Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?

Fragen & Antworten

Hier kommt wieder eine schöne Frage, die bei einem Datenschutz-Coaching-Mitglied entstanden ist:

Die Frage

Meine Frage zu Prüfungen durch das Finanzamt in einer Praxis für Krankengymnastik:

Dürfen Prüfer die Patientenkartei und/oder die dort befindlichen Rezepte einsehen, um z. B. Termine und Abrechnungen zu vergleichen?

Auf den Karteien befinden sich neben den Patientendaten auch Diagnoseschlüssel und in den Karteien werden Rezepte, Diagnoseunterlagen, Atteste etc. aufbewahrt.

Reicht es, wenn alle Dokumente aus der Kartei vor der Einsichtnahme entfernt werden oder ist der Zugriff, ohne die Einwilligung des Patienten zu verweigern?

Als Physiotherapeut unterliegt er der Schweigepflicht § 203 Abs. 1 Nr. 1 StGB (Heilberuf mit staatlich geregelter Ausbildung). Darf er ohne Einwilligung des Patienten den Zugriff nicht erlauben?

Besteht vielleicht doch ein Recht auf Einsichtnahme aus anderen Vorschriften?

Meine Antwort

Die Rechtslage

Die Frage, ob und inwieweit die Finanzverwaltung bei Betriebsprüfung Zugriff zu Daten bekommen darf, die einem Berufsgeheimnis i.S.d. § 203 StGB unterliegen, ist schon seit Jahrzehnten immer wieder Gegenstand von Streit.

Bereits 1957 hat der Bundesfinanzhof (BFH) entschieden (BFH, Beschluss vom 11.12.1957, Az.: II 100/53 U), dass Ärzte bei einer Betriebsprüfung die Vorlage der von ihnen geführten Patientenkarteien zwecks Einsichtnahme durch das Finanzamt verweigern dürfen, wenn darin Eintragungen enthalten sind, die sich ihr auf ihre Recht zur Auskunftsverweigerung aus der Abgabenordnung (AO) erstrecken.

Heute ist dieses Auskunftsverweigerungsrecht in § 102 AO geregelt. Es gibt sog. Berufsgeheimnisträgern das Recht, die Auskunft zu verweigern, wenn die Angaben Informationen erhalten würden, die dem Berufsgeheimnis wie z.B. der ärztlichen Schweigepflicht unterliegen.

An dieser Rechtsprechung hat der Bundesfinanzhof im Wesentlichen festgehalten. Weitere Entscheidungen haben sich zwar insbesondere auf die Einsichtnahme von Daten durch die Finanzverwaltung bei Rechtsanwälten bezogen, können aber in gleicher Weise für medizinische Berufe herangezogen werden.

So ist mittlerweile durch den BFH entschieden worden, dass die Auskunft nicht verweigert werden darf, wenn der Patient oder Mandant sie von der Verpflichtung zur Verschwiegenheit entbunden hat, wobei dies (sic!) auch stillschweigend erfolgen könnte (vgl. BFH, Urteil vom 27.09.2017, Az.: XI R 15/15).

Bzgl. der stillschweigenden Entbindung von der Verschwiegenheit möchte ich zur Beruhigung allerdings anführen, dass der BFH dies vorrangig bei Steuerberatern als Möglichkeit annimmt, bei denen schon gegenüber der Finanzverwaltung mitgeteilt wurde, dass insoweit ein Mandatsverhältnis besteht.

Im Zuge der Jahrzehnte hat sich die Rechtsprechung des BFH und der anderen Finanzgericht dahingehend konkretisiert, dass zwar die Einsichtnahme „in vollständiger Form“ durch den Berufsgeheimnisträger verweigert werden darf, das Finanzamt aber die Vorlage der zur Prüfung erforderlich erscheinenden Unterlagen in neutralisierter Form verlangen kann (vgl. BFH, Urteil vom 28.10.2009, Az.: VIII R 78/05).

Eine neue Dimension hat die Frage des Datenzugriffs natürlich durch die zunehmende Digitalisierung gewonnen. Auch hier gehen die Finanzgerichte aber offenbar tendenziell davon aus, dass auch insoweit eine Überlassung von Datenträgern von Berufsgeheimnisträgern an das Finanzamt verlangt werden kann.

Begründung ist, dass der Berufsgeheimnisträger dafür verantwortlich sei, dass er die Datenbestände so organisiert, dass im Falle einer Einsichtnahme nicht zugleich die geschützten Daten betroffen sind (vgl. FG Nürnberg, Urteil vom 30.07.2009, Az.: 6 K 1286/08).

Die datenschutzrechtliche Dimension

Unabhängig von der Schweigepflicht des § 203 StGB gilt nach h.M. parallel dazu auch das jeweils anzuwendende Datenschutzrecht, also hier die DSGVO.

In rechtlicher Hinsicht ist die Einräumung der Einsichtnahme ggü. dem Finanzamt eine Offenlegung von Daten, für die eine Rechtsgrundlage erforderlich ist.

Einschlägige Rechtsgrundlage wäre hier „Caesar“, also Art. 6 Abs. 1 lit. c) DSGVO, da es eine Rechtspflicht aus der Abgabenordnung zur Auskunft gibt.

Nur ist hier zu berücksichtigen, dass diese Rechtspflicht nur soweit greift, wie es das Berufsgeheimnis zulässt.

Hier kommen also wieder die o.g. Grundsätze zum Tragen. Eine Volleinsicht in die Patientendaten ist nicht zulässig, solange keine Einwilligung bzw. besser formuliert eine Schweigepflichtsentbindung der Patienten vorliegt.

Eine andere Rechtsgrundlage ist schon wegen des Verbots der Verletzung der Schweigepflicht aus § 203 StGB nicht ersichtlich.

Die konkrete Antwort auf die Frage…

…lautet daher, dass ohne eine Schweigepflichtsentbindung keine vollständige Überlassung der Patientenkartei oder einzelner Patientendatensätze zulässig ist.

Ich muss es zudem ganz deutlich sagen. Nach meiner Meinung kann sich der Physiotherapeut nach § 203 StGB strafbar machen, wenn er die Daten vollständig im Rahmen einer Betriebsprüfung durch die Betriebsprüfer einsehen ließe oder sogar Daten überließe.

Darüber hinaus könnte diese Einsichtnahme auch zu einem datenschutzrechtlichen Bußgeld führen, da keine Rechtsgrundlage für die Offenlegung der Daten ohne Einwilligung des Patienten ersichtlich ist.1

ABER: Nach der Rechtsprechung ist der Physiotherapeut hier verpflichtet, die Informationen in neutralisierter Form zur Verfügung zu stellen.

Und nicht nur das. Nach der Rechtsprechung einiger Finanzgerichte ist der Physiotherapeut zudem generell verpflichtet, seine Verarbeitung seiner Patientendaten so zu organisieren, dass eine Einsichtnahme in buchhaltungsrelevante Daten erfolgen kann, ohne dass das „Patientengeheimnis“ verletzt wird.

Noch ein paar Hinweise zu Detailproblemen

(Ergänzung vom 27.11.2019)

In vielen medizinischen Berufen sind Angaben zu ICD-10 Codes in Rechnungen für die Abrechnung mit Krankenkassen verpflichtend (z.B. nach § 295 SGB V). Hier stellt sich im Kontext mit Prüfungen durch das Finanzamt de facto eine „Unmöglichkeit“ dar, keine Gesundheitsdaten an das Finanzamt zu offenbaren. Dieses Problem ist nicht Gegenstand meines Beitrages.

Eine Lösung könnte hier aber darin bestehen, dass es in § 29 Abs. 2 AO eine Befugnis der Finanzämter gibt, besondere Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten unter bestimmten Umständen zu verarbeiten.

Der § 29b Abs. 2 AO würde dann zugleich Grundlage für eine Befugnis zur Offenlegung der Gesundheitsdaten gegenüber dem Finanzamt im Hinblick auf Art. 9 Abs. 2 lit. f) DSGVO eröffnen. Vielleicht greift aber auch Art. 6 Abs. 4 DSGVO als alleinige Rechtsgrundlage (Hintergrund: Wenn wir die Entscheidung des BGH zur Art. 6 Abs. 4 DSGVO (BGH, Beschluss vom 24.09.2019, Az.: VI ZB 39/18) zu Ende denken. Das Ganze ist rechtlich derart komplex und ungeklärt, dass es derzeit einem Blick in eine milchige Glaskugel entsprechen würde, wenn wir hier belastbare Aussagen treffen wollten.

  1. Denn für den Fall, dass keine Entbindung von der Schweigepflicht vorliegt, mangelt es an einer Rechtsgrundlage in datenschutzrechtlicher Hinsicht. Falls eine Entbindung von der Schweigepflicht erfolgt ist, liegt nach Ansicht der Finanzgericht offenbar eine Rechtspflicht zur Herausgabe der Daten vor, so dass wir hier von einer datenschutzrechtlichen Befugnis zur Offenlegung nach Art. 6 Abs. 1 lit. c) DSGVO ausgehen können (Fußnote eingefügt am 27.11.2019).↩︎
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.