Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Dritter Abschnitt - Zehntes Buch Sozialgesetzbuch (SGB X) - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X)

neugefasst durch B. v. 18.01.2001 BGBl. I S. 130; zuletzt geändert durch Artikel 8 G. v. 12.06.2020 BGBl. I S. 1248
Geltung ab 01.01.1981; FNA: 860-10-1 Sozialgesetzbuch
59 frühere Fassungen | Drucksachen / Entwurf / Begründung | wird in 480 Vorschriften zitiert

Zweites Kapitel Schutz der Sozialdaten

Dritter Abschnitt Besondere Datenverarbeitungsarten

§§ 78a bis 78c (aufgehoben)


§§ 78a bis 78c hat 1 frühere Fassung und wird in 12 Vorschriften zitiert





§ 79 Einrichtung automatisierter Verfahren auf Abruf



(1) 1Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung von Sozialdaten durch Abruf ermöglicht, ist zwischen den in § 35 des Ersten Buches genannten Stellen sowie mit der Deutschen Rentenversicherung Bund als zentraler Stelle zur Erfüllung ihrer Aufgaben nach § 91 Absatz 1 Satz 1 des Einkommensteuergesetzes und der Deutschen Rentenversicherung Knappschaft-Bahn-See, soweit sie bei geringfügig Beschäftigten Aufgaben nach dem Einkommensteuergesetz durchführt, zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit angemessen ist und wenn die jeweiligen Rechts- oder Fachaufsichtsbehörden die Teilnahme der unter ihrer Aufsicht stehenden Stellen genehmigt haben. 2Das Gleiche gilt gegenüber den in § 69 Absatz 2 und 3 genannten Stellen.

(1a) Die Einrichtung eines automatisierten Verfahrens auf Abruf für ein Dateisystem der Sozialversicherung für Landwirtschaft, Forsten und Gartenbau ist nur gegenüber den Trägern der gesetzlichen Rentenversicherung, der Deutschen Rentenversicherung Bund als zentraler Stelle zur Erfüllung ihrer Aufgaben nach § 91 Absatz 1 Satz 1 des Einkommensteuergesetzes, den Krankenkassen, der Bundesagentur für Arbeit und der Deutschen Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, zulässig; dabei dürfen auch Vermittlungsstellen eingeschaltet werden.

(2) 1Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens auf Abruf kontrolliert werden kann. 2Hierzu haben sie schriftlich oder elektronisch festzulegen:

1.
Anlass und Zweck des Verfahrens auf Abruf,

2.
Dritte, an die übermittelt wird,

3.
Art der zu übermittelnden Daten,

4.
nach Artikel 32 der Verordnung (EU) 2016/679 erforderliche technische und organisatorische Maßnahmen.

(3) Über die Einrichtung von Verfahren auf Abruf ist in Fällen, in denen die in § 35 des Ersten Buches genannten Stellen beteiligt sind, die der Kontrolle des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) unterliegen, dieser oder diese, sonst die nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle rechtzeitig vorher unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.

(4) 1Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. 2Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. 3Sie hat mindestens bei jedem zehnten Abruf den Zeitpunkt, die abgerufenen Daten sowie Angaben zur Feststellung des Verfahrens und des für den Abruf Verantwortlichen zu protokollieren; die protokollierten Daten sind spätestens nach sechs Monaten zu löschen. 4Wird ein Gesamtbestand von Sozialdaten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Dateisystemen, die mit Einwilligung der betroffenen Personen angelegt werden und die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen.




§ 80 Verarbeitung von Sozialdaten im Auftrag



(1) 1Die Erteilung eines Auftrags im Sinne des Artikels 28 der Verordnung (EU) 2016/679 zur Verarbeitung von Sozialdaten ist nur zulässig, wenn der Verantwortliche seiner Rechts- oder Fachaufsichtsbehörde rechtzeitig vor der Auftragserteilung

1.
den Auftragsverarbeiter, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen und ergänzenden Weisungen,

2.
die Art der Daten, die im Auftrag verarbeitet werden sollen, und den Kreis der betroffenen Personen,

3.
die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten im Auftrag erfolgen soll, sowie

4.
den Abschluss von etwaigen Unterauftragsverhältnissen

schriftlich oder elektronisch anzeigt. 2Soll eine öffentliche Stelle mit der Verarbeitung von Sozialdaten beauftragt werden, hat diese rechtzeitig vor der Auftragserteilung die beabsichtigte Beauftragung ihrer Rechts- oder Fachaufsichtsbehörde schriftlich oder elektronisch anzuzeigen.

(2) Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt werden, wenn die Verarbeitung im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat oder in einer internationalen Organisation erfolgt.

(3) 1Die Erteilung eines Auftrags zur Verarbeitung von Sozialdaten durch nicht-öffentliche Stellen ist nur zulässig, wenn

1.
beim Verantwortlichen sonst Störungen im Betriebsablauf auftreten können oder

2.
die übertragenen Arbeiten beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können.

2Dies gilt nicht, wenn Dienstleister in der Informationstechnik, deren absolute Mehrheit der Anteile oder deren absolute Mehrheit der Stimmen dem Bund oder den Ländern zusteht, mit vorheriger Genehmigung der obersten Dienstbehörde des Verantwortlichen beauftragt werden.

(4) 1Ist der Auftragsverarbeiter eine in § 35 des Ersten Buches genannte Stelle, gelten neben den §§ 85 und 85a die §§ 9, 13, 14 und 16 des Bundesdatenschutzgesetzes. 2Bei den in § 35 des Ersten Buches genannten Stellen, die nicht solche des Bundes sind, tritt anstelle des oder der Bundesbeauftragten insoweit die nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle. 3Ist der Auftragsverarbeiter eine nicht-öffentliche Stelle, unterliegt dieser der Aufsicht der gemäß § 40 des Bundesdatenschutzgesetzes zuständigen Behörde.

(5) 1Absatz 3 gilt nicht bei Verträgen über die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag, bei denen ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann. 2Die Verträge sind bei zu erwartenden oder bereits eingetretenen Störungen im Betriebsablauf unverzüglich der Rechts- oder Fachaufsichtsbehörde mitzuteilen.