Krankenkassen sind ein wesentlicher Bestandteil unseres Gesundheitssystems und tragen mit ihren Leistungen zur sozialen Sicherung bei. Damit diese Aufgaben erfüllt werden können, benötigen Krankenkassen viele, und vor allem auch sensible Daten.
Um den datenschutzrechtlichen Ansprüchen gerecht werden zu können, gibt es im deutschen Recht eine Besonderheit: das sogenannte Sozialgeheimnis (§ 35 SGB I).
Das Sozialgeheimnis ist ein besonderes Amtsgeheimnis, etwa wie die ärztliche Schweigepflicht oder das Steuergeheimnis, das dafür sorgen soll, dass Sozialdaten von Betroffenen nicht unbefugt durch den Leistungsträger verarbeitet werden dürfen. So werden soziale Leistungsträger wie z.B. Krankenkassen, Jugend- und Sozialämter oder etwa Renten- und Unfallversicherungen, zur Einhaltung verpflichtet. Man spricht hier auch von dem Sozialdatenschutz.
Einfache Datenerhebung, strenge Regulierung
Eine solche Regelung ist wichtig, denn mit dem Ausbau der digitalen Infrastruktur im Gesundheitswesen, wie etwa der elektronischen Patientenakte, ist auch die Erhebung und Übermittlung von Daten einfacher und umfangreicher geworden. Und Krankenkassen haben schließlich durchaus Interesse an der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von personenbezogenen Daten ihrer Kunden. Ohne die VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von personenbezogenen Daten durch die Krankenkassen wäre eine Erbringung ihrer Leistungen gar nicht möglich. Gerade deswegen ist aber auch eine datenschutzrechtliche Regulierung notwendig.
Welche Daten verarbeitetet werden dürfen ist in § 284 SGB V geregelt. Durch diese umfangreiche Regelung soll zum einen festgelegt werden, welche Daten verarbeitetet werden dürfen und gleichzeitig dafür sorgen, dass keine Gesundheitsprofile mit besonders sensiblen personenbezogenen Daten gemäß Art. 9 I DSGVO erstellt werden können.
Welche Daten düfen Krankenkassen erheben ?
Gemäß § 284 SGB V dürfen Krankenkassen Sozialdaten für Zwecke der Krankenversicherung erheben und speichern. Diese Zwecke sind z.B.
- Feststellung des Versicherungsverhältnisses und der Mitgliedschaft
- Ausstellung der Krankenversichertenkarte
- Unterstützung der Versicherten bei Behandlungsfehlern
- Durchführung von Erstattungs- und Ersatzansprüchen
Dafür ist erforderlich, dass Krankenkassen insbesondere folgende Daten verarbeiten:
- Daten zur Person (z.B. auch Familienstand und Steueridentifikationsnummer)
- Daten zur Mitgliedschaft
- Daten zum Versicherungsverhältnis (z.B. Angaben zur Tätigkeit, Arbeitsentgelt)
- Beitragsdaten (bei Selbstzahlern)
- Leistungsdaten (z.B. Art der Leistung, Diagnose)
- Daten zur Pflegeperson
- Daten zum gesetzlichen Vertreter
In den Fällen von sogenannten Entgeltersatzleistungen, wie Krankengeld, Kinderkrankengeld oder auch Mutterschaftsgeld, bestehen für den Arbeitgeber Pflichten, personenbezogenen Beschäftigungsdaten an die Krankenkassen zu übermitteln. Da in den genannten Fällen das Geld für die Beschäftigten von den Krankenkassen und nicht vom Arbeitgeber kommt, benötigen die Krankenkassen die hierfür notwendigen Daten. Dazu gehören vor allem die Höhe des Arbeitsentgelts.
Nicht alle Daten müssen der Versicherung zur Verfügung gestellt werden
Aber nicht alle Daten müssen der Krankenkassen von den Versicherten zur Verfügung gestellt werden. Eine gängige Praxis ist, dass Krankenkassen über Selbstauskünfte/Selbsteinschätzungen, mehr über den Gesundheitszustand des Patienten oder der Patientin versuchen zu erfahren, als vorgesehen ist.
Die Versicherten können auch gegenüber den Krankenkassen die Betroffenenrechte aus Kapitel 3 der DSGVO, wie etwa das Recht auf Auskunft gemäß Art. 15 DSGVO, geltend machen. Daneben gibt es noch weitere, nationale Regelungen, wie etwa das Recht auf Auskunft über in Anspruch genommene Leistungen nach § 305 SGB V, oder Regelungen zu den Aufbewahrungsfristen für die Verarbeitungszwecke von Sozialdaten in § 110a SGB IV, § 304 SGB V und § 107 SGB XI.
Wer in dem Paragraphen-Wald nicht mehr zurecht kommen sollte, seine Rechte aber geltend machen möchte, kann z.B. auf das Angebot des BfDI zurückgreifen, oder sich datenschutzrechtlich beraten lassen.