Krankenkassen speichern kritische Daten zu lange
Eine Stellungnahme des Vereins Patientenrechte und Datenschutz e. V. vom 12.03.2020:
Viele Kankenkassen sammeln Daten über Gesundheit, Jobs und Einkommen ihrer Versicherten zeitlich unbegrenzt. Dies geschieht, obwohl Gesetze die Löschung dieser Daten nach Ablauf von wenigen Jahren zwingend vorschreiben.
Mehrere hundert Versicherte haben bei ihren Krankenkassen bereits Auskünfte darüber eingeholt, welche Daten die Krankenkassen über sie gespeichert haben. Sie benutzten dazu den „Anfragegenerator“, den ein ehrenamtliches Entwicklerteam unter „kassenauskunft.de“ bereitgestellt hat. Antworten der Krankenkassen sind bei vielen Versicherten schon eingegangen. Einige Versicherte haben ihre Erfahrungen an den Verein „Patientenrechte und Datenschutz e . V . “ weitergegeben.
„Die Antworten waren zunächst immer unvollständig“, sagt der Mit-Vorsitzende des Vereins Dr. Bernhard Scheffold. „Erst auf Nachfrage bekamen Versicherte ausreichende Informationen. Fast immer fehlte die Dauer, für die die personenbezogenen Daten gespeichert werden. Sie muss für alle Daten angegeben werden. Die Krankenkassen verweisen auf Paragrafen, in denen diese Dauer stehen soll. Dort steh t aber nichts Eindeutiges . Datensparsamkeit und Löschkonzepte, wie sie die Datenschutz-Grundverordnung fordert, sind bei Krankenkassen leider noch eine Seltenheit. Wenn man keine Speicherdauer fest ge legt hat, kann man sie auch nicht mitteilen. Man verweist allgemein auf Paragrafen und speichert alles unendlich lange.“
Ein weiterer Schwachpunkt der Antworten waren Informationen über weitere Empfänger, an die die persönlichen Versichertendaten weitergegeben wurden. Wenn dazu überhaupt Angaben gemacht wurden, wurde nur die Art der Empfänger genannt, wie z.B. „IT-Dienstleister“. „Das reicht nicht“, meint Jan Kuhlmann , ebenfalls Mit-Vorsitzender des Vereins . „Es müssen die Namen der Empfänger genannt werden. Das hat der Landesbeauftragte für Datenschutz in Baden-Württemberg in seinem letzten Jahresbericht se hr deutlich gemacht.“
„Den Versicherten bleibt bei unvollständigen Antworten nichts anderes übrig, als sich beim zuständigen Datenschutzbeauftragten zu beschweren. Das ist in der Regel der Bundesbeauftragte für Datenschutz in Bonn. Meistens wird allein das schon ausreichen“, sagt Kuhlmann.
„Die Behandlungsdaten der Versicherten dürfen jetzt zu Forschungszwecken weitergegeben werden, wobei ihr Name durch ein Pseudonym ersetzt wird. Die meisten Versicherten haben keine Ahnung, was die Krankenkasse alles über sie weiß, und an wen sie es weitergibt. Und das, obwohl der finanzielle Wert von Gesundheitsdaten längst von der Politik erkannt worden ist, und von der Wirtschaft genutzt werden soll. Man kann die Versicherten nur ermutigen, ihre Rechte zu nutzen und genau hinzusehen.“
Der Verein Patientenrechte und Datenschutz e.V. ist ein Zusammenschluss von Versicherten der gesetzlichen Krankenkassen, der sich für die Wahrung der Patientenrechte im Zeitalter der Digitalisierung einsetzt. Einer der beiden Vorsitzenden des Vereins Patientenrechte und Datenschutz e.V., Dr. Bernhard Scheffold, ist zugleich Mitglied der Bürgerrechtsgruppe dieDatenschützer Rhein Main.
Kontakt per E-Mail: kontakt [at] patientenrechte-datenschutz.de