Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA)

Gesunde_daten/ Dezember 30, 2021/ alle Beiträge, Gesundheitsdatenschutz, Telematik-Infrastruktur/ 1 comments

Ein Versicherter, der Mitglied der DAK-Gesundheit ist, hat dem Verein Patientenrechte und Datenschutz e. V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur anonymisierten Veröffentlichung ein Schreiben überlassen, das er zu diesem Thema an das Bundesamt für Soziale Sicherung (BAS) gerichtet hat. Das BAS hat die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung.

In seinem Schreiben erklärt der Versicherte: „… als Mitglied der DAK-Gesundheit habe ich erwogen, ggf. die elektronische Patientenakte (ePA) der DAK zu beantragen. Beim Blick in die Bedingungen, die ich dafür akzeptieren müsste, habe ich aber gestutzt. In den ‚Allgemeinen Nutzungsbedingungen der DAK-Gesundheit zur Nutzung des Identifizierungs- und Access-Management-Tools (IAM)‘“ –  damit kann bei der DAK elektronische Patientenakte (ePA) beantragt werden – habe ich gelesen“:

  • 5.3 Der Nutzer darf das IAM nur für den vertraglich und gesetzlich vorgesehenen Leistungszweck und nur im vereinbarten Umfang benutzen. Eine anderweitige Verwendung, insbesondere der Missbrauch von Funktionen des IAM, ist verboten…
  • 5.5 Es ist verboten, das IAM für gesetzwidrige, obszöne, beleidigende oder betrügerische Handlungen zu verwenden, wie z.B. für die Verursachung oder Begünstigung eines Schadens, die Kompromittierung der Integrität oder Sicherheit von Systemen oder Netzwerken, das Umgehen von Filtern, das Versenden unerwünschter, irreführender oder missbräuchlicher Nachrichten, die Verbreitung von schädlicher Software, Viren oder die Verletzung von Rechten Dritter.
  • 5.6 Die DAK-G ist berechtigt, die Nutzung des IAM durch den Nutzer zeitweise oder dauerhaft zu sperren, wenn und solange der Nutzer die Grenzen der zulässigen Nutzung des IAM überschreitet…
  • 5.7 Die DAK-G kann den Nutzungsvertrag aus wichtigem Grund kündigen, wenn der Nutzer das IAM in einer gegen den Nutzungsvertrag oder gesetzliche Regelungen verstoßenden Weise nutzt…“

Das hat bei mir die Frage ausgelöst:

Kann die DAK entgegen aller öffentlich (vom BMG, von den Krankenkassen, von der Verbraucherzentrale u. a. m.) verkündeten Regularien Einsicht nehmen in die Inhalte, die in der ePA gespeichert sind?

Oder wie anders kann die DAK feststellen, dass ein Versicherter gegen den Nutzungsvertrag verstößt?“

Der Versicherte verweist darauf, dass er auch bei anderen Krankenkassen recherchiert hat und dort auf vergleichbare Bestimmungen gestoßen ist. In seinem Schreiben an das BAS nennt er zwei Beispiele:

Techniker Krankenkasse (TK)

In deren Bedingungen für die Nutzung der ePA ist geregelt:

  • 4.2 Die Nutzer dürfen TK-Safe und die ePA nur im Rahmen des vorgesehenen Leistungsumfangs und für die vereinbarten privaten, nicht kommerziellen Zwecke nutzen. Eine Nutzung für andere Zwecke, insbesondere eine missbräuchliche Nutzung der Funktionalitäten entgegen der vorgesehenen Zweckbestimmung, ist nicht gestattet. Die Nutzer sind für die Rechtmäßigkeit der von ihnen in der ePA gespeicherten Inhalte verantwortlich.“
  • 7.4 Die TK ist berechtigt, den Zugang zur ePA über TK-Safe im Falle der Nutzung von TK-Safe oder der ePA entgegen diesen Nutzungsbedingungen, eines Verstoßes gegen geltendes Recht oder aus einem sonstigen wichtigen Grund zeitweilig oder endgültig zu sperren.“

energie-BKK

In deren Bedingungen für die Nutzung der ePA ist geregelt:

  • 5.4 Der Nutzer darf das IAM nur für den vorgesehenen Leistungszweck und im vereinbarten Umfang benutzen. Eine anderweitige Verwendung, insbesondere der Missbrauch von Funktionen der ePA, ist verboten…
  • 5.6 Es ist verboten, das IAM für gesetzwidrige, obszöne, beleidigende oder betrügerische Handlungen zu verwenden, wie z.B. für die Verursachung oder Begünstigung eines Schadens, Kompromittierung der Integrität oder Sicherheit von Systemen oder Netzwerken, das Umgehen von Filtern, das Versenden unerwünschter, irreführender oder missbräuchlicher Nachrichten, die Verbreitung von schädlicher Software, Viren oder die Verletzung von Rechten Dritter.
  • 5.7 Sperrung: Die Krankenkasse ist berechtigt, nach billigem Ermessen und unter Berücksichtigung der Nutzerinteressen, die Nutzung des IAM durch den Nutzer zeitweise oder dauerhaft zu sperren oder den Nutzungsvertrag fristlos außerordentlich zu kündigen, wenn der Nutzer die Grenzen der zulässigen Nutzung des IAM überschreitet, indem er gegen diese Nutzungsbedingungen oder geltendes Recht verstößt… Die Krankenkasse kann zudem das IAM des Nutzers löschen, soweit ihr begründete Indizien dafür vorliegen, dass der Nutzer das IAM in rechtsverletzender Weise nutzt.“

Wenn auch der Wortlaut der Regelungen unterschiedlich ist;

der Sachverhalt bleibt gleich und wirft Fragen auf.

Fragen, um deren Beantwortung das Bundesamt für Soziale Sicherung (BAS) vom anfragenden Versicherten auf der Grundlage des IFG (Informationsfreiheitsgesetz des Bundes) gebeten wird:

  1. Können Krankenkassen entgegen aller öffentlich (vom BMG, von den Krankenkassen, von der Verbraucherzentrale u. a. m.) verkündeten Regularien Einsicht nehmen in die Inhalte, die in der ePA gespeichert sind?
  2. Krankenkassen müssen lt. § 342 SGB V ihren Versicherten eine ePA anbieten. Ist unter diesen Umständen ein Entzug oder zeitweiser Entzug der ePA-Nutzung überhaupt zulässig?
  3. Ist ein Entzug der ePA gesetzlich geregelt, wenn Ja – wo? Gibt es einen gesetzlich vorgeschriebene Weg, wie eine ePA-Nutzung entzogen werden kann? Oder sind „Nutzungsbedingungen“ (= AGBs) der Krankenkassen dafür ausreichend? Können sich Krankenkassen an der Stelle über das SGB V hinwegsetzen?
  4. Ist der Verfahrensweg für alle Krankenkassen einheitlich?
  5. Wie kann ein Missbrauch der ePA festgestellt werden? Wie wird ein Anfangsverdacht gehandhabt?
  6. Wenn ein Missbrauch von einer Krankenkasse festgestellt wurde, wie sieht der Verfahrensweg aus?
  7. Wie ist der Verfahrensweg, wenn Dritte auf einen Missbrauch hinweisen? Werden solche Hinweise nur bearbeitet, wenn berechtigte Nutzer*innen der ePA (z. B. Ärzt*innen) auf möglichen Missbrauch hinweisen? Oder reicht dazu ggf. auch ein anonymer Hinweis von Dritten?
  8. Hat es nach Kenntnis des BAS bereits Missbrauchsfälle der ePA gegeben? Wie wurden diese erkannt?
  9. Falls einzelnen Versicherten die Nutzungsmöglichkeit der ePA durch die jeweilige Krankenkassen entzogen wird: Ist das in Teilbereichen möglich (z.B. nur Dokumentenspeicher) oder nur insgesamt?
  10. Welche rechtlichen Möglichkeiten hat ein Versicherter, sich gegen eine Sperrung der ePA zu wehren?
  11. Haben Versicherte bei missbräuchlicher Nutzung der ePA mit weiteren Konsequenzen im Versichertenverhältnis zu rechnen (z. B. einseitige Beendigung des Versicherungsverhältnisses durch die Krankenkasse)?“

Auf die Antwort des BAS auf diese Fragen ist vermutlich nicht nur der anfragende Versicherte interessiert.

1 Comment

  1. „Auf die Antwort des BAS auf diese Fragen ist vermutlich nicht nur der anfragende Versicherte interessiert.“

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*