Der Bayerische Landesbeauftragte für den Datenschutz 19 ...

Der Bayerische Landesbeauftragte für den Datenschutz
19. Tätigkeitsbericht, 2000; Stand: 14.12.2000
_____________________________________________________________________________
Die Umsetzung dieser Vorschrift bereitet bei einer Kassenärztlichen Vereinigung Schwierigkeiten:
Anders nämlich als bei Mitarbeitern einer Krankenkasse, die es durch Auswahl ihrer Kassenmitgliedschaft
verhindern können, dass ihren Vorgesetzten und ihren Kollegen die sie betreffenden
Patientendaten bekannt werden, ist eine vergleichbare „Steuerungsmöglichkeit“ für KV-
Bedienstete praktisch kaum zu erreichen. Der Vertragsarzt ist nämlich verpflichtet, mit der KV
abzurechnen, deren Mitglied er ist (§ 77 Abs. 3 S. 1, 294 und 295 Abs. 1 SGB V). Der bei der
KV beschäftigte Patient hat rechtlich keine Möglichkeit, den Vertragsarzt zur Abrechnung von
dessen Leistungen (mit damit verbundenen sensiblen medizinischen Patientendaten) bei einer
anderen als der für diesen Arzt zuständigen KV zu veranlassen.
Da es generell misslich ist, wenn Arbeitskollegen/-innen Kenntnis über Patientendaten der Belegschaft
des Betriebes erlangen können, habe ich die KVB aufgefordert, die Patientendaten des
KVB-Personals über die gesetzliche Verpflichtung nach § 35 Abs. 1 S. 3 SGB I hinaus auch gegenüber
Personen zu schützen, die lediglich Kollegen/-innen sind und keine Personalentschei-
dungen treffen oder daran mitwirken können.
Meinerseits habe ich die KVB um Überprüfung des folgenden Lösungsansatzes gebeten:
Die KVB-Bezirksstellen werden von der KVB-Landesgeschäftsstelle in die Lage versetzt, bei
der Übernahme eingehender Arztrechnungen in den EDV-Bestand der KVB systemtechnisch
Namen und Krankenversicherten-Nummern von KVB-Mitarbeitern zu erkennen. Die EDV verschlüsselt
daraufhin im KVB-Datenbestand sofort die identifizierenden Daten der KVB-
Mitarbeiter aus der Krankenversichertenkarte (vgl. § 291 Abs. 2 Nr. 2 bis 5 SGB V).
Freilich muss sichergestellt werden, dass der Mitarbeitername dennoch auf dem Datensatz wieder
lesbar ist, der der Krankenkasse zur Überprüfung der Leistungspflicht übermittelt wird (vgl.
§ 295 Abs. 2 SGB V i.V.m. dem hierzu abgeschlossenen Datenträgeraustausch-Vertrag).
Außerdem muss die KVB in berechtigten Fällen (vgl. insbesondere § 285 Abs. 2 SGB V) in der
Lage sein, den verschlüsselten Patienten ausnahmsweise zu identifizieren. Hierfür könnte eine
Zugriffsbeschränkung auf wenige Vertrauenspersonen in der KVB (vgl. allerdings wiederum
§ 35 Abs. 1 S. 3 SGB I) sowie eine spezielle Protokollierung solcher Zugriffe vorgesehen werden.