Die vorliegende Überarbeitung des Bundesdatenschutzgesetzes bietet eine Gelegenheit, für Versicherte und Versicherer eine belastbare Rechtsgrundlage zu schaffen.
- Anders als in zahlreichen anderen EU-Ländern enthält das Bundesdatenschutzgesetz (BDSG) bislang keine eindeutige gesetzliche Erlaubnisgrundlage für die Verarbeitung von Gesundheitsdaten zum Abschluss und zur Durchführung von Versicherungsverträgen. Die Versicherungswirtschaft stützt sich allgemein auf Art. 9 Abs. 2 lit. f der Datenschutzgrundverordnung (DSGVO), doch gibt es dazu bei den deutschen (Landes-)Datenschutzbehörden unterschiedliche Auffassungen. Die vorliegende Überarbeitung des BDSG bietet eine Gelegenheit, für Versicherte und Versicherer eine belastbare Rechtsgrundlage zu schaffen.
- Der PKV als integralem Bestandteil des deutschen Gesundheitssystems sollten die gleichen datenschutzrechtlichen Befugnisse für die Verarbeitung von Gesundheitsdaten wie für die GKV eingeräumt werden. Um der PKV analog zur GKV das Angebot und die Durchführung von Gesundheits- und Präventionsprogrammen für alle Privatversicherten rechtssicher zu ermöglichen, sollten die Erlaubnisnormen in § 22 BDSG entsprechend (klarstellend) ergänzt werden.
- Im Hinblick auf betriebliche Kranken- und Pflegeversicherungsangebote der PKV besteht das (praktische) Erfordernis, für die Begründung derartiger Versicherungsverhältnisse die Verarbeitung von Beschäftigtendaten ausdrücklich zuzulassen; dies sollte in § 26 BDSG klargestellt werden.
- Bei der Neuregelung des Scorings muss sichergestellt werden, dass den PKV-Unternehmen die rechtssichere Erstellung und Nutzung von Wahrscheinlichkeitswerten unter Verwendung von Gesundheitsdaten in den durch Art. 22 Abs. 4 DSGVO vorgegebenen Grenzen möglich bleibt.
I. ALLGEMEINE ANMERKUNGEN
Die PKV begrüßt und unterstützt das Ziel der Bundesregierung, notwendige Anpassungen im Bundesdatenschutzgesetz (BDSG) vorzunehmen und hierbei die Erfahrungen und Erfordernisse im nationalen Recht nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zu berücksichtigen.
Klarstellungsbedarf sehen wir bei der Streichung § 37a BDSG-RegE. Es muss sichergestellt werden, dass den Unternehmen der Privaten Kranken- und Pflegeversicherung die rechtssichere Erstellung und Nutzung von Wahrscheinlichkeitswerten unter Verwendung von Gesundheitsdaten in den durch Art. 22 Abs. 4 DSGVO vorgegebenen Grenzen möglich bleibt. Aufgrund der Auslegungsbedürftigkeit der vorgesehenen Regelungen zur Nutzung u. a. von (vorhandenen) Gesundheitsdaten für unternehmenseigene Scorings werden Rechtsunsicherheiten und zudem über die Vorgaben der DSGVO hinausreichende Restriktionen geschaffen, die nachteilige Folgen u. a. für bestehende technische Prozesse in den Versicherungsunternehmen haben.
Der vorliegende Gesetzesentwurf zeigt aus Sicht der PKV dringenden weiteren Ergänzungsbedarf, da für die PKV u. a. sinnvolle gesetzliche Klarstellungen hinsichtlich des Umfangs bestehender Datenverarbeitungsbefugnisse fehlen und für die PKV insoweit (weiterhin) datenschutzrechtliche Rechtsrisiken bestehen. Zur Förderung einer einheitlichen Normauslegung durch die (Landes-)Datenschutzaufsichtsbehörden ist es erforderlich, dass der Gesetzgeber Klarstellungen für Datenverarbeitungen der PKV-Unternehmen insbesondere bei Gesundheits- und Präventionsprogrammen sowie der betrieblichen Kranken- und Pflegeversicherung vornimmt. Es muss sichergestellt werden, dass abweichende Auslegungen einzelner Datenschutzaufsichtsbehörden zu Datenverarbeitungsbefugnissen und damit einhergehende Rechtsrisiken für die Versicherer nicht dazu führen, dass den PKV-Versicherten – im Gegensatz zu den Versicherten der Gesetzlichen Krankenversicherung (GKV) – der Zugang zu wichtigen Bestandteilen eines modernen (digitalen) Gesundheits- und Versorgungsmanagements (Managed Care) erschwert, wenn nicht gar unmöglich gemacht wird. Dies läuft dem gesetzgeberischen Ziel der Transformation der PKV vom reinen Kostenerstatter zum Gesundheitsmanager zuwider, behindert den gerechten Systemwettbewerb zwischen GKV und PKV und führt letztlich zu einer versorgungsrelevanten Benachteiligung der Privatversicherten.
Mit Blick auf die aktuelle Weiterentwicklung der Digitalgesetzgebung für das deutsche Gesundheitswesen ist zudem sicherzustellen, dass für die PKV vergleichbare Datenverarbeitungsbefugnisse wie in der GKV bestehen bzw. geschaffen werden, damit alle Bürgerinnen und Bürger unabhängig vom Versicherungsstatus unter Wahrung höchster datenschutzrechtlicher Standards gleichberechtigt und verwaltungsbarrierefrei von den neuen digitalen Gesundheitsangeboten und -möglichkeiten profitieren können.
Letztlich begrüßen wir insbesondere die im Regierungsentwurf vorgesehene klarstellende Ergänzung des § 34 Abs. 1 BDSG, welche den datenschutzrechtlichen Auskunftsanspruch der betroffenen Person bei entgegenstehenden überwiegenden Betriebs- und Geschäftsgeheimnissen sachgerecht einschränken soll.
II. Zu ausgewählten Regelungen des Gesetzentwurfs
Zu Art. 1 Nr. 12 (§ 34 Abs. 1 S. 2 BDSG-RegE – Beschränkung des Auskunftsrechts bei überwiegenden Betriebs- oder Geschäftsgeheimnissen)
Vorgeschlagene Regelung
Unter § 34 Abs. 1 BDSG soll auf der Grundlage der Öffnungsklausel in Art. 23 Abs. 1 lit. i DSGVO ein neuer Satz 2 angefügt werden, der eine ausdrückliche Ausnahme vom Auskunftsrecht vorsieht, wenn das Interesse des Verantwortlichen an der Geheimhaltung von Betriebs- und Geschäftsgeheimnissen das Interesse der betroffenen Person an der Information überwiegt.
Bewertung
Wir begrüßen die im Regierungsentwurf in § 34 Abs. 1 BDSG vorgesehene – klarstellende – Ergänzung, dass das Auskunftsrecht nach Art. 15 DSGVO auch insoweit nicht besteht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt. Dieses Verständnis lässt sich bereits aus § 29 Abs. 1 Satz 2 BDSG herleiten. Die vorgesehene Klarstellung in § 34 BDSG trägt zur Rechtssicherheit bei.
Diese Klarstellung erscheint sogar geboten. Entgegen der Annahme des Bundesrats besteht bei einer ausdrücklichen Berücksichtigung des Schutzes von Betriebs- und Geschäftsgeheimnissen im BDSG nicht die Gefahr, dass die erwähnten Kranken- und Pflegeversicherer als Verantwortliche künftig datenschutzrechtliche Auskunftsansprüche rechtsmissbräuchlich zurückweisen würden, um strukturelle Beweislastprobleme zum Nachteil von betroffenen Personen / Verbrauchern in Rechtsstreitigkeiten auszunutzen.
Insbesondere geht es in den zuletzt gehäuft aufgekommen Verfahren zur Frage der Zulässigkeit von Beitragsanpassungen in der PKV, die für diese Begründung Anlass gegeben haben mögen, nicht darum, den Betroffenen einen datenschutzrechtlichen Auskunftsanspruch unter Berufung auf Betriebs- und Geschäftsgeheimnisse vorzuenthalten. Vielmehr sind in der Praxis zunehmend Auskunftsverlangen (regelmäßig von selbst ernannten „Verbraucheranwälten“) mit datenschutzfremdem Hintergrund zu beobachten, um in den betreffenden Gerichtsverfahren (Stufen-)Klagen bei klägerseitig zu vertretenden Darlegungs- und Beweislastproblemen schlüssig zu machen. Regelmäßig wird dabei die erneute Zurverfügungstellung von Unterlagen (z. B. Beitragserhöhungsschreiben) angestrebt und insoweit der datenschutzrechtliche Auskunftsanspruch rechtsmissbräuchlich instrumentalisiert. Ein solcher (erneuter) Abschriftenanspruch, der sich nicht nach dem Datenschutzrecht, sondern nach den maßgeblichen zivil- bzw. versicherungsvertragsrechtlichen Normen richtet, existiert indes grundsätzlich nicht. Zuletzt hat der Bundesgerichtshof mit Urteil vom 27. September 2023 (Az.: IV ZR 177/22) ausdrücklich entschieden, dass dem Versicherungsnehmer ein Anspruch auf Abschriften zu zurückliegenden Prämienanpassungen allenfalls dann aus Treu und Glauben (§ 242 BGB) zusteht, wenn unter Berücksichtigung der jeweiligen Umstände des Einzelfalls in entschuldbarer Weise eine Unkenntnis über Bestehen und Umfang des Rechts aus dem Versicherungsvertrag besteht. Einen Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen aus Art. 15 Abs. 1 und 3 DSGVO hat der BGH hingegen klar verneint. Insofern zeigt sich, dass gerade der seitens der Bundesratsausschüsse gesehene Zusammenhang zwischen dem datenschutzrechtlichen Auskunftsrecht und strukturellen Beweislastproblemen im Bereich der Privaten Kranken- und Pflegeversicherung regelmäßig nicht durchgreift.
Soweit es nicht die vorgenannten Konstellationen, sondern die datenschutzrechtlich anerkannte Einschränkung des Auskunftsanspruchs in Fällen der berechtigten Berufung des Verantwortlichen auf Betriebs- und Geschäftsgeheimnisse im engeren Sinne betrifft, würde die im Gesetzentwurf vorgesehene Regelung hingegen zu einer wünschenswerten Klarstellung auch für die Verbraucher führen.
Zu Art. 1 Nr. 14 (§ 37a BDSG-RegE – Erstellung und Verwendung von Scoring-Werten)
Vorgeschlagene Regelung
§ 37a BDSG-RegE soll den bisherigen § 31 BDSG in eine neue Ausnahmeregelung vom Verbot des Art. 22 Abs. 1 DSGVO überführen und um weitere Bestimmungen zur angemessenen Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person gemäß Art. 22 Abs. 2 lit. b DSGVO ergänzen. Absatz 1 der vorgeschlagenen Regelung soll unter Bezugnahme auf Art. 22 Abs. 1 und 2 lit. b DSGVO regeln, unter welchen Bedingungen Ausnahmen von dem Recht bestehen, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Die Ausnahme des § 37a Abs. 1 Nr. 1 BDSG-RegE betrifft die Erstellung und Verwendung von Wahrscheinlichkeitswerten über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses. Die (gegenüber dem bisherigen § 31 BDSG ergänzten) Bedingungen, unter denen die Ausnahme greift, sollen in § 37a Abs. 2 BDSG-RegE geregelt werden. Nicht erlaubt sein soll nach der Neuregelung u. a. die Nutzung von Gesundheitsdaten für die Erstellung von Wahrscheinlichkeitswerten (§ 37a Abs. 2 Nr. 1 lit. a BDSG-RegE) und die genutzten personenbezogenen Daten sollen für keine anderen Zwecke verarbeitet werden dürfen (§ 37a Abs. 2 Nr. 3 lit. b BDSG-RegE).
Bewertung
Die in § 37a Abs. 1 BDSG-RegE vorgesehene neue Ausnahme vom Verbot des Art. 22 Abs. 1 DSGVO kann für Versicherungsunternehmen zum einen als Verwender von Scorewerten relevant sein, die sie von Auskunfteien erhalten. § 37a Abs. 1 Nr. 1 BDSG-RegE kann aber auch einschlägig sein, wenn ein Versicherungsunternehmen selbst mit bereits vorliegenden Daten Wahrscheinlichkeitswerte errechnet.
Private Kranken- und Pflegeversicherer benötigen Score-(Wahrscheinlichkeits-)Werte nicht nur in Gestalt klassischer Wirtschaftsauskünfte zur Bonitätsprüfung. Wahrscheinlichkeitswerte werden in vielen Bereichen entlang der gesamten Kundenbeziehung benötigt, bspw. prozesstechnisch für die Gestaltung effizienter Sachbearbeitungsprozesse im Massenverfahren Leistungsbearbeitung (z. B. Prüfung und Abrechnung von Rechnungstellungen der Leistungserbringer), für das Angebot und die Durchführung von Gesundheitsmanagementprogrammen und künftig auch verstärkt im Zusammenhang mit dem Einsatz von Künstlicher Intelligenz.
Das in § 37a Abs. 2 Nr. 1 BDSG-RegE vorgesehene Verbot der Ermittlung von Score-Werten u. a. auf der Basis von Gesundheitsdaten geht über die Vorgabe von Art. 22 Abs. 4 DSGVO hinaus und konterkariert die vom Gesetzgeber beabsichtigte Ausnahmeregelung in § 37a Abs. 1 Nr. 1 BDSG-RegE durch die Schaffung nicht gerechtfertigter Restriktionen zum Nachteil der Unternehmen der privaten Kranken- und Pflegeversicherung. Zudem ist die vorgesehene Neuregelung bereits dahingehend auslegungsbedürftig, was konkret unter einem „bestimmten zukünftigen Verhalten der Person“ zum Zweck der Entscheidung über die „Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person“ zu verstehen ist (bspw. sind Erkrankungen häufig auch auf Lebens- bzw. Verhaltensweisen zurückzuführen). Dies schafft unnötig neue Rechtsunsicherheiten für die Private Kranken- und Pflegeversicherung, die sich u. a. auf wesentliche automatisierte Bestandsprozesse der Versicherer auswirken können.
Zudem ist die in § 37a Abs. 2 Nr. 3 lit. b BDSG-RegE vorgesehene Restriktion, dass die genutzten personenbezogenen Daten für keine anderen Zwecke verarbeitet werden dürfen, für PKV-Unternehmen nicht einzuhalten, die mit eigenen Daten Wahrscheinlichkeitswerte errechnen. Wenn ein Versicherungsunternehmen einen eigenen Wahrscheinlichkeitswert errechnet, geschieht dies grds. immer mit Daten, die bereits vorher zu einem anderen Zweck verarbeitet wurden und auch nachfolgend noch zu anderen Zwecken dienen können. Da sich eine Zweckbindung bereits aus Art. 6 Abs. 4 DSGVO ergibt, ist die vorgesehene Regelung nicht erforderlich.
Es ist deshalb gesetzlich sicherzustellen, dass den Unternehmen der Privaten Kranken- und Pflegeversicherung die rechtssichere Erstellung und Nutzung von Wahrscheinlichkeitswerten unter Verwendung von Gesundheitsdaten in den durch Art. 22 Abs. 4 DSGVO vorgegebenen Grenzen möglich bleibt.
III. Weiterer Regelungsbedarf
§ 22 BDSG – Klarstellung der Berechtigung der PKV, (Gesundheits-)Daten der Versicherten für das Angebot und die Durchführung von Gesundheitsmanagementprogrammen zu verarbeiten
Aktuelle Gesetzeslage
Sowohl im internationalen Kontext als auch auf nationaler Ebene, zuletzt im Koalitionsvertrag der aktuellen Bundesregierung, wird die Sinnhaftigkeit und der Nutzen von Gesundheitsförderungs- und Präventionsmaßnahmen als wichtige Bausteine für ein gesundes Leben betont und der Ausbau entsprechender Angebote allgemein angeregt bzw. empfohlen.
Der Gesetzgeber hat der PKV bereits in dem Gesetz zur Reform des Versicherungsvertragsrechts das Leitbild zugrunde gelegt, dass diese nicht mehr auf die reine Kostenerstattung fokussiert ist, sondern als moderner Gesundheitsmanager neue Formen und Methoden zur wirksamen Kostensteuerung bei gleichzeitigem Erhalt bzw. Steigerung der medizinischen Behandlungsqualität anwendet. Als Beispiel nennt die Gesetzesbegründung u. a. ausdrücklich das „Disease Management“, das auch Gesundheitsmanagement- und Vorsorgeangebote umfasst (vgl. u. a. BT-Drs. 16/3945, S. 55).
Angebote der PKV im Bereich des Gesundheitsmanagements zur Gewährleistung einer hochwertigen medizinischen Versorgung im Sinne der Versicherten erfordern eine korrespondierende Datenverarbeitungsbefugnis der Versicherer. Maßstab und Grenzen bestimmen insoweit die allgemeinen Grundsätze des Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG.
Allerdings können die Unternehmen der privaten Krankenversicherung u. a. aufgrund der Auslegungsbedürftigkeit des § 22 BDSG nicht hinreichend sicher davon ausgehen, dass einzelne (Landes-)Datenschutzaufsichtsbehörden nicht zu (unzutreffenden) abweichenden Auslegungsergebnissen gelangen und z. B. Analysen von Rechnungsdaten für die Unterbreitung individueller Angebote des Gesundheitsmanagements ohne die vorherige Einholung einer entsprechenden ausdrücklichen Einwilligung der Privatversicherten als unzulässig erachten. Diese für die PKV unbefriedigende Situation wird dadurch verschärft, dass der Gesetzgeber entsprechende Datenverarbeitungsbefugnisse der GKV für Gesundheitsmanagementprogramme ausdrücklich festgelegt hat. Nach § 284 Abs. 1 Nr. 14, Abs. 3 S. 1 SGB V ist den gesetzlichen Krankenkassen die Erhebung und Speicherung von Daten zur Gewinnung von Versicherten für die Vorbereitung und Durchführung von Gesundheitsmanagementprogrammen ausdrücklich gestattet. Den gesetzlichen Krankenkassen wird damit u. a. die Möglichkeit eingeräumt, versichertenbezogene Daten zur Identifizierung chronisch Erkrankter auszuwerten (z. B. aus Abrechnungsunterlagen), u. a. um diese in strukturierte Behandlungsprogramme einbinden bzw. entsprechende Gesundheitsförderungsvorschläge unterbreiten zu können.
Der Fokus des Gesetzgebers, klar normierte Datenverarbeitungsbefugnisse zu schaffen, zeigt sich aktuell auch in dem jüngst verabschiedeten Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG). Danach wird den gesetzlichen Kranken- und Pflegekassen unter § 25b SGB V (neu) ausdrücklich die Befugnis eingeräumt, datengestützte Auswertungen zum individuellen Gesundheitsschutz ihrer Versicherten vorzunehmen und insoweit ihre Versicherten individuell anzusprechen. Hierzu werden die gesetzlichen Kranken- und Pflegekassen befugt, die bei ihnen vorliegenden personenbezogenen Daten der Versicherten ohne deren Einwilligung automatisiert zu verarbeiten, soweit dies zur Erkennung von potenziell schwerwiegenden gesundheitlichen Risiken der Versicherten erforderlich und geeignet ist. Die Versicherten können dieser Datenverarbeitung widersprechen.
Auch den Privaten Kranken- und Pflegeversicherern liegen vielfältige versichertenindividuelle Daten vor, in denen umfangreiche Informationen über medizinisch und pflegerisch relevante Sachverhalte enthalten sind. Diese Daten können und sollten ebenfalls zur Erkennung und Vermeidung von potenziell schwerwiegenden gesundheitlichen Risiken genutzt werden. Es ist nicht ersichtlich, weshalb Privatversicherte nicht im gleichen Umfang Zugang zum individuellen Gesundheitsschutz und -management wie GKV-Versicherten haben sollten.
Daher ist sicherzustellen, dass für die PKV ausreichend klare Datenverarbeitungsbefugnisse für Gesundheitsdaten im Rahmen von Gesundheitsmanagementangeboten wie für die GKV bestehen. Faktischen Restriktionen infolge von Rechtsunsicherheiten durch unterschiedliche Auslegungen der für die PKV maßgeblichen datenschutzrechtlichen Erlaubnisnormen im deutschen Recht sollte durch gesetzliche Klarstellungen begegnet werden. Um die Durchführung individueller Gesundheitsförderungs- und Präventionsprogramme für alle Privatversicherten rechtssicher zu ermöglichen, sollte § 22 BDSG als datenschutzrechtliche Erlaubnisnorm unter Abs. 1 Nr. 1 lit. b wie folgt klarstellend ergänzt werden:
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig
1. durch öffentliche und nichtöffentliche Stellen, wenn sie
(…)
b) zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich, für die Erkennung von Gesundheitsrisiken sowie darauf aufbauend das Angebot und die Durchführung von Gesundheitsmanagementprogrammen durch Unternehmen der privaten Krankenversicherung oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden, (…)
§ 26 BDSG – Klarstellung, dass die Verarbeitung von Beschäftigtendaten für die Begründung und Verwaltung von betrieblichen Kranken- und Pflegeversicherungsversicherungsverhältnissen zu Gunsten der Beschäftigten zulässig ist
Aktuelle Gesetzeslage
Betriebliche Kranken- und Pflegeversicherungsversicherungsprodukte stellen eine sinnvolle Ergänzung des bestehenden Gesundheitsschutzes dar und erfreuen sich sowohl bei Arbeitgebern als auch bei den Beschäftigten sehr großer Beliebtheit.
Bei den Landesdatenschutzaufsichtsbehörden bestehen jedoch – vergleichbar der vorstehend geschilderten Situation bei Gesundheitsmanagementprogrammen – teilweise unterschiedliche Rechtsauffassungen dahingehend, ob im Rahmen von betrieblichen Kranken- und Pflegeversicherungsangeboten Beschäftigtendaten für die Begründung und Verwaltung von Versicherungsverhältnissen genutzt bzw. verarbeitet werden dürfen. Zur Umsetzung des diesbezüglichen (Gruppen-)Vertrages zwischen dem Arbeitgeber, der seine Mitarbeiter entsprechend informiert, und dem Versicherer müssen dabei üblicherweise Beschäftigtendaten (insb. Name und Adressdaten) an das Versicherungsunternehmen weitergegeben werden, um dem Versicherer insbesondere die Identifizierung der versicherten Personen ermöglichen und deren Berechtigung zur Inanspruchnahme von betreffenden Versicherungsleistungen ermitteln zu können.
§ 26 BDSG sollte dahingehend klargestellt werden, dass die Verarbeitung von Beschäftigtendaten für die Begründung und Verwaltung von betrieblichen Kranken- und Pflegeversicherungsverhältnissen zu Gunsten der Beschäftigten zulässig ist.