Das stellt der Europäische Gerichtshof (EuGH) in einem Urteil vom 12.01.2023 (Aktenzeichen: C-154/21) fest.
Diese Entscheidung gilt auch für Auskunftsbegehren von Versicherten gegenüber ihrer jeweiligen Krankenkasse. Der Verein Patientenrechte und Datenschutz e. V. stellt für solche Auskunftsbegehren einen leicht zu bedienenden Anfragegenerator zur Verfügung, der bereits mehr als 1.400 mal genutzt wurde.
Europ. Gerichtshof: Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden weiterlesen →
Was war passiert? Eine Frau (gesetzlich versichert) will zu einer privaten Krankenversicherung wechseln. Dazu benötigt sie Unterlagen, die ihre bisherige Krankenkasse über sie hat. Sie bittet diese, ihr alle vorhandenen Daten an ihre private E-Mailadresse zu senden. Dies tut die bisherige Krankenkasse – aber erstens unverschlüsselt und zweitens an eine falsche Mailadresse. Als die Krankenkasse nach diversen Anrufen und anderen Kontakten ihren Fehler feststellte, sandte sie die gesammelten Daten per Post an ihr (Noch)-Mitglied. Als Ausgleich für die „seelische Belastung angesichts des unsicheren Verbleibs seiner Daten“ forderte die Versicherte 15.000 € Schadensersatz Die Kasse wies diese Forderung zurück. Sie bot – ohne Anerkennung einer Rechtspflicht – als Ausgleich 500 € an. Der Versicherte reichte auf der Grundlage des Art. 82 DSGVO Klage ein.
In zweiter Instanz, vor dem Oberlandesgericht Düsseldorf (Aktenzeichen: 16 U 275/20) erzielte die Klägerin einen Teilerfolg:
- Das Gericht bestätigte zunächst, dass die Kasse durch den Versand der Akte an die falsche Adresse einen Datenschutzverstoß begangen habe und daher Schadensersatz zahlen müsse.
- Unbeanstandet ließ das Gericht aber den unverschlüsselten Versand der Daten. Denn durch ihre Anfrage habe sie der Kasse signalisiert, dass sie die Übersendung ihrer Daten in E-Mail-Form wünsche. Da sie keine besonderen Sicherheitsvorkehrungen angemahnt habe, habe sie damit rechnen müssen, dass die Kasse ihrem Wunsch entsprechend agiere. Damit habe sie faktisch eine Einwilligung in die unverschlüsselte Übersendung der Krankenakte erteilt.
- Für ihre seelischen Belastungen infolge der Ungewissheit gestand ihr das Gericht einen Schadenersatzanspruch von 2.000 € zu.
Krankenkassen haben mehr kritische Daten über ihre Versicherten als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften.
Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten. Der Anfrage-Generator des Vereins Patientenrechte und Datenschutz e. V. hilft Ihnen dabei, eine entsprechende Anfrage zu erstellen. Nahezu 1.400 Menschen haben bisher davon Gebrauch gemacht.
Art. 15 der Europ. Datenschutz-Grundverordnung (DSGVO) enthält grundlegende Regelung zum Auskunftsrecht betroffener Personen bei Stellen, die Daten von ihnen verarbeiten und speichern.
Ihre Krankenkasse hat mehr kritische Daten über Sie, als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften. Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten.
Ein Anfrage-Generator, der vom Verein Patientenrechte und Datenschutz e. V. bereitgestellt wird, hilft dabei, solch eine Anfrage zu erstellen. Mehr als 1.300 Versicherte haben dieses Angebot bisher genutzt und Auskünfte beantragt. Nach Rückmeldungen, die beim Verein Patientenrechte und Datenschutz e. V. eingingen, sind die Auskünfte in einer nennenswerten Zahl von Fällen unzureichend.
In seinem 17. Tätigkeitsbericht zum Datenschutz hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu dieser Problematik im Abschnitt 5.5.2 (ab S. 42) zu diesem Problem Stellung genommen: Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen weiterlesen →
Darauf weist die Rechtsanwaltskanzlei Dr. Martin Bahr aus Hamburg in einem Beitrag auf ihrer Internetseite hin.
Die Kläger machten bei ihrer (privaten) Krankenversicherung einen Auskunftsanspruch nach Art. 15 DSGVO geltend. Dieser wurde von der Versicherung unter Hinweis auf den Datenschutzkodex der Versicherungswirtschaft abgelehnt.
Die Entscheidung des Landgerichts Köln vom 11.11.2020 (Aktenzeichen: 23 O 172/19) ist bislang noch nicht öffentlich zugänglich.
Quelle: Kieler Nachrichten
In diesem Beitrag der Kieler Nachrichten vom 14.07.2020 kommt eine Versicherte zu Wort, die bei ihrer Krankenkasse eine Datenauskunft über sich, ihre ärztlichen Behandlungen und Diagnosen angefordert und erhalten hat. Sie musste zu ihrem Entsetzen feststellen, dass in mehreren Fällen schwerwiegende fehlerhafte Angaben zu ihrer Krankengeschichte gespeichert wurden. „Der Kampf gegen falsche Diagnosen“ – ein Bericht über fehlerhafte Datenspeicherungen bei Krankenkassen weiterlesen →
Der Quelltext unseres Krankenkassen-Anfrage-Generators ist offen zugänglich (https://github.com/PhilLehmann/gesundheitsdatenbefreier) und steht unter der GNU General Public License. Das heißt, der Code steht jeder und jedem zur Nutzung offen, wenn auch das Ergebnis dieser Nutzung wieder offen ist. Jeder kann ihn überprüfen.
Diese Website ist mit WordPress gemacht. Der Anfrage-Generator ist ein WordPress-Plugin. Es ist auf der offiziellen Plugin-Seite von WordPress hier veröffentlicht. Die meisten Blogs sind mit WordPress gemacht. Jeder WordPress-Betreiber kann das Plugin einbinden, seine Funktionsweise überprüfen und es dann für seine Benutzer freigeben. Der Generator kann mit geringem Aufwand auch auf anderen Websites zum Laufen gebracht werden.
Wenn jemand den Anfrage-Generator weiterentwickeln oder auf einer anderen Website einsetzen möchte, und sich dabei Unterstützung durch unser qualifiziertes Entwickler-Team wünscht – bitte melde dich bei uns unter kontakt@patientenrechte-datenschutz.de.
Ein Mitglied der DAK folgte der Anregung des Vereins Patientenrechte und Datenschutz e. V. und stellte einen Antrag auf Auskunft über seine bei der DAK gespeicherten Daten auf der Grundlage des Art. 15 der EU Datenschutz-Grundverordnung (DSGVO).
Diese wurde ihm verweigert, er erhielt lediglich eine Patientenquittung für den Zeitraum ab 01.01.2016. Beantragt hatte das DAK-Mitglied aber mehr: Krankenkassenabfrage: Auskunft nach Art. 15 DSGVO beantragt – lediglich Patientenquittung erhalten weiterlesen →
Der Verein Patientenrechte und Datenschutz e. V. hat auf seiner Homepage einen Mustertext für Anfragen bei Krankenkassen veröffentlicht, mit dem alle gesetzlich Versicherten Auskunft über die von ihnen bei ihrer Krankenkasse gespeicherten Daten, gemäß Art. 15 der EU Datenschutz-Grundverordnung (DSGVO) fordern können. Mehrere hundert Menschen haben dies in den letzten Tagen getan. Ein Mensch, der bei einer Betriebskrankenkasse versichert ist, teilte jetzt mit:
„… ich habe Ihren Krankenkassen-Abfragegenerator genutzt, aber meine Krankenkasse, die BKK […], hat die Auskunft abgelehnt (aber bestätigt, dass sie Daten über mich gespeichert haben): ‚Allerdings können wir pauschale Auskunftsersuchen über gesetzlich vorgesehene, erhobene und gespeicherte Daten aufgrund des hohen Verwaltungsaufwands nicht beantworten. Daher müssen wir Ihren Antrag auf Auskunft nach § 83 Absatz 2 Sozialgesetzbuch X (SGB X) in Verbindung mit Artikel 15 DSGVO ablehnen.‘ Meine Frage an Sie wäre nun, ob Krankenkassen Auskunftsersuchen wirklich wegen des hohen Aufwands ablehnen dürfen? … Vielen Dank für Ihre Arbeit und mit freundlichen Grüßen …“
Da dies nicht der einzige Vorfall dieser Art sein dürfte, dazu ein paar Hinweise, wie das Verhalten der BKK […] zu bewerten ist und welche Schritte zum erzwingen der gewünschten Auskunft möglich sind, wenn sich eine Krankenkasse als „Totalverweigerer“ bei Auskunftsbegehren darstellt. Datenabfrage bei Krankenkassen: Was tun, wenn Krankenkassen Auskünfte verweigern? weiterlesen →
Folgendes müssen die Krankenkassen als Antwort auf Ihre Abfrage liefern:
- Kategorien der personenbezogenen Daten, die die Krankenkassen speichern. Ein Beispiel für eine solche Kategorien-Liste (von der Securvita Krankenkasse) ist hier unter Punkt 4.
- Speicherfristen zu jeder Datenkategorie,
- zu jeder Datenkategorie alle konkreten Daten, die bei der Krankenkasse über die Anfrage-Person angefallen sind, innerhalb dieser angegebenen Speicherfrist.
Beispiel: Die Krankenkassen speichern die Adressen der Versicherten. Adressen sind also eine Datenkategorie. Dafür muss die Krankenkasse die Speicherfrist nennen. Sonst ist die Antwort unvollständig. Nehmen wir mal an, die Speicherfrist beträgt 10 Jahre. Dann muss die Antwort alle Ihre Adressen der letzten 10 Jahre enthalten. Sonst ist die Antwort unvollständig.
Gesetzlich sind die Krankenkassen verpflichtet, alle folgenden Datenkategorien über eine versicherte Person zu speichern:
- Namen
- Adressen
- Daten zur Mitgliedschaft
- Arbeitgeber bzw. andere Stellen, die Beiträge zahlen
- Tätigkeiten, Einkommen, Arbeitsentgeld, gezahlte Beiträge
- Arztbesuche und andere Inanspruchnahmen von Leistungserbringern (Krankenhaus, Kur, …)
- erbrachte Leistungen, Diagnosen, Kosten der Leistungen
(auch für alle verordneten Arzneimittel)
Für jede dieser Kategorien müssen die Speicherfristen genannt sein, und es müssen dann alle konkreten Daten angegeben werden, die innerhalb der jeweiligen Speicherfrist angefallen sind.
Sehr geehrte Damen und Herren,
Ich bitte um Auskunft über meine bei Ihnen gespeicherten Daten, gemäß Art. 15 der EU Datenschutz-Grundverordnung (DSGVO). Bitte stellen Sie mir auch eine Kopie der über mich gespeicherten Daten zur Verfügung, wie in Art. 15 Abs. 3 DSGVO vorgesehen.
Insbesondere möchte ich vollständige Informationen über meine:
– Stammdaten (Anschriften) und Beitragsdaten (gezahlte Beiträge, Arbeitgeber)
– Leistungsdaten (Behandlungen, Verordnungen, Krankmeldungen, Apothekenleistungen, Ärztliche Leistungen usw.) einschließlich der Daten nach § 305 Abs. 1 Satz 1 SGB V.
Bitte informieren Sie mich auch
- über die bei Ihnen beabsichtigte Speicherdauer dieser Daten (Art. 15 Abs. 1 Buchstabe d DSGVO),
- über alle Empfänger dieser Daten und darüber, gegenüber welchen Empfängern welche Daten offengelegt wurden (Art. 15 Abs. 1 Buchstabe c DSGVO).
Meine Versichertennummer lautet: …………………….
Bitte stellen Sie mir die Informationen elektronisch über einen sicheren Download-Link zur Verfügung. Falls das nicht möglich ist, bitte ich um Zusendung per Brief.
Ich erwarte Ihre Antwort innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
Mit freundlichen Grüßen
(Unterschrift)