BSG: Der sozialdatenschutzrechtliche Aus-kunftsanspruch gegenüber einer gesetzlichen Krankenkasse erstreckt sich auch auf den Übermittlungsweg

Problemstellung:

 

Fragen des Datenschutzes sind nicht allein privatrechtlicher Natur; auch und vor allem, wenn es um die Datenverarbeitung durch öffentliche Stellen geht, genießt der Bürger weitreichenden Schutz. Dies hat das Bundesverfassungsgericht (BVerfG) bereits am 15. Dezember 1985 im Zusammenhang mit dem sog. Volkszählungsurteil (BVerfG, Urteil v. 15. Dezember 1983, Az. 1 BvR 209, 269, 362, 420, 440, 484/83) entschieden und das sog. Recht auf informationelle Selbstbestimmung aus dem Grundgesetz hergeleitet. Die Entscheidung wird daher gemeinhin auch als "Geburtsstunde" des deutschen Datenschutzrechts verstanden. Die Ausweitung dieses - zunächst vornehmlich gegenüber öffentlichen Stellen Geltung beanspruchenden - Rechts des Einzelnen auf die Privatwirtschaft erschien da nur folgerichtig; fest steht jedoch, auch der Staat und seine staatlichen Einrichtungen sind nicht befugt, unkontrolliert Daten zu sammeln. Um dies zu kontrollieren stehen dem Bürger umfassende Auskunfts- und Informationsrechte zu, die - bezogen auf Sozialdaten - im Sozialgesetzbuch (SGB) X normiert sind. In einem heute veröffentlichten Urteil des Bundessozialgerichts (BSG) vom 13.11.2012 (Az: B 1 KR 13/12 R) werden die Rechte des Bürgers genauer konkretisiert und die gesetzlichen Krankenkassen zur umfassenden Auskunftserteilung verpflichtet.

 

Der Fall:

 

Die bei der beklagten Krankenkasse versicherte Klägerin beantragte, ihr Auskunft darüber zu erteilen, ob und welche über sie gespeicherten Sozialdaten die Beklagte an welche Empfänger mit welchen Medien weitergegeben habe. Nach Angaben der Versicherten habe die Beklagte die betreffenden medizinischen Daten über das Internet versandt, medizinische Daten ohne Beziehung zum SGB IX an die Stadtverwaltung K. weitergegeben und Daten ohne Erlaubnis an die Bundesagentur für Arbeit übermittelt. Da die Beklagte nicht reagierte, hat die Klägerin Klage erhoben. Die Beklagte lehnte daraufhin eine Verbescheidung und Auskunftserteilung ab. SG und LSG wiesen die auf Erteilung der Auskunft gerichtete Klage ab, da der Auskunftsanspruch hinsichtlich der nicht automatisiert gespeicherten Daten daran scheitere, dass der erforderliche Verwaltungsaufwand der Beklagten in Abwägung mit dem Informationsinteresse der Klägerin unverhältnismäßig erscheine (§ 83 Abs 1 S 3 SGB X). Insoweit sei die Beklagte auch nicht zu einer Teilauskunft verpflichtet.

 

Dieser Rechtsansicht erteilt das BSG nunmehr eine eindeutige Absage und verweist den Rechtsstreit zur erneuten Verhandlung über die Auskunftsansprüche der Versicherten zurück an das LSG.

 

Die Entscheidung: 

 

Rechtsgrundlage des Auskunftsbegehrens ist § 83 Abs 1 S 1 Nr 2 iVm Nr 1 SGB X. [...]

Es spricht viel dafür, dass der Auskunftsanspruch nach § 83 Abs 1 S 1 Nr 2 iVm Nr 1 SGB X nicht nur die Auskunft darüber umfasst, ob und ggf welche der über die Klägerin bei der Beklagten gespeicherten Sozialdaten die Beklagte an welche Empfänger weitergab. Über den Wortlaut der Regelung hinaus dürfte auch die Auskunft über das Übermittlungsmedium einzubeziehen sein, wenn dies erforderlich ist, um insbesondere Rechte auf künftiges Unterlassen, Löschung und Schadensersatz verfolgen zu können, wenn nämlich der Übermittlungsweg den Zugriff unberechtigter Dritter eröffnet. [...]

 

Es ist Sinn und Zweck des Auskunftsanspruchs nach § 83 Abs 1 S 1 Nr 1 und Nr 2 SGB X, den Betroffenen in die Lage zu versetzen, zu erfahren, wer was wann und bei welcher Gelegenheit über ihn weiß. Dies dient dazu, die Rechte auf Löschung, Berichtigung, Sperrung und Schadensersatz (vgl §§ 82, 84 SGB X) effektiv geltend machen zu können. Der Auskunftsanspruch sichert hierdurch verfassungskonform das Grundrecht auf informationelle Selbstbestimmung (Art 2 Abs 1 iVm Art 1 Abs 1 GG) ab (vgl grundlegend BVerfGE 65, 1, 43; Grundsatz der Transparenz; zur verfassungskonformen Konkretisierung der Parallelnorm des § 19 Bundesdatenschutzgesetz <BDSG> vgl BVerfGE 120, 351, 359 ff = Juris RdNr 53 ff).

 

Die Klägerin beruft sich gerade darauf, dass die Beklagte die Klägerin betreffende Sozialdaten ohne Schutz vor dem Zugriff unberechtigter Dritter übermittelt habe. Kenntnis über das Übermittlungsmedium kann insoweit zur Kenntnis über eine "unzulässige Verarbeitung" führen. Eine unzulässige Verarbeitung kann einen Schadensersatzanspruch nach § 82 SGB X (iVm § 7 bzw § 8 BDSG) auslösen und eine gegen die Anforderungen nach § 78a SGB X verstoßende Datenverarbeitung sein (zum Beispiel des Fehlens einer nach Nr 2 der Anlage zu § 78a SGB X einzurichtenden Zugangskontrolle vgl Rombach in Hauck/Noftz, SGB X, Online-Ausgabe, § 82 RdNr 21, Stand März 2002; derselbe ebenda, § 78a RdNr 35, Stand Mai 2011; so auch bzgl § 7 BDSG Wagner, MittLVA Württ 1991, 268, 270; Gabel in Taeger/Gabel, BDSG, 2010, § 7 RdNr 7; vgl auch Schultze-Melling, CR 2005, 73, 77; Klett/Lee, CR 2008, 644, 647). Dafür sprechen auch Art 23 und Art 17 Abs 1 der Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Richtlinie 95/46/EG, ABl EG Nr L 281/31 vom 23.11.1995; vgl auch Art 5 Richtlinie 95/46/EG).

 

Die Grundvoraussetzungen des geltend gemachten Auskunftanspruchs dürften erfüllt sein: Die Klägerin beantragte bei der Beklagten als "verantwortliche Stelle" (§ 67 Abs 9 S 2 SGB X, § 35 SGB I) die gewünschte Auskunft darüber, ob und ggf welche der über die Klägerin bei der Beklagten gespeicherten, noch nicht mitgeteilten Sozialdaten die Beklagte an welche Empfänger mit welchen Medien weitergab. Weder bedurfte es einer weiteren Konkretisierung des Antrags [...] noch der Darlegung eines schützenswerten Auskunftsinteresses.

 

Die Einwendungen der Beklagten dürften kaum durchgreifen. Unerheblich ist insoweit der Einwand der Beklagten hinsichtlich der telefonischen Weitergabe von Sozialdaten, dass sie nicht jedes Telefonat aktenkundig mache. Der Auskunftsanspruch nach § 83 Abs 1 S 1 Nr 2 SGB X erstreckt sich nämlich auch auf nicht gespeicherte Empfänger bzw die nicht dokumentierte Übermittlung von Sozialdaten. Das Gebot effektiven Rechtsschutzes (Art 19 Abs 4 GG) gebietet grundsätzlich, die Übermittlung personenbezogener Daten zu protokollieren, sodass der Betroffene von der Weitergabe seiner Daten Kenntnis erlangen und dagegen den Rechtsweg beschreiten kann. 

 

Dem Auskunftsanspruch der Klägerin steht nicht entgegen, dass [...] der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht (§ 83 Abs 1 S 3 SGB X). Bei Prüfung dieser Voraussetzung ist zu beachten, dass mit Blick auf das Recht auf informationelle Selbstbestimmung Einschränkungen des Informationsrechts nur zulässig sind, wenn sie gegenläufigen Interessen von größerem Gewicht dienen. [...] Die Klägerin hat Angaben gemacht, die das Auffinden der Daten (hinsichtlich der Empfänger) ermöglichen. Der für die Erteilung der Auskunft erforderliche Aufwand steht nicht außer Verhältnis zu dem von ihr geltend gemachten Informationsinteresse. Das Informationsinteresse der Klägerin ergibt sich nicht nur allgemein aus ihrem Recht auf informationelle Selbstbestimmung. Sie untermauert es mit dem Hinweis, die Beklagte habe die Klägerin betreffende medizinische Daten über das Internet versandt. Zudem habe sie medizinische Daten an die Stadtverwaltung K. ohne erkennbare Rechtfertigung (im Rahmen des SGB IX) weitergegeben. Schließlich habe sie ohne gesetzliche Grundlage Sozialdaten an die Bundesagentur für Arbeit übermittelt.

 

Der für die Erteilung der Auskunft erforderliche Aufwand ist zudem unter Berücksichtigung effizienter, kostensparender Verfahren zu bemessen. Um eine Auskunft zu ermöglichen, bestimmt die verantwortliche Stelle unter Berücksichtigung dieses Interesses das Verfahren, insbesondere die Form der Auskunftserteilung (vgl § 83 Abs 1 S 4 SGB X). In diesem Sinne ist es der Beklagten durchaus möglich, der Klägerin in einer Art und Weise Auskunft zu erteilen, die den organisatorischen Aufwand in Grenzen hält, beispielsweise in Form der Gewährung von Akteneinsicht. Die Beklagte hat es bei alledem in der Hand, die Aktenführung generell so zu gestalten, dass der Aufwand für die gesetzlichen Auskunftsrechte möglichst gering gehalten wird (vgl auch BVerfGK 7, 168, 184 = SozR 4-1300 § 25 Nr 1 RdNr 54). 

 

Die Beklagte kann auch nicht mit Erfolg geltend machen, die Auskunftserteilung müsse unterbleiben, soweit die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde, und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss (vgl § 83 Abs 4 Nr 1 SGB X). Wenn die Beklagte die begehrte Auskunft erteilt, gefährdet die gewünschte Information als solche nicht die ordnungsgemäße Aufgabenerfüllung der Beklagten (vgl zu diesem wortlautgetreuen Ansatz auch BVerwGE 89, 14, 18; BFHE 203, 227, 233; BFHE 202, 425, 428; s auch Mallmann in Simitis, BDSG, 7. Aufl 2011, § 19 RdNr 84; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl 2010, § 19 RdNr 23). Selbst wenn man entgegen den verfassungs- und europarechtlichen Wertungen - über den Wortlaut hinaus - Rechtsmissbrauch durch die Regelung des § 83 Abs 4 Nr 1 SGB X abwehren könnte, griffe eine solche Folge zu Lasten der Klägerin nach den dargelegten Grundsätzen effektiver Auskunftsgestaltung nicht ein.

 

Bewertung: 

 

Die Entscheidung des BSG ist zu begrüßen, stärkt sie doch die Rechte des Versicherten gegenüber seiner Krankenkasse in erheblichem Umfange. Nach § 83 Abs 1 S 1 Nr 2 iVm Nr 1 SGB X ist dem Betroffenen auf Antrag über die zu seiner Person gespeicherten Sozialdaten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, und über die Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden Auskunft zu erteilen. Das BSG stellt klar, dass dieser Auskunftsanspruch auch auf das zum Zwecke der Datenübermittlung verwandte Übermittlungsmedium bezieht, da bereits der Einsatz ungeeigneter, weil nicht vor dem unberechtigten Zugriff Dritter geschützer, Übermittlungswege eine "unzulässige Verarbeitung" darstellen und Schadensersatzansprüche des Versicherten nach § 82 SGB X nach sich ziehen kann. In diesem Sinne fordert eine dem informationellen Selbstbestimmungsrecht genügende Datenverarbeitung gerade auch den Einsatz geeigneter technischer und organisatorischer Maßnahmen, die einen Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe und den unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - sicherstellen. Gerade der Versand von E-Mail ist jedoch nicht in jedem Falle sicher. Ihr Inhalt ist vielmehr (unverschlüsselt) genauso für jeden einsehbar wie der einer Postkarte auf dem Postweg. E-Mails lassen sich ohne allzu großen Aufwand abfangen, lesen und manipulieren. Gerade im Gesundheitswesen sollte das Thema E-Mail-Sicherheit in der Priorität daher weit oben angesiedelt werden. Diesem Umstand trägt die Entscheidung des BSG Rechnung, sie sollte daher auch anderen gesetzlichen Krankenversicherung als Warnung gelten.

 

Juliane Kazemi