Sozialdatenschutz und Datenschutz-Grundverordnung

4 Bewertungen

12. Ausgabe Juli 2017

 

Countdown _10Monate.jpg

 

 

1. Überraschungsaktion im Bundestag

 

Der Bundesgesetzgeber hat in einer Überraschungsaktion wesentliche Datenschutzvorschriften des Sozialgesetzbuches und anderer Gesetze an die Datenschutz-Grundverordnung (DSGVO) angepasst. Wie schon im letzten Newsletter berichtet, wurden die Änderungen des SGB I und X mit einem Änderungsgesetz zum Bundesversorgungsgesetz verknüpft. Zuvor gab es weder einen eigenständigen Gesetzentwurf der Bundesregierung (mit anschließender Beteiligung des Bundesrats), noch einen förmlichen Gesetzentwurf aus der Mitte des Bundestages. Zum Sozialgesetzbuch I und X wurde lediglich im März 2017 vom Bundesministerium für Arbeit und Soziales ein Referentenentwurf per E-Mai an die einschlägigen Verbände versandt mit dem Vermerk: „Der Entwurf ist von der Leitung des BMAS noch nicht gebilligt und noch nicht innerhalb der Bundesregierung abgestimmt.“

 

Unvermittelt wurde kurz vor der zweiten und dritten Lesung eines Änderungsgesetzes zum Bundesversorgungsgesetz im federführenden Bundestagsausschuss ein Ergänzungsantrag der Regierungsfraktionen eingebracht und beschlossen. Der Antrag sah Änderungen der Datenschutzvorschriften einer Vielzahl von Gesetzen vor. Von Bedeutung für den öffentlichen Bereich sind die Änderungen der Abgabenordnung, des Finanzverwaltungsgesetzes sowie des § 35 SGB I und der §§ 67 bis 85a SGB X.

 

Der Bundesrat hat zwar am 7. Juli 2017 das Verfahren kritisiert. Angesichts der Relevanz der getroffenen Regelungen für die Landes- und Kommunalbehörden sei das gewählte Verfahren ungeeignet, um den Ländern eine umfassende Beteiligung zu ermöglichen und ihre Mitwirkungsrechte umfassend wahrzunehmen. Für Unmut sorgte vor allem die überfallartige Übertragung der Datenschutzaufsicht über die Finanzämter weg von den Landesbeauftragten für den Datenschutz auf den für die Landesverwaltung überhaupt nicht zuständigen Bundesbeauftragten. Nur um die rechtzeitige Anpassung der Vorschriften an die Grundverordnung nicht zu gefährden, verzichtete der Bundesrat auf die Anrufung des Vermittlungsausschusses und stimmte dem Gesetz zu (Beschluss des Bundesrats vom 07. 07 2017, 450/1/17)

 

Mit einer Veröffentlichung der beschlossenen Gesetzesänderungen ist (nach Ausfertigung durch den Bundespräsidenten) in nächster Zeit zu rechnen.

 

Die Gesetzestexte lassen sich aber schon jetzt im Internet lesen (BRDrs vom 16. 06. 17, 450/17):
http://www.bundesrat.de/SharedDocs/drucksachen/2017/0401-0500/450-17.pdf?__blob=publicationFile&v=1

Dies ist die zweite Maßnahme des Bundesgesetzgebers zur Anpassung des Datenschutzrechts des Bundes an die DSGVO. Das im ersten Schritt neu gefasste Bundesdatenschutzgesetz ist am 7. Juli im Bundesgesetzblatt veröffentlicht worden (DSAnpUG-EU vom 30. 06. 2017, BGBl. I 2017, 2097). Es gilt wie bisher für die Privatwirtschaft sowie für öffentliche Stellen des Bundes.

 

2. Datenschutz-Grundverordnung erlaubt bereichsspezifische Regelungen der Mitgliedstaaten

 

Die Datenschutz-Grundverordnung erlaubt den Mitgliedstaaten gemäß Art. 6 Abs. 2, Abs. 3 Satz 3 DSGVO „spezifischere Bestimmungen zur Anpassung der Vorschriften der DSGVO“.  Dies gilt vor allem für die Fallgruppe des Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO: „Erforderlichkeit der Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung öffentlicher Gewalt erfolgenden Aufgabe.“ 

 

Das gesamte Sozialgesetzbuch enthält eine Vielzahl bereichsspezifischer Regelung zum Datenschutz, die auf Grund dieser Regelungsermächtigung beibehalten werden können.

 

3. Änderungen im Ersten und Zehnten Buch des SGB

 

In § 35 SGB I und im Zweiten Kapitel des SGB X (§§ 67 bis 85a SGB X) werden die grundlegenden, für alle Bücher sowie die besonderen Teile des Sozialgesetzbuches geltenden Regelungen zum Sozialdatenschutz getroffen. Diese Vorschriften wurden nun an die DSGVO angepasst, mit Wirkung zum 25. Mai 2018.

 

Im Ergebnis handelt es sich fast ausschließlich um relativ harmlose Änderungen, überwiegend nur redaktionelle Anpassungen an die DSGVO.

 

Die Änderungen von Vorschriften einiger anderer Bücher des SGB (II., III., VII., IX., XII.) betrafen nicht den Datenschutz.

 

4. Geplante Änderungen der anderen Bücher des SGB

 

Die notwendigen Änderungen anderer Sozialgesetzbücher – überwiegend zur Anpassung der Begrifflichkeiten – sollen durch ein geplantes 2. Datenschutz-Anpassungsgesetz nach der Bundestagswahl (aber rechtzeitig vor dem 25. Mai 2018) erfolgen.

 

5. Änderungen des § 35 SGB I

 

Die Datenschutzgrundnorm § 35 SGB I wurde redaktionell an die DSGVO angepasst.

 

Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener. Dies stellt Erwägungsgrund 27 klar und stellt folgerichtig fest, dass es den Mitgliedstaaten frei steht, für dieses Thema Vorschriften zu erlassen. So konnte der Bundesgesetzgeber die bisherige Regelung des § 35 Abs. 5 SGB I beibehalten. Danach dürfen Sozialdaten von Verstorbenen nach Maßgabe des Zweiten Kapitels des Zehnten Buches verarbeitet werden, d. h. gemäß §§ 67 bis 85a SGB X. Sie dürfen außerdem verarbeitet werden, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden können.

 

In § 35 Abs. 2 Satz 1 SGB I wird festgestellt, dass die Vorschriften des Zweiten Kapitels des Zehnten Buches und der übrigen Bücher des Sozialgesetzbuches die Verarbeitung von Sozialdaten „abschließend regeln“, aber nur, „soweit nicht die Datenschutzgrundverordnung unmittelbar gilt.“ Da wird es Aufgabe vieler Kommentatoren sein, zu erläutern, welche Auswirkung die unmittelbare Geltung der DSGVO auf die Bestimmungen des Sozialgesetzbuches hat. Leider bewirkt die DSGVO keinen besseren Datenschutz, sondern führt jedenfalls im öffentlichen Bereich nur zu komplizierten Regelungen und zu verstärkter Unübersichtlichkeit.

 

6. Änderungen im SGB X (§§ 67 bis 85a)

 

a) Begriffsbestimmungen in § 67 SGB X


Die Definition der Sozialdaten lautet gemäß § 67 Abs. 2 SGB X n. F. künftig wie folgt:


(2) Sozialdaten sind personenbezogene Daten (Artikel 4 Nummer 1 der Verordnung (EU) 2016/679), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.

 

Unter den weiten Begriff der „Verarbeitung“ der DSGVO fallen sämtlich möglichen Vorgänge im Zusammenhang mit Daten und zwar von der Erhebung, Speicherung und Nutzung bis zur Löschung (Art. 4 Nr. 2 DSGVO).

 

b) Grundsatz der Erforderlichkeit


Wie bisher ist zentraler Grundsatz in §§ 67 ff. SGB X, dass die Datenverarbeitung nur zulässig ist, wenn die Kenntnis der Daten zur Erfüllung einer Aufgabe der erhebenden Stelle erforderlich ist.  

 

Der nunmehr europarechtlich auszulegende Begriff der Erforderlichkeit lässt sich wie folgt verdeutlichen:

„Erforderlich“ im Sinn von Art. 6 Abs. 1 UAbs. 1 Buchst. b bis f DSGVO ist eine Datenverarbeitung dann, wenn ohne die Verarbeitung die Erreichung des Zwecks nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte.“

(So die Formulierung von Niese in der nächsten Aktualisierung des Kommentars zur DSGVO und zum BayDSG (DATENSCHUTZ IN BAYERN) „Wilde/Ehmann/Niese/Knoblauch“ zu Art. 6 Abs. 1 UAbs. 1 DSGVO).

 

c) Direkterhebung beim Betroffenen in § 67a Abs. 2 SGB X

 

Die DSGVO kennt keinen Vorrang der Direkterhebung beim Betroffenen. Die Informationspflichten gegenüber dem Betroffenen bei der Direkterhebung (Art. 13 DSGVO) und bei der Datenerhebung bei Dritten (Art. 14 DSGVO) sind ähnlich geregelt.

 

Hingegen hält § 67a Abs. 2 SGB X als bereichsspezifische Regelungen am Grundsatz fest, dass in erster Linie Daten bei der betroffenen Person zu erheben sind. Allerdings ist die Erhebung bei Dritten ohne Mitwirkung des Betroffenen wie bisher in den gesetzlich bestimmten Fällen zulässig. Die Regelung stellt eine Konkretisierung des Grundsatzes der Verarbeitung nach Treu und Glauben sowie des Transparenzprinzips im Sinn von Art. 5 Abs. 1 Buchst. a DSGVO dar.

 

Die Gesetzesbegründung stellt klar, dass auch die Erhebung beim Dritten unter Mitwirkung der betroffenen Person (z.B. in Form einer Einwilligung) in Frage kommt.  Damit wird angesprochen, dass die Einwilligung eine zumutbare Mitwirkungshandlung zur Erlangung einer Sozialleistung im Sinn des § 60 Abs. 1 Nr. 1 SGB I sein kann. Danach hat derjenige, der Sozialleistungen beantragt oder erhält, auf Verlangen des zuständigen Leistungsträgers der Erteilung der erforderlichen Auskünfte durch Dritte zuzustimmen, es sei denn, dass ein Ausschlussgrund des § 65 Abs. 1 SGB I in Form der Unverhältnismäßigkeit, Unzumutbarkeit oder Kenntnismöglichkeit des Leistungsträgers durch geringeren Aufwand vorliegt.

 

d) Einwilligung (§ 67b Abs. 2 und 3 SGB X)

 

Zur Einwilligung wurde bisher die Schriftform verlangt (§ 67b Abs. 2 SGB X). Dieses Verlangen musste zur Soll-Vorschrift abgeschwächt werden, wonach die Einwilligung schriftlich oder elektronisch erfolgen soll. Denn die DSGVO ist großzügig hinsichtlich der Form und lässt auch eine mündliche Einwilligung genügen (Art. 4 Nr. 11 DSGVO). Allerdings ist diese Großzügigkeit etwas theoretisch und es wird eine solche Form der Einwilligung keine große Bedeutung erlangen, weil der Verantwortliche die Einwilligung nämlich nachweisen können muss (Art. 7 Abs. 1 DSGVO). Für die öffentliche Verwaltung bedeutet eine Soll-Vorschrift nach allgemeinem Verwaltungsrecht ein „Muss“, soweit nicht besondere Gesichtspunkte eine Ausnahme rechtfertigen.

 

Wie bisher muss nach § 67b Abs. 2 Satz 2 SGB X bei der Einholung einer Einwilligung der Betroffene auf den Zweck der vorgesehenen Verarbeitung, auf die Folgen der Verweigerung der Einwilligung hinzuweisen, künftig zusätzlich auf die jederzeitige Widerrufsmöglichkeit gemäß Art. 7 Abs. 3 der DSGVO. Der Leser der Vorschrift muss für sich ergänzen, dass nach Art. 7 Abs. 3 DSGVO nicht nur auf die Widerspruchsmöglichkeit hinzuweisen ist, sondern auch darauf, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt wird.

 

e) Datenübermittlungen für die Erfüllung sozialer Aufgaben (§ 69 SGB X)

 

§ 69 SGB X ist die zentrale Datenübermittlungsvorschrift für Sozialbehörden. Diese Vorschrift setzt das Prinzip der „informationellen Einheit innerhalb des Sozialbereichs“ auch bei der Übermittlung von Sozialdaten um. Sie begünstigt insbesondere den Datenaustausch innerhalb des Sozialbereiches. Die Vorschrift wurde nur redaktionell angepasst.

 

f) Datenübermittlungen im Interesse der Strafverfolgung, Gefahrenabwehr und inneren und äußeren Sicherheit

 

Die einschlägigen Vorschriften (§§ 68, 72, 73 SGB X) wurden nur redaktionell geändert.

 

g) Datenübermittlungen für Forschung und Planung (§ 75 SGB X

 

§ 75 SGB X wurde in erheblichem Umfang zugunsten der Forschung und Planung geändert. Die Erweiterungen sind in Hinblick auf die vom Sozialgesetzbuch vorgegebene enge Zweckbindung ungewöhnlich weitgehend.

 

h) Verarbeitung von Sozialdaten im Auftrag, § 80 SGB X

 

Die Auftragserteilung an nicht-öffentliche Stellen wurde erleichtert (§ 80 Abs. 3 SGB X n. F.). Unverändert blieb die erste Alternative, wonach eine Beauftragung zulässig ist, wenn beim Verantwortlichen sonst Störungen im Betriebsablauf auftreten können. Bei der zweiten Alternative („wenn die übertragenen Arbeiten beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können“) wurde eine weitere Einschränkung „als nicht zeitgemäß“ gestrichen. Bisher galt einschränkend, dass der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfassen darf und dass der überwiegende Teil des Datenbestandes beim Auftraggeber bleiben muss oder bei einem Auftragnehmer, der selbst öffentliche Stelle ist. Der Gesetzgeber ging bisher davon aus, dass diese Regelung wegen der hohen Sensibilität von Sozialdaten (z. B. Gesundheitsdaten) sachgerecht ist. Allerdings galt diese Einschränkung seit 2006 schon nicht mehr für Jobcenter (§ 51 SGB II).

 

i) Informationspflichten bei Erhebung von Sozialdaten, §§ 82, 82a SGB X

 

Die Informationspflichten bei Erhebung von Sozialdaten (bisher § 67 Abs. 3 bis 5) wurden zusammengefasst und zwar

 

  • in § 82 SGB X die Informationspflichten bei der Erhebung bei der betroffenen Person, und

  • in § 82a SGB X die Informationspflichten, wenn Sozialdaten nicht bei der betroffenen Person erhoben wurden

 

Hierbei wurden die sich aus Art. 13 und 14 DSGVO ergebenen Rechte des Betroffenen modifiziert bzw. eingeschränkt, was Art. 23 DSGVO ausdrücklich erlaubt.

 

 

Christian Peter Wilde

Mitautor Datenschutz in Bayern

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 199,99 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
HJR_355pxbreit_Beitragsseitenbanner_mitRand2px-min.jpg
Banner_Homeofficeaktion_355px_April2021.jpg
Banner Quizwelt_min.jpg
banner-datenschutz.png
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag - Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

 

 

Unsere Themen und Produkte

 

Service

 

Rechtliches

Ihre Vorteile

Folgen Sie uns

Partner der


Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung