Strukturprüfung nach § 275d SGB V: datenschutzrechtliche Probleme und Lösungen

Wenn das Krankenhaus zusammen mit dem Strukturprüfungsantrag Unterlagen einreicht, die der Medizinische Dienst (MD) in der Richtlinie für das Jahr 2022 neu angefordert hat, werden u. a. auch personenbezogene Daten übermittelt. Fraglich ist, ob die Krankenhäuser dabei möglicherweise gegen die Bestimmungen der Datenschutzgrundverordnung (DSGVO) oder der kirchlichen Datenschutzgesetze verstoßen (sofern letztere in dem jeweiligen Krankenhaus Anwendung finden). Die folgenden Ausführungen beschränken sich auf die Prüfung der Vorgaben laut DSGVO, da die kirchlichen Datenschutzgesetze weitgehend identische Regelungen enthalten.

In der Richtlinie des MD Bund nach § 283 Abs. 2 S. 1 Nr. 3 SGB V (StrOPS-RL) heißt es unter Ziffer 10 (S. 22/23), dass „die Verarbeitung einschließlich der Übermittlung der aus der Strukturprüfung gewonnenen Daten [...] ausschließlich für Zwecke der Begutachtung zur Einhaltung von Strukturmerkmalen von OPS-Codes nach Maßgabe der Richtlinie“ erfolgt und die Krankenhäuser verpflichtet seien, die für die Strukturprüfung erforderlichen (Anm. d. Red.: Hervorhebung durch die Verfasser) personen- und einrichtungsbezogenen Daten nach § 275d Abs. 1 SGB V dem MD zu übermitteln.

Aus Anlage 6a zur Richtlinie ergeben sich weiterhin die erforderlichen Unterlagen je abrechnungsrelevanten OPS-Code. Zu diesen Unterlagen, die nach der Richtlinie übermittelt werden müssen, gehören jetzt auch die Arbeitsverträge des eigenen Personals, welches das Krankenhaus für die Erfüllung der allgemeinen Strukturmerkmale einsetzen will. Arbeitsverträge enthalten regelmäßig personenbezogene Daten der Arbeitnehmer (z. B. Name, Vorname, Adresse, Alter, Vergütung, ggf. Bankverbindung des Arbeitnehmers).

Nach § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten von Beschäftigten grundsätzlich nur im Zusammenhang mit dem Beschäftigungsverhältnis verarbeitet werden. Etwas anderes gilt prinzipiell dann, wenn der Beschäftigte in eine weitergehende Datenverarbeitung eingewilligt hat.

Nach § 26 BDSG allein ist eine Verarbeitung personenbezogener Daten von Beschäftigten im Rahmen der Strukturprüfungen nach § 275d SGB V somit nicht zulässig. Daher müssen sich Krankenhäuser fragen, ob sie berechtigt sind, Arbeitsverträge ohne Einschränkungen herauszugeben – wie dies jetzt in der Richtlinie des MD-Bund nach § 283 SGB V gefordert wird. Bei den Beschäftigten in den Krankenhäusern, die von den Strukturprüfungen betroffen sind, dürfte dies sicherlich nicht auf ungeteilte Zustimmung stoßen.

Nach Art. 6 Abs. 1 S. 1 Buchstabe c DSGVO ist die Datenverarbeitung auch ohne Einwilligung der betroffenen Person zulässig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Die Richtlinie des MD Bund nach § 283 SGB V i. V. m. Anlage 6a zu dieser Richtlinie verlangt bei den dort bezeichneten OPS-Codes die Vorlage der Arbeitsverträge. Dabei werden keine Einschränkungen dahin gehend gemacht, dass die Krankenhäuser etwa berechtigt sind, Teile der Verträge zu anonymisieren. Diese Vorgabe könnte man als rechtliche Verpflichtung der Krankenhäuser ansehen, die Arbeitsverträge einschränkungslos herausgeben, damit der MD die darin enthaltenen personenbezogenen Daten speichern und verarbeiten kann.

Art. 6 Abs. 1 S. 1 Buchstabe c DSGVO steht jedoch unter dem Vorbehalt der Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 DSGVO. Nach Art. 5 Abs. 1 Buchstabe c DSGVO muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Nach dem Grundsatz der Datenminimierung ist nicht erkennbar, warum der MD, um die allgemeinen Strukturmerkmale eines bestimmten OPS-Codes zu prüfen, z. B. wissen muss, wo der Beschäftigte wohnt, wann er geboren wurde, wie viel er verdient und ggf. noch, wo sich sein Konto befindet.

Aus Gründen des Datenschutzes kann deshalb Krankenhäusern zurzeit nicht geraten werden, die Arbeitsverträge der Mitarbeiter im Rahmen von Strukturprüfungen nach § 275d SGB V ohne Schwärzung der darin enthaltenen personenbezogenen Daten zu übermitteln. Der MD hat selbst zugestanden, dass Angaben zur Vergütung unkenntlich gemacht werden können. Aus dem Schweigen zu anderen Punkten ergibt sich allerdings, dass jedenfalls der MD Bund sonstige Schwärzungen für unzulässig hält.

Angesichts der für Krankenhäuser rechtlich unklaren Situation empfiehlt sich das folgende Prozedere.