Eingereichter Text
Feststellungen:
1. In ihrer Masterarbeit zeigt Frau Y. Prieur, dass das Datenschutzgesetz für Private liberaler ist als die Datenschutznormen, denen Bundesorgane unterstehen.
2. Der Bundesrat kommt in Antworten auf verschiedene Vorstösse zum Schluss, dass es Versicherer gibt, die den Daten- und Persönlichkeitsschutz unzureichend gewährleisten.
3. Der Datentransfer zwischen Spitälern und Krankenkassen stösst bei kantonalen Datenschützern auf Kritik. Es stellt sich die Frage, ob und wie im Umgang von Privatversicherungen mit Gesundheitsdaten, der Datenschutz gewährleistet ist. Es gibt private Gebäude- und Unfallversicherungen, die in den allgemeinen Geschäftsbedingungen (AGB) sehr weitgehende Ermächtigungen vorsehen, ohne deren Unterzeichnung der Versicherungsvertrag nicht zustande kommt. So fordert die Basler Unfallversicherung, die ebenso zur Baloise Gruppe gehört wie die Baloise Bank und die Basler Lebensversicherungsgesellschaft, in den AGB quasi vollen Zugang zu Gesundheitsdaten. Zitat: „Der Unterzeichnete ermächtigt die Basler Versicherungsgesellschaft, die zur laufenden Optimierung der Marktleistungen erforderlichen Daten zu bearbeiten. Die Basler Unfallversicherung kann insbesondere Daten an Rück- und Mitversicherer, andere Involvierte sowie an die Gesellschaften der Basler-Gruppe zur Datenbearbeitung übermitteln. Sie kann bei medizinischenn Leistungserbringern (Ärzten, Psychologen, Labors, Spitälern), bei Sozial- (AHV, IV, UVG- und KVG-Versicherung) sowie Privatversicherern, Amtsstellen, Arbeitgebern und Dritten Informationen einholen sowie in deren Akten Einsicht nehmen. Der Unterzeichnete ermächtigt die betreffenden Personen und Institutionen der Basler Versicherung die Daten bekannt zu geben und entbindet sie von ihrer Geheimhaltungspflicht.“
1. lst dies datenschutzrechtlich gerechtfertigt? Welche Regelung verhindert, dass sich eine Bank über den Unfallversicherungsvertrag Einblick in die Gesundheitsdaten des Kunden verschaffen kann?
2. lst es datenschutzrechtlich gerechtfertigt und zulässig, dass selbst Gebäudeversicherungen (Mobiliar) für den Vertragsabschluss die Einwilligung fordern: „bei Drittpersonen (Arzt) sachdienliche Auskünfte einzuholen“? (Antwort der Mobiliar: Sie sei „auf die konzerninterne wie auch konzernexterne Weitergabe und Bearbeitung der Daten angewiesen, denn unsere Dienstleistungen werden durch rechtlich selbständige Unternehmen im In- und Ausland erbracht“.)
3. Prüfen die Aufsichts- und Datenschutzbehörden oder die Finma die AGB der Privatversicherungen auf deren Datenschutzkonformität?
4. Wie beurteilt der Bundesrat die geschilderten Forderungen in den AGB? Braucht es zusätzliche Regelungen im Privatversicherungsbereich zum Schutz der Bevölkerung vor möglichem Missbrauch der persönlichen Daten, insbesondere der sensiblen Gesundheitsdaten?
Antwort des Bundesrates vom 20.05.2009
Die aufgeworfenen Fragen betreffen den Umgang mit Personen- und Gesundheitsdaten bei der Privatassekuranz sowie die Frage, ob gestützt auf das Selbstbestimmungsrecht der Versicherten, die bei Versicherungsabschlüssen mit privaten Versicherungen verwendeten Ermächtigungen eine gültige Einwilligung für eine Datenbekanntgabe und weitere Datenbearbeitung darstellen.
1./2. Das Versicherungsaufsichtsgesetz (VAG) und das Versicherungsvertragsgesetz (VVG) enthalten abgesehen von den Bestimmungen über die vorvertragliche Informationspflicht von Vermittlerinnen und Vermittlern, die Früherfassung von Daten und die interinstitutionelle Zusammenarbeit, keine datenschutzrechtlichen Vorschriften. Ob eine Vorgehensweise datenschutzrechtlich gerechtfertigt ist, muss daher vor allem nach den einschlägigen Datenschutzvorschriften beurteilt werden (Datenschutzgesetz, DSG, samt Nebenerlassen).
Bei der Bearbeitung von Personendaten sind die Prinzipien der Verhältnismässigkeit, der Zweckmässigkeit und der Transparenz gemäss den Bestimmungen von Artikel 4 Absätze 3, 4 und 5 DSG zu beachten. Im Bereich der Privatassekuranz kommt zudem dem Prinzip der Erkennbarkeit der Beschaffung und des Zwecks der Bearbeitung grosse Bedeutung zu. Da es sich bei Gesundheitsdaten um besonders schützenswerte Personendaten handelt, für deren rechtmässige Bearbeitung grundsätzlich eine ausdrückliche Zustimmung der betroffenen Person notwendig ist, welche zudem nur als gültig betrachtet werden kann, wenn sie einer angemessenen Information folgt, muss an die Aufklärungspflicht der Versicherer ein hoher Anspruch gestellt werden.
3. In den hier angesprochenen Bereichen der Gebäudeversicherung und der privaten Unfallversicherung sind die Allgemeinen Versicherungsbedingungen (AVB), wie in den meisten anderen Bereichen auch, keiner Genehmigungspflicht durch die Eidgenössische Finanzmarktaufsicht (Finma) unterworfen. Sie können folglich von den Versicherern ohne vorgängige Prüfung durch die Finma auf den Markt gebracht werden. Eine systematische Prüfung der AVB samt ihrer Datenschutzbestimmungen in den genannten Bereichen findet bei den Aufsichtsbehörden nicht statt.
Mit dem bestehenden Melde- und Abklärungsverfahren beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und einem wenn nötig anschliessenden Verfahren vor dem Bundesverwaltungsgericht wird aber sichergestellt, dass Bearbeitungsmethoden im Privatrechtsbereich, welche die Persönlichkeit einer grösseren Anzahl von Personen verletzen könnten, geändert oder verboten werden können (Art. 29 DSG).
4. Die Einführung einer allgemeinen Inhaltskontrolle der AVB ist bereits im Rahmen anderer hängiger Revisionsprojekte (beispielsweise Revision des Bundesgesetzes gegen den unlauteren Wettbewerb) thematisiert. Unabhängig davon steht es der Finma nach Artikel 46 Absatz 1 VAG einzelfallweise bereits jetzt zu, solche AVB, z. B. auf Anfrage hin, zu prüfen. Bei der Überprüfung von AVB hat die Finma auch die Datenschutzkonformität zu berücksichtigen. Für deren Beurteilung kann die Finma den EDÖB heranziehen. Kommt der EDÖB zum Schluss, dass die fraglichen AVB gegen das DSG verstossen und somit das Vorliegen eines Missstandes zu bejahen ist, so könnte die Finma gegen die fragliche Regelung einschreiten.
Im Übrigen hat sich der Bundesrat bereits anlässlich zweier früherer parlamentarischer Vorstösse (Postulat Heim 08.3493, Frage Schenker 09.5060) zum Handlungsbedarf bezüglich der Datenschutzsituation im Bereich der obligatorischen Krankenpflegeversicherung geäussert.