Rz. 27
§ 80 gibt seit dem 25.5.2018 nur noch vor, unter welchen Voraussetzungen die Auftragserteilung zur Datenverarbeitung von Sozialdaten erfolgen darf und ergänzt damit Art. 28 DSGVO (Rz. 12 ff.), der unmittelbar Inhalt und die Ausgestaltung der Auftragsverarbeitung regelt (BT-Drs. 18/12611).
2.4.1 Anzeigepflicht gegenüber der Aufsichtsbehörde (Abs. 1)
Rz. 28
Abs. 1 übernimmt inhaltlich § 80 Abs. 3 a. F. und wurde nur redaktionell angepasst, insbesondere an die Begriffsbestimmungen aus Art. 4 DSGVO.
Nach Abs. 1 Satz 1 besteht Anzeigepflicht des Verantwortlichen gegenüber seiner Rechts- oder Fachaufsichtsbehörde. Dies ist kein Genehmigungsverfahren, die Auftragsverarbeitung ist nur anzuzeigen. Gemeint ist die Fachaufsicht (z. B. Bundesversicherungsamt, Landesversicherungsämter, Ministerien gemäß § 90 SGB IV), nicht die nach § 81 für die Kontrolle des Datenschutzes zuständige Behörde (vgl. die Komm. zu § 81).
Rz. 29
Der Pflicht zur Anzeige ist rechtzeitig vor der Auftragserteilung schriftlich oder elektronisch nachzukommen. Dadurch soll der Aufsichtsbehörde Gelegenheit gegeben werden, noch vor der Auftragserteilung beratend tätig werden zu können.
Der Mindestinhalt der Anzeige ergibt sich aus Abs. 1 Satz 1 Nr. 1 bis 4:
- Benennung des Auftragsverarbeiters und der bei diesem vorhandenen technischen und organisatorischen Maßnahmen. Hält der Verantwortliche diese Maßnahmen selbst nicht für ausreichend und hat deshalb ergänzende Weisungen erlassen, sind auch diese der Aufsichtsbehörde vorzulegen (Nr. 1);
- Benennung der Art der Daten, die im Auftrag verarbeitet werden sollen und der Kreis der davon betroffenen Personen (Nr. 2);
- Angabe der Aufgabe, die mit Hilfe des Auftragsverarbeiters erfüllt werden soll (Nr. 3);
- Angabe über den Abschluss von Unterauftragsverhältnissen (Nr. 4).
Rz. 30
Wird der Auftrag einer öffentlichen Stelle erteilt, hat gemäß Abs. 1 Satz 2 auch diese ihrer zuständigen Aufsichtsbehörde das Auftragsverhältnis schriftlich oder elektronisch anzuzeigen.
2.4.2 Voraussetzung für die Auftragserteilung nach Abs. 2
Rz. 31
Mit Abs. 2 erfolgte eine teilweise inhaltliche Übernahme von § 67 Abs. 10 a. F., nach dem die Definition von "Dritter" nicht für Auftragsverarbeiter galt, sofern sie "im Inland, in einem anderen Mitgliedstaat der europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum" tätig waren.
Da die Auftragsverarbeitung auch nach dem Recht seit dem 25.5.2018 nicht den Übermittlungsbeschränkungen der §§ 67d ff. sowie des § 77 unterliegt, da auch nach Art. 4 Nr. 10 DSGVO der Auftragsverarbeiter kein Dritter ist (vgl. die Komm. zu § 67 Rz. 55), ist nach § 80 Abs. 2 eine Auftragserteilung nur dann zulässig, wenn die Auftragsverarbeitung entweder in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Abs. 7 SGB I gleichgestellten Staat (vgl. die dort Komm.) oder in einem Drittland sowie einer internationalen Organisationen mit Angemessenheitsbeschluss der Kommission gemäß Art. 45 Abs. 1 DSGVO erfolgt (vgl. hierzu die Komm. zu § 77 Rz. 16 ff.).
Durch den letzten HS mit seinem Verweis auf Art. 45 Abs. 1 DSGVO wird gewährleistet, dass Sozialdaten nicht in unsichere Drittstaaten übermittelt werden.
Die Zulässigkeit einer Bestimmung, mit der die Möglichkeit der Auftragsverarbeitung außerhalb der EU, des Europäischen Wirtschaftsraums sowie sicherer Drittstaaten oder internationaler Organisationen mit Angemessenheitsbeschluss eingeschränkt wird, ergibt sich aus Art. 49 Abs. 5 DSGVO, weil sie im Ergebnis eine Beschränkung der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer vorsieht (BT-Drs. 18/12611).
2.4.3 Auftragsverarbeiter ist eine nicht-öffentliche Stelle (Abs. 3)
Rz. 32
Abs. 3 enthält im Wesentlichen die Regelungen des § 80 Abs. 5 Satz 1 Nr. 2 a. F. und knüpft bei Auftragserteilung an eine nicht-öffentliche Stelle zusätzliche Voraussetzungen. Danach ist eine Auftragserteilung an eine nicht-öffentliche Stelle nur zulässig,
- wenn ansonsten Störungen im Betriebsablauf des Verantwortlichen zu befürchten sind (Nr. 1) oder
- die Auftragsverarbeitung erheblich kostengünstiger besorgt werden kann (Nr. 2).
Bis zum 24.5.2018 enthielt § 80 Abs. 5 a. F. noch die zusätzliche Beschränkung, dass der Auftrag nicht die Speicherung des gesamten Datenbestandes des Verantwortlichen umfassen darf und bei diesem der überwiegende Teil der Speicherung des gesamten Datenbestandes verbleiben muss. Diese Regelungen wurden gestrichen, da sie nach Auffassung des Gesetzgebers "nicht mehr zeitgemäß sind. Die ursprünglich damit beabsichtigte Verfügungskontrolle wird angesichts der heutigen weitgehend elektronischen Speichermedien nicht mehr durch die Größe des verbliebenen Speichervolumens gewährleistet, weil auch Backup-Dateien mit geringerem Speichervolumen die gleiche Funktion erfüllen" (BT-Drs. 18/12611).
2.4.4 Kontrolle durch die für Datenschutz zuständigen Stellen (Abs. 4)
Rz. 33
Das bis zum 24.5.2018 in § 80 Abs. 6 a. F. geregelte Recht wurde in Abs. 4 übernommen und lediglich redaktionell an die DSGVO und die entsprechende Neufassung des BDSG (DSAnpUG-EU) angepasst.
Nach Abs. 4 sind sowohl für öffentliche als auch für nicht-öffentliche Auftragsverarbeiter externe Kontrollen und weitere Auflagen...