0 Rechtsentwicklung
Rz. 1
Die Vorschrift ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1989 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Die Vorschrift enthält Regelungen über die Veröffentlichung von Datenübersichten durch die Krankenkassen und die Kassenärztlichen Vereinigungen sowie über den Erlass konkretisierender Dienstanweisungen für den Bereich des Datenschutzes.
Rz. 1a
Abs. 1 Satz 1 wurde durch das Zweite Gesetz zur Änderung des Sozialgesetzbuchs (2. SGBÄndG) v. 13.6.1994 (BGBl. I S. 1994) mit Wirkung zum 1.7.1994 redaktionell geändert. Außerdem wurde mit dem 2. SGBÄndG in Abs. 3 Nr. 4 der Verweis auf das BDSG durch einen Verweis auf § 78a SGB X ersetzt.
Rz. 1b
Durch das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU) v. 20.11.2019 (BGBl. I S. 1626) wurden zum 26.11.2019 Abs. 1 und 2 aufgehoben, Abs. 3 wurde geändert und ist einziger Bestandteil der Norm. Bei der Aufhebung des Abs. 1 Satz 1 handelt sich um eine redaktionelle Anpassung an die Verordnung (EU) 2016/679. Die in Abs. 1 Satz 2 normierte Pflicht, die Übersicht der zuständigen Aufsichtsbehörde vorzulegen, entfällt dagegen mangels Öffnungsklausel in der Verordnung (EU) 2016/679. Die in Abs. 2 normierte Veröffentlichungspflicht ist aufzuheben, da die Verordnung (EU) 2016/679 für die Normierung zusätzlicher Informationspflichten ebenfalls keine Öffnungsklausel vorsieht. Abs. 3 wird redaktionell an den gestrichenen § 78a SGB X angepasst.
1 Allgemeines
Rz. 2
Die Krankenkassen und die Kassenärztlichen Vereinigungen regeln in Dienstanweisungen die
- zulässigen Verfahren der Datenverarbeitung,
- Art, Form, Inhalt und Kontrolle der einzugebenden und auszugebenden Daten,
- Abgrenzung der Verantwortungsbereiche bei der Datenverarbeitung sowie
- weitere zur Gewährleistung von Datenschutz und Datensicherheit zu treffende Maßnahmen.
Die Anweisungen müssen mindestens die in Nr. 1 bis 4 der Vorschrift aufgezählten Punkte enthalten, können jedoch auch weitere Einzelheiten regeln.
2 Rechtspraxis
2.1 Datenübersicht (Abs. 1; in Kraft bis zum 25.11.2019)
Rz. 3
Satz 1 verpflichtete einerseits die Krankenkassen, andererseits die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen, einmal jährlich eine Übersicht über die Art der von ihnen gespeicherten Sozialdaten zu erstellen. Erreicht werden sollte hierdurch eine regelmäßige Kontrolle des Umfangs der Datenspeicherung. Die Pflicht folgt seit dem 26.11.2019 direkt aus Art. 30 der Verordnung (EU) 2016/679.
Rz. 4
Die Übersicht war der zuständigen Aufsichtsbehörde vorzulegen. Die Pflicht entfällt mangels einer Öffnungsklausel in der Verordnung (EU) 2016/679. Die Verordnung (EU) 2016/678 sieht stattdessen in Art. 30 Abs. 4 der Verordnung vor, dass der Verantwortliche oder der Auftragsverarbeiter das Verzeichnis aller Verarbeitungstätigkeiten nach der Verordnung (EU) 2016/679 auf Anfrage der zuständigen Datenschutzaufsichtsbehörde zur Verfügung zu stellen hat. Dadurch wird die Möglichkeit der Sozialversicherungsaufsicht im Rahmen ihrer Aufgaben, die Daten anderweitig zu erheben und zu verarbeiten, nicht eingeschränkt.
Rz. 5
(unbesetzt)
2.2 Pflicht zur Veröffentlichung (Abs. 2; in Kraft bis zum 25.11.2019)
Rz. 6
Die Vorschrift verpflichtete die Krankenkassen sowie die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen, die nach Abs. 1 erstellte Übersicht in geeigneter Weise zu veröffentlichen. Die Verordnung (EU) 2016/679 enthält für die Normierung zusätzlicher Informationspflichten keine Öffnungsklausel, sondern regelt diese abschließend in Art. 30 Abs. 4. Art. 13 Abs. 1 und 2 sowie Art. 14 Abs. 1 und 2 der Verordnung (EU) 2016/679 schaffen zu Abs. 2 vergleichbare Vorgaben zur Information der betroffenen Person.
2.3 Dienstanweisungen
Rz. 7
Die Norm ordnet an, dass Krankenkassen sowie Kassenärztliche und Kassenzahnärztliche Vereinigungen in Dienstanweisungen Regelungen zum Datenschutz und zur Datensicherheit aufzustellen haben.
Die Anweisungen müssen mindestens die in Nr. 1 bis 4 aufgezählten Punkte beinhalten:
- zulässige Verfahren der Verarbeitung der Daten,
- Art, Form, Inhalt und Kontrolle der einzugebenden und der auszugebenden Daten,
- Abgrenzung der Verantwortungsbereiche bei der Datenverarbeitung,
- weitere zur Gewährleistung von Datenschutz und Datensicherheit zu treffende Maßnahmen.
Wie sich aus dem Wortlaut der Norm ergibt ("insbesondere"), ist die Auflistung beispielhaft zu verstehen. Weitere Inhalte können aufgenommen werden.
2.3.1 Datenverarbeitung (Nr. 1)
Rz. 8
Es ist davon auszugehen, dass "Sozialdaten" (§ 67 Abs. 2 SGB X) gemeint sind (Koch, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 286 Rz. 10). Sozialdaten sind personenbezogene Daten (Art. 4 Nr. 1 der Verordnung (EU) 2016/679), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden.
2.3.2 Datenkontrolle (Nr. 2)
Rz. 9
Die Dienstanweisungen regeln
- berechtigte Personen,
- Arten von Daten und
- die Art und Weise, in der Daten in ein Datenverarbeitungssystem eingegeben und wieder entnommen werden dürfen.
2.3.3 Verantwortungsbereiche (Nr. 3)
Rz. 10
Die Vorschrift stellt sowohl auf die interne als auch auf...