Inter­pel­la­ti­on Pre­li­cz-Huber (09.3515): Fall­ma­nage­ment. Rechts­wid­ri­ge Ein­grif­fe in das Pati­en­ten­ge­heim­nis und Ver­let­zung des Datenschutzes

Inter­pel­la­ti­on Pre­li­cz-Huber (09.3515): Fall­ma­nage­ment. Rechts­wid­ri­ge Ein­grif­fe in das Pati­en­ten­ge­heim­nis und Ver­let­zung des Datenschutzes
Erle­digt (25.09.2009)

Ein­ge­reich­ter Text

Der Daten­schutz­be­auf­trag­te des Kan­tons Zürich hat in sei­nem 14. Tätig­keits­be­richt vom 3. März 2009 unmiss­ver­ständ­lich dar­auf hin­ge­wie­sen, dass soge­nann­te Fall­ma­na­ge­rin­nen und ‑mana­ger (Case Mana­ge­rin­nen und Mana­ger) von Kran­ken­ver­si­che­rern umfas­send auf Gesund­heits­da­ten in Spi­tä­lern zugrei­fen kön­nen und dadurch teil­wei­se mas­siv den Daten­schutz und das Pati­en­tin­nen- und Pati­en­ten­ge­heim­nis ver­let­zen. Die bestehen­den Ver­ein­ba­run­gen zwi­schen den Ver­si­che­rern und den Spi­tä­lern regeln ledig­lich die Koor­di­na­ti­ons­tä­tig­keit der Fall­ma­na­ger und ent­hal­ten unzu­rei­chen­de Bestim­mun­gen hin­sicht­lich Wah­rung von Arzt- und Pati­en­ten­ge­heim­nis oder Hin­wei­se auf eine Infor­ma­ti­ons­pflicht sei­tens der Ver­si­che­rer. Eine gesetz­li­che Rege­lung im Kran­ken­ver­si­che­rungs­ge­setz fehlt.

Die Kran­ken­ver­si­che­rer ver­schaf­fen sich sen­si­ble Gesund­heits­da­ten auch ohne Ein­wil­li­gung von Pati­en­ten und ver­fü­gen z. B. bereits vor die­sen über Infor­ma­tio­nen wie Dia­gno­se, The­ra­pie­mass­nah­men oder vor­aus­sicht­li­che Spi­tal­auf­ent­halts­dau­er. Selbst wenn eine Ein­wil­li­gungs­er­klä­rung ein­ge­holt wird, fehlt es offen­bar an der not­wen­di­gen Auf­klä­rung der Pati­en­ten. Die­ser unhalt­ba­re Sach­ver­halt geht so weit, dass Spi­tä­ler von den Ver­si­che­run­gen sogar auf­ge­for­dert wer­den, Per­so­nen, wel­che die Erklä­rung nicht unter­zeich­nen, dem Ver­si­che­rer zu mel­den. Die­ser Zustand darf nicht wei­ter hin­ge­nom­men werden.

Es erge­ben sich hier­zu ver­schie­de­ne Fra­gen an den Bundesrat:

1. Obwohl die eid­ge­nös­si­sche Auf­sichts­be­hör­de bereits 2007 von meh­re­ren Sei­ten über das rechts­wid­ri­ge Vor­ge­hen der Ver­si­che­rer infor­miert wur­de, ist dies­be­züg­lich nichts unter­nom­men wor­den. War­um nicht?

2. Wie beur­teilt er die Hand­ha­bung des Arzt- und Pati­en­ten­ge­heim­nis­ses, wenn Fall­ma­na­ger oft viel mehr als das Not­wen­di­ge erfah­ren, durch ihre Betei­li­gung an Rap­por­ten oder Behandlungsplanungen?

3. Wie sieht er das wei­te­re Vor­ge­hen in die­sem das Daten­schutz­ge­setz ver­let­zen­den Vor­ge­hen der Krankenversicherungen?

4. Wel­che Mass­nah­men wer­den getrof­fen, um den Schutz der Pati­en­ten zu garan­tie­ren und die Daten­schutz­kon­for­mi­tät nach­hal­tig zu gewährleisten?

5. Beab­sich­tigt er, bei bereits bestehen­den Ver­trä­gen den Daten­schutz ernst zu neh­men und die­se auf ihre Recht­mä­ssig­keit, auf die Respek­tie­rung der Infor­ma­ti­ons­pflicht und des Daten­schut­zes hin zu überprüfen?

6. Zieht er eine Geset­zes­än­de­rung in Betracht? Wenn ja, mit wel­cher Stossrichtung?

<

h1>Stellungnahme des Bundesrats

<

h1>

1. Der Bun­des­rat hat bereits anläss­lich zwei­er frü­he­rer par­la­men­ta­ri­scher Vor­stö­sse (Postu­lat Heim 08.3493, Fra­ge Schen­ker Sil­via 09.5060) fest­ge­hal­ten, dass es einen Hand­lungs­be­darf bezüg­lich der Daten­schutz­si­tua­ti­on im Bereich der obli­ga­to­ri­schen Kran­ken­pfle­ge­ver­si­che­rung (OKP) gibt. Eine soeben ver­öf­fent­lich­te Unter­su­chung des Eid­ge­nös­si­schen Daten­schutz- und Öffent­lich­keits­be­auf­trag­ten (Edöb) und des Bun­des­am­tes für Gesund­heit (BAG) legt nun dif­fe­ren­zier­ter dar, dass der Daten­schutz bei den Kran­ken­ver­si­che­rern, wel­che die obli­ga­to­ri­sche Kran­ken­pfle­ge­ver­si­che­rung und die frei­wil­li­ge Tag­geld­ver­si­che­rung nach dem Bun­des­ge­setz über die Kran­ken­ver­si­che­rung (KVG; SR 832.10) durch­füh­ren, weit­ge­hend gewähr­lei­stet ist, in eini­gen Berei­chen jedoch Hand­lungs­be­darf besteht. Mit der Ver­öf­fent­li­chung des Berichts sind fol­gen­de Emp­feh­lun­gen an die Kran­ken­ver­si­che­rer ergan­gen, deren Umset­zung im Rah­men der Auf­sicht über die Kran­ken­ver­si­che­rer in den näch­sten Mona­ten über­prüft wer­den soll:

Jeder Kran­ken­ver­si­che­rer soll­te ein Daten­schutz­kon­zept (Stra­te­gie) erar­bei­ten. Es muss bei jedem Kran­ken­ver­si­che­rer ein Ver­zeich­nis der Daten­samm­lun­gen unter­hal­ten wer­den. Für jede Daten­samm­lung mit beson­ders schüt­zens­wer­ten Per­so­nen­da­ten wird ein Bear­bei­tungs­re­gle­ment unter­hal­ten (Beschrei­bung der Pro­zes­se inkl. Ver­ant­wort­lich­kei­ten, Berech­ti­gun­gen, Daten­fluss sowie der tech­ni­schen Mass­nah­men zur Daten­si­cher­heit). Es soll­te bei jedem Kran­ken­ver­si­che­rer ein Ver­ant­wort­li­cher für den Daten­schutz und für jede Daten­samm­lung ein Inha­ber bezeich­net wer­den. Die Auf­ga­ben die­ser Rol­len wer­den in einem Pflich­ten­heft beschrie­ben. Daten­schutz­ver­ant­wort­li­che müs­sen über die erfor­der­li­chen Fach­kennt­nis­se ver­fü­gen. Es sol­len regel­mä­ssig ver­wal­tungs­ex­ter­ne Daten­schutz­au­dits durch­ge­führt und die Resul­ta­te den Auf­sichts­be­hör­den unter­brei­tet werden.

2. Obwohl das Case Manage­ment im KVG nicht expli­zit gere­gelt ist, sind die Daten­schutz­be­stim­mun­gen gleich anwend­bar. Ver­si­cher­te, deren Unter­su­chun­gen und Behand­lun­gen von einem Case Mana­ger beglei­tet wer­den, müs­sen auf­grund der KVG-Grund­sät­ze (z. B. Wahl des Lei­stungs­er­brin­gers oder der Behand­lungs­me­tho­de) und der ein­schlä­gi­gen Daten­schutz­be­stim­mun­gen für die­se Beglei­tung sowie für den damit ver­bun­de­nen Ein­blick in ihre Gesund­heits­da­ten ihre frei­wil­li­ge und aus­drück­li­che Zustim­mung geben. Deren gül­ti­ge Zustim­mung setzt vor­aus, dass sie zuvor von ihrem Kran­ken­ver­si­che­rer ange­mes­sen infor­miert wer­den und die Trag­wei­te ihrer Zustim­mung erken­nen kön­nen. Zudem müs­sen sie vom Lei­stungs­er­brin­ger oder vom Kran­ken­ver­si­che­rer dar­auf hin­ge­wie­sen wer­den, dass der Lei­stungs­er­brin­ger in begrün­de­ten Fäl­len berech­tigt und auf Ver­lan­gen der ver­si­cher­ten Per­son in jedem Fall ver­pflich­tet ist, medi­zi­ni­sche Anga­ben nur dem Ver­trau­ens­arzt des Kran­ken­ver­si­che­rers bekanntzugeben.

Die Kran­ken­ver­si­che­rer sind befugt, die Per­so­nen­da­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Daten und Per­sön­lich­keits­pro­fi­le, zu bear­bei­ten, die sie benö­ti­gen, um die ihnen nach dem Gesetz über­tra­ge­nen Auf­ga­ben zu erfül­len, nament­lich um Lei­stungs­an­sprü­che zu beur­tei­len sowie Lei­stun­gen zu berech­nen. Dabei haben sie das Ver­hält­nis­mä­ssig­keits­prin­zip strik­te ein­zu­hal­ten und dür­fen mit den Lei­stungs­er­brin­gern nicht Ver­ein­ba­run­gen tref­fen, wel­che ihnen den Zugang zu Gesund­heits­da­ten der Ver­si­cher­ten ver­schaf­fen, die sie für die Erfül­lung der ihnen nach dem Gesetz über­tra­ge­nen Auf­ga­ben nicht benötigen.

3./4. Die daten­schutz­recht­li­che Situa­ti­on ist im Bereich Case Manage­ment bei den Kran­ken­ver­si­che­rern unter­schied­lich. Die Auf­sichts­be­hör­den wer­den die betrof­fe­nen Kran­ken­ver­si­che­rer des­halb indi­vi­du­ell ange­hen, um die daten­schutz­recht­li­che Situa­ti­on zu verbessern.

5. Die vom Daten­schutz­be­auf­trag­ten des Kan­tons Zürich auf­ge­wor­fe­ne Pro­ble­ma­tik betrifft Ver­trä­ge zwi­schen Spi­tä­lern und Kran­ken­ver­si­che­rern auf kan­to­na­ler Ebe­ne. Die Prü­fung und Geneh­mi­gung sol­cher (Tarif-)Verträge obliegt kan­to­na­len Behör­den. Dies gilt auch für die Ein­hal­tung des Daten­schut­zes. In Sachen Rege­lun­gen in den Tarif­ver­trä­gen ist dar­auf hin­zu­wei­sen, dass kürz­lich das Bun­des­ver­wal­tungs­ge­richt in sei­nem Ent­scheid vom 29. Mai 2009 fest­ge­hal­ten hat, “dass die Wei­ter­ga­be der Dia­gno­se und des Ein­griffs­codes mit der Ein­tritts­mel­dung respek­ti­ve mit der Rech­nungs­stel­lung – im Rah­men ins­be­son­de­re des Ver­hält­nis­mä­ssig­keits­prin­zips und der übri­gen daten­schutz­re­le­van­ten Bestim­mun­gen – nur dann zuläs­sig ist, wenn deren genaue Aus­ge­stal­tung gemäss dem Prin­zip des geringst­mög­li­chen Ein­griffs … gere­gelt wird”.

6. Das Bun­des­ge­setz über den Daten­schutz (DSG; SR 235.1) und die Ver­ord­nung zum Bun­des­ge­setz über den Daten­schutz (VDSG; SR 235.11) fin­den auf die Kran­ken­ver­si­che­rer als Bun­des­or­ga­ne voll­um­fäng­lich Anwen­dung. Arti­kel 33 des Bun­des­ge­set­zes über den All­ge­mei­nen Teil des Sozi­al­ver­si­che­rungs­rechts (ATSG; SR 830.1) sieht eine gene­rel­le Schwei­ge­pflicht der Durch­füh­rungs­or­ga­ne von Sozi­al­ver­si­che­run­gen vor. Mit den Arti­keln 84 und 84a KVG sowie den Arti­keln 59 und 120 der Ver­ord­nung über die Kran­ken­ver­si­che­rung (KVV; SR 832.102) bestehen zusätz­li­che Spe­zi­al­be­stim­mun­gen zur Bear­bei­tung von Per­so­nen­da­ten, zur Daten­be­kannt­ga­be, zur Sicher­stel­lung des Daten­schut­zes und zur Infor­ma­ti­on der Ver­si­cher­ten durch die Kran­ken­ver­si­che­rer. Auf­grund die­ser Daten­schutz­nor­men im Kran­ken­ver­si­che­rungs­be­reich bedarf es infol­ge­des­sen kei­ner wei­te­ren Daten­schutz­be­stim­mung für das Case Management.