Inter­pel­la­ti­on Heim (06.3040): Schutz der Rech­te von Pati­en­ten und Pati­en­tin­nen
Abge­schrie­ben (20.03.2008).

Eingereichter Text

Der Bun­des­rat wird ein­ge­la­den, die fol­gen­den Fra­gen zu beant­wor­ten:

1. ob und inwie­weit bei ein­zel­nen Kran­ken­ver­si­che­rern im KVG-Bereich die Daten­schutz­be­stim­mun­gen, ins­be­son­de­re der Schutz der hoch­sen­si­blen medi­zi­ni­schen Daten ver­letzt und die im KVG-Bereich erho­be­nen Daten miss­bräuch­lich ver­wen­det wer­den (z. B. für Pri­vat­ver­si­che­rungs­be­reich);

2. wie die Auf­sichts­be­hör­de ihre Auf­sichts- und Kon­troll­pflicht in die­sem Bereich wahr­nimmt und sicher­stellt, dass die Rech­te und Ansprü­che der Ver­si­cher­ten nicht ver­letzt wer­den;

3. wel­che Mass­nah­men allen­falls not­wen­dig sind oder tat­säch­lich ergrif­fen wer­den, um nach­weis­lich und effek­tiv die Rech­te und Ansprü­che der Ver­si­cher­ten zu gewähr­lei­sten.

Begründung

Laut Medi­en­be­rich­ten (“Beob­ach­ter” vom 19. Janu­ar und 2. Febru­ar 2006; “Tages­an­zei­ger” vom 20. Febru­ar 2006) soll die pri­mär im Bereich der obli­ga­to­ri­schen Kran­ken­ver­si­che­rung (OKP) täti­ge zweit­gröss­te Kran­ken­kas­se der Schweiz, wel­che rund 970 000 Per­so­nen ver­si­chert, eine elek­tro­ni­sche Daten­bank mit hoch­sen­si­blen medi­zi­ni­schen Daten füh­ren und dabei, so die Bericht­erstat­tung, die Daten­schutz­be­stim­mun­gen zum Teil grob ver­let­zen. So soll ein gro­sser Kreis von etwa 400 nicht­ärzt­li­chen Mit­ar­bei­ten­den Zugang zu Ver­si­cher­ten­ak­ten haben, wel­che nur die gemäss Arti­kel 57 KVG vor­ge­se­he­nen Ver­trau­ens­ärz­te ein­se­hen dürf­ten. Soll­te es tat­säch­lich so sein, dass auch Mit­ar­bei­ten­de des Ser­vice­cen­ters, d. h. der rei­nen Admi­ni­stra­ti­on, Zugriff auf sol­che Daten haben, wäre dies pro­ble­ma­tisch: einer­seits aus daten­schutz- und per­sön­lich­keits­recht­li­chen Grün­den, ande­rer­seits ste­hen die in der OKP erho­be­nen Daten die­ser Kran­ken­kas­se offen­bar auch für deren Pri­vat­ver­si­che­rungs­be­reich zur Ver­fü­gung (Antrags­ab­tei­lung, exter­ne Anfra­gen usw.).

Das an sich für eine geset­zes­kon­for­me Daten­ver­wal­tung aus­ge­leg­te System die­ser Kas­se scheint gemäss Bericht vom “Beob­ach­ter” von den Kas­sen­ver­ant­wort­li­chen aus betriebs­wirt­schaft­li­chen Über­le­gun­gen bewusst (“über­trie­be­ne Daten­schutz­vor­stel­lun­gen dür­fen nicht zu einem ver­meid­ba­ren admi­ni­stra­ti­ven Mehr­auf­wand füh­ren”) unter­lau­fen zu wer­den. Unbe­greif­lich ist unter sol­chen Umstän­den die Art und Wei­se, wie das Bun­des­amt für Gesund­heit sei­ne Auf­sichts- und Kon­troll­pflicht wahr­neh­men will, indem es sich offen­bar damit begnü­gen möch­te, die­se Kas­se zu einer Stel­lung­nah­me auf­zu­for­dern.

Es sind Mass­nah­men zu ergrei­fen, allen­falls ver­bind­li­che Richt­li­ni­en zu erlas­sen, damit die Auf­sicht und Kon­trol­le über die Ein­hal­tung der Rechts­ord­nung tat­säch­lich aus­ge­übt wer­den kann. Die betrof­fe­ne Kas­se hat unver­züg­lich sicher­zu­stel­len, dass der Zugriff auf hoch­sen­si­ble Daten nach daten­schutz­recht­li­chen Kri­te­ri­en ein­ge­schränkt, d. h. per­so­nell auf eine Maxi­mal­zahl von sechs bis sie­ben Per­so­nen und zeit­lich auf die Dau­er, wäh­rend derer eine kon­kre­te Fra­ge zum Fall bear­bei­tet wird, d. h. etwa einen Tag bis zwei Wochen, beschränkt wird.

Erfreu­lich ist, dass sich gemäss den erwähn­ten Pres­se­be­rich­ten der gro­sse Teil der Kas­sen an die Regeln zu hal­ten scheint. Den­noch wirkt sich das Ver­hal­ten einer ein­zel­nen Kas­se auch auf die im Kran­ken­ver­si­che­rungs­be­reich bis­her gefor­der­te Kon­kur­renz­si­tua­ti­on unter den Kas­sen aus, indem sich eine sol­che Kas­se so Markt­vor­tei­le ver­schafft und damit eine Wett­be­werbs­ver­zer­rung bewirkt. Dies übt Druck auf die ande­ren Kas­sen aus, in die­sel­be Rich­tung zu steu­ern. Dem ist im Inter­es­se der Pati­en­tin­nen und Pati­en­ten, der Rechts­gleich­heit und des fai­ren Wett­be­werbs Ein­halt zu gebie­ten.

<

h1>Stellungnahme des Bun­des­rats

<

h1>

1. Die Kran­ken­ver­si­che­rer sind in der obli­ga­to­ri­schen Kran­ken­pfle­ge­ver­si­che­rung (OKP) gemäss KVG für die Ein­hal­tung des Daten­schut­zes selbst ver­ant­wort­lich. Sie dür­fen nur dann Per­so­nen­da­ten bear­bei­ten, wenn sie sich auf eine gesetz­li­che Grund­la­ge stüt­zen kön­nen. Die Ver­si­che­rer müs­sen zudem alle recht­li­chen und orga­ni­sa­to­ri­schen Mass­nah­men tref­fen, um die Per­so­nen­da­ten zu schüt­zen. Inner­be­trieb­lich fällt die Gewähr­lei­stung des Schut­zes medi­zi­ni­scher Daten in die Ver­ant­wor­tung der Ver­trau­ens­ärz­tin­nen und Ver­trau­ens­ärz­te (Art. 57 Abs. 7 KVG).

Im Bereich der Zusatz­ver­si­che­run­gen gel­ten für die Ver­si­che­rer nicht die stren­gen daten­schutz­recht­li­chen Auf­la­gen für die Bear­bei­tung der Per­so­nen­da­ten durch Bun­des­or­ga­ne, son­dern die übri­gen Vor­schrif­ten des Bun­des­ge­set­zes über den Daten­schutz (SR 235.1). Die Zusatz­ver­si­che­rer dür­fen dem­nach Daten über Ver­si­cher­te bear­bei­ten, soweit sie nötig sind, um eine sach­ge­rech­te Ver­wal­tung durch­zu­füh­ren.

Bei der Durch­füh­rung der OKP und der Zusatz­ver­si­che­rung wer­den die Daten inner­be­trieb­lich oft nicht voll­stän­dig getrennt bear­bei­tet. Dies kann für den Per­sön­lich­keits­schutz der Ver­si­cher­ten unbe­frie­di­gen­de Fol­gen haben. Das Gesetz hat jedoch einen Schutz vor­ge­se­hen. Die Lei­stungs­er­brin­ger sind in begrün­de­ten Fäl­len und auf Ver­lan­gen der ver­si­cher­ten Per­so­nen in jedem Fall ver­pflich­tet, medi­zi­ni­sche Anga­ben nur den Ver­trau­ens­ärz­tin­nen und Ver­trau­ens­ärz­ten bekannt zu geben. Die­se dür­fen dann nur die­je­ni­gen Daten an die Ver­wal­tung der Ver­si­che­rer wei­ter­ge­ben, wel­che not­wen­dig sind, um über die Lei­stungs­pflicht zu ent­schei­den, die Ver­gü­tung fest­zu­set­zen oder eine Ver­fü­gung zu begrün­den. Dabei wah­ren sie die Per­sön­lich­keits­rech­te der Ver­si­cher­ten, anson­sten machen sie sich straf­bar.

2. Das Bun­des­amt für Gesund­heit (BAG) als zustän­di­ge Auf­sichts­be­hör­de kann den Ver­si­che­rern auch im Bereich des Daten­schut­zes Wei­sun­gen zur ein­heit­li­chen Anwen­dung des Bun­des­rech­tes ertei­len (Art. 21 KVG). Bei Miss­ach­tung der gesetz­li­chen Vor­schrif­ten ergreift die Auf­sichts­be­hör­de je nach Art und Schwe­re die geeig­ne­ten Mass­nah­men (ver­bind­li­che Wei­sun­gen, Ord­nungs­bus­sen und als letz­te Mög­lich­keit der Ent­zug der Aner­ken­nung und der Bewil­li­gung).

Das BAG hat sich bereits ver­schie­dent­lich mit den Fra­gen des Daten­schut­zes befasst. Im Vor­der­grund stan­den vor allem die Bei­tritts­for­mu­la­re, in denen geset­zes­wid­ri­ge Fra­gen nach dem Gesund­heits­zu­stand der inter­es­sier­ten Per­so­nen gestellt wur­den. Das BAG hat des­halb am 9. März 2005 das Kreis­schrei­ben “Daten- und Per­sön­lich­keits­schutz” erlas­sen, wel­ches den Daten- und Per­sön­lich­keits­schutz beim Abschluss einer OKP-Ver­si­che­rung regelt. In die glei­che Rich­tung geht auch die vom Bun­des­rat am 26. April 2006 beschlos­se­ne Ver­ord­nungs­än­de­rung (Art. 6a der Ver­ord­nung über die Kran­ken­ver­si­che­rung; SR 832.102), wonach es den Ver­si­che­rern unter­sagt wird, auf dem glei­chen For­mu­lar den Bei­tritt zur OKP und gleich­zei­tig den Antrag für frei­wil­li­ge Ver­si­che­run­gen zu regeln. Die­se Tren­nung soll das Risi­ko einer wider­recht­li­chen Daten­be­ar­bei­tung ver­min­dern.

Das BAG unter­sucht zur­zeit beim in der Inter­pel­la­ti­on erwähn­ten Ver­si­che­rer die in der Öffent­lich­keit erho­be­nen Vor­wür­fe. Je nach Ergeb­nis die­ser Unter­su­chung wird das BAG allen­falls auf­sichts­recht­li­che Mass­nah­men tref­fen. Im Übri­gen wird das BAG im Rah­men sei­ner Res­sour­cen künf­tig ver­mehrt die Daten­samm­lun­gen der Ver­si­che­rer mit dem Bun­des­amt für Pri­vat­ver­si­che­run­gen prü­fen und auch den Eid­ge­nös­si­schen Daten­schutz­be­auf­trag­ten ein­la­den, dar­an mit­zu­wir­ken.

3. Die Ver­trau­ens­ärz­tin­nen und Ver­trau­ens­ärz­te neh­men eine Schlüs­sel­stel­lung bei der Ver­wirk­li­chung des Per­sön­lich­keits­schut­zes in der OKP ein. Sie müs­sen mit­un­ter auch sen­si­ble medi­zi­ni­sche oder per­sön­li­che Daten bekannt geben, wenn die Lei­stungs- oder Rechts­ab­tei­lung eines Kran­ken­ver­si­che­rers die­se benö­tigt, um einen Ent­scheid zu fäl­len. Die Ver­si­che­rer haben die Per­so­nen­da­ten durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men gegen unbe­fug­te Ein­sicht­nah­me auch inner­be­trieb­lich zu schüt­zen. Nach der Recht­spre­chung des Bun­des­ge­rich­tes sind dar­an hohe Mass­stä­be zu set­zen (vgl. BGE 131 II 413). Wirt­schaft­li­che Argu­men­te der Ver­si­che­rer recht­fer­ti­gen die Ver­let­zung der Per­sön­lich­keits­rech­te nicht.

Vor die­sem Hin­ter­grund erfül­len die dem BAG zur Ver­fü­gung ste­hen­den Mass­nah­men ihren Zweck. Wei­te­re Mass­nah­men erach­tet der Bun­des­rat nicht für not­wen­dig.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.