Die Meldungen über die Zustände jenseits des Gotthards waren alarmierend. Und zwar so alarmierend, dass am 4. November eigens ein Kadermitglied der CSS aus Luzern die Reise nach Breganzona antrat. Was der Kontrolleur dort in den Büros des Tessiner Ablegers der Krankenversicherung vorfand, begeisterte ihn nicht: «Die Arztberichte sind für alle Mitarbeiter zugänglich.» Aber nicht nur das: «Theoretisch kann jedermann die Eingangskontrolle durchlaufen», meldete er an den Hauptsitz in Luzern.

Bei der Kontrolle im Tessin habe es sich um ein «Audit» gehandelt, wie es auch in anderen CSS-Dienststellen stattfinde, sagt Pressesprecher Stephan Michel: «In Breganzona gab es zwar einige Mängel im Sicherheitsdispositiv, aber es fanden keine Datenschutzverletzungen statt.» Ziel der regelmässigen Audits sei, «Datenschutzprobleme proaktiv zu erkennen». Dafür ist es in einem anderen CSS-Bereich zu spät: Beim vertrauensärztlichen Dienst liegt in Sachen Datenschutz vieles im Argen.

Partnerinhalte
 
 
 
 

Auch Ärzten wirds da mulmig
Mehr als 10'000 Patientinnen und Patienten stellen jährlich via Hausarzt ein Gesuch um Kostengutsprache an einen CSS-Vertrauensarzt. Sie alle müssen damit rechnen, dass intime medizinische Angaben auch Personen zugänglich sind, für die solche Akten eigentlich tabu sein sollten. Dokumente, die dem Beobachter vorliegen, zeigen, dass rund 400 CSS-Mitarbeiterinnen und -Mitarbeiter – unter ihnen auch Sekretärinnen und Mitarbeiter der Administration – auf das elektronische System «Anfragebewirtschaftung vertrauensärztlicher Dienst» (AVD) Zugriff haben. Die Art, wie diese Zugriffsrechte geregelt sind, hat in den vergangenen Jahren innerhalb des vertrauensärztlichen Dienstes immer wieder Anlass zu Kritik gegeben. Verschiedene Vertrauensärzte befürchteten gar, dass sie sich durch den laschen Umgang mit Patientendaten strafbar machten.

Strafbar, weil die im AVD erfassten Daten sensibelste Details über die Patienten enthalten und somit einen äusserst vorsichtigen Umgang erfordern: Ein Vertrauensarzt sieht Krankengeschichten und Laborbefunde über unheilbare Krankheiten, erfährt von HIV-Diagnosen, bekommt Fotos mit nackten Genitalien zu Gesicht – und hat dieses Wissen für sich zu behalten. An die Krankenkasse darf er laut Krankenversicherungsgesetz nur jene Angaben weitergeben, «die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen oder eine Verfügung zu begründen». Die Kasse erhält somit bloss eine knapp gehaltene Empfehlung. Alles andere bleibt beim Vertrauensarzt unter Verschluss – theoretisch.

«Böswillige Unterstellungen»
Nicht so bei der CSS. Bei der zweitgrössten Schweizer Krankenkasse mit rund 1,2 Millionen Versicherten werden Arztzeugnisse, Laboranalysen und Fotos systematisch eingescannt und im AVD-System abgelegt. Mit der digitalen Erfassung aber hat es mit der Vertraulichkeit der intimen Patientenakten endgültig ein Ende: Bei der CSS betrachtet man AVD nicht als abgeschottetes System zur sicheren Aufbewahrung von besonders heiklen Patientendaten, sondern als «elektronische Kommunikationsplattform zur Bearbeitung von medizinischen Anfragen und Problemen des Service-Centers, Rechtsdienstes, CSS AG, Antragsabteilung, Case-Management, Beschwerde-Managements oder externe Anfragen». So steht es im Entwurf zu einem CSS-internen Dokument vom Herbst 2005, der dem Beobachter vorliegt.

«Zu Beginn wurde beim System AVD das Datenschutzgesetz hundertprozentig eingehalten», versichert Werner Weber, der als CSS-Vertrauensarzt die Datenbank Anfang des Jahrzehnts aufgebaut hat: «AVD war tatsächlich als Kommunikationsplattform gedacht – aber nur für die Vertrauensärzte und etwa 30 weitere ausgesuchte und speziell ausgebildete Personen. Und diese waren alle in einem separaten Büro untergebracht.» Das AVD sei punkto Datenschutz ein «mustergültiges Projekt» gewesen, sagt Weber, der die CSS vor knapp vier Jahren verlassen hat.

Wegen ihres heiklen Inhalts wurde die Datenbank damals bewusst in zwei Teile gegliedert. In Teil A konnten nur drei Vertrauensärzte und ihre engsten Mitarbeiter sensible Daten speichern. In Teil B, der für einen weiteren Personenkreis zugänglich war, wurden lediglich Stammdaten wie Adresse und Versichertennummer sowie die – datenschutzrechtlich relativ unbedenkliche – Empfehlung des Vertrauensarztes abgelegt. Dem ist längst nicht mehr so, wie mehrere Insider unabhängig voneinander bestätigen: «Wer Patientendaten in Teil A abspeichert, wird vom leitenden Vertrauensarzt Urs Märki persönlich getadelt», sagt einer von ihnen.

CSS-Sprecher Stephan Michel tut solche Aussagen als «böswillige Unterstellungen» ab: «Auf vertrauensärztliche Akten haben nur – und ich betone! –, nur die Vertrauensärzte Zugriff. Doktor Urs Märki hat in der Vergangenheit immer wieder betont, wie wichtig das Patientengeheimnis ist.» CSS-interne Korrespondenz zeigt jedoch ein anderes Bild. So warnte Märki im Sommer 2004 in einer E-Mail, «übertriebene Datenschutzvorstellungen» dürften «nicht zu einem vermeidbaren administrativen Mehraufwand führen».

Märki reagierte damals auf eine Stellungnahme des CSS-Datenschutzbeauftragten August Boutellier: «Alle Mitarbeiter der Servicezentren haben uneingeschränkten Zugang zum AVD», schrieb dieser an Märki – und hielt mit Kritik an der Handhabung der heiklen Daten nicht zurück: «Die Ausführlichkeit der heutigen Antworten im AVD geht über die vom Gesetz als zulässig erachteten Informationen an den Versicherer hinaus.» Spätestens bei Akteneinsichtsgesuchen seien «erhebliche Datenschutzprobleme» zu erwarten.

«Das darf nicht sein»
Solche Probleme sieht auch der Zürcher Datenschutzbeauftragte Bruno Baeriswyl: «Es darf nicht sein, dass mit Daten aus dem vertrauensärztlichen Dienst nach dem Selbstbedienungsprinzip gearbeitet wird. Nur der Vertrauensarzt selber kann entscheiden, welche Daten er für einen weiteren Personenkreis freigibt.»

Als «äusserst heikel» stuft der eidgenössische Datenschutzbeauftragte Hanspeter Thür den freizügigen Umgang mit Patientenakten ein, von dem er durch den Beobachter erfahren hat. Da er die Details im Fall CSS nicht kennt, will er seine Aussage als allgemeine Stellungnahme verstanden haben: «Das Führen einer Datenbank mit heiklen Patientendaten für eine vertrauensärztliche Abklärung ist im Grundsatz nicht zu beanstanden. Aber die darin enthaltenen Informationen müssen zwingend im Kreis des vertrauensärztlichen Dienstes bleiben.» Für einen Zugriff auf die Daten durch Mitarbeiter aus anderen Bereichen sieht Thür «keine legitime Begründung».