Sachverhaltsabklärung des EDÖB: Datenbearbeitung im vertrauensärztlichen Dienst der CSS Kranken-Versicherung AG
Bern, 27.04.2007 - Im Rahmen seiner Funktion als Datenschutzaufsichtsbehörde hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Sachverhaltsabklärung beim vertrauensärztlichen Dienst der CSS-Kranken-Versicherung AG durchgeführt und dabei Mängel festgestellt. Er hat am 17. April 2007 sechs Empfehlungen zu Handen der CSS erlassen. Diese hat 30 Tage Frist, um die Empfehlungen anzunehmen oder abzulehnen.
Anfang 2006 wurde in der Presse über mögliche Datenschutzverletzungen in der CSS, namentlich im Bereich des vertrauensärztlichen Dienstes (VAD), berichtet. Insbesondere wurde gemeldet, dass eine unverhältnismässig grosse Zahl von CSS-Mitarbeitenden – die Rede war von rund 400 Personen – Zugriff auf sensitive Versichertendaten hatten. Der EDÖB entschied im Mai desselben Jahres, im Rahmen seiner Aufsichtstätigkeit eine Sachverhaltsabklärung im Sinne von Art. 27 des Bundesgesetzes über den Datenschutz (DSG) durchzuführen.
Diese hat nun ergeben, dass der Datenschutz beim VAD der CSS tatsächlich Mängel aufwies bzw. nach wie vor aufweist. Wegen des fehlenden standardisierten Verfahrens für die Berechtigungsvergabe kann rückwirkend indessen nicht mehr festgestellt werden, ob auch Unberechtigte Zugang zum sensiblen Bereich des VAD erhielten. Dies ist im Rahmen des vom BAG im Mai 2006 eingeleiteten Strafverfahrens abzuklären. Die Frage, ob tatsächlich rund 400 Personen Zugang zu diesem Bereich hatten, muss also vorerst offen bleiben.
Gemäss den Angaben der CSS hatten zum damaligen Zeitpunkt rund 150 Personen eine Berechtigung zu den sensiblen Daten des Systems. Diese Zahl wurde von der CSS selber nach den Medienberichten auf rund 120 reduziert.
Gestützt auf die Ergebnisse der Sachverhaltsabklärung hat der EDÖB am 17. April 2007 sechs Empfehlungen zu Handen der CSS erlassen, um die Datenschutzkonformität des VAD der CSS zu gewährleisten.
Die erste Empfehlung zielt auf einen besseren Schutz der Patientendossiers. Diese werden zum überwiegenden Teil heute noch in Papierform bearbeitet und entsprechend aufbewahrt. Die Räumlichkeiten der VAD-Mitarbeitenden sind von den Arbeitsplätzen der übrigen CSS-Mitarbeitenden nicht getrennt, so dass auch keine systematische Zugangskontrolle erfolgt. Der EDÖB empfiehlt, dass dem VAD die notwenigen getrennten Räumlichkeiten und Infrastrukturmittel zur Verfügung gestellt werden. Die Daten des VAD sind gegenüber der Versicherung und gegenüber Dritten stets vertraulich zu halten.
Die zweite Empfehlung soll die Unabhängigkeit des VAD stärken. Dieser kommt bei der CSS nämlich nicht nur in der Grundversicherung gemäss Krankenversicherungsgesetz (KVG) zum Einsatz, sondern wird auch für Fälle im Bereich der Zusatzversicherungen (VVG) als gesellschaftsärztlicher Dienst beigezogen. Dieser Interessenskonflikt kann dazu führen, dass die vorgeschriebene Unabhängigkeit im Bereiche der Grundversicherung nicht genügend gewahrt werden kann. Der EDÖB erachtet deshalb eine strikte personelle Trennung des VAD im KVG-Bereich vom Gesellschaftsarzt im VVG-Bereich als unerlässlich.
Auch die dritte Empfehlung zielt auf die Stärkung der Unabhängigkeit des VAD. So ist der Leiter des VAD künftig nicht mehr wie bis anhin dem Leiter Geschäftsbereich Leistung zu unterstellen, sondern direkt der Geschäftsleitung beizuordnen.
Die vierte und fünfte Empfehlung befassen sich mit der Zugriffsvergabe im elektronischen Anfragebewirtschaftungssystem des VAD. So fordert der EDÖB in seiner vierten Empfehlung, dass sicherzustellen ist, dass Mitarbeitende der Administration bei Ablehnungsentscheiden keinen Zugriff auf sensitive Informationen über Versicherte haben dürfen.
Die Aufgaben und Pflichten der medizinischen Expertinnen und Experten mit Zugang auf sensitive Bereiche, so die fünfte Empfehlung, sind möglichst detailliert zu beschreiben. Die Anzahl der Zugangsberechtigten mit solchen erweiterten Rechten ist möglichst klein zu halten und ständig zu überprüfen.
In seiner sechsten Empfehlung schliesslich fordert der EDÖB die CSS auf, ihren VAD im Rahmen eines externen Audits auf seine Datenschutzkonformität hin zu überprüfen. Dem EDÖB erscheint nämlich die von der CSS angegebene Anzahl von ungefähr 120 Zugriffsberechtigten zum sensiblen Bereich des VAD zu hoch. Die mit Blick auf die Verhältnismässigkeit und Zweckmässigkeit richtige Zahl muss durch eine detaillierte und fundierte Analyse der internen Prozesse festgelegt werden. Die CSS selber konnte während der Sachverhaltsabklärung weder über die effektive, noch über die notwendige Anzahl Zugriffsberechtigungen genaue Angaben liefern. Dies macht die Bedeutung einer unabhängigen, externen und systematischen Auditierung deutlich. Eine solche Überprüfung ist wegen der Komplexität der Sache, der möglichen Veränderungen und dem hohen Gefährdungspotential in regelmässigen zeitlichen Abständen zu wiederholen.
Die CSS teilt dem EDÖB innerhalb von 30 Tagen nach Erhalt der Empfehlungen mit, ob sie sie akzeptiert oder nicht. Falls die Empfehlungen abgelehnt oder nicht befolgt werden, kann der EDÖB die Angelegenheit dem Eidgenössischen Departement des Innern zum Entscheid vorlegen.
Herausgeber
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
http://www.edoeb.admin.ch/
