Stellungnahme 06. September 2023

Referentenentwurf des Bundesinnenministeriums für ein Erstes Gesetz zur Änderung des Bundesdatenschutzgesetzes.

  • Anders als in zahlreichen anderen EU-Ländern enthält das BDSG bislang keine eindeutige und insoweit für eine einheitliche Rechtsanwendung sorgende gesetzliche Erlaubnisgrund-lage für die Verarbeitung von Gesundheitsdaten zum Abschluss und zur Durchführung von Versicherungsverträgen. Die Versicherungswirtschaft stützt sich entsprechend allgemein auf Art. 9 Abs. 2 lit. f der Datenschutzgrundverordnung (DSGVO), doch gibt es dazu bei den deutschen (Landes-)Datenschutzbehörden vielfach unterschiedliche Auffassungen. Die vorliegende Überarbeitung des BDSG bietet insoweit eine gute Gelegenheit, für Versicherte und deren Kranken- und Pflegeversicherer eine entsprechende belastbare Rechtsgrund-lage, beispielsweise unter § 22 BDSG, zu schaffen.
  • Der PKV als integralem Bestandteil des deutschen Gesundheitssystems sollten die gleichen datenschutzrechtlichen Befugnisse für die Verarbeitung von Gesundheitsdaten wie für die GKV eingeräumt und damit eine faktische Schlechterstellung in der Versorgung von Privat-versicherten, insbesondere im Bereich des Gesundheitsmanagements und für Präventions-angebote, ausgeschlossen werden. Um der PKV analog zur GKV das Angebot und die Durchführung von Gesundheits- und Präventionsprogrammen für alle Privatversicherten rechtssicher zu ermöglichen, sollten die für die PKV maßgeblichen datenschutzrechtlichen Erlaubnisnormen unter § 22 BDSG entsprechend (klarstellend) ergänzt werden.
  • Im Hinblick auf betriebliche Kranken- und Pflegeversicherungsangebote der PKV besteht das (praktische) Erfordernis, für die Begründung derartiger Versicherungsverhältnisse die Verarbeitung von Beschäftigtendaten ausdrücklich zuzulassen; dies sollte in § 26 BDSG klargestellt werden.

I. Allgemeine Anmerkungen

Die PKV begrüßt und unterstützt das Ziel des Bundesministeriums des Inneren und für Heimat, notwendige Anpassungen im Bundesdatenschutzgesetz (BDSG) vorzunehmen und hierbei die Erfahrungen und Erfordernisse im nationalen Recht nach Inkrafttreten der Datenschutz-Grundverordnung zu berücksichtigen.

Der vorliegende Gesetzesentwurf zeigt jedoch aus Sicht der PKV dringenden Ergänzungsbedarf, da für die PKV u. a. sinnvolle gesetzliche Klarstellungen hinsichtlich des Umfangs bestehender Datenverarbeitungsbefugnisse fehlen und für die PKV insoweit (weiterhin) datenschutzrechtliche Rechtsrisiken bestehen. Zur Förderung einer einheitlichen Normauslegung durch die (Landes-)Datenschutzaufsichtsbehörden ist es erforderlich, dass der Gesetzgeber Klarstellungen für Datenverarbeitungen der PKV-Unternehmen insbesondere bei Gesundheits- und Präventionsprogrammen sowie der betrieblichen Kranken- und Pflegeversicherung vornimmt. Es muss sichergestellt werden, dass abweichende Auslegungen einzelner Datenschutzaufsichtsbehörden zu Datenverarbeitungsbefugnissen und damit einhergehende Rechtsrisiken für die Versicherer nicht dazu führen, dass den PKV-Versicherten – im Gegensatz zu den Versicherten der GKV – der Zugang zu wichtigen Bestandteilen eines modernen (digitalen) Gesundheits- und Versorgungsmanagements (Managed Care) erschwert, wenn nicht gar unmöglich gemacht wird. Dies läuft dem Ziel der Transformation der PKV vom reinen Kostenerstatter zum Gesundheitsmanager zuwider, verzerrt den Systemwettbewerb zwischen GKV und PKV und führt letztlich zu einer versorgungsrelevanten Benachteiligung der Privatversicherten.

Mit Blick auf die aktuelle Weiterentwicklung der Digitalgesetzgebung für das deutsche Gesundheitswesen ist zudem sicherzustellen, dass für die PKV vergleichbare Datenverarbeitungsbefugnisse wie in der GKV bestehen bzw. geschaffen werden, damit alle Bürgerinnen und Bürger unabhängig vom Versicherungsstatus unter Wahrung höchster datenschutzrechtlicher Standards gleichberechtigt verwaltungsbarrierefrei von den neuen digitalen Gesundheitsangeboten und -möglichkeiten profitieren können.

II. Regelungsbedarf

§ 22 BDSG – Klarstellung der Berechtigung der PKV, (Gesundheits-)Daten der Versicherten für das Angebot und die Durchführung von Gesundheitsmanagementprogrammen zu verarbeiten

Aktuelle Gesetzeslage

Sowohl im internationalen Kontext als auch auf nationaler Ebene, zuletzt im Koalitionsvertrag der aktuellen Bundesregierung, wird die Sinnhaftigkeit und der Nutzen von Gesundheitsförderungs- und Präventionsmaßnahmen als wichtige Bausteine für ein gesundes Leben betont und der Ausbau entsprechender Angebote allgemein angeregt bzw. empfohlen.

Der Gesetzgeber hat der PKV bereits im Gesetz zur Reform des Versicherungsvertragsrechts das Leitbild zugrunde gelegt, dass diese nicht mehr auf die reine Kostenerstattung fokussiert ist, sondern als moderner Gesundheitsmanager neue Formen und Methoden zur wirksamen Kostensteuerung bei gleichzeitigem Erhalt bzw. Steigerung der medizinischen Behandlungsqualität anwendet. Als Beispiel nennt die Gesetzesbegründung u. a. ausdrücklich das „Disease Management“, das auch Gesundheitsmanagement- und Vorsorgeangebote erfasst (vgl. u. a. BT-Drs. 16/3945, S. 55).

Angebote der PKV im Bereich des Gesundheitsmanagements zur Gewährleistung einer hochwertigen medizinischen Versorgung im Sinne der Versicherten erfordern eine korrespondierende Datenverarbeitungsbefugnis der Versicherer. Maßstab und Grenzen bestimmen insoweit die allgemeinen Grundsätze des Art. 9 Abs. 2 lit. h DS-GVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG.

Allerdings können die Unternehmen der privaten Krankenversicherung u. a. aufgrund der Auslegungsbedürftigkeit des § 22 BDSG nicht hinreichend sicher davon ausgehen, dass einzelne
(Landes-)Datenschutzaufsichtsbehörden nicht zu (unzutreffenden) abweichenden Auslegungsergebnissen gelangen und z. B. Analysen von Rechnungsdaten für die Unterbreitung individueller Angebote des Gesundheitsmanagements ohne die vorherige Einholung einer entsprechenden ausdrücklichen Einwilligung der Privatversicherten als unzulässig erachten. Diese für die PKV unbefriedigende Situation wird dadurch verschärft, dass der Gesetzgeber entsprechende Datenverarbeitungsbefugnisse der GKV für Gesundheitsmanagementprogramme (Disease Management) ausdrücklich festgelegt hat. Nach § 284 Abs. 1 Nr. 14, Abs. 3 S. 1 SGB V ist den gesetzlichen Krankenkassen die Erhebung und Speicherung von Daten zur Gewinnung von Versicherten für die Vorbereitung und Durchführung von Gesundheitsmanagementprogrammen ausdrücklich gestattet. Den gesetzlichen Krankenkassen wird damit u. a. die Möglichkeit eingeräumt, versichertenbezogene Daten zur Identifizierung chronisch Erkrankter auszuwerten (z. B. aus Abrechnungsunterlagen), u. a. um diese in strukturierte Behandlungsprogramme einbinden bzw. entsprechende Gesundheitsförderungsvorschläge unterbreiten zu können.

Der Fokus des Gesetzgebers, (vornehmlich) für die GKV klar normierte Datenverarbeitungsbefugnisse zu schaffen, zeigt sich aktuell auch im Entwurf der Bundesregierung für ein Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG). Danach soll den gesetzlichen Kranken- und Pflegekassen unter § 25b SGB V (neu) ausdrücklich die Befugnis eingeräumt werden, datengestützte Auswertungen zum individuellen Gesundheitsschutz ihrer Versicherten vorzunehmen und insoweit ihre Versicherten individuell anzusprechen. Hierzu werden die gesetzlichen Kranken- und Pflegekassen befugt, die bei ihnen vorliegenden personenbezogenen Daten der Versicherten ohne deren Einwilligung automatisiert zu verarbeiten, soweit dies zur Erkennung von potenziell schwerwiegenden gesundheitlichen Risiken der Versicherten erforderlich und geeignet ist. Die Versicherten können dieser Datenverarbeitung widersprechen.

Auch den Privaten Kranken- und Pflegeversicherern liegen vielfältige versichertenindividuelle Daten vor, in denen umfangreiche Informationen über medizinisch und pflegerisch relevante Sachverhalte enthalten sind. Diese Daten können und sollten ebenfalls zur Erkennung und Vermeidung von potenziell schwerwiegenden gesundheitlichen Risiken genutzt werden. Es ist nicht ersichtlich, weshalb Privatversicherte nicht im gleichen Umfang Zugang zum individuellen Gesundheitsschutz und -management wie GKV-Versicherten haben sollten.

Petitum

Es ist sicherzustellen, dass für die PKV ausreichend klare Datenverarbeitungsbefugnisse für Gesundheitsdaten im Rahmen von Gesundheitsmanagementangeboten wie für die GKV bestehen. Faktischen Restriktionen infolge von Rechtsunsicherheiten durch unterschiedliche Auslegungen der für die PKV maßgeblichen datenschutzrechtlichen Erlaubnisnormen im deutschen Recht sollte durch gesetzliche Klarstellungen begegnet werden. Um die Durchführung von Gesundheits- und Präventionsprogrammen für alle Privatversicherten rechtssicher zu ermöglichen, sollten die für die PKV maßgeblichen datenschutzrechtlichen Erlaubnisnormen unter § 22 BDSG (klarstellend) ergänzt werden, zumindest sollte jedoch eine entsprechende Klarstellung in der Gesetzesbegründung aufgenommen werden, dass die Durchführung von Gesundheits- und Präventionsprogrammen für alle Privatversicherten vom Erlaubnistatbestand des § 22 Abs. 1 Nr. 1 lit. b BDSG erfasst ist.

§ 26 BDSG – Klarstellung, dass die Verarbeitung von Beschäftigtendaten für die Begründung und Verwaltung von betrieblichen Kranken- und Pflegeversicherungsversicherungsverhältnissen zu Gunsten der Beschäftigten zulässig ist

Aktuelle Gesetzeslage

Betriebliche Kranken- und Pflegeversicherungsversicherungsprodukte stellen eine sinnvolle Ergänzung des bestehenden Gesundheitsschutzes dar und erfreuen sich sowohl bei Arbeitgebern als auch bei den Beschäftigten sehr großer Beliebtheit.

Bei den Landesdatenschutzaufsichtsbehörden bestehen jedoch – vergleichbar der vorstehend geschilderten Situation bei Gesundheitsmanagementprogrammen – teilweise unterschiedliche Rechtsauffassungen dahingehend, ob im Rahmen von betrieblichen Kranken- und Pflegeversicherungsangeboten Beschäftigtendaten für die Begründung und Verwaltung von Versicherungsverhältnissen genutzt bzw. verarbeitet werden dürfen. Zur Umsetzung des diesbezüglichen (Gruppen-)Vertrages zwischen dem Arbeitgeber, der seine Mitarbeiter entsprechend informiert, und dem Versicherer müssen dabei üblicherweise Beschäftigtendaten (insb. Name und Adressdaten) an das Versicherungsunternehmen weitergegeben werden, um dem Versicherer insbesondere die Identifizierung der versicherten Personen zu ermöglichen und deren Berechtigung zur Inanspruchnahme von betreffenden Versicherungsleistungen ermitteln zu können.

Petitum

§ 26 BDSG sollte dahingehend klargestellt werden, dass die Verarbeitung von Beschäftigtendaten für die Begründung und Verwaltung von betrieblichen Kranken- und Pflegeversicherungsverhältnissen zu Gunsten der Beschäftigten zulässig ist.

Im Übrigen verweisen wir auf die Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV), deren Inhalte wir vollumfänglich unterstützen.