Eine Datenschutzbehörde kann Anordnungen bereits dann treffen, wenn eine unzulässige Datenverarbeitung schon deutlich vorherbestimmt ist

Oberverwaltungsgericht Schleswig-Holstein

Beschluss v. 05.11.2011 - Az.: 4 MB 56/10

Leitsatz

Eine Datenschutzbehörde kann Anordnungen bereits dann treffen, wenn eine  unzulässige Datenverarbeitung schon deutlich vorherbestimmt ist

Tenor

Die Beschwerde gegen den Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts - 14. Kammer - vom 01. Oktober 2010 wird zurückgewiesen.

Der Antragsteller trägt die Kosten des Beschwerdeverfahrens.

Die außergerichtlichen Kosten der Beigeladenen im Beschwerdeverfahren sind nicht erstattungsfähig.

Der Wert des Streitgegenstandes wird für das Beschwerdeverfahren auf 5.000,--- Euro festgesetzt.

Entscheidungsgründe

I.
Der Antragsteller wendet sich gegen eine datenschutzrechtliche Verfügung des Antragsgegners im Hinblick auf die Datenverarbeitung im Zusammenhang mit der sogenannten hausarztzentrierten Versorgung (HzV) in Schleswig-Holstein.

Durch Schiedsspruch vom 15. Juni 2010 kam zwischen dem Antragsteller, dem als eingetragener Verein rechtsfähigen … Schleswig-Holstein - im Folgenden: ... SH -, in Kooperation mit einer Ärztegenossenschaft sowie als Dienstleistungsgesellschaft der ... Vertragsgemeinschaft e.G. (...G), und den beigeladenen Krankenkassen ein "Vertrag zur Durchführung einer hausarztzentrierten Versorgung in Schleswig-Holstein gemäß § 73 b SGB V" zustande. Gegenstand des Vertrages ist nach § 2 die Umsetzung der hausarztzentrierten Versorgung für die Versicherten der Krankenkasse, deren Teilnahme freiwillig ist und durch Erklärung gegenüber der Krankenkasse beantragt werden kann. Der Antragsteller organisiert die Teilnahme des jeweiligen Hausarztes an der HzV und nimmt für ihn die Abrechnung der HzV-Vergütung und der Praxisgebühr vor; er wird insoweit zur Abgabe und zum Empfang von Willenserklärungen von Hausärzten und für sie ermächtigt. Für die Abrechnung der in dem Vertragswerk festgelegten Vergütung gegenüber der jeweiligen Krankenkasse wird gemäß §§ 2, 11 HzV-Vertrag die ...G als Dienstleister bestimmt. Für deren Tätigkeit entrichtet der Hausarzt eine Verwaltungskostenpauschale an den Antragsteller, die jener an die ...G weiterreicht und die dort zur Abkürzung der Zahlungswege mit der auszuzahlenden HzV-Vergütung verrechnet wird (§ 14 HzV-Vertrag). Gemäß § 8 HzV-Vertrag in Verbindung mit § 1 Abs. 3 der Anlage 1 zum HzV-Vertrag darf der jeweils teilnehmende Hausarzt zum Zwecke der Datenübermittlung an die ...G als Dienstleister des Antragstellers nur eine besonders zugelassene Vertragssoftware nutzen, für die von der ...G ein Anforderungskatalog erstellt wird. Die Anforderungen an eine zuzulassende Vertragssoftware werden den Herstellern von Praxissoftwareprogrammen zur Verfügung gestellt; diese müssen darüber hinaus für die Vertragssoftware ein Modul verwenden, das im HzV-Vertrag als "gekapselter Kern" bezeichnet wird und von der ...G zur Verfügung gestellt wird (vgl. Anlage 1 § 2 Abs. 2 HzV-Vertrag). Der Anforderungskatalog für den gekapselten Kern enthält nach dem Vertrag Betriebsgeheimnisse der ...G und der Krankenkasse und soll nicht veröffentlicht werden; er kann quartalsweise weiterentwickelt werden und wird den Herstellern der Praxissoftware von der ...G auf Grundlage einer Lizenzvereinbarung überlassen und in definierte Schnittstellen eingebunden. Die Verwendung dieses gekapselten Kerns dient ausweislich des Vertrages der Prüfung, Verschlüsselung und Übermittlung von Abrechnungsdaten an die ...G.

Hausärzte, die an der hausarztzentrierten Versorgung teilnehmen wollen, können dem HzV-Vertrag durch Erklärung beitreten und später ihre Mitgliedschaft kündigen (§§ 4, 5 HzV-Vertrag). Teilnehmende Hausärzte sowie Versicherte willigen in ihrer Teilnahmeerklärung in die Datenverarbeitung zu Abrechnungs- und Teilnahmeverwaltungszwecken einschließlich der Datenübermittlung und -verarbeitung beim Antragsteller und seinem Dienstleister, der ...G, sowie weiteren beauftragten Rechenzentren ein. § 20 des HzV-Vertrages normiert die Einhaltung der Datenschutzvorschriften für Patienten- und Versichertendaten nach der ärztlichen Berufsordnung, strafrechtlichen Bestimmungen, dem Bundesdatenschutzgesetz sowie den Regelungen des Sozialgesetzbuches. Zur weiteren Regelung sieht § 20 Abs. 2 den Abschluss eines gesonderten Vertrages vor, der als Anlage 8 in Gestalt eines "Rahmenvertrages für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag" zwischen dem Antragsteller sowie der ...G als Dienstleistungsgesellschaft geschlossen worden ist. Dieser Rahmenvertrag, an dem die beigeladenen Krankenkassen nicht beteiligt sind, ist ausweislich seines § 1 Bestandteil des HzV-Vertrages. Der an der HzV teilnehmende Hausarzt kann nach § 1 Abs. 3 des Rahmenvertrages durch Abgabe einer Erklärung diesem beitreten. Hierdurch wird nach den Vorschriften des Rahmenvertrages ein Auftragsverhältnis nach § 295 Abs. 1 b Satz 1 und 4 SGB V begründet, in dem der Hausarzt als "Auftraggeber" und der Antragsteller als "Auftragnehmer" bezeichnet wird. Die in einem Anhang B bezeichneten Daten, welche u.a. die Leistungen des teilnehmenden Hausarztes, die Diagnosen der an der HzV teilnehmenden Patienten sowie die ärztlichen Verordnungen enthalten, werden vom Hausarzt unmittelbar zur Dienstleistungsgesellschaft ...G bzw. deren Unterauftragnehmer und von dort zur jeweiligen Krankenkasse übermittelt. Insgesamt 13 Unterauftragnehmer der ...G werden in einem Anhang D bezeichnet. Der Hausarzt bleibt nach dem Rahmenvertrag als Auftraggeber für die datenschutzrechtliche Zulässigkeit der Datenverarbeitung auch beim Dienstleister und seinen Unterauftragnehmern verantwortlich. Der Rahmenvertrag enthält Regelungen über Weisungs-, Auskunfts- und Kontrollrechte und -pflichten des jeweiligen Hausarztes.

Nach § 16 HzV-Vertrag ist das Vertragswerk im Wesentlichen am 17. Juni 2010 in Kraft getreten.

Der Antragsgegner, der bereits im Vorfeld des Schiedsspruches hinsichtlich Regelungen zur Datenverarbeitung mit dem Antragsteller in einen Austausch getreten war, erließ mit Bescheid vom 21. Juli 2010 gegenüber dem Antragsteller eine aufsichtsbehördliche Anordnung gemäß §§ 39 Abs. 2 Landesdatenschutzgesetz (LDSG) i.V.m. § 38 Abs. 1, 5 Bundesdatenschutzgesetz (BDSG), mit welcher diesem aufgegeben wurde, dafür zu sorgen, dass bei der Durchführung des HzV-Vertrages in Schleswig-Holstein keine von den Hausärzten im Zusammenhang mit der Durchführung des Vertrages erhobenen personenbezogenen Daten der Patienten an die ...G oder an andere in dem HzV-Vertrag vorgesehene, als Unterauftragnehmer bezeichnete Stellen weitergegeben werden. Soweit diese Daten bereits von den Hausärzten weitergegeben wurden, sind sie nach dem Bescheid durch den Antragsteller gesondert zu speichern und dürfen nicht genutzt werden. Die sofortige Vollziehung des Bescheides wurde angeordnet und dem Antragsteller ein Zwangsgeld in Höhe von 30.000,-- Euro für den Fall, dass er den ausgesprochenen Verpflichtungen nicht innerhalb von einer Woche nach Zugang des Bescheides nachkomme, angedroht. Zur Begründung führte der Antragsgegner aus, dass nach der Rechtsprechung des Bundessozialgerichts für die Übermittlung von Daten im Rahmen der gesetzlichen Krankenversicherung an private Abrechnungsstellen eine gesetzliche Grundlage erforderlich sei, da es sich bei den für die Abrechnungen der HzV benötigten Daten um Angaben über die Gesundheit der Betroffenen handele, die verstärktem rechtlichen Schutz nach § 3 Abs. 9 BDSG und § 67 Abs. 12 SGB X sowie der ärztlichen Schweigepflicht und damit dem Schutz des § 203 Abs. 1 StGB unterlägen. Nach § 295 Abs. 1 b Sätze 5 - 8 SGB V sei die Einschaltung einer privaten Stelle bei der Übermittlung von Daten, sofern keine direkte Übermittlung an die Krankenkassen nach § 295 Abs. 1 b Satz 1 SGB V erfolge, zwingend im Wege der Auftragsdatenverarbeitung nach § 80 SGB X vorzunehmen. Eine Rechtsgrundlage für die eigenständige Übermittlung an private Stellen als selbstständige datenverarbeitete Stellen habe der Gesetzgeber bewusst nicht geschaffen. In dem vorliegenden Vertragswerk zur hausärztlichen Versorgung sei aber keine Auftragsdatenverarbeitung im Sinne von § 80 SGB X vorgesehen. Die Hausärzte, die danach an der HzV und der Datenverarbeitung teilnähmen, seien entgegen ihrer ausdrücklichen vertraglichen Bezeichnung nicht Auftraggeber im Sinne des deutschen und europäischen Datenschutzrechtes; ebenso fehle es dem Antragsteller an der vertraglich ausdrücklich zuerkannten Eigenschaft als Auftragnehmer. Die Hausärzte könnten lediglich einem in Gänze vorgefertigten Vertragswerk beitreten, auf dessen Inhalt sie keinerlei Einfluss gehabt hätten. Auch die Software werde ihnen vom angeblichen Auftragnehmer vorgeschrieben. Gleichzeitig sei den Hausärzten die Kenntnis wesentlicher Elemente der zu verwendenden Software (nämlich des gekapselten Kerns) verboten, welche gerade die abfließenden, besonders zu schützenden Patientendaten beträfen. Darüber hinaus finde eine Nutzung der übermittelten Daten auch zu Zwecken der allgemeinen Interessenvertretung aller Hausärzte statt, da teilnehmende Hausärzte zur Abtretung von Vergütungsforderungen zum Zwecke des Führens von Musterverfahren verpflichtet würden und damit eine entsprechende Nutzung der Daten ihrer Patienten ermöglichten. Die Anordnung sei zum Schutze der Daten einer großen Zahl von Patienten vor unzulässiger Weitergabe an private Stellen geeignet, erforderlich und verhältnismäßig. Von einem kompletten Verbot jeder Datenverarbeitung für den Antragsteller werde im Hinblick auf die Rechtslage des § 38 Abs. 5 Satz 1 und 2 BDSG gegenwärtig abgesehen. Eine Verfügung gegenüber sämtlichen Ärzten in Schleswig-Holstein, eine Datenweitergabe an den Antragsteller und dessen Unterauftragnehmer zu unterbinden, wäre dagegen deutlich eingriffsintensiver und wegen der Massenhaftigkeit der Verfahren kaum praktikabel. Im Hinblick auf die Ermöglichung einer Leistungsabrechnung könne kurzfristig eine echte Auftragsdatenverarbeitung umgesetzt werden, bei welcher etwa die Krankenkassen als Auftraggeber im Sinne von § 80 SGB X eingesetzt werden könnten. Die Anordnung der sofortigen Vollziehung sei zum Schutze des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der betroffenen Patienten erforderlich, da deren personenbezogenen Daten höchster rechtlicher Schutz zukomme. Eine Datenweitergabe, die jederzeit beginnen könne und dann nicht mehr korrigierbar sei, müsse vermieden werden.

Den gegen die Verfügung gerichteten Widerspruch des Antragstellers vom 05. August 2010 hat der Antragsgegner mit Widerspruchsbescheid vom 27. August 2010 als unbegründet zurückgewiesen. Hiergegen hat der Antragsteller mit Schriftsatz vom 01. Oktober 2010 Klage erhoben.

Den beim Sozialgericht D-Stadt am 17. August 2010 eingereichten und mit Beschluss des Sozialgerichts vom 03. September 2010 an das Verwaltungsgericht Schleswig verwiesenen Antrag auf einstweiligen Rechtsschutz hat das Verwaltungsgericht mit Beschluss vom 01. Oktober 2010 mit der Begründung zurückgewiesen, der angegriffene Bescheid sei weder offensichtlich rechtswidrig noch offensichtlich rechtmäßig. Bei der vorzunehmenden Interessenabwägung sei dem Schutz der Patienten der Vorrang einzuräumen, zumal auf Seiten des Antragstellers offensichtlich eine Vielzahl von Subauftragnehmern eingeschaltet sei, bei denen eine realistische Möglichkeit der Datensicherung zur Zeit nicht sichergestellt sei.

Hiergegen richtet sich die fristgerecht eingelegte Beschwerde des Antragstellers, die im Wesentlichen wie folgt begründet wird:

Die Anordnung des Antragsgegners sei offensichtlich rechtswidrig. Dies ergebe sich schon daraus, dass ein festgestellter Verstoß im Sinne von § 38 Abs. 5 Satz 1 BDSG nicht vorliege, da vor dem Ablauf eines Quartals nach Durchführung des Bereinigungsverfahrens im Hinblick auf die Gesamtvergütung nach § 73 b SGB V keine Datenübermittlungen stattfänden und es daher am Moment der Gegenwärtigkeit eines datenschutzrechtlichen Verstoßes fehle. Die im HzV-Vertrag und im Rahmenvertrag gewählte Konstruktion der Datenverarbeitung zu Abrechnungszwecken entspreche dem gesetzlichen Strukturleitbild der §§ 73 b, 295 SGB V, welches eine Auftragsdatenverarbeitung zu Zwecken der Abrechnung mit einschließe. Diese sei notwendiger Gegenstand des nach § 73 b Abs. 5 SGB V abzuschließenden Vertrages "über den Inhalt und die Durchführung der hausarztzentrierten Versorgung" und die "Vergütung". Die Tatsache, dass die teilnehmenden Hausärzte dem Vertrag lediglich beiträten, sei sozialrechtlich zwingend. Dieser Beitritt sei vollkommen freiwillig, da es den Hausärzten auch möglich sei, zu einem etwaigen konkurrierenden HzV-Vertrag beizutreten. Die Regelungen des HzV-Vertrages sowie des Rahmenvertrages als dessen Anlage 8 erfüllten sämtliche Anforderungen des § 80 SGB X. Durch ihren freiwilligen Beitritt übernähmen die Hausärzte die datenschutzrechtliche Verantwortung im dort konstruierten Auftragsverhältnis zum Antragsteller. Sie seien auch als Verantwortliche der Datenverarbeitung im Sinne von Art. 2 e der vorliegend zu beachtenden Datenschutzrichtlinie der Europäischen Union (Richtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) anzusehen. Zu diesem Ergebnis führe auch die Heranziehung des als Auslegungshilfe zu wertenden Papiers "WP 169 - Stellungnahme zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" " der Art. 29 - Datenschutzgruppe der EU vom 16. Februar 2010. Dem jeweiligen Hausarzt sei sowohl von der gesetzlichen Regelung der §§ 73 b, 295 SGB V und der ärztlichen Schweigepflicht als auch auf Grund ihrer traditionellen Rolle als Hausarzt und durch die vertraglichen Regelungen des HzV-Vertrages eindeutig die datenschutzrechtliche Verantwortung für die Verarbeitung von Patientendaten zugewiesen. Nach ihrem faktisch bestehenden Einfluss sei lediglich bei Zweifeln an dieser ausdrücklichen Verantwortungszuweisung zu fragen, die vorliegend nicht bestünden. Aber selbst dann seien die Einflussmöglichkeiten des Hausarztes vorliegend als ausreichend für seine Rolle als Verantwortlicher der Datenverarbeitung im Sinne der EU-Richtlinie anzusehen, da er nur über die wesentlichen Elemente der Datenverarbeitung informiert sein müsse. Dem Auftragnehmer dürfe ein Ermessen über die im Einzelnen gewählten technischen und organisatorischen Mittel der Datenverarbeitung verbleiben. Die datenschutzrechtliche Verantwortung des Hausarztes werde durch die Verwendung des gekapselten Kernes nicht beeinträchtigt, da dieser Teil der Praxissoftware sei, die vom jeweiligen Hersteller über eine Schnittstelle eingebunden worden sei. Es würden in dem gekapselten Kern lediglich Datenarten nach dem festgelegten Katalog des Anhangs B des Rahmenvertrages abgeführt. Über die abfließenden Daten könne der Hausarzt Informationen bei dem Hersteller seiner Praxissoftware erhalten, welcher auch im Falle fehlerhafter Datenübergaben an die Dienstleistungsgesellschaft des Antragstellers heranzuziehen sei. Die genaue Funktionsweise des gekapselten Kerns müsse der Hausarzt nicht kennen.

Auch die Voraussetzungen des § 80 Abs. 5 SGB X bei einer Auftragserteilung an private Stellen seien erfüllt, wenngleich die Geltung dieser Norm vorliegend durch § 295 Abs. 1 b Satz 6 SGB V nicht angeordnet werde. Insoweit sei § 80 SGB X auf das Verhältnis zwischen privaten Stellen - vorliegend: dem Hausarzt und dem Antragsteller bzw. der ...G - nicht anwendbar. Jedenfalls aber sei die Datenverarbeitung, wie sie im HzV-Vertrag vorgesehen sei, kostengünstiger als bei einer Verarbeitung durch den Hausarzt selbst. Es würden lediglich Abrechnungsdaten und damit weniger als die Hälfte aller beim Hausarzt vorhandenen Patientendaten, sowohl auf den Gesamtdatenbestand als auch auf den einzelnen Patienten bezogen, übermittelt.

Die im Vertrag vorgesehene Verpflichtung des Hausarztes zur Abtretung von Forderungen zum Zwecke des Führens von Musterverfahren durch den Antragsteller und die damit einhergehende Datenverarbeitung seien für die Annahme eines Auftragsdatenverarbeitungsverhältnisses unschädlich, da Musterverfahren jedenfalls auch im Interesse des jeweiligen einzelnen Hausarztes lägen und eine Anonymisierung der Daten möglich sei. Im Übrigen enthalte der Vertrag an dieser Stelle den Vorbehalt der datenschutzrechtlichen Zulässigkeit.

Die Anordnung des Antragsgegners sei auch insoweit offensichtlich rechtswidrig, als sie einer faktischen Untersagung der gesamten Datenverarbeitung zur Durchführung der hausarztzentrierten Versorgung gleichkomme und daher lediglich auf Grundlage des § 38 Abs. 5 Satz 2 BDSG hätte erfolgen können. Dafür sei aber eine vorherige Anordnung nach Satz 1 der Norm zwingend. Außerdem hätte der Antragsgegner in einer Anordnung die Art und Weise der Beseitigung eines festgestellten datenschutzrechtlichen Verstoßes vorgeben müssen, vorliegend also gegebenenfalls einen Verzicht auf den gekapselten Kern oder auf die Abtretung zur Durchführung von Musterverfahren.

Das Verwaltungsgerichts habe in seiner Interessenabwägung weder die Interessen des Antragstellers an der Durchführung der geschlossenen Verträge sowie an der Vergütung für die Abrechnungsdienstleistung noch die Interessen der Hausärzte, denen gemäß Art. 12 Abs. 1 GG verfassungsrechtliches Gewicht zukomme, und der Patienten an einer Teilnahme an der hausarztzentrierten Versorgung angemessen gewürdigt.

Der Antragsgegner vertritt demgegenüber die Auffassung, dass nach Inkrafttreten des HzV-Vertrages eine rechtswidrige Datenverarbeitung jedenfalls unmittelbar bevorstehe. Die im Vertrag vorgesehenen Datenverarbeitungsregelungen seien nicht durch ein gesetzliches Strukturleitbild vorgegeben. Vielmehr sei der Gesetzgeber, wie sich auch aus der Gesetzgebungsgeschichte ergebe, von einer direkten Datenübermittlung der Hausärzte an die Krankenkassen ausgegangen. Entsprechend sehe nun auch ein für Nordrhein-Westfalen geschiedster HzV-Vertrag eine Trennung der vertraglichen Regelungen über die Durchführung der hausarztzentrierten Versorgung einschließlich der Vergütung von der dort nicht geregelten Abrechnung und Datenverarbeitung zu diesem Zwecke vor. Nach dem vorliegend streitgegenständlichen HzV-Vertrag sei ein Einfluss der Hausärzte auf die Datenverarbeitung faktisch ausgeschlossen. Sie besäßen keine hinreichenden Kontrollmöglichkeiten über den Abfluss von Patientendaten. Die Stellung als Auftraggeber einer Auftragsdatenverarbeitung setze gerade nach der Stellungnahme der EU-Datenschutzgruppe in dem WP169-Papier jenseits der formalen Bezeichnung der Rollen als Auftragsverarbeiter bzw. Verantwortlicher in Verträgen und Gesetzen einen tatsächlichen Einfluss über die Datenverarbeitung voraus, der hier insbesondere wegen der Verwendung des gekapselten Kernes nicht bestehe. Für diesen sei keine Funktions- und Schnittstellenbeschreibung verfügbar und auch die Hersteller von Praxissoftware müssten sich im Rahmen eines Non-Disclosure-Agreements an die Geheimhaltung der Funktionsweise dieses Kerns halten. Der Arzt erfahre nicht, welche Daten abgeflossen seien, und könne mangels einer eigenen Benutzeroberfläche den Umfang der Datenübermittlung an die ...G auch nicht feststellen. Auch die Weiterentwicklung der Vertragssoftware des gekapselten Kernes entziehe sich seinem Einflussbereich. Insoweit werde gegen die Vorgaben des novellierten BDSG bzw. des § 80 SG X verstoßen, dass der Auftraggeber über die Datenverarbeitung bestimmen müsse.

Die Anforderungen des § 80 Abs. 5 SGB X seien infolge der Rechtsgrundverweisung des § 295 Abs. 1 b Satz 6 SGB V auf das Verhältnis von Hausärzten zum Antragsteller und dessen Unterauftragnehmern in vollem Umfang anzuwenden. Es sei hier aber nicht erkennbar, dass mehr als 50 % der Daten beim Hausarzt verblieben und dass die Datenverarbeitung in der gewählten Konstruktion erheblich kostengünstiger sei als beim Hausarzt oder bei Einschaltung öffentlicher Stellen.

Die datenschutzrechtliche Anordnung stelle keine Untersagung einer gesamten Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG dar, da nur ein Teilaspekt der Datenverarbeitung im Rahmen der hausarztzentrierten Versorgung betroffen sei und sich die Patienten gleichwohl zur Teilnahme an der HzV registrieren lassen könnten. Auch eine Weitergabe von Patientendaten vom Hausarzt direkt an die Krankenkassen sei möglich. Dass eine datenschutzrechtliche Anordnung ein Verbotselement aufweise, mache sie nicht automatisch zu einer Untersagung im Sinne des § 38 Abs. 5 Satz 2 BDSG. Da vorliegend die gesamte Konstruktion der vertraglich festgelegten Datenverarbeitung als rechtswidrig zu erachten sei, wäre eine Teilanordnung bezüglich des gekapselten Kerns und der Musterverfahren nicht ausreichend.

Im Hinblick auf die vom Verwaltungsgericht vorzunehmende Interessenabwägung seien eigene wirtschaftliche Interessen des Antragstellers nicht erkennbar, da dieser die Verwaltungskostenpauschale in voller Höhe an seine Dienstleister, die ...G, weiterleite.

Die Beigeladenen, die im vorliegenden Beschwerdeverfahren keinen Antrag gestellt haben, unterstützen das Vorbringen des Antragsgegners und haben ergänzend wie folgt vorgetragen:

Die Regelungen des HzV-Vertrages stellten die Rollen von Auftraggebern und Auftragnehmern in einer Auftragsdatenverarbeitung auf den Kopf. Die gesetzlich vorgegebenen Auswahl- und Kontrollpflichten des Auftraggebers im Hinblick auf Auftragnehmer würden in ihm nicht umgesetzt. Im Übrigen scheitere die gewählte Konstruktion auch insoweit an den Anforderungen des § 80 Abs. 5 SGB X, als diese Norm über den Anwendungsbefehl des § 295 Abs. 1 b Satz 8 SGB V und den dort in Bezug genommenen § 35 SGB I auch unmittelbar für den Antragsteller gelte und eine vollumfängliche Datenweitergabe an dessen Unterauftragnehmer - die ...G - daher ausgeschlossen sei.

§ 38 Abs. 5 Satz 1 BDSG decke die hier ausgesprochene datenschutzrechtliche Anordnung als untersagungsgleiche Maßnahme ab, nachdem sich die Anordnungsbefugnis infolge der Novelle des BDSG im Jahre 2009 auch auf die Beseitigung materieller datenschutzrechtlicher Verstöße beziehe. Sei eine Datenverarbeitung materiell-rechtlich im Kern rechtswidrig, so müssten die von Art. 28 der EU-Datenschutzrichtlinie verlangten effektiven Eingriffsbefugnisse der Aufsichtsbehörde auch faktisch untersagungsgleich wirkende Maßnahmen einschließen. Die zur Beseitigung des rechtswidrigen Zustandes im Einzelnen vorzunehmenden Änderungen müssten von den Partnern des HzV-Vertrages im Wege der Vertragsumgestaltung vorgenommen werden. Dahingehende Anordnungen seien dem Antragsgegner nicht unmittelbar möglich. Solche vertraglichen Umgestaltungsmöglichkeiten seien aber für die Vertragspartner vorliegend gegeben, um eine hausarztzentrierte Versorgung in Schleswig-Holstein noch zu ermöglichen, sodass die Bewertung des Verwaltungsgerichts, den Schutz der Patientendaten den Vorrang einzuräumen, nicht zu beanstanden sei.

II.
Die Beschwerde ist zulässig, aber unbegründet. Die zu ihrer Begründung dargelegten Gründe, die allein Gegenstand der Prüfung durch den Senat sind (§§ 146 Abs. 4 Satz 6 VwGO) stellen das Ergebnis des angefochtenen Beschlusses nicht in Frage.

Die datenschutzrechtliche Anordnung des Antragsgegners vom 21. Juli 2010 ist nach summarischer Bewertung durch den Senat im Verfahren des einstweiligen Rechtsschutzes nicht offensichtlich rechtswidrig. Es bestehen vielmehr in mehrfacher Hinsicht Anhaltspunkte dafür, dass der Antragsgegner zu Recht von einem materiell-rechtlichen Verstoß der im HzV-Vertrag vorgesehenen Regelungen über die Datenverarbeitung gegen rechtliche Vorgaben zum Schutz von Patientendaten ausgegangen ist, die ihm ein aufsichtsbehördliches Vorgehen nach § 38 Abs. 5 BDSG ermöglichen.

Es bestehen nach Aussicht des Senates gravierende Zweifel daran, dass es sich bei der durch das HzV-Vertragswerk in der Fassung des Schiedsspruches vom 15. Juni 2010 vorgesehenen Verarbeitung von Patientendaten, die von den teilnehmenden Hausärzten unmittelbar an die ...G als Dienstleister des Antragstellers übermittelt werden, um eine Auftragsdatenverarbeitung im Sinne von § 80 SGB X handelt. Nach dem auf Grund von § 320 SGB V (BGBl. 2010 I S. 983) bis zum 01. Juli 2011 weitergeltenden § 295 Abs. 1 b Satz 6 SGB V ist bei der Beauftragung einer anderen Stelle im Sinne von Satz 5 dieser Norm mit der Datenverarbeitung zu Abrechnungszwecken § 80 SGB X anzuwenden. Diese Regelung ist vom Gesetzgeber infolge der Entscheidung des Bundessozialgerichts vom 10. Dezember 2008 - B 6 KA 37/07 R - wegen des Erfordernisses einer spezifischen Rechtsgrundlage für die Weitergabe von personenbezogenen Abrechnungsdaten an andere Stellen, zum Beispiel privatrechtlich organisierte Rechenzentren, geschaffen worden, um die im Bereich besonderer Versorgungsformen bereits bestehende Abrechnungspraxis über Rechenzentren befristet zu ermöglichen und insoweit datenschutzrechtlich abzusichern (vgl. die Entwurfsbegründung in BT-Dr. 16/13428, S. 96). Für die solchermaßen beauftragten Stellen sollte das gleiche Schutzniveau wie bei Stellen, welche unmittelbar dem Sozialgeheimnis des § 35 SGB I unterliegen, gewährleistet werden. Mit dem Verweis auf § 80 SGB X wollte der Gesetzgeber gleichermaßen die Voraussetzungen und die Rechtsfolgen einer Beauftragung privater Stellen mit der Verarbeitung von Sozialdaten auf das Abrechnungsverfahren im Rahmen besonderer Versorgungsformen erstrecken (vgl. ebenda, S. 96 und auch S. 92 zur entsprechenden Regelung des § 120 SGB V). Daher ist in diesem Kontext sowohl die Frage der Zulässigkeit einer Auftragserteilung an private Stellen als auch die Einhaltung der Anforderungen an die Ausgestaltung einer solchen Auftragsdatenverarbeitung in vollem Umfang an § 80 SGB X zu messen. Liegen dessen Voraussetzungen nicht vor, so ist die Einschaltung privater Stellen in die Abrechnung ärztlicher Leistungen gemäß § 295 Abs. 1 b SGB V im Rahmen der hausarztzentrierten Versorgung unzulässig, weil es insoweit an einer erforderlichen spezialgesetzlichen Übermittlungsgrundlage außerhalb eines echten Auftragsdatenverarbeitungsverhältnisses fehlt.

Vorliegend spricht bereits die mangelnde Auswahlmöglichkeit eines Auftragsverarbeiters - also des Auftragnehmers - für die jeweiligen Hausärzte im Rahmen des HzV-Vertragswerkes gegen die Annahme eines Auftragsdatenverarbeitungsverhältnisses zum Antragsteller und dessen Dienstleister. Die Wahrnehmung der datenschutzrechtlichen Verantwortung des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung setzt nach allgemeiner Auffassung nämlich zunächst voraus, dass von dort eine sorgfältige Auswahl des Auftragnehmers erfolgt, um die Einhaltung sämtlicher datenschutzrechtlicher Verpflichtungen auch bei dessen Einschaltung zu gewährleisten (vgl. Rombach in: Hauck/Noftz, SGB X, § 80 Rdnr. 30; Bieresborn in: Von Wulffen, SGB X, 7. Aufl. 2010, § 80 Rdnr. 8; Bergmann/Möhrle, Datenschutzrecht, § 80 SGB X Rdnr. 19). Die Verpflichtung zur sorgfältigen Auswahl des Auftragnehmers ist in § 80 SGB X als spezialgesetzlicher Regelung über die Auftragsdatenverarbeitung zwar nicht ausdrücklich mit geregelt, wird dort jedoch ebenfalls vorausgesetzt (vgl. Bergmann/Möhrle, a.a.O.). Die Verpflichtung zur sorgfältigen Auswahl entspricht insoweit der ausdrücklichen allgemeinen Regelung in § 11 Abs. 2 Satz 1 BDSG. Auch nach Auffassung der Art. 29 - Datenschutzgruppe der EU hängt die Existenz eines Auftragsverarbeiters von einer Entscheidung des für die Verarbeitung Verantwortlichen ab, der beschließen kann, entweder die Daten innerhalb seiner Organisation zu verarbeiten oder die Verarbeitungstätigkeiten ganz oder teilweise an eine externe Organisation zu delegieren (vgl. die Stellungnahme WP169 vom 16.02.2010 ec.europa.eu/justice/policies/privacy -, S. 1, 30). Vorliegend wird dem an der hausarztzentrierten Versorgung teilnahmewilligem Hausarzt eine Auswahl der Stelle, die er mit der Verarbeitung von Abrechnungsdaten seiner Patienten einschalten will, jedoch im Rahmen des vorliegenden Vertragswerks nicht ermöglicht. Der Arzt übernimmt nicht nur ein in vollem Umfang vorgestaltetes Vertragswerk - was an sich der Annahme einer Auftragsdatenverarbeitung nicht notwendigerweise entgegenstehen muss -, sondern seine Teilnahme an der hausarztzentrierten Versorgung und an der vorgesehenen Datenverarbeitung über den Antragsteller und seinen Dienstleister und dessen Unterauftragnehmer sind in einer Weise miteinander verbunden, die dem Arzt lediglich einen Beitritt zu beiden Systemen insgesamt ermöglicht. Bereits mit seiner Beitrittserklärung nach § 4 des HzV-Vertrages, die als Anlage 5 vertraglich vorgegeben ist, willigt der Hausarzt in die Datenverarbeitung über den Antragsteller und die ...G ein. Entsprechend enthält auch die Versicherteneinschreibung der betroffenen Patienten mit der Entscheidung für die Teilnahme an der hausarztzentrierten Versorgung in gleichem Zuge eine vorgefertigte Einwilligung in die Datenverarbeitung über den Antragsteller und die ...G (Anlage 6). Das Abrechnungsverfahren für die Vergütung nach § 11 HzV-Vertrag in Verbindung mit Anlage 3 sowie die Vorgaben über die Datenverarbeitung in § 20 HzV-Vertrag in Verbindung mit Anlage 8 sehen das Abrechnungsverfahren über den Antragsteller und die ...G, mit dem eine entsprechende Verarbeitung von Patientendaten einhergeht, ohne Wahlmöglichkeit des Hausarztes verpflichtend vor. Die Regelungen des Rahmenvertrages über die Auftragsdatenverarbeitung sind gemäß § 20 Abs. 2 HzV-Vertrag, § 1 Abs. 1 des Rahmenvertrages als Anlage 8 Bestandteil des HzV-Vertrages. Eine gesonderte Kündigungsmöglichkeit in Bezug auf die Datenverarbeitung zur Abrechnungszwecken steht dem Hausarzt nicht zu (vgl. § 10 Abs. 2 Rahmenvertrag, § 5 HzV-Vertrag). Die Einschaltung des Antragstellers und dessen Dienstleister und Unterauftragnehmer in die Datenverarbeitung kann der Hausarzt somit nur um den Preis des Verzichtes der Teilnahme an der hausarztzentrierten Versorgung vermeiden oder beenden, zumal in Schleswig-Holstein - soweit ersichtlich - mit den Beigeladenen kein konkurrierender HzV-Vertrag besteht.

Darüber hinaus wäre dem Hausarzt ein Abweichen von den vorformulierten Datenverarbeitungsbestimmungen des Vertragswerkes allenfalls im Rahmen von Einzelweisungen möglich, wobei offen erscheint, inwieweit angesichts des Beitritts des Arztes zu den Verträgen noch Spielraum für andersgerichtete Anweisungen verbleibt. Nach § 12 Abs. 2 des Rahmenvertrages können Bestimmungen über die Datenverarbeitung in Gestalt der Anhänge, die auch das EDV-Verfahren und die übermittelten Daten betreffen, mit Wirkung für sämtliche HzV-Partner und damit auch für die Hausärzte nachträglich durch Übereinkunft zwischen dem Antragsteller und seiner Dienstleistungsgesellschaft - also ohne den beigetretenen Hausarzt - geändert werden. Auch dazu soll der Hausarzt durch seinen Beitritt sein Einverständnis erklären. Und schließlich kann der Antragsteller gemäß § 16 Abs. 6 des HzV-Vertrages im Falle des Ausscheidens der ...G mit Wirkung für die Hausärzte eine neue Dienstleistungsgesellschaft bestimmen.

Ebenso wenig wie die Auswahl einer anderen in die Datenverarbeitung einzuschaltenden Stelle als die ...G bzw. den Antragsteller ist den Hausärzten bei Teilnahme an der HzV nach dem vorliegenden Vertragswerk eine direkte Übermittlung von Abrechnungsdaten an die Krankenkassen möglich, wie sie der Gesetzgeber in § 296 Abs. 1 b Satz 1 SGB V als Grundmodell vorsieht, sodass ihm auch die Option der eigenen Verarbeitung von Patientendaten im Rahmen des HzV-Vertrages verschlossen bleibt.

Dem Einwand des Antragstellers, die vorgesehene Abrechnung und Datenverarbeitung über den Hausärzteverband und dessen Dienstleister sei gesetzlich vorgegeben Strukturleitbild im Rahmen der §§ 73 b, 295 SGB V, ist nach Auffassung des Senates nicht zu folgen. Auch wenn eine derartige Konstruktion bei einer Beachtung der Vorgaben des Gesetzgebers zur Auftragsdatenverarbeitung für die Einschaltung privater Stellen durchaus gangbar sein mag, ist der Gesetzgeber grundsätzlich von einer direkten Datenübermittlung des Hausarztes an die dem Sozialgeheimnis unterworfene Krankenkasse ausgegangen (vgl. den Gesetzentwurf zum GKV-Modernisierungsgesetz, BT-Dr. 15/1525 S. 146: "Bei den ohne Beteiligung der Kassenärztlichen Vereinigungen mit den Krankenkassen… abgeschlossenen Verträgen zu… Hausarzt zentrierter Versorgung… haben die Leistungserbringer die Abrechnungsdaten nach Absatz 1 direkt an die jeweilige Krankenkasse, mit der sie die Verträge abgeschlossen hat, zu übermitteln"). Durch § 73 b Abs. 4 und 5 SGB V wird im Übrigen eine Regelung des konkreten Abrechnungsverfahrens und der damit einhergehenden Datenverarbeitung im Rahmen der durch Gemeinschaften der Allgemeinärzte abzuschließenden HzV-Verträge nicht notwendig vorgegeben, denn vertragliche Regelungen über Inhalt und Durchführung der hausarztzentrierten Versorgung sowie über die Vergütung können sich auf die entsprechenden ärztlichen Teilnahmevoraussetzungen und Leistungen einerseits und die Höhe der dafür zu leistenden Vergütungen beschränken, ohne gleichzeitig ein Abrechnungsverfahren vorzusehen. Dies zeigt nicht zuletzt der von dem Antragsgegner eingereichte Schiedsspruch betreffend einen HzV-Vertrag zwischen der BKK Vertragsarbeitsgemeinschaft Nordrhein-Westfalen und dem Hausärzteverband Nordrhein e.V..

Gegen die Stellung der teilnehmenden Hausärzte als Auftraggeber einer Datenverarbeitung im Verhältnis zum Antragsteller und seinem Dienstleister und gegen die Einhaltung der Vorgaben des § 80 SGB X spricht des Weiteren, dass die vorgesehene Datenverarbeitung gegenüber dem vertraglich als Auftraggeber ausgewiesenen Hausarzt nicht vollständig transparent ist. § 80 Abs. 2 Satz 6 Nr. 3 SGB X sieht für eine Auftragserteilung an eine nicht-öffentliche Stelle (wie vorliegend den Antragsteller und seinen Dienstleister) vor, dass dem Auftraggeber schriftlich das Recht unter anderem zur Einsichtnahme in Datenverarbeitungsprogramme eingeräumt wird. Hierdurch sowie durch die im Rahmen der Auftragsdatenverarbeitung vorzusehenden Kontroll-und Weisungsrechte des § 80 Abs. 2 Satz 2 SGB X muss, wie allgemein bei der Auftragsdatenverarbeitung, eine vollständige Einsichtsmöglichkeit des Auftraggebers in die vom Auftragnehmer durchgeführte Datenverarbeitung gewährleistet werden. Ein uneingeschränktes Recht zur Einsichtnahme in Datenverarbeitungsprogramme wird dem Hausarzt im Rahmen des HzV-Vertrages und seiner Anlage 8 jedoch nicht eingeräumt (vgl. dort § 4 Abs. 3 der Anlage 8). Es bestehen für den Senat im Eilverfahren erhebliche Bedenken gegenüber der im Vertrag vorgesehenen Verwendung eines auch für den Hausarzt nicht offengelegten oder nachvollziehbaren sogenannten gekapselten Kerns, zumal dieser gerade die Aufbereitung und Übermittlung von Patientendaten aus der Praxissoftware des Hausarztes heraus an den Dienstleister des Antragstellers betrifft. Insoweit erscheint es nicht ausreichend, dass die Datenkategorien in einer Anlage zum Rahmenvertrag beschrieben werden. Der Hausarzt muss vielmehr eine Möglichkeit besitzen, auch effektiv zu kontrollieren, welche Daten seiner Patienten aus seinem Praxissystem an welche Stelle(n) abfließen. Die beim Auftraggeber einer Auftragsdatenverarbeitung verbleibende volle datenschutzrechtliche Verantwortung bedingt lückenlose Kontrollmöglichkeiten des Auftraggebers über sämtliche Pfade der Datenverarbeitung hinweg, zumal dem Auftragnehmer eine Datenverarbeitung ausschließlich ihm Rahmen der Weisungen des Auftraggebers gestattet ist (vgl. nur Gola/Schomerus, BDSG, 10. Aufl. 2010, § 11 Rdnr.3, Walz, in: Simitis, BDSG, 6. Aufl. 2006, § 11 Rdnr. 56). Nach den bislang im einstweiligen Rechtsschutzverfahren vorgetragenen Gesichtspunkten und unter Berücksichtigung von § 2 der Anlage 1 zum HzV-Vertrag geht der Senat zum gegenwärtigen Zeitpunkt davon aus, dass weder der Hausarzt noch der Hersteller seiner Praxissoftware in der Lage sind, die Funktionalitäten des gekapselten Kerns und damit auch den Umfang der durch ihn abgeleiteten Daten sowie die Datenempfänger nachzuvollziehen und zu kontrollieren. Dies ist mit den Anforderungen an die Informationsmöglichkeit eines Auftraggebers aus § 80 Abs. 2 SGB X in einer grundlegenden Weise nicht vereinbar. Im Übrigen wäre ein Auftraggeber im Verhältnis zum Auftragnehmer auch nicht auf die Möglichkeit zu verweisen, an den Hersteller der von ihm verwendeten Software - nach Maßgabe des diesbezüglichen Vertragsverhältnisses - heranzutreten, um eine vollständige Offenlegung der erfolgenden Datenverarbeitung zu erbitten. Die erforderliche Transparenz der Datenverarbeitung muss vielmehr unmittelbar im Verhältnis Auftraggeber-Auftragnehmer gewährleistet sein. Darüber hinaus scheint nach dem insoweit plausiblen Vortrag des Antragsgegners und der Beigeladenen vorliegend auch ein Hersteller von Praxissoftware nicht in der Lage zu sein, die tatsächliche Datenverarbeitung von Patientendaten im gekapselten Kern durch ein Ansetzen an der Schnittstelle des Praxissoftwaresystems festzustellen.

Soweit der Antragsteller darauf hinweist, dass nach Auffassung des Art. 29 - Datenschutzgruppe der EU die Entscheidung über Mittel der Datenverarbeitung nicht vollständig vom Auftraggeber getroffen werden muss, sondern dem Auftragnehmer insoweit noch ein Gestaltungsspielraum verbleiben darf, so kann dies auch nach der Stellungnahme im WP169 - Papier nicht die Informationsmöglichkeiten des Auftraggebers über die für die Datenverarbeitung verwendeten Mittel einschränken. Diese Information sollte auch nach Auffassung der EU-Datenschutzexperten vollständig sein (vgl. das WP169, S. 18). Im Übrigen hat der Auftraggeber (bzw. in der Terminologie der EU-Richtlinie: der Verantwortliche) über die wesentlichen Elemente der Datenverarbeitung und damit notwendig über die zu verarbeitenden Daten zu entscheiden (vgl. ebenda, S. 17). Folgerichtig muss es für ihn daher auch kontrollierbar sein, ob die abgeleiteten Daten sich im Rahmen der von ihm festgelegten Entscheidung über die zu verarbeitenden Daten halten. Dies jedoch scheint vorliegend nicht der Fall zu sein.

Gegen eine Stellung der an der HzV teilnehmenden Hausärzte als Auftraggeber im Sinne von § 80 SGB X spricht als weiterer Gesichtspunkt die vom Antragsgegner in seiner datenschutzrechtlichen Anordnung angesprochene Möglichkeit, mit Hilfe der zu übermittelnden Patientendaten auch ohne entsprechende, vom Hausarzt ausgehende Beauftragung ein Musterverfahren gegenüber der Krankenkasse zur Durchsetzung von Vergütungsansprüchen zu führen. Gegen ein solches Musterverfahren kann sich der zur Abtretung seiner Ansprüche verpflichtete Hausarzt gemäß § 6 Abs. 10 der Anlage 3 zum HzV-Vertrag nur im Rahmen der Unzumutbarkeit oder datenschutzrechtlicher Hinderungsgründe wenden. Ob im Rahmen des letzteren Vorbehaltes diese Abtretungsverpflichtung wegen entgegenstehender Vorgaben des § 80 SGB X überhaupt zum Tragen kommen kann, erscheint fraglich; jedenfalls würde der Antragsteller bei der Führung von Musterverfahren unter Verwendung zumindest personenbeziehbarer Patientendaten - wobei eine Anonymisierung von § 6 Abs. 10 der Anlage nicht ausdrücklich vorgesehen ist - auch eigene Zwecke, nämlich diejenigen der Interessenvertretung aller Ärzte, verfolgen. Dies würde insoweit seine Stellung als Verantwortlicher einer Datenverarbeitung nach sich ziehen (vgl. nur Bergmann/Möhrle, § 11 BDSG Rdnr. 11; Walz, in: Simitis, a.a.O., § 11 Rdnr. 19; vgl. auch die Stellungnahme der Art. 29 - Datenschutzgruppe der EU im WP169, a.a.O., S. 18, wonach die Entscheidung über den Zweck der Verarbeitung ausschließlich dem für die Verarbeitung Verantwortlichen vorbehalten ist).

Erhebliche Zweifel an der Einhaltung der für eine Auftragsdatenverarbeitung nach § 295 Abs. 1 b Satz 6 SGB V i.V.m. § 80 SGB X maßgeblichen Vorgaben bestehen nach dem vorliegenden Vertragswerk aus Sicht des Senates auch hinsichtlich der Beschränkungen gemäß § 80 Abs. 5 SGB X für die Auftragserteilung an nicht öffentliche Stellen. Die Anforderungen des § 80 Abs. 5 SGB X sind auf Grund der umfassenden Verweisung des § 295 Abs. 1b Satz 6 SGB V auf § 80 SGB X entsprechend dem vom Gesetzgeber beabsichtigten Schutzniveau bei Einschaltung privater Abrechnungsdienstleister im Rahmen der hausarztzentrierten Versorgung gleichermaßen anwendbar. Warum dies nach Auffassung des Antragstellers nicht der Fall sein soll, ist nicht ersichtlich, da auch dem Gesetzgeber die Eigenschaft von teilnehmenden Hausärzten als private datenverarbeitende Stelle bekannt war.

Nach § 80 Abs. 5 SGB X ist eine Datenverarbeitung im Auftrag durch nicht-öffentliche Stellen nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden könnten und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst, wobei der überwiegende Teil der Speicherung des gesamten Datenbestandes beim Auftraggeber verbleiben muss. § 80 Abs. 5 SGB X bewirkt eine erhebliche Einschränkung für die Beauftragung einer nicht-öffentlichen Stelle und ist als Ausnahmeregelung grundsätzlich eng auszulegen (vgl. Rombach, in: Hauck/Noftz, a.a.O., § 80 SGB X Rdnr. 34; Von Wulffen, a.a.O., § 80 SGB X Rdnr. 13). Ob vorliegend Störungen im Betriebsablauf bei Nichteinschaltung eines privaten Abrechnungsdienstleisters im Sinne der 1. Alternative auftreten können, liegt bei summarischer Betrachtung nicht auf der Hand und wäre erforderlichenfalls im Rahmen des Hauptsacheverfahrens weiter aufzuklären. Ein Kostenvergleich für das Vorliegen der 2. Alternative (vgl. hierzu: Bergmann/Möhrle, § 80 SGB X Rndr. 28) ist vom Antragsteller nicht vorgetragen worden. Auch die Frage, ob der beim Hausarzt verbleibende Datenbestand über die an der hausarztzentrierten Versorgung teilnehmenden Patienten die übermittelten und beim Antragsteller bzw. seinem Dienstleister gespeicherten Daten überwiegt, wäre ggf. weiter aufzuklären, da sich angesichts des umfassenden Datenkataloges des Anhanges B zur Anlage 8 des HzV-Vertrages ein Überwiegen des beim Hausarzt verbleibenden Datenbestandes nicht ohne Weiteres annehmen lässt.

Jedenfalls aber wird die Vorgabe des § 80 Abs. 5 SGB X, dass der überwiegende Teil des Datenbestandes beim Auftraggeber verbleiben muss, sofern der Auftragnehmer eine nicht-öffentliche Stelle ist, im Verhältnis des Antragstellers zu seinem Dienstleister ...G nicht eingehalten. Darauf haben die beigeladenen Krankenkassen zuletzt mit nachvollziehbaren Argumenten hingewiesen. Der Antragsteller unterläge, wenn er - nach eigenem Vortrag - als Auftragnehmer der Datenverarbeitung im Verhältnis zum Hausarzt zu sehen wäre, gemäß § 295 Abs. 1 b Satz 8 SGB V als nicht in § 35 SGB I genannte Stelle dem dort geregelten Sozialgeheimnis entsprechend. Das Sozialgeheimnis umfasst nach § 35 Abs. 2 SGB I auch, dass eine Erhebung, Verarbeitung und Nutzung von Sozialdaten nur unter den Voraussetzungen des 2. Kapitels des 10. Buches des Sozialgesetzbuches, also nach den §§ 67 - 85 a SGB X, zulässig ist. Damit ist auch die Vorschrift des § 80 SGB X selbst für den Auftragnehmer einer Auftragsdatenverarbeitung nach § 295 Abs. 1b SGB V bei Einschaltung einer "anderen Stelle" in die Abrechnung von Leistungen der hausarztzentrierten Versorgung anzuwenden. Da die betroffenen Patientendaten im Rahmen des HzV-Vertrages vom Hausarzt jedoch zu 100 % an den Unterauftragnehmer des Antragstellers, die ...G, übermittelt werden sollen, verbliebe dem Antragsteller bei Annahme seiner Stellung als erstem Auftragnehmer kein Datenbestand und erst recht nicht der überwiegende Teil des Datenbestandes im Verhältnis zu den von seinem Dienstleister zu speichernden Daten.

Ist die nach dem HzV-Vertragswerk vorgesehene Datenverarbeitung somit nach derzeitigem Regelungsstand schon nicht als Auftragsdatenverarbeitung im Sinne von § 80 SGB X zu bewerten, fehlt es an einer Rechtsgrundlage für die Weitergabe der Patientendaten vom Hausarzt an den Antragsteller und seinen Dienstleister sowie dessen Unterauftragnehmer. Selbst wenn eine Auftragsdatenverarbeitung vorläge, wären die dafür geltenden Anforderungen nicht eingehalten. Ein Verstoß gegen materielles Datenschutzrecht im Sinne von § 38 Abs. 5 BDSG liegt somit vor. Dabei ist die Annahme eines Verstoßes nicht erst dann gerechtfertigt und sind aufsichtsbehördliche Maßnahmen nicht erst dann zulässig, wenn die betreffende Datenverarbeitung bereits ins Werk gesetzt ist. Gerade wenn es um besonders sensible und sogar strafrechtlich geschützte Daten wie Patientendaten (hier einschließlich von Krankheitsdiagnosen und Verordnungsdaten) geht, muss einer datenschutzrechtlichen Aufsichtsbehörde vor dem Hintergrund der durch Art. 28 Abs. 3, 2.Spiegelstrich der EU-Datenschutzrichtlinie verlangten wirksamen Einwirkungsbefugnisse ein Tätigwerden schon dann möglich sein, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk bereits deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist. Dies ist vorliegend der Fall, sodass dahinstehen kann, zu welchem Zeitpunkt auf Grund der vorzunehmenden Vergütungsbereinigung erstmals Daten tatsächlich übermittelt werden. Im Übrigen bedürfte selbst die Übermittlung der Patientenregistrierungen für die Hausarzt zentrierte Versorgung an die ...G (vgl. Ziffer 2.1.1 der Anlage 4 zum HzV-Vertrag) einer ausreichenden Rechtsgrundlage, da auch durch sie Sozialdaten im Sinne der §§ 35 SGB I, 67 SGB X verarbeitet werden.

Ob sich die streitbefangene Anordnung des Antragsgegners, mit der dieser in die Datenweitergabe an den Dienstleister des Antragstellers eingreift bzw. eine separate Speicherung und Nutzungssperrung etwaiger bereits übermittelter Daten von Patienten angeordnet hat, noch im Rahmen der nach § 38 Abs. 5 Satz 1 BDSG auf der ersten Stufe des gestaffelten aufsichtsbehördlichen Vorgehens zulässigen Maßnahmen zur Beseitigung von Datenschutzverstößen hält, oder ob es sich wegen des untersagungsähnlichen Gehaltes der Anordnung insoweit bereits um eine Maßnahme handelt, die lediglich nach den einschränkenden Voraussetzungen des dortigen Satz 2 - die vorliegend unstreitig nicht erfüllt sind - möglich wäre, erscheint dem Senat allerdings nicht ganz zweifelsfrei. Insoweit bleibt im Hauptsacheverfahren das Verhältnis beider Befugnisnormen zueinander insbesondere nach Inkrafttreten der Novellierung des BDSG im Jahre 2009, mit welcher eine Befugnis zur Anordnung von Maßnahmen zur Beseitigung materieller Datenschutzverstöße ergänzend eingefügt wurde, weiter zu klären. Aus diesem Grunde kann der Bescheid des Antragsgegners vom 21. Juli 2010 im Rahmen einer summarischen Prüfung im Eilverfahren weder als offensichtlich rechtmäßig noch als offensichtlich rechtswidrig angesehen werden. Das Verwaltungsgericht hat daher im Ergebnis zu Recht maßgeblich auf eine Abwägung der betroffenen Interessen im Rahmen des § 80 Abs. 5 VwGO abgestellt. Dabei ist auch aus Sicht des erkennenden Senats in nicht zu beanstandender Weise den Interessen der von einer unzulässigen Datenverarbeitung betroffenen Patienten der Vorrang eingeräumt worden. Diese genießen vor dem Hintergrund der strafrechtlichen Relevanz einer unbefugten Offenbarung von ärztlichen Berufsgeheimnissen und wegen der Sensibilität der hier betroffenen Gesundheitsdaten allerhöchsten Rang. Entgegenstehende eigene wirtschaftliche Interessen des Antragstellers sind vorliegend nicht erkennbar, da er die für die Abrechnung der Vergütung zu vereinnahmende Verwaltungskostenpauschale vom Hausarzt an seinen Dienstleister, der hier nicht Beteiligter des Verfahrens ist, weiterleitet. Im Übrigen wären derartige wirtschaftliche Interessen vorliegend auch nicht geeignet, einen Vorrang gegenüber den Belangen der betroffenen Patienten zu begründen. Den zu berücksichtigenden Interessen des Antragstellers und der hinter ihm stehenden Hausärzte an einer Durchführung der hausarztzentrierten Versorgung kommt gleichfalls kein vorrangiges Gewicht zu, zumal es der Antragsteller als ein Beteiligter am Vertragswerk des HzV-Vertrages maßgeblich mit in der Hand hat, datenschutzkonforme Vertragsgestaltungen zu initiieren.

Die Kostenentscheidung folgt aus § 154 Abs. 2 VwGO, die Festsetzung des Streitwertes beruht auf den § 53 Abs. 2, 52 Abs. 1 und 2 GKG.

Die außergerichtlichen Kosten der Beigeladenen sind gemäß § 162 Abs. 3 VwGO nicht erstattungsfähig, weil diese im Beschwerdeverfahren keinen eigenen Antrag gestellt haben.

Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO, §§ 68 Abs. 1 Satz 5, 66 Abs. 3 Satz 3 GKG).