Zustimmungsdokumentation für Versendungsdienstleister (nicht Abrechnungsfirma)

Question

Ich sehe ein echtes rechtliches Problem bei Ihrem Angebot, Rechnungen über einen Dienstleister versenden zu lassen - für alle Ärzte/innen die dieses Angebot verwenden und ggf. auch für Sie. Hierzu bedarf es m.E. eindeutig einer dokumentierten Zustimmung des/r Patienten/in.

Wenn als erlaubte Kontaktart "E-Mail" eingegeben wird und "Rechnungen" als Versendungsgegenstand, so ist nur zugestimmt, dass man SELBST die Rechnung versendet. Lässt man einen Dienstleister versenden, so ist das streng genommen ein Verstoß gegen die Verschwiegenheitsverpflichtung und daher zumindest heikel, weil man sich dann nur noch auf fehlenden Vorsatz berufen könnte.

Es bedürfte also eines eigenen Zustimmungskästchens für die Versendung der Rechnung durch einen Dienstleister und eines Filters der alle Patienten/innen filtert, die nicht zugestimmt haben.

Sinnvoll wäre neben der Reihe von Kästchen in den Patientendetails unter "akzeptierter Kontakt" ...  und "erlaubter Versand von" ... noch eine dritte Reihe:  "erlaubter Versand durch Dritte" mit : 1. Kästchen: Abrechnungsstelle (auch dies ist momentan nicht sauber darstellbar oder irre ich da?) und nun mein Wunsch ein  2. Kästchen: Vesendungsdienstleister.

Im Ablauf könnte man dann in einem ersten Schritt alle Rechungen per E-Mail versenden, bei denen die entsprechende Zustimmung vorliegt, dann in einem zweiten Schritt an alle Patienten/innen durch einen Dienstleister per Post versenden und zuletzt nur da wo keine Zustimmung vorliegt, man noch selbst falten.

Oder sehen Sie eine andere Möglichkeit?

Danke - Axel Anker

Answer 1

Sehr geehrter Herr Anker,

vielen Dank für Ihr Feedback. Das Versenden von Rechnungen über Dienstleister, könnten Sie auch einfacher lösen. Sie müssten mit dem Dienstleister einen Auftragsdatenvertrag (ADV) schließen und diesen dann in Ihre Datenschutzerklärung aufnehmen. Außerdem sollten die Privatrechnungen datensparsam formuliert sein, da diese ja beispielsweise auch an Steuerberater gesendet werden und deshalb möglichst *auf die gesetzlichen Vorgaben beschränkte* Diagnosen etc. enthalten sollten.

Eine Extrazustimmung zusätzlich ist dann nicht mehr notwendig.

Viele Grüße

Comments

Da haben Sie recht was die DSGVO betrifft, nicht jedoch in Bezug auf § 203 ABS. 1 Nr. 1 Strafgesetzbuch, m.E. ein klarer Verstoß (und Beihilfe/Anstiftung von Zollsoft?).

Lassen Sie das besser prüfen.

Axel Anker (Rechtsanwalt)

---

Sehr geeehrter Herr Anker,

vielen Dank für Ihre Anfrage, die KBV stellt das noch einmal genau klar:

"An der beruflichen Tätigkeit mitwirkende Personen

Eine wichtige Offenbarungsbefugnis im Hinblick auf die strafrechtliche Schweigepflicht regelt § 203 Abs. 3 Satz 2 StGB für den Fall, dass Ärzte externe Personen oder Unternehmen zur Unterstützung des Praxisbetriebs einsetzen. In Abgrenzung zu den Mitarbeitern, die organisatorisch in das Praxisteam ein- gegliedert sind, spricht das Gesetz von sonstigen mitwirkenden Personen. Zu diesem Personenkreis zählen insbesondere Mitarbeiter von Dienstleistungsunternehmen oder selbstständig tätige Personen, die Dienstleistungen für Ärzte erbringen, z. B. in den Bereichen Telekommunikation, Praxisverwaltungssystem, Steuerberatung oder Buchhaltung. Gegenüber diesem Personenkreis sind Ärzte zur Offenbarung von Patientengeheimnissen berechtigt, soweit bestimmte Informationen für die konkrete Tätigkeit der jeweiligen Person erforderlich sind (§ 203 Abs. 3 S. 2 StGB).

Hinweis: Allerdings werden Ärzte und andere Berufsgeheimnisträger häufiger nicht einschätzen können, welche Informationen für bestimmte Dienstleistungen erforderlich sind. Beispielsweise dürfte im Vorfeld einer Instandsetzung des Praxisverwaltungssystems nicht erkennbar sein, in welchem Umfang der Mitarbeiter eines IT-Dienstleisters Zugriff auf die Patientendaten benötigt. Daher sollte in einem Vertrag über die jeweilige Dienstleistung schriftlich vereinbart werden, dass das Unternehmen und dessen ausführende Mitarbeiter sich nur insoweit Kenntnis von Informationen über Patienten verschaffen, wie dies für die Vertragserfüllung erforderlich ist. Dies kann ggf. im Rahmen eines Vertrages über eine Auftragsdatenverarbeitung erfolgen (Vergleiche die Ausführungen unter 3.6.).

Zudem hat der Arzt nach dem Strafgesetzbuch dafür zu sorgen, dass die für ihn tätigen sonstigen mitwirkenden Personen zur Geheimhaltung verpflichtet werden (§ 203 Abs. 4 S. 2 Nr. 1 StGB). Entweder nimmt der Arzt selbst die Geheimhaltungsverpflichtung der sonstigen mitwirkenden Personen vor, oder er verpflichtet das von ihm beauftragte Dienstleistungsunternehmen, dass es die für den Arzt eingesetzten Unternehmensmitarbeiter seinerseits zur Geheimhaltung verpflichtet. Diese zweite Variante ist praktisch unvermeidlich, wenn die Mitarbeiter des beauftragten Unternehmens nicht in der Arztpraxis tätig werden oder häufig wechselndes Personal eingesetzt wird. Das betrifft insbesondere die in der Praxis übliche Fernwartung von IT-Systemen. Unterlässt der Arzt die Geheimhaltungsverpflichtung oder deren Übertragung auf das beauftragte Unternehmen und offenbaren dessen Mitarbeiter Patientengeheimnisse, macht sich auch der Arzt strafbar (§ 203Abs. 4 S. 2 Nr. 1 StGB).

Hinweis: Zu Beweiszwecken sollte die Geheimhaltungsverpflichtung bzw. deren Übertragung auf das beauftragte Dienstleistungsunternehmen in schriftlicher Form erfolgen. Gegenüber Rechtsanwälten, Steuerberatern und sonstige Berufsgeheimnisträgern ist keine gesonderte Geheimhaltungsverpflichtung erforderlich (§ 203 Abs. 4 S. 2 Nr. 2 Hs. 2 StGB)."

Das bedeutet zollsoft begeht hier weder Beihilfe noch sonst etwas Unbefugtes! Der Arzt ist hier in der Verpflichtung entsprechende Verschwiegenheit im vorhinein zu klären. Das heranziehen von Dritten für die Tätigkeit des Arztes ist grundsätzlich erlaubt, sollte aber entsprechend vertraglich geregelt werden (außer bei Steuerberatern, Anwälten etc.). Auch wir sind zu dieser Verschwiegenheit verpflichtet und halten diese voll und ganz ein.

Das volle Dokument finden Sie hier: https://www.kbv.de/media/sp/Empfehlungen_aerztliche_Schweigepflicht_Datenschutz.pdf

Ich hoffe, dass dies noch einmal aufklärt, dass dies kein "klarer Verstoß" ist.

---

Eine Privatrechnung ohne Diagnose(n)? Welche PKV erstattet diese?

---

Sehr geehrter Herr Hoffmann,

Möglichst keine bedeutet nicht per se keine Diagnosen sondern sollte den Punkt Datensparsamkeit lediglich verdeutlichen. Sie sollten Angaben eben auf das notwendigste Begrenzen und auf den gesetzlichen Rahmen beschränkt. Ich ändere es ab.

Answer 2

Ich habe das nochmals geprüft, Sie haben Recht und ich muss mich entschuldigen. Die "Erorderlichkeit" bezieht sich allein auf den Umfang der Datenweitergabe und nicht die Erforderlichkeit der Dienstleistung (Outsourcing) sorry hierfür, zu schnell geschrieben.