Rz. 5
§ 67b ist überschrieben mit der Aufzählung der Verarbeitungsvorgänge "Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung", ohne nähere Angaben zu seiner inhaltlichen Regelung.
Abs. 1 bestimmt die Zulässigkeitsvoraussetzungen für die genannten Verarbeitungsvorgänge und schränkt diese in dessen Satz 2 und 3 für besondere Kategorien personenbezogener Daten weiter ein.
Abs. 2 und 3 enthalten spezielle Anforderungen an die Einwilligung der betroffenen Person und ergänzen damit Art. 6 und Art. 7 DSGVO. Beide Absätze regeln – anders als Abs. 1 – die Einwilligung der betroffenen Person in die "Verarbeitung" von Sozialdaten. Geregelt werden also nicht nur die – in der Überschrift und in Abs. 1 genannten – Verarbeitungsvorgänge der Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung, sondern auch die weiteren Vorgänge i. S. v. Art. 4 DSGVO wie insbesondere die Erhebung, das Abfragen, die Offenlegung durch Verbreitung, Abgleich oder Verknüpfung.
2.1 Zulässigkeitsvoraussetzungen für die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung (Abs. 1 Satz 1 und 2)
Rz. 6
"Absatz 1 regelt als generelle Norm die Zulässigkeit von Verarbeitungsvorgängen außerhalb der Erhebung und verweist insoweit auf die folgenden Vorschriften", so die Gesetzesbegründung zur Neufassung des Abs. 1 zum 25.5.2018 (BT-Drs. 18/12611). Tatsächlich regelt er die Zulässigkeit der Verarbeitungsvorgänge Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung (Rz. 4).
Für die Erhebung von Sozialdaten gelten die Anforderungen des § 67a (vgl. die Komm. dort).
Für die weiteren Verarbeitungsvorgänge i. S. v. Art. 4 DSGVO gelten – sofern vorhanden – die spezifischen Regelungen im 2. Kapitel des SGB X und unmittelbar die Anforderungen der DSGVO; hier insbesondere Art. 6 DSGVO (vgl. Rz. 11 und die Komm. zu § 35 SGB I).
Rz. 7
Damit die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten nach Satz 1 zulässig ist, müssen die nachfolgenden Vorschriften des 2. Kapitels des SGB X oder eine andere Vorschrift des SGB sie erlauben oder anordnen.
Zusätzlich gelten die unmittelbar anzuwendenden Vorschriften der DSGVO, wie auch die Gesetzesbegründung zu § 67b Abs. 1 klarstellt. "Neben den spezifischen Befugnissen des Sozialgesetzbuches kann auch unmittelbar aus der Verordnung (EU) 2016/679, insbesondere aus Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 die Zulässigkeit der Verarbeitung von Sozialdaten folgen, was § 35 Absatz 2 Satz 1 des Ersten Buches deklaratorisch deutlich macht" (BT-Drs. 18/12611).
So auch EG 40 DSGVO, der die Verarbeitung nur für rechtmäßig erklärt, wenn die personenbezogenen Daten "mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt".
Zusammengefasst sind die genannten Verarbeitungsvorgänge zulässig
- mit Einwilligung der betroffenen Person oder
- bei Vorliegen einer sonstigen Rechtsgrundlage, die sich entweder unmittelbar aus der DSGVO ergibt oder aus dem SGB.
Rz. 8
Satz 2 stellt – gestützt auf Art. 9 Abs. 2 Buchst. b und h DSGVO – klar, dass die in Satz 1 geregelte Zulässigkeit der Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung auch für besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO gilt.
Eine Ausnahme gilt nach § 67b Abs. 1 Satz 3 für biometrische, genetische und Gesundheitsdaten (vgl. Rz. 20 bis 22).
2.1.1 Zulässigkeit nach dem SGB
Rz. 9
Es bedarf nach Abs. 1 Satz 1 für eine zulässige Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung einer besonderen Legitimation durch eine Rechtsvorschrift. In Betracht kommen insoweit die "nachfolgenden" Vorschriften des 2. Kapitels SGB X oder andere Rechtsvorschriften "in diesem Gesetzbuch" (SGB); vgl. die Komm. zu § 35 SGB I (Rz. 31).
2.1.2 Zulässigkeit nach der DSGVO
Rz. 10
Neben den Spezialvorschriften im SGB (Rz. 9) kann sich die Zulässigkeit für die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung unmittelbar aus der DSGVO ergeben. Art. 6 DSGVO regelt die "Rechtmäßigkeit der Verarbeitung" und Art. 9 DSGVO die "Verarbeitung besonderer Kategorien personenbezogener Daten".
2.1.2.1 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Rz. 11
Die Verarbeitung ist nach Art. 6 Abs. 1 DSGVO nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; Näheres hierzu in Rz. 23 ff.;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung gilt als rechtmäßig, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist (EG 44 DSGVO).
die ...