Das Bundesgesetz zur Krankenversicherung (KVG) soll einer Revision unterzogen werden. Im Rahmen der Vernehmlassung hat die Digitale Gesellschaft eine Stellungnahme eingereicht. Besonders kritisch betrachten wir die mangelnde Transparenz bezüglich der mit der Revision verfolgten Zwecke, undifferenzierte und teils unzureichende Datenschutzvorkehrungen sowie dürftige gesetzliche Grundlagen für Datenbearbeitungen im Gesundheitswesen. Durch das revidierte KVG soll die Erhebung, Speicherung und Nutzung von im Gesundheitswesen anfallenden Daten grundlegend neu organisiert werden – ein grosser Schritt, bei dessen Umsetzung Vorsicht und Sorgfalt geboten sind.
Die Vorlage soll der Umsetzung des sogenannten «Once-Only-Prinzips» dienen: Damit soll gewährleistet werden, dass Erbringer:innen medizinischer Leistungen – etwa Spitäler, Ärzt:innen oder Pflegeheime – bestimmte Daten nur einmal erheben müssen, woraufhin diese Daten zentral auf einer vom Bundesamt für Statistik (BFS) betriebenen Plattform gespeichert werden. Bei den betroffenen Daten handelt es sich beispielsweise um Informationen über die behandelte Person, einen vorgenommenen Eingriff oder die entstandenen Kosten. Von der Plattform des BFS aus können solche Daten an verschiedene Akteur:innen weitergegeben werden, beispielsweise an Versicherungen, Kantone oder das Bundesamt für Gesundheit (BAG).
Irreführender Titel
Die geplante Revision wird unter dem Titel des «Once-Only-Prinzips» präsentiert und suggeriert primär eine effizientere Organisation von Datenströmen durch die Vermeidung mehrfacher Datenerhebungen. Weniger im Fokus steht hingegen der ebenso zentrale Aspekt der erweiterten Datennutzung: Künftig sollen zahlreiche zusätzliche Daten systematisch erhoben und dem BFS übermittelt werden. Die Datenerhebungen sollen im Kern dazu dienen, das Gesundheitswesen effizienter und wirtschaftlicher auszugestalten. Damit geht die Revision deutlich über eine rein organisatorische Verbesserung hinaus, denn: Sowohl die Zwecke der Datenerhebung als auch der Kreis der Empfänger:innen und die Art der Daten werden erheblich ausgeweitet.
Auch wenn eine effizientere Gestaltung des Gesundheitswesens ein legitimes öffentliches Interesse darstellen kann, bleibt es irritierend, dass diese Zielsetzung nicht transparenter vermittelt wird. Insbesondere für Patient:innen dürfte kaum ersichtlich sein, dass die Neustrukturierung der Datenflüsse im Gesundheitswesen nicht nur eine optimierte Organisation, sondern auch eine erweiterte Nutzung ihrer Personendaten zur Steuerung des Gesundheitssystems zum Ziel hat.
Der Titel der Revision ist somit irreführend und trägt dem Schutzbedürfnis Betroffener nicht genügend Rechnung.
Mangelhafte Regelungen zur Anonymisierung von Personendaten
Unter den zu erhebenden und weiterzugebenden Daten finden sich insbesondere Gesundheitsdaten über Patient:innen, die als «besonders schützenswerte Personendaten» im Sinne von Art. 5 lit. c DSG zu qualifizieren sind. Ein vertrauensvoller Umgang und die Sicherstellung der Anonymität Betroffener ist somit zentral.
Das BFS (das gemäss dem Gesetzesentwurf für die Anonymisierung der Daten zuständig ist) darf zur Erfüllung seiner gesetzlichen Aufgaben zunächst die AHV-Nummer von Patient:innen verwenden. Anschliessend soll diese durch einen «nicht-sprechenden statistischen Identifikator» ersetzt werden, um die Anonymität zu gewährleisten.
Ob mit dieser vorgesehenen Methode tatsächlich eine Anonymisierung sichergestellt werden kann, ist fraglich. Personendaten sind erst dann anonym, wenn die Person nicht mehr bestimmbar ist. Die Entfernung direkt personenbezogener Merkmale wie Name, Geburtsdatum und AHV-Nummer allein gewährleistet noch keine vollständige Anonymisierung, wenn weitere Informationen – etwa bezüglich Ort, Zeitpunkt oder Art eines medizinischen Eingriffs – erhalten bleiben. Solche Detailangaben können eine Re-Identifikation ermöglichen und stellen daher möglicherweise keine Anonymisierung dar. Das Datenschutzgesetz (DSG) sieht jedoch in vom revidierten KVG erfassten Fällen (Art. 39 Abs. 1 lit. b, d DSG) vor, dass die Betroffenen nicht mehr bestimmbar sein dürfen. Die vorgeschlagene Methode dürfte diesen Anforderungen nicht gerecht werden. Ausserdem beschreibt das geplante KVG nur, dass eine Anonymisierung vorzunehmen ist, es fehlt jedoch jede weitere Angabe zur eigentlichen Umsetzung.
Lasche gesetzliche Grundlagen zur Datenbearbeitung
Auch bezüglich der Aggregierung der Daten enthält das neue KVG teils unzureichende gesetzliche Grundlagen. Da es sich bei der Bearbeitung besonders schützenswerter Personendaten potentiell um einen schweren Grundrechtseingriff handelt, ist das Vorhandensein einer ausreichenden gesetzlichen Grundlage zur Bearbeitung notwendig (Art. 36 Abs. 1 BV). Die Vorlage begnügt sich jedoch mit pauschalen Bestimmungen, die undifferenziert daherkommen und weder der Vielfalt der betroffenen Daten noch den unterschiedlichen Verwendungszwecken Rechnung tragen. So werden verschiedenste Verwendungszwecke innerhalb einer Norm untergebracht, ebenso wird nicht nach der Art betroffener Daten unterschieden, sodass Patient:innendaten über deren Gesundheit denselben Schutzvorkehrungen unterstehen wie z. B. Daten über medizinische Qualitätsindikatoren.
Die pauschalen Regelungen des geplanten KVG stellen daher regelmässig keine ausreichenden gesetzlichen Grundlagen zur Bearbeitung von Personendaten dar und können gleichzeitig Verstösse gegen das verfassungsrechtliche Verhältnismässigkeitsgebot (Art. 5 Abs. 2; Art. 36 Abs 3 BV) bedeuten.
Fragliche Delegation und Unterwanderung der Kompetenzordnung
Diverse zentrale Aspekte werden nicht auf Gesetzesstufe geregelt. Vielmehr räumt das revidierte KVG dem Bundesrat via Delegationsnorm weitreichende gesetzgeberische Kompetenzen ein.
Bei einer Delegation zur Rechtssetzung von der Legislative zur Exekutive ist erforderlich, dass im Gesetz selbst die Grundzüge des delegierten Regelungsgegenstands umschrieben sind, sofern die Rechtsstellung Einzelner schwerwiegend berührt wird. Da es sich bei der Bearbeitung von besonders schützenswerten Personendaten potentiell um schwere Grundrechtseingriffe handelt, müssten also beispielsweise die Anonymisierung und die Aggregierung auf Gesetzesstufe geregelt werden, um dem Legalitätsprinzip standzuhalten. Solch bedeutende Normen sind durch das Parlament in Gesetzesform zu erlassen und nicht durch Verordnungen des Bundesrats.
Angesichts der Betroffenheit erheblicher Mengen sensibler Gesundheitsdaten und der damit verbundenen Datenschutzrisiken erscheinen blosse Regelungen auf Verordnungsstufe besonders bedenklich.
Unsaubere Gesetzgebung
Zuletzt ist anzumerken, dass sich in Art. 22a Abs. 4 lit. b VE-KVG ein falscher Verweis findet. Solche Unsauberkeiten sprechen nicht für eine sorgfältige Gesetzgebung und werden von uns kritisch betrachtet.
Datenschutz gewährleisten – gesetzliche Grundlagen stärken
Die geplante Revision betrifft eine Vielzahl von Bearbeitungen besonders schützenswerte Personendaten – ohne die dafür die notwendige Klarheit zu bieten. Statt pauschaler Regelungen braucht es differenzierte gesetzliche Grundlagen, die dem Gewicht von Grundrechtseingriffen gerecht werden und den Anforderungen aus DSG und BV entsprechen. Wesentliche Aspekte wie Anonymisierung, Aggregierung oder Löschfristen dürfen nicht an den Bundesrat ausgelagert und auf Verordnungsstufe geregelt werden. Diese Aspekte gehören ins Gesetz und sind vom Parlament zu regeln.
Wir fordern eine Überarbeitung der Vorlage, die geltenden verfassungsrechtlichen und gesetzlichen Vorgaben entspricht. Die Gesetzgebung muss sorgfältig, klar und strukturell sauber erfolgen – insbesondere, wenn es um sensible Gesundheitsdaten in grossem Umfang geht.
Weiterführende Informationen