SGB X (Stand: 31.12.2008)
SGB - Zehntes Buch
Zehntes Buch Sozialgesetzbuch – Sozialverwaltungsverfahren und Sozialdatenschutz
in der zum 08.05.2024 gültigen Fassung
Dritter Abschnitt
Organisatorische Vorkehrungen zum Schutz der Sozialdaten, besondere Datenverarbeitungsarten
§ 78a
Technische und organisatorische Maßnahmen
Die in § 35 des Ersten Buches genannten Stellen, die selbst oder im Auftrag Sozialdaten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen einschließlich der Dienstanweisungen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzbuches, insbesondere die in der Anlage zu dieser Vorschrift genannten Anforderungen, zu gewährleisten. Maßnahmen sind nicht erforderlich, wenn ihr Aufwand in keinem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 78a
Anlage
Werden Sozialdaten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Sozialdaten oder Kategorien von Sozialdaten geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen Sozialdaten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Sozialdaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Sozialdaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass Sozialdaten, die im Auftrag erhoben, verarbeitet oder genutzt werden, nur entsprechend den Weisungen des Auftraggebers erhoben, verarbeitet oder genutzt werden können (Auftragskontrolle),
7. zu gewährleisten, dass Sozialdaten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Sozialdaten getrennt verarbeitet werden können.
§ 78b
Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig Sozialdaten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 78b
Datenvermeidung und Datensparsamkeit Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig Sozialdaten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 78c
Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. Die Sätze 1 und 2 gelten nicht für öffentliche Stellen der Länder mit Ausnahme der Sozialversicherungsträger und ihrer Verbände.
§ 78c
Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. Die Sätze 1 und 2 gelten nicht für öffentliche Stellen der Länder mit Ausnahme der Sozialversicherungsträger und ihrer Verbände.
§ 79
Einrichtung automatisierter Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung von Sozialdaten durch Abruf ermöglicht, ist zwischen den in § 35 des Ersten Buches genannten Stellen sowie mit der Deutschen Rentenversicherung Bund als zentraler Stelle zur Erfüllung ihrer Aufgaben nach § 91 Abs. 1 Satz 1 des Einkommensteuergesetzes und der Deutschen Rentenversicherung Knappschaft-Bahn-See/Verwaltungsstelle Cottbus, soweit sie bei geringfügig Beschäftigten Aufgaben nach dem Einkommensteuergesetz durchführt, zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit angemessen ist und wenn die jeweiligen Aufsichtsbehörden die Teilnahme der unter ihrer Aufsicht stehenden Stellen genehmigt haben. Das Gleiche gilt gegenüber den in § 69 Abs. 2 und 3 genannten Stellen.
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der zu übermittelnden Daten,
4. nach § 78a erforderliche technische und organisatorische Maßnahmen.
(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 35 des Ersten Buches genannten Stellen beteiligt sind, die der Kontrolle des Bundesbeauftragten für den Datenschutz unterliegen, dieser, sonst die nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle rechtzeitig vorher unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Sie hat mindestens bei jedem zehnten Abruf den Zeitpunkt, die abgerufenen Daten sowie Angaben zur Feststellung des Verfahrens und der für den Abruf verantwortlichen Personen zu protokollieren; die protokollierten Daten sind spätestens nach sechs Monaten zu löschen. Wird ein Gesamtbestand von Sozialdaten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die mit Einwilligung der Betroffenen angelegt werden und die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offen stehen.
§ 80
Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag
(1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 82 bis 84 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber ist verpflichtet, erforderlichenfalls Weisungen zur Ergänzung der beim Auftragnehmer vorhandenen technischen und organisatorischen Maßnahmen zu erteilen. Die Auftragserteilung an eine nicht-öffentliche Stelle setzt außerdem voraus, dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat,
1. Auskünfte bei ihm einzuholen,
2. während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und
3. geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen,
soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist.
(3) Der Auftraggeber hat seiner Aufsichtsbehörde rechtzeitig vor der Auftragserteilung
1. den Auftragnehmer, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen und ergänzenden Weisungen nach Absatz 2 Satz 2 und 3,
2. die Art der Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden sollen, und den Kreis der Betroffenen,
3. die Aufgabe, zu deren Erfüllung die Erhebung, Verarbeitung oder Nutzung der Daten im Auftrag erfolgen soll, sowie
4. den Abschluss von etwaigen Unterauftragsverhältnissen
schriftlich anzuzeigen. Wenn der Auftragnehmer eine öffentliche Stelle ist, hat er auch schriftliche Anzeige an seine Aufsichtsbehörde zu richten.
(4) Der Auftragnehmer darf die zur Datenverarbeitung überlassenen Sozialdaten nicht für andere Zwecke verarbeiten oder nutzen und nicht länger speichern, als der Auftraggeber schriftlich bestimmt.
(5) Die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn
1. beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder
2. die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Der überwiegende Teil der Speicherung des gesamten Datenbestandes muss beim Auftraggeber oder beim Auftragnehmer, der eine öffentliche Stelle ist, und die Daten zur weiteren Datenverarbeitung im Auftrag an nicht-öffentliche Auftragnehmer weitergibt, verbleiben.
(6) Ist der Auftragnehmer eine in § 35 des Ersten Buches genannte Stelle, gelten neben den §§ 85 und 85a nur § 4g Abs. 2, § 18 Abs. 2 und die §§ 24 bis 26 des Bundesdatenschutzgesetzes. Bei den in § 35 des Ersten Buches genannten Stellen, die nicht solche des Bundes sind, treten anstelle des Bundesbeauftragten für den Datenschutz insoweit die Landesbeauftragten für den Datenschutz. Ihre Aufgaben und Befugnisse richten sich nach dem jeweiligen Landesrecht. Ist der Auftragnehmer eine nicht-öffentliche Stelle, kontrolliert die Einhaltung der Absätze 1 bis 5 die nach Landesrecht zuständige Aufsichtsbehörde. Bei öffentlichen Stellen der Länder, die nicht Sozialversicherungsträger oder deren Verbände sind, gelten die landesrechtlichen Vorschriften über Verzeichnisse der eingesetzten Datenverarbeitungsanlagen und Dateien.
(7) Die Absätze 1, 2, 4 und 6 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann. Verträge über Wartungsarbeiten sind in diesem Falle rechtzeitig vor der Auftragserteilung der Aufsichtsbehörde mitzuteilen; sind Störungen im Betriebsablauf zu erwarten oder bereits eingetreten, ist der Vertrag unverzüglich mitzuteilen.
