Rz. 29
Die Sozialdaten und die ihnen gleichgestellten Betriebs- und Geschäftsgeheimnisse sind als Sozialgeheimnis zu wahren. Das Sozialgeheimnis funktioniert nach dem Prinzip des Verbotes mit Erlaubnisvorbehalt.
2.6.1 Verbot (Abs. 1 Satz 1)
Rz. 30
Nach Abs. 1 Satz 1 dürfen die Sozialdaten nicht unbefugt verarbeitet werden (Verbot).
Die Verarbeitung umfasst nach Art. 4 Nr. 2 DSGVO alle Formen des Umganges (Vorgänge) mit Sozialdaten von der Erhebung bis zur Löschung/Vernichtung (vgl. auch Rz. 16). Insbesondere wird darauf hingewiesen, dass der Verarbeitungsbegriff auch die Übermittlung beinhaltet.
2.6.2 Erlaubnis (Abs. 2)
Rz. 31
Ob und inwieweit eine Verarbeitung befugt geschehen kann, also erlaubt ist, stellt Abs. 2 klar.
Nach Satz 1 regeln diese Erlaubnis abschließend die Vorschriften des 2. Kapitels des SGB X (§§ 67 bis 85a SGB X) und – seit 25.5.2018 – der übrigen Bücher des Sozialgesetzbuches, soweit nicht unmittelbar die DSGVO gilt. Satz 1 berücksichtigt, dass die DSGVO unmittelbar neben den Regelungen zum Sozialdatenschutz anzuwenden ist.
Zu der Erweiterung in Abs. 2 Satz 1 um die "übrigen Bücher des Sozialgesetzbuches" enthält die Gesetzesbegründung keine Ausführungen. Hiermit dürfte aber klargestellt sein, dass neben den Regelungen des 2. Kapitels des SGB X auch die vermehrt in den übrigen Büchern des SGB aufgenommenen Datenschutzregelungen gleichwertig eine Ausnahme vom Verbot des Abs. 1 zulassen. Beispielhaft erwähnt sei hier § 276 SGB V, der in Abs. 2 u. a. regelt, dass der Medizinische Dienst Sozialdaten erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln darf, soweit dies für die Prüfungen, Beratungen und gutachtliche Stellungnahmen nach § 275 erforderlich ist.
Satz 2 regelt noch die Verarbeitungsfälle, für die nicht unmittelbar die DSGVO gilt, und stellt diese ebenfalls unter den Schutz der DSGVO, um "entsprechend der bisherigen Regelungssystematik ein datenschutzrechtliches Vollregime" anbieten zu können.
2.6.3 Interne Schutzmaßnahmen (Abs. 1 Satz 3)
Rz. 32
Schutzmaßnahmen sind nach dem Willen des Gesetzgebers auch innerhalb der Leistungsträger zu treffen. § 35 Abs. 1 Satz 2 verpflichtet die in Abs. 1 genannten Stellen ausdrücklich, sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind. Durch technische und organisatorische Maßnahmen wie Berechtigungsprofile oder Zugriffsbeschränkungen muss gewährleistet werden, dass nur die Mitarbeiter auf Sozialdaten zugreifen, die auch für die Bearbeitung zuständig sind. Generelle Zugriffsmöglichkeiten aller Mitarbeiter eines Leistungsträgers auf alle dort vorliegenden Sozialdaten scheiden grundsätzlich aus. Zu den gesetzlichen Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen wird auf Rz. 35 ff. verwiesen.
2.6.4 Sozialdatenschutz für Beschäftigte (Abs. 1 Satz 3)
Rz. 33
Nach Satz 3 ist es verboten, Sozialdaten der eigenen Beschäftigten und ihrer Angehörigen intern den Personen zugänglich zu machen, die Personalentscheidungen treffen.
Personalentscheider sind nur die, die an der Entscheidung mitwirken, nicht jedoch diejenigen, die an der Vorbereitung beteiligt sind.
Von diesem Verbot, dieser strikten Trennung, gibt es keine Ausnahme. Auch kleinere Verwaltungseinheiten können sich nicht auf Probleme im Vollzug des internen Arbeitsablaufs berufen. Zum Angehörigenbegriff vgl. Rz. 18. Soweit Angehörige nicht bekannt sind, brauchen sie nicht besonders ermittelt zu werden.
2.6.5 Sozialgeheimnis gilt auch nach dem Ende der Tätigkeit (Abs. 1 Satz 5)
Rz. 34
Nach Satz 5 haben die Beschäftigten aller in Abs. 1 genannten Stellen auch nach Beendigung ihrer Tätigkeit bei diesen Stellen das Sozialgeheimnis (weiterhin) zu wahren.