– 170 –
Da ein Abgleich mit den Krebsregistern erstmals im
Jahre 2007 erfolgt, ist diese auch datenschutzrechtlich
vertretbare Lösung auch praktisch umsetzbar.
17.1.9 Schweigepflichtentbindungserklärung
in der privaten Krankenversicherung
Die Schweigepflichtentbindungserklärung, die ein Versicherungsnehmer bei Abschluss eines privaten Krankenversicherungsvertrags abzugeben hat, muss an die Anforderungen an eine wirksame Einwilligungserklärung nach
§ 4a BDSG angepasst werden.
Anders als in der gesetzlichen Krankenversicherung, bei
der der Datenfluss zwischen Ärzten und Krankenkasse
durch Gesetz geregelt ist, bedarf es für private Krankenversicherungen einer wirksamen Einwilligungserklärung
des Patienten, damit Ärzte Patienteninformationen offenbaren dürfen. Daher fordern private Krankenversicherungen bei Abschluss eines Versicherungsvertrages von ihren
Kundinnen und Kunden routinemäßig die Unterschrift
unter eine umfangreiche Schweigepflichtentbindungserklärung, die auf einem Muster aus dem Jahre 1989 beruht. Dabei erklären sich die Versicherten damit einverstanden, dass die private Krankenversicherung ihre
Patientendaten abfragen darf:
– zur Beurteilung eines möglichen Versicherungsrisikos
für einen Zeitraum von fünf Jahren ab Antragstellung
bei allen Ärzten, Zahnärzten usw., bei denen sich der
Antragsteller in den letzten zehn Jahren in Behandlung befand, und
– für die Prüfung der Leistungspflicht unbefristet ab Antragstellung bei den Ärzten, Zahnärzten usw.
Nach meiner Auffassung sind solche pauschalen, lange
zurückliegenden Erklärungen keine ausreichende rechtliche Grundlage für die Übermittlung von Gesundheitsdaten (vgl. 19. TB Nr. 1.13).
Gemeinsam mit den anderen Aufsichtsbehörden, die im
Düsseldorfer Kreis zusammenarbeiten, habe ich deswegen den Gesamtverband der Versicherungswirtschaft
darauf hingewiesen, dass die seit 15 Jahren verwendeten
Erklärungen nicht mehr der geltenden Rechtslage entsprechen. Seit der Umsetzung der Europäischen Datenschutzrichtlinie im BDSG 2001 sei für die Übermittlung
von (Gesundheits-) Daten eine hinreichend bestimmte
Erklärung notwendig. Der Versicherte müsse zum Zeitpunkt seiner Unterschrift erkennen können, welche seiner Patientendaten wann von welchen Ärzten zu welchem Zweck an die Versicherung übermittelt werden
sollen.
Aus der derzeit verwendeten Klausel zur Risikobeurteilung ist dem Versicherten nicht ersichtlich, wann von der
Erklärung Gebrauch gemacht werden soll und welche Patientendaten angefordert werden. Weil er somit die Reichweite seiner Erklärung nicht erkennen kann, entspricht
diese nicht den Voraussetzungen für eine wirksame Einwilligung nach § 4a BDSG. Zudem bestehen Zweifel, ob
BfD
20. Tätigkeitsbericht
2003–2004
der zeitliche Umfang der Datenerhebungsbefugnis (zehn
Jahre vor und fünf Jahre nach Vertragsbeginn) tatsächlich
notwendig ist, so dass die Klausel auch dem datenschutzrechtlichen Grundsatz der Erforderlichkeit widersprechen
könnte.
Bei der Erklärung zur Leistungsprüfung können die Versicherten zum Zeitpunkt des Vertragsschlusses nicht erkennen, welche Patientendaten zukünftig anfallen und ob
sie damit einverstanden sind, dass diese ohne weitere
Nachfrage an ein Versicherungsunternehmen weitergegeben werden. Auch ist ihnen zu diesem Zeitpunkt weder
der Name des Arztes noch der Anlass für künftige ärztliche Behandlungen bekannt. Damit bezieht sich seine Erklärung nicht auf konkrete Gesundheitsdaten, was jedoch
für eine wirksame Einwilligung erforderlich wäre, und
entspricht wegen fehlender Bestimmtheit nicht den Anforderungen des § 4a BDSG.
Das Bemühen, das bisherige Verfahren zu verändern, um
mehr Transparenz und eine Stärkung der Patientenrechte
zu erreichen, hatte bislang jedoch keinen Erfolg. Die Versicherungswirtschaft war nicht bereit, die Klauseln und
das Verfahren den datenschutzrechtlichen Anforderungen
anzupassen. Ärzte gehen bei einer auf eine pauschale
Schweigepflichtentbindungserklärung gestützten Übermittlung von Patientendaten an private Krankenversicherungen das Risiko ein, ihre ärztliche Schweigepflicht zu
verletzen, was strafrechtlich sanktioniert ist.
Im Hinblick auf die Sensibilität der medizinischen Daten
halte ich es für geboten, dass die Versicherer für jeden
Behandlungsfall eine Schweigepflichtentbindungserklärung beim Patienten einholen. Auf diese Weise hat der
Versicherte den Überblick, welche seiner Gesundheitsdaten zu welcher Zeit weitergegeben werden. Auch der
Düsseldorfer Kreis hat in seiner Sitzung im Mai 2004 die
Ansicht vertreten, dass für jede Rückfrage von Krankenversicherungen bei Ärzten, anderen Angehörigen von
Heilberufen oder Krankenanstalten wegen der Erstattung
von Rechnungen eine gesonderte Einwilligung erforderlich ist. Diese Auffassung wurde der Bundesärztekammer
und der Bundeszahnärztekammer mitgeteilt.
17.1.10 Feststellungen aus Datenschutzkontrollen
Im Zusammenhang mit dem GMG habe ich datenschutzrechtliche Kontroll- und Beratungsbesuche bei zwei
großen bundesunmittelbaren Krankenkassen durchgeführt.
Die Kontrolle von zwei großen bundesunmittelbaren
Krankenkassen sollte Aufschluss über Fragen bringen,
die mit dem GMG in Zusammenhang stehen. Hierbei
habe ich mir jeweils eine Geschäftsstelle und eine Servicestelle dieser Kassen angesehen.
Themenbezogene Schwerpunkte meiner Besuche waren
das Arbeitsunfähigkeits-Fallmanagement, die DiseaseManagement-Programme, die häusliche Krankenpflege,
die Vermittlung privater Zusatzversicherungen durch