In einem anderen Beitrag haben wir uns unlängst mit der Entscheidung des Verwaltungsgerichts Mainz (VG Mainz) hinsichtlich der Kategorisierung von Inkassounternehmen als Auftragsverarbeiter oder als Verantwortliche auseinandergesetzt.
Zur Erinnerungsaufrischung noch eine kurze Zusammenfassung des Sachverhalts: eine Tierarztpraxis lagerte den Prozess der Rechnungseintreibung bzw der Inkassobetreibung an ein externes Unternehmen aus.

Tierrecht ungleich Menschenrecht

Neben der rechtlichen Einordnung des Inkassounternehmens musste sich das VG Mainz auch mit der Problematik von Gesundheitsdaten auseinandersetzen. In dem Sachverhalt der dem VG Mainz vorlag konnte diese Thematik allerdings elegant gelöst werden: Da es sich bei dem belangten Verantwortlichen um eine Tierarztpraxis handelte ging die Argumentation des Beschwerdegegners schnell ins Leere. Tierrechte sind gewiss eine wichtige Sache und so sensibel die Informationen um den Gesundheitszustand gewisser Tiere auch sein mögen, so sind diese jedenfalls nicht im Anwendungsbereich der DSGVO anzusiedeln.

Wie wäre das bei Humanmedizinern?

Hypothetisch stellt sich jedoch die Frage: was wäre, wenn es sich hier nicht um eine Tierarztpraxis, sondern um einen Humanmediziner gehandelt hätte und dessen Leistungen, welche nicht vom Sozialversicherungsträger übernommen werden, via einem Inkassounternehmen abrechnet hätte? Wäre auch so etwas datenschutzrechtlich zulässig?

Ärzte Aufgepasst bei der Beauftragung von Inkassounternehmen!

Grundsätzlich darf auch ein Humanmediziner ein Inkassounternehmen beauftragen sofern darauf geachtet wird, dass an den externen Dienstleister keine Gesundheitsdaten im engeren Sinn - wie etwa konkret erbrachte Leistungen oder überlassene Medikamente - übermittelt werden, sondern - gemäß dem Prinzip der Datenminimierung - nur jene Daten die notwendig sind um dem Schuldner die Rechnung stellen zu können.

Welche Daten dürfen zur Verfügung gestellt werden

Je nach Fall sollte hierfür eine Rechnungsnummer, der Rechnungsbetrag sowie Stammdaten wie etwa Adresse ausreichen. In diesem Fall liegen nämlich - wie bereits das OLG Naumburg - urteilte sogenannte "Gesundheitsdaten im weiteren Sinne" vor, welche wie normale personenbezogene Daten zu behandeln sind. Die Übermittlung der Daten an das Inkassounternehmen ist in diesem Fall gerechtfertigt, da sie zum Zweck der Vertragserfüllung notwendig ist.

ABSOLUTE VORSICHT GEBOTEN!

Werden Daten wie zum Beispiel die konkret erbrachte Leistung übermittelt aus denen man auf den Gesundheitszustand schließen kann, dann kommt man in den Anwendungsbereich von Art 9 DSGVO. In diesem Fall kann die Hinzuziehung eines externen Inkassounternehmens nicht auf die Vertragserfüllung gestützt werden. Diese ist im Fall des Art 9 DSGVO nämlich kein Rechtfertigungstatbestand. Stattdessen muss in diesem Fall die Einwilligung der betroffenen Personen eingeholt werden.