Geplante Gesetzesänderung: BfDI als alleinige Datenschutzaufsichtsbehörde für alle Kranken- und Pflegekassen (und mehr)

Posted on by

Etwas unter dem Rader des „Team Datenschutz“ (zumindest habe ich dazu bisher wenig gelesen), schlägt das Bundesgesundheitsministerium (BMG) eine Zentralisierung der Datenschutzaufsicht u.a. im Bereich der Kranken- und Pflegekassen vor.

In dem Referentenentwurf (PDF) eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) schlägt das BMG eine Anpassung des § 9 BDSG vor.

Es wird ein neuer Absatz 3 angefügt:

(3) „Der oder dem Bundesbeauftragten obliegt die ausschließliche Zuständigkeit für die Aufsicht über Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten, sowie über

1. die Kranken- und Pflegekassen,

2. den Spitzenverband Bund der Krankenkassen,

3. die Kassenärztlichen Vereinigungen sowie…

Laut der Begründung (S. 42) werde eine einheitliche Datenschutzpraxis oft durch unterschiedliche Auslegung verschiedener Aufsichtsbehörden verhindert. Daher werde dem BfDI mit § 9 Absatz 3 BDSG eine breitere Zuständigkeit eingeräumt.

Ganz ausdrücklich wird hier noch einmal klargestellt:


So wird er alleine die Aufsicht über Stellen übernehmen, soweit sie Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten, die unter die Definition der Gesundheitsdaten gemäß Artikel 4 Nummer 15 der Verordnung (EU) 2016/679 fallen. Darüber hinaus wird er die Aufsicht über Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen sowie den Kassenärztlichen Bundesvereinigung, das Zentralinstitut für die kassenärztliche Versorgung und die Kassenzahnärztlichen Vereinigungen sowie die Kassenzahnärztliche Bundesvereinigung erhalten.“

Die vorgeschlagene Änderung wäre schon ein ziemlicher Paradigmenwechsel in der aufsichtsbehördlichen Zuständigkeit im Bereich Datenschutz. Bisher ist der BfDI für sog. bundesunmittelbare Krankenkassen zuständig. Das sind größere Kassen, die in mehreren Bundesländern aktiv sind.

Neu wäre jetzt, dass der BfDI für jegliche Krankenkasse zuständig ist. Also auch für allein in einem Bundesland tätige Kassen oder auch die Betriebskrankenkassen von Unternehmen. Bedeutet in der Konsequenz natürlich auch eine Zersplitterung der Aufsicht innerhalb eines Konzerns bzw. einer Unternehmensgruppe.

Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Für all diese Kassen wäre also der BfDI allein zuständig. Ganz besonders brisant ist meines Erachtens nicht nur diese geplante Änderung, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Die Landesdatenschutzbehörden weisen in ihrer Stellungnahme (PDF) darauf hin, dass hier etwa Jobcenter, Rentenversicherungen, Unfallversicherungen oder auch Jugendämter in Betracht kommen.

Update vom 1.9.23:

In der Kabinettsvorlage des Gesetzesentwurfs (PDF) zum GDNG ist der Vorschlag für einen neuen § 9 Abs. 3 BDSG nicht mehr enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert