Arztpraxis – organisatorische / praktische Maßnahme um Datenschutz zu verbessern

[Kopinski]

Ich würde gerne eine Art Ideensammlung bzw. eine Anleitung für Ärzte erstellen, wie sie einen vernünftigen Datenschutz in Ihrer Praxis umsetzen können.

Wenn Ihr noch gute Tipps habt, immer her damit.

1. Man sollte seinen IT Dienstleister verpflichten, sorgfältig zu arbeiten. Konkret: Korrektes Anschließen des Konnektorenund Einrichten von Gruppenrichtlinien für Windows 10 (das muss noch in der Vorlage ergänzt werden) bestätigen lassen.
Das BSI hat hierzu Vorgaben gemacht - ob diese noch aktuell sind, sollte man bei der Gelegenheit überprüfen:
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP11/SiSyPHuS_AP11_node.html

Hier noch etwas für den IT-Dienstleister:
Windows sollte nur mit striktem SRP App Whitelisting betrieben werden und Maßnahmen zum Schließen der WMI-Hintertür getroffen werden, wenn alle Rechner in einer AD stehen oder besser...

Netzwerktrennung/ Segmentierung. Die Anwendungs- und Fileserver laufen in einem eigenen Netzwerksegment. Eine kleine ipfire läuft als Router zwischen den Segmenten zusammen mit einem IDS/IPS. Die Clients arbeiten nur noch mit RDP RemoteApps. Selbstredend, daß im internen Segment kein Zugriff auf das Internet herrscht.


Wenn bereits ein Dienstleister beauftragt wurde, ist dieser zu beaufsichtigen. Hinweise zum Vorgehen bei Weigerung des Dienstleisters zu DSGVO-konformem Arbeiten finden sich hier. (Muss später ergänzt werden, bei Interesse gerne nachfragen hier im Borad, ist im alten Forum dieser Thread: file:///home/xxxxxx/Documents/forum.kuketz-blog.de/viewtopic.php@f=51&p=50894.html#p50768)

Es ist auch sehr wichtig, den IT-Dienstleister vertraglich festzunageln. Gehen Sie nicht davon aus, dass er seine Aufgabe nach bestem Wissen und Gewissen erfüllen wird, wenn er vertraglich sich nicht verpflichtet hat. Informieren Sie sich vorher gut - es ist später womöglich schwierig einen anderen Dienstleister zu finden. Zahlen Sie lieber etwas mehr für einen guten und bestehen Sie auf vertraglich festgelegten Reaktionszeiten (SLAs) und Time to Fix (Zeit bis zur Behebung der Störung).
Ein paar Fragen bei Neueinrichtung einer Praxis:

- Was wurde genau bestellt?
- Ist die Telematik Schnittstelle gesondert ausgewiesen oder hinter einer pauschalen Angebots- und Rechnungsposition versteckt?
- Was ist genau Gegenstand im IT Support-/ Service-Dienstleistungsvertrag?

Erst dann ergeben sich die verschiedenen Handlungsmöglichkeiten. Welche das genau sind, wird wohl im Forum nur allgemein zu behandeln sein. Völlig unabhängig davon empfehle ich jedoch folgendes:

- Einen Pentester/ IT Security Experten zur Bestimmung des Status quo des Netzes beauftragen.
- Gleichzeitig von diesem konkrete Handlungsempfehlungen und notwendigen Maßnahmen (sowie Kosten) zum Erreichen eines angemessenen Schutzniveaus geben lassen.

2. Wenn das Personal nicht zu 100% fit in IT Belangen ist, sollte man ihm den Abruf von E-Mails untersagen und diesen Job selbst (wenn man denn hoffentlich selbst Ahnung hat) übernehmen.
Dabei geht es um die Vermeidung von Trojanern oder Viren, bzw. Phishing (Abfischen von Passwörtern), die ja oft per E-Mail reinkommen.
In diesem Zusammenhang kann es auch sinnvoll sein, eine Firma mit Drills zu beauftragen:
https://sosafe.de/
Über die Qualität dieses Anbieters kann ich nichts sagen, aber es laufen ein paar Google Scripte auf deren Seite, was ich nicht so super finde.
Hier noch eine Alternative mit kostenlosen Awareness Trainings: https://awareness.usd.de/

Es fällt allerdings auch geübten Personen teilweise schwer, Phishing zu erkennen.

3. Backup der Praxisdaten:
Man sollte sich mindestens 7 externe Festplatten besorgen, diese mit Veracrypt verschlüsseln und dann täglich Backups der Praxisdaten ziehen. Diese Platten sollten dann an unterschiedlichen Orten eingelagert werden. Je nach Größe kann man Festplatten auch von Sicherheitsdiensten abholen lassen, welche diese dann im Safe einlagern.
Wichtig ist, ein starkes Passwort zu vergeben und auch eine Passwortwiederherstellungsoption zu haben. Da würde ich als Arzt meinen Dienstleister zu befragen.
Bitlocker von Microsoft würde ich nicht als vertrauenswürdig erachten, da closed source Software, in die Microsoft eine Hintertür eingebaut haben dürfte. Ebenso andere Software, die ein Dienstleister verkaufen wollen würde.

4. Webseite googlefrei und drittanbieterfrei bekommen.
Möchte man als Arzt seine Patienten vor Google als solche brandmarken?
Eher nicht. Wäre ein Verstoß gegen die ärztliche Schweigepflicht. Daher sollte man den Betrieber seiner Webseite zum Verwenden dieses Tooles auffordern. Alle Drittanbieterscripte sollten entfernt werden. Das ist in der Regel für den Dienstleister gar nicht schwer. Meist kann man alles lokal auf dem Webserver installieren.
Statt einer Google Maps Karte sollten Sie lieber https://openstreetmap.org einbinden.

5. Sichere E-Mail Adresse: Ein absolutes No-Go sind Adressen von Microsoft (hotmail, outlook), Apple, Google und Yahoo.
Auch wenn es jetzt keine Links zu allen gibt - All diese Firmen unterliegen dem Patriot Act, wonach US Behörden jederzeit Zugriff auf die Inhalte nehmen können. Zudem scannen diese Firmen wie gesagt auch selbst die E-Mails auf Inhalte und analysieren diese.
All diese E-Mail Adressen werden gescannt und ausgewertet. Steht auch in deren AGB.
Hier ein schönes Praxisbeispiel von Google:
https://www.mobiflip.de/shortnews/smart-compose-gmail-bekommt-autovervollstaendigung-fuer-e-mail-inhalte/

Übrigens, wer bei Microsoft versehentlich - und das geht schnell - eine Mail als Spam meldet, sendet sie mitunter dem E-Mail-Admin-Team der Absendedomäne. Siehe auch:
https://www.kuketz-blog.de/spam-statt-muelleimer-oefter-als-man-denkt-landen-vertrauliche-e-mails-bei-den-mitarbeitern-von-e-mail-anbietern/

In diesem Zusammenhang sei auch nochmal von der Nutzung von Cloud Diensten abgeraten.

6. Die Nutzung der Elektronischen Gesundheitsakte komplett verweigern.
Diese ist nämlich für Ärzte im Gegensatz zur elektronischen Patientenakte nicht verpflichtend.
Warum sollte man die Nutzung verweigern? Weil es eklatante Sicherheitslücken bei den Gesundheitsapps gibt. Und weil geschätzt 70% der Android und iOS Nutzer keine aktuellen Patchstände auf ihren Geräten haben und dadurch riesige Sicherheitslücken auf den Endgeräten vorhanden sind, wo die Patienten diese Gesundheitsdaten speichern sollen/wollen.

Wenn der Patient darauf besteht, würde ich ihm ne CD-Rom mit den Daten zur Verfügung stellen und ihn darauf hinweisen, dass er darauf sehr gut aufpassen muss. Oder die Dateien vorher in ein verschlüsseltes Zip Archiv mit gutem Passwort tun, dann brennen und dem Patienten das Passwort mitteilen.

7. Den Mitarbeitern der Praxis per Dienstanweisung den Austausch von Informationen jeglicher Art über Patienten via Whatsapp oder Facebookmessenger verbieten. Ebenso die o.a. E-Mail Anbieter einbeziehen.

Es wird immer Mitarbeiter geben, die meinen, sie könnten sich über solche Regelungen hinwegsetzen. Man kann nicht jeden (Gesetzes-) Verstoß technisch / organisatorisch verhindern. Man kann nur immer wieder darauf hinweisen und versuchen, die Folgen von Verstößen aufzuzeigen. Ich denke, dass wichtig ist, klarzustellen, dass auch ein Austausch von Daten über Messanger u. U. eine unberechtigte Weitergabe von Daten an Dritte und damit einen Verstoß gegen die gesetzliche Schweigepflicht darstellt.

Man sollte den Mitarbeitern das
a) über den Arbeitsvertrages bzw. eine separate Verschwiegenheitserklärung ausdrücklich untersagen* (sonst habt ihr auch rechtlich die A****-Karte) und
b) den MA klar machen, dass ein Verstoß dagegen eine fristlose Kündigung, Schadensersatzforderungen und strafrechtliche Verfolgung nach sich ziehen kann (§ 203 StGB Abs. 4 Satz 1).

Solche Regelungen dienen dazu den Kopf (oder Arsch) des jeweiligen Arztes oder Geschäftsführers zu retten. Was jemand dann (unerlaubt) macht ist dann egal. Problematisch wird es, wenn etwas toleriert oder geduldet wird und gewohnheitsgemäß z.B. Mitarbeiter untereinander in Whatsapp Ihre Dienstpläne, Patientendaten etc. teilen. Dann ist der Arzt oder GF wieder in seiner persönlichen Haftung. Und warum? Weil er nicht in der Lage oder unfähig war, seinen Mitarbeitern eine eigene Kommunikationsplattform oder -wege anzubieten.

In diesem Kontext auch interessant ein Vortrag zum Thema IT Sicherheit: https://media.ccc.de/v/2018-139-die-fabelhafte-welt-der-information-security

8. Wenn Arbeiten von externen Dienstleistern erbracht werden, z.B. Labortest, Anfertigen von Implantaten, Hilfsmitteln, sollte wo immer möglich mit Aliassen gearbeitet werden.
Statt dem Patientennamen mit Geburtsdatum sollte die praxisinterne, zufällig generierte Patientennummer verwendet werden.
Meine letzte Info dazu ist, dass die Verrechnungsstelle Laborrechnungen nur auf korrekte Namen akzeptiert. Dennoch sollte sowas geprüft werden.

9. Andere Ärzte für das Thema Datenschutz und Arztgeheimnis sensibilisieren. Auf Kongressen, im Kollegenkreis, bei den Interessenvertretern. Die Ärzte sind eine mächtige und angesehene Berufsgruppe. Die sollten doch etwas bewegen können.

10. Den Patienten korrekt aufklären. Ich habe beobachtet, dass viele Berufsgruppen die DSGVO vor Kunden als Sündenbock hinstellen. "Ja, sie müssen das jetzt ausfüllen, wegen der blöden DSGVO. Ja, ja, in Deutschland muss man sich jetzt alles unterschreiben lassen."
Ich finde aber, die DSGVO hilft gerade Patienten, aber auch anderen, zu ihrem Recht zu kommen. Sie regt an, über den Datenschutz nachzudenken, auch wenn sie hier und da etwas lästig und bürokratisch daher kommt. Sie ist die letzte Bastion in einem Staat, der mehr und mehr Gesetze zur Überwachung der Bürger erlässt.

Als Problem gegenüber den Patienten wäre es besser, die laxe Einstellung der anderen Beteiligten in der Medizin zu kommunizieren und damit den erhöhten Aufwand für den Datenschutz oder Nichtteilnahme an der elektronischen Gesundheitsakte zu rechtfertigen. (Hersteller von Spezialgeräten nur auf Microsoftbasis, Spahn mit seinen kruden Ideen, die zur Folge haben, dass das Arztgeheimnis verwässert wird, das Chaos mit den Konnektoren (TI))

Sparen Sie sich als Arzt bitte die Unterschrift nach DSGVO zur Einwilligung der Verarbeitung. Das ist unnötig:
https://www.kuketz-blog.de/muss-ein-patient-eine-einwilligungserklaerung-beim-arzt-abgeben/

11. Doctolib vermeiden!
Siehe:
https://bigbrotherawards.de/2021/doctolib-gmbh
https://www.kuketz-forum.de/t/doctolib-warum-nicht-verboten/2872

12. Abrechnungen über Zusatzleistungen im eigenen Haus durchführen, da die externen Dienstleister sonst sehr viele Infos über den Patienten bekommen.
Je weniger diese Daten verbreitet sind, desto besser!
Ermöglichen Sie für Zusatzleistungen eine Barzahlung in der Praxis, dann bleibt Ihr Risiko eines Ausfalls sehr gering.

Hier ein Zitat dazu, da ging es um die Abrechnung über https://www.pvs-westfalen-sued.de/datenschutz/transparenzerklaerung/

Factoring beim Arzt ist absolut üblich und ich glaube, dass die Mehrheit der Kollegen das nutzt.

Du bekommst nicht ,,irgendwas zur Unterschrift" vorgelegt sondern eine Vereinbarung, dass der Arzt deine Privatrechnung an den Factoringanbieter verkaufen darf.

Nachdem der Arzt dann die Leistungen, die er dir gegenüber erbracht hat, in seine Praxissoftware eingetragen hat, wird eine Anfrage an den Factoringanbieter, in deinem Fall die PVS, gesendet. Der Anbieter führt ab 500€ (übliche Grenze) eine Bonitätsprüfung durch und kauft dem Arzt dann die Forderung an dich ab. Der Arzt erhält sein Geld sofort und nicht erst nach 6 Wochen (das ist die übliche Wartedauer auf meine Rechnungen zB). Dafür zahlt der Arzt mit 3% Gebühr pro Rechnung.

Soviel dazu.

Was erhält die PVS? Alles. Diagnosen (denn die PVS schreibt auch Begründungen für Behandlungen etc.), abgerechnete Leistungen, Bankverbindung, Wohnort, Alter...

Dafür musst du explizit unterschreiben, dass der Arzt von seiner Schweigepflicht entbunden ist. Machst du das nicht, darf er nicht über die PVS abrechnen. Macht er es trotzdem, würde ich als Patient richtig Ärger machen.

Es gibt keine Rechtsgrundlage, auf der du zu einer Unterschrift gezwungen werden kannst. Der Arzt darf aber von dir dann eine sofortige Zahlung der Rechnung verlangen (üblich ist Vorkasse in der Praxis) oder darf dir auch die Privatleistung (nicht die Kassenleistung) verweigern. Als Privatpatient muss er dich gar nicht behandeln (außer im Notfall).

Alles in allem sind 99% der Leute, die den PVS Wisch ablehnen, säumige Schuldner und pleite. Du gehörst du den 1%, die (wie ich auch) berechtigte Zweifel daran haben, ob ein Factoringanbieter wirklich meine Daten haben sollte...

Also: Widerspruch einlegen, in Zukunft direkt in der Praxis zahlen.

13. Was soll schon mit Patientendaten geschehen? Ich kann mir da kein Angriffsszenario vorstellen!
Antwort:
https://no-spy.org/files/2020/11/Welchering_patientendaten.pdf

14. Die elektronische Patientenakte soll kommen. Damit wird das Arztgeheimnis abgeschafft, was das Vertrauensverhältnis zum Arzt beeinträchtigen kann.
Aktuell muss man aktiv werden und einen Opt-Out vornehmen - ansonsten wird sie angelegt.
Raten Sie Ihren Patienen von der Nutzung ab.
Siehe auch:
https://epetitionen.bundestag.de/petitionen/_2023/_05/_05/Petition_150309.nc.html

[duda]

@ Kopinski
Danke für deine Mühe! Ein Manko: Der Beitrag ist extrem lang (umfangreich), was manch einen abschrecken könnte.

Wenn das Personal nicht zu 100% fit in IT Belangen ist, sollte man ihm den Abruf von E-Mails untersagen ... . Dabei geht es um die Vermeidung von Trojanern oder Viren, bzw. Phishing (Abfischen von Passwörtern), die ja oft per E-Mail reinkommen.

Hat man sich für einen anständigen E-Mail-Provider entschieden, ist diese Problematik (Trojaner, Viren, Malware, Phishing) gar nicht erst gegeben.

[Bit]

Der Beitrag ist extrem lang (umfangreich), was manch einen abschrecken könnte.

Als Nachschlagewerk ist er aber wertvoll.

[clooney]

Als Nachschlagewerk ist er aber wertvoll.

Oder als Text, den man gegebenenfalls ausdrucken ( ) und seinem Arzt als grundsätzliche Initial-Information auf den Schreibtisch knallen kann.

Edit: Hatte mich ein bisschen nassforsch ausgedrückt: Ich meine das positiv, also mit dem Text erst mal ein Problembewusstsein schaffen.

[Baba Ganoush]

Daher sollte man den Betrieber seiner Webseite zum Verwenden dieses Tooles auffordern.

Welches Tool? Ist in Punkt 4.

Zu Punkt 1 und 4 noch eine Frage: Wie kann ein Arzt überprüfen, dass der Dienstleister dies so umsetzt?

[Kopinski]

Baba Ganoush Danke für den Hinweis, den Link zu 4. habe ich ergänzt. Zu 1. dazu muss ein neuer Thread "importiert" werden. Ich habe den oben reingeschrieben. Aktuell keine Zeit dafür.
Hier nochmal die Anleitung dazu mit Link zum Archiv:
https://areac.de/index.php?topic=302.msg2248#msg2248

[duda]

Arztpraxen (vor allem Allgemeinmediziner) sind in aller Regel mit ihrem täglichen Arbeitsaufkommen vollkommen aus- oder sogar überlastet. Dieser ganze "Schei**" (nicht aus Sicht der Patienten sondern im Hinblick auf die Gesetzgebung) ist eine enorme zusätzliche Belastung, die zudem zusätzliche Kosten verursacht, die die Mediziner in keiner Weise vergütet bekommen. Anders ausgedrückt: Maximaler Aufwand, minimaler Gewinn (gar kein Gewinn, Minusgeschäft).

[Bit]

Muss später ergänzt werden, bei Interesse gerne nachfragen hier im Borad, ist im alten Forum dieser Thread: file:///home/xxxxxx/Documents/forum.kuketz-blog.de/viewtopic.php@f=51&p=50894.html#p50768

Zu 1. dazu muss ein neuer Thread "importiert" werden. Ich habe den oben reingeschrieben. Aktuell keine Zeit dafür.

Bitte sehr:

Re: Praxis IT Dienstleister - dürfen die gegen DSGVO verstossen?
Beitrag von Kanton-Graubünden » 10. Nov 2019, 23:09

Mir scheint es so, als gäbe es dazu unterschiedliche Interpretationsmöglichkeiten.

Auf der einen Seite ist der Auftraggeber, der klar sagen muss, was er haben möchte und im Sinne der DSGVO und der Abschätzung seiner Situation benötigt.

Dem gegenüber steht aber die Pflicht eines Dienstleisters eine korrekte und vom Spezialisten erwartbare Arbeit abzuliefern.

Beispiel: Ein Tischler muss einen Tisch liefern, der nach allgemeinem Ermessen einer ist. Also 4 Füße hat und nicht wackelt. Darauf, dass das Holz nun 10 Astlöcher hat, weil es zufällig so geliefert wird, hat er wenig Einfluss. Er kann aber nicht hingehen und einen Tisch mit 3 Beinen abliefern oder einen mit 4 Beinen, der wackelt.

Beispiel 2: Wenn ich im Restaurant eine italienische Pizza bestelle, dann darf ich erwarten, dass sie aus Teig, Tomatensosse und Käse besteht.
Wenn der Wirt mit eine ohne Käse vorsetzt, darf ich eine unentgeltliche Nachbesserung verlangen.

In beiden Fällen handelt es sich also um eine Schlechtleistung.

Wie definiert sich Schlechtleistung? Dazu hat wanda freundlicherweise vor einiger Zeit etwas gepostet. Eine Schlechtleistung ist eine solche, die nicht dem Stand der Technik entspricht.

Der "Stand der Technik" ist ein im Gesetz nicht per konkretem Tatbestand definierter Begriff, um mit der technischen Entwicklung jeweils neu interpretiert werden zu können.

    Nach einem Urteil des BVerfG von 1978 zu Kalkar werden drei Technologiestände unterschieden

    Stand der Wissenschaft und [Forschung|Technik]
    Stand der Technik
    Allgemein anerkannte Regeln der Technik

    "Stand der Wissenschaft und Technik" ist dabei das "innovativste", was aber nicht vom Verantwortlichen nach der DS-GVO eingefordert werden kann.
    Die "Allgemein anerkannten Regeln" sind das Gegenstück. Sie sind ein bewährterer Stand, der aber durchaus schon "veraltet" sein kann.

    Der "Stand der Technik" ist dazwischen angesiedelt (best practice) .

    Entscheidend für die Einschätzung sind zwei Bewertungsdimensionen:

    Allgemeine Anerkennung
    Bewährung in der Praxis

    [...]
    Darüber hinaus habe ich verstanden:

    Weitere Berücksichtigung findet eine Betrachtung mit der Brille der Branchenüblichkeit (Richtlinien des BSI sind z.B. abgestellt auf verschiedenen Branchen).
    Die Maßnahmen müssen in Abwägung zu den Schutzzielen wirtschaftlich zumutbar sein (Einzelfall-Betrachtung der Angemessenheit).

In der DSGVO Art. 32 wird auch auf den Stand der Technik abgezogen und dort wird ausdrücklich AUCH der Auftragsdatenverarbeiter mit ins Boot geholt:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

    die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Für mich bedeutet dies, dass der IT Dienstleister aus dem Ausgangsbeispiel die Pflicht hat beispielsweise, eine Festplattenverschlüsselung für Backupfestplatten und auch eine BSI konforme Konfiguration von Windows 10 Geräten im Einsatz einer Arztpraxis zu gewährleisten.
Bei einem Pauschalangebot sollte man davon ausgehen dürfen, dass die IT-Dienstleistung rechtskonform (also nach DSGVO) erbracht werden wird. Eine gesonderte Berechnung für eine mängelbehaftete Lieferung / Installation wäre abzulehnen.

Anmerkungen? Gegenmeinungen auf Grund dieser Argumentation?

[Kopinski]

Hier noch eine Ergänzung zur Abrechnung über einen externen Dienstleister (Punkt 12).
Mir wurde von einem Arzt mitgeteilt, dass es für Patienten auch vorteilhaft sein könne, wenn ein externer Dienstleister die Abrechnung macht, da ärztliche Abrechnungen über Zusatzleistungen oder eben auch die Abrechnung für Privatpatienten sehr aufwändig sein könnten.
Die Abrechnungsstelle habe in der Regel größere Expertise und weise auch den Arzt auf falsche Schlüssel und zu hohe Abrechnungen hin. Das sei also auch aus finanzieller Sicht für den Patienten von Vorteil, da so zusagen eine neutrale Instanz die Abrechnung kontrolliert.

[duda]

Die Abrechnungsstelle habe in der Regel größere Expertise und weise auch den Arzt auf falsche Schlüssel und zu hohe Abrechnungen hin. Das sei also auch aus finanzieller Sicht für den Patienten von Vorteil, da so zusagen eine neutrale Instanz die Abrechnung kontrolliert.

Diese Aussage ist wahrscheinlich sogar korrekt und entspricht der Wahrheit. Nur leider sind solche "Abrechnungsspezialisten" nicht gerade selten sehr, sehr eng mit der Contentindustrie verknüpft. Ein Schelm, wer Böses dabei denkt.

[Kopinski]

Nur leider sind solche "Abrechnungsspezialisten" nicht gerade selten sehr, sehr eng mit der Contentindustrie verknüpft. Ein Schelm, wer Böses dabei denkt.

Hättest Du dazu etwas mehr Info oder Quellen?
Klingt interessant.

[duda]

Hättest Du dazu etwas mehr Info oder Quellen?

Quellen? In meinem Umfeld (Freundes-/Bekanntenkreis) gibt es halt eine Medizinerin mit eigener, selbst aufgebauter Praxis. Dadurch habe ich in diese Thematik ein wenig reinschnuppern können (dürfen).