Dürfen die Krankenkassen Fotos der Versicherten dauerhaft speichern?
Daten sind im digitalen Zeitalter so wertvoll wie Erdöl, der Datenschutz eine Millennium-Herausforderung. Diese Herausforderung hat der europäische Normengeber erkannt und die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) erlassen, deren Bedeutung und Reichweite in der Praxis, auch seitens der Anwaltschaft, vielerlei unterschätzt wird.
Erwägungsgrund 1 zur DSGVO statuiert:
“Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. 2Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.”
Dass der Datenschutz ein Grundrecht ist, ist in Deutschland eigentlich keine Neuigkeit. Denn das Bundesverfassungsgericht hatte bereits im Jahr 1983 (und da war der Verfasser noch nicht einmal gezeugt) in seiner berühmten Entscheidung zum Volkszählungsgesetz, Urteil vom 15. Dezember 1983 - 1 BvR 209/83, im 1. und 2. Leitsatz unmissverständlich klargestellt:
1. Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
2. Einschränkungen dieses Rechts auf „informationelle Selbstbestimmung“ sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muß. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.
Man könnte nun meinen, mit der Entscheidung seien alle möglichen grundsätzlichen Fragen der informationellen Selbstbestimmung geklärt. So einfach ist es aber nicht. Die Erfahrung belehrt einen immer eines Besseren, wie auch das Urteil des Bundessozialgerichts vom 18.12.2018 - B 1 KR 31/17 R.
Jeder Bundesbürger dürfte heute eine sogenannte elektronische Gesundheitskarte (eGK), die wie der Personalausweis mit Lichtbild versehen ist, besitzen. Ein recht schlauer Versicherter wollte aber aus Datenschutz, dass seine Krankenkasse ihm eine eGK ohne Lichtbild ausstellt, hilfsweise das Lichtbild nicht bis zum Ende des Versicherungsverhältnisses speichert. Haupt- und Hilfsantrag lehnte die Krankenkasse ab. Sie war der Auffassung, dass sie Sozialdaten erheben und speichern darf, wenn sie für die Ausstellung einer Krankenversichertenkarte erforderlich sind. Unter "Ausstellung" sei die Erst- und die Ersatzausstellung zu verstehen. Die Pflicht zur Speicherung erlösche erst mit Beendigung des Versicherungsverhältnisses. Der schlaue Bürger ließ sich das nicht gefallen und klagte. Das Sozialgericht Konstanz wies die Klage mit der Begründung der Krankenkasse ab, die Berufung zum Landessozialgericht in Stuttgart hatte keinen Erfolg. Der Kläger legte Revision zum Bundessozialgericht ein. Während des Revisionsverfahrens trat die DSGVO in Kraft. In Art. 17 ist das Recht auf Löschung ("Recht auf Vergessenwerden") verankert. Abs 1 a) besagt:
“Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.”
Auf Grundlage dieser Norm gab das Bundessozialgericht dem Kläger teilweise Recht. Zwar dürfen die Krankenkassen gemäß § 35 Sozialgesetzbuch (SGB) I personenbezogene Daten erheben, wenn ihre Kenntnis zur Erfüllung einer Aufgabe nach diesem Gesetzbuch erforderlich ist. Ein Lichtbild ist erforderlich, um eine eGK auszustellen. Insoweit bestehen keine datenschutzrechtlichen Bedenken. Allerdings darf das für die Ausstellung einer eGK erhobene Lichtbild nicht bis zum Ende des Versicherungsverhältnisses gespeichert werden. Nach der Ausstellung hat die Krankenkasse das gespeicherte Lichtbild unverzüglich zu löschen, weil es für die Zwecke, für die sie es erhob, nicht mehr notwendig ist. So liegt es, wenn die hiermit erstellte eGK in den Herrschaftsbereich des Versicherten übermittelt ist. Damit folgte das Bundessozialgericht dem bereits vor Geltung der DSGVO vertretenen Standpunkt des Sozialgerichts Berlin, Urteil vom 27. Juni 2017 – S 208 KR 2111/16 –, juris (Berliner sind Vorreiter im Bereich der Freiheitsrechte. Ab nach Berlin!).
Diese Entscheidung darf nicht unterschätzt werden. Gemäß Erwägungsgrund 75 zur DSGVO können die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus der Verarbeitung personenbezogener Daten hervorgehen, die zu einem materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem finanziellen Verlust, einer Rufschädigung, oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.
Ein Nachteil kann Ihnen schon daraus erwachsen, dass ein Lichtbild in einer elektronischen Akte angelegt ist. Schließlich können Sie nicht immer wissen, wer bei einer Behörde / einer Krankenkasse im konkreten Fall, z.B. im Falle einer Kostenübernahme, entscheidet und wie dieser Mensch “tickt”. Gerade bei Ermessensentscheidungen, d.h. Entscheidungen, bei denen der Behörde ein Beurteilungsspielraum zusteht, können sachfremde Gesichtspunkte die Entscheidungsfindung beeinflussen. Vertrauen ist gut, Kontrolle besser.
Gehen Sie sparsam mit ihren personenbezogenen Daten um; machen Sie keine Kompromisse beim Datenschutz; machen Sie von Ihrem Auskunftsrecht und den Betroffenenrechten nach den Art. 12 ff. DSGVO Gebrauch. Gehen Sie gegen etwaige Verstößen entschieden vor. In vielen Fällen stehen Ihnen öffentlich-rechtliche Abwehransprüche sowie zivilrechtliche Ansprüche zu. Ihr Anwalt steht Ihnen beratend und wohlwollend zur Seite!