Drucksache 17/5200
– 126 –
cherung in Erfüllung einer Aufgabe nach dem
Sozialgesetzbuch (§ 67 Absatz 2 Nr. 4 SGB X) erhoben
wird.
Zudem können die Vorsorgeaufwendungen nur dann in
vollem Umfang steuerlich berücksichtigt werden, wenn
der versicherte Steuerpflichtige gegenüber dem Träger
der gesetzlichen Krankenversicherung in die Datenübermittlung an die Finanzbehörde schriftlich eingewilligt
hat. Aufgrund einer gesetzlichen Übergangsregelung gilt
die Einwilligung zwar bei Verträgen, die vor dem
1. Januar 2011 begründet waren, unter bestimmten Bedingungen als erteilt. Diese Fiktion der Einwilligung setzt
aber voraus, dass die Krankenkasse jeden Versicherten
vor der Erhebung der Steuer-ID beim BZSt und vor der
Übermittlung der Beitragsdaten an das zuständige Finanzamt schriftlich über ihr Vorgehen informiert und der
Versicherte gegenüber der Krankenkasse nicht innerhalb
von vier Wochen nach Erhalt der Information schriftlich
widersprochen hat. Der Hinweis in der Mitgliederzeitschrift genügte diesen Anforderungen nicht. Nicht alle
Versicherten werden die Zeitschrift lesen, und kaum ein
Leser wird sich der rechtlichen Folgen des Verzichts auf
sein Widerspruchsrecht bewusst sein. Die Warnfunktion
der gesetzlich vorgeschriebenen Schriftform kann nicht
erfüllt werden. Dieser genügt nur ein persönliches Schreiben an den Betroffenen. Aufgrund meines Hinweises hat
die Krankenkasse das Verfahren mittlerweile umgestellt.
Datenschutzrechtlich bedenklich ist meiner Ansicht nach
auch die Freiwilligkeit der Einwilligung und Einwilligungsfiktion. Den Steuerpflichtigen steht keine Alternative des Nachweises der gemachten Vorsorgeaufwendungen zur Verfügung, beispielsweise durch Vorlage von
entsprechenden Bescheinigungen beim Finanzamt. Das
BMF ist meinen Bedenken bislang jedoch nicht gefolgt
(vgl. Nr. 9.2).
11.1.7
Protokollierungsempfehlungen für die
Gesetzliche Krankenversicherung
Die Arbeitskreise Technik sowie Gesundheit und Soziales
der Datenschutzkonferenz haben „Empfehlungen zur Protokollierung in zentralen IT-Verfahren der Gesetzlichen
Krankenversicherung“ erarbeitet.
Änderungen der rechtlichen Rahmenbedingungen im Gesundheitswesen, die Erweiterung funktionaler Anforderungen, Fusionen von Krankenkassen sowie die technische Entwicklung haben im Bereich der Gesetzlichen
Krankenversicherung (GKV) zu einer grundlegenden Weiterentwicklung der eingesetzten IT-Verfahren geführt. Angesichts der Komplexität der eingesetzten Großverfahren
bedarf es für eine datenschutzgerechte Gestaltung eines
geeigneten Instrumentariums, um die Verarbeitung personenbezogener Daten – etwa bei datenschutzrechtlichen
Prüfungen – nachvollziehen zu können. Dies gilt besonders für den Bereich der GKV wegen der Sensibilität der
verarbeiteten Gesundheits- und Sozialdaten. Voraussetzungen der angemessenen Nachvollziehbarkeit sind eine
aussagefähige Protokollierung der Änderungen und Zugriffe auf personenbezogene Daten und geeignete Auswertungsmöglichkeiten für die Protokolldateien.
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
Im Zusammenhang mit dem Projekt oscare (vgl. Nr. 5.4.1)
haben die Arbeitskreise Technik sowie Gesundheit und
Soziales der Konferenz der Datenschutzbeauftragten des
Bundes und der Länder gemeinsam „Empfehlungen zur
Protokollierung in zentralen IT-Verfahren der Gesetzlichen Krankenversicherung“ erarbeitet. Der Leitfaden enthält Aussagen zu
– den rechtlichen Grundlagen,
– der Art und dem Umfang der Protokollierung sowie
deren Nutzung und Auswertung,
– der Protokollierung von Daten aus der Verfahrensnutzung,
– der Protokollierung administrativer Zugriffe,
– der Zweckbindung sowie
– der Speicherungsdauer der Gesundheits- und Sozialdaten.
Die meiner Zuständigkeit unterliegenden Krankenkassen
habe ich über die Orientierungshilfe informiert und um
Beachtung der Empfehlungen bei den eingesetzten IT-Verfahren gebeten.
Auch wenn sich die Orientierungshilfe an die gesetzlichen Krankenkassen richtet, enthält sie auch wertvolle
Hinweise, die für die Protokollierung bei IT-Verfahren in
anderen Bereichen hilfreich sein können.
Abrufbar ist die Orientierungshilfe auf meiner Internetseite (www.datenschutz.bund.de) unter Informationsmaterial und Arbeitshilfen.
11.1.8
Anbindung medizinischer Subsysteme
an ein Klinikinformationssystem
Bei der geplanten Anbindung medizinisch-technischer
Geräte mit sensiblen personenbezogenen Daten der Patienten an das Klinikinformationssystem der DRV Bund ist
eine datenschutzgerechte Ausgestaltung von großer Bedeutung.
Bei der Kontrolle einer Rehabilitationsklinik der DRV
Bund im Jahre 2006 habe ich verschiedene medizinisch-technische Geräte geprüft, mit denen sensible medizinische Daten verarbeitet werden. Dabei hatte ich der
DRV Bund Handlungsbedarf zum Schutz der auf diesen
Geräten gespeicherten personenbezogenen Daten für alle
ihre Rehabilitationszentren aufgezeigt und meine Beratung bei deren Konzeption angeboten (vgl. 21. TB
Nr. 13.4.2). Daraufhin hat mir die DRV Bund mitgeteilt,
dass sie an der Anbindung derartiger labor-/medizinisch-diagnostischer Subsysteme in ihren Rehabilitationszentren an das eigene Klinikinformationssystem KLInet
arbeite.
Im Berichtszeitraum hat mir die DRV Bund nunmehr ihre
Planungen zum Einsatz des Systems SUBsys II (Sonderverfahren bzw. -netze IT integrativer Bestandteil im Bereich Medizintechnik/Diagnostik u. ä.) vorgestellt. Hierzu
habe ich konkrete datenschutzrechtliche Empfehlungen
und Hinweise gegeben, die etwa die technisch-organisatorischen Regelungen oder die Erhebung, Verarbeitung oder