kein Leitsatz
Datenschutzgrundverordnung; Recht auf Löschung von Daten; fehlende Notwendigkeit der weiteren Speicherung personenbezogener Daten eines ehemaligen Mitglieds durch eine Krankenkasse
-
-
- Auf die Berufung des Klägers werden der Gerichtsbescheid des Sozialgerichts Dresden vom 10. Januar 2020 und die Bescheide der Beklagten vom 27. Juni 2019 und 6. August 2019 aufgehoben und die Beklagte verurteilt, die beauskunfteten Daten zur Person des Klägers – soweit nicht bereits gelöscht – zu löschen.
- Die Beklagte trägt die notwendigen außergerichtlichen Kosten des Klägers in beiden Instanzen.
- Die Revision wird nicht zugelassen.
-
Tatbestand
Der Kläger begehrt die Löschung seiner bei der Beklagten noch gespeicherten persönlichen Daten.
Mit Schreiben vom 10.06.2019 beantragte der 1968 geborene Kläger, der nach den Angaben der Beklagten bereits seit dem 30.11.2004 nicht mehr deren Mitglied ist, Auskunft über die bei der Beklagten zu seiner Person noch gespeicherten Daten und deren Verarbeitung. Mit Schreiben vom 19.06.2019 erteilte die Beklagte dem Kläger auf der Grundlage des Art. 15 Datenschutz-Grundverordnung (DSGVO) Auskunft. Gespeichert seien das Geburtsdatum, Alter und Anschrift des Klägers, Versicherten-Nummer, Rentenversicherungsnummer und Telefonnummer (privat).
Daraufhin beantragte der Kläger unter dem 20.06.2019 die Löschung der Daten bis spätestens 30.06.2019 auf der Grundlage von Art. 17 DSGVO.
Die Beklagte kam diesem Antrag hinsichtlich der gespeicherten Telefonnummer nach. Die Löschung der übrigen gespeicherten Daten lehnte sie ab (Bescheid vom 27.06.2019). Alle anderen Daten unterlägen den gesetzlichen Aufbewahrungsfristen, die in § 110a Viertes Buch Sozialgesetzbuch (SGB IV), § 304 Fünftes Buch Sozialgesetzbuch (SGB V),
§ 107 Elftes Buch Sozialgesetzbuch (SGB XI) und der Allgemeinen Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (SRVwV) geregelt seien. Auch bei beendeten Mitgliedschaften sei sie an diese Vorschriften gebunden.
Hiergegen richtete sich der Widerspruch des Klägers. Eine Rechtsvorschrift für die Aufbewahrung des Versichertenverzeichnisses gebe es nicht. Art. 17 DSGVO bestimme, dass die gespeicherten Daten zu löschen seien, wenn sie nicht mehr notwendig seien. Die Beklagte müsse also zumindest darlegen, aus welchen Gründen diese Datenspeicherung auch nach Ablauf von 20 Jahren noch notwendig sein solle.
Mit Bescheid vom 06.08.2019 verwies die Beklagte auf die gesetzlichen Vorgaben zur Speicherung der Daten. Die Daten würden bis zu 30 Jahre nach Ende der Versicherung bei ihr gespeichert, um auch später noch Bescheinigungen, z.B. für einen Rentenantrag, ausstellen zu können. Eine vorzeitige Löschung sei daher nicht möglich.
Am 13.08.2019 hat der Kläger Klage vor dem Sozialgericht (SG) Dresden erhoben, mit der er die Löschung sämtlicher bei der Beklagten elektronisch zu seiner Person gespeicherten Daten begehrt. Die Regelung zur dreißigjährigen Aufbewahrung in den „Grundsätzen ordnungsgemäßer Aufbewahrung im Sinne des § 110a SGB IV“ des GKV-Spitzenverbandes sei unwirksam und unsinnig. Zudem wende die Beklagte diese Grundsätze nicht zutreffend an. Der Vorrang der DSGVO sei in der Regelung selbst enthalten, da Raum für Ausnahmen verbleibe. Dies erkenne die Beklagte nicht.
Die Beklagte hat erwidert, der Umstand der Versicherung des Klägers bei ihr könne auch nach Beendigung der Mitgliedschaft (mit Ablauf der 30.11.2004) gegenüber anderen öffentlichen Stellen, wie zum Beispiel bei der Beantragung einer Rente, nachzuweisen sein. Eine Aufbewahrungsverpflichtung ergebe sich zudem aus § 110a i.V.m. § 110c SGB IV. Danach bewahre die Behörde Unterlagen, die für ihre öffentlich-rechtliche Verwaltungstätigkeit erforderlich seien, nach den Grundsätzen ordnungsgemäßer Aufbewahrung auf. Das Nähere zu den Aufbewahrungsfristen für Unterlagen vereinbarten die Spitzenverbände der Träger der Sozialversicherung und die Bundesagentur für Arbeit unter besonderer Berücksichtigung der schutzwürdigen Interessen des Betroffenen. Insoweit sei auf die „Grundsätze ordnungsgemäßer Aufbewahrung im Sinne des § 110a SGB IV, Voraussetzungen der Rückgabe und Vernichtung von Unterlagen sowie Aufbewahrungsfristen für Unterlagen für den Bereich der gesetzlichen Kranken- und Pflegeversicherung“ zu verweisen. Nach Auffassung in der Literatur handele es sich um eine Verwaltungsvorschrift, die zur Rechtssicherheit beitrage. Das darin unter Punkt 4.1 genannte Versichertenverzeichnis, aus dem sich der Umstand der Versicherung des Klägers bei ihr ergebe, sei mangels abweichender gesetzlicher Regelungen 30 Jahre nach Beendigung des Versicherungsverhältnisses aufzubewahren. Daneben könne nicht ausgeschlossen werden, dass das Versichertenverzeichnis für Prüfzwecke bei internen/externen Prüfungen oder im Rahmen der Prüfung der Voraussetzungen für eine Rente wegen Erwerbsminderung herangezogen werden müsse.
Das SG hat die Klage mit Gerichtsbescheid vom 10.01.2020 abgewiesen. Die Klage sei zwar zulässig, da es keines Vorverfahrens bedürfe. Sie sei jedoch unbegründet. Art. 17 Abs. 3 DSGVO gelte nach Art. 17 Abs. 1 DSGVO nicht, wenn die Verarbeitung der Daten erforderlich sei zur Ausübung des Rechts auf freie Meinungsäußerung und Information oder zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliege, erfordere, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Das in Art. 17 Abs. 1 DSGVO zum Ausdruck kommende „Recht auf Vergessenwerden“ sei damit auf Ausnahmen beschränkt, die dem Spannungsverhältnis zwischen dem Recht der betroffenen Person auf informationelle Selbstbestimmung und dem Recht auf Informationsfreiheit Dritter sowie öffentlichen Interessen Rechnung trage. Insbesondere solle sichergestellt werden, dass die Erfüllung öffentlicher Aufgaben durch Löschungspflichten nicht behindert werde. Da die Beklagte die vom Kläger nicht näher bezeichneten personenbezogenen Daten zur Erfüllung öffentlicher Aufgaben erlangt habe und nunmehr aufbewahre, um ggf. Informationsbegehren anderer Sozialversicherungsträger, wie z.B. der Rentenversicherung, bearbeiten zu können, seien die Ausnahmetatbestände des Art. 17 Abs. 3 Buchst. a und b DSGVO erfüllt und ein Anspruch auf jederzeitige Löschung aller Daten bereits aus diesem Grunde zu negieren. Die Beklagte sei jedenfalls berechtigt, zumindest das Versichertenverzeichnis 30 Jahre lang aufzubewahren. Die Frist sei auch nicht unwirksam oder unsinnig. Aufbewahrungsfristen von 30 Jahren seien im bundesdeutschen Rechtskreis keine Seltenheit. Auch in der Krankenversicherung könne es notwendig werden, auf Daten zugreifen zu müssen, deren Erhebung und Speicherung Jahrzehnte zurückliege.
Gegen den dem Kläger am 13.01.2020 zugestellten Gerichtsbescheid richtet sich dessen am 21.01.2020 bei dem Sächsischen Landessozialgericht (LSG) eingelegte Berufung. Das SG habe nicht geprüft, ob eine unverhältnismäßige Satzungsnorm geeignet sei, die DSGVO einzuschränken. Immerhin verlange Art. 23 DSGVO Gesetzgebungsmaßnahmen. Die Regelungen zu den Grundsätzen der ordnungsgemäßen Aufbewahrung im Sinne des § 110a SGB IV seien weder geeignet noch erforderlich. Zudem ließen sie Raum für Abweichungen. Dem Dateninhaber müsse das Recht zuerkannt werden, selbst zu entscheiden, ob er das Risiko eingehen wolle, die Daten später ggf. selbst beizubringen. Der Antrag beziehe sich nur auf die (noch gespeicherten) Stammdaten des Versichertenverzeichnisses.
Der Kläger beantragt,
den Gerichtsbescheid des Sozialgerichts Dresden vom 10. Januar 2020 sowie die Bescheide der Beklagten vom 27. Juni 2019 und 6. August 2019 aufzuheben und die Beklagte zu verurteilen, die noch gespeicherten personenbezogenen Daten zur Person des Klägers zu löschen,
hilfsweise, die Revision zuzulassen.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Sie verweist auf die Ausführungen im Gerichtsbescheid des SG. Ergänzend hat sie mitgeteilt, dass nach Beendigung der Mitgliedschaft des Klägers kein Datenaustausch mit dem Rentenversicherungsträger bestehe.
Hinsichtlich der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakte beider Rechtszüge und die Verwaltungsakte der Beklagten Bezug genommen, die Gegenstand des Verfahrens gewesen sind.
Entscheidungsgründe
Die zulässige Berufung ist begründet.
Der Senat konnte aufgrund des Einverständnisses der Beteiligten ohne mündliche Verhandlung entscheiden (§ 124 Abs. 2 Sozialgerichtsgesetz [SGG]).
1. Die Klage ist als kombinierte Anfechtungs- und Leistungsklage statthaft (vgl. Bundessozialgericht [BSG], Urteil vom 18.12.2018 – B 1 KR 31/17 R – juris Rn. 11). Dies entspricht dem Wortlaut des Art. 17 Abs. 1 DSGVO, wonach die betroffene Person das Recht hat, die Löschung zu verlangen (Verwaltungsgericht Hamburg, Urteil vom 28.07.2022 – 21 K 1802/21 – juris Rn. 91).
Auch wenn es für die Zulässigkeit einer Anfechtungsklage grundsätzlich eines ordnungsgemäß durchgeführten Vorverfahrens bedarf, steht das Fehlen eines Widerspruchsbescheides der Klage nicht entgegen. Vorverfahrenspflicht besteht in allen Verfahren der Anfechtungsklage, auch in Kombination mit der Leistungsklage (Jüttner in: Fichte/Jüttner, SGG, 3. Aufl. 2020, § 78 Rn. 5). Art. 79 DSGVO, der die Klagemöglichkeit unbeschadet eines anderen Rechtsbehelfs vorsieht, überlagert das nationale Prozessrecht im Konfliktfall jedoch, sodass es eines Widerspruchsverfahrens im vorliegenden Fall nicht bedurfte (Bieresborn in: Schütze, SGB X, 9. Aufl. 2020, § 81b Rn. 17; Mundil in: BeckOK Datenschutzrecht, 45. Edition, Stand 01.11.2021, Art. 79 DSGVO Rn. 20).
2. Dem Kläger steht gegen die Beklagte ein Anspruch auf Löschung der noch gespeicherten Daten (Geburtsdatum, Name, Adresse, Versichertennummer, Rentenversicherungsnummer) auf der Grundlage des Art. 17 Abs. 1 Buchst. a DSGVO zu.
Das Recht auf Löschung findet sich in Art. 17 Abs. 1 DSGVO, der unmittelbar anwendbar ist (Art. 288 Abs. 2 Vertrag über die Arbeitsweise der Europäischen Union [AEUV]). Nach Art. 17 Abs. 1 DSGVO hat die betroffene Peron das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche die Pflicht, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchst. a oder Art. 9 Abs. 2 Buchst. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Der hiermit geregelte Löschungsanspruch umfasst auch den Anspruch gegen den Verantwortlichen, eine Speicherung zu unterlassen (BSG, Urteil vom 18.12.2018 – B 1 KR 31/17 R – juris Rn. 13). Dieses Recht hat seit Geltung der DSGVO ab dem 25.05.2018 den bis dahin für das SGB maßgeblichen Löschungstatbestand des § 84 Abs. 2 Zehntes Buch Sozialgesetzbuch (SGB X) abgelöst, den der Gesetzgeber mit Wirkung zum selben Tag aufgehoben und durch eine vorliegend nicht einschlägige Öffnungsklausel hinsichtlich der Löschung nicht automatisiert verarbeiteter Sozialdaten ersetzt hat. Die Löschung eines auf sie bezogenen Sozialdatums wegen inzwischen fehlender Notwendigkeit der weiteren Speicherung nach Art. 17 Abs. 1 Buchst. a DSGVO kann die betroffene Person (Art. 4 Nr. 1 DSGVO) danach unionsrechtlich von dem Verantwortlichen verlangen, wenn keiner der in Art. 6 DSGVO angeführten Gründe für eine rechtmäßige Verarbeitung des (Sozial-)Datums mehr vorliegt (BSG, Urteil vom 18.12.2018 – B 1 KR 31/17 R – juris und Urteil vom 14.05.2020 – B 14 AS 7/19 R – juris Rn. 14).
Die Voraussetzungen des Art. 17 Abs. 1 Buchst. a DSGVO liegen vor.
Bei den von der Beklagten gespeicherten Daten (wie beauskunftet) handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, da sie sich auf den Kläger und damit auf eine identfizierbare natürliche Person („betroffene Person“) beziehen.
Die Beklagte ist „Verantwortlicher“. Dies ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet.
Die Daten wurden rechtmäßig erhoben, sind aber nicht mehr notwendig. Nicht mehr notwendig i.S. von Art. 17 Abs. 1 DSGVO sind Daten, wenn sich ihre Verarbeitung nicht mehr auf eine nach Art. 6 DSGVO rechtfertigende Befugnis stützen kann. Rechtmäßig ist die Verarbeitung personenbezogener Daten danach u.a., soweit sie „zur Erfüllung einer rechtlichen Verpflichtung erforderlich (ist), der der Verantwortliche unterliegt“ (Art. 6 Abs. 1 Buchst. c DSGVO). Das richtet sich – sofern das Unionsrecht nicht selbst eine Regelung trifft (vgl. Art. 6 Abs. 3 Buchst. a DSGVO) – gemäß Art. 6 Abs. 3 Buchst. b DSGVO nach dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt (BSG, Urteil vom 18.12.2018 – B 1 KR 31/17 R – juris Rn. 18), hier also nach den sozialdatenschutzrechtlichen Verarbeitungsbefugnissen des Sozialgesetzbuchs (SGB) in der für die einzelnen Verarbeitungsstadien jeweils geltenden Fassung (BSG, Urteil vom 14.05.2020 – B 14 AS 7/19 R – juris Rn. 19). Das Erste Buch Sozialgesetzbuch (SGB I), SGB X und SGB V regeln den Schutz von Sozialdaten grundsätzlich gleichrangig vorbehaltlich ausdrücklich davon abweichender spezialgesetzlicher Kollisionsregeln. § 35 Abs. 2 Satz 1 SGB I (i.d.F. des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU vom 20.11.2019, BGBl. I S. 1626) bestimmt: Die Vorschriften des Zweiten Kapitels des SGB X und der übrigen Bücher des SGB regeln die Verarbeitung von Sozialdaten abschließend, soweit nicht die DSGVO in der jeweils geltenden Fassung unmittelbar gilt. Ein Rückgriff auf das Bundesdatenschutzgesetz (BDSG) ist nur zulässig, wenn das SGB oder die DSGVO dies vorsehen (BSG, Urteil vom 08.10.2019 – B 1 A 3/19 R – juris Rn. 32 m.w.N.). Ein Vorrang des SGB zur DSGVO besteht dabei nicht. Jedoch sind die Sozialdatenschutzvorschriften im SGB spezifische Regelungen gemäß Öffnungsklauseln der DSGVO (Koch in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., Stand: 16.02.2023, § 284 Rn. 7; Fromm in: Schlegel/Voelzke, jurisPK-SGB X, 2. Aufl., Stand 05.05.2022, § 67 Rn. 22).
§ 284 SGB V enthält spezielle Vorschriften für den Bereich der Krankenversicherung, dessen Absatz 1 Satz 1 eine enumerative Aufzählung der Zwecke, für die die Krankenkassen Daten erheben und speichern dürfen, sofern dies erforderlich ist (Koch in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., Stand: 16.02.2023, § 284 Rn. 10). Gemäß § 284 Abs. 1 Nr. 4 SGB V, der eine spezifische Regelung gemäß der Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO darstellt (LSG Niedersachsen-Bremen, Urteil vom 14.02.2023 – L 16 SF 5/21 DS (KR) – juris Rn. 31), dürfen Krankenkassen Sozialdaten für Zwecke der Krankenversicherung erheben und speichern, soweit diese für die Prüfung der Leistungspflicht und der Erbringung von Leistungen an Versicherte einschließlich der Voraussetzungen von Leistungsbeschränkungen, die Bestimmung des Zuzahlungsstatus und die Durchführung der Verfahren bei Kostenerstattung, Beitragsrückzahlung und der Ermittlung der Belastungsgrenze erforderlich sind. Zu den in § 284 Abs. 1 Satz 1 SGB V enumerativ aufgezählten Zwecken zählt nach Nrn. 1 und 3 auch die Feststellung des Versicherungsverhältnisses und der Mitgliedschaft einschließlich der für die Anbahnung eines Versicherungsverhältnisses erforderlichen Daten sowie die Feststellung der Beitragspflicht und der Beiträge.
§ 288 SGB V verpflichtet die Beklagte überdies in diesem Zusammenhang zur Führung eines Versichertenverzeichnisses, das alle Angaben zu enthalten hat, die zur Feststellung der Versicherungspflicht oder -berechtigung, zur Bemessung und Einziehung der Beiträge sowie zur Feststellung des Leistungsanspruches erforderlich sind.
Bei der weiteren Speicherung von personenbezogenen Daten ist der allgemeine Grundsatz der Datensparsamkeit zu berücksichtigen. So sind die Sozialdaten zu löschen, sobald sie nicht mehr für die Aufgabenerfüllung erforderlich sind und kein Grund zur Annahme besteht, dass durch die Löschung der Daten schutzwürdige Interessen von Betroffenen beeinträchtigt werden (z.B. § 84 Abs. 2 Satz 2 SGB X, § 284 Abs. 1 Satz 4 SGB V, § 110b Abs. 1 Satz 1 SGB IV). Ob und wann dementsprechend zu löschen ist, richtet sich nach dem individuellen Zweck und der daran anknüpfenden Erforderlichkeit. Nicht mehr erforderlich ist das weitere Speichern, wenn die Aufgabe, zu deren Erfüllung die Daten gespeichert waren, endgültig erledigt ist. Besteht dagegen konkreter Anlass, dass diese Daten später für die Aufgabenerfüllung der speichernden Stelle erneut benötigt werden, sind die Daten nicht zu löschen (Prange in: Schlegel/Voelzke, jurisPK-SGB XI, 3. Aufl., Stand 15.03.2023, § 107 Rn. 50). Diese im Grundsatz bestehende individuelle Prüfungsanforderung schließt statistische Löschregeln aus. Gleichwohl sind Kategorisierungen zulässig, die in Verhaltensregeln niedergelegt werden können (Kamlah in: Plath, DSGVO/BDSG/TTDSG, 4. Aufl. 2023, Art. 17 DSGVO Rn. 9).
Die bei der Beklagten zum Kläger noch gespeicherten Daten, die sich nach deren Auskunft auf Angaben zu Namen, Alter, Geburtsdatum, Adresse und Versichertennummern beschränken, sind für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr notwendig.
Da solche Daten regelmäßig auch noch bei der Abwicklung der Leistungen benötigt werden, entfällt die Erforderlichkeit ihrer Speicherung nicht automatisch mit der Beendigung einer Mitgliedschaft. Jedoch währt die Zulässigkeit ihrer weiteren Speicherung nicht zeitlich unbegrenzt.
Dass ein gesetzlicher festgelegter Zweck die Speicherung der von der Beklagten beauskunfteten Daten auch lange nach dem Ende der Versicherung des Klägers bei der Beklagten noch erforderlich machte, ist im vorliegenden Fall nicht erkennbar.
Dabei beschränken sich die gespeicherten Daten nach der Auskunft der Beklagten auf Namen, Adresse, Geburtsdatum, Versichertennummer und Rentenversicherungsnummer und lassen – ohne weitere Daten zu den Versicherungszeiten, zur Versicherungsart etc. – allenfalls eine Aussage darüber zu, dass eine frühere Versicherung bei der Beklagten bestand. Eine Relevanz für etwaige künftige Sozialleistungsansprüche oder die Aufgabenerfüllung der Beklagten ist hingegen nicht (mehr) erkennbar.
Soweit sich die Beklagte auf Auskunftspflichten gegenüber dem Rentenversicherungsträger beruft, betreffen diese nach § 201 SGB V lediglich die zuständige oder (aktuell) gewählte Krankenkasse. Der Kläger ist seit 2004 nicht mehr Mitglied der Beklagten. Die Beklagte hat insoweit auch mitgeteilt, dass ein Datenaustausch mit dem Rentenversicherungsträger nach Beendigung der Mitgliedschaft nicht mehr stattfindet.
Es ist auch nicht ersichtlich, dass sich ein Mitgliedschaftsverhältnis des Klägers bei der Beklagten anbahnt oder (Leistungs- bzw. Beitrags-) Ansprüche zwischen den Beteiligten noch im Raume stünden oder das bis 2004 bestehende Versicherungsverhältnis nicht ordnungsgemäß erfüllt wurde.
Die noch gespeicherten Daten, die sich auf die Identifikation des Klägers und die Tatsache einer in der Vergangenheit bei der Beklagten durchgeführten Versicherung beschränken, genügen mangels Aussagen zu Versicherungszeiten auch nicht für die Feststellung von Vorversicherungszeiten im Rahmen der Krankenversicherung der Rentner (§ 5 Abs. 1 Nr. 11 SGB V) oder von Anwartschaftserhaltungszeiten nach dem Sechsten Buch Sozialgesetzbuch im Rahmen einer Rente aus der gesetzlichen Rentenversicherung, sodass im vorliegenden Fall dahinstehen kann, ob die Beklagte zur weiteren Speicherung von Vorversicherungszeiten auch nach Beendigung der Mitgliedschaft gesetzlich verpflichtet ist.
Überdies kann im Hinblick auf die Übermittlungspflichten nach § 304 Abs. 2 SGB V im Rahmen eines Kassenwechsels, die sich auch auf die nach § 288 und § 292 SGB V erforderlichen Daten bezieht, die Notwendigkeit der weiteren Datenspeicherung bei der Beklagten als früherer Krankenkasse im konkreten Einzelfall nicht erkannt werden.
Weitere Gründe, aus denen es der weiteren Speicherung der von der Beklagten beauskunfteten Daten bedürfte, hat die Beklagte nicht vorgetragen und sind auch sonst nicht ersichtlich. Insbesondere hat die Beklagte die von ihr behauptete Erforderlichkeit im Rahmen „interner/externer Prüfungen“ nicht näher erläutert.
Dem sich folglich aus Art. 17 Abs. 1 DSGVO ergebenden Anspruch auf Löschung steht nicht Art. 17 Abs. 3 DSGVO entgegen. Art. 17 Abs. 3 DSGVO formuliert Ausnahmen vom Löschungsanspruch. Danach gelten die Absätze 1 und 2 des Art. 17 DSGVO nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 Buchst. h und i sowie Art. 9 Abs. 3 DSGVO;
d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Der vorliegend in Betracht kommende Art. 17 Abs. 3 Buchst. b DSGVO greift die Tatbestände des Art. 6 Abs. 1 Buchst. c und e, Abs. 2 und 3 DSGVO auf und stellt insoweit eine Öffnungsklausel dar. Danach kann eine Datenverarbeitung nicht nur (nach nationalem Recht) vorgeschrieben sein, sondern auch eine (länger währende) Verarbeitung im Sinne einer Speicherung (Kamlah in: Plath, DSGVO/BDSG/TTDSG, 4. Aufl. 2023, Art. 17 DSGVO Rn. 18). Dabei bestimmen sich die Anforderungen an die Schaffung etwaiger Rechtsgrundlagen nach Art. 6 Abs. 2 und 3 DSGVO. In diesen Fällen geht die gesetzliche Anordnung der Speicherung einem etwaigen Löschungsanspruch der betroffenen Person vor. Hauptanwendungsfall sind die Aufbewahrungsfristen.
Die in § 304 SGB V vorgesehenen Fristen stehen einem Löschungsanspruch des Klägers nicht entgegen.
Nach § 304 Abs. 1 SGB V sind die für Aufgaben der gesetzlichen Krankenversicherung bei Krankenkassen, Kassenärztlichen Vereinigungen und Geschäftsstellen der Prüfungsausschüsse gespeicherten Sozialdaten nach folgender Maßgabe zu löschen:
1. die Daten nach, den §§ 292, 295 Abs. 1a, 1b und 2 SGB V sowie Daten, die für die Prüfungsausschüsse und ihre Geschäftsstellen für die Prüfungen nach den §§ 106 bis 106c SGB V erforderlich sind, spätestens nach zehn Jahren,
2. die Daten, die auf Grund der nach § 266 Abs. 8 Satz 1 SGB V erlassenen Rechtsverordnung für die Durchführung des Risikostrukturausgleichs nach den §§ 266 und 267 SGB V erforderlich sind, spätestens nach den in der Rechtsverordnung genannten Fristen.
Die Fristen beginnen mit dem Ende des Geschäftsjahres, in dem die Leistungen gewährt oder abgerechnet wurden. Abweichend von § 304 Abs. 1 Satz 1 Nr. 2 SGB V können Krankenkassen die rechtmäßig gespeicherten ärztlichen Abrechnungsdaten für Zwecke der Weiterentwicklung und Durchführung des Risikostrukturausgleichs länger aufbewahren; sie sind nach spätestens vier Jahren in der Verarbeitung einzuschränken und spätestens nach den in der Rechtsverordnung genannten Fristen zu löschen. Darüber hinaus können Krankenkassen Leistungsdaten für Zwecke der Krankenversicherung länger aufbewahren, wenn sichergestellt ist, dass ein Bezug zum Arzt und Versicherten nicht mehr herstellbar ist.
Die Frist nach § 304 Abs. 1 Satz 1 Nr. 1 SGB V ist – nachdem die Mitgliedschaft des Klägers bei der Beklagten bereits im Jahre 2004 geendet hat und sich die noch gespeicherten Daten auf Name, Adresse, Geburtsdatum, Versicherungsnummer und Rentenversicherungsnummer beschränken – verstrichen. Ein Fall des § 304 Abs. 1 Satz 1 Nr. 2 SGB V liegt nicht vor; auf die Erforderlichkeit der Daten zur Durchführung des Risikostrukturausgleichs hat sich die Beklagte nicht berufen. Es handelt sich bei den von der Beklagten zur Person des Klägers gespeicherten Daten zudem nicht um Leistungsdaten ohne Bezug zu einem Arzt oder einem Versicherten i.S. von § 304 Abs. 1 Satz 4 SGB V; die Daten sind dem Kläger zuordenbar.
Zudem regelt § 304 Abs. 1 SGB V – ungeachtet der in Satz 2 enthaltenen Formulierung – keine Aufbewahrungsfristen im Sinne von Zeiträumen, innerhalb derer eine Verpflichtung zur Aufbewahrung besteht, sondern eine zeitliche Begrenzung der zulässigen Aufbewahrung von gespeicherten Sozialdaten bei Krankenkassen, Kassenärztlichen Vereinigungen und Prüfgremien in Gestalt relativer und absoluter Löschungsfristen (Schäfer in: Berchtold/Huster/Rehborn, Gesundheitsrecht, 2. Aufl. 2018, § 304 SGB V Rn. 2). Die Norm steht auch aus diesem Grunde der vom Kläger begehrten Löschung von personenbezogenen Daten nicht entgegen.
Auch andere Regelungen zur Aufbewahrung der Daten stehen dem Löschungsanspruch des Klägers nicht entgegen. Soweit die noch gespeicherten Daten dem Versichertenverzeichnis nach § 288 SGB V zuzuordnen sind, fehlen spezielle gesetzliche Aufbewahrungsfristen. Nach § 110a SGB IV hat die Behörde Unterlagen, die für ihre öffentlich-rechtliche Verwaltungstätigkeit, insbesondere für die Durchführung eines Verwaltungsverfahrens oder für die Feststellung einer Leistung, erforderlich sind, nach den Grundsätzen ordnungsmäßiger Aufbewahrung aufzubewahren. Der Begriff der „ordnungsgemäßen Aufbewahrung“ ist nicht definiert, vielmehr handelt es sich um einen unbestimmten, der Auslegung zugängigen Rechtsbegriff. Anhaltspunkte für eine Auslegung finden sich in den Gesetzesmaterialien. Danach orientieren sich die Grundsätze ordnungsgemäßer Aufbewahrung an der Bedeutung der aufzubewahrenden Dokumente für die jeweilige öffentlich-rechtliche Verwaltungstätigkeit der Behörde (Paulus in: Schlegel/Voelzke, jurisPK-SGB IV, 4. Aufl., Stand: 01.08.2021, § 110a Rn. 16). Dadurch, dass diese Aufgabenstellungen je nach gesetzlicher Aufgabe sehr unterschiedlich sind, kann es nicht zu festen Aufbewahrungsfristen, die gesetzlich manifestiert sind, kommen. Vielmehr muss jede Behörde dies für sich entscheiden, bzw. wenn es mehrere vergleichbare Behörden gibt, gemeinsam festlegen, welche Aufbewahrungsfristen einzuhalten sind (Paulus in: Schlegel/Voelzke, jurisPK-SGB IV, 4. Aufl., Stand: 01.08.2021, § 110a Rn. 19). Die Spitzenverbände der Träger der Sozialversicherung werden deshalb durch § 110c SGB IV ermächtigt, die gesetzlichen Vorgaben des § 110a SGB IV zur ordnungsgemäßen Aufbewahrung von Unterlagen durch entsprechende Vereinbarungen zu konkretisieren, da bei den Trägern der Sozialversicherung die größere Sachnähe bei der Beurteilung der Frage, inwieweit Unterlagen für die Verwaltungstätigkeit noch erforderlich sind, besteht (Steinbach in: Hauck/Noftz SGB IV, Stand Februar 2022, § 110c Rn. 1). Die auf der Grundlage des § 110a Abs. 1 SGB IV ergangenen „Grundsätze ordnungsmäßiger Aufbewahrung im Sinne des § 110a SGB IV, Voraussetzungen der Rückgabe und Vernichtung von Unterlagen sowie Aufbewahrungsfristen für Unterlagen für den Bereich der gesetzlichen Kranken- und Pflegeversicherung Version: 4.0 Stand: 08.02.2022“ (nachfolgend: Grundsätze ordnungsgemäßer Aufbewahrung), regeln die Voraussetzungen der Rückgabe und Vernichtung von Unterlagen sowie die Aufbewahrungsfristen für Unterlagen für den Bereich der gesetzlichen Kranken- und Pflegeversicherung. Die ersten beiden Teile bestehen aus Beschreibungen von Grundsätzen und Begriffsbestimmungen. Weitere Teile enthalten Aufbewahrungskataloge sowie die allgemeine Beschreibung von Programmen zur Durchführung der Löschung und Archivierung. Im Hinblick auf die Konkretisierung und praktische Handhabung sind die Aufbewahrungskataloge besonders bedeutsam (Hochheim in: Hauck/Noftz SGB IV, § 110c Rn. 11). Nach Ablauf der Aufbewahrungsfrist wird davon ausgegangen, dass die Löschung der Daten von Amts wegen vorzunehmen ist, weil schützenswerte Interessen an der weiteren Datenspeicherung nicht mehr bestehen. Hiernach gilt für Daten des Versichertenverzeichnisses eine Aufbewahrungsfrist von 30 Jahren. Diese ist beim Kläger unter Berücksichtigung der 2004 beendeten Mitgliedschaft zwar noch nicht erreicht.
Die in der Verwaltungsvereinbarung vorgesehene Aufbewahrungsfrist schließt den Anspruch auf Löschung der noch gespeicherten Daten im vorliegenden Fall indes nicht aus. Es handelt sich bereits nicht um eine gesetzliche Aufbewahrungsverpflichtung im Sinne des Art. 17 Abs. 3 Buchst. b DSGVO. In Erwägungsgrund 41 lässt der Verordnungsgeber erkennen, dass – jedenfalls unionsrechtlich – die Ausfüllung von Öffnungsklauseln nicht notwendigerweise durch parlamentarisches Gesetz zu erfolgen hat, solange sie klar, präzise und für die Rechtsunterworfenen vorhersehbar sind. Soweit mit deutschem Verfassungsrecht vereinbar, sind zulässige Rechtsetzungsformen neben formellen Bundes- und Landesgesetzen also auch Rechtsverordnungen sowie Satzungen juristischer Personen des öffentlichen Rechts. Verwaltungsvorschriften kommen in Ermangelung einer unmittelbaren Rechtswirkung nach außen hingegen nicht in Betracht (Albers/Veit in: BeckOK Datenschutzrecht, 45. Edition, Stand: 01.05.2023, Art. 6 DSGVO Rn. 82 m.w.N.). Gleiches gilt für die auf der Grundlage des § 110c Abs. 1 SGB IV zustande gekommenen Verwaltungsvereinbarungen. Gemeinsame Vereinbarungen haben den Rechtscharakter von Verwaltungsvorschriften. Bindungswirkung entfalten sie nach Außen erst durch verwaltungspraktische Anwendung i.V.m. Art. 3 Grundgesetz (Hochheim in: Hauck/Noftz SGB IV, § 110c Rn. 6).
§ 84 SGB X – der gemäß § 35 Abs. 2 Satz 1 SGB I dem § 35 Bundesdatenschutzgesetz (BDSG) vorgeht (Bieresborn in: Schütze, SGB X, 9. Aufl. 2020, vor §§ 67-85a Rn. 64) – steht dem vom Kläger geltend gemachten Anspruch ebenfalls nicht entgegen.
Nach § 84 Abs. 1 SGB X besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung von Sozialdaten gemäß Art. 17 Abs. 1 DSGVO ergänzend zu den in Art. 17 Abs. 3 DSGVO genannten Ausnahmen nicht, wenn eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Art. 18 DSGVO.
§ 84 Abs. 4 SGB X sieht ergänzend zu Art.17 Abs. 3 Buchst. b DSGVO vor, dass das Recht und die Pflicht zur Löschung von Sozialdaten dann nicht besteht, wenn der Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.
Diese Ausnahmetatbestände liegen nicht vor.
Es ist weder vorgetragen oder sonst ersichtlich, dass die hier in Streit stehenden Daten von der Beklagten nicht automatisiert verarbeitet werden, noch, dass die Datenlöschung nur mit unverhältnismäßigem Aufwand i.S.d. § 84 Abs. 1 SGB X möglich wäre.
Soweit der deutsche Gesetzgeber den Ausnahmetatbestand des § 84 Abs. 4 SGB X auf die Öffnungsklausel des Art. 17 Abs. 3 Buchst. b DSGVO gestützt hat, vermag auch diese Vorschrift keine abweichende Beurteilung zu begründen. Zwar handelt es sich bei den Grundsätzen ordnungsgemäßer Aufbewahrung um vertragliche Vereinbarungen zur Aufbewahrung. Sie dienen nach den darin enthaltenen Erläuterungen jedoch lediglich als Empfehlungen und stehen unter dem Vorbehalt gesetzlicher Regelungen und Erforderlichkeitsprüfungen. Sie enthalten daher absolute Löschfristen, nicht aber strikt einzuhaltende Aufbewahrungsfristen. Für die Einordnung als Löschfrist spricht insbesondere Punkt 3.4 der Grundsätze, der auf gesetzliche Löschfristen Bezug nimmt. Auch weitere Formulierungen im Aufbewahrungskatalog (Punkt 4.1 der Grundsätze ordnungsgemäßer Aufbewahrung) stützen dies. So sind die Daten des Versichertenverzeichnisses „grundsätzlich“ 30 Jahre nach Beendigung des Versicherungsverhältnisses aufzubewahren. Der Aufbewahrungszeitraum ist „regelmäßig“ einzuhalten. Raum für Ausnahmekonstellationen besteht daher auch dann, wenn der Betroffene die Löschung der zu seiner Person gespeicherten Daten verlangt und Gründe für die Notwendigkeit der weiteren Speicherung der Daten – wie im vorliegenden Fall – nicht vorliegen.
Zudem handelt es sich bei den Grundsätzen ordnungsgemäßer Aufbewahrung um eine Verwaltungsvereinbarung und damit um eine Vereinbarung, an der Versicherte/Betroffene nicht selbst beteiligt sind. Zwar können vertragliche Aufbewahrungsfristen i.S.d. § 84 Abs. 4 SGB X nicht nur in Verträgen zwischen dem Verantwortlichen und dem Betroffenen vereinbart sein, sondern auch in Verträgen zwischen dem Verantwortlichen und Dritten. Da der Verantwortliche durch Verträge mit Dritten aber nicht die Ausübung der Betroffenenrechte erschweren oder unmöglich machen können soll, wird zurecht für eine teleologische Reduktion des Begriffs dahingehend plädiert, dass nur Aufbewahrungsfristen aus Verträgen zwischen dem Verantwortlichen und dem Betroffenen einer Löschung entgegenstehen können (so zur Parallelvorschrift des § 35 Abs. 3 BDSG: Peuker in: Sydow/Marsch DSGVO/BDSG, 3. Aufl. 2022, § 35 BDSG Rn. 27). An einer solchen vertraglichen Vereinbarung fehlt es aber.
Sonstige Gründe, die dem Löschungsanspruch des Klägers entgegenstehen könnten, hat die Beklagte nicht vorgetragen. Solche sind auch sonst nicht ersichtlich.
3. Die Kostenentscheidung folgt aus § 193 Abs. 1, 4 SGG.
4. Gründe für die Zulassung der Revision liegen nicht vor, § 160 Abs. 2 SGG.