Das Bundesamt für Gesundheit (BAG) hat das Kreisschreiben 7.1 – Aufsicht des BAG über datenschutzrelevante Bereiche gemäss KVAG, KVAV, KVG und KVV neu aufgelegt. Die aktuelle Fassung des an die Krankenversicherer gerichteten KS gilt seit dem 1.1.2022 und ersetzt die alte Fassung vom 17.12.2015. Die alte Fassung findet sich hier, ein Deltaview hier.
Stossrichtung
Die neue Fassung will nur noch die krankenversicherungsrechtlichen Datenschutznormen konkretisieren. Andere datenschutzrechtliche Anforderungen werden deshalb nicht mehr thematisiert, anders als in der Vorgängerversion. Das betrifft z.B. Anforderungen an Bearbeitungsreglemente, aber auch das Outsourcing. Das BAG hält aber fest, damit sei keine Lockerung verbunden. Im Bereich des allgemeinen Datenschutzes erwartet das BAG weiterhin gesetzeskonformes Verhalten und als Teil der Corporate Governance ein angemessenes Compliance-Management-System und ein wirksames IKS, das dazu beiträgt, Gesetzesverstösse im Bereich des Datenschutzes zu vermeiden oder frühzeitig zu erkennen und ein angemessenes Risikomanagement sicherstellt.
Darauf liegt denn auch der Fokus des BAG. Das Risikomanagement müsse entsprechend mindestens die folgenden Risiken erfassen:
- Missbräuchlicher Umgang mit Personendaten
- Nicht datenschutzkonforme IT-Vergaberollen und Zugriffsberechtigungen
- Nicht qualifizierter Datenschutzverantwortlicher
- Nicht gesetzeskonforme Organisation des vertrauensärztlichen Dienstes
- Fehlen eines Bearbeitungsreglements
- Fehlende oder falsche Prozesse der DRG Prüfstelle, Verlust des Zertifikats
- Ungenügende sicherheitstechnische Vorgaben im Digitalisierungsprozess
- Unterlassen der Einhaltung von gesetzlichen Meldepflichten
- Fehlende Überwachung von Outsourcing-Partnern, welche (besonders schützenswerte) Personendaten bearbeiten.
Das BAG überprüft hier die Dokumentation des Risikomanagements und des IKS, überlässt die Beaufsichtigung der inhaltlichen Datenschutzkonformität hingegen dem EDÖB.
Anpassungen und Neuerungen
Neben den Streichungen enthält das aktuelle KS auch neue und angepasste Abschnitte. Neu ist der kurze Abschnitt zur Aufsicht des BAG und zur Kompetenzabgrenzung ggü. dem EDÖB (und zur Koordination zwischen beiden).
Neu ist auch ein eigener Abschnitt zur Datenbearbeitung nach Art. 84 KVG und zur Bekanntgabe von Personendaten nach Art. 84a KVG:
Das BAG erinnert zunächst an die Rolle des DSG als Rahmengesetzgebung, die gilt, soweit sie von den Sondernormen des Krankenversicherungsrechts nicht übersteuert wird. Es betont ferner die Bedeutung der Grundsätze des Legalitätsprinzips, der Zweckbindung und der Erkennbarkeit:
“… dürfen Personendaten zudem nur für die Erfüllung der Aufgaben genutzt werden, die im gleichen Zweckrahmen liegen, wie diejenigen Aufgaben, zu deren Erfüllung sie erhoben worden sind. Der Zweck der Datenbearbeitung muss für die betroffene Person erkennbar sein. Aufgrund dieser Grundsätze fordert das BAG die Versicherer auf, die Grundsätze der Verhältnismässigkeit und der Zweckbindung strikte einzuhalten und die Bearbeitung von Personendaten nur im Rahmen einer ihnen vom KVG oder vom KVAG übertragenen Aufgabe und nicht für andere Zwecke vorzunehmen.”
Daraus leitet das BAG folgendes ab:
So ist bspw. die Bearbeitung von Gesundheitsdaten und Persönlichkeitsprofilen der Versicherten zur Identifizierung von besonderen Zielgruppen für ein Empfehlungsschreiben für gesundheitsfördernde Massnahmen oder für Medikamente nicht mit den erwähnten rechtlichen Grundlagen vereinbar. Eine gezielte gesundheits- oder krankheitsspezifische Empfehlung an selektionierte Versicherte ist nicht durch Art. 84 KVG abgedeckt, weil es sich nicht um eine nach dem KVG oder KVAG übertragene Durchführungsaufgabe des Versicherers handelt.
In der Sache untersagt das BAG damit ein Profiling im Bereich der OKP, soweit dieses Empfehlungen dient, und zwar bereits unter dem geltenden Recht und damit vor dem Inkrafttreten des revDSG, das für ein Profiling durch Bundesorgane eine (ausdrückliche) Grundlage in einem formellen Gesetz verlangt. In diese Richtung – verbunden mit dem Bekanntgabeverbot von Art. 84a KVG – geht auch die folgende anschliessende Aussage des BAG:
Ebenso wenig mit dem Zweckbindungsgrundsatz vereinbar ist eine Kategorisierung oder ein Scoring der Versicherten anhand einer Auswertung ihrer individuellen KVG-Daten (z.B. Prämien- und Leistungsdaten), damit die Versicherten aufgrund ihrer Kategorisierung oder Score-Werte gezielt für Marketingmassnahmen, namentlich im VVG-Bereich oder für Angebote von Partnerunternehmen des Versicherers, kontaktiert werden.
Auch zum Bekanntgabeverbot von Art. 84a KVG (i.V.m. Art. 33 ATSG und i.V.m. Art. 54 Abs. 1 lit. d KVAG) finden sich Aussagen des BAG:
- Zulässig ist der Datenaustausch mit der koordinierenden Stelle (telemedizinisches Zentrum, Grundversorger) im Rahmen einer besonderen Versicherungsform (Art. 41 Abs. 4 und Art. 62 KVG; AVM), soweit er für den Vollzug erforderlich ist und sofern der Versicherte vor dem Abschluss des AVM informiert wird, welche Art von Personendaten an welche Empfänger zu welchem Zweck bekanntgegeben werden.
- Bei einer Bekanntgabe nach Art. 84a Abs. 5 lit. b KVG (Einwilligung) hält das BAG – im Anschluss an das Helsana-Urteil des BVGer, aber korrigierend – fest, dass
- eine Einwilligung den “Einzelfall” betrifft, wenn sie “im Hinblick auf einen einmaligen Zweck” erfolgt, was auch mehrere Bekanntgaben abdecken kann, solange der Gegenstand der Einwilligung “hinreichend konkret und klar umschrieben” wird, d.h. solange “die Umstände, unter denen die Bekanntgabe stattfinden darf”,für die betroffene Person “klar feststehen”. Ausgeschlossen wäre dagegen eine “regelmässige und systematische Datenbekanntgabe in automatisierten Verfahren (z.B. in Form von Listen)”;
- dass die “Schriftlichkeit” der Einwilligung nicht eine eigenhändige Unterschrift verlangt (!), aber “zumindest in einer Form erteilt werden” muss, “die einen Nachweis durch Text ermöglicht”. Das verlangt nur, dass die Einwilligungserklärung beim Empfänger “in visuell wahrnehmbarer, physisch reproduzierbarer Form eintrifft”. Das kann auch “im Rahmen von Online- Anmelde- oder ‑Bestellprozessen” umgesetzt werden. Man wird hier verlangen, dass nicht nur die Tatsache der Einwilligung (z.B. des Anwählen einer Checkbox oder eines Buttons) physisch reproduzierbar ist, sondern auch die Identität des Einwilligenden und Datum und Zeit der Einwilligung.
Anpassungen finden sich ferner
- im Abschnitt zum vertrauensärztlichen Dienst (VAD). Neues findet sich hier kaum, aber das BAG versucht erkennbar, die Einhaltung der Anforderungen mit einem gewissen Nachdruck in Erinnerung zu rufen;
- im Abschnitt zur Substantiierung bei der Rechnungsstellung;
- im Abschnitt zu Fragebogen zum Gesundheitszustand.
Streichungen
Entsprechend enthält die neue Fassung Streichungen von Ausführungen, die das BAG dem allgemeinen und nicht dem krankenversicherungsrechtlichen Datenschutz zuordnet. Das betrifft etwa:
- die Ausführungen zu den Bearbeitungsreglementen (Art. 21 VDSG; im neuen Recht Art. 12 revDSG – Bearbeitungsverzeichnisse und Art. 5 E‑VDSG, Bearbeitungsreglemente von Bundesorganen);
- den Abschnitt zum Verzicht auf die Anmeldung der Datensammlungen und zur Meldung einer für den Datenschutz verantwortlichen Person (Art. 11a Abs. 5 DSG und Art. 12a VDSG; im neuen Recht entfällt die Anmeldung von Datensammlungen, doch müssen Bundesorgane nach Art. 12 revDSG die Bearbeitungsverzeichnisse und nach der E‑VDSG auf Anfrage auch ihre Bearbeitungsreglemente dem EDÖB zur Verfügung stellen, und Art. 27 ff. E‑VDSG verlangen die Bestellung eines Datenschutz-Beraters durch Bundesorgane, der ebenfalls dem EDÖB zu melden ist);
- den Abschnitt zum Outsourcing (Art. 6 KVAG; 84 Abs. 1 KVG; Art. 10a DSG [soweit das Outsourcing an einem Auftragsbearbeiter erfolgt, was nicht zwingend ist, es kann auch an eine Hilfsperson erfolgen, die ein Verantwortlichen ist]; nach neuem Recht für Auftragsbearbeiter Art. 9 und Art. 61 lit. b revDSG und Art. 6 f. E‑VDSG).