Aufsatz : Großbaustelle Sozialdatenschutz – eine kritische Bestandsaufnahme : aus der RDV 5/2021, Seite 258 bis 264
Zugleich: Anregungen für Anpassungen in der 20. Legislaturperiode
Im Jahr 2020 waren in der Bundesrepublik rund 73,36 Millionen Menschen gesetzlich kranken- und pflegeversichert. Der schon hieraus folgenden erheblichen praktischen Bedeutung der gesetzlichen Kassen steht mit den Vorgaben des Sozialdatenschutzes ein auch für den erfahrenen Praktiker kaum mehr durchdringbares Regelungsgeflecht gegenüber. Im Zuge der Digitalisierung im Gesundheitswesen nimmt die Überkomplexität des Sozialdatenschutzrechts weiter zu. Dieser Beitrag unternimmt den Versuch, diese Entwicklung in den Kontext der auch im Sozialdatenschutz unmittelbar geltenden DS-GVO einzuordnen und zeigt Potential für Reformen auf, die in der anstehenden Legislaturperiode dringend angegangen werden sollten.
I. Vorbemerkung
Die Corona-Pandemie lenkte in den vergangenen anderthalb Jahren den Blick der Gesellschaft abermals auf das deutsche Gesundheitswesen. Dessen Stärken und Schwächen wurden sichtbar, Optimierungspotentiale und Interessen verschiedener Akteure, insbesondere im Zusammenhang mit dem föderalen Staatsaufbau, aber auch im Bereich des Datenschutzes, wurden in die öffentliche Diskussion eingebracht.
Nicht zuletzt im Rahmen einzelner Gesetzgebungsverfahren[1] wurde deutlich, wie hilfreich bei den gesetzlichen Krankenkassen und den Kassenärztlichen Vereinigungen gespeicherte personenbezogene Daten von Patienten und Versicherten für die Politik und das Gesundheitswesen insgesamt sein können. Wie umfangreich und vor allem, wie zersplittert die datenschutzrechtlichen Bestimmungen im Gesundheitswesen sind, ist bei den (politischen) Entscheidern oft nicht immer vollständig bekannt. Einem Teilbereich dieser Spezialvorschriften in der gesetzliche Kranken- und Pflegeversicherung (GKV) will sich im Folgenden dieser Beitrag im Kontext des Sozialdatenschutzes nach dem Sozialgesetzbuch (SGB) widmen.
II. Rahmenbedingungen
1. Rechtsrahmen und Spezifika des Sozialdatenschutzes
Die sozialdatenschutzrechtlichen Vorgaben sind (zu) breit gefächert. Sie beschränken sich längst nicht mehr allein auf die Definition des Sozialgeheimnisses im § 35 SGB I (dazu nachfolgend 2.) und den zweiten Abschnitt des SGB X, in dem seit Anfang der 1980er Jahre feingranular in Verarbeitungsphasen untergliederte Zulässigkeitstatbestände normiert sind. Vielmehr sind mittlerweile auch in den originären Vorgaben für die GKV, die schwerpunktmäßig im SGB V und XI verortet sind, zahlreiche datenschutzrechtliche Normen und Befugnisse für untergesetzliche Verordnungen, Richtlinien und kollektivrechtliche Verträge auf Selbstverwaltungsebene enthalten. Eine weitere Besonderheit im Recht des Sozialdatenschutzes sind spezifische datenschutzrechtliche Regelungen auf Basis öffentlich-rechtlicher Verträge zwischen einer oder mehrerer Krankenkassen und Leistungserbringern, z.B. im Kontext der sog. integrierten Versorgung im Sinne von § 140a SGB V.
Im Rahmen der zurückliegenden Gesetzgebungsverfahren blieben viele Regelungen und spezialgesetzliche Definitionen aus dem analogen Zeitalter unverändert. Das erste[2] und zweite Datenschutzanpassungsgesetz[3] brachten aus der Perspektive des Praktikers im Wesentlichen nur sprachliche Anpassungen. Selbst Betroffenenrechte blieben im Vergleich zu den Vorgaben der DS-GVO unverändert im SGB X erhalten, was Fragen zur Vereinbarkeit dieser Normen mit europäischem Recht aufwirft.[4]
Wer im Patientendatenschutzgesetz (PDSG)[5] aus dem Jahr 2020 methodische Vorgaben für ein risikoorientiertes Datenschutzmanagement für Gesundheitsdaten erwartet hatte, wurde enttäuscht. Der Regelungsgehalt des Gesetzes beschränkt sich, mit wenigen Ausnahmen, auf die reformierten Prozesse der Telematik auf Basis der Vorgaben der Gematik[6] sowie die elektronische Patientenakte (ePA) und deren statische Definition. Auch unter Zugrundelegung des PDSG wird die Gesetzgebung dem Stand der Digitalisierung und Technik beim Datenschutz weiterhin hinterherlaufen müssen, da nicht die Methodik des Datenschutzmanagements im Sinne eines PDCA-Zyklus, sondern einzelne Anforderungen und Maßnahmen im Gesetz definiert werden. In der Entwicklung befindliche Lösungen, wie bspw. der sog. Telematikinfrastruktur-Messenger im Sinne von § 312 Abs. 1 Nr. 4, 9 SGB V („TI-Messenger“) müssen ihre Praxistauglichkeit und Sicherheit erst noch unter Beweis stellen. Ohnehin hilft das PDSG nur auf den ersten Blick beim Verständnis der Datenverarbeitung im Zusammenhang mit ePA, e-Rezept und Co.; der eigentliche normative Gehalt ergibt sich abermals erst aus untergesetzlichen Regelungen, namentlich den Spezifikationen der teilstaatlichen Gematik. Die nähere Ausgestaltung der Rahmenbedingungen zur Erfüllung der Transparenzverpflichtungen gegenüber den Betroffenen wurde schließlich den Krankenkassen überlassen, welche entsprechende Rechtstexte entwickelten und mit dem BfDI Ende 2020 abstimmen mussten.[7]
Ein Novum im Kontext jüngerer Gesetzgebung stellte die Novellierung von § 307 SGB V im Rahmen des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG)[8] dar, der sich mit Fragen des Betriebes dezentraler Komponenten der Telematikinfrastruktur[9] befasst. Der Gesetzgeber hat hier – soweit ersichtlich – erstmalig eine Datenschutzfolgenabschätzung im Sinne von Art. 35 DS-GVO im Gesetzgebungsverfahren selbst vorweggenommen und somit die später verantwortlichen Leistungserbringer davon befreit. Dieses Vorgehen sollte als Vorbild auch für zukünftige Verfahren dienen, um die Krankenkassen zu entlasten und eine möglichst einheitliche Rechtsanwendung aller aktuell 103 Kassen zu gewährleisten.
Der schon traditionelle Hang zu spezialgesetzlichen Regelungen wirkt jedenfalls auch unter der DS-GVO fort. Hierfür ein Beispiel: Man sollte meinen, die Art. 24, 25 und 32 DSGVO verpflichtet jegliche Verantwortliche, also auch die Krankenkassen, zu risikoorientierten Informationssicherheits- und Datenschutzmanagementsystemen nach dem Stand der Technik entlang der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie einer Rechenschaft darüber (Art. 5 Abs. 2 DS-GVO). Damit einhergehend wären einem PDCA-Zyklus folgend, risikoadjustierte Maßnahmen vom Verantwortlichen zu ergreifen und ggf. nachzusteuern. An der Schnittstelle der Versichertenkommunikation geht man hier in der GKV auf Grundlage des § 217f Abs. 4b SGB V abweichende Wege mit einer statischen Richtlinie des GKV-Spitzenverbands (GKV-SV) zur Vertraulichkeit, welche zwischen der Festlegung von Anforderungen und Maßnahmen schwankt. Zudem verweist diese im Wesentlichen auf technische Richtlinien des BSI und die eIDAS-Verordnung, also Orientierungspunkte, die auch ohne § 217f Abs. 4b SGB V und die Richtlinie des GKV-SV auf Basis der Vorgaben der DGSVO heranzuziehen gewesen wären. Der Mehrwert dieser Richtlinie für die Krankenkassen ist also sehr überschaubar. Ebenfalls hier nur erwähnt, aber ähnlich gelagert, widmet sich das SGB dem Thema Forschung ausgiebig an mehreren Stellen, nicht immer im Gleichklang mit der DS-GVO oder dem BDSG. So findet sich z.B. in § 287 Abs. 2 SGB V die Pflicht zur Anonymisierung von Sozialdaten vor der Verarbeitung zu Forschungszwecken, eine Verpflichtung, die derart apodiktisch noch nicht einmal in Bezug auf besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO vorgegeben wird.
Neben den freilich weiterhin geltenden grundlegenden Voraussetzungen der DS-GVO existieren außerhalb des SGBs weitere zahlreiche datenschutz- bzw. informationssicherheitsrechtliche Anforderungen mit Wirkung auf zumindest einige Krankenkassen. So sind etwa aufgrund der Kritis-Verordnung[10] Kassen, welche die Versichertenzahl von drei Millionen übersteigen, in den von der Verordnung umfassten Teilbereichen der Datenverarbeitung gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hinsichtlich der Einhaltung des Standes der Technik nachweispflichtig.
Ein Gutachten des Sachverständigenrates der Bundesregierung (SVR) aus März 2021 unter dem Titel „Digitalisierung für Gesundheit“ widmete sich im Kern dem Themenkomplex der ePA und deren Rahmenbedingungen und enthielt daher lediglich eine nicht abschließende Analyse der rechtlichen Rahmenbedingungen in Bezug auf die Digitalisierung bei den Krankenkassen.[11]Den umfassendsten und zugleich regelmäßig aktualisierten Überblick über den Kanon der zu beachteten Anforderungen durch die Krankenkassen erstellt die ADVAG, eine Arbeitsgemeinschaft der Rechtsaufsichten.[12]
Die oft diffizilen spezialgesetzlichen Regelungen für die GKV fördern ein System des Expertentums in den Kassen, Verbänden, Datenschutz- sowie Rechtsaufsichten und in den Ministerien. Bisher nicht transparent sind dabei angewandte Formen der Risikoanalyse zur Bestimmung der erforderlichen Schutzmaßnahmen. Auch thematische Exoten vermögen es so, langjährige Klärungsprozesse in den Selbstverwaltungsgremien heraufzubeschwören. Beispielhaft kann hier auf das sog. freiwillige Krankengeldfallmanagement nach § 44 Abs. 4 SGB V verwiesen werden. Dass tatsächlich zeitgemäße und elaborierte Prozesse, wie z.B. das Mitteilungsmanagement (MIMA) an der Schnittstelle zum Medizinischen Dienst (MD) auf Basis des § 276 Abs. 2 SGB V entstehen, ist leider weiter die Ausnahme.
Ergänzend zu unmittelbar wirkenden Gesetzen, Verordnungen und Normenverträgen werden die in den Selbstverwaltungsgremien erzielten Ergebnisse dann in ebenfalls für die Empfänger verbindlichen Rundschreiben untereinander verlautbart und so, formal betrachtet, den Betroffenen gegenüber transparent gemacht.[13]
2. Sozialdaten und kein Ende
a) Begriffsdefinition
Ganz gleich welche Rechtsquelle in den Blick genommen wird, der Einstieg in das Sozialdatenschutzrecht erfolgt stets über die Qualifizierung eines personenbezogenen Datums als Sozialdatum. Sozialdaten gelten, auch nach Maßgabe des Bundessozialgerichts, im erhöhten Maße schutzbedürftig, „weil sie typisierend betrachtet im Sinne des aus einer Kombination des Grundrechts auf Allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) und der Menschenwürdegarantie (Art. 1 Abs. 1 GG) abgeleiteten Rechts auf informationelle Selbstbestimmung näher an die Privatsphäre heranreichen als andere Daten.“[14] Bereits diese holzschnittartige Begründung muss hinterfragt werden.
Die Einordnung eines personenbezogenen Datums als Sozialdatum im Sinne von § 67 Abs. 2 SGB X hat jedenfalls maßgeblichen Einfluss auf die Zuordnung der Rechtsgrundlage für die Verarbeitung. Soweit ein personenbezogenes Datum als Sozialdatum eingeordnet werden muss, sind hinsichtlich der Frage der Zulässigkeit der Verarbeitung grundsätzlich die im SGB geregelten spezifischen Erlaubnistatbestände heranzuziehen. Daneben gelten im Falle der Verarbeitung von Sozialdaten explizite Verarbeitungsverbote, so etwa das in § 80 Abs. 2 SGB X geregelte Verbot einer Datenverarbeitung im Auftrag in Drittstaaten außerhalb des Vorliegens eines Angemessenheitsbeschlusses im Sinne von Art. 45 DS-GVO (siehe 3. Von Aufgaben und Befugnissen).
Die Frage, ob und wenn ja, inwieweit das SGB eine Sperrwirkung dergestalt entfaltet, dass bei Einordnung der verarbeiteten Daten als Sozialdaten ausschließlich die Erlaubnistatbestände des SGB herangezogen werden können und eine parallele Anwendung der allgemeinen Erlaubnistatbestände der DS-GVO ausscheidet,[15] ist in der Praxis dabei durchaus von Bedeutung. Das gilt insbesondere für die Frage, ob die Einwilligung des Versicherten in die Datenverarbeitung für die Rechtmäßigkeit der Datenverarbeitung genügt. Die im Bereich gesetzlicher Erlaubnistatbestände weiterhin in Betracht kommende Norm der allgemeinen Interessenabwägung im Sinne von Art. 6 Abs. 1 Buchst. f DS-GVO scheidet im Falle der Verarbeitung von Sozialdaten regelmäßig infolge einer insoweit eindeutigen Anordnung der DS-GVO prinzipiell aus: Art. 6 Abs. 1 UAbs. 2 DS-GVO normiert, dass eine durch Behörden durchgeführte Datenverarbeitung nur dann auf Grundlage von Art. 6 Abs. 1 Buchst. f DS-GVO legitimiert sein kann, wenn diese Verarbeitung nicht in Erfüllung ihrer Aufgaben erfolgt. Die Legaldefinition des § 67 Abs. 2 SGB X verdeutlicht jedoch, dass gerade die aufgabenbezogene Verarbeitung durch eine Behörde konstitutiv ist für die Einordnung eines personenbezogenen Datums als Sozialdatum.
Dem Praktiker stellt sich hiernach oft die Frage, ob und, wenn ja, anhand welcher Faktoren von einer Einordnung der durch eine gesetzliche Krankenkasse verarbeiteten personenbezogenen Daten als Sozialdatum überhaupt noch abgewichen werden kann. Nur soweit nicht von einer Verarbeitung von Sozialdaten im Rechtssinne ausgegangen werden muss, eröffnet sich der GKV grundsätzlich die Möglichkeit, Datenverarbeitungen auf Grundlage der allgemeinen Erlaubnistatbestände der DS-GVO vorzunehmen.
b) Ausschluss anhand qualitativer Merkmale
Die durch eine gesetzliche Krankenversicherung (gKV) verarbeiteten Daten auf der Ebene der Definition des Sozialdatums qualitativ, etwa infolge einer nicht hinreichenden Eingriffstiefe, nicht als Sozialdaten einzuordnen, erscheint nicht als möglich. Auch nach dem Wirksamwerden der DS-GVO gilt der Grundsatz, dass jedes personenbezogene Datum potentiell zu einem Sozialdatum werden kann, wenn es durch eine in § 35 SGB I genannte Stelle verarbeitet wird.[16] Das Datenschutzrecht kennt jedoch keine schutzlosen personenbezogenen Daten. Jede Information, die als personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DS-GVO zu qualifizieren ist, unterfällt dem Regelungsregime der DS-GVO sowie dem hierauf aufbauenden Datenschutzrecht der EU-Mitgliedstaaten.
Insbesondere nicht vorgesehen ist eine an potentiell unterschiedlichen Eingriffstiefen orientierte Betrachtung. Als Sozialdaten gelten alle personenbezogenen Informationen ohne Rücksicht darauf, ob sie „Geheimnisqualität“ haben oder nicht; selbst offenkundige Daten werden begrifflich erfasst.[17] Eine Argumentation, wonach es sich z.B. im Zusammenhang mit der Verarbeitung technisch erforderlicher Daten lediglich um „technischen Beifang“ handelt und bezogen auf solche Daten nicht von einer Einordnung als Sozialdaten ausgegangen werden könne, wäre demnach kaum überzeugend zu führen.
Soweit in einzelnen Vorgaben des SGB von „versichertenbezogenen Daten“ die Rede ist (z.B. § 284 Abs. 1 S. 2 SGB V), taugt dies ebenfalls nicht als Abgrenzungskriterium. Auch versichertenbezogene Daten sind Sozialdaten. Eine besondere gesetzliche Hervorhebung dieser spezifischen Sozialdatenart erfolgt lediglich zum Zwecke der Konkretisierung des zulässigen Datenumgangs.[18]
c) Ausschluss infolge fehlender Aufgabenwahrnehmung als Behörde
Die Einordnung eines personenbezogenen Datums als Sozialdatum scheidet entlang der Begriffsdefinition nur dort aus, wo es an mindestens einer der tatbestandlichen Voraussetzungen des § 67 Abs. 2 SGB X fehlt. Legt man die Verarbeitung personenbezogener Daten als Annahme zugrunde, kann insoweit nur dann eine Einordnung dieser Daten als Sozialdaten entfallen, wenn eine gKV die Datenverarbeitung nicht als Leistungsträger in Erfüllung gesetzlicher Aufgaben durchführt. Nur soweit diese spezifische sozialrechtliche Funktion der Verarbeitung entfällt, entfällt auch die Qualität der verarbeiteten Daten als Sozialdaten.[19] Die Legitimation einer Datenverarbeitung durch eine gKV in Erfüllung eines gesetzlichen Auftrages außerhalb der Gestattungsnormen des SGB ist gesetzlich nicht vorgesehen. Dient eine durch eine gKV vorgenommene Datenverarbeitung hingegen nicht der Erfüllung gesetzlicher Aufgaben, führt dies zu einer Anwendbarkeit des allgemeinen Datenschutzrechts und hier insbesondere von Art. 6 Abs. 1 Buchst. f DS-GVO. Eine Verarbeitung außerhalb der Erfüllung gesetzlicher Pflichten lässt die Sperrwirkung des Art. 6 Abs. 1 UAbs. 2 DS-GVO entfallen.
d) Wahlrecht des Leistungsträgers bei Überschneidungen?
Sofern eine präzise Zuordnung einer Datenverarbeitung zu einem Muss- oder alternativ zu einem Kann-Geschäft nicht möglich ist, ist fraglich, ob dem datenverarbeitenden Leistungsträger insoweit ein Wahlrecht zusteht. Konkret stellt sich die Frage, ob eine Datenverarbeitung im Wege einer Willensentscheidung der gKV, diese Verarbeitung nicht in Erfüllung eines gesetzlichen Auftrages durchführen zu wollen, dem Anwendungsbereich des Sozialdatenschutzes entzogen werden kann.
Das BSG hatte bislang lediglich über den umgekehrten Fall zu befinden: So führte das BSG aus, dass im Falle einer Verarbeitung personenbezogener Daten außerhalb eines Zwecks nach dem SGB eine Einordnung dieser Daten als Sozialdaten gleichwohl nicht ausgeschlossen ist, wenn der datenverarbeitende Leistungsträger der Auffassung ist, der verfolgte Zweck gehöre zu seinen gesetzlichen Aufgaben. Die Anwendung der Vorschriften über den Sozialdatenschutz könne, wenn sich der Leistungsträger auf eine gesetzliche Aufgabe nach dem SGB beruft, nicht davon abhängig gemacht werden, ob diese Ansicht richtig sei.[20] Die wohl herrschende Meinung[21] lehnt es ab, aus dem Urteil des BSG ein Wahlrecht dergestalt herauszulesen, dass es dem Leistungsträger insoweit überlassen sei, selbst zu entscheiden, ob eine Datenverarbeitung in Erfüllung einer sozialrechtlichen Aufgabe erfolgt – mit der Folge der Einordnung der verarbeiteten Daten als Sozialdaten. Die Bestimmung des im Einzelfall anzuwendenden datenschutzrechtlichen Rahmens mehr oder weniger in das Belieben des jeweiligen Leistungsträgers zu stellen, könne nicht richtig sein. Diese Position überzeugt. Eine versubjektivierte Betrachtung wäre mit dem Harmonisierungsgedanken der DS-GVO unvereinbar, machte das Datenschutzrecht aus der Perspektive des Betroffenen praktisch unanwendbar und führte insgesamt zu erheblicher Rechtsunsicherheit. Richtigerweise muss im Einzelfall der objektive Zweck des Handelns des Leistungsträgers ermittelt werden. Allein dieser ist maßgeblich.[22]
e) Zwischenfazit
Soweit durch eine gKV personenbezogene Daten verarbeitet werden, können diese Daten dann nicht als Sozialdaten im Sinne von § 67 Abs. 2 SGB X eingeordnet werden, wenn der Verarbeitungszweck bei objektiver Betrachtung nicht der Erfüllung einer Aufgabe nach dem SGB dient. Die Legaldefinition des Sozialdatums in § 67 Abs. 2 SGB X ist weitreichend. Von der Verarbeitung von Sozialdaten ist nur dann nicht auszugehen, wenn die durch eine gKV vorgenommene Datenverarbeitung nicht in Erfüllung einer nach dem SGB zugewiesenen Aufgabe erfolgt. In diesen Fällen ist die Zulässigkeit der Verarbeitung anhand der allgemeinen Erlaubnistatbestände der DS-GVO, insbesondere an Art. 6 Abs. 1 Buchst. f DS-GVO zu messen. Die Sperrwirkung des Art. 6 Abs. 1 UAbs. 2 DS-GVO entfaltet dann keine Wirkung.
f) Betriebs- und Geschäftsgeheimnisse
Eine große Besonderheit im Schutz der personenbezogenen Daten nach dem Sozialgesetzbuch ist die Tatsache, dass im SGB – anders als im BDSG und der DS-GVO – weiterhin Betriebs- und Geschäftsgeheimnisse wie Sozialdaten behandelt werden (§ 35 Abs. 4 SGB I). Folge dessen ist, dass auch bei der Verarbeitung von Vertragsdaten, die einen Geheimnischarakter haben, die gleichen Anforderungen gelten, wie bei der Verarbeitung von Sozialdaten. Dies kann zu erheblichen Verwerfungen führen, da damit auch die strengen Vorgaben des § 80 Abs. 2 SGB X gelten, was einen Vertragsschluss mit Unternehmen, welche diese Vorgaben nicht erfüllen können, nahezu unmöglich macht.
g) Daten beim Leistungserbringer
Fragen wirft auch die Tatsache auf, dass de lege lata die Intensität des Datenschutzes für ein und dasselbe personenbezogene Datum davon abhängt, ob die Verarbeitung durch eine Krankenkasse oder aber bspw. einen Leistungserbringer erfolgt. So verarbeitet ein Krankenhaus seine Behandlungs- und Abrechnungsdaten im Wesentlichen nach den Vorgaben der DS-GVO, während die gleichen bei Verarbeitung durch die Krankenkasse dem wesentlich strengeren Regime des SGB unterfallen. Diese Unterscheidung ist nicht einleuchtend. Wettbewerbsverzerrend ist die Unterscheidung aber im Verhältnis zu den privaten Krankenkassen.
3. Von Aufgaben und Befugnissen
Gemäß § 30 Abs. 1 SGB IV dürfen Versicherungsträger nur Geschäfte zur Erfüllung ihrer gesetzlich vorgeschriebenen oder zugelassenen Aufgaben führen und ihre Mittel nur für diese Aufgaben sowie die Verwaltungskosten verwenden. Diese Grundnorm, nach der Datenverarbeitungen stets entweder einem Muss- oder einem – durch das SGB gestatteten – Kann-Geschäft zugeordnet werden müssen, verfolgt ganz bewusst ein wettbewerbsfeindliches Telos[23] und gibt für die datenschutzrechtliche Beurteilung der Zulässigkeit von Verarbeitungen in Erfüllung dieser Aufgaben nichts her.
Dass Aufgaben an die Krankenkassen delegiert sind, bedeutet nämlich noch längst nicht, dass die Aufgabenübertragungsnorm auch die Befugnis zur Verarbeitung der für die Erfüllung der Aufgabe erforderlichen Daten erfasst. Als Folge dessen sehen sich Praktiker oft mit der Frage konfrontiert, ob eine mit einer Aufgabenübertragung zwangsläufig einhergehende Datenverarbeitung überhaupt entlang der Erlaubnistatbestände des SGB legitimierbar ist. Am Beispiel der Verarbeitung von dynamischen IP-Adressen lässt sich das hieraus resultierende Dilemma schön illustrieren; entweder man wird im Rahmen der Suche nach einer Rechtsgrundlage kreativ, oder man verzichtet auf zeitgemäße Informations- und Kommunikationsformate.
Denn im Zeitalter der Digitalisierung lassen sich freilich auch bei den Krankenkassen Prozesse nicht ohne die Verarbeitung von IP-Adressen und digitale Identitäten realisieren. Hierbei geht es oftmals um niedrigschwellige digitale Angebote der Prävention, Versorgung und Rehabilitation, die den Menschen dort gemacht werden sollen, wo sie sich tatsächlich (virtuell) aufhalten. Da infolge der aufgezeigten weitreichenden Begriffsdefinition des Sozialdatums die im Zusammenhang mit der Realisierung solcher Angebote zwangsläufig „anfallenden“ Daten als Sozialdaten im Sinne von § 67 Abs. 2 SGB X eingeordnet werden müssen, eine Verarbeitung auf Basis berechtigter Interessen gleichwohl ausscheidet, stellt sich die oft kaum lösbare Frage, auf Grundlage welcher sozialdatenschutzrechtlichen Erlaubnisnorm diese Daten eigentlich verarbeitet werden dürfen. Grundsätzlich denkbar ist an diesem Beispiel neben einer Erlaubnis aus dem allgemeinen, enumerativ abschließenden Katalog des § 284 Abs. 1 SGB V auch eine Verarbeitung zum Zwecke der Mitgliedergewinnung (§ 284 Abs. 4 SGB V) oder auf Grundlage von § 67a Abs. 1 Satz 1 SGB X, wonach Leistungsträger Sozialdaten erheben dürfen, wenn ihre Kenntnis zur Erfüllung einer ihrer gesetzlichen Aufgaben erforderlich ist. Als gesetzliche Aufgabe kommen hier u.a. die Aufklärung der Bevölkerung über die Rechte und Pflichten nach dem SGB im Sinne von § 13 SGB I, die Verpflichtung der Krankenkassen zur Förderung des selbstbestimmten gesundheitsorientierten Handelns der Versicherten („Gesundheitsförderung“) im Sinne von § 20 Abs. 1 Satz 1 SGB V oder gar die Generalklausel des § 1 SGB V in Betracht. Hiernach haben die Krankenkassen die Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder ihren Gesundheitszustand zu verbessern und den Versicherten dabei durch Aufklärung, Beratung und Leistung zu helfen und auf gesunde Lebensverhältnisse hinzuwirken (§ 1 Satz 4 SGB V). Nachzudenken wäre schließlich über ein Heranziehen von § 17 Abs. 1 SGB I, mit der Argumentation, dass eine Leistungserbringung über das Internet als „zeitgemäß“ zu erachten ist.
Entgegen dieser notgedrungen kreativen Rechtsanwendung lassen sich zahlreiche andere Beispiele für Datenverarbeitungsvorschriften finden, die teilweise unmittelbar eine Datenverarbeitung erlauben oder aber diese zusätzlich an eine Einwilligung des Betroffenen knüpfen.[24] So sieht bspw. § 11 Abs. 4 Satz 5 SGB V vor, dass die notwendige Datenübermittlung für ein Versorgungsmanagement nur mit Einwilligung durch den Versicherten möglich ist. Eine ähnliche Regelung findet sich für das Entlassungsmanagement in § 39 Abs. 1a Satz 14 SGB V. In beiden Fällen wäre es für den Zugang zu diesen Versorgungsbereichen einfacher und versichertenfreundlicher, die Verarbeitungsbefugnis – idealerweise in § 284 SGB V – gesetzlich zu verankern und den Versicherten auf seine Widerspruchsrechte hinzuweisen. Die zuvor genannte Regelungsweise de lege lata bringt es mit sich, dass zum Teil Herausforderungen bei der Auslegung des SGB bzw. dessen Abgrenzung von der DS-GVO bei der Nutzung von Einwilligungserklärungen bestehen. So ist – wie auch schon vor Inkrafttreten der DS-GVO – unklar, wann eine Einwilligung des Versicherten als Erlaubnistatbestand für die Verarbeitung von Sozialdaten genügt.[25]
Nach allem ist festzuhalten; eine klare Systematik zur Regelung der Verarbeitungsbefugnisse ist im Recht der Sozialdaten nicht erkennbar. Das Interpretationsrisiko wird abermals auf den Rechtsanwender verlagert, was insbesondere in Anbetracht der durch den Gesetzgeber selbst als besonders schutzbedürftig etikettierten Sozialdaten als widersprüchlich erscheint.
Ein weiteres Dauerthema ist die Cloud-Nutzung. Nicht erst seit der Schrems-II-Entscheidung des EUGH[26] sind Drittstaatentransfers im Allgemeinen und die Inanspruchnahme der maßgeblichen Technologieanbieter im Konkreten für Leistungserbringer praktisch kaum realisierbar. Hintergrund ist, dass nach Maßgabe von § 80 Abs. 2 SGB X eine Übermittlung von Sozialdaten in Drittstaaten ausschließlich im Falle des Vorliegens eines Angemessenheitsbeschluss im Sinne von Art. 45 DS-GVO möglich ist. Selbst bei sog. EUAccess-Lösungen der Anbieter aus Übersee, stellen CLOUD und PATRIOT Act unüberwindbaren Hürden dar.[27] Dass dieser Effekt oft selbst auch bei Anwendungen nationaler Anbieter eintritt, wenn unterhalb der Applikationsebene Infrastrukturen ausländischer Anbieter genutzt werden, mag für privatrechtliche Organisationen risikoorientiert noch auflösbar sein. Für Leistungsträger im Sinne des SGB erscheint diese Problematik in Anbetracht des § 80 Abs. 2 SGB X indes als unlösbar. Was soll eine gKV eigentlich tun, wenn pandemiebedingt Geschäftsstellen mit dem Ziel der Kontaktreduzierung geschlossen werden müssen, zugleich aber kein ad hoc verfügbares Cloud-Videokonferenzsystem den sozialdatenschutzrechtlichen Anforderungen genügt? Dass die unterschiedlichen Aufsichten – hier die Datenschutzaufsicht, dort die allgemeine Aufsicht nach § 87 SGB IV – teilweise auch unterschiedliche Zielvorgaben machen, stellt eine gKV vor kaum auflösbare Konflikte. Hinzu kommt, dass § 80 Abs. 5 SGB X – anders als in der DS-GVO und dem BDSG – auch bei Fernwartungen durch den Hersteller gleichlautende Bedingungen festlegt. Im Prinzip ist somit die Nutzung allgemein üblicher Werkzeuge der Bürokommunikation und Standardsoftware für den GKV-Arbeitsalltag formal fast unmöglich gemacht worden, übrigens ein Phänomen, welches selbst großen Softwareherstellern oft nicht bekannt ist. Auch das ist ein Beispiel für die bereits erwähnte unterschiedliche Behandlung von Sozialdaten. Einem Leistungserbringer ist die Anwendung dieser Software ohne weiteres möglich, da er nicht an die Vorgaben des § 80 SGB X gebunden ist. Der Ausweg aus diesem Dilemma sind GKV-Eigenlösungen und nationale Sonderlösungen, die oft im Zielkonflikt mit dem im Solidarprinzip verankerten Wirtschaftlichkeitsgebot stehen.
Ob die strikte Vorgabe in § 80 Abs. 2 SGB X mit dem Harmonisierungsgedanken der DS-GVO vereinbar ist, wurde im politischen Umfeld bislang nur unzureichend erörtert. Allein der mantrahaft wiederholte Verweis darauf, dass bei Sozialdaten stets ein besonderer Schutzbedarf anzunehmen ist, genügt jedenfalls nicht und kann auch mit Blick auf die vorstehenden Ausführungen nicht überzeugen. Wenn schon besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO Gegenstand einer Übermittlung auch in solche Drittstaaten sein können, hinsichtlich derer kein Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO existiert, muss dies erst recht im Falle von Sozialdaten möglich sein, die zwar auch sensitive Daten sein können, aber eben nicht sein müssen.[28] Ein personenbezogenes Datum in Abhängigkeit seines Verarbeiters als unterschiedlich schutzwürdig einzustufen, ist nicht sachgerecht und durch die DS-GVO auch nicht vorgesehen.
III. Anregungen zur Weiterentwicklung
Wenn man den Selbstverwaltungsstatus der Krankenkassen und den zwischen den gesetzlichen und privaten Krankenkassen vorgesehenen Wettbewerb anerkennt, scheint es zielführend, die Krankenkassen als Verantwortliche auch datenschutzrechtlich in die Pflicht zu nehmen und ihnen gleichermaßen zukünftig mehr Gestaltungsrecht beim Datenschutzmanagement auf Basis der DS-GVO anstelle von spezialgesetzlichem Mikromanagement zuzugestehen.
Richtschnur für eine Fortentwicklung des Rechts der Sozialdaten könnte dabei sein, im SGB V und XI lediglich die Verarbeitungsbefugnisse im Einklang mit den zugewiesenen Aufgaben zu regeln sowie die Einwilligung als Erlaubnistatbestand im Konsens mit der DS-GVO aufzunehmen. Die Datenschutzregelungen im SGB X könnten insofern weiterentwickelt werden, dass die ohnehin geltenden Regelungen der DS-GVO an den erforderlichen Stellen konkretisiert würden, z.B. in denen dezidierte Anforderungen an das Datenschutz- und Informationssicherheitsmanagement der Krankenkassen und ggf. Rechenschaftspflichten gegenüber Gremien der Selbstverwaltung oder Aufsichten nach dem Vorbild der Vorgaben der KritisVO festgelegt werden. Im Ergebnis könnte dann – insbesondere im Kontext zunehmender Digitalisierung – perspektivisch das Ergebnis stehen, dass der Datenschutz in der Kranken- und Pflegeversicherung weniger durch weiche organisatorische Vorgaben als vielmehr durch zur Organisation der Verantwortlichen passende und methodisch hergeleitete Schutzmaßnahmen gewährleistet würde.
Aus Sicht der Autoren ist es geboten, für eine entbürokratisierende Reform des SGB mit Blick auf die GKV folgende Arbeitspakete im Rahmen der parlamentarischen Arbeit der anstehenden 20. Wahlperiode in Angriff zu nehmen:
- Strukturierung des Sozialdatenschutzrechtes im Sinne der Formulierung eines Grundtatbestandes und des Verzichts auf Spezialvorschriften im Leistungs- und Leistungserbringerrecht, danach sollten die Krankenkassen die Möglichkeit haben, Sozialdaten, die für die Erfüllung ihrer gesetzlich zugewiesenen Aufgaben erforderlich sind, zu verarbeiten, ohne dass es hierfür eines weiteren Erlaubnistatbestandes bedarf, zudem sollte eine Einwilligung im Einklang mit der DS-GVO ebenfalls für eine Datenverarbeitung im Rahmen der Ausgestaltung von Kann-Leistungen ausreichen
- Schaffung von methodischen Freiräumen beim Datenschutzmanagement anstelle von kleinteiligen Verwaltungsvorschriften als Grundlage für eine echte Selbstverwaltung der Krankenkassen als datenschutzrechtliche Verantwortliche
- Förderung der Eigenverantwortung u.a. auch im Wege eines stärkeren Abstellens auf Zertifizierungsmöglichkeiten
- Weiterentwicklung der Definitionen im Sozialdatenschutz, insbesondere Ersetzen der allumfassenden Definition des Sozialdatums durch eine risikoorientierte Kategorisierung, z.B. nach dem Vorbild der eIDAS-Verordnung
- Verzicht auf datenschutzrechtliche Sonderregelungen im Rahmen der Forschung für den Bereich der Sozialversicherung über die Festlegungen der DSGVO und des BDSG hinaus.
- Neuregelung des § 80 SGB X hin zu einer Schutzvorschrift, die den Zugriff auf Sozialdaten aus Drittstaaten verhindert, so dass wirtschaftliche Zukunftstechnologien auch im Interesse der Solidargemeinschaft genutzt werden können.
- Abschaffung der Gleichstellung von Sozialdaten und Betriebs- und Geschäftsgeheimnissen.
- Einheitliche Standards für die Verarbeitungsprozesse von personenbezogenen Daten bei Krankenkassen, Leistungserbringern in der GKV und der PKV.
Am Beispiel der privaten Krankenversicherung sieht man, dass die Verarbeitung besonderer personenbezogener Daten mit weniger Regulatorik grundsätzlich datenschutzkonform gelingen kann. Jedenfalls war es bislang nicht öffentlich festzustellen, dass das Fehlen eines überkomplexen Regelungskanons die Rechte und Freiheiten der dort Versicherten beeinträchtigt hätte.
Mathias Schadly ist Diplom Verwaltungswissenschaftler, Stabsbereichsleiter und Datenschutzbeauftragter beim AOK-Bundesverband in Berlin.
Dr. Matthias Schömann ist Rechtsanwalt in Berlin und Justitiar beim AOK-Bundesverband mit Tätigkeitsschwerpunkten im Datenschutz- und Medizinrecht.
Sebastian Schulz ist als Rechtsanwalt bei HÄRTING Rechtsanwälte in Berlin tätig. Von 2012 bis 2019 leitete er den Bereich Rechtspolitik & Datenschutz beim Bundesverband E-Commerce und Versandhandel Deutschland e. V. (bevh.).
[1] So etwa die Verordnung zum Anspruch auf Schutzmasken zur Vermeidung einer Infektion mit dem Coronavirus SARS-CoV-2 (CoronavirusSchutzmasken-Verordnung – SchutzmV) vom 14. Dezember 2020 oder die Verordnung zum Anspruch auf Schutzimpfung gegen das Coronavirus SARS-CoV-2 (Coronavirus-Impfverordnung – CoronaImpfV) vom 8. Februar 2021 und Verordnung zum Anspruch auf Schutzimpfung gegen das Coronavirus SARS-CoV-2 (Coronavirus-Impfverordnung – CoronaImpfV) vom 1. Juni 2021.
[2] Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 v. 30.06.2017 BGBl. I S. 2097 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU).
[3] Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 v. 20.11.2019 BGBl. I S. 1626 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU).
[4] Sog. Normwiederholungsverbot, vgl. Roßnagel, in: Roßnagel, Europäische Datenschutz-Grundverordnung, S. 74.
[5] Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur 14.10.2020 BGBl. I S. 2115 (Patientendaten-Schutz-Gesetz – PDSG).
[6] Die Gematik ist eine in § 310 SGB V vorgesehene Gesellschaft, deren Hauptgesellschafter die Bundesrepublik Deutschland ist und deren gesetzliche Aufgabe im Wesentlichen darin besteht, die Telematikinfrastruktur im Gesundheitswesen aufzubauen (vgl. § 311 SGB V).
[7] Rundschreiben 2020/852 vom 26.11.2020 des GKV-Spitzenverbandes zu Informationsmaterialien zur elektronischen Patientenakte (ePA) nach § 343 Absatz 2 SGB V
[8] Gesetz zur digitalen Modernisierung von Versorgung und Pflege v. 08.06.2021 BGBl. I S. 1309.
[9] Der Begriff ist in § 306 Abs. 1 Satz 2 SGB V legal definiert: Es handelt sich dabei um die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsstruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren im Gesundheitswesen dient.
[10] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz v. 22.04.2016 BGBl. I S. 958 (BSI-Kritisverordnung)
[11] SVR_Gutachten_2021_online_.pdf (svr-gesundheit.de), zuletzt abgerufen am 21.05.2021.
[12] Microsoft Word – 2019-05-28_Leitfaden_Version5.0.docx (mags.nrw), zuletzt abgerufen am 21.05.2021
[13] Für den durchschnittlichen Bürger sind diese Rundschreiben in der Regel nicht selbsterklärend. Ein Beispiel aus jüngerer Zeit ist das Rundschreiben RS 2021/195 vom 16.03.2021 des GKV-SV Bestimmung nach § 6 Abs. 7 Satz 2 und 3 der Corona-Impfverordnung.
[14] Bieresborn, NZS 2017, 926, 927.
[15] Siehe hierzu BSG, Urt. v. 10.12.2008 – B 6 KA 37/07 R; für eine Einordnung des Sozialdatenschutzrechts als abschließend z.B. Hoidn, in: Roßnagel, Europäische Datenschutzgrundverordnung, S. 312f
[16] Kipker/Pollmann, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 26 Sozialdatenschutz Rn. 20 m.w.N.
[17] Schneider, in: Krauskopf, Soziale Krankenversicherung/Pflegeversicherung, 107. EL Juli 2020, SGB V § 284 Rn. 6.
[18] Schneider, in: Krauskopf, Soziale Krankenversicherung/Pflegeversicherung, 107. EL Juli 2020, SGB V § 284 Rn. 6-9.
[19] Vgl. Leopold, in: KassKomm Sozialversicherungsrecht, 111. EL September 2020, SGB X § 67 Rn. 39.
[20] BSG, Urt. v. 28.11.2002 – B 7/1 A 2/00 R; Rn. 31.
[21] Z.B. Leopold, in: KassKomm Sozialversicherungsrecht, 111. EL September 2020, SGB X § 67 Rn. 41.
[22] So auch Leopold, in: KassKomm Sozialversicherungsrecht, 111. EL September 2020, SGB X § 67 Rn. 41.
[23] Vgl. Köster, in: Kreikebohm, SGB IV, 3. Aufl., § 30 Rn. 3.
[24] Siehe hierzu: Hoffmann, NZS 2017, 807 (809).
[25] Hoffmann, aaO S. 809 ff m.w.N. die sich auch mit der Frage der Freiwilligkeit einer Einwilligung auseinandersetzt.
[26] EuGH, Urt. v. 16.07.2020 – C-311/18.
[27] Zusammengefasst bei Grasmück/Kollmar, IPRB 2020, 212, 214.
[28] Vgl. die ähnlich gelagerte aktuelle Diskussion im Zusammenhang mit der Digitale Gesundheitsanwendungen Verordnung (DiGaV); hierzu Hötzel/Renz, PinG 2021, 155, 157.