Abrechnungsdaten in Arztpraxen gehören zu den sensibelsten Kategorien personenbezogener Daten im Sinne der DSGVO – sie enthalten Diagnosen, ICD-Codes, GOP-Ziffern und Behandlungsdetails. Wer sein DSGVO-Konzept aktualisiert, muss auch die Datenverarbeitung im Abrechnungsprozess systematisch überprüfen. Diese Checkliste gibt Ihnen eine strukturierte Grundlage.

Die Checkliste

  1. Rechtsgrundlage für die Abrechnungsverarbeitung dokumentieren: Die Verarbeitung von Abrechnungsdaten stützt sich auf § 9 SGB V (GKV) bzw. § 630f BGB (Dokumentationspflicht) und Art. 9 Abs. 2 lit. h DSGVO. Stellen Sie sicher, dass diese Grundlagen in Ihrem Verarbeitungsverzeichnis hinterlegt sind.
  1. Verarbeitungsverzeichnis für Abrechnungsprozesse aktualisieren: Das Verzeichnis nach Art. 30 DSGVO muss alle Datenflüsse der Abrechnung dokumentieren: welche Daten, an wen (KV, PKV, Privatpatienten), auf welcher Grundlage, mit welcher Löschfrist.
  1. Auftragsverarbeitungsverträge mit Abrechnungsstellen prüfen: Falls Sie ein externes Abrechnungsunternehmen oder ein Rechenzentrum nutzen, muss ein aktueller Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bestehen. Prüfen Sie Aktualität und Vollständigkeit.
  1. Datenweitergabe an die Kassenärztliche Vereinigung absichern: Die Datenübermittlung an die KV erfolgt auf gesetzlicher Grundlage (SGB V). Dennoch müssen die technischen Sicherheitsmaßnahmen (Verschlüsselung, TI-Übertragung) dem Stand der Technik entsprechen.
  1. ICD-Codes und Diagnosedaten auf Minimalität prüfen: Prüfen Sie, ob in der Abrechnung nur die für die Leistungsabrechnung notwendigen Diagnosecodes übermittelt werden. Unnötige Zusatzangaben verstoßen gegen den Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO).
  1. Zugriffsrechte im Praxisverwaltungssystem überprüfen: Wer in Ihrer Praxis hat Zugriff auf Abrechnungsdaten? Prüfen Sie die Benutzerrechte im PVS und stellen Sie sicher, dass nur autorisierte Mitarbeiter abrechnungsrelevante Daten einsehen können.
  1. Speicherfristen für Abrechnungsunterlagen dokumentieren: Abrechnungsunterlagen müssen gemäß Berufsrecht und Steuerrecht unterschiedlich lang aufbewahrt werden (Patientenakten 10 Jahre, steuerrelevante Unterlagen 10 Jahre). Dokumentieren Sie die Fristen und richten Sie automatische Löschroutinen ein.
  1. Patienteninformation über Abrechnungsdatenverarbeitung aktualisieren: Patienten müssen gemäß Art. 13 DSGVO über die Verarbeitung ihrer Daten informiert werden – auch über die Weitergabe an Kostenträger. Prüfen Sie, ob Ihre Datenschutzerklärung die Abrechnungsverarbeitung korrekt beschreibt.
  1. Fehler bei der Abrechnung als Datenschutzrisiko bewerten: Eine fehlerhafte Zuordnung von Diagnosen oder Leistungen zu falschen Patientenakten ist ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO, wenn daraus ein Risiko für die Betroffenen entsteht.
  1. Schulung des Abrechnungspersonals dokumentieren: Mitarbeiter, die Abrechnungsdaten verarbeiten, müssen auf Datenschutz und Schweigepflicht gemäß § 203 StGB nachweislich hingewiesen worden sein.

Typische Fehler

  • Kein AVV mit dem Abrechnungsdienstleister: Externe Abrechnungsunternehmen sind Auftragsverarbeiter – ohne schriftlichen AVV liegt ein DSGVO-Verstoß vor.
  • Veraltete Datenschutzerklärung ohne Hinweis auf Kostenträger: Patienten müssen explizit informiert werden, dass ihre Daten zu Abrechnungszwecken an Dritte (KV, Krankenkassen) übermittelt werden.
  • Keine Löschfristen im PVS hinterlegt: Abrechnungsdaten, die länger als erforderlich gespeichert werden, verstoßen gegen Art. 5 Abs. 1 lit. e DSGVO.

Fazit

Die DSGVO-konforme Verarbeitung von Abrechnungsdaten ist komplex – sie betrifft Rechtsgrundlagen, Auftragsverarbeitung, Datenweitergabe und Speicherfristen. Ärzteversichert empfiehlt, Abrechnungsprozesse bei jedem DSGVO-Update explizit in die Überprüfung einzubeziehen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →