Mit Disease Management Programmen sollen chronisch Kranke besser ärztlich betreut werden. Hierfür wurden unabhängige Arbeitsgemeinschaften eingerichtet, die die Vertraulichkeit des Umgangs mit den sensiblen Behandlungsdaten sicherstellen sollen. Die Datenverarbeitung bei diesen Arbeitsgemeinschaften unterliegt im Interesse des Schutzes des Sozial- und des Patientengeheimnisses hohen Anforderungen. Daher verlangt das Sozialgesetzbuch, dass der ganz überwiegende Teil der Datenverarbeitung unter direkter Verantwortung einer öffentlichen Stelle erfolgen muss und nicht an private Stellen ausgelagert werden darf.
Entgegen diesen eindeutigen Vorschriften des Sozialdatenschutzes fordert das Bundesversicherungsamt (BVA), die Datenverarbeitung auch an private, eventuell ausländische Firmen zu vergeben. Diesen rechtswidrigen Weisungen unterwarfen sich die Stellen in Schleswig-Holstein und Hamburg und starteten eine europaweite Ausschreibung, bei der selbst ausländische private Stellen zur Abgabe von Angeboten aufgefordert werden. Obwohl die Datenschutzbeauftragten des Bundes und der Länder das BVA seit Monaten auf die datenschutzrechtliche Unzulässigkeit dieses Vorgehens hingewiesen haben, wurde dies durch das BVA konsequent ignoriert. Statt den Patientendatenschutz ernstzunehmen, wurde ein Verordnungsentwurf erstellt, der das Vorgehen legalisieren soll.
Die Konsequenzen des Vorgehens des BVA für chronisch Kranke wie für die Krankenkassen sind gravierend: Die Patienten können nicht gewiss sein, dass ihre sensiblen Daten von ausländischen Privatfirmen gemäß den Datenschutzstandards des Sozialgesetzbuches verarbeitet werden. Auf die Krankenkassen kämen, so die Datenschützer, aufwendige Ausschreibungen und millionenschwere Fehlinvestitionen in rechtswidrige Datenverarbeitungsstrukturen zu.
Um dies zu verhindern, hat das ULD eine Beanstandung gegenüber der AOK als der Geschäftsführerin der DMP-Arbeitsgemeinschaft ausgesprochen, die formal für die Ausschreibung zuständig ist. Das Bundesversicherungsamt bzw. das Bundesgesundheitsministerium wurden von allen Datenschutzbeauftragten des Bundes und der Länder aufgefordert, ihre Vorgehensweise bei Disease Management Programmen umgehend zu ändern und auf die Anforderung einer europaweiten, private Firmen mit erfassenden Ausschreibung zu verzichten.