BAG-Kreisschreiben: Konkretisierung der datenschutzrechtlichen Vorschriften im Bereich des KVG


Ihr Kontakt

Das Bundesamt für Gesundheit (BAG) hat in einem revidierten Kreisschreiben (Nr. 7.1) die besonderen datenschutzrechtlichen Vorgaben im Bereich der obligatorischen Krankenversicherung konkretisiert. Die aktuelle Fassung ist am 1.1.2022 in Kraft getreten und verdeutlicht, dass gewisse personalisierte Marketingmassnahmen und die Zielgruppenselektion basierend auf Gesundheitsdaten oder Persönlichkeitsprofilen für die (obligatorischen) Krankenversicherer unzulässig sind. Es fehlt gemäss Kreisschreiben an der gesetzlichen Grundlage. Zugleich bekräftigt das BAG zu Recht, dass für eine gültige Einwilligung auch unter dem Krankenversicherungsgesetz (KVG) keine eigenhändige Unterschrift erforderlich ist. Diese wichtige Konkretisierung basiert explizit auf der Einschätzung der Rechtslange, die Lukas Bühlmann und Michael Schüepp in einer Publikation von 2021 aufgezeigt hatten. Das für Versicherer im KVG-Bereich verbindliche Kreisschreiben bringt letztlich in diesem und weiteren Punkten mehr Klarheit, wobei anzumerken ist, dass im Streitfalle die Gerichte das letzte Wort haben werden und diese nicht an das Kreisschreiben gebunden sind.

Inhalt und Bedeutung des Kreisschreibens

In seiner Funktion als Aufsichtsbehörde über die Krankenversicherungsunternehmen veröffentlicht das Bundesamt für Gesundheit regelmässig Kreisschreiben. Diese Kreisschreiben stellen Weisungen im Sinne des Krankenversicherungs-Aufsichtsgesetzes dar (Art. 34 Abs. 3 KVAG). Sie sind somit verbindlich für die Versicherer. Demgegenüber sind aber Gerichte wie auch andere Aufsichtsbehörden wie der Eidgenössische Datenschutzbeauftragte (EDÖB) nicht daran gebunden.

Ende 2021 hat das BAG eine überarbeitete Fassung des Kreisschreibens Nr. 7.1 veröffentlicht, worin die krankenversicherungsrechtlichen Datenschutznormen konkretisiert werden. Im Gegensatz zur bisherigen Version vom 17. Dezember 2015 wurden einige Kapitel (z.B. zum Outsourcing und zu Bearbeitungsreglementen) gestrichen, was allerdings ausdrücklich keine Lockerung bei den Anforderungen im Bereich Datenschutz darstellen soll. Vielmehr wird auf die damit verbundene Rechtsetzung, Rechtsprechung und Lehre verwiesen und weiterhin ein entsprechendes Compliance-Management-System bei den Krankenversicherern vorausgesetzt.

Das Kreisschreiben widmet sich sodann neben den hier hervorgehobenen Aspekten insbesondere auch folgenden Themen: Datenschutz- und Datensicherheitskonzept, dem Risikomanagement und den internen Kontrollsystemen (IKS), dem vertrauensärztlichen Dienst (VAD), der Rechnungsstellung, Gesundheitsfragebogen für Antragssteller, dem Case Management und Vollmachten.

Verhältnis zwischen KVG und DSG und Kompetenzabgrenzung der Aufsichtsbehörden

Im überarbeiteten Kreisschreiben äussert sich das BAG auch kurz zum Verhältnis zwischen dem Datenschutzgesetz (DSG) und dem KVG. So erklärt das BAG, dass die beiden Gesetze nebeneinander Anwendung finden, wobei das DSG als Rahmengesetz durch speziellere Vorschriften im KVG verdrängt wird. Im Übrigen sind allerdings nach wie vor viele Fragen offen und umstritten, die auch durch das neue Kreisschreiben nicht geklärt werden können (vgl. dazu allgemein den Aufsatz von Lukas Bühlmann und Michael Schüepp im Jusletter vom 15. März 2021, Rz. 23 ff.).

Immerhin wird aber näher auf die Kompetenzabgrenzung zwischen dem BAG und dem EDÖB eingegangen. In den Aufgabenbereich des BAG fällt demnach die Überwachung der Durchführung der sozialen Krankenversicherungen. Hierzu zählt das BAG auch die Prüfung der Corporate Governance. Diese verlangt eine Organisation und Geschäftsführung, welche die Einhaltung der gesetzlichen Vorschriften sicherstellt, gerade auch im Bereich des Datenschutzes und der Datensicherheit. Konsequenterweise gibt das neue Kreisschreiben Auskunft über die technischen und organisatorischen Massnahmen, die getroffen werden müssen, damit Gesetzesverstösse im Bereich des Datenschutzes vermieden oder frühzeitig erkannt werden können (vgl. Art. 84b KVG). Namentlich verlangt das BAG von allen Versicherern die Erarbeitung eines umfassenden ganzheitlichen Datenschutz- und Datensicherheitskonzepts. Betont wird zudem die Relevanz eines Compliance-Management-Systems mit Risikomanagement und internen Kontrollmechanismen (IKS).

Die Prüfung, ob solche Massnahmen und Konzepte vorhanden sind, obliegt insofern dem BAG. Die Prüfung der Datenschutzkonformität als solcher bzw. die inhaltliche Rechtmässigkeitskontrolle liege demgegenüber in der Kompetenz des EÖDB. Es wird jedoch betont, dass die beiden Aufsichtsbehörden einen regelmässigen Austausch pflegen, miteinander kooperieren und sich gegenseitig mit ihren Fachkenntnissen im jeweiligen Fachbereich unterstützen.

Klarstellungen im Bereich Datenbearbeitung im Allgemeinen (insb. Profiling)

In Bezug auf die inhaltlichen Anforderungen an die Datenbearbeitung geht das BAG im Kreisschreiben namentlich auf das datenschutzrechtliche Legalitätsprinzip ein. Nach dem Legalitätsprinzip bedarf jede Bearbeitung von Personendaten einer gesetzlichen Grundlage (vgl. Art. 17 DSG). Im KVG bildet Artikel 84 KVG als Generalklausel die zentrale Rechtsgrundlage und gilt für alle Bearbeitungen, die zur Erfüllung der den Krankenversicherern nach dem KVG oder dem KVAG übertragenen Aufgaben. Im Kreisschreiben wird die Generalklausel unter Einbezug der allgemeinen datenschutzrechtlichen Grundsätze konkretisiert.

So folgt gemäss BAG aus dem Grundsatz der Zweckbindung (Art. 4 Abs. 3 DSG), dass Personendaten nur für die Erfüllung der Aufgaben genutzt werden, die im gleichen Zweckrahmen liegen, wie diejenigen Aufgaben, zu deren Erfüllung sie erhoben worden sind. Demnach sei etwa die Bearbeitung von Gesundheitsdaten und Persönlichkeitsprofilen der Versicherten zur Identifizierung von besonderen Zielgruppen für ein Empfehlungsschreiben für gesundheitsfördernde Massnahmen oder für Medikamente nicht mit den erwähnten rechtlichen Grundlagen vereinbar. Da es sich nicht um eine nach dem KVG oder KVAG übertragene Durchführungsaufgabe des Versicherers handle, sei eine gezielte gesundheits- oder krankheitsspezifische Empfehlung an selektionierte Versicherte nicht durch Art. 84 KVG abgedeckt. Insofern fehle für eine solche Personendatenbearbeitung die erforderliche gesetzliche Grundlage und diese unzulässige Datenbearbeitung sei infolgedessen zu unterlassen.

Unter dem revidierten Datenschutzrecht ist ferner zu beachten, dass für das Profiling durch Bundesorgane ohnehin eine besondere gesetzliche Grundlage verlangt wird (vgl. Art. 34 Abs. 2 lit. b nDSG). Eine entsprechende Anpassung des KVG ist jedoch nicht geplant. Soweit die Krankenversicherer somit nicht im Einzelfall privatrechtlich handeln und damit den Vorschriften für private Personen unterstellt wären, die keine gesetzliche Grundlage verlangen, werden sie künftig auf die Durchführung von Profiling-Massnahmen verzichten müssen.

Klarstellungen im Bereich der Datenbekanntgabe im Besonderen (insb. Einwilligung)

Die sozialversicherungsrechtliche Schweigepflicht untersagt sämtlichen Mitarbeitenden eines Versicherers die Bekanntgabe von Personendaten an Dritte (Art. 33 ATSG). Ausnahmen von dieser Pflicht können allerdings gesetzlich vorgesehen sein. In diesem Sinne verlangt auch das datenschutzrechtliche Legalitätsprinzip eine besondere Grundlage für die Bekanntgabe von Personendaten durch ein Bundesorgan (vgl. Art. 19 DSG). Eine solche ausnahmsweise Ermächtigung sieht das KVG in Artikel 84a für besondere Konstellationen und unter eingeschränkten Voraussetzungen vor.

Einer dieser Fälle, welche die Krankenversicherer zu einer Datenbekanntgabe an einen Dritten ermächtigen, ist die «schriftliche Einwilligung im Einzelfall» (vgl. Art. 84a Abs. 5 lit. b KVG). In seinem Kreisschreiben erläutert das BAG nun, wann eine nach dieser Bestimmung gültige Einwilligung vorliegt. Dabei folgt es ausdrücklich der Auslegung, welche Lukas Bühlmann und Michael Schüepp in einer Publikation von 2021 (vgl. Rz. 39 ff. und Rz. 126 ff.) aufgezeigt hatten. So bekräftigt das BAG zunächst, dass sich eine Einwilligung im Einzelfall auch auf mehrere Bekanntgaben beziehen kann. Ausgeschlossen sei aber eine regelmässige und systematische Datenbekanntgabe in automatisierten Verfahren (z.B. in Form von Listen), namentlich nicht auf der Grundlage von Pauschalvollmachten. Was unter den Einschränkungen «systematisch», «regelmässig» und «automatisiert» oder unter dem Beispiel «Listen» konkret verstanden wird, wird aber leider auch vom BAG nicht erläutert.

Darüber hinaus hält das BAG aber richtigerweise und anders als das Bundesverwaltungsgericht (vgl. MLL-News vom 28.4.2019) fest, dass die Schriftlichkeit der Einwilligung nicht eine eigenhändige Unterschrift erfordert. Vielmehr müsse die Einwilligung nur in einer Form erteilt werden, die einen Nachweis durch Text ermögliche. Erforderlich sei demnach, dass die Einwilligungserklärung beim Empfänger in visuell wahrnehmbarer, physisch reproduzierbarer Form eintreffe. Die Umsetzung dieser Anforderung lässt sich auch im Rahmen von Online-Anmelde- oder Bestellprozessen durchführen (vgl. zum Ganzen ausführlich den Jusletter-Aufsatz vom 15. März 2021, Rz. 126 ff.).

Fazit

Die Neuauflage des Kreisschreibens bringt somit wesentliche Klarstellungen der datenschutzrechtlichen Vorschriften im Bereich des KVG. Dies gilt in besonderem Ausmass in Bezug auf die Anforderungen an die gesetzlich erlaubten Datenbearbeitungen und -bekanntgaben. Besonders positiv zu werten, ist die differenzierte Haltung und Abweichung vom Standpunkt des Bundesverwaltungsgerichts zum Erfordernis der Schriftlichkeit. Noch ist allerdings ungewiss, ob die Gerichte, welche nicht an das Kreisschreiben gebunden sind, dieser Auffassung folgen werden. Vor diesem Hintergrund empfiehlt es sich, bis auf Weiteres Vorsicht walten zu lassen und vor der Umsetzung neuer Massnahmen eine Risikoabwägung vorzunehmen.

  

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 01/22 mit Beiträgen zu Viagogo II, Auskunftsrecht, Lex Booking u.v.m.!

Zugang MLL-News 01/22

Jetzt anmelden!

Unsere Geschichte

MLL ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL on Social Media

Folgen  Sie uns auf LinkedIn und Twitter.