Die Mehrheit der Bevölkerung - ca. 72 Millionen - ist gesetzlich krankenversichert. Weit über 200 000 Leistungserbringer und eine Vielzahl von Krankenkassen gewährleisten die Versorgung der Versicherten. So verwundert nicht die - auch öffentlich geführte - intensive Diskussion eines Projekts, dessen Ziel die Koordination der zahlreichen Datenflüsse zu den Kassen war.
Dazu beauftragten die Spitzenverbände der Krankenkassen die debis-Systemhaus Network Services GmbH, die Datenflüsse von den Kassen(zahn)ärztlichen Vereinigungen, Krankenhäusern, Apothekern und den sonstigen Leistungserbringern an die Krankenkassen zu bündeln und zu koordinieren. Die Abrechnungsdaten sollten dem Systemhaus debis über öffentliche Leitungswege oder durch Übersenden maschinenlesbarer Datenträger zugeleitet, von ihr den einzelnen Krankenkassen zugeordnet und dann an diese weitergeleitet werden.
Bei diesem Vorhaben kommen verschiedene Faktoren zusammen, die hohe Anforderungen an die einzusetzenden Sicherheitsmaßnahmen stellen: die Sensibilität und Menge der Daten, die leichte Auswertbarkeit maschinell verfügbarer Daten, die Nutzung öffentlicher Leitungswege sowie die Weitergabe der Daten über eine zentrale Stelle. Ich habe daher wiederholt deutlich gemacht, daß für eine ausreichende Sicherung der zu übermittelnden Daten gegen unbefugte Kenntnisnahme eine kryptographische Verschlüsselung unerläßlich ist. Der Inhalt der Vereinbarungen zwischen den Verbänden der gesetzlichen Krankenkassen und dem Systemhaus debis ist von mir auch dahingehend verstanden worden, daß debis nur die Verbindungsdaten, also keine Dateninhalte, lesen kann. Diese Einschätzung wird von der Bundesregierung (BT-Drs. 13/3001 vom 14.11.1995) geteilt.
Trotz zahlreicher Besprechungen mit den Beteiligten kommt das Projekt offenbar nicht voran, von dem sich die Bundesregierung eine Kostenersparnis verspricht. Die Schuld an diesen Verzögerungen wird immer wieder "gern" mir angelastet. Meine Forderungen nach einer kryptographischen Verschlüsselung sind jedoch seit Anfang 1995 bekannt. Ich kann nur vermuten, daß die Beteiligten sich über die Konsequenzen - technisch und organisatorisch als auch hinsichtlich der Kosten - kein ausreichend präzises Bild verschafft haben.
Unter diesen mir bekannten tatsächlichen und vertraglichen Bedingungen halte ich die Wahrnehmung einer Übermittlungsfunktion durch eine private Stelle aus datenschutzrechtlicher Sicht für nicht vertretbar. Ich habe daher den meiner Kontrolle unterliegenden Stellen gem. § 81 Abs. 2 SGB X i.V.m. § 25 BDSG eine Beanstandung angekündigt, falls bei der Durchführung des Datenträgeraustausches eine Einsichtsmöglichkeit durch das Systemhaus debis nicht ausgeschlossen ist.
Zu Berichten aus dem Spiegel über die Debis