Um ihre gesetzlichen Aufgaben ordnungsgemäß erfüllen zu können, benötigen Krankenkassen viele, vor allem auch sensible Daten ihrer Versicherten. Dabei greift in Deutschland seit Jahren eine bereichsspezifische Datenschutzregelung, der Sozialdatenschutz, der den Umgang mit den Daten sehr genau vorschreibt.
Der Inhalt im Überblick
Besonderheit bei Krankenkassen: Sozialdatenschutz & Sozialdaten
Eine Besonderheit im deutschen Recht ist das Bestehen des sog. Sozialgeheimnisses (§ 35 Erstes Buch Sozialgesetzbuch, SGB I), welches auch als Sozialdatenschutz bezeichnet wird. Das Sozialgeheimnis ist ein besonderes Amtsgeheimnis, vergleichbar mit dem Steuergeheimnis oder der ärztlichen Schweigepflicht. Es verpflichtet die sozialen Leistungsträger, wie z.B. Krankenkassen, Jugend- oder Sozialämter, Renten- oder Unfallversicherungsträger zu seiner Wahrung. Aus datenschutzrechtlicher Sicht geht damit u.a. einher, dass Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden dürfen.
Zentrale Datenschutzvorschrift für Krankenkassen ist § 284 SGB V. In dieser Vorschrift hat der Gesetzgeber abschließend festgelegt, welche Sozialdaten Krankenkassen zur Erbringung ihrer Leistungen verarbeiten dürfen. Gleichzeitig soll die Vorschrift verhindern, dass durch Erfassung und Zusammenführung besonders sensibler personenbezogener Daten (vgl. Art. 9 Absatz 1 DSGVO) umfassende Gesundheitsprofile („gläserner Versicherter“) erstellt werden können.
Welche Sozialdaten dürfen von Krankenkassen verarbeitet werden?
Gemäß § 284 SGB V dürfen Krankenkassen Sozialdaten für Zwecke der Krankenversicherung erheben und speichern. Diese Zwecke sind z.B.
- Feststellung des Versicherungsverhältnisses und der Mitgliedschaft
- Ausstellung der Krankenversichertenkarte
- Unterstützung der Versicherten bei Behandlungsfehlern
- Durchführung von Erstattungs- und Ersatzansprüchen.
Dafür ist erforderlich, dass Krankenkassen insbesondere folgende Daten verarbeiten:
- Daten zur Person (z.B. auch Familienstand und Steueridentifikationsnummer)
- Daten zur Mitgliedschaft
- Daten zum Versicherungsverhältnis (z.B. Angaben zur Tätigkeit, Arbeitsentgelt)
- Beitragsdaten (bei Selbstzahlern)
- Leistungsdaten (z.B. Art der Leistung, Diagnose)
- Daten zur Pflegeperson
- Daten zum gesetzlichen Vertreter
Was für Daten dürfen Arbeitgeber/Arzt und die Krankenkasse austauschen?
In der Konstellation Arbeitgeber und Krankenkasse bestehen für den Arbeitgeber auch Pflichten zur Datenübermittlung, insbesondere wenn es um sog. Entgeltersatzleistungen wie Krankengeld, Kinderkrankengeld oder Mutterschaftsgeld geht. In diesen Fällen erhalten Beschäftigte das Geld von der Krankenkasse und nicht vom Arbeitgeber. Daher benötigt die Krankenkasse die zur Berechnung notwendigen Daten, insbesondere Informationen über die Höhe des Arbeitsentgelts.
Auch Ärzte sind dazu berechtigt und verpflichtet, den Krankenkassen zur Erfüllung ihrer gesetzlichen Aufgaben Auskunft zu erteilen. Dazu gehört z.B. die Erstellung von Bescheinigungen, Zeugnissen, Berichten oder Gutachten. Umfang und Modalitäten der schriftlichen Information sind im § 36 Bundesmantelvertrag geregelt.
Welche Daten muss ich der Krankenkasse nicht preisgegeben?
Zwar müssen Krankenkassen bestimmte, auch besonders sensible personenbezogene Daten ihrer Versicherten verarbeiten, um ihre gesetzlichen Aufgaben erfüllen zu können. Allerdings versuchen Krankenkassen z.T. über Selbstauskünfte/Selbsteinschätzungen mehr über den Gesundheitszustand oder das allgemeine Lebensumfeld ihrer Versicherten zu erfahren, z.B. in Fällen der Arbeitsunfähigkeit oder der Einleitung von Rehabilitationsmaßnahmen. Ein solches Vorgehen entspricht in vielen Fällen jedoch nicht den sozialdatenschutzrechtlichen Vorgaben.
Geht es um die Erhebung von detaillierten medizinischen Informationen, welche über die Befugnisse der Krankenkassen hinausgehen, hat der Gesetzgeber diese Aufgabe dem Medizinischen Dienst übertragen. Dieser ist u.a. für die Begutachtung und Prüfung medizinischer Sachverhalte im Auftrag der Krankenkassen verantwortlich (§ 275 SGB V). Er teilt der Krankenkasse dann das Ergebnis der Begutachtung und die erforderlichen Angaben zum Befund mit. Informationen, die Grundlage seines Ergebnisses sind, dürfen der Krankenkasse nicht weitergegeben werden.
Die elektronische Gesundheitskarte (eGK) und Patientenakte (ePA)
Seit 2015 gilt die elektronische Gesundheitskarte anstelle der früheren Krankenversichertenkarte. Sie ist der Berechtigungsausweis, um Leistungen der gesetzlichen Krankenversicherung in Anspruch nehmen zu können und sichtbarer Teil der Digitalisierung im Gesundheitswesen.
Denn mit ihrer Einführung einher geht der Aufbau einer einrichtungsübergreifenden Kommunikationsinfrastruktur und damit verbunden die Errichtung eines elektronischen Gesundheitsnetzes, der sog. Telematikinfrastruktur. Diese verknüpft alle Akteure des Gesundheitswesens, wie Krankenhäuser, Krankenkassen, Ärzte, Zahnärzte, Apotheken und Psychotherapeuten digital miteinander und soll zwischen diesen einen sicheren Informationsaustausch gewährleisten. In der Telematikinfrastruktur sind weitere Anwendungen eingebettet, wie etwa die elektronische Patientenakte, das elektronische Rezept oder die Elektronische Arbeitsunfähigkeitsbescheinigung.
Viel Kritik seitens der Datenschutzaufsichtsbehörden des Bundes und der Länder erntete die elektronische Patientenakte (ePA). So hält der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ihre Umsetzung ausschließlich nach den Vorgaben des nationalen Gesetzes für europarechtswidrig. Trotz dieser Bedenken bieten die gesetzlichen Krankenkassen ihren Versicherten seit dem 01.01.2021 eine nicht der DSGVO entsprechende ePA an. Daraufhin wies der BfDI im September 2021 einige Krankenkassen an, ihren Versicherten eine DSGVO-konforme ePA anzubieten. Gegen diesen Bescheid erhoben die adressierten Krankenkassen Klage beim Sozialgericht Köln. Eine Entscheidung steht hier jedoch noch aus.
Betroffenenrechte gegenüber Krankenkassen
Auch gegenüber den Krankenkassen können Betroffene ihre Rechte aus Kapitel 3 der DSGVO geltend machen. Entsprechende Mustertexte zur Geltendmachung der Rechte auf Auskunft, Berichtigung und Löschung stellt etwa der BfDI auf seiner Webseite zur Verfügung.
Das Recht auf Auskunft für Versicherte einer Krankenkasse
Als Rechtsgrundlage für das Recht auf Auskunft kommt zunächst Art. 15 DSGVO in Betracht. Es gelten aber auch nationale Vorschriften, wie das Recht auf Akteneinsicht nach § 25 SGB X und das Recht auf Auskunft über in Anspruch genommene Leistungen nach § 305 SGB V.
Das Recht auf Auskunft über personenbezogene Daten nach Art. 15 DSGVO ist wohl eines der stärksten Betroffenenrechte. In der Praxis sind Umfang und Reichweite des Auskunftsrechts jedoch strittig: so bewertet bspw. das OLG Köln den Schutz des Auskunftsrechts sehr weitreichend und bejahte über diesen auch eine Auskunft über alle Beitragsanpassungen, die die beklagte Krankenversicherung in den Jahren 2011 bis 2016 vorgenommen hatte. Anderer Auffassung ist bspw. das OLG Dresden, dass nach Art. 15 DSGVO keine Verpflichtung zur Erteilung einer Auskunft über die Höhe der auslösenden Faktoren bei Beitragserhöhungen durch eine private Krankenkasse sieht.
Das Recht auf Berichtigung
Ein weiteres Betroffenenrecht ist das Recht auf Berichtigung nach Art. 16 DSGVO. Hierbei geht es darum, unrichtige oder unvollständige Angaben korrigieren zu lassen.
Das Recht auf Löschung bei Krankenkassen
Zu guter Letzt besteht auch gegenüber Krankenkassen das Recht auch Löschung nach Art. 17 DSGVO. Der Betroffene muss die Löschung seiner Daten nicht ausdrücklich verlangen, denn auch Sozialdaten sind zu löschen, sobald sie nicht mehr für die Aufgabenerfüllung erforderlich sind und kein Grund zu der Annahme besteht, dass durch die Löschung der Daten schutzwürdige Interessen von Betroffenen beeinträchtigt werden (Grundsatz der Datensparsamkeit).
Die unterschiedlichen Aufbewahrungsfristen für die Verarbeitungszwecke von Sozialdaten sind gesetzlich in den § 110a SGB IV, § 304 SGB V und § 107 SGB XI verankert. Hier bestehen, die unterschiedlichsten Fristen von 10 bis hin zu 30 Jahren. So sind z.B.
- Angaben über erbrachte Leistungen zur Prüfung der Voraussetzungen späterer Leistungsgewährung nach 292 SGB V spätestens nach zehn Jahren zu löschen (§ 304 Abs. 1 S. 1 Nr. 1 SGB V) oder
- Angaben aus dem Versichertenverzeichnis noch 30 Jahre nach Beendigung des Versicherungsverhältnisses aufzubewahren.
Besondere Daten erfordern einen besonderen Schutz!
Krankenkassen dürfen und müssen viele personenbezogene Daten verarbeiten, um ihre gesetzlichen Aufgaben erfüllen zu können. Damit einher geht die Verarbeitung besonders sensibler Gesundheitsdaten, was noch einmal höhere Anforderungen an den Datenschutz mit sich bringt. Dass auch den Krankenkassen bei ihrer Aufgabenerfüllung der Datenschutz ab und zu in die Quere kommt, zeigt das Beispiel der elektronischen Patientenakte. Sollten Versicherte daher Fragen zum Thema haben oder der Meinung sein, ihre Krankenkasse beachtet den Schutz ihrer persönlichen Daten nicht ausreichend, können sie sich an ihre zuständige Datenschutzaufsichtsbehörde wenden.
die Praxis sieht leider anders aus. man nehme die HKK Bremen, die seit nun mehr 5 Jahren die Auskünfte an Betroffenen verweigern. gerade Krankenkassen stellen sich EXTREMST gegen die Betorffenenrechte.
Nach §17 c Abs. 2 KHG gibt es das sogenannte Erörterungsverfahren. Dies bedeutet, wenn ein Krankenhausfall von der Krankenkasse dem Medizinischen Dienst zur Prüfung in Auftrag gegeben wurde und sog. Beanstandungen festgestellt wurden, führt dies zu einem negativen Gutachten. Hier hat das Krankenhaus die Möglichkeit ein Erörterungsverfahren anzuregen, was eine Verhandlung mit der Krankenkasse zur Folge hat, wenn diese zustimmt. Ansonsten bleibt nur das Sozialgerichtsverfahren.
Diesbezüglich ist gesetzlich geregelt der Krankenkasse die entsprechenden Patientenunterlagen zur Verfügung zu stellen. Mit dieser Neuregelung erhält also nicht nur der Medizinische Dienst unter Umständen hochsensible Patientendaten, sondern auch die Krankenkasse für dieses Erörterungsverfahren, was gesetzlich ermöglicht wird!!!
Vielen Dank für Ihren Hinweis. Aber auch im Rahmen dieses Erörterungsverfahrens sind die Krankenkassen weiterhin an die datenschutzrechtlichen Vorgaben gebunden. Vor allem dürfen die entsprechenden Patientendaten nur für den Zweck des Erörterungsverfahrens verwendet werden (Art. 5 Absatz 1 lit. b DSGVO). Auch ergibt sich aus Art. 9 Absatz 2 lit. f DSGVO, dass die Verarbeitung von Gesundheitsdaten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen zulässig ist.
Immer mehr Krankenkassen fordern von den ambulanten Pflegediensten Medikamentenpläne und auch die Wunddokumentation ein (Foto der Wunde, Wundverlauf…). Der Arzt verordnet die entsprechenden Medikamente und auch die Art der Wundversorgung. Das tun mehrere Krankenkassen. Bisher habe ich es so verstanden, dass die Krankenkassen dies nicht dürfen und hierfür den MD einschalten müssen. Habe ich recht oder gibt es eine andere gesetzliche Regelung, die den Krankenkassen die Anforderung der Unterlagen (Wunddokumentation, Medikamentenpläne) erlaubt?
Die Verarbeitung medizinischer Daten bei der häuslichen Krankenpflege durch die Krankenkassen hat den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bereits in den Jahren 2003/2004 in seinem 20. Tätigkeitsbericht beschäftigt: „In einzelnen HKP-Akten fanden sich u. a. Pflegeplanungsbögen mit sehr detaillierten Angaben zu Medikamentengaben […], teilweise sogar Wundprotokolle mit Fotografien der Wunden pflegebedürftiger Menschen, die über den Umfang der nach der HKP-Verordnung anzugebenden Diagnose- und Gesundheitsdaten bei weitem hinausgingen.“ Der BfDI geht davon aus, dass diese Angaben für die Aufgabenerfüllung der Krankenkassen nicht erforderlich sind.
Auch § 276 Absatz 2 Satz 2 SGB V gibt hier eine Klarstellung dahingehend, dass solche Unterlagen an den Medizinischen Dienst zu übermitteln sind: „Haben die Krankenkassen oder der Medizinische Dienst für eine gutachtliche Stellungnahme oder Prüfung nach § 275 Absatz 1 bis 3 und 3b, § 275c oder § 275d erforderliche versichertenbezogene Daten bei den Leistungserbringern unter Nennung des Begutachtungszwecks angefordert, so sind die Leistungserbringer verpflichtet, diese Daten unmittelbar an den Medizinischen Dienst zu übermitteln.“
Meine Krankenkasse, die Barmer, will nicht mehr mit mir nicht mehr per eMail kommunizieren, nur noch per „Portal“ auf der Website mit extrem umständlichem Einloggen etc..
Begründung: wegen „gesetzlicher Datenschutzvorgaben“.
Aber „telefonisch oder postalisch“ wäre ok…
Gibt es dafür tatsächlich einen gesetzlichen Grund?
Jein. Die DSGVO fordert für sämtliche digitalen Kommunikationsvorgänge nur, ein der Sensibilität der Daten angemessenes Schutzniveau. Bei den Themen, die mit einer Krankenkasse besprochen werden, sind auch solche dabei, die nach Ansicht der Datenschutzbehörden nur per Ende-zu-Ende-verschlüsselter E-Mail übertragen werden dürften, da ihre Offenlegung gegenüber unberechtigten Dritten ein hohes Risiko für den Betroffenen bergen würde. Von dieser Pflicht kann nur auf ausdrücklichen, eigeninitiativen Wunsch des Betroffenen in zu dokumentierenden Einzelfällen abgewichen werden.
Vermutlich verzichtet man generell auf den Kommunikationskanal E-Mail, um sich den Verwaltungsaufwand für die Einzelfallbeurteilung der Senisbilität der Kommunikationsinhalte und Dokumentation von Ausnahmen zu sparen, und verweist lieber auf das Onlineportal, da die Kommunikation darüber immer Ende-zu-Ende verschlüsselt ist.
Und wie sieht die Aufbewahrungsdauer von Krankenbelegen/Arztrechnungen in der privaten Krankenversicherung aus? Wie lange dürfen PKVs Arztrechnungen/Krankenbelege speichern, wann müssen sie diese löschen?
Vielen Dank für Ihre Frage. Grundsätzlich dürfen private Krankenversicherungen diese Daten nur so lange speichern, wie sie für Abrechnungszwecke und zur Erfüllung vertraglicher und gesetzlicher Pflichten erforderlich sind. Nach Ablauf dieser Zwecke sind die Daten nach den zu löschen. Hinsichtlich der genauen Fristen und Regelungen empfehlen wir Ihnen, sich direkt bei der jeweiligen Krankenkasse oder einem Fachanwalt für Medizinrecht bzw. Versicherungsrecht zu informieren.