Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 15 Zu Darlegungsanforderungen und Ermittlungstiefe des Hilfebedarfs in der Sozialhilfe bei Verschweigen der Nutzung eines Fahrzeugs: VG Schleswig-Holstein, Beschluss v. 30.3.1998, 10 B 79/98. Rz. 16 Beckmann, Datenschutz im Sozialamt, ZfSH/SGB 1998 S. 92, 121. Bieresborn, Sozialdatenschutz nach Inkrafttreten der EU-DSGVO, NZS 2017 S. 887, 926, NZS 2018 S. 10. Brückner, Der D...mehr

Rz. 4 Bei zurückhaltender Handhabung und enger Auslegung des unbestimmten Rechtsbegriffs der Erforderlichkeit stehen der Norm keine verfassungsrechtlichen Bedenken entgegen (näher Decker, in: Oestreicher/Decker, SGB II/XII, Stand September 2009, § 119 Rz. 6 ff.). Rz. 5 Das in Rede stehende Forschungsvorhaben darf also bei Verwendung anonymisierter oder teilanonymisierter Date...mehr

Betreuungsorganisationsgesetz (BtOG) vom 4.5.2021, BGBl I, 882, 917 mWv 1.1.2023 BGBl III 404–33 zuletzt geändert durch Gesetz v. 24.6.2022, BGBl I, 959, 963mehr

Verordnung über das Zentrale Vorsorgeregister (Vorsorgeregister-Verordnung – VRegV) v. 21.2.2005, BGBl. I, 318 BGBl. III 303–1-1 zuletzt geändert durch G. v. 4.5.2021, BGBl. I, 882, 910mehr

Rz. 10 Das Betreuungsbehördengesetz (BtBG) wurde komplett zugunsten eines neuen Betreuungsorganisationsgesetzes (BtOG) aufgehoben. Durch die Einführung der Stammbehörden zur Registrierung der Berufsbetreuer erhalten die Betreuungsbehörden noch umfassendere Aufgaben und Bedeutung. Sie werden als "zentraler Akteur im Betreuungswesen" wahrgenommen und sollen entsprechend gestär...mehr

Rz. 23 Die Regelungen für die Betreuungsvereine sind aus dem Bürgerlichen Gesetzbuch, namentlich § 1908f BGB a.F., herausgelöst und im BtOG neu angesiedelt und formuliert worden. Sie bleiben für die Anerkennung weitgehend gleich, § 14 BtOG. Mit Blick auf den Datenschutz wird in § 18 BtOG auf die DSGVO sowie die Regelungen für die Betreuungsbehörden nach § 4 Abs. 1 S. 2 f., A...mehr

Die EU-Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen. Die Richtlinie enthält ein EU-weites Spam-Verbot, gestattet E-Mail-Werbung nur mit vorherig...mehr

Auf den ersten Blick eindeutiger ist die Haftung bei Fällen mangelnder IT-Sicherheit geregelt, die unter das Strafgesetzbuch ( StGB) fallen. Dort gibt es etwa im § 203 für Ärzte, Rechtsanwälte und andere bestimmte Berufsgruppen Sonderregelungen, die auch Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten oder Klienten ohne deren Einwilligung in die ...mehr

Im betriebswirtschaftlichen Jargon werden gerne Anglizismen verwendet. Ein Begriff, der mittlerweile nicht mehr wegzudenken ist, lautet Compliance. Gemeint ist damit die Rechtskonformität, also die Umsetzung und das Befolgen aller gesetzlichen und vertraglichen Regelungen und Verpflichtungen. Betroffen vom Compliance-Gebot sind alle Kapitalgesellschaften – also auch kleine G...mehr

mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Einordnung des Rechts der gesetzlichen Unfallversicherung in das Sozialgesetzbuch (Unfallversicherungs-Einordnungsgesetz – UVEG) v. 7.8.1996 (BGBl. I S. 1254) mit Wirkung zum 1.1.1997 aus der RVO (§ 557 RVO) in das SGB VII eingeordnet. Abs. 7 wurde durch die Neunte Zuständigkeitsanpassungsverordnung v. 31.10.2006 (BGBl. I S. 240...mehr

Rz. 16 Abs. 3 beauftragt die Verbände der Unfallversicherungsträger und die Kassenärztlichen Bundesvereinigungen, die Durchführung der Heilbehandlung, die Vergütung der erbrachten Leistungen und das Abrechnungsverfahren vertraglich zu gestalten. Diese Rahmenverträge sind für die jeweiligen Mitglieder unmittelbar verbindlich und entfalten Dauerwirkung. Der auf dieser Grundlag...mehr

Rz. 2 Die Norm regelt den Zugriff auf den elektronischen Medikationsplan, die elektronischen Notfalldaten und die elektronische Patientenkurzakte (§ 334 Abs. 1 Satz 2 Nr. 4, 5 und 7). Die Legitimation der Datenverarbeitung ergibt sich aus einem Zusammenspiel der informierten Einwilligung des Versicherten und der gesetzlichen Befugnisnorm zum konkreten Umfang der Datenverarbe...mehr

Rz. 3 § 299 schafft als eine datenschutzrechtliche Ermächtigung die Voraussetzungen dafür, Sozialdaten der Versicherten im Rahmen der Qualitätssicherung nach §§ 135a Abs. 2, 135b Abs. 2 und 137a Abs. 3 auch ohne deren Einwilligung im erforderlichen Umfang zu verarbeiten. Ohne die in § 299 getroffenen Regelungen müsste auf eine Datenerhebung für Zwecke der Qualitätssicherung ...mehr

Rz. 5 Jede Aufsichtsbehörde eines Verantwortlichen ist zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen die Datenschutz-Grundverordnung zu befassen (Art. 56 DSGVO). Die federführende Aufsichtsbehörde kann das Verfahren an sich ziehen. Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden zusammen...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1989 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Die Vorschrift enthält Regelungen über die Veröffentlichung von Datenübersichten durch die Krankenkassen und die Kassenärztlichen Vereinigungen sowie über den Erlass konkretisierender Dienstanweisunge...mehr

Rz. 4 Die Norm regelt entsprechend der Aufgabenstellung der Kassenärztlichen Vereinigungen die Erhebung und Speicherung von Einzelangaben über die persönlichen und sachlichen Verhältnisse der Ärzte. Es handelt sich um Sozialdaten (Art. 4 Datenschutz-Grundverordnung, § 67 Abs. 2 SGB X, § 35 SGB I). Die Nr. 1 bis 6 konkretisieren, für welche Aufgaben Sozialdaten erhoben und ge...mehr

Rz. 3 Satz 1 verpflichtete einerseits die Krankenkassen, andererseits die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen, einmal jährlich eine Übersicht über die Art der von ihnen gespeicherten Sozialdaten zu erstellen. Erreicht werden sollte hierdurch eine regelmäßige Kontrolle des Umfangs der Datenspeicherung. Die Pflicht folgt seit dem 26.11.2019 direkt aus Art. ...mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) v. 14.11.2003 (BGBl. I S. 2190) mit Wirkung zum 1.1.2004 eingefügt. Sie enthielt Regelungen über die Erhebung von Abrechnungs- und Leistungsdaten durch die Krankenkassen und die Mitglieder der Kassenärztlichen Bundesvereinigung und deren Überm...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze v. 28.7.2011 (BGBl. I S. 1622) mit Wirkung zum 4.8.2011 eingefügt worden. Sie stellt die datenschutzrechtliche Grundlage für die Datenübermittlung zu Abrechnungszwecken im Rahmen der Selektivverträge, der integrierten Versorgungsformen und der ambulanten Notfallbehandlung...mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) v. 14.11.2003 (BGBl. I S. 2190) mit Wirkung zum 1.1.2004 eingefügt. Für die Zwecke der Datentransparenz wird damit eine Vertrauensstelle geschaffen. Rz. 2 Art. 256 Nr. 1 der Neunten Zuständigkeitsanpassungsverordnung v. 31.10.2006 (BGBl. I S. 2...mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) v. 14.11.2003 (BGBl. I S. 2190) mit Wirkung zum 1.1.2004 eingefügt. Die Datenaufbereitungsstelle hatte Daten für die in § 303f Abs. 2 a. F. genannten Zwecke aufzubereiten. Rz. 2 Art. 256 Nr. 1 der Neunten Zuständigkeitsanpassungsverordnung v. 3...mehr

Rz. 7 Die für die Qualitätssicherung zu übermittelnden Daten sind zu pseudonymisieren (Satz 1). Dazu wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist ein Code, bestehend aus mehrstelligen Buchstaben- oder Zahlenkombinationen) ersetzt, um die Feststellung der Identität des Betroffenen auszuschließen oder wesentlich zu erschweren (Art. 4 Nr. 5...mehr

Rz. 3 Die Krankenkassen sind verpflichtet, Angaben über Leistungen, die zur Prüfung der Voraussetzungen späterer Leistungsgewährung erforderlich sind, aufzuzeichnen. Der Begriff "Aufzeichnen" ist untechnisch gemeint und bezieht sich auf die Speicherung von Sozialdaten (Koch, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 292 Rz. 8). Unter Speicherung ist das Erfassen, Aufn...mehr

Rz. 6 Die Vorschrift verpflichtete die Krankenkassen sowie die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen, die nach Abs. 1 erstellte Übersicht in geeigneter Weise zu veröffentlichen. Die Verordnung (EU) 2016/679 enthält für die Normierung zusätzlicher Informationspflichten keine Öffnungsklausel, sondern regelt diese abschließend in Art. 30 Abs. 4. Art. 13 Abs. 1...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden und bestand zunächst nur aus einem Absatz. Weitere Änderungen und Ergänzungen sind mit dem Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1...mehr

Rz. 3 Auf länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung (§ 287), an denen nichtöffentliche Stellen oder öffentliche Stellen des Bundes oder der Länder aus zwei oder mehr Ländern als Verantwortliche beteiligt sind, ist § 27 BDSG anzuwenden. Die anfallenden Sozialdaten können auch ohne Einwilligung des Versicherten verarbeitet werden. Damit wird vermieden,...mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheits-Reformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt. Sie zählt abschließend auf, für welche Aufgabenzwecke die Kassenärztlichen und Kassenzahnärztlichen Vereinigungen (KV, KZV) personenbezogene Daten der Ärzte und Versicherten erheben dürfen. Die Sammlung p...mehr

Rz. 1 § 302 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat mit Wirkung vom 1.1.1993 die Überschrift geändert sowie Abs. 1 inhalt...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Sie regelt die Verwendung von bundeseinheitlichen Kennzeichen für den Verkehr der Krankenkassen mit den anderen Trägern der Sozialversicherung, der Bundesagentur für Arbeit und den Vertragspartnern de...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Abs. 1 Nr. 1 trat zum 1.1.1993 in Kraft. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat ab 1.1.1993 Abs. 1 ...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Stärkung des Wettbewerbs in der gesetzlichen Krankenversicherung (GKV-Wettbewerbsstärkungsgesetz – GKV-WSG) v. 26.3.2007 – (BGBl. I S. 378) mit Wirkung vom 1.4.2007 (wieder) eingefügt worden. Sie enthält Bestimmungen über die Datenerhebung, -verarbeitung und -nutzung für Zwecke der Qualitätssicherung. Zuvor enthielt die Vorschrif...mehr

Rz. 22 Krankenkassen sind berechtigt, zum Zwecke der Mitgliedergewinnung Daten zu verarbeiten (Satz 1; Rz. 21a). Die Verarbeitung ist zulässig, wenn die Daten allgemein zugänglich sind und die Betroffenen kein überwiegendes Interesse am Ausschluss der Verarbeitung haben. Die Norm betrifft insbesondere personenbezogene Daten (vgl. BT-Drs. 15/1525 S. 143 zu § 284). Rz. 23 Der A...mehr

Rz. 1 § 295 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat zum 1.1.1993 mit dem neuen Abs. 1 Nr. 1 die gesetzlich normierte Verp...mehr

Rz. 1 Die Vorschrift ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheits-Reformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden (ursprüngliche Überschrift: Personenbezogene Daten bei den Krankenkassen). Sie zählt abschließend auf, für welche Aufgaben die Krankenkassen personenbezogene Daten ihrer Versicherten erheben können. D...mehr

Rz. 9 Der Vertragspartner eines Leistungserbringers darf eine andere Stelle (z. B. eine privatrechtlich organisierte Abrechnungsstelle) mit der Verarbeitung der für die Abrechnung der Leistungen erforderlichen personenbezogenen Daten beauftragen (Satz 1). Das frühere Verbot, eine nichtöffentliche Stelle zu beauftragen, wurde aufgehoben. Der Vertragspartner bleibt der im date...mehr

Rz. 4 Die beteiligten Verantwortlichen benennen einen Hauptverantwortlichen und melden diesen der für die Hauptniederlassung des Hauptverantwortlichen zuständigen Aufsichtsbehörde. Maßgeblich ist der in Art. 4 Nr. 16 der Verordnung (EU) 2016/679 definierte Begriff der "Hauptniederlassung", auf den sich § 40 Abs. 2 Satz 1 BDSG bezieht. Die Hauptniederlassung befindet sich an ...mehr

Rz. 10 Für die Abrechnung von im Notfall erbrachten ambulanten ärztlichen Leistungen darf das Krankenhaus eine andere Stelle (z. B. privatrechtlich organisierte Abrechnungsstelle oder Rechenzentren) mit der Verarbeitung der erforderlichen personenbezogenen Daten beauftragen (Satz 1). Der Versicherte muss schriftlich oder elektronisch in die Datenübermittlung einwilligen. Dam...mehr

Rz. 8 Es ist davon auszugehen, dass "Sozialdaten" (§ 67 Abs. 2 SGB X) gemeint sind (Koch, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 286 Rz. 10). Sozialdaten sind personenbezogene Daten (Art. 4 Nr. 1 der Verordnung (EU) 2016/679), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden.mehr

Rz. 17 Die Krankenkassen sind berechtigt, versichertenbezogene Daten auf maschinell verwertbaren Datenträgern zu speichern, soweit es um ärztliche (Satz 2) oder ärztlich verordnete Leistungen (Satz 3) geht. Demnach ist für beide Bereiche eine Speicherung erlaubt, wenn dies für die in Satz 1 Nr. 4, 8, 9, 10, 11, 12, 13, 14 bezeichneten Zwecke erforderlich ist. Eine Speicherun...mehr

Rz. 10 Die rechtmäßig erhobenen und gespeicherten Sozialdaten dürfen nur für die Aufgaben nach Abs. 1 in dem erforderlichen Umfang verarbeitet werden. Eine Verarbeitung für andere Zwecke ist nur dann zulässig, wenn dies durch andere Vorschriften des Sozialgesetzbuchs oder nach § 13 Abs. 5 IfSG (Impfschutz) angeordnet oder gestattet wird. Der weite Begriff des Verarbeitens i....mehr

Rz. 21 Die versichertenbezogenen Sozialdaten dürfen nur für die Zwecke nach Abs. 1 in dem jeweils erforderlichen Umfang verarbeitet werden (Satz 1). Die Daten dürfen für andere Zwecke weiter verarbeitet werden, wenn eine andere Rechtsvorschrift des Sozialgesetzbuchs dies gestattet, also eine entsprechende Ermächtigungsgrundlage vorliegt. Das ist z. B. bei einer Befugnis zur ...mehr

Rz. 10 Das Forschungsdatenzentrum löscht die versichertenbezogenen Einzeldatensätze spätestens nach 30 Jahren. Grundsätzlich sind die Einzelangaben nach Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 zu löschen, wenn sie für die Erfüllung der Aufgaben des Forschungsdatenzentrums nicht mehr erforderlich sind. Es wird davon ausgegangen, dass die Erforderlichkeit der Bere...mehr

Rz. 11 Nutzungsberechtigte (Abs. 1) dürfen Daten verarbeiten, wenn die Daten für die jeweilige Zuständigkeit erforderlich sind und einem in der Vorschrift genannten Zweck dient. Danach ist die Datenverarbeitung zulässig zur Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner, Verbesserung der Qualität der Versorgung, Planung von Leistungsressourcen, z. B. Kran...mehr

Rz. 5 Die Krankenkasse darf Daten erheben und speichern, die für die Feststellung des Versicherungsverhältnisses und der Mitgliedschaft, einschließlich der für die Anbahnung eines Versicherungsverhältnisses, erforderlich sind (Nr. 1). Der zulässige Rahmen ergibt sich aus §§ 5 bis 10 (versicherter Personenkreis) und §§ 186 bis 193 (Mitgliedschaft). Rz. 6 Ausdrücklich gestattet...mehr

Rz. 12 Apotheken und weitere Anbieter von Arzneimitteln können Rechenzentren mit ihren Verpflichtungen beauftragen (Satz 1). Diese werden regelmäßig aufgrund eines Auftragsverhältnisses i. S. d. § 80 SGB X für die Apotheken tätig (Waschull, in: Krauskopf, Soziale Krankenversicherung – Pflegeversicherung, § 300 Rz. 8). Die entsprechenden Rechenzentren haben vereinnahmte Gelde...mehr

Rz. 8 Die Krankenkassen sind verpflichtet, Sozialdaten zu anonymisieren. Die Anonymisierung gewährleistet, dass Daten nicht mehr versichertenbeziehbar, sondern nur noch fallbeziehbar sind. Rz. 8a "Anonymisieren" wird nach Inkrafttreten der DSGVO und der Änderungen in § 67 SGB X nicht mehr legal definiert. Der Begriff Anonymisierung wird auch nicht direkt in der DSGVO definier...mehr

Rz. 12 Hoffmann, Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO – Unter besonderer Berücksichtigung der datenschutzrechtlichen Vorgaben in Deutschland, Diss. Universität Rijeka 2021.mehr

Rz. 6 Bundesministerium für Bildung und Forschung (Hrsg.), Forschung gestalten, veröffentlicht im Internet unter www.gesundheitsforschung-bmbf.de/de/versorgung.php, zuletzt abgerufen am 25.8.2022. Spitz/Cornelius, Einwilligung und gesetzliche Forschungsklausel als Rechtsgrundlagen für die Sekundärnutzung klinischer Daten zu Forschungszwecken, MedR 2022 S. 191. Hoffmann, Die da...mehr

Rz. 16 Farin/Follert/Gerdelmann/Jäckel, (2005), Qualitätssicherung in der medizinischen Rehabilitation durch die Gesetzliche Krankenversicherung: Hintergrund, Anforderungen und Ergebnisse, Prävention und Rehabilitation, 17/4, S. 125. G-BA, Richtlinie zur datengestützten einrichtungsübergreifenden Qualitätssicherung, www.g-ba.de/richtlinien/105; abgerufen: 27.6.2022. GKV-Spitze...mehr