{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2007-04-17", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20070417---Vertrauen_2007-04-17.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/AivIDb7mjd1a/20070417%20-%20Vertrauensaerztlicher%20Dienst%20der%20CSS%20Krankenversicherung%20AG.pdf", "Checksum": "4d536a884475ee6af52c5c4fea2ddbd5"}, "Scrapedate": "2026-04-05", "Num": ["20070417 - Vertrauensaerztlicher Dienst der CSS Krankenversicherung AG"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 17.04.2007"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 17.04.2007"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 17.04.2007"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 17. April 2007 betreffend Vertrauensärztlicher Dienst der CSS Kranken-Versicherung AG"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:44", "Checksum": "fcdd0f9f739240f8e14a7a4961866db0", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 17.04.2007\nRegeste:\nSchlussbericht vom 17. April 2007 betreffend Vertrauensärztlicher Dienst der CSS Kranken-Versicherung AG\n\n 3. Umfang der Sachverhaltsabklärung\nGemäss Art. 27 DSG überwacht der Datenschutz- und Öffentlichkeitsbeauftragte die Einhaltung dieses Gesetzes und der übrigen Datenschutzvorschriften des Bundes durch die Bundesorgane. Der\nDatenschutzbeauftragte klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab. Bei\nder Abklärung kann er Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Die Bundesorgane müssen bei der Feststellung des Sachverhalts mitwirken. Das\nZeugnisverweigerungsrecht nach Artikel 16 des Verwaltungsverfahrensgesetzes (VwVG, SR 172.021)\ngilt sinngemäss. Dem EDÖB stehen in einer angeordneten Sachverhaltsabklärung keine strafprozessualen Untersuchungsmassnahmen zu. Er kann weder Zeugen noch Auskunftspersonen vorladen.\nEbenso wenig ist er befugt, aussagewillige Drittpersonen vom Berufsgeheimnis zu entbinden.\n\nIn verschiedenen Medienberichten wurden die Vorwürfe an die Adresse der CSS mit konkreten Beispielen von Datenschutzverletzungen untermauert. Wie unter Ziffer 2 ausgeführt, kann nicht ausgeschlossen werden, dass sich mit Bezug auf diese Beispiele Unberechtigte Zugang zu sensiblen Daten\nim VAD verschafften. Das BAG hat deshalb eine Strafuntersuchung veranlasst. Es obliegt dem Untersuchungsrichter abzuklären, inwieweit sich im Zusammenhang mit diesen Beispielen bei der CSS\nstrafrechtlich relevante Sachverhalte ereignet haben.\n\nDer EDÖB kontrollierte die aktuelle Datenbearbeitung im vertrauensärztlichen Dienst (nachfolgend\nVAD) der CSS Kranken-Versicherung AG (nachfolgend CSS KVG). In Art. 57 des Bundesgesetzes\nüber die Krankenversicherung (KVG, SR 832.10) ist die gesetzliche Grundlage für Vertrauensärzte\nund Vertrauensärztinnen zu finden. Gemäss Art. 42 Abs. 5 KVG ist der Leistungserbringer in begründeten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fall verpflichtet, medizinische Angaben nur dem Vertrauensarzt oder der Vertrauensärztin des Versicherers nach Artikel 57\nbekannt zu geben. Geprüft wurden im VAD deshalb insbesondere sämtliche Datenflüsse wie auch die\nDatenweitergabe an die Administration von CSS KVG.\n\n4. Grundlage\nEine wichtige Grundlage der Sachverhaltsabklärung bildet zunächst der interne Revisionsbericht der\nCSS vom 2.5.06. Nach Überprüfung des AVD wurden in Bezug auf den Datenschutz CSS-intern\npunktuelle Optimierungen empfohlen. Insbesondere wurde veranlasst, dass die Anzahl Personen, die\ndie Zugriffsberechtigungen erteilen können, möglichst klein zu halten sei, und dass die systemtechnische Zuteilung von Zugriffsberechtigungen nur den Mitgliedern des VAD zustünde. Im Rahmen der\nSachverhaltsabklärung wurden sodann durch den EDÖB umfangreiche Dokumente über Organisation\nund interne Datenflüsse eingeholt. Anlässlich eines Augenscheins bei der CSS konnten die Räumlichkeiten und die Zugangskontrolle begutachtet sowie ausstehende Fragen in Bezug auf den VAD vor\nOrt geklärt werden.\n\n4/23\nDie daraus resultierende Sachverhaltsfeststellung des EDÖB wurde von der CSS bestätigt und in\nbereinigter Form verfasst (24.1.2007). Ergänzend wurde von Anfang an eine enge Zusammenarbeit\nmit dem BAG angestrebt und gepflegt.\n\n5. Ablauf der Sachverhaltsabklärung\n5.1. Dokumente\nMit Schreiben vom 23. Mai 2006 hat der EDÖB seine Sachverhaltsabklärung beim VAD der CSS KVG\nangekündigt. Im Rahmen der Sachverhaltsabklärung hat er schwergewichtig Dokumente über die\nDatenbearbeitung, die einzelnen Prozesse sowie die entsprechenden Datenflüsse einverlangt. Nach\ngewährter Fristerstreckung wurden diese Dokumente mittels Schreiben vom 6. Juli 2006 eingereicht.\nDer EDÖB unterzog diese einer eingehenden Analyse.\n\nAufgrund der gewonnen Erkenntnisse wurden anlässlich des Augenscheins weitere Dokumente angefordert. Sie wurden mit Datum vom 20. November zugestellt. Eine letzte Dokumenteneingabe erfolgte\nam 3. Januar 2007.\n\n5.2. Augenschein\nDer Augenschein beim VAD der CSS KVG erfolgte am 30. Oktober 2006 in Anwesenheit der verantwortlichen Mitarbeiterinnen und Mitarbeiter der CSS und des EDÖB.\n\nAnlässlich des Augenscheins wurden zunächst die Aufgaben der anwesenden Personen erläutert und\nFragen zur Struktur der CSS Versicherung erörtert. In einem zweiten Schritt wurde die Datenbearbeitung im VAD vor Ort erklärt. Die Vorführung erfolgte dem zeitlichen Ablauf entsprechend, vom Eingang der Daten mit der Post bis zu deren Archivierung. Die mit den einzelnen Teilaufgaben der Datenbearbeitung betrauten Personen wurden während des Rundgangs vorgestellt. Insgesamt wurde ein\ngut strukturierter Einblick in die Datenflüsse und in die einzelnen Prozesse der Datenbearbeitung vermittelt.\n\n5.3. Sachverhaltsfeststellung\nDie durch den EDÖB erstellte Sachverhaltsfeststellung stützt sich auf die vor Ort gewonnenen Erkenntnisse sowie auf die von der CSS zugestellten Dokumente ab. Am 6. Dezember 2006 wurde sie\ndem VAD zur Stellungnahme zugestellt. Mit Korrekturen und Ergänzungen hat sie dieser am 3. Januar\n2007 zurückgesandt. Die anschliessend bereinigte Version wurde dem VAD am 15. Januar 2007 zur\nerneuten Einsicht zugestellt. Der VAD hat sie mit letzten Korrekturen am 24. Januar 2007 zurückgeschickt. Sie flossen in die definitive Sachverhaltsfeststellung ein, welche dem EDÖB u.a. als Grundlage für vorliegenden Bericht dient.\n\n"}