Interpellation Heim (06.3040): Schutz der Rechte von Patienten und Patientinnen
Abgeschrieben (20.03.2008).
Eingereichter Text
Der Bundesrat wird eingeladen, die folgenden Fragen zu beantworten:
1. ob und inwieweit bei einzelnen Krankenversicherern im KVG-Bereich die Datenschutzbestimmungen, insbesondere der Schutz der hochsensiblen medizinischen Daten verletzt und die im KVG-Bereich erhobenen Daten missbräuchlich verwendet werden (z. B. für Privatversicherungsbereich);
2. wie die Aufsichtsbehörde ihre Aufsichts- und Kontrollpflicht in diesem Bereich wahrnimmt und sicherstellt, dass die Rechte und Ansprüche der Versicherten nicht verletzt werden;
3. welche Massnahmen allenfalls notwendig sind oder tatsächlich ergriffen werden, um nachweislich und effektiv die Rechte und Ansprüche der Versicherten zu gewährleisten.
Begründung
Laut Medienberichten (“Beobachter” vom 19. Januar und 2. Februar 2006; “Tagesanzeiger” vom 20. Februar 2006) soll die primär im Bereich der obligatorischen Krankenversicherung (OKP) tätige zweitgrösste Krankenkasse der Schweiz, welche rund 970 000 Personen versichert, eine elektronische Datenbank mit hochsensiblen medizinischen Daten führen und dabei, so die Berichterstattung, die Datenschutzbestimmungen zum Teil grob verletzen. So soll ein grosser Kreis von etwa 400 nichtärztlichen Mitarbeitenden Zugang zu Versichertenakten haben, welche nur die gemäss Artikel 57 KVG vorgesehenen Vertrauensärzte einsehen dürften. Sollte es tatsächlich so sein, dass auch Mitarbeitende des Servicecenters, d. h. der reinen Administration, Zugriff auf solche Daten haben, wäre dies problematisch: einerseits aus datenschutz- und persönlichkeitsrechtlichen Gründen, andererseits stehen die in der OKP erhobenen Daten dieser Krankenkasse offenbar auch für deren Privatversicherungsbereich zur Verfügung (Antragsabteilung, externe Anfragen usw.).
Das an sich für eine gesetzeskonforme Datenverwaltung ausgelegte System dieser Kasse scheint gemäss Bericht vom “Beobachter” von den Kassenverantwortlichen aus betriebswirtschaftlichen Überlegungen bewusst (“übertriebene Datenschutzvorstellungen dürfen nicht zu einem vermeidbaren administrativen Mehraufwand führen”) unterlaufen zu werden. Unbegreiflich ist unter solchen Umständen die Art und Weise, wie das Bundesamt für Gesundheit seine Aufsichts- und Kontrollpflicht wahrnehmen will, indem es sich offenbar damit begnügen möchte, diese Kasse zu einer Stellungnahme aufzufordern.
Es sind Massnahmen zu ergreifen, allenfalls verbindliche Richtlinien zu erlassen, damit die Aufsicht und Kontrolle über die Einhaltung der Rechtsordnung tatsächlich ausgeübt werden kann. Die betroffene Kasse hat unverzüglich sicherzustellen, dass der Zugriff auf hochsensible Daten nach datenschutzrechtlichen Kriterien eingeschränkt, d. h. personell auf eine Maximalzahl von sechs bis sieben Personen und zeitlich auf die Dauer, während derer eine konkrete Frage zum Fall bearbeitet wird, d. h. etwa einen Tag bis zwei Wochen, beschränkt wird.
Erfreulich ist, dass sich gemäss den erwähnten Presseberichten der grosse Teil der Kassen an die Regeln zu halten scheint. Dennoch wirkt sich das Verhalten einer einzelnen Kasse auch auf die im Krankenversicherungsbereich bisher geforderte Konkurrenzsituation unter den Kassen aus, indem sich eine solche Kasse so Marktvorteile verschafft und damit eine Wettbewerbsverzerrung bewirkt. Dies übt Druck auf die anderen Kassen aus, in dieselbe Richtung zu steuern. Dem ist im Interesse der Patientinnen und Patienten, der Rechtsgleichheit und des fairen Wettbewerbs Einhalt zu gebieten.
<
h1>Stellungnahme des Bundesrats
<
h1>
1. Die Krankenversicherer sind in der obligatorischen Krankenpflegeversicherung (OKP) gemäss KVG für die Einhaltung des Datenschutzes selbst verantwortlich. Sie dürfen nur dann Personendaten bearbeiten, wenn sie sich auf eine gesetzliche Grundlage stützen können. Die Versicherer müssen zudem alle rechtlichen und organisatorischen Massnahmen treffen, um die Personendaten zu schützen. Innerbetrieblich fällt die Gewährleistung des Schutzes medizinischer Daten in die Verantwortung der Vertrauensärztinnen und Vertrauensärzte (Art. 57 Abs. 7 KVG).
Im Bereich der Zusatzversicherungen gelten für die Versicherer nicht die strengen datenschutzrechtlichen Auflagen für die Bearbeitung der Personendaten durch Bundesorgane, sondern die übrigen Vorschriften des Bundesgesetzes über den Datenschutz (SR 235.1). Die Zusatzversicherer dürfen demnach Daten über Versicherte bearbeiten, soweit sie nötig sind, um eine sachgerechte Verwaltung durchzuführen.
Bei der Durchführung der OKP und der Zusatzversicherung werden die Daten innerbetrieblich oft nicht vollständig getrennt bearbeitet. Dies kann für den Persönlichkeitsschutz der Versicherten unbefriedigende Folgen haben. Das Gesetz hat jedoch einen Schutz vorgesehen. Die Leistungserbringer sind in begründeten Fällen und auf Verlangen der versicherten Personen in jedem Fall verpflichtet, medizinische Angaben nur den Vertrauensärztinnen und Vertrauensärzten bekannt zu geben. Diese dürfen dann nur diejenigen Daten an die Verwaltung der Versicherer weitergeben, welche notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen oder eine Verfügung zu begründen. Dabei wahren sie die Persönlichkeitsrechte der Versicherten, ansonsten machen sie sich strafbar.
2. Das Bundesamt für Gesundheit (BAG) als zuständige Aufsichtsbehörde kann den Versicherern auch im Bereich des Datenschutzes Weisungen zur einheitlichen Anwendung des Bundesrechtes erteilen (Art. 21 KVG). Bei Missachtung der gesetzlichen Vorschriften ergreift die Aufsichtsbehörde je nach Art und Schwere die geeigneten Massnahmen (verbindliche Weisungen, Ordnungsbussen und als letzte Möglichkeit der Entzug der Anerkennung und der Bewilligung).
Das BAG hat sich bereits verschiedentlich mit den Fragen des Datenschutzes befasst. Im Vordergrund standen vor allem die Beitrittsformulare, in denen gesetzeswidrige Fragen nach dem Gesundheitszustand der interessierten Personen gestellt wurden. Das BAG hat deshalb am 9. März 2005 das Kreisschreiben “Daten- und Persönlichkeitsschutz” erlassen, welches den Daten- und Persönlichkeitsschutz beim Abschluss einer OKP-Versicherung regelt. In die gleiche Richtung geht auch die vom Bundesrat am 26. April 2006 beschlossene Verordnungsänderung (Art. 6a der Verordnung über die Krankenversicherung; SR 832.102), wonach es den Versicherern untersagt wird, auf dem gleichen Formular den Beitritt zur OKP und gleichzeitig den Antrag für freiwillige Versicherungen zu regeln. Diese Trennung soll das Risiko einer widerrechtlichen Datenbearbeitung vermindern.
Das BAG untersucht zurzeit beim in der Interpellation erwähnten Versicherer die in der Öffentlichkeit erhobenen Vorwürfe. Je nach Ergebnis dieser Untersuchung wird das BAG allenfalls aufsichtsrechtliche Massnahmen treffen. Im Übrigen wird das BAG im Rahmen seiner Ressourcen künftig vermehrt die Datensammlungen der Versicherer mit dem Bundesamt für Privatversicherungen prüfen und auch den Eidgenössischen Datenschutzbeauftragten einladen, daran mitzuwirken.
3. Die Vertrauensärztinnen und Vertrauensärzte nehmen eine Schlüsselstellung bei der Verwirklichung des Persönlichkeitsschutzes in der OKP ein. Sie müssen mitunter auch sensible medizinische oder persönliche Daten bekannt geben, wenn die Leistungs- oder Rechtsabteilung eines Krankenversicherers diese benötigt, um einen Entscheid zu fällen. Die Versicherer haben die Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugte Einsichtnahme auch innerbetrieblich zu schützen. Nach der Rechtsprechung des Bundesgerichtes sind daran hohe Massstäbe zu setzen (vgl. BGE 131 II 413). Wirtschaftliche Argumente der Versicherer rechtfertigen die Verletzung der Persönlichkeitsrechte nicht.
Vor diesem Hintergrund erfüllen die dem BAG zur Verfügung stehenden Massnahmen ihren Zweck. Weitere Massnahmen erachtet der Bundesrat nicht für notwendig.