0 Rechtsentwicklung
Rz. 1
Die Vorschrift ist im Zusammenhang mit der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) neu bekanntgemacht worden. Durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904) wurde auch § 82 umfassend überarbeitet. Neu eingefügt wurde im Satz 1 der Schadensersatz bei nicht automatisierter Erhebung, Verarbeitung und Nutzung von Sozialdaten. Zu den Begriffsbestimmungen wird auf § 67 verwiesen.
§ 82 erhielt zum 25.5.2018 durch die mit Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2541) erfolgte Anpassung an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (DSGVO) v. 27.4.2016 (ABl. L 119/1) einen vollständig anderen Regelungsinhalt. Die bisher in § 82 enthaltene Regelung zum Schadenersatz konnte im SGB entfallen, da Art. 82 DSGVO Haftung und Schadenersatz regelt und unmittelbar anwendbar ist (vgl. Vorbemerkung zu §§ 67 ff. SGB X). Die Kommentierung zu § 35 SGB I (Rz. 74 bis 77) enthält auch Ausführungen zum Schadenersatz nach Art. 82 DSGVO.
In § 82 Abs. 1 wurden die bis zum 24.5.2018 in § 67a Abs. 3 Satz 2 SGB X a. F. enthaltenen Informationspflichten über Kategorien von Empfängern übernommen und lediglich redaktionell angepasst, insbesondere an die Begriffsbestimmungen nach Art. 4 DSGVO i. V. m. § 67.
Abs. 2 bis 4 ergänzen die Ausnahme von der Informationspflicht des Art. 13 Abs. 4 DSGVO um weitere Ausnahmen und zu treffende Maßnahmen. In Abs. 5 wurde als besonderer Ausnahmetatbestand die Regelung des § 83 Abs. 3 SGB X a. F. übernommen.
1 Allgemeines
Rz. 2
Bis zum 24.5.2018 enthielt § 67a SGB X a. F. sämtliche Voraussetzungen und Pflichten im Zusammenhang mit der Erhebung von Sozialdaten. Seit dem 25.5.2018 enthält dieser in Ergänzung der unmittelbar geltenden Vorschriften der DSGVO für die zulässige Erhebung von Daten, insbesondere Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) und Art. 9 DSGVO (Verarbeitung besonderer Kategorien von personenbezogenen Daten), nur noch die speziellen Anforderungen an die Erhebung von Sozialdaten (vgl. die Komm. zu § 67a).
Die Informationspflichten und die Ausnahmen davon ergeben sich für Datenerhebungen seit dem 25.5.2018 zunächst unmittelbar aus Art. 13 und 14 DSGVO (Rz. 4 ff.).
Die Ausnahme des Art. 13 Abs. 4 DSGVO von der Informationspflicht wird bei der Erhebung bei der betroffenen Person (Direkterhebung) durch § 32 BDSG erweitert und für die Erhebung von Sozialdaten durch § 82 (Rz. 28 ff.).
Ergänzungen zu den Ausnahmen des Art. 14 Abs. 5 DSGVO bei der Erhebung bei anderen Personen oder Stellen (Dritterhebung) ergeben sich aus § 33 BDSG und speziell für die Erhebung von Sozialdaten durch § 82a (vgl. die Komm. zu § 82a).
Rz. 3
Seit dem 25.5.2018 bestimmt Art. 4 DSGVO die im Datenschutzrecht europaweit einheitlich und unmittelbar zu verwendenden Begriffe und benennt in Nr. 2 als Verarbeitung "jeden ... Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen ...". Damit wird die Erhebung seit dem 25.5.2018 der Verarbeitung zugeordnet. Definiert wird der Begriff der Erhebung seit dem 25.5.2018 weder in der DSGVO noch im SGB X. Näheres hierzu kann der Komm. zu § 67 SGB X entnommen werden.
Im Ergebnis kann das Erheben weiterhin als das Beschaffen, Aufnehmen und Sammeln von Daten bezeichnet werden.
2 Rechtspraxis
Rz. 4
Art. 13 DSGVO enthält die unmittelbar geltenden Informationspflichten, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden (Rz. 5 ff.).
§ 32 BDSG enthält Ausnahmen von diesen Informationspflichten (Rz. 20 ff.).
§ 82 sieht für die Direkterhebung von Sozialdaten in bestimmten Fällen weitere Ausnahmen von diesen Informationspflichten des Art. 13 DSGVO vor und fordert dafür konkret zu ergreifende Schutzmaßnahmen (Rz. 31 ff.).
Art. 12 DSGVO enthält Anforderungen an transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person, die auch die Informationspflichten nach Art. 13 DSGVO betreffen (Rz. 13 bis 18).
2.1 Informationspflichten gemäß Art. 13 DSGVO
Rz. 5
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (Erwägungsgrund [EG] 60 DSGVO). Art. 13 DSGVO setzt diese Erwägungen um, in dem er mit Abs. 1 konkrete Forderungen stellt, welche Informationen der betroffenen Person mitzuteilen sind (Rz. 7 und 8) und welche Informationen nach Abs. 2 und 3 darüber hinaus zur Verfügu...