– 135 –
lösung gegenüber den ursprünglichen Vorhaben seine Überlegungen zur Schaffung eines Datenpools für Steuerungsaufgaben der gesetzlichen Krankenversicherung. Nunmehr
soll die derzeitige Rechtslage zur Leistungsabrechnung in
der gesetzlichen Krankenversicherung beibehalten – damit
wird die aus datenschutzrechtlicher Sicht zu begrüßende
Pseudonymisierung des Abrechnungsverfahrens nicht mehr
weiter verfolgt – und zusätzlich ein Datenpool geschaffen
werden, um Auswertungen für die Gesundheitspolitik und
für weitere, noch zu definierende Zwecke zu ermöglichen.
Hierfür sollen Daten der Versicherten und der Leistungserbringer in pseudonymisierter Form zusammengeführt und
ausgewertet werden können. Die Datenschutzbeauftragten
des Bundes und der Länder haben zu diesem Vorhaben ausführlich und grundsätzlich Stellung genommen und die
datenschutzrechtlichen Anforderungen an einen solchen
Datenpool dargelegt. So muss insbesondere eine Reidentifizierung der Versicherten- und Leistungserbringerdaten
ausgeschlossen sein. Dies setzt voraus, dass ein sicheres
Pseudonymisierungsverfahren eingesetzt, der Umfang der
Datenübermittlung begrenzt und das Reidentifizierungsrisiko minimiert wird, indem u. a. nur aggregierte Auswertungen zugelassen werden. Ein Zugriff auf einzelne Datensätze ist ebenfalls auszuschließen. Auch müssen die Zwecke
der Datenaufbereitung ebenso wie die Frage, welche Daten
in welchem Umfang erhoben und übermittelt werden und
wer Zugriff auf die Daten bekommt, abschließend gesetzlich festgelegt sein.
Ich werde den Fortgang der Überlegungen zu diesem Datenpool kritisch begleiten und mich konstruktiv in die weiteren
Vorbereitungen einschalten, um die Berücksichtigung der
datenschutzrechtlichen Belange der Versicherten und der
Leistungserbringer sicher zu stellen.
24.1.2
Disease-Management-Programme (DMP):
Wer kontrolliert die chronisch Kranken?
Der seit dem 1. Januar 1994 bestehende Risikostrukturausgleich soll unterschiedlichen historisch gewachsenen Risikostrukturen Rechnung tragen, die sich insbesondere durch
die unterschiedliche Verteilung der Versicherten nach Alter,
Geschlecht, Berufs- und Erwerbsfähigkeits-Status sowie
durch die Unterschiede in der Zahl der beitragsfrei mitversicherten Familienangehörigen ergeben. Hierbei wurde bisher
die besonders kostenaufwendige Versorgung einzelner Versicherter, insbesondere chronisch Kranker, nicht berücksichtigt, sodass sich dies geradezu wettbewerbsnachteilig für die
Krankenkassen auswirkte.
Um die finanzielle Belastung der Krankenkassen durch solche Versicherte, für die Aufwendungen erheblich über dem
Durchschnitt der Standardausgaben im Risikostrukturausgleich entstehen, zumindest teilweise solidarisch zu finanzieren, wird ein Risikopool aufgebaut. Hierbei sollen die
Aufwendungen pro Versicherten für die stationäre Versorgung, die Arzneimittelversorgung, die nichtärztlichen Kosten der ambulanten Dialyse und das Kranken- und Sterbegeld, die über einem bestimmten Schwellenwert im Jahr
liegen, teilweise ausgeglichen werden. Diese Aufwendungen können ermittelt werden, ohne dass personenbezogene
Daten erhoben werden müssen; die Daten sind bei den beteiligten Stellen bereits vorhanden. Im Risikopool selbst
sind die Daten nicht versichertenbezogen. Insofern ist dieser
Aspekt des Risikostrukturausgleichs datenschutzrechtlich
unbedenklich.
Darüber hinaus sind jetzt allerdings erstmals Disease-Management-Programme (DMP) zur Behandlung chronisch
Kranker für bestimmte durch einen Koordinierungsausschuss festgelegte chronische Krankheiten entwickelt worden. Mit dem In-Kraft-Treten der §§ 137f und g SGB V am
1. Januar 2002 (BGBl. I 2001 S. 3465) hat der Gesetzgeber
die Einführung dieser DMP dem Grunde nach festgelegt
und dabei bereits die wesentliche Grundsatzentscheidung
getroffen, wonach den Krankenkassen für diese DMP versichertenbezogene Daten zu übermitteln sind. In diesem Zusammenhang habe ich gemeinsam mit den Datenschutzbeauftragten der Länder großen Wert darauf gelegt, dass die
versichertenbezogene Datenübermittlung an die Krankenkassen nur in den Fällen zulässig ist, in denen ein Versicherter freiwillig an einem solchen Programm teilnimmt, also
ausdrücklich nach umfassender Information einwilligt, dass
seine Daten – zweckgebunden versteht sich – weitergegeben
werden dürfen.
Die Einzelheiten der Erhebung, Verarbeitung und Nutzung
dieser Daten hat das Bundesministerium für Gesundheit in
einer Rechtsverordnung gem. § 266 Abs. 7 SGB V (BGBl. I
2002 S. 2286) festgelegt. Im Rahmen dieser Rechtsverordnung hat ein Koordinierungsausschuss aus Vertretern der
Leistungsträger und Leistungserbringer vier geeignete chronische Krankheiten festgelegt (Brustkrebs, Coronare
Herzkrankheit, Diabetes, chronisch-obstruktive Atmungserkrankungen), für die teilweise inzwischen strukturierte
Behandlungsprogramme aus medizinischer Sicht entwickelt
worden sind.
Bei der datenschutzrechtlichen Bewertung dieser ärztlicherseits festgelegten Programme musste zwar von der Regelung des SGB V ausgegangen werden, wonach es dem
Grunde nach zulässig ist, dass die Krankenkassen versichertenbezogene Daten erheben und speichern, und zwar auch
über ärztliche Leistungen für die festgelegten Zwecke der
DMP, andererseits ist es mir unter Mitwirkung der Landesbeauftragten für den Datenschutz gelungen, das Bundesministerium für Gesundheit davon zu überzeugen, den Umfang
der Daten zu begrenzen, und eine weitgehende Pseudonymisierung des Versichertenbezuges durch die Einschaltung der
Kassenärztlichen Vereinigungen im Rahmen einer Arbeitsgemeinschaft vorzusehen. Für den Fall, dass die strukturierten Behandlungsprogramme ohne Beteiligung der Kassenärztlichen Vereinigung durchgeführt werden und die
Krankenkasse somit alle Daten unmittelbar erhält, ist es gelungen, die Selbstbestimmung des Patienten zu stärken, indem dieser in jede einzelne Übermittlung seiner Gesundheitsdaten gesondert schriftlich einwilligen muss, wenn sie
vom Leistungserbringer an die Krankenkasse unmittelbar
erfolgt. Dadurch wird sichergestellt, dass neben der Freiwilligkeit der Teilnahme an dem strukturierten Behandlungsprogramm insgesamt der Betroffene zusätzlich durch seinen
Arzt über die Weitergabe seiner sensiblen Patientendaten jeweils unmittelbar zuvor informiert wird und somit erneut
die Gelegenheit hat, dieser Weitergabe im Einzelfall zu widersprechen.
Die Risikostrukturausgleichsverordnung ist zum 1. Juli
2002 in Kraft getreten. Durch den Abschluss von Verträgen
zwischen den Kassenärztlichen Vereinigungen und den
BfD 19. Tätigkeitsbericht 2001–2002