Gesetzliche Krankenversicherung – Besondere Versorgung
Aufsichtsbehörden der Länder
GKV-Spitzenverband
BKK-Landesverbände
Verband der Ersatzkassen e.V. (vdek)
GWQ ServicePlus AG
spectrumK GmbH
hier: Checkliste „Datenschutzrechtliche Aspekte im Rahmen von Verträgen nach § 140a SGB V“
Sehr geehrte Damen und Herren,
mit den seit dem 25. Mai 2018 geltenden Neuerungen durch die Europäische Datenschutz-Grundverordnung (DSGVO) und damit einhergehenden Folgeänderungen sind im Kontext des Datenschutzes zahlreiche Aspekte zu beachten. Auf Basis der im Laufe der Zeit gewonnenen
Erkenntnisse und Erfahrungen haben wir die Checkliste „Datenschutzrechtliche Aspekte im Rahmen von Verträgen nach § 140a SGB V“ erstellt. Diese beinhaltet datenschutzrechtliche Fragestellungen, die im Rahmen von Verträgen über eine besondere Versorgung regelmäßig aufzuwerfen und zu beantworten sind, sie soll damit den Krankenkassen als strukturierte Hilfestellung zu einer rechtskonformen Vertragsgestaltung dienen. Dabei
erhebt die Checkliste weder einen Anspruch auf Vollständigkeit noch ersetzt sie die Pflicht der Vertragspartner zur eigenständigen rechtskonformen Vertragsgestaltung.
Wir begrüßen es, dass die ausgefüllte und unterzeichnete Checkliste nunmehr sehr häufig bereits von den Krankenkassen gemeinsam mit den Vertragsunterlagen vorgelegt wird. Inhaltlich mussten wir jedoch wiederholt feststellen, dass in der Liste enthaltene Bestätigungen nicht stets auch den tatsächlichen vertraglichen Regelungen entsprechen. Die bisherigen Erfahrungen geben uns Veranlassung, auf folgende datenschutzrechtliche Anforderungen nochmals besonders hinzuweisen:
1. § 284 SGB V als grundlegende datenschutzrechtliche Befugnisnorm für die Krankenkassen
§ 284 SGB V legt abschließend fest, zu welchen Zwecken und in welchem Umfang Krankenkassen Sozialdaten verarbeiten dürfen. Diese können damit in zulässiger Weise ausschließlich für die in § 284 Abs. 1 SGB V enumerativ aufgeführten Aufgaben der Krankenkassen erhoben
und gespeichert werden. Für die weitere Datenverarbeitung ist § 284 Abs. 3 SGB V zu beachten. Vor diesem Hintergrund müssen sich zunächst alle in den Vertragsunterlagen abgebildeten Zwecke der Datenerhebung durch die Krankenkassen eindeutig unter § 284 Abs. 1 SGB V subsumieren lassen, was derzeit des Öfteren noch nicht gewährleistet ist.
Weiterhin ist zu berücksichtigen, dass Sozialdaten nur in dem für die konkrete Aufgabenerfüllung erforderlichen Umfang erhoben werden dürfen. Die Erhebung medizinischer Befunddaten des Versicherten durch die Krankenkasse ist daher grundsätzlich unzulässig, entsprechende vertragliche Regelungen sind rechtswidrig.
Im Übrigen sind die sich aus § 284 SGB V für die Krankenkassen ergebenden Möglichkeiten und Grenzen der Datenverarbeitung auch im Hinblick auf Managementgesellschaften zu beachten, soweit diese den Krankenkassen obliegende Aufgaben wahrnehmen (§ 197b SGB V).
2. Information des Versicherten über die betroffenen personenbezogenen Daten, die beteiligten Stellen und die Zwecke der Verarbeitung (Art. 13 Abs. 1 Buchst. c und e DSGVO)
Art. 13 DSGVO enthält grundsätzliche Informationspflichten des Verantwortlichen, die wir (teils mit ergänzenden Erläuterungen) in Punkt 2. der Checkliste aufgenommen haben. So sind dem Versicherten u.a. die betroffenen personenbezogenen Daten, die beteiligten Stellen und die Zwecke der Datenverarbeitung konkret und abschließend mitzuteilen. Oder einfacher ausgedrückt: es muss für ihn klar erkennbar sein, welche Sozialdaten von wem an wen zu welchen Zwecken fließen.
Die Checkliste beinhaltet insoweit bereits den ausdrücklichen Hinweis, dass Formulierungen wie zum Beispiel „Meine Daten“, „Abrechnungsdaten“, „insbesondere“, „z.B.“, „Abrechnungsdienstleister“ oder „wissenschaftliches Institut“ nicht ausreichend sind. Gleichwohl finden wir diese aber immer wieder in einzelnen Vertragsunterlagen.
Wir bitten daher, dafür Sorge zu tragen, dass in der Versicherteninformation alle personenbezogenen Daten, alle beteiligten Stellen und sämtliche Zwecke der Verarbeitung konkret und abschließend abgebildet werden.
3. Anwendbarkeit der Grundsätze des Datenschutzes auf personenbezogene und pseudonymisierte Daten (EG 26 DSGVO)
Gemäß Erwägungsgrund (EG) 26 DSGVO sollen die Grundsätze des Datenschutzes sowohl für personenbezogene als auch für pseudonymisierte Daten gelten, auf anonyme Informationen dagegen keine Anwendung finden. Nähere Bestimmungen der Begriffe „personenbezogene Daten“ und „Pseudonymisierung“ ergeben sich aus Art. 4 Nr. 1 und 5 DSGVO.
Dementsprechend bitten wir, die für personenbezogene Daten bestehenden Regelungen auch im Hinblick auf pseudonymisierte Daten zu beachten. Auch für diese bedarf es einer einschlägigen datenschutzrechtlichen Befugnisnorm und sie sind im Rahmen der o.g. Informationspflichten ebenfalls zu berücksichtigen.
4. Datenschutzrechtliche Einwilligung des Versicherten als Voraussetzung für die Teilnahme am Vertrag
Gemäß § 284 Abs. 1 Satz 1 Nr. 13 SGB V i.V.m. § 140a Abs. 5 SGB V darf die Verarbeitung der für die Durchführung der Verträge erforderlichen personenbezogenen Daten, einschließlich der Durchführung von Wirtschaftlichkeitsprüfungen und Qualitätsprüfungen, nur mit Einwilligung und nach vorheriger Information der Versicherten erfolgen. Die Einwilligung des Versicherten muss freiwillig abgegeben werden; gleichwohl handelt es sich dabei um eine zulässige Voraussetzung für die Teilnahme am Vertrag.
Davon zu unterscheiden ist die Einwilligung des Versicherten in die Datenverarbeitung zum Zwecke der wissenschaftlichen Forschung (§ 284 Abs. 3 SGB V i.V.m. § 75 SGB X). Sofern eine solche geplant ist, muss die diesbezügliche Einwilligung, aber gesondert und teilnahmeunabhängig eingeholt werden. Der Versicherte muss also auch dann am Vertrag teilnehmen können, wenn er insoweit nicht einwilligt.
Nach Art. 13 Abs. 2 Buchst. e DSGVO muss die Versicherteninformation dementsprechende Angaben und Hinweise enthalten.
Wir bitten, die geltende Rechtslage im Rahmen Ihrer Vertragsverhandlungen und bei der Gestaltung der Teilnahmeerklärung/Versicherteninformation zu beachten und dies auch durch Bestätigungen in der Checkliste, die mit den tatsächlichen vertraglichen Regelungen im Einklang stehen, zum Ausdruck zu bringen.
Mit freundlichen Grüßen
Im Auftrag
Beckschäfer