2.1 Anrufung der für die Kontrolle des Datenschutzes zuständigen Stelle (Abs. 1 und 3)
Rz. 3
Sofern die betroffene Person der Ansicht ist, dass die Stelle nach § 35 SGB I ihre Datenschutzrechte verletzt hat, kann sie sich an die für die Kontrolle des Datenschutzes zuständige Stelle wenden (Rz. 4). Das Anrufungsrecht bezieht sich auf alle Vorgänge der Verarbeitung von Sozialdaten (Art. 4 Nr. 2 DSGVO, vgl. die Komm. zu § 67). Bis zum 24.5.2018 galt das Anrufungsrecht nach Abs. 1 nur für personenbezogene Sozialdaten, womit die Anrufung wegen vermuteter Verletzung von Betriebs- und Geschäftsgeheimnissen, die nach § 35 Abs. 4 SGB I den Sozialdaten gleichstehen, nicht beinhaltet war. Seit dem 25.5.2018 enthält Abs. 1 diese Einschränkung nicht mehr. Im Ergebnis kann die betroffene Person somit jede vermutete Verletzung ihrer Rechte beim Umgang mit ihren Sozialdaten zum Anlass nehmen, sich an die für die Kontrolle des Datenschutzes zuständige Stelle zu wenden. Zum Begriff der Sozialdaten wird auf die Komm. zu § 35 SGB I verwiesen.
2.1.1 Zuständige Stelle für die Kontrolle des Datenschutzes (Abs. 1)
Rz. 4
Wer für die Kontrolle des Datenschutzes zuständig ist, also an wen sich die betroffene Person wenden kann, richtet sich danach, ob die Stelle nach § 35 SGB I, der eine Datenschutzverletzung vorgeworfen wird, dem Bund oder einem Bundesland zuzuordnen ist. Abs. 1 macht das deutlich. Die "andere" Stelle nach Nr. 2 bedeutet, dass es keine Stelle des Bundes ist.
Beispiele für Bundesstellen sind die Deutsche Rentenversicherung Bund und die Bundesagentur für Arbeit.
Beispiele für Landesstellen sind die Regionalträger der gesetzlichen Rentenversicherung und die Sozialämter der Kommunen.
Rz. 5
Kontrollstelle für den Datenschutz für alle Stellen des Bundes und die nach Abs. 3 gleichgestellten Stellen (Rz. 6 bis 8) ist der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), für die Stellen der Länder und diesen nach Abs. 3 gleichgestellten Stellen der oder die jeweilige Landesbeauftragte für den Datenschutz bzw. die nach Landesrecht für die Kontrolle zuständige Stelle.
2.1.2 Zuordnung der Verbände, Arbeitsgemeinschaften und der Datenstelle der Rentenversicherung (Abs. 3)
Rz. 6
Abs. 3 regelt die Zuordnung und damit die zuständige Kontrollstelle nach Abs. 1 für die Verbände, Arbeitsgemeinschaften (§ 94) und Sonderorganisationen der Leistungsträger. Sie werden durch gesetzliche Fiktion zu öffentlichen Stellen erklärt, gleichgültig, ob sie tatsächlich eine privatrechtliche Form haben, was häufig der Fall ist. Ausdrücklich wird die Datenstelle der Rentenversicherung (§ 145 Abs. 1 SGB VI) nicht nur zur öffentlichen Stelle, sondern auch zu einer solchen des Bundes erklärt.
Rz. 7
Bei den Verbänden und Arbeitsgemeinschaften gilt die Regelung, dass der oder die Bundesbeauftragte dann zuständig ist, wenn sich die Tätigkeit des Verbandes oder der Arbeitsgemeinschaft über den Bereich eines Bundeslandes hinaus erstreckt.
ARGE Krebs (Arbeitsgemeinschaft der Sozialleistungsträger zur Krebsbekämpfung).
Geht das Tätigkeitsfeld nicht über die Grenzen eines Bundeslandes hinaus, ist die nach Landesrecht für die Kontrolle zuständige Stelle die anzurufende Kontrollinstanz.
Medizinischer Dienst der Krankenkassen (vgl. § 278 SGB V).
Rz. 8
Darüber hinaus regelt Abs. 3 Satz 2 die Zuständigkeit in Bezug auf "sonstige Einrichtungen", also nicht Verband oder Arbeitsgemeinschaft. Diese richtet sich danach, wer die absolute Anteils- oder Stimmenmehrheit besitzt, der Bund oder nicht der Bund.
2.2 Befugnisse der Aufsichtsbehörden und Pflichten der Stellen nach § 35 SGB I (Abs. 2)
Rz. 9
Abs. 2 verweist in Satz 1 direkt auf die Regelungen der §§ 14 bis 16 BDSG und enthält keine eigenen Regelungen. Satz 2 stellt klar, dass bei öffentlichen Stellen der Länder anstelle der oder des Bundesbeauftragten die nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle tritt.
2.2.1 Aufgaben der oder des Bundesbeauftragten nach Art. 57 DSGVO i. V. m. §§ 14 und 15 BDSG
Rz. 10
Korrespondierend mit dem Anrufungsrecht nach Abs. 1 enthält bereits Art. 57 Abs. 1 Buchst. f DSGVO für die Aufsichtsbehörde die Verpflichtung, sich mit Beschwerden einer betroffenen Person zu befassen; dies wird in § 14 Abs. 1 Nr. 6 BDSG aufgegriffen.
Rz. 11
Darüber hinaus hat die oder der Bundesbeauftragte nach § 14 Abs. 1 BDSG, aber auch unmittelbar aus Art. 57 DSGVO, insbesondere noch folgende Aufgaben:
- die Anwendung der Vorschriften über den Datenschutz zu überwachen und durchzusetzen,
- die Verantwortlichen und die Auftragsverarbeiter für die für sie bestehenden Pflichten zu sensibilisieren,
- auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte zur Verfügung zu stellen und ggf. zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten.
Rz. 12
Die oder der Bundesbeauftragte erstellt gemäß § 15 BDSG einen Jahresbericht über ihre oder seine Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen enthalten kann, einschließlich der verhängten Sanktionen und der Maßnahmen nach Art. 58 Abs. 2 DSGVO. Dieser Bericht wird dem Deutschen Bundestag, dem Bundesrat und der Bundesregierung übermittelt und der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss (Art. 68 DSGVO) zugänglich gemacht.
2.2.2 Befugnisse der oder des Bundesbeauftragten nach Art. 58 DSGVO i. V. m. § 16 BDSG
Rz. 13
Die Befugnisse der oder des Bundesbeauftragten erg...