Anzeige
Recht 13.08.2018

Datenschutzrelevante Sachverhalte in der KFO-Praxis

RA Michael Zach
E-Mail:
Datenschutzrelevante Sachverhalte in der KFO-Praxis

Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten und löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Sie ist in der gesamten Europäischen Union unmittelbar geltendes Recht, bedarf also keiner Umsetzung in nationales Recht. Die stärkere Berücksichtigung datenschutzrelevanter Belange generell und in der kieferorthopädischen Praxis im Besonderen ist zu begrüßen. Denn immer wieder waren Zweifel aufgetreten, ob manche in ständiger Praxis geübten Abläufe wirklich mit den Anforderungen eines wohlverstandenen Datenschutzes in Einklang zu bringen sind.

So wurde im Falle einer Praxisübertragung das Datengeheimnis der Bestandspatienten schlicht dem Praxisübernehmer in der Gestalt vermittelt, indem dieser einen Tag noch vor der Praxisübernahme als Angestellter oder Hospitant in der Praxis des übergebenden Kieferorthopäden angestellt war. Auf diesem Wege nahm er Kenntnis von allen potenziellen Geheimnissen einer Karteikarte, sodass es einer ausdrücklichen Erklärung der datenbetroffenen Patienten nicht mehr bedurft hatte. Dieses Modell war in der Praxis sehr beliebt, ließ sich so doch eine systematische Verletzung von Datenschutzrechten auf den ersten Blick umgehen, dürfte aber mit den heute geltenden und verschärften Bestimmungen nicht mehr in Einklang stehen.

In gleicher Weise waren bei Wirtschaftlichkeitsprüfungsgesprächen in einer KZV immer wieder Bedenken aufgekommen, ob den Prüfern wirklich alle Gesundheitsdaten überhaupt zugänglich gemacht werden dürften, insbesondere auch solche Informationen, die mit der eigentlichen kieferorthopädischen Behandlung nichts zu tun hatten und insbesondere zur Überprüfung der vertragszahnärztlichen Abrechnung schlicht nicht erforderlich waren.

Auf entsprechende Zusicherung des Vorsitzenden des Prüfungsgremiums wurde dann bereitwillig zu den meist weit zurückliegenden Zeiträumen Auskunft gegeben, zu allen persönlichen Daten und den Gesundheitsdaten der durch das Prüfgremium aufgegriffenen Patienten. Auch hier wird künftig mit einem sensibleren Umgang mit Patientendaten zu rechnen sein.

Anspruch auf Datenlöschung

Aus der Zweckbindung jeder Datenerhebung und -verarbeitung folgt der Anspruch des Patienten auf Datenlöschung. Allerdings steht dem Löschungsanspruch die Verpflichtung des Kieferorthopäden auf Speicherung der Behandlungsdaten im Rahmen der Aufbewahrung seiner Dokumentation nach § 630f Abs. 3 BGB entgegen, wonach Daten und Datenträger mindestens zehn Jahre aufzubewahren sind. Dieser gesetzlichen Verpflichtung kommt der Vorrang zu, gegenüber dem Löschungsanspruch des Patienten. Dies gilt auch dann, wenn dem Patienten zuvor Ablichtungen seiner gespeicherten Daten ausgehändigt worden sind und er nun selbst erklärt, auf eine weitere Datennutzung zu verzichten und das Risiko eines Datenverlustes übernehmen zu wollen. Ungeachtet der Fragen, ob der Patient insofern überhaupt (unwiderruflich) verzichtsberechtigt ist, ergibt sich die Speicherpflicht des Kieferorthopäden aufgrund seines Berufsrechts. Nach Ablauf der zehnjährigen Aufbewahrungspflicht freilich ist der Kieferorthopäde zur Löschung verpflichtet. Fristbeginn dürfte insoweit der Abschluss der aktiven kieferorthopädischen Behandlung sein, der schon aus diesem Grunde als solcher vermerkt werden sollte. Der Fristablauf tritt dann wie regelmäßig erst zum Jahresende ein.

Modellarchivierung als Datenverarbeitung

Die Verpflichtung zur Aufbewahrung von Daten schließt nicht aus, dass der Datenbestand im Laufe der zehnjährigen Aufbewahrungsfrist modifiziert wird, beispielsweise in andere Softwaresysteme eingespeist oder der Datenträger als solcher oder das Speichermedium gewechselt wird. Bei einer bloßen Änderung der Speichersoftware oder des Speichermediums (Festplatte, USB-Stick, CD oder Server) liegt eine Datenverarbeitung noch nicht vor, da das bestehende Datum identisch abgespeichert wird, ohne Veränderung oder Neuerhebung oder Erfassung der Datenelemente. Anders stellt es sich jedoch dar, wenn statt des originären Datenträgers, wie beispielsweise eines aufbewahrungspflichtigen körperlichen Modells, nunmehr eine digitale Abspeicherung dieses Modells erfolgt, da trotz der weiterentwickelten Scantechnologie insofern eine andere Qualität der Datenspeicherung gegeben ist und letztendlich auch andere Dateninformationen abgespeichert werden, als dem originären Datenträger (Gipsabdruck) zu entnehmen sind. Denn es besteht kein Zweifel daran, dass die per Scan vom körperlichen Modell abgenommenen Daten qualitativ andere sind als jene, die bei der Betrachtung des Modells wahrnehmbar sind.

Dies lässt sich auch aus dem Zweck der Datenschutzbestimmungen ableiten, da die digitalisierten Informationen viel leichter verkehrsfähig und verbreitbar sind und gänzlich anderen Löschungsmechanismen unterliegen als beispielsweise die Vernichtung eines körperlichen Modells. Sofern der Kieferorthopäde die Bestandsmodelle im Archiv durch die Erhebung entsprechender Scans durchdigitalisieren möchte, wird für diesen Datenverarbeitungsvorgang künftig eine ausdrückliche Einwilligung des Patienten erforderlich sein, weshalb es bei einem heute noch minderjährigen Patienten sinnvoll sein kann, neben der Einwilligung der Eltern auch die Unterschrift des Minderjährigen vorzusehen.

Datenschutz bei Regressansprüchen gegen Kieferorthopäden

Auch die private Krankenversicherung trifft datenschutzrechtliche Rechtspflichten, beispielsweise im Bereich der zum Zwecke des Regresses auf die PKV übergegangenen Rückzahlungsansprüche gegen Kieferorthopäden. Dieser Anspruchsübergang ist seit dem Patientenrechtegesetz als sogenannte „cessio legis“ ausgestaltet, wonach es keiner Abtretungserklärung durch den Patienten mehr bedarf, sondern vielmehr dieser Zahlungsanspruch gegen den Kieferorthopäden kraft Gesetzes auf die PKV übergeht. Dies ist so lange völlig unproblematisch, wie eine Identität gegeben ist zwischen Patient und Versicherungsnehmer, wenn mit anderen Worten die Gesundheitsdaten desjenigen an die PKV übergehen werden, der bei ihr versichert ist und ohnehin zur Anspruchsprüfung alle betreffenden Gesundheitsdaten dorthin offenbaren muss.

Gerade im Bereich der kieferorthopädischen Behandlung minderjähriger Mitversicherter hingegen fehlt es an dieser Personenidentität. Zwar geht der Anspruch auch in diesem Fall auf die PKV über, die den Anspruch gegenüber dem Kieferorthopäden geltend macht, es stellt sich aber die Frage, ob sämtliche relevanten Gesundheitsdaten dieses Mitversicherten auch ohne explizite Einwilligung in die Datenübertragung zur Verfügung stehen. Es ist durchaus denkbar, dass ein Minderjähriger mit der Übertragung seiner Gesundheitsdaten an eine private Krankenversicherung nicht einverstanden ist, denn jedenfalls ab dem Alter von 14 Jahren wird in der Regel von einer entsprechenden Verantwortungsreife auszugehen sein, die den Minderjährigen in die Lage versetzt, die Bedeutung und die Tragweite einer solchen Datenübertragung zu erfassen.

Jedenfalls kann in dieser Situation nicht davon ausgegangen werden, dass schon mit dem Anspruchsübergang kraft Gesetztes auf die Versicherungsgesellschaft das Zugriffsrecht auf sämtliche Gesundheitsdaten dieses mitversicherten Minderjährigen übergeht. Hier wird eine Einwilligungserklärung erforderlich sein, die den Kriterien zugrunde unterliegt, die auf Aktivseite gelten, wenn eine Zahnarztpraxis eine Forderung zur Geltendmachung an eine Abrechnungsgesellschaft überträgt. Hier ist durch die Rechtsprechung hinreichend geklärt, dass dies eine Schweigepflichtentbindungserklärung und eine Einwilligung in die Datenübertragung erfordert, damit Dritte die Forderung in eigenem Namen geltend machen können. Im PKV-Regressbereich ist zu beobachten, dass eine solche Einwilligung des Betroffenen in die Datenübertragung bisher weder gefordert war noch praktisch realisiert wurde.

Fortsetzung in KN 9/2018

Dieser Beitrag ist in den KN Kieferorthopädie Nachrichten erschienen.

Foto: Kris Tan - Shutterstock.com
Mehr
Mehr News aus Recht

ePaper

Anzeige