Jansen, SGB X § 67b Speicherung, Veränderung, Nutzung, Ü ... / 2.3 Anwendung von § 22 Abs. 2 BDSG (Abs. 1 Satz 4)

Rz. 23

Nach § 67b Abs. 1 Satz 4 gilt seit dem 25.5.2018 § 22 Abs. 2 BDSG entsprechend. Dieser Verweis "trägt dem Umstand Rechnung, dass Artikel 9 Absatz 2 Buchstaben b, g, h und i der Verordnung (EU) 2016/679 verlangen, bei der Verarbeitung besonderer Kategorien von Daten, "geeignete Garantien" bzw. "angemessene und spezifische Maßnahmen" vorzusehen" (BT-DRrs. 18/12611).

Mit § 22 Abs. 1 Nr. 1 Buchst. a BDSG wird von der Öffnungsklausel des Art. 9 Abs. 2 Buchst. b DSGVO und mit § 22 Abs. 1 Nr. 1 Buchst. b BDSG von der des Art. 9 Abs. 2 Buchst. h i. V. m. Abs. 3 DSGVO Gebrauch gemacht.

§ 22 Abs. 1 Nr. 1 Buchst. b BDSG "setzt Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 um" (BT-Drs. 18/11325).

Rz. 24

Nach § 22 Abs. 2 Satz 1 BDSG sind "angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen". In § 22 Abs. 2 Satz 2 BDSG werden diese Maßnahmen konkretisiert.

Diese Vorgaben aus § 22 Abs. 2 Satz 1 und 2 BDSG entsprechen den Vorgaben aus Art. 24, 25, 32 und 37 DSGVO, die für die Stellen nach § 35 SGB I ohnehin unmittelbar gelten (vgl. auch die Komm. zu § 35 SGB I).

Beispielhaft ("insbesondere") aufgezählt werden in § 22 Abs. 2 Satz 2 BDSG:

1. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt (vgl. Art. 24 Abs. 1 und 25 Abs. 1 DSGVO),
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (vgl. Art. 32 Abs. 1 Buchst. b DSGVO),
3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten (vgl. Art. 32 Abs. 4 DSGVO),
4. Benennung einer oder eines Datenschutzbeauftragten (vgl. Art 37 Abs. 1 DSGVO),
5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern (vgl. Art. 25 Abs. 2 Satz 2 DSGVO),
6. Pseudonymisierung personenbezogener Daten (vgl. Art. 32 Abs. 1 Buchst. a DSGVO),
7. Verschlüsselung personenbezogener Daten (vgl. Art. 32 Abs. 1 Buchst. a DSGVO),
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (vgl. Art. 32 Abs. 1 Buchst. b DSGVO),
9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (vgl. Art. 32 Abs. 1 Buchst. d DSGVO)oder
10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen (vgl. Art. 32 Abs. 1 Buchst. a DSGVO).

Diese Maßnahmen treffen nach der Gesetzesbegründung zunächst jeden Verantwortlichen und damit auch jeden, der besondere Kategorien personenbezogener Daten verarbeitet (BT-Drs. 18/11325).

Rz. 25

§ 22 Abs. 2 lässt mit Satz 3 BDSG eine Ausnahme zu. Danach finden die "Sätze 1 und 2 ... in den Fällen des Absatzes 1 Nummer 1 Buchstabe b keine Anwendung". Gemeint ist hier § 22 Abs. 1 Nr. 1 Buchst. b BDSG, der eine Verarbeitung besonderer Kategorien personenbezogener Daten zulässt, "zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden". Dies entspricht Art. 9 Abs. 2 Buchst. h DSGVO (vgl. Rz. 15, 16).

Die Gesetzesbegründung zu § 22 BDSG stellt dazu klar: "Die in Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 unter Bezugnahme auf den Artikel 9 Absatz 3 der Verordnung (EU) 2016/679 geforderten besonderen Garantien sind unmittelbar durch Absatz 1 Nummer 1 Buchstabe b umgesetzt und werden daher mit Absatz 2 Satz 3 von Absatz 2 ausgenommen" (BT-Drs. 18/11325).

Rz. 26

Wichtig

Fazit:

Durch den Verweis in § 67b Abs. 1 Satz 4 auf § 22 Abs. 2 BDSG gilt die Ausnahme von dessen Satz 3 auch für die Verarbeitung besondere Kategorien personenenbezogener Daten, die zur Aufgabenerfüllung einer Stelle nach § 35 SGB I erforderlich sind und die sich unter Art. 9 Abs. 2 Buchst. h DSGVO bzw. § 22 Abs. 1 Nr. 1 Buchst. b BDSG einordnen lassen.

D.h., die geforderten Garantien – also die Anforderungen aus § 67b Abs. 1 Satz 4 i. V. m. § 22 Abs. 2 BDSG – sind als erfüllt ("umgesetzt") anzusehen; die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und L...