Eine gesetzliche Krankenkasse setzt zur Mitgliedergewinnung sogenannte Makler (Dritte) ein. Diese Makler können u.a. auch bundesweite Versicherungsvermittler sein. Die Krankenkasse und der Makler schließen einen Vertrag - beispielweise für die Regelung der Vermittlungsgebühr. Bisher wurden durch diese Versicherungsvermittler neue Mitglieder mittels Papier-Beitrittserklärung übermittelt und dann durch die Krankenkasse in ihrem IT-System erfasst. Nun soll eine elektronische Datenübermittlung der personenbezogenen Daten der geworbenen Person aus dem IT-System der Makler in das IT-System der Krankenkasse erfolgen. Die Krankenkasse gibt die technischen Vorgaben der Datenübermittlung vor (z.B. Datenformat, Verschlüsselung, Art der Datenübertragung).
Die Mitgliedergewinnung ist keine Auftragsverarbeitung nach Art. 28 DSGVO / § 80 SGB X.
Nun die Frage: Ist die elektronische Datenübermittlung eine Auftragsverarbeitung nach Art. 28 DSGVO / § 80 SGB X oder liegt ein Gemeinsame Verantwortung nach Art. 26 DSGVO vor?
Ich weiß von vielen Versicherungen die ihrere Vertreter/Makler schon immer im Joint Controll hatten.
Das ist auch auf der Website der Versicherung zu lesen in Kurzform wie es die DSGVO verlangt.
Hier noch ein Beispiel der Info: https://www.swisslife-select.de/content/dam/slsde/dokumente/SLS-Gemeinsame%20Verantwortung.pdf (hatte diese Seite mal gefunden, als ich nach Mustern für diese Infos suchte.)
Bei Sozialdaten wäre ich mit gemeinsamer Verantwortung vorsichtig.
Hallo iDSB!
Bei Sozialdaten wäre ich mit gemeinsamer Verantwortung vorsichtig.
Dies sehe ich ähnlich. Eine gemeinsame Verantwortung setzt m.E. immer voraus, dass auch alle Beteiligten (eigene) Rechtsgrundlagen für die Verarbeitung haben. Für Sozialdaten ergibt sich diese in der Regel immer aus Art. 6 Abs. 1 lit c) i.V.m. der jeweiligen nationalen Sozialgesetzgebung. Für die Krankenkassen dürfte dies in der Regel das SGB V sein.
Inwieweit man für den eingesetzten (Versicherungs-)Makler eine eigenständige Rechtsgrundlage für die Verarbeitung von Sozialdaten herleiten kann, halte ich zumindest für fraglich. Oder kann man § 67 Abs. 2 SGB X dahingehend auslegen, die Daten der geworbenen zukünftigen Mitglieder seien zum Zeitpunkt der Verarbeitung durch den Makler noch keine Sozialdaten und bekommen diesen Charakter erst wenn sie durch die Krankenkasse als Stelle nach § 35 SGB I zur Begründung der Mitgliedschaft verarbeitet werden.
Hallo UKStDSB,
sehe ich auch so. Für öffentlich-rechtliche Daten kann nicht ohne Weiteres ein privat-rechtlicher Dritter zum Verantwortlichen gemacht werden.
Danke für Eure Beiträge. Der Sachverhalt ist nun wie folgt gelöst worden:
Der Makler (Dritter) erfasst die geworbenen zukünftigen Versicherten in seinem IT-System - los gelöst von der Krankenkassen. Aus dessen IT-System wird ein scanbares Dokument erzeugt und der Krankenkassen übermittelt. Diese liest mit einer Texterkennung-Software das Dokument aus und füllt so ihr eigene Datenbank. Klingt erstmal kompliziert und wie IT zu Fuss. Der ganze Prozess ist halb-automatisch. Durch die getrennten IT-Systeme wird eine Auftragsverarbeitung (Ausgelagerte Erfassung von Sozialdaten beim Makler) und ggf. gemeinsame Verantwortung vermieden. Die Krankenkasse muss dadurch keine Regelungen beim Makler organisieren und verantworten. Eine Anzeige an das Bundesamt für Soziale Sicherung nach § 80 SGB X wird vermieden und eine Kontrolle/Audits der TOMs beim Makler findet nicht statt.