Verhandlungstermin
20.01.2021 12:00 Uhr
In den Fällen B 1 KR 7/20 R und B 1 KR 15/20 R streiten die Beteiligten jeweils über die Obliegenheit Versicherter, die Berechtigung zur Inanspruchnahme von Leistungen der gesetzlichen Krankenversicherung (GKV) mittels elektronischer Gesundheitskarte (eGK) nachzuweisen.
Um Leistungen der GKV in Anspruch nehmen zu können, müssen die Versicherten ihre Berechtigung grundsätzlich mit der eGK nachweisen. Auf der eGK ist bei Versicherten, die älter als 14 Jahre sind, ein Lichtbild aufgebracht. Außerdem enthält sie auf dem "Chip" verschiedene Verwaltungsdaten der Versicherten, wie Name, Geschlecht, Anschrift, Versichertenstatus und Krankenversicherungsnummer. Diese Daten werden im Rahmen von Arztbesuchen online mit den bei der Krankenkasse vorliegenden Daten abgeglichen und gegebenenfalls aktualisiert. Dafür wird ein eigenes Netz, die sogenannte Telematikinfrastruktur (TI) genutzt. Die eGK dient daher auch als "Schlüssel" für die Authentifizierung beim Zugang zur TI. Die TI vernetzt die Akteure der GKV und ermöglicht den Austausch digitaler Informationen, unter anderem im Zusammenhang mit der elektronischen Patientenakte.
L. ./. BARMER
Die bei der beklagten Krankenkasse versicherte Klägerin lehnte es ab, ein Foto für die eGK zur Verfügung zu stellen, und beantragte die Ausstellung eines Berechtigungsnachweises in papiergebundener Form. Sie widerspreche der Einführung der eGK und der TI. Die Beklagte lehnte die Ausstellung einer Ersatzbescheinigung ab. Das SG hat die dagegen erhobene Klage abgewiesen. Im Berufungsverfahren hat die Klägerin unter anderem die Einholung von Auskünften der Gesellschaft für Telematik sowie die Anhörung unabhängiger IT-Experten als Sachverständige beantragt. Die gesetzlichen Regelungen zur eGK und zur TI seien wegen Verstoßes gegen das Recht auf informationelle Selbstbestimmung nicht mit dem Grundgesetz vereinbar. Die auf der eGK unverschlüsselt und nicht löschbar gespeicherten Daten könnten jederzeit unzulässig erweitert und damit Metadaten produziert werden. Systemadministratoren könnten die in zentralen Rechenzentren mit nur mittlerem Schutzbedarf gespeicherten Versichertendaten einsehen und sogar verändern. Mit der lebenslang selben Versichertennummer würden alle ihre Daten für immer auffindbar und ihr zurechenbar, damit würde ihr "Recht auf Vergessen" verletzt. Bei den Krankenkassen gebe es eine nur unzureichende Datensicherheit, und es bestehe die Gefahr von Profilbildungen durch die Weitergabe von personenbeziehbaren Gesundheitsdaten. Die Schutzeinstellung des Bundesamts für Sicherheit in der Informationstechnik entspreche nicht der realen Gefährdung. Zudem seien die Zugriffsprotokollierungen unvereinbar mit den Patientenrechten aus dem europäischen Recht. Es sei europarechtswidrig keine Datenschutz-Folgenabschätzung vorgenommen worden. Beim Anschluss der Arztpraxen an die TI sei es zu diversen Datensicherheitsmängeln gekommen.
Das LSG hat die Berufung der Klägerin zurückgewiesen (Urteil vom 29.8.2019). Die Klägerin habe auf der Grundlage der gesetzlichen Regelungen über die eGK keinen Anspruch auf Ausstellung eines anderen Berechtigungsnachweises als auf die der eGK. An der Verfassungsmäßigkeit der maßgebenden gesetzlichen Bestimmungen bestünden keine Zweifel. Der Eingriff in das informationelle Selbstbestimmungsrecht sei nach wie vor durch das überwiegende Allgemeininteresse gerechtfertigt. Aus den von der Klägerin vorgebrachten Zweifeln an der Datensicherheit ergebe sich keine andere Beurteilung. Risiken durch kriminelle Eingriffe könnten nicht gänzlich ausgeschlossen werden. Es seien jedoch ausreichende Vorkehrungen gegen unberechtigte Zugriffe getroffen worden. Die Klägerin habe ihre Zweifel an einer ausreichenden Datensicherheit zwar umfangreich begründet, letztlich handele es sich jedoch um Vermutungen und Befürchtungen, die nicht belegt seien. Der Gesetzgeber bleibe weiterhin verpflichtet, die Daten der Versicherten gegen zweckfremde Verwendung und sonstigen Missbrauch zu schützen und auf sich eventuell künftig zeigende Sicherheitslücken zu reagieren.
Mit ihrer Revision rügt die Klägerin eine Verletzung von § 103 SGG, Art 103 Abs 1 GG sowie ihres Grundrechts auf informationelle Selbstbestimmung (Art 2 Abs 1 iVm Art 1 Abs 1 GG). Das LSG hätte die von ihr gestellten Beweisanträge zu den Datensicherheitsmängeln des Systems der eGK und der TI nicht unberücksichtigt lassen dürfen. Die TI sei zwischenzeitlich hinreichend verfestigt und der durch die Obliegenheit zur Nutzung der eGK begründete Eingriff in das Recht auf informationelle Selbstbestimmung aufgrund der unzureichenden Datensicherheit insgesamt nicht verhältnismäßig. Das im tatsächlichen Betrieb von eGK und TI vorhandene Schutzniveau habe jedenfalls zur Zeit noch nicht das für eine zumutbare Grundrechtseinschränkung erforderliche Ausmaß erreicht. Die Neuregelungen durch das Patientendaten-Schutz-Gesetz änderten daran nichts. Allein durch normative Akte könne die erforderliche faktische Datensicherheit nicht hergestellt werden. Die Frage der Datensicherheit der eGK und der TI betreffe generelle Tatsachen, die auch einer Aufklärung im Revisionsverfahren zugänglich seien.
Vorinstanzen:
Sozialgericht Trier - S 3 KR 17/17, 19.06.2018
Landessozialgericht Rheinland-Pfalz - L 5 KR 303/18, 29.08.2019
Die Vorschau zu dem Verhandlungstermin des Senats an diesem Sitzungstag finden Sie auch in der Terminvorschau 2/21.
Der Senat hat die Revision der Klägerin zurückgewiesen. Die Beklagte lehnte es rechtmäßig ab, die Klägerin mit einem anderen Berechtigungsnachweis als der elektronischen Gesundheitskarte (eGK) auszustatten. Die gesetzlichen Regelungen zur eGK stehen mit den Vorgaben der Datenschutzgrundverordnung in Einklang und verletzen die Klägerin weder in ihrem Grundrecht auf informationelle Selbstbestimmung noch in ihren Grundrechten nach der Europäischen Grundrechtecharta. Ob die Datenschutzgrundverordnung im Rahmen der gesetzlichen Krankenversicherung unmittelbar Anwendung findet oder lediglich über die Auffangregelung des § 35 Abs 2 Satz 2 SGB I, kann insofern dahingestellt bleiben. Ebenfalls dahingestellt bleiben kann, ob vorliegend die Grundrechte des Grundgesetzes oder diejenigen der Europäischen Grundrechtecharta Anwendung finden. Denn der Grundrechtseingriff, der in der Obliegenheit zur Nutzung der eGK liegt, ist nach beiden Maßstäben gerechtfertigt. Der Gesetzgeber will mit der eGK, soweit es um die Pflichtangaben geht, den Missbrauch von Sozialleistungen bei der Inanspruchnahme vertragsärztlicher Leistungen verhindern und die Abrechnung mit den Leistungserbringern erleichtern. Die Verarbeitung der personenbezogenen Daten der Versicherten ist dabei auf das für die Erreichung dieser legitimen Zwecke zwingend erforderliche Maß beschränkt. Mit den durch das Patientendaten-Schutz-Gesetz neu gefassten Regelungen des SGB V zur eGK und zur Telematikinfrastruktur hat der Gesetzgeber ausreichende Vorkehrungen zur Gewährleistung einer angemessenen Datensicherheit getroffen. Dabei ist er auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen, indem er unter anderem auf die in der Praxis zu Tage getretenen datenschutzrechtlichen Defizite und Sicherheitsmängel reagiert und entsprechende Gegenmaßnahmen ergriffen hat. Die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit der eGK und der Telematikinfrastruktur ist durch die zuständigen Aufsichtsbehörden zu überwachen. Die Versicherten können im Rahmen der speziellen datenschutzrechtlichen Rechtsbehelfe eine Verletzung ihrer Rechte gerichtlich überprüfen lassen. Die gesetzliche Obliegenheit zur Nutzung der eGK und deren Verfassungsmäßigkeit werden hierdurch nicht tangiert. Dafür, dass die Beklagte selbst die gesetzlichen Grundlagen verlassen hat, bestehen keine Anhaltspunkte.
Die Berichte zu dem Verhandlungstermin des Senats an diesem Sitzungstag finden Sie auch in dem Terminbericht 2/21.
© Bundessozialgericht - 2024
