Rz. 23
Nach § 67b Abs. 1 Satz 4 gilt seit dem 25.5.2018 § 22 Abs. 2 BDSG entsprechend. Dieser Verweis "trägt dem Umstand Rechnung, dass Artikel 9 Absatz 2 Buchstaben b, g, h und i der Verordnung (EU) 2016/679 verlangen, bei der Verarbeitung besonderer Kategorien von Daten, "geeignete Garantien" bzw. "angemessene und spezifische Maßnahmen" vorzusehen" (BT-DRrs. 18/12611).
Mit § 22 Abs. 1 Nr. 1 Buchst. a BDSG wird von der Öffnungsklausel des Art. 9 Abs. 2 Buchst. b DSGVO, mit § 22 Abs. 1 Nr. 1 Buchst. b BDSG von der des Art. 9 Abs. 2 Buchst. h i. V. m. Abs. 3 DSGVO, mit § 22 Abs. 1 Nr. 1 Buchst. c BDSG von der des Art. 9 Abs. 2 Buchst. i DSGVO und mit § 22 Abs. 1 Nr. 1 Buchst. d BDSG von der des Art. 9 Buchst. g DSGVO Gebrauch gemacht (vgl. BT-Drs. 18/11325)
Abs. 2 Satz 1 und 2 BDSG setzt das Erfordernis aus Art. 9 Abs. 2 Buchst. b, g und i der Verordnung (EU) 2016/679 um, "geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person" bzw. "angemessene spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person" vorzusehen (BT-Drs. 18/11325).
Rz. 24
Nach § 22 Abs. 2 Satz 1 BDSG sind "angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen". In § 22 Abs. 2 Satz 2 BDSG werden diese Maßnahmen konkretisiert.
Diese Vorgaben aus § 22 Abs. 2 Satz 1 und 2 BDSG entsprechen den Vorgaben aus Art. 24, 25, 32 und 37 DSGVO, die für die Stellen nach § 35 SGB I ohnehin unmittelbar gelten (vgl. auch die Komm. zu § 35 SGB I).
Beispielhaft ("insbesondere") aufgezählt werden in § 22 Abs. 2 Satz 2 BDSG:
- technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt (vgl. Art. 24 Abs. 1 und 25 Abs. 1 DSGVO),
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (vgl. Art. 32 Abs. 1 Buchst. b DSGVO),
- Sensibilisierung der an Verarbeitungsvorgängen Beteiligten (vgl. Art. 32 Abs. 4 DSGVO),
- Benennung einer oder eines Datenschutzbeauftragten (vgl. Art 37 Abs. 1 DSGVO),
- Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern (vgl. Art. 25 Abs. 2 Satz 2 DSGVO),
- Pseudonymisierung personenbezogener Daten (vgl. Art. 32 Abs. 1 Buchst. a DSGVO),
- Verschlüsselung personenbezogener Daten (vgl. Art. 32 Abs. 1 Buchst. a DSGVO),
- Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (vgl. Art. 32 Abs. 1 Buchst. b DSGVO),
- zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (vgl. Art. 32 Abs. 1 Buchst. d DSGVO) oder
- spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen (vgl. Art. 32 Abs. 1 Buchst. a DSGVO).
Diese Maßnahmen treffen nach der Gesetzesbegründung zunächst jeden Verantwortlichen und damit auch jeden, der besondere Kategorien personenbezogener Daten verarbeitet (BT-Drs. 18/11325).
Rz. 25
§ 22 Abs. 2 lässt mit Satz 3 BDSG eine Ausnahme zu. Danach finden die "Sätze 1 und 2 ... in den Fällen des Absatzes 1 Nummer 1 Buchstabe b keine Anwendung". Gemeint ist hier § 22 Abs. 1 Nr. 1 Buchst. b BDSG, der eine Verarbeitung besonderer Kategorien personenbezogener Daten zulässt, "zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden". Dies entspricht Art. 9 Abs. 2 Buchst. h DSGVO (vgl. Rz. 15, 16).
Die Gesetzesbegründung zu § 22 BDSG stellt dazu klar: "Die in Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 unter Bezugnahme auf den Artikel 9 Absatz 3 der Verordnung (EU) 2016/679 geforderten besonderen Garantien sind unmittelbar durch Absatz 1 Nummer 1 Buchstabe b umgesetzt und werden daher mit Absatz 2 Satz 3 von Absatz 2 ausgenommen" (BT-Drs. 18/11325).
Rz. 26
Fazit:
Durch den Verweis in § 67b Abs. 1 Satz 4 auf § 22 Abs. 2 BDSG gilt die Ausnahme von dessen Satz 3 auch für die Verarbeitung besondere Kategorien personenenbezogener Daten, die zur Aufgabenerfüllung ...