Entscheidungsstichwort (Thema)
Krankenversicherung. Weitergabe von Patientendaten durch Leistungserbringer. Krankenhaus. Vertragsarzt. keine Datenübermittlung an private Dienstleistungsunternehmen zwecks Leistungsabrechnung. Kassenärztliche Vereinigung. Zurückweisung von Abrechnungen durch private Abrechnungsstellen
Leitsatz (amtlich)
1. Im Geltungsbereich des SGB 5 ist die Weitergabe von Patientendaten durch Leistungserbringer nur dann und in dem Umfang erlaubt, in dem bereichsspezifische Vorschriften über die Datenverarbeitung im SGB 5 dies gestatten; die allgemeinen Regelungen des Datenschutzes, die die Datenübermittlung bei Vorliegen einer Einwilligungserklärung des Betroffenen erlauben, finden insoweit keine Anwendung.
2. Krankenhäuser sowie Vertragsärzte dürfen Patientendaten, die gesetzlich Krankenversicherte betreffen, nicht zur Erstellung der Leistungsabrechnung an private Dienstleistungsunternehmen übermitteln.
3. Die KÄV ist berechtigt, durch private Abrechnungsstellen ohne ausreichende gesetzliche Ermächtigung erstellte Abrechnungen zurückzuweisen.
Normenkette
SGB 1 § 35 Abs. 1 S. 4; SGB 5 § 106a Abs. 1, 2 S. 1, §§ 284, § 284ff, §§ 294, § 294ff, § 300 Abs. 1 Fassung: 1988-12-20, Abs. 2 S. 2, § 302 Abs. 2 Sätze 2-4; SGB 10 §§ 67, § 67ff; BDSG § 4 Abs. 1; BDSG 1990 § 4 Abs. 1; BDSG § 4a Abs. 1 S. 1; BDSG 1990 § 4a Abs. 1 S. 1
Verfahrensgang
Tatbestand
Streitig ist, ob die Erstellung einer Abrechnung für vertragsärztliche Leistungen über eine private Abrechnungsstelle erfolgen darf.
Die Klägerin ist Trägerin eines im Bezirk der beklagten Kassenärztlichen Vereinigung (KÄV) gelegenen und zur Versorgung von Versicherten der gesetzlichen Krankenversicherung zugelassenen Krankenhauses. Seit dem Jahr 1997 erstellt sie die Abrechnung der bei gesetzlich Krankenversicherten sowie bei Berechtigten der freien Heilfürsorge vorgenommenen ambulanten Notfallbehandlungen mit Hilfe der Beigeladenen zu 1., einem Zusammenschluss mehrerer privatärztlicher Verrechnungsstellen zu einem Dienstleistungsunternehmen in der Rechtsform einer GmbH. Hierzu nimmt die Klägerin die im Rahmen einer Notfallbehandlung anfallenden Patientendaten über einen sog Notfallschein auf und lässt die Patienten eine jederzeit widerrufliche Einverständniserklärung zur Bearbeitung dieser Daten durch eine privatärztliche Verrechnungsstelle gegenzeichnen. Die Notfallscheine reicht sie an die Beigeladene zu 1. weiter. Deren Mitarbeiter erfassen alle für die Abrechnung erforderlichen Daten auf einem computerlesbaren Datenträger und ordnen - soweit erforderlich - die erbrachten medizinischen Leistungen den jeweils einschlägigen Gebührenziffern des Einheitlichen Bewertungsmaßstabs für ärztliche Leistungen zu. Anschließend legt die Klägerin die über die Beigeladene zu 1. erstellten Abrechnungen quartalsweise zusammen mit von ihr unterzeichneten Abrechnungs-Sammelerklärungen bei der Beklagten vor.
Mit Schreiben vom 10.12.2004 teilte die Beklagte mit, dass vertragsärztliche Leistungen nur noch unmittelbar zwischen Leistungserbringer und KÄV abgerechnet werden könnten. Eine Abrechnungserstellung über eine privatärztliche Verrechnungsstelle sei datenschutzrechtlich nicht zulässig und werde ab dem Quartal I/2005 zurückgewiesen. Zudem vereinbarte die Beklagte mit den Verbänden der Krankenkassen mit Wirkung zum 1.1.2006 eine Ergänzung des Honorarverteilungsvertrags (HVV), derzufolge die Rechnungslegung von den Leistungserbringern "persönlich - ohne die Einschaltung von Dritten, insbesondere sog Verrechnungsstellen, - vorzunehmen" sei und die "aufgrund unzulässiger Datenverarbeitung erstellte Abrechnung" nicht verwendet werden dürfe und zurückgewiesen werde (§ 4 Nr 1 Abs 2 HVV) .
Das von der Klägerin angerufene Sozialgericht (SG) hat die Beklagte mit Beschluss vom 22.4.2005 (S 14 KA 54/05 ER - bestätigt durch Beschluss des Landessozialgerichts ≪LSG≫ vom 13.9.2005 - L 11 B 16/05 KA ER) , vorläufig zur Abrechnung verpflichtet und im Hauptsacheverfahren festgestellt, dass die Beklagte zur Entgegennahme und Bescheidung der mit Hilfe der Beigeladenen zu 1. erstellten vertragsärztlichen Abrechnungen für ambulante Notfallbehandlungen verpflichtet ist (Urteil vom 30.8.2006) . Die hiergegen gerichtete Berufung der Beklagten hat das LSG zurückgewiesen (Urteil vom 13.6.2007) . Zur Begründung hat das LSG ausgeführt, die Beklagte dürfe die Abrechnungen der Klägerin nicht ablehnen. Eine solche Berechtigung könne nicht aus den §§ 284 ff SGB V hergeleitet werden. Dort sei lediglich spezialgesetzlich geregelt, welche Sozialdaten Krankenkassen und KÄVen ohne eine entsprechende Einwilligung der Patienten erheben, speichern und verarbeiten dürften. Liege aber - wie hier - eine Einwilligung der Betroffenen vor, sei nach § 4 Abs 1 Bundesdatenschutzgesetz (BDSG), § 67b Abs 1 Satz 1 SGB X eine Erstellung der Abrechnung durch externe Dritte datenschutzrechtlich zulässig.
Die Beklagte könne auch aus der Regelung in § 4 Nr 1 Abs 2 HVV keine Berechtigung dafür herleiten, die Abrechnungen der Klägerin zurückzuweisen. Zwar sei nach dem Wortlaut dieser Bestimmung eine Rechnungslegung durch Dritte ausdrücklich ausgeschlossen; es fehle im SGB V aber an einer Ermächtigungsgrundlage für die Aufnahme einer solchen Vorschrift in einen HVV. Eine Befugnis hierzu ergebe sich insbesondere nicht aus dem in § 75 Abs 1 Satz 1 SGB V normierten Auftrag der KÄVen, eine den gesetzlichen und vertraglichen Bestimmungen entsprechende vertragsärztliche Versorgung zu gewährleisten. Auch wenn hierzu eine sorgfältige und wahrheitsgemäße Abrechnung der erbrachten vertragsärztlichen Leistungen gehöre, sei nicht ersichtlich, inwiefern dies durch die Einschaltung einer externen Abrechnungsstelle gefährdet sein könnte.
Schließlich sei auch nicht erkennbar, dass - über die Einwilligung des Patienten hinaus - für die Abrechnung vertragsärztlicher Leistungen mit Hilfe einer externen Datenverarbeitung eine gesonderte gesetzliche Grundlage erforderlich sei. Jedenfalls aus § 73 Abs 1b SGB V, der ua einen Datenaustausch zwischen den mit- und weiterbehandelnden Ärzten und sonstigen Leistungserbringern desselben Patienten ermögliche, könne dies nicht hergeleitet werden. Der Anwendungsbereich dieser Vorschrift lasse sich nicht auf alle Fälle einer Datenverarbeitung mit Einwilligung des Patienten ausdehnen. Ebenso wenig könne dem krankenversicherungsrechtlichen Sachleistungsprinzip aus § 2 Abs 2 Satz 1 SGB V entnommen werden, dass ohne gesonderte gesetzliche Grundlage eine Einverständniserklärung des Patienten für die Weitergabe seiner Daten unzulässig sei. Aus diesem Prinzip folge zwar, dass eine vertragsärztliche Behandlung nicht von der vorherigen Unterzeichnung einer datenschutzrechtlichen Einwilligungserklärung abhängig gemacht werden dürfe. Eine entsprechende Beeinflussung der Patienten in der Notfallaufnahme der Klägerin sei aber nicht ersichtlich; die diesbezüglichen Bedenken der Beklagten seien unberechtigt.
Mit ihrer Revision rügt die Beklagte eine Verletzung der §§ 2, 75 Abs 1 SGB V durch das Berufungsgericht. Das LSG verkenne, dass eine Beteiligung privater Abrechnungsstellen an der Erstellung vertragsärztlicher Abrechnungen gesetzlich nicht vorgesehen sei. Insoweit werde in § 4 Nr 1 Abs 2 HVV ein die vertragsärztliche Vergütung betreffender Sachverhalt geregelt, der durch den Sicherstellungsauftrag der KÄVen und die Vertragsabschlusskompetenz zwischen der Beklagten und den Landesverbänden der Krankenkassen aus § 85 Abs 4 Satz 2 SGB V gedeckt sei. Ferner folge aus dem Sachleistungsprinzip, dass sowohl die Weitergabe von Patientendaten an Dritte als auch die Einholung einer Einverständniserklärung hierzu einer gesetzlichen Grundlage bedürfe, die im SGB V jedoch fehle. Im Übrigen könne sich das von den Notfallpatienten der Klägerin abgegebene Einverständnis zur Weitergabe ihrer nach § 35 SGB I geschützten Sozialdaten nur auf die in dieser Norm ausdrücklich aufgeführten Leistungsträger beziehen. Zu diesen Leistungsträgern zähle die Beigeladene als eine private Abrechnungsstelle nicht. Vor diesem Hintergrund könne dahingestellt bleiben, ob die abgegebenen Einverständniserklärungen den gesetzlichen Anforderungen aus § 67b Abs 2 SGB X genügten.
Die Beklagte beantragt,
die Urteile des Landessozialgerichts Nordrhein-Westfalen vom 13.6.2007 und des Sozialgerichts Düsseldorf vom 30.8.2006 aufzuheben und die Klage abzuweisen.
Die Klägerin und die Beigeladene zu 1. beantragen,
die Revision zurückzuweisen.
Die Klägerin hält das Berufungsurteil für zutreffend. Die Regelung in § 4 Nr 1 Abs 2 HVV sei darauf ausgerichtet, die Einschaltung privater Abrechnungsstellen bei der Erstellung vertragsärztlicher Abrechnungen zu unterbinden. Zu Abrechnungsfragen weise die Regelung aber keinen Bezug auf und dürfe daher nicht in einem Honorarverteilungsvertrag normiert werden.
Die Beigeladene zu 1. macht geltend, dass durch diese Regelung ohne rechtfertigenden Grund in die Freiheit der Berufsausübung gemäß Art 12 Abs 1 GG eingegriffen werde. Die Klägerin werde gezwungen, entsprechend sachkundiges Personal zur Abrechnung von Notfallbehandlungen anzustellen. Dies greife in deren unternehmerische Freiheit ein, über die Personal- und Organisationsstruktur im Unternehmen selbst zu entscheiden.
Die übrigen Beteiligten äußern sich im Revisionsverfahren nicht.
Entscheidungsgründe
Die Revision der Beklagten ist begründet. Entgegen der Auffassung der Vorinstanzen ist die Beklagte grundsätzlich nicht verpflichtet, Abrechnungen über erbrachte ambulante Notfallbehandlungen auch dann entgegenzunehmen und inhaltlich zu bescheiden, wenn die Rechnungslegung durch eine externe Abrechnungsstelle - sei es in Form privatärztlicher oder gewerblicher Abrechnungsstellen - erfolgt ist. Vielmehr ist sie berechtigt, solche Abrechnungen zurückzuweisen. Die von den Vorinstanzen zu Recht für zulässig erachtete Feststellungsklage (§ 55 Abs 1 Nr 1 SGG) ist mithin abzuweisen.
Die Beklagte ist gemäß § 106a Abs 1 iVm Abs 2 Satz 1 Halbsatz 1 SGB V - zum 1.1.2004 eingefügt durch Art 1 Nr 83 des Gesetzes zur Modernisierung der gesetzlichen Krankenversicherung vom 14.11.2003 (BGBl I, 2190) - gesetzlich berechtigt und verpflichtet, die Rechtmäßigkeit der Abrechnungen in der vertragsärztlichen Versorgung zu prüfen sowie die sachliche und rechnerische Richtigkeit der Abrechnungen der Vertragsärzte festzustellen. Dies gilt auch für die Abrechnung von Notfallbehandlungen, die durch nicht an der vertragsärztlichen Versorgung teilnehmende Krankenhäuser erbracht werden. Wie der Senat in ständiger Rechtsprechung (vgl ua SozR 3-2500 § 120 Nr 7 S 37; SozR 4-2500 § 75 Nr 2 RdNr 5 f) entschieden hat, werden die in Notfällen von Nichtvertragsärzten und Krankenhäusern erbrachten Notfallleistungen im Rahmen der vertragsärztlichen Versorgung durchgeführt und sind aus der Gesamtvergütung zu honorieren. Die Rechtsgrundlage des Vergütungsanspruchs für Nichtvertragsärzte und Krankenhäuser ergibt sich demnach dem Grunde und der Höhe nach aus den Vorschriften des Vertragsarztrechts über die Honorierung vertragsärztlicher Leistungen. Aus der Zuordnung dieser Notfallleistungen zur vertragsärztlichen Versorgung folgt nach der Rechtsprechung des Senats (aaO; zuletzt Urteile vom 17.9.2008, B 6 KA 46/07 R - zur Veröffentlichung in SozR 4 vorgesehen - und B 6 KA 47/07 R, jeweils RdNr 18) , dass sich die Honorierung dieser Behandlungen nach den Grundsätzen richtet, die für die Leistungen der Vertragsärzte und der zur Teilnahme an der vertragsärztlichen Versorgung ermächtigten Personen und Institutionen gelten. Diese Gleichstellung der in Notfällen tätigen Krankenhäuser mit Vertragsärzten bewirkt nicht allein die Anwendung der für Vertragsärzte geltenden Honorarregelungen im engeren Sinne. Vielmehr gelten auch die übrigen für die Erbringung und Abrechnung von Leistungen maßgeblichen Bestimmungen des Vertragsarztrechts - einschließlich derjenigen über die Berichtigung von vertragsärztlichen Abrechnungen - entsprechend.
Gegenstand des Berichtigungsverfahrens ist es, die Abrechnung des Vertragsarztes oder des Krankenhauses auf ihre Übereinstimmung mit den gesetzlichen, vertraglichen oder satzungsrechtlichen Vorschriften des Vertragsarztrechts - mit Ausnahme des Wirtschaftlichkeitsgebots - zu überprüfen (vgl§ 3 Abs 1 und 2 iVm§ 4 der Richtlinien der Kassenärztlichen Bundesvereinigung und der Spitzenverbände der Krankenkassen zum Inhalt und zur Durchführung der Abrechnungsprüfungen der KÄVen und der Krankenkassen ≪AbrPr-RL≫, DÄ 2004, A-2555 bzw A-3135). Während bislang das Richtigstellungsverfahren von Amts wegen oder auf Antrag einer Krankenkasse durchgeführt werden konnte (vgl BSGE 89, 90, 93 f = SozR 3-2500 § 82 Nr 3 S 6 und stRspr, zB BSG SozR 4-5520 § 32 Nr 2 RdNr 10 und BSG SozR 4-5533 Nr 40 Nr 2 RdNr 11; zuletzt BSG, Urteil vom 7.2.2007 - B 6 KA 32/05 R , RdNr 11 = USK 2007-14) , ist die Beklagte nach dem seit dem 1.1.2004 geltenden Recht - unabhängig von einer weiterhin möglichen Antragstellung - zu einem Tätigwerden von Amts wegen verpflichtet. Bei Fehlern hinsichtlich der sachlich-rechnerischen Richtigkeit berichtigt sie die Honoraranforderung. Dies kann auch im Wege nachgehender Richtigstellung erfolgen (s die vorstehenden Nachweise) . Zu den Vorschriften des Vertragsarztrechts, die Gegenstand einer Prüfung nach § 106a SGB V sind, gehören auch die bereichsspezifischen Vorschriften zur Datenerhebung, -verarbeitung und -nutzung im Rahmen der vertragsärztlichen Abrechnung. Denn diese Datenverarbeitungsvorschriften definieren ebenfalls Anforderungen an eine "formal richtige Abrechnung der erbrachten Leistungen" (§ 3 Abs 1 Satz 2 AbrPr-RL) bzw an die "rechtliche Ordnungsmäßigkeit der Leistungsabrechnung" (§ 6 Abs 1 Satz 1 AbrPr-RL) .
Die KÄVen sind auf der Grundlage von § 106a Abs 2 Satz 1 SGB V berechtigt, Abrechnungen von Leistungen in der ambulanten vertragsärztlichen Versorgung, die unter Weitergabe der hierfür erforderlichen Behandlungs- und Patientendaten an eine externe Abrechnungsstelle angefertigt wurden, als in ihrer Gesamtheit nicht ordnungsgemäß zu behandeln und von einer Berücksichtigung bei der Honorarverteilung auszuschließen. Solche Abrechnungen sind "rechtlich nicht ordnungsgemäß" bzw "formal unrichtig" im Sinne der Vorschriften zur Abrechnungsprüfung. Denn für eine Übermittlung von Patientendaten an externe Abrechnungsstellen fehlt - von wenigen, hier nicht einschlägigen Ausnahmen abgesehen - bislang die hierfür erforderliche gesetzliche Grundlage. Eine solche bereichsspezifische Rechtsgrundlage für die Datenweitergabe ist auch nicht entbehrlich, wenn die betroffenen Patienten formal in die Datenweitergabe eingewilligt haben.
Nach der Rechtsprechung des Bundesverfassungsgerichts (BVerfG) ist das Grundrecht auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet. Vielmehr muss der Einzelne solche Beschränkungen seines Rechts hinnehmen, die durch überwiegende Allgemeininteressen gerechtfertigt sind; diese Beschränkungen bedürfen jedoch einer verfassungsmäßigen gesetzlichen Grundlage (stRspr des BVerfG, vgl BVerfGE 65, 1, 43 f; BVerfGE 115, 320, 345; BVerfG SozR 4-1300 § 25 Nr 1 RdNr 20; zuletzt BVerfG, Nichtannahmebeschluss vom 25.2.2008, 1 BvR 3255/07- juris RdNr 21 = NJW 2008, 1435 f; s auch BSGE 59, 172, 181 = SozR 2200 § 368 Nr 9 S 39) . Ebenso ist anerkannt, dass die zwangsweise Erhebung von personenbezogenen Daten, wie sie insbesondere in der gesetzlichen Krankenversicherungen durchgeführt wird, nicht unbeschränkt statthaft ist (vgl BVerfGE 65, 1, 45) . Gerade in der gesetzlichen Krankenversicherung wird der Zwang der Versicherten, ihre Gesundheitsdaten offenlegen zu müssen, noch dadurch verstärkt, dass sie dem System der gesetzlichen Krankenversicherung in der Regel aufgrund des Bestehens von Versicherungspflicht - begrifflich also aufgrund einer Zwangsversicherung, die bei Vorliegen der gesetzlichen Voraussetzungen unabhängig vom Willen des Versicherten eintritt (vgl Gerlach in Hauck/Noftz, SGB V, Stand: März 2003, K § 5 RdNr 58) - angehören (siehe hierzu ua BVerfGE 115, 25, 42 ff = SozR 4-2500 § 27 Nr 5; BSGE 98, 129 = SozR 4-2400 § 35a Nr 1, jeweils RdNr 44). Im Übrigen ist schon angesichts der Gefahren der modernen Datenverarbeitung ein Schutz gegen Zweckentfremdung durch Weitergabe- und Verwertungsverbote erforderlich (BVerfGE 65, 1, 46).
Diesen Vorgaben entsprechend sind die bereichsspezifischen datenschutzrechtlichen Regelungen im Sozialgesetzbuch - im SGB X wie im SGB V - im Ergebnis als "Verbotsnorm mit Erlaubnisvorbehalt" ausgestaltet worden (Bieresborn in von Wulffen, SGB X, 6. Aufl 2008, § 67b RdNr 3; Rombach in Hauck/Noftz, SGB X, Stand: März 2002, K § 67a RdNr 3 und K § 67d RdNr 25 f; Eul in Schulin, Handbuch des Sozialversicherungsrechts, Band 1, Krankenversicherungsrecht, 1994, § 48 RdNr 6; kritisch in Bezug auf die Terminologie Simitis, Kommentar zum BDSG, 5. Aufl 2003, § 4 RdNr 3) .
Die Entstehungs- und Entwicklungsgeschichte der bereichsspezifischen Normen belegt, dass der Gesetzgeber dem Sozialdatenschutz gerade in der gesetzlichen Krankenversicherung hohe Bedeutung beimisst. Der Gesetzgeber sah sich verpflichtet, die erforderlichen Grundlagen für die Verarbeitung personenbezogener Daten im Zusammenhang mit Leistungsabrechnungen im System der Gesetzlichen Krankenversicherung (GKV) zu schaffen (vgl BSGE 95, 199 = SozR 4-2500 § 106 Nr 11, jeweils RdNr 27) ; mit den in den §§ 284 ff SGB V normierten Regelungen sollte dem Recht der Versicherten auf informationelle Selbstbestimmung im Rahmen der krankenversicherungsrechtlichen Datenverwendung und -verarbeitung Rechnung getragen werden (BSG SozR 3-2500 § 295 Nr 1 S 7). Im Bericht des Ausschusses für Arbeit und Sozialordnung zum Gesundheits-Reformgesetz (GRG) wird betont, die datenschutzrechtlichen Überlegungen müssten davon ausgehen, dass nicht nur ein besonders großer Kreis von Menschen betroffen sein werde, sondern dass darüber hinaus die Verarbeitung personenbezogener Gesundheitsdaten, die zu einem guten Teil der ärztlichen Schweigepflicht unterlägen, von besonderer Sensibilität sei; es sei geboten, die Grundlagen für die Erfassung, Verwendung, Übermittlung und Löschung von personenbezogenen Daten gesetzlich zu regeln (BT-Drucks 11/3480, S 29 - zu "Transparenz") . Die Erfassung, Verwendung, und Übermittlung von Leistungs- und Gesundheitsdaten werde ausschließlich für die im Gesetz bezeichneten Zwecke zugelassen und im Umfang auf das für den jeweiligen Zweck unerlässliche Minimum beschränkt (BT-Drucks aaO , S 67 zu §§ 292 bis 312 SGB V; s auch BSGE 95, 199 = SozR 4-2500 § 106 Nr 11 RdNr 27) . Auch in den Begründungen zu den Einzelvorschriften wird wiederholt auf die datenschutzrechtliche Notwendigkeit bzw Unverzichtbarkeit einer Regelung hingewiesen (vgl BT-Drucks aaO, ua S 68 zu 292 Abs 2, S 69, 70 zu § 304 und zu § 305 und S 70 zu § 306 SGB V) .
Die nachfolgenden Gesetzesänderungen und die hierzu gegebenen Begründungen lassen ebenfalls den hohen Stellenwert datenschutzrechtlicher Belange erkennen (vgl auch BSG SozR 3-2500 § 295 Nr 1 S 7) . So wurde anlässlich der Änderung des § 301 SGB V durch das Gesundheitsstrukturgesetz (GSG) betont, dass die von den Krankenhäusern an die Krankenkassen zu übermittelnden Daten aus datenschutzrechtlichen Gründen enumerativ aufgeführt würden (Gesetzentwurf der Fraktionen der CDU/CSU, SPD und FDP, BT-Drucks 12/3608, S 124 - zu § 301 Abs 1 SGB V) und dass in § 301 Abs 5 Satz 1 SGB V die datenschutzrechtlich notwendige Klarstellung getroffen würde, dass der ermächtigte Krankenhausarzt befugt sei, die für die Abrechnung der von ihm erbrachten ambulanten Leistungen erforderlichen Unterlagen seinem Krankenhausträger zur Verfügung zu stellen (aaO, S 125 - zu § 301 Abs 5 SGB V) . In der Gesetzesbegründung zum GKV-Gesundheitsreformgesetz 2000 - GKV-GRG 2000 - (BT-Drucks 14/1245 S 101 - zu § 284 SGB V) wurde ausgeführt, die Zulässigkeit der Verwendung von Patientendaten werde in den §§ 284 ff SGB V sehr differenziert geregelt. Ein abschließender Katalog umfasse die Zwecke bzw die Aufgaben, für die die Krankenkassen Daten über ihre Versicherten und die Leistungserbringer in der GKV erheben, verarbeiten und nutzen dürften, sowie zu welchen Zwecken die Daten zusammengeführt werden dürften. Bezüglich der Änderung des - die Einschaltung von Rechenzentren durch Apotheken ermächtigenden - § 300 SGB V wurde klargestellt, dass die Einbindung von Rechenzentren auf die im Sozialgesetzbuch geregelten Zwecke zu begrenzen sei und dem informationellen Selbstbestimmungsrecht der Versicherten und Leistungserbringer Rechnung zu tragen habe; die Vorschrift schließe es damit aus, dass die Rechenzentren die bei ihnen auflaufenden Daten auch anderweitig verarbeiten, nutzen und wirtschaftlichen Vorteil daraus ziehen könnten (aaO, S 105 - zu § 300 SGB V) .
Auch das Bundessozialgericht (BSG) hat in seiner Rechtsprechung wiederholt die Bedeutung der ärztlichen Schweigepflicht wie auch des Sozialdatenschutzes, insbesondere in Bezug auf sensible Gesundheitsdaten, hervorgehoben. In den entschiedenen Fällen ging es um die - aus Sicht des Leistungserbringers - umgekehrte Fallkonstellation, nämlich um die Frage, ob eine Offenbarung von Patientendaten gegenüber den Institutionen des Vertragsarztrechts unter Berufung auf die ärztliche Schweigepflicht verweigert werden darf. So wurde erst durch die Entscheidung des BSG vom 22.6.1983 (BSGE 55, 150 = SozR 2200 § 368 Nr 8) geklärt, dass eine Offenbarung von Patientengeheimnissen durch Leistungserbringer (dort zur Durchführung des Gutachterverfahrens nach dem Bundesmantelvertrag-Zahnärzte) zulässig ist, wenn dies zur Sicherstellung der Funktionsfähigkeit der vertragsärztlichen Versorgung erforderlich ist und eine gesetzliche Offenbarungspflicht besteht. In seiner grundlegenden Entscheidung vom 19.11.1985 (BSGE 59, 172 = SozR 2200 § 368 Nr 9 - zur Herausgabe von Röntgenaufnahmen zum Zweck der Qualitätsprüfung - bestätigt durch BVerfG SozR 2200 § 368 Nr 10) hat das BSG klargestellt, dass der gesetzlichen Regelung über die vertragsärztliche Versorgung der Versicherten die Befugnis zugrunde liegt, Patientendaten innerhalb des vertragsärztlichen Versorgungssystems insoweit zu offenbaren, als ärztliche Behandlung in Anspruch genommen wird und die an der Leistungserbringung Beteiligten für ihren Leistungsbeitrag auf die Information angewiesen sind (zuletzt BSG, Urteil vom 17.2.2004, SozR 4-1200 § 66 Nr 1 RdNr 19) . Es hat zugleich aber darauf hingewiesen, dass die daraus herzuleitende Offenbarungsbefugnis des Arztes beschränkt sei, und betont, dass das besondere Vertrauensverhältnis zwischen Patient und Arzt eine wesentliche Bedingung für eine erfolgreiche Behandlungsei (BSGE59, 172, 179 = SozR 2200 § 368 Nr 9 S 36) . Dem Versicherten werde dementsprechend grundsätzlich das Recht eingeräumt, unter den an der vertragsärztlichen Versorgung teilnehmenden Ärzten frei zu wählen, also den Arzt auszusuchen, der sein Vertrauen genieße; dieses Vertrauensverhältnis wäre gestört, dürfte der Arzt alle Patientendaten offenbaren . Dem Vertragsarztrecht könne daher nur die Befugnis entnommen werden, Patientendaten innerhalb der Zuständigkeiten des vertragsärztlichen Versorgungssystems und auch in diesem engen Bereich lediglich insoweit mitzuteilen, als dies die Leistungserbringung erforderlich mache (BSG aaO).
Schließlich ist die Sensibilität von Gesundheitsdaten auch in Urteilen anderer Gerichte betont worden. So hat der Bundesgerichtshof (BGH) in seinem Urteil vom 10.7.1991 (BGHZ 115, 123 = NJW 1991, 2955 - zur Nichtigkeit einer Forderungsabtretung an privatärztliche Verrechnungsstellen ) hervorgehoben, dass die häufig über intimste Dinge Auskunft gebenden Abrechnungsunterlagen einen besonders wirksamen Schutz verdienten. Dieser sei grundsätzlich nur gewährleistet, wenn die Honorarabrechnung in einem von vornherein und sicher für den Patienten überschaubaren Bereich erfolge; dies sei aber in der Regel allein die Praxis des Arztes einschließlich der für die Abrechnung zuständigen Mitarbeiter. Auch der Bayerische Verfassungsgerichtshofs hat in seinem Urteil vom 6.4.1989 (NJW 1989, 2939) die besondere Schutzwürdigkeit von medizinischen Daten eines Krankenhauspatienten - gerade auch im Verhältnis zu den Interessen privater (Mikrofilm-)Unternehmer - bekräftigt. Aus alledem wird deutlich, dass die Zulässigkeit einer Weitergabe von Sozialdaten an Dritte im Rahmen der vertragsärztlichen Versorgung von einer ausdrücklichen gesetzlichen Ermächtigung abhängt (s auchLang, Das Recht auf informationelle Selbstbestimmung des Patienten und die ärztliche Schweigepflicht in der gesetzlichen Krankenversicherung; Frankfurter Studien zum Datenschutz, Veröffentlichungen der Forschungsstelle für Datenschutz an der Johann-Wolfgang Goethe-Universität, Frankfurt/Main, Band 9 S 93; Didong in jurisPK-SGB V, § 294 RdNr 7) .
Für eine Übermittlung von Patientendaten durch Leistungserbringer wie Krankenhäuser an externe Abrechnungsstellen fehlt - von wenigen Ausnahmen abgesehen - derzeit jedoch eine gesetzliche Grundlage. Die gesetzlichen Bestimmungen erscheinen insoweit allerdings als lückenhaft. So finden die datenschutzrechtlichen Bestimmungen des SGB I wie des SGB X nach zutreffender Ansicht (Didong in jurisPK-SGB V, § 294 RdNr 7;Waschull in Krauskopf, Soziale Krankenversicherung - Pflegeversicherung, Stand März 2008, § 294 SGB V RdNr 5; Kullmann, MedR 2001, S 343; Kamps/Kiesecker, MedR 1997, S 216; Mrozynski, NZS 1996, 545, 551; Lang, aaO S 66; im Sinne einer engen Auslegung auch LSG Nordrhein-Westfalen, Urteil vom 30.11.2005, L 10 KA 29/05 = GesR 2006, 456 = MedR 2006, 616 = Breith 2006, 904; offengelassen von BSGE 59, 172, 179 = SozR 2200 § 368 Nr 9 S 37) auf Leistungserbringer keine Anwendung, da sie allein den Schutz der Sozialdaten im Verwaltungsverfahren der Sozialleistungsträger regeln (Seewald in Kasseler Kommentar Sozialversicherungsrecht, Stand 1.10.2008, § 35 SGB I RdNr 4) . § 35 SGB I als Grundsatzbestimmung des sozialrechtlichen Datenschutzes (Seewald, aaO, RdNr 2) , welche bestimmt, dass jeder Anspruch darauf hat, dass die ihn betreffenden Sozialdaten im Sinne des § 67 Abs 1 SGB X nicht unbefugt erhoben, verarbeitet oder genutzt werden (Sozialgeheimnis), gilt allein für Sozialleistungsträger und die weiteren in § 35 Abs 1 Satz 4 SGB I aufgeführten Stellen; die Aufzählung ist enumerativ und nicht analogiefähig (Paulus in jurisPK SGB I, § 35 RdNr 21; ebenso Seewald, aaO, RdNr 15) . Nichts anderes gilt für die dieses Sozialgeheimnis konkretisierenden Normen in §§ 67 bis 85 SGB X. Aber auch das SGB V enthält in den §§ 284 ff (nahezu) ausschließlich Bestimmungen, die sich mit datenschutzrechtlichen Anforderungen an die Erhebung, Speicherung, Verarbeitung und Nutzung von Daten durch Krankenkassen und KÄVen befassen, hingegen (nahezu) keine Regelungen, welche die Weitergabe von Patientendaten durch Leistungserbringer zum Gegenstand haben.
Der Umstand, dass die Datenweitergabe durch Leistungserbringer nur punktuell gesetzlich normiert ist, zwingt zu dem Schluss, dass der Gesetzgeber davon ausgegangen ist, dass sensible personenbezogene Daten ausschließlich zwischen den Leistungserbringern und den in § 35 SGB I näher bezeichneten Institutionen - also innerhalb der vom Gesetz vorgegebenen Bahnen - ausgetauscht werden. Dies bestätigt zudem die Annahme, dass der Gesetzgeber insbesondere die mögliche Einschaltung externer Abrechnungsstellen durch Leistungserbringer - über die ausdrücklich im Gesetz geregelten Fälle hinaus - weder beabsichtigt noch in Betracht gezogen hat.
Den Leistungserbringern, die kraft Gesetzes und durch Verträge in die Erbringung der gemäß § 2 Abs 2 Satz 1 SGB V den Leistungsträgern - dh den Krankenkassen - obliegenden Sach- und Dienstleistungen eingeschaltet sind, werden durch das für sie maßgebliche Recht ausdrücklich oder inzident bestimmte Abrechnungswege vorgegeben. So hat etwa der Vertragszahnarzt gemäß § 29 Abs 3 Satz 1 SGB V die kieferorthopädische Behandlung mit der Kassenzahnärztlichen Vereinigung abzurechnen; eine entsprechende Regelung gilt gemäß der Vorgabe des § 87 Abs 1a Satz 7 SGB V iVm der entsprechenden bundesmantelvertraglichen Bestimmung für die Abrechnung der Festzuschüsse beim Zahnersatz. Zwar fehlen ausdrückliche gesetzliche Regelungen der Art, dass ein Vertragsarzt - entsprechend ein Krankenhausträger bei Notfallbehandlungen - seine Leistungen mit der KÄV abzurechnen hat; eine solche findet sich lediglich für den Sonderfall der Abrechnung der den ermächtigten Krankenhausärzten für ihre ambulante Tätigkeit zustehenden Vergütung (§ 120 Abs 1 Satz 3 SGB V) . Jedoch setzt das Gesetz an zahlreichen Stellen eine Abrechnung zwischen Vertragsarzt und KÄV als selbstverständlich voraus, etwa bei der Honorarverteilung (§ 85 Abs 4 SGB V) , der Zuweisung von Regelleistungsvolumina (§ 87b Abs 5 Satz 3 SGB V) , der Abrechnungsprüfung (§ 106a SGB V) oder bei den Datenübermittlungspflichten der KÄVen (etwa § 295 Abs 2 SGB V) .
Von den gesetzlich normierten oder als selbstverständlich vorausgesetzten Abrechnungswegen darf nur dann abgewichen werden, wenn dies - wie etwa in § 17 Abs 3 Satz 2 Krankenhausentgeltgesetz (KHEntgG) - ausdrücklich gesetzlich bestimmt ist. Danach kann ein zur Berechnung wahlärztlicher Leistungen berechtigter Arzt des Krankenhauses eine Abrechnungsstelle mit der Abrechnung der Vergütung für die wahlärztlichen Leistungen beauftragen (oder die Abrechnung dem Krankenhausträger überlassen); Zweck dieser aus der Pflegesatzverordnung übernommenen Vorschrift (BT-Drucks 14/6893 S 46 - zu § 17 KHEntgG) ist es, dem liquidationsberechtigten Krankenhausarzt die Wahl des Abrechnungsverfahrens zu überlassen (Fraktionsentwurf zum GSG, BT-Drucks 12/3608 S 47, 141 zu § 7 Abs 3 Satz 2 Bundespflegesatzverordnung ≪BPflV≫ in der ab 1.1.1993 geltenden Fassung, dem § 22 Abs 3 BPflV in der vom 1.1.1995 bis 31.12.2004 geltenden Fassung entsprach) .
Diese vorgegebenen Abrechnungswege verlaufen nahezu ausschließlich von den Leistungserbringern zu den Krankenkassen und/oder zu den KÄVen sowie zwischen Krankenkassen und KÄVen. Entsprechend normiert das Gesetz insbesondere in den für die Krankenkassen bzw die KÄVen maßgeblichen §§ 284, 285 SGB V strenge Anforderungen an die Erfassung, Nutzung und Übermittlung der Daten. Namentlich § 285 SGB V enthält detaillierte Regelungen, welche die Übermittlung von Sozialdaten sogar innerhalb der KÄVen nur unter engen Voraussetzungen zulassen. Solange die Abrechnung innerhalb dieser Bahnen verläuft, bedarf es keiner die Leistungserbringer betreffenden ergänzenden Regelungen zum Datenschutz, da die Berücksichtigung datenschutzrechtlicher Belange durch entsprechende Regelungen beim Datenempfänger gewährleistet ist.
Dass eine Datenübermittlung zwischen Leistungserbringern und anderen Stellen als Krankenkassen oder KÄVen ebenso wie die Zwischenschaltung Dritter in den Abrechnungsweg eine seltene Ausnahme darstellt, zeigen auch die wenigen gesetzlich normierten Fälle, in denen dies zugelassen wird. Die für Apotheken (§ 300 Abs 2 SGB V) und für "sonstige Leistungserbringer" (§ 302 Abs 2 Satz 2 ff SGB V) sowie für Hebammen und Entbindungspfleger (§ 301a Abs 2 iVm § 302 Abs 2 SGB V) geltenden Sonderregelungen, welche die genannten Leistungserbringer ermächtigen, zur Erfüllung ihrer Verpflichtungen (externe) Rechenzentren unter Beachtung weitreichender datenschutzrechtlicher Vorgaben und nach Information der Aufsichtsbehörde zu beauftragen (vgl § 80 SGB X) , können nicht als Beleg für die grundsätzliche Zulässigkeit der Einschaltung externer Abrechnungsstellen herangezogen werden (vgl auch OLG Hamm, Urteil vom 17.11.2006, 19 U 81/06 = BB 2007, 2763, das § 302 SGB V als "Ausnahmenorm" bezeichnet; aA wohl Siegmann/Binder, BB 2007, S 2765, 2766, die das Fehlen einer § 302 SGB V vergleichbaren Regelung für Pflegeleistungen als planwidrige Regelungslücke ansehen) . Sie stützen vielmehr die gegenteilige Annahme.
Der mit dem GRG in das SGB V eingefügte § 300 Abs 2 SGB V soll es den Apotheken ermöglichen, mit den Krankenkassen über Rechenzentren abzurechnen (Gesetzentwurf der Fraktionen der CDU/CSU und FDP zum GRG, BT-Drucks 11/2237 S 238 -zu § 308). Mit dieser Regelung wurde dem Umstand Rechnung getragen, dass die Apotheken zeitgleich durch § 300 Abs 1 SGB V in der ab 1.1.1989 geltenden Fassung verpflichtet wurden, die bundeseinheitlich zu verwendenden Kennzeichen für Fertigarzneimittel maschinenlesbar auf das Verordnungsblatt zu übertragen, seinerzeit aber nicht alle Apotheken über die hierzu erforderliche technische Ausstattung verfügten (sEul in Schulin, aaO, § 48 RdNr 152) . Im Übrigen kodifiziert die Vorschrift eine seit Jahrzehnten bestehende Praxis der Abrechnung über Apotheken-Rechenzentren (vgl etwa das 1954 als Abrechnungsstelle Bremer Apotheker gegründete Norddeutsche Apotheken-Rechenzentrum e.V. ≪NARZ e.V.≫, www.narz-avn.de/v07/ueberuns_historie.php) . Vergleichbares gilt für die mit dem GKV-GRG 2000 erfolgte Erstreckung der Regelung durch § 302 Abs 2 Satz 2 SGB V auf sonstige Leistungserbringer (vgl Gesetzentwurf der Fraktionen SPD und BÜNDNIS 90/DIE GRÜNEN zum GKV-GRG 2000, BT-Drucks 14/1245 S 106 - zu § 302 SGB V) .
Die Annahme, dass die Einschaltung Dritter in den Datenfluss durch die Leistungserbringer weder gesetzlich vorgesehen noch generell gewollt ist, bestätigt zudem ein Vergleich der für Krankenkassen und KÄVen geltenden Vorschriften über die Datenverwendung und Informationsgrundlagen (§§ 284 ff SGB V) mit den für Leistungserbringer geltenden Bestimmungen (§§ 294 ff SGB V) . In den §§ 284 bis 293 SGB V werden die Informationsgrundlagen, insbesondere die Datenerhebungsbefugnisse der Krankenkassen und KÄVen geregelt und spiegelbildlich dazu in den §§ 294 bis 303 SGB V die entsprechenden Pflichten der Leistungserbringer zur Datenübermittlung (BSGE 90, 1, 5 f = SozR 3-2500 § 112 Nr 3 S 24) . Hierbei fällt auf, dass die §§ 284 ff SGB V umfangreiche Regelungen zum Datenschutz, insbesondere in Form von Nutzungsbeschränkungen, enthalten, während die für Leistungserbringer maßgeblichen Bestimmungen sich (weitgehend) darauf beschränken, diese zur Datenweitergabe zu verpflichten und zu berechtigen (vgl auch Mrozynski, NZS 1996, 545, 546) . So schafft etwa § 295 SGB V lediglich die datenschutzrechtliche Grundlage für die Aufzeichnung und Übermittlung von Sozialdaten durch die Vertragsärzte (Didong in jurisPK-SGB V, § 295 RdNr 6) , ohne dies mit besonderen datenschutzrechtlichen Vorgaben zu verbinden . Auch die für Krankenhäuser maßgebliche Vorschrift des § 301 SGB V beschränkt sich hierauf.
Diese unterschiedliche Regelungsdichte ist nur dann nachvollziehbar, wenn davon ausgegangen wird, dass die Krankenkassen bzw die KÄVen die allein in Betracht kommenden Empfänger und Nutzer der von den Leistungserbringern zu übermittelnden Sozialdaten sind. Würde eine Datenübermittlung an Dritte, namentlich an externe Abrechnungsstellen, als zulässig erachtet, bedürfte es auch insoweit detaillierter datenschutzrechtlicher Regelungen, die den für die Krankenkassen und KÄVen geltenden (mindestens) entsprächen; auch hieran fehlt es jedoch. Eine Intention des Gesetzgebers, an private Dritte geringere datenschutzrechtliche Anforderungen zu stellen als an Körperschaften des öffentlichen Rechts wie Krankenkassen und KÄVen (§ 4 Abs 1, § 77 Abs 5 SGB V) , die als Teil der mittelbaren Staatsverwaltung immerhin staatlicher Aufsicht unterworfen sind, ist weder erkennbar noch wäre dies nachvollziehbar.
Im Gegenteil belegen die gesetzlich normierten Ausnahmefälle, dass der Gesetzgeber dann, wenn er ausnahmsweise die Einschaltung Dritter in den Datenfluss zulässt, auch diese adäquaten datenschutzrechtlichen Beschränkungen unterwirft. Die in den § 300 Abs 2 Satz 2 und 3, § 302 Abs 2 Satz 3 und 4 SGB V gesetzlich normierten, durch das GKV-GRG 2000 eingefügten datenschutzrechtlichen Anforderungen dienen der Klarstellung, dass die Einbindung von Rechenzentren auf die im Sozialgesetzbuch geregelten Zwecke zu begrenzen ist und dem informationellen Selbstbestimmungsrecht der Versicherten und Leistungserbringer Rechnung zu tragen hat (Gesetzentwurf zum GKV-GRG 2000, BT-Drucks 14/1245, S 105 - zu § 300 SGB V zu Buchst b) . Dass der Gesetzgeber die Übermittlung von Daten generell beschränken und bei nicht vermeidbarer Übermittlung zumindest strengen Anforderungen unterwerfen wollte, belegt auch § 73 Abs 1b SGB V. Die durch das GKV-GRG 2000 eingefügte Bestimmung soll insbesondere die Dokumentationsbefugnis des Hausarztes erweitern; dieser ist berechtigt, relevante Patientendaten bei anderen Ärzten wie auch bei anderen seine Patienten behandelnden Leistungserbringern zu erheben und diese Daten anderen Leistungserbringern zur Verfügung zu stellen (Gesetzentwurf zum GKV-GRG 2000,BT-Drucks 14/1245 S 69 - zu Buchst b) . Hierzu regelt die Vorschrift in den Sätzen 1 bis 3 detailliert den Datenfluss zwischen dem Hausarzt und den übrigen beteiligten Leistungserbringern sowie die Verarbeitung und Nutzung der Patientendaten durch den Hausarzt. Es ist kein Sachgrund dafür erkennbar, dass der Gesetzgeber in den gesetzlich zugelassenen Fällen einer Einbeziehung anderer Datenempfänger als Krankenkassen oder KÄVen, insbesondere bei einer Einschaltung von Rechenzentren, detaillierte datenschutzrechtliche Vorgaben für erforderlich hält, in allen übrigen nicht normierten Fällen jedoch eine Datenübermittlung an Dritte ohne Weiteres zulassen wollte. All dies verdeutlicht, dass der Gesetzgeber wegen der Sensibilität gesundheitsbezogener Daten deren Weitergabe an Personen und Institutionen, für die der strenge Sozialdatenschutz gemäß §§ 67 ff SGB X bzw gemäß den bereichsspezifischen Vorschriften des SGB V nicht gilt, von einer ausdrücklichen gesetzlichen Gestattung abhängig macht.
Der dargestellten gesetzlichen Konzeption einer auf das Unerlässliche beschränkten Weitergabe von Gesundheitsdaten kann auch nicht entgegengehalten werden, dass sowohl hinsichtlich einer gesetzlichen Befugnis zur Datenübermittlung als auch bezüglich der dabei zu beachtenden datenschutzrechtlichen Anforderungen auf die Regelungen des BDSG zurückgegriffen werden kann. Nach § 1 Abs 3 Satz 1 BDSG gehen, soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind (sogenanntes bereichsspezifisches Datenschutzrecht), diese den Vorschriften des BDSG vor. Für den Umgang mit - vorliegend allein in Rede stehenden - Sozialdaten iS des § 67 Abs 1 Satz 1 SGB X findet das BDSG nur noch Anwendung, soweit die Vorschriften des Sozialgesetzbuchs ausdrücklich auf dieses Gesetz verweisen (vgl BSGE 90, 162, 169 f = SozR 3-2500 § 284 Nr 1 S 8 f; Bieresborn in von Wulffen, SGB X, 6. Aufl 2008, Vor § 67 RdNr 18) . So bestimmt § 67b Abs 1 Satz 1 SGB X ausdrücklich - wenn auch explizit nur für die in § 35 Abs 1 SGB I genannten Stellen -, dass eine Verarbeitung von Sozialdaten und deren Nutzung nur zulässig sind, soweit die nachfolgenden Vorschriften oder eine andere Rechtsvorschrift in diesem Gesetzbuch es erlauben. Damit wird bestimmt, dass die Befugnis zur Datenverarbeitung ausschließlich im Sozialgesetzbuch geregelt wird (Rombach in Hauck/Noftz, SGB X, Stand: August 2002, K § 67b RdNr 2) . Eine entsprechende Regelung trifft § 67d Abs 1 SGB X für die Übermittlung von Sozialdaten. Auch in der Begründung zum 2. SGB-Änderungsgesetz (BT-Drucks 12/5187 S 36 f - zu § 67a Abs 2 Satz 2 Nr 2 SGB X) wird klargestellt, dass das BDSG und die Landesdatenschutzgesetze nicht zu den Rechtsvorschriften iS des § 67a Abs 2 Satz 2 Nr 2 SGB X gehören, welche eine Datenerhebung zulassen, da der Sozialdatenschutz allein den Regelungen des Sozialgesetzbuches unterliegt (s auch BSGE 90, 1, 5 = SozR 3-2500 § 112 Nr 3 S 23; Rombach in Hauck/Noftz, SGB X, Stand: August 2002, K § 67a RdNr 92) .
Dass das BDSG im Geltungsbereich des Sozialgesetzbuches keine Anwendung finden kann und soll, folgt auch daraus, dass der Gesetzgeber detaillierte bereichsspezifische Regelungen in das Sozialgesetzbuch aufgenommen hat. Er ist damit einer Forderung des BVerfG nachgekommen, welches ausgeführt hat, dass ein Zwang zur Abgabe personenbezogener Daten voraussetze, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch bestimme (BVerfGE 65, 1, 46) . Die bereichsspezifischen Regelungen im SGB V sind zwar oftmals Bestimmungen des BDSG nachgebildet, nehmen aber nicht lediglich auf diese Bezug. Zudem steht schon die Bedeutung, die der Gesetzgeber dem Datenschutz im Bereich der gesetzlichen Krankenversicherung beimisst, der Annahme entgegen, dass dieser zwar die Datenverwendung durch Sozialleistungsträger detaillierten bereichspezifischen Beschränkungen unterwerfen wollte, hinsichtlich der übrigen Personen und Institutionen, die in die Verwendung und Übermittlung von Gesundheitsdaten eingeschaltet werden, jedoch von einer hilfsweisen Anwendung der unspezifischen Regelungen des BDSG ausgegangen werden muss (aA Mrozynski, Kommentar zum SGB I, 3. Aufl 2003, § 35 RdNr 3, der davon ausgeht, dass die Anwendung der Vorschriften des BDSG nur soweit ausgeschlossen ist, als die Regelungen der §§ 35 SGB I, 67 ff SGB X reichen) .Angesichts der als abschließend zu verstehenden bereichsspezifischen Regelungen ist eine entsprechende oder ergänzende Anwendung des BDSG im Geltungsbereich des Sozialgesetzbuches daher ausgeschlossen.
Somit kommt insbesondere ein Rückgriff auf die nach den allgemeinen Regelungen des BDSG für eine Datenverarbeitung in privaten Unternehmen (§§ 4 Abs 1, 4a iVm § 28 Abs 6 BDSG) mögliche Einwilligung als Ermächtigungsgrundlage für eine Datenverarbeitung und Datenweitergabe nicht in Betracht. Zwar sieht auch § 67d iVm § 67b Abs 1 SGB X eine Einwilligung als Ermächtigungsgrundlage vor (vgl Bieresborn, aaO, § 67d RdNr 3) , doch findet diese Regelung nur auf die in § 35 Abs 1 SGB I genannten Stellen Anwendung. § 4 Abs 1 iVm § 4a BDSG bzw § 67d iVm § 67b Abs 1 SGB X ("… oder der Betroffene eingewilligt hat") können auch nicht analog - im Sinne eines rechtlichen Grundsatzes der Art, dass unabhängig von einer gesetzlichen Ermächtigung eine Datennutzung und -übermittlung stets zulässig ist, sofern eine Einwilligung desjenigen vorliegt, um dessen geschützte Daten es geht - auf Leistungserbringer angewandt werden. Dem steht schon entgegen, dass es der Gesetzgeber an anderer Stelle für erforderlich gehalten hat, die Zulässigkeit einer auf eine Einwilligung gestützten Datenübermittlung durch Leistungserbringer ausdrücklich zu regeln. Dies gilt etwa für die bei der Abrechnung von Wahlleistungen im Krankenhaus mögliche Einschaltung einer externen Abrechnungsstelle (§ 17 Abs 3 Satz 6 KHEntgG) , für den Datenaustausch zwischen Hausarzt und anderen Leistungserbringern (§ 73 Abs 1b Satz 1 und 2 SGB V) , für die Erhebung, Verarbeitung und Nutzung von Daten bei Teilnahme an strukturierten Behandlungsprogrammen bei chronischen Krankheiten (§ 137f Abs 3 Satz 2 SGB V) sowie für die Abweichung von Vorschriften des SGB X zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen von Modellvorhaben (§ 63 Abs 3a Satz 2 SGB V) .
Nach alledem kann hier dahingestellt bleiben, ob die von der Klägerin formularmäßig verwendeten Einwilligungserklärungen den Anforderungen des BDSG entsprechen und welche Folgerungen sich ergäben, wenn dies nicht der Fall wäre. Es ist allerdings darauf hinzuweisen, dass schon die Einwilligung in die Erhebung, Nutzung und Verarbeitung "normaler" Daten voraussetzt, dass sie auf einer freien Entscheidung des Betroffenen beruht (vgl § 4a Abs 1 Satz 1 BDSG, § 67b Abs 2 Satz 2 SGB X) . Der Betroffene muss tatsächlich die Möglichkeit haben, selbst darüber zu befinden, ob und unter welchen Bedingungen die sich auf seine Person beziehenden Angaben benutzt werden dürfen (Simitis, aaO, § 4a RdNr 2). Daran fehlt es jedoch, wenn sich der Betroffene in einer Situation befindet, die ihm keine Möglichkeit zu einer eigenen, selbstständigen Stellungnahme lässt, die Einwilligung also nur dazu dienen würde, einen scheinbar von ihm gebilligten Vorgang rechtlich abzusichern (Simitis, aaO, RdNr 21 mwN) . Insbesondere gilt dies in Fällen, in denen Leistungen auf dem Spiel stehen, die für den Betroffenen unentbehrlich sind (Simitis, aaO, RdNr 3, 4) .
Dass Personen, die medizinischer Notfallbehandlung bedürfen, sich häufig in einer Situation befinden werden, in der sie in ihrer freien Willensbildung deutlich eingeschränkt sind, spricht ebenfalls dafür, eine Datennutzung kraft Einwilligung jedenfalls im Bereich der gesetzlichen Krankenversicherung nicht pauschal, sondern nur in ausdrücklich normierten Fällen zuzulassen. Patienten sind - insbesondere in Notfallsituationen - zumindest subjektiv oftmals nicht frei in ihrer Entscheidung für oder gegen die Einwilligung. Sie können den berechtigten Eindruck haben, im Interesse einer schnellen und guten (Notfall-)Versorgung die ihnen von dem Leistungserbringer vorgelegte Erklärung unterschreiben zu sollen. Auch in unterversorgten ländlichen Gebieten oder bei der Inanspruchnahme besonders spezialisierter Fachärzte dürfte eine freie Entscheidungsmöglichkeit allenfalls theoretischer Natur sein. Vor einer solchen zumindest subjektiven Zwangslage sind die Patienten geschützt, solange keine gesetzliche Regelung existiert, welche die Datenweitergabe durch Leistungserbringer im Krankenversicherungsrecht grundsätzlich zulässt - und den Patienten damit zumutet, einem Wunsch des Leistungserbringers nach Einwilligung in eine Datenweitergabe ggf ausdrücklich zu widersprechen.
Die dargestellten Grundsätze gelten - solange und soweit abweichende gesetzliche Regelungen nicht bestehen - für alle Personen und Institutionen, die Leistungen der ambulanten Krankenbehandlung erbringen. Auf den Teilnahmestatus im Rahmen der vertragsärztlichen Versorgung - Zulassung, Ermächtigung, Einbeziehung in die Notfallversorgung - kommt es insoweit nicht an. Die Grundsätze sind somit ebenfalls maßgeblich, wenn Ärzte oder Zahnärzte auf der Grundlage von § 95b Abs 3 SGB V im Notfall oder aufgrund sog "Systemversagens" weiterhin von Versicherten in Anspruch genommen werden können (vgl hierzu BSGE 98, 294 = SozR 4-2500 § 95b Nr 1, jeweils RdNr 26 f). Dasselbe gilt, soweit der Sicherstellungsauftrag ausnahmsweise durch die Krankenkassen wahrzunehmen ist (§ 72a Abs 3 bis 6 SGB V) . Welche Anforderungen bei der Weitergabe von Patientendaten im Rahmen der besonderen hausärztlichen Versorgung (§ 73b SGB V) , einer besonderen ambulanten ärztlichen Versorgung (§ 73c SGB V) oder bei integrierten Versorgungsformen (§ 140a SGB V) zu beachten sind, bedarf hier keiner Entscheidung. Es liegt allerdings wegen des Fehlens spezifischer Datenschutzregelungen in diesen Vorschriften über besondere Versorgungsformen außerhalb des Sicherstellungsauftrags der KÄV nahe, dass insoweit dieselben Grundsätze maßgeblich sein sollen.
Die mit den dargestellten Bindungen der Weitergabe von sensiblen Patientendaten verbundenen Einschränkungen der Organisation der Abrechnung bei den Leistungserbringern und den von ihnen eingeschalteten Dienstleistern sind diesen zumutbar. Soweit damit der Schutzbereich des Art 12 Abs 1 GG berührt wird, handelt es sich um zulässige Berufsausübungsregelungen (vgl BVerfG ≪Kammer≫ NJW 1991, 2952, 2953 - zu einem landesrechtlichen Verbot der externen Verarbeitung medizinischer Patientendaten eines Krankenhauses) .
Ungeachtet des grundsätzlichen Verbots der Weitergabe von Patientendaten an externe Abrechnungsstellen ist die Beklagte jedoch gehalten, durch die Beigeladene zu 1. erstellte Abrechnungen der Klägerin für eine Übergangsfrist von sechs Monaten - dh bis Mitte 2009 - weiterhin entgegenzunehmen und zu bescheiden.
Nach der Rechtsprechung des BVerfG ist im Falle der Unvereinbarkeit einer Norm mit dem Grundgesetz in bestimmten Fällen ausnahmsweise ihre weitere Anwendung für eine Übergangszeit zulässig (stRspr, vgl etwaBVerfGE 84, 239, 284; 92, 53, 73; 117, 1, 70; zuletzt BVerfG, Beschluss vom 13.2.2008, 2 BvL 1/06 = NJW 2008, 1868, 1875) . Dies kann insbesondere aus Gründen der Rechtssicherheit (vgl BVerfGE 92, 53, 73 = SozR 3-2200 § 385 Nr 6 S 23) sowie dann geboten sein, wenn die (Verfassungs-)Rechtslage bis zur Entscheidung des Gerichts noch nicht geklärt war (vgl BVerfGE 84, 239, 284; BVerfG, Beschluss vom 13.2.2008, aaO) . Diese Grundsätze sind hier entsprechend anzuwenden.
Die Notwendigkeit, den Beteiligten eine Reaktionszeit einzuräumen, folgt in der hier zu beurteilenden Konstellation daraus, dass die Einschaltung privater Abrechnungsstellen zur Erstellung vertragsärztlicher Abrechnungen in der Vergangenheit immer wieder praktiziert worden ist, ohne dass KÄVen oder Aufsichtsbehörden das beanstandet hätten; die Zulässigkeit dieser Vorgehensweise war bislang nicht abschließend geklärt. Dem steht nicht entgegen, dass die Klägerin bereits mit Schreiben der Beklagten vom 10.12.2004 und bekräftigt durch die zum 1.1.2006 in Kraft getretene Regelung in § 4 Nr 1 ihres HVV in zutreffender Weise auf die Rechtslage hingewiesen worden ist. Im Hinblick auf die von der Klägerin erwirkten Entscheidungen im Verfahren des vorläufigen Rechtsschutzes (Beschlüsse des SG Düsseldorf vom 22.4.2005 bzw des LSG Nordrhein-Westfalen vom 13.9.2005) , mit denen ihr eine Weiterführung der bisherigen Praxis bis "zur endgültigen Klärung durch ein entsprechendes Hauptsacheverfahren" gewährt wurde, durfte sie bisher davon absehen, Vorkehrungen nicht unerheblichen Umfangs für eine unmittelbare Abrechnung mit der Beklagten zu schaffen.
In Anbetracht dessen dürfen die KÄVen, soweit sie bislang mit Hilfe externer Abrechnungsstellen erstellte Abrechnungen bearbeitet haben, diese Praxis daher nicht abrupt mit Bekanntwerden dieser Entscheidung beenden. Leistungserbringer, die - wie nach ihrem nicht in Zweifel zu ziehenden Vortrag die Klägerin - seit Jahren keine personellen Kapazitäten für die Abrechnung von Notfallbehandlungen nach den grundlegend anderen Vergütungsregelungen in der ambulanten Versorgung mehr vorhalten, müssen sich auf die nunmehr geklärte Rechtslage (insbesondere durch Schaffung personeller und räumlicher Kapazitäten sowie durch Beschaffung entsprechender Software und Schulung der Mitarbeiter) einstellen können, ohne Gefahr zu laufen, tatsächlich korrekt erbrachte Leistungen nicht vergütet zu erhalten.
Als angemessene Frist dafür, dass sich die Leistungserbringer auf die ausschließliche Direktabrechnung mit der zuständigen KÄV einstellen können, sieht der Senat einen Zeitraum von zwei Quartalen an. Das bedeutet, dass die Abrechnung von Leistungen, die im Quartal III/2009 oder später erbracht werden, unmittelbar mit der KÄV erfolgen muss, sofern nicht bis zu diesem Zeitpunkt gesetzliche Regelungen geschaffen werden, welche zur Einschaltung externer Abrechnungsstellen berechtigen.
Die Kostenentscheidung beruht auf § 197a Abs 1 Satz 1 Halbsatz 3 SGG iVm § 154 Abs 1 und 3, § 159 und § 162 Abs 3 Verwaltungsgerichtsordnung. Die unterlegene Klägerin und die sie unterstützende Beigeladene zu 1. haben die Kosten des Rechtsstreits zu gleichen Teilen zu tragen. Eine Erstattung der außergerichtlichen Kosten der übrigen Beigeladenen ist nicht veranlasst, weil diese sich nicht am Verfahren beteiligt und insbesondere keine Anträge gestellt haben (vgl BSGE 96, 257 = SozR 4-1300 § 63 Nr 3, jeweils RdNr 16) .
Fundstellen
Haufe-Index 2145609 |
BSGE 2009, 134 |