Gesundheitsdaten an Inkassounternehmen
Die Datenschutzbehörde erreichte die Anfrage, ob Gesundheitsdaten an Inkassounternehmen übermittelt werden dürfen. Hintergrund war, dass ein Patient eine ärztliche Behandlung nicht bzw. nicht fristgemäß bezahlt hatte. Zur Durchsetzung seiner Ansprüche auf Zahlung des ärztlichen Honorars hatte der Arzt ein Inkassounternehmen mit der Geltendmachung seiner Ansprüche gegenüber dem Patienten beauftragt. Der Patient wurde von dem Inkassounternehmen zur Zahlung des ärztlichen Honorars aufgefordert. Der Patient hatte sich deshalb an die Datenschutzaufsicht gewandt und gefragt, ob der Arzt berechtigt war, seine Daten an das Inkassounternehmen zu übermitteln, da dieses keinem Berufsgeheimnis bzw. keinen Geheimhaltungspflichten unterliegen würde. Die Verarbeitung von personenbezogenen Daten bedarf grundsätzlich einer Rechtsgrundlage, vgl. Art. 5 Abs. 1 Buchst. a Datenschutz-Grundverordnung (DSGVO). Die Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO ist grundsätzlich untersagt, soweit nicht ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO gegeben ist.
Mit der Verarbeitung von Gesundheitsdaten sind – im Verhältnis zu personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO – weitere Voraussetzungen an eine rechtmäßige Datenverarbeitung verbunden. Gesundheitsdaten im Sinne der DSGVO sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; Art. 4 Nr. 15 DSGVO. Unerheblich ist, ob es sich um den früheren, gegenwärtigen oder künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person handelt, vgl. Erwägungsgrund 35 der DSGVO. Auch Informationen, die sich mittelbar auf den Gesundheitszustand einer Person beziehen, können grundsätzlich unter den Begriff der Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO fallen, wie zum Beispiel die Information über den Besuch bei einer Ärztin oder einem Arzt. Im vorliegenden Fall blieb unklar, welche konkreten Daten an das Inkassounternehmen übermittelt wurden, sodass eine Aussage, ob die Beurteilung der Rechtmäßigkeit der Datenverarbeitung nach Art. 9 Abs. 2 DSGVO oder Art. 6 DSGVO vorzunehmen ist, nicht getroffen werden konnte. Dem Anfragenden wurde daher mitgeteilt, dass Art. 9 Abs. 2 Buchst. f DSGVO Rechtsgrundlage für die Datenverarbeitung sein könnte, soweit es sich um Gesundheitsdaten handeln sollte. Danach ist die Verarbeitung von Gesundheitsdaten ausnahmsweise zulässig, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist. Dazu zählt auch die außergerichtliche Geltendmachung von Ansprüchen; vgl. Erwägungsgrund 52 Satz 3 der DSGVO. Es gilt jedoch zu beachten, dass es sich bei der Geltendmachung von außergerichtlichen Ansprüchen um streitige Ansprüche handeln muss. In derartigen Fällen ist demzufolge eine datenschutzrechtliche Einwilligung nach Art. 9 Abs. 2 Buchst. a DSGVO nicht erforderlich.
Die Datenschutzbehörde hat darauf hingewiesen, dass für Art. 9 Abs. 2 Buchst. f DSGVO die Vorschrift des Art. 9 Abs. 3 DSGVO, wonach die Verarbeitung nur von Personen, die einer Geheimnispflicht unterliegen, durchgeführt werden darf, nicht greift. Ein Erfordernis mit der außergerichtlichen Geltendmachung von Zahlungsansprüchen nur Personen zu beauftragen, die einem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegen, ergibt sich für den Erlaubnistatbestand des Art. 9 Abs. 2 Buchst. f DSGVO gerade nicht. Inwieweit eine vorherige Forderungsabtretung an das Inkassounternehmen ggf. eine andere datenschutzrechtliche Beurteilung zur Folge hätte, konnte in Ermangelung einer Konkretisierung des Sachverhalts durch die betroffene Person meinerseits nicht beurteilt werden.
Was ist zu tun? Bei der Übermittlung von Gesundheitsdaten an Dritte ist Verantwortlichen, die Patientendaten zu verarbeiten haben, Sorgfalt anzuraten. Im Zweifel ist sogar eine Einwilligung für eine Datenweitergabe einzuholen, es sei denn, streitige Rechtsansprüche sollen durchgesetzt werden.
Quelle: SDTB
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks