Praxisübernahme: Patientendaten und DSGVO

19.06.2020 – Bei einem Praxisverkauf spielen der Patientenstamm und damit verbundene Umsatz- und Gewinnerwartungen für die Wertbildung der Praxis eine entscheidende Rolle. Daher treffen Veräußerer und Erwerber typischerweise Vereinbarungen in den Praxiskaufverträgen zur Übernahme der Patientendaten.

Dabei sind neben der ärztlichen Schweigepflicht auch die datenschutzrechtlichen Bestimmungen der DSGVO zu beachten. Zudem ist der veräußernde Arzt nach § 630f BGB, § 10 Abs. 3 MBO-Ä grundsätzlich verpflichtet, die Patientendaten zehn Jahre lang aufzubewahren. Die Aufbewahrungspflicht besteht im Falle des Praxisverkaufs fort.

In der Praxis etabliert: Das sog. Zwei-Schrank-Modell

Die Weitergabe von Patientendaten ohne vorherige Einwilligung des Patienten stellt die Offenbarung eines anvertrauten oder bekannt gewordenen Geheimnisses dar. Hierin liegt eine nach § 203 Abs. 1 Nr. 1 StGB strafbare Verletzung von Privatgeheimnissen. Dieser kann der Praxisveräußerer entgehen, indem er bereits vor deren Weitergabe an den Erwerber die Einwilligung jeder betroffenen Person einholt. Dies ist jedoch nicht immer so leicht möglich.

Daher hat sich in der Praxis das sog. Zwei-Schrank-Modell etabliert, bei dem der Praxisveräußerer seine Patientenakten in einem verschlossenen Schrank in der Praxis belässt, der vom Praxiserwerber für den Veräußerer lediglich verwahrt wird. Eine Patientenakte wird erst dann dem Schrank des Veräußerers entnommen und in den Schrank des Erwerbers überführt, wenn der Patient in die Einsichtnahme durch den Erwerber einwilligt. Dies ist typischerweise der Fall, wenn der Patient die Praxis das erste Mal nach ihrer Veräußerung aufsucht. Ab diesem Zeitpunkt behandelt der Erwerber diesen Patienten wie seinen eigenen. Gleichzeitig verwahrt er für die Dauer der berufsrechtlichen Aufbewahrungsfristen die Akten für den Veräußerer, sodass sich dieser nicht um die Aufbewahrung kümmern muss.

Bei einer elektronischen Aktenführung können die Daten durch eine getrennte Speicherung und eine mit einem Passwort  gesicherte Sperrung versehen werden, um dem Zwei-SchrankModell zu genügen.

Datenschutzrechtliche Anforderungen nach DSGVO

Seit Inkrafttreten der DSGVO reicht die Umsetzung des Zwei-Schrank-Modells allein jedoch nicht mehr aus.

Die Aufbewahrung der Patientenakten wird als Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO betrachtet.

Als Grundlage hierfür kommt eine Auftragsverarbeitung nach Art. 28 DSGVO oder ein Tätigwerden als gemeinsame Verantwortliche nach Art. 26 DSGVO in Betracht.

Nach einer Ansicht muss daher zusätzlich zum Verwahrungsvertrag, der üblicherweise im Praxiskaufvertrag geregelt wird, eine Auftragsverarbeitungsvereinbarung (AVV) geschlossen werden. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, der über Zweck und Mittel der Verarbeitung entscheidet, verarbeitet.

Beim Praxiskauf speichert bzw. verwahrt der Erwerber gemäß den Weisungen des Veräußerers die personenbezogenen Daten der Altpatienten und verarbeitet diese entsprechend als dessen Auftragsverarbeiter.

Problematisch wird es allerdings, wenn der Erwerber nach Einholung der Einwilligung des Patienten die Akte aus dem verschlossenen Schrank entnimmt und zu seinen eigenen hinzufügt. Von nun an ist der Erwerber nur noch dahingehend weisungsgebunden, als er die Daten nicht löschen darf, ansonsten aber ist er frei im Umgang mit diesen. Daher liegt ein Auftragsverarbeitungsverhältnis nach hier vertretener Auffassung eher fern.

Hingegen können Erwerber und Veräußerer als gemeinsam Verantwortliche gem. Art. 26 i. V. m. Art. 4 Nr. 7 DSGVO angesehen werden. Der entscheidende Unterschied zur Auftragsverarbeitung liegt hierbei in der Gleichrangigkeit der Herrschaft hinsichtlich der Daten, auch wenn Eigentum und Sachherrschaft nur bei einem Beteiligten liegen.

Bei der Praxisübernahme verfolgen beide Parteien eigene Interessen an der Datenverarbeitung der Altpatienten und sind diesbezüglich zugriffsberechtigt, wenn auch je nach Zeitpunkt in unterschiedlichem Maße. Aufgrund dieser Gleichrangigkeit liegt daher eine gemeinsame Verantwortung und gerade keine Auftragsdatenverarbeitung vor.

Wie bei der Auftragsverarbeitung ist auch bei gemeinsamer Verantwortung gemäß Art. 26 DSGVO eine Vereinbarung der Parteien erforderlich, die die gegenseitigen Rechte und Pflichten und insbesondere die Zuständigkeiten beim Umgang mit Betroffenenrechten regelt.

Fehlt eine solche Vereinbarung, besteht die Gefahr, dass die zuständige Datenschutzbehörde ein Bußgeld verhängt. Des Weiteren könnte sich ein Erwerber darauf berufen, der Vertrag sei mangels entsprechender Vorschriften nichtig, und deswegen den Kaufpreis zurückverlangen. Da das Fehlen der Vereinbarung jedoch nicht die Hauptpflichten des Vertrags zum Praxisverkauf berührt, ist von einer Gesamtnichtigkeit des Vertrags nicht auszugehen.

Zusammenfassung

Neben dem Praxiskaufvertrag mit einer Klausel zum ZweiSchrank-Modell müssen die Parteien eine Vereinbarung zur Regelung ihrer datenschutzrechtlichen Rechte und Pflichten treffen. Das Fehlen dieser Vereinbarung führt zwar nicht zur Nichtigkeit des Kaufvertrages, birgt aber die Gefahr eines Bußgeldes.

Autoren

Sven Lintzen
Tel: +49 40 288 01-3297
sven.lintzen@mazars.de

Lingxi Zhong
Tel: +49 40 288 01-3293
lingxi.zhong@mazars.de 

Dies ist ein Beitrag aus unserem Health-Care-Newsletter 2-2020. Die gesamte Ausgabe finden Sie hier . Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.