Zehntausende Schuldnerdaten sind bei der deutschen Inkassofirma Eos herausgesickert: Offenbar konnte ein Hacker in die Sicherheitssysteme der Gruppe gelangen, wobei insbesondere die hiesige Tochter
EOS Schweiz betroffen ist.
Dies
meldet die «Süddeutsche Zeitung», nachdem ihr ein Informant gut 33'000 Dateien zugespielt hatte. Entscheidend dabei: Der Unbekannte sah sich zu diesem Schritt an die Öffentlichkeit veranlasst, weil sich beim Inkasso-Unternehmen offenbar intimste Unterlagen fanden – nämlich ganze Krankenakten aus der Schweiz. Die Dokumente zeigten beispielsweise auch Vorerkrankungen der Patienten und Details ihrer Behandlungen.
Die Unterlagen waren – so nun die Vermutung – von den Ärzten im Rahmen eines Schuld-Eintreibungsverfahrens weitergeleitet worden.
Der Datenschützer intervenierte erst kürzlich
Die der «Süddeutschen» vorliegenden Daten enthalten aber auch eingescannte Ausweise und Pässe, Kreditkartenabrechnungen, Briefwechsel und private Telefonnummern.
Die Frage, die nun im Raum steht, ist klar: Wie gelangten Patientendossiers zu einer Inkassofirma? Aber ganz überraschend ist der Fall nicht.
Der Eidgenössische Datenschutzbeauftragte war erst
kürzlich aktiv geworden, weil bei der Rechnungsstellung durch die Mediziner offenbar einiges im Argen liegt. In einem Brief an betroffene Firmen erinnerte Adrian Lobsiger daran, dass Inkassofirmen, die für Ärzte arbeiten, die Rechnungsdaten gern auch für andere Zwecke verwenden – und teils sogar weiterkaufen. Hinweise dazu habe er aus Kreisen der Ärzteschaft selbst erhalten.
Geschäftsbedingungen nicht transparent
Der Datenschutzbeauftragte verlangte deshalb Mitte August von den Firmen, ihre Verfahren offenzulegen. «Wir haben sie aufgefordert, die jeweilig geltenden Geschäftsbedingungen bezüglich dieser Weiterbearbeitung von Patientendaten auf ihrer Internetseite publik zu machen», so der oberste Datenschützer
gegenüber Radio SRF (siehe auch
hier).
Auch bat Lobsiger die FMH, eine Übersicht über die Praktiken zu erstellen. Die Ärzteschaft sollte in einem weiteren Schritt an ihre Pflicht erinnert werden, Patienten über die Verwendung der Daten im Detail zu informieren.
Die FMH habe ihm dann mitgeteilt, es seien unterschiedlichste Versionen von Geschäftsbedingungen im Umlauf – eine sehr unübersichtliche Lage. Die Ärztevereinigung betonte dann kategorisch, es liege in der Verantwortung der Ärzte, dass Patientendaten nicht weiterverwendet werden.
Nicht nur Dummheit, sondern Straftat
Dabei scheint der Fall – unabhängig von der Transparenz – klar: Man darf Patientendossiers nicht an Inkassofirmen weiterleiten. Andernfalls begehe man nicht nur eine Dummheit, sondern eine Straftat, erklärte Adrian Lobsiger jetzt in der «Süddeutschen». So etwas sei «unverhältnismässig und somit nicht zulässig.»
Als konkretes Beispiel
führen die «Süddeutsche»-Rechercheure einen Kieferorthopäden am Bellevue in Zürich an. Wer sich dort anmeldet und dann den Fragenkatalog signiert, bewilligt mit der Unterschrift, dass der Arzt «die für die Rechnungsstellung erforderlichen Daten» an ein Inkassobüro weiterleiten dürfe.
Das Problem: Wenn dann ein Patient seine Rechnung nicht bezahlt, legen die MPA offenbar gleich diesen Fragebogen auf den Scanner – mitsamt allen intimen Antworten zur Krankheitsgeschichte – und verwenden ihn als Teil der Unterlagen für EOS. Unter den 33'444 Dateien, die nun an die Zeitung gelangten, finden sich 113 Seiten aus dieser Zürcher Praxis, verteilt auf die vergangenen acht Jahre.
Die
Ärztekasse – als führender Schweizer Rechnungsteller für die Mediziner – teilt auf Anfrage mit, man arbeite nicht mit EOS zusammen. Die Genossenschaft selber gibt beauftragten Inkassounternehmen lediglich die Adressdaten des Patienten und den Gesamtrechnungsbetrag bekannt. Die eigentliche Rechnung wird nicht weiter geleitet.
FMH: Was dem Inkassobüro mitgeteilt werden darf
Die FMH nimmt zum EOS-Fall nicht weiter Stellung, auch ist dem Ärzteverband nicht bekannt, in welchem Ausmass Schweizer Mediziner mit der deutschen Inkasso-Gruppe arbeiten.
Aber grundsätzlich rät man zur Zurückhaltung: Solche Auftraggeber dürften lediglich Name und Adresse des Schuldners, Rechnungsdatum und Rechnungsbetrag erfahren. «Darum empfiehlt die FMH ihren Mitgliedern, nur diese Daten zu liefern.»
Der
FMH-Leitfaden zu den rechtlichen Grundlagen der Praxisarbeit konkretisiert dazu: «Das Berufsgeheimnis kann bereits dann verletzt werden, wenn bekannt gegeben wird, dass ein Behandlungsvertrag mit einem bestimmten Patienten besteht.» Schon wenn Hinweise wie «Behandlung vom ...» gestreut würden, «wird das Berufsgeheimnis sicher verletzt.»
Allerdings: Wenn sich ein Arzt vom Patienten vorgängig schriftlich vom Berufsgeheimnis entbinden lasse, verletze er es nicht. Obendrein sehen verschiedene Kantone vor, dass Mediziner zur Durchsetzung von Forderungen von Gesetzes wegen vom Berufsgeheimnis befreit sind.
So oder so sei nicht zu vergessen, dass die Entbindung vom Berufsgeheimnis im Laufe des Betreibungsverfahrens unerlässlich werde. Denn dann werden präzisere Angaben zur Forderung nötig.
Im Hintergrund steht ein Bundesgerichts-Urteil in einer ähnliche Lage: Die Lausanner Richter entschieden in einem Fall, dass ein Anwalt, der im Inkassoauftrag oder im Betreibungsbegehren ausschliesslich die Personalien seines Klienten sowie als Forderungsgrund «Rechnung vom ...» und den Betrag angab, das Berufsgeheimnis nicht verletzte.