Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 11.02.2019

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Aktuelle Kurz-Information 18: Meldung von Datenschutzverletzungen durch Sozialbehörden an die zuständigen Rechts- oder Fachaufsichtsbehörden

Stichwörter: Datenschutzverletzung - Fachaufsichtsbehörde - Meldepflicht - Rechtsaufsichtsbehörde - Sozialdaten

Nach Art. 33 Abs. 1 Satz 1 Datenschutz-Grundverordnung (DSGVO) hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten (umgangssprachlich "Datenpanne") "unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde," der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Eine ähnliche Vorschrift gab es bereits vor Geltung der Datenschutz-Grundverordnung im Bereich des Sozialdatenschutzes. Nach § 83a Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) in der bis zum 24. Mai 2018 geltenden Fassung bestand eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von besonderen Arten personenbezogener Sozialdaten (§ 67 Abs. 12 SGB X a. F.). In einem solchen Fall mussten Sozialbehörden unverzüglich die Rechts- oder Fachaufsichtsbehörde, die Datenschutzaufsichtsbehörde und auch den Betroffenen unterrichten.

Sozialbehörden sind die in § 35 Sozialgesetzbuch Erstes Buch - Allgemeiner Teil - (SGB I) genannten Stellen, insbesondere die Sozialleistungsträger (z. B. Sozialamt, Jobcenter, Jugendamt). Wenn diese Stellen personenbezogene Daten im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeiten, spricht man von Sozialdaten (siehe Begriffsbestimmung in § 67 Abs. 2 SGB X).

Mit Geltungsbeginn der Datenschutz-Grundverordnung am 25. Mai 2018 hat sich der Regelungsinhalt des § 83a SGB X geändert. Dieser lautet inzwischen wie folgt:

"Ergänzend zu den Meldepflichten gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 meldet die in § 35 des Ersten Buches genannte Stelle die Verletzung des Schutzes von Sozialdaten auch der Rechts- oder Fachaufsichtsbehörde."

Diese Vorschrift betrifft grundsätzlich nur das Verhältnis zwischen einer Sozialbehörde und der für sie zuständigen Rechts- oder Fachaufsichtsbehörde. Gleichwohl bin ich als Datenschutzaufsichtsbehörde bereits mehrfach gefragt worden, ob die Meldung an die Rechts- oder Fachaufsichtsbehörde innerhalb der gleichen Frist wie bei Art. 33 Abs. 1 Satz 1 DSGVO dort eingehen muss sowie in welcher Form und gegebenenfalls wie ausführlich eine Meldung zu erfolgen hat.

In Abstimmung mit dem Bayerischen Staatsministerium für Familie, Arbeit und Soziales, dem Bayerischen Staatsministerium für Gesundheit und Pflege sowie dem Bayerischen Staatsministerium des Innern, für Sport und Integration bin ich im Hinblick auf die Meldung gemäß § 83a SGB X folgender Auffassung:

  1. Die Meldung hat im Gleichlauf mit den Meldepflichten der Datenschutz-Grundverordnung ("ergänzend") bei Verletzung des Schutzes von Sozialdaten (nach § 35 Abs. 5 SGB I stehen Betriebs- und Geschäftsgeheimnisse den Sozialdaten gleich) ebenfalls unverzüglich und möglichst binnen 72 Stunden, nachdem der Sozialbehörde die Verletzung bekannt wurde, zu erfolgen. Derzeit ist noch nicht abschließend geklärt, ob die Verletzung des Schutzes von Sozialdaten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben muss (siehe Art. 34 DSGVO) oder ob ein "einfaches" Risiko (siehe Art. 33 DSGVO) ausreicht. Ich empfehle daher eine Meldung bereits bei jeglicher Verletzung des Schutzes von Sozialdaten, also schon dann, wenn voraussichtlich noch kein hohes, aber zumindest ein "einfaches" Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.
  2. Hinsichtlich des Inhalts der Meldung kann sich die meldende Sozialbehörde an dem Formular zur Meldung von Datenschutzverletzungen im Sinne von Art. 33 DSGVO orientieren, das sich auf meiner Homepage (https://www.datenschutz-bayern.de) in der Rubrik "Online-Meldungen" befindet - allerdings mit der Maßgabe, dass die Rechtsoder Fachaufsichtsbehörde nur die für sie erforderlichen Informationen erhält und darüber hinausgehende Angaben geschwärzt werden.