Datenschutz bei Abrechnungsprozessen mit Gesundheitsdaten

Datenschutz bei Abrechnungsprozessen mit Gesundheitsdaten

Inhaltsverzeichnis

Einleitung: Kernfragen und Risikoprofil bei Abrechnungsdaten

Der Datenschutz bei Abrechnungsprozessen im Gesundheitswesen ist eine hochkomplexe Materie, die Ärztinnen und Ärzte, Praxismanager sowie Datenschutzbeauftragte vor erhebliche Herausforderungen stellt. Abrechnungsdaten sind nicht nur einfache Rechnungsdaten; sie sind Gesundheitsdaten und unterliegen damit dem höchsten Schutzniveau der Datenschutz-Grundverordnung (DSGVO (GDPR auf Englisch)). Jeder Abrechnungsvorgang, ob mit gesetzlichen Krankenkassen (GKV) oder privaten Versicherern (PKV), birgt das Risiko empfindlicher Datenschutzverstöße, die nicht nur zu hohen Bußgeldern, sondern auch zu einem erheblichen Reputationsverlust führen können. Die Kernfragen lauten daher: Auf welcher Rechtsgrundlage dürfen diese hochsensiblen Daten verarbeitet werden? Welche technischen und organisatorischen Maßnahmen sind zwingend erforderlich? Und wie gestaltet man die Zusammenarbeit mit externen Abrechnungsdienstleistern rechtssicher? Dieser Beitrag beleuchtet, basierend auf den Praxiserfahrungen von MUNAS Consulting, die wesentlichen Aspekte und bietet konkrete, anwendbare Lösungsansätze.

Rechtliche Grundlage: DSGVO Art. 9 und die Relevanz des BDSG

Die rechtliche Basis für die Verarbeitung von Gesundheitsdaten bildet Artikel 9 Absatz 1 DSGVO. Dieser verbietet grundsätzlich die Verarbeitung „besonderer Kategorien personenbezogener Daten“, wozu Gesundheitsdaten explizit zählen. Die Verarbeitung ist nur zulässig, wenn eine der Ausnahmen des Artikels 9 Absatz 2 DSGVO greift. Für Arztpraxen und Kliniken ist hier insbesondere Art. 9 Abs. 2 lit. h DSGVO die zentrale Rechtsgrundlage.

Diese Norm erlaubt die Verarbeitung für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. Wichtig ist die Koppelung an einen Behandlungsvertrag oder eine andere Rechtsgrundlage nach nationalem Recht sowie die Verarbeitung durch oder unter der Verantwortung von Fachpersonal, das einem Berufsgeheimnis unterliegt. In Deutschland wird diese Öffnungsklausel durch § 22 Abs. 1 Nr. 1 lit. b des Bundesdatenschutzgesetzes (BDSG) konkretisiert. Der korrekte Umgang mit dem Datenschutz bei Abrechnungsprozessen erfordert somit ein tiefes Verständnis des Zusammenspiels dieser beiden Normen.

Abgrenzung GKV versus PKV: Datenschutzrechtliche Unterschiede

In der Praxis ergeben sich signifikante Unterschiede bei der Abrechnung mit gesetzlichen und privaten Krankenversicherungen, die sich direkt auf die datenschutzrechtlichen Anforderungen auswirken.

Gesetzliche Krankenversicherung (GKV)

Die Abrechnung mit der GKV erfolgt auf Basis einer gesetzlichen Verpflichtung, primär geregelt im Fünften Buch Sozialgesetzbuch (SGB V). Die Verarbeitung der für die Abrechnung notwendigen Daten (z. B. Diagnosen, erbrachte Leistungen) ist zur Erfüllung dieser rechtlichen Verpflichtung erforderlich (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO und den Vorschriften des SGB V). Eine gesonderte Einwilligung des Patienten ist für die Übermittlung an die Kassenärztliche Vereinigung (KV) daher nicht notwendig. Der gesetzliche Rahmen definiert hier den Zweck und den Umfang der Datenverarbeitung sehr präzise.

Private Krankenversicherung (PKV)

Im Bereich der PKV basiert die Datenverarbeitung auf dem privatrechtlichen Behandlungsvertrag zwischen Arzt und Patient (Art. 6 Abs. 1 lit. b DSGVO). Die Abrechnung erfolgt direkt mit dem Patienten. Möchte der Patient, dass die Praxis direkt mit seiner Versicherung oder einer externen Abrechnungsstelle kommuniziert, ist dies ohne eine explizite Grundlage nicht möglich. Hierfür ist eine wirksame, freiwillige und informierte Einwilligung inklusive einer Entbindung von der ärztlichen Schweigepflicht (§ 203 StGB) zwingend erforderlich. Diese muss klar darlegen, welche Daten an wen und zu welchem Zweck übermittelt werden.

Datenminimierung und Zweckbindung in Abrechnungsworkflows

Die Grundsätze der Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b und c DSGVO) sind beim Datenschutz bei Abrechnungsprozessen von zentraler Bedeutung.

  • Zweckbindung: Die im Rahmen der Behandlung erhobenen Daten dürfen für die Abrechnung dieser Behandlung verwendet werden. Eine Nutzung für andere Zwecke, wie etwa Werbemaßnahmen für individuelle Gesundheitsleistungen (IGeL), ist ohne eine separate, spezifische Einwilligung unzulässig.
  • Datenminimierung: Es dürfen nur jene Daten verarbeitet und an Dritte (z. B. Abrechnungsdienstleister) übermittelt werden, die für den Abrechnungszweck unbedingt erforderlich sind. Einem externen Dienstleister muss beispielsweise nicht die gesamte Patientenakte offengelegt werden. In der Regel genügen Stammdaten, Diagnosen (ICD-10-Codes) und die abgerechneten Leistungsziffern (z. B. nach GOÄ).

Einwilligungen und Schweigepflichtentbindung: Praxisnahe Umsetzung

Gerade bei der Abrechnung für PKV-Patienten über Dritte ist die korrekte Gestaltung von Einwilligungen und Schweigepflichtentbindungen entscheidend.

Musterformulierungen und Anforderungen

Eine wirksame Einwilligungserklärung muss die Anforderungen des Art. 7 DSGVO erfüllen. Sie muss insbesondere freiwillig, informiert, spezifisch und unmissverständlich sein. Für die Praxis bedeutet das:

  • Klarheit: Die Erklärung muss in einfacher und verständlicher Sprache formuliert sein.
  • Transparenz: Es muss genau aufgeführt werden, welche Datenkategorien (z. B. Name, Adresse, Geburtsdatum, Behandlungsdaten, Diagnosen, Leistungsziffern) übermittelt werden.
  • Empfänger: Der Empfänger der Daten (z. B. die konkrete Abrechnungsgesellschaft mit Name und Anschrift) muss klar benannt werden.
  • Zweck: Der Zweck der Übermittlung (z. B. „zur Prüfung und Durchführung der privatärztlichen Abrechnung“) muss eindeutig sein.
  • Trennung: Die Einwilligung muss vom Behandlungsvertrag und anderen Erklärungen optisch getrennt und hervorgehoben sein.

Die Entbindung von der Schweigepflicht muss ebenso explizit formuliert sein und sich auf den definierten Zweck und Empfängerkreis beziehen.

Widerrufsbelehrung

Ein unverzichtbarer Bestandteil jeder Einwilligungserklärung ist die Belehrung über das Recht auf Widerruf gemäß Art. 7 Abs. 3 DSGVO. Der Patient muss darüber informiert werden, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann, ohne dass ihm daraus Nachteile entstehen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Technische und Organisatorische Maßnahmen (TOMs) als Praxisschild

Der Schutz von Abrechnungsdaten erfordert robuste technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO.

Technische Maßnahmen (TOMs)

  • Verschlüsselung: Jegliche Übermittlung von Abrechnungsdaten an externe Stellen (KVen, Abrechnungsdienstleister, Versicherungen) muss Ende-zu-Ende-verschlüsselt erfolgen. Gängige sichere Verfahren sind z. B. KV-Connect oder Übertragungen via SFTP. Der Versand sensibler Daten per unverschlüsselter E-Mail ist grob fahrlässig und ein schwerwiegender Datenschutzverstoß. Auch die Speicherung von Daten auf Servern und in Backups sollte verschlüsselt sein (Encryption at Rest).
  • Sichere Übertragungswege: Es dürfen ausschließlich geprüfte und als sicher eingestufte Kommunikationskanäle verwendet werden.
  • Protokollierung (Logging): Alle Zugriffe auf die Abrechnungssoftware und Patientendatenbanken müssen lückenlos protokolliert werden. So kann im Falle eines Verdachts nachvollzogen werden, wer wann auf welche Daten zugegriffen hat.

Organisatorische Maßnahmen

  • Rollen- und Berechtigungskonzept: Es muss klar definiert sein, welche Mitarbeitergruppe welche Zugriffsrechte auf Abrechnungsdaten hat (Need-to-know-Prinzip). Eine medizinische Fachangestellte am Empfang benötigt andere Rechte als die für die Abrechnung zuständige Praxismanagerin.
  • Schulungsnachweise: Das gesamte Personal muss regelmäßig und nachweislich zum Thema Datenschutz und zur ärztlichen Schweigepflicht geschult werden. Diese Schulungen müssen dokumentiert werden.
  • Weisungsgebundenheit: Klare schriftliche Anweisungen (z. B. in Form von Arbeitsanweisungen) zum Umgang mit Patientendaten und zur Durchführung von Abrechnungsprozessen sind unerlässlich.

Auftragsverarbeitung (AVV) richtig regeln

Wird die Abrechnung oder ein Teil davon an einen externen Dienstleister ausgelagert (z. B. eine privatärztliche Verrechnungsstelle oder der Anbieter der Praxisverwaltungssoftware als SaaS-Lösung), handelt es sich um eine Auftragsverarbeitung. Hierfür ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV (DPA auf Englisch)) gemäß Art. 28 DSGVO zwingend erforderlich.

Die AVV-Checkliste für die Praxis

Bevor Sie einen Dienstleister beauftragen, prüfen Sie den AVV sorgfältig auf folgende Punkte:

  • Gegenstand und Dauer der Verarbeitung: Sind Art, Umfang und Zweck der Datenverarbeitung klar definiert?
  • Technische und Organisatorische Maßnahmen des Auftragsnehmers: Sind die TOMs des Dienstleisters detailliert beschrieben und angemessen für den Schutz von Gesundheitsdaten?
  • Unterauftragsverhältnisse: Regelt der Vertrag klar, ob und unter welchen Bedingungen der Dienstleister weitere Subunternehmer einsetzen darf?
  • Weisungsrechte: Ist das Weisungsrecht der Praxis als Verantwortlicher klar verankert?
  • Kontroll- und Auditrechte: Haben Sie das Recht, die Einhaltung der Datenschutzpflichten beim Dienstleister zu überprüfen?
  • Unterstützungspflichten: Verpflichtet sich der Dienstleister, Sie bei der Erfüllung von Betroffenenrechten und bei Datenschutz-Folgenabschätzungen zu unterstützen?
  • Pflichten nach Beendigung des Auftrags: Ist die Löschung oder Rückgabe aller Daten nach Vertragsende klar geregelt?

Spezialthemen im Fokus: Von ePA bis Telemedizin

Der Datenschutz bei Abrechnungsprozessen wird durch neue Technologien und Gegebenheiten zusätzlich komplexer:

  • Minderjährige: Bei der Abrechnung von Leistungen für Minderjährige ist in der Regel die Einwilligung der Sorgeberechtigten erforderlich. Je nach Alter und Einsichtsfähigkeit des Kindes können Besonderheiten gelten.
  • Elektronische Patientenakte (ePA): Die ePA wird die Abrechnungsprozesse in Zukunft verändern. Da der Patient die Hoheit über die Zugriffsrechte hat, müssen Praxen sicherstellen, dass Abrechnungsdaten nur mit entsprechender Berechtigung aus der ePA gelesen oder dorthin geschrieben werden.
  • Telemedizin und Fernabrechnung: Die Erbringung und Abrechnung von telemedizinischen Leistungen erfordert besonders sichere Plattformen. Hier greift auch das Digitale-Dienste-Gesetz (DDG), das als Nachfolger des Telemediengesetzes (TMG) Anforderungen an die Diensteanbieter stellt. Die Übertragungswege müssen hierbei besonders robust gegen Angriffe geschützt sein.

Drittlandübermittlungen: Ein oft unterschätztes Risiko

Vorsicht ist geboten bei der Nutzung von Software oder Cloud-Diensten, deren Anbieter oder Server sich außerhalb der EU/des EWR befinden (sogenannte Drittländer). Eine Übermittlung von Gesundheitsdaten in solche Länder ist nur unter strengen Voraussetzungen zulässig. Rechtsgrundlagen können ein Angemessenheitsbeschluss der EU-Kommission, der Abschluss von Standardvertragsklauseln (SCCs) oder verbindliche interne Datenschutzvorschriften (BCRs) sein. Insbesondere bei der Nutzung von SCCs ist seit dem Schrems-II-Urteil des EuGH eine zusätzliche Einzelfallprüfung, ein sogenanntes Transfer Impact Assessment (TIA), erforderlich, um das Schutzniveau im Drittland zu bewerten.

Integrität und Nachweisführung: Dokumentation ist Pflicht

Die DSGVO fordert nicht nur die Einhaltung der Regeln, sondern auch deren Nachweisbarkeit (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Für den Datenschutz bei Abrechnungsprozessen bedeutet dies:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Der Abrechnungsprozess muss detailliert im VVT gemäß Art. 30 DSGVO beschrieben werden.
  • Datenschutz-Folgenabschätzung (DSFA (DPIA auf Englisch)): Da Abrechnungen eine umfangreiche Verarbeitung besonderer Kategorien von Daten darstellen, kann eine DSFA gemäß Art. 35 DSGVO erforderlich sein. Dies ist im Einzelfall zu prüfen, insbesondere bei der Einführung neuer Abrechnungssysteme oder der Zusammenarbeit mit neuen Dienstleistern.
  • Dokumentation aller Maßnahmen: Alle getroffenen TOMs, Schulungen, Einwilligungen und Verträge müssen lückenlos dokumentiert und aufbewahrt werden.

Praktische Checkliste: Der Schnellüberblick für den Datenschutz bei Abrechnungsprozessen

  • Rechtsgrundlagen geprüft? Ist klar, ob die Abrechnung auf gesetzlicher Grundlage (GKV) oder Einwilligung (PKV bei Dritten) basiert?
  • Einwilligungen/Schweigepflichtentbindungen valide? Sind alle Formulare für PKV-Patienten aktuell, transparent und enthalten eine Widerrufsbelehrung?
  • AV-Verträge vorhanden und geprüft? Wurde mit allen externen Dienstleistern (Software, Abrechnungsstelle) ein wirksamer AVV nach Art. 28 DSGVO geschlossen?
  • TOMs implementiert und dokumentiert? Werden Datenübertragungen verschlüsselt? Gibt es ein Berechtigungskonzept? Werden Zugriffe protokolliert?
  • Personal geschult? Sind regelmäßige und nachweisliche Datenschutzschulungen für alle Mitarbeiter erfolgt?
  • Dokumentation vollständig? Ist der Abrechnungsprozess im Verzeichnis von Verarbeitungstätigkeiten abgebildet? Wurde die Notwendigkeit einer DSFA geprüft?
  • Drittlandtransfers identifiziert? Wurde geprüft, ob genutzte Software oder Dienstleister Daten außerhalb der EU/des EWR verarbeiten und ob hierfür eine Rechtsgrundlage besteht?

Aktualisierungshinweise für 2026 und darüber hinaus

Das Datenschutzrecht ist ein dynamisches Feld. Zukünftige Entwicklungen wie der European Health Data Space (EHDS) oder der fortschreitende Einsatz von künstlicher Intelligenz in der medizinischen Diagnostik und Abrechnung werden die Anforderungen an den Datenschutz bei Abrechnungsprozessen weiter prägen. Strategien für 2026 und die Folgejahre müssen daher eine kontinuierliche Beobachtung der Rechtslage und der technologischen Entwicklungen beinhalten. Es ist unerlässlich, die Veröffentlichungen und Leitlinien der Aufsichtsbehörden, wie des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), sowie die Empfehlungen von Fachverbänden wie der Gesellschaft für Datenschutz und Datensicherheit (GDD) oder dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) zu verfolgen. Proaktives Handeln und eine lückenlose Dokumentation bleiben die besten Instrumente, um rechtssicher zu agieren und das Vertrauen der Patienten zu wahren.

Fachliche Empfehlungen