Neue EU-DSGVO: gesonderte Vereinbarung zwischen Arbeitgeber und mhplus nicht nötig.

Am 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Die mhplus ist verpflichtet - wie private Unternehmen und andere öffentliche Stellen auch -, die gesetzlichen Vorgaben einzuhalten.

Wir - die mhplus - sind per Gesetz dazu verpflichtet, zu informieren, welche Daten wir zu welchem Zweck erheben und verarbeiten (Art. 13 DSGVO). Diese Information sowie welche gesetzlichen Vorschriften der Erhebung zugrunde liegen und an wen die mhplus Daten übermittelt, können Sie in unseren Hinweisen zum Datenschutz entnehmen.

Daher ist der Abschluss einer gesonderten Vereinbarung zur Auftragsverarbeitung (oder auch "Auftragsdatenverarbeitung") zwischen Arbeitgebern und der mhplus rechtlich gar nicht vorgesehen: Als Körperschaft öffentlichen Rechts übernehmen wir gesetzliche Aufgaben in der Sozialversicherung. Damit müssen wir uns an die gesetzlichen Anforderungen halten; die Aufgaben sind in den Sozialgesetzbüchern (SGB) geregelt.

Wenn Arbeitgeber Daten an die Krankenkassen übermitteln, hat dies auf sie datenschutzrechtlich keine Auswirkungen. Denn der deutsche Gesetzgeber hat die datenschutzrechtlichen Vorschriften im SGB X an die Vorgaben der neuen EU-Datenschutzgrundverordnung angepasst.

Eine Auftragsdatenverarbeitung nach dem alten oder nach dem neuen Recht ist nur dann erforderlich, wenn es für die Übermittlung, Nutzung oder Verarbeitung der Daten keine gesetzliche Rechtsgrundlage - wie beispielsweise in den Sozialgesetzbüchern - gibt.