Landessozialgericht Niedersachsen-Bremen
Urt. v. 14.02.2023, Az.: L 16 SF 5/21 DS (KR)
Anspruch des Versicherungsnehmers einer Krankenkasse auf eine gerichtlich überprüfbare ermessenfehlerfreie Entscheidung gegenüber der Bundesbeauftragtes für den Datenschutz und die Informationssicherheit; Auskunft zum Versichertenschutz betreffend die sozialversicherungsrechtliche Leistungsbeziehung zwischen Versichertem, Versicherer und Leistungserbringer
Bibliographie
- Gericht
- LSG Niedersachsen-Bremen
- Datum
- 14.02.2023
- Aktenzeichen
- L 16 SF 5/21 DS (KR)
- Entscheidungsform
- Urteil
- Referenz
- WKRS 2023, 44898
- Entscheidungsname
- [keine Angabe]
- ECLI
- [keine Angabe]
Verfahrensgang
- vorgehend
- SG Oldenburg - 20.09.2021 - AZ: S 52 SF 1/21 DS
Rechtsgrundlagen
- Art 57 Abs 1f DSGVO
- Art 77 DSGVO
- Art. 78 Abs 1 DSGVO
- § 14 Abs 1 Satz 6 BDSG
- § 16 Abs 3a SGB V
Amtlicher Leitsatz
Aus Art 57 Abs 1f DSGVO iVm Art 77, 78 Abs 1 DSGVO ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass sich die Aufsichtsbehörde, hier der beklagte Bundesbeauftragte für den Datenschutz und die Informationssicherheit, mit der Beschwerde befasst, sondern es besteht ein Anspruch auf eine gerichtlich überprüfbare ermessenfehlerfreie Entscheidung. Der Aufsichtsbehörde steht sowohl ein Entschließungs- als auch ein Auswahlermessen zu. Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutzgrundverordnung fest, ist ihr Entschließungsermessen angesichts ihrer sich aus Art 57 Abs 1a DSGVO ergebenden Verpflichtung, die Anwendung der Datenschutzgrundverordnung durchzusetzen, regelmäßig dahingehend reduziert, von ihren Abhilfebefugnissen nach Art 58 Abs 2 DSGVO Gebrauch zu machen bzw mit dem Ziel der Abstellung des Verstoßes vorzugehen. Im Bereich des Auswahlermessens steht der Behörde ein weiter Spielraum zu, ein bestimmtes behördliches Handeln kann regelmäßig nicht verlangt werden. Macht der Kläger keine Ansprüche aus seinem Sozialleistungsverhältnis geltend, sondern Ansprüche aus der DSGVO auf ein hoheitliches Einschreiten des Datenschutzbeauftragten, sind Kosten gemäß § 197a SGG iVm dem GKG zu erheben und die §§ 154 bis 162 VwGO anzuwenden. Der Kläger steht nicht in einem Sozialrechtsverhältnis zur Datenschutzaufsichtsbehörde und ist nicht in seiner Eigenschaft als Zugehöriger eines privilegierten Personenkreises im Sinne des § 183 SGG beteiligt. Die garantierte Kostenfreiheit des Beschwerdeverfahrens (Art 57 Abs 3 DSGVO) gilt nach den Grundsätzen der DSGVO nicht für das Gerichtsverfahren.
In dem Rechtsstreit
B.
- Kläger und Berufungskläger -
gegen
C.
- Beklagter und Berufungsbeklagter -
hat der 16. Senat des Landessozialgerichts Niedersachsen-Bremen auf die mündliche Verhandlung vom 14. Februar 2023 in Celle durch die Vorsitzende Richterin am Landessozialgericht D., die Richterin am Landessozialgericht E. und die Richterin am Landessozialgericht F. sowie die ehrenamtliche Richterin G. und den ehrenamtlichen Richter H.
für Recht erkannt:
Tenor:
Die Berufung des Klägers gegen den Gerichtsbescheid des Sozialgerichts Oldenburg vom 20. September 2021 wird zurückgewiesen.
Der Kläger trägt die Kosten beider Rechtszüge.
Der Streitwert wird auf 5.000,- Euro festgesetzt.
Die Revision wird nicht zugelassen.
Tatbestand
Der Kläger rügt eine Datenschutzverletzung durch seine Krankenkasse.
Der am I. 1948 geborene Kläger ist bei der J. Krankenkasse (im Folgenden: K. K) in der Krankenversicherung der Rentner gesetzlich krankenversichert. Im Zuge eines Streits zwischen dem Kläger und der K. K über die Beitragspflicht einer Kapitalleistung aus einer Lebensversicherung erließ die K. K im Mai 2018 einen Bescheid über das Ruhen der Leistungsansprüche des Klägers nach § 16 Abs 3a Sozialgesetzbuch Fünftes Buch (SGB V). In dem hiergegen angestrengten einstweiligen Rechtsschutzverfahren vor dem Sozialgericht (SG) Oldenburg (Az S 61 KR 344/20) obsiegte der Kläger (Beschluss vom 23. November 2020). Die K. K wies den Kläger mit Schreiben vom 25. November 2020 darauf hin, dass sie den Beschluss des SG umgesetzt habe und sein Leistungsanspruch nicht mehr ruhe. Im November 2019 hatte der Kläger außerdem bei der K. K einen Zuschuss zu den Kosten einer Zahnbehandlung beantragt, die diese mit Bescheid vom 14. November 2019 in der Gestalt des Widerspruchsbescheides vom 4. Juni 2020 ebenfalls mit der Begründung eines ruhenden Leistungsanspruchs ablehnte. In dem hiergegen angestrengten Eilverfahren (Az S 61 KR 18/20 und L 16 KR 491/20 B ER) unterlag der Kläger in zwei Instanzen (Beschlüsse vom 26. November 2020 und 18. Dezember 2020). Über die gegen Ruhensbescheid und Ablehnungsbescheid ebenfalls erhobenen Klagen (Az S 61 KR 343/20 und S 61 KR 344/20) ist noch nicht entschieden.
Mitte Januar 2021 erhielt der Kläger zwei Schreiben von der K. K. Mit Schreiben vom 11. Januar 2021 bestätigte die K. K dem Kläger wunschgemäß, dass er in den Jahren 2019, 2020 und auch aktuell bei ihr versichert sei und der Leistungsanspruch nicht eingeschränkt gewesen oder aktuell sei. Mit dieser Information sehe sie keinerlei Hinderungsgründe für die Zahnarztpraxis, seine anstehende Behandlung regulär über die Gesundheitskarte abzurechnen. Mit Schreiben vom 12. Januar 2021 nahm die K. K zu einem vom Kläger gegen sie geltend gemachten Schadensersatz Stellung und führte abschließend aus: "Unabhängig davon nehme ich gerne eine fachliche Prüfung vor, ob die Voraussetzungen für die Kostenübernahme der Implantate einschließlich Suprakonstruktionen vorliegen. Dazu warte ich auf die Unterlagen, wie am 16. Dezember 2020 telefonisch besprochen." Das Schreiben vom 11. Januar 2021 leitete der Kläger an seine behandelnde Zahnarztpraxis (Praxis Dr L.) weiter.
Am 14. Januar 2021 erhielt der Kläger eine E-Mail mit folgendem Wortlaut von der Zahnarztpraxis:
"Hallo Herr M.,
ich habe gerade mit der K. KK Herrn N. telefoniert, er sagte mir, Sie hätten am 12.01.2021 auch nochmal ein Schreiben der K. KK bekommen und dass Sie sich bitte mit Ihrer Krankenkasse in Verbindung setzen sollten, da von uns alles korrekt gelaufen und abgerechnet wurde...
Der abgelehnte Heil- und Kostenplan von Okt/2019 wurde von der KK zu Ihnen geschickt, nicht zur Praxis! Ich habe mir hier lediglich eine Info gemacht, dass der Plan abgelehnt wurde; da Sie, zumindest zu dem damaligen Zeitpunkt, eingeschränkt versichert waren laut tel Aussage von heute."
Mit Schreiben vom selben Tag wandte der Kläger sich daraufhin an die K. K und forderte sie auf, unverzüglich ihre Erklärungen aus ihrem Schreiben vom 11. Januar 2021 zu bestätigen, die falschen Aussagen des Herrn N. vollumfänglich zu widerrufen und der Zahnarztpraxis mitzuteilen, dass das Schreiben vom 12. Januar 2021 (Schadensersatz im Innenverhältnis K. K ./. M.) aus Datenschutzgründen nicht habe erwähnt werden dürfen. Die Praxis sei zu veranlassen, von den bekannten Informationen keinen Gebrauch zu machen und alle im Kontext stehenden Daten zu löschen. Die K. K setzte sich daraufhin telefonisch mit dem Kläger in Verbindung und teilte ihm im Anschluss mit Schreiben vom 25. Januar 2021 mit, dass sie der Praxis Dr L. telefonisch ein Verwertungsverbot bezüglich der Erwähnung des Schreibens vom 12. Januar 2021 ausgesprochen habe. Sie habe klargestellt, dass ein Ruhen der Leistungsansprüche des Klägers nicht bestanden habe und auch aktuell nicht bestehe. Abschließend entschuldigte die K. K sich für ihren Fehler und teilte mit, dass sie den Datenschutzverstoß an ihr Referat für Datenschutz gemeldet habe.
Mit Schreiben vom 4. Februar 2021 sprach die K. K der Zahnarztpraxis nochmals schriftlich ein Verwertungsverbot aus und bat um Löschung der betroffenen Daten und Mitteilung an evtl beteiligte Dritte.
Mit zwei Schreiben vom 9. Februar 2021 wandte der Kläger sich an die K. K und den Beklagten. Von der K. K verlangte er die Herstellung seines Rufs und den unbedingten Widerruf von Falschaussagen im Kontext einer angeblichen Leistungssperre sowie die vollständige Aufklärung darüber, welche Daten aus dem Brief vom 12. Januar 2021 an die Zahnarztpraxis weitergegeben worden seien und wie dies zu behandeln sei. Gegenüber dem Beklagten gab er an, der Datenschutzbeauftragte der K. K habe bis heute nicht reagiert. Seiner Aufforderung, seinen Ruf gegenüber der Zahnarztpraxis wiederherzustellen, die Falschinformationen zu widerrufen und die Zahnarztpraxis zur Löschung der Daten aus dem Schreiben vom 12. Januar 2021 aufzufordern und den Inhalt nicht zu verwerten, habe die K. K nicht entsprochen. Mit weiterem Schreiben vom 15. Februar 2021 schilderte der Kläger dem Beklagten den näheren Hergang und wies nochmals darauf hin, dass der Brief vom 12. Januar 2021 gegenüber der Zahnarztpraxis nicht hätte erwähnt werden dürfen.
Der Beklagte forderte die K. K zur Stellungnahme auf, die mit Schreiben vom 8. März 2021 mitteilte, das konkret im Telefongespräch am 14. Januar 2021 Gesagte könne nicht mehr vollständig rekonstruiert werden. Es sei nicht sicher, ob die Zahnarztpraxis richtig erfasst habe, dass die Ablehnung der Zahnbehandlung aus heutiger Sicht falsch gewesen sei. Dieses sei daher mit Telefonat vom 25. Januar 2021 im Nachgang richtiggestellt worden. Der Datenschutzbeauftragte der K. K sei nach den Faxen des Klägers vom 15. Februar 2021 noch am selben Tag informiert und der Kläger entsprechend benachrichtigt worden. Im Hinblick auf die telefonische Nennung des K. K-Schreibens vom 12. Januar 2021 sei von einer Verletzung des Schutzes personenbezogener Daten des Klägers auszugehen. Nach gewissenhafter und gründlicher Sachverhaltsklärung sowohl intern nach Rücksprache mit Herrn O. (zuständiger K. K-Sachbearbeiter) und Herrn N. als auch extern durch Rücksprache mit der Zahnarztpraxis stehe jedoch fest, dass zu keinem Zeitpunkt inhaltlich auf das Schreiben eingegangen worden sei. Eine entsprechende schriftliche Bestätigung hierüber erhielt der Kläger mit Schreiben vom 4. März 2021 von Herrn N. selbst.
Nach weiterem Schriftwechsel zwischen den Beteiligten und Anhörung des Klägers vom 23. März 2021 wies der Beklagte die Beschwerde des Klägers mit Bescheid vom 10. Mai 2021 teilweise ab. Nach datenschutzrechtlicher Prüfung komme er zu dem Ergebnis, dass die Beschwerde teilweise gerechtfertigt sei und ein datenschutzrechtlicher Verstoß durch die K. K vorliege. Diese habe eingestanden, dass die Erwähnung des Schreibens vom 12. Januar 2021 gegenüber der Zahnarztpraxis nicht erforderlich gewesen sei. Insoweit sei der Beschwerde stattzugeben. Die ebenfalls beanstandeten möglichen Falschaussagen stellten demgegenüber keinen eigenständigen Verstoß gegen datenschutzrechtliche Bestimmungen dar. Über die Richtigkeit zur Feststellung der Leistungspflicht habe das SG Oldenburg zu entscheiden. Datenschutzrechtlich seien die möglicherweise fehlerhaften telefonischen Auskünfte des Mitarbeiters der K. K unbeachtlich. Insoweit werde die Beschwerde abgewiesen.
Am 17. Mai 2021 hat der Kläger Klage bei dem SG Oldenburg erhoben, mit der er weiterhin eine Datenschutzverletzung durch die K. K gerügt hat. Die Behauptung des Beklagten sei unzutreffend. Der namentlich bekannte Mitarbeiter der K. K habe am 14. Januar 2021 gegenüber der Zahnarztpraxis die Leistungspflicht der K. K gegen besseres Wissen erneut in Abrede gestellt. Die Verletzung der Datenschutz-Grundverordnung (DSGVO) bestehe darin, dass die K. K drei unzulässige und unwahre Behauptungen im Abstand von 18 Monaten aufgestellt habe und dass sie nicht berechtigt gewesen sei, mit der Praxis direkt in Kontakt zu treten. Sie sei nicht berechtigt gewesen, gegenüber der Praxis Aussagen über seinen Versichertenstatus zu machen. Im Nachgang zum Telefonat habe die K. K die DSGVO erneut verletzt, weil sie die Praxis nochmals ohne seine Zustimmung kontaktiert habe.
Mit Gerichtsbescheid vom 20. September 2021 hat das SG die Klage abgewiesen und entschieden, dass Kosten nicht zu erstatten seien. In Betracht kommende Anspruchsgrundlagen seien § 14 Abs 1 Nr 6 Bundesdatenschutzgesetz (BDSG) sowie die Art 57 Abs 1 Satz 1 f, Art 77 und 78 DSGVO. Dabei sei in Rechtsprechung und Literatur umstritten, ob die Art 77, 78 DSGVO nur als petitionsähnliche Rechte ausgestaltet seien mit der Folge, dass Gerichte sich grundsätzlich nicht mit der inhaltlichen Richtigkeit der von der Aufsichtsbehörde getroffenen Entscheidung zu befassen hätten oder ob sie tatsächlich ein subjektives Recht der betroffenen Person auf die Ergreifung bestimmter Maßnahmen durch die Aufsichtsbehörde verbürgten. Diese Frage könne hier allerdings unentschieden bleiben. Denn es fehle jedenfalls an einem bisher noch nicht wieder ins Lot gebrachten Verstoß der K. K gegen Vorschriften des Datenschutzes, was der Beklagte zutreffend ausgeführt habe. In Bezug auf die Offenbarung von Existenz und Inhalt des Schreibens vom 12. Januar 2021 gegenüber der Zahnarztpraxis habe die K. K ihren Verstoß eingeräumt und ein Verwertungsverbot ausgesprochen. Den objektivierbaren Interessen des Klägers sei insoweit schon hinreichend Genüge getan worden. Die Notwendigkeit eines weiteren aufsichtsbehördlichen Einschreitens nach Art 58 Abs 2 DSGVO sei nicht zu plausibilisieren. Die falsche Auskunft zum Versichertenschutz betreffe ferner nicht den Datenschutz, sondern die sozialversicherungsrechtliche Leistungsbeziehung zwischen Versichertem, Versicherer und Leistungserbringer. Für den geltend gemachten Schadensersatz seien nach Art 82 Abs 6 und Art 79 DSGVO iVm §§ 23, 71 GVG die ordentlichen Gerichte zuständig. Von dieser Möglichkeit zivilrechtlichen Rechtsschutzes habe der Kläger bereits Gebrauch gemacht und das Landgericht (LG) Hamburg angerufen. Hinsichtlich der getroffenen Kostenentscheidung sei nicht von einer Kostenpflicht nach § 197a Sozialgerichtsgesetz (SGG) auszugehen, da der zu beurteilende Sachverhalt als Annex zu der von § 183 SGG vorgesehenen Kostenprivilegierung für solche Verfahren erachtet werde, die Versicherte in dieser Eigenschaft anstrengten.
Gegen den Gerichtsbescheid hat der Kläger am 27. September 2021 Berufung bei dem Landessozialgericht (LSG) Niedersachsen-Bremen eingelegt. Er wiederholt sein Vorbringen aus der ersten Instanz und trägt ergänzend vor, ein erheblicher Verstoß der K. K gegen die DSGVO liege bereits in ihrem Verhalten im Oktober/November 2019. Die Praxis P. habe den Heil- und Kostenplan auf seinen Wunsch hin mit der Bitte um Genehmigung und Kostenübernahmezusage direkt an die K. K geschickt, um Zeit zu sparen. Anstatt sich an ihn zu wenden, habe die K. K ihre Stellungnahme mündlich und schriftlich an die Praxis abgegeben und mitgeteilt, dass die Leistungspflicht ausgesetzt sei. Hierzu sei sie nicht befugt gewesen.
Der Kläger beantragt,
den Gerichtsbescheid des Sozialgerichts Oldenburg vom 20. September 2021 sowie den Bescheid des Beklagten vom 10. Mai 2021 aufzuheben und den Beklagten zu verpflichten, seiner Beschwerde vom 9. Februar 2021 vollständig abzuhelfen.
Der Beklagte beantragt,
die Berufung zurückzuweisen.
Er wiederholt im Wesentlichen seinen Vortrag aus dem streitgegenständlichen Bescheid und verweist auf die Ausführungen im erstinstanzlichen Gerichtsbescheid. Ergänzend führt er an, das vom Kläger in der Berufungsbegründung angesprochene Verhalten der Zahnarztpraxis falle gemäß § 9 BDSG nicht in seine Zuständigkeit. Der Beklagte ist der Auffassung, der Kläger könne sich vorliegend nicht auf die Kostenprivilegierung aus § 183 SGG berufen. Er stehe im Beschwerdeverfahren nach Art 77 DSGVO nicht in einem Sozialrechtsverhältnis zur Datenschutzaufsichtsbehörde und sei daher nicht in seiner Eigenschaft als Zugehöriger eines privilegierten Personenkreises im Sinne des § 183 Satz 1 SGG am Verfahren beteiligt.
Der Senat hat den Kläger auf eine mögliche Kostenpflichtigkeit des Verfahrens nach Maßgabe des § 197a SGG hingewiesen.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes und wegen des weiteren Vorbringens der Beteiligten wird auf den Inhalt der Prozessakte und den Inhalt der Verwaltungsakte des Beklagten Bezug genommen, die der Entscheidung zugrunde gelegen haben.
Entscheidungsgründe
Die Berufung ist gemäß §§ 143 ff SGG form- und fristgemäß eingelegt worden und auch im Übrigen zulässig. Sie ist aber unbegründet. Der Gerichtsbescheid des SG Oldenburg vom 20. September 2021 ist nicht zu beanstanden.
Die Klage ist zulässig. Für Streitigkeiten zwischen einer natürlichen oder juristischen Person und dem oder der Bundesbeauftragten oder der nach Landesrecht für die Kontrolle des Datenschutzes zuständigen Stelle gemäß Artikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679 aufgrund der Verarbeitung von Sozialdaten im Zusammenhang mit einer Angelegenheit nach § 51 Absatz 1 und 2 des Sozialgerichtsgesetzes ist gemäß § 81a Abs 1 Satz 1 Sozialgesetzbuch Zehntes Buch (SGB X) der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit eröffnet. Vorliegend rügt der Kläger eine Datenschutzverletzung im Zusammenhang mit einer krankenversicherungsrechtlichen Angelegenheit (§ 51 Abs 1 Nr 2 SGG). Ein Vorverfahren findet gemäß § 81a Abs 6 SGB X nicht statt.
Die Klage ist jedoch unbegründet. Der Bescheid vom 10. Mai 2021 ist rechtmäßig. Der Kläger hat keinen Anspruch auf ein weitergehendes Tätigwerden des Beklagten. In Betracht kommende Rechtgrundlage ist Art 57 Abs 1f DSGVO iVm Art 77 DSGVO, die § 14 Abs 1 Satz 6 BDSG als mögliche in Betracht kommende nationale Vorschrift verdrängt (§ 1 Abs 5 BDSG). Hiernach hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt (Art 77 Abs 1 DSGVO). Dabei muss sich jede Aufsichtsbehörde mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist (Art 57 Abs 1f DSGVO). Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78 (Art 77 Abs 2 DSGVO).
Zur Überzeugung des Senats ergibt sich aus diesen Rechtsnormen nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet (so ua aber Oberverwaltungsgericht - OVG - Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20; Verwaltungsgerichtshof - VGH - Baden-Württemberg, Urteil vom 22. Januar 2020 - 1 S 3001/19 Rn 51; SG Frankfurt (Oder) Gerichtsbescheid vom 8. Mai 2019 - S 49 SF 8/19 DS), sondern es besteht ein Anspruch auf ermessenfehlerfreie Entscheidung durch den Beklagten (ebenso wohl: Bundessozialgericht - BSG - , Urteil vom 20. Januar 2021 - B 1 KR 15/20 R, juris Rn 111; außerdem Hamburgisches OVG, Urteile vom 7. Oktober 2019 - 5 Bf 291/17, juris Rn 63 ff und 5 Bf 279/17, juris Rn 63 ff;VG Schwerin, Urteil vom 16. März 2021 - 1 A 1254/20 SN Rn 65 ff; Verwaltungsgericht - VG Ansbach, Urteil vom 16. März 2020 - An 14 K 19.00464 Rn 19; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ Rn 27 und vom 22. Juli 2020 - 1 K 473/19.MZ, Rn 20, 23). Dies ergibt sich bereits aus Art 78 Abs 1 DSGVO, wonach jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde hat. Art 78 Abs 1 DS-GVO spricht zwar von "Beschlüssen", da aber die Aufsichtsbehörden keine Unionsorgane sind, wird davon jede der Bestandskraft fähige Entscheidung und damit auch Verwaltungsakte erfasst (Schütze/Bieresborn, 9. Aufl 2020, SGB X § 81a Rn 8). Auch die Erwägungsgründe 141 Satz 1 und 143 Satz 4 und 5 der DSGVO sprechen davon, dass im Falle einer Ablehnung bzw Abweisung ein wirksamer gerichtlicher Rechtsschutz möglich sein muss. Für ein solches Verständnis dürfte auch die in Erwägungsgrund 11 erklärte Zielsetzung einer "Stärkung" und "präzisen Festlegung" der Rechte der betroffenen Personen durch die DSGVO sprechen (Hamburgisches OVG, Urteil vom 7. Oktober 2019 - 5 Bf 291/17 -, juris Rn 75). Mit einem solchen effektiven Rechtsschutz verträgt sich die Annahme eines petitionsähnlichen Rechts, das lediglich eine rudimentäre gerichtliche Überprüfbarkeit zulässt, nicht (VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 Rn 47; Halder/Heß, jurisPR-ITR 14/2021 Anm 6).
Soweit in der Rechtsprechung teilweise vertreten wird, dass aus Art 78 Abs 2 DSGVO folge, dass ein Beschwerdeführer nur beanspruchen kann, dass sich die Aufsichtsbehörde mit seiner Beschwerde überhaupt befasse und ihn innerhalb der dort genannten Zeiträume über den Stand und das Ergebnis der Beschwerde unterrichte (OVG Rheinland-Pfalz aaO, juris Rn 37), teilt der Senat diese Einschätzung nicht. Denn bei Art 78 Abs 1 DSGVO einerseits und Art 78 Abs 2 DSGVO andererseits handelt es sich um zwei unterschiedliche Rechtsbehelfe. Während Art 78 Abs 2 DSGVO als Untätigkeitsklage ausgestaltet ist und sich darauf richtet, dass die Behörde überhaupt tätig wird, garantiert Art 78 Abs 1 DSGVO gerichtlichen Rechtsschutz gegen die getroffene Entscheidung selbst (Gola/Heckmann/Pötters/Werkmeister, 3. Aufl 2022, DS-GVO Art 78 Rn 2). Dies spiegelt sich auch im Erwägungsgrund 141 wider, der gerichtlichen Rechtsschutz vorsieht sowohl, wenn die Aufsichtsbehörde nicht tätig wird, als auch, wenn diese eine Beschwerde teilweise oder ganz abweist oder ablehnt. Die Differenzierung spricht gerade dafür, dass sich der Rechtsschutz nach Art 78 Abs 1 DSGVO nicht darauf beschränken kann, dass die Behörde sich mit der Beschwerde befasst, gleich, welchen Inhalts dieses Befassen ist. Anderenfalls hätte die Norm praktisch keinen über den Art 78 Abs 2 DSGVO hinausgehenden Inhalt.
Etwas Anderes ergibt sich schließlich auch nicht in Abgrenzung zu Art 79 DSGVO, der gerichtlichen Rechtsschutz gegen den Verantwortlichen selbst regelt. Soweit hier argumentiert wird, dass es sich bei dem Verfahren nach Art 79 DSGVO um ein kontradiktorisches Verfahren handele, das zwischen den Beteiligten rechtsverbindlich kläre, ob der Betroffene durch einen datenschutzrechtlichen Verstoß des Verantwortlichen in subjektiven Rechten verletzt sei (OVG Rheinland-Pfalz aaO, juris Rn 42), gilt im Ergebnis auch für die Beschwerde nach Art 77 DSGVO und dem folgend für die Klage nach Art 78 Abs 1 DSGVO nichts Anderes. Auch diese lassen nicht jeglichen datenschutzrechtlichen Verstoß genügen, sondern beschränken das Beschwerderecht auf betroffene Personen und Verstöße bei der Verarbeitung der sie betreffenden personenbezogenen Daten. Im gerichtlichen Verfahren gelten die zu § 42 Abs 2 Verwaltungsgerichtsordnung (VwGO) entwickelten Grundsätze (Gola/Heckmann/Pötters/Werkmeister, 3. Aufl 2022, DS-GVO Art 78 Rn 10).
Vorliegend sind Ermessenfehler des Beklagten jedoch nicht ansatzweise ersichtlich. Nach Art 57 Abs 1a DSGVO hat die Aufsichtsbehörde die Anwendung der Datenschutzgrundverordnung zu überwachen und durchzusetzen. Hierzu verfügt sie über die in Art 58 DSGVO geregelten Untersuchungs-, Abhilfe-, Genehmigungs- und beratende Befugnisse. Ihr ist es im Rahmen der ihr zur Verfügung stehenden Abhilfebefugnisse nach Art 58 Abs 2 DSGVO insbesondere gestattet, eine Verwarnung auszusprechen (Buchst b), eine vorübergehende oder endgültige Beschränkung der Verarbeitung, insbesondere ein Verbot, zu verhängen (Buchst f) sowie die Löschung von personenbezogenen Daten anzuordnen (Buchst g). Der Aufsichtsbehörde steht dabei sowohl ein Entschließungs- als auch ein Auswahlermessen zu (VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, juris Rn 58; Sydow, DSGVO, 2. Aufl 2018, Art 77 Rn 37; Ehmann/Selmayr/Nemitz, DSGVO, 2. Aufl 2018, Art 77 Rn 17; Ehmann/Selmayr/Selmayr, DSGVO, 2. Aufl 2018, Art 58 Rn 18; BeckOK DatenschutzR/Mundil, 35. ED 1. Februar 2020, DS-GVO Art 77 Rn 15). Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutzgrundverordnung fest, wird ihr Entschließungsermessen angesichts ihrer sich aus Art 57 Abs 1a DSGVO ergebenden Verpflichtung, die Anwendung der Datenschutzgrundverordnung durchzusetzen, regelmäßig dahingehend reduziert sein, von ihren Abhilfebefugnissen nach Art 58 Abs 2 DSGVO Gebrauch zu machen bzw mit dem Ziel der Abstellung des Verstoßes vorzugehen (VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, juris Rn 59; so auch BeckOK DatenschutzR/Mundil, 35. ED 1. Februar 2020, DS-GVO Art 77 Rn 15). Im Bereich des Auswahlermessens steht der Behörde demgegenüber ein weiter Spielraum zu. Ein bestimmtes behördliches Handeln kann regelmäßig nicht verlangt werden (Halder/Heß, jurisPR-ITR 14/2021 Anm 6 mwN; BeckOK DatenschutzR/Mundil, 42. Ed 1. November 2021, DS-GVO Art 78 Rn 7).
Der Beklagte hat in Bezug auf die vom Kläger monierten Falschauskünfte der K. K eine Datenschutzverletzung zu Recht verneint. Zwar müssen gemäß Art 5 Abs 1d DSGVO personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit"). Dabei sind personenbezogene Daten neben Identifikationsmerkmalen (zB Name, Anschrift und Geburtsdatum), äußeren Merkmalen (wie Geschlecht, Augenfarbe, Größe und Gewicht) und inneren Zuständen (zB Meinungen, Motive, Wünsche, Überzeugungen und Werturteile) auch sachliche Informationen wie Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (BeckOK DatenschutzR/Schild, 42. Ed 1. November 2022, DS-GVO Art 4 Rn 3). Auch der Krankenversicherungsstatus zählt somit dazu, was ergänzend auch in § 67 Abs 2 SGB X bestimmt ist. "Verarbeitung" ist gemäß Art 4 Nr 2 DSGVO unter Anderem auch die Offenlegung durch Übermittlung. Gemäß Art 16 Satz 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Allerdings steht der Versicherungsstatus des Klägers bei der K. K vorliegend gerade im Streit. Hieran ändert auch das Obsiegen des Klägers im Eilverfahren S 61 KR 16/20 ER nichts, in dem zum einen lediglich über einen Ruhensbescheid entschieden wurde und das im Übrigen in der Hauptsache zumindest zum Zeitpunkt der hier in Rede stehenden Auskünfte noch nicht abgeschlossen war. Dass der Beklagte eine Entscheidung hierüber nicht durch eine inzidente Prüfung vorwegnehmen konnte und durfte, hat dieser vollkommen zutreffend festgestellt.
Eine Datenschutzverletzung war entgegen der Auffassung des Klägers auch nicht darin zu erblicken, dass die K. K überhaupt gegenüber der Zahnarztpraxis Angaben zum Versicherungsstatus des Klägers gemacht hatte. Personenbezogene Daten müssen gemäß Art 5 Abs 1 a DSGVO auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"). Die Verarbeitung ist dabei gemäß Art 6 Abs 1 DSGVO nur rechtmäßig, wenn eine der dort genannten Bedingungen erfüllt ist. Hierzu zählt unter anderem die Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Buchstabe c). Gemäß § 284 Abs 1 Nr 4 SGB V, der eine spezifische Regelung gemäß der Öffnungsklausel in Art 6 Abs 2 und 3 DSGVO darstellt (siehe hierzu Fromm in: Schlegel/Voelzke, jurisPK-SGB X, 2. Aufl, § 67 SGB X 1. Überarbeitung [Stand: 5. Mai 2022], Rn 22) dürfen Krankenkassen Sozialdaten für Zwecke der Krankenversicherung erheben und speichern, soweit diese für die Prüfung der Leistungspflicht und der Erbringung von Leistungen an Versicherte einschließlich der Voraussetzungen von Leistungsbeschränkungen, die Bestimmung des Zuzahlungsstatus und die Durchführung der Verfahren bei Kostenerstattung, Beitragsrückzahlung und der Ermittlung der Belastungsgrenze erforderlich sind. In Bezug auf die vom Kläger angestrebte Zahnbehandlung durfte eine Kommunikation mit dem ausgewählten Leistungserbringer über den für den Leistungsanspruch maßgeblichen Versicherungsstatus somit erfolgen.
Schließlich hat der Senat auch hinsichtlich der Erwähnung des Schreibens vom 12. Januar 2021 gegenüber der Zahnarztpraxis erhebliche Zweifel daran, dass es überhaupt zu einer Datenschutzverletzung gekommen ist. Dass der dort thematisierte, vom Kläger geltend gemachte Schadensersatzanspruch der Praxis gegenüber nicht offengelegt werden durfte, steht außer Frage. Die K. K ist in der von ihr vorgenommenen, umfangreichen Aufarbeitung des Vorfalls jedoch zu dem Ergebnis gelangt, dass in dem fraglichen Telefonat vom 14. Januar 2021 überhaupt nicht inhaltlich auf das Schreiben eingegangen worden ist. Etwas Anderes ergibt sich auch nicht aus der Mail der Praxis vom 14. Januar 2021 selbst, in der lediglich erklärt wird, der Kläger habe nach Aussage der K. K "am 12.01.2021 auch nochmal ein Schreiben der K. KK bekommen". Da dieses Schreiben neben dem geltend gemachten Schadensersatz auch auf die beantragten - von der Praxis zu erbringenden - Suprakonstruktionen eingeht, bestehen gegen die Erwähnung dieser Thematik keine Bedenken, geschweige denn gegen die bloße Erwähnung der Existenz eines solchen Schreibens. Da die K. K jedoch selbst - möglicherweise vorsorglich und unter besonderer Sensibilität für die ihr anvertrauten Versichertendaten - einen Datenschutzverstoß angenommen hat, ist der Beklagte jedenfalls in ermessenfehlerfreier Weise zu dem Ergebnis gelangt, dass von aufsichtsrechtlichen Maßnahmen abgesehen werden könne. Denn die K. K hatte ihren eigenen Datenschutzbeauftragten bereits eingeschaltet, die möglichen und vom Kläger geforderten Maßnahmen - Verhängung eines Verwertungsverbots gegenüber der Zahnarztpraxis und Anweisung der Löschung der erhaltenen Daten - akribisch selbst durchgeführt und damit nicht nur zum Ausdruck gebracht, dass sie einen Datenschutzverstoß gesehen hatte, sondern dessen Folgen auch gleich bestmöglich beseitigt. Sie hat dem Kläger dabei umfänglich Rede und Antwort gestanden und ihn über sämtliche Schritte ausführlich unterrichtet. Die Entscheidung des Beklagten, aus diesem Grunde nicht weiter tätig zu werden, überschritt das ihm eingeräumte Ermessen daher unter keinem denkbaren Gesichtspunkt.
Soweit der Kläger im Berufungsverfahren weitere Datenschutzverstöße der K. K im Oktober/November 2019 und durch erneute Kontaktierung der Zahnarztpraxis im Zusammenhang mit der Aufarbeitung des Telefonats vom 14. Januar 2021 geltend macht, sind diese zum einen nicht streitgegenständlich. Zum anderen ist aber auch nicht ersichtlich, inwieweit es der K. K vorzuwerfen sein sollte, wenn sie sich in Bezug auf einen Leistungsantrag an die Zahnarztpraxis des Klägers wendet, die dieser nach eigenen Angaben selbst mit der Beantragung der Zahnbehandlung beauftragt hatte (vgl zur auch im Sozialrecht geltenden Anscheinsvollmacht: BSG vom 15. November 2016 - B 2 U 19/15 R - SozR 4-2700 § 131 Nr 2 RdNr 15 mwN) oder wenn sie der Zahnarztpraxis wunschgemäß ein Verwertungsverbot ausspricht und einen Versicherungstatus bestätigt. Die gesamte Verwaltungsakte ist davon durchzogen, dass der Kläger die beteiligten Personen - Zahnarztpraxis, K. K, Beklagten - immer wieder zum Tätigwerden für ihn auffordert, um die eingeforderten Aktionen sodann datenschutzrechtlich gegen sie zu verwenden. Dies ist nicht Sinn und Zweck der durch die DSGVO verbürgten Schutzzwecke.
Die Kostenentscheidung beruht auf § 197a Abs 1 SGG. Der Senat kann insoweit auch die Kostenentscheidungen des SG zu Ungunsten des Klägers ändern, denn das Verbot der reformatio in peius gilt hier nicht (BSG, Urteil vom 5. Oktober 2006 - B 10 LW 5/05 R -, BSGE 97, 153-158, SozR 4-1500 § 183 Nr 4, SozR 4-1930 § 116 Nr 4, SozR 4-1920 § 63 Nr 1, Rn 20; BSGE 62, 131, 136 = SozR 4100 § 141b Nr 40). Der Kläger ist vor der Entscheidung auf diese Möglichkeit hingewiesen worden.
Die garantierte Kostenfreiheit des Beschwerdeverfahrens (Art 57 Abs 3 DSGVO) gilt nach den Grundsätzen der DS-GVO nicht für das Gerichtsverfahren (Kühling/Buchner/Bergt DS-GVO, 3. Aufl 2020, Art 78 Rn 25). Für Streitigkeiten im Sinne des § 81a Abs 1 SGB X ist mangels Vorhandenseins spezieller Regelungen vielmehr das SGG anzuwenden (§ 81a Abs 2 SGB X). Nach § 197a Abs 1 SGG sind Kosten nach dem GKG zu erheben und die §§ 154 bis 162 VwGO anzuwenden, wenn in einem Rechtszug weder der Kläger noch der Beklagte zum Kreis der in § 183 SGG genannten Personen gehört. Dies ist hier der Fall. Nach Maßgabe des § 183 Satz 1 SGG ist das Verfahren vor den Gerichten der Sozialgerichtsbarkeit für Versicherte, Leistungsempfänger einschließlich Hinterbliebenenleistungsempfänger, behinderte Menschen oder deren Sonderrechtsnachfolger nach § 56 des Ersten Buches Sozialgesetzbuch kostenfrei, soweit sie in dieser jeweiligen Eigenschaft als Kläger oder Beklagte beteiligt sind. Vorliegend ist der Kläger zwar Versicherter bei der K. K, er klagt jedoch gerade nicht in dieser Eigenschaft, sondern richtet sich gegen den - nicht in einem Versicherungsverhältnis zu ihm stehenden - beklagten Datenschutzbeauftragten. Auch in der Sache macht er keine Ansprüche aus seinem Sozialleistungsverhältnis geltend, sondern Ansprüche aus der DSGVO auf ein hoheitliches Einschreiten (LSG Baden-Württemberg, Beschluss vom 16. November 2021 - L 1 SF 2777/21 DS; Schütze/Bieresborn, 9. Aufl 2020, SGB X § 81a Rn 23). Als unterliegendem Beteiligten waren ihm die Kosten beider Rechtszüge gemäß § 154 Abs 1 und 2 VwGO aufzuerlegen.
Ein gesetzlicher Grund zur Zulassung der Revision ist nicht gegeben (§ 160 Abs 2 SGG).
Die Streitwertfestsetzung beruht auf § 197a Abs 1 Satz 1 SGG iVm §§ 47 Abs 1 und 2, 52 Abs 1 und 3 Gerichtskostengesetz (GKG). Mangels hinreichender Anhaltspunkte auf die wirtschaftliche Bedeutung des Streitgegenstandes für den Kläger, war der Auffangstreitwert von 5.000,- Euro anzunehmen (§ 52 Abs 2 GKG).