen übergeben und von dort nach Prüfung und Abrechnung an die Krankenkassen weitergereicht. Nunmehr ist ein automatisiertes Verfahren geplant. Die Einzelheiten darüber regelt ein Vertrag zwischen den Kassenärztlichen Vereinigungen und den Krankenkassen.

Vorgesehen ist, daß die Abrechnungsdaten unter Verwendung des ICD-10 in maschinenlesbarer Form übermittelt werden sollen. In der Öffentlichkeit ist Kritik am ICD-10 laut geworden, weil er einerseits sehr präzise Angaben vorsieht, so daß er dazu verleiten könnte, mehr Daten als notwendig zu übermitteln, andererseits wiederum zu ungenau ist, um die spezifischen Besonderheiten des Einzelfalles zu erfassen. Kritisch angemerkt wurde auch, daß der ICD-10 eine Reihe von Datenfeldern vorsieht, in denen Ursachen und Begleiterscheinungen von Krankheiten erfaßt werden können. Zum Teil handelt es sich dabei um intime Angaben, die allenfalls für den Arzt bestimmt sind, nicht aber für Abrechnungszwecke. Inzwischen wurde entschieden, die Anwendung des ICD-10 zunächst zwei Jahre zu verschieben, bis die Zweifelsfragen geklärt sind.

Viele Menschen haben sich an uns gewandt und ihre Sorge vor einem automatisiert erstellten Gesundheitsprofil geäußert. Die Datenschutzbeauftragten haben erreicht, daß die Kassen die Behandlungsdaten nur ohne Patientenbezug erhalten. Die Ärzte übermitteln patientenbezogene Behandlungsdaten lediglich an die Kassenärztlichen Vereinigungen. Diese fungieren als "Clearing-Stellen". Sie trennen nach der Abrechnung der ärztlichen Leistungen die Personendaten von den Behandlungsdaten und leiten diese getrennt weiter. Die Krankenkassen erhalten in getrennten und unterschiedlichen Dateien auf der einen Seite nur den Namen des Patienten sowie dessen Versicherungsnummer, damit sie prüfen können, ob der Behandelte bei ihnen überhaupt versichert ist. Davon völlig losgelöst erhalten sie anonymisiert die Leistungen je Behandlungsfall. Eine Wiederzusammenführung der Daten ist ihnen per Gesetz verboten.

Diese Sicherungen gehen den Zahnärzten noch nicht weit genug. Sie meinen, aufgrund der Besonderheiten eines menschlichen Gebisses sei es den Kassen relativ leicht möglich herauszufinden, welche zahnärztliche Behandlung dem einzelnen Versicherten zuzurechnen sei. Auch aus den übrigen Daten lasse sich nach ihrer Auffassung eine Personifizierung mit mathematischen Methoden durchaus herbeiführen. Darüber hinaus bestreiten sie die Befugnis der Krankenkassen, die Abrechnung des Zahnarztes nochmals zu überprüfen. Dies sei allein Aufgabe der Kassenzahnärztlichen Vereinigung. Demzufolge ist der vom Gesetzgeber vorgesehene Vertrag über einen automatisierten Datenaustausch zwischen den Kassenzahnärztlichen Vereinigungen und den Krankenkassen bisher nicht zustande gekommen. In einem angestrengten Schiedsverfahren ist die Kassenzahnärztliche Bundesvereinigung unterlegen.

Auch aus unserer Sicht ist die Argumentation der Kassenzahnärztlichen Vereinigungen nicht von der Hand zu weisen, soweit sie darauf pochen, daß nur die zu Abrechnungszwecken erforderlichen Daten an die Kassen übermittelt werden dürfen. Fest steht sicherlich, daß die Krankenkassen alle Daten erhalten müssen, die sie benötigen, um Leistungen korrekt erbringen zu können und die vertragsärztliche Versorgung sicherzustellen. Allerdings bedarf es noch der vertieften Diskussion, in welchem Umfang die Nachprüfungsbefugnis der Kassen besteht und welches Datenprofil dafür tatsächlich notwendig ist. Ob dazu auch der Name des behandelnden Zahnarztes sowie gewisse Einzelheiten der Gebißbehandlung gehören müssen, wird derzeit diskutiert.

Wir haben überdies angeregt zu prüfen, in welchem Umfang das gesetzliche Verbot, die Daten bei den Kassen wieder patientenbezogen zu machen, durch technisch-organisatorische Maßnahmen abgesichert werden kann. Die Gespräche mit der Kassenzahnärztlichen Vereinigung und den Krankenkassen unter Beteiligung des Sozialministeriums waren bei der Fertigstellung dieses Berichts noch nicht abgeschlossen.

4.8.3

Vergabe von Schreibarbeiten an Externe durch öffentliche Krankenhäuser

Krankenhäuser dürfen keine Arztbriefe in Heimarbeit durch Aushilfsschreibkräfte fertigen lassen, wenn die Patienten nicht ausdrücklich eingewilligt haben.

Eine Patientin mußte feststellen, daß ihre Bekannte nähere Kenntnis über ihre gesundheitlichen Leiden hatte. Auf Rückfrage stellte sich heraus, daß diese Informationen aus ihrem Freundeskreis stammten. Nochmalige Nachfragen ergaben, daß die Krankenberichte der Petentin von Privatpersonen in Heimarbeit außerhalb des Krankenhauses geschrieben wurden.

Dazu teilte uns das Krankenhaus mit, Arztbriefe würden überwiegend vom medizinischen Schreibdienst des Hauses angefertigt. Zum Abbau von Arbeitsspitzen und zur Überbrückung von Ausfällen würden aber auch Mitarbeiterinnen des hauseigenen Schreibdienstes, die sich im Erziehungsurlaub befänden oder nur in Teilzeit arbeiteten, nebenberuflich eingesetzt. Außerdem habe man überdies auch Arbeiten an private Schreibdienste vergeben.

Eine Weitergabe von Patientendaten an externe Schreibbüros bedarf der Einwilligung der betroffenen Patienten: Mitarbeiter von externen Schreibbüros können nicht als ärztliches Hilfspersonal angesehen werden,

• weil kein arbeitsrechtliches Verhältnis zwischen Schreibkraft und Krankenhausträger vorliegt und folglich

• ein direktes Direktions- und Weisungsrecht und somit eine unmittelbare Einflußnahme und Kontrolle des Arztes auf die Schreibarbeiten nicht möglich ist.

Soweit das Krankenhaus Schreibarbeiten an angestellte Schreibkräfte in Heimarbeit vergibt, sieht die rechtliche Beurteilung anders aus: Hier ist davon auszugehen, daß die Schreibkräfte als ärztliches Hilfspersonal anzusehen sind. Hier stellt sich jedoch die Frage, ob das Krankenhaus die nach dem Landesdatenschutzgesetz erforderlichen technischen und organisatorischen Maßnahmen treffen kann, um die erforderliche Datensicherheit zu gewährleisten. Dies dürfte im häuslichen Bereich, zu dem der Dienstherr keinen Zugang hat, kaum möglich sein.

Wie sollte das Krankenhaus in der Lage sein,

• Unbefugten den Zugang zu den Datenverarbeitungsanlagen zu verwehren (Zugangskontrolle),

• zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert, gelöscht oder entwendet werden können (Datenträgerkontrolle),

• die unbefugte Speicherung sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),

• zu gewährleisten, daß überprüft und festgestellt werden kann, an wen wann und welche personenbezogenen Daten übermittelt worden sind (Übermittlungskontrolle),

• zu gewährleisten, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert, gelöscht oder entwendet werden können (Transportkontrolle)?

Die Vergabe von Schreibarbeiten an externe Schreibbüros war also eine unbefugte Offenbarung von Patientendaten und somit förmlich zu beanstanden.

Auch die Vergabe von Schreibarbeiten an angestellte Schreibkräfte in Heimarbeit war im konkreten Fall als Verstoß gegen das Landesdatenschutzgesetz zu beanstanden, da die erforderlichen organisatorischen und technischen Sicherheitsmaßnahmen weder angeordnet noch getroffen waren. Dies hat der Fall der Petentin deutlich gezeigt. Die Klinik hat inzwischen die Konsequenzen gezogen und die Vergabe von Schreibarbeiten an private Schreibbüros sowie an Mitarbeiterinnen in Heimarbeit eingestellt.

4.8.4

Chipkarten im Gesundheitswesen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat die datenschutzrechtlichen Mindestanforderungen an Verfahren unter Einsatz von Chipkarten im Gesundheitswesen festgelegt.

Derzeit werden in mehreren Ländern Modellversuche und Pilotprojekte mit Chipkarten im Gesundheitswesen durchgeführt. Die Bandbreite reicht von allgemeinen Patientenkarten, die an möglichst viele Patienten/Versicherte ausgegeben werden, die eine Vielzahl von Krankheitsdaten enthalten und die von einem unbestimmten Kreis von Personen und Institutionen des Gesundheitswesens zu vielfältigen Zwecken verwendet werden können (z.B. Vital-Card der AOK Leipzig, Persönliche Patientenkarte Neuwied, BKK-Patientenkarte Berlin) bis zu krankheitsspezifischen Karten für bestimmte Patientengruppen mit reduziertem Datensatz und einer Definition der Verwendung (z.B. Dialyse-Card, Diab-Card, Krebsnachsorgekarte, Defi-Card).

Nach Auffassung der Datenschutzbeauftragten muß der Betroffene sich frei für oder gegen eine Chipkarte entscheiden können. Dies umfaßt die Entscheidung,

• ob Daten auf einer Chipkarte gespeichert werden,

• welche der Gesundheitsdaten auf die Karte aufgenommen werden,

• welche Daten auf der Karte wieder gelöscht werden,

• ob die Karte bei einem Arztbesuch bzw. Apothekenbesuch vorgelegt wird und

• welche Daten im Einzelfall zugänglich gemacht werden.

Ein Widerruf der Entscheidung muß ohne Nachteile für den Betroffenen möglich sein.

Die individuelle Entscheidung des Bürgers über die Verarbeitung seiner Daten bleibt ein zentrales Recht gegenüber Eingriffen in seine Freiheitssphäre. Dem Staat kommt hier nach Auffassung der Datenschutzbeauftragten die Rolle zu, Freiheitsrechte zu sichern, wo Entwicklungen des Marktes und der Technologien sowie Gruppeninteressen die Entscheidungsfreiheit des Bürgers bedrohen.

Mit der Ausstellung der Karte dürfen nur die Vorteile verknüpft werden, die sich unmittelbar aus den Nutzungspraktiken der Karte selbst ergeben. Die freie Entscheidung des Betroffenen, eine Karte zu nutzen oder dies abzulehnen, darf nicht durch einen Nutzungszwang oder eine Bevorzugung von Kartennutzern (z.B. durch Bonuspunkte) bzw. von Kartenverweigerern eingeschränkt werden.

Durch die Einführung von Kommunikationssystemen mit Chipkarten dürfen die Betroffenen auch nicht schlechter gestellt werden als im konventionellen Verfahren. Insbesondere das therapeutische Verhältnis Arzt/Patient darf sich durch den Einsatz von Chipkarten nicht verschlechtern. Verkürzte Darstellungen medizinischer Sachverhalte auf der Chipkarte - z.B. mit Hilfe von Schlüsselbegriffen - dürfen nicht zu einer Minderung der Qualität der Therapie führen. Der Patient muß auch weiterhin die Möglichkeit des individuellen Dialogs wählen können. Dies schließt die Freiheit des Betroffenen ein, eine Chipkarte im Einzelfall nicht vorzulegen, auf der Chipkarte nur einen begrenzten Datensatz speichern zu lassen oder zu entscheiden, welchem Arzt welche Informationen oder Informationsbereiche offenbart werden. So sind Daten auf der Chipkarte so zu ordnen, daß z.B. beim Zahnarzt die gynäkologische Behandlung geheimbleiben kann.

Zur Sicherstellung der Integrität und Authentizität der Daten sind kryptographische Verfahren sowie geeignete Betriebssysteme zur Abschottung unterschiedlicher Anwendungsbereiche vorzusehen.

Der Einsatz von Chipkarten im Gesundheitswesen darf nicht zur Entstehung neuer zentraler Dateien von Patientendaten bei Kassenärztlichen Vereinigungen, Krankenkassen, Kartenherstellern oder sonstigen Stellen führen.

Der Karteninhaber muß das Recht und die Möglichkeit haben, seine auf der Chipkarte gespeicherten Daten vollständig zu lesen.

All diese Voraussetzungen für einen gefahrlosen Einsatz von Chipkarten lassen sich nicht allein durch die Einwilligung der Betroffenen schaffen. Ergänzend sind gesetzliche Regelungen zur Sicherung der Rechte von Patienten und Ärzten notwendig. Ebenso muß der Gesetzgeber den Besonderheiten der Datenverarbeitung auf Chipkarten durch bereichsspezifische Regelungen Rechnung tragen.

Dies mag folgendes Beispiel verdeutlichen: Die Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA), bei der praktisch alle Personen registriert sind, die Konsumentenkredite in Anspruch nehmen, erteilt jährlich in mehr als 500 000 Fällen den Betroffenen schriftlich Auskunft darüber, welche Daten über sie gespeichert sind. In den seltensten Fällen geschieht das, weil der Betroffene Zweifel an der Richtigkeit der Daten hat. In der Regel benutzt man eine solche Selbstauskunft, um dem künftigen Arbeitgeber oder Vermieter geordnete finanzielle Verhältnisse nachzuweisen. Einige "schwarze Schafe" verlangen solche Nachweise. In den meisten Fällen werden sie aber freiwillig und unaufgefordert vorgelegt, fast 500 000-mal jährlich! Man stelle sich vor, die Mehrzahl der Bundesbürger würde eine Gesundheitschipkarte bei sich tragen, deren Inhalt man selbst jederzeit ausdrucken könnte. Wie groß wäre wohl die Verlockung, der Bewerbung nicht nur die Schufa-Auskunft, sondern auch ein solches Gesundheitszeugnis beizufügen? Anders gefragt: Welche Chance hätte wohl der Bewerber um einen Arbeitsplatz, der weder das eine noch das andere unaufgefordert vorlegt, wenn die Mehrzahl der Mitbewerber dies tut? Wer würde da nicht gesundheitliche und/oder finanzielle Probleme vermuten?