0 Rechtsentwicklung
Rz. 1
Im Zusammenhang mit der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) wurde die Vorschrift neu bekanntgemacht. Sie wurde durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904), mit dem die Vorgaben der EU-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG L 281 v. 23.11.1995 S. 31) in deutsches Recht umgesetzt wurden, redaktionell angepasst und um einen Abs. 7 erweitert. Es wird nun auch ausdrücklich das Erheben von Sozialdaten im Auftrag mit einbezogen. Dies war zwar gängige Praxis, im Gesetz aber nicht enthalten.
Durch Art. 5 des Dritten Gesetzes zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 5.8.2010 (BGBl. I S. 1127) wurde mit Wirkung zum 11.8.2010 Abs. 2 Satz 2 neu gefasst und nach Satz 3 2 neue Sätze eingefügt. Die zum 1.9.2009 in das BDSG aufgenommenen Regelungen zur Auftragsdatenverarbeitung, insbesondere die 10 Festlegungen des § 11 Abs. 2 Satz 2 BDSG zur Vertragsgestaltung, wurden für den Sozialleistungsbereich übernommen.
Durch Art. 166 des Gesetzes zum Abbau verzichtbarer Anordnungen der Schriftform im Verwaltungsrecht des Bundes v. 29.3.2017 (BGBl. I S. 626) wurde Abs. 3 in Satz 1 Nr. 4 und in Satz 2 mit Wirkung zum 5.4.2017 um die Worte "oder elektronisch" ergänzt.
Zum 25.5.2018 wurde § 80 durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2541) an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (DSGVO) v. 27.4.2016 (ABl. L 119/1) umfassend angepasst. Abs. 1 enthält die wesentlichen Inhalte der früheren Abs. 2 und 3. Mit Abs. 2 wird teilweise der Inhalt von § 67 Abs. 10 a. F. übernommen. Abs. 3 enthält im Wesentlichen die Regelungen aus dem bisherigen Abs. 5 und Abs. 4 übernimmt die Regelungen des früheren Abs. 6. Abs. 5 enthält – entsprechend Abs. 7 a. F. – Sonderregelungen für Prüfung und Wartung durch Dritte.
1 Allgemeines
Rz. 2
Seit dem 25.5.2018 gelten unmittelbar und europaweit einheitlich die Regelungen der DSGVO. Der Inhalt und die Ausgestaltung der Auftragsverarbeitung wird seit dem 25.5.2018 unmittelbar durch Art. 28 DSGVO geregelt.
Laut Erwägungsgrund (EG) 81 DSGVO sollte die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter "auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind".
In Anwendung der Öffnungsklausel des Art. 6 Abs. 1 Buchst. e i. V. m. Abs. 2 und Abs. 3 Satz 3 DSGVO hat der deutsche Gesetzgeber mit § 80 entsprechende Vorgaben zu den Voraussetzungen für eine Auftragverarbeitung von Sozialdaten gemacht. § 80 trägt zusätzlich dem Umstand Rechnung, dass auch die Stellen nach § 35 SGB I vermehrt aus Zweckmäßigkeits- oder Kostengründen bestimmte Arbeiten nicht selbst erledigen.
Rz. 3
Die betroffene Person muss ihre Rechte aus den Art. 15 bis Art. 21 DSGVO und §§ 83 und 84(vgl. die Komm. zu § 83 und § 84) ggf. gegenüber dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) geltend machen.
Rz. 4
Der Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet"; erist nicht "Dritter" (Art. 4 Nr. 10 DSGVO). Es liegt daher keine Übermittlung vor, wenn ihm die zur Auftragserfüllung notwendigen Sozialdaten zur Verfügung gestellt werden.
Rz. 5
§ 80 unterscheidet, ob der Auftragsverarbeiter eine öffentliche oder eine nicht-öffentliche Stelle ist; auf die Umdeutung gemäß § 81 Abs. 3 wird besonders hingewiesen (vgl. die Komm. zu § 81).
Vorrang hat die Beauftragung öffentlicher Stellen. Wird eine nicht-öffentliche Stelle beauftragt, gelten verschärfte Voraussetzungen.
Rz. 6
Die datenschutzrechtlichen Begriffsbestimmungen, z. B. von Auftragsverarbeiter, Dritter und Verarbeitung, ergeben sich seit 25.5.2018 europaweit einheitlich und unmittelbar geltend aus Art. 4 DSGVO. Auf nationaler Ebene wurden sie für den Umgang mit Sozialdaten in § 67 ergänzt. Die Komm. zu § 67 enthält auch Ausführungen zu Art. 4 DSGVO.
2 Rechtspraxis
Rz. 7
Die Voraussetzungen für eine Verarbeitung im Auftrag eines Verantwortlichen werden seit dem 25.5.2018 unmittelbar durch Art. 28 DSGVO geregelt (Rz. 12 ff...