Internetangebote der Krankenkassen

Aufsichtsbehörde tritt beim Datenschutz auf der Stelle

05.10.2021·Das Bundesamt für Soziale Sicherung (BAS) hat offenbar weiterhin Probleme damit, eine rechtskonforme Ausgestaltung der Internetseiten von Krankenkassen unter seiner Aufsichtszuständigkeit durchzusetzen. Dies geht aus dem aktuellen Tätigkeitsbericht der Behörde und einer stichprobenartigen Prüfung der Internetangebote entsprechender Kassen durch unsere Redaktion hervor.

Bereits im Januar 2020 hatte krankenkassen-direkt.de (kkdirekt) bei allen 66 damals unter Aufsicht des BAS (vormals Bundesversicherungsamt BVA) stehenden Krankenkassen eine Schnellprüfung der Internetseiten durchgeführt. Im Ergebnis lagen bei 50 Websites Anhaltspunkte für einen möglichen Verstoß gegen die DSGVO vor (vgl. "Links zum Thema"). 44 Websites zeigten - teils erst mittelbar - Hinweise auf die Einbindung US-amerikanischer Dienste.

Auf Anfrage bestätigten damals sowohl das BAS als auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), für die Aufsicht über die Einhaltung der DSGVO - auch im Rahmen der Internetangebote von Krankenkassen - zuständig zu sein. Trotz konkreter Hinweise auf Verstöße gegen den Datenschutz blieben beide Behörden jedoch zunächst untätig. Am 08.06.2020 hat das BAS dann ein insgesamt 5-seitiges - unserer Redaktion vorliegendes - Rundschreiben an die bundesunmittelbaren Sozialversicherungsträger verschickt, in dem der datenschutzrechtliche Rahmen für Internetseiten nochmals allgemein dargestellt wurde. Prüfungen fanden nicht statt.

Zum Rundschreiben selbst äußerten sich mehrere Kassen gegenüber kkdirekt dahingehend, dass sie sich statt allgemeiner Hinweise auch die Beantwortung konkreter Fragestellungen gewünscht hätten. Zudem blieben wichtige Themenbereiche im Rundschreiben gänzlich unerwähnt (vgl. Links zum Thema: "Nach Hinweisen: Aufsicht kündigt Prüfung von Kassen-Websites an").

Keine Hilfestellung der Aufsicht nach knapp zwei Jahren

Rund 21 Monate nach den Hinweisen an das BAS teilt die Behörde nun in ihrem aktuellen Tätigkeitsbericht mit, dass nach dem Rundschreiben an die Kassen im Juni 2020 Sonderprüfungen mit einem Hauptaugenmerk auf solchen Maßnahmen stattgefunden hätten, die zu berücksichtigen seien, wenn Dienste Dritter in Internetangebote eingebunden werden. Die Prüfungen seien jedoch noch nicht abgeschlossen. Es sei zwar "zu beobachten, dass hinsichtlich der datenschutzrechtlichen Anforderungen an Aufbau und Betrieb von Webseiten große Unsicherheiten bestehen" - die Ausarbeitung einer Hilfestellung in Form eines Leitfadens werde aktuell jedoch noch geprüft.

Erneute Stichprobe: Handlungsbedarf besteht fort

Zwischen Januar 2020 und Oktober 2021 haben zahlreiche Krankenkassen bereits ein Relaunch ihrer Internetangebote durchgeführt. Auch im Sinne des Investitionsschutzes wäre eine einheitliche aufsichtsrechtliche Vorgabe hierzu sinnvoll gewesen. Eine erneute Stichprobe unserer Redaktion unter den Internetangeboten bundesunmittelbarer Krankenkassen hat ergeben, dass der Datenschutz insgesamt deutlich verbessert wurde. Die Zahl der Auffälligkeiten ist gesunken, klare Hinweise auf konkrete Verstöße mehrerer unter BAS-Aufsicht stehender Krankenkassen gegen den Datenschutz und das Telemediengesetz (TMG) liegen aber weiterhin vor. Themenfelder dabei sind insbesondere

die Weitergabe personenbezogener Daten in das nichteuropäische Ausland durch die Einbindung von Diensten und Services Dritter.

Cookie-Banner im Hinblick auf das sogenannte "Nudging", einer insbesondere durch Form- und Farbgebung verhaltensmanipulierenden Ausgestaltung der Buttons für die Einwilligungserklärung. Einer fehlenden Gleichwertigkeit der Entscheidungsoptionen sind gerichtlich bereits Grenzen gesetzt, z. B. durch Urteil des LG Leipzig aus 2020.

der Einsatz sogenannter "Cookie-Mauern" bzw. "Cookie-Walls". Eine Cookie-Mauer sperrt den Zugang zur eigentlichen Website und damit auch zur Anbieterkennzeichnung (Impressum) bis zur Entscheidung des Nutzers über die eingesetzten Cookies. Nach dem TMG (§ 5) muss das Impressum jedoch "ständig verfügbar" sein; d. h. grundsätzlich mit einem Klick. Per Urteil hat der Bundesgerichtshof (BGH) diese Anforderung auf "zwei Schritte" des Nutzers erweitert. Eine Cookie-Mauer, die nicht bereits auf der ersten Seite die vollständige Ablehnung der Cookies erlaubt und keinen eigenen Link zum Impressum enthält, wird dieser Vorgabe nicht gerecht.


GKV-Newsletter
GKV-Newsletter - "einfach" informiert bleiben

Der kostenfreie Infoservice zur GKV und Gesundheitspolitik

Termine

Termine zu den Themen­bereichen Sozialver­sicherung, Krankenkassen und Karriere in der GKV:

Terminhinweise, Kalender
Weitere News

Neue SV-Rechenwerte

Bundeskabinett beschließt Sozialversicherungs-Rechengrößen 2022

Erstmals seit Jahren bleiben wichtige Rechengrößen in der Sozialversicherung unverändert zum Vorjahr. Hintergrund ist, dass die den Rechengrößen 2022 zugrundeliegende... mehr


Zusatzbeitragssatz für 2022

GKV-Schätzerkreis errechnet notwendige Anpassung des Bundeszuschusses um 7 Milliarden Euro

Der GKV-Schätzerkreis hat am Mittwoch die Finanzsituation der gesetzlichen Krankenversicherung (GKV) für das Jahr 2022 prognostiziert. Vor dem Hintergrund des... mehr


Einflussnahme auf Behandlung

Krankenkassen dürfen Versicherte nur nach schriftlicher Einwilligung anrufen

Das Bundesamt für Soziale Sicherung (BAS) weist darauf hin, dass Krankenkassen bezüglich eines Behandlungsablaufs nur dann telefonisch mit ihren Versicherten... mehr

mehr News ...