Das Bundesministerium für Justiz hat das Versicherungsrechts-Änderungsgesetz 2010 in Begutachtung gebracht.
Ziele des geplanten Gesetzesvorhabens sind unter anderem – Verbesserungen und Klarstellungen in der Frage der Datenweitergabe sensibler Gesundheitsdaten, in der Verwendung elektronischer Kommunikationsmittel, insbesondere im Zuge der Errichtung von Verträgen und verbesserte Rücktrittbestimmungen.
Es ist anzuerkennen, dass versucht wird diese Bereiche zu verbessern, leider ist es in wesentlichen Punkten nur beim Versuch geblieben. Insbesondere bei der Regelung der Ausstellung elektronischer Verträge wurde das bestehende Missbrauchspotential durch Cyberkriminelle und die steigende Belastung der Benutzer durch Spam-Zusendungen völlig ignoriert.
Cyberkriminelle versuchen immer öfter durch Identitätsdiebstahl Personen zu Vertragsabschlüssen zu verleiten oder direkt Zugriff auf Benutzerkonten zu erlangen und daraus Nutzen zu ziehen.
Es wird bei den elektronischen Verträgen dringend geraten, diese verpflichtend mit einer fortgeschrittenen digitalen Signatur gemäß § 2 Z 3 lit. a bis d SigG auszustatten. Diese Signatur hat die Bedeutung eines Siegels (Stempels) und schafft damit eine Gleichwertigkeit zur Papierurkunde.
Gerade dieses Instrument hat sich im Rahmen der elektronischen Rechnungslegung sehr bewährt. Obwohl seit nunmehr sechs Jahren österreichweit viele Millionen elektronische Rechnungen verschickt wurden, gab es – dank fortgeschrittener digitaler Signatur – keinerlei Probleme mit Schein- und Spam-Rechnungen.
Elektronische Vertragsausstellung
§ 3 Abs. 1 sieht neben der bisher üblichen Versicherungsurkunde auf Papier die Ausstellung elektronischer Versicherungsurkunden vor. Dies ist grundsätzlich zu begrüßen, erlaubt dies Einrichtungen mit vielen Versicherungen eine leichtere Verwaltung der Versicherungsverträge.
Erhöhtes Missbrauchspotential durch elektronische Verträge
Eine Papier-Versicherungsurkunde ist dann gültig, wenn sie nicht unterschrieben ist, aber eine Nachbildung einer eigenhändigen Unterschrift trägt.
Es ist notwendig, dass die elektronischen Versicherungsurkunden in der Qualität gleichwertig der Papierurkunde sind. Insbesondere Art des Papiers, Unternehmensbriefkopf und Postabsenderadresse erleichtern einem Versicherungsnehmer zu erkennen, dass es sich um eine “echte” Urkunde handelt.
Elektronische Urkunden lassen sich viel leichter als Papierurkunden nachahmen. Der elektronische Verkehr ist überschwemmt mit Scheinmails, Scheinnachrichten und Scheindokumenten. Derzeit sind 97-99 % aller E-Mails, sogenannte Spams, unerwünschte Nachrichten. Viele enthalten neben bösartiger Software (sogenannter Mal-Ware) unerwünschte Angebote, fingierte Vertragsbestätigungen, Mahnbriefe und sonstige scheinbar offizielle Dokumente.
Aus einer Absenderadresse lässt sich keinesfalls die Authentizität einer Nachricht ableiten, da jeder Cyberkriminelle jede beliebige E-Mail-Adresse und damit auch E-Mail-Adressen von Versicherungen, nachahmen und benutzen kann.
Fortgeschrittene Signatur notwendig um Gleichwertigkeit zu erreichen
Um eine Gleichwertigkeit mit der Papierurkunde zu erreichen ist bei der elektronischen Urkunde eine fortgeschrittene digitale Signatur gemäß Signaturgesetz erforderlich.
Eine derartige Signatur hat die Wirkung eines Siegels und stellt sicher, dass ein Vertrag nicht nachträglich manipuliert wurde. Weiters kann die Herkunft eines Vertrages leicht und vollautomatisch geprüft werden. Ein weiterer Vorteil ist eine bessere zeitliche Feststellung, wann tatsächlich welcher Vertrag ausgestellt wurde.
Im Gegensatz zur qualifizierten Unterschrift, die einer eigenhändigen Unterschrift gleichkommt und damit gegenüber der Papierurkunde eine wesentliche Verschlechterung darstellen würde, kann die fortgeschrittene Signatur automatisiert eingesetzt, vergeben und geprüft werden.
Ausgereifte Technik und Akzeptanzsteigerung
Die Technik der fortgeschrittenen Signatur ist seit Jahren ausgereift, ist kostengünstig und somit auch der Versicherungswirtschaft im Sinne einer Verbesserung der Rechtssicherheit der Versicherungsnehmer zuzumuten.
Mit der fortgeschrittenen Signatur, dem Versicherungssiegel, ist eine wesentlich höhere Akzeptanz der Versicherungsnehmer für elektronische Verträge zu erwarten.
Im Übrigen ist diese Form der Signatur im Behördenbereich in Form der Amtssignatur (die einem Amtssiegel entspricht) seit Jahren eingeführt und hat sich bewährt. Gerade zur Erhöhung der Rechtssicherheit und zur Vereinheitlichung des elektronischen Geschäftsverkehrs sollte daher bei Versicherungsverträgen dasselbe System genutzt werden.
Ermittlung und Verwendung personenbezogener Gesundheitsdaten
Die bisherige Formulierung des § 11a Abs. 2 Z 4 VersVG (Versicherungsvertragsgesetz 1958) lässt einen zu weiten Auslegungsspielraum nach Ansicht des BMJ zu. Nunmehr soll klargestellt werden, dass – soweit die Voraussetzungen des § 11a Abs. 2 Z 3 VersVG nicht vorliegen – die Ermittlung personenbezogener Gesundheitsdaten durch den privaten Versicherer zur Beurteilung und Erfüllung von Ansprüchen aus einem konkreten Versicherungsfall nur dann erfolgen darf, wenn der betroffene Versicherungsnehmer einen schriftlichen Auftrag zur Direktverrechnung gegeben hat. Im Rahmen dessen hat er eine ausdrückliche, schriftliche Zustimmung zur Übermittlung näher spezifizierter Gesundheitsdaten zu erteilen.
Zusätzlich sieht der Entwurf vor, dass ihm die Art der Gesundheitsdaten vor Erteilung der Zustimmung bekannt gegeben werden muss. Der Auftrag zur Direktverrechnung bzw. die Zustimmung zur Datenübermittlung soll überdies jederzeit widerrufen werden können. In diesem Zusammenhang ist zu bedenken, dass den Versicherungsnehmer die Obliegenheit aus dem Versicherungsvertrag trifft, die entsprechenden Informationen an den Versicherer weiterzugeben, damit dieser eine ausreichende Grundlage für die Abrechnung des konkreten Versicherungsfalls hat. Die Direktverrechnung bedeutet für den Versicherungsnehmer insofern eine Erleichterung, als er nicht in Vorlage treten und die vom Versicherer benötigten Daten nicht selbst sammeln und weiterleiten muss.
Grundsätzlich fragwürdiger Ansatz
Insgesamt scheint der Ansatz, auf ausdrückliche Zustimmungen des Betroffenen abzustellen, im Versicherungswesen kein tauglicher Ansatz zu sein, da die von der Richtlinie 95/46/EG geforderte Freiwilligkeit der Zustimmung nur in besonderen Konstellationen gegeben sein wird. Es sollte daher eine klare gesetzliche Regelung getroffen werden, welche Daten von welchen Personen an Versicherungen weitergegeben werden dürfen. Diese Datenarten wären auf das notwendige Mindestmaß zu beschränken, wobei in den Erläuterungen darzustellen wäre, warum an diesen Datenverwendungen ein wichtiges öffentliches Interesse im Sinne des Art. 8 Abs. 4 der RL 95/46/EG gegeben ist.
Es sollte im Gesetz abschließend definiert werden, worauf sich diese Zustimmungserklärung beziehen darf, da nicht von einer vollständigen Freiwilligkeit ausgegangen werden kann.
§ 11b VersVG – Detailprobleme
§ 11b ist inkonsistent gestaltet und schwer verständlich: § 11b Abs. 1 geht davon aus, dass eine ausdrückliche, den einzelnen Überermittlungsfall betreffende Zustimmung gemäß § 11a Abs. 2 Z 3 nicht vorliegt. In weiterer Folge wird aber in Abs. 2 Z 1 und 2 wieder das Vorliegen einer ausdrücklichen Zustimmung zur Übermittlung gefordert. Es kann bezweifelt werden, dass für den Normunterworfenen eine derartige Bestimmung nachvollziehbar sein wird.
Es ist somit nicht nachvollziehbar, ob es sich bei der in Abs. 1 Z 1 genannten ausdrücklichen Zustimmung um eine pauschalere handeln soll als bei der in § 11a Abs. 2 Z 3 genannten Zustimmung im Einzelfall. Wie sehr pauschal diese sein darf, kommt jedoch nicht zum Ausdruck, in den Erläuterungen ist von einer ex-ante-Zustimmung die Rede. Schon deshalb ist nicht davon auszugehen, dass es sich um eine Zustimmung in Kenntnis der Sachlage für den konkreten Fall handelt und die Kriterien einer ausdrücklichen Einwilligung im Sinne der RL 95/46/EG erfüllt sind. Den Erläuterungen, dass es sich bei einer derartigen Zustimmung um eine Zustimmung im Sinn des § 9 Z 6 DSG [2000] handelt, ist auch schon deshalb nicht beizupflichten, weil es einer derartigen Zustimmung im Normalfall an Freiwilligkeit mangeln wird.
Generell ist anzumerken, dass Eingriffe in das Grundrecht auf Datenschutz verhältnismäßig sein müssen. Dabei sind folgende Kriterien anzuwenden:
* Der mit dem Eingriff verfolgte Zweck muss legitim sein.
* Der Eingriff muss zur Zielerreichung geeignet und darüber hinaus erforderlich sein.
* Außerdem muss zwischen dem durch den Eingriff zu erreichenden Zweck und der Art des Eingriffs ein angemessenes Verhältnis bestehen (Verhältnismäßigkeit im engeren Sinn).
Als besondere Betonung der Verhältnismäßigkeit sieht § 1 Abs. 2 DSG 2000 letzter Satz das Gebot des gelinderten Mittels vor. Für die legistische Gestaltung von Eingriffsermächtigungen bedeutet dies, dass unter mehreren geeigneten und erforderlichen Mitteln nur jenes mit der geringsten Eingriffsintensität verfassungsrechtlich zulässig ist (§ 1 Abs. 2 DSG 2000 letzter Satz) und auch dieses gelinderte Mittel insgesamt in einem angemessenen Verhältnis zum angestrebten Zweck stehen muss.
Abs. 2 Z 2 stellt eine erhebliche Ausweitung der Ermittlung von sensiblen Gesundheitsdaten im Vergleich zur geltenden Rechtslage dar. Es müsste, die Verwendung der hier angeführten Daten (wie etwa Auszüge aus dem Pflege- oder Behandlungsbericht, Operationsbericht, nach Entlassung einlangende Befunde) nochmals nach ihrer Erforderlichkeit/Verhältnismäßigkeit überprüft werden.
Die Datenart andere diagnostische Befunde in Abs. 2 Z 2 ist zu unbestimmt und sollte entfallen.
§ 11b Abs. 2 Z 3 VersVG – Detailprobleme
Die in § 11b Abs. 2 Z 3 vorgesehene Datenverwendung stellt eine Ausweitung der bisherigen im Gesetz vorgesehenen Datenverwendungen dar, die über den Zweck der Direktverrechnung hinausgeht. Es wird ein neuer Zweck der Datenermittlung eingeführt, nämlich die Möglichkeit der Versicherer Rückfragen an Krankenanstalten, Ärzte usw. zu stellen, wenn der Verdacht beseht, der Betroffene habe bei Vertragsabschluss bestimmte Krankheiten verschwiegen, die anzeigepflichtig gewesen wären. Die Vertragsprüfung der Versicherer ist in diesem Zusammenhang eine andere Datenverwendung, die mit dem Zweck der Direktverrechnung nicht vereinbar ist. Die Erforderlichkeit und Verhältnismäßigkeit dieser Datenverwendung wird bezweifelt.
Besonders im Zusammenhang mit dieser Bestimmung erweist sich die Zustimmung des Betroffenen als bloße Fiktion, zumal unklar bleibt, welche Folgen eintreten, wenn der Betroffene seine Zustimmungserklärung widerruft.
In diesem Zusammenhang wird auch auf die in anderen Gesetzen geregelten strengen Verschwiegenheitsverpflichtungen von Ärzten und anderen Gesundheitsberufen verwiesen (siehe § 9 des Bundesgesetzes über Krankenanstalten und Kuranstalten und § 54 des Ärztegesetzes), die sicherlich bei einer Preisgabe von Informationen aus Behandlungsgesprächen mit Patienten extrem im Widerspruch stehen würden.
Es wird angeraten, § 11b Abs. 2 Z 3 VersVG ersatzlos zu streichen. Insgesamt ist der Entwurf in Hinblick auf elektronischer Kommunikation und Datenschutz neu zu überarbeiten.