Vier große gesetzliche Krankenkassen haben in diesen Tagen Post vom Bundesdatenschutzbeauftragten (BfDI) Ulrich Kelber bekommen. In dem Schreiben werden sie angewiesen, allen Versicherten künftig den von der DSGVO garantierten Datenschutz zu bieten - sowohl denen, die ein modernes Smartphone nutzen, als auch technologiescheuen Versicherten.
Hintergrund des Schritts des BfDI ist die Einführung der elektronischen Patientenakte (ePA) im Jahr 2020 und die damit verbundene Möglichkeit, einzelnen Ärzten digitalen Zugriff auf einzelne Befunde zu erlauben oder nicht. Das entsprechende Gesetz im fünften Sozialgesetzbuch verlangt von den Krankenkassen lediglich, diesen genauen Zugriff per Smartphone möglich zu machen. Der Bundesdatenschutzbeauftragte hingegen ist der Auffassung, dass die DSGVO den Kassen vorschreibt, dieses sogenannte "feingranulare Zustimmungsmanagement" für alle Versicherten möglich zu machen. Er begründet seine Auffassung mit den Regeln der DSGVO zur Verarbeitung sensibler personenbezogener Daten, die verlangt, dass nur die Daten verarbeitet werden, die für den jeweiligen Zweck notwendig sind, sowie dass nur so viele Daten erhoben und verarbeitet werden wie nötig.
Ziel seiner Anweisung sei es, "gleiches Recht für alle Versicherten" herzustellen, so Kelber. Hielten sich die Kassen nur an nationales Recht, hätten Nutzer moderner Smartphones mehr Rechte als diejenigen ohne solche Geräte.
Wenn Versicherte heute einen Befund via ePA mit ihrem Orthopäden teilen wollen, dann stimmen sie damit auch der Einsicht durch alle anderen Ärzte zu. Es geht nur ganz oder gar nicht. Die Krankenkassen planen, das zu ändern, aber erst zum 1. Januar 2022 - und dann auch nur für Nutzer moderner Smartphones, wie eben im Sozialgesetzbuch gefordert. Der BfDI dagegen fordert, das Zugriffsmanagement für Smartphone-Nutzer schon in diesem Jahr zu ermöglichen und bis 2022 auch eine Lösung für Smartphone-Skeptiker zu finden. Das lehnen die Krankenkassen ab.
Die Krankenkassen verweisen auf das Sozialgesetzbuch
Fragt man bei Krankenkassen nach, weshalb Nutzer ohne Smartphone niemals selbst über die Einsicht in ihre Gesundheitsdaten entscheiden sollen, verweisen die auf die Vorgabe des Sozialgesetzbuchs, die nur ein Zugriffsmanagement für Endgeräte fordere. Ihre Aufsichtsbehörde, das Bundesamt für Soziale Sicherung, habe das so bestätigt. Sie hielten sich an Recht und Gesetz.
Allerdings steht im Sozialgesetzbuch nirgends, dass ein Zugriffsmanagement für Nutzer ohne Smartphones verboten sei. Noch dazu handelt es sich bei der DSGVO um Europarecht, das im Zweifel über nationalen Regeln steht. Schwer nachvollziehbar ist die Weigerung der Krankenkassen auch deshalb, weil sich der Aufwand für eine Lösung in Grenzen halten dürfte. Dem Bundesdatenschutzbeauftragten zufolge würde es den Anforderungen seiner Weisung genügen, in Filialen der Krankenkassen ein dafür vorgesehenes Tablet zu platzieren.
Die Krankenkassen können gegen die Weisung des BfDI binnen eines Monats klagen. Dann müsste das Sozialgericht Köln über die Rechtmäßigkeit der Weisung entscheiden. Der Datenschutzbeauftragte hofft noch auf Einsicht der Kassen: "Es kann nicht Ziel der Krankenkassen sein, tatsächlich zweierlei Recht für ihre Versicherten vorzusehen. Ich hätte kein Verständnis dafür, wenn die Kassen sich mit viel Geld der Versicherten vor Gerichten dagegen wehren, allen Versicherten das gleiche Recht zu geben", so Kelber.