0 Rechtsentwicklung
Rz. 1
Die am 1.1.1997 mit dem UVEG in Kraft getretene Vorschrift wurde mit Wirkung zum 1.7.2001 durch das Sozialgesetzbuch – Neuntes Buch – (SGB IX) Rehabilitation und Teilhabe behinderter Menschen v. 19.6.2001 (BGBl. I S. 1046) dahingehend geändert , dass der Begriff der Rehaleistungen durch den Begriff der Leistungen/Maßnahmen zur Teilhabe ersetzt worden ist. Nachfolgende Änderungen durch die 8. und die 9. Zuständigkeitsanpassungsverordnung zum 28.11.2003 (BGBl. I S. 2331) und zum 8.11.2006 (BGBl. I S. 2441) betrafen allein die Bezeichnung des in Abs. 4 Satz 3 genannten Bundesministeriums. Durch Art. 128 Nr. des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1626) wurde das geltende Recht im Wesentlichen beibehalten, jedoch durch zahlreiche Änderungen redaktionell an die Begriffsbestimmungen aus Art. 4 Nr. 6 der Verordnung (EU) 2016/679 und damit an die Datenschutzgrundverordnung (DSGVO) angepasst. Durch Art. 7 Nr. 22 des Siebten Gesetzes zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 12.6.2020 (BGBl. I S. 1248) wurde Abs. 2 Satz 1 Nr. 7 mit Wirkung zum 1.1.2023 geändert. Es handelt sich um eine Folgeänderung zur Einführung von § 136a.
1 Allgemeines
Rz. 2
Oberste Rechtsgrundlage für die Datenverarbeitung ist gemäß Art. 99 Abs. 2 DSGVO seit dem 25.5.2018 die Datenschutzgrundverordnung (DSGVO). Sie hat gemäß Art. 288 Abs. 2 AEUV allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat der EU. Art. 288 Abs. 2 Satz AEUV überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel. Hiervon hat das 2. DSAnpUG (vgl. Rz 1) Gebrauch gemacht und die Regelungen in § 204 im Wesentlichen beibehalten und lediglich an die Begriffsbestimmungen des Art. 4 DSGVO redaktionell angepasst (BT-Drs. 19/4674 S. 394 zu Nr. 13b aa). Damit ist ein Mehrebenensystem der Rechtsgrundlagen für die Datenverarbeitung entstanden auf dessen oberster Normebene die Regelungen der DSGVO zu sehen sind. Auf der Ebene darunter wurden zahlreiche Vorschriften des SGB I, des SGB X, des BDSG und auch § 204 SGB VII zur Datenverarbeitung an die Begrifflichkeiten der DSGVO angepasst. Die Vorschrift des § 204 erlaubt die Errichtung von Dateisystemen bereichsspezifisch für die gesetzliche Unfallversicherung und für bestimmte Zwecke. Ferner werden Anzeige-, Unterrichtungs- und Hinweispflichten normiert.
Rz. 3
Abs. 1 normiert, zu welchen Zwecken Dateisysteme errichtet werden dürfen. Die Zwecke werden im Einzelnen umschrieben. Die Gesetzesbegründung (BT-Drs. 13/4853 S. 22) hebt beispielhaft die Präzisierung der datenschutzrechtlichen Grundlagen für das Dateisystem über Berufskrankheiten nach § 9 Abs. 2 sowie für die verschiedenen Vorsorgedateien hervor. Abs. 2 listet diejenigen Daten auf, die für die Dateisysteme nach Abs. 1 verarbeitet und genutzt werden dürfen. Abs. 3 erlaubt die Errichtung eines Dateisystems, in dem die Daten, die die Pflegekassen den Unfallversicherungsträgern zu übermitteln haben, verarbeitet werden dürfen. Abs. 4 erlaubt unter einschränkenden Bedingungen die Errichtung weiterer Dateisysteme und ermächtigt das BMAS zum Erlass einer Rechtsverordnung. Abs. 5 regelt die Zulässigkeit der Übermittlung von Daten nach Abs. 2 an den Unfallversicherungsträger oder den Verband, der das Dateisystem führt. Abs. 6 begründet eine Anzeigepflicht des Trägers oder Verbandes, der das Dateisystem führt, gegenüber dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder der nach Landesrecht für die Kontrolle des Datenschutzes zuständigen Stelle. Abs. 7 setzt Art. 4 Nr. 7 der Verordnung (EU) 2016/679 um, wonach der Verantwortliche für die Erfüllung der Informationspflichten nach Art. 13 der Verordnung (EU) 2016/679 festgelegt wird.
2 Rechtspraxis
2.1 Zulässigkeit der Errichtung von Dateisystemen
Rz. 4
Ein Dateisystem ist nach der Definition in Art 4 Nr. 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Die Errichtung von Dateisystemen ist nach Abs. 1 Satz 1 nur zu den in Nr. 1 bis 6 benannten Zwecken zulässig. Ferner ist der Grundsatz der Zweckbindung nach Art. 5b DSGVO zu beachten. Danach müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken. Die Vorschrift des Abs. 1 entspricht dem Grundsatz der Zweckbindung, da die Nr. 1 bis 6 im Einzelnen festlegen, zu welchen Zwecken Daten verarbeitet werden dürfen. S...