Jansen, SGB X § 79 Einrichtung automatisierter Verfahren ... / 2.6 Verantwortung für Datenabruf und Protokollierung (Abs. 4)

Rz. 16

Es handelt sich um eine konkretisierende Regelung zur Verantwortlichkeit bei der Datenübermittlung. Die Verantwortung wird dahingehend aufgeteilt, dass die abrufende Stelle die Verantwortung für die Zulässigkeit jedes einzelnen Abrufs trägt, der speichernden Stelle aber bei konkretem Anlass nach wie vor eine Prüfungspflicht sowie stets eine Protokollierungspflicht zukommt. Nach Art. 5 Abs. 2 DSGVO trägt der Verantwortliche die Verantwortung für die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO und muss dessen Einhaltung nachweisen können (sog. Rechenschaftspflicht, vgl. die Komm. zu § 35 SGB I), was vorliegend durch diese Protokollierungspflicht garantiert wird (BT-Drs. 18/12611).

Rz. 17

Abs. 4 Satz 1 legt fest, dass die Verantwortung für die Zulässigkeit des einzelnen Abrufs der Dritte, an den die Daten übermittelt werden, trägt, also der, der abruft. Die Begriffsbestimmung von "Dritter" ergibt sich aus Art. 4 Nr. 10 DSGVO (vgl. die Komm. zu § 67).

Der einzelne Abruf, also die Datenübermittlung (Rz. 3), ist nur zulässig, wenn eine Rechtsvorschrift dies anordnet oder erlaubt oder die betroffene Person eingewilligt hat.

Rz. 18

Die speichernde Stelle prüft nach Satz 2 nur anlassbezogen die Zulässigkeit der Abrufe. Der Gesetzgeber hatte bereits durch das Gesetz zur Änderung des BDSG den Begriff der speichernden Stelle durch "verantwortliche Stelle" ersetzt und seit dem 25.5.2018 bestimmt Art. 4 Nr. 7 DSGVO wer "Verantwortlicher" ist (vgl. Komm. zu § 67). Dass § 79 Abs. 4 noch von speichernder Stelle spricht, dürfte ein auch nach Anpassung an die DSGVO durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2541) weiter bestehendes reines Versäumnis sein.

Rz. 19

Nach Satz 3 hat die speichernde Stelle zudem eine Protokollierungspflicht über den Zeitpunkt, die abgerufenen Daten sowie die Angaben zur Feststellung des Verfahrens und der für den Abruf verantwortlichen Personen für mindestens jeden zehnten Abruf. Damit wird eine Stichprobenprüfung durch die verantwortliche Stelle möglich. Es bietet sich an, dass diese Prüfung der interne Datenschutzbeauftragte durchführt.

Satz 3 legt dann noch fest, dass die Protokolldaten spätestens nach 6 Monaten zu löschen sind.

Rz. 20

Für den Abruf oder die Übermittlung eines Gesamtbestandes von Sozialdaten (Stapelverarbeitung) gilt nach Satz 4 eine Erleichterung. Hier sind nur die Feststellung und Überprüfung der Zulässigkeit des Abrufs oder der Übermittlung des Gesamtbestandes zu gewährleisten.