II.  Update      Wertvolle Erkenntnisse aus Krankenkassen-Rückantworten zum Datenauskunftsschreiben

Zwei bespielhafte Antwortschreiben von Krankenkassen sind Reaktionen auf gemeinsam mit den Versicherten entwickelten Auskunftsschreiben der dritten Generation. Beide Schreiben geben einen tiefen Einblick ins Geschehen und decken auf dass den Krankenkassen die komplexe technische Seite des eGK/TI-Systems und die damit verbundenen Probleme sehr bewußt sind. Ohne  die fachkundigen Nachfragen der Versicherten wären diese Informationen allerdings nicht so ohne weiteres gegeben worden!

Krankenkasse 1 spricht von unscharfen Zwecken der Datenspeicherung und Grenzüberschreitung der Auskunftspflicht

Krankenkasse 2 spricht von der neuen Krankenversicherungsnummer, generiert aus der Rentenversicherungsnummer, von arvato, der Cloud und sicheren Kanälen der Datenübertragung.

Antrag auf Datenauskunft nach § 83 SGB


Sehr geehrter Herr *,


mit Schreiben vom * und * beantragten Sie die Datenauskunft gemäß § 83 SGB X.

Wir haben Ihrem Antrag entsprochen und unter dem * die gewünschte Datenauskunft vollständig erteilt.

In einem weiteren Schreiben vom * teilen Sie uns mit, dass unsere Datenauskunft für Sie unzureichend wäre.

Zum Gegenstand der Datenauskunft gestatten Sie uns bitte folgende grundsätzliche Ausführungen:

Das Auskunftsrecht erstreckt sich auf alle gespeicherten Sozialdaten, d.h. alle Angaben über die persönlichen und sächlichen Verhältnisse des Betroffenen. Durch gesetzliche Regelung umfasst der Auskunftsanspruch über die eigentlichen Sozialdaten hinaus auch die Erhebungsquelle des Leistungsträgers (§ 83 Abs. 1 Nr. 1 SGB X) sowie über Empfänger oder Kategorien von Empfängern (§ 83 Abs. 1 Nr. 2 SGB X), an die Daten weitergegeben werden. Außerdem erstreckt sich das Auskunftsrecht auf die Zweckbestimmung der Speicherung (§ 83 Abs. 1 Nr. 3 SGB X).

Der Zweck der Speicherung ist hierbei unscharf, da sich verschiedene Haupt-, Nebenbzw. Unterzwecke einer Datenverarbeitung definieren lassen. Da sich für den Betroffenen die Relevanz der Verarbeitung seiner Sozialdaten oft nur vor dem Hintergrund der Zielrichtung erschließt, hat die Behörde den Anspruch auf Information über den Zweck der Speicherung auf möglichst niedriger Abstraktionsebene zu erfüllen.


Die Art der Auskunft muss den Betroffenen in die Lage versetzen, zumindest in groben Zügen den Verwendungszusammenhang seiner Sozialdaten nachvollziehen Lind dessen Bedeutung bewerten zu können. Die Auskunft muss verständlich sein, d.h. Speicherauszüge sind gegebenenfalls zu erläutern (Hauck/Noftz Kommentar SGB X).

Nach Bewertung der genannten Kriterien ist abzuleiten, dass die durch uns erteilte Datenauskunft ausreichend und vollständig ist. Ein Rechtsmangel in der Bearbeitung kann nicht festgestellt werden.

Die Beurteilung von Inhalt und Tragweite der von Ihnen im Schreiben vom * zitierten Weblinks sowie der daraus gezogenen Rückschlüsse übersteigt die Grenzen der Auskunftspflicht nach § 83 SGB X.

Aus diesem Grund bitten wir um Verständnis, dass eine Stellungnahme zu den genannten Ausführungen unterbleibt.
 

Datenauskunft nach § 83 SGB X/§ 19 „Auskunft an den Betroffenen" (BDSG)

Sehr geehrter Herr *,

vielen Dank für Ihr Schreiben vom *

in Bezug auf Ihr Auskunftsbegehren möchten wir zunächst darauf hinweisen, dass nach § 83 Satz 2 SGB X die Art der Sozialdaten, über die Auskunft erteilt werden soll, näher bezeichnet werden soll. Da die Daten bei der ** nicht ausschließlich in automatisierter Form und innerhalb einer Datenbank gespeichert werden, ist eine Auskunft über alle Daten nur mit einem unverhältnismäßigen Aufwand möglich. Sofern Sie also weiterhin Interesse an den in unserem Hause zu Ihrer Person gespeicherten Daten haben, bitten wir Sie erneut, uns entsprechend ergänzende Angaben zu der Art der Daten zu machen, auf die sich Ihre Auskunft stützt.

Zum Thema elektronische Gesundheitskarte (eGK) möchten wir Ihnen mitteilen, dass die Herstellung, die Personalisierung und die Lichtbildeinholung für die eGK nicht bei der ** selbst stattfindet sondern als Datenverarbeitung im Auftrag.

Dementsprechend wurde mit der Herstellung und Personalisierung die Firma Gemalto GmbH beauftragt. Die zuvor stattfindende Lichtbildeinholung findet ebenfalls als Auftragsleistung über die Firma Swiss Post Solutions GmbH (SPS) statt. Die „Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag" ist nach § 80 SGB X rechtens und bei der zuständigen Aufsichtsbehörde angezeigt.

Die Datenverarbeitung im Auftrag findet unter denselben Bedingungen statt, wie sie auch für die ** selbst gelten (vgl_ § 80 Absatz 2 Satz 1 SGB X). So wird z. B. die Einhaltung der datenschutzrechtlichen Bestimmungen regelmäßig in den Unternehmen durch zertifizierte Auditoren geprüft.

Bis November 2014 war die Firma arvato AG für den Prozess der Lichtbildeinholung zuständig. Dieses Unternehmen hat nach Beendigung des Vertragsverhältnisses alle Daten gelöscht und uns dieses auch schriftlich bestätigt. Daher sind aus Sicht der ** dort keine Daten mehr gespeichert.

Ihre Frage, ob Daten in der „Cloud" gespeichert sind, lässt sich wie folgt beantworten: Der Ausdruck Cloud bezeichnet üblicherweise ein Cloud-Computing-System, welches die Speicherung in einem „entfernten" Speicherort beschreibt, auf das der Zugriff mittels IT-gestützter Kommunikationsmittel möglich ist. Technischer formuliert umschreibt das Cloud-Computing den Ansatz, abstrahierte IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Je nach Definition und eigener Auslegung, sind viele aktuell verwendete Systeme eine Art Cloud-Computing-System. Jeglicher Datenaustausch mit den beauftragten Unternehmen findet über gesicherte/verschlüsselte Kanäle statt, so dass eine unberechtigte Verarbeitung von personenbezogenen Daten auszuschließen ist.

Wie von Ihnen angesprochen, ist die ** - genau wie alle anderen gesetzlichen Krankenkassen - nach § 290 Satz 2 SGB V gesetzlich dazu verpflichtet eine bundeseinheitliche Krankenversicherungsnummer zu generieren und zu führen. Die Krankenkassen verwenden für die Identifikation der Versicherten und deren Angehörigen (vgl. § 10 SGV) eine Krankenversicherungsnummer. Der Aufbau wird gemäß § 290 Absatz 2 Satz 1 SGB V vom GKV-Spitzenverband vorgenommen. Die Rentenversicherungsnummer einer versicherten Person darf selber nicht als Identifikationsmerkmal verwendet werden (vgl. § 290 Absatz 1 Satz 4). Da die Richtlinien nach § 290 Absatz 2 eingehalten werden, darf die Rentenversicherungsnummer von versicherten Personen allerdings zur Generierung der 10-stelligen Krankenversicherungsnummer verwendet werden. Hierbei ist auch sichergestellt, dass gemäß § 290 Absatz 1 Satz 5 eine Rückschlüsselung ausgeschlossen ist. Die 10-stellige Krankenversicherungsnummer wird auch für die Abrechnung mit den Leistungserbringern verwendet. So z.B. bei der Abrechnung mit der KVWL oder der KVSH. Da als Versicherungsnachweis ab dem 01.01.2015 nur noch die eGK gilt, ist für die Abrechnung die 10-stelfige Krankenversicherungsnummer dringend erforderlich.

Wir hoffen, dass wir Ihre Fragen hiermit hinreichend beantworten konnten.

 Neue Positionen für den Widerstand gegen die elektronische Gesundheitskarte (eGK) und telematische Infrastruktur (TI) auf Basis technischer Analysen und neuerer Meldungen zur eGK/TI

2002063

Gesamtarchitektur EGK und TI: Telematische Infrastruktur (TI-System), Komponenten und Rechenzentren

Rolf D. Lenkewitz

Impressum

Inhalte sind lizensiert unter Creative Commons
news2

Impressum

www.rdlenkewitz.eu