Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

§ 80 SGB X: Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag

Änderungsdienst
veröffentlicht am

12.11.2019

Änderung

Die GRA wurde redaktionell und inhaltlich überarbeitet und mit Regionalträger abgestimmt

Dokumentdaten
Stand30.12.2015
Erstellungsgrundlage in der Fassung des Dritten Gesetzes zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze vom 05.08.2010 in Kraft getreten am 11.08.2010
Rechtsgrundlage

§ 80 SGB X

Version001.01

Inhalt der Regelung

§ 80 SGB X regelt im Wesentlichen wie § 11 Bundesdatenschutzgesetz (BDSG) die Voraussetzungen, die Verantwortlichkeiten, die Vertragsgestaltungen sowie die Rechte und Pflichten von Auftraggeber und Auftragnehmer bei einer Datenverarbeitung im Auftrag, sofern davon Sozialdaten betroffen sind.

Die Vorschrift gilt für alle in § 35 SGB I genannten Stellen (Sozialleistungsträger), wenn sie ihre Sozialdaten nicht selbst, sondern im Auftrag verarbeiten lassen.

nach oben

Ergänzende/korrespondierende Regelungen

§ 67 SGB X enthält Definitionen der Begriffe des Datenschutzrechts wie zum Beispiel „Sozialdaten“, „Erheben“, „Verarbeiten“ und „Nutzen“, „verantwortliche Stelle“, „nicht-öffentliche Stelle“ oder „Dritter“.

Die in den §§ 82 bis 84 SGB X geregelten Rechte der Betroffenen sind gegenüber dem Auftraggeber der Datenverarbeitung geltend zu machen (§ 80 Abs. 1 Satz 2 SGB X).

Vom Auftragnehmer sind unter anderem die nach § 78a SGB X zu treffenden technischen und organisatorischen Maßnahmen vorzunehmen.

Vorsätzliche oder fahrlässige Verstöße gegen § 80 Abs. 2 S. 2 und 4 und Abs. 4 SGB X stellen gemäß § 85 Abs. 1 Nr. 1a, 1b und 2 SGB X Ordnungswidrigkeiten dar, die nach § 85 Abs. 3 SGB X mit einer Geldbuße geahndet werden können.

nach oben

Datenverarbeitung im Auftrag

Datenverarbeitung im Auftrag liegt regelmäßig dann vor, wenn sich zum Beispiel ein Rentenversicherungsträger zur Erledigung bestimmter (Teil-)Aufgaben von anderen Personen/Stellen (Auftragnehmer) unterstützen lässt (Outsourcing) und dabei Sozialdaten durch den Auftragnehmer erhoben, verarbeitet oder genutzt werden. Betriebs- und Geschäftsgeheimnisse sind über § 35 Abs. 4 SGB I den Sozialdaten gleichgestellt.

Regelmäßig handelt es sich bei Datenverarbeitung im Auftrag um unselbständige Hilfstätigkeiten.

Beispiele für Datenverarbeitungen im Auftrag nach § 80 SGB X sind die Datenverarbeitung durch Kompetenzcenter, die Papiervernichtung durch externe Firmen oder die Fremdvergabe von Laborleistungen in den Kliniken. Ein weiteres Beispiel ist die trägerübergreifende Verarbeitung und Nutzung von Sozialdaten im Rahmen der Auskunfts- und Beratungstätigkeit. Auch Prüfungs- und Wartungsarbeiten bei automatisierten Verfahren oder bei Datenverarbeitungsanlagen unterliegen den Bedingungen des § 80 SGB X, wenn auch in erleichterter Form (§ 80 Abs. 7 SGB X), vergleiche hierzu Abschnitt 9.

Keine Datenverarbeitung im Auftrag liegt insbesondere in folgenden Fällen vor:

Nicht um Datenverarbeitung im Auftrag nach § 80 SGB X handelt es sich, wenn nur die Hardware-Einrichtung eines Dritten benutzt wird, aber mit eigenen Programmen und Beschäftigten die Aufgabe erledigt und die Daten erhoben, verarbeitet oder genutzt werden, zum Beispiel Anmietung von vollausgestatteten Büroräumen.

Ebenfalls keine Datenverarbeitung im Auftrag ist die Inanspruchnahme von Dritten, wenn diese ihre eigenen Aufgaben erledigen, wie zum Beispiel die Beauftragung externer Gutachter oder die Durchführung von Leistungen zur Rehabilitation durch externe Rehabilitationseinrichtungen (Vertragseinrichtungen). Bei der Behandlung in Vertragseinrichtungen steht die medizinische Behandlung der Patienten im Vordergrund, die in eigener Regie und Verantwortung der Vertragseinrichtungen erfolgt. Es handelt sich somit nicht um unselbständige Hilfstätigkeiten einer Datenverarbeitung (AGGDS 4/2013, TOP 8).

Abzugrenzen ist auch die Funktionsübertragung; hier wird nicht nur Hilfe bei der Erledigung einer Aufgabe in Anspruch genommen, sondern die Aufgabe selbst wird dem Auftragnehmer übertragen und damit auch die Verantwortung und sämtliche datenschutzrechtlichen Pflichten. Dies geschieht im Sozialleistungsbereich regelmäßig durch Bildung von Arbeitsgemeinschaften nach § 94 SGB X.

Beachte:

Die Rentenversicherungsträger treten sowohl als Auftraggeber als auch als Auftragnehmer auf. Im Einzelfall ist davon abhängig, welche Anforderungen des § 80 SGB X zu erfüllen sind.

nach oben

Verhältnis zwischen Auftragnehmer und Auftraggeber

Werden Sozialdaten im Auftrag eines Rentenversicherungsträgers durch einen Auftragnehmer erhoben, verarbeitet oder genutzt, so handelt es sich bei diesem Auftragnehmer datenschutzrechtlich nicht um einen Dritten (§ 67 Abs. 10 S. 2 SGB X); verantwortliche Stelle im Sinne von § 67 Abs. 7 SGB X bleibt der Rentenversicherungsträger.

Dies ist von Bedeutung, wenn es um die Zulässigkeit der Weitergabe von Sozialdaten zwischen Auftraggeber und Auftragnehmer geht. Hierbei handelt es sich um eine Nutzung von Sozialdaten innerhalb einer verantwortlichen Stelle (§ 67 Abs. 7 SGB X), vergleichbar der Weitergabe von einer Rentenabteilung an eine Rehabilitationsabteilung. Die Voraussetzungen für eine Weitergabe von Sozialdaten an einen Dritten (Übermittlung nach § 67 Abs. 6 Nr. 3 SGB X) müssen daher nicht vorliegen. Die Betroffenen, deren Sozialdaten im Auftrag verarbeitet werden, müssen weder ihre Einwilligung zu dieser Datenverarbeitung im Auftrag erteilt haben, noch steht ihnen hier das Widerspruchsrecht nach § 76 Abs. 2 Nr. 1 SGB X zu.

nach oben

Verantwortung für die Einhaltung des Datenschutzes (Absatz 1)

Nach § 80 Abs. 1 S. 1 SGB X bleibt der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich, wenn Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. Unerheblich ist, ob der Auftrag nur eine oder alle Phasen des Umganges mit Sozialdaten betrifft. Diese sind das Erheben, Verarbeiten (umfasst das Speichern, Verändern, Übermitteln, Sperren und Löschen) oder Nutzen von Sozialdaten. Näheres zu den einzelnen Phasen findet sich in der GRA zu § 67 SGB X.

Diese datenschutzrechtliche Verantwortung des Satzes 1 gilt umfassend, wie sich aus Satz 2 ergibt. Danach sind die sogenannten unabdingbaren Rechte der Betroffenen nach den §§ 82 bis 84 SGB X dem Auftraggeber gegenüber geltend zu machen. Näheres zu diesen Rechten kann den entsprechenden GRA entnommen werden.

nach oben

Voraussetzungen an eine Auftragserteilung (Absatz 2 und Absatz 3)

§ 80 Abs. 2 SGB X enthält eine Reihe von Voraussetzungen, die von Auftraggeber und Auftragnehmer zu erfüllen sind.

Mit Satz 1 wird zunächst allgemein klargestellt, wann eine Auftragserteilung zulässig ist (Abschnitt 5.1).

Satz 2 enthält konkrete Forderungen an die Vertragsgestaltung (Abschnitt 5.2).

Die Sätze 3 bis 5 legen Verpflichtungen des Auftraggebers fest (Abschnitt 5.3) und Satz 6 enthält zusätzliche Voraussetzungen, wenn der Auftragnehmer eine nicht-öffentliche Stelle ist (Abschnitt 5.4).

nach oben

Zulässigkeit (Absatz 2 Satz 1)

§ 80 Abs. 2 S. 1 SGB X legt fest, dass für den Auftragnehmer die gleichen datenschutzrechtlichen Anforderungen gelten wie für den Auftraggeber. Nur dann ist eine Auftragserteilung zulässig. Damit ist klargestellt, dass sich der Auftraggeber bereits vor der Auftragserteilung versichern muss, wie der Auftragnehmer für diesen konkreten Auftrag die datenschutzrechtlichen Anforderungen umsetzt. Welche technischen und organisatorischen Maßnahmen hierfür geeignet sind, wird in § 78a SGB X und seiner Anlage konkretisiert. Auf die GRA zu § 78a SGB X wird verwiesen. Ergänzend hierzu enthält die Anlage 2 zu dieser GRA in Abschnitt 2.4 beispielhafte Aufzählungen der erforderlichen Maßnahmen.

Sofern der Auftragnehmer eine nicht-öffentliche Stelle ist, ist die Zulässigkeit der Auftragsdatenverarbeitung zusätzlich noch an die Voraussetzungen des Satzes 6 (Abschnitt 5.4) und des Absatz 5 geknüpft (Abschnitt 7).

nach oben

Vertragsgestaltung (Absatz 2 Satz 2)

Nach § 80 Abs. 2 S. 2 SGB X ist seit dem 11.08.2010 der Auftrag schriftlich zu erteilen und hat insbesondere die im Gesetz aufgelisteten Festlegungen zu enthalten. Dies sind Festlegungen über

  • Gegenstand und Dauer des Vertrages,
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung sowie Art der Daten und Kreis der Betroffenen,
  • die nach § 78a SGB X zu treffenden technischen und organisatorischen Maßnahmen (Abschnitt 5.1),
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die bestehenden (Kontroll-)Pflichten des Auftragnehmers (Abschnitt 5.3)
  • die Berechtigung zur Beauftragung von Subunternehmen (Unterauftragsverhältnisse), sofern diese eingeräumt wird,
  • die Kontrollrechte des Auftraggebers (Abschnitt 5.3),
  • Benachrichtigungspflichten des Auftragnehmers über Verstöße gegen Datenschutz- oder Vertragsbestimmungen,
  • den Umfang von Weisungsbefugnissen, die sich der Auftraggeber vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung gespeicherter Daten nach Beendigung des Auftrages durch den Auftragnehmer.

Beachte:

Erfolgt die Auftragserteilung (Vertragsgestaltung) nicht entsprechend diesen gesetzlichen Vorgaben, so stellt dies eine Ordnungswidrigkeit gemäß § 85 Abs. 1 Nr. 1a SGB X dar (Abschnitt 10).

Für den Fall von datenschutzrechtlich relevanten Leistungsstörungen oder sonstigen datenschutzrechtlich zu beanstandenden Verhaltensweisen des Auftragnehmers sollte ein außerordentliches Kündigungsrecht vorgesehen werden.

nach oben

Pflichten des Auftraggebers (Absatz 2 Sätze 3 bis 5)

§ 80 Abs. 2 S. 3 bis 5 SGB X verpflichten den Auftraggeber, Weisungen vorzunehmen (Abschnitt 5.3.1), legen ihm Kontrollpflichten vor Beginn der Auftragsdatenverarbeitung und während der laufenden Durchführung des Auftrages auf (Abschnitt 5.3.2) und enthalten Dokumentationspflichten (Abschnitt 5.3.3).

nach oben

Weisungspflicht (Satz 3)

§ 80 Abs. 2 S. 3 SGB X verpflichtet den Auftraggeber, erforderlichenfalls auf die technischen und organisatorischen Maßnahmen des Auftragnehmers Einfluss zu nehmen und zwar in Form von - bindenden - Weisungen. Erforderlich sind - mit Rücksicht auf den Grundsatz der Verhältnismäßigkeit - solche Maßnahmen, deren Schutzwirkung im angemessenen Verhältnis zu dem Aufwand stehen, den sie verursachen. Ergänzend hierzu Abschnitt 5.1, Anlage 2 Abschnitt 2.4 sowie die GRA zu § 78a SGB X.

Hierzu zählen auch die nach § 80 Abs. 4 SGB X zu treffenden schriftlichen Festlegungen zu Zweckbindung und Speicherdauer (Abschnitt 6).

nach oben

Kontrollpflichten (Satz 4)

Nach § 80 Abs. 2 S. 4 SGB X hat der Auftraggeber sich vor Beginn der Datenverarbeitung und danach in regelmäßigen Abständen von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen „zu überzeugen“. Gemeint ist damit das Durchführen von Kontrollen.

Der Gesetzgeber will damit sicherstellen, dass der Auftraggeber seine Verantwortung (§ 80 Abs. 1 S. 1 SGB X), die er bereits nach § 80 Abs. 2 S. 3 SGB X durch sein Weisungsrecht wahrnehmen kann, auf jeden Fall in Form von Kontrollrechten wahrnehmen muss.

enthält § 80 SGB X hierzu nicht.

Die Durchführung der Kontrollen, das heißt zeitliche und örtliche Vorgaben oder die Art und Weise wie der Auftraggeber seine Kontrollpflichten umsetzt, ist vom Gesetzgeber nicht vorgegeben. Regelmäßig gemeint sind Kontrollen vor Ort, also direkt beim Auftragnehmer durch persönliche Inaugenscheinnahme. Möglich und zulässig ist aber auch, dass der Auftraggeber nicht unmittelbar beim Auftragnehmer vor Ort oder selbst in Person die Kontrolle vornimmt. So ist Flexibilität sichergestellt, wenn der Auftraggeber zum Beispiel ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht.

Vorabkontrolle

Stets durchzuführen ist eine Kontrolle bereits bevor der Auftragnehmer mit der beauftragten Datenverarbeitung beginnt (Vorabkontrolle, in Anlehnung an § 4d Abs. 5 BDSG). Bei der Vorabkontrolle kann der Auftraggeber noch Unzulänglichkeiten abstellen, bevor Sozialdaten in seinem Auftrag erhoben, verarbeitet oder genutzt werden. Diese erste Kontrolle hat daher besonders umfassend zu erfolgen.

Hinweis:

Nach § 80 Abs. 2 S. 1 SGB X besteht bereits vor Auftragserteilung die Verpflichtung, sich von den getroffenen (geplanten) technischen und organisatorischen Maßnahmen beim Auftragnehmer zu vergewissern (Abschnitt 5.1). Möglich ist daher auch eine Verbindung dieser Verpflichtung aus § 80 Abs. 2 S. 1 SGB X mit der Vorabkontrolle. Voraussetzung hierfür ist, dass tatsächlich bereits vor Auftragserteilung beim Auftragnehmer alle erforderlichen Maßnahmen getroffen wurden. Denkbar ist dies insbesondere bei Folgeverträgen oder der Beauftragung von Auftragnehmern, die bereits mit ähnlichen Aufträgen betraut sind.

Beachte:

Das Unterlassen einer Vorabkontrolle stellt eine Ordnungswidrigkeit gemäß § 85 Abs. 1 Nr. 1b SGB X dar (Abschnitt 10).

Kontrollen während der Auftragsdatenverarbeitung

Sobald der Auftragnehmer die Datenverarbeitung begonnen hat, sind regelmäßige Kontrollen vorzunehmen.

Zeitliche und örtliche Vorgaben enthält § 80 SGB X hierzu nicht. Abhängig von Inhalt, Umfang und Dauer des Auftrages können diese geforderten Kontrollen in kurzfristigen Abständen, einmalig oder in größeren Abständen (alle 2 bis 3 Jahre) erforderlich sein. Die Entscheidung darüber trifft der Auftraggeber.

Die Durchführung der Kontrollen, das heißt die Art und Weise wie der Auftraggeber seine Kontrollpflichten umsetzt, ist vom Gesetzgeber nicht vorgegeben.

Regelmäßig gemeint sind Kontrollen vor Ort, also direkt beim Auftragnehmer durch persönliche In-Augenscheinnahme.

Da bei der Vorabkontrolle noch Mängel oder Sicherheitslücken beseitigt werden können, bevor Sozialdaten durch den Auftragnehmer erhoben, verarbeitet oder genutzt werden, hat die Vorabkontrolle daher besonders umfassend und sorgfältig zu erfolgen.

Bei den weiteren Kontrollen kann der Auftraggeber auf den Erkenntnissen der Vorabkontrolle aufsetzen. Insoweit können diese weiteren Kontrollen auch auf Veränderungen seit der letzten Kontrolle und/oder auf besonders sensible Bereiche begrenzt werden.

Zulässig und in bestimmten Fällen nur realisierbar sind Kontrollen durch

  • Auswerten von angeforderten Unterlagen oder Protokollen und
  • Auswerten von zuvor zugesandten Fragebogen.

Die Entscheidung über das Vorgehen sowohl inhaltlich als auch zeitlich trifft der Auftraggeber.

nach oben

Dokumentationspflichten (Satz 5)

Nach § 80 Abs. 2 S. 5 SGB X hat der Auftraggeber das Ergebnis seiner Kontrollen (Abschnitt 5.3.2) zu dokumentieren. Hier sind konkret die vorgefundenen oder ausgewerteten Ergebnisse festzuhalten. Es ist nicht ausreichend nur zu dokumentieren, dass eine Kontrolle durchgeführt wurde. Eine genaue Ausgestaltung der Art und des Umfangs der Dokumentation wurde vom Gesetzgeber nicht vorgenommen, um der Bandbreite an Auftragsdatenverarbeitungen gerecht zu werden. So kann zum Beispiel. der Umfang der Dokumentation je nach Größe und Komplexität der Auftragsdatenverarbeitung variieren.

nach oben

Pflichten nicht-öffentlicher Auftragnehmer (Absatz 2 Satz 6)

Zusätzlich zu den Voraussetzungen der Sätze 1 bis 5 verpflichtet § 80 Abs. 2 S. 6 SGB X den Auftragnehmer, wenn es sich um eine nicht-öffentliche Stelle/Person handelt, dem Auftraggeber schriftlich folgende Rechte einzuräumen:

  • Auskünfte bei ihm einzuholen,
  • Besichtigungen und Prüfungen der Grundstücke und Geschäftsräume vorzunehmen und
  • Einsicht in die Geschäftsunterlagen, die gespeicherten Sozialdaten und die Datenverarbeitungsprogramme zu nehmen.

Diese Rechte dürfen vom Auftraggeber nur im Rahmen des Auftrages wahrgenommen werden und nur soweit dies zur Überwachung des Datenschutzes erforderlich ist. Die Erforderlichkeit dieser Maßnahmen hat der Auftraggeber im Einzelfall zu beweisen. Das Recht auf Vornahme von Besichtigungen, Prüfungen und Einsichtnahme ist auf den Ort der Grundstücke und Geschäftsräume beschränkt. Der Auftraggeber hat also nicht das Recht, die Unterlagen in seine Diensträume mitzunehmen oder deren Vorlage dort anzuordnen.

Weitere Voraussetzungen an die Auftragserteilung an eine nicht-öffentliche Stelle enthält § 80 Abs. 5 SGB X (Abschnitt 8).

nach oben

Anzeigepflichten vor der Auftragserteilung (Absatz 3)

Werden Daten im Auftrag verarbeitet, hat der Auftraggeber nach § 80 Abs. 3 S. 1 SGB X rechtzeitig vor der Auftragserteilung seine Aufsichtsbehörde schriftlich zu verständigen. Er hat hierbei

  • den Auftragnehmer,
  • die bei diesem vorhandenen technischen und organisatorischen Maßnahmen (§ 78a SGB X),
  • die ergänzenden Weisungen nach § 80 Abs. 2 S. 2 und 3 SGB X,
  • die Art der Daten, die im Auftrag verarbeitet werden sollen,
  • den Kreis der Betroffenen,
  • die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten im Auftrag erfolgen soll und
  • den Abschluss eventueller Unterauftragsverhältnisse anzugeben.

Dies kann in Form einer freien Anzeige oder durch Übersendung eines Vertragsentwurfes geschehen.

Wenn der Auftragnehmer eine öffentliche Stelle ist, hat auch er gemäß § 80 Abs. 3 S. 2 SGB X seine Aufsichtsbehörde entsprechend schriftlich zu benachrichtigen.

Es handelt sich um eine reine Anzeigepflicht und nicht um ein Genehmigungsverfahren. Der Aufsichtsbehörde soll die Gelegenheit zur Beratung oder auch zum Tätigwerden gegeben werden. Insoweit ist nach der entsprechenden Anzeige zunächst die Antwort der Aufsichtsbehörde abzuwarten, bevor der Auftrag erteilt werden kann.

Gemeint ist hier nicht die Aufsicht durch die zuständigen Beauftragten für den Datenschutz der Länder oder des Bundes, sondern die Fachaufsicht durch die nach § 90 SGB IV zuständigen Aufsichtsbehörden.

nach oben

Pflichten bei der Auftragserledigung (Absatz 4)

§ 80 Abs. 4 SGB X enthält sowohl für den Auftragnehmer als auch für den Auftraggeber Verpflichtungen, die während der Auftragsdatenverarbeitung einzuhalten sind.

Pflichten des Auftragnehmers:

  • Zweckbindung
    Der Auftragnehmer darf die Daten nur für die Zwecke verarbeiten und nutzen, die Gegenstand des Auftrages sind.
  • Speicherdauer
    Der Auftragnehmer darf die ihm zur Verarbeitung überlassenen Sozialdaten nur so lange speichern, wie es der Auftraggeber vorgegeben hat.

Pflichten des Auftraggebers:

Der Auftraggeber hat zu beiden Punkten (Zweckbindung und Speicherdauer) schriftliche Festlegungen zu treffen.

Mit der Schriftform soll eine über § 78 SGB X hinausgehende Zweckbindung und eine möglichst rasche Löschung der zur Datenverarbeitung im Auftrag überlassenen Sozialdaten erreicht werden.

Beachte:

Eine Verletzung dieser Pflichten durch den Aufragnehmer stellt eine Ordnungswidrigkeit nach § 85 Abs. 1 Nr. 2 SGB X dar und kann mit einer Geldbuße bis zu 50.000,00 EUR geahndet werden (Abschnitt 10).

nach oben

Zulässigkeit der Datenverarbeitung im Auftrag durch nicht-öffentliche Stellen (Absatz 5)

Bereits § 80 Abs. 2 S. 1 und 6 SGB X enthalten Voraussetzungen für die Zulässigkeit der Auftragserteilung an nicht-öffentliche Stellen (Abschnitte 5.1 und 5.4).

§ 80 Abs. 5 SGB X legt weitere Voraussetzungen für die Auftragsverarbeitung durch nicht-öffentliche Stellen (§ 67 Abs. 11 SGB X) fest. Es soll damit auch erreicht werden, dass die Auftragserteilung an nicht-öffentliche Stellen die Ausnahme bleibt.

Nach § 80 Abs. 5 Nr. 1 und 2 SGB X ist eine Erhebung, Verarbeitung und Nutzung von Sozialdaten durch eine nicht-öffentliche Stelle nur zulässig, wenn

  • beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können (Nummer 1) oder
  • die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und
  • der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst (Nummer 2). Der überwiegende Teil des gesamten Datenbestandes muss beim Auftraggeber verbleiben.
    Ausnahmsweise zulässig ist nach Nummer 2 Satz 2 die Speicherung des gesamten Datenbestandes beim Auftragnehmer nur, wenn dieser eine öffentliche Stelle ist und die Daten zur weiteren Datenverarbeitung im Auftrag an nicht-öffentliche Auftragnehmer weitergibt (Unterauftragsverhältnis). Aber auch hier darf der gesamte Datenbestand nicht bei einer nicht-öffentlichen Stelle gespeichert werden.

Hinweis:

Diese Restriktionen bei der Beauftragung von nicht-öffentlichen Stellen müssen nicht beachtet werden, wenn es sich um Wartungsverträge im Sinne von § 80 Abs. 7 SGB X handelt. Näheres hierzu in Abschnitt 9.

nach oben

Weitere Pflichten und Kontrollbehörden der Auftragnehmer (Absatz 6)

Neben den Pflichten des Auftragnehmers, die sich bereits unmittelbar aus § 80 SGB X ergeben, ergeben sich über die Verweise in Abs. 6 auf bestimmte Vorschriften des BDSG weitere Verpflichtungen für die Auftragnehmer. Außerdem regelt § 80 Abs. 6 SGB X welche Behörden zuständig für die Durchführung externer Datenschutzkontrollen sind. Dies richtet sich danach, ob es sich bei dem Auftragnehmer um einen Sozialleistungsträger, zum Beispiel die Deutsche Rentenversicherung Bund (Abschnitt 8.1), eine andere öffentliche Stelle (Abschnitt 8.2) oder eine nicht-öffentliche Stelle handelt (Abschnitt 8.3).

nach oben

Auftragnehmer ist ein Sozialleistungsträger

Für Sozialleistungsträger (in § 35 SGB I genannte Stellen) verweist Satz 1 auf die Straf- und Bußgeldvorschriften der §§ 85 und 85a SGB X und die §§ 4g Abs. 2, 18 Abs. 2, 24 bis 26 BDSG.

Beachte:

Diese Anforderungen gelten für die Deutsche Rentenversicherung Bund und alle anderen Rentenversicherungsträger, wenn sie Auftragnehmer einer Datenverarbeitung im Auftrag sind.

Während die §§ 85 und 85a SGB X ohnehin unmittelbar für alle Sozialleistungsträger Anwendung finden (Abschnitt 10), verpflichtet der Verweis auf § 4g Abs. 2 BDSG und § 18 Abs. 2 BDSG auch die Sozialleistungsträger zusätzlich zum Führen von bestimmten Übersichten und Verzeichnissen, für die das BDSG sonst nicht einschlägig ist.

Nach § 4g in Verbindung mit § 4e S. 1 BDSG ist eine Übersicht über automatisierte Verarbeitungen mit folgenden Angaben bereit zu halten:

  • Name oder Firma der verantwortlichen Stelle,
  • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  • Anschrift der verantwortlichen Stelle,
  • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  • eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  • Regelfristen für die Löschung der Daten,
  • eine geplante Datenübermittlung in Drittstaaten,
  • eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Im Wesentlichen handelt es sich hierbei um Angaben, die bereits unabdingbare Voraussetzungen für die zulässige Auftragserteilung waren und die Inhalt des schriftlichen Auftrages nach § 80 Abs. 2 SGB X sein müssen (Abschnitt 5).

Zusätzlich ist vom Auftragnehmer über den Verweis auf § 18 Abs. 2 BDSG ein Verzeichnis über die eingesetzten Datenverarbeitungsanlagen zu führen.

Die §§ 24 bis 26 BDSG enthalten Regelungen zu den Kontrollbefugnissen der Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI). Da die BfDI im Wesentlichen nur Kontrollrechte über Bundesbehörden (und private Stellen) hat, stellen die Sätze 2 und 3 klar, dass für Sozialleistungsträger, die nicht Bundesbehörden sind, anstelle der BfDI die Landesdatenschutzbeauftragten treten und ihre Aufgaben sich aus den jeweiligen Landesdatenschutzgesetzen ergeben.

nach oben

Auftragnehmer ist eine öffentliche Stelle

Handelt es sich bei dem Auftragnehmer um eine öffentliche Stelle der Länder, nicht jedoch um einen Sozialleistungsträger (hier gelten die Sätze 1 bis 3, vergleiche Abschnitt 8.1), gelten nach Satz 5 die landesrechtlichen Vorschriften über Verzeichnisse der eingesetzten Datenverarbeitungsanlagen und Dateien. Diese Vorschriften finden sich in den jeweiligen Landesdatenschutzgesetzen. Für die Kontrolle sind die jeweiligen Landesdatenschutzbeauftragten zuständig.

Öffentliche Stellen des Bundes, die nicht Sozialleistungsträger sind, werden in Absatz 6 nicht ausdrücklich erwähnt, da hier unmittelbar das BDSG Anwendung findet.

nach oben

Auftragnehmer ist eine nicht-öffentliche Stelle

Dann kontrolliert gemäß Satz 4 die jeweils nach Landesrecht zuständige Aufsichtsbehörde die Einhaltung der Anforderungen, die sich aus § 80 Abs. 1 bis 5 SGB X ergeben.

nach oben

Prüfung/Wartung automatisierter Verfahren (Absatz 7)

Gemäß § 80 Abs. 7 S. 1 SGB X gelten die Absätze 1, 2, 4 und 6 entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann. Auf die Abschnitte 4, 5.1 bis 5.4, 6 und 7 wird verwiesen.

Allerdings gelten die besonderen Voraussetzungen des § 80 Abs. 5 SGB X für eine Beauftragung nicht-öffentlicher Stellen für diese Wartungsverträge nicht. Das heißt, dass im Wesentlichen für Wartungsverträge dieselben Anforderungen gelten, die § 80 SGB X an Verantwortung, Vertragsgestaltung, Kontroll- und Weisungsbefugnisse bei allen Datenverarbeitungen im Auftrag stellt, unabhängig davon, wer der Auftragnehmer ist (öffentliche oder nicht-öffentliche Stelle). Lediglich die besonderen Anforderungen des § 80 Abs. 2 S. 6 SGB X müssen auch bei Wartungsverträgen erfüllt werden (Abschnitt 5.4).

Grundsätzlich sind gemäß § 80 Abs. 7 S. 2 SGB X auch diese Verträge über Wartungsarbeiten der Aufsichtsbehörde so rechtzeitig vor der Auftragserteilung vorzulegen, damit ihr eine Prüfung möglich ist (§ 80 Abs. 3 SGB X), vergleiche Abschnitt 5.5.

§ 80 Abs. 7 S. 2 SGB X lässt eine Ausnahme für den Fall zu, dass eine vorherige Unterrichtung der Aufsichtsbehörde Störungen im Betriebsablauf erwarten lässt oder solche Störungen bereits eingetreten sind. Dann genügt die unverzügliche Mitteilung nach Auftragserteilung. Unverzüglich heißt ohne schuldhaftes Verzögern (§ 121 BGB). Damit wird sichergestellt, dass Verzögerungen in der Abwicklung von Sozialleistungen zu Lasten des Leistungsempfängers nicht eintreten. Anhand dieses Kriteriums ist auch zu prüfen, ob die (erwarteten) Störungen des Betriebsablaufes tatsächlich eine erst nachträgliche Anzeige rechtfertigen.

nach oben

Ordnungswidrigkeiten und Bußgelder (§ 85 SGB X)

Die Nichtbeachtung oder das Unterlassen der wesentlichen Pflichten, die sich für Auftraggeber und Auftragnehmer aus § 80 Abs. 2 und Abs. 4 SGB X ergeben, hat der Gesetzgeber als Ordnungswidrigkeiten eingestuft und mit Bußgeldern versehen (§ 85 SGB X). Dabei ist es unerheblich, ob die Ordnungswidrigkeit vorsätzlich oder fahrlässig begangen wurde.

Konkret handelt ordnungswidrig, wer

  • entgegen § 80 Abs. 2 S. 2 SGB X einen Auftrag zur Datenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt (§ 85 Abs. 1 Nr. 1a SGB X).
  • entgegen § 80 Abs. 2 S. 4 SGB X sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt (§ 85 Abs. 1 Nr. 1b SGB X).
    Hier liegt eine Ordnungswidrigkeit nach § 85 Abs. 2 S. 4 SGB X ausdrücklich nur vor, wenn „vor Beginn der Datenverarbeitung“ im Auftrag keine Kontrolle durch den Auftraggeber beim Auftragnehmer stattgefunden hat (Vorabkontrolle), vergleiche Abschnitt 5.3.2. Dies gilt nicht für die weiteren „sodann regelmäßig“ vorzunehmenden Kontrollen, weil hier der Handlungszeitpunkt zu unbestimmt ist. Eine unterschiedliche Behandlung der Vorabkontrolle gegenüber den folgenden Kontrollen bei der Bußgeldbewehrung ist sachlich gerechtfertigt. Der ersten Kontrolle vor Beginn der Datenverarbeitung im Auftrag kommt besondere Bedeutung zu. Regelmäßig ist der Auftraggeber zu diesem Zeitpunkt mit den beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen noch nicht vertraut. Zudem kann der Auftraggeber bei der ersten Kontrolle noch Unzulänglichkeiten abstellen, bevor personenbezogene Daten in seinem Auftrag erhoben oder verwendet werden. Diese Vorabkontrolle erfolgt daher besonders umfassend, während bei etwaigen weiteren Kontrollen auf einem bestehenden Wissen aufgesetzt wird und regelmäßig nur Veränderungen seit der letzten Kontrolle kontrolliert werden. Eine erste Kontrolle hat ferner stets stattzufinden, während weitere Kontrollen abhängig von der Dauer der Auftragsdatenverarbeitung unter Umständen nicht stattfinden.
  • entgegen § 80 Abs. 4 SGB X Sozialdaten über den Auftragszweck hinaus anderweitig verarbeitet, nutzt oder länger speichert (§ 85 Abs. 1 Nr. 2 SGB X).

Die genannten Ordnungswidrigkeiten können nach § 85 Abs. 3 S. 1 SGB X mit Geldbußen bis zu 50.000,00 EUR geahndet werden. Grundsätzlich soll dabei die Geldbuße den wirtschaftlichen Vorteil, der durch Begehen der Ordnungswidrigkeiten erzielt wurde, übertreffen (§ 85 Abs. 3 S. 2 SGB X). Reicht der Betrag von 50.000,00 EUR hierzu nicht aus, können auch höhere Geldbußen fällig werden (§ 85 Abs. 3 S. 3 SGB X).

Drittes Gesetz zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze vom 05.08.2010 (BGBl. I S. 1127)

Inkrafttreten: 11.08.2010

Quelle zum Entwurf: BT-Drucksache 17/2169

Durch Artikel 5 Nummer 4 des 3. SGB IV-ÄndG wurden in Absatz 2 Satz 2 neu gefasst und nach Satz 3 die Sätze 4 und 5 neu eingefügt. Die Pflichten des Auftraggebers und die Anforderungen an die Vertragsgestaltung und die Kontrollen wurden deutlich erhöht.

Gesetz zur Änderung des BDSG und anderer Gesetze vom 18.05.2001 (BGBl. I S. 904)

Inkrafttreten: 23.05.2001

Quelle zum Entwurf: BT-Drucksache 14/5822

Durch Artikel 8 § 2 des Gesetzes zur Änderung des BDSG und anderer Gesetze wurde die Vorschrift redaktionell überarbeitet, Verweise angepasst sowie Absatz 7 angefügt. Es wurde ausdrücklich auch das Erheben von Sozialdaten in die Auftragsdatenverarbeitung einbezogen.

2. SGBÄndG vom 13.06.1994 (BGBl. I S. 1229)

Inkrafttreten: 01.07.1994

Quellen zum Entwurf: BT-Drucksache 12/6306 vom 01.12.1993

Durch Artikel 6 Nummer 4 des 2. SGBÄndG wurde § 80 SGB X novelliert.

SGB X vom 18.08.1980 (BGBl. I S. 1469, 2218)

Inkrafttreten: 01.01.1981

Quelle zum Entwurf: BT-Drucksache 8/4022

Zum 01.01.1981 wurde das Zweite Kapitel des SGB X (§§ 67 bis 85a SGB X) mit den Vorschriften zum Schutz der Sozialdaten eingeführt.

Anlage 1Mustervereinbarung
Anlage 2Ausfüllhinweise zur Mustervereinbarung (Anlage 1)

Zusatzinformationen

Rechtsgrundlage

§ 80 SGB X