Inter­pel­la­ti­on Ben­da­han (19.4577): Wie wird das Risi­ko der Daten­über­mitt­lung inner­halb eines Ver­si­che­rers über­wacht?

Inter­pel­la­ti­on Ben­da­han (19.4577): Wie wird das Risi­ko der Daten­über­mitt­lung inner­halb eines Ver­si­che­rers über­wacht?

Ein­ge­reich­ter Text

Ver­si­che­rern ste­hen immer mehr Mit­tel zur Ver­fü­gung, um Daten über ihre Kun­din­nen und Kun­den zu sam­meln. Tech­no­lo­gi­sche Ent­wick­lun­gen (wie die Smart Watch) ermög­li­chen es heu­te bei­spiels­wei­se den Ver­si­cher­ten, Gesund­heits­da­ten zu über­tra­gen und so eine klei­ne Reduk­ti­on der Ver­si­che­rungs­prä­mie zu erwir­ken. Die Prä­mi­en kön­nen auch beein­flusst wer­den, indem das eige­ne Ver­hal­ten (bei­spiels­wei­se das Fahr­ver­hal­ten) auf­ge­zeich­net und über­mit­telt wird. Eini­ge Ver­si­che­run­gen sen­den ihren Ver­si­cher­ten zudem Fra­ge­bö­gen zur Gesund­heit zu. Dabei besteht das Risi­ko, dass die gesam­mel­ten Daten inner­halb des Unter­neh­mens an eine ande­re Ver­si­che­rung, oder gar an Drit­te, wei­ter­ge­ge­ben wird, obwohl das Unter­neh­men ange­ge­ben hat, die Infor­ma­tio­nen nicht wei­ter­zu­lei­ten.

1. Wel­che Mass­nah­men gibt es der­zeit, um die inter­ne und exter­ne Über­mitt­lung der Daten durch die Ver­si­che­rer zu steu­ern?

2. Kann der Bun­des­rat gewähr­lei­sten, dass es zwi­schen der Grund- und der Zusatz­ver­si­che­rung kei­nen Infor­ma­ti­ons­trans­fer gibt, wenn die ver­si­cher­te Per­son bei­de Ver­si­che­run­gen beim glei­chen Unter­neh­men abge­schlos­sen hat?

3. Kann der Bun­des­rat gewähr­lei­sten, dass die im Rah­men einer Ver­si­che­rung erho­be­nen Daten nicht für die Ent­schei­dung zum Abschluss einer ande­ren Ver­si­che­rung ver­wen­det wer­den?

4. Hält es der Bun­des­rat für mit dem Gesetz ver­ein­bar, dass die Kran­ken­ver­si­che­rer die im Rah­men der Grund- oder der Zusatz­ver­si­che­rung erho­be­nen Daten als Ent­schei­dungs­grund­la­ge für die ande­re Ver­si­che­rung ver­wen­den, da ja die eine kei­nen Gewinn erzie­len darf und die ande­re schon?

Stel­lung­nah­me des Bun­des­rats vom 19.2.2020

1. Das Bun­des­amt für Gesund­heit (BAG) prüft in sei­nen regel­mä­ssi­gen Audits bei den Ver­si­che­rern, ob sen­si­ble Per­so­nen­da­ten (Dia­gno­sen, detail­lier­te medi­zi­ni­sche Berich­te) im Pati­en­ten­dos­sier gespei­chert sind und wie der Zugang zu die­sen Daten gere­gelt ist. Zudem wird über­prüft, dass die Ver­trau­ens­ärz­tin­nen und Ver­trau­ens­ärz­te den zustän­di­gen Stel­len der Ver­si­che­rer nur die­je­ni­gen Anga­ben wei­ter­ge­ben, die not­wen­dig sind, um über die Lei­stungs­pflicht zu ent­schei­den, ins­be­son­de­re gemäss Arti­kel 57 Absatz 7 des Bun­des­ge­set­zes über die Kran­ken­ver­si­che­rung (KVG; SR 832.10).

2. Die Über­mitt­lung von Daten zwi­schen Grund­ver­si­che­rung und Zusatz­ver­si­che­rung ist nur mit der Zustim­mung der ver­si­cher­ten Per­son zuläs­sig. Zudem hat das Bun­des­ver­wal­tungs­ge­richt in sei­nem Urteil vom 19. März 2019 (A‑3548/2018) betref­fend die Recht­mä­ssig­keit eines Daten­aus­tau­sches zwi­schen Zusatz­ver­si­che­rung und Grund­ver­si­che­rung im Rah­men einer Smart­pho­ne-App ent­schie­den, dass die Erhe­bung von Per­so­nen­da­ten durch den Zusatz­ver­si­che­rer beim KVG-Ver­si­che­rer nicht recht­mä­ssig ist, da die ver­si­cher­te Per­son nicht rechts­gül­tig ein­ge­wil­ligt hat­te. Der Zusatz­ver­si­che­rer ist als Drit­ter im Sin­ne von Arti­kel 84a Absatz 5 Buch­sta­be b KVG zu betrach­ten.

Da zwi­schen Grund­ver­si­che­rung und Zusatz­ver­si­che­rung kei­ne strik­te Tren­nung besteht, kann der Bun­des­rat nicht aus­schlie­ssen, dass ein Daten­aus­tausch zwi­schen Ver­si­che­rern ohne Zustim­mung der Ver­si­cher­ten statt­fin­det, wenn die bei­den Ver­si­che­rungs­zwei­ge inner­halb des­sel­ben Rechts­trä­gers oder der­sel­ben Ver­si­che­rungs­grup­pe betrie­ben wer­den. Aus die­sem Grund hält es der Bun­des­rat ange­sichts der hohen Sen­si­bi­li­tät der Gesund­heits­da­ten für uner­läss­lich, dass die ver­si­cher­te Per­son in jedem Ein­zel­fall ihre aus­drück­li­che schrift­li­che Zustim­mung zur Bear­bei­tung ihrer per­sön­li­chen Daten geben muss.

Der Bun­des­rat hat sich in sei­ner Ant­wort vom 27. Novem­ber 2019 bereits zu die­sem The­ma geäu­ssert und die Ableh­nung der Moti­on 19.3960 “Gesetz­li­che Grund­la­ge für die Bekannt­ga­be von Daten an die pri­va­ten Kran­ken­ver­si­che­rungs­ein­rich­tun­gen” der Staats­po­li­ti­schen Kom­mis­si­on des Natio­nal­rats bean­tragt. Zudem hat der Bun­des­rat in Erfül­lung des Postu­lats Heim (08.3493) einen Bericht “Schutz der Pati­en­ten­da­ten und Schutz der Ver­si­cher­ten” vom 18. Dezem­ber 2013 erstellt. Die­se Bestan­des­auf­nah­me ermög­lich­te es ihm, ein­ge­hend zu unter­su­chen, wie die Ver­si­che­rer den Schutz der Pati­en­ten­da­ten gewähr­lei­sten. Der Bun­des­rat misst die­sem The­ma gro­sse Bedeu­tung bei und hat sich des­halb ver­pflich­tet, einen neu­en Bericht zu erstel­len, der der­zeit aus­ge­ar­bei­tet wird.

3. und 4. Für den Bun­des­rat ist es wich­tig, dass die Über­mitt­lung von Daten zwi­schen der Grund­ver­si­che­rung und der Zusatz­ver­si­che­rung ver­mie­den wird, die natur­ge­mäss unter­schied­lich sind.

Arti­kel 84 KVG sieht vor, dass die Ver­si­che­rer Per­so­nen­da­ten nur für die Erfül­lung der ihnen nach KVG über­tra­ge­nen Auf­ga­ben bear­bei­ten dür­fen. Zudem muss die Bear­bei­tung auch dem Grund­satz der Ver­hält­nis­mä­ssig­keit ent­spre­chen: Es dür­fen nur Per­so­nen­da­ten ver­ar­bei­tet wer­den, die zur Errei­chung des Zwecks, für den sie erho­ben wur­den, tat­säch­lich not­wen­dig sind (Art. 4 Abs. 2 des Bun­des­ge­set­zes über den Daten­schutz [DSG; SR 235.1]). Die Erhe­bung und Ver­ar­bei­tung von Daten über die­sen Zweck hin­aus wäre nicht geset­zes­kon­form.

Ohne eine strik­te Tren­nung zwi­schen Grund­ver­si­che­rung und Zusatz­ver­si­che­rung kann der Bun­des­rat jedoch auf­grund der oben erwähn­ten Rechts­grund­la­gen nicht garan­tie­ren, dass die im Rah­men der Grund­ver­si­che­rung erho­be­nen Daten vom Zusatz­ver­si­che­rer nicht dazu ver­wen­det wer­den, einen Ver­trags­ab­schluss zu ver­wei­gern.