Interpellation Prelicz-Huber (09.3515): Fallmanagement. Rechtswidrige Eingriffe in das Patientengeheimnis und Verletzung des Datenschutzes
Erledigt (25.09.2009)
Eingereichter Text
Der Datenschutzbeauftragte des Kantons Zürich hat in seinem 14. Tätigkeitsbericht vom 3. März 2009 unmissverständlich darauf hingewiesen, dass sogenannte Fallmanagerinnen und ‑manager (Case Managerinnen und Manager) von Krankenversicherern umfassend auf Gesundheitsdaten in Spitälern zugreifen können und dadurch teilweise massiv den Datenschutz und das Patientinnen- und Patientengeheimnis verletzen. Die bestehenden Vereinbarungen zwischen den Versicherern und den Spitälern regeln lediglich die Koordinationstätigkeit der Fallmanager und enthalten unzureichende Bestimmungen hinsichtlich Wahrung von Arzt- und Patientengeheimnis oder Hinweise auf eine Informationspflicht seitens der Versicherer. Eine gesetzliche Regelung im Krankenversicherungsgesetz fehlt.
Die Krankenversicherer verschaffen sich sensible Gesundheitsdaten auch ohne Einwilligung von Patienten und verfügen z. B. bereits vor diesen über Informationen wie Diagnose, Therapiemassnahmen oder voraussichtliche Spitalaufenthaltsdauer. Selbst wenn eine Einwilligungserklärung eingeholt wird, fehlt es offenbar an der notwendigen Aufklärung der Patienten. Dieser unhaltbare Sachverhalt geht so weit, dass Spitäler von den Versicherungen sogar aufgefordert werden, Personen, welche die Erklärung nicht unterzeichnen, dem Versicherer zu melden. Dieser Zustand darf nicht weiter hingenommen werden.
Es ergeben sich hierzu verschiedene Fragen an den Bundesrat:
1. Obwohl die eidgenössische Aufsichtsbehörde bereits 2007 von mehreren Seiten über das rechtswidrige Vorgehen der Versicherer informiert wurde, ist diesbezüglich nichts unternommen worden. Warum nicht?
2. Wie beurteilt er die Handhabung des Arzt- und Patientengeheimnisses, wenn Fallmanager oft viel mehr als das Notwendige erfahren, durch ihre Beteiligung an Rapporten oder Behandlungsplanungen?
3. Wie sieht er das weitere Vorgehen in diesem das Datenschutzgesetz verletzenden Vorgehen der Krankenversicherungen?
4. Welche Massnahmen werden getroffen, um den Schutz der Patienten zu garantieren und die Datenschutzkonformität nachhaltig zu gewährleisten?
5. Beabsichtigt er, bei bereits bestehenden Verträgen den Datenschutz ernst zu nehmen und diese auf ihre Rechtmässigkeit, auf die Respektierung der Informationspflicht und des Datenschutzes hin zu überprüfen?
6. Zieht er eine Gesetzesänderung in Betracht? Wenn ja, mit welcher Stossrichtung?
<
h1>Stellungnahme des Bundesrats
<
h1>
1. Der Bundesrat hat bereits anlässlich zweier früherer parlamentarischer Vorstösse (Postulat Heim 08.3493, Frage Schenker Silvia 09.5060) festgehalten, dass es einen Handlungsbedarf bezüglich der Datenschutzsituation im Bereich der obligatorischen Krankenpflegeversicherung (OKP) gibt. Eine soeben veröffentlichte Untersuchung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) und des Bundesamtes für Gesundheit (BAG) legt nun differenzierter dar, dass der Datenschutz bei den Krankenversicherern, welche die obligatorische Krankenpflegeversicherung und die freiwillige Taggeldversicherung nach dem Bundesgesetz über die Krankenversicherung (KVG; SR 832.10) durchführen, weitgehend gewährleistet ist, in einigen Bereichen jedoch Handlungsbedarf besteht. Mit der Veröffentlichung des Berichts sind folgende Empfehlungen an die Krankenversicherer ergangen, deren Umsetzung im Rahmen der Aufsicht über die Krankenversicherer in den nächsten Monaten überprüft werden soll:
Jeder Krankenversicherer sollte ein Datenschutzkonzept (Strategie) erarbeiten. Es muss bei jedem Krankenversicherer ein Verzeichnis der Datensammlungen unterhalten werden. Für jede Datensammlung mit besonders schützenswerten Personendaten wird ein Bearbeitungsreglement unterhalten (Beschreibung der Prozesse inkl. Verantwortlichkeiten, Berechtigungen, Datenfluss sowie der technischen Massnahmen zur Datensicherheit). Es sollte bei jedem Krankenversicherer ein Verantwortlicher für den Datenschutz und für jede Datensammlung ein Inhaber bezeichnet werden. Die Aufgaben dieser Rollen werden in einem Pflichtenheft beschrieben. Datenschutzverantwortliche müssen über die erforderlichen Fachkenntnisse verfügen. Es sollen regelmässig verwaltungsexterne Datenschutzaudits durchgeführt und die Resultate den Aufsichtsbehörden unterbreitet werden.
2. Obwohl das Case Management im KVG nicht explizit geregelt ist, sind die Datenschutzbestimmungen gleich anwendbar. Versicherte, deren Untersuchungen und Behandlungen von einem Case Manager begleitet werden, müssen aufgrund der KVG-Grundsätze (z. B. Wahl des Leistungserbringers oder der Behandlungsmethode) und der einschlägigen Datenschutzbestimmungen für diese Begleitung sowie für den damit verbundenen Einblick in ihre Gesundheitsdaten ihre freiwillige und ausdrückliche Zustimmung geben. Deren gültige Zustimmung setzt voraus, dass sie zuvor von ihrem Krankenversicherer angemessen informiert werden und die Tragweite ihrer Zustimmung erkennen können. Zudem müssen sie vom Leistungserbringer oder vom Krankenversicherer darauf hingewiesen werden, dass der Leistungserbringer in begründeten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fall verpflichtet ist, medizinische Angaben nur dem Vertrauensarzt des Krankenversicherers bekanntzugeben.
Die Krankenversicherer sind befugt, die Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile, zu bearbeiten, die sie benötigen, um die ihnen nach dem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen. Dabei haben sie das Verhältnismässigkeitsprinzip strikte einzuhalten und dürfen mit den Leistungserbringern nicht Vereinbarungen treffen, welche ihnen den Zugang zu Gesundheitsdaten der Versicherten verschaffen, die sie für die Erfüllung der ihnen nach dem Gesetz übertragenen Aufgaben nicht benötigen.
3./4. Die datenschutzrechtliche Situation ist im Bereich Case Management bei den Krankenversicherern unterschiedlich. Die Aufsichtsbehörden werden die betroffenen Krankenversicherer deshalb individuell angehen, um die datenschutzrechtliche Situation zu verbessern.
5. Die vom Datenschutzbeauftragten des Kantons Zürich aufgeworfene Problematik betrifft Verträge zwischen Spitälern und Krankenversicherern auf kantonaler Ebene. Die Prüfung und Genehmigung solcher (Tarif-)Verträge obliegt kantonalen Behörden. Dies gilt auch für die Einhaltung des Datenschutzes. In Sachen Regelungen in den Tarifverträgen ist darauf hinzuweisen, dass kürzlich das Bundesverwaltungsgericht in seinem Entscheid vom 29. Mai 2009 festgehalten hat, “dass die Weitergabe der Diagnose und des Eingriffscodes mit der Eintrittsmeldung respektive mit der Rechnungsstellung – im Rahmen insbesondere des Verhältnismässigkeitsprinzips und der übrigen datenschutzrelevanten Bestimmungen – nur dann zulässig ist, wenn deren genaue Ausgestaltung gemäss dem Prinzip des geringstmöglichen Eingriffs … geregelt wird”.
6. Das Bundesgesetz über den Datenschutz (DSG; SR 235.1) und die Verordnung zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) finden auf die Krankenversicherer als Bundesorgane vollumfänglich Anwendung. Artikel 33 des Bundesgesetzes über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG; SR 830.1) sieht eine generelle Schweigepflicht der Durchführungsorgane von Sozialversicherungen vor. Mit den Artikeln 84 und 84a KVG sowie den Artikeln 59 und 120 der Verordnung über die Krankenversicherung (KVV; SR 832.102) bestehen zusätzliche Spezialbestimmungen zur Bearbeitung von Personendaten, zur Datenbekanntgabe, zur Sicherstellung des Datenschutzes und zur Information der Versicherten durch die Krankenversicherer. Aufgrund dieser Datenschutznormen im Krankenversicherungsbereich bedarf es infolgedessen keiner weiteren Datenschutzbestimmung für das Case Management.