Bereichsspezifische Datenschutzregeln im Sozialrecht
Sozialdatenschutz unter Geltung der DS-GVO
Durch eine Öffnungsklausel in der Datenschutzgrundverordnung („DS-GVO“) wird dem Bundesgesetzgeber die Möglichkeit eröffnet, bereichsspezifische Regelung vorzusehen. Hiervon hat er im Sozialgesetzbuch Gebrauch gemacht. Die sozialdatenschutzrechtlichen Bestimmungen finden sich überwiegend – aber nicht ausschließlich - im Ersten Buch des Sozialgesetzbuches („SGB I“) sowie in den §§ 67 ff. des Zehnten Buches des Sozialgesetzbuches („SGB X“).
Anwendbarkeit der sozialrechtlichen Vorschriften
Die sozialdatenschutzrechtlichen Vorschriften richten sich primär an die in § 35 SGB I genannten Stellen. Dies sind vor allem die Leistungsträger (beispielsweise die Krankenkassen, Pflegekassen, Agenturen für Arbeit und Sozialämter).
Die sozialdatenschutzrechtlichen Bestimmungen finden dann Anwendung, wenn Sozialdaten verarbeitet werden. Nach § 67 Abs. 2 DS-GVO sind Sozialdaten „personenbezogene Daten (Artikel 4 Nummer 1 der Verordnung (EU) 2016/679), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf Ihre Aufgaben nach diesem Gesetzbuch verarbeitet werde.“.
Sofern also eine Krankenkasse personenbezogenen Daten (z. B. Vor- und Nachname, Anschrift und Gesundheitsdaten) im Hinblick auf gesetzliche Aufgabe – Erhaltung, Wiederherstellung und Verbesserung des Gesundheitszustands ihrer Versicherten – verarbeitet, handelt es sich um Sozialdaten und die datenschutzrechtlichen Regelungen finden Anwendung.
Verbot mit Erlaubnisvorbehalt
Wie auch unter der DS-GVO gilt auch im Sozialdatenschutz das Verbot mit Erlaubnisvorbehalt. Die Verarbeitung von Sozialdaten ist demnach grundsätzlich verboten und nur zulässig, soweit die Vorschriften der §§ 67c ff. SGB X oder andere Rechtsvorschriften im Sozialgesetzbuch die Verarbeitung erlauben oder anordnen oder der Betroffenen in die Verarbeitung eingewilligt hat.
Einwilligung
Die Voraussetzungen einer wirksamen Einwilligung ergeben sich aus Art. 4 Nr. 7 DS-GVO i. V. m. Art. 7 DS-GVO. Danach muss eine Einwilligung freiwillig sein und die betroffene Person muss mit der Einwilligung unmissverständlich zu verstehen geben, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dies ist nach der DS-GVO grundsätzlich auch durch konkludente Erklärung möglich.
Der Sozialdatenschutz hingegen sieht nach§ 67b Abs. 2 S. 1 SGB X ausschließlich eine schriftliche oder elektronische Einwilligung vor.
Gesetzliche Erlaubnistatbestände als Rechtsgrundlage
Erhebung von Sozialdaten
Die Rechtmäßigkeit der Erhebung von Sozialdaten richtet sich nach § 67a SGB X. Danach ist die Erhebung von Sozialdaten durch einen Leistungsträger nur zulässig, wenn die Kenntnis dieser Daten zur Erfüllung einer Aufgabe nach dem Sozialgesetzbuch erforderlich ist. Gleiches gilt für die Verarbeitung von besonderen Kategorien von personenbezogenen Daten wie Gesundheitsdaten.
Beispielsweise dürfte die Verarbeitung von Vor- und Nachnamen und Anschrift durch die Krankenkasse für ihre Aufgabe nach dem SGB V erforderlich sein.
Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten
Die Rechtmäßigkeit der übrigen Verarbeitungsvorgänge „Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung“ richtet sich nach § 67 b SGB X. Danach ist die Verarbeitung nur zulässig, wenn eine Rechtsvorschrift im Gesetz es anordnet oder erlaubt. Dies gilt auch für die besonderen Kategorien personenbezogener Daten.
Beispiele solcher Rechtsvorschriften im Sozialgesetzbuch sind:
- Übermittlung ist erforderlich für die Erfüllung einer gesetzlichen Aufgabe der übermittelnden Stelle nach dem Sozialgesetzbuch oder einer solchen Aufgabe des Dritten, an den die Daten übermittelt werden.
- Übermittlung ist erforderlich für die Durchführung des Arbeitsschutzes und schutzwürdige Interessen der betroffenen Person werden nicht beeinträchtigt oder das öffentliche Interesse an der Durchführung überwiegt das Geheimhaltungsinteresse des Betroffenen erheblich.
- Übermittlung ist zum Schutz der öffentlichen Gesundheit nach dem Infektionsschutzgesetz erforderlich.
Zweckbindung und Geheimhaltungspflicht
Sozialdaten, die einer nicht in § 35 SGB I genannten Person oder Stelle übermittelt werden, unterliegen nach § 78 SGB X der Zweckbindung. Sie dürfen ausschließlich zu dem Zweck verarbeitet werden, zu dem sie übermittelt worden sind. Vor der Übermittlung von Sozialdaten hat sich die empfangende Person bzw. Stelle gegenüber der übermittelnden Stelle dazu zu verpflichten. Hinsichtlich der Geheimhaltungsverpflichtung ist sie einer in § 35 SGB I genannten Stelle gleichgestellt.
Sofern es sich bei der empfangenen Person oder Stelle um eine nicht-öffentliche Stelle handelt (z. B. private Krankenhäuser, private Pflegeheime etc.) sind die dort beschäftigten Personen auf die Einhaltung dieser Pflichten hinzuweisen.
Auftragsverarbeitung
§ 80 SGB X regelt, unter welchen Voraussetzung Auftragsverarbeitung im Sozialrecht zulässig ist:
- Der Verantwortliche hat die Auftragsverarbeitung rechtzeitig vor der Auftragsverarbeitung seiner Rechts- und Fachaufsichtsbehörde anzuzeigen.
- Abweichend von der DS-GVO dürfen Sozialdaten im Auftrag darf nur in einem Staat der EU, des EWR, in der Schweiz oder in einem Staat für den ein Angemessenheitsbeschluss der EU-Kommission vorliegt, verarbeitet werden.
Zudem soll die Verarbeitung von Sozialdaten im Auftrag grundsätzlich nur durch öffentliche Stellen erfolgen. An die Zulässigkeit der Auftragsverarbeitung durch nicht-öffentliche Stellen sind hohe Voraussetzungen geknüpft. Sie nur zulässig, wenn beim Verantwortlichen sonst Störungen im Betriebsablauf entstehen oder die übertragenen Aufgaben beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können.
Die Regelungen desArt 28 DS-GVO, die das „Wie“ und nicht wie § 80 SGB X das „Ob“ der Auftragsverarbeitung regeln, finden auch bei Verarbeitung von Sozialdaten im Auftrag unmittelbar Anwendung.
Informationspflichten
§§ 82 f. SGB X ergänzen die Aufnahmen von der Pflicht zur Informationserteilung nach der DS-GVO. Beispielsweise müssen die Betroffenen nicht informiert werden, wenn
- sie nach den Umständen des Einzelfalls nicht mit der Nutzung oder Übermittlung von Sozialdaten an diese Kategorien von Empfängern rechnen muss.
- die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben gefährden würde.
Auskunftsrecht der Betroffenen Person
Neben den Informationspflichten wird auch das Auskunftsrecht der betroffenen Personen nach § 83 SGB X in bestimmten Fällen eingeschränkt.
Datenpannen
Ergänzend zu diesen Meldepflichten bei Datenpannen nach der DS-GVO
- Unverzügliche Meldung an die zuständige Datenschutzaufsicht (möglichst binnen 72 Stunden)
- Unverzügliche Benachrichtigung des Betroffenen
hat der Verantwortliche die Verletzung des Schutzes von Sozialdaten gemäß § 83a SGB X der Rechts- oder Fachaufsichtsbehörde.
Beratungsbedarf?
Sollten Sie von den sozialdatenschutzrechtlichen Regelungen betroffen sein, stehen wir für weitere Informationen oder ein persönliches Beratungsgespräch zum Sozialdatenschutz gerne zur Verfügung. Wir freuen uns auf Ihre Kontaktaufnahme!