EU-Datenschutzgrundverordnung und Sozialdatenschutz
Was ändert sich für die Behörden? (Teil 1)
EU-Datenschutzgrundverordnung und Sozialdatenschutz
Was ändert sich für die Behörden? (Teil 1)
Seit dem 25.05.2018 gilt nicht nur die – viel gepriesene und inzwischen ebenso viel gescholtene – EU-Datenschutzgrundverordnung (VO (EU) 2016/679 – im Folgenden DS-GVO) in allen EU-Mitgliedstaaten, sondern auch in Deutschland das „neue“, daran angepasste SGB I und SGB X sowie BDSG. Die genannten Vorschriften verändern nicht nur nachhaltig die datenschutzrechtlichen Anforderungen an private Firmen und Vereine, wie zahlreiche Medienberichte seit Mai beklagen, sie betreffen auch die Datenverarbeitung der öffentlichen Verwaltung. Dieser Beitrag soll sich mit den wichtigsten Neuerungen der Verarbeitung von Sozialdaten in der öffentlichen Verwaltung befassen – ohne auf die noch ausstehenden Änderungen der besonderen Bücher des SGB durch das 2. DSAnpUG-EU, das zum Zeitpunkt der Fassung dieses Beitrags noch nicht verabschiedet war, einzugehen.
Mehrebenensystem
Die wichtigste Änderung die das datenschutzrechtliche Denkmuster betrifft ist, dass aufgrund der unmittelbaren Wirkung einer europäischen Verordnung einerseits und des Wiederholungsverbots der Verordnungsinhalte in nationalen Gesetzen andererseits die Regeln der DS-GVO und die nationalen Vorschriften parallel im Blick zu halten sind. Ansonsten besteht die Gefahr, dass der Rechtsanwender die Regelungssystematik nicht erkennt und Verarbeitungsgrundlagen, die ausschließlich in der DS-GVO geregelt sind, übersieht.
Terminologie
Die unmittelbare Geltung der DS-GVO machte zahlreiche begriffliche Anpassungen erforderlich, ohne dass aufgrund des europarechtlichen Wiederholungsverbotes die Definitionen aus der DS-GVO wiedergegeben werden konnten. Beispielsweise werden unter „Verarbeitung“ alle Formen des Umgangs mit Daten verstanden (Art. 4 Nr. 2 DS-GVO), weshalb im Unterschied zum bisherigen Sprachgebrauch nun auch die Erhebung und Nutzung davon umfasst werden. Gleichwohl wird im Sozialdatenschutz weiterhin an dieser Differenzierung – allerdings nun nur noch als Unterfälle der Verarbeitung! – mit unterschiedlicher Zulässigkeit und klarer Abgrenzbarkeit als spezifischere Regelung festgehalten.
Weitere datenschutzrechtliche Kernbegriffe, die in der DS-GVO verwendet, aber nicht definiert werden, wurden auch im nationalen Recht nicht (z.B. „Erheben“) oder allenfalls indirekt definiert (z.B. „Übermitteln“ in § 67 d Abs. 1 SGB X). Deren letztverbindliche Auslegung muss dem EuGH vorbehalten bleiben, was bis dahin – z.B. hinsichtlich des Erhebungsbegriffs – nicht unerhebliche Rechtsunsicherheit auslöst.
Anwendungsbereich
Für die nicht in den Anwendungsbereich der DS-GVO fallende Verarbeitung personenbezogener Daten (s. Art. 2 und Art. 3 DS-GVO) bestimmt § 35 Abs. 2 S. 2 SGB I, dass die DS-GVO und das SGB vorbehaltlich abweichender gesetzlicher Regelungen entsprechende Anwendung finden. Damit wird durch nationalen Rechtsbefehl sichergestellt, dass wie bisher sämtliche Fallgestaltungen des Umgangs mit Sozialdaten – z.B. wenn es sich nicht um ein „Dateisystem“ handelt – unabhängig von der Reichweite der DS-GVO geregelt sind (vgl. § 1 Abs. 8 BDSG zu sonstigen Daten).
Verarbeitungssystematik
Die DS-GVO enthält unmittelbare auch für öffentliche Stellen geltende Verarbeitungsbefugnisse sowohl für einfache Daten (z.B. Art. 6 Abs. 1 Buchst. a), b)) als auch für „besondere Kategorien“ von Daten (Art. 9 Abs. 2 Buchst a, c), e) und f) DS-GVO). Liegen die dortigen Voraussetzungen vor, steht die Datenverarbeitung nach den Grundsätzen der Gesetzmäßigkeit der Verwaltung (Art. 20 GG) nur unter dem Vorbehalt der Zuständigkeit (vgl. § 30 SGB IV).
Teilweise lässt die DS-GVO von vornherein die Konkretisierung von Verarbeitungsbefugnissen durch die Mitgliedstaaten zu, z.B. zur „Erfüllung einer rechtlichen Verpflichtung“ (Art. 6 Abs. 1 Buchst c) DS-GVO) oder für die „Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, die dem Verantwortlichen übertragen wurde“ (Art. 6 Abs. 1 Buchst e) DS-GVO). Bei besonderen Kategorien von Daten gilt dies für die „Rechte und Pflichten der sozialen Sicherheit und des Sozialschutzes“ (Art. 9 Abs. 2 Buchst b) DS-GVO). In diesem Sinne fungieren nun die §§ 67a bis 79 SGB X als konkretisierende Verarbeitungsgrundlagen für Sozialdaten, deren Struktur und Regelungssystematik indes erhalten blieb, so dass der Rechtsanwender insofern keine Umstellungsprobleme hat.
Zu beachten ist in diesem Zusammenhang auch, dass Sozialdaten zwar als im erhöhten Maße schutzbedürftig gelten, jedoch nicht alle Sozialdaten zu den „besonderen Kategorien von Daten“ zählen. Dies ist z.B. bei von einer Berufsgenossenschaft erhobenen Gesundheitsdaten der Fall, nicht aber bei der Tatsache des Leistungsbezugs eines Arbeitslosen nach dem SGB II oder dem SGB III, obwohl auch hier eine in § 35 SGB I genannte Stelle handelt (§ 67 Abs. 2 SGB X). Der deutsche Gesetzgeber hat im Übrigen von der Öffnungsklausel, die Verarbeitung biometrischer, genetischer und Gesundheitsdaten generell zu begrenzen, Gebrauch gemacht (Art. 9 Abs. 4 DS-GVO). Die Übermittlung wird mit Ausnahme der Verarbeitung auf Grundlage einer Einwilligung an das Vorhandensein einer speziellen Übermittlungsbefugnisnorm nach dem SGB geknüpft (§ 67b Abs. 1 Satz 3 SGB X). Nur insoweit ließ sich die nach bisherigem Recht generell für Übermittlungen von Sozialdaten als intensivstem Eingriff in das informationelle Selbstbestimmungsrecht geltende Beschränkung beibehalten.
Zweckändernde Datenverarbeitung
Dass die DS-GVO nicht zwingend ein höheres Datenschutzniveau im Vergleich zum vorherigen Rechtszustand garantiert, zeigt sich an der großzügigeren Zulassung der zweckändernden Datenverarbeitung. Die auch in der DS-GVO angelegte Zweckbindung der Datenverarbeitung gilt von vornherein in bisher dem deutschen Recht unbekannten Maße nicht für die Weiterverarbeitung zu u. a. wissenschaftlichen Forschungszwecken (Art. 5 Abs. 1 Buchst b) DS-GVO). Abgesehen vom Vorliegen einer Einwilligung oder einer dies legitimierenden Norm lässt die DS-GVO die zweckändernde Datenverarbeitung dann zu, wenn der Verantwortliche anhand von fünf Positiv-Kriterien – Verbindung der Zwecke, Erhebungszusammenhang, Art der Daten, Folgenabschätzung und Vorhandensein geeigneter Garantien – eigenverantwortlich zu dem Schluss kommt, dass die Verarbeitung zum anderen Zweck mit dem Erhebungszweck vereinbar ist (Art. 6 Abs. 4 Buchst a) – e) DS-GVO). Zwar ist streitig, ob diese Alternative dem Verantwortlichen die zweckändernde Verarbeitung aus eigener Initiative auch dann ermöglicht, wenn die tatbestandlichen Voraussetzungen einer abschließenden Reglung (z.B. §§ 67c, 78 und 75 SGB X) nicht vorliegen. Angesichts der Gefahr einer uferlosen Anwendung des Art. 6 Abs. 4 DS-GVO als gesetzlicher Blankovollmacht zur zweckändernden Datenverarbeitung sah der Gesetzgeber keinen anderen Ausweg, als die Übermittlung von Sozialdaten an Private bzw. nicht in § 35 SGB I genannte Stellen von deren Selbstverpflichtung abhängig zu machen, die Daten nur zum Übermittlungszweck zu verarbeiten (§§ 75, 78 SGB X). Auf diese Weise kann sich der Empfänger nicht auf die Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 Buchst f) DS-GVO) als für ihn einschlägige Rechtsgrundlage der Verarbeitung berufen. Den erheblichen Problemen insbesondere der Grundsicherungsträger bei der Einholung solcher Selbstverpflichtungen, z.B. bei der Direkt-Überweisung von Unterkunftskosten an Vermieter, soll durch eine adäquate Einschränkung des Wortlauts des § 78 SGB X durch das 2. DSAnpUG-EU begegnet werden.
Einwilligung
Nach wie vor ist die Datenverarbeitung auf Grundlage einer Einwilligung nach der DS-GVO zulässig. Hierzu bedarf es keines weiteren Erlaubnistatbestands im deutschen Recht, womit dem Streit um die normakzessorische Einwilligung der Boden entzogen ist. Die Einwilligung wird in Art. 4 Nr. 11 DS-GVO als „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“ definiert. Nach Art. 7 Abs. 3 DS-GVO besteht ein jederzeitiges Widerrufsrecht, worüber eigens aufzuklären ist. Die Verwaltung muss die Erfüllung dieser Voraussetzungen nachweisen können (Art. 7 Abs. 1 DS-GVO), weshalb § 67b Abs. 2 SGB X für die Einwilligung die schriftliche oder elektronische Form vorschreibt. Wegen der Datensicherheitsbelange sollten Einwilligungen durch einfache E-Mail nur in absoluten Ausnahmefällen eingeholt werden (Art. 25, 32 DS-GVO). Da es sich bei § 67b Abs. 2 SGB X um eine Soll-Vorschrift handelt, sind auch andere Formen – z.B. telefonisch – denkbar, die aber mit entsprechenden Nachweisrisiken verbunden sind.
Problematisch ist vor allem EG 43 DS-GVO, demzufolge die Einwilligung bei klarem Ungleichgewicht zwischen betroffener Person und Verantwortlichem, „insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig abgegeben wurde, keine gültige Rechtsgrundlage liefern“ soll. Dies legt einen Konflikt zwischen der Freiwilligkeit der Einwilligung und den drohenden Konsequenzen bei der Verletzung bestehender Mitwirkungspflichten (§§ 60 ff. SGB I) nah. Andererseits kommt EG 43 nur die Rolle einer Auslegungshilfe zu und die Wendung „in Anbetracht aller Umstände in dem speziellen Fall“ erlaubt, auch bei einer Einwilligung nach Androhung von Versagung oder Entziehung von deren Freiwilligkeit auszugehen, weil die Ermittlung bestimmter personenbezogener Tatsachen – z.B. medizinischer Sachverhalte – im Sozialleistungsbereich unabdingbar ist und die Schaffung einer Erhebungsbefugnisnorm (vgl. § 100 SGB X) keine Vorteile für die betroffene Person im Vergleich zu einer Einwilligung bietet.
Von der Möglichkeit einer Begrenzung der Beachtlichkeit der Einwilligung bei besonderen Datenkategorien (Art. 9 Abs. 2 Buchst a) DS-GVO) hat der Gesetzgeber keinen Gebrauch gemacht, obwohl er dadurch den Meinungsstreit hätte klären können, ob auf Grundlage einer Einwilligung auch nicht erforderliche Daten verarbeitet werden dürfen. Aus dem Kontext der DSGVO (Art 5 Abs. 1 buchst c), Art 7 Abs. 4) lässt sich aber die Erforderlichkeit der Datenverarbeitung, die sich bei Verarbeitungen nach Art. 6 Abs. 1 Buchst c) DSGVO an der „gesetzlichen Verpflichtung“ zu orientieren hat, als allgemeines Prinzip ableiten.
Auftragsverarbeitung
Nach wie vor gibt es die Verarbeitung von Daten im Auftrag, nun „Auftragsverarbeitung“ genannt, mit der Folge, dass der Auftragsverarbeiter nicht Dritter ist (Art. 4 Nr. 8 DS-GVO). Deren Umfang und formale Voraussetzungen bestimmt Art. 28 DS-GVO, weshalb in § 80 SGB X nur noch das „Ob“ der Auftragsverarbeitung bei Sozialdaten – nicht das „Wie“! – geregelt werden durfte. Wann allerdings Auftragsverarbeitung überhaupt vorliegt, wird weder in der DS-GVO noch im BDSG oder im SGB definiert, wie es auch bislang an einer eindeutigen Definition der Auftrags(daten)verarbeitung fehlte. Neu ist, dass nunmehr der Auftragsverarbeiter neben dem Verantwortlichen eigene Rechte und Pflichten hat, deren Nichtbeachtung bußgeldbewehrt ist. Bestehende Verträge zwischen Behörde und Auftragsverarbeitern sind dementsprechend anzupassen. Da Auftragsverarbeitung künftig auch in Staaten mit Angemessenheitsbeschluss der EU zulässig ist (§ 80 Abs. 2 SGB X) und die U.S.A. vorbehaltlich der Unterwerfung unter das Privacy-Shield-Abkommen inzwischen in die „White-List“ der EU-Kommission aufgenommen wurde (Art. 45 f DSGVO) , ist die Nutzung von Cloud-Computing-Angeboten auch bei Sozialdaten nicht mehr an den Verbleib innerhalb der EU gebunden, zumal die Speicherbegrenzung entfallen ist (vgl. § 80 Abs. 5 SGB X a.F.). Es bleibt aber abzuwarten, ob Privacy-Shield das gleiche Schicksal wie Safe-Harbour ereilen wird.
Redaktionsanmerkung: Teil 2 des Beitrags lesen Sie demnächst im PUBLICUS