0 Rechtsentwicklung
Rz. 1
§ 78c wurde durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904) neu in das SGB X aufgenommen. Er entspricht dem § 9a Bundesdatenschutzgesetz (BDSG), welcher aufgrund der Vorgaben der EU-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995) ebenfalls neu eingeführt wurde. Auch für den Bereich der Sozialdaten sollen nach der Gesetzesbegründung Regelungen zum Datenschutzaudit aufgenommen werden.
Mit dem Datenschutzaudit wurde das Ziel verfolgt, datenschutzrechtliche Produkte auf dem Markt zu fördern undbereits vor der Schaffung weiterer gesetzlicher Regelungen einen wettbewerblichen Anreiz zur Optimierung der datenschutzrechtlichen Praxis in Unternehmen und Behörden zu schaffen.
Rz. 2
Die Richtlinie 95/46/EG hat nicht verhindern können, dass der Datenschutz in der Europäischen Union unterschiedlich gehandhabt wurde, Rechtsunsicherheit und die Sorge bestand, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen. Diese Unterschiede im Schutzniveau wurden u. a. als Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten angesehen.
Rz. 3
Damit in der Europäischen Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, gilt seit 25.5.2018 die Datenschutz-Grundverordnung (DSGVO) – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119) als unmittelbar geltendes Recht.
Im Rahmen der erforderlichen Anpassung der nationalen Vorschriften erfolgte durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2451) eine Anpassung der Vorschriften zum Sozialdatenschutz im SGB X.
§ 78c wurde zum 25.5.2018 aufgehoben, "weil die Vorschrift vor dem Hintergrund der Verordnung (EU) 2016/679 keine Relevanz hat" (BT-Drs. 18/12611). Es gelten seit dem 25.5.2018 unmittelbar Art. 42 und Art. 43 DSGVO (vgl. Rz. 4f.).
1 Allgemeines/Rechtspraxis
1.1 Art. 42 DSGVO (Zertifizierung)
Rz. 4
Nach Art. 42 Abs. 1 DSGVO wird "die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird", gefördert.
Ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 DSGVO kann z. B. nach Art. 24 Abs. 3, Art. 25 Abs. 3 oder Art. 32 Abs. 3 DSGVO als Faktor herangezogen werden, um die Erfüllung der in diesen Artikeln genannten Anforderungen nachzuweisen (vgl. Komm. zu § 35 SGB I).
1.2 Art. 43 DSGVO (Zertifizierungsstellen)
Rz. 5
Die Zertifizierung wird durch die Zertifizierungsstellen (Art. 43 DSGVO) oder durch die zuständige Aufsichtsbehörde erteilt.
Diese Zertifizierungsstellen werden gemäß Art. 43 DSGVO akkreditiert von
- der zuständigen Aufsichtsbehörde gemäß Art. 55 oder Art. 56 DSGVO oder
- der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates v. 9.7.2008 über die Anforderungen an Akkreditierung und Marktüberwachung bei der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 (ABl. L 218 v. 13.8.2008) und für Akkreditierungen nach Artikel 3 der Verordnung (EG) Nr. 765/2008 im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Art. 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
Rz. 6
§ 39 BDSG sieht in Ausübung des durch Art. 43 Abs. 1 Satz 2 DSGVO eröffneten mitgliedstaatlichen Gestaltungsspielraums eine Akkreditierung der Zertifizierungsstellen auf der Grundlage des Akkreditierungsgesetzes vor (BT-Drs. 18/11325). Nach § 39 BDSG wird die Befugnis, als Zertifizierungsstelle gemäß Art. 43 Abs. 1 Satz 1 DSGVO tätig zu werden, "durch die für die datenschutzrechtliche Aufsicht über die Zertifizierungsstelle zuständige Aufsichtsbehörde des Bundes oder der Länder auf der Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle" erteilt.
Nach § 39 BDSG finden § 2 Absatz 3 Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Nummer 3 des Akkreditierungsstellengesetzes (AkkStelleG) mit der Maßgabe Anwendung, "dass der Datenschutz als ein dem Anwendungsbereich des § 1 Absatz 2 Satz 2 unterfallender Bereich gilt".
Nationale Akkreditierungsstelle im Sinne der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates ist die Akkreditierungsstelle (DAkkS) nach § 1 Abs. 1 AkkStelleG.
Die Akkreditierung durch die DAkkS ist sachgerecht, weil die DAkkS über hohe Kompetenz und Erfahrung bei der Akkreditierung und über eine etablierte und erprobte Akkreditierungsinfrastruktur verfügt. Die Regelung stellt ein bundeseinheitliches Akkreditierungsverfahren sicher, dass eine europaweite und im Rahmen von Gegenseitigkeitsabkommen auch internati...