Krankenkassen und der Sozialdatenschutz – eine besondere Verantwortung

Datenschutz ist im Gesundheitswesen besonders wichtig. Patientendaten sind gleichsam der Inbegriff personenbezogener Daten, denn sie betreffen die Gesundheit des einzelnen, das wertvollste menschliche Gut überhaupt.

Patientendaten gehen ausschließlich den Patienten und seinen behandelnden Arzt etwas an. Und die gesetzlichen Krankenkassen. Damit auch diese die gehobenen Anforderungen an den Datenschutz erfüllen können, gibt es spezielle Datenschutzregelungen nur für diesen Sektor: den Sozialdatenschutz, der in vielen Punkten weit über den generellen Datenschutz hinausgeht.

Eine Vielzahl an schützenswerten Daten

Die Besonderheiten des Sozialdatenschutzes gehen auf § 284 Sozialgesetzbuch (SGB V) zurück, hier ist auch das Sozialgeheimnis definiert. Hier werden explizit diejenigen Sozialdaten genannt, die Krankenkassen verarbeiten dürfen, um ihrer Aufgabe gerecht werden zu können. Dazu gehören unter anderem: Ermittlung von Versicherungsverhältnis und Mitgliedschaft, Abwicklung von Erstattungen oder die Unterstützung bei Behandlungsfehlern. Um diese Aufgaben erfüllen zu können, ist die Verarbeitung von Daten zur Person, zur Mitgliedschaft, zu Leistungen, Pflegevertretern und weiteren Patientenbelangen unumgänglich und laut Gesetz von besonderen Schutzvorschriften bestimmt. Gleichwohl definiert das Gesetz aber auch Grenzen, die den „gläsernen Patienten“ effektiv verhindern sollen. Dies wird flankierend auch von Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) in ähnlicher Weise bestimmt.

Der Weg der Krankenkassen zu schützenswerten Daten

Krankenkassen müssen zur Erfüllung ihrer Pflichten sowohl von Arbeitgebern wie auch von Ärzten mit Informationen unterstützt werden. Darüber hinaus versuchen Krankenkassen mitunter, auf dem Weg von Selbstauskünften weitere Informationen über Versicherte zu gewinnen. Dem sind ebenfalls datenschutzrechtliche Grenzen gesetzt. Der Medizinische Dienst wird dann bei der Datenerfassung tätig, wenn Krankenkassen vom Gesetzgeber die Hände gebunden sind – etwa bei der Prüfung von medizinischen Belangen – und handelt in deren Auftrag. Allerdings übermittelt der Medizinische Dienst sozusagen nur die „halbe Wahrheit“, indem er beispielsweise lediglich Befund-Ergebnisse übermittelt, nicht aber die generelle Datenlage.

Versicherungsnehmer genießen Betroffenheitsrechte

Betroffenheitsrechte von Versicherungsnehmern sind die gewichtigsten Datenschutzrechte, mit denen Patienten ausgestattet sind. Da wäre zum einen das Recht auf Auskunft über personenbezogene Daten, etwa über beanspruchte Leistungen oder bezüglich einer Akteneinsicht, das sowohl nach SGB als auch nach DSGVO geregelt ist. Das Auskunftsrecht ist eines der wichtigsten Betroffenheitsrechte. Ein weiteres ist das Recht auf Berichtigung von falschen oder unvollständigen Angaben. Und auch das Recht auf Löschung von Sozialdaten schützt die Versicherten. Weil die Datenlöschung durch die Versicherung nach Erfüllung einer Aufgabe vorgenommen werden muss, ist kein dahingehendes Verlangen des Patienten erforderlich. Diese Rechte finden in den Artikeln 15, 16 und 17 ihren Niederschlag in der DSGVO. Gleichwohl hätten die Versicherungsnehmer das Recht, sich die Datenlöschung nach der Aufgabenerfüllung bestätigen zu lassen, was in der Regel aber unterbleibt.

Die Gesundheitskarte beschäftigt Gerichte

Mit der digitalen Gesundheitskarte sollte ein Tool geschaffen werden, das die verschiedenen Akteure beispielsweise bei einer interdisziplinären Therapie entlastet. Sie dient als Datenmittler innerhalb der Telematikinfrastruktur des deutschen Gesundheitsnetzes. Weitere digitale Träger von personenbezogenen Daten sind die elektronische Patientenakte oder das elektronische Rezept. 2021 entbrannte ein Streit um die Datenschutz-Konformität der elektronischen Patientenakte. Der Bundesdatenschutzbeauftragte hatte mehrere Krankenkassen aufgefordert, ihre Digitalakten gemäß DSGVO anzulegen – was bei ihnen nach Ansicht des obersten Datenschützers nicht der Fall war. Die Krankenkassen, die seinerzeit im Fokus der Datenschutzbehörden waren, entschlossen sich zu Klagen vor den zuständigen Sozialgerichten, die sich bis heute mit den Fällen befassen.