Darf ein Rechnungsprüfer Einblick in Ihre Krankenakte nehmen? Sloweniens Datenschutzbehörde schafft Klarheit

In der physischen Welt kämen wir nie auf die Idee, einen Finanzberater in unseren privaten Krankenakten blättern zu lassen, während er die Bilanz eines Krankenhauses prüft. Wir verstehen intuitiv, dass die Diagnose eines Arztes ein heiliges Vertrauensverhältnis darstellt. Doch in der digitalen Welt verschwimmen diese Linien oft. Wenn ein Gesundheitsdienstleister ein externes Unternehmen mit der Prüfung seiner Abläufe beauftragt, liegen persönliche Gesundheitsdaten – einige der sensibelsten Informationen, die ein Mensch generieren kann – plötzlich auf einem Server, der für Dritte zugänglich ist.

Kürzlich befasste sich der slowenische Informationsbeauftragte (IP) genau mit diesem Spannungsfeld. Die Frage im Kern der Sache ist einfach, aber tiefgreifend: Wie bringen wir die systemische Notwendigkeit einer professionellen Aufsicht mit dem Grundrecht auf medizinische Privatsphäre in Einklang? Die Stellungnahme des Beauftragten dient als wichtiger Kompass für jede Gesundheitseinrichtung, die durch die prekären Gewässer externer Audits navigiert.

Der unsichtbare Gast im Sprechzimmer

Wenn wir an Gesundheitsdaten denken, denken wir meist an die Beziehung zwischen einem Patienten und einem Arzt. Doch hinter dieser Beziehung steht ein gewaltiger Verwaltungsapparat. Um funktionsfähig, transparent und konform mit Finanz- oder Qualitätsstandards zu bleiben, müssen sich Gesundheitsdienstleister regelmäßig Audits unterziehen. Diese Prüfer sind die „unsichtbaren Gäste“ der Gesundheitswelt.

Aus Sicht der Compliance spazieren diese Prüfer nicht einfach hinein und fangen an, sich durch Dateien zu klicken. Der slowenische Beauftragte stellt klar, dass das gesetzliche Recht eines Prüfers, Daten zu berühren, nicht inhärent ist; es ist abgeleitet. Es fließt vom primären Verantwortlichen – dem Krankenhaus oder der Klinik – und muss in einer gegenseitigen Vereinbarung verankert sein, die genau definiert, was der Prüfer zu tun hat. Betrachten Sie den Verantwortlichen als den gesetzlichen Hüter der Daten; er ist derjenige, der über das „Warum“ und „Wie“ der Datenverarbeitung entscheidet.

Der Prüfer als Auftragsverarbeiter

Im regulatorischen Kontext der DSGVO tritt ein externer Prüfer in der Regel in die Rolle eines Auftragsverarbeiters. Dies ist eine spezifische rechtliche Rolle für einen Dienstleister, der personenbezogene Daten im Auftrag eines anderen verarbeitet. Kurioserweise behandeln viele Organisationen diese Partnerschaften mit einem Handschlag und einem Gebet, aber das Gesetz verlangt etwas viel Robusteres.

Gemäß Artikel 28 der DSGVO ist ein formeller Vertrag nicht nur eine Empfehlung, sondern ein obligatorisches Sicherheitsnetz. Dieser Vertrag muss ausdrücklich festlegen, dass der Prüfer an dieselben Vertraulichkeitsstandards gebunden ist wie der Gesundheitsdienstleister. Anders ausgedrückt: Der Prüfer wird zu einer Erweiterung der eigenen digitalen Mauern des Krankenhauses. Wenn kein Vertrag vorliegt, ist die Datenübermittlung im Grunde eine vorprogrammierte Datenschutzverletzung.

Das digitale Zeugenschutzprogramm

Einer der markantesten Punkte in der Stellungnahme des Beauftragten ist die strikte Begrenzung nicht-anonymisierter Daten. In einer idealen Welt müsste ein Prüfer niemals den Namen oder die Sozialversicherungsnummer eines Patienten kennen. Sie suchen nach Mustern, Finanzsummen oder der Einhaltung von Verfahren – nicht nach der spezifischen Krankengeschichte von Max Mustermann.

Folglich plädiert der Beauftragte für eine Praxis, die ich gerne als digitales Zeugenschutzprogramm bezeichne: Datenanonymisierung. Wenn ein Audit mit Daten durchgeführt werden kann, die von allen Identifikationsmerkmalen befreit wurden, dann muss dies auch geschehen. Der Zugriff auf rohe Gesundheitsakten im Klartext sollte die absolute Ausnahme sein, nicht die Regel. Er muss für den spezifischen Zweck des Audits zwingend erforderlich sein. Wenn ein Prüfer einen Abrechnungszyklus verifizieren kann, ohne den Onkologiebericht eines Patienten zu sehen, dann hat er kein Recht, diesen Bericht zu sehen.

Die Regel des Minimalisten

Als digitaler Detektiv sehe ich oft „Datenhorte“ – riesige Sammlungen von Informationen, die „für alle Fälle“ gesammelt wurden. Die slowenische Stellungnahme wirkt diesem Trend entgegen, indem sie die Datenminimierung betont. Dieser Grundsatz schreibt vor, dass verarbeitete personenbezogene Daten angemessen, relevant und auf das notwendige Maß beschränkt sein müssen.

In der Praxis bedeutet dies, dass Gesundheitsdienstleister eine granulare Überprüfung dessen vornehmen müssen, was sie teilen. Anstatt eine gesamte Datenbank zu übergeben, sollten sie einen gefilterten Auszug bereitstellen. „Privacy by Design“ ist hier das Fundament eines Hauses; man baut keinen Balkon mit Blick auf das Badezimmer des Nachbarn, und man baut keinen Audit-Trail, der das Privatleben eines Patienten offenlegt.

Wer hält den Kompass?

Letztendlich liegt die Hauptverantwortung beim Verantwortlichen. Selbst wenn ein Prüfer einen Fehler macht, ist der Gesundheitsdienstleister derjenige, der sich wahrscheinlich dem ersten Gegenwind von Regulierungsbehörden und der Öffentlichkeit stellen muss. Man kann seine Rechenschaftspflicht nicht auslagern. Die Beauftragung eines Auftragsverarbeiters gewährt keinen Freifahrtschein in Bezug auf die rechtmäßige Verarbeitung.

Deshalb muss die Beziehung zwischen einer Klinik und einem Prüfer transparent und nuanciert sein. Es reicht nicht aus, der „Standard“-Datenschutzrichtlinie einer namhaften Wirtschaftsprüfungsgesellschaft zu vertrauen. Man muss verifizieren, dass deren technische und organisatorische Maßnahmen anspruchsvoll genug sind, um mit dem toxischen Gut umzugehen, zu dem sensible Gesundheitsdaten werden können, wenn sie durchsickern.

Praktische Schritte für Gesundheitsdienstleister

Wenn Sie eine Gesundheitseinrichtung leiten oder in einer Rechtsabteilung arbeiten, ist diese Stellungnahme ein Aufruf zum Handeln. So stellen Sie sicher, dass Ihre Audits nicht zu Datenschutz-Alpträumen werden:

• Prüfen Sie den Prüfer: Bevor das Audit beginnt, überprüfen Sie den Auftragsverarbeitungsvertrag (AVV). Wird darin der Umfang des Zugriffs auf Gesundheitsdaten spezifisch erwähnt?
• Setzen Sie das „Need-to-Know“-Prinzip durch: Bitten Sie die Prüfer zu begründen, warum sie nicht-anonymisierte Daten benötigen. Wenn sie keinen spezifischen Grund nennen können, stellen Sie stattdessen anonymisierte oder pseudonymisierte Datensätze zur Verfügung.
• Überprüfen Sie die Verschlüsselung: Stellen Sie sicher, dass alle an den Prüfer übermittelten Daten über verschlüsselte Kanäle gesendet werden – betrachten Sie es als einen versiegelten Umschlag, den nur der beabsichtigte Empfänger öffnen kann.
• Legen Sie ein Löschdatum fest: Stellen Sie sicher, dass der Vertrag festlegt, dass der Prüfer alle personenbezogenen Daten löschen oder zurückgeben muss, sobald der Prüfbericht fertiggestellt ist.

Datenschutz ist ein grundlegendes Menschenrecht, und in der Welt der Medizin ist er das Fundament des Patientenvertrauens. Indem sie den Leitlinien des slowenischen Beauftragten folgen, können Organisationen sicherstellen, dass die Würde der Patienten unangetastet bleibt, während die Bücher geprüft werden.

Quellen:

• Datenschutz-Grundverordnung (DSGVO), Artikel 5 (Grundsätze), Artikel 28 (Auftragsverarbeiter).
• Slowenischer Informationsbeauftragter (Informacijski pooblaščenec), Stellungnahme zur Verarbeitung personenbezogener Daten bei externen Audits im Gesundheitswesen.
• Slowenisches Datenschutzgesetz (ZVOP-2).

Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und journalistischen Zwecken. Er soll einen Überblick über Datenschutztrends geben und stellt keine formelle Rechtsberatung dar. Bei spezifischen Compliance-Fragen wenden Sie sich bitte an einen qualifizierten Rechtsexperten.