0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 5 des Dritten Gesetzes zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 5.8.2010 (BGBl. I S. 1127) neu in das Zweite Kapitel des SGB X aufgenommen. Sie ist seit 11.8.2010 in Kraft.
Am 24.5.2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) in Kraft (ABl. 2016 L 119), deren Regelungen seit dem 25.5.2018 unmittelbar anwendbar sind. Der Regelungsinhalt des § 83a a. F. ergibt sich seit dem aus Art. 33 und 34 DSGVO. Durch Art. 19 und Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2541) wurden die Regelungen zum Sozialdatendatenschutz umfassend an die DSGVO angepasst. § 83a regelt seit dem nur noch die Pflicht zur Einschaltung der Rechts- oder Fachaufsicht und verweist ansonsten auf Art. 33 und 34 DSGVO.
1 Allgemeines
Rz. 2
Bis zum 24.5.2018 hatten die Stellen nach § 35 SGB I gemäß § 83a SGB X a. F. die Verpflichtung, bei einer unrechtmäßigen Übermittlung von besonderen Arten personenbezogener Daten von Amts wegen die zuständigen Aufsichtsbehörden und die betroffenen Personen davon in Kenntnis zu setzen, sofern schwerwiegende Beeinträchtigungen der Rechte oder schutzwürdigen Interessen der betroffenen Person drohten.
Seit dem 25.5.2018 ergibt sich unmittelbar aus Art. 33 und 34 DSGVO die Pflicht, Verletzungen des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben, der für den Datenschutz zuständigen Aufsichtsbehörde und der betroffenen Person zu melden.
§ 83a ergänzt dies für die Stellen nach § 35 SGB I um die – bereits früher enthaltene – Verpflichtung, einen solchen Verstoß der Aufsichtsbehörde nach § 90 SGB IV zu melden.
Anders als bis zum 24.5.2018, besteht die Benachrichtigungspflicht des § 83a seit dem 25.5.2018 unabhängig davon, welche Sozialdaten von der Verletzung betroffen sind; die Beschränkung auf die besonderen Kategorien personenbezogener Daten wurde nicht aufrechterhalten.
2 Rechtspraxis
2.1 Benachrichtigung der Rechts- oder Fachaufsicht bei einer Verletzung des Schutzes von Sozialdaten nach § 83a
Rz. 3
§ 83a verweist seit dem 25.5.2018 auf Art. 33 DSGVO (vgl. Rz. 4 ff.) und Art. 34 DSGVO (vgl. Rz. 16 ff.) und bestimmt ergänzend für die Stellen nach § 35 SGB I die Pflicht zur Einschaltung der nach § 90 SGB IV zuständigen Rechts- oder Fachaufsicht.
Bereits unmittelbar aus Art. 33 DSGVO ergibt sich die Pflicht, Verletzungen des Schutzes personenbezogener Daten der jeweiligen i. S. d. § 81 für den Datenschutz zuständigen Aufsichtsbehörde sowie nach Art. 34 DSGVO der betroffenen Person zu melden.
Die Information an die Rechts- oder Fachaufsichtsbehörden muss – wie die Information an die zuständige Aufsichtsbehörde i. S. v. § 81 – mindestens die Informationen nach Art. 33 Abs. 3 DSGVO (vgl. Rz. 14, 15) enthalten.
2.2 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 DSGVO
Rz. 4
Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person (Erwägungsgrund [EG] 85 DSGVO).
Hierzu sollte laut EG 87 DSGVO "festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können".
2.2.1 Eintritt der Meldepflicht
Rz. 5
Nach Art. 33 Abs. 1 DSGVO besteht eine Meldepflicht für den Verantwortlichen (Abs. 1) immer dann, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist und die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Nach Art. 33 Abs. 2 DSGVO besteht diese Meldepflicht auch für den Auftragsverarbeiter. Dieser meldet jedoch nicht der Aufsichtsbehörde, sondern dem Verantwortlichen.
Rz. 6
Eine "Verletzung des Schutzes personenbezogener Daten" ist nach Art. 4 Nr. 12 DSGVO "eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden" (vgl. ergänzend zu den Begriffsbestimmungen die Komm. zu § 67).
Die Anforderungen an zu treffenden technischen und organisatorischen Maßnahmen, um...