Individuelle datenschutzrechtliche Anfragen von Bürgerinnen und Bürger sind an die Datenschutzbeauftragten der jeweiligen Institution oder an die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI) zu richten. 

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-999
E-Mail: poststelle [at] ldi.nrw.de (poststelle[at]ldi[dot]nrw[dot]de)

Anträge zur Übermittlung von Forschungsvorgaben und Planung gemäß § 75 SGB X

Das Ministerium für Arbeit, Gesundheit und Soziales (MAGS) genehmigt Anträge zur Übermittlung von Sozialdaten für Forschungsvorhaben und Planung im Sozialleistungsbereich gemäß § 75 SGB X. 
Den Vordruck für die frühzeitige Übersendung des Antrags finden Sie hier:

• Genehmigungsanträge nach § 75 SGB X

Anzeigen zu datengestützten Auswertungen durch die Kranken- und Pflegekassen gem. § 25b SGB V

Nach § 25 SGB V können Kranken- und Pflegekassen datengestützte Auswertungen zum Gesundheitsschutz ihrer Versicherten durchführen. Diese sind der zuständigen Aufsichtsbehörde vorab anzuzeigen.
Den Vordruck für die frühzeitige Übersendung der Anzeige finden Sie hier:

• in Arbeit, hilfsweise formlose Zusendung

Anzeigen von Auftragsverarbeitungen gemäß § 80 SGB X

Nach § 80 SGB X hat der Verantwortliche die Erteilung eines Auftrags im Sinne des Artikels 28 der Verordnung (EU) 2016/679 zur Verarbeitung von Sozialdaten rechtzeitig vor der Auftragserteilung der Rechts- oder Fachaufsichtsbehörde anzuzeigen. 

Die Anzeigepflicht besteht nur, wenn Sozialdaten verarbeitet werden sollen. Sozialdaten sind personenbezogene Daten, die von einer in § 35 SGB l genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.  § 80 SGB X sieht eine Anzeigepflicht vor. Die Auftragsverarbeitung bedarf keiner Genehmigung.

Die Einhaltung der gesetzlichen Vorgaben bleibt in der Verantwortung der Institution.

Den Vordruck für die frühzeitige Übersendung der Anzeige finden Sie hier:

• Anzeigen nach § 80 SGB X

Weitere allgemeine Hinweise

Für die Wahrung des Sozialdatenschutzes ist bei der Verarbeitung der
Sozialdaten in cloudbasierten Anwendungen oder Nutzung von KI-Systemen sind folgende Hinweise zu berücksichtigen.

Cloudbasierte Anwendungen

Eine Auftragsverarbeitung in einer Cloud ist unter Beachtung des Sozialdatenschutzes möglich, wenn folgende Kriterien erfüllt sind:

• Ausschluss der Verarbeitung für Zwecke Dritter
• Darlegung der Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherstellung des Sozialdatenschutzes
• Transparenz zu den Themen Unterauftragnehmer und Verarbeitungsort
• individuelle Vereinbarung mit dem Dritten zum Schutz der Sozialdaten
• transparente Kontrollmöglichkeiten bzw. Nachvollziehbarkeit der Datenverarbeitung in der Cloud
• überprüfbare Löschung von Sozialdaten
• klare Verschlüsselungsrechte/Entschlüsselung bei Cloudnutzung
• keine Zugriffsmöglichkeit durch Drittstaaten
• konkrete Exitstrategie, die vertraglich zu regeln ist:
  • Vermeidung von Abhängigkeiten/ Wechsel zu anderen Dienstleistern muss möglich bleiben: Export, Löschung und Rückgabe personenbezogener Sozialdaten
• Wirtschaftlichkeitsbetrachtung unter Berücksichtigung der Exitstrategie und
• jeweilige Institution muss digital souverän bleiben, d.h. Unabhängigkeit in der Anwendung

Einsatz Künstlicher Intelligenz

Die Grundsätze für die Verarbeitung personenbezogener Daten gelten auch für KI-Systeme. Personenbezogene Daten müssen u. a. in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5 Abs. 1 lit. a DSGVO). Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche (Art. 4 Nr. 7 DSGVO) die Einhaltung des Absatzes 1 gewährleisten und muss dessen Erfüllung nachweisen können („Rechenschaftspflicht“). 
Hier wird besonders der Grundsatz der Transparenz relevant, dieser setzt insbesondere voraus, dass die Umstände der Verarbeitung in verständlicher, klarer und einfacher Sprache erklärt werden. Die Verantwortlichen müssen sich demnach mit der Frage auseinandersetzen, wie die Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise erklärt werden kann.

Wie erreichen Sie die Rechtsaufsicht für Sozialdatenschutz?

Schicken Sie uns Ihr Anliegen postalisch an:

Ministerium für Arbeit, Gesundheit und Soziales
des Landes Nordrhein-Westfalen
Referat III B1
Fürstenwall 25
40219 Düsseldorf

oder alternativ per E-Mail an: referat-IIIB1 [at] mags.nrw.de (referat-IIIB1[at]mags[dot]nrw[dot]de).