DSGVO Stolperfalle beim Praxisverkauf

Niederlassung und Kooperation Autor: Anouschka Wasner

Noch immer steht beim Praxisverkauf eine bundesweit gültige Regelung der DSGVO-konformen Vertragsgestaltung mit Blick auf Patientendaten aus. Noch immer steht beim Praxisverkauf eine bundesweit gültige Regelung der DSGVO-konformen Vertragsgestaltung mit Blick auf Patientendaten aus. © iStock/stphillips

Bei einem Praxisverkauf müssen die Patientenakten aufbewahrt oder „in gehörige Obhut“ gegeben werden. In der Regel gehen die Daten an die neue Praxisleitung. Was die DSGVO dazu sagt und wie sich das vertraglich niederschlagen muss, ist nach wie vor umstritten.

„Zu Risiko und juristischen Nebenwirkungen fragen Sie Ihre Ärztekammer oder Aufsichtsbehörde“ –  so ließe sich die Antwort der Datenschutzkonferenz auf die Frage nach der Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit einem Praxisverkauf zuspitzen. Das höchste Organ der Aufsichtsbehörden empfiehlt nämlich Anwälten, Rücksprache mit der jeweiligen Landesärztekammer bzw. Landesdatenschutzbehörde zu halten, wenn sie maximale Rechtssicherheit haben wollen, ob es sich bei der Übernahme der Patientenkartei durch die Praxisnachfolge um eine „Auftragsverarbeitung“ oder um eine „gemeinsame Verantwortung“ handelt – oder um keines von beiden. Was sagen also Kammern und Aufsichtsbehörden dazu?

Bei fehlenden Vereinbarungen drohen Bußgelder

Die Frage ist keine theoretische: Bei einer Auftragsdatenverarbeitung (auch: Auftragsverarbeitung, AV) schreibt die DSGVO einen Vertrag vor, in dem Dauer sowie Art und Zweck der Verarbeitung und noch einiges mehr festgelegt werden muss. Geht man dagegen von einer gemeinsamen Verantwortlichkeit für die Patientendaten aus, greift ein anderer Artikel der DSGVO. Dann sollte in einer Vereinbarung festgelegt werden, wer welche datenschutzrechtlichen Verpflichtung erfüllt, insbesondere was die Wahrnehmung der Rechte der Patienten angeht. Und glaubt man, dass es sich um keine der beiden Rechtsfiguren handelt, könnte ein Verwahrvertrag im Rahmen des Verkaufs ausreichend sein, vielleicht mit einigen Ergänzungen zum Datenschutz.

Das Problem: Mängel in der Vertragsgestaltung können der DSGVO zufolge zu Bußgeldern führen. Und möglicherweise sogar den Kaufvertrag gefährden. 

Diese Sorge hatte ein Rechtsanwalt in der Medical Tribune geäußert, kurz nachdem die DSGVO 2018 geltendes Recht wurde. Manche seiner Kolleginnen und Kollegen plädierten im Folgenden für den Auftragsverarbeitungsvertrag, andere widersprachen. Die „gemeinsame Verantwortlichkeit“ scheint aus dem Wettstreit der Meinungen ausgeschieden – den Weg zur Rechtssicherheit sieht aber trotzdem jeder noch woanders.    

Keine Auftragsverarbeitung im Fall der Datenverwahrung nach Praxisübergabe können etwa die Datenschutzbehörden von Sachsen, Bremen, Schleswig-Holstein, Brandenburg, Berlin, Bayern, Niedersachsen, Thüringen und Hamburg erkennen. Brandenburg begründet das beispielsweise damit, dass die Praxisübernehmer die Daten ja gerade nicht verarbeiten, sondern nur auf Wunsch des jeweiligen Patienten die Akte in ihre Verantwortung übernehmen. Somit wäre keine zusätzliche vertragliche Berücksichtigung des Umstandes notwendig.

Die Aufsichtsbehörde von Rheinland-Pfalz sieht auch keine AV vorliegen und verweist stattdessen auf den Verwahrvertrag, der ja den Verkäufer von seiner bis zu diesem Zeitpunkt geltenden berufsrechtlichen Dokumentationspflicht befreien würde. Würde man also datenschutzrechtlich eine Auftragsverarbeitung annehmen, würde das im Widerspruch zu den berufsrechtlichen Vorgaben stehen.

In Nordrhein-Westfalen geht die Datenschutzbehörde davon aus, dass die Aktenaufbewahrung durch den Praxiskäufer einer Datenverarbeitung entspricht. Ob man es dann mit einer Auftragsverarbeitung oder einer gemeinsamen Verantwortlichkeit zu tun habe, hänge von der konkreten Vereinbarung zwischen Verkäufer und Käufer ab und vom Zeitpunkt der Betrachtung. 

Auch die Aufsichtsbehörde von Mecklenburg-Vorpommern verweist auf die Einzelfallbetrachtung. Grundsätzlich ließen sich einzelne Fragen auch ohne Auftragsdatenverarbeitung regeln, ein entsprechender Vertrag sei aber in vielen Konstellationen eine praktikable Lösung – z.B. weil sich darüber die Möglichkeit ergibt, Papierakten zu digitalisieren.

Die Behörde in Hessen plädiert gleichfalls für eine Einzelfallbetrachtung. Käme man dann zu dem Ergebnis, dass das Verwahren und Löschen von Daten keine Datenverarbeitung darstellt, gebe es z.B. bei der Übernahme der Akten in elektronisches Format viele Konstellationen, bei denen eine AV eben doch denkbar sei.

Genauso betont auch Sachsen-Anhalt, dass es verschiedene Modelle zwischen Käufer und Verkäufer gebe. Sei der Käufer in Überwachungs- und Löschprozesse eingebunden, könne es sich auch um eine Auftragsdatenverarbeitung handeln.  

Fragt man die Ärztekammern, wird das Bild noch ein bisschen bunter. Einige vertreten die gleiche Position wie ihre jeweilige Datenschutzbehörde. So etwa die Bayerische Ärztekammer, die weder von einer Auftragsdatenverarbeitung noch von einer gemeinsamen Verantwortung ausgeht.

Andere Kammern gehen davon aus, die Position ihrer Aufsichtsbehörde zu vertreten, wie etwa die Ärztekammer Nordrhein, die mit Bezug auf den 26. Bericht ihrer Aufsichtsbehörde vertritt, dass ein zusätzlicher Vertrag nur bei Aufbewahrung durch Dritte notwenig ist. Die Behörde selbst hat diese Position jedoch mittlerweile spezifiziert (s.o.). 

Suche nach Rechtssicherheit gestaltet sich schwierig

Die Ärztekammer Rheinland-Pfalz empfiehlt ihren Mitgliedern, eine Auftragsverarbeitungsvereinbarung abzuschließen – die Aufsichtsbehörde Rheinland-Pfalz sieht das jedoch anders (s.o.).

Und die sächsische Ärztekammer erklärt sich für gar nicht zuständig und verweist auf Bundesärztekammer und Kassenärztliche Bundesvereinigung. Die BÄK sieht sich allerdings keineswegs in der Verantwortung und verweist stattdessen auf die Landesdatenschutzbehörden, sie seien für die Auslegung der DSGVO zuständig. 

Und jetzt? Die Suche nach Rechtssicherheit gestaltet sich schwierig. Der anwaltliche Rat kann wahrscheinlich nur lauten: Machen Sie einen Auftragsverarbeitungsvertrag – auch wenn er vielleicht für die Katz ist.

Medical-Tribune-Recherche

Diese Position der LÄK BW erreichte uns nach Redaktionsschluss: Nach Auffassung der Bezirksärztekammern und der Landesärztekammer sind bei der Übergabe von Patientendaten im Rahmen des Praxisverkaufs die Grundsätze  der gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO anzuwenden. Charakterisierend für die Auftragsdatenverarbeitung ist, dass die Verarbeitung der personenbezogenen Daten allein im Auftrag des Verantwortlichen erfolgt. Demgegenüber besteht eine gemeinsame Verantwortung dann, wenn mehrere Verantwortliche gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Zwar verwahrt der Erwerber beim Praxiskauf die personenbezogenen Daten der Altpatienten und ist dabei an die Weisungen des Veräußerers gebunden. Sobald jedoch der Erwerber nach Einwilligung des Patienten die Akte aus dem Altbestand entnimmt und seinem eigenen Bestand zuführt (sog. „Zwei-Schrank-Modell“), ist der Erwerber an die Weisungen des Veräußerers nur noch dahingehend gebunden, als er die Daten bis zum Ablauf der gesetzlichen Aufbewahrungsfristen nicht löschen darf. Von diesem Zeitpunkt an handelt der Erbwerber auch in eigenem Interesse. Verantwortung und Interesse des Veräußerers enden wiederum nicht mit der Zuführung der Daten in den Bestand des Übernehmers. Der Veräußerer verfolgt mit der Speicherung der Daten durch den Übernehmer eigene Interessen, da er so seinen berufsrechtlichen Aufbewahrungspflichten nachkommt. Insofern ist gemäß § 26 Abs. 1 DSGVO eine Vereinbarung erforderlich, die die gegenseitigen Rechte und Pflichten und insbesondere die Zuständigkeiten beim Umgang mit Betroffenenrechten regelt. Diese Vereinbarung kann in den Praxiskaufvertrag integriert werden.