0 Rechtsentwicklung
Rz. 1
Nach der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) wurde die Vorschrift durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904) vollständig verändert und an die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG L 281 v. 23.11.1995 S. 31) angepasst.
Eine erste Ergänzung wurde zum 26.7.2012 durch Art. 8 des Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union v. 21.7.2012 (BGBl. I S. 1566) vorgenommen. Abs. 1 wurde um Satz 2 erweitert.
Zum 25.5.2018 wurde § 77 durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2541) an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (DSGVO) überwiegend redaktionell angepasst (ABl. 2016 L 119), insbesondere an die Begriffsbestimmungen des Art. 4 DSGVO.
Durch Art. 38 des Gesetzes zur Regelung des Sozialen Entschädigungsrechts v. 12.12.2019 (BGBl. I S. 2652) wurde mit Wirkung zum 1.1.2020 in Abs. 2 Satz 3 und Abs. 6 jeweils die Begrifflichkeit des Bundesversicherungsamts durch die Neubezeichnung "Bundesamt für Soziale Sicherung" ersetzt.
Mit Wirkung zum 1.7.2020 wurde durch Art. 8 des Siebten Gesetzes zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 12.6.2020 (BGBl. I S. 1248) § 77 Abs. 3 aus Gründen der Rechtssicherheit – gestützt auf Art. 49 Abs. 5 der Verordnung (EU) 2016/679 – geändert.
1 Allgemeines
Rz. 2
§ 77 regelt für die Stellen nach § 35 SGB I die Voraussetzungen für zulässige Datenübermittlungen an Personen oder Stellen ins Ausland, wobei Letztere ihren Sitz auch im Inland haben können. Es kann sich um private oder öffentliche, natürliche oder juristische Personen oder Stellen im Ausland handeln; es müssen aber in jedem Fall die Voraussetzungen des § 77 erfüllt sein.
Rz. 3
Abs. 1 regelt die Voraussetzungen für die Übermittlung von Sozialdaten an Personen oder Stellen in Mitgliedstaaten der Europäischen Union sowie in diesen gleichgestellten Staaten nach § 35 Abs. 7 SGB I (vgl. die Komm. zu § 35 SGB I) und entspricht inhaltlich der Fassung bis zum 24.5.2018.
Nach Abs. 2 gelten die Voraussetzungen des Abs. 1 auch für Übermittlungen an Personen oder Stellen in einem Drittland sowie an internationale Organisationen, wenn deren angemessenes Datenschutzniveau durch Angemessenheitsbeschluss gemäß Art. 45 DSGVO festgestellt wurde.
Abs. 3 regelt die grundsätzliche Unzulässigkeit der Übermittlung an Personen oder Stellen in einem Drittland sowie an internationale Organisationen, für die kein Angemessenheitsbeschluss gemäß Art. 45 DSGVO festgestellt wurde nebst Ausnahmen.
Abs. 4 enthält Hinweispflichten zur Zweckbindung und entspricht § 77 Abs. 5 a. F.
Rz. 4
Die Verarbeitung besonderer Kategorien von Daten ist unmittelbar durch Art. 9 Abs. 2 Buchst. b DSGVO geregelt.
Rz. 5
Die Möglichkeit der Übermittlung auf Grundlage einer Einwilligung, sofern die Daten zur Aufgabenerfüllung erforderlich sind, ergibt sich seit dem 25.5.2018 unmittelbar aus der Verordnung (EU) 2016/679 mit den darin enthaltenen Erlaubnistatbeständen (Art. 6 Abs. 1 Buchst. a und d DSGVO, Art. 9 Abs. 2 Buchst. b, d bis j der Verordnung mit Ausnahme von genetischen, biometrischen und Gesundheitsdaten, bei denen nur die Übermittlung aufgrund von Art. 9 Abs. 2 Buchst. a und c DSGVO sowie auf Grundlage eines eigenen normativen Übermittlungstatbestands zulässig ist § 67b Abs. 1 Satz 3; vgl. die Komm. zu § 67b; BT-Drs. 18/12611).
§ 77 selbst enthält daher seit dem 25.5.2018 keinen Hinweis mehr auf die Zulässigkeit der Übermittlung von Sozialdaten ins Ausland auf Grundlage einer Einwilligung der betroffenen Person (bis 24.5.2018 enthalten in § 77 Abs. 3 Nr. 1 a. F.).
Rz. 6
Seit dem 25.5.2018 enthält weder Art. 4 Nr. 2 DSGVO noch § 67 eine Definition des Begriffs der Übermittlung. Aus § 67d Abs. 1 ist jedoch zu entnehmen, welche Vorgänge der Verarbeitung Übermittlungen i. S. d. SGB X sind. Danach trägt die übermittelnde Stelle die Verantwortung für die Zulässigkeit "der Bekanntgabe von Sozialdaten durch ihre Weitergabe an einen Dritten oder durch Einsichtnahme oder den Abruf eines Dritten von zur Einsicht oder zum Abruf bereitgehaltenen Daten". Näheres zu den Begriffsbestimmungen nach Art. 4 DSGVO und § 67 kann der Komm. zu § 67 entnommen werden.
2 Rechtspraxis
Rz. 7
Seit dem 25.5.2018 regelt Kapitel V der DSGVO (Art. 44 bis 50 DSGVO) europaweit und unmittelbar geltend die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen.
Ausgangspunkt jeder Übermittlung personenbezogener Daten ...