DA+

Aufsatz : Das neue Sozialdatenschutzrecht : aus der RDV 3/2020, Seite 120 bis 128

Anpassungen des Sozialgesetzbuches an die DS-GVO und aktuelle Rechtsprechung

Lesezeit 28 Min.

Mit dem Inkrafttreten der Datenschutz-Grundverordnung musste auch der Datenschutz im deutschen Sozialrecht überarbeitet werden. Mittlerweile liegen nach einem zweistufigen Reformprozess auch erste Gerichtsentscheidungen vor, die sich mit dem neuen Sozialdatenschutzrecht auseinandersetzen.

I. Einleitung

Ohne Informationen ist ein Handeln der Sozialverwaltung nicht möglich. Um zu wissen, welche Kosten für Krankenbehandlungen eine gesetzliche Krankenversicherung übernehmen muss, benötigt sie auch gewisse Angaben über die Krankheit des Versicherten und deren Behandlung; die Rentenversicherung benötigt für den Rentenbescheid Informationen über das zurückliegende Arbeitsleben einer Versicherten, und das Jobcenter muss für die Bewilligung von Leistungen zur Sicherung des Lebensunterhalts die Hilfebedürftigkeit der Antragstellenden prüfen. Da diese Daten über natürliche Personen im Rahmen des Sozialverwaltungsverfahrens oftmals persönlicher Natur und sensibler Art sind, kommt auch im Sozialrecht der Datenschutz zu einer immer größeren Bedeutung.[1] Dieser Beitrag hat das Ziel, nach einer kurzen Einführung in die europarechtlichen und verfassungsrechtlichen Grundlagen des Sozialdatenschutzrechts (II. 1.), die beiden umfangreichen Reformen des Sozialdatenschutzrechts aus den Jahren 2017 (II. 2.) und 2019 (II. 3.) in ihren wesentlichen Inhalten darzustellen und zu systematisieren. Darüber hinaus werden erste Entscheidungen des Bundessozialgerichts und zweier Landessozialgerichte, die aufgrund der neuen Rechtslage ergangen sind, an den entsprechenden inhaltlichen Ausführungen besprochen.

II. Neue Rechtsgrundlagen für den Sozialdatenschutz

Seit dem Mai 2018 besteht durch die Datenschutz-Grundverordnung (DS-GVO) ein neuer datenschutzrechtlicher Rahmen auf der Ebene des europäischen Rechts. Dessen Vorgaben binden das nationale Datenschutzrecht in weiten Teilen, weshalb es in der Folge zu umfassenden Reformen im nationalen Recht kam. Auch das bereichsspezifische Recht des Sozialdatenschutzes richtet sich nunmehr nach den Bestimmungen der DS-GVO,[2] wodurch nunmehr ein datenschutzrechtliches Mehrebenensystem auch im Sozialrecht vorherrscht.[3] Die Rechtsvorschriften über den Datenschutz im Regelungsbereich des Sozialgesetzbuches wurden deshalb in einem ersten Schritt durch Gesetz vom 17. Juli 2017 novelliert.[4] Dabei musste sich das Gesetzgebungsverfahren durchaus Kritik gefallen lassen. Unbeachtet von der Fachöffentlichkeit wurden die Änderungen im Sozialdatenschutzrecht erst im Laufe des Gesetzgebungsverfahrens zur Neuregelung des Bundesversorgungsgesetzes aufgenommen; eingeforderte Stellungnahmen von Datenschutzbeauftragten konnten in der Kürze der Zeit nicht erstellt werden, und die letztliche Abstimmung erfolgte im Bundestag ohne Aussprache nach Mitternacht, auch der Bundesrat kritisierte seine fehlende Beteiligung.[5] Der zweite Reformschritt erfolgte erst kürzlich zum Ende des Jahres 2019 und nahm Änderungen an vielen Detailregelungen zum Datenschutz in den einzelnen Sozialgesetzbüchern vor.

1. Europarechtliche und verfassungsrechtliche Grundlagen

Das europäische Datenschutzrecht erstreckt seine Geltung auf alle Datenverarbeitungen, die im Anwendungsbereich des Unionsrechts liegen.[6] Welche Materien vom Anwendungsbereich des Unionsrechts erfasst werden, ergibt sich aus den vertraglichen Kompetenztiteln der Europäischen Union.[7] Die Sozialpolitik fällt gemäß Art. 4 Abs. 2 lit. b AEUV, Art. 48 AEUV und Art. 151-161 AEUV maßgeblich in die geteilte Zuständigkeit zwischen EU und den Mitgliedstaaten. Die europäische Sozialpolitik erstreckt sich, unter ständiger Anerkennung der Verschiedenheit der nationalen Sicherungssysteme, hauptsächlich auf unterstützende und ergänzende Maßnahmen der nationalen Sozialpolitiken, auf eine verstärkte Abstimmung der nationalen Sicherungssysteme bei grenzüberschreitender Beschäftigung sowie auf die Festlegung gewisser Mindeststandards.[8] Eine Rechtsharmonisierung des nationalen Sozialrechts ist dabei gemäß Art. 153 Abs. 2 AEUV ausgeschlossen. Dementsprechend verbleiben auf dem Gebiet des Sozialrechts viele Kompetenzen bei den Mitgliedstaaten, die demzufolge nicht eindeutig in den Anwendungsbereich des Unionsrechts und somit auch nicht eindeutig in den Anwendungsbereich der DS-GVO fallen.[9] Um Klarheit bei der Anwendung des Datenschutzrechts in der Sozialverwaltung zu schaffen, hat der deutsche Gesetzgeber mit § 35 Abs. 2 SGB I entschieden, dass die Datenschutzvorschriften der DS-GVO und des Sozialgesetzbuches für alle datenverarbeitenden Tätigkeiten entsprechend angewendet werden sollen, unbenommen, ob sie im Anwendungsbereich liegen oder nicht.[10] Dem folgen auch das Bundessozialgericht und das LSG Berlin-Brandenburg in jüngerer Rechtsprechung.[11] Der Bundesgesetzgeber verfolgte damit das Ziel, im Sozialrecht „entsprechend der bisherigen Regelungssystematik ein datenschutzrechtliches Vollregime“ anzubieten.[12]

Das neue Datenschutzrecht der DS-GVO und des angepassten SGB I und SGB X folgt grundsätzlich dem gleichen Datenschutzkonzept, wie es einst das Bundesverfassungsgericht mit seiner Rechtsprechung zu Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG entwickelt hat: Eingriffe in das Recht auf informationelle Selbstbestimmung durch staatliche Stellen können nur aus Gründen des Allgemeinwohls und nur auf der Grundlage eines Gesetzes erfolgen.[13] Die Grundsatznormen der DS-GVO, Art. 5 und 6, bestimmen ebenfalls, dass Datenverarbeitungen nur zulässig und rechtmäßig sein können, wenn sie sich insbesondere auf eine Einwilligung[14] oder eine verhältnismäßige Rechtsgrundlage des europäischen oder des nationalen Rechts stützen können.[15] Solche finden sich nunmehr an verschiedenen Stellen des Sozialgesetzbuchs.[16] Dabei folgt das Sozialdatenschutzrecht der Systematik des Sozialgesetzbuchs, welches in allgemeine (vor allem SGB I, SGB X und SGB IV) und spezielle Bücher unterteilt ist.[17] Die allgemeinen Bestimmungen des Sozialdatenschutzrechts gelten für das gesamte Sozialrecht und sind im SGB I und im SGB X geregelt. Daneben gibt es jedoch für jeden besonderen Bereich des Sozialrechts (z.B. Krankenversicherung, Rentenversicherung etc.) einzeln festgelegte Datenschutzvorschriften, die nur für das spezifische Buch gelten.[18] Beispielsweise enthalten die §§ 50ff. SGB II spezielle Datenübermittlungsvorschriften, die jedoch ausschließlich im Recht der Grundsicherung für Arbeitslose Anwendung finden.

2. Erster Reformschritt: Neuregelung des Datenschutzes im SGB I und SGB X im Jahr 2017

Die für den Sozialdatenschutz einschlägigen Normen im SGB I und SGB X sind solche nationalen gesetzlichen Grundlagen für Beschränkungen des Datenschutzes im Sinne des Art. 6 DS-GVO auf dem Gebiet des Sozialrechts. Diese für das gesamte Sozialrecht geltenden Datenschutzbestimmungen wurden im Jahr 2017 reformiert, hier sollen sie in ihren Grundzügen erläutert werden.

a) Das Sozialgeheimnis

Zunächst findet sich im SGB I – Allgemeiner Teil – eine für das gesamte Sozialrecht übergreifende Datenschutznorm, die mit „Sozialgeheimnis“ überschrieben wird.[19] Durch § 35 Abs. 1 S. 1 SGB I wird das Sozialgeheimnis als das zugrundeliegende Prinzip des Sozialdatenschutzes festgelegt. Dieses besagt, dass jeder über einen Anspruch darauf verfügt, dass Sozialdaten von Leistungsträgern des Sozialrechts nicht unbefugt erhoben, verarbeitet oder genutzt werden dürfen.[20] Dies impliziert einerseits, dass es einen spezifischen Begriff der Sozialdaten gibt, der definiert und ausgelegt werden muss, und andererseits, dass Datenverarbeitungen im Sozialrecht zulässig sein können, solange diese auf einer Befugnis des Leistungsträgers beruhen. Sozialdaten dürfen dementsprechend nur verarbeitet werden, wenn eine Verarbeitungsbefugnis aus der DS-GVO oder aus dem SGB hervorgeht.[21]

Unter Sozialdaten[22] werden personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO verstanden, die von einer in § 35 SGB I genannten Stellen im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.[23] Sozialdaten werden also nicht inhaltlich definiert, etwa im Sinne von Daten, die die Gesundheit, eine Behinderung oder ähnliches betreffen, sondern sie definieren sich über die Stelle, die sie zur Erfüllung einer Aufgabe aus dem Sozialrecht verarbeitet.[24] Diese Stellen können u.a. sein die Kranken-, Pflege-, Renten-, Unfall-, Arbeitslosenversicherung, aber auch die Künstlersozialkasse, Zollbehörden oder die Deutsche Post AG, sofern sie sozialrechtliche Aufgaben erfüllen.[25]

§ 35 Abs. 1 S. 2 SGB I bestimmt weiterhin, dass innerhalb der Leistungsträger sichergestellt werden muss, dass nur befugte Personen Zugang zu den Sozialdaten haben. Diese Norm lässt sich auch als organisatorische Datenschutzvorschrift begreifen. Konkretisiert wird dies noch durch § 35 Abs. 1 S. 3 SGB I, dem zufolge Personen, die Personalentscheidungen treffen oder daran mitwirken, keinen Zugang zu den Sozialdaten der Betroffenen und ihrer Angehörigen erhalten dürfen und auch nicht von Zugangsberechtigten weitergeleitet bekommen dürfen.[26]

b) Sozialverwaltungsverfahren und Sozialdatenschutz

Neben den Vorschriften über das Sozialgeheimnis im SGB I enthält das SGB X – Sozialverwaltungsverfahren und Sozialdatenschutz – im Zweiten Kapitel weitergehende Vorschriften zum Datenschutz im Sozialrecht. Die §§ 67-85a SGB X enthalten für verschiedene Verarbeitungssituationen sowie über die Rechte der Betroffenen im Sozialverwaltungsverfahren bereichsspezifische Vorschriften.[27]

c) Erhebung von Sozialdaten

Nach Begriffsbestimmungen, die in § 67 SGB X ergänzend zu jenen des Art. 4 DS-GVO eingeführt werden, wozu die wichtigste Definition jener der Sozialdaten ist, erklärt § 67a SGB X jede Erhebung von Sozialdaten nur für zulässig, wenn die Kenntnis der Daten zur Erfüllung einer Aufgabe der erhebenden Stelle erforderlich ist.[28] Eine solche Erhebung kann beispielsweise erforderlich sein für die Leistungsgewährung und die Unterstützung bei der Aufnahme einer Erwerbstätigkeit im Recht der Grundsicherung (Aufgaben gemäß § 1 Abs. 2 SGB II), für die die Voraussetzungen der Antragstellung (§ 37 Abs. 1 SGB II) und der Mitwirkung (§ 60 SGB I i.V.m. §§ 56 und 59 SGB II), verbunden mit den entsprechenden Angaben personenbezogener Daten, vorgesehen sind. Die Erhebung der Sozialdaten zur Erfüllung der gesetzlichen Aufgabe soll nach § 67a Abs. 2 S. 1 SGB X grundsätzlich bei den Betroffenen selbst erfolgen, womit das SGB X dem Transparenzgrundsatz des Art. 5 Abs. 1 lit. a DS-GVO folgt.[29] Die DS-GVO wirkt sich auf das Sozialdatenschutzrecht auch dergestalt aus, dass der Grundsatz der Datenminimierung und der Speicherbegrenzung aus Art. 5 Abs. 1 lit. c und e DS-GVO verwirklicht werden müssen. Dies heißt, dass die Sozialverwaltung mit möglichst wenigen und nur den notwendigen Daten ihre gesetzlichen Aufgaben erfüllen soll, was sich auch aus dem Effizienzgedanken des Sozialrechts gemäß § 17 Abs. 1 Nr. 1 SGB I ableiten lässt.[30]

d) Verarbeitung und Übermittlung von Sozialdaten

Die Verarbeitung von Sozialdaten[31] ist gemäß § 67b SGB X nur zulässig, wenn eine gesetzliche Grundlage oder eine hinreichende Einwilligung der Betroffenen vorliegt.[32] Insofern sind besonders die Art. 6 und 9 DS-GVO von großer Bedeutung auch für die Arbeit der Sozialverwaltung.[33] Ebenfalls als Konkretisierung zur DS-GVO existieren in den §§ 67ff. SGB X mehrere Vorschriften, die die Übermittlung von Sozialdaten unter spezifischen Voraussetzungen erlauben.[34] Für die Rechtmäßigkeit der Datenübermittlungen legt § 67d Abs. 1 SGB X eine geteilte Verantwortlichkeit fest. Die übermittelnde Stelle trifft stets die Verantwortlichkeit, bei Übermittlungen auf Ersuchen durch eine andere Stelle trägt letztere die Verantwortlichkeit für die Richtigkeit der Angaben im Ersuchen.[35] Insbesondere sind hierzu erwähnenswert die Übermittlungen von Sozialdaten zur Bekämpfung von Leistungsmissbrauch gemäß § 67e SGB X, zur Erfüllung von Aufgaben von Gefahrenabwehrbehörden, Staatsanwaltschaften und Gerichten gemäß § 68 SGB X sowie zur Durchführung von Forschungsvorhaben im Sozialleistungsbereich und in der wissenschaftlichen Arbeitsmarkt- und Berufsforschung gemäß § 75 SGB X.[36]

Besonders zur Frage der Rechtmäßigkeit von Datenübermittlungen im Sozialrecht hat es zuletzt mehrere Gerichtsentscheidungen gegeben, die die neuen Rechtsgrundlagen für die Praxis handhabbar gemacht haben, weshalb hier drei Urteile angesprochen werden sollen.

Zunächst hat das Bundessozialgericht in einem jüngeren Urteil erstmals zu diesen Fragen der Erhebung und Übermittlung von (sensiblen) Daten im neuen Datenschutzrecht Ausführungen getroffen. In dem konkreten Fall ging es um das Recht einer Krankenkasse, Einsicht in Behandlungsunterlagen eines Krankenhauses zu erhalten, um die Korrektheit der Behandlungsabrechnung prüfen zu können. Die Behandlungsunterlagen enthielten auch besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten im Sinne des Art. 9 DS-GVO. In übergreifender Anwendung des Art. 9 DS-GVO, § 67b Abs. 1 S. 2 SGB X, § 301 SGB V befand das BSG, dass das Sozialdatenschutzrecht einer Übermittlung und einer Einsicht in Gesundheitsdaten in Behandlungsunterlagen durch eine Krankenkasse nicht entgegensteht.[37] Gerade auch die DS-GVO, so das BSG, kenne in Art. 9 Abs. 2 eine Ausnahme vom Verbot der Verarbeitung von besonderen Kategorien personenbezogener Daten, die für die Versorgung und Behandlung im Gesundheits- und Sozialbereich besteht.[38] Die Übermittlung und Einsicht einer Krankenkasse in Behandlungsunterlagen zum Zwecke der Abrechnungsprüfung und Verbesserung der Qualität und Wirtschaftlichkeit der Abrechnungsverfahren in Krankenversicherungssystemen sah das BSG unter Hinweis auf Art. 9 Abs. 2 DS-GVO sowie auf Erwägungsgrund 52 der DS-GVO als mit dem Datenschutzrecht konform an.[39]

In einem weiteren Fall zog das BSG ebenfalls das neue europäische Datenschutzrecht als Rechtsgrundlage für Datenübermittlungen im Recht der gesetzlichen Krankenversicherung heran. Gemäß § 295 Abs. 2 SGB V haben Kassenärztliche Vereinigungen die Pflicht, im Wege der elektronischen Datenübertragung für jedes Quartal und für jeden Behandlungsfall eine Reihe von Sozialdaten zum Zwecke der Abrechnung der Vergütung an die Krankenkassen zu übermitteln. Nach einer Klage einer Kassen(zahn)ärztlichen Vereinigung gegen diese Übermittlungspflicht urteilte das BSG, dass § 295 Abs. 2 SGB V nicht gegen die DS-GVO verstoße.[40] Zunächst ist interessant, dass das BSG die Regeln der DS-GVO heranzieht, obwohl der Rechtsstreit über die Pflicht zur Datenübermittlung bereits deutlich vor dem Inkrafttreten der DS-GVO (Mai 2018) entstanden war. Dass die DS-GVO trotzdem zur Beurteilung der Rechtslage heranzuziehen sei, begründete das BSG damit, dass seit dem Inkrafttreten der DS-GVO jede Verarbeitung von personenbezogenen Daten im Anwendungsbereich des Unionsrechts auch an der DS-GVO gemessen werden muss.[41] Da die Verpflichtung zur Datenübermittlung nach § 295 Abs. 2 SGB V eine dauerhafte Rechtspflicht sei und da das BSG ein vollstreckbares Urteil über die Rechtmäßigkeit dieser Datenverarbeitung fälle, auf dessen Grundlage nach dem 24. Mai 2018 dann tatsächlich eine solche Datenverarbeitung stattfinden könnte, müsse das Urteil auch im Einklang mit den europäischen Vorgaben stehen.[42] Im Weiteren sah das BSG die Anforderungen des Art. 9 Abs. 2 lit. h, Abs. 3 und Abs. 4 DS-GVO für die Verarbeitung von sensiblen Gesundheitsdaten im konkreten Fall als erfüllt an.[43] Das innerstaatliche Recht des § 67b Abs. 1 S. 3 und 4 SGB X sowie des § 295 Abs. 2 SGB V nutze die Öffnungsklausel zum Zwecke der Verwaltung von Systemen und Diensten im Gesundheitsund Sozialbereich in zulässiger Weise, und eine Übermittlung von Abrechnungsdaten an die Krankenkassen sei demzufolge vom europäischen Datenschutzrecht gedeckt.[44]

Das LSG Bayern hatte darüber hinaus im Juni 2019 zu klären, ob die Prüfverfahren gemäß § 212a SGB VI, die die Rentenversicherung bei den zur Beitragszahlung verpflichteten Stellen durchführt, datenschutzkonform sind.[45] Bei diesen Betriebsprüfungen untersucht die Rentenversicherung, ob die Stellen, die die Pflichtbeiträge für die in der Rentenversicherung versicherten Personen zahlen müssen, ihren Meldepflichten und Zahlungspflichten nachgekommen sind (§ 212a Abs. 1 SGB VI). Dazu haben die zahlungspflichtigen Stellen gemäß § 212a Abs. 3 SGB VI angemessene Prüfhilfen zu leisten, bei denen Sozialdaten zum Zwecke der Prüfung übermittelt werden. In dem der Entscheidung zugrundeliegenden Fall klagte der Freistaat Bayern (Bayerisches Landesamt für Finanzen) gegen die Rentenversicherung, da streitig war, inwiefern der Freistaat Bayern als zu prüfende Stelle verpflichtet war, Prüfhilfen an die Rentenversicherung zu gewähren.[46] Konkret ging es um die Einsichtnahme in Leistungsunterlagen von beihilfeberechtigten Pflegebedürftigen.[47] Das LSG befand, dass die Datenverarbeitungen im Rahmen der Prüfung gemäß § 212a SGB VI datenschutzkonform seien.[48] Die Erhebung der Daten stünde im Einklang mit den Vorgaben der Art. 6 und 9 DS-GVO i.V.m. § 67a SGB X, da sie auf das für die rentenversicherungsrechtliche Betriebsprüfung Erforderliche beschränkt sei.[49] Die Prüfungen zielten auf die Funktionsfähigkeit und finanzielle Stabilität der Sozialversicherung ab, wodurch ein überragend wichtiger Gemeinwohlbelang verfolgt würde, weshalb die entsprechenden Datenverarbeitungen von Art. 6 und Art. 9 Abs. 2 lit. b und j DS-GVO gedeckt seien.[50]

e) Zweckbindung und Zweckänderung

Durch § 67c Abs. 1 SGB X wird der Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b DS-GVO, wonach Datenverarbeitungen nur zu den vorher eindeutig festgelegten Zwecken vorgenommen werden dürfen, auch für das Sozialrecht übernommen.[51] Der Zweckbindungsgrundsatz wird für deutsche Sozialverwaltungsbehörden zudem noch um den Grundsatz der Gesetzmäßigkeit der Verwaltung ergänzt, der eine Bindung der Sozialleistungsträger an die gesetzlich festgelegten Aufgaben bei den Datenverarbeitungen verlangt.[52] Wie es auch die DS-GVO in Art. 6 Abs. 4 erlaubt, so hat der Bundesgesetzgeber auch für das Sozialdatenschutzrecht die Möglichkeit geschaffen, eine zweckändernde Verarbeitungen, das heißt eine Datenverarbeitung zu anderen Zwecken als zu den ursprünglichen Erhebungszwecken, zuzulassen. Eine zweckändernde Verarbeitung von Sozialdaten ist gemäß § 67c Abs. 2 Nr. 1 SGB X nur zulässig, wenn die Daten für andere Aufgaben desselben Leistungsträgers, die sich ebenfalls aus dem Sozialgesetzbuch ergeben, erforderlich sind.[53] Dadurch soll vor allem die doppelte Datenerhebung durch die Sozialverwaltung vermieden werden, da die Erhebung von Sozialdaten zur sozialrechtlichen Aufgabenerfüllung ohnehin gemäß § 67a SGB X zulässig ist.[54] Eine zweckändernde Datenverarbeitung im Sozialrecht ist gemäß § 67c Abs. 2 Nr. 2 SGB X außerdem zulässig, wenn die Daten für ein Forschungsprojekt im Sinne des § 75 SGB X verwendet werden.[55] Die Daten sollen hierbei möglichst anonymisiert werden (§ 67c Abs. 5 S. 2 SGB X).

f) Betroffenenrechte

Schließlich schaffen die DS-GVO und das SGB X ein Rechtsschutzsystem für die Betroffenen von Verarbeitungen ihrer Sozialdaten. So enthält etwa § 81 Abs. 1 SGB X den Anspruch jedermanns, sich bei vermuteten Datenschutzverstößen an den Datenschutzbeauftragten zu wenden. Gemäß § 81 Abs. 2 SGB X sind die Aufsichtsbehörden für den Sozialdatenschutz der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit nach Kapitel 4 des BDSG oder bei öffentlichen Stellen der Länder die Datenschutzbeauftragten nach Landesrecht. Außerdem sind bei den Sozialbehörden im Sinne des § 35 SGB I interne Datenschutzbeauftragte gemäß §§ 5-7 BDSG einzurichten.[56]

§ 81b SGB X enthält die prozessrechtliche Vorschrift, nach der für Klagen von Betroffenen wegen der Verletzung von Datenschutzrechten gegen die Sozialverwaltung der Klageweg zur Sozialgerichtsbarkeit eröffnet ist.[57] Für spezifische Betroffenenrechte im Sozialdatenschutzrecht müssen sodann die DS-GVO und das SGB X zusammen gelesen werden. So schaffen etwa Art. 13 DS-GVO und § 82 SGB X aktive Informationspflichten der datenverarbeitenden Stelle. Die Informationspflichten müssen erfüllt werden, wenn Daten beim Betroffenen direkt oder indirekt bei Dritten erhoben werden; die Information muss in präziser, transparenter, verständlicher Weise erfolgen und durch ein aktives Handeln des sozialrechtlichen Datenverarbeiters geschehen. § 82 Abs. 1 SGB X schränkt die Informationspflichten jedoch deutlich ein, etwa in Situationen, in denen der Betroffene nach den Umständen des Einzelfalls mit der Verarbeitung rechnen musste.[58] Das neue Sozialdatenschutzrecht schränkt auch die Informationspflichten bei einer zweckändernden Datenverarbeitung gemäß Art. 13 Abs. 3 DS-GVO durch § 82 Abs. 2 Nr. 1 und 2 SGB X empfindlich ein, etwa dann, wenn die Ausübung der Informationserteilung die ordnungsgemäß sozialrechtliche Aufgabenerfüllung gefährden würde oder durch die Informationserteilung die öffentliche Sicherheit und Ordnung gefährdet wäre bzw. in sonstiger Weise dem Wohl des Bundes oder der Länder Nachteile entstünden.[59] Vor dem Hintergrund des eigentlichen Regelungskonzeptes der DS-GVO, das eine größtmögliche Transparenz der Datenverarbeitungen verfolgt, sollten diese Ausnahmevorschriften nur behutsam eingesetzt werden. § 83 SGB X regelt darüber hinaus die Anpassung der Auskunftsrechte der Betroffenen im Sozialrecht.[60] Die Nutzung der Öffnungsklauseln der DS-GVO bei der Regelung des neuen Sozialdatenschutzrechts wurde, dies wird bei der Lektüre der neuen Vorschriften deutlich, verschiedentlich genutzt, um Betroffenenrechte im Sozialrecht im Vergleich zur Reichweite nach der DS-GVO einzuschränken, was berechtigterweise auf Kritik gestoßen ist.[61]

Im Hinblick auf die Betroffenenrechte im Sozialrecht hat das LSG Berlin-Brandenburg am 30. April 2019 eine Entscheidung getroffen, die sich im Wesentlichen auf die DSGVO stützt.[62] Vorliegend klagte eine frühere Leistungsbezieherin gegen das Jobcenter. Sie begehrte die Löschung von allen sie betreffenden Personalausweis- und Krankenversicherungsausweiskopien in den Papierakten und den elektronischen Akten des Jobcenters.[63] Das Jobcenter teilte daraufhin zunächst mit, dass alle Lichtbilder und Ausweiskopien aus der Papierakte entnommen und vernichtet worden seien und die restliche Papierakte in das Archiv übergeben wurde. Jedoch wies das Jobcenter darauf hin, dass sämtliche Daten noch in der elektronischen Akte vorhanden seien.[64] Infolge des erhobenen Widerspruches der Klägerin half das Jobcenter dem Widerspruch insoweit ab, dass auch aus der elektronischen Akte das Lichtbild der Personalausweiskopie gelöscht wurde. Im Übrigen wies das Jobcenter den Widerspruch jedoch zurück und befand, dass die weiter anhaltende Speicherung der Kopien des Personalausweises und der Krankenversicherungskarte für die Aufgabenerfüllung nach dem SGB II erforderlich sei. Im Fortgang entschied das LSG Berlin-Brandenburg im April 2019, dass die Rechtsgrundlage für die Löschung der (nach der bereits erfolgten Löschung des Ausweisbildes) nur noch unvollständig vorhandenen Kopie des Personalausweises in der elektronischen Akte des Jobcenters Art. 17 Abs. 1 DS-GVO darstelle.[65] Demnach hätten Betroffene das Recht, von der verarbeitenden Stelle zu verlangen, sie betreffende Daten zu löschen, sofern sie für die ursprünglichen Erhebungszwecke nicht mehr erforderlich sind, was im Grunde auch der früheren Regelung des § 84 Abs. 2 SGB X entspreche.[66] Das LSG sah die Voraussetzungen für den Löschungsanspruch nach Art. 17 Abs. 1 DS-GVO im Hinblick auf die Ausweiskopien in der elektronischen Akte als erfüllt an.[67] Die ursprüngliche Erhebung und Speicherung der Ausweisdaten der Klägerin durch das Jobcenter war durch die entsprechenden Rechtsgrundlagen aus Art. 6 DS-GVO, §§ 67a Abs. 1 SGB X i.V.m. § 35 SGB I i.V.m. §§ 50ff. SGB II gedeckt. In § 51b Abs. 1 SGB II erkannte das LSG die einschlägige Rechtsgrundlage für Datenerhebungen zur Erfüllung der Grundsicherung für Arbeitsuchende. Die Erhebung der Daten wird neben dem Zweck der Leistungsgewährung auch für die Überprüfung der korrekten und wirtschaftlichen Leistungserbringung und zum Zwecke der Bekämpfung von Leistungsmissbrauch durchgeführt, was sich aus § 51b Abs. 3 SGB II ergibt.[68] Das Jobcenter argumentierte, dass die in der elektronischen Akte verbleibenden Angaben der Personalausweiskopie für die Erfüllung dieser Zwecke weiterhin gespeichert werden müssten. Dies bezweifelte das LSG. So seien die notwendigen Angaben aus dem Personalausweis der Klägerin zugleich auch im von der Klägerin unterschriebenen Antragsformular enthalten. Und die Daten, die sich ausschließlich aus der Ausweiskopie und nicht aus der übrigen Akte ergeben, nämlich die Augenfarbe und Körpergröße der Klägerin sowie die Personalausweisnummer seien für die Zwecke der Überprüfung der Leistungserbringung und der Bekämpfung von Leistungsmissbrauch nicht erforderlich.[69] Da für die weitere Speicherung der Ausweiskopie der Klägerin in der elektronischen Akte des Jobcenters keine Erforderlichkeit erkennbar war, sah das LSG den Anspruch auf Löschung gemäß Art. 17 Abs. 1 DS-GVO als gegeben an.[70] Damit wurde erstmals ein Löschungsanspruch gegenüber der Sozialverwaltung auf Art. 17 DS-GVO gestützt und gerichtlich bestätigt. Auch dieses Urteil verdeutlichte, dass der Datenschutz im Sozialrecht nur adäquat umgesetzt werden kann, wenn das datenschutzrechtliche Mehrebenensystem aus der europäischen DS-GVO, dem allgemeinen Sozialdatenschutz aus dem SGB I und SGB X sowie dem bereichsspezifischen Datenschutz der übrigen Sozialgesetzbücher in einer Gesamtschau herangezogen und angewendet wird.

3. Zweiter Reformschritt: Neuregelung des bereichsspezifischen Datenschutzes in den Sozialgesetzbüchern im Jahr 2019

Zum Ende des Jahres 2019 hat der Bundesgesetzgeber einen weiteren Schritt zur Umsetzung des europäischen Datenschutzrechts vorgenommen. In einer äußerst detaillierten Gesetzgebung wurden Datenschutzbestimmungen in unterschiedlichsten Bundesgesetzen neu geregelt. Teil des „Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtline (EU) 2016/680 – Zweites Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ vom 20. November 2019[71] – ist auch die Anpassung des bereichsspezifischen Datenschutzes im Sozialgesetzbuch. Diese Änderungen finden sich in den Art. 119 bis 123, 125 und 128 bis 133 des „2. DSAnpUG-EU“.[72]

a) Ziel des Gesetzgebers

In der Gesetzesbegründung führt die Bundesregierung aus, dass zwischen der DS-GVO und dem sehr ausdifferenzierten Datenschutzrecht auf nationaler Ebene ein reibungsloses Zusammenspiel sichergestellt werden soll.[73] Zwar habe man bereits im Jahr 2017 die allgemeinen Regeln des Sozialdatenschutzes im SGB I und SGB X reformiert. Doch im Hinblick auf das verbleibende bereichsspezifische Datenschutzrecht im Sozialrecht bestünde weiterer Anpassungsbedarf.[74] Dabei weist die Gesetzesbegründung selbst darauf hin, dass ein Großteil der spezifischen Anpassungen der Angleichung von Begriffsbestimmungen und der Aktualisierung von Gesetzesverweisen dient[75], also kaum inhaltliche Neuerungen enthält. Gleichwohl enthält 2. DSAnpUG-EU auch die Schaffung neuer Rechtsgrundlagen für die Verarbeitung und Übermittlung von Daten.[76]

  1. b) Sprachliche Anpassungen an die DS-GVO

Die ganz überwiegende Anzahl der Anpassungen im Sozialdatenschutzrecht durch das 2. DSAnpUG-EU ist sprachlicher und redaktioneller Natur. Die frühere Rechtslage wird daher im spezifischen Sozialdatenschutz in materieller Hinsicht in den meisten Fällen beibehalten und lediglich an Begriffe und neue Verweisnormen angeglichen.[77] Beispiele für redaktionelle Anpassungen an die Begriffe der DS-GVO finden sich etwa in Art. 125 Nr. 4 2. DSAnpUG-EU zu § 127a SGB VI, der die Wörter „erheben, verarbeiten und nutzen“ durch „verarbeiten“ ersetzt, da die DS-GVO allein von diesem Begriff ausgeht; weiterhin Art. 125 Nr. 5 2. DSAnpUG-EU, durch den in § 145 SGB VI die Wörter „eine Datei mit Sozialdaten“ durch „ein Dateisystem mit Sozialdaten“ ausgetauscht wird.[78] Solche Veränderungen wurden in allen zwölf Sozialgesetzbüchern vorgenommen und stellen seitenweise den Inhalt der zweiten Reform des Sozialdatenschutzrechts dar.

c) Streichung früherer bereichsspezifischer Rechtsgrundlagen

Durch den Geltungsvorrang der DS-GVO und aufgrund der Neuregelung des allgemeinen Sozialdatenschutzes im SGB I und SGB X durch die Reform des Jahres 2017 kam es verschiedentlich zu der Situation, dass bereichsspezifische Rechtsgrundlagen für Datenverarbeitungen in den Sozialgesetzbüchern verdrängt oder obsolet wurden. Beispielsweise wurden die Bußgeld- und Strafvorschriften in §§ 63a und 63b SGB II bei Verstößen gegen das Datenschutzrecht aufgehoben, weil Art. 83 DS-GVO diese nunmehr abschließend regelt. Die entsprechenden Verfahrensvorschriften finden sich nunmehr in § 85 SGB X, der auch für das SGB II gilt. Insofern bedurfte es der spezifischen Regelungen im SGB II nicht mehr.[79] Ein anderes Beispiel für eine Streichung einer früheren Rechtsgrundlage für Datenverarbeitungen findet sich im Recht der Unfallversicherung. Durch Art. 128 Nr. 10 2. DSAnpUG-EU wurde § 292 S. 2 SGB VII gestrichen. Das darin bisher geregelte Informationsrecht von Betroffenen, den Inhalt von Anzeigen über eine Berufskrankheit durch Ärzte und Zahnärzte an die Unfallversicherung mitgeteilt zu bekommen, wird gestrichen, da dieses Betroffenenrecht nunmehr direkt aus Art. 12ff. DS-GVO entnommen wird.[80]

d) Neu geregelte spezifische Rechtsgrundlagen im Sozialdatenschutzrecht

Die Anpassung des bereichsspezifischen Sozialdatenschutzrechts enthält jedoch nicht nur sprachliche Anpassungen und Streichungen obsolet gewordener Vorschriften. Vereinzelt wurden durch die Reform von November 2019 auch neue Rechtsgrundlagen für Datenverarbeitungen geschaffen. Hier sollen nun einige dieser Neuregelungen angesprochen werden.

Beispiel SGB III, Recht der Arbeitsförderung: § 41 SGB III regelt die Einschränkung des Fragerechts der Agentur für Arbeit.[81] Diese Einschränkung gleicht dem Fragerecht eines Arbeitgebers, der bestimmte Informationen etwa bei Bewerbern in einem Vorstellungsgespräch nicht erheben darf (z.B. Familienplanung oder sexuelle Orientierung). Informationen über eine Gewerkschaftszugehörigkeit oder eine Parteimitgliedschaft darf die Agentur für Arbeit ebenfalls nur unter strengen Voraussetzungen erheben. Die bisherige Regelung des § 41 Abs. 1 S. 3 SGB III enthielt keine Rechtsgrundlage, solche erfragten Daten auch zu speichern, sondern lediglich, sie zu erheben und zu nutzen. Art. 121 Nr. 3 2. DSAnpUG.EU ändert § 41 SGB III nunmehr dahingehend, dass die Agentur für Arbeit eine Rechtsgrundlage auch zur Speicherung dieser Daten erhält.[82]

Beispiel SGB IV: Die Träger der Sozialversicherung sind rechtsfähige Körperschaften des öffentlichen Rechts mit der Befugnis zur Selbstverwaltung gemäß § 29 Abs. 1 SGB IV. Als solche unterliegen sie der staatlichen Aufsicht gemäß § 87 SGB IV. Die bundes- oder landesrechtlichen Aufsichtsbehörden (§ 90 SGB IV) haben deshalb gegenüber den Trägern der Sozialversicherung ein Prüfungsrecht, das gemäß § 88 SGB IV die Geschäfts- und Rechnungsprüfung sowie Auskunftsrechte umfasst. Mit der zweiten Datenschutzreform hat der Gesetzgeber den Aufsichtsbehörden neue Befugnisse eingeräumt. So ergänzt Art. 122 Nr. 10 2. DSAnpUG-EU den § 88 Abs. 2 SGB IV dahingehend, dass die Aufsichtsbehörden ein Zugangsrecht zu allen für die Prüfung erforderlichen elektronisch gespeicherten Daten der Sozialversicherungsträger haben und dieser Anspruch auch einen automatisierten Datenabruf umfasst.[83] Hiermit erfolgte ganz offenbar eine Angleichung auch an die Vorschrift des § 95 Bundeshaushaltsordnung, die ein gleiches Recht zum automatischen Datenabruf dem Bundesrechnungshof gewährt.[84]

Beispiel SGB V, Gesetzliche Krankenversicherung: Die gesetzliche Krankenversicherung kann gemäß § 20 Abs. 4 Nr. 1 und Abs. 5 SGB V Versicherten Leistungen zur verhaltensbezogenen Prävention anbieten. Diese richten sich an Einzelpersonen, die durch die Maßnahmen langfristig befähigt werden sollen, einen gesundheitsförderlichen Lebensstil zu führen und Krankheiten vorzubeugen.[85] Für die Gewährung dieser Leistungen wird gemäß § 20 Abs. 5 S. 2 SGB V eine vorherige Empfehlung eines Arztes aufgrund einer gesundheitlichen Untersuchung, beispielsweise nach § 25 Abs. 1 SGB V, herangezogen. Die gesetzlichen Krankenversicherungen dürfen die in dem Empfehlungsschreiben enthaltenen personenbezogenen Daten nur dann verarbeiten, wenn die betroffene Person hierin eingewilligt hat und wenn diese Person darüber vorher informiert wurde. Art. 123 Nr. 1 a) 2. DSAnpUG-EU ergänzt die Regelung des § 20 Abs. 5 SGB V nunmehr dahingehend, dass die Einwilligung des Patienten in die Verarbeitung von biometrischen, genetischen oder Gesundheitsdaten und die Informierung durch die Krankenversicherung entweder schriftlich oder elektronisch erteilt werden können.[86] Dabei stützte sich der Gesetzgeber auf die Öffnungsklausel des Art. 9 Abs. 4 DS-GVO.[87]

Beispiel SGB VIII, Kinder- und Jugendhilferecht: Beamte oder Angestellte, denen die Ausübung einer Beistandschaft, Amtspflegschaft oder Amtsvormundschaft für ein Kind oder einen Jugendlichen übertragen ist, dürfen gemäß § 68 Abs. 1 SGB VIII Sozialdaten verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Dadurch unterliegen sie grds. auch den Informationspflichten der DS-GVO. Die Informationspflichten aus Art. 13 und 14 DS-GVO werden durch Art. 129 Nr. 5 a) bb) 2. DSAnpUG-EG für diese Personen eingeschränkt. Zweck dieser neuen Vorschrift in § 68 SGB VIII ist es, dass der Beistand, Amtspfleger oder Amtsvormund abwägen soll, inwieweit die Kinder und Jugendlichen vor einer Datenübermittlung an Dritte geschützt werden können.[88] Sobald eine Informationserteilung nicht mit der Wahrung der Interessen des Kindes oder des Jugendlichen vereinbar ist, entfällt die Pflicht.[89] Insgesamt zeichnet sich die zweite Reform des Sozialdatenschutzrechts in Anpassung an die DS-GVO weitgehend durch einen hohen Detailgrad bei niedrigem materiellen Regelungsgehalt aus. Der maßgebliche Anteil der Gesetzesänderungen sind bloße Begriffsanpassungen und Verweisungen auf andere Vorschriften. Die Schaffung neuer datenschutzrechtlicher Rechtsgrundlagen ist rar und beläuft sich ebenfalls nur auf Detailfragen.

III. Zusammenfassung

Der Datenschutz im Sozialrecht musste durch die Änderungen auf der europäischen Ebene neu aufgestellt werden. Der Bundesgesetzgeber setzte dies in zwei Reformschritten in den Jahren 2017 und 2019 um. Die erste Reform, die sich auf die übergreifenden Datenschutzbestimmungen im Sozialrecht bezogen, war weitgehend von Kontinuität geprägt. Die allgemeinen Prinzipien des Sozialdatenschutzes sind ganz wesentlich die gleichen geblieben, wie sie auch im alten Recht bestanden. Gleichwohl hat der Gesetzgeber die Reform genutzt, um der Sozialverwaltung mehr Verarbeitungsbefugnisse einzuräumen und gleichzeitig Betroffenenrechte einzuschränken, was durchaus kritikwürdig ist. Die zweite Reform war zwar von hohem Detailgrad, aber auch von geringer materieller Regelungstiefe geprägt. Nur in wenigen Punkten wurden neue Befugnisse in das bereichsspezifische Sozialdatenschutzrecht eingeführt. Bei der Analyse der jüngeren Rechtsprechung zum neuen Sozialdatenschutz fiel hauptsächlich auf, dass die Gerichte dazu übergegangen sind, die Datenschutzvorschriften der verschiedenen Ebenen in einer Gesamtschau zur Beurteilung heranzuziehen, wodurch abschließend ein deutlicher Einfluss des Europarechts auf das Sozial(datenschutz)recht anzuerkennen ist.

Dr. iur. Hannes Berger Der Autor hat im Bereich des Datenschutzrechts promoviert und ist im Geschäftsbereich IV – Bildung und Soziales bei der Stadtverwaltung Halle (Saale) beschäftigt. Zudem ist er Lehrbeauftragter an der Universität Erfurt und Mitherausgeber der Zeitschrift für Landesverfassungsrecht und Landesverwaltungsrecht.

[1] Vgl. Binne/Kremer, in: Ruland/Becker/Axer, Sozialrechtshandbuch, 2018, Rn. 1.

[2] Vgl. Muckel/Ogorek/Rixen, Sozialrecht, 2019, 534; Shagdar/Freund, SGb 2018, 195; Freund/Shagdar, SGb 2018, 267.

[3] Vgl. Waltermann, Sozialrecht, 2018, Rn. 667; ebenso LSG Bayern, Urteil vom 6. Juni 2019, L 7 R 5188/17 = BeckRS 2019, 14934, Rn 79.

[4] BGBl. I 2017, 2541; BT-Drs. 18/12611, 101, 115; Hoidn/Roßnagel, DuD 2018, 487, 488; Bieresborn, NZS 2017, 887.

[5] Dazu Hoidn/Roßnagel (o. Fn. 4), 488

[6] Mit Art. 2 Abs. 2 lit. a DS-GVO hat der europäische Gesetzgeber den Kompetenzrahmen des Art. 16 Abs. 2 AEUV zur Gänze ausgeschöpft und das Datenschutzrecht auf jegliche Verarbeitungen im Anwendungsbereich des EU-Rechts ausgeweitet.

[7] Vgl. Schröder, in: Streinz/Michl, EUV/AEUV. Kommentar, 2018, Art. 16, Rn. 8; Klement, JZ 2017, 161, 165; von Lewinski, DuD 2012, 564, 565

[8] Vgl. Schaumberg, Sozialrecht, 2018, 48ff; Oppermann/Classen/Nettesheim, Europarecht, 2018, 498ff; Brox/Rüthers/Henssler, Arbeitsrecht, 2016, 38 f.

[9] Vgl. Bieresborn (o. Fn. 4), 891.

[10] Vgl. BT-Drs. 18/12611, S. 96 f.; Bieresborn (o. Fn. 4), 891

[11] Vgl. BSG, Urteil vom 18.12.2018, B 1 KR 40/17 R = BeckRS 2018, 42368, Rn. 29; LSG Berlin-Brandenburg, Urteil vom 30. April 2019, L 26 AS 2621/17 = BeckRS 2019, 9038, Rn. 20.

[12] BT-Dr. 18/12611, S. 97.

[13] Grundlegend dazu BVerfGE 65, 1, 43f; dazu auch Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, 1984; Schlink, Der Staat 25 (1986), 233-250.

[14] Vgl. Bieresborn, NZS 2017, 926.

[15] Vgl. Bieresborn (o. Fn. 14), 926; Kühling/Martini et al., Die Datenschutz-Grundverordnung und das nationale Recht, 2016, 27f.; Buchner, DuD 2016, 155, 159.

[16] Vgl. Waltermann (o. Fn. 3), Rn. 669

[17] So auch BSG (o. Fn. 11), Rn. 24.

[18] Vgl. Binne/Kremer (o. Fn. 1), Rn. 17

[19] Vgl. Hoidn/Roßnagel (o. Fn. 4), 487.

[20] Vgl. Muckel/Ogorek/Rixen (o. Fn. 2), 534.

[21] Vgl. Waltermann (o. Fn. 3), Rn. 668; Bieresborn (o. Fn. 4), 890

[22] Grundsätzlich ist das nationale Datenschutzrecht streng an die Terminologie der DS-GVO gebunden und darf etwa auch keine unbestimmten Rechtsbegriffe autonom definieren. Jedoch können Begriffe, die die DS-GVO nicht enthält, über die Öffnungsklausel des Art. 6 Abs. 2 und 3 DS-GVO beibehalten werden, weshalb der Begriff der Sozialdaten nach § 67 Abs. 2 SGB X auch nach der Reform Bestand hat, vgl. Bieresborn (o. Fn. 4), 889.

[23] Vgl. Binne/Kremer (o. Fn. 1), Rn. 51.

[24] Vgl. Hoidn/Roßnagel (o. Fn. 4), 487: „im Rahmen der Sozialverwaltung“.

[25] Näher dazu § 35 Abs. 1 SGB I.

[26] Vgl. Muckel/Ogorek/Rixen (o. Fn. 2), 535.

[27] Vgl. Bieresborn (o. Fn. 14), 927.

[28] Vgl. Muckel/Ogorek/Rixen (o. Fn. 2), 535; Hoidn/Roßnagel (o. Fn. 4), 487.

[29] Vgl. Bieresborn (o. Fn. 14), 927

[30] Vgl. Öndül, in: Schlegel/Voelzke, jurisPK-SGB I, 2018, § 17 SGB I, Rn. 23ff.

[31] § 67b SGB X spricht hier von „Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten durch die in § 35 des Ersten Buches genannten Stellen“.

[32] Vgl. Bieresborn (o. Fn. 14), 927f.

[33] Vgl. Muckel/Ogorek/Rixen (o. Fn. 2), 535.

[34] Vgl. Muckel/Ogorek/Rixen (o. Fn. 2), 536.

[35] Vgl. Bieresborn (o. Fn. 14), 928.

[36] Zur Forschung mit Sozialdaten siehe neben § 75 SGB X auch § 65c SGB V zum Datenaustausch über Krebsregister; weiterhin Spindler, MedR 2016, 691-699.

[37] Vgl. BSG (o. Fn. 11), Rn. 23f

[38] Vgl. BSG (o. Fn. 11), Rn. 30.

[39] Vgl. BSG (o. Fn. 11), Rn. 30.

[40] Vgl. BSG, Urteil vom 27.06.2018, B 6 KA 27/17 R = MedR 2019, 405.

[41] Vgl. dazu auch Maus, MedR 2019, 410.

[42] Vgl. BSG (o. Fn. 40), 410.

[43] Vgl. Deister, NZS 2019, 37.

[44] Vgl. BSG (o. Fn. 40), 410

[45] Vgl. LSG Bayern (o. Fn. 3), Rn. 79ff

[46] Vgl. Hebeler, NZS 2019, 633.

[47] Vgl. LSG Bayern (o. Fn. 3), Rn. 1.

[48] Vgl. LSG Bayern (o. Fn. 3), Rn. 79

[49] Vgl. LSG Bayern (o. Fn. 3), Rn. 80.

[50] Vgl. LSG Bayern (o. Fn. 3), Rn. 79f

[51] Vgl. Fromm, in: Schlegel/Voelzke, jurisPK-SGB X, 2018, § 67c SGB X, Rn. 14.

[52] Vgl. BT-Drs. 18/12611, S. 112; Hoidn/Roßnagel (o. Fn. 4), 489.

[53] Vgl. Fromm (o. Fn. 51), Rn. 23f.

[54] Vgl. Fromm (o. Fn. 51), Rn. 24.

[55] Vgl. Bieresborn (o. Fn. 14), 929 und 931; Fromm (o. Fn. 51), Rn. 28.

[56] Vgl. Bieresborn, NZS 2018, 10, 14f.

[57] Vgl. Bieresborn (o. Fn. 56), 15

[58] Vgl. Bieresborn (o. Fn. 56), 11.

[59] Vgl. Bieresborn (o. Fn. 56), 11.

[60] Vgl. Muckel/Ogorek/Rixen (o. Fn. 2), 536f

[61] Vgl. Hoidn/Roßnagel (o. Fn. 4) 499f., die zunehmende Verarbeitungsbefugnisse und eingeschränkte Betroffenenrechte als insgesamt „unausgewogen“ beklagen.

[62] Vgl. LSG Berlin-Brandenburg (o. Fn. 11).

[63] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 1ff.

[64] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 3.

[65] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 16.

[66] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 17.

[67] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 22ff

[68] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 26.

[69] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 29.

[70] Vgl. LSG Berlin-Brandenburg (o. Fn. 11), Rn. 28f.

[71] BGBl. 2019 I, S. 1626.

[72] So die amtliche Abkürzung laut BGBl. 2019 I, S. 1626

[73] Vgl. BT-Drs. 19/4674, S. 2.

[74] Vgl. BT-Drs. 19/4674, S. 2.

[75] Vgl. BT-Drs. 19/4674, S. 181.

[76] Vgl. BT-Drs. 19/4674, S. 181.

[77] Vgl. die reihenweise genutzte Formulierung der Gesetzesbegründung „Das geltende Recht wird beibehalten und lediglich redaktionell an die Begriffsbestimmungen aus Art. 4 der Verordnung (EU) 2016/679 angepasst“, BT-Drs. 19/4674, S. 343ff.

[78] Dazu BT-Drs. 19/4674, S. 386f

[79] Vgl. BT-Drs. 19/4674, S. 343.

[80] Vgl. BT-Drs. 19/4674, S. 394.

[81] Vgl. Brand, in: Brand, Sozialgesetzbuch III. Kommentar, 2018, § 41, Rn. 2.

[82] Vgl. BT-Drs. 19/4674, S. 344: bislang ließ sich die Speicherbefugnis allenfalls durch Auslegung begründen.

[83] Vgl. BT-Drs. 19/4674, S. 354.

[84] Vgl. BT-Drs. 19/4674, S. 354

[85] Vgl. Joussen, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 2019, SGB V, § 20 Rn. 2.

[86] Vgl. BT-Drs. 19/4674, S. 356.

[87] Vgl. BT-Drs. 19/4674, S. 356

[88] Vgl. BT-Drs. 19/4674, S. 398f

[89] Vgl. BT-Drs. 19/4674, S. 399.