Datenschutz bei Krankenkassen teilweise unzureichend

Einige Krankenkassen befragen oder beraten ihre Versicherten, wenn Arbeitsunfähigkeit oder/und der Bezug von Krankengeld anstehen. Der Bundesdatenschutzbeauftragte sieht für die Praxis der Datenerhebung keine Rechtsgrundlage.


In seinem im April 2013 veröffentlichten Tätigkeitsbericht für die Jahre 2011 und 2012 weist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI), Peter Schaar, auf gravierende Mängel im Umgang einzelner Krankenkassen (KK) mit Patientendaten hin. Der Bericht bestätigt die Berichte von Mitgliedern unseres Verbands, die uns in letzter Zeit immer wieder berichtet haben, dass arbeitsunfähige PatientInnen von ihren gesetzlichen Krankenkassen unzulässig ausgefragt werden. Bisweilen wird versteckt mit Leistungs-verweigerung oder -entzug durch die jeweilige Kasse gedroht.

Im Bericht des Bundesdatenschutzbeauftragten (S. 145 f.) wird diese Situation unter dem Stichwort „Rechtfertigt das „Krankenfallmanagement“ die Erhebung zusätzlicher Daten?“ ausführlich beschrieben und wie folgt beurteilt:

„Krankenkassen gehen zunehmend dazu über, die Versicherten bei Arbeitsunfähigkeit oder Bezug von Krankengeld anzurufen (auch werden Hausbesuche gemacht, es wird Kontakt mit Arbeitgebern aufgenommen oder den Versicherten werden „Selbstauskunftsbögen“ zugeschickt). Versicherte, die länger arbeitsunfähig sind und an die ggf. ein Krankengeld auszuzahlen ist, erhalten von einigen Krankenkassen ein Anschreiben mit allgemeinen Informationen und mit der Bitte um „Mithilfe“. Um Krankengeldansprüche prüfen zu können, sollen beigefügte Formulare ausgefüllt zurückgesandt werden. Es handelt sich dabei um „Selbstaus-kunftsbogen“ sowie um Vordrucke für Einwilligungen dazu, der Krankenkasse ausführliche medizinische Untersuchungsberichte zur Verfügung zu stellen. Gegenüber den Versicherten wird der Eindruck erweckt, dass die Angaben gemacht werden müssen, um die gesetzliche Leistung Krankengeld erhalten zu können.

Datenschutzrechtlich ist diese Vorgehensweise aus mehreren Gründen unzulässig: In den Fällen des § 275 Abs. 1 und 2 SGB V, z. B. bei Arbeitsunfähigkeit, sind die Krankenkassen verpflichtet, den MDK mit einer Begutachtung bzw. Prüfung zu beauftragen. Es besteht jedoch keine Befugnis der Kasse, zusätzliche Daten zur Arbeitssituation oder zur Gesundheit zu erheben, die mit der Prüfung der Leistungsvoraussetzungen nicht in Zusammenhang stehen. Ausschließlich der MDK ist gesetzlich befugt, weitergehende Daten zu erheben oder zu verarbeiten, sofern dies im konkreten Einzelfall erforderlich ist (§ 276 Abs. 2 Satz 1 erster Halbsatz SGB V). Dies verdeutlicht die Regelung des § 277 Abs. 1 Satz 1 SGB V, wonach der MDK der jeweiligen Krankenkasse lediglich das Ergebnis der Begutachtung mitteilen darf. Dementsprechend sind vorformulierte Schweigepflichtentbindungserklärungen in Selbstauskunftsbogen, nach denen sämtliche ärztliche Unterlagen an die Krankenkasse herausgegeben werden dürfen, mit dem geltenden Recht nicht vereinbar. Diese Beschränkung der Krankenkassen verdeutlicht auch die Regelung des § 275 Abs. 1a Satz 4 SGB V. Danach können die Krankenkassen von einer Beauftragung des MDK nur absehen, wenn sich die medizinischen Vo-raussetzungen der Arbeitsunfähigkeit eindeutig aus den der jeweiligen Krankenkasse vor liegenden ärztlichen Unterlagen, wie z. B. Arbeitsunfähigkeitsbescheinigungen, ergeben. Zu diesen Unterlagen gehören keine Behandlungsdaten des Versicherten (Krankenhausentlassungsberichte, Arztbriefe, Befundberichte, ärztliche Gutachten etc.).“

Der Bundesdatenschutzbeauftragte sieht also im Ergebnis für diese Praxis der Erhebung von Daten keine Rechtsgrundlage. Lediglich der MDK ist bei Vorliegen entsprechender Voraus-setzungen (§ 276 SGB V) dazu befugt, entsprechende Daten zu erheben, zu verarbeiten und

(§ 277 SGB V) der Krankenkasse zu übermitteln. Die bei einzelnen Kassen durchgeführte Dokumentation von Daten in Handakten durch Krankenkassen-MitarbeiterInnen aus Gesprächen mit Versicherten ist demnach unzulässig. Die Kassen wurden aufgefordert, die Daten entsprechend zu löschen.

Folgende Kassen nennt der Bundesdatenschutzbeauftragte, die im Berichtszeitraum in dieser Hinsicht negativ aufgefallen sind: Deutsche BKK, KKH, IKK classic, SBK Siemens-Betriebskrankenkasse. Positiv vermerkt wird, dass sich einige Kassen ausdrücklich von diesem Verfahren distanzieren, etwa die Audi-BKK, BKK Mobil Oil, pronova BKK, BKK firmus, SECURVITA BKK.

Telefonische Beratung und Handakten von Mitarbeitern bei Arbeitsunfähigkeit

Ein weiterer gravierender Verstoß gegen den Datenschutz betraf eine große Krankenkasse, die ihre Mitglieder per Telefon nicht nur über Tarife und versicherungsrechtliche Fragen, sondern auch bei gesundheitlichen Problemen berät. Diese Tätigkeit wurde einem externen Beratungsunternehmen übertragen. Eine Krankenkasse bot ihren Mitgliedern an, dass sie sich rund um die Uhr an sieben Tagen in der Woche bei ihrem Ärztezentrum „zu allen Fragen rund um Medizin und Gesundheit“ informieren könnten. Sie hatte hierzu mit einem Unternehmen eine Vereinbarung zur medizinischen Beratung ihrer Mitglieder durch ärztliches Personal abgeschlossen und überließ dem Unternehmen die halbjährlich aktualisierten Stammdaten aller ihrer Mitglieder (Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse). Die Angaben sollten zu Abrechnungszwecken zwischen der Krankenkasse und dem Beratungsunter-nehmen erforderlich sein. Das Beratungsunternehmen wiederum meldete der Krankenversicherung, aus welchem Grund das Mitglied angerufen hatte. Die automatisierte Mitteilung enthielt Angaben darüber, ob das Mitglied einen Arzt/Zahnarzt oder ein Krankenhaus suchte oder eine medizinische, pharmakologische oder eine Beratung aus dem Bereich der Prävention wünschte. Weiterhin wurden Datum, Uhrzeit und Art des Kontaktes sowie der Anlass (versicherungsrechtliche oder medizinische Frage) mitgeteilt. Diese Informationen speicherte die Krankenkasse sechs Monate lang. Die ratsuchenden Versicherten blieben jedoch bei ihrem Anruf im Unklaren darüber, dass sie mit einem externen Unternehmen und nicht mit ihrer Krankenversicherung telefonierten.

Die rechtliche Beurteilung dieses Falls durch den Bundesdatenschutzbeauftragten fällt nochmals deutlich aus: Grundsätzlich sei es zwar zulässig, dass eine Krankenkasse eine externe ärztliche Beratungsstelle beauftragt, Versicherte bei gesundheitlichen Problemen zu beraten. Nicht zulässig sei hingegen, dass das medizinische Personal des externen Dienstleisters auf alle Stammdaten der anrufenden Versicherten zurückgreifen kann. Dies ist auf wenige Stammdaten beschränkt, zudem müssen die AnruferInnen darauf hingewiesen werden, dass der Service nicht durch die Kasse selbst erbracht wird (vgl. S. 143 f. des Berichts).

Der insgesamt recht lesenswerte Bericht findet sich auf der Homepage des BFDI: http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/.

Kerstin Burgdorf


Zurück