Seit dem 25.05.2018 gilt nicht nur die – viel gepriesene und inzwischen ebenso viel gescholtene – EU-Datenschutzgrundverordnung (VO (EU) 2016/679 – im Folgenden DS-GVO) in allen EU-Mitgliedstaaten, sondern auch in Deutschland das „neue“, daran angepasste SGB I und SGB X sowie BDSG.
Die genannten Vorschriften verändern nicht nur nachhaltig die datenschutzrechtlichen Anforderungen an private Firmen und Vereine, wie zahlreiche Medienberichte seit Mai beklagen, sie betreffen auch die Datenverarbeitung der öffentlichen Verwaltung. Dieser Beitrag soll sich mit den wichtigsten Neuerungen der Verarbeitung von Sozialdaten in der öffentlichen Verwaltung befassen – ohne auf die noch ausstehenden Änderungen der besonderen Bücher des SGB durch das 2. DSAnpUG-EU, das zum Zeitpunkt der Fassung dieses Beitrags noch nicht verabschiedet war, einzugehen.
Mehrebenensystem
Die wichtigste Änderung die das datenschutzrechtliche Denkmuster betrifft ist, dass aufgrund der unmittelbaren Wirkung einer europäischen Verordnung einerseits und des Wiederholungsverbots der Verordnungsinhalte in nationalen Gesetzen andererseits die Regeln der DS-GVO und die nationalen Vorschriften parallel im Blick zu halten sind. Ansonsten besteht die Gefahr, dass der Rechtsanwender die Regelungssystematik nicht erkennt und Verarbeitungsgrundlagen, die ausschließlich in der DS-GVO geregelt sind, übersieht.
Terminologie
Die unmittelbare Geltung der DS-GVO machte zahlreiche begriffliche Anpassungen erforderlich, ohne dass aufgrund des europarechtlichen Wiederholungsverbotes die Definitionen aus der DS-GVO wiedergegeben werden konnten. Beispielsweise werden unter „Verarbeitung“ alle Formen des Umgangs mit Daten verstanden (Art. 4 Nr. 2 DS-GVO), weshalb im Unterschied zum bisherigen Sprachgebrauch nun auch die Erhebung und Nutzung davon umfasst werden. Gleichwohl wird im Sozialdatenschutz weiterhin an dieser Differenzierung – allerdings nun nur noch als Unterfälle der Verarbeitung! – mit unterschiedlicher Zulässigkeit und klarer Abgrenzbarkeit als spezifischere Regelung festgehalten.
Weitere datenschutzrechtliche Kernbegriffe, die in der DS-GVO verwendet, aber nicht definiert werden, wurden auch im nationalen Recht nicht (z.B. „Erheben“) oder allenfalls indirekt definiert (z.B. „Übermitteln“ in § 67 d Abs. 1 SGB X). Deren letztverbindliche Auslegung muss dem EuGH vorbehalten bleiben, was bis dahin – z.B. hinsichtlich des Erhebungsbegriffs – nicht unerhebliche Rechtsunsicherheit auslöst.
Anwendungsbereich
Für die nicht in den Anwendungsbereich der DS-GVO fallende Verarbeitung personenbezogener Daten (s. Art. 2 und Art. 3 DS-GVO) bestimmt § 35 Abs. 2 S. 2 SGB I, dass die DS-GVO und das SGB vorbehaltlich abweichender gesetzlicher Regelungen entsprechende Anwendung finden. Damit wird durch nationalen Rechtsbefehl sichergestellt, dass wie bisher sämtliche Fallgestaltungen des Umgangs mit Sozialdaten – z.B. wenn es sich nicht um ein „Dateisystem“ handelt – unabhängig von der Reichweite der DS-GVO geregelt sind (vgl. § 1 Abs. 8 BDSG zu sonstigen Daten)...[mehr]