0 Rechtsentwicklung
Rz. 1
Die Vorschrift ist im Zusammenhang mit der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) neu bekanntgemacht worden. Sie wurde durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904), mit dem die Vorgaben der EU-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG L 281 v. 23.11.1995 S. 31) in deutsches Recht umgesetzt wurden, neu gefasst.
Abs. 4 wurde mit dem Hüttenknappschaftlichen Zusatzversicherungs-Neuregelungs-Gesetz (HZvNG) v. 21.6.2002 (BGBl. I S. 2864) geändert.
Abs. 3 Satz 3 wurde zum 1.10.2005 durch Art. 9 des Gesetzes zur Organisationsreform in der gesetzlichen Rentenversicherung (RVOrgG) v. 9.12.2004 (BGBl. I S. 3242) den neuen Gegebenheiten in der gesetzlichen Rentenversicherung angepasst. Es wurden in der gesetzlichen Rentenversicherung neue Strukturen und neue Bezeichnungen geschaffen. Der Verband Deutscher Rentenversicherungsträger ist zum 1.10.2005 in die BfA eingegliedert worden und zusammen bilden sie die Deutsche Rentenversicherung Bund. Die Deutsche Rentenversicherung Bund verwaltet die früher beim Verband Deutscher Rentenversicherungsträger angesiedelte Datenstelle der Träger der Rentenversicherung. Stellung und Aufgaben der Datenstelle ergeben sich seit 1.10.2005 aus § 145 SGB VI, bis 30.9.2005 galt § 146 SGB VI.
Zum 25.5.2018 wurde § 81 durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.7.2017 (BGBl. I S. 2541) an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (DSGVO) v. 27.4.2016 (ABl. L 119/1) sowie an die Neufassung des Bundesdatenschutzgesetzes durch das Gesetz zur Anpassung des Datenschutzes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2018/680 (Datzenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU) v. 5.7.2017 (BGBl. I S. 2097) angepasst, insbesondere an die neuen Begriffsbestimmungen des Art. 4 DSGVO.
1 Allgemeines
Rz. 2
Die Vorschrift leitet den Vierten Abschnitt des Zweiten Kapitels ein. Dieser enthält seit dem 25.5.2018 nur noch ergänzende Regelungen zu den sich seit diesem Zeitpunkt unmittelbar aus Kapitel III der DSGVO (Art. 12 bis Art. 23 DSGVO) ergebenden Rechten der betroffenen Person.
§ 81 Abs. 1 regelt das Recht der betroffenen Person, sich an die zuständigen Datenschutzaufsichtsbehörden zu wenden.
In Abs. 2 und 3 werden für die in § 35 SGB I genannten Stellen, ihre Verbände und Arbeitsgemeinschaften sowie für die Datenstelle der Rentenversicherung Festlegungen getroffen, wann diese als Stellen des Bundes oder als öffentliche Stellen der Länder gelten und daraus folgend die Zuständigkeit für die Datenschutzaufsicht bei dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) oder bei dem oder der Landesdatenschutzbeauftragten bzw. der nach Landesrecht zuständigen eingerichteten Stelle liegt.
Ferner werden den Stellen nach § 35 SGB I mit Abs. 4 Pflichten zugeordnet, vor allem die Pflicht zur Bestellung eines internen behördlichen bzw. betrieblichen Datenschutzbeauftragten. Seit dem 25.5.2018 wurde diese Pflicht auch auf die Auftragsverarbeiter ausgeweitet.
2 Rechtspraxis
2.1 Anrufung der für die Kontrolle des Datenschutzes zuständigen Stelle (Abs. 1 und 3)
Rz. 3
Sofern die betroffene Person der Ansicht ist, dass die Stelle nach § 35 SGB I ihre Datenschutzrechte verletzt hat, kann sie sich an die für die Kontrolle des Datenschutzes zuständige Stelle wenden (Rz. 4). Das Anrufungsrecht bezieht sich auf alle Vorgänge der Verarbeitung von Sozialdaten (Art. 4 Nr. 2 DSGVO, vgl. die Komm. zu § 67). Bis zum 24.5.2018 galt das Anrufungsrecht nach Abs. 1 nur für personenbezogene Sozialdaten, womit die Anrufung wegen vermuteter Verletzung von Betriebs- und Geschäftsgeheimnissen, die nach § 35 Abs. 4 SGB I den Sozialdaten gleichstehen, nicht beinhaltet war. Seit dem 25.5.2018 enthält Abs. 1 diese Einschränkung nicht mehr. Im Ergebnis kann die betroffene Person somit jede vermutete Verletzung ihrer Rechte beim Umgang mit ihren Sozialdaten zum Anlass nehmen, sich an die für die Kontrolle des Datenschutzes zuständige Stelle zu wenden. Zum Begriff der Sozialdaten wird auf die Komm. zu § 35 SGB I verwiesen.
2.1.1 Zuständige Stelle für die Kontrolle des Datenschutzes (Abs. 1)
Rz. 4
Wer für die Kontrolle des Datenschutzes zuständig ist, also an wen sich die betroffene Person wenden kann, richtet sich danach, ob die Stelle nach § 35 SGB I, der eine Datenschutzverletzung vorgeworfen wird, dem Bund oder einem Bundesland zuzuordnen ist. Abs. 1 macht das deutlich. Die "andere" Stelle nach Nr. 2 bedeutet, dass es keine Stelle des Bundes ist.
Beispiele für Bundesstellen sind die Deutsche Rentenversicherung Bund und die Bundesagentur für Arbeit.
Beispiele für Landesstellen sind die Regionalträger der gesetzlichen Rentenversicherung und die Sozialämter der K...