Schnell gelesen

Schnell gelesen

  • Für eine bessere Gesundheitsversorgung will die Ampel-Koalition die Sozialversicherung entbürokratisieren. Dafür muss die Politik auch den Sozialdatenschutz in den Blick nehmen.
  • Für die gesetzlichen Kranken- und Pflegekassen gelten wesentlich schärfere Regeln als für die Leistungserbringer und die private Krankenversicherung (PKV). Im Unterschied zu den Leistungserbringern und zur PKV unterliegen die gesetzlichen Kassen dem deutlich strengeren Sozialgesetzbuch (SGB).
  • Im SGB fehlt oftmals die datenschutzrechtliche Verarbeitungsbefugnis hinsichtlich der Aufgaben, die den Krankenkassen gesetzlich zugewiesen sind. Dies erschwert die Arbeit der Krankenkassen. Die althergebrachte Trennung zwischen den Aufgaben und der Befugnis, Daten zu verarbeiten, behindert digitale Prozesse.
  • Im Unterschied zu den Regelungen in der EU-Datenschutzgrundverordnung für die Versorgungsforschung gibt es für die Routinedaten der Krankenkassen deutlich strengere Spezialvorschriften im SGB.
  • Da nach dem SGB Betriebs- und Geschäftsgeheimnisse wie Sozialdaten behandelt werden, ist für die gesetzlichen Kassen der Abschluss von Verträgen erschwert. Wegen der SGB-Sonderregelungen ist die Nutzung allgemein üblicher Standardsoftware für Krankenkassen formal fast unmöglich.
  • Wer den Wettbewerb zwischen GKV und PKV will, sollte den gesetzlichen Kassen mehr Gestaltungsspielraum beim Datenschutzmanagement zugestehen, die Überregulierung für die gesetzlichen Kassen abbauen und das SGB datenschutzrechtlich reformieren. Dadurch erhielten die Kassen mehr Freiraum für Innovationen, die die Gesundheitsversorgung verbessern – und das ohne Abstriche beim Schutz der Rechte und Freiheiten der GKV-Versicherten.
Reformbedarf

Verzettelt beim Sozialdaten-Schutz

EU-Datenschutzgrundverordnung, Bundesdatenschutzgesetz, Sozialgesetzbuch – Stück für Stück sind die datenschutzrechtlichen Vorschriften gewachsen. Dabei gelten für die gesetzlichen Kranken- und Pflegekassen wesentlich strengere Regeln als für Leistungserbringer oder private Krankenversicherer. Welche Folgen das hat und was die Politik ändern sollte, skizziert Mathias Schadly.

Die Ampel-Koalition will die Sozialversicherung entbürokratisieren. Im Koalitionsvertrag der neuen Bundesregierung heißt es: „Durch ein Bürokratieabbaupaket bauen wir Hürden für eine gute Versorgung der Patientinnen und Patienten ab.“ Bei diesem Ziel kann es aber nicht allein um eine bessere Gesundheitsversorgung gehen. Vielmehr ist auch der Schutz der Sozial­daten ein Bereich, den es zu entbürokratisieren gilt – ohne dabei das Schutzniveau für die Versicherten zu gefährden.

Europarecht gibt Rahmen vor.

Die gesetzliche Kranken- und Pflegeversicherung und das Datenschutzrecht haben eine große Schnittmenge. Beide sind darauf ausgerichtet, den Menschen vor Gefahren zu schützen und gut zu versorgen. Dafür ist es unvermeidlich, die sensiblen Daten der Versicherten zu verarbeiten. Dabei gibt seit 2018 die EU-Datenschutzgrundverordnung (DSGVO) den europaweit gültigen Rechtsrahmen für die an der Gesundheitsversorgung Beteiligten vor, also den Kranken- und Pflegekassen, Ärzten, Krankenhäusern und anderen Leistungserbringern sowie der privaten Krankenversicherung (PKV). Um ein Missverständnis vorweg auszuräumen – in der DSGVO geht es nicht um den Schutz von Daten um deren selbst willen, sondern um die Grundrechte der Bürgerinnen und Bürger nach der EU-Grundrechtecharta. Das Datenschutzrecht setzt sich daher immer mit potenziellen Risiken für diese ­Rechte und Freiheiten auseinander. Weil die jeweils Verantwortlichen den Bürgerinnen und Bürgern die Datenverarbeitung transparent zu machen haben, gibt es überall die Datenschutzerklärungen, Datenschutzhinweise oder Cookie-Banner.

Da die Komplexität sozialgesetzlicher Regelungen stetig angewachsen ist, lässt sich diese Transparenz für die Krankenkassen zwangsläufig schwerer erreichen. Ebenso ist es für Fachanwender dieser Regelungen immer eine Herausforderung, den Überblick zu behalten. Das ist weder dem Recht auf Datenschutz dienlich noch dem Kundenservice.

Nationale Regelungen widersprüchlich.

Wie bereits erwähnt, setzt die DSGVO einen umfassenden Rechtsrahmen für die Datenverarbeitung. Zugleich enthält sie Öffnungsklauseln, die den EU-Mitgliedstaaten nationale ergänzende Regelungen zur DSGVO ermöglichen. Diesen datenschutzrechtlichen Gestaltungsspielraum nutzt Deutschland mit Blick auf das sehr fragmentierte Gesundheitswesen höchst unterschiedlich und vor allem widersprüchlich. Dies verdeutlich ein typischer Fall aus der Versorgungspraxis: Ein Mann geht wegen Beschwerden in der Brust zu seiner niedergelassenen Hausärztin. Um seine Beschwerden weiter abzuklären, überweist sie den Patienten zu einem Facharzt in einem Medizinischen Versorgungszentrum (MVZ) in kommunaler Trägerschaft. Dort wird eine akute Herzerkrankung festgestellt, die eine sofortige stationäre Behandlung erfordert. Der Patient wird von einem zugelassenen Fahrdienst in ein Krankenhaus in privater Trägerschaft gebracht und dort stationär aufgenommen.
 
Bei dieser Versorgungskette fallen – vereinfacht gesagt – ­neben den Kontaktdaten des Patienten mindestens folgende Daten an, die die jeweils Beteiligten (Hausärztin, MVZ, Fahrdienst, Krankenhaus, Krankenversicherung) verarbeiten:

  • Behandlungsdatum und -zeitraum
  • Betriebsstätte des Leistungserbringers
  • Diagnose
  • Verordnungen
  • Abrechnungsposition/Kosten

Unabhängig davon, dass das europäische Datenschutzrecht, das Bundesdatenschutzgesetz und – je nach Ortsansässigkeit des Leistungserbringers gegebenenfalls auch das Landesdatenschutzgesetz – bei der Datenverarbeitung grundsätzlich von allen an der Versorgung Beteiligten zu beachten sind, gibt es gravierende Unterschiede zwischen Leistungserbringern sowie privaten Krankenversicherungen gegenüber den gesetzlichen Krankenkassen. Die gesetzlichen Krankenkassen haben sämtliche daten­schutzrechtlichen Regelungen des Sozialgesetzbuchs zu beachten. Dies gilt aber nicht für die PKV und die Leistungs­erbringer. Die Folge: Obwohl eine datenschutzkonforme Verarbeitung der Daten aus dem oben genannten Versorgungsbeispiel bei Leistungserbringern und privaten Krankenversicherern bereits auf Basis der DSGVO und ohne zusätzliche Sondergesetze möglich ist, bestehen umfangreiche Regelungen für die gesetzlichen Krankenkassen, obwohl es sich um die gleichen Datenkategorien handelt.

Sondervorschriften für die Kassen.

Allein das oben genannte Beispiel macht deutlich: Das Problem sind nicht die DSGVO, auch wenn diese teilweise als zu bürokratisch kritisiert wird, das Bundesdatenschutzgesetz oder die datenschutzrechtlichen Regelungen auf Länderebene. Diese gelten für alle gleichermaßen. Es ist vielmehr das stetig wachsende Sozialgesetzbuch (SGB) mit seinen zusätzlichen Sondervorschriften zum Datenschutz. ­Dessen sozialdatenschutzrechtlichen Vorgaben sind breit gefächert. Sie beschränken sich längst nicht mehr allein auf die Definition des Sozialgeheimnisses (Paragraf 35 SGB I) und den zweiten Abschnitt des SGB X (allgemeine Vorschriften über das Verwaltungsverfahren). Vielmehr sind mittlerweile auch in den Vorgaben für die gesetzlichen Kranken- und Pflegekassen, die schwerpunktmäßig im SGB V und XI verortet sind, zahlreiche datenschutzrechtliche Normen und Befugnisse in Verbindung mit untergesetzlichen Verordnungen, Richtlinien und kollektivrechtlichen Verträgen auf Selbstverwaltungsebene enthalten. Eine weitere Besonderheit im Recht des Sozialdatenschutzes sind spezifische Regelungen auf Basis öffentlich-rechtlicher Verträge zwischen einer oder mehreren Krankenkassen und Leistungserbringern, zum Beispiel im Kontext der integrierten Versorgung nach Paragraf 140a SGB V.

Höhere Hürden für die Datenverarbeitung.

Fragen wirft die Tatsache auf, dass nach geltendem Recht die Intensität des Datenschutzes für personenbezogene Daten davon abhängt, ob die Verarbeitung durch eine Krankenkasse oder aber beispiels­weise einen Leistungserbringer erfolgt. So verarbeiten Krankenhäuser ihre Daten im Wesentlichen nach den Vorgaben der DSGVO. Dies trifft auch für die PKV zu. Die gesetzlichen Kranken­kassen hingegen unterliegen bei ihrer Datenverarbeitung dem wesentlich strengeren Sozialgesetzbuch. Danach sind alle personenbezogenen Daten – also nicht allein Gesundheitsdaten, sondern beispielsweise auch Adresse oder Telefonnummer eines Ver­sicherten – Sozialdaten, die besonders schutzbedürftig sind. Die Krankenkassen haben somit prinzipiell den maximalen Schutz auch bei nach der DSGVO grundsätzlich weniger schutzbedürftigen Daten zu gewährleisten, was sich auf die Wirtschaftlichkeit ihres Verwaltungshandeln auswirkt. Diese Unterscheidung ist nicht einleuchtend und verzerrt den Wettbewerb zwischen der gesetzlichen und der privaten Krankenversicherung.

Die Trennung zwischen den zugewiesenen Aufgaben und der Befugnis, Daten zu verarbeiten, behindert digitale Prozesse.

Ein besonderes Problemfeld beim Sozialdatenschutz stellt aufgrund der spezialgesetzlichen Regelungen des Sozialgesetzbuchs die Befugnis der Krankenkassen dar, Daten im Hinblick auf ihre zugewiesenen Aufgaben zu verarbeiten. Als gesetzliche Aufgaben sind hier unter anderem die Aufklärung der Bevölkerung über die Rechte und Pflichten der Leistungsträger (Paragraf 13 SGB I), die Verpflichtung der Kranken­kassen zur Förderung des selbstbestimmten gesundheitsorientierten Handelns ihrer Versicherten (Gesundheitsförderung, Paragraf 20 Absatz 1 SGB V) oder die Generalklausel des Paragrafen 1 SGB V zu nennen. Hiernach haben die Krankenkassen die Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder ihren Gesundheitszustand zu verbessern und den Versicherten dabei durch Aufklärung, Beratung und Leistung zu helfen und auf gesunde Lebensverhältnisse hin­zuwirken (Paragraf 1 Satz 4 SGB V).

Leerstellen bei der Verarbeitungsbefugnis.

Für all diese Aufgaben muss eine sogenannte datenschutzrechtliche Verarbeitungs­befugnis gesetzlich bestimmt werden. Ohne diese Befugnis darf eine Krankenkasse Sozialdaten nicht verarbeiten. Aber oft genug fehlt diese Befugnis im Sozialgesetzbuch. Dies erschwert im Zeitalter digitaler Geschäftsprozesse die Arbeit der Kranken­kassen. Die althergebrachte Trennung von Aufgabenzuweisung und Verarbeitungsbefugnis ist sehr hinderlich bei der auch von der Politik geforderten Digitalisierung der Verwaltungsabläufe. Dies führt zu Unsicherheiten bei der Auslegung des Sozialgesetzbuchs und zu einem hohen bürokratischen Aufwand.
 
Dass selbst dem Gesetzgeber die Trennung zwischen Auf­gabenzuweisung und Verarbeitungsbefugnis nicht immer bewusst ist, zeigt ein Beispiel aus der Corona-Gesetzgebung. Im Rahmen der Coronavirus-Schutzimpfung wurde vorgesehen, dass die Krankenkassen gegebenenfalls bei den Einladungen der Bürger mitwirken. Basis dafür wäre der neugeschaffene Paragraf 20i Absatz 4 Satz 2 SGB V als Aufgabenzuweisung. Aber weder in der Verordnung zum Anspruch auf eine Schutzimpfung gegen Corona (Coronavirus-Impfverordnung) noch in Paragraf 284 SGB V folgte eine Klarstellung, die den Krankenkassen eine Nutzung ihrer Daten in diesem Sinne erlaubte. Diese wurde erst zu einem späteren Zeitpunkt nachgeschoben.

Ähnlich verhält es sich mit der Nutzung von Einwilligungserklärungen der Versicherten in fakultative Aufgabenbereiche der gesetzlichen Krankenkassen. So ist beispielsweise die für ein Versorgungsmanagement notwendige Datenübermittlung nur mit Einwilligung des Versicherten möglich (Paragraf 11 Absatz 4 SGB V). Eine ähnliche Regelung findet sich für das Entlassmanagement (Paragraf 39 Absatz 1a SGB V). In beiden Fällen wäre es für den Zugang zu diesen Versorgungsbereichen einfacher und versichertenfreundlicher, die Verarbeitungsbefugnis generisch – idealerweise in Paragraf 284 SGB V – gesetzlich zu verankern und den Versicherten auf seine Widerspruchsrechte hinzuweisen. Nach der DSGVO ist dies grundsätzlich möglich.

Auswertung von Routinedaten an der Leine.

Und wie sieht es bei den empirischen Daten über die Gesundheitsversorgung aus? Feststeht, dass deren Erhebung und Auswertung dazu beitragen, die Versorgung zu verbessern. Obwohl die DSGVO bereits die Anforderung an die Versorgungsforschung regelt, bestehen hierzulande Sondervorschriften. Im deutschen Recht finden sich dazu im Bundesdatenschutzgesetz zum einen die erforderlichen Ergänzungen der DSGVO, die zum Beispiel auch für Gesundheitsdaten der Leistungserbringer gelten. Aber für die vergleichbaren Routinedaten der Krankenkassen aus den Abrechnungen mit den Leistungserbringern gibt es abweichende, komplexere und deutlich strengere Spezialvorschriften im SGB. Zwar dürfen die Kassen die Datenbestände leistungserbringer- oder fall­bezogen für zeitlich befristete und im Umfang begrenzte Forschungsvorhaben auswerten, um beispielsweise Erkenntnisse über Zusammenhänge zwischen Erkrankungen und Arbeitsbedingungen oder über örtliche Krankheitsschwerpunkte zu gewinnen. Doch dies muss anonymisiert erfolgen und unter Umständen auch die Aufsichtsbehörde erlauben (Paragraf 287 SGB V).

Fesseln für Verträge.

Eine große Besonderheit beim Sozial­datenschutz nach dem Sozialgesetzbuch ist die Tatsache, dass dort – im Unterschied zum Bundesdatenschutzgesetz und zur DSGVO – Betriebs- und Geschäftsgeheimnisse wie Sozialdaten behandelt werden (Paragraf 35 Absatz 4 SGB I). Die Folge: Bei der Verarbeitung von Vertragsdaten, die einen Geheimnis­charakter im Sinne der Vorschrift haben, gelten die gleichen Anforderungen wie für die Verarbeitung von Sozial­daten. Dies kann zu erheblichen Verwerfungen führen und einen Vertragsabschluss mit Unternehmen, welche diese Vorgaben nicht er­füllen, nahezu unmöglich machen.

Digitale Datenverarbeitung erschwert.

Auch bei der Gestaltung von Verträgen mit Dienstleistern bestehen im Sozialgesetzbuch spezielle Anforderungen für die Krankenkassen, die über die Anforderungen an Leistungserbringer und die PKV im Umgang mit Gesundheitsdaten hinausgehen. Obwohl nach der DSGVO Unternehmen damit beauftragt werden können, Gesundheitsdaten zu verarbeiten, müssen die Krankenkassen bereits bei weniger schutzbedürftigen Daten strengere Vorschriften einhalten. Insbesondere im Kontext der Beschaffung oder Wartung von IT-Lösungen zur Digitalisierung bringt dies mitunter unlösbare Hürden mit sich, die ein entsprechendes Vorhaben verhindern oder zumindest verteuern. Dies ist zum Beispiel im Bereich der Cloud-Technologie der Fall. So dürfen die Krankenkassen einen Auftrag an einen Technologieanbieter nur dann erteilen, wenn die Verarbeitung im Inland, in einem anderen EU-Mitgliedsland, in einem Staat des Europäischen Wirtschaftsraums oder in der Schweiz erfolgt (Paragraf 80 Absatz 2 SGB X). Das Übermitteln personenbezogener Daten in ein anderes Land oder an eine internationale Organisation ist zudem nur dann zulässig, wenn die Europäische Kommission beschlossen hat, dass diese ein angemessenes Schutzniveau bieten (Angemessenheitsbeschluss). Im Prinzip ist somit die Nutzung allgemein üblicher Standardsoftware für Krankenkassen formal fast unmöglich – im Unterschied zu Leistungserbringern, da diese nicht an die Vorgaben des Paragrafen 80 SGB X gebunden sind.

  • Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen: Digitalisierung im Dienste der Gesundheit. Besseren Schutz von Leben und Gesundheit mit höherer Datensicherheit vereinbaren. Gut­achten 2021. Download
  • Mathias Schadly, Matthias Schömann, Sebastian Schulz: Großbaustelle Sozialdatenschutz – eine kritische Bestandsaufnahme. In: RDV. Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht 5/2021, Seite 258–263.
  • Dennis-Kenji Kipker, Friederike Voskamp (Hrsg.): Sozialdatenschutz in der Praxis. Nomos Verlag, Baden-Baden 2021.

Insgesamt machen diese Beispiele deutlich: Die Kranken­kassen sind beim Datenschutz wesentlich stärker reguliert als etwa Leistungserbringer oder auch die PKV. Denn Letztere unterliegen nicht den wesentlich schärferen Bestimmungen des Sozialrechts. Wer aber den Wettbewerb zwischen GKV und PKV will, sollte den Krankenkassen mehr Gestaltungsspielraum beim Datenschutzmanagement zugestehen. Dies ist durchaus möglich. Denn auch die Krankenkassen halten die Vorgaben der DSGVO ein.

Vorschläge für eine Reform.

Ziel muss sein, die Überregulierung bei den Krankenkassen im Vergleich zu den Leistungserbringern und der PKV abzubauen und das Sozialgesetzbuch datenschutzrechtlich zu reformieren. Dies wäre folgendermaßen möglich:

  • Strukturierung des Sozialdatenschutzrechts im Sinne der Formulierung eines Grundtatbestandes und des Verzichts auf Spezialvorschriften im Leistungs- und Leistungserbringerrecht. Die gesetzlichen Krankenkassen sollten die Möglichkeit erhalten, Sozialdaten, die für die Erfüllung ihrer gesetzlich zugewiesenen Aufgaben erforderlich sind, zu verarbeiten, ohne dass es hierfür eines weiteren Erlaubnistatbestandes bedarf. Zudem sollte eine Einwilligung im Einklang mit der DSGVO ebenfalls für eine Datenverarbeitung im Rahmen der Ausgestaltung von Kann-Leistungen ausreichen.
  • Aufnahme der Einwilligung von Versicherten als Erlaubnistatbestand im Einklang mit der DSGVO.
  • Weiterentwicklung der Datenschutzregelungen im SGB X dahingehend, dass die ohnehin geltenden Regelungen der DSGVO an den erforderlichen Stellen konkretisiert werden, zum Beispiel, indem dezidierte Anforderungen an das Daten­schutz- und Informationssicherheitsmanagement der Krankenkassen und gegebenenfalls Rechenschaftspflichten gegenüber Gremien der Selbstverwaltung oder Aufsichten festgelegt werden.
  • Angleichung der Definitionen an die DSGVO, insbeson­dere zum Sozialgeheimnis.
  • Ersetzen der allumfassenden Definition der Sozialdaten durch eine risikoorientierte Kategorisierung der Daten.
  • Abschaffung der Gleichstellung von Betriebs- und Geschäftsgeheimnissen mit hochsensiblen personenbezogenen Daten.
  • Wegfall der datenschutzrechtlichen Sonderregelungen für die Forschung mit Routinedaten der Krankenkassen, die über die Festlegungen der DSGVO und des Bundesdatenschutzgesetzes hinausgehen.
  • Einheitliche Standards für die Verarbeitungsprozesse von personenbezogenen Daten bei Krankenkassen, Leistungs­erbringern in der GKV und der PKV.
  • Neuregelung des Paragrafen 80 SGB X hin zu einer Schutzvorschrift, die den Zugriff auf Sozialdaten aus Drittstaaten verhindert, sodass wirtschaftliche Zukunftstechnologien auch im Interesse der Solidargemeinschaft genutzt werden können.

All dies würde es den Krankenkassen erheblich erleichtern, nicht bloß ihre gesetzlich zugewiesenen Aufgaben zu erfüllen. Sie erhielten darüber hinaus mehr Freiraum für Innovationen, die die Gesundheitsversorgung verbessern – und das ohne Abstriche beim Schutz der Rechte und Freiheiten der Versicherten.

Glossar:

Einwilligung

Unabhängig davon, ob eine gesetzliche Grundlage vorliegt, ist die Verarbeitung von personenbezogenen Daten dann zulässig, wenn der Betroffene eingewilligt hat. Dabei ist grundsätzlich sicherzustellen, dass die Ein­willigung informiert erfolgt, das heißt der Betroffene die Verarbeitung und seine Rechte erklärt bekommt, zum Beispiel durch Datenschutzerklärungen. Weiterhin ist eine Einwilligung nur dann gültig, wenn ein Widerruf möglich ist. Für Minderjährige bestehen besondere Regelungen.

Internationale Datenverarbeitung

Die EU-Datenschutzgrund­verordnung DSGVO regelt den Rahmen der Datenverarbeitung innerhalb der Europäischen Union, auch für Gesundheitsdaten als sogenannte „besondere personenbezogene Daten“. Ebenso ist darin geregelt, unter welchen Bedingungen Datenverarbeitungen datenschutzkonform außerhalb der EU erfolgen können (Kapitel 5 der DSGVO). Die internationale Datenverarbeitung gewinnt insbesondere im Rahmen von Cloud-Anwendungen zunehmend an Bedeutung. Im Gegensatz zu Leistungserbringern und privaten Krankenversicherungen stehen den gesetzlichen Krankenkassen nicht alle Möglichkeiten bei derartigen Verarbeitungen zur Verfügung (Paragraf 80 Absatz 2 SGB X).

Sozialdaten

Personenbezogene Daten über die persönlichen und sachlichen Verhältnisse, die von den sozialrechtlichen Leistungsträgern zur Erfüllung ihrer gesetzlichen Aufgaben gesammelt und gespeichert werden. Zu den persönlichen Daten gehören unter anderem Name, Geburtsdatum, Krankheiten. Sachliche Daten sind zum Beispiel Telefonnummer, E-Mailadresse, IP-Adresse des Computers. Die Sozialdaten unterliegen dem Sozialgeheimnis (Paragraf 67 Absatz 2 SGB X).

Sozialdatenschutz

Schutz personenbezogener Daten des Einzelnen. Diese Daten sollen auch insbesondere von den Sozialleistungsträgern vor Missbrauch geschützt werden. Damit ist der Sozialdatenschutz gleichzeitig auch Persönlichkeitsschutz. Grundnorm für den Datenschutz im Bereich der sozialen Sicherung ist Paragraf 35 SGB I. Danach hat jeder Einzelne einen Anspruch darauf, dass seine Sozialdaten von den Leistungsträgern als Sozialgeheimnis gewahrt und nicht unbefugt verarbeitet werden. Die Sozialleistungsträger haben sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden.

Verarbeitungsbefugnis

Versichertenbezogene Sozialdaten dürfen nur in dem jeweils erforderlichen Umfang verarbeitet werden (Paragraf 284 SGB V). Die DSGVO definiert als Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Die Verarbeitung von Sozialdaten ist nur zulässig, soweit der Betroffene eingewilligt hat oder ein gesetzlicher Erlaubnistatbestand vorliegt. Dies ist zum Beispiel dann der Fall, wenn die Datenübermittlung zur Erfüllung der gesetzlichen Aufgaben des Sozialversicherungsträgers erforderlich ist. Das Sozialgesetzbuch gibt dem Betroffenen grundsätzlich unter anderem das Recht auf Auskunft über die zu seiner Person gespeicherten Sozialdaten und über die Empfänger, gegenüber denen die Sozialdaten offengelegt worden sind.

Verbot mit Erlaubnisvorbehalt

Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist auf Basis der Vorgaben der DSGVO legitimierbar (Artikel 6) . Daher kommt im Bereich der Kernaufgaben der gesetzlichen Krankenkassen insbesondere den Rechtsvorschriften im Sozialgesetzbuch beziehungsweise in den untergesetzlichen Regelungen sowie Einwilligungen der Betroffenen eine hohe Bedeutung zu.

G+G-Redaktion

Mathias Schadly leitet den Stabsbereich Revision, Datenschutz, Fehl­verhaltensbekämpfung im AOK-Bundesverband und ist Datenschutzbeauf­tragter des AOK-Bundesverbandes.
Bildnachweis: iStock.com/mattjeacock