Zum 25. Mai 2018 wird neben der Datenschutzgrundverordnung und dem neuen Bundesdatenschutzgesetz auch ein geändertes Sozialgesetzbuch in Kraft treten. Die neuen Regelungen wurden am 24.07.2017 im Bundesgesetzblatt verkündet. Von den Änderungen betroffen sind vor allem die sozialdatenschutzrechtlichen Regelungen der §§ 67 ff. Sozialgesetzbuch X (SGB X).

Viele Anpassungen des aktuellen Gesetzesentwurfs sind sprachlicher Natur und bereiten den Sozialdatenschutz auf die Zeit der Datenschutzgrundverordnung vor. Gleichwohl verbirgt sich aber doch die ein oder andere inhaltliche Änderung, die in der Praxis für den Sozialdatenschutz relevant werden wird. Grund genug eine kleine Beitragsreihe zum neuen SGB X zu starten, in der wir uns mit verschiedenen Änderungen über mehrere Blogbeiträge im Detail befassen.

Auftragsdatenverarbeitung nach § 80 SGB X (alt) – private Rechenzentren hatten es zu schwer

Die Auftragsdatenverarbeitung im Sozialdatenschutzrecht ist in § 80 SGB X (alt) geregelt. Zur besseren Einordnung dieser Regelung ist es relevant zu wissen, dass diese Norm grundsätzlich nur für Stellen gilt, die dem Sozialdatenschutzrecht unmittelbar unterfallen. Dies sind nach § 67 Abs. 1 S. 1 SGB X i. V. m. § 35 Abs. 1 SGB I nur die sog. Leistungsträger. Welche Stellen Leistungsträger sind, definiert wiederum § 12 SGB I. Leistungsträger sind demnach nur die in den §§ 18 bis 29 SGB I genannten Körperschaften, Anstalten und Behörden. So kompliziert diese Herleitung auch ist, so klar ist das Ergebnis: Leistungsträger i.S.d. § 35 Abs. 1 SGB X sind ausschließlich öffentliche Stellen. Private Stellen oder gar freie Träger unterfallen somit nicht unmittelbar den Regelungen des Sozialdatenschutzes.

Vor diesem Hintergrund wird es verständlicher, weshalb § 80 SGB X bei der Regelung der Auftragsdatenverarbeitung davon ausgeht, dass eine öffentliche Stelle Auftraggeber der Auftragsdatenverarbeitung ist. Besonders deutlich wird dies, wenn es um die Einschaltung nicht-öffentlicher (privater) Stellen geht. Hier sind die Hürden teilweise sehr hoch, wie ein Blick in § 80 Abs. 5 SGB X (alt) zeigt:

„Die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn

  1. beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder 
  2. die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Der überwiegende Teil der Speicherung des gesamten Datenbestandes muss beim Auftraggeber oder beim Auftragnehmer, der eine öffentliche Stelle ist, und die Daten zur weiteren Datenverarbeitung im Auftrag an nicht-öffentliche Auftragnehmer weitergibt, verbleiben.“

Im Klartext bedeutet diese Regelung, dass, sofern keine Störungen im Betriebsablauf drohen, private Rechenzentren zur Speicherung der Daten nur eingeschaltet werden dürfen, sofern mindestens 51% des Datenbestands bei einer öffentlichen (also behördlichen) Stelle bleiben.

Der Sinn dieser Regelung war bereits in der Vergangenheit mehr als fraglich. So machte die Norm keinen Unterschied im Hinblick auf unterschiedliche Schutzbedarfe der Daten. Es wäre also möglich gewesen, einen gleichartig aufgebauten Datenbestand knapp in der Hälfte zu teilen und den einen Teil im öffentlich-rechtlichen Rechenzentrum zu belassen, den anderen im einem privaten Rechenzentrum zu speichern. Überspitzt formuliert: Die Sozialdaten von Personen mit den Anfangsbuchstaben „a“ bis „p“ hätten im öffentlich-rechtlichen Rechenzentrum bleiben müssen, der Rest an ein privates Rechenzentrum gegeben werden können. Zudem bezog sich die Einschränkung der Einschaltung privater Stellen auch nur auf die Speicherung der Daten. Ein Zugriff, z. B. im Rahmen von Wartungsarbeiten, wäre nach § 80 Abs. 7 SGB X (alt) hingegen auch in Bezug auf den gesamten Datenbestand möglich gewesen. Sofern man daher davon ausgehen konnte, dass die Einschränkung im Hinblick der Einschaltung privater Rechenzentren nur dem Schutz der Verfügbarkeit der Daten galt, war es in der Praxis nicht nachvollziehbar, weshalb der Verfügbarkeitslevel von privaten (ggf. sogar ISO 27001 zertifizierten) Rechenzentren per se als schlechter angesehen wurde, als der Serverraum einer Behörde.

Die Modernisierung der Sozialverwaltung gestaltete sich an dieser Stelle oftmals schwierig, was dazu führte, dass sich einige Stellen bereits Sonderlösungen ins Gesetz schrieben ließen – wie z. B. die Träger der Grundsicherung für Arbeitsuchende mit § 51 SGB II.

Auftragsverarbeitung nach § 80 SGB X (neu) – private Rechenzentren können jetzt leichter eingeschaltet werden

Mit der Novellierung des SGB X entspannt sich die Lage im Hinblick auf die Zulässigkeit der Einschaltung privater Rechenzentren.

Nach § 80 Abs. 3 SGB X (neu) wird die Einschaltung privater Stellen zulässig sein, wenn

  1. „ beim Verantwortlichen sonst Störungen im Betriebsablauf auftreten können oder 
  2. die übertragenen Arbeiten beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können.“

Eine weitere Einschränkung wie zuvor in der alten Norm gibt es nicht mehr. Ein Blick in die Gesetzesbegründung erklärt warum und lässt aufatmen:

„Absatz 5 Satz 1 Nummer 2, zweiter Halbsatz und Satz 2 werden gestrichen, weil diese Regelungen nicht mehr zeitgemäß sind. Die ursprünglich damit beabsichtigte Verfügungskontrolle wird angesichts der heutigen weitgehend elektronischen Speichermedien nicht mehr durch die Größe des verbliebenen Speichervolumens gewährleistet, weil auch Backup-Dateien mit geringerem Speichervolumen die gleiche Funktion erfüllen. Für Jobcenter war der Geltungsbereich von § 80 Absatz 5 Satz 1 Nummer 2 bereits durch § 51 des Zweiten Buches Sozialgesetzbuch (SGB II) aufgehoben worden.“

Auftragsverarbeitung nach § 80 SGB X (neu) – Verarbeitung von Sozialdaten bald auch in den USA, Kanada, Argentinien, Neuseeland etc.?

§ 80 Abs. 2 SGB X (neu) stellt klar, dass eine Verarbeitung von Sozialdaten im Auftrag nicht in unsicheren Drittstaaten stattfinden darf. Eine Datenverarbeitung darf nach der neuen Regelung nur in der EU, in den Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sowie in der Schweiz – vgl. § 35 Abs. 7 SGB I (neu) – und in einem Staat, für den ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt, vorgenommen werden. Eine Verarbeitung von Sozialdaten im Auftrag z. B. in Indien wäre selbst unter Verwendung der EU-Standardvertragsklauseln damit ausgeschlossen. Insofern hat der Sozialgesetzgeber an dieser Stelle von der Öffnungsklausel des Art. 49 Abs. 5 DSGVO Gebrauch gemacht.

Neu ist allerdings, dass sich das SGB ausdrücklich mit Ländern auseinandersetzt, in denen ein angemessenes Datenschutzniveau „nur“ durch Angemessenheitsbeschluss der EU-Kommission angenommen werden darf. Ist eine Verarbeitung von Sozialdaten demnach also in Zukunft auch in Ländern mit Angemessenheitsbeschluss, wie z. B. Kanada, Argentinien, Neuseeland etc. möglich?

An dieser Stelle verbleibt noch eine weitere spannende Frage, die sich künftig in der Praxis stellen könnte: Dürfen Sozialdaten in den USA verarbeitet werden, wenn der Betreiber des beteiligten Rechenzentrums am EU-US Privacy Shield teilnimmt? Denn bei genauer Betrachtung führt die Teilnahme am EU-US Privacy Shield zu einem angemessenen Datenschutzniveau der teilnehmenden Stelle auf Grundlage eines eben solchen – in § 80 Abs. 2 SGB X (neu) genannten – Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO.

Im Hinblick auf die nun denkbare Datenverarbeitung außerhalb der EU, des EWR und der Schweiz ist unklar, ob dies wirklich dem Willen des Gesetzgebers entspricht oder es insoweit an einer weitergehenden Öffnungsklausel der DSGVO fehlte.

Auftragsverarbeitung nach § 80 SGB X (neu) – Vertrag nach Art. 28 DSGVO und Meldung an die Rechts- und Fachaufsicht

Ansonsten regelt § 80 SGB X (neu) inhaltlich eigentlich nichts Neues. Die öffentliche Stelle muss die Auftragsverarbeitung vorab weiterhin der eigenen Aufsichtsbehörde melden. § 80 Abs. 1 SGB X (neu) stellt insoweit noch einmal klar, dass hiermit nicht die datenschutzrechtliche Aufsichtsbehörde gemeint ist, sondern die Rechts- oder Fachaufsichtsstelle des Leistungsträgers. Dies galt aber auch schon nach dem alten SGB.

Im Hinblick auf Inhalt und Ausgestaltung der Verträge zur Auftragsverarbeitung macht § 80 SGB X (neu) im Gegensatz zu § 80 Abs. 2 SGB X (alt) keine Ausführungen. Die Gesetzesbegründung stellt jedoch klar, dass insoweit Art. 28 der DSGVO gilt. Die dort genannten Anforderungen an den Vertrag zur Auftragsverarbeitung sind somit eins zu eins auch auf die Auftragsverarbeitung von Sozialdaten anzuwenden.

| | | , , , , ,