Datenschutz in Abrechnungsprozessen: Praxisleitfaden

Datenschutz in Abrechnungsprozessen: Praxisleitfaden

Datenschutz bei Abrechnungsprozessen: Ein Leitfaden für 2026

Inhaltsverzeichnis

Kurzüberblick und Praxisrelevanz

Der Datenschutz bei Abrechnungsprozessen ist für Arztpraxen, medizinische Versorgungszentren und andere Akteure im Gesundheitswesen keine optionale Aufgabe, sondern eine zentrale rechtliche Verpflichtung. Bei der Abrechnung ärztlicher Leistungen werden hochsensible Gesundheitsdaten verarbeitet, die unter dem besonderen Schutz der Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch) stehen. Eine fehlerhafte Handhabung kann nicht nur zu empfindlichen Bußgeldern durch Aufsichtsbehörden führen, sondern auch das Vertrauensverhältnis zu den Patientinnen und Patienten nachhaltig schädigen. Dieser Leitfaden bietet einen praxisorientierten Überblick über die rechtlichen und technischen Anforderungen, um Ihre Abrechnungsabläufe rechtssicher zu gestalten.

Rechtliche Grundlagen: Rechtsgrundlagen, besondere Kategorien und Dokumentationspflichten

Die Verarbeitung von Patientendaten im Rahmen der Abrechnung muss auf einer soliden rechtlichen Basis stehen. Die DSGVO gibt hier einen klaren Rahmen vor.

Rechtsgrundlagen nach Art. 6 DSGVO

Die primäre Rechtsgrundlage für die Verarbeitung von Abrechnungsdaten ist Art. 6 Abs. 1 lit. b DSGVO – die Verarbeitung ist zur Erfüllung eines Vertrags (des Behandlungsvertrags) erforderlich. Ohne die Verarbeitung von Name, Adresse, Versicherungsstatus und den erbrachten Leistungen kann keine ordnungsgemäße Abrechnung erfolgen. Ergänzend kann die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO), beispielsweise steuerrechtlicher Aufbewahrungspflichten, notwendig sein.

Besondere Kategorien von Daten nach Art. 9 DSGVO

Diagnosen, Behandlungsdaten und andere Informationen, die im Rahmen der Abrechnung anfallen, sind Gesundheitsdaten und gehören damit zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der expliziten Ausnahmen greift. Für Arztpraxen ist hier Art. 9 Abs. 2 lit. h DSGVO entscheidend. Dieser erlaubt die Verarbeitung, wenn sie für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich ist. Dies schließt die Verwaltung von Systemen und Diensten im Gesundheitssektor, also auch die Abrechnung, explizit mit ein.

Dokumentationspflichten nach Art. 30 DSGVO

Jeder Verantwortliche muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen. Der Abrechnungsprozess muss darin detailliert als eigene Verarbeitungstätigkeit beschrieben werden. Das VVT sollte folgende Punkte umfassen:

  • Zweck der Verarbeitung (z. B. Abrechnung privatärztlicher Leistungen)
  • Kategorien der betroffenen Personen (Patientinnen und Patienten)
  • Kategorien der verarbeiteten Daten (Kontaktdaten, Versicherungsdaten, Leistungs- und Diagnosedaten)
  • Empfänger der Daten (z. B. externe Abrechnungsdienstleister, Krankenkassen)
  • Fristen für die Löschung der Daten
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)

Rollenklärung: Verantwortliche, Auftragsverarbeiter und Subunternehmer

Eine klare Definition der Rollen ist entscheidend für den Datenschutz bei Abrechnungsprozessen, insbesondere bei der Zusammenarbeit mit externen Dienstleistern.

Verantwortlicher

Die Arztpraxis oder das MVZ ist in der Regel der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Der Verantwortliche entscheidet über die Zwecke und Mittel der Datenverarbeitung und trägt die primäre Verantwortung für die Einhaltung der Datenschutzvorschriften. Er ist Ansprechpartner für Betroffene und Aufsichtsbehörden.

Auftragsverarbeiter

Wird die Abrechnung an einen externen Dienstleister ausgelagert, handelt es sich bei diesem um einen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Der Auftragsverarbeiter handelt weisungsgebunden im Auftrag des Verantwortlichen. Die Zusammenarbeit muss zwingend durch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geregelt werden.

Subunternehmer

Setzt der Abrechnungsdienstleister seinerseits weitere Dienstleister ein (z. B. für den Betrieb von Rechenzentren oder den Druck von Rechnungen), sind dies Subunternehmer. Der Einsatz von Subunternehmern durch den Haupt-Auftragsverarbeiter bedarf der vorherigen Genehmigung durch den Verantwortlichen (die Praxis). Diese Regelung muss im AVV verankert sein.

Auftragsverarbeitungsvertrag (AVV) konkret: Pflichtklauseln und Prüfpunkte

Der AVV ist das zentrale Steuerungsinstrument im Verhältnis zwischen Praxis und Abrechnungsdienstleister. Art. 28 Abs. 3 DSGVO schreibt den Mindestinhalt detailliert vor. Achten Sie bei der Prüfung eines AVV insbesondere auf folgende Punkte:

  • Gegenstand und Dauer der Verarbeitung: Klare Beschreibung, welche Daten für welchen Zweck und wie lange verarbeitet werden.
  • Weisungsgebundenheit: Der Dienstleister darf die Daten nur nach dokumentierter Weisung der Praxis verarbeiten.
  • Vertraulichkeit: Verpflichtung aller zur Verarbeitung befugten Personen zur Vertraulichkeit.
  • Technische und organisatorische Maßnahmen (TOMs): Konkrete Beschreibung der Sicherheitsmaßnahmen (siehe nächster Abschnitt).
  • Regelungen zu Subunternehmern: Klares Verfahren für die Genehmigung und Kontrolle von Subunternehmern.
  • Unterstützungspflichten: Der Dienstleister muss die Praxis bei der Erfüllung der Betroffenenrechte, bei der Meldung von Datenschutzverletzungen und bei der Erstellung von DSFAs unterstützen.
  • Rückgabe und Löschung: Eindeutige Regelung, was mit den Daten nach Vertragsende geschieht (Rückgabe oder Löschung).
  • Kontroll- und Auditrechte: Die Praxis muss das Recht haben, die Einhaltung der Pflichten durch den Dienstleister zu überprüfen, z. B. durch Audits oder die Anforderung von Nachweisen.

Technische und organisatorische Maßnahmen: Mindestanforderungen für Abrechnungssysteme

Gemäß Art. 32 DSGVO müssen Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOMs) ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Abrechnungssysteme sind ab 2026 folgende Mindestanforderungen essenziell:

  • Verschlüsselung: Sowohl die Übertragung (Transportverschlüsselung, z. B. TLS 1.3) als auch die Speicherung (Datenbankverschlüsselung) von Patientendaten müssen durchgängig verschlüsselt sein.
  • Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden, sodass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
  • Zugriffskontrolle und Berechtigungsmanagement: Es muss ein rollenbasiertes Berechtigungskonzept geben, das sicherstellt, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre jeweilige Aufgabe benötigen (Need-to-Know-Prinzip).
  • Protokollierung: Alle Zugriffe auf Patientendaten, insbesondere Lese-, Schreib- und Löschvorgänge, müssen revisionssicher protokolliert werden.
  • Integrität und Verfügbarkeit: Regelmäßige Datensicherungen (Backups) und Notfallkonzepte müssen die Wiederherstellbarkeit der Daten gewährleisten.
  • Regelmäßige Überprüfung: Die Wirksamkeit der TOMs muss regelmäßig evaluiert und bei Bedarf angepasst werden.

Wann ist eine Datenschutz-Folgenabschätzung nötig? Konkrete Indikatoren

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang ist ein klassischer Auslöser. Konkrete Indikatoren für die Notwendigkeit einer DSFA im Abrechnungskontext sind:

  • Die Einführung eines neuen, umfassenden Praxis- oder Abrechnungssystems.
  • Die Beauftragung eines neuen externen Abrechnungsdienstleisters, der Zugriff auf den gesamten Patientenstamm erhält.
  • Die Nutzung von Cloud-basierten Abrechnungsplattformen, insbesondere wenn die Server außerhalb der EU stehen.
  • Die Verknüpfung von Abrechnungsdaten mit anderen Datenquellen zur Erstellung von Profilen oder Analysen.

Praktische Umsetzung: Einwilligung, Berechtigungen und Kommunikation

Einwilligung, Schweigepflichtentbindung und Abrechnungsfreigaben

Auch wenn die Verarbeitung zur Vertragserfüllung legitimiert ist, kann in bestimmten Konstellationen eine separate Erklärung der Patienten sinnvoll oder notwendig sein. Insbesondere bei der Einschaltung externer Abrechnungsstellen ist eine explizite Entbindung von der ärztlichen Schweigepflicht gegenüber dem Dienstleister (§ 203 StGB) unerlässlich. Diese Erklärung sollte transparent darüber aufklären, welche Daten an wen zu welchem Zweck weitergegeben werden.

Berechtigungsmanagement und Protokollierung in Abrechnungssystemen

Ein striktes Berechtigungsmanagement ist das Rückgrat des Datenschutzes. Legen Sie genau fest, welche Mitarbeiterin oder welcher Mitarbeiter Rechnungen erstellen, einsehen oder stornieren darf. Der Lesezugriff auf Diagnosedaten sollte auf das absolut notwendige Minimum beschränkt sein. Eine lückenlose Protokollierung aller Zugriffe hilft nicht nur bei der Aufklärung von Sicherheitsvorfällen, sondern hat auch eine präventive Wirkung.

Sichere Kommunikation mit Patientinnen und Patienten

Der Versand von Rechnungen oder Zahlungserinnerungen per unverschlüsselter E-Mail ist hochriskant und in der Regel unzulässig, da hier Gesundheitsdaten enthalten sein können. Sicherere Alternativen sind:

  • Der klassische Postversand.
  • Die Nutzung verschlüsselter E-Mails (z. B. S/MIME oder PGP).
  • Die Bereitstellung der Dokumente über ein gesichertes Patientenportal.
  • Kommunikation über zertifizierte Messenger-Dienste, die eine Ende-zu-Ende-Verschlüsselung garantieren.

Audits, Sonderfälle und Vertragscontrolling

Sonderfälle: Minderjährige, Versicherer und Drittforderungen

Bei der Abrechnung von Leistungen für Minderjährige sind die Sorgeberechtigten die Vertragspartner und Empfänger der Rechnung. Bei privaten Versicherern oder Beihilfestellen erfolgt die Datenübermittlung auf Grundlage des Versicherungsvertrags und der Einwilligung des Patienten. Werden Forderungen an Dritte (z. B. Inkassounternehmen) abgetreten, ist dies ein besonders kritischer datenschutzrechtlicher Vorgang, der einer spezifischen Rechtsgrundlage oder einer expliziten Einwilligung bedarf.

Audits und Vertragscontrolling gegenüber Abrechnungsdienstleistern

Der Abschluss eines AVV allein genügt nicht. Als Verantwortlicher sind Sie verpflichtet, die Einhaltung der vertraglichen und gesetzlichen Vorgaben durch Ihren Dienstleister zu kontrollieren. Lassen Sie sich regelmäßig Nachweise über die implementierten TOMs vorlegen (z. B. Zertifizierungen wie ISO 27001) und machen Sie von Ihrem vertraglich vereinbarten Auditrecht Gebrauch. Eine jährliche Überprüfung ist ab 2026 eine empfohlene Praxis.

Typische Fehler und Rechtsprechungsaktualisierung

Ein mangelhafter oder fehlender AVV, unzureichende TOMs oder eine laxe Handhabung der Zugriffsberechtigungen sind die häufigsten Fehlerquellen. Auch die unbedachte Nutzung von Kommunikationskanälen birgt Risiken. Die Rechtsprechung entwickelt sich stetig weiter, insbesondere im Hinblick auf Bußgeldbemessungen und die Anforderungen an wirksame Einwilligungen. Es ist unerlässlich, sich kontinuierlich über aktuelle Urteile und Verlautbarungen der Aufsichtsbehörden zu informieren.

Praktische Checkliste für die Implementierung

  • VVT prüfen: Ist der Abrechnungsprozess im Verzeichnis von Verarbeitungstätigkeiten vollständig dokumentiert?
  • AVV vorhanden und aktuell?: Liegt für jeden externen Abrechnungsdienstleister ein gültiger AVV nach Art. 28 DSGVO vor?
  • TOMs bewerten: Entsprechen die technischen und organisatorischen Maßnahmen des Dienstleisters und der eigenen Praxis dem Stand der Technik?
  • DSFA-Notwendigkeit prüfen: Wurde bei der Einführung neuer Systeme eine DSFA in Betracht gezogen?
  • Einwilligungen und Schweigepflichtentbindungen: Sind die Formulare aktuell und transparent gestaltet?
  • Berechtigungskonzept umgesetzt?: Gibt es ein dokumentiertes und gelebtes Rollen- und Berechtigungskonzept?
  • Kommunikationswege definiert?: Sind die Kanäle für die Kommunikation mit Patienten klar geregelt und sicher?
  • Kontrollpflichten wahrnehmen: Werden die Dienstleister regelmäßig überprüft?

Kurz-Zusammenfassung und weiterführende Quellen

Ein systematischer und dokumentierter Ansatz ist der Schlüssel für einen wirksamen Datenschutz bei Abrechnungsprozessen. Die Basis bilden eine klare rechtliche Grundlage, die korrekte Rollenverteilung und ein lückenloser Auftragsverarbeitungsvertrag. Darauf aufbauend gewährleisten robuste technische und organisatorische Maßnahmen sowie ein gelebtes Berechtigungsmanagement die Sicherheit der sensiblen Patientendaten. Regelmäßige Kontrollen und die Anpassung an die dynamische Rechtslage sorgen dafür, dass Ihre Praxis auch in Zukunft rechtssicher handelt und das Vertrauen Ihrer Patientinnen und Patienten verdient.

Für vertiefende Informationen und offizielle Leitlinien können Sie die Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit konsultieren.