Rz. 6
"Absatz 1 regelt als generelle Norm die Zulässigkeit von Verarbeitungsvorgängen außerhalb der Erhebung und verweist insoweit auf die folgenden Vorschriften", so die Gesetzesbegründung zur Neufassung des Abs. 1 zum 25.5.2018 (BT-Drs. 18/12611). Tatsächlich regelt er die Zulässigkeit der Verarbeitungsvorgänge Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung (Rz. 4).
Für die Erhebung von Sozialdaten gelten die Anforderungen des § 67a (vgl. die Komm. dort).
Für die weiteren Verarbeitungsvorgänge i. S. v. Art. 4 DSGVO gelten – sofern vorhanden – die spezifischen Regelungen im 2. Kapitel des SGB X und unmittelbar die Anforderungen der DSGVO; hier insbesondere Art. 6 DSGVO (vgl. Rz. 11 und die Komm. zu § 35 SGB I).
Rz. 7
Damit die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten nach Satz 1 zulässig ist, müssen die nachfolgenden Vorschriften des 2. Kapitels des SGB X oder eine andere Vorschrift des SGB sie erlauben oder anordnen.
Zusätzlich gelten die unmittelbar anzuwendenden Vorschriften der DSGVO, wie auch die Gesetzesbegründung zu § 67b Abs. 1 klarstellt. "Neben den spezifischen Befugnissen des Sozialgesetzbuches kann auch unmittelbar aus der Verordnung (EU) 2016/679, insbesondere aus Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 die Zulässigkeit der Verarbeitung von Sozialdaten folgen, was § 35 Absatz 2 Satz 1 des Ersten Buches deklaratorisch deutlich macht" (BT-Drs. 18/12611).
So auch EG 40 DSGVO, der die Verarbeitung nur für rechtmäßig erklärt, wenn die personenbezogenen Daten "mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt".
Zusammengefasst sind die genannten Verarbeitungsvorgänge zulässig
- mit Einwilligung der betroffenen Person oder
- bei Vorliegen einer sonstigen Rechtsgrundlage, die sich entweder unmittelbar aus der DSGVO ergibt oder aus dem SGB.
Rz. 8
Satz 2 stellt – gestützt auf Art. 9 Abs. 2 Buchst. b und h DSGVO – klar, dass die in Satz 1 geregelte Zulässigkeit der Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung auch für besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO gilt.
Eine Ausnahme gilt nach § 67b Abs. 1 Satz 3 für biometrische, genetische und Gesundheitsdaten (vgl. Rz. 20 bis 22).
2.1.1 Zulässigkeit nach dem SGB
Rz. 9
Es bedarf nach Abs. 1 Satz 1 für eine zulässige Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung einer besonderen Legitimation durch eine Rechtsvorschrift. In Betracht kommen insoweit die "nachfolgenden" Vorschriften des 2. Kapitels SGB X oder andere Rechtsvorschriften "in diesem Gesetzbuch" (SGB); vgl. die Komm. zu § 35 SGB I (Rz. 31).
2.1.2 Zulässigkeit nach der DSGVO
Rz. 10
Neben den Spezialvorschriften im SGB (Rz. 9) kann sich die Zulässigkeit für die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung unmittelbar aus der DSGVO ergeben. Art. 6 DSGVO regelt die "Rechtmäßigkeit der Verarbeitung" und Art. 9 DSGVO die "Verarbeitung besonderer Kategorien personenbezogener Daten".
2.1.2.1 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Rz. 11
Die Verarbeitung ist nach Art. 6 Abs. 1 DSGVO nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; Näheres hierzu in Rz. 23 ff.;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung gilt als rechtmäßig, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist (EG 44 DSGVO).
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- hierfür muss eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen, die regelt für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt (EG 45 DSGVO). Diese Öffnungsklausel des Buchst. c bietet die Grundlage für die spezifische Regelung des § 67b.
die Verarbeitung ist erforderlich, um lebenswichtige Interessen d...