Datenschutzbeauftragter knöpft sich vor allem Kassen und Spahn vor

Berlin. Die Krankenkassen und Professor Ulrich Kelber, seines Zeichens Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), haben ihren Streit um die datenschutzkonforme Gestaltung der elektronischen Patientenakte (ePA) noch keinesfalls ad acta gelegt. „Ich muss hier auf weitere Nachbesserungen im Sinne der DSGVO bestehen“, schreibt Kelber im Vorwort zum 29. Tätigkeitsbericht seiner Behörde, den er am Donnerstag an Bundestagspräsident Wolfgang Schäuble übergeben hat.

Zur Erinnerung: Die Regelungen im Patientendaten-Schutz-Gesetz (PDSG) zur dieses Jahr erfolgten ePA-Einführung sind nach Auffassung der Bundesregierung und der Kassen datenschutzkonform. Für Kelber hingegen gibt es beim Zugriff in puncto Rechtemanagement noch Defizite. Darauf weist er im Bericht explizit hin und watscht Bundesgesundheitsminister Jens Spahn (CDU) und die betreffenden Ministeriumsmitarbeiter unverblümt ab. „Trotz langer und intensiver Beratungen mit dem Bundesgesundheitsministerium ist es leider nicht gelungen, die ePA für alle gesetzlich Versicherten so auszugestalten, dass diese vom ersten Tag an sowohl die gesundheitlichen Vorteile als auch die von der Datenschutz-Grundverordnung (DSGVO) geforderten Maßgaben erfüllt“, mokiert sich Kelber.

Bedrängen Kassen ihre Versicherten?

Ein Hühnchen zu rupfen hat Kelber mit den Kassen auch noch im Hinblick auf die datenschutzkonforme Gestaltung der „Begutachtungsanleitung Arbeitsunfähigkeit“. Die Gespräche mit dem GKV-Spitzenverband und dem BMG liefen noch. Die Richtlinie ermöglicht den Krankenkassen und den Medizinischen Diensten der Krankenkassen (MD), Arbeitsunfähigkeitsfälle ihrer Versicherten strukturiert zu begutachten. Dadurch wird der Erhalt der Arbeits- bzw. Erwerbsfähigkeit gefördert.

Bei der Umsetzung der Richtlinie legten die Kassen teils höchst fragwürdige Praktiken an den Tag, so Kelbers Vorwurf. „Zahlreiche Beschwerden von Versicherten, aber auch meine Kontrollen bei Krankenkassen, zeigen wiederholt, dass das Verständnis einzelner Krankenkassen von ihren aus den Richtlinien abgeleiteten Befugnissen über die gesetzlichen Regelungen weit hinausgeht“, steht in seinem Bericht zu lesen.

So seien die Kassen bei Zweifeln an der Arbeitsunfähigkeit (AU) nach § 275 Abs. 1 Nr. 3 b) SGB V verpflichtet, eine Stellungnahme des MD einzuholen. Dies ermächtige sie jedoch nicht, zusätzliche Daten zur Erhärtung oder Beseitigung der Zweifel zu erheben. Soweit dies im Einzelfall erforderlich sei, können auf Grundlage des § 284 Abs. 1 Nr. 4 SGB V im besten Fall Nachfragen bei Versicherten zulässig sein. Diese müssten mit der Prüfung der formalen Leistungsvoraussetzungen in unmittelbarem Zusammenhang stehen. In Betracht kämen zudem nur Fragen nach einer voraussichtlichen Anschluss-AU oder nach geplanten diagnostischen/therapeutischen Maßnahmen, die einer Arbeitsaufnahme entgegenstehen.

„Für generell unzulässig erachte ich (fern-)mündliche Versichertenanfragen. An mich gerichtete Versichertenbeschwerden zeigen, dass insbesondere die telefonischen Versichertenanfragen von einigen Krankenkassen wiederholt zu unkontrollierten, teilweise druckerhöhenden Datenerhebungen genutzt werden. Mir wurde von unzulässigen Fragen zur gesundheitlichen und familiären Situation, sozialen Problemen oder Details aus Reha- oder Krankenhausentlassungsberichten sowie den Überredungsversuchen zu einem Krankenkassenwechsel berichtet“, so Kelber. Da die Gespräche mit dem GKV-Spitzenverband und dem BMG kein gemeinsames Verständnis zum Umfang der Datenerhebungsbefugnisse der Krankenkassen vor einer Beauftragung des MD ergeben hätten werde er „die zurückgestellten Beschwerdeverfahren nach Art. 77 Datenschutz-Grundverordnung wieder aufnehmen und die Einhaltung der gesetzlichen Vorgaben mit aufsichtsrechtlichen Mitteln durchsetzen.“

Datenschutzkonform, aber unnütz? Von wegen!

Im deutschen Gesundheitswesen, das konzediert Kelber dann doch noch, laufe nicht alles so haarsträubend ab wie mit den Kassen. Ein Lichtblick sei Deutschlands unter hohem zeitlichen Druck realisierte offizielle Corona-Warn-App (CWA), die „als positives Beispiel dafür dienen kann, wie durch die konsequente Einbindung einer Datenschutzaufsichtsbehörde im gesamten Entwicklungsprozess ein aus datenschutzrechtlicher Sicht hervorragendes Produkt an den Markt gebracht werden konnte.“ Nicht zuletzt aufgrund der datenschutzfreundlichen Ausgestaltung treffe die CWA in der Bevölkerung auf eine hohe Akzeptanz und sei bis Ende 2020 bereits mehr als 24 Millionen Mal heruntergeladen worden.

Wissen die Deutschen nicht, was sie mit der CWA haben? „Gerade deshalb verwundert und irritiert mich die aktuelle Diskussion über angeblich fehlende Funktionalitäten der App. Vor allem die von vielen Stellen vorgebrachten Behauptungen, strenge Datenschutzvorgaben würden eine sinnvolle Weiterentwicklung der CWA verhindern, sind schlichtweg falsch und basieren nicht selten auf mangelndem Verständnis der Funktionsweise und technischen Möglichkeiten der App“, so Kelber.

Fakt sei, dass bislang keine der in die Diskussion eingebrachten, geeigneten und technisch umsetzbaren Vorschläge am Datenschutz gescheitert sei. „Ich wünschte mir daher hier eine differenziertere und vor allem informiertere Debatte, die die sinnvolle und effektive Weiterentwicklung unterstützt. Denn auch wenn die CWA nicht die alleinige Lösung darstellen kann, bietet sie hervorragende Voraussetzungen, Infektionsketten schneller zu unterbinden und damit wesentlich zur Bekämpfung der Pandemie beizutragen“, resümiert der Bundesdatenschutzbeauftragte.