Nach meiner Beschwerde über den App-Zwang bei der IKK Südwest (siehe vorangegangenen Artikel) trudeln nun nach und nach die Rückmeldungen ein – mal ausführlicher, mal eher formell.
Ich habe also nachgefragt, wer für was zuständig ist, und was aus Sicht von Datenschutz und Patientenrechten eigentlich erlaubt ist – oder eben nicht.
Hier die Antworten, in einfachen Worten zusammengefasst:
Diese Antworten habe ich erhalten
.. vom Den Datenschutzbeauftragten der IKK Südwest
Die Krankenkasse bedankt sich für meine Anfrage und erklärt Folgendes:
Ja, ich habe ein Recht auf Datenschutz (also selbst zu entscheiden, was mit meinen Daten passiert).
Aber: Das heißt nicht, dass ich ein Recht darauf habe, wie ich auf meine Daten zugreife – also z. B. nicht per App.
Warum das mit dem Smartphone und der App?
Die meisten, die das digitale Postfach nutzen, haben eh ein Smartphone. Darum setzen sie auf eine App mit Zwei-Faktor-Authentifizierung (2FA), weil das ihrer Meinung nach sicher, alltagstauglich und einfach ist.
Aber was ist mit Leuten ohne Smartphone?
Kein Problem, sagen sie. Das digitale Postfach ist nur ein Zusatzangebot. Wer kein Smartphone hat oder keine App will, bekommt alle Unterlagen ganz normal per Post. Meine Rechte bleiben dabei völlig unangetastet.
Warum keine andere Lösung (z. B. SMS oder E-Mail)?
Das wurde geprüft, aber abgelehnt – die finden das zu unsicher, weil es um Gesundheitsdaten geht. Eine Desktop-App wurde auch überlegt, aber auch das hätte technische Hürden. Die Kombination App + Handy sehen sie als den besten Mittelweg zwischen Sicherheit und Alltag.
Und jetzt?
Wenn ich keine App will, soll ich ihnen einfach kurz Bescheid geben – dann bekomme ich weiter alles wie gewohnt per Brief.
(Persönliche Anmerkung: Diese Aussage ist kurios, da ich bisher ja alles über das Onlineportal genutzt habe und gar keine Briefpost erhalten habe …)
Zusammengefasst
Sie verstehen dein Problem, bleiben aber bei ihrer App-Lösung – und bieten mir an, ganz klassisch Post zu schicken, wenn ich das möchte.
… vom Landesdatenschutzbeauftragten Rheinland-Pfalz (LfDI RLP)
Hier geht es offenbar immer den Hauptsitz und nicht die Stelle, an der man versichert ist, so dass ich hier den falschen Ansprechpartner hatte, da die IKK Südwest.
Darum wurde meine Beschwerde nicht selbst bearbeitet, sondern an die zuständige Datenschutzbehörde im Saarland weitergeleitet – so steht’s im Gesetz (§ 19 Abs. 2 BDSG).
Die Aufsichtsbehörde dort heißt:
Unabhängiges Datenschutzzentrum Saarland
Was passiert jetzt?
Ich bekomme voraussichtlich direkt von dieser Stelle eine Rückmeldung.
Kannst ich gegen diese Weitergabe etwas tun?
Nein. Laut Gesetz gibt’s kein Widerspruchs- oder Beschwerderecht gegen die Weiterleitung.
Kurz gesagt:
Meine Beschwerde ist nun bei der Datenschutzstelle im Saarland. Die werden sich bei mir melden.
… vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
Meine Beschwerde über die IKK Südwest wurde vom Bundesbeauftragten für den Datenschutz (BfDI) entgegengenommen.
Aber: Der BfDI ist in diesem Fall nicht zuständig, weil die IKK Südwest ihren Hauptsitz im Saarland hat.
Deshalb wurde mein Anliegen an das Unabhängige Datenschutzzentrum Saarland weitergeleitet und dort an die zuständige Landesbeauftragte für Datenschutz und Informationsfreiheit gegeben.
Kurz und knapp:
Der BfDI hat meine Beschwerde weitergeleitet an die richtige Stelle im Saarland.
(Die meine Beschwerde – obwohl ja als Bitte um Prüfung formuliert – jetzt doppelt hat, weil sie ja bereits vom LfDI RLP weitergeleitet wurde …)
… vom Patientenbeauftragten der Bundesregierung
[Antwort steht noch aus]
… vom Unabhängiges Datenschutzzentrum Saarland
Das UDZ hat meine Beschwerde erhalten. Was habe ich bemängelt?
Dass ich das Online-Portal der IKK Südwest („Meine IKK Südwest“) nur noch mit einer App nutzen kann – also mit sogenannter Zwei-Faktor-Authentifizierung (2FA) – und dass es keine andere Zugangsmöglichkeit mehr gibt.
Und was sagt das UDZ dazu?
- Die Nutzung des Portals ist freiwillig. Ich kann also auch ganz normal per Post mit der Krankenkasse kommunizieren – was laut IKK weiterhin problemlos möglich ist (auch wenn das in meinem Fall irgendwie nicht zutrifft …).
- Warum die App?
Die IKK hat sich zusammen mit ihrem Dienstleister und unter Berücksichtigung der Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die 2FA per App entschieden – weil sie damit die Daten besonders gut schützen wollen. - Ist das rechtlich okay?
Aus Sicht des Datenschutzes: ja. Die Entscheidung für die App ist nicht zu beanstanden. - Muss die IKK eine andere Zugangsmöglichkeit anbieten?
Nein, sagt das UDZ. Da das Portal freiwillig ist, kann man die Kasse nicht zwingen, noch andere Zugänge (wie SMS, E-Mail oder Desktop-Login) bereitzustellen. Im Gegenteil: Wenn sie mehrere Verfahren gleichzeitig anbieten würden, könnte das die Sicherheit der Daten sogar gefährden. - Wurde gegen Datenschutzrecht verstoßen?
Nein, meint das UDZ – und sieht daher keinen Grund, aktiv zu werden.
Was bleibt?
Ich bekomme noch ein Infoblatt über den Umgang mit meinen Daten – und ansonsten ist das Thema für das UDZ erst mal erledigt.
Persönliches Fazit
Ich bin pro Digitalisierung. Unbedingt!
Aber: Das darf doch nicht heißen, dass ich für alles und jeden eine App auf dem Handy brauche, oder?
In meinen Augen ist das weder nutzerfreundlich noch verhältnismäßig – vor allem, wenn man vorher ganz selbstverständlich über einen Browser Zugriff hatte und dieser nun „abgeschaltet“ wird.
Was aktuell bleibt:
Wir sind weiterhin auf der Suche nach einer Versicherung mit digitalem Zugang – aber ohne App-Zwang. Es muss doch eine Lösung geben, die Sicherheit, Barrierefreiheit und Nutzerfreundlichkeit vereint.
Bleibt also spannend. Ich halte euch auf dem Laufenden.
