Das Bundesamt für Gesundheit (BAG) hat in einem revidierten Kreisschreiben (Nr. 7.1) die besonderen datenschutzrechtlichen Vorgaben im Bereich der obligatorischen Krankenversicherung konkretisiert. Die aktuelle Fassung ist am 1.1.2022 in Kraft getreten und verdeutlicht, dass gewisse personalisierte Marketingmassnahmen und die Zielgruppenselektion basierend auf Gesundheitsdaten oder Persönlichkeitsprofilen für die (obligatorischen) Krankenversicherer unzulässig sind. Es fehlt gemäss Kreisschreiben an der gesetzlichen Grundlage. Zugleich bekräftigt das BAG zu Recht, dass für eine gültige Einwilligung auch unter dem Krankenversicherungsgesetz (KVG) keine eigenhändige Unterschrift erforderlich ist. Diese wichtige Konkretisierung basiert explizit auf der Einschätzung der Rechtslange, die Lukas Bühlmann und Michael Schüepp in einer Publikation von 2021 aufgezeigt hatten. Das für Versicherer im KVG-Bereich verbindliche Kreisschreiben bringt letztlich in diesem und weiteren Punkten mehr Klarheit, wobei anzumerken ist, dass im Streitfalle die Gerichte das letzte Wort haben werden und diese nicht an das Kreisschreiben gebunden sind.

Inhalt und Bedeutung des Kreisschreibens

In seiner Funktion als Aufsichtsbehörde über die Krankenversicherungsunternehmen veröffentlicht das Bundesamt für Gesundheit regelmässig Kreisschreiben. Diese Kreisschreiben stellen Weisungen im Sinne des Krankenversicherungs-Aufsichtsgesetzes dar (Art. 34 Abs. 3 KVAG). Sie sind somit verbindlich für die Versicherer. Demgegenüber sind aber Gerichte wie auch andere Aufsichtsbehörden wie der Eidgenössische Datenschutzbeauftragte (EDÖB) nicht daran gebunden.

Ende 2021 hat das BAG eine überarbeitete Fassung des Kreisschreibens Nr. 7.1 veröffentlicht, worin die krankenversicherungsrechtlichen Datenschutznormen konkretisiert werden. Im Gegensatz zur bisherigen Version vom 17. Dezember 2015 wurden einige Kapitel (z.B. zum Outsourcing und zu Bearbeitungsreglementen) gestrichen, was allerdings ausdrücklich keine Lockerung bei den Anforderungen im Bereich Datenschutz darstellen soll. Vielmehr wird auf die damit verbundene Rechtsetzung, Rechtsprechung und Lehre verwiesen und weiterhin ein entsprechendes Compliance-Management-System bei den Krankenversicherern vorausgesetzt.

Das Kreisschreiben widmet sich sodann neben den hier hervorgehobenen Aspekten insbesondere auch folgenden Themen: Datenschutz- und Datensicherheitskonzept, dem Risikomanagement und den internen Kontrollsystemen (IKS), dem vertrauensärztlichen Dienst (VAD), der Rechnungsstellung, Gesundheitsfragebogen für Antragssteller, dem Case Management und Vollmachten.

Verhältnis zwischen KVG und DSG und Kompetenzabgrenzung der Aufsichtsbehörden

Im überarbeiteten Kreisschreiben äussert sich das BAG auch kurz zum Verhältnis zwischen dem Datenschutzgesetz (DSG) und dem KVG. So erklärt das BAG, dass die beiden Gesetze nebeneinander Anwendung finden, wobei das DSG als Rahmengesetz durch speziellere Vorschriften im KVG verdrängt wird. Im Übrigen sind allerdings nach wie vor viele Fragen offen und umstritten, die auch durch das neue Kreisschreiben nicht geklärt werden können (vgl. dazu allgemein den Aufsatz von Lukas Bühlmann und Michael Schüepp im Jusletter vom 15. März 2021, Rz. 23 ff.).

Immerhin wird aber näher auf die Kompetenzabgrenzung zwischen dem BAG und dem EDÖB eingegangen. In den Aufgabenbereich des BAG fällt demnach die Überwachung der Durchführung der sozialen Krankenversicherungen. Hierzu zählt das BAG auch die Prüfung der Corporate Governance. Diese verlangt eine Organisation und Geschäftsführung, welche die Einhaltung der gesetzlichen Vorschriften sicherstellt, gerade auch im Bereich des Datenschutzes und der Datensicherheit. Konsequenterweise gibt das neue Kreisschreiben Auskunft über die technischen und organisatorischen Massnahmen, die getroffen werden müssen, damit Gesetzesverstösse im Bereich des Datenschutzes vermieden oder frühzeitig erkannt werden können (vgl. Art. 84b KVG). Namentlich verlangt das BAG von allen Versicherern die Erarbeitung eines umfassenden ganzheitlichen Datenschutz- und Datensicherheitskonzepts. Betont wird zudem die Relevanz eines Compliance-Management-Systems mit Risikomanagement und internen Kontrollmechanismen (IKS).

Die Prüfung, ob solche Massnahmen und Konzepte vorhanden sind, obliegt insofern dem BAG. Die Prüfung der Datenschutzkonformität als solcher bzw. die inhaltliche Rechtmässigkeitskontrolle liege demgegenüber in der Kompetenz des EÖDB. Es wird jedoch betont, dass die beiden Aufsichtsbehörden einen regelmässigen Austausch pflegen, miteinander kooperieren und sich gegenseitig mit ihren Fachkenntnissen im jeweiligen Fachbereich unterstützen.

Klarstellungen im Bereich Datenbearbeitung im Allgemeinen (insb. Profiling)

In Bezug auf die inhaltlichen Anforderungen an die Datenbearbeitung geht das BAG im Kreisschreiben namentlich auf das datenschutzrechtliche Legalitätsprinzip ein. Nach dem Legalitätsprinzip bedarf jede Bearbeitung von Personendaten einer gesetzlichen Grundlage (vgl. Art. 17 DSG). Im KVG bildet Artikel 84 KVG als Generalklausel die zentrale Rechtsgrundlage und gilt für alle Bearbeitungen, die zur Erfüllung der den Krankenversicherern nach dem KVG oder dem KVAG übertragenen Aufgaben. Im Kreisschreiben wird die Generalklausel unter Einbezug der allgemeinen datenschutzrechtlichen Grundsätze konkretisiert.

So folgt gemäss BAG aus dem Grundsatz der Zweckbindung (Art. 4 Abs. 3 DSG), dass Personendaten nur für die Erfüllung der Aufgaben genutzt werden, die im gleichen Zweckrahmen liegen, wie diejenigen Aufgaben, zu deren Erfüllung sie erhoben worden sind. Demnach sei etwa die Bearbeitung von Gesundheitsdaten und Persönlichkeitsprofilen der Versicherten zur Identifizierung von besonderen Zielgruppen für ein Empfehlungsschreiben für gesundheitsfördernde Massnahmen oder für Medikamente nicht mit den erwähnten rechtlichen Grundlagen vereinbar. Da es sich nicht um eine nach dem KVG oder KVAG übertragene Durchführungsaufgabe des Versicherers handle, sei eine gezielte gesundheits- oder krankheitsspezifische Empfehlung an selektionierte Versicherte nicht durch Art. 84 KVG abgedeckt. Insofern fehle für eine solche Personendatenbearbeitung die erforderliche gesetzliche Grundlage und diese unzulässige Datenbearbeitung sei infolgedessen zu unterlassen.

Unter dem revidierten Datenschutzrecht ist ferner zu beachten, dass für das Profiling durch Bundesorgane ohnehin eine besondere gesetzliche Grundlage verlangt wird (vgl. Art. 34 Abs. 2 lit. b nDSG). Eine entsprechende Anpassung des KVG ist jedoch nicht geplant. Soweit die Krankenversicherer somit nicht im Einzelfall privatrechtlich handeln und damit den Vorschriften für private Personen unterstellt wären, die keine gesetzliche Grundlage verlangen, werden sie künftig auf die Durchführung von Profiling-Massnahmen verzichten müssen.

Klarstellungen im Bereich der Datenbekanntgabe im Besonderen (insb. Einwilligung)

Die sozialversicherungsrechtliche Schweigepflicht untersagt sämtlichen Mitarbeitenden eines Versicherers die Bekanntgabe von Personendaten an Dritte (Art. 33 ATSG). Ausnahmen von dieser Pflicht können allerdings gesetzlich vorgesehen sein. In diesem Sinne verlangt auch das datenschutzrechtliche Legalitätsprinzip eine besondere Grundlage für die Bekanntgabe von Personendaten durch ein Bundesorgan (vgl. Art. 19 DSG). Eine solche ausnahmsweise Ermächtigung sieht das KVG in Artikel 84a für besondere Konstellationen und unter eingeschränkten Voraussetzungen vor.

Einer dieser Fälle, welche die Krankenversicherer zu einer Datenbekanntgabe an einen Dritten ermächtigen, ist die «schriftliche Einwilligung im Einzelfall» (vgl. Art. 84a Abs. 5 lit. b KVG). In seinem Kreisschreiben erläutert das BAG nun, wann eine nach dieser Bestimmung gültige Einwilligung vorliegt. Dabei folgt es ausdrücklich der Auslegung, welche Lukas Bühlmann und Michael Schüepp in einer Publikation von 2021 (vgl. Rz. 39 ff. und Rz. 126 ff.) aufgezeigt hatten. So bekräftigt das BAG zunächst, dass sich eine Einwilligung im Einzelfall auch auf mehrere Bekanntgaben beziehen kann. Ausgeschlossen sei aber eine regelmässige und systematische Datenbekanntgabe in automatisierten Verfahren (z.B. in Form von Listen), namentlich nicht auf der Grundlage von Pauschalvollmachten. Was unter den Einschränkungen «systematisch», «regelmässig» und «automatisiert» oder unter dem Beispiel «Listen» konkret verstanden wird, wird aber leider auch vom BAG nicht erläutert.

Darüber hinaus hält das BAG aber richtigerweise und anders als das Bundesverwaltungsgericht (vgl. MLL-News vom 28.4.2019) fest, dass die Schriftlichkeit der Einwilligung nicht eine eigenhändige Unterschrift erfordert. Vielmehr müsse die Einwilligung nur in einer Form erteilt werden, die einen Nachweis durch Text ermögliche. Erforderlich sei demnach, dass die Einwilligungserklärung beim Empfänger in visuell wahrnehmbarer, physisch reproduzierbarer Form eintreffe. Die Umsetzung dieser Anforderung lässt sich auch im Rahmen von Online-Anmelde- oder Bestellprozessen durchführen (vgl. zum Ganzen ausführlich den Jusletter-Aufsatz vom 15. März 2021, Rz. 126 ff.).

Fazit

Die Neuauflage des Kreisschreibens bringt somit wesentliche Klarstellungen der datenschutzrechtlichen Vorschriften im Bereich des KVG. Dies gilt in besonderem Ausmass in Bezug auf die Anforderungen an die gesetzlich erlaubten Datenbearbeitungen und -bekanntgaben. Besonders positiv zu werten, ist die differenzierte Haltung und Abweichung vom Standpunkt des Bundesverwaltungsgerichts zum Erfordernis der Schriftlichkeit. Noch ist allerdings ungewiss, ob die Gerichte, welche nicht an das Kreisschreiben gebunden sind, dieser Auffassung folgen werden. Vor diesem Hintergrund empfiehlt es sich, bis auf Weiteres Vorsicht walten zu lassen und vor der Umsetzung neuer Massnahmen eine Risikoabwägung vorzunehmen.