2.1 Zulässigkeit der Datenverarbeitung beim Rentenversicherungsträger
Rz. 3
In Abs. 1 Satz 1 wird der allgemeine Grundsatz genannt, dass die Verarbeitung und Nutzung von Sozialdaten durch die Rentenversicherungsträger zu deren Zwecken nur im Rahmen der übertragenen Aufgaben und der Erforderlichkeit zulässig sind. Dies bezieht sich jedoch nur auf Daten, die der Rentenversicherungsträger als Sozialleistungsträger erhebt. Soweit er etwa als Arbeitgeber Daten erhebt, gelten nicht die strengen Regeln des SGB, sondern allein die allgemeinen Geheimhaltungsvorschriften. Diese gesetzlich zugewiesenen oder zugelassenen Aufgaben sind nicht nur solche nach dem SGB VI. Der nachfolgende Katalog in Satz 2 nennt zwar nur Aufgaben nach dem SGB VI, der Grundsatz ist aber so auszulegen, dass alle dem Rentenversicherungsträger übertragenen Aufgaben in Betracht kommen, auch wenn sie sich aus anderen Gesetzen oder aus anderen Büchern des SGB ergeben (BT-Drs. 11/5530 S. 111). Zu den Aufgaben zählen somit auch freiwillige, für die es zwar eine gesetzliche Ermächtigungsnorm geben muss, die jedoch durch autonomes Recht (z. B. Satzungen) ausgestaltet werden. Soweit eine auf eine gesetzliche Ermächtigung beruhende Rechtfertigung fehlt, ist eine Datenverarbeitung verboten.
Rz. 4
Hinsichtlich der Begriffe "Sozialdaten, erheben, verarbeiten, nutzen, Datenerhebung, Datenverarbeitung, Datenspeicherung" ist auf die §§ 67 ff. SGB X zu verweisen. Ergänzend ist für den Sonderfall der Sozialdaten Verstorbener die Regelung in § 35 Abs. 5 SGB I zu berücksichtigen.
Rz. 5
Die Erforderlichkeit ist ein tragendes Element des Datenschutzes schlechthin. Sie begrenzt die Verarbeitung auf die Notwendigkeit zur aktuellen Aufgabenerfüllung. Die Erforderlichkeit ist jeweils im Einzelfall zu beurteilen. Im Hinblick auf das informationelle Selbstbestimmungsrecht des Versicherten (BVerfG, Urteil v. 15.12.1983, 1 BvR 209/93) muss die Auslegung des Begriffs Erforderlichkeit zwar auch an Aspekten der Zweck- und Verhältnismäßigkeit gemessen werden, jedoch darf nicht allein auf die Geeignetheit und Zweckmäßigkeit zur Aufgabenerfüllung abgestellt werden (so aber Walloth, in: Hauck/Haines, SGB X, § 67 Rz. 27). Erforderlichkeit ist vielmehr regelmäßig dann zu bejahen, wenn die Rentenversicherungsträger die ihnen zugewiesenen Aufgaben nicht ohne erarbeitung von Sozialdaten mit einem vertretbaren Zeit- und Verwaltungsaufwand vollständig, zeit- und sachgerecht erfüllen können (Polster, in: KassKomm., SGB VI, § 148 Rz. 6).
Rz. 6
Die Erweiterung des Abs. 1 Satz 3 ermächtigt den Rentenversicherungsträger, bestimmte abschließend aufgezählte Daten, die er von der zentralen Stelle im Rahmen der Datenanforderung nach dem Einkommensteuergesetz erhält, zur Aktualisierung des Versicherungskontos zu nutzen. Diese notwendige Ergänzung von Abs. 1 ist auch sinnvoll, da sie dazu dient, bestimmte Namens- und Anschriftendaten auch im Interesse des Versicherten auf den aktuellen Stand zu bringen.
2.2 Krankheitsdaten
Rz. 7
Abs. 2 konkretisiert für die Rentenversicherung die in § 35 Abs. 1 Satz 2 SGB I und § 76 SGB X enthaltene Regelung des Sozialgeheimnisses hinsichtlich medizinischer Daten, die wegen ihrer hohen Sensibilität besonders schutzwürdig sind. Die Differenzierung zwischen besonders schützenswerten und normalen Sozialdaten stellt keinen Widerspruch zur Rechtsprechung des BVerfG (Urteil v. 15.12.1983, 1 BvR 209/93) dar. Dort gewonnene Erkenntnisse, dass nicht nur intime, sondern auch auf den ersten Blick nicht erhebliche persönliche Daten schutzwürdig sind, schließt nämlich nicht aus, dass besondere Arten persönlicher Daten besonders schutzwürdig sind (vgl. dazu Wagner, in: JurisPK-SGB VI, § 148 Rz. 58; Steinbach, NZS 2002 S. 15; Bieresborn, in: Wulffen, SGB X, § 67 Rz. 37 jeweils m. w. N.). Die Vorschrift umfasst auch die Verpflichtung, die geschützten Daten durch technische und organisatorische Maßnahmen (§ 78a SGB X) so zu sichern, dass sie nur Befugten zugänglich sind. Damit erfüllt der Gesetzgeber auch die Forderung aus Art. 8 der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG 1995 Nr. L 281 S. 31; vgl. dazu auch Steinbach, NZS 2002 S. 15). Die Daten sind also nicht nur gegenüber Personen außerhalb des Rentenversicherungsträgers zu schützen, sondern auch gegenüber allen Bediensteten des Rentenversicherungsträgers, die diese Daten nicht zur Erfüllung ihrer konkreten Aufgaben benötigen. Hinsichtlich der zu schaffenden technischen und organisatorischen Schutzvorrichtungen gilt der Grundsatz der Verhältnismäßigkeit. Der Aufwand der entsprechenden Maßnahmen (z. B. Zugangssperren, Passwörter) muss in einem angemessenen Verhältnis zur Schutzwürdigkeit und Missbrauchsgefahr der jeweiligen Daten stehen. Kann der Rentenversicherungsträger die entsprechenden Maßnahmen nicht treffen oder sind ihm diese zu aufwendig, muss er für die Krankheitsdaten eigene Dateisysteme einrichten.
2.3 Automatisiertes Abrufverfahren
Rz. 8
Abs. 3 regelt die Einrichtung eines automatisierten Verfahrens zur...