Update Datenschutz Nr. 32
Datenschutz im sozialen Bereich
Die kommende Datenschutzgrundverordnung macht auch Anpassungen im Bereich des Sozialdatenschutzes erforderlich. Zum 25. Mai 2018 tritt daher zeitgleich mit der Datenschutzgrundverordnung auch ein geändertes Sozialgesetzbuch, insbesondere das SGB X ist betroffen, in Kraft. Vielfach handelt es sich um nötig gewordene redaktionelle Anpassungen, es gibt aber auch inhaltliche Veränderungen.
Grundsätzlich hat jeder Bürger Anspruch darauf, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden. Sozialdaten sind oft sehr sensibel, da sie den intimen Lebensbereich des Bürgers betreffen, wie z.B. Gesundheitsdaten. Sie sind daher besonders schutzbedürftig.
Änderungen im SGB X
Insbesondere die Informationspflichten, Auskunfts-, Berichtigungs- bzw. Löschungsrechte sowie das Widerspruchsrecht der jeweils betroffenen Person werden in der neuen Fassung des SGB X an die Erfordernisse der Datenschutzgrundverordnung angepasst. Insgesamt bleibt die Regelungssystematik des Gesetzes aber weitgehend erhalten.
Zentraler Bestandteil der Systematik wird auch weiterhin der Grundsatz der Erforderlichkeit sein. Die Datenverarbeitung ist nur zulässig, wenn dies für die Erfüllung einer Aufgabe der erhebenden Stelle erforderlich ist. Dies gilt ausdrücklich auch für besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO (§ 67a SGB X-neu).
Verarbeitung von Sozialdaten im Auftrag
Inhaltliche Veränderungen gibt es u.a. bei der Verarbeitung von Sozialdaten im Auftrag, also dem Äquivalent der Auftragsdatenverarbeitung. Bisher ist dies möglich, wenn „beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können“. Nach der zweiten Möglichkeit dürfen private Rechenzentren nur benutzt werden, wenn der „überwiegende Teil“ des gespeicherten Datenbestandes bei der behördlichen Stelle verbleibt (§ 80 SGB X).
Letztere Alternative wurde nun überarbeitet. Ab dem 25. Mai 2018 reicht es aus, wenn die „übertragene Arbeit beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können.“ (§ 80 SGB X- neu). Die alte Regelung wurde als nicht mehr zeitgemäß erkannt. Sie konnte nicht die beabsichtigte Verfügungskontrolle gewährleisten. Nun kann der Auftrag an nicht-öffentliche Stellen auch die Verarbeitung des gesamten Datenbestandes umfassen. Diese muss aber, wie auch schon in der aktuellen Regelung vorgesehen, „erheblich kostengünstiger“ sein.
Im alten § 80 Abs. 2 SGB X sind noch die einzelnen Umstände (z.B. Gegenstand und Dauer des Auftrages) aufgelistet, welche in dem schriftlichen Auftrag im Einzelnen festzulegen sind. Diese Liste hat der nationale Gesetzgeber in der Neufassung gestrichen. Es gilt nun Art. 28 DSGVO unmittelbar.
Eine Übermittlung von Daten ins Ausland ist, neben der Übermittlung in EU-Mitgliedstaaten und in diesen gleichgestellte Staaten (EWR sowie die Schweiz) nun auch ausdrücklich bei einem Angemessenheitsbeschluss gemäß Art. 45 der Datenschutzgrundverordnung erlaubt (§ 77 SGB X-neu).
Fazit
Öffentliche Stellen müssen sich den neuen Anforderungen im Datenschutz durch die Datenschutzgrundverordnung anpassen. Sie sollten sich daher mit den neuen Regelungen im SGB vertraut machen und überprüfen, ob ihre Abläufe mit den neuen Vorgaben vereinbar sind.