Sozialgericht Berlin entscheidet über Umgang mit Fotos, die eine Krankenkasse für Ausstellung einer elektronischen Gesundheitskarte anfordert
Mit Urteil vom 27.06.2017 (Aktenzeichen: S 208 KR 2111/16) hat das Sozialgericht Berlin festgestellt:
- „Sobald eine Krankenkasse die elektronische Gesundheitskarte mit einem Lichtbild des Versicherten ausgestellt hat, hat die Krankenkasse das Lichtbild zu löschen.
- Die Speicherung des Lichtbildes bzw. die Kenntnis des äußeren Erscheinungsbildes eines Versicherten ist für die Krankenkasse nur bis zur Ausstellung der elektronischen Gesundheitskarte notwendig.
- Die fortwährende Speicherung kann nicht damit begründet werden, dass auf diese Weise im Bedarfsfall die Ausstellung einer Ersatzkarte erfolgen kann.“
Das Gericht entsprach damit der Forderung des Klägers, der von seiner Krankenkasse vergeblich eine Zusage einforderte, dass diese die bereitgestellten Fotos
- ausschließlich nur zur erstmaligen Erstellung einer elektronischen Gesundheitskarte (eGk) nutzt,
- eine anderweitige Verwendung, Aufbewahrung, Speicherung, Weitergabe etc. der Fotos ausschließt und
- die Fotos und etwaige Kopien unmittelbar nach der erstmaligen Ausstellung einer Gesundheitskarte unverzüglich und unwiederbringlich löscht.
Zu einer solchen verbindlichen Erklärung war die beklagte Krankenkasse nicht bereit. „Der Antrag, das zugeschickte Passbild nach Erstellung der ersten elektronischen Gesundheitskarte wieder zu löschen, müsse abgelehnt werden. Gemäß § 284 SGB V sei die Beklagte für die Dauer der Mitgliedschaft des Klägers verpflichtet, das Passbild in verschlüsselter Form zu speichern, damit sie im Bedarfsfall kurzfristig wieder eine neue elektronische Gesundheitskarte ausstellen könne. Die Daten des Klägers würden gemäß den geltenden Datenschutzbestimmungen gespeichert, so dass im Hause der Beklagten das Passbild nur zur Erstellung einer elektronischen Gesundheitskarte verwendet werde. Die Löschung erfolge erst im Falle einer Kündigung der Mitgliedschaft, da das Passbild dann nicht mehr für die Aufgaben der Beklagten als Krankenkasse benötigt würde.“ (Urteilsbegründung, Randnummer 12)
Der Kläger machte gegenüber dem Sozialgericht deutlich, dass aus seiner Sicht die „dauerhafte, für den Kläger nicht kontrollierbare digitale Speicherung eines Lichtbildes von seinem Gesicht außerhalb seines Einflussbereiches… einen erheblichen Eingriff in sein Recht am eigenen Bild und in sein informationelles Selbstbestimmungsrecht“ bedeute (Urteilsbegründung, Randnummer 17). Die übrigen bei der Krankenkasse zu seiner Person gespeicherten Daten ermöglichten eine eindeutige und unauflösbare Verknüpfung zwischen dem Abbild seines Gesichtes und seinen persönlichen Daten. Diese kombinierten Daten ermöglichten es, den Kläger, möglicherweise von ihm unbemerkt, mithilfe einer Kamera und Gesichtserkennungssoftware immer und überall auf der Welt aus der Ferne eindeutig zu identifizieren. Sollten die Daten jemals in die „freie Wildbahn“ oder unbefugte Hände geraten, wären sie nicht mehr einzufangen und niemand könne garantieren, dass sie nicht zwischenzeitlich beliebig oft digital kopiert und verteilt würden.
In seiner Stellungnahme gegenüber dem Sozialgericht Berlin bezog sich der Kläger auch auf das eGk-Urteil des Bundessozialgerichts (BSG) vom 18.11.2014 zum Aktenzeichen B 1 KR 35/13 R, in dem das BSG feststellte, dass eine Pflicht zur Benutzung einer eGk mit Bild bestehe, um ärztliche Leistungen zu erhalten, die mit der Krankenkasse abgerechnet werden. Eine Abwägungsentscheidung müsse anders herum ausfallen, da die Krankenkasse mit ihrem Umgang mit den Fotos zusätzlich, stärker und dauerhaft in das Grundrecht eingreifen wolle. Dies stelle eine Form von Vorratsdatenspeicherung – in diesem Falle der vorgelegten Fotos – dar (Urteilsbegründung, Randnummer 23). Solange Daten zur Häufigkeit von Ersatzausstellungen nicht vorlägen, sei die fortwährende Speicherung bereits aus diesem Grund rechtswidrig, weil unverhältnismäßig. Ein massenhafter Grundrechtseingriff „ins Blaue hinein“ ohne eine Datenbasis zur Beurteilung des zu lösenden Problems könne nicht gerechtfertigt sein. Mit der Zusendung eines neuen Fotos nach Kartenverlust stehe für interessierte Versicherte ein milderes Mittel zur Verfügung. Die Beklagte bevormunde den Versicherten, weil sie ohne Widerspruchsmöglichkeit unterstellt, dass es jedem Versicherten immer wichtiger sei, schnellstmöglichen Kartenersatz zu erhalten und er im Gegenzug auf eine Bildlöschung verzichte (Urteilsbegründung, Randnummer 25).
Das Sozialgericht Berlin stellte in seinem Urteil im Ergebnis fest:
„1. Das Lichtbild des Klägers ist ein Sozialdatum. Sozialdaten sind gemäß § 67 Abs. 1 Satz 1 SGB X Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch erhoben, verarbeitet oder genutzt werden. Zu den persönlichen oder sachlichen Verhältnissen des Betroffenen zählt auch sein äußeres Erscheinungsbild…Ein Lichtbild ist eine Einzelangabe hierüber…
2. … die Speicherung der Lichtbilder ist gemäß § 284 Abs. 1 Satz 1 Nr. 2 SGB V zunächst zulässig. Nach § 284 Abs. 1 Satz 1 SGB V dürfen die Krankenkassen Sozialdaten für Zwecke der Krankenversicherung nur erheben und speichern, soweit diese erforderlich sind… Die Speicherung eines Lichtbildes ist für die Ausstellung der elektronischen Gesundheitskarte erforderlich…
3. Die Voraussetzungen des § 84 Abs. 2 Satz 2 SGB X liegen jedoch vor, sobald eine elektronische Gesundheitskarte für den Kläger mit einem Lichtbild, das sein Gesicht abbildet, ausgestellt wurde. Die Kenntnis des Lichtbildes bzw. des äußeren Erscheinungsbildes des Klägers ist dann für die Beklagte nicht mehr zur rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben erforderlich… Die Speicherung des Bildes bzw. die Kenntnis des äußeren Erscheinungsbildes des Klägers ist für die Beklagte nur bis zur Ausstellung der elektronischen Gesundheitskarte erforderlich… Die einzige Aufgabe, zu deren rechtmäßiger Erfüllung die Krankenkasse der Kenntnis des Lichtbildes bedarf, ist die Ausstellung der Karte.
Die Aufgabe, zu deren Erfüllung die Speicherung erfolgte, ist mit der Ausstellung erledigt. Eine Karte muss erst dann wieder ausgestellt werden, wenn die Gültigkeit der aktuellen Karte abläuft (vgl. § 291 Abs. 1 Satz 7 SGB V) oder die Karte abhandenkommt. Die Erforderlichkeit der weiteren Speicherung ergibt sich nicht etwa daraus, dass das gespeicherte Bild in diesem Fall für die Erstellung einer Ersatzkarte erneut verwendet werden kann.“ (Urteilsbegründung, Randnummern 44 – 51)
Am Ende der Urteilsbegründung findet sich dann eine sarkastische Feststellung des Sozialgerichts Berlin zur Datensammelwut der beklagten Krankenkasse: „Es steht schon nicht fest, ob überhaupt eine weitere Karte mit Lichtbild notwendig werden wird: Der Versicherte kann zwischenzeitlich die Krankenkasse wechseln, aus der GKV ausscheiden, auswandern, sterben… So wie es unzulässig ist, Sozialdaten mit der Begründung zu erheben, diese Daten möglicherweise zu einem späteren Zeitpunkt zu benötigen… reicht es für die Erforderlichkeit der fortwährenden Speicherung nicht aus, dass die erhobenen Daten unter bestimmten Voraussetzungen einmal nützlich sein könnten…“ (Urteilsbegründung, Randnummer 52).
Ob das Urteil des Sozialgerichts Berlin inzwischen Rechtskraft erlangt hat oder eine der Prozessparteien dagegen Berufung vor dem Landessozialgericht Berlin eingelegt hat, ist derzeit nicht bekannt.
Insgesamt ein Urteil, dass sich all diejenigen merken sollten, denen in den kommenden Monaten eine neue elektronische Gesundheitskarte zugestellt wird, ohne dass die jeweilige Krankenkasse von Ihnen vorab die Zusendung eines neuen Passbilds verlangt hat. Dies wäre ein zwingendes Indiz, dass die jeweilige Krankenkasse Vorratsdatenspeicherung mit Passbildern ihrer Mitglieder betreibt.
Welche Voraussetzungen müssen für die Löschung erfüllt werden?
Bereits 2015 meldete Heise einen Fall über ein Urteil, in dem die Krankenkasse zur Löschung des Lichtbildes für die eGK gezwungen wurde.
In dem Prozess der Kartenproduktion, an dem die Krankenkassen und Chipkarten-Hersteller beteiligt sind, muss man auf die Details achten.
Die digitalen Fotos werden in hochmodernen und standardisierten IT-Infrastrukturen der KKen und der Kartenhersteller transportiert und verarbeitet.
Zu den technischen Standards gehören IT-Umgebungen in der die Virtualisierung und die Sicherung und Wiederherstellung von Betriebssystemen, Daten und Datenbanken den täglichen und stündlichen Ablauf bestimmen (Stichwort: NAS, File-Server, Recovery).
Das heißt verlangt ein Gericht die Löschung des Fotos müsste zunächst bekannt sein, wo überall die mehrfachen Duplikate der Fotos gelandet sind! Dafür fehlen die konzeptionellen Voraussetzungen und der Löschvorgang aller Kopien des Fotos wäre dann extrem zeitaufwendig und teuer.
Es ist heute ganz normal, dass die auf den Server befindlichen Daten zeitgleich in verschiedenen Verfahren und unterschiedlichen Datensicherungsmedien zyklisch gespeichert werden. Die Systemadministratoren, die mit Citrix, VMWare und Veeam BackUp arbeiten, wissen das und sie wissen was es bedeutet aus mehrfachen Sicherungskopien in unterschiedlichen Umgebungen bestimmte Daten zu selektieren und zu löschen.
Das heißt ohne Löschkonzept, ohne Regelung und Kontrollinstanzen kann keine Löschung garantiert stattfinden!
Ein weiterer Punkt ist der Zeitaufwand und die Kosten für die Löschung. Entgegen der Vorstellung
von Laien, einfach das Foto in den Papierkorb zu verschieben, wäre die manuelle Löschung
des Fotos aus allen Speichermedien in einer Server-Infrastuktur, wie bei den KKen und Kartenherstellern, ein komplexer und zeitaufwendiger Vorgang.
Das heißt die Löschung der Fotos könnte auch nur dann sicher realisiert werden wenn er geplant und
automatisiert wird. Dazu muss aber der Prozess der Kartenproduktion selbst entsprechend angepasst werden! Das wäre für sich genommen ein IT-Projekt, von dem ich noch nichts gehört habe!
Hier besteht keinerlei Transparenz, es fehlen schlicht die Informationen wie die Löschung
abgewickelt wird. Wie lange wird das Foto in einem Prozess gespeichert, wie oft wird es gesichert und damit kopiert und wo und wie wird es gelöscht.
Wie wird das Ganze protokolliert und kontrolliert für die Versicherten? Welche Rückmeldungen und Nachweise werden dann an die Versicherten weitergegeben? Die Klärung dieser Fragen hat auch Auswirkungen auf alle anderen Datenspeicher der Versicherten im Deutschen Gesundheitswesen.