Rz. 35
Wahrung des Sozialgeheimnisses bedeutet auch, dass die Sozialleistungsträger konkrete technische und organisatorische Vorkehrungen zu treffen haben, damit es nicht zu Verletzungen des Sozialgeheimnisses kommt. Bis zum 24.5.2018 ergab sich diese Verpflichtung direkt aus dem 2. Kapitel des SGB X; dort aus § 78a SGB X und wurde für die automatisierte Verarbeitung von Sozialdaten ausführlich in der Anlage zu dieser Vorschrift konkretisiert.
Seit 25.5.2018 finden sich die gesetzlichen Vorgaben unmittelbar in der DSGVO.
Die DSGVO enthält in Kapitel IV Abschnitt 1 in den Art. 24 bis 28 die Verantwortlichkeiten und Pflichten der Verantwortlichen wie z. B. in Art. 25 DSGVO die allgemeine Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung, dass die Verarbeitung in Übereinstimmung mit dieser Richtlinie erfolgt und dafür ausgelegt ist, die Grundsätze des Datenschutzes (Art. 5 DSGVO) wirksam umzusetzen. Näheres zu den Grundsätzen vgl. Rz. 36 ff. und zur Verantwortung nach Art. 24 DSGVO in Rz. 49 ff.
Rz. 52 ff. kommentieren die Pflichten des Art. 25 DSGVO zu Technikgestaltung und datenschutzgerechten Voreinstellungen. Zu diesen allgemeinen Pflichten gehören nach Art. 28 und 29 DSGVO die besonderen Anforderungen an Auftragsverarbeiter; Ausführungen hierzu enthält die Komm. zu § 80 SGB X.
Weitere Pflichten sind das Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO (Rz. 55 ff.), das Erstellen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Rz. 66 ff.) sowie nach Art. 36 die vorherige Konsultation der Aufsichtsbehörde (Rz. 69 ff.).
Abschnitt 2 von Kapitel IV der DSGVO regelt die Sicherheit personenbezogener Daten und enthält in dem gleichnamigen Art. 32 DSGVO die konkreten Anforderungen an die zu treffenden Vorkehrungen (Rz. 60 ff.). Weiterhin werden in den Art. 33 und 34 DSGVO Pflichten der Verantwortlichen bei Verletzungen des Schutzes personenbezogener Daten geregelt. Weitere Ausführungen hierzu enthält die Komm. zu § 83a SGB X.
2.7.1 Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
Rz. 36
Art. 5 DSGVO enthält in Abs. 1 zunächst die nachstehend erläuterte Aufzählung von 6 Grundsätzen, die bei der Verarbeitung beachtet werden müssen.
2.7.1.1 Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO)
Rz. 37
Personenbezogene Daten "müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden"; dies bedeutet nach EG 39 DSGVO, dass jede Verarbeitung personenbezogener Daten rechtmäßig und nach Treu und Glauben erfolgen sollte.
2.7.1.1.1 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Rz. 38
Die Rechtmäßigkeit der Verarbeitung ist unmittelbar in Art. 6 DSGVO definiert und in mehreren EG der DSGVO wie z. B. EG 39, 40, 44 bis 47, 51, 63, 69 und 112 erwähnt und näher erläutert.
Auf nationaler Ebene wird Art. 6 DSGVO im BDSG ergänzt bzw. konkretisiert und der bislang im deutschen Datenschutzrecht unbekannte Begriff der "Rechtmäßigkeit" der Verarbeitung übernommen; im Einzelnen enthalten dessen
- § 3 (Verarbeitung personenbezogener Daten durch öffentliche Stellen),
- § 4 (Videoüberwachung öffentlich zugänglicher Räume),
- § 23 (Verarbeitung zu anderen Zwecken durch öffentliche Stellen),
- § 24 (Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen),
- § 25 (Datenübermittlungen durch öffentliche Stellen),
- § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses),
- § 27 (Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken und
- § 31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften).
Regelungen zur Rechtmäßigkeit der Verarbeitung. Lediglich § 31 BDSG verwendet noch den Begriff "Zulässigkeit".
Im Sozialdatenschutz wurde der Begriff Rechtmäßigkeit der Verarbeitung nicht aufgenommen; hier wird insbesondere in den §§ 67a bis 67d SGB X weiterhin die Zulässigkeit der verschiedenen Phasen der Verarbeitung von Sozialdaten geregelt. Insoweit wird ergänzend auf die entsprechenden Kommentierungen hingewiesen und nachstehend nur kurz auf Art. 6 DSGVO eingegangen.
Rz. 39
Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur rechtmäßig, wenn eine der nachstehend aufgelisteten Bedingungen erfüllt ist:
- die betroffene Person hat ihre Einwilligung erteilt (Buchst. a),
- die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich (Buchst. b),
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Buchst. c),
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Buchst. d),
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst. e),
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Buchst. f). Diese Bedingung gilt ...