Rz. 24
Modellvorhaben nach Abs. 1 können insbesondere informationstechnische und organisatorische Verbesserungen der Datenverarbeitung, einschließlich der Erweiterungen der Befugnisse zur Verarbeitung von personenbezogenen Daten betreffen (Satz 1).
Rz. 24a
Die bisherige Begriffstrias der Erhebung, Verarbeitung und Nutzung wird redaktionell an die Begriffsbestimmung des Art. 4 Nr. 2 der Verordnung (EU) 2016/679 angepasst. Danach umfasst der Begriff des Verarbeitens die bisher in § 67 SGB X a. F. bzw. § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen. Bei der Ersetzung des Begriffs "Datenverwendung" durch den Begriff der Datenverarbeitung handelt es sich ebenfalls um eine redaktionelle Anpassung.
Rz. 25
Abweichungen von den Vorschriften des SGB X zum Datenschutz bedürfen der vorherigen schriftlichen oder elektronischen Genehmigung des Versicherten und sind nur in dem Umfang zulässig, der zur Zielerreichung des Modellvorhabens erforderlich ist (Satz 2). Ermessen hinsichtlich der erforderlichen Genehmigung und ihrer Form wird nicht eingeräumt (anders als in § 67b Abs. 2 Satz 1 und 2 SGB X).
Rz. 26
Der Versicherte ist vor Erteilung der Einwilligung schriftlich oder elektronisch darüber zu unterrichten, inwieweit das Modellvorhaben von den Vorschriften des SGB X abweicht und aus welchen Gründen diese Abweichungen erforderlich sind (Satz 3). Dem Recht des Versicherten auf informationelle Selbstbestimmung wird Rechnung getragen. Der Träger des Modellvorhabens hat alle datenschutzrechtlichen Aspekte unter besonderer Beachtung der Notwendigkeitsmaxime zu prüfen. Versicherte werden vor der eigentlichen Einwilligung unterrichtet. Eine Warnung vor erhöhter Rechtsverbindlichkeit ist nicht erforderlich (BT-Drs. 18/10183 S. 131).
Rz. 27
Die Einwilligung des Versicherten bezieht sich auf Zweck, Inhalt, Art, Umfang und Dauer der Verarbeitung seiner personenbezogenen Daten sowie die daran Beteiligten (Satz 4). Der Versicherte kann seine Einwilligung widerrufen. Das Widerrufsrecht ergibt sich aus Art. 7 Abs. 3 der Verordnung (EU) 2016/679.
Rz. 28
Von § 291 abweichende Erweiterungen der Krankenversichertenkarte sind nur zulässig, wenn die zusätzlichen Daten informationstechnisch von den in § 291 Abs. 2 genannten Daten getrennt werden (Satz 5 a. F.). Gesondert zu speichern wären z. B. Notfalldaten (u. a. Bluter, Diabetiker), Diagnosen und elektronische Rezepte. Die Krankenversichertenkarte wurde am 1.1.2015 von der elektronischen Gesundheitskarte abgelöst (obwohl die Karte bereits zum 1.1.2006 eingeführt werden sollte; § 291 a Abs. 1). Sie wird in Satz 5 nicht erwähnt. Dennoch ist die Vorschrift anzuwenden, weil die Krankenversichertenkarte zur elektronischen Gesundheitskarte erweitert wurde (§ 291 a Abs. 1).
Rz. 28a
Die Vorschrift wird zum 29.12.2015 rechtsbereinigend aufgehoben. Mit der elektronischen Gesundheitskarte (§§ 291, 291a) wird die im bisherigen Satz 5 geforderte informationstechnische Trennung technisch umgesetzt.
Rz. 29
Beim Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien galt § 6c BDSG a. F. entsprechend (Satz 5; aufgehoben). Der Versicherte ist somit über den Umgang mit dem Medium (z. B. elektronische Gesundheitskarte) zu unterrichten. Das Auskunftsrecht war nicht eingeschränkt und musste über entsprechende Geräte und Einrichtungen verfügbar sein. Das BDSG sieht eine dem § 6c BDSG a. F. entsprechende Regelung nicht mehr vor. Der ins Leere gehende Verweis wurde deswegen zum 26.11.2019 aufgehoben. Hauptanwendungsfall sind Chipkarten im Scheckkartenformat, die nach Einführung der elektronischen Gesundheitskarte keine praktische Relevanz mehr haben.