BAG: Neu­es Kreis­schrei­ben 7.1, in Kraft seit dem 1.1.2022: Gegen­stand; stren­ge Zweck­bin­dung; Erleich­te­run­gen bei der Bekannt­ga­be gestützt auf Einwilligung

Das Bun­des­amt für Gesund­heit (BAG) hat das Kreis­schrei­ben 7.1 – Auf­sicht des BAG über daten­schutz­re­le­van­te Berei­che gemäss KVAG, KVAV, KVG und KVV neu auf­ge­legt. Die aktu­el­le Fas­sung des an die Kran­ken­ver­si­che­rer gerich­te­ten KS gilt seit dem 1.1.2022 und ersetzt die alte Fas­sung vom 17.12.2015. Die alte Fas­sung fin­det sich hier, ein Del­ta­view hier.

Stoss­rich­tung

Die neue Fas­sung will nur noch die kran­ken­ver­si­che­rungs­recht­li­chen Daten­schutz­nor­men kon­kre­ti­sie­ren. Ande­re daten­schutz­recht­li­che Anfor­de­run­gen wer­den des­halb nicht mehr the­ma­ti­siert, anders als in der Vor­gän­ger­ver­si­on. Das betrifft z.B. Anfor­de­run­gen an Bear­bei­tungs­re­gle­men­te, aber auch das Out­sour­cing. Das BAG hält aber fest, damit sei kei­ne Locke­rung ver­bun­den. Im Bereich des all­ge­mei­nen Daten­schut­zes erwar­tet das BAG wei­ter­hin geset­zes­kon­for­mes Ver­hal­ten und als Teil der Cor­po­ra­te Gover­nan­ce ein ange­mes­se­nes Com­pli­an­ce-Manage­ment-System und ein wirk­sa­mes IKS, das dazu bei­trägt, Geset­zes­ver­stö­sse im Bereich des Daten­schut­zes zu ver­mei­den oder früh­zei­tig zu erken­nen und ein ange­mes­se­nes Risi­ko­ma­nage­ment sicherstellt.

Dar­auf liegt denn auch der Fokus des BAG. Das Risi­ko­ma­nage­ment müs­se ent­spre­chend min­de­stens die fol­gen­den Risi­ken erfassen:

  • Miss­bräuch­li­cher Umgang mit Personendaten
  • Nicht daten­schutz­kon­for­me IT-Ver­ga­be­rol­len und Zugriffsberechtigungen
  • Nicht qua­li­fi­zier­ter Datenschutzverantwortlicher
  • Nicht geset­zes­kon­for­me Orga­ni­sa­ti­on des ver­trau­ens­ärzt­li­chen Dienstes
  • Feh­len eines Bearbeitungsreglements
  • Feh­len­de oder fal­sche Pro­zes­se der DRG Prüf­stel­le, Ver­lust des Zertifikats
  • Unge­nü­gen­de sicher­heits­tech­ni­sche Vor­ga­ben im Digitalisierungsprozess
  • Unter­las­sen der Ein­hal­tung von gesetz­li­chen Meldepflichten
  • Feh­len­de Über­wa­chung von Out­sour­cing-Part­nern, wel­che (beson­ders schüt­zens­wer­te) Per­so­nen­da­ten bearbeiten.

Das BAG über­prüft hier die Doku­men­ta­ti­on des Risi­ko­ma­nage­ments und des IKS, über­lässt die Beauf­sich­ti­gung der inhalt­li­chen Daten­schutz­kon­for­mi­tät hin­ge­gen dem EDÖB. 

Anpas­sun­gen und Neuerungen

Neben den Strei­chun­gen ent­hält das aktu­el­le KS auch neue und ange­pass­te Abschnit­te. Neu ist der kur­ze Abschnitt zur Auf­sicht des BAG und zur Kom­pe­tenz­ab­gren­zung ggü. dem EDÖB (und zur Koor­di­na­ti­on zwi­schen beiden).

Neu ist auch ein eige­ner Abschnitt zur Daten­be­ar­bei­tung nach Art. 84 KVG und zur Bekannt­ga­be von Per­so­nen­da­ten nach Art. 84a KVG:

Das BAG erin­nert zunächst an die Rol­le des DSG als Rah­men­ge­setz­ge­bung, die gilt, soweit sie von den Son­der­nor­men des Kran­ken­ver­si­che­rungs­rechts nicht über­steu­ert wird. Es betont fer­ner die Bedeu­tung der Grund­sät­ze des Lega­li­täts­prin­zips, der Zweck­bin­dung und der Erkennbarkeit:

… dür­fen Per­so­nen­da­ten zudem nur für die Erfül­lung der Auf­ga­ben genutzt wer­den, die im glei­chen Zweck­rah­men lie­gen, wie die­je­ni­gen Auf­ga­ben, zu deren Erfül­lung sie erho­ben wor­den sind. Der Zweck der Daten­be­ar­bei­tung muss für die betrof­fe­ne Per­son erkenn­bar sein. Auf­grund die­ser Grund­sät­ze for­dert das BAG die Ver­si­che­rer auf, die Grund­sät­ze der Ver­hält­nis­mä­ssig­keit und der Zweck­bin­dung strik­te ein­zu­hal­ten und die Bear­bei­tung von Per­so­nen­da­ten nur im Rah­men einer ihnen vom KVG oder vom KVAG über­tra­ge­nen Auf­ga­be und nicht für ande­re Zwecke vorzunehmen.”

Dar­aus lei­tet das BAG fol­gen­des ab:

So ist bspw. die Bear­bei­tung von Gesund­heits­da­ten und Per­sön­lich­keits­pro­fi­len der Ver­si­cher­ten zur Iden­ti­fi­zie­rung von beson­de­ren Ziel­grup­pen für ein Emp­feh­lungs­schrei­ben für gesund­heits­för­dern­de Mass­nah­men oder für Medi­ka­men­te nicht mit den erwähn­ten recht­li­chen Grund­la­gen ver­ein­bar. Eine geziel­te gesund­heits- oder krank­heits­spe­zi­fi­sche Emp­feh­lung an selek­tio­nier­te Ver­si­cher­te ist nicht durch Art. 84 KVG abge­deckt, weil es sich nicht um eine nach dem KVG oder KVAG über­tra­ge­ne Durch­füh­rungs­auf­ga­be des Ver­si­che­rers handelt.

In der Sache unter­sagt das BAG damit ein Pro­filing im Bereich der OKP, soweit die­ses Emp­feh­lun­gen dient, und zwar bereits unter dem gel­ten­den Recht und damit vor dem Inkraft­tre­ten des revDSG, das für ein Pro­filing durch Bun­des­or­ga­ne eine (aus­drück­li­che) Grund­la­ge in einem for­mel­len Gesetz ver­langt. In die­se Rich­tung – ver­bun­den mit dem Bekannt­ga­be­ver­bot von Art. 84a KVG – geht auch die fol­gen­de anschlie­ssen­de Aus­sa­ge des BAG:

Eben­so wenig mit dem Zweck­bin­dungs­grund­satz ver­ein­bar ist eine Kate­go­ri­sie­rung oder ein Sco­ring der Ver­si­cher­ten anhand einer Aus­wer­tung ihrer indi­vi­du­el­len KVG-Daten (z.B. Prä­mi­en- und Lei­stungs­da­ten), damit die Ver­si­cher­ten auf­grund ihrer Kate­go­ri­sie­rung oder Score-Wer­te gezielt für Mar­ke­ting­mass­nah­men, nament­lich im VVG-Bereich oder für Ange­bo­te von Part­ner­un­ter­neh­men des Ver­si­che­rers, kon­tak­tiert werden.

Auch zum Bekannt­ga­be­ver­bot von Art. 84a KVG (i.V.m. Art. 33 ATSG und i.V.m. Art. 54 Abs. 1 lit. d KVAG) fin­den sich Aus­sa­gen des BAG:

  • Zuläs­sig ist der Daten­aus­tausch mit der koor­di­nie­ren­den Stel­le (tele­me­di­zi­ni­sches Zen­trum, Grund­ver­sor­ger) im Rah­men einer beson­de­ren Ver­si­che­rungs­form (Art. 41 Abs. 4 und Art. 62 KVG; AVM), soweit er für den Voll­zug erfor­der­lich ist und sofern der Ver­si­cher­te vor dem Abschluss des AVM infor­miert wird, wel­che Art von Per­so­nen­da­ten an wel­che Emp­fän­ger zu wel­chem Zweck bekannt­ge­ge­ben werden.
  • Bei einer Bekannt­ga­be nach Art. 84a Abs. 5 lit. b KVG (Ein­wil­li­gung) hält das BAG – im Anschluss an das Helsa­na-Urteil des BVGer, aber kor­ri­gie­rend – fest, dass 
    • eine Ein­wil­li­gung den “Ein­zel­fall” betrifft, wenn sie “im Hin­blick auf einen ein­ma­li­gen Zweck” erfolgt, was auch meh­re­re Bekannt­ga­ben abdecken kann, solan­ge der Gegen­stand der Ein­wil­li­gung “hin­rei­chend kon­kret und klar umschrie­ben” wird, d.h. solan­ge “die Umstän­de, unter denen die Bekannt­ga­be statt­fin­den darf”,für die betrof­fe­ne Per­son “klar fest­ste­hen”. Aus­ge­schlos­sen wäre dage­gen eine “regel­mä­ssi­ge und syste­ma­ti­sche Daten­be­kannt­ga­be in auto­ma­ti­sier­ten Ver­fah­ren (z.B. in Form von Listen)”;
    • dass die “Schrift­lich­keit” der Ein­wil­li­gung nicht eine eigen­hän­di­ge Unter­schrift ver­langt (!), aber “zumin­dest in einer Form erteilt wer­den” muss, “die einen Nach­weis durch Text ermög­licht”. Das ver­langt nur, dass die Ein­wil­li­gungs­er­klä­rung beim Emp­fän­ger “in visu­ell wahr­nehm­ba­rer, phy­sisch repro­du­zier­ba­rer Form ein­trifft”. Das kann auch “im Rah­men von Online- Anmel­de- oder ‑Bestell­pro­zes­sen” umge­setzt wer­den. Man wird hier ver­lan­gen, dass nicht nur die Tat­sa­che der Ein­wil­li­gung (z.B. des Anwäh­len einer Check­box oder eines But­tons) phy­sisch repro­du­zier­bar ist, son­dern auch die Iden­ti­tät des Ein­wil­li­gen­den und Datum und Zeit der Einwilligung.

Anpas­sun­gen fin­den sich ferner

  • im Abschnitt zum ver­trau­ens­ärzt­li­chen Dienst (VAD). Neu­es fin­det sich hier kaum, aber das BAG ver­sucht erkenn­bar, die Ein­hal­tung der Anfor­de­run­gen mit einem gewis­sen Nach­druck in Erin­ne­rung zu rufen;
  • im Abschnitt zur Sub­stan­ti­ie­rung bei der Rech­nungs­stel­lung;
  • im Abschnitt zu Fra­ge­bo­gen zum Gesund­heits­zu­stand.

Strei­chun­gen

Ent­spre­chend ent­hält die neue Fas­sung Strei­chun­gen von Aus­füh­run­gen, die das BAG dem all­ge­mei­nen und nicht dem kran­ken­ver­si­che­rungs­recht­li­chen Daten­schutz zuord­net. Das betrifft etwa:

  • die Aus­füh­run­gen zu den Bear­bei­tungs­re­gle­men­ten (Art. 21 VDSG; im neu­en Recht Art. 12 revDSG – Bear­bei­tungs­ver­zeich­nis­se und Art. 5 E‑VDSG, Bear­bei­tungs­re­gle­men­te von Bundesorganen);
  • den Abschnitt zum Ver­zicht auf die Anmel­dung der Daten­samm­lun­gen und zur Mel­dung einer für den Daten­schutz ver­ant­wort­li­chen Per­son (Art. 11a Abs. 5 DSG und Art. 12a VDSG; im neu­en Recht ent­fällt die Anmel­dung von Daten­samm­lun­gen, doch müs­sen Bun­des­or­ga­ne nach Art. 12 revDSG die Bear­bei­tungs­ver­zeich­nis­se und nach der E‑VDSG auf Anfra­ge auch ihre Bear­bei­tungs­re­gle­men­te dem EDÖB zur Ver­fü­gung stel­len, und Art. 27 ff. E‑VDSG ver­lan­gen die Bestel­lung eines Daten­schutz-Bera­ters durch Bun­des­or­ga­ne, der eben­falls dem EDÖB zu mel­den ist);
  • den Abschnitt zum Out­sour­cing (Art. 6 KVAG; 84 Abs. 1 KVG; Art. 10a DSG [soweit das Out­sour­cing an einem Auf­trags­be­ar­bei­ter erfolgt, was nicht zwin­gend ist, es kann auch an eine Hilfs­per­son erfol­gen, die ein Ver­ant­wort­li­chen ist]; nach neu­em Recht für Auf­trags­be­ar­bei­ter Art. 9 und Art. 61 lit. b revDSG und Art. 6 f. E‑VDSG).