Nach Datenschutzgrundverordnung (DSGVO) dürfen Gesundheitsdaten erst verarbeitet werden, wenn die versicherte Person ihre Einwilligung dazu abgegeben hat.
Je nach Anbieter und Tarif innerhalb der betrieblichen Krankenversicherung (bKV) ist die Einwilligung der versicherten Personen unmittelbar nach Einführung der bKV im Unternehmen einzuholen. Spätestens wenn die erste Rechnung eingereicht wird, ist es notwendig das die Mitarbeiter der Einwilligung zur Datenverarbeitung zustimmen. Ohne diese Zustimmung kann keine Leistungsbearbeitung der Rechnungen erfolgen, denn die einzureichenden Belege und Arztrechnungen enthalten sensible Gesundheitsdaten.
Die Abgabe kann auf zwei Arten erfolgen:
- Klassisch per Formular: Dieses liegt in aller Regel mit Zusendung der Versicherungspolice anbei und kann dann unterschrieben und zurückgeschickt werden.
- Digital innerhalb einer App, über die die Leistungen eingereicht werden: Mit erstmaliger Rechnungseinreichung wird die versicherte Person aufgefordert, die Einwilligung zu erteilen.
Die Erklärung entspricht dem branchenweiten Standard, da diese in Zusammenarbeit und Abstimmung mit dem Gesamtverband der deutschen Versicherungswirtschaft e.V. (GDV), den Datenaufsichtsbehörden und dem Verbraucherzentrale Bundesverband (vzbv) erstellt wurde.
Sie gilt in der Regel für alle Tarife innerhalb einer bKV und muss bei einem Tarifwechsel nicht erneuert werden.
Im Rahmen der Erklärung wird den versicherten Personen zugesichert, dass die Daten vor allem zur Bearbeitung der Erstattungsanträge und Verwaltung verwendet werden. Zudem werden Ärzte nicht von ihrer Schweigepflicht entbunden. Sollte es jedoch mal vorkommen, dass zur weiteren Bearbeitung eines Erstattungsantrages eine Nachfrage an den Arzt notwendig ist, so muss die versicherte Person davon in Kenntnis gesetzt werden und der Nachfrage zustimmen, dass die jeweilige Versicherungsgesellschaft mit dem Arzt in Kontakt treten darf.
Als Handlungsalternative besteht für die versicherte Person ebenso die Möglichkeit, die Daten in Eigenregie zu beschaffen und dem Anbieter zu übermitteln. Das Versicherungsvertragsgesetz regelt dazu eine Mitwirkungspflicht zur Sachverhaltsklärung im Leistungsfall.
Willigt die versicherte Person nicht zur Schweigepflichtentbindung ein oder stellt die angefragten Informationen nicht zur Verfügung, so kann der Versicherer für diesen Leistungsfall keine Leistung erbringen. Deshalb wird empfohlen, innerhalb der arbeitsrechtlichen Zusage auf eine Mitwirkungspflicht hinzuweisen.
Sollte eine versicherte Person der Erklärung zur Datenverarbeitung nicht zustimmen oder später widerrufen ist eine generelle Leistungserbringung nicht möglich. Manche Anbieter behalten sich unter diesen Umständen das Recht vor den Vertrag für diese versicherte Person rückwirkend aufzuheben.
Was muss der Arbeitgeber bei der Übermittlung von Mitarbeiterdaten an die Versicherung beachten?
Unternehmen, die personenbezogene Daten kontrollieren oder im Auftrag anderer Unternehmen verarbeiten, müssen die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz einhalten – auch wenn sie außerhalb der EU ansässig sind.
Bei der Übermittlung von Mitarbeiterdaten an den Versicherer müssen folgende Bedingungen erfüllt sein:
1. Es liegt eine schriftliche und freiwillige Einwilligung der Mitarbeitenden vor, und der Arbeitgeber hat sie in Textform über den Zweck der Datenverarbeitung sowie ihr jederzeitiges Widerrufsrecht informiert.
2. Die Datenübermittlung ist in einer Betriebsvereinbarung geregelt.
3. Die Übermittlung ist zur Erfüllung der Rechte und Pflichten der Interessenvertretung der Beschäftigten gemäß einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) erforderlich.
Mitarbeitende haben ein Recht auf Information über die Datenverarbeitung sowie ein umfassendes Auskunftsrecht über ihre personenbezogenen Daten.
Diese Datenschutzregelungen sollten auch in arbeitsrechtlichen Vereinbarungen verankert sein.