Datenschutzbeauftragte mahnt Krankenkassen zur Einhaltung gesetzlicher Regelungen

"Prägend für die Arbeit meines Hauses waren auch die rasant fortschreitende Digitalisierung vieler Lebensbereiche und daraus resultierende Herausforderungen für den Schutz personenbezogener Daten", so Voßhoff. Eine Untersuchung in Deutschland erhältlicher Gesundheits-Apps durch ihr Haus sowie der Datenschutzbehörden der Länder habe gezeigt, dass die Datenschutzerklärungen vieler Produkte ungenügend seien. Nutzer blieben darüber im Unklaren, welche ihrer sensiblen Gesundheitsdaten von wem und wo gespeichert würden.

Gefahren durch Gesundheits-Apps und Wearables

Gesundheits-Apps werden nach Angaben der BfDI zwar immer beliebter und immer häufiger genutzt. Die wenigsten besäßen dabei jedoch eine medizinische Relevanz. Gemeinsames Merkmal sei vielmehr die elektronische Erfassung sensibler Körperdaten in großem Umfang. Anfallende Daten verblieben nur in wenigen Fällen im Speicher des Smartphones oder des Fitnessarmbandes - meist würden sie per Internet an Anbieter und Dritte übermittelt. Oftmals sei dabei unklar, ob die Daten im Inland oder Ausland gespeichert und unter welchen Sicherheitsbedingungen sie verarbeitet werden. Ausführliche und verständliche Datenschutzerklärungen fehlten. Zudem wüssten Nutzer meist nicht, was mit ihren Gesundheitsdaten geschieht. Viele Gesundheits-Apps würden damit erhebliche Datenschutzrisiken bergen - wie z. B. die unberechtigte und unkontrollierte Zusammenführung und Auswertung der Daten. Selbst zunächst anonymisierte Personendaten könnten durch die Kombination mit Daten, die an anderer Stelle über die Nutzer gespeichert sind, zur Re-Identifikation genutzt werden. Auf diese Weise "ließen sich umfassende Gesundheitsprofile einzelner Menschen erstellen und im Geschäftsverkehr, im Versicherungswesen oder in anderen Zusammenhängen ohne Wissen der Nutzer gegen diese verwenden", heißt es im Bericht.

Bei gesetzlichen Krankenkassen, so die BfDI, würden verschärfte Vorschriften greifen. Daten aus Gesundheits-Apps dürften Krankenkassen nur nach Maßgabe der spezialgesetzlichen Regelungen des Sozialgesetzbuches speichern und verarbeiten. Darüber hinausgehende Verarbeitungen von Sozialdaten blieben grundsätzlich auch dann unzulässig, wenn der Betroffene hierin eingewilligt hat. In der Regel dürften die Krankenkassen die Daten aus Gesundheits-Apps damit nicht verarbeiten, so die BfDI.

Krankengeld- und andere Formen des Fallmanagements

Nach § 44 Absatz 4 SGB V haben Versicherte Anspruch auf individuelle Beratung und Hilfestellung durch die Krankenkassen, welche Leistungen und unterstützende Angebote zur Wiederherstellung der Arbeitsfähigkeit erforderlich sind. Die hierfür erforderliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten darf nur mit schriftlicher Einwilligung und nach vorheriger schriftlicher Information des Versicherten erfolgen. Im Rahmen von Kontrollen, so der Bericht, habe sich herausgestellt, dass die gesetzlichen Vorgaben von den Kassen nicht vollständig berücksichtigt wurden. Teilweise habe in der schriftlichen Information, die der Einwilligung vorangehen müsse, ein Hinweis auf die Freiwilligkeit der Teilnahme und der Preisgabe sensibler personenbezogener Daten gefehlt. In anderen Fällen erfolgte der Einstieg in das Krankengeldfallmanagement über einen telefonischen Kontakt, bei dem bereits Sozialdaten erhoben wurden, ohne dass die gesetzlich geforderte schriftliche Einwilligung des Versicherten vorlag.

Ausschluss anderer Arten des Fallmanagements

Neben dem Bereich Krankengeld wurden durch das GKV-Versorgungsstärkungsgesetz (GKV-VSG) lediglich für zwei weitere Bereiche vergleichbare Rechtsgrundlagen geschaffen: das sogenannte "Entlassmanagement" zur Unterstützung einer sektorenübergreifenden Versorgung der Versicherten nach einer Krankenhausbehandlung und die individuelle Beratung zu Leistungen der Hospitz- und Palliativversorgung. Die BfDI kritisiert diese Regelungen vor dem Hintergrund der Aufweichung des Prinzips, dass Krankenkassen personenbezogene Daten auch über eine Einwilligungserklärung des Versicherten verarbeiten dürfen. Im Umkehrschluss bedeute die gesetzliche Legitimation zum Fallmanagement in den drei Bereichen jedoch auch, so die BfDI, dass ein Fallmanagement für andere Bereiche nicht möglich ist. So habe sie einer großen gesetzlichen Krankenkasse im Einvernehmen mit dem Bundesversicherungsamt (BVA) entsprechende Programme zum Fallmanagement für andere schwerwiegende Erkrankungen untersagt. Die Kasse beschreite derzeit den Klageweg hiergegen.

Umschlagsverfahren und Gesundheitskarte

Weitere Themen im Tätigkeitsbericht der BfDI sind das Umschlagsverfahren zur Beteiligung des Medizinischen Dienstes (MDK) durch die gesetzlichen Krankenkassen und die elektronische Gesundheitskarte. Während die BfDI die Umstellung des bisherigen Umschlagverfahrens in ein elektronische Benachrichtigungssystem als zielführend für den Datenschutz lobt, kritisiert sie zur Gesundheitskarte, dass Patienten auf medizinische Anwendungen weiterhin warten müssen. Eine "spürbare Belebung" der bereits für 2015 geplanten Erprobungsmaßnahmen sei erst durch das E-Health-Gesetz ab Januar 2016 erfolgt. Hierin habe der Gesetzgeber zahlreiche Fristen zur Einführung medizinischer Anwendungen gesetzt und dies teilweise mit finanziellen Sanktionen verbunden, falls diese Fristen nicht eingehalten würden. So müssen z. B. bis 31.12.2017 die Maßnahmen zur Einführung des Notfalldatenmanagements abgeschlossen sein.Mitgliedergewinnung durch unzulässige Datenerhebung

Als bemerkenswert kreativ bezeichnet die Datenschutzbeauftragte das Vorgehen der Barmer (vormals Barmer GEK) bei der Mitgliederakquise. Die Kasse habe Ausbildungsbetrieben Unterstützung bei der Suche nach geeigneten Auszubildenden angeboten. Gleichzeitig seien die Sozialdaten bereits eingestellter Auszubildender zur Mitgliedergewinnung erhoben worden. Zum Zwecke der Mitgliedergewinnung sei eine Datenerhebung und -verarbeitung jedoch nur dann erlaubt, wenn die Daten allgemein zugänglich sind. Dies war bei den infrage stehenden Daten nicht der Fall. Nach Intervention der BfDI sei das Verfahren unverzüglich eingestellt worden.

Einschaltung privater Auskunfteien durch Krankenkasse unzulässig

Als unzulässig bewertet die BfDI auch die Zusammenarbeit gesetzlicher Krankenkassen mit privaten Auskunfteien wie der Schufa. Datenschutzrechtlich problematisch sei, dass mit entsprechenden Anfragen sowohl eine Datenübermittlung, -erhebung und auch -verarbeitung einhergehe. Dieser Eingriff in die informationelle Selbstbestimmung der Versicherten erfordere eine gesetzliche Grundlage. Zwar dürften Krankenkassen nach § 284 Absatz 1 Nr. 3 SGB V Sozialdaten erheben und speichern, um die Beitragspflicht und die Höhe der zu leistenden Beiträge zu ermitteln. Eine großzügige Auslegung dieser Rechtsvorschrift dahingehend, eine Adress- oder gar Solvenzdatenermittlung durchzuführen, scheitere aber an der tatsächlichen Erforderlichkeit. Krankenkassen könnten weniger einschneidende Alternativen nutzen, beispielsweise Anfragen an die Meldeämter richten oder die öffentlichen Vollstreckungsportale der Länder in Anspruch nehmen.

Fehlende Löschkonzepte bei Krankenkassen

Bereits im 25. Tätigkeitsbericht hat die BfDI auf fehlende Löschkonzepte bei einer Vielzahl gesetzlicher Krankenkassen hingewiesen. Die beiden größten IT-Dienstleister im Segment der gesetzlichen Krankenversicherung hätten daraufhin Softwarelösungen mit entsprechenden Löschkomponenten entwickelt. Im Zuge der individuellen Implementierung der Software bei den Krankenkassen sei dieser Umsetzungsprozess jedoch noch nicht vollständig abgeschlossen. Die BfDI mahnt die Kassen daher zur Eile.