Immer mehr Menschen registrieren ihre sportlichen Aktivitäten digital mittels Fitness-Apps auf ihrem Smartphone oder sogenannten Wearables, die sie auf ihrem Körper tragen. Die spielerische Messung der eigenen Körperfunktionen und Leistungen kann motivierend sein und sich vorteilhaft auf die Gesundheit auswirken. Wenn Menschen sich selber permanent vermessen, häufen sie jedoch gewaltige Datenmengen an. Es droht ein Kontrollverlust, der das Risiko einer Datenschutzverletzung erhöht.
Erläuterungen zum Einsatz von Fitnesstrackern im Versicherungsbereich
Datenfluss zwischen Grund- und Zusatzversicherung: Analyse des Bundesgerichtentscheids vom 30.10.2014
Im Oktober 2014 hat das Bundesgericht entschieden, dass die Grund- und Zusatzversicherung einer Versicherungsgruppe sämtliche relevanten Informationen über einen Versicherten kennen müssen, die innerhalb ihrer Organisation vorhanden sind (4A_294/2014). Nachfolgend wird erläutert, wieso dies aus datenschutzrechtlicher Sicht problematisch ist.
Verzeichnis der zertifizierten Datenannahmestellen
Für die Entgegennahme der Rechnungen des Typus DRG benötigen die Krankenversicherer seit dem 1. Januar 2013 eine nach Datenschutzgesetz zertifizierte Datenannahmestelle (Artikel 59a KVV). Verfügt der Versicherer über keine solche Annahmestelle, so dürfen die Rechnungen des Typus DRG nur seinem Vertrauensarzt zugestellt werden. Ab dem 1. Januar 2014 müssen alle Krankenversicherer zwingend über eine Datenannahmestelle verfügen. Die Übermittlung an den Vertrauensarzt ist ab diesem Termin nicht mehr zulässig. Nachfolgend finden Sie die Liste der zertifizierten Annahmestellen.
Datenschutz bei Krankenversicherern weitgehend gewährleistet
Die Untersuchung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und des Bundesamtes für Gesundheit (BAG) zeigt, dass der Datenschutz bei den Krankenversicherern, welche die obligatorische Krankenpflegeversicherung und die freiwillige Taggeldversicherung nach dem Krankenversicherungsgesetz durchführen, weitgehend gewährleistet ist. In einigen sensiblen Bereichen besteht allerdings Verbesserungspotential.
Herausgabe von Pflegeberichten an die Krankenversicherer
Datenschutzkonforme Umsetzung des Bundesgerichtsurteils
Am 21. März 2007 verpflichtete das Bundesgericht (K12/06) ein Alters- und Pflegeheim der Stadt Zürich, der Helsana Pflegeberichte und die Vitalzeichenkontrolle ohne weiteres herauszugeben, damit diese den pflegerischen Bedarf als solchen überprüfen könne. Das Altersund Pflegeheim war hierzu nur bereit, wenn der Versicherer das Gesuch im Einzelfall konkret begründet sowie belegen kann, dass er die entsprechenden Angaben für die Erfüllung ihrer Aufgaben benötigt.
Sachverhaltsabklärung des EDÖB: Datenbearbeitung im vertrauensärztlichen Dienst der CSS Kranken-Versicherung AG
Im Rahmen seiner Funktion als Datenschutzaufsichtsbehörde hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Sachverhaltsabklärung beim vertrauensärztlichen Dienst der CSS-Krankenversicherung AG durchgeführt und dabei Mängel festgestellt. Er hat deshalb am 17. April 2007 sechs Empfehlungen zuhanden der CSS erlassen, welche alle sechs annahm und, wie von uns empfohlen, ein externes Audit durchführen liess. Wichtig erscheint uns in diesem Zusammenhang, dass auch andere Institutionen und Firmen dem Beispiel der CSS folgen und sich einem regelmässigen externen Audit unterziehen.
Weitere Informationen