Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.09.2017

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Datenschutzreform 2018

Die bereitgestellten Informationen sollen die bayerischen öffentlichen Stellen bei der Umstellung auf die Datenschutz-Grundverordnung unterstützen.
Sie wollen einen Beitrag zum Verständnis des neuen Rechts leisten, nehmen aber keine Verbindlichkeit in Anspruch.

Der Sozialdatenschutz unter Geltung der Datenschutz-Grundverordnung (DSGVO)

1. Einführung

Im deutschen Sozialrecht findet sich eine Vielzahl bereichsspezifischer Regelungen zum Datenschutz. Art. 6 Abs. 2 und 3 in Verbindung mit Abs. 1 Unterabsatz 1 Buchst. e DSGVO eröffnet die Möglichkeit, im Rahmen der Vorgaben der Datenschutz-Grundverordnung solche bereichsspezifischen Regelungen auch in Zukunft beizubehalten. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten, etwa Gesundheitsdaten im Sozialbereich, muss zusätzlich die Vorschrift des Art. 9 DSGVO beachtet werden (siehe hierzu bereits "Die Datenschutz-Grundverordnung - Ein Überblick Teil 3", Nr. 1 Buchst. b).

Der Bundesgesetzgeber hat inzwischen die Vorschriften des Ersten Buches Sozialgesetzbuch - Allgemeiner Teil - (SGB I) und des Zehnten Buches Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) an die Datenschutz-Grundverordnung angepasst. Diese Änderungen werden - ebenso wie die Datenschutz-Grundverordnung - am 25. Mai 2018 in Kraft treten.

Darüber hinaus sind weitere Anpassungen, insbesondere des Fünften Buches Sozialgesetzbuch - Gesetzliche Krankenversicherung - (SGB V), geplant.

2. Datenschutzrechtlich wesentliche Änderungen des Ersten und des Zehnten Buches Sozialgesetzbuch

Die bisher bekannte Regelungssystematik des Sozialgeheimnisses in § 35 SGB I sowie der grundsätzlich für jedes Buch des Sozialgesetzbuchs geltenden Vorschriften in den §§ 67 ff. SGB X wird weitgehend beibehalten und überwiegend nur redaktionell an die Datenschutz-Grundverordnung angepasst. Insbesondere gilt die zentrale Datenübermittlungsvorschrift des § 69 SGB X (Übermittlung für die Erfüllung sozialer Aufgaben) nahezu unverändert fort.

Der Begriff der Sozialdaten wird in § 67 Abs. 2 Satz 1 SGB X-neu definiert als "personenbezogene Daten (Artikel 4 Nummer 1 der Verordnung (EU) 2016/679), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden."

Zudem werden auch die §§ 67a ff. SGB X-neu weiterhin von dem zentralen Grundsatz bestimmt, dass die Datenverarbeitung nur zulässig ist, wenn die Kenntnis der Sozialdaten zur Erfüllung einer Aufgabe der erhebenden Stelle erforderlich ist (Grundsatz der Erforderlichkeit).

Wesentliche Änderungen sind die zugunsten der Forschung und Planung vorgenommene Ausweitung der Befugnis zur Speicherung, Veränderung, Nutzung und Übermittlung von Sozialdaten für Zwecke der wissenschaftlichen Forschung (§§ 67b Abs. 3, 75 SGB X-neu) sowie die (Neu-)Regelung der Rechte der betroffenen Person (§§ 81 ff. SGB X-neu).

Die durch die Datenschutz-Grundverordnung unmittelbar eingeräumten Informationspflichten (Art. 13 f. DSGVO), Auskunfts- (Art. 15 DSGVO), Berichtigungs- bzw. Löschungsrechte (Art. 16 f. DSGVO) sowie das Widerspruchsrecht (Art. 21 DSGVO) der betroffenen Person werden in den §§ 82 ff. SGB X-neu abgewandelt bzw. eingeschränkt.

3. Ausgewählte Datenschutzfragen

  1. Verarbeitungsbefugnis in Bezug auf Sozialdaten Verstorbener

    Die eigentlich nur redaktionell vorgenommene Änderung des § 35 Abs. 5 Satz 1 SGB I-neu hat zur Folge, dass nunmehr auch die Erhebung von Sozialdaten über Verstorbene unter den Voraussetzungen der datenschutzrechtlichen Bestimmungen des Sozialgesetzbuches zulässig ist.

  2. Erhebung besonderer Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten) auf Grundlage einer Einwilligung

    Zur Erhebung besonderer Kategorien personenbezogener Daten ("sensible Daten") findet sich keine ausdrückliche (neue) gesetzliche Regelung im Zehnten Buch Sozialgesetzbuch. Deshalb sind hier die Vorschriften der Datenschutz-Grundverordnung zu beachten.

    Die Erhebung dieser sensiblen Daten auf Grundlage einer Einwilligung dürfte für öffentliche Stellen angesichts des Erwägungsgrundes 43 DSGVO nur eine untergeordnete Bedeutung haben (siehe hierzu bereits "Die Einwilligung nach der Datenschutz-Grundverordnung (DSGVO)", Nr. 2).

  3. Verarbeitung von Sozialdaten im Auftrag

    Die bisher geltende Einschränkung der Auftragsdatenverarbeitung (bzw. nach der Terminologie der Datenschutz-Grundverordnung nunmehr "Auftragsverarbeitung") durch nicht-öffentliche Stellen, wonach der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfassen darf, wurde gestrichen (siehe § 80 Abs. 3 Nr. 2 SGB X-neu).

    Ebenso ist der bislang in § 80 Abs. 2 SGB X enthaltene (konkrete) Katalog datenschutzrechtlicher Anforderungen an die Zulässigkeit der Auftragserteilung entfallen. Insoweit gelten nunmehr die entsprechenden Vorgaben des Art. 28 DSGVO unmittelbar (siehe auch die Verweisung auf diese Vorschrift in § 80 Abs. 1 SGB X-neu).

4. Praxishinweise

Öffentliche Stellen, die sozialdatenschutzrechtliche Vorschriften anzuwenden haben, - insbesondere die bayerischen Sozialleistungsträger - sollten sich nicht nur umgehend mit der Datenschutz-Grundverordnung, sondern auch mit den neuen datenschutzrechtlichen Regelungen im Ersten und Zehnten Buch Sozialgesetzbuch vertraut machen.

Zugleich sollten diese Stellen schon jetzt kritisch überprüfen, ob und inwieweit ihre jeweiligen Tätigkeiten mit den Vorgaben des neuen (Sozial-)Datenschutzrechts vereinbar sind.