Einzelne Bürgerinnen und Bürgersehen sich im Alltag immer wieder mit dem Sozialleistungssystem und den damit einhergehenden Dienst-, Sach- und Geldleistungen konfrontiert: Angefangen bei den Sozialversicherungsbeiträgen, über die Geltendmachung von Ansprüchen gegenüber der Kranken- oder Pflegeversicherung, den Erhalt von Kinder-, Arbeitslosen- oder Wohngeld und bis hin zum Rentenbezug.
Bei all diesen Vorgängen ist die Verarbeitung diverser personenbezogener Daten zur Prüfung des Anspruchs und des Leistungsumfangs erforderlich (z. B. Einkommensnachweise, Behandlungsdaten, medizinische Gutachten), wobei einzelnen Bürgerinnen und Bürgern gleichzeitig das Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 Grundgesetz (GG) zusteht. Um einen Ausgleich zwischen diesem Grundrecht der Bürgerinnen und Bürger und der erforderlichen Datenverarbeitung bei der Inanspruchnahme dringend benötigter Sozialleistungen zu schaffen, wird die Verarbeitung von Sozialdaten spezialgesetzlich geregelt.
Sozialgeheimnis und Sozialdaten
Der Kern des Sozialdatenschutzrechts ist hierbei das Sozialgeheimnis nach Art. 35 Abs. 1 S. 1 Sozialgesetzbuch (SGB) I:
Danach hat jede/jeder Anspruch darauf, dass die sie/ihn betreffenden Sozialdaten (§ 67 Abs. 2 SGB X) von den Leistungsträgern nicht unbefugt verarbeitet werden. Das Sozialgeheimnis soll sicherstellen, dass niemand dadurch, dass er in der gesetzlichen Sozialversicherung versichert ist und/oder Sozialleistungen in Anspruch nehmen möchte, zu Unrecht mehr als andere staatlichen Eingriffen ausgesetzt ist. Die Sozialdaten selbst definiert § 67 Abs. 2 SGB X als personenbezogene Daten (Artikel 4 Nr. 1 DSGVO), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.
Bereits heute und in den kommenden Jahren immer herausfordernder ist vor diesem Hintergrund die Wahrung des Sozialgeheimnisses unter Berücksichtigung der fortschreitenden Digitalisierung und des technischen Fortschritts. Zu denken ist hierbei an das Einreichen von Antragsunterlagen in digitaler Form, telemedizinische Behandlungen, Sozialdatenverarbeitungen im Rahmen der elektronischen Gesundheitskarte aber auch daran, dass auch Ärzte z. B. Cloudspeicher für die Ablage personenbezogener Daten nutzen oder Fitnesstracker Gesundheitsdaten mit Krankenkassen teilen (Kipker/Voskamp, Sozialdatenschutz in der Praxis, Kap. 1 Allgemeiner Teil Rn. 4, beck-online). Auf diese Themen werden wir in nachfolgenden Beiträgen näher eingehen.
Die Systematik der gesetzlichen Regelungen im Sozialdatenschutz
Seit dem Inkrafttreten der DSGVO muss auch im Sozialdatenschutz das Verhältnis zwischen europäischen und nationalen Regelungen näher betrachtet werden. Grundsätzlich sind die Regelungen der DSGVO vorrangig gegenüber den nationalen Regelungen anzuwenden. Etwas anderes gilt jedoch immer dann, wenn die DSGVO die Anwendung der nationalen Datenschutzregelungen über ihre diversen Öffnungsklauseln erlaubt.
Der deutsche Gesetzgeber hat die zentralen Vorschriften des Sozialdatenschutzes im SGB X geregelt. Die Regelungen zum Datenschutz finden sich aber auch in anderen Sozialgesetzbüchern, wie z. B. im SGB I (z.B. Sozialgeheimnis) und im SGB VIII (Datenschutz in der Kinder -und Jugendhilfe). Daneben sind mehrere bereichspezifische Regelungen in den anderen Sozialgesetzbüchern (SGB III, V, VI, VII und XI) oder auch in einigen Gesetzen wie z. B. dem Bundeskindergeldgesetz oder dem Wohngeldgesetz zu finden. Auf den ersten Blick erscheint diese Vielfalt an Regelungen sehr unübersichtlich. Wenn man sich jedoch einmal mit der gesetzlichen Systematik des Sozialdatenschutzes auseinandergesetzt hat, fällt die Suche nach den einschlägigen Gesetzesnormen leichter.
Grundsätze der Datenverarbeitung
Die zentralen Grundsätze des Datenschutzes dürften dem Leser bekannt sein (siehe sonst gerne unseren Beitrag hier) und sind auch im Bereich des Sozialdatenschutzes anwendbar. Diese datenschutzrechtlichen Grundsätze sind sowohl im Art. 5 DSGVO geregelt als auch an einigen Stellen in den Sozialgesetzbüchern verankert:
- das Verbot mit Erlaubnisvorbehalt,
- der Verhältnismäßigkeitsgrundsatz (§ 67a SGB X, 67d SGB X),
- der Zweckbindungsgrundsatz (§ 67c SGB X, § 78 SGB X) und
- der Grundsatz der Datenminimierung.
Rechtsgrundlagen der Datenverarbeitung
Einer der zentralen Grundprinzipien des (Sozial-)Datenschutzes ist das Verbot mit Erlaubnisvorbehalt, wonach die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern keine rechtliche Grundlage als Legitimation der Datenverarbeitung oder die Einwilligung des Betroffenen vorliegt.
Die Zulässigkeit der Verarbeitung personenbezogener Daten richtet sich grundsätzlich nach Art. 6 Abs. 1 S. 1 lit. a-f DSGVO. Für den öffentlichen Leistungsträger sind insbesondere Art. 6 Abs. 1 S. 1 lit. c und lit. e, Abs. 3 DSGVO als Rechtsgrundlagen relevant. Die Verarbeitung der personenbezogenen Daten ist demnach rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, oder für die Wahrnehmen einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder in Ausübung der öffentlichen Gewalt (aufgrund einer nationalen Norm) erfolgt. Für die Verarbeitung der Daten benötigt also der Sozialleistungsträger eine Befugnis in den nationalen Gesetzen, welche vor allem in den §§ 67 ff. SGB X zu finden ist und dort auch die unterschiedlichen Formen der Datenverarbeitung (z. B. Erhebung, Speicherung, Übermittlung etc.) regelt.
Des Weiteren ist die Verarbeitung der Sozialdaten unabhängig von dem Vorliegen einer gesetzlichen Legitimationsgrundlage zulässig, soweit die betroffene Person eine wirksame Einwilligung erteilt hat. An die Einwilligung des Betroffenen werden im Bereich des Sozialdatenschutzes jedoch hohe Anforderungen gestellt. So wird beispielsweise die Möglichkeit der Einwilligung zur unverschlüsselten Sozialdatenübermittlung per E-Mail stellenweise verneint.
Fazit / Ausblick:
Mit diesem Artikel möchten wir eine Reihe von Blogbeiträgen zum Thema Sozialdatenschutz eröffnen und Sie in den kommenden Beiträgen zu diesem Thema über vorangegangene Problematiken, aber auch aktuelle Themen detaillierter informieren.
16. Dezember 2021 @ 11:58
Sie verweisen zum Thema „unverschlüsselte E-Mail“ auf eine Äußerung des ULD von 2007. Das dürfte durch den DSK-Beschluss von November auch für Sozialdaten überholt sein. Gerade in der Sozialversicherung kann eine schnelle Leistungsabwicklung für den Betroffenen von großer Bedeutung sein. Ältere Menschen haben bereits E-Mail, wollen aber nichts von Verschlüsselungen, Portalen und Passwörtern wissen. Warum sollte man mit ihnen nicht per E-Mail kommunizieren dürfen, wenn sie das ausdrücklich wollen, immer wieder einfordern und den Sozialversicherungsträger langsam, bürokratisch und altmodisch heißen, weil der immer noch Briefe schreibt? Wir SachbearbeiterInnen der Sozialversicherungsträger haben hier viel auszubaden, denn wir können den Eilbedürfnissen der Versicherten nur abstrakte Gefahren des Internets entgegenhalten.