Versand von Patientendaten an Krankenversicherungen
Die Datenschutzbeauftragte setzte sich im Rahmen einer Vorabkontrolle mit einem System auseinander, das die Übermittlung von Gesundheitsdaten an die Krankenversicherung vereinfachen und standardisieren soll. Im bestehenden System dieser Klinik sollte eine Funktion geschaffen werden, mit deren Hilfe das Personal alle für die Krankenversicherungen relevanten Informationen zusammentragen und an eine Verbindungsstelle weiterleiten kann. Von da aus kann die Klinik die Personendaten direkt an die Krankenversicherungen weitergeben.
Da mit Gesundheitsdaten besondere Personendaten vorliegen, war vor dem Einsatz des Systems eine Vorabkontrolle durchzuführen. Dabei waren insbesondere zwei Punkte von Interesse. Einerseits werden die besonderen Personendaten an die Krankenversicherungen weitergegeben, andererseits wird die Verbindungsstelle von einem privaten Auftragnehmer betrieben, weshalb auch dieser in den Besitz der Personendaten von Patientinnen und Patienten kommt. Die Personendaten sind dabei für den Betreiber der Schnittstelle verschlüsselt, sodass er keinen Einblick hat.
Die Datenschutzbeauftragte überprüfte, ob die Klinik die Personendaten mit den Krankenversicherungen teilen darf. Ebenfalls galt es zu klären, ob und unter welchen Voraussetzungen der Betrieb der Schnittstelle an einen privaten Auftragnehmer ausgelagert werden darf. Da es sich bei den Gesundheitsdaten um besondere Personendaten handelt, dürfen diese nur dann Dritten bekannt gegeben werden, wenn ein Gesetz die Bekanntgabe vorsieht. Für die Krankenversicherungen findet sich die Grundlage im Krankenversicherungsgesetz. Diese dürfen die Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen, wozu die Überprüfung der Berechnung der Behandlungskosten und der Wirtschaftlichkeit der Behandlungen zählen. Weil die Bekanntgabe mit dem neuen System der gesetzlich vorgesehenen Überprüfung durch die Krankenversicherung dient, dürfen die besonderen Personendaten grundsätzlich mit den Krankenversicherungen geteilt werden. Dabei muss immer auch der Grundsatz der Verhältnismässigkeit beachtet werden. Das Interesse der Krankenversicherung an der Datenbearbeitung muss die Interessen der betroffenen Personen an der Geheimhaltung ihrer Gesundheitsdaten überwiegen. Die Überprüfung der Leistungsansprüche und die Wirtschaftlichkeitskontrolle sind von erheblicher Bedeutung. Es handelt sich um die Durchsetzung volkswirtschaftlicher Interessen und der nachhaltigen Gesundheitsversorgung. Beides dient zudem auch den Bedürfnissen der betroffenen Personen selbst. Dementsprechend erachtete die Datenschutzbeauftragte das Vorhaben der Klinik als verhältnismässig.
Da es sich bei den Gesundheitsdaten um besondere Personendaten handelt, dürfen diese nur dann Dritten bekannt gegeben werden, wenn ein Gesetz eine Bekanntgabe vorsieht. Für die Krankenversicherungen findet sich die Grundlage im Krankenversicherungsgesetz.
Allerdings musste sichergestellt werden, dass nachvollzogen werden kann, wer die Personendaten im System bearbeitet und wie der Zugang gesichert werden kann. Ausserdem hat die Datenschutzbeauftragte auf die Rechte der Patientinnen und Patienten hingewiesen, deren Personendaten bearbeitet werden sollten. Ihnen ist auf entsprechende Anfrage hin Zugang zu den eigenen Personendaten zu gewähren. Zudem haben sie das Recht, die Personendaten bei Fehlern entsprechend mit Ergänzungen vermerken zu lassen.
Daneben galt es sicherzustellen, dass der Datenschutz auch bei der Schnittstelle, die von einem privaten Auftragnehmer betrieben werden soll, gewahrt wird: Betrifft eine Auslagerung Personendaten, die dem Berufsgeheimnis unterliegen, sind besondere Voraussetzungen zu erfüllen. Zwar können die betroffenen Personen in die Offenbarung von Tatsachen, die dem Berufsgeheimnis unterliegen, einwilligen, sofern die Klinik jedoch als öffentliches Organ tätig ist, darf sie ihre Leistungserbringung nicht an eine solche Einwilligung knüpfen. Sie darf die Datenbearbeitung deshalb nur dann auslagern, wenn die Personendaten so verschlüsselt sind, dass der Auftragnehmer keinen Zugang zum Inhalt hat. Eine solche Verschlüsselung war vorgesehen.
Der Vertrag zwischen der Klinik und dem privaten Auftragnehmer muss ausserdem dem kantonalen Datenschutzrecht Rechnung tragen. Um den Datenschutz sicherzustellen, hat der Regierungsrat die Allgemeinen Geschäftsbedingungen bei der Auslagerung von Datenbearbeitungen unter Inanspruchnahme von lnformatikleistungen (AGB Auslagerung lnformatikleistungen) beschlossen und die ihm unterstellten Verwaltungseinheiten für verbindlich erklärt. Für die Klinik sind diese AGB Auslagerung Informatikleistungen zwar nicht verbindlich, die Datenschutzbeauftragte empfiehlt jedoch, sich an diese zu halten und beriet die Klinik dahingehend. Die Datenschutzbeauftragte brachte deshalb Verbesserungsvorschläge für das ihr vorgelegte Vertragswerk vor, damit der private Auftragnehmer an die einschlägigen datenschutzrechtlichen Pflichten gebunden wird. Der rechtliche Schutz durch das Vertragswerk war aufgrund der Sensitivität der Daten und des damit verbundenen Risikos durch organisatorische Massnahmen zu ergänzen. So sollen beispielsweise nur wenige Mitarbeitende des privaten Anbieters auf die Personendaten von Patientinnen und Patienten zugreifen können. Wo ein Zugriff stattfinden könnte, ist dieser an eine starke Authentifizierung zu knüpfen. Darüber hinaus müssen zusätzliche Gefährdungsanalysen erstellt werden. Es ist sicherzustellen, dass die Klinik ausschliesslich berechtigten Personen physischen Zugang zu den Rechenzentren gewährt. Auch zu diesen organisatorischen Massnahmen hat die Datenschutzbeauftragte die Klinik beraten und Empfehlungen zur Umsetzung mitgegeben.