Der Verein Patientenrechte und Datenschutz e. V. hat auf seiner Homepage einen Mustertext für Anfragen bei Krankenkassen veröffentlicht, mit dem alle gesetzlich Versicherten Auskunft über die von ihnen bei ihrer Krankenkasse gespeicherten Daten, gemäß Art. 15 der EU Datenschutz-Grundverordnung (DSGVO) fordern können. Mehrere hundert Menschen haben dies in den letzten Tagen getan. Ein Mensch, der bei einer Betriebskrankenkasse versichert ist, teilte jetzt mit:

„… ich habe Ihren Krankenkassen-Abfragegenerator genutzt, aber meine Krankenkasse, die BKK […], hat die Auskunft abgelehnt (aber bestätigt, dass sie Daten über mich gespeichert haben): ‚Allerdings können wir pauschale Auskunftsersuchen über gesetzlich vorgesehene, erhobene und gespeicherte Daten aufgrund des hohen Verwaltungsaufwands nicht beantworten. Daher müssen wir Ihren Antrag auf Auskunft nach § 83 Absatz 2 Sozialgesetzbuch X (SGB X) in Verbindung mit Artikel 15 DSGVO ablehnen.‘ Meine Frage an Sie wäre nun, ob Krankenkassen Auskunftsersuchen wirklich wegen des hohen Aufwands ablehnen dürfen? … Vielen Dank für Ihre Arbeit und mit freundlichen Grüßen …“

Da dies nicht der einzige Vorfall dieser Art sein dürfte, dazu ein paar Hinweise, wie das Verhalten der BKK […] zu bewerten ist und welche Schritte zum erzwingen der gewünschten Auskunft möglich sind, wenn sich eine Krankenkasse als „Totalverweigerer“ bei Auskunftsbegehren darstellt.

1. Rechtsgrundlagen für das Auskunftsbegehren ist Art. 15 DSGVO. Dieser regelt in Abs. 1: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: 1. die Verarbeitungszwecke; 2. die Kategorien personenbezogener Daten, die verarbeitet werden; 3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden… 4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 5. …“ In Abs 3. ist geregelt: „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung… Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“
2. Bezogen auf das Auskunftsrecht gegenüber gesetzlichen Krankenkassen (und anderen gesetzlichen Trägern von Sozialleistungen) wird in § 83 Abs. 2 SGB X bestimmt: „Die betroffene Person soll in dem Antrag auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 die Art der Sozialdaten, über die Auskunft erteilt werden soll, näher bezeichnen. Sind die Sozialdaten nicht automatisiert oder nicht in nicht automatisierten Dateisystemen gespeichert, wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht…“
3. Das Recht auf Auskunft nach Art. 15 DSGVO ist Voraussetzung zur Wahrnehmung von von weiteren Rechten, z. B. das Recht auf Berichtigung falscher Daten (Art. 16 DSGVO).
4. Da bei gesetzlichen Krankenkassen davon auszugehen ist, dass die Verarbeitung von Versichertendaten – schon aus Gründen der Kompatibilität mit der Telematik-Infrastruktur – in elektronischer Form stattfindet, kann sich eine Krankenkasse nicht darauf berufen, dass ihre Datenverarbeitung „nicht automatisiert oder nicht in nicht automatisierten Dateisystemen“ stattfindet. Und über die lebenslange Krankenversichertennummer (§ 290 SGB V), sowie Namen und Anschrift des anfragenden Versicherten – wie im Mustertext für Anfragen bei Krankenkassen interlegt, ist jeder Versicherte von der Krankenkasse zu identifizieren, so dass seine bei der Krankenkasse gespeicherten Daten darüber maschinell ohne besonderen Aufwand gefunden und zusammengestellt werden können.
5. Bei auskunftsunwilligen Krankenkassen empfiehlt sich folgendes Verfahren: Ggf. die Anfrage erneuern und auf die o. g. Sachverhalte verweisen. Oder sich unmittelbar bei dem für die Datenschutzaufsicht der jeweiligen Krankenkasse zuständigen Bundes- oder Landesdatenschutzbeauftragten beschweren. Wer dies jeweils ist, muss jede Krankenkasse (wie auch jede andere Organisation, die personenbezogene Daten verarbeitet, auf ihrer Homepage in den Hinweisen zum Datenschutz mitteilen.