krankenkassen-direkt.de nutzt Cookies, um Ihnen
einen besseren Service zu bieten. Mehr Informationen
OK

Unabhängiges Informations- und Karriereportal für die gesetzliche Krankenversicherung
Mittwoch, 26.02.2020

News & Meldungen

Datenschutz-Grundverordnung DSGVO

Websites von Krankenkassen: US-amerikanische Dienste lesen oftmals mit

22.01.2020·Wer die Internetseiten gesetzlicher Krankenkassen besucht, sollte nicht davon ausgehen müssen, dass personenbezogene Daten durch Dritte mitgeschrieben werden können. Ein Test der Redaktion kkdirekt bei über 60 Kassen hat jedoch ergeben, dass dieses Szenario realistisch ist. Über direkte und indirekte Einbindungen von Diensten auf den Websites vieler Kassen werden potenziell auch personenbezogene Daten an Dritte weitergereicht. Die Aufsicht schaut bisher weg.

Die Erstellung und der Betrieb einer Website kann sehr kostenintensiv sein. Verlockend ist daher die Möglichkeit, fertige Bausteine, Funktionen oder Schriften Dritter in die eigene Internetpräsenz einzubinden und somit nicht selbst entwicklen zu müssen. Dominierende Anbieter solcher Services sind US-amerikanische Tech-Konzerne wie Google, Facebook und Amazon. Eine Kernkompetenz dieser Unternehmen liegt im Sammeln und Auswerten großer Datenmengen sowie im Verwerten dieser in Profilen, z. B. zum Angebot individualisierter Werbung auf Internetseiten oder zur Generierung von Verhaltens- bzw. Konsumprognosen. Werden die Services innerhalb der eigenen Website (hier: Krankenkasse) direkt vom Anbieter (z. B. Google) bezogen, erhält der Anbieter die Daten des Zugriffs. Sie werden damit zur Ware.

DSGVO sieht ausdrückliche Zustimmung vor

Problematisch wird dieser Handel, wenn und soweit der betroffene Besucher der Website der Datenweitergabe nicht ausreichend zugestimmt hat. Die DSGVO sieht für den Datenabfluss in die USA sogar die ausdrückliche, explizite Zustimmung vor. Eine reine Information oder eine passive bzw. vorausgefüllte Zustimmungserklärung wird diesem Anspruch nicht gerecht. Erst wenn der betroffene User der Datenweitergabe, z. B. durch das Setzen eines Häkchens, aktiv zustimmt und entsprechende Verträge zur auftragsweisen Datenverarbeitung bestehen, dürfen die personenbezogenen Daten - insbesondere die vom Provider für den Internetzugriff zugeordnete "IP-Nummer" - laut DSGVO in die USA weitergereicht werden. Die Zustimmungspflicht ist nicht identisch mit der für Cookies, was häufig nicht ausreichend differenziert wird. Bei dieser geht es um das Ablegen von Daten auf dem Engerät des Nutzers.

Schnellprüfung bei 66 Kassen ergab Auffälligkeiten

Eine Schnellprüfung unserer Redaktion bei allen 66 unter Aufsicht des Bundesamtes für Soziale Sicherung (BAS, vormals Bundesversicherungsamt BVA) stehenden Krankenkassen ergab bei 50 Websites Anhaltspunkte für einen möglichen Verstoß gegen die DSGVO und bei 44 Websites nähere Hinweise auf die Einbindung US-amerikanischer Dienste. Die Einbindung erfolgte meist indirekt über Javascript, einer Skriptsprache, die "clientseitig" innerhalb des Browsers ausgeführt wird und darüber weitere Dienste einbinden kann. Eine DSGVO-konforme Zustimmung zur Weiterleitung der Daten wurde in unserem Schnelltest in keinem Fall eingeholt. Selbst Google-Analytics, dessen Einsatz der ehemalige Bundesbeauftragte für den Datenschutz, Peter Schaar, schon 2009 aufgrund der damals fehlenden Konfigurationsmöglichkeiten zur Anonymisierung für illegal gehalten hat (vgl. "Links zum Thema"), wurde im aktuellen Test von 13 Krankenkassen eingebunden. Google bietet heute jedoch eine IP-Anonymisierung an, allerdings nicht im Hoheitsbereich der Krankenkasse, sondern in dem von Google.
Hintergrund: Schnellprüfung der Kassen-Websites
Aufgrund der Komplexität moderner Websites ist es schlicht zu aufwendig, eine detaillierte Analyse aller Krankenkassen-Websites inklusive der eingebundenen Dienste Dritter vorzunehmen. Unsere Redaktion hat sich daher für einen Schnelltest entschieden. Zur Ermittlung der Server, mit welchen sich der Browser beim Besuch der Kassen-Websites zu verbinden versucht, haben wir u. a. folgende Software eingesetzt: Mozilla Firefox v72.0.1 (prefetching deaktiviert) und uMatrix v1.4.0 (Browser-Firewall). Die Schnellprüfung ist vom Design her geeignet, klare Anhaltspunkte auf Verstöße, nicht aber belastbare Beweise für solche aufzeigen. Hierzu notwendig wäre die Einsicht in die Dienste-Konfigurationen entsprechender Kassen sowie ggf. in die für eine Auftragsdatenverarbeitung notwendigen Verträge. Diese Aufgabe liegt bei den Aufsichtsbehörden und vor dem Hintergrund der getesteten Kassen insbesondere beim BAS.

Wahrscheinlichkeit einer personenbezogenen Zuordnung

Im Fokus der DSGVO stehen personenbezogene Daten wie die IP-Nummer beim Internetzugriff. Rechtlich handelt es sich bei dieser um ein personenbezogenes Datum, weil sie seitens des Providers zu einer bestimmten Zeit einem bestimmten Anschluss zugeordnet ist. Eine personenbezogene Zuordnung ist damit nicht auszuschließen, aber innerhalb der regulären Nutzung des Internets eher unwahrscheinlich. Anonym sollten sich Nutzer des Internets trotzdem nicht fühlen. Insbesondere bei noch offenen Sessions von Google-, Facebook-, oder Amazon-Diensten besteht die Gefahr einer personenbezogenen Zuordnung. Auch Nutzer von Softwareprodukten dieser Anbieter (z. B. Googles Chrome-Browser, das Betriebssystem Android, Facebook-Messanger, WhatsApp, Instagram, Chat- oder andere Apps) sind rein technisch gesehen der Gefahr ausgesetzt, dass die Software einen Zusammenhang zur aktuellen IP-Nummer herstellen kann. Selbst bei einer IP-Anonymisierung könnte dieser Bezug über eindeutige Indikatoren und Kennungen der installierten Software trotzdem erfolgen. Insbesondere Krankenkassen, bei denen Besuche auf der Website auch diagnosebezogen sein können, sollten daher alles tun, um derartige Zusammenführungen von Daten zu erschweren.

Zuständige Aufsichtsbehörde bisher untätig

Das Bundesamt für Soziale Sicherung hat auf Nachfrage von kkdirekt bestätigt, für die Aufsicht über die Einhaltung der DSGVO - auch im Rahmen der Internetangebote von Kassen - zuständig zu sein. Aber: "Aufgrund einer Vielzahl von möglichen Prüfthemen und den begrenzten Ressourcen fand bislang keine Schwerpunktprüfung der Internetseiten von Krankenkassen statt", so das BAS. "Gleichwohl gehen wir Hinweisen aufsichtsrechtlich nach, die wir z. B. im Rahmen von Eingaben oder bei selbst durchgeführten Stichprobenprüfungen erhalten und die auf Verstöße gegen aktuelle Vorschriften hindeuten", erklärt die Behörde gegenüber unserer Redaktion. Ein wichtiger Kommunikationskanal zwischen Krankenkassen und Millionen Versicherten wird demnach nur in Einzelfällen und nach Eingabe an das BAS von diesem aufsichtsrechtlich vor dem Hintergrund des Datenschutzes geprüft.

"Schlupfloch"-Politik als rechtliche Grundlage?

kkdirekt hat einige Kassen zur Weitergabe personenbezogener Daten befragt und um Auskunft dazu gebeten, auf welcher rechtlichen Basis diese erfolgt. Die Antworten waren überwiegend ausweichend.

Aufgrund der bisher teils unklaren Umsetzung der DSGVO im deutschen Recht, so eine angefragte Kasse mit rund 1,5 Millionen Versicherten, gebe es derzeit ein "Schlupfloch" für die Einholung der Zustimmung des Betroffenen. Der Verfasser des Internetbeitrags, dessen Aussage sich die Kasse hierbei zu eigen macht, ist Rechtsanwalt und geht in seinen weiteren Ausführungen selbst davon aus, dass nach der Klarstellung im deutschen Recht eine explizite Zustimmung nach der DSGVO notwendig wird. Hinzu kommt, dass die Aussage nur auf das Setzen von Cookies bezogen ist. Für eine Cookie-unabhängige Weitergabe von Daten ist sie ohnehin unzutreffend.

Eine andere Kasse mit über fünf Millionen Versicherten erklärt die eigene Praxis der Einbindung entsprechender Dienste lapidar mit dem Umstand, dass diese momentan der ihrer Wettbewerber entspreche. Unbeantwortet blieb unsere Anfrage zur Datenweitergabe von drei Kassen: der BKK Siemag, der Continentale BKK und der IKK Nord.

Mögliche Konsequenzen durch das BAS

Durch die Vielzahl der in unserer Schnellprüfung aufgefallenen Kassen wäre ggf. auch eine Schwerpunktprüfung durch das BAS angemessen. Käme das BAS hierbei zum selben Ergebnis, wäre zunächst eine Beratung der betroffenen Träger mit dem Ziel der Beseitigung entsprechender Rechtsverstöße vorgesehen, so das BAS gegenüber kkdirekt. Bestünden die Verstöße dennoch fort, käme eine Verpflichtung der Träger in Betracht, die auch mit vollstreckungsrechtlichen Mitteln bzw. Zwangsmitteln durchgesetzt werden könne. Die Ahndung von Datenschutzverstößen mit den Mitteln des Ordnungswidrigkeitenrechts, insbesondere durch die Verhängung von Bußgeldern, obliege dagegen seit Inkrafttreten der DSGVO ausschließlich den Datenschutz-Aufsichtsbehörden.



Ergänzung vom 24.01.2020 - Stellungnahme des BAS

Vor dem Hintergrund unserer Anfrage an das BAS und unserer Berichterstattung vom 22.01.2020 hat die Aufsichtsbehörde am 24.01.2020 gegenüber kkdirekt erklärt, dem Thema im Zuge der Rechtsaufsicht künftig mehr Gewicht einräumen zu wollen. Um das Problembewusstsein der Krankenassen zu fördern, werde das BAS ein Rundschreiben an die bundesunmittelbaren Sozialversicherungsträger richten, in dem es zum einen die rechtlichen Hintergründe klarstellen und zum anderen Sonderprüfungen sowie die regelmäßige Aufnahme dieses Themas in die Turnusprüfungen des Prüfdienstes ankündigen wird. Bis dahin verweist das BAS auf die für alle Krankenkassen gültigen gemeinsamen Wettbewerbsgrundsätze (extern, PDF). Hierin sei klar geregelt (Rz. 23): "Bei allen Werbeaktivitäten haben die Krankenkassen die für sie jeweils geltenden datenschutzrechtlichen Bestimmungen strikt einzuhalten."



 

Immer aktuell - der kostenfreie GKV-Newsletter:

GKV-Newsletter

Info|Hilfe|Datenschutzerklärung


Termine

Terminhinweis zu den Themen Krankenkasse, Gesundheitspolitik und Karriere in der GKV:

Termine
Weitere News

Bundestag beschließt GKV-FKG

Neue Regeln für den Wettbewerb und Finanzausgleich der Krankenkassen

Der Bundestag hat am Donnerstag das "Gesetz für einen fairen Kassenwettbewerb in der gesetzlichen Krankenversicherung" (GKV-FKG) beschlossen. Kernpunkte des Gesetzes...

 

Kabinettsbeschluss

Neuregelungen für Intensivpflege und medizinische Rehabilitation

Intensiv-Pflegebedürftige sollen besser versorgt, Fehlanreize in der Intensivpflege beseitigt und die Selbstbestimmung der Betroffenen gestärkt werden. Das sind die Ziele...

 

Verfehlte Digitalisierungsstrategie

Bündnis für Patientendatenschutz fordert Änderungen von Bundesregierung

Die von Gesundheitsminister Spahn forcierte Telematik-Infrastruktur (TI) sei nicht ausreichend gegen Störungen, Ausfälle und böswillige Angriffe geschützt. Sie sei damit...

mehr News...