Der Datenschutz wird scharf gestellt

In der EU gilt ab 25. Mai eine einheitliche Gesetzgebung: die EU-Datenschutz-Grundverordnung (EU-DSGVO). Unternehmen müssen dann immer Rechenschaft darüber ablegen können, welche personenbezogenen Daten sie von Kunden, Versicherten, Vertragspartnern zu welchem Zweck gespeichert haben. Auch Krankenkassen müssen jederzeit nachweisen können, dass ihre Verarbeitungsprozesse rechtskonform sind. Was das genau bedeutet, erklärt Björn Jeglic, Produktmanager bei der AOK Systems.

Regelt den Datenschutz europaweit: EU-DSGVO

Ist die Datenschutz-Grundverordnung ein Fortschritt für Verbraucher und Versicherte?
Für die Sozialversicherung ist es eigentlich nichts Neues. Hier mussten schon immer Daten gelöscht werden, wenn die Zweckbindung nicht mehr gegeben war. Und der Datenschutz hat in oscare® einen hohen Stellenwert. Darüber hinaus hatten die Versicherten schon immer ein Recht auf Informationen oder Auskunft über ihre gespeicherten Daten. Hier gelten das Datenschutzgesetz und die Regelungen im SGB. Im Vergleich zu anderen europäischen Ländern waren aufgrund der DSGVO kaum Anpassungen erforderlich.

Ist die EU-DSGVO dann überhaupt sinnvoll?
Ursprünglich war sie für die Unternehmen gedacht, für die es keine gesetzlichen Regelungen gab: Datenkraken wie Google, Facebook und Co. Im Zeitalter von Big Data und Digitalisierung gewinnt der Schutz der Persönlichkeit und damit der gespeicherten Daten an Bedeutung. Somit ist die DSGVO durchaus sinnvoll. Allerdings waren die gesetzlichen Vorgaben zu Daten in der GKV schon sehr streng geregelt. Sie waren aber nicht immer bei den Verbrauchern bekannt. Das hat sich jetzt geändert. Wer wusste schon, dass ich mich bei meiner Krankenversicherung melden und sagen konnte: Schickt mir doch mal eine Übersicht meiner gespeicherten Daten.

Und wird das in Zukunft auch jemand in Anspruch nehmen?
Anfangs wollen das sicher viele ausprobieren. Aber ich vermute, dass der Ansturm nicht lange anhalten wird und dann werden sich die Anfragen auf das bekannte Maß einpendeln. Unsere Kunden können aber darauf vertrauen, dass oscare® den erforderlichen Schutz bietet. Und Datenschutz ist schließlich auch ein Wettbewerbsvorteil.

Gibt es Regelungen, die problematisch oder einfach auch übertrieben sind?
Der Gesetzgeber hat es sich insgesamt ziemlich einfach gemacht. Er hat die Verordnung sehr global gefasst. Selbst die Aufsichtsbehörden wissen noch gar nicht, wie tief sie prüfen müssen. Ein Beispiel: In Artikel 15 DSGVO heißt es, dass alle Daten zu beauskunften sind. Was heißt alle? Dazu waren tatsächlich keine offiziellen Informationen zu erhalten. Reichen etwa die Zeiträume? Oder muss es jeder technische Wert sein, der gespeichert ist? Das hat enorme Auswirkungen auf die Menge der Daten, die zur Verfügung gestellt werden müssen.

Die Datensätze zu einem Versicherten können umfangreich sein.

Sind die Datensätze so umfangreich?
Bei einer mehrjährigen Mitgliedschaft kommt einiges zusammen. Wird auch noch jeden Monat Pflegegeld bezahlt, sind das schnell große Datensätze. Für die genannten Datenkraken macht es natürlich Sinn, weil man gar nicht weiß, was gespeichert ist. Deswegen hat man wohl gesagt: Es muss alles beauskunftet werden, was zu einem User – oder in unserem Fall Versicherten – gespeichert ist.

Sie sagten schon, dass die meisten Regelungen gar nicht so neu sind. Aber etwas ändert sich doch.
Es existieren jetzt feste Regelungen, wie die Daten in geeigneter Form bereitgestellt werden müssen – und zwar so, dass sie jeder Versicherte oder Antragsteller versteht. Das ist schon ein Unterschied. In der Vergangenheit gab es Screenshots, aber auch schon Leistungsübersichten. Und theoretisch drohen jetzt Sanktionen, wenn die Anforderungen nicht erfüllt werden.

Was war bei der Umsetzung die größte Herausforderung?
Tatsächlich die Beauskunftung. Aufgrund der Masse der Daten ist das nicht einfach. Das Löschen auf Antrag war eigentlich ein Selbstläufer, weil wir in oscare® umfangreich löschen können. Das Sperren von Daten ist eigentlich auch relativ einfach, weil wir ein ähnliches Prozedere bereits für Mitarbeiterdaten haben.

Und der Bereich Einwilligungserklärung?
Hier haben wir eine eigene oscare®-Lösung entwickelt, da es kurzfristig nichts von der Stange gab, was wir hätten nutzen können.

Wann haben Sie mit dem Programmieren angefangen?
Wir sind bereits seit 2014 dabei, die gestiegenen Anforderungen an den Datenschutz in oscare® zu berücksichtigen. Dazu gehörte neben Archivieren und Löschen auch die Protokollierung der Zugriffe auf Versichertendaten. Bis Ende April werden wir alle Lösungen fristgerecht bereitstellen können.

Welche Vorteile bietet oscare® dabei?
Wir arbeiten mit kleingliedrigen Archivierungsobjekten. Damit ist es möglich, in kleinen Schritten und fachspezifisch die Daten, die gelöscht werden sollen, zu selektieren. Das ist organisatorisch für unsere Kunden ein großer Vorteil, da man sich auf ein Thema konzentrieren kann und weniger Personal benötigt.

Erst prüfen, dann löschen: Die Krankenkassen müssen organisatorische Gegebenheiten im Blick haben.

Was ist am Löschen denn so schwierig?
Die Datensätze einzelner Versicherter sind über Jahre gewachsen und mit vielen unterschiedlichen Datenbeständen verknüpft. Die kann man nicht einfach mal löschen. Aber aufgrund der modularen Struktur haben wir eine gute Lösung entwickelt. Dabei müssen wenige Querprüfungen durchgeführt werden, was immer ein Zeitaufwand ist.

Inwieweit waren die Kunden eigentlich für die Herausforderung durch die DSGVO sensibilisiert?
Für die Definition der technischen Umsetzungen gab und gibt es das Fachprojekt des AOK-Bundesverbandes zur DSGVO. Hier stand das Thema seit Anfang 2017 im Fokus. Es war auch für uns eine wichtige Austauschplattform. Darüber haben wir uns mit den Datenschützern der AOKs abgestimmt und gemeinsam Lösungen und Vorgehensweisen erarbeitet. Neben den softwaretechnischen Lösungen, die wir bereitstellen können, gibt es noch viel mehr organisatorische Dinge, die die Krankenkassen berücksichtigen oder dokumentieren müssen. Aber das betrifft nicht unseren Aufgabenbereich.

Es war aber sicher nicht schlecht, dass Sie schon fertige Lösungen hatten?
Klar. Ein wichtiger Faktor dabei war die gemeinsame Projektgruppe beim AOK-Bundesverband. Derzeit entsteht darüber hinaus für alle oscare®-Kunden eine gemeinsame Austausch-Plattform.

Was erhofft man sich davon?
Löschen kostet immer Zeit, und die notwendigen Tests im Vorfeld erst recht. Wenn jeder Kunde eine Teststrecke von zwölf Wochen absolvieren muss, wird das Jahr ziemlich eng. Jeder Kunde testet daher das Löschen eines anderen Archivierungsobjekts – und alle profitieren von den Ergebnissen. Wir haben als Grundlage ein standardisiertes Test- und Dokumentationsverfahren entwickelt und organisieren den Prozess und Austausch.

Zum Abschluss: Auch die AOK Systems als Unternehmen muss sich an die DSGVO halten. Wie gewährleisten Sie das?
Wir sind ja in der Situation, dass wir selbst keine Sozialdaten verarbeiten. Aber wir haben natürlich die Personaldaten unserer Mitarbeiter gespeichert. Und dabei setzen wir auf die SAP-Standardlösung. Diese ist für das Personalsystem eine sehr gute IT-Lösung. Es kann alles gelöscht werden, was Relevanz hat. Auch hier sind wir also gut aufgestellt. Aber im Rahmen der DSGVO haben auch wir unsere internen Prozesse zur Softwareentwicklung entsprechend angepasst.

Zur Person:

Nach seiner Tätigkeit bei der AOK Rheinland als Sozialversicherungsfachangestellter und EDV-Koordinator, wechselte er zum Rechenzentrum der AOK Rheinland. Während des VWA-Studium der Betriebswirtschaft im Jahr 2002 war er unter anderem im Fachteam des Bundesverbandes mit fachlichen und technischen Fragen betraut. Seit 2002 ist er bei der AOK Systems, zunächst als Mitarbeiter im Testmanagement für die Übernahme des Organisationsmanagements. Er wechselte in den Entwicklungsbereich für das Organisationsmanagement von oscare® und ist seit 2012 Produktmanager für Querschnittsthemen.