krankenkassen-direkt.de nutzt Cookies, um Ihnen
einen besseren Service zu bieten. Mehr Informationen
OK

Unabhängiges Informations- und Karriereportal für die gesetzliche Krankenversicherung
Freitag, 10.07.2020

News & Meldungen

Datenschutz-Grundverordnung DSGVO

Aufsichtsbehörden kündigen erstmalige Prüfung der Websites von Krankenkassen an

22.06.2020·Sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, als auch das Bundesamt für Soziale Sicherung (BAS) haben angekündigt, die Einhaltung des Datenschutzes auf den Internetseiten der Krankenkassen prüfen zu wollen. Im Vordergrund der Prüfungen stünden nach Auskunft der Behörden neben technisch organisatorischen Maßnahmen insbesondere auch die Zulässigkeit von Einbindungen Dritter, über die personenbezogene Daten in Drittländer außerhalb der EU weitergeleitet werden.

Bereits im Januar 2020 hatte krankenkassen-direkt.de (kkdirekt) bei allen 66 unter Aufsicht des BAS (vormals Bundesversicherungsamt BVA) stehenden Krankenkassen eine Schnellprüfung der Internetseiten durchgeführt. Im Ergebnis lagen bei 50 Websites Anhaltspunkte für einen möglichen Verstoß gegen die DSGVO vor (vgl. "Links zum Thema"). 44 Websites zeigten - teils erst mittelbar - Hinweise auf die Einbindung US-amerikanischer Dienste. Weitere Auffälligkeiten betrafen zum Beispiel das Koppelungsverbot im Rahmen notwendiger Zustimmungen der Betroffenen.

Bisher keine Prüfung der Websites von Krankenkassen

Unter Hinweis auf die Ergebnisse der Schnellprüfung hat kkdirekt den BfDI und das BAS um Stellungnahme gebeten. Sowohl das BAS als auch der BfDI haben bestätigt, für die Aufsicht über die Einhaltung der DSGVO - auch im Rahmen der Internetangebote von Krankenkassen - zuständig zu sein. Aber, so das BAS: "Aufgrund einer Vielzahl von möglichen Prüfthemen und den begrenzten Ressourcen fand bislang keine Schwerpunktprüfung der Internetseiten von Krankenkassen statt". Gegenüber kkdirekt hatte das BAS am 24.01.2020 jedoch erklärt, dem Thema im Zuge der Rechtsaufsicht künftig mehr Gewicht einräumen zu wollen. Um das Problembewusstsein der Krankenkassen zu fördern, so das BAS im Januar, werde es ein Rundschreiben an die bundesunmittelbaren Sozialversicherungsträger richten, in dem es zum einen die rechtlichen Hintergründe klarstellen und zum anderen Sonderprüfungen sowie die regelmäßige Aufnahme dieses Themas in die Turnusprüfungen des Prüfdienstes ankündigen wird. Ähnlich äußerte sich auch der BfDI. Er werde die Ergebnisse der Schnellprüfung zum Anlass nehmen, Überprüfungen bei den Krankenkassen einzuleiten und diesen in einem ersten Schritt Hinweise für den datenschutzkonformen Betrieb von Websites zu geben. Dies werde "allerdings erst erfolgen können, wenn die gestiegene Aufgabenlast des BfDI im Zusammenhang mit der aktuellen Pandemie es zulässt", so der Datenschutzbeauftragte am 14.05.2020 gegenüber kkdirekt.

BAS verschickt Rundschreiben an Kassen

Trotz konkreter Hinweise auf Verstöße gegen den Datenschutz blieben beide Behörden zunächst untätig. Zwar kündigte das BAS sein Rundschreiben im Januar für voraussichtlich März 2020 und die Prüfungen für das 2. Quartal 2020 an - umgesetzt hat es die Ankündigungen jedoch nicht. Erst am 08.06.2020 hat das BAS ein insgesamt 5-seitiges - unserer Redaktion vorliegendes - Rundschreiben an die bundesunmittelbaren Sozialversicherungsträger verschickt, in dem der datenschutzrechtliche Rahmen für Internetseiten nochmals allgemein dargestellt wurde. Prüfungen fanden bis dato nicht statt. Auch für den BfDI hat der Datenschutz bei Internetseiten von Krankenkassen offenbar keine Priorität. Während der oberste deutsche Datenschützer das Thema mit Verweis auf die Pandemie aufschiebt, erklärt er nahezu zeitgleich (am 18.05.2020) im Kontext der Erhebung von Metadaten bei Messangern, dass der Datenschutz auch in diesen Zeiten (Pandemie) nicht vernachlässigt werden dürfe. Warum die rund 73 Millionen gesetzlich Versicherten beim Schutz ihrer Daten de facto hinten anstehen müssen, lässt Kelber offen.

Kassen nutzen Untätigkeit der Aufsichtsbehörden

Dass derzeit keine wirkliche Datenschutzaufsicht stattfindet, nutzen Krankenkassen aus, um sich - teils wider besseren Wissens - auf "Schlupflöcher" in der Gesetzeslage zu berufen. So bei einer großen Krankenkasse mit aktuell rund 1,54 Millionen Versicherten, die auf Nachfrage zur Schnellprüfung im Januar (vgl. auch "Links zum Thema") entsprechend argumentierte. Eine große Ersatzkasse mit rund 5,6 Millionen Versicherten sah sich auch deshalb im Recht, da ihre Praxis der ihrer Wettbewerber entspreche. Andere Kassen sind dagegen bemüht, die Daten ihrer Internetbesucher nach den Vorgaben der DSGVO zu schützen. Bezüglich des vom BAS erstellten Rundschreibens hätten sich auf Nachfrage von kkdirekt allerdings mehrere Kassen gewünscht, statt allgemeiner Hinweise auch konkrete Fragestellungen beantwortet zu bekommen. Zwar begründet das BAS sein Abstraktionsniveau damit, dass sich das Rundschreiben an sämtliche Institutionen seines Aufsichtsbereichs richte - nachvollziehbar ist diese Argumentation allerdings nicht. Schließlich gilt auch die DSGVO für alle Träger unter der Aufsicht des BAS - und zwar schon seit 25.05.2018 und damit bereits seit mehr als zwei Jahren.

Verstöße, offene Rechtsfragen und Investitionsschutz

Eine klare Positionierung zu Fragen des Datenschutzes als Teil des Rundschreibens wäre eine gute Umsetzungshilfe des BAS im Vorfeld der angekündigten Prüfungen gewesen. Auf im Rundschreiben nicht oder nur sehr abstrakt behandelte Fragestellungen (vgl. unten) werde die Behörde im Vorfeld der Prüfungen nicht mehr eingehen, erklärte sie gegenüber kkdirekt. Ergänzungen zum Rundschreiben seien nicht geplant. Vielmehr wolle das BAS ggf. im Nachgang zu den Prüfungen weitere Informationen zur Umsetzung des Datenschutzes geben. Schnelle Abhilfe für aktuelle Missstände ist damit nicht in Sicht. Kassenmitglieder trifft diese Praxis gleich doppelt - als Internetnutzer und als Beitragszahler. Denn es geht nicht nur um mehr oder weniger klare Verstöße gegen den Datenschutz, sondern auch um den Schutz von Investitionen aus Beitragsmitteln für die Internetangebote der Kassen.

Mögliche Aspekte des Datenschutzes beim Angebot von Internetseiten, zu denen das Rundschreiben des BAS keine oder nur sehr allgemeine Hinweise gibt:

Privacy Shield
Die Weitergabe personenbezogener Daten an US-amerikanische Dienste wie Google und Facebook ist im Rahmen der DSGVO nur auf Basis des "Privacy Shield" möglich. Nach dieser Vereinbarung zwischen der EU und den USA betrachtet die EU das Datenschutzniveau der USA als angemessen für den ungehinderten Transfer persönlicher Daten. Im Gegenzug sagen die USA zu, die Massenüberwachung europäischer Nutzer einzugrenzen. Unternehmen, die an Privacy Shield teilnehmen möchten, tragen sich selbst, nach eigener Einschätzung und ohne weitere Kontrollen in eine entsprechende Liste ein. Zu Privacy Shield sind bereits Verfahren anhängig, sodass die Vereinbarung aktuell eine nur schwache Rechtsposition bietet (vgl. "Links zum Thema"). Dieser Umstand kann im Kontext des Investitionsschutzes für die kostenintensiven Websites der Krankenkassen eine hohe Relevanz haben. Informationen hierzu sind seitens des BAS aber nicht geplant.

Koppelungsverbot
Im Rundschreiben verweist das BAS auf ein BGH-Urteil, welches voreingestellte Markierungen bei Zustimmungen des Betroffenen für nicht zulässig erklärt. Dies war in der Schnellprüfung unserer Redaktion im Januar 2020 nicht das Problem. Problematisch ist es jedoch, wenn die Möglichkeit zur Nutzung der Website an die Abgabe einer Erklärung des Betroffenen gekoppelt ist. Die Erklärung ist damit nicht mehr freiwillig und gilt als nicht erteilt. Auch hierzu gibt es aktuelle Beispiele von Krankenkassen im Netz. Eine entsprechende Ausführung des Koppelungsverbotes als Ergänzung des Rundschreibens lehnt das BAS jedoch aktuell ab.

Google-Fonts
Extern referenzierte Inhalte von Websites, die keine Software-Komponente sind und auch keine Cookies setzen, werden im Rundschreiben nicht erwähnt. Es bleibt damit offen, ob das BAS deren Einsatz für rechtmäßig hält. Über die Referenzierung werden auch personenbezogene Daten ohne ausdrückliche Zustimmung der Betroffenen an Server der Firma Google geleitet. Google-Fonts sind schon deshalb nicht technisch zum Betrieb der Website erforderlich, da sie sich auf eigene Server laden lassen und von dort aus - ohne Weitergabe personenbezogener Daten - referenziert werden können. Auch hierzu soll laut BAS vorerst keine Information an die Kassen erfolgen.

Schnittstellen
Über Javascript-Einbindungen wie Google-Analytics oder APIs wie den Google-Tag-Manager können IP-Nummern auch dann an US-amerikanische Dienste weitergeleitet werden, wenn Cookies clientseitig vollständig deaktiviert sind. Ein Cookiebanner kann hier also nicht wirklich eine Einwilligung beinhalten. Ob das BAS in solchen Fällen eine separate Zustimmung für erforderlich hält, bleibt ebenfalls offen.


 

Immer aktuell - der kostenfreie GKV-Newsletter:

GKV-Newsletter

Info|Hilfe|Datenschutzerklärung


Termine

Terminhinweis zu den Themen Krankenkasse, Gesundheitspolitik und Karriere in der GKV:

Termine
Weitere News

Elektronische Patientenakte ab 2021

Bundestag beschließt Patientendaten-Schutz-Gesetz

Mittels App können Versicherte ihre E-Rezepte künftig in einer Apotheke ihrer Wahl einlösen. Facharzt-Überweisungen lassen sich digital übermitteln. Und Patienten...

 

Nach Kritik und Änderungen

Bundestag beschließt Intensivpflege- und Rehabilitationsstärkungsgesetz

Im Vorfeld des Beschlusses war das von Bundesgesundheitsminister Jens Spahn (CDU) eingebrachte Gesetz in wichtigen Punkten noch geändert worden. Sozialverbände,...

 

Finanzentwicklung im 1. Quartal 2020

Krankenkassen und Gesundheitsfonds mit 4,5 Milliarden Euro im Minus

Das Bundesgesundheitsministerium (BMG) hat am Freitag die Finanzentwicklung in der gesetzlichen Krankenversicherung (GKV) für das 1. Quartal 2020 vorgestellt. Danach...

mehr News...