§ 81 SGB X: Rechte des Einzelnen, Datenschutzbeauftragte
| veröffentlicht am |
20.08.2019 |
|---|---|
| Änderung | Die GRA wurde inhaltlich überarbeitet, insbesondere in Abschnitt 6 ergänzt und mit dem Regionalträger abgestimmt. |
| Stand | 04.11.2015 |
|---|---|
| Erstellungsgrundlage | in der Fassung des Gesetzes zur Organisationsreform in der gesetzlichen Rentenversicherung vom 09.12.2004 in Kraft getreten am 15.12.2004 |
| Rechtsgrundlage | |
| Version | 001.00 |
- Inhalt der Regelung
- Allgemeines
- Anrufung der Datenschutzaufsichtsbehörden (Absatz 1)
- Zuständige Datenschutzaufsichtsbehörden (Absätze 1 und 3)
- Aufgaben der Datenschutzaufsichtsbehörden (Absatz 2)
- Aufgaben und Pflichten der Rentenversicherung (Absatz 4)
Inhalt der Regelung
§ 81 SGB X regelt in Absatz 1 das Recht der Betroffenen, sich an die zuständigen Datenschutzbeauftragten des Bundes oder der Länder zu wenden. In den Absätzen 2 und 3 werden die Zuständigkeiten dieser Datenschutzbeauftragten im Hinblick auf Datenschutzkontrollen bei den Sozialleistungsträgern geregelt. Absatz 4 enthält die Verpflichtung zur Bestellung interner (behördlicher) Datenschutzbeauftragter für die Sozialleistungsträger.
Ergänzende/korrespondierende Regelungen
Die Rechte der Betroffenen zur Anrufung des behördlichen Datenschutzbeauftragten oder der zuständigen Datenschutzaufsichtsbehörden nach Absatz 1 gehören zu den unabdingbaren Rechten nach § 84a SGB X.
Hinsichtlich der Bestellung und der Aufgaben der amtlichen Datenschutzbeauftragten des Bundes wird auf die §§ 24 bis 26 BDSG verwiesen.
Absatz 4 verpflichtet zur Bestellung eines behördlichen (internen) Datenschutzbeauftragten und zum Führen eines Verfahrensverzeichnisses und verweist auf die §§ 4f, 4g und 18 BDSG.
Allgemeines
§ 81 SGB X leitet den Vierten Abschnitt des 2. Kapitels des SGB X ein. In diesem Abschnitt werden die unabdingbaren Rechte der Betroffenen beschrieben; das sind die Rechte, die nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden können (§ 84a Abs. 1 SGB X). Hierzu zählen neben dem Recht auf Auskunft über die gespeicherten Daten (§ 83 SGB X), dem Recht auf Schadensersatz bei Datenschutzverletzungen (§ 82 SGB X) und dem Recht auf Berichtigung oder Löschung von Daten (§ 84 SGB X) auch das Recht, sich beschwerdeführend unmittelbar an die Datenschutzaufsichtsbehörden zu wenden.
Anrufung der Datenschutzaufsichtsbehörden (Absatz 1)
Mit Absatz 1 stellt der Gesetzgeber klar, dass Betroffene das Recht haben, sich unmittelbar an die zuständigen Datenschutzaufsichtsbehörden zu wenden, wenn sie sich durch einen Sozialleistungsträger (Stelle nach § 35 SGB I), zum Beispiel einen Rentenversicherungsträger, in ihren Datenschutzrechten verletzt fühlen. Die Betroffenen müssen sich also nicht zunächst zur Klärung an diesen Sozialleistungsträger wenden.
Es ist ausreichend, wenn die Betroffenen der Meinung („der Ansicht“) sind, dass ihre Rechte beim Umgang mit ihren personenbezogenen Sozialdaten verletzt wurden. Das Anrufungsrecht besteht also bereits bei einem bloßen Verdacht oder einer Behauptung der Betroffenen.
Die Verletzung kann jede Phase des Umganges mit den personenbezogenen Sozialdaten betreffen, also von der Erhebung über die Verarbeitung bis hin zur (internen) Nutzung. Die Definitionen dieser Begriffe finden sich in § 67 SGB X. Auf die GRA zu § 67 SGB X wird ergänzend hingewiesen.
Es sind nicht alle Sozialdaten von diesem Anrufungsrecht umfasst. Dies ergibt sich aus dem Wortlaut des Absatzes 1, der sich auf „personenbezogene Sozialdaten“ beschränkt. Damit fallen die Betriebs- und Geschäftsgeheimnisse, die nach § 35 Abs. 4 SGB I den Sozialdaten gleichstehen, nicht unter das Recht des Absatzes 1. Weiterhin ist damit klargestellt, dass das Anrufungsrecht der Datenschutzaufsichtsbehörden nur für natürliche Personen gilt.
Für welche Sozialleistungsträger welche Datenschutzaufsichtsbehörden zuständig sind, ergibt sich aus Absatz 1 Nummern 1 und 2 und aus Absatz 3 und wird zusammengefasst in Abschnitt 4 dargestellt.
Zuständige Datenschutzaufsichtsbehörden (Absätze 1 und 3)
Absatz 1 stellt zunächst klar, dass sich die Zuständigkeit danach richtet, ob es sich bei dem Sozialleistungsträger um eine Bundes- oder Landesbehörde handelt.
Für Sozialleistungsträger des Bundes, wie zum Beispiel die DRV Bund oder die DRV Knappschaft-Bahn-See, ist nach Nummer 1 die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.
Für die Sozialleistungsträger auf Landesebene, wie zum Beispiel die weiteren Träger der Rentenversicherung (Regionalträger), ist die jeweils nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle die Datenschutzaufsichtsbehörde, an die sich die Betroffenen wenden können.
Nach Absatz 3 Satz 1 gelten die Verbände und Arbeitsgemeinschaften der Sozialleistungsträger als Stellen des Bundes, sofern an ihnen eine Stelle des Bundes beteiligt ist und sie über den Bereich eines Bundeslandes hinaus tätig werden. Ihre eigentliche Rechtsform, in der sie organisiert sind, ist unerheblich. Als Stellen des Bundes unterliegen sie der Datenschutzaufsicht der BfDI. Ist keine Stelle des Bundes beteiligt oder erfolgt die Tätigkeit nicht länderübergreifend, sind die Landesdatenschutzbehörden zuständig.
Die sonstigen Einrichtungen der Sozialleistungsträger oder ihrer Verbände gelten nach Absatz 3 Satz 2 als öffentliche Stellen des Bundes, wenn die absolute Mehrheit der Anteile oder Stimmen einer oder mehrerer öffentlicher Stellen dem Bund zusteht. Auch hier ist dann die BfDI die zuständige Datenschutzaufsichtsbehörde. In allen anderen Fällen sind dies die jeweiligen Landesdatenschutzaufsichtsbehörden.
Absatz 3 Satz 3 benennt dann noch konkret die Datenstelle der Träger der Rentenversicherung (DSRV) als öffentliche Stelle des Bundes. Sie unterliegt damit ebenfalls der Aufsicht der BfDI.
Aufgaben der Datenschutzaufsichtsbehörden (Absatz 2)
Absatz 2 Satz 1 enthält keine eigenständige Regelung, sondern verweist auf die §§ 24 bis 26 BDSG.
Nach § 24 BDSG kontrolliert die BfDI bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften über den Datenschutz. Die öffentlichen Stellen des Bundes sind verpflichtet, sie hierbei zu unterstützen. Hierzu ist insbesondere Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, und jederzeit Zutritt in alle Diensträume zu gewähren.
Stellt die BfDI Verstöße gegen die Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so kann sie dies nach § 25 BDSG beanstanden. Diese Beanstandung wird gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ ausgesprochen und eine Stellungnahme innerhalb einer von ihr bestimmten Frist angefordert. Gleichzeitig unterrichtet die BfDI die zuständige Aufsichtsbehörde.
§ 26 BDSG enthält verschiedene Berichts- und Unterrichtungspflichten der BfDI.
Da das BDSG nicht für öffentliche Stellen der Länder Anwendung findet, stellt Absatz 2 in den Sätzen 2 und 3 klar, dass für diese Stellen (also zum Beispiel die Regionalträger) die jeweiligen Landesdatenschutzbeauftragten für die Kontrolle zuständig sind und die entsprechenden Regelungen in den Landesdatenschutzgesetzen gelten.
Aufgaben und Pflichten der Rentenversicherung (Absatz 4)
Nach Absatz 4 Satz 1 sind die §§ 4f, 4g und 18 Abs. 2 BDSG anwendbar. Danach sind die DRV Bund und die DRV Knappschaft-Bahn-See verpflichtet, jeweils einen eigenen Datenschutzbeauftragten zu bestellen. Seine Stellung sowie seine Aufgaben, Rechte und Pflichten ergeben sich aus § 4f und § 4g BDSG (Abschnitt 6.1).
Über § 18 Abs. 2 BDSG besteht die Verpflichtung zum Führen bestimmter Verzeichnisse (Abschnitt 6.2).
Diese Verpflichtungen gelten nach Satz 3 auch für die anderen Rentenversicherungsträger.
Bestellung eines behördlichen Datenschutzbeauftragten
Die Rentenversicherungsträger sind gemäß § 81 Absatz 4 Satz 1 SGB X mit seinem Verweis auf § 4f BDSG und § 4g BDSG gesetzlich verpflichtet, einen behördlichen Datenschutzbeauftragten zu bestellen. In §§ 4f und 4g BDSG sind konkrete Vorgaben an die Stellung und Aufgaben des behördlichen Datenschutzbeauftragten formuliert.
Absatz 4 Satz 2 erweitert die Vorgaben von § 4f BDSG dahingehend, dass auch in räumlich getrennten Organisationseinheiten der Datenschutzbeauftragte unterstützt wird, zum Beispiel durch Kontaktpersonen oder Ansprechpartner.
Stellung des behördlichen Datenschutzbeauftragten
Nach § 4f Abs. 3 BDSG ist der behördliche Datenschutzbeauftragte dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Bei den Rentenversicherungsträgern ist dies die jeweilige Geschäftsführung.
Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
Nach § 4f Abs. 5 BDSG ist er bei der Erfüllung seiner Aufgaben zu unterstützen und ihm sind insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
Aufgaben des behördlichen Datenschutzbeauftragten
Nach § 4g Abs. 1 BDSG wirkt der behördliche Datenschutzbeauftragte auf die Einhaltung der Vorschriften über den Datenschutz hin. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen. Hierzu ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten.
Weiterhin hat er die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Datenschutzvorschriften und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
Führen von Verzeichnissen
Durch den Verweis in Absatz 4 Satz 1 auf § 18 Abs. 2 BDSG besteht für die Rentenversicherungsträger die Verpflichtung, ein sogenanntes Anlagenverzeichnis zu führen. Konkret bedeutet dies eine Übersicht über alle eingesetzten Datenverarbeitungsanlagen (§ 18 Abs. 2 Satz 1 BDSG).
Nach § 18 Abs. 2 S. 2 BDSG ist darüber hinaus ein Verfahrensverzeichnis zu führen, also eine Übersicht über automatisierte Verarbeitungen von personenbezogenen Daten, die die Angaben des § 4e BDSG sowie die Rechtsgrundlagen der Verarbeitungen enthalten muss.
Nach § 4e BDSG sind folgende Angaben zu machen:
| 1. | Name oder Firma der verantwortlichen Stelle, |
| 2. | Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, |
| 3. | Anschrift der verantwortlichen Stelle, |
| 4. | Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, |
| 5. | eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, |
| 6. | Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, |
| 7. | Regelfristen für die Löschung der Daten, |
| 8. | eine geplante Datenübermittlung in Drittstaaten, |
| 9. | eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG, § 78a SGB X zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. |
Gesetzlich vorgeschrieben wird nur die Verpflichtung zum Führen der Verzeichnisse durch die Träger der Rentenversicherung; wie und durch wen diese Vorgabe umgesetzt wird, obliegt der Organisationshoheit jedes Rentenversicherungsträgers. Nach § 4g Abs. 2 BDSG ist das Verfahrensverzeichnis mit den Angaben nach § 4e BDSG dem behördlichen Datenschutzbeauftragten zur Verfügung zu stellen.
| Artikel 9 Nummer 4 RVOrgG vom 09.12.2004 (BGBl. I S. 3242) |
Inkrafttreten: 01.10.2005 Quelle zum Entwurf: BT-Drucksache 15/3654 |
In Absatz 3 wurde Satz 3 neu gefasst (Artikel 86 Absatz 4 RVOrgG).
| HZvNG vom 21.06.2002 (BGBl. I S. 2167) |
Inkrafttreten: 29.06.2002 Quelle zum Entwurf: BT-Drucksache 14/9442 |
In Absatz 4 wurde in Satz 1 die Angabe "Absatzes 1 Satz 3" durch die Angabe "Absatzes 3" ersetzt.
| Artikel 8 § 2 Nummer 15 des Gesetzes zur Änderung des BDSG und anderer Gesetze vom 18.05.2001 (BGBl. I S. 904) |
Inkrafttreten: 23.05.2001 Quelle zum Entwurf: BT-Drucksache 14/5822 |
Neu gefasst und an die Neuregelungen im Bundesdatenschutzgesetz angepasst wurden Absatz 2 Satz 1 und Absatz 4.
| Neufassung des Zehnten Buches Sozialgesetzbuch vom 18. Januar 2001 (BGBl. I S. 130) |
| Inkrafttreten: 01.01.2001 |
Bekanntmachung der Neufassung des Zehnten Buches Sozialgesetzbuch.