Datenschutz: Verstöße werden teuer!
Noch zu Beginn der ersten Jahreshälfte 2018 waren Digitalisierung und Datenschutzrecht ein Thema, das in den allermeisten Zahnarztpraxen nicht an erster Stelle auf der Prioritätenliste stand. Dies hat sich seit „Scharfschaltung“ der europäischen Datenschutz-Grundverordnung (DSGVO) maßgeblich und spürbar geändert.
Seitdem liest man täglich Schlagzeilen zur Digitalisierung der Praxis, zur Telematikinfrastruktur (TI), zu Künstlicher Intelligenz und zu Datenschutzverstößen beziehungsweise Datenlecks in Zahn- und Arztpraxen, sowohl in Fachzeitschriften als auch in regionalen und überregionalen Tageszeitungen. Twitter, Facebook und andere tun ihr Übriges, um die Informationen schnellstmöglich medial zu verbreiten und eine Diskussion in Fach- und Patientenkreisen zu forcieren.
I. Ist die Datenverarbeitung via TI datenschutzkonform?
Das Vorantreiben der Digitalisierung im Gesundheitswesen ruft indes nicht selten Kritik hervor. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit dem Beschluss vom 12. September 2019 die Gegner bestärkt. Die Experten hatten dort verbindlich festgestellt, dass die datenschutzrechtliche Verantwortlichkeit innerhalb der TI (§ 291a Abs. 7 SGB V) jedenfalls in Teilen ausschließlich bei der gematik liegt. Im Übrigen soll sich eine gemeinsame datenschutzrechtliche Verantwortlichkeit zwischen gematik und Praxis ergeben (Art. 26 DSGVO). Hinsichtlich des Umfangs der Verantwortung bedürfe es einer gesetzlichen Regelung. Dazu ist es jedoch bis zum heutigen Tag nicht gekommen.
So sieht der Referentenentwurf des Patienten-Datenschutzgesetzes (PDSG) vor, dass die datenschutzrechtliche Verantwortlichkeit für einzelne Komponenten der TI ausschließlich den Leistungserbringern zugeordnet werden soll. Dies steht im klaren Widerspruch zum Beschluss der Datenschutzkonferenz. Die Reaktion des Gesetzgebers wird teilweise als unzureichend bezeichnet, so dass man durchaus die Frage stellen darf, ob eine Datenverarbeitung über die TI in dieser Form datenschutzkonform ist.
Die praktische Relevanz dieser Frage ist nicht zu unterschätzen, sehen sich Praxen, die nicht an die TI angeschlossen sind und keinen Versichertenstammdatenabgleich durchführen, einer pauschalen Honorarkürzung ausgesetzt. Mit der Anhebung des pauschalen Honorarabzugs von 1 auf 2,5 Prozent des kürzungsrelevanten Honoraranspruchs ab dem Abrechnungsquartal 1/2020 wird die Frage an Relevanz sicherlich nicht verlieren.
II. Bußgeldmodell der DSK bei Datenschutzverstößen
Bisweilen unklar war auch, welche wirtschaftlichen Konsequenzen mit einem (meldepflichtigen) Datenschutzverstoß in der Praxis einhergehen können. Auch dieser Frage hat sich die Datenschutzkonferenz noch im Jahr 2019 angenommen und ein konkretes Bußgeldmodell vorgestellt. Dies war auch zwingend erforderlich, da die DSGVO selbst lediglich die – recht unkonkrete – Möglichkeit der Verhängung von Bußgeldern in der Größenordnung von 2 bis 4 Prozent des erzielten Jahresumsatzes des dem Datenschutzverstoß vorausgegangenen Geschäftsjahres vorsieht. Nach der Vorstellung der DSK sollen sich die Datenschutzaufsichtsbehörden dabei von einem Bußgeldkonzept leiten lassen, das im Wesentlichen fünf Schritte umfasst.
1. Schritt: Eingruppierung des Unternehmens nach Größenklassen
2. Schritt: Bildung eines mittleren Jahresumsatzes
3. Schritt: Ermittlung eines wirtschaftlichen Grundwerts auf der Grundlage des mittleren Jahresumsatzes (Tagessatz)
4. Schritt: Multiplikation des errechneten Tagessatzes entsprechend des Schweregrades der Ordnungswidrigkeit („Datenschutzverstoß“)
5. Schritt: gegebenenfalls individuelle Anpassung des errechneten Bußgelds aufgrund besonderer Umstände
Wenngleich das Ansinnen der DSK, eine allgemeinverbindliche Regelung herstellen zu wollen, wohlwollend betrachtet werden sollte, so bietet das Konzept durchaus Ansatzpunkte für Kritik. Bedenkt man etwa, dass der zu realisierende Gewinn einer Zahnarztpraxis gemessen am Jahresumsatz regelmäßig deutlich geringer ausfallen wird, als bei Unternehmen aus anderen Wirtschaftsbereichen, stellt die starre umsatzbezogene Orientierung des DSK-Modells eine relevante Benachteiligung für Unternehmen dar, die im Bereich der Gesundheitswirtschaft agieren.
Oder anders ausgedrückt: Gemessen am Jahresumsatz wird ein Technologieunternehmen einen deutlich höheren Gewinnanteil haben, als dies bei einer Zahnarztpraxis der Fall ist. Aufgrund der Tatsache, dass die DSGVO ebenfalls von einer umsatzbezogenen Berechnung der Bußgelder ausgeht, steht jedoch zu befürchten, dass eine Abkehr vom starr umsatzbezogenen Modell der DSK nicht erfolgen wird.
Prof. Dr. jur. Bernd Halbe
Rechtsanwalt, Fachanwalt für Medizinrecht
Rechtsanwälte Prof. Dr. Halbe, Rothfuß & Partner mbB