Krankengeld beziehen oder bei denen ein solcher Bezug droht. In Gesprächen mit dem BMG und dem
GKV-Spitzenverband habe ich mich um datenschutzgerechte Lösungen bemüht. Diese fanden mit dem im
Herbst 2014 vom BMG vorgelegten Entwurf eines Gesetzes zur Stärkung der Versorgung in der gesetzlichen
Krankenversicherung (GKV-Versorgungsstärkungsgesetz) zumindest vorübergehend ein Ende. Der Gesetzesentwurf schafft nämlich unter anderem mit dem neuen § 44 Absatz 4 SGB V eine gesetzliche Grundlage für die
datenschutzrechtlich kritische Vorgehensweise der Krankenkassen. Eine erste Formulierung des § 44 Absatz 4
SGB V-neu sah zunächst vor, dass Versicherte „Anspruch auf eine umfassende Prüfung, individuelle Beratung
und Hilfestellung durch die Krankenkasse, welche Leistungen und unterstützende Angebote zur Wiederherstellung der Arbeitsfähigkeit erforderlich sind“ haben. Mit dieser neuen Aufgabe einher geht eine umfassende Datenverarbeitungsbefugnis: „Die Krankenkasse darf die dazu erforderlichen personenbezogenen Daten nur mit
Einwilligung und nach vorheriger Information des Versicherten erheben, verarbeiten und nutzen“.
Diese Regelung ist im Kontext des Normengefüges des Krankenversicherungsrechts unter besonderer Berücksichtigung des datenschutzrechtlichen Schutzbedarfs äußerst bedenklich. Nach Maßgabe des § 275 Absatz 1
Nummer 3a und b SGB V sind Krankenkassen verpflichtet, bei Arbeitsunfähigkeit in bestimmten Fällen eine
gutachterliche Stellungnahme des Medizinischen Dienstes der Krankenversicherung (MDK) einzuholen. Wie
der Gesetzgeber damit entschieden hat, sollen die Krankenkassen keine über die üblichen, im Katalog des § 284
Absatz 1 Satz 1 SGB V abschließend normierten Sozialdaten hinausgehenden Daten über den Gesundheitszustand ihrer Versicherten erheben. Diese Datenerhebungsbefugnis ist dem MDK, der den Krankenkassen lediglich das Ergebnis seiner Begutachtung mitteilen darf, vorbehalten. Zugleich schützt die strikte Aufgabenteilung
und Datentrennung zwischen Krankenkassen und MDK den Versicherten vor der Schaffung eines Pools sensi bler Gesundheitsdaten und der sich hieraus ergebenden Option, umfassende und dem Versicherten möglicher weise zum Nachteil gereichende Gesundheitsprofile zu erstellen.
Diese Aufgabenteilung zwischen Krankenkassen und MDK hat sich aus datenschutzrechtlicher Sicht bewährt,
daher sehe ich für die vorgesehene Gesetzesänderung keinen Bedarf. Die angemessene Reaktion auf die Praxis
vieler Krankenkassen, sich die begehrten Versichertendaten unter Umgehung der Zuständigkeit des MDK und
durch häufig bedrängende Ansprache der Versicherten rechtswidrig zu beschaffen, kann aus meiner Sicht nicht
sein, den derzeitigen Zustand zu legalisieren und damit verbunden das Datenschutzniveau zu senken. Vielmehr
sollte das gesetzeswidrige Verhalten der Krankenkassen durch ein konsequentes Tätigwerden der Aufsichtsbehörden unterbunden werden. Die vorgesehene Einführung des § 44 Absatz 4 SGB V-neu stellt einen weiteren
Schritt in Richtung des „gläsernen Versicherten“ dar. Hier hilft auch nicht die vorgesehene Einwilligungslösung, da die hierfür erforderliche Freiwilligkeit innerhalb eines nicht gleichberechtigten Rechtsverhältnisses,
wie es zwischen Krankenkasse und Versichertem besteht, stets in Frage zu stellen ist.
Meine grundsätzlichen datenschutzrechtlichen Bedenken, die von den Datenschutzbeauftragten der Länder geteilt werden (vgl. Entschließung der Datenschutzbeauftragten des Bundes und der Länder vom 16. Dezember
2014, Kasten zu Nr. 13.7), habe ich im Gesetzgebungsverfahren immer wieder zum Ausdruck gebracht. Bedauerlicherweise konnte ich mich damit im bisherigen Gesetzgebungsverfahren nicht durchsetzen. Aber ich konnte
zumindest erreichen, dass der durch die Befugnisnorm legitimierte Eingriff in das Recht auf informationelle
Selbstbestimmung der Versicherten minimiert wurde. So werden nach der Formulierung des § 44 Absatz 4
SGB V-neu in der vom Bundeskabinett am 17. Dezember 2014 beschlossenen Fassung eine Übertragung des
„Krankengeldfallmanagements“ auf private Stellen ausgeschlossen, die Worte „umfassende Prüfung“ zum Zwecke der eindeutigeren Abgrenzung zu den Aufgaben des MDK gestrichen und klargestellt, dass die erforderli chen personenbezogenen Daten nur auf Grundlage einer schriftlichen Einwilligung und einer vorausgehenden
schriftlichen Information des Versicherten erhoben, verarbeitet und genutzt werden dürfen. Im weiteren Verlauf
des Gesetzgebungsverfahrens werde ich gegenüber dem Deutschen Bundestag meine datenschutzrechtlichen
Bedenken weiter zur Geltung bringen.
– 200 –
BfDI 25. Tätigkeitsbericht 2013-2014