Online-Zugriff auf Einwohnerdaten für einen Krankenversicherer?
Wer einer anderen Stelle oder Person einen Online-Zugriff auf «seine» Daten einräumt, gibt – datenschutzrechtlich betrachtet – Personendaten bekannt. Das IDG verlangt für die Bekanntgabe von Personendaten eine gesetzliche Grundlage (§ 21 IDG).
Beim Online-Zugriffs-Gesuch des Krankenversicherers ist deshalb zuerst zu prüfen, ob sich auf Bundes- oder auf kantonaler Ebene eine Norm finden lässt, welche die Einwohnerkontrolle zu einer Datenbekanntgabe an die Versicherung verpflichtet oder ermächtigt. Als mögliche Norm kommt (für Leistungen der obligatorischen Krankenpflegeversicherung im KVG- Bereich) Art. 32 Abs. 1 lit. a ATSG in Frage. Danach geben (u.a.) die Verwaltungsbehörden der Kantone «den Organen der einzelnen Sozialversicherungen auf schriftliche und begründete Anfrage im Einzelfall kostenlos diejenigen Daten bekannt, die erforderlich sind für: a. die Fest-setzung, Änderung oder Rückforderung von Leistungen; b. die Verhinderung ungerechtfertigter Bezüge; c. die Festsetzung und den Bezug der Beiträge; d. den Rückgriff auf haftpflichtige Dritte.»
Der Datenschutzbeauftragte kam zum Schluss, dass dieser Wortlaut nicht dahingehend ausgelegt werden kann, dass auch ein Online-Zugriff einer Versicherung gestattet wäre: Der Umstand, dass die Bestimmung für die Datenbekanntgabe explizit eine «schriftliche und begründete Anfrage im Einzelfall» voraussetzt, zeigt, dass Online-Zugriffe, bei denen die Dateneignerin logischerweise die Begründung im konkreten Einzelfall nicht überprüfen kann, vom Gesetzgeber nicht gewollt waren.
Auch auf kantonaler Ebene findet sich keine Norm, die einen Online-Zugriff gestattet. Demgegenüber hält das Gemeindegesetz des Kantons Zürich fest, dass die Gemeinde einem anderen öffentlichen Organ den Zugriff auf das Einwohner-Register erteilen kann, sofern eine rechtliche Bestimmung dies vorsieht. Die entsprechende Bestimmung findet sich sodann in Art. 6bis der Allgemeinen Datenschutzverordnung der Stadt Zürich, der Stadtrat hat schliesslich die «Vollzugsbestimmungen über die Onlinezugriffe auf Personendaten des Personenmeldeamtes der Stadt Zürich» beschlossen. Die Krankenkassen, welche einen Online-Zugriff auf das «eAdress-Portal» erhalten wollen, müssen vorgängig mit dem Personenmeldeamt der Stadt Zürich (der Einwohnerkontrollbehörde) einen schriftlichen Vertrag abschliessen.
Weil im Kanton Basel-Stadt das Online-Zugriffs-Gesuch schon an der mangelnden gesetzlichen Grundlage scheitert, erübrigte sich eine Beurteilung der Verhältnismässigkeit. Bereits eine summarische Betrachtung liess jedoch erhebliche Zweifel an der Erforderlichkeit eines Online-Zugriffs auf Daten aller Einwohnerinnen und Einwohner aufkommen.
Ergebnis
Die Bekanntgabe von Personendaten braucht eine gesetzliche Grundlage. Nach dem anwendbaren Bundesgesetz erhalten Organe der Sozialversicherungen von Verwaltungsbehörden auf schriftliche und begründete Anfrage im Einzelfall kostenlos bestimmte Daten. Damit lässt es keinen Spielraum für Online-Zugriffe, welche logischerweise von der Dateneignerin nicht im Einzelfall auf ihre Begründetheit geprüft werden können. Eine kantonale gesetzliche Grundlage für die Einräumung von Online-Zugriffen an Krankenversicherer existiert nicht. Deshalb müssen diese sich weiterhin im Einzelfall an die Einwohnerkontrolle wenden.
Anmerkung
Dieser Fall ist mit Quellennachweisen im Tätigkeitsbericht 2011 publiziert (dort Fall 2, S. 27). Tätigkeitsbericht 2011