Banküberweisung und Psychotherapie – wie werden sensible Patientendaten in Österreich geschützt?
Autor/in: Sabrina Zehetner (DWP)
Banküberweisungen werden in den Praxen von Psychoanalytikern und Psychotherapeuten immer beliebter. Wie geschützt sind diese Daten und welche Risiken gibt es? Wir haben bei Psychotherapeuten und Banken nachgefragt und einen Blick auf die derzeitige Rechtslage geworfen.
Psychotherapeuten oder Psychoanalytiker bieten üblicherweise zwei Zahlungsarten an - Bargeld oder Banküberweisung. Die Banküberweisung ist wohl die einfachste und schnellste Zahlungsart. Mit der Banküberweisung überweist man jedoch nicht nur Geld, sondern auch Informationen über den Zweck und Empfänger der Geldsummen. Das Argument, dass der gläserne Mensch ein unveränderbares Faktum des digitalen Zeitalters ist, fällt dabei häufig und erinnert an den sorglosen Umgang mit den eigenen Daten.
Registrierkasse und BanküberweisungAuch ca. ein Jahr nach ihrer Einführung, werden Registrierkassen nur ungern verwendet. Das gilt auch für Psychotherapeuten und Psychoanalytiker. So haben z.B. Psychotherapeuten nahe an den Grenzwerten hohe Investitionen und geringe Einnahmen. Hinzu kommt, dass unter den Psychotherapeuten und Psychonalytikern oft noch Unsicherheit hinsichtlich technischer Anforderungen und rechtlicher Lage herrscht. Genaue Zahlen, wie viele Psychotherapeuten die Registrierkasse verwenden, gibt es dazu laut ÖBVP (Österreichischer Bundesverband für Psychotherapie) jedoch nicht. Die fehlende Aufklärung und Mehrarbeit tragen dazu bei, dass inzwischen viele Praxen Banküberweisungen vorziehen. Die Therapieform spielt dabei auch eine wesentliche Rolle. Eine Psychoanalyse erfolgt beispielweise mehrmals pro Woche. In diesem Fall bietet es sich an die hohen Beträge via Banktransfer zu bezahlen.
Die SchweigepflichtAllgemein zählen die therapeutischen Daten rechtlich zu den sensiblen Daten, d.h. sie dürfen – außer in Strafangelegenheiten - nicht ohne Einstimmung des Betroffenen von Dritten verwendet werden. Zu sensiblen Daten zählen Angaben zu Rasse, politischer Anschauung, Gesundheit, Religion, Sexualleben, Vorstrafen, usw. Im Gegensatz dazu unterliegen indirekt personenbezogene Daten (Wohnort, etc.) zwar dem Datenschutz, aber dürfen z.B. für Marketingzwecke verwendet werden. Gesetzlich müssen Psychotherapeuten im Sinne der therapeutischen Schweigepflicht alles dafür tun, dass die sensiblen Daten nicht nach außen dringen. Zu den sensiblen Daten gehören alle Inhalte, die mir anvertraut oder durch meine Funktion bekannt geworden sind. Bei Banküberweisungen gibt es die Möglichkeit nur die Rechnungsnummer ohne Berufsbezeichnung anzugeben und somit zu verschlüsseln. Aus Sicht des ÖBVP lässt sich daran die Verschwiegenheit festmachen und erachtet das Problem damit als gelöst. Tatsächlich ist es jedoch so, dass bei der Bank die jeweiligen Berufsbezeichnungen aus steuerlichen Gründen aufscheinen müssen und Psychotherapeuten üblicherweise ein eigenes Berufskonto besitzen. Wird der Betrag anonymisiert und verschlüsselt überwiesen, ist trotz allem der indirekte Personenbezug vorhanden. Wir haben beim Verband um eine Erklärung gebeten, aber noch keine Antwort erhalten.
KreditvergabeSobald der Betrag überwiesen ist, unverschlüsselt oder nicht, ist die Bank für die Wahrung des Datenschutzes verantwortlich. Seit 2016 das zentrale Kontenregister eingeführt wurde, gibt es das Bankgeheimnis in seiner ursprünglichen Form nicht mehr. Staatsanwaltschaften, Finanzämter und Strafgerichte dürfen das Kontoregister bei Verdacht auf Betrug einsehen. Trotzdem dürfen auch weiterhin sensible Daten, die auf Grund der Geschäftsverbindung bekannt werden, nicht verarbeitet werden. Das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ bezeichnet einen völkerrechtlichen Vertrag, der den einzelnen vor Missbrauch bei der Verarbeitung und grenzüberschreitende Übermittlung personenbezogener Daten schützen soll. Diese Rechte dürfen nur dann eingeschränkt werden, wenn es sich um wichtige Staatsinteressen handelt, z.B. die öffentliche Sicherheit. Die österreichischen Banken BAWAG und Erste Bank geben dazu unterschiedliche Auskünfte. Während sich die BAWAG auf den Datenschutz bezieht, erkennt die Erste Bank kein Problem, da man ohnehin keine medizinischen Daten erhalten würde und Entscheidungen nur auf Basis vorhandener Daten treffen könnte. Das ist aber so nicht richtig, denn die sensiblen Daten erhalten die Banken indirekt oder indirekt, wie zu Beginn erwähnt, durch den Transfer selbst. Allerdings dürfen therapeutische Daten weder für Marketingzwecke noch für die Bewertung von Kreditwürdigkeit verwendet werden. Die Bekanntgabe psychischer Krankheiten ist erst bei strafrechtlicher Verfolgung legitim oder dann, wenn das Risiko besteht, dass die Krankheit die Rückzahlung des Kredits verhindert. Wird dieses Detail im Kreditgespräch verschwiegen, begeht man rechtlich gesehen Sozialbetrug. Auch im Falle der Einstufung eines Kredits als „notleidenden“ Kredit, darf sich die Bank über personenbezogene Daten bei dem Betroffenen informieren – das geschieht zumeist im persönlichen Gesprächen. Risikoabteilungen in Banken dürfen grundsätzlich Risikogruppen definieren, wenn bei einer bestimmten Personengruppe ein erhöhtes Risiko feststellbar ist.
Faktisch ist nicht auszuschließen, dass Banken indirekt sensible Daten verwenden, die im persönlichen Gespräch erwähnt werden, oder Patienten als Risikogruppe definieren. Somit befindet er sich rechtlich in einer Grauzone, aber es gibt Mechanismen, die einen Riegel vorschieben können. Die Grundlage dafür bieten das Datenschutzgesetz, das – wenn auch ausgedünnte - Bankgeheimnis und die therapeutische Schweigepflicht.
Ich freue mich auf die Forumsdiskussion! Wie steht es um den Datenschutz in anderen Ländern aus und welche persönlichen Erfahrungen habt ihr mit Datenschutz gemacht?