„Zu Risiko und juristischen Nebenwirkungen fragen Sie Ihre Ärztekammer oder Aufsichtsbehörde“ –  so ließe sich die Antwort der Datenschutzkonferenz auf die Frage nach der Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit einem Praxisverkauf zuspitzen. Das höchste Organ der Aufsichtsbehörden empfiehlt nämlich Anwälten, Rücksprache mit der jeweiligen Landesärztekammer bzw. Landesdatenschutzbehörde zu halten, wenn sie maximale Rechtssicherheit haben wollen, ob es sich bei der Übernahme der Patientenkartei durch die Praxisnachfolge um eine „Auftragsverarbeitung“ oder um eine „gemeinsame Verantwortung“ handelt – oder um keines von beiden. Was sagen also Kammern und Aufsichtsbehörden dazu?

Bei fehlenden Vereinbarungen drohen Bußgelder

Die Frage ist keine theoretische: Bei einer Auftragsdatenverarbeitung (auch: Auftragsverarbeitung, AV) schreibt die DSGVO einen Vertrag vor, in dem Dauer sowie Art und Zweck der Verarbeitung und noch einiges mehr festgelegt werden muss. Geht man dagegen von einer gemeinsamen Verantwortlichkeit für die Patientendaten aus, greift ein anderer Artikel der DSGVO. Dann sollte in einer Vereinbarung festgelegt werden, wer welche datenschutzrechtlichen Verpflichtung erfüllt, insbesondere was die Wahrnehmung der Rechte der Patienten angeht. Und glaubt man, dass es sich um keine der beiden Rechtsfiguren handelt, könnte ein Verwahrvertrag im Rahmen des Verkaufs ausreichend sein, vielleicht mit einigen Ergänzungen zum Datenschutz.

Das Problem: Mängel in der Vertragsgestaltung können der DSGVO zufolge zu Bußgeldern führen. Und möglicherweise sogar den Kaufvertrag gefährden. 

Diese Sorge hatte ein Rechtsanwalt in der Medical Tribune geäußert, kurz nachdem die DSGVO 2018 geltendes Recht wurde. Manche seiner Kolleginnen und Kollegen plädierten im Folgenden für den Auftragsverarbeitungsvertrag, andere widersprachen. Die „gemeinsame Verantwortlichkeit“ scheint aus dem Wettstreit der Meinungen ausgeschieden – den Weg zur Rechtssicherheit sieht aber trotzdem jeder noch woanders.    

Keine Auftragsverarbeitung im Fall der Datenverwahrung nach Praxisübergabe können etwa die Datenschutzbehörden von Sachsen, Bremen, Schleswig-Holstein, Brandenburg, Berlin, Bayern, Niedersachsen, Thüringen und Hamburg erkennen. Brandenburg begründet das beispielsweise damit, dass die Praxisübernehmer die Daten ja gerade nicht verarbeiten, sondern nur auf Wunsch des jeweiligen Patienten die Akte in ihre Verantwortung übernehmen. Somit wäre keine zusätzliche vertragliche Berücksichtigung des Umstandes notwendig.

Die Aufsichtsbehörde von Rheinland-Pfalz sieht auch keine AV vorliegen und verweist stattdessen auf den Verwahrvertrag, der ja den Verkäufer von seiner bis zu diesem Zeitpunkt geltenden berufsrechtlichen Dokumentationspflicht befreien würde. Würde man also datenschutzrechtlich eine Auftragsverarbeitung annehmen, würde das im Widerspruch zu den berufsrechtlichen Vorgaben stehen.

In Nordrhein-Westfalen geht die Datenschutzbehörde davon aus, dass die Aktenaufbewahrung durch den Praxiskäufer einer Datenverarbeitung entspricht. Ob man es dann mit einer Auftragsverarbeitung oder einer gemeinsamen Verantwortlichkeit zu tun habe, hänge von der konkreten Vereinbarung zwischen Verkäufer und Käufer ab und vom Zeitpunkt der Betrachtung. 

Auch die Aufsichtsbehörde von Mecklenburg-Vorpommern verweist auf die Einzelfallbetrachtung. Grundsätzlich ließen sich einzelne Fragen auch ohne Auftragsdatenverarbeitung regeln, ein entsprechender Vertrag sei aber in vielen Konstellationen eine praktikable Lösung – z.B. weil sich darüber die Möglichkeit ergibt, Papierakten zu digitalisieren.

Die Behörde in Hessen plädiert gleichfalls für eine Einzelfallbetrachtung. Käme man dann zu dem Ergebnis, dass das Verwahren und Löschen von Daten keine Datenverarbeitung darstellt, gebe es z.B. bei der Übernahme der Akten in elektronisches Format viele Konstellationen, bei denen eine AV eben doch denkbar sei.

Genauso betont auch Sachsen-Anhalt, dass es verschiedene Modelle zwischen Käufer und Verkäufer gebe. Sei der Käufer in Überwachungs- und Löschprozesse eingebunden, könne es sich auch um eine Auftragsdatenverarbeitung handeln.  

Fragt man die Ärztekammern, wird das Bild noch ein bisschen bunter. Einige vertreten die gleiche Position wie ihre jeweilige Datenschutzbehörde. So etwa die Bayerische Ärztekammer, die weder von einer Auftragsdatenverarbeitung noch von einer gemeinsamen Verantwortung ausgeht.

Andere Kammern gehen davon aus, die Position ihrer Aufsichtsbehörde zu vertreten, wie etwa die Ärztekammer Nordrhein, die mit Bezug auf den 26. Bericht ihrer Aufsichtsbehörde vertritt, dass ein zusätzlicher Vertrag nur bei Aufbewahrung durch Dritte notwenig ist. Die Behörde selbst hat diese Position jedoch mittlerweile spezifiziert (s.o.). 

Suche nach Rechtssicherheit gestaltet sich schwierig

Die Ärztekammer Rheinland-Pfalz empfiehlt ihren Mitgliedern, eine Auftragsverarbeitungsvereinbarung abzuschließen – die Aufsichtsbehörde Rheinland-Pfalz sieht das jedoch anders (s.o.).

Und die sächsische Ärztekammer erklärt sich für gar nicht zuständig und verweist auf Bundesärztekammer und Kassenärztliche Bundesvereinigung. Die BÄK sieht sich allerdings keineswegs in der Verantwortung und verweist stattdessen auf die Landesdatenschutzbehörden, sie seien für die Auslegung der DSGVO zuständig. 

Und jetzt? Die Suche nach Rechtssicherheit gestaltet sich schwierig. Der anwaltliche Rat kann wahrscheinlich nur lauten: Machen Sie einen Auftragsverarbeitungsvertrag – auch wenn er vielleicht für die Katz ist.

Medical-Tribune-Recherche