Rz. 10
Mit Abs. 1 Satz 2 wird seit dem 25.5.2018 geregelt, dass eine Übermittlung von Sozialdaten an eine nicht-öffentliche Stelle nur zulässig ist, wenn diese sich gegenüber der übermittelnden Stelle verpflichtet hat, die zu übermittelnden Sozialdaten entsprechend Abs. 1 Satz 1 nur für den Zweck zu verarbeiten, zu dem sie ihr übermittelt werden. Es handelt sich um eine in das SGB X neu eingeführte zusätzliche Voraussetzung für eine zulässige Übermittlung von Sozialdaten an nicht-öffentliche Stellen.
Mit Art. 131 2. DSAnpUG-EU wurde mit Wirkung zum 26.11.2019 in Satz 2 zur Klarstellung des Anwendungsbereichs die Ergänzung der Übermittlung "nach den §§ 68 bis 77 oder nach einer anderen Rechtsvorschrift in diesem Gesetzbuch" eingefügt. Damit sollte deutlich werden, dass es sich lediglich um eine zusätzliche Voraussetzung für die Übermittlung von Sozialdaten an eine nicht-öffentliche Stelle handelt, diese jedoch keine eigenständige Rechtsgrundlage für die Datenübermittlung darstellt (vgl. BR-Drs. 430/18, S. 492).
Mit der weiteren Ergänzung der Wörter "auf deren Ersuchen" sollte zudem klargestellt werden, dass die Selbstverpflichtung zur Einhaltung der Zweckbindung nur für den Fall erforderlich ist, in dem die nicht-öffentliche Stelle um die Übermittlung von Sozialdaten ersucht, um diese Daten für ihre Zwecke zu verarbeiten (z. B. bei der Übermittlung von Sozialdaten zur Durchführung eines gerichtlichen Verfahrens über den Versorgungsausgleich nach § 74 oder zur Gewährung einer Akteneinsicht nach § 25).
Einer (vorherigen) Selbstverpflichtungserklärung der öffentlichen Stelle bedarf es hingegen nicht für die Übermittlung von Sozialdaten, wenn diese auf Veranlassung der in § 35 SGB I genannten Stelle an die nicht-öffentliche Stelle zur Erfüllung der in der Zuständigkeit der in § 35 SGB I genannten Stelle liegenden gesetzlichen Aufgaben erforderlich ist (so BR-Drs. 430/18 S. 492).
Rz. 11
Der Begriff der nicht-öffentlichen Stelle ist weder in der DSGVO noch im SGB definiert; er ergibt sich aus § 2 Abs. 4 BDSG und umfasst "natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Abs. 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes".
Rz. 12
Der Grundsatz der Zweckbindung ergibt sich seit dem 25.5.2018 bereits unmittelbar aus Art. 5 Abs. 1 Buchst. b DSGVO, nach dem müssen "personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden". Insoweit handelt es sich bei § 78 Abs. 1 Satz 2 um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Art. 6 Abs. 1 Buchst. c und e i. V. m. Abs. 2 und Abs. 3 Satz 1 Buchst. b, Satz 2 DSGVO, mit der die Regelung der DSGVO noch weiter eingeschränkt wird.
Rz. 13
Die Zweckbindung für die übermittelten Daten begründet in Abs. 1 Satz 2 die Verpflichtung der empfangenden nicht-öffentlichen Stelle zur zweckgebundenen "Verarbeitung", also für alle Vorgänge i. S. v. Art. 4 Nr. 2 DSGVO (vgl. Komm. zu § 67).
Rz. 14
Mit dieser Forderung des Satzes 2 soll der Schutz des Sozialgeheimnisses insbesondere in Fällen einer zulässigen Übermittlung an nicht-öffentliche Stellen verlängert werden. Insbesondere an Privatpersonen, für die nicht zwingend die DSGVO gilt; nach Art. 2 Abs. 2 Buchst. c DSGVO findet die DSGVO keine Anwendung bei Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten natürlicher Personen. Diese Bedeutung von Satz 2 ergibt sich auch aus der ergänzenden Gesetzesbegründung, die ausdrücklich darauf hinweist, dies "ist auch bei der Gewährung von Akteneinsicht nach § 25 SGB X zu beachten, wenn damit die Kenntniserlangung von personenbezogenen Daten Dritter verbunden ist".
Neben diesen genannten Fällen rein privater Tätigkeiten natürlicher Personen, zu denen auch ggf. Übermittlungen nach § 74 Abs. 1 Satz 1 Nr. 2 gehören können (vgl. Komm. zu § 74), kommen insbesondere Datenübermittlungen an nicht-öffentliche Stellen aufgrund einer Einwilligung der betroffenen Person in Betracht (vgl. Komm. zu § 67b), wie z. B. private Versicherungen (Lebens-, Kranken- oder Unfallversicherungen) .
Rz. 15
Wie diese Verpflichtung der empfangenden Stelle erfolgen soll, ist in Satz 2 nicht geregelt. Aus den Worten "wenn diese sich gegenüber der übermittelnden Stelle verpflichtet hat" ergibt sich nur, dass diese Verpflichtung vor der Datenübermittlung zu erfolgen hat. Bei regelmäßigen Datenübermittlungen zu identischen Zwecken an denselben Empfänger ist – ähnlich wie bei der Hinweispflicht nach Abs. 2 (Rz. 18) oder nach § 77 Abs. 4 (vgl. Komm. zu § 77) – eine einmalige vorherige Verpflichtung denkbar.