RA Dr. Florian Wolf, Fachanwalt für Medizinrecht
(Februar 2019)
Mit Inkrafttreten der DSGVO ist auch eine erhebliche Unsicherheit entstanden, ob die bisherigen Modelle zur Übergabe von Patientendaten im Rahmen eines Praxiskaufs noch ausreichend seien. Besonders ein Artikel in der Medical Tribune Online, der die Übergabe der Patientendaten als Auftragsverarbeitung charakterisierte, sorgte für Unruhe, da er darüber hinaus das Schreckgespenst eines nichtigen Kaufvertrages an die Wand malte, aufgrund dessen der Käufer sogar die Rückabwicklung des Vertrages und vor allem die Rückzahlung des Kaufpreises würde verlangen können.
Aber ist das wirklich so?
Wir wollen die mit der Übergabe der Patientenkartei verbundenen datenschutzrechtlichen Probleme etwas näher beleuchten.
1. Abkehr vom Zwei-Schrank-Modell
Das bisherige, von Kammern, Gerichten und der Kautelarjurisprudenz gebilligte Zwei-Schrank-Modell sah schlicht vor, dass der Praxisabgeber seine Patientenkartei in einem verschlossenen Schrank in der Praxis beließ, der vom Übernehmer verwahrt wurde. Immer dann, wenn ein Patient damit einverstanden war, daß der Übernehmer Einsicht in seine Daten nahm, wurde die entsprechende Akte aus dem Schrank des Abgebers in den Schrank des Übernehmers transferiert. Ab diesem Zeitpunkt wurde sie vom Übernehmer einerseits als eigene behandelt, gleichzeitig aber der Datensatz weiter für den Abgeber zumindest für die Dauer der (berufs-)rechtlichen Aufbewahrungsfristen verwahrt.
Gleichzeitig behielt sich der Übergeber Einsichtsrechte im Falle eines berechtigten Interesses vor, zum Beispiel zur Abwehr von Regressen der KV oder der Gemeinsamen Prüfeinrichtungen, für Honorarstreitigkeiten oder zur Verteidigung bei Behandlungsfehlervorwürfen. Er war auch nach der Berufsordnung dazu verpflichtet, die Daten bis zum Ende der Aufbewah- rungsfrist sicher zu verwahren. Diese Aufgabe übernahm der Abnehmer für ihn.
Diese wechselseitigen Pflichten bilden noch immer den wesentlichen Kern der Abreden über die Behandlung der Patientendokumentation und spiegeln die wechselseitigen Interessen der Parteien wider.
Bereits bei Betrachtung dieser tatsächlichen Verhältnisse wird deutlich, dass es zwei Personen gibt, die Interesse an den Daten haben: (1) Der Abgeber, der nach wie vor in der Pflicht steht, die Patientendaten sicher aufzubewahren und diese möglicherweise auch zur Abwehr von Ansprüchen benötigt, die gegen ihn erhoben werden, und (2) der Übernehmer, der die Akten als Teil des „Goodwills“ sieht und sie zur sachgerechten Behandlung der Patienten benötigt, sofern er nicht die oft viele Jahre alte Krankengeschichte neu erheben will.
Die DSGVO hält für Fälle, in denen mehrere – untechnisch – ein Interesse an erhobenen Daten haben, besondere Vorschriften vor. So sind eine Auftragsverarbeitung und eine gemeinsame Verantwortlichkeit denkbar. In beiden Fällen ist der Abschluss einer besonderen Vereinbarung zwischen Abgeber und Übernehmer erforderlich.
Beim bisherigen Zwei-Schrank-Modell wird es daher jedenfalls nicht bleiben können.
2. Auftragsverarbeitung oder gemeinsame Verantwortung?
Der Begriff der Auftragsverarbeitung gem. Art. 28 DSGVO wird in Art. 4 Nr. 8 DSGVO legaldefiniert als die Verarbeitung von personenbezogenen Daten durch eine natürliche oder juristische Person im Auftrag des Verantwortlichen. Eine „Verarbeitung“ ist bei der Speicherung = Aufbewahrung von Daten nach Art. 4 Nr. 2 DSGVO unzweifelhaft und auch schon nach der Rechtslage des alten BDSG gegeben.
Charakterisierend für die Auftragsverarbeitung ist nun, daß die Verarbeitung ausschließlich im Auftrag des Verantwortlichen erfolgt. Der Auftragsnehmer ist weisungsgebunden. Er hat die Daten zwar in seinem Machtbereich, er darf sie jedoch nur dem Willen des Verantwortlichen entsprechend verarbeiten. Eigene Entscheidungsbefugnisse stehen ihm im Hinblick auf die personenbezogenen Daten nur soweit zu, wie sie im Auftragsverhältnis festgelegt sind.
Bereits anhand dieser kurzen Charakterisierung werden die Zweifel, ob es sich tatsächlich um eine Auftragsverarbeitung handeln kann, offenbar: Der Übernehmer handelt gerade nicht ausschließlich im Auftrag des Abgebers. Spätestens dann, wenn er die Akte dem Altbestand entnimmt und seinem eigenen Bestand zuführt, handelt er auch in eigenem Interesse. Er erhebt selbständig und eigenverantwortlich weitere Daten und führt diese mit den Daten des Abgebers zusammen. An den Willen des Abgebers ist er nun nur noch insoweit gebunden, als er die Daten nicht selbständig löschen darf. Ansonsten darf und muß er frei über die jeweilige Patientenakte entscheiden können.
Der Übernehmer verfolgt mithin auch eigene Interessen unmittelbar an den personenbezogenen Daten. Eine Auftragsdatenverarbeitung liegt daher eher fern.
Demgegenüber besteht eine gemeinsame Verantwortung gem. Art. 26 i.V.m. 4 Nr. 7 DSGVO immer dann, wenn mehrere Verantwortliche gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden.
Für den Begriff der Gemeinsamkeit ist dabei lediglich relevant, ob mehr als eine Person entscheidet. „Gemeinsam“ ist also nicht so zu verstehen, daß alle Verantwortlichen in Bezug auf jede Verarbeitung gleichermaßen und gleichberechtigt entscheiden und sich abstimmen und dabei die gleiche Verantwortung tragen. Weder die Beteiligung noch der Einfluss der Parteien auf die Festlegung der Zwecke und Mittel müssen symmetrisch sein. Vielmehr ist für die Qualifizierung als gemeinsame Verantwortung erheblich, wer zum Beispiel darüber entscheidet, wie lange Daten aufbewahrt werden, wer Zugang hat, was damit geschehen soll und zu welchem Zweck die Verarbeitung erfolgt. Wichtig ist ferner, wer die Verarbeitung veranlaßt hat und ob jeder Verantwortliche mit der Datenverarbeitung einen eigenen Zweck verfolgt.
Die Abgrenzung zur Auftragsverarbeitung wird somit anhand verschiedener Kriterien durchgeführt: Wie ausführlich sind die erteilten Weisungen? Erfolgt eine Überwachung durch den Verantwortlichen? Wie ist die Außenwirkung für die Betroffenen? Wie ist die Fachkompetenz der Parteien und deren Entscheidungsspielraum?
Einer gemeinsamen Verantwortlichkeit steht nicht entgegen, wenn Eigentum und Sachherrschaft der Infrastruktur nur bei einem Beteiligten stehen. Auch steht es der gemeinsamen Verantwortung nicht entgegen, wenn die tatsächliche Durchführung bei einer der Parteien liegt, während dem anderen zur Zweckfestlegungs- und Kontrollrechte eingeräumt werden.
Legt man diese Prinzipien zugrunde, scheidet eine Auftragsverarbeitung relativ deutlich aus.
Denn der Übernehmer bewahrt die Daten gerade nicht im Interesse des Abgebers, sondern im Eigeninteresse auf. Er entscheidet nach Ablauf der Aufbewahrungsfristen des Abgebers darüber, wie lange die Daten noch aufbewahrt werden.
Verantwortung und Interesse des Abgebers enden wiederum nicht mit der Zuführung in den Schrank des Übernehmers. Denn der Abgeber behält sich gerade vor, auch noch später Einsicht in die von ihm geführte Patientendokumentation zu nehmen, wenn es zur Wahrung seiner Rechte notwendig ist. Der Abgeber verfolgt mit der Speicherung durch den Übernehmer eigene Zwecke: Er kommt so seinen berufsrechtlichen Aufbewahrungspflichten nach.
Haben aber beide Parteien eigene Interessen an der Datenverarbeitung, erfolgt diese, um eigenen, persönlichen Pflichten nachzukommen, und ist – zumindest hinsichtlich des Teilaspekts der Speicherung – die Zusammenarbeit gleichrangig, liegt eine gemeinsame Verantwortung und gerade keine Auftragsdatenverarbeitung vor.
Die äußeren Umstände sprechen daher für eine gemeinsame Verantwortung. Eine Auftragsverarbeitung scheidet demgegenüber aus.
3. Datenschutzrechtliche und zivilrechtliche Folgen
Wie bei einer Auftragsverarbeitung auch ist bei der gemeinsamen Verantwortung eine Vereinbarung der Parteien erforderlich, die die gegenseitigen Rechte und Pflichten und insbesondere die Zuständigkeiten beim Umgang mit Betroffenenrechten regelt.
Fehlt eine solche Vereinbarung, besteht die Gefahr der Verhängung eines Bußgeldes durch die zuständige Datenschutzbehörde. Das Entdeckungsrisiko ist indessen eher gering.
Größer ist hingegen die Gefahr, daß sich ein Übernehmer darauf beruft, der Vertrag sei man- gels entsprechender Vorschriften nichtig, und deswegen den Kaufpreis zurückverlangt. Die Rückübertragung des Versorgungsauftrags oder gar der Praxis wird in der Regel nur schwer möglich sein und ist auch selten im Interesse des Abgebers.
Aber besteht diese Gefahr wirklich?
Die Vertreter dieser „Nichtigkeitstheorie“ berufen sich auf eine Entscheidung des BGH vom 11.10.1995, Az. VIII ZR 25/94. In dieser Entscheidung hatte der BGH tatsächlich die Gesamtnichtigkeit eines Praxiskaufvertrag erwogen, weil die Regelungen zur Patientendokumentation nicht den – damals nur relevanten – Regelungen zur ärztlichen Schweigepflicht entsprachen.
Der BGH legte seiner Entscheidung zugrunde, daß der Kaufpreis gerade mit Blick auf die Pa- tientendokumentation festgelegt worden sei. Der Käufer hatte in diesem Fall also die Patien- tendokumentation womöglich durchgesehen oder zumindest die Akten gezählt und seine Kaufentscheidung und Preisbildung maßgeblich gerade auf diese Patientendokumentation gestützt. Die Patientendokumentation konnte aber nicht wirksam übergeben werden, die entsprechende Passage des Kaufvertrags war wegen des Verstoßes gegen ein gesetzliches Verbot – die berufs- und strafrechtlichen Verschwiegenheitspflichten – nichtig. Sofern der Patientenkartei ein Teil des Kaufpreises zugewiesen werden könne, sei der Vertrag in diesem Umfang nichtig. Könne ihr kein Teil des Kaufpreises zugewiesen werden, sei er womöglich gesamtnichtig.
Das ist allerdings nicht der Regelfall. Vielmehr wird der Kaufpreis in der Regel mit Blick auf die Umsätze und Gewinne der letzten Jahre, die Zahl der behandelten Patienten nach den Honorarbescheiden der Kassenärztlichen Vereinigung und ähnlichen Zahlen bemessen, die von der eigentlichen Patientendokumentation unabhängig sind. Die Patientenakten selbst sind kein preisbildender Faktor und auch nicht ausschlaggebend für die Kaufentscheidung. Die Übernahme und Übergabe der Patientenakten ist regelmäßig eine Nebenpflicht und nicht – wie in der Entscheidung des BGH – als Hauptleistungspflicht mit demselben Rang wie bei- spielsweise die Verpflichtung, den Kaufpreis zu zahlen, in den Vertrag aufgenommen.
Eine fehlerhafte Klausel zur Patientendokumentation führt daher nur in Ausnahmefällen zur Nichtigkeit des Kaufvertrages. Dazu müßte dann die Patientendokumentation selbst Einfluß auf die Kaufentscheidung gehabt haben. Das kann zum Beispiel dann der Fall sein, wenn bei der Übernahme einer Zahnarztpraxis überprüft wird, ob der Abgeber in den letzten Jahren seine Umsätze dadurch gesteigert hat, daß sämtliche Patienten „durchsaniert“ wurden und daher für den Übernehmer in absehbarer Zeit nicht mit lukrativer Implantatversorgung zu rechnen ist.
4. Zusammenfassung
Die Aufbewahrung der Patientendokumentation durch den Übernehmer für den Abgeber ist an den Regeln der DSGVO zu messen und erfordert eine besondere Vereinbarung, die allerdings in den Praxiskaufvertrag integriert werden kann.
Dabei handelt es sich nicht um eine Auftragsverarbeitung, sondern um die Rechtsfigur der gemeinsamen Verantwortung gem. Art. 26 DSGVO.
Eine Gesamtnichtigkeit des Vertrages bei fehlerhaften Regelungen zur Patientendokumentation ist nur in Ausnahmefällen zu befürchten. Die Datenschutzbehörde könnte jedoch ein Bußgeld verhängen.