Beurteilung von Szenario 3 .1 Darstellung des Szenarios

In diesem Szenario werden Sozialdaten von einer oder mehreren Einrichtun-gen der gesetzlichen Krankenversicherung zu übergeordneten Zwecken (z.B.

medizinische Forschung oder übergeordnete Qualitätssicherungsaspekte) an eine externe Einrichtung (Datenplattform) übermittelt. Die externe Einrich-tung wiederum stellt diese Sozialdaten für bestimmte Vorhaben Dritten zur Verfügung, entweder in Form einer weiteren Übermittlung oder indem ano-nyme Auswertungsergebnisse zu konkreten Fragestellungen herausgegeben werden.

Das Szenario 3 lässt sich somit in zwei Unterszenarios (3A und 3B) unterteilen:

1.6.1.1 Szenario 3A

In der Variante 3A erhält die externe Plattform Sozialdaten von unterschied-lichen Krankenkassen, führt diese zusammen und wertet sie selbst aus. Im Anschluss werden nur die anonymisierten Ergebnisse weitergegeben.

1.6.1.2 Szenario 3B

In Variante 3B erhält die externe Plattform Sozialdaten von den unterschied-lichen Krankenkassen, um diese nicht selbst auszuwerten, sondern mit den Daten der anderen Krankenkassen ggf. zusammenzuführen und zu Auswer-tungszwecken an eine abermals dritte Stelle zu übermitteln.

1.6.2 Rechtfertigungsbedürftige Datenverarbeitungsvorgänge

Wie auch in den vorangehenden Szenarien weisen wir daraufhin, dass ledig-lich die Übermittlung und weitere Verarbeitung personenbezogener Daten rechtfertigungsbedürftig ist. Liegen (faktisch) anonyme Daten, jedenfalls aus Sicht der empfangenden und weiterverarbeitenden externen Plattform sowie weiterer Empfänger vor, so sind diese ohne datenschutzrechtliche Restriktio-nen zulässig.

Vorliegend kommen im Übrigen bei jedem Unterszenario mehrere rechtferti-gungsbedürftige Verarbeitungsschritte in Betracht.

1.6.2.1 Szenario 3A

Wie auch bei Szenario 2 ist hier jeweils eine Weitergabe der Daten durch die Krankenkasse an die Plattform erforderlich (s. Kap. 1.6.3.1). Anschließend werden die Daten zum Zweck der Auswertung durch die Plattform genutzt (s. Kap. 1.6.3.2).

1.6.2.2 Szenario 3B

Wie auch in Szenario 3A müssen Sozialdaten von Krankenkassen an die exter-ne Plattform übermittelt werden, nun aber zum Zweck der Weiterübermitt-lung (s. Kap. 1.6.4.1). Die weitere Verarbeitung erfolgt als WeiterübermittWeiterübermitt-lung der Sozialdaten an abermals Dritte (s. Kap. 1.6.4.2).

1.6.3 Szenario 3A (Weitergabe an und Auswertung durch die externe Plattform)

1.6.3.1 Zulässigkeit der Weitergabe durch den Leistungsträger (hinsichtlich der jeweiligen Zwecke) an die externe Plattform

1.6.3.1.1 Prüfungsmaßstab/Identifikation des einschlägigen Datenschutzregimes

Hinsichtlich der Verarbeitungen durch die Krankenkassen bleibt es bei den in Kapitel 1.4.3.1 beschriebenen Rahmenbedingungen.

1.6.3.1.2 Medizinische Forschung Gesetzliche Ermächtigung

Hinsichtlich einer Übermittlung von Sozialdaten zu Forschungszwecken, ins-besondere zu medizinischen Forschungszwecken, kann im Wesentlichen auf die Ausführungen in Kapitel 1.5.3.2.4 verwiesen werden. Die Tatsache, dass die Daten verschiedener Krankenkassen bei der externen Plattform zusam-mengeführt werden, ist dann unproblematisch, wenn dieses Vorgehen vom jeweiligen Forschungsvorhaben und somit von der konkreten Zweckbestim-mung im Einzelfall umfasst ist und folglich für die Durchführung des For-schungsvorhabens erforderlich ist.

Soll hingegen die externe Plattform Daten auf Vorrat speichern, die später ggf.

zu Forschungszwecken verwendet werden könnten, so ist für eine Übermitt-lung keine Ermächtigungsgrundlage ersichtlich.

Einwilligung

Eine Übermittlung ist auf Grundlage einer Einwilligung zulässig. Hierzu kann auf die Ausführungen in Kapitel 1.5.3.3 verwiesen werden.

Auftragsverarbeitung

Eine Auftragsverarbeitung käme nur unter den in Kapitel 1.5.3.4 beschriebenen Voraussetzungen in Betracht. Zusätzlich ist darauf hinzuweisen, dass über eine Auftragsverarbeitung kein Datenumgang ermöglicht werden kann, der Daten anderer Krankenkassen betrifft. In einem solchen Fall würde der Auf-tragsverarbeiter, der dem Verantwortlichen zugerechnet werden muss, Daten

1 Bewertung der Rechtslage ab 25.05.2018 I

über Versicherte anderer Leistungsträger (auch) für den Auftraggeber ggf. er-heben, jedenfalls aber speichern. Diese Speicherung wäre nach § 284 Abs. 1 SGB V unzulässig, da sie über die dort konkreten Daten hinausgehen würde.

Weiterhin müsste die Weisungsbefugnis der Auftraggeber auch bei kollidie-renden Weisungen der unterschiedlichen Auftraggeber wirksam werden kön-nen. Beide Anforderungen dürften bei der Arbeit mit Datenbeständen mehre-rer Leistungsträger in jeweiliger Weisungsabhängigkeit praktisch nicht durch-führbar sein, zumal der notwendige Konkretisierungsgrad der erforderlichen Verarbeitungsschritte regelmäßig nicht erreicht werden dürfte. Bestünden eigene Entscheidungsspielräume der externen Stelle hinsichtlich der Verarbei-tungen, so wäre dies als Auftragsverarbeitung ohnehin nicht abbildbar.

1.6.3.1.3 Weitere Zwecke

Für die Übermittlung zu anderen Zwecken sind gemäß § 67b Abs. 1 SGB X ent-sprechende Übermittlungstatbestände im SGB zu identifizieren. Für die hier beispielhaft genannten übergeordneten Qualitätssicherungsaspekte ist eine solche Norm nicht ersichtlich. Alternativ kommt die Einholung einer Einwil-ligung nach den Vorgaben der DSGVO in Betracht (s. Kap. 1.4.3.3).

1.6.3.2 Zulässigkeit der Auswertung durch die externe Plattform

Die Auswertungsbefugnisse entsprechen den Darstellungen in Kapitel 1.5.4.

1.6.4 Szenario 3B (Weitergabe an und Weiterübermittlung durch die externe Plattform)

1.6.4.1 Zulässigkeit der Übermittlung durch den Leistungsträger (hinsichtlich der jeweiligen Zwecke)

1.6.4.1.1 Prüfungsmaßstab/Identifikation des einschlägigen Datenschutzregimes

Für eine Weiterübermittlung gilt das für die Verarbeitung durch eine externe Stelle anwendbare Datenschutzrecht, wie in Kapitel 1.5.4.1 dargestellt.

1.6.4.1.2 Medizinische Forschung Gesetzliche Ermächtigung

Hinsichtlich einer Übermittlung von Sozialdaten zu Forschungszwecken, ins-besondere zu medizinischen Forschungszwecken, kann auf die Ausführungen in Kapitel 1.6.3.1.2 verwiesen werden. Die Tatsache, dass die Daten verschie-dener Krankenkassen bei der externen Plattform ggf. zusammengeführt wer-den, und anschließend weiterübermittelt werden sollen, ist dann unproble-matisch, wenn dieses Vorgehen vom jeweiligen Forschungsvorhaben und somit von der konkreten Zweckbestimmung im Einzelfall umfasst ist und folglich für die Durchführung des Forschungsvorhabens erforderlich ist.

Auftragsverarbeitung

Entsprechend § 67d Abs. 3 SGB X ist auch eine Übermittlung von Sozialdaten über Vermittlungsstellen im Rahmen einer Auftragsverarbeitung zulässig.

Hierbei würde im Ergebnis eine Übermittlung von der Krankenkasse an die weitere dritte Stelle vorliegen, die nur durch die Plattform als Auftragsver-arbeiter durchgeführt würde.

Einwilligung

Eine Übermittlung ist auf Grundlage einer Einwilligung zulässig. Hierzu kann auf die Ausführungen in Kapitel 1.5.3.3 verwiesen werden. Die Einwilligung muss sich auch auf die Weiterübermittlung beziehen.

1.6.4.2 Zulässigkeit der Zusammenführung und Weitergabe