Statistik-Modul in Praxisverwaltungssystemen

Mehrere Hersteller von Praxisverwaltungssystemen (PVS) bieten inzwischen ihren Kunden die Möglichkeit an, patientenbezogene Versorgungsdaten zum Zwecke der Erstellung statistischer Auswertungen für die jeweiligen Praxen zu anonymisieren. Zugleich werden die dann anonymisierten Patientendaten durch die Hersteller nach deren inhaltlicher Vorstrukturierung Dritten zu weiteren Verarbeitungszwecken (insbesondere zur Forschung) zur Verfügung gestellt. Die Anonymisierung erfolgt noch in der einzelnen Heilberufspraxis und dient ausdrücklich beiden Zwecken (statistische Auswertungen und Weitergabe an Dritte).

Die Funktionalitäten werden häufig ergänzend zu dem eingesetzten PVS-Produkt als separat buchbares Modul angeboten. Die Inanspruchnahme durch die Praxen ist freiwillig und kostenlos; teilweise werden seitens der Hersteller bei einem Einsatz durch die Praxen sogar Aufwandsentschädigungen oder sonstige Gratifikationen gewährt. In den derzeit bekannten Angeboten sind die mit einem solchen Modul verfolgten Zwecke – die Erstellung von Vergleichs- und Verlaufsstatistiken sowie die Möglichkeit einer Bereitstellung der anonymisierten Patientendaten an Dritte – eng miteinander verbunden. Es ist den Praxen deshalb regelmäßig nicht möglich, im Falle des Einsatzes eines solchen Moduls zwar die Datenverarbeitung zu statistischen Zwecken in Anspruch zu nehmen, die Option einer Drittverwertung der Daten dagegen auszuschließen. 

Der LfDI Rheinland-Pfalz vertritt in diesem Zusammenhang folgende Rechtsauffassung:

Datenschutzrechtliche Problematik

Datenschutzrechtlich stellt die Anonymisierung der in PVS enthaltenen Patientendaten eine Datenverarbeitung dar, die nur dann zulässig ist, wenn hierfür eine wirksame Verarbeitungsbefugnis zugrunde gelegt werden kann. In Betracht kommen hierfür entweder eine gesetzliche Regelung oder die Einwilligung der Betroffenen – im konkreten Anwendungsfall also der Patientinnen und Patienten. Zudem muss das Verarbeitungsverbot nach Art. 9 Abs. 1 DS-GVO aufgehoben sein.

Mögliche Rechtsgrundlagen für die Anonymisierung sind Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. j DS-GVO in Verbindung mit § 6 Abs. 1 Nr. 2 und Nr. 3 GDNG oder § 27 Abs. 1 BDSG.

a) Heranziehung von § 6 Abs. 1 GDNG
Bei einer Heranziehung von § 6 Abs. 1 GDNG ist § 6 Abs. 3 Satz 3 GDNG zu beachten. Hiernach dürfen Versorgungsdaten nur zu den in § 6 Abs. 1 Satz 1 GDNG enthaltenen Zwecken von den Gesundheitseinrichtungen anonymisiert werden, um sie dann an Dritte zu übermitteln. Dessen Voraussetzungen liegen aber bei den o.g. Modulen lediglich im Hinblick auf die Erstellung der Vergleichs- und Verlaufsstatistiken (vgl. § 6 Abs. 1 Nr. 3 GDNG) vor, nicht aber bezüglich der Übermittlung der anonymisierten Daten an den Hersteller bzw. Anbieter des Moduls zum Zwecke der Weitergabe an Dritte. Denn die Heilberufspraxen geben insoweit die von ihnen anonymisierten Daten gerade nicht an eine Stelle weiter, die mit den Daten selbst Zwecke nach § 6 Abs. 1 Satz 1 Nr. 2 GDNG verfolgt. Vielmehr werden diese Daten durch den Hersteller bzw. Anbieter inhaltlich vorselektiert und anschließend anderen Stellen zu den von diesen jeweils verfolgten Zwecken unentgeltlich oder entgeltlich bereitstellt. Ob diese Form der Tätigkeit als wissenschaftliche Tätigkeit in Form eines sog. „Intermediärs“ zu qualifizieren ist, kann in diesem Kontext dahinstehen, da die erbrachte Tätigkeit sicherlich regelmäßig keine medizinische, rehabilitative oder pflegerische Forschung darstellen dürfte. Dies wäre jedoch für eine Heranziehung von § 6 Abs. 1 Satz 1 Nr. 2 und § 6 Abs. 3 Satz 3 GDNG erforderlich.

Im Ergebnis kann deshalb im Regelfall § 6 Abs. 1 GDNG nicht als Befugnis zur Anonymisierung von Patientendaten zum Zwecke ihrer Übermittlung an den Hersteller bzw. Anbieter des Moduls und der anschließenden Weitergabe an Dritte herangezogen werden.

b) Heranziehung von § 27 Abs. 1 Satz 1 BDSG
Nach § 27 Abs. 1 Satz 1 BDSG dürfen Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DS-GVO auch ohne Einwilligung für wissenschaftliche Forschungszwecke verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen – also der Heilberufspraxen - an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen.

Im Unterschied zu § 6 Abs. 1 Nr. 2 GDNG verlangt § 27 Abs. 1 Satz 1 BDSG keine Datenverarbeitung zu den inhaltlich im GDNG spezifizierten Forschungszwecken (medizinische, rehabilitative oder pflegerische Forschung). Vielmehr reicht es aus, wenn die konkrete Datenverarbeitung allgemein wissenschaftlichen Forschungszwecken dient. Dies kann unter Berücksichtigung einer regelmäßig bestehenden Tätigkeit des Herstellers bzw. Anbieter des Moduls als Intermediär angenommen werden. Im Hinblick auf die in § 27 Abs. 1 Satz 1 BDSG verlangte Interessenabwägung erfüllen die o.g. Module die gesetzliche Anforderung zumindest dann, wenn die Patientinnen und Patienten der jeweiligen Arztpraxis über den Einsatz des Moduls informiert werden und ihnen zugleich die Möglichkeit eingeräumt wird, der Verarbeitung der sie betreffenden Daten zu widersprechen (sog. patientenspezifischer Opt-Out). Denn allein in diesem Fall sähen Heilberufspraxen als datenschutzrechtlich Verantwortliche angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen gemäß § 22 Absatz 2 Satz 2 vor.

Was muss von den Heilberufspraxen bei dem Einsatz derartiger Module getan werden?

Sofern Heilberufspraxen erwägen oder bereits entschieden haben, ihnen gegenüber angebotene Statistik-Module mit den beschriebenen doppelten Zwecken – Erstellung von Verlaufs- und Vergleichsstatistiken und Möglichkeit einer Weitergabe der anonymisierten Patientendaten durch die Hersteller bzw. Anbieter des Moduls an Dritte – einzusetzen, sind die Patientinnen und Patienten vorab darüber in geeigneter Weise zu unterrichten. Zudem müssen sie auf die ihnen zustehende Möglichkeit hingewiesen werden, der Anonymisierung der sie betreffenden Behandlungsdaten zu widersprechen. Verfügt das angebotene Modul nicht über die technische Möglichkeit, einen derartige patientenspezifischen Opt-Out umzusetzen, wäre dessen Einsatz datenschutzrechtlich unzulässig. Bereits eingesetzte Module sollten deshalb in diesen Fällen umgehend deaktiviert werden.

Check:

  1. Setzt die Praxis ein Statistik-Modul ein, das sowohl der Erstellung von Vergleichs- und Verlaufsstatistiken dient als auch die Weitergabe anonymisierter Patientendaten durch den Hersteller bzw. Anbieter des Moduls an Dritte vorsieht?

  2. Verfügt das Modul über die technische Möglichkeit, einen patientenspezifischen Widerspruch gegen die Anonymisierung von Patientendaten umzusetzen?

  3. Werden die Patientinnen und Patienten der Praxis über den Einsatz eines derartigen Moduls unterrichtet und auf ihre Möglichkeit, einer Anonymisierung der sie betreffenden Daten zu widersprechen, in geeigneter Weise hingewiesen?