Drucksache 17/13000
140 –
–
–– 140
schaftlichen Druck gefährdet sind, unter dem die Krankenkassen stehen. Dieser wirtschaftliche Druck führt zu
unterschiedlichen datenschutzrechtlichen Problemen:
– Private Krankenversicherungen (PKV) und gesetzlichen Krankenkassen („Gesetzliche Krankenversicherung“ – GKV) arbeiten immer enger zusammen. Dies
wird als „wichtiger Wettbewerbsvorteil“ beschrieben
und beworben. Angestoßen wurde dies durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GMG) vom 14. November 2003 (BGBl. I
S. 2190), über das ich in meinem 20. Tätigkeitsbericht
ausführlich berichtet habe (Nr. 17.1.1 und 17.1.2). Dabei ist es zu Verstößen von Krankenkassen gegen
datenschutzrechtliche Bestimmungen bei der Vermittlung privater Zusatzversicherungen gekommen
(22. TB Nr. 10.2.4 und 23. TB Nr. 11.1.8, vgl. auch
Nr. 16.10).
– Wie die Presse gegen Ende des Berichtszeitraums mitteilte, soll eine gesetzliche Krankenversicherung
schwer kranke Versicherte zur Kündigung des Versicherungsverhältnisses gedrängt haben. Versicherte, gegen
die wegen der Nichtzahlung des Zusatzbeitrages
Mahnbescheide beantragt worden waren, wurden bei
Vorliegen der Merkmale „schwere Krankheit“ und
„geringes Einkommen“ telefonisch kontaktiert. Dem
Hinweis der Krankenkassen, diese Merkmale seien lediglich als Filter verwendet worden, um säumigen
Versicherten mit Stundung, Erlass oder Niederschlagung entgegenzukommen, stehen – mir vorliegende –
Vermerke entgegen, die die Mitarbeiter der Krankenkasse über ihre Gespräche führten. Sie vermitteln den
Eindruck, die Versicherten hätten dazu gebracht werden sollen, das Versicherungsverhältnis zu beenden.
Die datenschutzrechtliche Prüfung ist allerdings in
diesem Fall noch nicht abgeschlossen.
– Eine ganze Reihe Versicherter beschwerte sich bei
mir, weil eine gesetzliche Krankenkasse anlässlich
von Schulveranstaltungen oder sonstigen öffentlichen
Veranstaltungen für Werbezwecke personenbezogene
Daten bei ihren Kindern erhoben hat. Das OLG Hamm
hat nun in einem Urteil vom 20. September 2012
(4 U 85/12) festgestellt, die bei einem Gewinnspiel
anlässlich einer Jobmesse von einer gesetzlichen
Krankenkasse vorgenommene Datenerhebung (Name,
Geburtsdatum, Kontaktdaten) bei 15-Jährigen sei unzulässig. Das Urteil trägt hoffentlich dazu bei, die gesetzlichen Krankenkassen davon abzuhalten, bei
Schulveranstaltungen Daten bei Minderjährigen zu erheben.
– Nach Fusionen von Krankenkassen habe ich feststellen müssen, dass sich die Harmonisierung beim
Schutz der Sozialdaten häufig am schwächeren Datenschutzstandard eines der Fusionspartner orientiert. Oft
glaubten dabei die eher an der Wirtschaftlichkeit des
neu entstandenen „Unternehmens“ orientierten Vorstände, auf gesetzliche Vorgaben des Sozialdatenschutzes verzichten zu können. Bemerkbar macht sich
dies u. a. dadurch, dass sich Eingaben der Versicherten
wieder um Themen drehen, die man mit den jeweili-
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
gen Fusionspartnern teilweise bereits vor Jahren geklärt hatte. Dazu zählen z. B. auch die Themen Krankenhausentlassungsberichte und Selbstauskunftsbögen
(vgl. auch Nr. 11.1.8).
– Auch organisatorisch haben Fusionen bei den gesetzlichen Krankenkassen Auswirkungen. So verlieren die
bisherigen internen Datenschutzbeauftragten mit der
Fusion ihrer Krankenkasse ihr Amt (vgl. Bundesarbeitsgericht, Urteil vom 29. September 2010 –
10 AZR 588/09).
Ich werde bei künftiger Beratungs- und Kontrolltätigkeit
der Frage nachgehen, inwieweit einmal erreichte Datenschutzstandards eingehalten werden. Der verstärkte Wettbewerb im Gesundheitswesen darf nicht zu Lasten des
Datenschutzes und der Persönlichkeitsrechte gehen.
11.1.2
Viel Lärm um die Hausarztzentrierte
Versorgung
Bei der Einschaltung privater Rechenzentren für die Abrechnung der Hausarztzentrierten Versorgung habe ich
mich besonders dafür eingesetzt, dass es keine Abstriche
beim Datenschutz gibt.
Am 4. August 2011 trat § 295a SGB V in Kraft, der eine
neue Rechtsgrundlage für die Einschaltung privater Dritter bei der Abrechnung der Hausarztzentrierten Versorgung schafft, nachdem die Verträge zur Hausarztzentrierten Versorgung, die auf der alten Rechtslage gründeten, in
mehreren Bundesländern aufgrund einer obergerichtlichen Entscheidung ausgesetzt worden waren (vgl. 23. TB
Nr. 11.1.1). Im Gesetzgebungsverfahren habe ich mich
besonders dafür eingesetzt, dass das Datenschutzniveau
bei der Abrechnung über private Stellen demjenigen bei
der Abrechnung über die Kassenärztlichen Vereinigungen
entspricht. Dies sollen verschiedene datenschutzrechtliche Mechanismen gewährleisten.
§ 295a Absatz 1 und 2 SGB V schafft die Rechtsgrundlage für eine Abrechnung zwischen drei verschiedenen
Akteuren: Dies erlaubt den Datenfluss bei der Abrechnung zwischen „Leistungserbringern“ (Ärzten) und „Vertragspartnern auf Leistungserbringerseite“, etwa dem
Hausärzteverband, sowie zwischen „Vertragspartnern auf
Leistungserbringerseite“ und „anderen Stellen“, wie beispielsweise Rechenzentren. Beim Datenfluss zwischen
Ärzten und ihren Vertragspartnern handelt es sich um eine
Datenübermittlung, beim Datenfluss zwischen Vertragspartnern und von diesen beauftragten Rechenzentren um
Auftragsdatenverarbeitung im Sinne des § 11 BDSG. In
beiden Verhältnissen gilt nach der neuen gesetzlichen
Regelung das Sozialgeheimnis nach § 35 SGB I entsprechend, auch soweit die Beteiligten keine Sozialleistungsträger sind und daher nicht unmittelbar an das Sozialgeheimnis gebunden wären. Für das Verhältnis zwischen
Vertragspartnern und deren Rechenzentren ordnet § 295a
SGB V an, dass hier statt § 11 BDSG der für das Sozialrecht zugeschnittene § 80 SGB X gelten soll. Dies hat zur
Folge, dass auch hier der Sozialdatenschutz greift. Hierfür habe ich mich im Gesetzgebungsverfahren besonders
eingesetzt.