2.1 Datenübersicht (Abs. 1; in Kraft bis zum 25.11.2019)
Rz. 3
Satz 1 verpflichtete einerseits die Krankenkassen, andererseits die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen, einmal jährlich eine Übersicht über die Art der von ihnen gespeicherten Sozialdaten zu erstellen. Erreicht werden sollte hierdurch eine regelmäßige Kontrolle des Umfangs der Datenspeicherung. Die Pflicht folgt seit dem 26.11.2019 direkt aus Art. 30 der Verordnung (EU) 2016/679.
Rz. 4
Die Übersicht war der zuständigen Aufsichtsbehörde vorzulegen. Die Pflicht entfällt mangels einer Öffnungsklausel in der Verordnung (EU) 2016/679. Die Verordnung (EU) 2016/678 sieht stattdessen in Art. 30 Abs. 4 der Verordnung vor, dass der Verantwortliche oder der Auftragsverarbeiter das Verzeichnis aller Verarbeitungstätigkeiten nach der Verordnung (EU) 2016/679 auf Anfrage der zuständigen Datenschutzaufsichtsbehörde zur Verfügung zu stellen hat. Dadurch wird die Möglichkeit der Sozialversicherungsaufsicht im Rahmen ihrer Aufgaben, die Daten anderweitig zu erheben und zu verarbeiten, nicht eingeschränkt.
Rz. 5
(unbesetzt)
2.2 Pflicht zur Veröffentlichung (Abs. 2; in Kraft bis zum 25.11.2019)
Rz. 6
Die Vorschrift verpflichtete die Krankenkassen sowie die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen, die nach Abs. 1 erstellte Übersicht in geeigneter Weise zu veröffentlichen. Die Verordnung (EU) 2016/679 enthält für die Normierung zusätzlicher Informationspflichten keine Öffnungsklausel, sondern regelt diese abschließend in Art. 30 Abs. 4. Art. 13 Abs. 1 und 2 sowie Art. 14 Abs. 1 und 2 der Verordnung (EU) 2016/679 schaffen zu Abs. 2 vergleichbare Vorgaben zur Information der betroffenen Person.
2.3 Dienstanweisungen
Rz. 7
Die Norm ordnet an, dass Krankenkassen sowie Kassenärztliche und Kassenzahnärztliche Vereinigungen in Dienstanweisungen Regelungen zum Datenschutz und zur Datensicherheit aufzustellen haben.
Die Anweisungen müssen mindestens die in Nr. 1 bis 4 aufgezählten Punkte beinhalten:
- zulässige Verfahren der Verarbeitung der Daten,
- Art, Form, Inhalt und Kontrolle der einzugebenden und der auszugebenden Daten,
- Abgrenzung der Verantwortungsbereiche bei der Datenverarbeitung,
- weitere zur Gewährleistung von Datenschutz und Datensicherheit zu treffende Maßnahmen.
Wie sich aus dem Wortlaut der Norm ergibt ("insbesondere"), ist die Auflistung beispielhaft zu verstehen. Weitere Inhalte können aufgenommen werden.
2.3.1 Datenverarbeitung (Nr. 1)
Rz. 8
Es ist davon auszugehen, dass "Sozialdaten" (§ 67 Abs. 2 SGB X) gemeint sind (Koch, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 286 Rz. 10). Sozialdaten sind personenbezogene Daten (Art. 4 Nr. 1 der Verordnung (EU) 2016/679), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden.
2.3.2 Datenkontrolle (Nr. 2)
Rz. 9
Die Dienstanweisungen regeln
- berechtigte Personen,
- Arten von Daten und
- die Art und Weise, in der Daten in ein Datenverarbeitungssystem eingegeben und wieder entnommen werden dürfen.
2.3.3 Verantwortungsbereiche (Nr. 3)
Rz. 10
Die Vorschrift stellt sowohl auf die interne als auch auf die externe Zuständigkeit der Krankenkassen nach § 284 und der Kassenärztlichen Vereinigungen nach § 285 ab.
2.3.4 Datenschutz (Nr. 4)
Rz. 11
Die Dienstanweisungen enthalten die weiteren zur Gewährleistung von Datenschutz und Datensicherheit zu treffenden Maßnahmen. Dazu gehören Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Auftrags- und Verfügbarkeitskontrolle sowie Trennungsgebote.