Bundessozialgericht, Beschluss vom 10.11.2021, Az. B 1 KR 86/20 B

Der bei der beklagten Krankenkasse ([X.]) versicherte Kläger ist mit seinem Begehren auf Ausstellung einer elektronischen Gesundheitskarte ([X.]) ohne Lichtbild bei der [X.] und in den Vorinstanzen ohne Erfolg geblieben. Das [X.] hat zur Begründung seiner Entscheidung - unter Bezugnahme auf die [X.] - ausgeführt: Die Verpflichtung zur Nutzung der [X.] ergebe sich aus den §§ 15 und 291 [X.] Gemäß § 291 [X.] 1 Satz 1 [X.] stelle die [X.] für jeden Versicherten eine [X.] aus. Sie diene nach § 291 [X.] 1 Satz 2 [X.] als Versicherungsnachweis und Mittel zur Abrechnung von Leistungen der gesetzlichen Krankenversicherung und sei nach § 291 [X.] 2 Satz 4 [X.] mit einem Lichtbild des Versicherten zu versehen. § 291 [X.] 2 Satz 5 [X.], der Versicherte hiervon ausnehme, deren Mitwirkung bei der Erstellung des Lichtbildes nicht möglich sei, gewähre kein Wahlrecht. Die zugrundeliegenden Regelungen verstießen weder gegen Verfassungs- noch gegen Datenschutzrecht, wie bereits mehrfach höchstrichterlich bestätigt worden sei (Hinweis auf BSG vom 18.11.2014 - [X.] KR 35/13 R - [X.], 224 = [X.]-2500 § 291a [X.] 1; BSG vom 18.12.2018 - [X.] KR 31/17 R - [X.], 181 = [X.]-2500 § 284 [X.] 4; BSG vom 11.11.2019 - [X.] KR 87/18 B - juris). Der Kläger könne auch nicht vor dem Hintergrund der Regelung in § 15 [X.] 6 Satz 5 [X.] die erneute Ausstellung einer Ersatzbescheinigung verlangen (Urteil vom 24.9.2020).

Mit seiner Beschwerde wendet sich der Kläger gegen die Nichtzulassung der Revision im [X.]-Urteil.

Die Beschwerde, mit der der Kläger allein die grundsätzliche Bedeutung der Rechtssache geltend macht (§ 160 [X.] 2 [X.] 1 SGG), ist jedenfalls unbegründet.

1. Grundsätzliche Bedeutung hat eine Rechtssache nur dann, wenn sie eine Rechtsfrage aufwirft, die - über den Einzelfall hinaus - aus Gründen der Rechtseinheit oder der Fortbildung des Rechts einer Klärung durch das Revisionsgericht bedürftig und fähig ist. Hieran fehlt es.

Der Kläger stellt folgende Rechtsfragen:

Im [X.] will der Kläger damit wissen, ob Versicherte Anspruch auf Ausstellung einer [X.] ohne Lichtbild haben, weil von den [X.] Systeme mit geheimen Quellcodes zur Datenspeicherung genutzt werden. Zugleich will er damit wissen, ob im Rahmen der Telematikinfrastruktur geheime Quellcodes rechtmäßig eingesetzt werden dürfen.

a) Die aufgeworfenen Rechtsfragen haben keine grundsätzliche Bedeutung; sie bedürfen keiner Klärung in einem Revisionsverfahren. Das Bedürfnis für die Klärung einer Rechtsfrage in einem Revisionsverfahren fehlt, wenn das BSG die Rechtsfrage zwar nicht unter den dort aufgeworfenen Aspekten ausdrücklich behandelt hat, aber deren Beantwortung einerseits nach der klaren Rechtslage nicht ernsthaft in Zweifel steht (vgl auch BSG vom 4.6.1975 - 11 BA 4/75 - [X.], 40, 42 = [X.] 1500 § 160a [X.] 4 S 5; BSG vom 19.7.2012 - [X.] KR 65/11 B - [X.]-1500 § 160a [X.] 32 Rd[X.] 17) und verbleibende Restzweifel andererseits aufgrund der dazu ergangenen höchstrichterlichen Rspr im Ergebnis jedenfalls bereits ausgeräumt sind, sodass eine weitere Klärung oder Fortentwicklung des Rechts nicht mehr zu erwarten ist (vgl BSG vom 7.3.2017 - B 2 U 140/16 B - [X.]-1920 § 52 [X.] 18 Rd[X.] 8; BSG vom 19.12.2017 - [X.] KR 17/17 B - juris Rd[X.] 6 mwN). So liegt der Fall hier.

Der erkennende [X.] hat bereits entschieden, dass die aktuellen Regelungen zur [X.] mit höherrangigem Recht vereinbar sind (vgl BSG vom [X.] - [X.] KR 7/20 R - [X.], 169 = [X.]-2500 § 291a [X.] 2 Rd[X.] 14 ff mwN). § 291 [X.] 2 Satz 4 und 5 [X.] (ab dem 20.10.2020: § 291a [X.] 5 [X.]) bestimmt: Die [X.] ist mit einem Lichtbild des Versicherten zu versehen. Versicherte bis zur Vollendung des 15. Lebensjahres sowie Versicherte, deren Mitwirkung bei der Erstellung des Lichtbildes nicht möglich ist, erhalten eine [X.] ohne Lichtbild. Die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der [X.] nach Maßgabe der einschlägigen Vorschriften des [X.] ist nach der genannten Rspr des erkennenden [X.]s - unabhängig davon, ob die [X.] hierauf anwendbar ist - jedenfalls durch die Ermächtigungen in Art 6 [X.] 1 Buchst c und [X.] 3 [X.] und - soweit besondere Kategorien von Daten iS von Art 9 [X.] 1 [X.] betroffen sind - Art 9 [X.] 2 Buchst h und [X.] 3 [X.] gedeckt. Die gesetzlichen Regelungen stehen danach auch mit den Vorgaben zur Gewährleistung von Datensicherheit (Art 5 [X.] 1 Buchst f, Art 32, 35, 25 [X.]) in Einklang (vgl hierzu ausführlich BSG vom [X.] - [X.] KR 7/20 R - [X.], 169 = [X.]-2500 § 291a [X.] 2 Rd[X.] 29 ff). Nach dieser Rspr verletzt die gesetzliche Obliegenheit zur Nutzung der [X.] die betroffenen Versicherten auch nicht in ihren Grundrechten. Der in der Obliegenheit zur Nutzung der [X.] und der Verarbeitung der damit im Zusammenhang stehenden personenbezogenen Daten des [X.] liegende Grundrechtseingriff ist sowohl am Maßstab des nationalen Grundrechts auf informationelle Selbstbestimmung (Art 2 [X.] 1 iVm Art 1 [X.] 1 GG), als auch am Maßstab der durch die Art 7 und 8 [X.] Grundrechtecharta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten gerechtfertigt (vgl hierzu im Einzelnen BSG vom [X.] - [X.] KR 7/20 R - [X.], 169 = [X.]-2500 § 291a [X.] 2 Rd[X.] 90 ff).

b) Dass die Beklagte bzw die für die Verarbeitung personenbezogener Daten im Rahmen der [X.] (vgl § 307 [X.]) - nach dem Vortrag des [X.] - zur Datenspeicherung Systeme mit geheimen Quellcodes nutzt und die zugrundeliegenden gesetzlichen Regelungen dies nicht unterbinden, steht dem nicht entgegen. Wie der [X.] bereits entschieden hat, gibt die Verfassung nicht detailgenau vor, welche Sicherheitsmaßgaben im Einzelnen geboten sind (BSG vom [X.] - [X.] KR 7/20 R - [X.], 169 = [X.]-2500 § 291a [X.] 2 Rd[X.] 102 unter Hinweis auf [X.] vom [X.] - 1 BvR 256/08 ua - [X.]E 125, 260, 326), sondern belässt dem Gesetzgeber insofern einen Einschätzungs-, Wertungs- und Gestaltungsspielraum, der auch Raum lässt, etwa konkurrierende öffentliche und private Interessen zu berücksichtigen (BSG, aaO, unter Hinweis auf [X.] vom 29.10.1987 - 2 BvR 624/83 ua - [X.]E 77, 170, 215 f; [X.] vom [X.] - 1 BvR 612/12 - juris Rd[X.] 41 mwN). Insofern liegt auch der Rspr des [X.] zugrunde, dass es keine absolute Datensicherheit gibt und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet. Im Ergebnis muss jedoch ein Standard gewährleistet werden, der insbesondere der Sensibilität der betroffenen Daten und dem jeweiligen [X.] hinreichend Rechnung trägt. Dabei ist sicherzustellen, dass sich dieser Standard - etwa unter Rückgriff auf einfachgesetzliche Rechtsfiguren wie den Stand der Technik (vgl hierzu allgemein Fischer/Ekrot/[X.] in [X.], Cybersecurity, 1. Aufl 2020, [X.]) - an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt. Hierbei erfolgt auch nach der Rspr des [X.] eine Überprüfung vor allem am Maßstab des vorhandenen Normengeflechts zur Gewährleistung von Datensicherheit.

Erforderlich sind gesetzliche Regelungen, die einen ausreichend hohen Sicherheitsstandard in qualifizierter Weise jedenfalls dem Grunde nach normenklar und verbindlich vorgeben. Verfassungsrechtlich geboten sein können weiterhin eine für die Öffentlichkeit transparente Kontrolle unter Einbeziehung unabhängiger Datenschutzbeauftragter sowie ein ausgeglichenes Sanktionensystem, das auch Verstößen gegen die Datensicherheit ein angemessenes Gewicht beimisst (vgl [X.] vom [X.] - 1 BvR 256/08 ua - [X.]E 125, 260, 326 f). Darüber hinaus trifft den Gesetzgeber eine Beobachtungs- und ggf Nachbesserungspflicht (vgl dazu allgemein [X.] vom 28.5.1993 - 2 [X.] ua - [X.]E 88, 203, 309 ff; [X.] vom 24.1.2012 - 1 BvR 1299/05 - [X.]E 130, 151, 198 f = juris Rd[X.] 161; [X.] vom [X.] - 1 BvR 612/12 - juris Rd[X.] 42, mwN; [X.] in [X.]/Kirchhof, Handbuch des Staatsrechts, [X.], 3. Aufl 2011, § 191 Rd[X.] 285 ff), um zB auf sich künftig zeigende Sicherheitslücken zu reagieren (vgl BSG vom 18.11.2014 - [X.] KR 35/13 R - [X.], 224 = [X.]-2500 § 291a [X.] 1, Rd[X.] 34; [X.]/[X.] in [X.]/[X.], 1. Aufl 2015, [X.], [X.]). Dem entsprechen die maßgeblichen gesetzlichen Regelungen (vgl BSG vom [X.] - [X.] KR 7/20 R - [X.], 169 = [X.]-2500 § 291a [X.] 2 Rd[X.] 104 mwN). Der Gesetzgeber ist seiner Beobachtungs- und Nachbesserungspflicht bislang ausreichend nachgekommen (vgl hierzu BSG, aaO, Rd[X.] 105 f mwN). Durch die speziellen datenschutzrechtlichen Rechtsbehelfe nach Art 77 ff [X.] iVm §§ 81 ff [X.] ist auch eine effektive Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben durch die Gerichte gewährleistet (vgl BSG, aaO, Rd[X.] 99 f und 111).

c) Aus dem Vortrag des [X.] ergeben sich keine Anhaltspunkte dafür, dass - orientiert am Entwicklungs- und Erkenntnisstand der aktuellen Fachdiskussion - Systeme mit geheimen Quellcodes nach dem gegenwärtigen Stand der Technik kein vertretbares Sicherheitsniveau gewährleisten könnten und der Gesetzgeber daher insoweit zur Nachbesserung verpflichtet wäre. Zudem wäre der Kläger gehalten, sich bei eventuellen Verstößen gegen diese mittels der datenschutzrechtlichen Rechtsbehelfe zu wehren.

2. Der [X.] sieht von einer weiteren Begründung ab (§ 160a [X.] 4 Satz 2 Halbsatz 2 SGG).

3. [X.] beruht auf einer entsprechenden Anwendung des § 193 SGG.