Von dem Verbot der Datenweitergabe betroffen / nicht betroffen

Für welche Fälle das vom BSG statuierte Verbot der Datenübermittlung greift, lässt sich nicht mit eindeutiger Sicherheit sagen. Der der Entscheidung zu Grunde liegende Sachverhalt basiert auf der Abrechnung ambulanter Notfallbehandlungen. Im Rahmen des Entscheidungstextes zieht das BSG allerdings Schlussfolgerungen, woraus zu schließen ist, dass die Abrechnung ambulanter Leistungen insgesamt unter das Verbot fällt. Insofern dürften folgende krankenhausrelevante Bereiche betroffen sein:

• Abrechnung ambulanter Notfallbehandlungen;
• Abrechnung ambulanter Leistungen des Chefarztes im ermächtigten Bereich, §§ 120 Abs. 1 S. 3, 301 Abs. 5 S. 2 SGB V;
• Abrechnung ambulanter Behandlungen durch Krankenhäuser bei Unterversorgung, § 116a SGB V;
• Abrechnung der Leistungen gemäß § 115b SGB V (ambulantes Operieren);
• Abrechnung der Leistungen gemäß § 116b SGB V (ambulante Behandlung im Krankenhaus);
• Abrechnung der Leistungen der Hochschulambulanzen, psychiatrischen Institutsambulanzen, sozialpädiatrischen Zentren sowie der Spezialambulanzen in der Pädiatrie, § 120 Abs. 1a n.F. und Abs. 2 S. 1 SGB V;

In den drei erstgenannten Fällen erfolgt die Abrechnung gegenüber den Kassenärztlichen Vereinigungen (die die Abrechnung der ambulanten Notfallbehandlung aus datenschutzrechtlichen Gründen zurückgewiesen hatten!), in den übrigen Fällen gegenüber den Krankenkassen.

Auf die folgenden Abrechnungsbereiche dürfte die Entscheidung keine Auswirkungen haben, da das BSG allein auf die gesetzliche Krankenversicherung (SGB V) abstellt:

• Wahlärztliche Leistungen, § 17 Abs. 3 S. 6 KHEntgG (Befugnisnorm existiert!);
• Wahlleistung Unterkunft;
• Ambulante Leistungen des Chefarztes im privatärztlichen Bereich (Privatambulanz);
• Selbstzahler/ Privatversicherte in Institutsambulanzen.

Inwiefern das Verbot auch für die Abrechnung stationärer Leistungen gilt, ist fraglich. Während das BSG den stationären Bereich zwar mit in seine Argumentation einfließen lässt, bezieht es sich in seinen Schlussfolgerungen hingegen ausdrücklich auf den ambulanten Bereich. Ferner bezieht sich das BSG explizit auf das SGB V, weshalb die Frage im Raum steht, wie die hier in Frage stehende Abrechnung nach dem KHEntgG oder der BPflV damit in Einklang zu bringen sind. Für den stationären Bereich können insofern nur Vermutungen aufgestellt werden.

Gesetzliche Grundlagen bestehen lediglich in folgenden Bereichen

Wie das BSG in seinen Entscheidungsgründen ausführt, existieren nur sehr wenige gesetzlich geregelte Fälle, in denen die Zwischenschaltung Dritter in den Abrechnungsweg ausnahmsweise zugelassen ist:

• Apotheken gemäß § 300 Abs. 2 SGB V;

• Leistungserbringer im Bereich der Heil- und Hilfsmittel und sonstige Leistungserbringer gemäß § 302 Abs. 2 S. 2 ff. SGB V.

In diesem Zusammenhang ist zu beachten, dass Krankenhäuser über § 124 Abs. 3 SGB V zu den Leistungserbringern im Bereich der Heilmittel zählen. Sonstige Leistungserbringer sind z.B. Erbringer von häuslicher Krankenpflege, Haushaltshilfe, Soziotherapie sowie sozialmedizinischer Nachsorgemaßnahmen.

Die genannten Leistungserbringer werden in diesen Regelungen ermächtigt, zur Erfüllung ihrer Verpflichtungen (externe) Rechenzentren unter Beachtung weitreichender datenschutzrechtlicher Vorgaben und nach Information der Aufsichtsbehörde zu beauftragen.

Bedeutung für den Krankenhausbereich

An der aufgezeigten Reichweite des Verbots des BSG und den nur wenigen gesetzlichen Befugnisnormen zeigt sich die Relevanz für den Krankenhausbereich.

Da die vom BSG gesetzte Übergangsfrist äußerst knapp bemessen ist (Auslaufen bereits am 30. Juni 2009) hat sich die DKG mehrfach, insbesondere im Rahmen der 15. AMG-Novelle dafür eingesetzt, dass eine Befugnisnorm geschaffen wird, die es Krankenhäusern in umfassender Weise erlaubt, personenbezogene Daten an externe Abrechnungsstellen zu übermitteln.

Voraussichtlich in Kraft tretende Regelungen

Mit den jüngsten DKG-Rundschreiben Nr. 190 und 201/2009 haben wir über den Sachstand zur AMG-Novelle informiert. Auf der Grundlage der 3. Lesung des Bundestages dürften voraussichtlich folgende Regelungen in Kraft treten (Neues unterstrichen):

§ 120 SGB V

(6) Das Krankenhaus darf eine andere Stelle mit der Verarbeitung und der Nutzung der für die Abrechnung von im Notfall erbrachten ambulanten ärztlichen Leistungen mit der Kassenärztlichen Vereinigung erforderlichen personenbezogenen Daten beauftragen; § 291a bleibt unberührt. § 80 des Zehnten Buches ist anzuwenden; Auftraggeber und Auftragnehmer unterliegen der Aufsicht der nach § 38 des Bundesdatenschutzgesetzes zuständigen Aufsichtsbehörde. Der Auftragnehmer darf diese Daten nur zu Abrechnungszwecken verarbeiten und nutzen. Gehört der Auftragnehmer nicht zu den in § 35 des Ersten Buches genannten Stellen, gilt diese Vorschrift für ihn entsprechend; er hat die technischen und organisatorischen Maßnahmen nach § 78a des Zehnten Buches zu treffen.

§295 SGB V

(1b) Ärzte, Einrichtungen und medizinische Versorgungszentren, die ohne Beteiligung der Kassenärztlichen Vereinigungen mit den Krankenkassen oder ihren Verbänden Verträge zu integrierten Versorgungsformen (§ 140a) oder zur Versorgung nach § 73b oder § 73c abgeschlossen haben, psychiatrische Institutsambulanzen sowie Krankenhäuser, die gemäß § 116b Abs. 2 an der ambulanten Behandlung teilnehmen, übermitteln die in Absatz 1 genannten Angaben, bei Krankenhäusern einschließlich ihres Institutionskennzeichens, an die jeweiligen Krankenkassen im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern. Das Nähere regelt der Spitzenverband Bund der Krankenkassen mit Ausnahme der Datenübermittlung der psychiatrischen Institutsambulanzen. Die psychiatrischen Institutsambulanzen über¬mitteln die Angaben nach Satz 1 zusätzlich an die DRG-Datenstelle nach § 21 Absatz 1 Satz 1 des Krankenhausentgeltgesetzes. Die Selbst¬verwaltungspartner nach § 17b Absatz 2 des Krankenhausfinanzierungsgesetzes vereinbaren das Nähere zur Datenübermittlung nach Satz 3; § 21 Absatz 4, 5 Satz 1 und 2 sowie Absatz 6 des Krankenhausentgeltgesetzes sind entspre¬chend anzuwenden. Für die ärztlichen Leistungen, die im Rahmen von Verträgen nach Satz 1 erbracht und mit den Krankenkassen abgerechnet werden, darf eine andere Stelle mit der Verarbeitung und Nutzung der für die Abrechnung dieser Leistungen erforderlichen personenbezogenen Daten beauftragt werden; § 291a bleibt unberührt. § 80 des Zehnten Buches ist anzuwenden; Auftraggeber und Auftragnehmer unterliegen der Aufsicht der nach § 38 des Bundesdatenschutzgesetzes zuständigen Aufsichtsbehörde. Der Auftragnehmer darf diese Daten nur zu Abrechnungszwecken verarbeiten und nutzen. Gehört der Auftragnehmer nicht zu den in § 35 des Ersten Buches genannten Stellen, gilt diese Vorschrift für ihn entsprechend; er hat die technischen und organisatorischen Maßnahmen nach § 78a des Zehnten Buches zu treffen.

Auswirkungen

Die voraussichtlich in Kraft tretenden gesetzlichen Regelungen decken lediglich die Einbeziehung von Externen bei der Abrechnung ambulanter Notfallbehandlungen sowie im Rahmen von Integrationsverträgen gemäß der §§ 140a ff. SGB V ab. Insofern wird die Abrechnungspraxis in der Mehrzahl o.g. Bereiche ausgehebelt und Krankenhäuser müssen sich schnellstmöglich auf die neue Situation einstellen (Einstellung neuen Personals (ggf. der Abrechnungsstelle auf Stundenbasis), Schulung von Mitarbeitern, Kündigung der ggf. noch bestehenden Verträge mit den Abrechnungsstellen aufgrund Wegfalls der Geschäftsgrundlage).

Da die gesetzlichen Regelungen nur als eine Zwischenlösung gedacht sind (Befristung bis zum 1. Juli 2010) könnte sich als vorübergehender Ausweg möglicherweise anbieten, eine Pseudonymisierung der Patientendaten oder gar eine Anonymisierung vorzunehmen und lediglich die Abrechnungsaufbereitung durch den Externen erstellen zu lassen. Sofern dies aus EDV-technischen oder sonstigen Gründen nicht möglich oder handhabbar sein sollte, bleibt nur, die Abrechnung selbst zu erstellen und eine Direktabrechnung mit der KV bzw. Krankenkasse vorzunehmen.

Als Übergangsregelung hatte das BSG festgelegt, dass die Leistungen, die bis zum 30. Juni 2009 erbracht werden, auch dann noch von der KV vergütet werden müssen, wenn sie unter Verstoß gegen das Verbot der Datenweitergabe abgerechnet wurden. Dies bedeutet nicht, dass ab dem 1. Juli 2007 pauschal sämtliche Rechnungen zurückgewiesen werden können, sondern es können nur diejenigen Rechnungen zurückgewiesen werden, die sich auf Leistungen beziehen, die seit dem 1. Juli 2009 erbracht worden sind. Dem Rechnung tragend sieht der Gesetzgeber im Rahmen der AMG-Novelle vor, dass die o.g. Regelungen rückwirkend zum 18. Juni 2009 in Kraft treten.

Sofern Krankenhäuser von der Einschaltung Externer bei der Abrechnung, insbesondere der ambulanten Notfallbehandlungen, Gebrauch machen, ist Folgendes zu beachten:

• Einer Einwilligung des Patienten bedarf es nicht.

• Da § 80 SGB X für anwendbar erklärt wird, werden datenschutzrechtliche Verantwortlichkeiten, der Inhalt der schriftlichen Auftragserteilung, die Anzeigepflichten gegenüber der Aufsichtsbehörden, die Zweckbindung, die Datenschutzkontrolle, usw. für Krankenhäuser festgelegt. Die hohen datenschutzrechtlichen Anforderungen im Einzelnen können der aktuellen Fassung von § 80 SGB X entnommen werden.

• Das Krankenhaus als Auftraggeber und der externe Dienstleister als Auftragnehmer unterliegen der Aufsicht der nach § 38 des Bundesdatenschutzgesetzes (BDSG) zuständigen Aufsichtsbehörde (die von den Landesregierungen bestimmten Datenschutzaufsichtsbehörden), die die Einhaltung der datenschutzrechtlichen Vorschriften kontrolliert, andererseits aber auch berät und unterstützt.

• Der Auftragnehmer darf die Daten nur zu Abrechnungszwecken verarbeiten und nutzen.

• Da die Neuregelungen nur vorsehen, dass Krankenhäuser eine „andere Stelle“ beauftragen können, sind Krankenhäuser in ihrer Entscheidung frei, wen sie mit der Abrechnungserstellung beauftragen (Rechenzentrum, berufsständische / privatärztliche oder gewerbliche Verrechnungsstelle).

Insofern legt die Neuregelung in § 120 Abs. 6 SGB V fest, dass, soweit der Auftragnehmer (externer Dienstleister) nicht zu den in § 35 SGB I genannten Stellen zählt, diese Vorschrift für ihn entsprechend gilt und er die in § 78a SGB X geregelten technischen und organisatorischen Maßnahmen ebenfalls zu beachten hat. Dies bestätigt, dass auch private Dienstleister unter die Vorschrift fallen, diese jedoch ebenso wie die in § 35 SGB I genannten Stellen (insbesondere Sozialleistungsträger) den entsprechenden datenschutzrechtlichen Bestimmungen gerecht werden müssen.