1. Für die Einschaltung privater Stellen in die Abrechnung ärztlicher Leistungen im Rahmen der hausärztlichen Versorgung steht eine datenschutzrechtlich erforderliche Rechtsgrundlage nur bei Einhaltung der gesetzlichen Anforderungen an die Zulässigkeit einer Beauftragung Privater sowie an die Ausgestaltung als Auftragsdatenverarbeitung zur Verfügung.

2. Ein Auftragsdatenverarbeitungsverhältnis liegt nur vor, wenn dem Auftraggeber eine Auswahl des Auftragnehmers möglich bleibt. Daran fehlt es, wenn der datenschutzrechtlich verantwortliche Arzt lediglich insgesamt einem vorgestalteten Vertragswerk über die Teilnahme an einer besonderen Versorgungsform und der Verarbeitung von Patientendaten durch einen privaten Dritten beitreten kann.

3. Auftragsdatenverarbeitung setzt die vollständige Transparenz der durchzuführenden Datenverarbeitung unmittelbar im Verhältnis zwichen Auftraggeber und Auftragnehmer voraus.

Oberverwaltungsgericht für das Land Schleswig-Holstein, Beschluss vom 12.01.2011, 4 MB 56/10

Auszug aus dem Beschluss:

Nach § 80 Abs 5 SGB X ist eine Datenverarbeitung im Auftrag durch nicht-öffentliche Stellen nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden könnten und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst, wobei der überwiegende Teil der Speicherung des gesamten Datenbestandes beim Auftraggeber verbleiben muss. § 80 Abs.5 SGB X bewirkt eine erhebliche Einschränkung für die Beauftragung einer nicht-öffentlichen Stelle und ist als Ausnahmeregelung grundsätzlich eng auszulegen (vgl. Rombach, in: Hauck/Noftz, a.a.O., § 80 SGB X Rdnr.34; Von Wulffen, a.a.O., § 80 SGB X Rdnr.13).

Jedenfalls aber wird die Vorgabe des § 80 Abs.5 SGB X, dass der überwiegende Teil des Datenbestandes beim Auftraggeber verbleiben muss, sofern der Auftragnehmer eine nicht-öffentliche Stelle ist, im Verhältnis des Antragstellers zu seinem Dienstleister nicht eingehalten. Darauf haben die beigeladenen Krankenkassen zuletzt mit nachvollziehbaren Argumenten hingewiesen. Der Antragsteller unterläge, wenn er - nach eigenem Vortrag - als Auftragnehmer der Datenverarbeitung im Verhältnis zum Hausarzt zu sehen wäre, gemäß § 295 Abs.1b S.8 SGB V als nicht in § 35 SGB I genannte Stelle dem dort geregelten Sozialgeheimnis entsprechend. Das Sozialgeheimnis umfasst nach § 35 Abs.2 SGB I auch, dass eine Erhebung, Verarbeitung und Nutzung von Sozialdaten nur unter den Voraussetzungen des 2.Kapitels des 10.Buches des Sozialgesetzbuches, also nach den §§ 67 - 85a SGB X, zulässig ist. Damit ist auch die Vorschrift des § 80 SGB X selbst für den Auftragnehmer einer Auftragsdatenverarbeitung nach § 295 Abs.1b SGB V bei Einschaltung einer "anderen Stelle" in die Abrechnung von Leistungen der hausarztzentrierten Versorgung anzuwenden. Da die betroffenen Patientendaten im Rahmen des HzV-Vertrages vom Hausarzt jedoch zu 100% an den Unterauftragnehmer des Antragstellers übermittelt werden sollen, verbliebe dem Antragsteller bei Annahme seiner Stellung als erstem Auftragnehmer kein Datenbestand und erst recht nicht der überwiegende Teil des Datenbestandes im Verhältnis zu den von seinem Dienstleister zu speichernden Daten.

Ist die nach dem HzV-Vertragswerk vorgesehene Datenverarbeitung somit nach derzeitigem Regelungsstand schon nicht als Auftragsdatenverarbeitung im Sinne von § 80 SGB X zu bewerten, fehlt es an einer Rechtsgrundlage für die Weitergabe der Patientendaten vom Hausarzt an den Antragsteller und seinen Dienstleister sowie dessen Unterauftragnehmer. Selbst wenn eine Auftragsdatenverarbeitung vorläge, wären die dafür geltenden Anforderungen nicht eingehalten. Ein Verstoß gegen materielles Datenschutzrecht im Sinne von § 38 Abs.5 BDSG liegt somit vor. Dabei ist die Annahme eines Verstoßes nicht erst dann gerechtfertigt und sind aufsichtsbehördliche Maßnahmen nicht erst dann zulässig, wenn die betreffende Datenverarbeitung bereits ins Werk gesetzt ist. Gerade wenn es um besonders sensible und sogar strafrechtlich geschützte Daten wie Patientendaten (hier einschließlich von Krankheitsdiagnosen und Verordnungsdaten) geht, muss einer datenschutzrechtlichen Aufsichtsbehörde vor dem Hintergrund der durch Art. 28 Abs.3, 2.Spiegelstrich der EU-Datenschutzrichtlinie verlangten wirksamen Einwirkungsbefugnisse ein Tätigwerden schon dann möglich sein, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk bereits deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist. Dies ist vorliegend der Fall, sodass dahinstehen kann, zu welchem Zeitpunkt auf Grund der vorzunehmenden Vergütungsbereinigung erstmals Daten tatsächlich übermittelt werden. Im Übrigen bedürfte selbst die Übermittlung der Patientenregistrierungen für die Hausarzt zentrierte Versorgung einer ausreichenden Rechtsgrundlage, da auch durch sie Sozialdaten im Sinne der §§ 35 SGB I, 67 SGB X verarbeitet werden.

Ob sich die streitbefangene Anordnung des Antragsgegners, mit der dieser in die Datenweitergabe an den Dienstleister des Antragstellers eingreift bzw. eine separate Speicherung und Nutzungssperrung etwaiger bereits übermittelter Daten von Patienten angeordnet hat, noch im Rahmen der nach § 38 Abs.5 S.1 BDSG auf der ersten Stufe des gestaffelten aufsichtsbehördlichen Vorgehens zulässigen Maßnahmen zur Beseitigung von Datenschutzverstößen hält, oder ob es sich wegen des untersagungsähnlichen Gehaltes der Anordnung insoweit bereits um eine Maßnahme handelt, die lediglich nach den einschränkenden Voraussetzungen des dortigen Satz 2 - die vorliegend unstreitig nicht erfüllt sind - möglich wäre, erscheint dem Senat allerdings nicht ganz zweifelsfrei. Insoweit bleibt im Hauptsacheverfahren das Verhältnis beider Befugnisnormen zueinander insbesondere nach Inkrafttreten der Novellierung des BDSG im Jahre 2009, mit welcher eine Befugnis zur Anordnung von Maßnahmen zur Beseitigung materieller Datenschutzverstöße ergänzend eingefügt wurde, weiter zu klären. Aus diesem Grunde kann der Bescheid des Antragsgegners vom 21.07.2010 im Rahmen einer summarischen Prüfung im Eilverfahren weder als offensichtlich rechtmäßig noch als offensichtlich rechtswidrig angesehen werden. Das Verwaltungsgericht hat daher im Ergebnis zu Recht maßgeblich auf eine Abwägung der betroffenen Interessen im Rahmen des § 80 Abs.5 VwGO abgestellt. Dabei ist auch aus Sicht des erkennenden Senats in nicht zu beanstandender Weise den Interessen der von einer unzulässigen Datenverarbeitung betroffenen Patienten der Vorrang eingeräumt worden. Diese genießen vor dem Hintergrund der strafrechtlichen Relevanz einer unbefugten Offenbarung von ärztlichen Berufsgeheimnissen und wegen der Sensibilität der hier betroffenen Gesundheitsdaten allerhöchsten Rang. Entgegenstehende eigene wirtschaftliche Interessen des Antragstellers sind vorliegend nicht erkennbar, da er die für die Abrechnung der Vergütung zu vereinnahmende Verwaltungskostenpauschale vom Hausarzt an seinen Dienstleister, der hier nicht Beteiligter des Verfahrens ist, weiterleitet. Im Übrigen wären derartige wirtschaftliche Interessen vorliegend auch nicht geeignet, einen Vorrang gegenüber den Belangen der betroffenen Patienten zu begründen. Den zu berücksichtigenden Interessen des Antragstellers und der hinter ihm stehenden Hausärzte an einer Durchführung der hausarztzentrierten Versorgung kommt gleichfalls kein vorrangiges Gewicht zu, zumal es der Antragsteller als ein Beteiligter am Vertragswerk des HzV-Vertrages maßgeblich mit in der Hand hat, datenschutzkonforme Vertragsgestaltungen zu initiieren.