Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 
Stand 17.07.2018

Positionen

Stellungnahme der KBV zu dem Referentenentwurf eines 2. Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680

(2. Datenschutz‐ Anpassungs‐ und Umsetzungsgesetz EU – 2. DSANPUG–EU) Artikel 120 – Änderungen des fünften Buches Sozialgesetzbuch


I. ALLGEMEINES


Das 2. Datenschutz‐ Anpassungs‐ und Umsetzungsgesetz enthält zahlreiche redaktionelle Anpassungen an die Datenschutz‐Grundverordnung (DSGVO), aber auch einige inhaltliche Änderungen. Die KBV nimmt hierbei Stellung zu den inhaltlichen Änderungen des Artikels 120, mit dem das SGB V geändert wird. Darüber hinaus wird auch eine erforderliche Änderung des Bundeskriminalamtgesetzes angesprochen, auch wenn dieses Gesetz durch das vorliegende Gesetzgebungsvorhaben nicht geändert werden sollte.

II. EINZELNE VORSCHRIFTEN

1. EINWILLIGUNGEN

Der Referentenentwurf enthält an vielen Stellen im SGB V, an denen bislang eine schriftliche Einwilligung gefordert wird, zusätzlich die Möglichkeit, auch eine elektronische Einwilligung abzugeben. Die KBV spricht sich dafür aus, Datenverarbeitungen im Bereich der gesetzlichen Krankenversicherung durch eindeutige und klare Rechtsgrundlagen zu rechtfertigen. Auf das Instrument der Einwilligung sollte nur in besonders begründeten Fällen zurückgegriffen werden.

Darüber hinaus bittet die KBV um Prüfung, ob nicht neben der schriftlichen oder elektronischen Form auch eine andere Form akzeptiert werden kann. Die DSGVO fordert für die Wirksamkeit einer Einwilligung keine Schriftlichkeit. Dementsprechend sollten auch die Möglichkeiten der DSGVO genutzt werden, so dass auch im Rahmen der Regelungen des SGB V Einwilligungen formlos, aber nachweisbar dokumentiert, erteilt werden können.

2. ZU § 73 ABS. 1B SGB V

Nach dieser Vorschrift darf ein Hausarzt mit schriftlicher oder zukünftig auch elektronischer Einwilligung des Versicherten bei Leistungserbringern, die einen seiner Patienten behandeln, die den Versicherten betreffenden Behandlungsdaten und Befunde zum Zwecke der Dokumentation und der weiteren Behandlung erheben. Umgekehrt sind die einen Versicherten behandelnden Leistungserbringer verpflichtet, den Versicherten nach dem von ihm gewählten Hausarzt zu fragen und diesem mit schriftlicher oder elektronischer Einwilligung des Versicherten die genannten Daten zu übermitteln.

Bislang wurden Datenverarbeitungen im Rahmen von Überweisungen von überweisendem Arzt an Überweisungsempfänger und umgekehrt von Überweisungsempfänger an überweisenden Arzt mit Hilfe der konkludenten Einwilligung gerechtfertigt. Diese konkludente Einwilligung ist nach der DSGVO nicht mehr möglich. Dafür bietet nun Artikel 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 Abs. 1 lit. b BDSG eine Rechtsgrundlage für eine Datenverarbeitung, wenn sie für die Versorgung oder Behandlung im Gesundheitsbereich erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, verarbeitet werden. Die KBV regt an, zur Klarstellung in § 73 Abs. 1b SGB V auf den § 22 BDSG zu verweisen. Damit ist sichergestellt, dass die Regelung des § 73 Abs. 1b Satz 1‐5 SGB V nur die Zwecke der zentralen Dokumentation durch den Hausarzt betrifft und die Fälle der Überweisung und sonstigen Übermittlungen im Rahmen von Behandlungsverhältnissen auf § 22 Abs. 1 Nr. 1 lit. b BDSG beruhen.

Die KBV schlägt daher folgenden neuen Satz 6 vor:

„Im Übrigen gilt § 22 Abs. 1 Nr. 1 lit. b BDSG.“

3. ZU § 304 SGB V

§ 304 SGB V neu sieht vor, dass unter anderem für Abrechnungsdaten unabänderliche Fristen vorgegeben werden, nach deren Ablauf die Daten zu löschen sind. Bislang galt nach § 304 Abs. 1 Satz 1 SGB V § 84 Abs. 2 SGB X entsprechend mit der Maßgabe, dass die Abrechnungsdaten spätestens nach vier Jahren zu löschen sind. Durch den Verweis auf § 84 Abs. 2 SGB X war es möglich, die Daten auch länger als vier Jahre aufzubewahren, wenn die Kenntnis für die verantwortliche Stelle zur rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben erforderlich ist.

Hintergrund der Notwendigkeit, die Abrechnungsdaten auch länger aufzubewahren, ist die lange Verfahrensdauer bei den Sozialgerichten. So kann ein Verfahren bei den Sozialgerichten bis zur endgültigen Entscheidung durch das Bundessozialgericht sechs Jahre oder länger andauern. Grund für die lange Verfahrensdauer ist die Überlastung der Sozialgerichtsbarkeit. Diesen sozialgerichtlichen Verfahren liegen in der Regel Klagen von Vertragsärzten gegen die Honorarbescheide der Kassenärztlichen Vereinigungen zugrunde. In diesen Klagen wird von den Vertragsärzten unter anderem geltend gemacht, dass die vertragsärztliche Vergütung nicht den Vorgaben des Gesetzes oder des Bewertungsausschusses entspricht. Die Kassenärztlichen Vereinigungen müssen im Rahmen dieser Rechtsstreite auf die Abrechnungsdaten zurückgreifen, um gegenüber den Sozialgerichten die Rechtmäßigkeit der vertragsärztlichen Vergütung darlegen zu können. Je nach Ausgang des Rechtsstreits müssen die Kassenärztlichen Vereinigungen darüber hinaus in der Lage sein, das vertragsärztliche Honorar neu zu berechnen. Wenn die hierfür erforderlichen Abrechnungsunterlagen jedoch nicht mehr zur Verfügung stehen, kann die Kassenärztliche Vereinigung dieser Verpflichtung nicht mehr nachkommen.

Es ist daher dringend notwendig, dass eine Öffnungsklausel aufgenommen wird, mit der es den Kassenärztlichen Vereinigungen ermöglicht wird, auch über die Dauer von vier Jahren hinaus Abrechnungsdaten aufzubewahren.

4. ZU § 307 ABS. 5 SGB V

Der Referentenentwurf sieht in § 307 Abs. 5 SGB V neu vor, dass abweichend von § 85a Abs. 3 SGB X gegen eine Behörde oder sonstige öffentliche Stelle, die eine Aufgabe nach dem SGB V wahrnimmt, wegen eines Verstoßes nach Artikel 83 Abs. 4, 5 oder 6 der DSGVO, der sich auf Sozialdaten bezieht, eine Geldbuße verhängt werden kann. Ein Verstoß nach Artikel 83 Abs. 4 DSGVO kann dann mit einer Geldbuße bis zu 10 Mio. €, ein Verstoß nach Artikel 83 Abs. 5 oder 6 der DSGVO mit einer Geldbuße bis zu 20 Mio. € geahndet werden. Durch die Anwendung von § 17 Abs. 4 des Gesetzes über Ordnungswidrigkeiten (OWiG) wird zudem geregelt, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Für den Fall, dass das gesetzliche Höchstmaß hierzu nicht ausreicht, kann es überschritten werden.

Die KBV lehnt die Einführung des Bußgeldtatbestandes aus verschiedenen Gründen ab. Die KBV und die Kassenärztlichen Vereinigungen sind als Körperschaften des öffentlichen Rechts dem Gesetz unterworfen. Sie haben als Körperschaften des öffentlichen Rechts das geltende Gesetz zu beachten, dazu zählen auch die Vorgaben der Datenschutz‐Grundverordnung und der weiteren nationalen datenschutzrechtlichen Vorgaben. Als Körperschaften des öffentlichen Rechts sind sie dem in § 35 SGB I geregelten Sozialgeheimnis unterworfen. Dementsprechend gelten für sie die datenschutzrechtlichen Anforderungen des SGB X. Es ist daher nicht verständlich, dass für den Bereich des SGB V, in dem ebenfalls Sozialdaten verarbeitet werden, eine besondere Regelung zu den Bußgeldvorschriften geschaffen wird. Der Gesetzgeber hat mit seiner Entscheidung im Sozialbereich, die Behörden und sonstige öffentliche Stellen von Bußgeldern zu befreien, eine Entscheidung getroffen, die auch Maßstab für die Änderungen im SGB V sind. Die Unterwerfung unter eine Bußgeldandrohung stellt eine in diesem Zusammenhang nicht gerechtfertigte und sachlich nicht begründbare Ungleichbehandlung dar.

Die DSGVO sieht in Artikel 83 Abs. 7 vor, dass jeder Mitgliedsstaat Vorschriften dafür festlegen kann, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedsstaat niedergelassen sind, Geldbußen verhängt werden können. Der nationale Gesetzgeber hat diese Vorschrift bislang so umgesetzt, dass sowohl in dem Bundesdatenschutzgesetz, als auch in anderen Fachgesetzen eine Befreiung von den Bußgeldern für Behörden und öffentliche Stellen vorgesehen wird. Diese Regelung ist auch sachgerecht, da es befremdlich erscheint, wenn eine Behörde gegen eine andere Behörde ein Bußgeldverfahren durchführt. Im Bundesdatenschutzgesetz wurde zwischen Behörden und öffentlichen Stellen, die im Wettbewerb mit privaten Verantwortlichen stehen, eine Differenzierung vorgenommen. Wenn der Wettbewerb mit anderen Unternehmen ein Entscheidungskriterium ist, so ist für die KBV und die Kassenärztlichen Vereinigungen zu konstatieren, dass diese mit keiner anderen Organisation oder keinem anderen Unternehmen im Wettbewerb steht. Daher liegt auch kein Grund vor, diese Körperschaften einem Bußgeld zu unterwerfen.

Unabhängig davon ist die KBV auch seit langem ISO 27001 zertifiziert. Viele Kassenärztliche Vereinigungen werden dem nachfolgen. Daher ist sichergestellt, dass die Sozialdaten auf höchstem Niveau in den Kassenärztlichen Vereinigungen und der KBV verarbeitet werden. Auch deshalb ist kein sachlicher Grund erkennbar, warum die KBV und die Kassenärztlichen Vereinigungen der Bußgeldandrohung unterliegen sollen. Soweit in der Gesetzesbegründung darauf verwiesen wird, dass die Erhöhung des Bußgeldrahmens eine Schlechterstellung von natürlichen Personen gegenüber Behörden und sonstigen Stellen verhindern soll, ist dieser Vergleich allerdings nicht sachgerecht, da Behörden und öffentliche Stellen aufgrund ihrer hoheitlichen Tätigkeit nicht gewinnstrebend tätig sind. Darüber hinaus sind sie als Körperschaften des öffentlichen Rechts nach Artikel 20 Abs. 3 GG bereits verfassungsrechtlich Recht und Gesetz unterworfen.

Bei der Bewertung, ob die KBV oder die Kassenärztlichen Vereinigungen einer Bußgeldandrohung unterworfen sein sollen, ist auch zu berücksichtigen, wie sich die Kassenärztlichen Vereinigungen finanzieren. Die Kassenärztlichen Vereinigungen erhalten ihre finanziellen Mittel ausschließlich über eine von den Vertragsärzten zu zahlende Verwaltungskostenumlage. Dabei wird das Honorar, das den Vertragsärzten zusteht, um einen bestimmten Prozentsatz gekürzt. Die KBV finanziert sich im Übrigen durch die Beiträge der Kassenärztlichen Vereinigungen und damit auch mittelbar über das Honorar der Vertragsärzte. Damit würde, wenn gegen die Kassenärztlichen Vereinigungen oder gegen die KBV Geldbußen verhängt werden sollten, dies immer zu Lasten der Vertragsärzte und der vertragsärztlichen Versorgung gehen. Das ärztliche Honorar für bereits erbrachte ärztliche Leistungen müsste im Falle eines Bußgeldes gekürzt werden. Dies wird von der KBV abgelehnt. Dies gilt umso mehr, als nach § 17 Abs. 4 Satz 2 OWiG der Bußgeldrahmen auch noch deutlich erhöht werden kann. Es stellt sich die Frage, ob diese Regelung im Einklang mit den Vorgaben der DSGVO steht.

5. ZU § 295 ABS. 1A SGB V

Nach § 295 Abs. 1a SGB V sind die an der vertragsärztlichen Versorgung teilnehmenden Ärzte verpflichtet und befugt, auf Verlangen der Kassenärztlichen Vereinigungen für die Erfüllung der Aufgaben nach § 106a SGB V die für die Prüfung erforderlichen Befunde vorzulegen. Durch das GKV‐Versorgungsstärkungsgesetz wurde mit Wirkung zum 1. Januar 2017 das System der Wirtschaftlichkeitsprüfungen in § 106 ff. SGB V umstrukturiert. Der bisherige § 106a SGB V, der die Abrechnungsprüfung in der vertragsärztlichen Versorgung regelt, wurde zum § 106d SGB V, da im Rahmen von Abrechnungsprüfungen nach § 106d SGB V in verschiedenen Fällen bereits der Verweisfehler geltend gemacht wurde, regen wir an, in § 295 Abs. 1a SGB V die Angabe „§ 106a“ durch „§ 106d“ zu ersetzen.

6. INFORMATIONSPFLICHTEN IN DER ÄRZTLICHEN VERSORGUNG

Die in den Artikeln 13 und 14 DSGVO geregelten Informationspflichten stellen in der ärztlichen Versorgung einen erheblichen bürokratischen Aufwand für Vertragsärzte dar. So müssen die Vertragsärzte über Datenverarbeitungen informieren, deren Ausmaß sie durch das komplexe System der gesetzlichen Krankenversicherung selbst kaum durchschauen. Hierbei ist zu beachten, dass die Abrechnung der Vertragsärzte gegenüber den Kassenärztlichen Vereinigungen erfolgt, die wiederum die Abrechnungsdaten an die zuständigen Krankenkassen weiterleiten. Für die Wirtschaftlichkeitsprüfungen sind dann Prüfungsstellen und Beschwerdeausschüsse zuständig. Es ist daher für Vertragsärzte kaum möglich, die sich aus den Artikeln 13 und 14 DSGVO ergebenen Pflichten zu erfüllen. Auch wenn das Bemühen um Transparenz anerkannt wird, so gibt es Behandlungssituationen, beispielsweise in Notfällen oder in schweren Fällen, in denen die Informationen vom Patienten gar nicht gewollt werden. Jeder Patient, der einen Arzt aufsucht, benötigt ärztliche Hilfe. Es ist diesen Patienten nicht verständlich, warum erst eine Information über die Datenverarbeitung erfolgen muss, bevor eine ärztliche Behandlung stattfinden kann.

Die KBV schlägt daher vor, dem österreichischen Modell in § 3b Abs. 2 Ärztegesetz (Österreich) zu folgen und für die ärztliche Versorgung die Rechte und Pflichten gem. den Artikeln 13, 14, 18 und 21 DSGVO auszuschließen.

7. BUNDESKRIMINALAMTGESTZ (BKAG)

Das Bundeskriminalamtgesetz wurde im Jahr 2017 entsprechend den Hinweisen des Bundesverfassungsgerichts (Urteil vom 20. April 2016 – 1 BVR 966/09) geändert. Mit dem BKAG sind nun nur noch bestimmte Berufsgruppen von den Maßnahmen des BKAG ausgenommen, wobei Ärzte und Psychotherapeuten nicht dazuzählen.

Diese Regelung ist nicht sachgerecht, denn sie ignoriert das Vertrauensverhältnis zwischen den im medizinischen Bereich tätigen Berufsgeheimnisträgern und Patienten, die um ihre Hilfe ersuchen müssen. Für das Verhältnis zwischen Ärzten und Psychotherapeuten auf der einen Seite und Patienten auf der anderen Seite ist das Vertrauensverhältnis von besonderer Bedeutung. Nur Patienten, die sicher sein können, dass Angaben über ihre Krankheit und weitere höchst sensible Informationen nicht zur Kenntnis Dritter gelangen, werden die für ihre medizinische Versorgung erforderlichen Angaben machen. Diese hochsensiblen Informationen sind zugleich Grundvoraussetzung dafür, dass Ärzte eine qualifizierte Versorgung gewährleisten können.

Der Gesetzgeber hat durch die Regelung in § 203 StGB und entsprechenden Zeugnisverweigerungsrechten für Ärzte und Psychotherapeuten gezeigt, dass er das Verhältnis zwischen Arzt / Psychotherapeut und Patient besonders schützen will. Das Vertrauensverhältnis zwischen Arzt / Psychotherapeut und Patient kann den absolut geschützten Kernbereich der privaten Lebensgestaltung betreffen. Ärztliche / psychotherapeutische Gespräche müssen insoweit mindestens genauso geschützt werden wie beispielsweise das Gespräch eines Rechtsanwalts oder Strafverteidigers mit seinem Mandanten. Das Bundesverfassungsgericht hat in der oben genannten Entscheidung auch darauf hingewiesen, dass neben Familienangehörigen, Geistlichen und Verteidigern auch Ärzte als Personen des höchstpersönlichen Vertrauens an der geschützten nichtöffentlichen Kommunikation des Einzelnen teilnehmen, die in der berechtigten Annahme geführt wird, nicht überwacht zu werden. Daher muss auch die Arzt / Psychotherapeuten‐Patienten‐Beziehung absolut vor Überwachungsmaßnahmen geschützt werden und nicht nur einer Abwägungsentscheidung im Einzelfall überlassen sein.

Die KBV fordert daher, dass Ärzte und Psychotherapeuten von der Ausnahmeregelung des § 62 BKAG erfasst werden.