Um Leistungen der Gesetzlichen Krankenversicherung (GKV) in Anspruch nehmen zu können, müssen Versicherte ihre Berechtigung grundsätzlich mit der elektronischen Gesundheitskarte (eGK) nachweisen. Das hat der 1. Senat des Bundessozialgerichts (BSG) entschieden.
»Die Kläger hatten geltend gemacht, die elektronische Gesundheitskarte (eGK) und die dahinter stehende Telematikinfrastruktur wiesen Sicherheitsmängel auf, sensible Daten seien nicht ausreichend vor unberechtigtem Zugriff geschützt. Das Bundessozialgericht ist dem nicht gefolgt. Um Leistungen der GKV in Anspruch nehmen zu können, müssen Versicherte ihre Berechtigung grundsätzlich mit der eGK nachweisen«, so das BSG: Keine Leistungen der gesetzlichen Krankenversicherung (GKV) ohne elektronische Gesundheitskarte.
»In den Ausgangsfällen aus Nordrhein-Westfalen und Rheinland-Pfalz hatten sich Versicherte der Barmer Krankenkassen und der AOK Nordwest geweigert, eine elektronische Gesundheitskarte zu nutzen und ein Bild zur Verfügung zu stellen. Sie sind mit einem Chip ausgestattet, auf dem Name, Anschrift, Versichertenstatus und -nummer gespeichert sind. Das Bild dient der Identifikation. Die Kläger fühlten sich durch das System und den Online-Datenabgleich zwischen Ärzten und Krankenkassen nicht ausreichend geschützt. Wie in den Vorinstanzen beriefen sie sich auf ihr Recht, selbst über die Preisgabe und Verwendung ihre persönlichen Daten bestimmen zu dürfen („informationelle Selbstbestimmung“)«, berichtet Marcus Jung in seinem Artikel Keine Alternative zur elektronischen Gesundheitskarte.
»Die auf der Chipkarte gespeicherten Daten und die dahinter stehende zentralisierte Datenverarbeitung seien nicht sicher, argumentierten sie. In den Vorinstanzen hatten die Kläger verloren. Die Landessozialgerichte hätten es sich aber zu einfach gemacht, indem sie die Argumente als „bloße Vermutung und Mutmaßungen“ abgetan hätten, sagte der Rechtsanwalt beider Kläger«, so dieser Bericht: Papier ist keine Alternative zur Gesundheitskarte.
Die eGK ist mit einem Lichtbild versehen sowie einem „Chip“. Dieser enthält verschiedene Versichertendaten, wie z.B. Name, Geschlecht, Anschrift, Versichertenstatus und Krankenversicherungsnummer als Pflichtangaben. Diese Daten werden bei Arztbesuchen online mit den bei der Krankenkasse vorliegenden Daten abgeglichen und gegebenenfalls aktualisiert. Dafür wird die sogenannte Telematikinfrastruktur genutzt, die die Akteure der GKV vernetzt. Die eGK dient auch als „Schlüssel“ für die Authentifizierung beim Zugang zur Telematikinfrastruktur, etwa zur elektronischen Patientenakte.
Das BSG ist in den beiden Verfahren (Aktenzeichen B 1 KR 7/20 R; B 1 KR 15/20 R) der Argumentation der Kläger nicht gefolgt:
»Die Vorschriften über die eGK stehen mit den Vorgaben der Europäischen Datenschutzgrundverordnung (DGSVO) in Einklang. Der Gesetzgeber will mit der eGK, soweit es um die Pflichtangaben geht, den Missbrauch von Sozialleistungen verhindern und die Abrechnung von Leistungen der Ärzte erleichtern. Er verfolgt damit legitime Ziele. Die Verarbeitung personenbezogener Daten ist auf das zwingend erforderliche Maß beschränkt. Der Verhältnismäßigkeitsgrundsatz ist gewahrt. Der Gesetzgeber hat ein umfangreiches Netz an Regelungen erstellt, das die Datensicherheit hinreichend gewährleistet. Er hat dort Regelungen regelmäßig nachgeschärft, wo Sicherheitsaspekte dies erforderlich gemacht haben.«
Das BSG hat in B 1 KR 7/20 R ausgeführt: »Mit den durch das Patientendaten-Schutz-Gesetz neu gefassten Regelungen des SGB V zur eGK und zur Telematikinfrastruktur hat der Gesetzgeber ausreichende Vorkehrungen zur Gewährleistung einer angemessenen Datensicherheit getroffen. Dabei ist er auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen, indem er unter anderem auf die in der Praxis zu Tage getretenen datenschutzrechtlichen Defizite und Sicherheitsmängel reagiert und entsprechende Gegenmaßnahmen ergriffen hat. Die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit der eGK und der Telematikinfrastruktur ist durch die zuständigen Aufsichtsbehörden zu überwachen. Die Versicherten können im Rahmen der speziellen datenschutzrechtlichen Rechtsbehelfe eine Verletzung ihrer Rechte gerichtlich überprüfen lassen.«
Man kann die Entscheidung des BSG auch so zusammenfassen: »“Eine absolute Datensicherheit kann es nicht geben“, entschied das BSG … Die DSGVO sehe einen „risikobasierten Ansatz“ vor, Maßnahmen müssten mit Eintrittswahrscheinlichkeit und Schwere der Risiken abgewogen werden. Auch der Eingriff in die Grundrechte durch die elektronische Gesundheitskarte sei gerechtfertigt. Die Karte verhindere Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, die ein „überragend wichtiges Gemeinschaftsgut“ darstelle.«
Mit Blick auf die Zukunft wird möglicherweise der Aspekt relevant werden, dass die eGK auch als „Schlüssel“ für die Authentifizierung beim Zugang zur Telematikinfrastruktur, etwa zur elektronischen Patientenakte, dient. Mit dem auch vom BSG angesprochenen Patientendaten-Schutz-Gesetz (PDSG) nimmt die elektronische Patientenakte nach und nach Form an. Ein wichtiger Teil ist dabei die elektronische Patientenakte (ePA), die die Krankenkassen ihren Versicherten anbieten und die die Ärzte dann befüllen müssen. Ab dem 1. Januar 2022 soll das strukturierte Speichern von Befunden, Arztberichten und Röntgenbildern sowie Mutterpass, dem gelben U-Heft für Kinder und dem Zahn-Bonusheft in der ePA möglich sein – zuvor ist das Speichern auch möglich, aber nur in „ungeordneter“ Form. Nach der derzeitigen Rechtslage gilt mit Blick auf die informationelle Selbstbestimmung: Die Nutzung der ePA ist für den Versicherten freiwillig – nur er entscheidet, welche Daten gespeichert werden und welcher Arzt darauf zugreifen darf. Ab 1. Januar 2022 sollen Patienten die Möglichkeit bekommen, für jedes in der ePA gespeicherte Dokument einzeln zu bestimmen, wer darauf zugreifen kann. Sie können also zum Beispiel festlegen, dass eine Ärztin oder ein Arzt zwar auf die ePA zugreifen darf, dass aber bestimmte Befunde nicht angezeigt werden. Bei der weitaus sensibleren ePA gilt also nach der derzeitigen Rechtslage, dass der Versicherte sich dem auch entziehen kann, denn die Befüllung der Akte ist freiwillig. Noch.