Drucksache 16/12600
– 116 –
10.2.3 Keine Extra-Daten für den Risikostrukturausgleich
Die Praxis einiger gesetzlicher Krankenkassen, im Rahmen des morbiditätsorientierten Risikostrukturausgleichs Gesundheitsdaten ihrer Versicherten zu erheben,
ist datenschutzrechtlich unzulässig.
Mit der Begründung, sich um eine möglichst valide Datengrundlage zur Durchführung des Gesundheitsfonds zu
bemühen, werden Diagnoseangaben bei abrechnenden
Ärzten abgefragt oder die Ärzte werden gebeten, Diagnoseangaben zu konkretisieren oder durch weitere Untersuchungen aufzuzeigen. Nach § 284 Absatz 1 Satz 1
Nummer 14 SGB V ist den Krankenkassen zwar eine Erhebung von Daten erlaubt, die zur Durchführung des Risikostrukturausgleichs (RSA) erforderlich sind. Näheres
über Art und Umfang der für die Durchführung des RSA
erforderlichen Daten regelt die Risikostrukturausgleichsverordnung (RSAV). Diese sieht aber lediglich vor, dass
für die Weiterentwicklung und Durchführung des RSA
die Krankenkassen jährlich die versichertenbezogenen
Diagnosen aus den Abrechnungsunterlagen für die vertragsärztlichen Leistungen erheben (§ 30 Absatz 1 Satz 1
Nr. 6 RSAV). Zur Abrechnung im Rahmen der vertragsärztlichen Versorgung ist die Übermittlung von Patientendaten zwischen Ärzten und Krankenkassen jedoch nicht
vorgesehen. Auch durch die Einholung von Einwilligungen der Versicherten kann dieser gesetzliche Rahmen
nicht ausgeweitet werden.
Der Gesetzgeber hat mit Blick auf das Recht auf informationelle Selbstbestimmung eine auf das erforderliche
Mindestmaß beschränkte Informationsbasis bei den Krankenkassen angestrebt. Daher sind Versuche, außerhalb
des gesetzlich definierten Rahmens Diagnosen zu erlangen, datenschutzrechtlich unzulässig.
Meine Rechtsauffassung wird vom Bundesversicherungsamt als Aufsichtsbehörde über die gesetzlichen Krankenkassen geteilt.
10.2.4 Schwere Verstöße von Krankenkassen
bei der Vermittlung privater
Zusatzversicherungen
Im Zuge von Kontrollbesuchen habe ich bei zwei gesetzlichen Krankenkassen außergewöhnlich schwere datenschutzrechtliche Verstöße bei der Vermittlung von privaten Zusatzversicherungen festgestellt und in diesem
Zusammenhang u. a. auch Strafanträge gestellt.
Nach § 194 Absatz 1a SGB V dürfen gesetzliche Krankenkassen den Abschluss privater Zusatzversicherungsverträge zwischen ihren Versicherten und privaten
Krankenversicherungsunternehmen vermitteln. Bei zwei
gesetzlichen Krankenkassen (der IKK Weser-Ems und
der IKK Hamburg) habe ich in diesem Zusammenhang
u. a. unangekündigt die Voraussetzungen und Grenzen
zulässiger Vermittlungstätigkeiten kontrolliert und dabei
erhebliche Datenschutzverstöße festgestellt.
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
Beide Krankenkassen hatten entsprechend mit ein und
demselben privaten Krankenversicherungsunternehmen,
der Signal Krankenversicherung a. G. (Signal Iduna),
kooperiert. Zur Vermittlung von privaten Zusatzversicherungen boten diese gesetzlichen Krankenkassen dem privaten Versicherungsunternehmen zumindest über Monate, teilweise auch Jahre hinweg die Möglichkeit, in den
Räumlichkeiten und an den Arbeitsplätzen der Kassen
über Sozialdaten der gesetzlich Versicherten zu verfügen
und diese an sich zu nehmen. Mitarbeitern der privaten
Krankenversicherung wurden zum Zwecke der telefonischen Akquise in konkret hierfür elektronisch zusammengestellten Listen Sozialdaten (u. a. Name, Anschrift,
Geburtsdatum, Krankenversichertennummer, Telefonnummer) der gesetzlich Versicherten ausgehändigt. Sodann telefonierten die Mitarbeiter der Privatversicherung
die genannten Versicherten nach einem „Gesprächsleitfaden“, bzw. speziellen „Coachings“ in einer Weise ab, die
den Angerufenen den Eindruck vermitteln sollte, von
Mitarbeitern der gesetzlichen Krankenkasse kontaktiert
worden zu sein. Den Angerufenen wurde also bewusst
suggeriert, von dem besonderen Vertrauensverhältnis
zwischen ihnen und „ihrer“ Krankenkasse ausgehen zu
dürfen.
Im Zuge dieser Telefonate wurden von den Mitarbeitern
des privaten Versicherungsunternehmens zusätzlich umfassende, oftmals äußerst sensible personenbezogene Daten (z. B. „Krebs/darmkrank“, „keine Zähne“, „behindert“, „Sozialhilfe“) erhoben und auf den Listen
festgehalten. Außerdem führte eine der geprüften Krankenkasse unter dem Briefkopf des Privatversicherers
„Mailing-Aktionen“ zur Bewerbung und Vermittlung privater Versicherungsprodukte durch. Dazu wurden Gesundheitsdaten der gesetzlich Krankenversicherten nach
von der privaten Versicherung vorgegebenen Kriterien
(z. B. HIV-Infektion, Alkohol-/Drogenmissbrauch, Depressionen, Krebserkrankung, Schlaganfall) als „Leistungsausschlussgründe“ ausgewertet. Betroffene, welche
die genannten Voraussetzungen erfüllten, wurden dann
nicht angeschrieben.
Damit haben beide Krankenkassen im Zusammenhang
mit der Vermittlung privater Zusatzversicherungen den
nach § 194 Absatz 1a SGB V zulässigen gesetzlichen
Rahmen weit überschritten. Der entsprechende Umgang
mit Sozialdaten ihrer Versicherten zu diesem Zweck erfolgte ohne Rechtsgrundlage und somit rechtswidrig. Ferner habe ich erhebliche Mängel bei den zum Schutz der
Sozialdaten zu treffenden technischen und organisatorischen Maßnahmen festgestellt. Gegenüber den Vorständen der beiden Kassen habe ich deshalb gemäß § 81
Absatz 2 SGB X i. V. m. § 25 Absatz 1 BDSG insgesamt
fünf Beanstandungen ausgesprochen und das Bundesversicherungsamt unterrichtet.
Ob eine solche Vorgehensweise auch bei anderen Krankenkassen praktiziert wird/wurde, habe ich auf Grund begrenzter Personalressourcen und anderer wichtiger
Schwerpunktvorhaben im Berichtszeitraum nicht kontrollieren können.