4 MB 56/10

Datenschutzaufsicht: Unzulässige Weitergabe von Patientendaten bei hausarztzentrierter Versorgung • Die datenschutzrechtliche Anordnung der Aufsichtsbehörde gegen Weitergabe von Patientendaten an private Dienstleister im Rahmen eines HzV-Vertrags ist im Eilverfahren nicht offensichtlich rechtswidrig. • Die vertragliche Konstruktion einer verpflichtenden Weitergabe von Abrechnungs- und Gesundheitsdaten an einen Verband und dessen Dienstleister kann eine fehlende Rechtsgrundlage i.S.d. § 80 SGB X und damit einen materiellen Datenschutzverstoß begründen. • Bei besonders schutzwürdigen Sozial- und Gesundheitsdaten gebührt dem Schutz der Patienten in der Interessenabwägung Vorrang vor wirtschaftlichen Interessen der Vertragspartner. Der als Verein auftretende Antragsteller schloss per Schiedsspruch mit Krankenkassen einen Vertrag zur Durchführung einer hausarztzentrierten Versorgung (HzV). Zur Abrechnung sollten teilnehmende Hausärzte eine vorgeschriebene Vertragssoftware mit einem von der Dienstleistungsgesellschaft gelieferten "gekapselten Kern" nutzen; Abrechnungsdaten sollten an die Dienstleister (...G) weitergeleitet werden. Der Rahmenvertrag regelte ein Auftragsverhältnis zwischen Hausarzt und Antragsteller und benannte zahlreiche Unterauftragnehmer. Die Landesdatenschutzbehörde erließ eine Anordnung, die Weitergabe von Patientendaten an die ...G und weitere Stellen zu unterbinden und bereits übermittelte Daten gesondert zu speichern und nicht zu nutzen; sofortige Vollziehung und Zwangsgeld wurden angeordnet. Das Verwaltungsgericht wies einen Antrag auf einstweiligen Rechtsschutz zurück. Der Antragsteller beschwerte sich und rügte insbesondere, die Vertragskonstruktion erfülle die Voraussetzungen der Auftragsdatenverarbeitung nach § 80 SGB X und die Anordnung sei daher rechtswidrig. • Zulässigkeit: Die Beschwerde ist zulässig, in der Sache jedoch unbegründet; Prüfung beschränkt auf Eilverfahren (§§ 146 Abs.4 Satz 6 VwGO). • Fehlende Auftragsdatenverarbeitung: Es bestehen erhebliche Zweifel, dass die vertraglich vorgesehene Datenweitergabe eine echte Auftragsdatenverarbeitung i.S.d. § 80 SGB X darstellt, weil Hausärzten keine Auswahlmöglichkeit des Auftragnehmers eingeräumt wird und wesentliche Kontroll- und Einsichtsrechte fehlen. • Transparenz- und Kontrollmängel: Der "gekapselte Kern" ist für Hausärzte und Hersteller nicht nachvollziehbar; damit fehlen die nach § 80 Abs.2 SGB X erforderlichen Einsichts- und Kontrollrechte des Auftraggebers. • Anwendung spezialgesetzlicher Vorgaben: Nach § 295 Abs.1b SGB V i.V.m. § 80 SGB X ist bei Einschaltung privater Stellen für Abrechnungsdaten ein hohes Schutzniveau vorzusehen; die vertragliche Konstruktion erfüllt diese Anforderungen nicht. • Beschränkungen bei nicht-öffentlichen Stellen: § 80 Abs.5 SGB X verlangt, dass der überwiegende Teil des Datenbestandes beim Auftraggeber verbleibt oder Störungen bzw. erhebliche Kostenvorteile vorliegen; dies ist hier nicht dargetan und nach den Vertragsbestimmungen nicht erfüllt. • Interessenabwägung: Im einstweiligen Rechtsschutz ist der Schutz der Patienten- und Gesundheitsdaten vorrangig; wirtschaftliche Interessen des Antragstellers sind geringes Gewicht, da Verwaltungspauschalen an Dienstleister weitergereicht werden. • Rechtsfolgen und Aufsichtsbefugnis: Liegt kein legitimes Auftragsverhältnis oder ist dieses mangelhaft ausgestaltet, fehlt die Rechtsgrundlage für die Weitergabe sozialrechtlich geschützter Daten; die Aufsichtsbehörde durfte daher anordnen, die Datenweitergabe zu verhindern bzw. bereits übermittelte Daten zu sperren (§ 38 BDSG). Die Beschwerde des Antragstellers wird zurückgewiesen. Das Oberverwaltungsgericht hält die datenschutzrechtliche Anordnung der Landesbehörde im Eilverfahren nicht für offensichtlich rechtswidrig, weil erhebliche Anhaltspunkte dafür bestehen, dass die im HzV-Vertrag vorgesehene Datenverarbeitung gegen die Anforderungen des § 80 SGB X und damit gegen materielles Datenschutzrecht verstößt. Insbesondere fehlt den Hausärzten nach dem Vertragswerk eine wirksame Auswahl- und Kontrollmöglichkeit gegenüber dem Auftragnehmer und dessen Unterauftragnehmern sowie die Transparenz über den sogenannten gekapselten Kern. Wegen dieser Mängel fehlt es an einer ausreichenden Rechtsgrundlage für die Übermittlung sensibler Gesundheits- und Abrechnungsdaten, sodass die Aufsichtsbehörde zum Schutz der Patienten einschreiten durfte. Der Antragsteller trägt die Verfahrenskosten; die außergerichtlichen Kosten der Beigeladenen sind nicht erstattungsfähig.