Werk:jurisPK-SGB XI
Gesamtherausgeber:Schlegel/Voelzke
Bandherausgeber:Hauck
Autor:Prange
Auflage:2. Auflage 2017
Stand:19.06.2018
Quelle:juris Logo
Zitiervorschlag:Prange in: Schlegel/Voelzke, jurisPK-SGB XI, 2. Aufl. 2017, § 97d SGB XI Zitiervorschlag
§ 97d SGB XI  Begutachtung durch unabhängige Gutachter

(Fassung vom 23.12.2016, gültig ab 01.01.2017)

(1) 1Von den Pflegekassen gemäß § 18 Absatz 1 Satz 1 beauftragte unabhängige Gutachter sind berechtigt, personenbezogene Daten des Antragstellers zu erheben, zu verarbeiten und zu nutzen, soweit dies für die Zwecke der Begutachtung gemäß § 18 erforderlich ist. 2Die Daten sind vertraulich zu behandeln. 3Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass die Daten nur den Personen zugänglich sind, die sie zur Erfüllung des dem Gutachter von den Pflegekassen nach § 18 Absatz 1 Satz 1 erteilten Auftrags benötigen.
(2) 1Die unabhängigen Gutachter dürfen das Ergebnis der Prüfung zur Feststellung der Pflegebedürftigkeit sowie die Präventions- und Rehabilitationsempfehlung gemäß § 18 an die sie beauftragende Pflegekasse übermitteln, soweit dies zur Erfüllung der gesetzlichen Aufgaben der Pflegekasse erforderlich ist; § 35 des Ersten Buches gilt entsprechend. 2Dabei ist sicherzustellen, dass das Ergebnis der Prüfung zur Feststellung der Pflegebedürftigkeit sowie die Präventions- und Rehabilitationsempfehlung nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
(3) 1Die personenbezogenen Daten sind nach fünf Jahren zu löschen. 2§ 107 Absatz 1 Satz 2 gilt entsprechend.


Gliederung

 Rn. 1
 Rn. 1
 Rn. 3
 Rn. 4
 Rn. 5
 Rn. 22
 Rn. 23
 Rn. 23
 Rn. 24
 Rn. 25
 Rn. 26
 Rn. 27
 Rn. 29
 Rn. 30
 Rn. 32
 Rn. 32
 Rn. 33
 Rn. 34
 Rn. 37
 A.  Basisinformationen 
 I. Textgeschichte/Gesetzgebungsmaterialien 
1§ 97d SGB XI ist durch Art. 1 Nr. 37 des Gesetzes zur Neuausrichtung der Pflegeversicherung (Pflege-Neuausrichtungs-Gesetz - PNG) vom 23.10.20121 m.W.v. 30.10.20122 eingeführt worden. 
2Durch das Dritte Gesetz zur Stärkung der pflegerischen Versorgung und zur Änderung weiterer Vorschriften (Drittes Pflegestärkungsgesetz - PSG III) vom 23.12.20163 ist § 97d Abs. 2 SGB XI mit Wirkung zum 01.01.2017 erweitert worden. 
 II. Vorgängervorschriften 
3Eine Vorgängervorschrift zu § 97d SGB XI existiert nicht. 
 III. Parallelvorschriften 
4Eine § 97d SGB XI vergleichbare datenschutzrechtliche Bestimmungen findet sich bzgl. Begutachtungen nach § 18 SGB XI in § 97 SGB XI. 
 IV. Systematische Zusammenhänge 
5Systematisch ist § 97d SGB XI in den Ersten Titel (Grundsätze der Datenverwendung) des Ersten Abschnitts (Informationsgrundlagen) des Neunten Kapitels (Datenschutz und Statistik) des SGB XI eingeordnet. 
6§ 93 SGB XI ist Grundnorm für den Datenschutz im SGB XI und stellt deklaratorisch klar, dass für den Schutz personenbezogener Daten bei der Erhebung, Verarbeitung und Nutzung in der Pflegeversicherung - neben den speziellen Vorschriften der §§ 94 ff. SGB XI und der sonstigen (diesbezüglichen) Vorschriften des SGB XI (z.B. § 7 Abs. 2 Satz 3 SGB XI)4 - die allgemeinen Vorschriften des § 35 SGB I und der §§ 67-85 SGB X gelten (vgl. insoweit auch § 37 SGB I). Die Vorschriften des Neunten Kapitels (§§ 93-109 SGB XI) regeln die Voraussetzungen, das Verfahren, den Umfang und die Grenzen der für die Zwecke der Pflegeversicherung zulässigen Datenerhebung, -verarbeitung und -nutzung, wobei die Vorschriften so weit wie möglich dem SGB V nachgebildet worden sind, um die praktische Umsetzung des Rechts der Pflegeversicherung zu erleichtern und eine reibungslose Verwaltungspraxis zu gewährleisten - nachdem davon auszugehen ist, dass Sachbearbeiter der Krankenkassen häufig in Personalunion Aufgaben der Pflegeversicherung erfüllen.5
 Im Ersten Abschnitt (§§ 93-103 SGB XI) sind vor allem die Grundsätze der Datenverwendung (§§ 93-98) und die Informationsgrundlagen der Pflegekassen (§§ 99-103) geregelt.
 Der Zweite Abschnitt (§§ 104-106a SGB XI) betrifft Aufzeichnungen und Übermittlungen von Leistungsdaten durch die Leistungserbringer.
 Der Dritte Abschnitt bestimmt, wann personenbezogene Daten zu löschen sind (§ 107 SGB XI) und regelt das Auskunftsrecht der Versicherten über in Anspruch genommene Leistungen und ihre Kosten (§ 108 SGB XI).
 Im Vierten Abschnitt befinden sich die Rechtsgrundlagen für die Pflegestatistiken (§ 109 SGB XI).
 
7Das BVerfG hat bereits im sog. Volkszählungsurteil6 das im allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) enthaltene „Recht auf informationelle Selbstbestimmung“ betont.7 Eine freie Entfaltung der Persönlichkeit setzt - so das BVerfG - unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.8 Denn: Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.9 Daher gewährleistet das Grundrecht des Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.10 Angesichts der technischen Möglichkeiten moderner Datenverarbeitung ist dieser Schutz aktueller denn je.11  
8Dabei ist das „Recht auf informationelle Selbstbestimmung“ nicht nur ein subjektives Abwehrrecht gegen staatliche Eingriffe. Vielmehr kommt ihm auch maßgebende Bedeutung im Rahmen verfassungskonformer Auslegung zu, gewinnt in dem Zusammenhang nicht nur im Rahmen von Auskunftsansprüchen der Betroffenen über die Datenverwendung an Relevanz,12 sondern zwingt auch zu einer möglichst sparsamen Verwendung personenbezogener Daten und ist somit bei jeder datenschutzrechtlich relevanten Tätigkeit zu beachten. Auch die Grundsätze der Datensparsamkeit13, der Bindung an die gesetzliche Aufgabenerfüllung (enge Zweckbindung)14 und der Datentransparenz15 sind Ausfluss des Grundrechts auf informationelle Selbstbestimmung. 
9Allerdings ist dieses Recht auch nicht schrankenlos gewährleistet. Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über „seine“ Daten; es ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.16 Das Grundgesetz hat, wie in der Rechtsprechung des Bundesverfassungsgerichts mehrfach hervorgehoben, die Spannung Individuum/Gemeinschaft i.S.d. Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person entschieden.17 Zudem ist die Datenverarbeitung für die Funktionsfähigkeit der Sozialversicherung, die auch im Interesse des Einzelnen liegt (vgl. nur § 17 Abs. 1 Nr. 1 SGB I), von elementarer Bedeutung.18 Insoweit besteht - zwischen dem Recht auf informationelle Selbstbestimmung und der sozialstaatlich gebotenen schnellen Erbringung der Sozialleistung - ein Spannungsverhältnis, das in einen angemessenen Ausgleich gebracht werden soll.19 Die datenschutzrechtlichen Bestimmungen der § 35 SGB I, §§ 67 ff. SGB X, §§ 93 ff. SGB XI und die sonstigen diesbezüglichen Bestimmungen des SGB tragen dem Rechnung. 
10Hauptziel des Datenschutzrechts ist die Verhinderung einer missbräuchlichen - d.h. nicht gestatteten - Datenverwendung.20 Vor diesem Hintergrund bestimmt § 35 Abs. 1 Satz 1 SGB I als - unabänderliche (vgl. § 37 Satz 2 SGB I) - Grundnorm des Datenschutzes im SGB, dass jeder Anspruch darauf hat, dass die ihn betreffenden Sozialdaten (§ 67 Abs. 1 SGB X) von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden (Sozialgeheimnis). Eine Erhebung, Verarbeitung und Nutzung von Sozialdaten ist nur unter den Voraussetzungen des Zweiten Kapitels des Zehnten Buches zulässig (§ 35 Abs. 2 SGB X). Damit ist § 35 SGB I eine Verbotsnorm mit Erlaubnisvorbehalt;21 jede nicht ausdrücklich erlaubte Datenverwendung ist damit grundsätzlich verboten (vgl. auch § 35 Abs. 1 Satz 1 SGB I „nicht unbefugt“).22 Erlaubnistatbestände sind sowohl in den §§ 67 ff. SGB X (vgl. auch § 35 Abs. 2 SGB XI) als auch - bereichsspezifisch für die Soziale Pflegeversicherung - in den §§ 94 ff. SGB XI enthalten. 
11Das Verhältnis der §§ 93 ff. SGB XI gegenüber § 35 SGB I und den §§ 67-85 SGB X ist durch Spezialität gekennzeichnet; d.h. die Regelungen der §§ 93 ff. SGB XI gehen § 35 SGB I, §§ 67 ff. SGB X vor, so dass Letztere nur zur Anwendung kommen, wenn das SGB XI keine abweichende und abschließende Regelung getroffen hat.23 Daneben ist § 85a SGB X auch im Bereich des SGB XI anwendbar. Dies ergibt sich schon aus der grundsätzlichen Geltung der allgemeinen Regeln (vgl. § 37 Satz 1 HS. 1 SGB I); die fehlende Erwähnung des § 85a SGB X in der (rein deklaratorischen) Regelung des § 93 SGB XI steht dem nicht entgegen und ist dem Umstand geschuldet, dass § 85a SGB X erst nach Inkrafttreten des § 93 SGB XI geschaffen worden ist.24 
12Neben § 35 SGB I, §§ 67 ff. SGB X, §§ 93 ff. SGB XI finden sich in zahlreichen Bestimmungen im SGB XI weitere, speziellere - den allgemeineren Bestimmungen vorgehende - Vorschriften betreffend den Schutz der Sozialdaten. Solche Regelungen sind z.B. in den §§ 7 Abs. 2 Satz 3, 7a Abs. 6, 18 Abs. 7 Satz 3, 50 Abs. 5, 79 Abs. 1 Satz 4, 85 Abs. 3 Satz 5, 92a Abs. 7, 92c Abs. 7, 114a Abs. 3 Satz 4 sowie 115 Abs. 1 und 1a Satz 3 SGB XI enthalten (vgl. auch die Inbezugnahme in § 93 SGB XI: „sowie die Vorschriften dieses Buches“). Daneben gibt es bereichsspezifische Bestimmungen zum Sozialdatenschutz in allen Büchern des SGB.25 
13Den allgemeinen Datenschutzregelungen im Bundesdatenschutzgesetz (BDSG) gehen § 35 SGB I und den §§ 67 ff. SGB X sowie §§ 93 ff. SGB XI als bereichsspezifisches Datenschutzrecht vor (vgl. § 1 Abs. 3 Satz 1 BDSG).26 Damit bleibt das BDSG subsidiär anwendbar (vgl. insoweit auch die §§ 80 Abs. 6 Satz 1, 81 Abs. 2 Satz 1 und Abs. 4 Satz 1 sowie § 82 SGB X). Gerade in Auslegungsfragen kann daher die zum BDSG ergangene Rechtsprechung und Literatur auch für den Sozialdatenschutz fruchtbar gemacht werden (sofern eine vergleichbare Interessenlage besteht).27 Zudem sind wesentliche Begriffe des Datenschutzes mit der Neufassung des BDSG vom 20.12.199028 (gegenüber dem BDSG 1977)29 neu definiert worden (vgl. vor allem § 3 BDSG 1990 gegenüber § 2 BDSG 1977). Durch Art. 6 Nr. 4 des 2. SGBÄndG vom 13.06.199430 sind diese Begriffsbestimmungen - teilweise mit identischem Wortlaut oder modifiziert - auch in das SGB übernommen worden.31 Mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18.05.200132 erfolgte eine Anpassung der Begrifflichkeiten im BDSG und SGB X an die Definitionen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr33.34 
13.1Klarstellend ist darauf hinzuweisen, dass der Umgang mit Sozialdaten als lex specialis in den Sozialgesetzbüchern geregelt ist, d.h. das BDSG findet nur Anwendung, wenn das Sozialgesetzbuch (SGB) direkt auf das BDSG verweist (vgl. dazu auch § 1 Abs. 2 Satz 2 BDSG; s.a. § 35 Abs. 2 Satz 1 SGB I zur „abschließenden“ Regelung; zu entsprechenden Verweisungen auf das BDSG vgl. z.B. § 81 Abs. 2 Satz 1, Abs. 4 Satz 1 SGB X). In Auslegungsfragen kann aber die zum BDSG ergangene Rechtsprechung und Literatur auch für den Sozialdatenschutz fruchtbar gemacht werden (sofern eine vergleichbare Interessenlage besteht).
Aktualisierung vom 12.06.2018
!
14Am 27.04.2016 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Warenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)35 erlassen, am 04.05.2016 im Amtsblatt der Europäischen Union verkündet worden und nach ihrem Art. 99 am 20. Tag nach der Veröffentlichung in Kraft getreten. Sie gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DS-GV), d.h. den Mitgliedstaaten ist insoweit eine Übergangsfrist zur Anpassung nationaler Regelungen an die Verordnung zugebilligt worden. Ab dann gilt die Datenschutz-Grundverordnung aber dann in allen ihren Teilen verbindlich und auch unmittelbar in jedem Mitgliedstaat, d.h. bedarf keiner Umsetzung (vgl. Art. 288 Abs. 2 AEUV), und geht als unmittelbar geltendes Sekundärrecht - innerhalb ihres Anwendungsbereichs - dem Datenschutz nach nationalem Recht (und damit auch dem bereichsspezifischen Datenschutz nach dem SGB XI) als höherrangiges Recht vor.  
15Als „Grund“-Verordnung regelt die Datenschutz-Grundverordnung allerdings - wie schon der Name sagt - vieles nur dem Grunde nach; sie beinhaltet eine Vielzahl von Öffnungsklauseln, die wiederum dem nationalen Gesetzgeber Spielraum lassen.36 Die Verordnung löst die Richtlinie 95/46/EG ab (vgl. Art. 94 Abs. 1 DS-GV) und hat zum Ziel, das Datenschutzrecht innerhalb Europas stärker zu vereinheitlichen. Die Richtlinie 95/46/EG hat - so die Ausführungen im Erwägungsgrund 9 der DS-GV - nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird. Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein (Erwägungsgrund 10 der DS-GV). Im Erwägungsgrund 10 ist weiter Folgendes ausgeführt:37
„Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. In Verbindung mit den allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der Richtlinie 95/46/EG gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.“
 
16Dies zeigt, dass den Mitgliedstaaten ein Gestaltungspielraum verbleibt, der sich in der Verordnung in einer Vielzahl von Öffnungsklauseln wiederfindet, und den es nun auszufüllen gilt. Der nationale Gesetzgeber ist daher derzeit gefordert, das gesamte Datenschutzrecht von bundes- und landesrechtlichen Vorschriften auf seine Vereinbarkeit mit der Datenschutz-Grundverordnung zu überprüfen und anzupassen. Derzeit gibt es einen Referentenentwurf des Bundesministeriums des Innern zum Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU - DSAnpUG-EU)38. Es bleibt daher zunächst abzuwarten, wie der Gesetzgeber die Anpassung an die Datenschutz-Grundverordnung vornimmt und den eingeräumten Gestaltungsspielraum ausschöpft. 
16.1Durch Art. 19 und 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.07.2017 (BGBl I 2017, 2541) hat der Gesetzgeber mit Wirkung zum 25.05.2018 (vgl. Art. 31 Abs. 4) in § 35 SGB I und den §§ 67 ff. SGB X die notwendigen Anpassungen an die Datenschutz-Grundverordnung (DSGVO) vorgenommen und insbesondere § 67 SGB X, in dem vormals eine Reihe von Begriffen legal definiert waren, weitgehend geändert und auf die Begriffsbestimmungen in Art. 4 DSGVO hingewiesen, zu denen „ergänzend“ die Begriffsbestimmungen in § 67 Abs. 2 ff. SGB X n.F. gelten (vgl. § 67 Abs. 1 SGB X n.F.).
Im bereichsspezifischen Sozialdatenschutz in der Sozialen Pflegeversicherung (SGB XI) sind vom Gesetzgeber noch keine Anpassungen vorgenommen worden. Da die DSGVO nach Art. 288 Abs. 2 AEUV aber unmittelbar gilt, d.h. keines Umsetzungsakts bedarf, ist sie auch im Rahmen der Anwendung der §§ 93 ff. SGB XI seit dem 25.05.2018 zu berücksichtigen. Ab dem Zeitpunkt gelten daher auch im SGB XI die Begriffsbestimmungen in Art. 4 DSGVO, was im Übrigen auch durch den Verweis in § 93 SGB X auf u.a. auch § 67 Abs. 1 SGB X deutlich wird.
Aktualisierung vom 13.06.2018
!
17Geblieben ist nach der Datenschutz-Grundverordnung das Verbotsprinzip mit Erlaubnisvorbehalt (vgl. Art. 6 DS-GV), wonach eine Datenverarbeitung nur dann zulässig ist, wenn eine der dort abschließend aufgezählten Bedingungen (Einwilligung oder sonstiger, gesetzlich normierter Erlaubnistatbestand) erfüllt ist.39 
17.1Für Sozialdaten gilt darüber hinaus, dass diese grundsätzlich beim Betroffenen zu erheben sind (vgl. § 67a Abs. 2 Satz 1 SGB X, sog. Ersterhebungsgrundsatz). Eine entsprechende Regelung fehlt in der DSGVO.
Zur Einwilligung siehe Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7, Art. 8, Art. 9 Abs. 2 lit. a, Art. 22 Abs. 2 lit. c, Art. 49 Abs. 1 lit. a DSGVO und die Erwägungsgründe 32, 33, 38, 40, 42, 43, 50, 51, 54, 71, 111, 155, 161, 171.
Die Einwilligung muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden; ein Formerfordernis besteht aber nicht (vgl. Art. 4 Nr. 11 DSGVO). Soll die Einwilligung die Verarbeitung von besonderen personenbezogenen Daten legitimieren, muss sie sich ausdrücklich auf diese beziehen (vgl. Art. 9 Abs. 2 lit. a DSGVO „ausdrücklich“). Der Betroffene muss zudem in allen Fällen über die Möglichkeit des jederzeitigen Widerspruchs aufgeklärt werden (vgl. Art. 7 Abs. 3 DSGVO).
Aktualisierung vom 13.06.2018
!
18Auch der das Datenschutzrecht sie jeher prägende wesentliche Grundsatz der Zweckbindung findet sich in der Datenschutz-Grundverordnung wieder (vgl. Art. 5 Abs. 1 lit. b DS-GV), ebenso wie der Grundsatz der Datensparsamkeit („Datenminimierung“, siehe Art. 5 Abs. 1 lit. c DS-GV) und der Datentransparenz (Art. 5 Abs. 1 lit. a DS-GV). 
18.1Weitere Grundsätze für die Verarbeitung personenbezogener Daten sind nach Art. 5 Abs. 1 DSGVO Rechtmäßigkeit (lit. a), Richtigkeit (lit. d), Speicherbegrenzung (lit. e), Integrität und Vertraulichkeit (lit. f).
Aktualisierung vom 13.06.2018
!
19Auch die dem Einzelnen bereits nach geltendem Recht eingeräumten sog. Betroffenenrechte, insbesondere Auskunftsrechte, Berichtigungs-, Sperrungs- und Löschungsansprüche erfahren durch Art. 12 ff. DS-GV dem Grunde nach keine wesentlichen Änderungen.40 
19.1Die Rechte der Betroffenen sind aber durch die DSGVO präzisiert und gestärkt worden.
Damit Betroffene ihr Recht auf Schutz personenbezogener Daten wahrnehmen können, bedarf es Transparenz bei der Datenerhebung und -nutzung. Deshalb sieht die DSGVO eine Vielzahl von Informationspflichten vor (vgl. Art. 12, 13, 14 DSGVO). Zu unterscheiden sind dabei die Informationspflichten bei der Direkterhebung beim Betroffenen (vgl. Art. 13 DSGVO) von den Informationspflichten bei der Dritterhebung (vgl. Art. 14 DSGVO). Siehe dazu auch die Erwägungsgründe 39, 58, 59, 60, 61, 62 und 73 der DSGVO.
Weitere Rechte der betroffenen Personen nach der DSGVO sind u.a.
 Auskunftsrecht (Art. 15 DSGVO),
 Recht auf Berichtigung (Art. 16 DSGVO),
 Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO),
 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
 Mitteilungspflichten im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO),
 Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
 Widerspruchsrecht (Art. 21 DSGVO),
 Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO),
 Benachrichtigungsrecht (Art. 34 DSGVO).
Nach Art. 23 DSGVO können die Rechte der Betroffenen nach Art. 12 bis 22, Art. 34 und Art. 5 DSGVO in den dort genannten besonderen Situationen beschränkt werden.
Wichtig sind auch die in den Vorschriften der DSGVO enthaltenen Fristen, innerhalb derer eine Information bzw. Auskunft an den Betroffenen zu ergehen hat (vgl. z.B. Art. 12 Abs. 3 und 4, Art. 13 Abs. 1, Art. 14 Abs. 3 und 4, Art. 21 Abs. 4, Art. 34 Abs. 1 DSGVO).
Aktualisierung vom 13.06.2018
!
20Neu ist dagegen die verpflichtende Einführung einer sog. Datenschutz-Folgenabschätzung (vgl. Art. 35 DS-GV). 
21Für die Deutsche Sozialversicherung von besonderer Bedeutung ist Art. 9 DS-GV, der die Verarbeitung „besonderer Kategorien personenbezogener Daten“ regelt, zu denen insbesondere auch Gesundheits- und Sozialdaten zählen. 
21.1Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der DSGVO und wird in Art. 4 Abs. 1 Nr. 1 definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Da sich in der Definition der Ausdruck „alle Informationen“ findet, ist der Begriff „personenbezogene Daten“ möglichst weit auszulegen. Da die Informationen sich auf eine natürliche Person beziehen müssen, greift der Datenschutz nach der DSGVO für Angaben über juristische Personen nicht (siehe dazu auch Erwägungsgrund 14 der DSGVO).
Keine personenbezogenen Daten sind – mangels Identifizierbarkeit – anonymisierte Daten, so dass auf diese die DSGVO und der Sozialdatenschutz keine Anwendung finden (siehe dazu auch Erwägungsgrund 26 der DSGVO).
Im Gegensatz zur DSGVO erstreckt sich der Sozialdatenschutz nach dem SGB auch auf Verstorbene (vgl. § 35 Abs. 5 SGB I, siehe dazu auch Erwägungsgrund 27 der DSGVO, wonach die Mitgliedstaaten Vorschriften für die Verarbeitung der personenbezogenen Daten der Verstorbenen vorsehen können).
Neben den allgemeinen personenbezogenen Daten sind vor allem die besonderen Kategorien personenbezogener Daten von hoher Relevanz, da sie ein höheres Schutzniveau genießen; zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen (vgl. Art. 9 DSGVO). Genetische, biometrische und Gesundheitsdaten sind in Art. 4 Nr. 13, 14 und 15 DSGVO legal definiert. Zu den Gesundheitsdaten siehe auch die Ausführungen in Erwägungsgrund 35 der DSGVO, so dass darunter auch Kennzeichen zu verstehen sind, die einer natürlichen Person zugeteilt worden sind, um sie für gesundheitliche Zwecke eindeutig zu identifizieren. Zur Verarbeitung besonderer Kategorien personenbezogener Daten siehe auch die Erwägungsgründe 10, 51, 52, 53, 54 der DSGVO.
Im Gegensatz zur in § 67 SGB X a.F. und § 35 Abs. 2 SGB I a.F. enthaltenen Unterscheidung zwischen Erhebung, Verarbeitung und Nutzung von Sozialdaten gilt nunmehr – ab dem 25.05.2018 mit Geltung der DSGVO – nur noch der Begriff der Daten-„Verarbeitung“, der jegliche Form der Verwendung von Daten erfasst.
Nach der Legaldefinition in Art. 4 Nr. 2 DSGVO bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen; der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen; Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen (Erwägungsgrund 15 der DSGVO).
Daneben hat der Gesetzgeber in den §§ 67 ff. SGB X auch nach deren Überarbeitung durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.07.2017 (BGBl I 2017, 2541) mit Wirkung zum 25.05.2018 (vgl. Art. 31 Abs. 4) die Begrifflichkeiten Erhebung, Speicherung, Veränderung, Nutzung, Übermittlung, Löschung, für die in der DSGVO keine Legaldefinitionen enthalten sind (vgl. Art. 4 DSGVO), beibehalten (bzgl. „Einschränkung der Verarbeitung“ findet sich in Art. 4 Nr. 3 DSGVO dagegen eine Legaldefinition). Bzgl. der Erläuterung dieser Begrifflichkeiten wird auf Fromm in: jurisPK-SGB X, § 67 SGB X 1. Überarbeitung Rn. 96 ff. verwiesen.
Dass den Mitgliedstaaten auch nach Erlass der DSGVO (und deren unmittelbarer Anwendbarkeit, s.o.) Gestaltungsspielräume belassen worden sind, ergibt sich aus der DSGVO selbst (vgl. dazu z.B. Art. 6 Abs. 2, Abs. 3, Art. 8, Art. 9 Abs. 2 lit. a, b, h, i, j, Abs. 3, Art. 10 DSGVO, Erwägungsgründe 10, 20, 40, 45, 50, 52, 53, 93 der DSGVO, s.a. Erwägungsgrund 170 der DSGVO). Dabei darf aber nicht aus dem Auge verloren werden, dass die DSGVO als höherrangiges Recht dem nationalen Recht, d.h. auch dem SGB, vorgeht.
In dem Zusammenhang ist zudem noch darauf hinzuweisen, dass
 das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (vgl. Erwägungsgrund 4 der DSGVO);
 das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird (vgl. Erwägungsgrund 13 der DSGVO).
In Art. 1 Abs. 1 DSGVO ist daher bestimmt, dass diese Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten „und zum freien Verkehr solcher Daten“ enthält und dass nach Art. 1 Abs. 3 DSGVO „der freie Verkehr personenbezogener Daten in der Union“ aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden darf.
Aktualisierung vom 13.06.2018
!
 V. Ausgewählte Literaturhinweise 
22Zu den allgemeinen Literaturhinweisen zum Datenschutz vgl. die Nachweise in der Kommentierung zu § 93 SGB XI. 
 B. Auslegung der Norm 
 I. Regelungsgehalt und Bedeutung der Norm 
23§ 97d SGB XI enthält die erforderliche datenschutzrechtliche Befugnis für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch unabhängige Gutachter, die von den Pflegekassen mit der Begutachtung i.S.d. § 18 SGB XI beauftragt werden. 
 II. Normzweck 
24Durch Art. 1 Nr. 4 Pflege-Neuausrichtungs-Gesetz vom 23.10.201241 hat der Gesetzgeber in § 18 SGB XI aufgenommen, dass die Pflegekassen - neben dem Medizinischen Dienst der Krankenversicherung - auch unabhängige Gutachter mit der Prüfung beauftragen können, ob die Voraussetzungen der Pflegebedürftigkeit erfüllt sind und welche Stufe der Pflegebedürftigkeit vorliegt. Dementsprechend bedurfte es einer datenschutzrechtlichen Befugnisnorm für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch unabhängige Gutachter, die von den Pflegekassen mit der Begutachtung i.S.d. § 18 SGB XI beauftragt werden; dem kommt § 97d SGB XI nach.42 
 III. Datenerhebung, -verarbeitung, -nutzung (Absatz 1 Satz 1) 
25Nach § 97d Abs. 1 Satz 1 SGB XI sind von den Pflegekassen gemäß § 18 Abs. 1 Satz 1 SGB XI beauftragte unabhängige Gutachter berechtigt, personenbezogene Daten des Antragstellers zu erheben, zu verarbeiten und zu nutzen, soweit dies für die Zwecke der Begutachtung gemäß § 18 SGB XI erforderlich ist. 
 1. Von den Pflegekassen gemäß § 18 Abs. 1 Satz 1 SGB XI beauftragte unabhängige Gutachter 
26Damit gilt diese Norm nur für die von den Pflegekassen gemäß § 18 Abs. 1 Satz 1 SGB XI beauftragten unabhängigen Gutachter. Soweit Gutachter im Rahmen der Qualitätssicherung und -prüfung betraut werden, können sich diese datenschutzrechtlich allein auf § 97a SGB XI stützen. 
 2. Erhebung, Verarbeitung und Nutzung personenbezogener Daten (Absatz 1 Satz 1) 
27Vgl. zu den Begrifflichkeiten „erheben“, „verarbeiten“ und „nutzen“ die diesbezüglichen Legaldefinitionen in § 67 Abs. 5, 6, 7 SGB X. 
27.1Die Legaldefinition von „Verarbeitung“ findet sich nun – mit Wirkung zum 25.05.2018 – in Art. 4 Nr. 2 DSGVO.
Bzgl. der Begrifflichkeiten „Erhebung“ und „Nutzung“ sind in der DSGVO keine Legaldefinitionen enthalten (vgl. Art. 4 DSGVO). Hinsichtlich der Erläuterung dieser Begrifflichkeiten wird auf Fromm in: jurisPK-SGB X, § 67 SGB X 1. Überarbeitung Rn. 91, 96 ff. verwiesen.
Aktualisierung vom 19.06.2018
!
28Damit hat der Gesetzgeber auch für die gemäß § 18 Abs. 1 Satz 1 SGB XI beauftragten unabhängigen Gutachter für deren Aufgabenerfüllung im Rahmen des § 18 SGB XI eine Befugnisnorm zur Datenverwendung geschaffen. Mit den Begrifflichkeiten „soweit dies für (…) erforderlich ist“ und „für Zwecke der Begutachtung gemäß § 18“ trägt der Gesetzgeber dem Grundrecht auf informationelle Selbstbestimmung der Betroffenen (vgl. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) Rechnung. Die Datenverwendung wird somit zum einen an die Aufgabenerfüllung geknüpft (Gebot der Zweckbindung43; „soweit dies für (…)“), zum anderen auf das erforderliche Maß begrenzt; neben dem Grundsatz der aufgabenbezogenen Grenzen der Datenverwendung ist damit - in Anbetracht des Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) - auch stets der Grundsatz der Verhältnismäßigkeit zu beachten.44 
28.1Bzgl. der „Erforderlichkeit“ siehe auch Art. 5 Abs. 1 lit. c DSGVO (Grundsatz der „Datenminimierung“).
Zum Gebot der Zweckbindung vgl. auch Art. 5 Abs. 1 lit. b DSGVO.
Aktualisierung vom 19.06.2018
!
 a. Personenbezogene Daten = Sozialdaten i.S.v. § 67 Abs. 1 Satz 1 SGB X 
29Mit „personenbezogenen Daten“ sind „Sozialdaten“ i.S.v. § 67 Abs. 1 Satz 1 SGB X gemeint. Auffällig ist, dass in § 97d SGB XI - ebenso wie in § 93 SGB XI und den folgenden datenschutzrechtlichen Bestimmungen im SGB XI - die Terminologie „personenbezogene Daten“ und nicht „Sozialdaten“ i.S.v. § 67 Abs. 1 Satz 1 SGB X verwandt wird. Nach der in § 3 Abs. 1 BDSG enthaltenen Legaldefinition sind Personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“; demgegenüber definiert § 67 Abs. 1 Satz 1 SGB X „Sozialdaten“ als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch erhoben, verarbeitet oder genutzt werden.“ Damit sind Sozialdaten nur solche personenbezogenen Daten, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch (dem ganzen SGB; vgl. aber auch § 68 SGB I) erhoben, verarbeitet oder genutzt werden; der Sozialdatenschutz ist damit - enger als der allgemeine Datenschutz nach dem BDSG - nur auf solche (personenbezogenen) Daten beschränkt, die von Leistungsträgern (vgl. § 12 Satz 1 SGB I) im Hinblick auf ihre Aufgaben nach dem SGB (vgl. §§ 18-29 SGB I) entsprechend verwandt werden (vgl. aber auch § 35 Abs. 1 Satz 4 SGB I bzgl. der Verbände der Leistungsträger, der Arbeitsgemeinschaften der Leistungsträger und ihrer Verbände - der Medizinische Dienst ist eine solche Arbeitsgemeinschaft, vgl. § 278 SGB V - und sonstiger genannter Stellen). Auch der Datenschutz nach dem SGB XI ist aber auf den Sozialdatenschutz beschränkt. Dies ergibt sich aus dem systematischen Kontext und dem Zusammenhang mit § 35 SGB I und den §§ 67 ff. SGB X: Die §§ 93 ff. SGB XI enthalten einen für die Soziale Pflegeversicherung bereichsspezifischen Sozialdatenschutz (vgl. insoweit auch die §§ 37 Satz 2 und 35 Abs. 2 SGB I: Nach § 37 Satz 2 SGB I gilt der Vorrang spezieller Regelungen in den einzelnen Büchern des Sozialgesetzbuches (außer dem SGB I und SGB X) zwar nicht bzgl. § 35 SGB I; durch § 35 Abs. 2 SGB I und den in den §§ 67 ff. SGB X enthaltenen Regelungen, in denen auf „andere Rechtsvorschriften in diesem Gesetzbuch“ (gemeint ist das gesamte SGB, somit auch das SGB XI) verwiesen wird, hat der Gesetzgeber insoweit aber wieder eine Rückausnahme zugelassen45). Die unterschiedlich verwandte Terminologie steht dem nicht entgegen und lässt sich historisch nur so erklären, dass es der Gesetzgeber im Rahmen der Schaffung des Pflege-VG vom 26.05.199446 offenbar versäumte, eine Angleichung der Begriffe zum parallel geschaffenen 2. SGBÄndG vom 13.06.199447 - mit dem der Gesetzgeber den Begriff der personenbezogenen Daten in § 35 SGB I und den §§ 67 ff. SGB X durch den Begriff der Sozialdaten ersetzt hat - vorzunehmen.48 In Anbetracht dessen - und aufgrund der in § 93 SGB XI enthaltenen Verweisung auf § 35 SGB I und die §§ 67 ff. SGB X49 - sind „personenbezogene Daten“ i.S.d. §§ 93 ff. SGB XI als Sozialdaten gemäß der in § 67 Abs. 1 Satz 1 SGB X enthaltenen Definition zu verstehen.50 
29.1Die Definition von „Sozialdaten“ findet sich nun in § 67 Abs. 2 Satz 1 SGB X. Danach sind – mit Wirkung zum 25.05.2018 – Sozialdaten personenbezogene Daten (Art. 4 Nr. 1 VO (EU) 2016/679), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.
Art. 4 Nr. 1 DSGVO definiert nunmehr „personenbezogene Daten“. Die bisher in § 3 Abs. 1 BDSG enthaltene Legaldefinition von „personenbezogenen Daten“ ist daher mit Wirkung zum 25.05.2018 entfallen.
Die Rückausnahme zur Anwendbarkeit der §§ 93 ff. SGB XI findet sich in § 35 Abs. 2 Satz 1 SGB I, wonach die Vorschriften des Zweiten Kapitels des Zehnten Buches „und der übrigen Bücher des Sozialgesetzbuches“ die Verarbeitung von Sozialdaten abschließend regeln, soweit nicht die VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016, S. 1; L 314 vom 22.11.2016, S. 72) unmittelbar gilt. Letzteres zeigt aber auch wieder den Vorrang der DSGVO als höherrangiges Recht.
Aktualisierung vom 19.06.2018
!
 b. Erforderlichkeit für die Zwecke der Begutachtung gemäß § 18 SGB XI 
30Die Befugnis zur Datenerhebung, -verarbeitung und -nutzung beschränkt sich demnach zum einen auf die Zwecke der Begutachtung gemäß § 18 SGB XI. Zum anderen gilt auch hier der Grundsatz der Erforderlichkeit („soweit dies für … erforderlich ist.“), der als zentraler Begriff im Datenschutzrecht eine ganz entscheidende Rolle spielt und sich in einer ganzen Reihe von datenschutzrechtlichen Vorschriften findet (vgl. z.B. die §§ 67a Abs. 1 Satz 1, 67c Abs. 1 Satz 1, 69 Abs. 1 sowie 71 ff. SGB X, vgl. auch die §§ 83 Abs. 2 Satz 2 SGB X und 97 Abs. 1 Satz 1 SGB XI). Damit trägt der Gesetzgeber dem Grundrecht auf informationelle Selbstbestimmung des Betroffenen (vgl. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) Rechnung. Die Datenverwendung wird somit nicht nur an die Aufgabenerfüllung geknüpft (Gebot der Zweckbindung51; „soweit dies für (…)“), sondern auch auf das erforderliche Maß begrenzt; damit hat der auch im Datenschutzrecht zu beachtende Grundsatz der Verhältnismäßigkeit eine gesetzliche Verankerung erfahren.52 
30.1Bzgl. der „Erforderlichkeit“ siehe auch Art. 5 Abs. 1 lit. c DSGVO (Grundsatz der „Datenminimierung“).
Zum Gebot der Zweckbindung vgl. auch Art. 5 Abs. 1 lit. b DSGVO.
Aktualisierung vom 19.06.2018
!
31Dabei kommt der Prüfung der Erforderlichkeit im Rahmen des § 97d Abs. 1 Satz 1 SGB XI - ebenso wie im Rahmen des § 97 Abs. 1 Satz 1 SGB XI für den Medizinischen Dienst - eine bedeutende Rolle deshalb zu, weil im Rahmen der Datenverwendung bei der Aufgabenerfüllung nach § 18 SGB XI regelmäßig medizinische (und damit besonders sensible) Daten erhoben, verarbeitet und genutzt werden (vgl. dazu auch § 67 Abs. 12, § 76 SGB X). Teilweise hat der Gesetzgeber dem explizit Rechnung getragen, indem er die Einhaltung weiterer Kriterien für die Datenverwendung fordert. So ist etwa in § 18 Abs. 4 SGB XI die Einbeziehung der behandelnden Ärzte des Versicherten in die Begutachtung sowie die Einholung (relevanter) ärztlicher Auskünfte und Unterlagen über Vorerkrankungen sowie Art, Umfang und Dauer der Hilfebedürftigkeit in Grund und Umfang von der Einwilligung des Versicherten abhängig („soweit der Versicherte einwilligt“); desgleichen erfordert auch die Befragung von pflegenden Angehörigen oder sonstigen Personen oder Dienste, die an der Pflege des Versicherten beteiligt sind, das Einverständnis des Versicherten (vgl. § 18 Abs. 4 Satz 2 SGB XI) Vgl. in dem Zusammenhang auch § 67a Abs. 1 Satz 4 SGB X, wonach sich die Einwilligung des Betroffenen, wenn sie durch Gesetz vorgesehen ist, ausdrücklich auf besondere Arten personenbezogener Daten (§ 67 Abs. 12 SGB X) zu beziehen hat (vgl. auch § 67b Abs. 1 Satz 2 SGB X). Darüber hinaus sind auch die unabhängigen Gutachter - ebenso wie der Medizinische Dienst - im Rahmen der Aufgabenwahrnehmung nach § 18 SGB XI generell zu einem sparsamen Umgang mit personenbezogenen Daten verpflichtet, so dass sie sich fragen müssen, welchen personenbezogenen Daten sie zu ihrer (genannten) Aufgabenerfüllung benötigen; angesichts dessen, dass vor allem im Rahmen der Begutachtung nach § 18 SGB XI zur Feststellung der Pflegebedürftigkeit eine ganze Reihe von Daten über die Gesundheit benötigt werden, um sich ein umfassendes Bild über die gesundheitlichen Einschränkungen und die Auswirkungen auf die pflegestufenrelevanten Verrichtungen (vgl. § 14 SGB XI) machen zu können, ist eine exakte Grenzziehung schwierig - zumal eine umfassende Berücksichtigung aller Gesundheitsstörungen i.d.R. auch im Interesse des Versicherten liegen dürfte; durch eine beschränkt erteilte Einwilligung ist es dem Versicherten aber möglich, die Erhebung bestimmter medizinischer Befunde auszuschließen (vgl. § 18 Abs. 4 Satz 1 SGB XI „soweit“). 
31.1Für die Verarbeitung besonders sensibler Daten, d.h. auch Daten über die Gesundheit (vgl. Art 4 Nr. 15 DSGVO), beachte nun – mit Wirkung zum 25.05.2018 – Art. 9 Abs. 2 lit. a DSGVO, wonach sich die Einwilligung gerade auf die Verarbeitung „dieser“ Daten beziehen muss, was bis zum 25.05.2018 in § 67a Abs. 1 Satz 4bzw. § 67b Abs. 1 Satz 2 SGB X (a.F.) geregelt war.
Aktualisierung vom 19.06.2018
!
 IV. Spezielle Datenschutzregelungen 
 1. Vertraulichkeit (Absatz 1 Satz 2) 
32Nach § 97d Abs. 1 Satz 2 SGB XI sind die Daten vertraulich zu behandeln (vgl. auch die ähnliche Regelung in § 97a Abs. 1 Satz 2 SGB XI). Der Sinn dieser Regelung erschließt sich nicht, kann daher nur so verstanden werden, dass damit der - geltende - Datenschutz noch einmal eine gewisse Bekräftigung erfahren soll. 
 2. Berechtigter Personenkreis und spezielle Datensicherung (Absatz 1 Satz 3) 
33Vergleichbar der Regelung in § 97 Abs. 3 Satz 3 SGB XI für den Medizinischen Dienst haben auch die beauftragten Gutachter durch technische und organisatorische Maßnahmen sicherzustellen, dass die (personenbezogenen) Daten nur den Personen zugänglich sind, die sie zur Erfüllung des dem Gutachter von den Pflegekassen nach § 18 Abs. 1 Satz 1 SGB XI erteilten Auftrags benötigen (§ 97 d Abs. 1 Satz 3 SGB XI). Vergleichbar § 97 Abs. 3 Satz 3 SGB XI (vgl. die Kommentierung zu § 97 SGB XI) ist Hintergrund dieser Regelung ein (vor allem) EDV-mäßiger Schutz der Versicherten - vor allem angesichts dessen, dass es sich bei den im Rahmen der Aufgabenerfüllung nach § 18 SGB XI erhobenen, verarbeiteten und genutzten Daten um besonders schutzwürdige - weil sensible - Daten handelt; dementsprechend soll durch § 97d Abs. 1 Satz 3 SGB XI ein Datenzugriff Unberechtigter verhindert werden. 
 3. Spezielle Übermittlungsbefugnis (Absatz 2) 
34In § 97d Abs. 2 Satz 1 HS. 1 SGB XI ist eine spezielle Übermittlungsbefugnis - und zugleich eine Einschränkung der Datenverarbeitungsbefugnis der Gutachter - enthalten. Danach dürfen die unabhängigen Gutachter das Ergebnis der Prüfung zur Feststellung der Pflegebedürftigkeit sowie die Präventions- und Rehabilitationsempfehlung gemäß § 18 SGB XI an die sie beauftragende Pflegekasse (nur) übermitteln, soweit dies zur Erfüllung der gesetzlichen Aufgaben der Pflegekasse erforderlich ist. Das bedeutet zum einen, dass der Gutachter zur Übermittlung nur in diesem beschränkten Rahmen bzw. Umfang der Aufgabenerfüllung der Pflegekasse („soweit“, „erforderlich“) befugt ist. Zum anderen wird damit zum Ausdruck gebracht, dass der Gutachter nur das Ergebnis der Prüfung zur Feststellung der Pflegebedürftigkeit sowie die Präventions- und Rehabilitationsempfehlung gemäß § 18 SGB XI an die ihn beauftragende Pflegekasse übermitteln darf (zu dem Zweck ist er schließlich auch beauftragt und tätig geworden). 
34.1Zur „Übermittlung“ als Daten-„Verarbeitung“ siehe Art. 4 Nr. 2 DSGVO. Bzgl. der Definition von „Übermittlung“ wird im Übrigen auf Fromm in: jurisPK-SGB X, § 67 SGB X 1. Überarbeitung Rn. 92, 100 verwiesen.
Aktualisierung vom 19.06.2018
!
35Der Hinweis in § 97d Abs. 2 Satz 1 HS. 2 SGB XI auf § 35 SGB I stellt in dem Zusammenhang klar, dass für die Gutachter - insoweit - auch § 35 SGB I gilt. Damit hat der Gesetzgeber auch diese auf das Sozialgeheimnis (§ 35 Abs. 1 Satz 1 SGB I) verpflichtet, um einen entsprechenden datenrechtlichen Schutz zu erreichen. Insoweit gelten auch für diese die §§ 67 ff. SGB X (vgl. auch § 35 Abs. 2 SGB I). 
36Die Bestimmung in § 97d Abs. 2 Satz 2 SGB XI, wonach sicherzustellen ist, dass das Ergebnis der Prüfung zur Feststellung der Pflegebedürftigkeit sowie die Präventions- und Rehabilitationsempfehlung nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen, dient - vergleichbar der ähnlichen Bestimmung in § 97 Abs. 3 Satz 4 SGB XI - auch dem EDV-mäßigen Schutz der Versicherten. 
 4. Datenlöschung (Absatz 3) 
37In Anlehnung an § 97 Abs. 3 Satz 1 SGB XI, der für den Medizinischen Dienst der Krankenversicherung gilt, sind die personenbezogenen Daten spätestens nach 5 Jahren zu löschen (§ 97d Abs. 3 Satz 1 SGB XI). Für den Beginn der Frist gilt § 107 Abs. 1 Satz 2 entsprechend (§ 97d Abs. 3 Satz 2 SGB XI). 
37.1Bis zum 25.05.2018 war „Löschen“ in § 67 Abs. 6 Satz 2 Nr. 5 SGB X (a.F.) legal definiert. Nunmehr (ab dem 25.05.2018 mit Geltung der DSGVO) wird dieser Begriff weder in der DSGVO noch im SGB X definiert. Art. 17 DSGVO spricht vom Recht auf Löschung bzw. „Recht auf Vergessenwerden“. Löschen bedeutet die Vernichtung oder die Unkenntlichmachung von Daten.
Aktualisierung vom 19.06.2018
!

Vollständiges Dokument anzeigen


X

Wir möchten auf unserer Webseite Cookies und pseudonyme Analysetechniken auch unserer Dienstleister verwenden, um diesen Internetauftritt möglichst benutzerfreundlich zu gestalten. Außerdem möchten wir und unsere Dienstleister damit die Besuche auf unserer Webseite auswerten (Webtracking), um unsere Webseite optimal auf Ihre Bedürfnisse anzupassen.

Wenn Sie dieses Banner anklicken oder schließen, erklären Sie sich damit jederzeit widerruflich einverstanden (Art. 6 Abs.1 a DSGVO).

Weitere Informationen, auch zu Ihrem jederzeitigen Widerrufsrecht, finden Sie in unseren Datenschutzhinweisen.