Datenschutz

Um die Dokumentation, Abrechnung und Qualitätssicherung einfach und vor allen Dingen schnell zu gestalten, wurden bei der Auswahl zwei klare Fragestellungen formuliert:

• Welche Daten sind nur für die Abrechnung relevant,
• welche Informationen sind zusätzlich für die Qualitätssicherung notwendig?

Die Dokumentation von abrechnungsrelevanten Daten und Daten zur Qualitätssicherung wurden daher strikt getrennt. Lediglich zwei Prozent aller in Baden-Württemberg dokumentierten IVOM müssen zu Qualitätssicherungszwecken mit zusätzlichen Informationen dokumentiert werden.

Die ContraCare GmbH ist als Betreiber des IVOM-Register für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Bereits bei der Konzeption des Systems wurde streng auf die Wahrung der datenschutzrechtlichen Belange sowie der Belange der Datensicherheit geachtet.

So sieht das IVOM-Register ein detailliertes Rollen- und Rechtekonzept vor, welches sicherstellt, dass unterschiedliche Nutzer jeweils nur Zugriff auf die Daten haben, deren Kenntnis für sie erforderlich ist. Bei der Erstellung des Konzeptes stand stets im Vordergrund, sowohl die persönlichen Daten der Ärzte als auch die Daten der Patienten zu schützen.

Zwar genügt für die Zwecke des Qualitätsmanagements und der Versorgungsforschung an sich die Nutzung pseudonymisierter Daten.

Für andere Zwecke – insbesondere die Abrechnung der erbrachten Leistungen – ist jedoch die Kenntnis bestimmter Patientendaten erforderlich. Um zu vermeiden, dass Daten doppelt erhoben werden müssen (einmal personenbezogen zur Abrechnung der Leistungen, einmal pseudonymisiert zu Zwecken des Qualitätsmanagements und der Versorgungsforschung), beschränkt das BDSG nicht bereits die Erhebung der Daten, sondern erst im zweiten Schritt die weitere Verarbeitung der Daten zu Zwecken des Qualitätsmanagements und der Versorgungsforschung dahingehend, dass die Daten nur anonymisiert bzw. pseudonymisiert verwendet werden dürfen.

Fazit: Es wurde von Anfang an bei der Entwicklung auf alle datenschutzrechtlichen Bestimmungen geachtet und diese entsprechend berücksichtigt. Das Gesamtkonzept entspricht voll und ganz den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik zum Schutz von Sozialdaten. Dies beinhaltet unter anderem eine spezielle Datenzugriffsregelung für verschiedene Benutzer, die Datenübertragung (starke Authentifizierung wie beim Online-Banking) und zentrale Datenhaltung, die Ausgestaltung des Rollen- und Rechtekonzeptes sowie auch  ein Auswertungskonzept, dass keine unerlaubten personenbezogenen (arzt- oder patientenbezogenen) Rückschlüsse erlaubt. Zusätzlich ist das AOK-IVOM-Register vor Zugriffen von außen geschützt.

Alle Vorgaben hinsichtlich der Datensicherheit sind erfüllt, bestätigt durch einen externen Gutachter.

Wegen der Erfassung und Übertragung sensibler Patientendaten, wird ein gesicherter Internet-Zugang zum AOK-IVOM-Register benötigt: Die ContraCare GmbH hat hierzu eine risikobasierte Authentifizierung implementiert (starke Authentifizierung wie beim Online Banking). Die eingegebenen Daten werden über eine gesicherte Verbindung (SSL-Tunnel) von Ihrem PC an das IVOMRegister übertragen. Die ContraCare GmbH schützt die Daten durch ein spezifisches Sicherheitskonzept, überwacht durch ein externes Zertifizierungsunternehmen und den externen Datenschutzbeauftragten.

Mit Beginn der Teilnahme des Leistungserbringers an dem IVOM-Vertrag nach § 140a SGB V wird die ContraCare GmbH für jeden einzelnen Leistungserbringer ein Benutzerkonto im Abrechnungsregister anlegen.

Nach Bekanntgabe der Zugangsvoraussetzungen meldet sich der Leistungserbringer am Abrechnungsregister der ContraCare GmbH mit den übermittelten Zugangsdaten an.

Bei der Weitergabe der personenbezogenen Daten an die ContraCare müssen aus juristischer Sicht zwei Aspekte berücksichtigt werden: Zum einen muss die ContraCare GmbH befugt sein, die Patientendaten zu erheben, zum anderen müssen die Ärzte befugt sein, die Patientendaten an die ContraCare GmbH zu übermitteln. Beide Aspekte hängen miteinander zusammen, müssen jedoch rechtlich getrennt voneinander betrachtet werden.

1. Erhebung patientenbezogener Daten durch die ContraCare GmbH
   Im Datenschutzrecht gilt der Grundsatz, dass die Erhebung, Speicherung, Verarbeitung oder sonstige Nutzung personenbezogener Daten nur zulässig ist, wenn der Betroffene (d.h. hier der Patient) einwilligt.
2. Weitergabe der personenbezogenen Dokumentationen durch die Ärzte
   Patientenbezogene Daten unterliegen der ärztlichen Schweigepflicht gemäß § 9 der Berufsordnung der Ärzte (BO-Ä) bzw. § 203 Strafgesetzbuch (StGB). Auch hier gilt, dass eine Weitergabe von Patientendaten durch den Arzt nur zulässig ist, wenn der Patient in die Weitergabe einwilligt.

Hat der Patient eine Einwilligungserklärung unterschrieben, bestehen im Ergebnis somit keine durchgreifenden Bedenken gegen die Erhebung der Daten durch die ContraCare GmbH bzw. die Weitergabe der Daten durch die Ärzte.

Verstößt die Weitergabe der Patientendaten an die ContraCare GmbH gegen das Grundgesetz?

Nein. Letztlich liegt dem gesamten Datenschutzrecht das Grundrecht auf informationelle Selbstbestimmung, d.h. das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen, zugrunde. Dieses Grundrecht wird jedoch nicht uneingeschränkt gewährt, sondern unterliegt – wie die meisten Grundrechte – Schranken. Diese Schranken werden durch das Datenschutzrecht ausgeformt. Das bedeutet: Wird eine Datenerhebung, -verarbeitung oder sonstige Nutzung von einer datenschutzrechtlichen Norm gedeckt und ist diese Norm ihrerseits wiederum verfassungsgemäß, liegt kein Verstoß gegen das Recht auf informationelle Selbstbestimmung vor.