Sozialdatenschutz: Wenn von Krankenkassen besondere Sorgfalt verlangt wird

Damit auch Krankenkassen die gehobenen Anforderungen an den Datenschutz erfüllen können, gibt es spezielle Datenschutzregelungen nur für diesen Sektor: den Sozialdatenschutz.

Es gibt nur wenige Bereiche, in denen personenbezogene Daten ähnlich sensibel gehandhabt werden wie im Gesundheitswesen. Gesundheitsdaten sind immer auch Patientendaten, deren Informationen so stark ins Persönliche gehen, dass sie nur den Patienten selbst und die behandelnden Mediziner etwas angehen.

Keine „gläsernen Versicherten“

Die maßgebliche Vorschrift für den Sozialdatenschutz, der sich auf das sogenannte Sozialgeheimnis bezieht, liefert § 284 Sozialgesetzbuch (SGB V). Hier werden Sozialdaten genannt, die Krankenkassen verarbeiten dürfen, um ihrer Aufgabe gerecht werden zu können. Dazu gehören unter anderem: Ermittlung von Versicherungsverhältnis und Mitgliedschaft, Abwicklung von Erstattungen oder die Unterstützung bei Behandlungsfehlern. Um diese Aufgaben erfüllen zu können, ist die Verarbeitung von Daten zur Person, zur Mitgliedschaft, zu Leistungen, Pflegevertretern und weiteren Patientenbelangen unumgänglich.

Das SGB setzt aber auch Grenzen zur Verhinderung von lückenlosen Gesundheitsprofilen durch umfassende Datenerfassung und -zusammenführung. Hier besteht Konformität zu Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO).

So kommen die Kassen an persönliche Daten

Sowohl Ärzte wie Arbeitgeber stehen bei den Krankenkassen in der Pflicht, Daten, wie Bescheinigungen, Gutachten oder die Höhe des Arbeitsentgelts, mitzuteilen. Darüber hinaus versuchen Krankenkassen mitunter, auf dem Weg von Selbstauskünften weitere Informationen über Versicherte zu gewinnen. Dem sind ebenfalls datenschutzrechtliche Grenzen gesetzt. Der Medizinische Dienst wird dann bei der Datenerfassung tätig, wenn Krankenkassen vom Gesetzgeber die Hände gebunden sind – etwa bei der Prüfung von medizinischen Belangen – und handelt in deren Auftrag. Der Unterschied: Der Medizinische Dienst informiert die Krankenkasse über Ergebnisse zu einem Befund, nicht aber über die zugrunde liegende Datenlage.

Die Betroffenheitsrechte der Versicherten

Versicherten stehen für die Wahrung ihrer Datenschutzinteressen gegenüber den Krankenkassen starke Rechte zu. Da wäre zum einen das Recht auf Auskunft über personenbezogene Daten, etwa über beanspruchte Leistungen oder bezüglich einer Akteneinsicht, das sowohl nach SGB als auch nach DSGVO geregelt ist. Das Auskunftsrecht ist eines der wichtigsten Betroffenheitsrechte. Ein weiteres ist das Recht auf Berichtigung von falschen oder unvollständigen Angaben. Und auch das Recht auf Löschung von Sozialdaten schützt die Versicherten. Weil die Datenlöschung durch die Versicherung nach Erfüllung einer Aufgabe vorgenommen werden muss, ist kein dahingehendes Verlangen des Patienten erforderlich. Diese Rechte finden in den Artikeln 15, 16 und 17 ihren Niederschlag in der DSGVO.

Zu beachten sind aber nach den §§ 83 und 84 SGB X die Einschränkungen der Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch.

Strittige elektronische Datenerfassung

Das digitale Medium zwischen behandelnden Ärzten, Therapeuten und Krankenhäusern, Apotheken und den Krankenkassen ist die elektronische Gesundheitskarte. Sie dient als Datenmittler innerhalb der Telematikinfrastruktur des deutschen Gesundheitsnetzes. Weitere digitale Träger von personenbezogenen Daten sind die elektronische Patientenakte oder das elektronische Rezept. 2021 entbrannte ein Streit um die Datenschutz-Konformität der elektronischen Patientenakte. Der Bundesdatenschutzbeauftragte hatte mehrere Krankenkassen aufgefordert, ihre Digitalakten gemäß DSGVO anzulegen – was bei ihnen nach Ansicht des obersten Datenschützers nicht der Fall war. Die betroffenen Krankenkassen erhoben daraufhin Klage, sodass der Sozialdatenschutz in diesem Punkt nun ein Fall für die Gerichte geworden ist.