Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden!

Das stellt der Europäische Gerichtshof (EuGH) in einem Urteil vom 12.01.2023 (Aktenzeichen: C-154/21) fest. Diese Entscheidung gilt auch für Auskunftsbegehren von Versicherten gegenüber ihrer jeweiligen Krankenkasse.

Ein Mitglied der DAK-Gesundheit stellte unmittelbar nach dem Urteil ein Auskunftsbegehren an seine Krankenkasse. Darin erklärte er u. a.: „… gemäß Art. 15 der EU Datenschutz-Grundverordnung (DSGVO) bitte ich um Auskunft über meine bei Ihnen gespeicherten Daten. Bitte stellen Sie mir auch eine Kopie der über mich gespeicherten Daten zur Verfügung, wie in Art. 15 Abs. 3 DSGVO vorgesehen. Insbesondere möchte ich vollständige Informationen über meine Stammdaten und Beitragsdaten sowie Leistungsdaten (Behandlungen, Verordnungen, Apothekenleistungen, Ärztliche Leistungen usw.). Ich verweise auf das Urteil des Europäischen Gerichtshofs (EuGH) vom 12.01.2023 in der Rechtssache C-154/21 (Österreichische Post – Informationen über die Empfänger personenbezogener Daten) und bitte um Auskunft, gegenüber welchen Empfänge*innen personenbezogene Daten von mir offengelegt worden sind (bitte Namen und Anschriften mitteilen, damit ich auch dort eine Datenschutzauskunft gemäß Art. 15 DSGVO) anfordern kann. Bitte informieren Sie mich auch über die bei Ihnen beabsichtigte Speicherdauer dieser Daten (Art. 15 Abs. 1 Buchstabe d DSGVO).“

Genau einen Monat später kam ein Brief der Krankenkasse bei dem Versicherten an. 860 Gramm Papier, etwas mehr als 180 Druckseiten. Im 3-seitigen Anschreiben erklärt die Krankenkasse,

• welche Kategorien von personenbezogenen Daten über den Versicherten gespeichert sind,
• zu welchen Zwecken die Verarbeitung seiner personenbezogenen Daten erfolgt,
• auf welche Rechtsgrundlagen sich die Krankenkasse bei der Verarbeitung dieser personenbezogenen Daten stützt,
• dass sie externe Dienstleister in der Verarbeitung personenbezogener Daten einsetzt (Auftragsdatenverarbeitung),
• an welche Empfänger*innen personenbezogene Daten des Versicherten weitergegeben wurden,
• dass eine Übermittlung personenbezogener Daten in Drittländer (Staaten außerhalb der EU bzw. des Europ. Wirtschaftsraums) nicht erfolgen würde,
• dass ggf. personenbezogene Daten über den Versicherte bei externen Quellen erhoben werden,
• welche unterschiedliche Rechtsgrundlagen und Fristen bei der Löschung personenbezogener Daten zu beachten sind,
• welche weiteren Rechte der Versicherte auf der Grundlage der DSGVO wahrnehmen kann und
• dass eine automatisierte Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO nicht vorgenommen würde.

Das Anschreiben der DAK-Gesundheit an den Versicherten wurde von diesem dem Verein Patientenrechte und Datenschutz e. V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur Veröffentlichung zur Verfügung gestellt. Es in anonymisierter Form hier nachlesbar. Aus den weiteren ca. 180 Seiten, die die DAK als Datenauskunft bereistellt, geht u. a. detailliert hervor,

• wann Besuche bei welchen Ärzt*innen stattfanden,
• welche ICD-Nummern die Ärzt*innen ihren Abrechnungen zugrunde legten,
• was diese verordnet haben,
• welche Apotheken wann welche Medikamente ausgegeben haben,
• an wen die Krankenkasse welche Geldbeträge ausgezahlt hat,
• welchen Schriftwechsel es zwischen der Krankenkasse und den behandelnden Ärzten, aber auch mit dem Versicherten selbst gab

und anderes mehr. Insgesamt eine interessante Lektüre.

Aus diesem Schreiben geht auch hervor,

• bei welchen anderen privatrechtlichen und öffentlich-rechtlichen Institutionen die Krankenkasse sich vorbehält, ggf. auch ohne Kenntnis und vorherige Zustimmung des Betroffenen Auskünfte über den Versicherten einzuholen und
• dass sie personenbezogene Daten des Versicherten an insgesamt 20 namentlich benannte andere datenverarbeitende Stellen weitergegeben hat.

Ein früheres Auskunftsbegehren des Versicherten aus dem Jahr  2020 wurde von der DAK damals weitaus einschränkender beantwortet. Statt über die einzelnen Empfänger*innen personenbezogener Daten zu informieren wurden lediglich Kategorien benannt wie Auftragsverarbeiter, Abrechnungsdienstleister, Archivdienstleister oder IT-Dienstleister.

Interessant die Liste der Empfänger*innen von personenbezogen Daten des Versicherten: Neben Ärzt*innen und Krankenhäusern werden dabei auch Unternehmen benannt, die die Krankenkasse im Wege der Auftragsdatenverarbeitung einsetzt.

Der erste Name: Die Bitmarck Holding aus Essen; ein Unternehmen, das am 03.02.2023 mitteilen musste, dass es am „19.01.2023… einen unbefugten Zugriff auf einen Teil der IT-Infrastruktur von BITMARCK“ gab. „Ein unberechtigter Dritter hatte durch Verwendung gestohlener Zugangsdaten kurzzeitig Zugang zu einem IT-System von BITMARCK, im Darknet wurden als Folge dessen Informationen des Unternehmens geteilt… die nun nahezu abgeschlossene Auswertung hat ergeben, dass im Rahmen des unbefugten Zugriffs auch fragmentierte Datensätze von Versicherten abgeflossen sind.“  

Was hier von Bitmarck etwas verschämt dargestellt wurde, ist in einem Beitrag auf heise.de deutlicher beschrieben: „300.000 Versichertenzugänge von Bitmarck-Leak betroffen… Der für Krankenkassen zuständige IT-Dienstleister Bitmarck ist Opfer eines Cybervorfalls geworden, bei dem nach neuesten Erkenntnissen auch Daten (beispielsweise der Name, das Geburtsdatum, die eindeutige Kartenkennnummer der Versichertenkarte) von ungefähr 300.000 Online-Kunden verschiedener Krankenkassen betroffen sind… Inzwischen prüft auch der Bundesbeauftragte für den Datenschutz (BfDI) den Vorfall und hat Bitmarck in diesem Zusammenhang zu einer Stellungnahme aufgefordert…“

Der Verein Patientenrechte und Datenschutz e. V. stellt für Auskunftsbegehren von Versicherten an ihre Krankenkasse einen leicht zu bedienenden Anfragegenerator zur Verfügung, der bereits fast 1.500 mal genutzt wurde.