Datenschutz

Kassen kennen keine Schweigepflicht

, Uhr
Berlin -

Beim Umgang mit sensiblen Versichertendaten auf Rezepten ist besondere Sorgfalt notwendig. Diskutiert wird derzeit, ob die Rechenzentren der Apotheker ihrerseits Unterauftragnehmer einschalten dürfen – die Datenschützer wollen über das Thema sprechen. Die Krankenkassen haben da mehr Freiheiten: Sie dürfen mit der Kontrolle der Abrechnung private Rezeptprüffirmen wie GfS oder Inter-Forum beauftragen. Denn anders als Apotheker und Ärzte unterliegen Krankenkassen nicht der Schweigepflicht, sondern den Vorgaben zum Schutz der Sozialdaten.

Für jede Weitergabe von Daten müsse immer eine Befugnis vorliegen, entweder auf gesetzlicher Grundlage oder durch eine Einwilligung, erklärt Torsten Koop vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Das gilt auch dann, wenn Krankenkassen bei der Rezeptprüfung Dritte einschalten.

Dass sie das dürfen, ist im Sozialgesetzbuch (SGB X) geregelt. Demnach können Kassen Prüfzentren beauftragen, wenn sonst „Störungen im Betriebsablauf“ drohen oder wenn die Prüfung durch die Firmen „erheblich kostengünstiger“ durchgeführt werden kann. Im letzten Fall darf der Auftrag nicht die Speicherung des gesamten Datenbestandes der Kassen umfassen; der überwiegende Teil der Informationen muss beim Auftraggeber verbleiben.

Wenn die Auflagen erfüllt sind, ist es aus Sicht des Berliner Datenschutzbeauftragten Dr. Alexander Dix legitim, dass Kassen private Prüfzentren einschalten. So sieht es auch Koop: Als Sozialdienstleister dürften die Krankenkassen andere Stellen mit Hilfstätigkeiten beauftragen, sie blieben aber für die Daten verantwortlich. „Man kann die Aufgabe auslagern, aber nicht die Verantwortung.“

Für die Einschaltung externer Dienstleister gebe es aber strenge Auflagen, betont Koop. So müsse einen Vertrag zwischen Kasse und Unterauftragnehmer vorliegen, der alle im SGB X vorgeschriebenen Angaben enthalte und somit dem Dienstleister keinerlei Entscheidungshoheit über die Daten erlaube. „Der konkrete schriftliche Auftrag darf dem Auftragnehmer keinen eigenen Spielraum geben.“

Krankenkassen, die Rezeptprüffirmen einschalten wollen, müssen vorab die zuständige Aufsichtsbehörde informieren – also das jeweilige Ministerium oder das Bundesversicherungsamt (BVA). Entsprechend sind entweder die Datenschutzbehörden der Länder zuständig oder der Bundesbeauftragte für Datenschutz.

Problematisch wird es, wenn die privaten Unternehmen eigene Entscheidungen zu den Daten treffen können oder müssen. So sind Verträge auf Provisionsbasis laut Koop eine „gefährliche Gratwanderung“. Auch ein Sprecher des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen, Ulrich Lepper, findet solche Vereinbarungen bedenklich. Geprüft habe man eine solche Konstellation bislang aber nicht.

Ein Sprecher der Bundesbeauftragten für Datenschutz, Andrea Voßhoff, sieht es anders. Er erklärt, dass ein Arbeiten auf Provisionsbasis nicht zwangsläufig einen Verstoß gegen den Datenschutz darstelle – dies sei erst einmal „nur ein Abrechnungsmodell“. Denn auch wenn die Bezahlung vom Ergebnis abhänge, finde noch keine Funktionsübertragung statt. Letztlich müsse im konkreten Einzelfall die Ausgestaltung der Verträge geprüft werden. „Die Art der Bezahlung ist aber für den Datenschutz vollkommen irrelevant“, betont der Sprecher.

Für die Prüfung der Rechtmäßigkeit sei entscheidend, ob es sich um eine Datenverarbeitung im Auftrag oder eine sogenannte Funktionsübertragung handele: „Die 'Datenverarbeitung im Auftrag' zeichnet sich dadurch aus, dass Auftragnehmer keine Entscheidungsbefugnis haben“, erklärt er. Die Verantwortung verbleibe immer beim Auftraggeber.

Auch eine „Funktionsübertragung“ sei aber nach den gesetzlichen Vorgaben statthaft – wenn sie wirtschaftlicher sei, Rechte von Versicherten nicht beeinträchtige und keine wesentliche Aufgabe der Versorgung betreffe, so der Sprecher.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

APOTHEKE ADHOC Debatte