Drucksache 16/12600
– 114 –
Deutscher Bundestag – 16. Wahlperiode
K a s t e n zu Nr. 10.2.1
Entschließung der 76. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
am 6./7. November 2008
Steuerungsprogramme der gesetzlichen Krankenkassen datenschutzkonform gestalten
Mit der Gesundheitsreform soll über die Einführung von Wettbewerbsmechanismen die Qualität und Effizienz der
gesetzlichen Krankenkassen verbessert werden. Die Kassen sind daher bemüht und auch vom Gesetzgeber gehalten,
Versicherten ein Versorgungsmanagement anzubieten. Von zentraler Bedeutung sind dabei Patientenschulungsmaßnahmen und strukturierte Behandlungsprogramme für chronisch kranke Versicherte, die jedoch lediglich Angebotscharakter haben dürfen. Ihre Teilnahme soll nach dem Willen des Gesetzgebers freiwillig sein und eine eingehende
Unterrichtung voraussetzen. Diese Vorgaben werden von einzelnen Krankenkassen nicht beachtet, wenn sie versuchen, die Versicherten in ihrem Gesundheitsverhalten zu steuern und sie in bestimmte Maßnahmen und Programme
zu drängen. Um Teilnehmerinnen und Teilnehmer zu gewinnen und um Maßnahmen durchzuführen, bedienen sich
die Kassen vielfach privater Dienstleister und offenbaren diesen teils höchst sensible Gesundheitsdaten ihrer Versicherten. Dies ist datenschutzrechtlich nach dem Sozialgesetzbuch unzulässig, wenn die Übermittlung ohne Kenntnis
und vorherige Einwilligung der jeweiligen Versicherten erfolgt. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hält die Einhaltung insbesondere der folgenden Eckpunkte bei gesundheitlichen Steuerungsprogrammen der Krankenkassen für unerlässlich:
– Die Krankenkassen dürfen Versichertendaten nur dann zur Auswahl von Personen für besondere Gesundheitsmaßnahmen verwenden, wenn dies gesetzlich ausdrücklich vorgesehen ist. Es muss sich um valide und erforderliche
Daten handeln. Mit der Auswahl darf kein privater Dienstleister beauftragt werden.
– Die erstmalige Kontaktaufnahme mit potenziell für eine Gesundheitsmaßnahme in Betracht kommenden Versicherten muss durch die Krankenkasse selbst erfolgen, auch wenn ein privater Dienstleister mit der späteren
Durchführung der Gesundheitsmaßnahme beauftragt worden ist.
– Die Versicherten sind vor Übermittlung ihrer Daten umfassend zu informieren. Die Information muss auch den
Umstand umfassen, dass ein privates Unternehmen mit der Durchführung betraut werden soll. Soweit die Versicherten ausdrücklich in die Teilnahme eingewilligt haben, dürfen die für die Durchführung der Maßnahme erforderlichen Daten an den Dienstleister übermittelt werden.
– Wenn Versicherte – zu welchem Zeitpunkt auch immer – eindeutig zum Ausdruck bringen, nicht an einer Maßnahme teilnehmen zu wollen oder nicht an weitergehenden Informationen, einer konkreten Anwerbung oder einer
fortgesetzten Betreuung interessiert zu sein, ist dies zu respektieren. Weitere Maßnahmen (auch telefonische
Überredungsversuche) sind zu unterlassen.
10.2.2 Zusammenarbeit der gesetzlichen
Krankenkassen mit privaten Dritten
tenflüsse im Rahmen der Aufgabenerledigung in Gang
gesetzt werden dürfen.
Gesetzliche Krankenkassen bedienen sich zur Erledigung
ihrer Aufgaben in verstärktem Umfang privater Unternehmen und Ärzten, teilweise unter Verstoß gegen den
Datenschutz.
Sozialversicherungsträger – und damit auch die Krankenkassen – haben ihre vom Gesetzgeber übertragenen Aufgaben grundsätzlich selbst zu erfüllen. Sie sind deshalb
im Regelfall nicht befugt, sie auf Dritte zu delegieren, die
sie dann in eigener Verantwortung wahrnehmen. Anders
als privatwirtschaftliche Unternehmen darf ein Sozialversicherungsträger nur dann Aufgaben durch einen Dritten
durchführen lassen, wenn das Gesetz dies ausdrücklich
vorsieht. § 80 SGB X erlaubt unter engen Voraussetzungen eine sog. Datenverarbeitung im Auftrag (s. Kasten a
zu Nr. 10.2.2). Diese Sonderform der Datenverarbeitung
durch einen Dritten beschränkt sich aber auf manuelle,
technische oder sonstige Hilfs- und Unterstützungsleistungen zur Erfüllung der Datenverarbeitungsaufgaben.
Diese gesetzlich legitimierte Auftragsdatenverarbeitung
ist abzugrenzen von einer Funktionsübertragung, bei der
Von den Krankenkassen werden private Dienstleistungsunternehmen herangezogen, um z. B. Krankenhausrechnungen zu überprüfen. Private Call-Center führen im
Auftrag der Kassen Gesundheitsberatungen für Versicherte durch oder bieten den Versicherten Leistungen der
Kasse an. Kassen verlangen von behandelnden Ärzten,
ihnen dabei behilflich zu sein, chronisch kranke Versicherte zu identifizieren, die für bestimmte Behandlungsprogramme der Kassen in Betracht kommen. Dabei ist
vielfach zweifelhaft, ob die Kasse die jeweilige Aufgabe
überhaupt einem Dritten übertragen darf und welche Da-
BfDI 22. Tätigkeitsbericht 2007-2008