Digitalisierung in der Verwaltung – Chance und Herausforderung
Die Digitalisierung der Verwaltung ist in vollem Gange. Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen sämtliche Verwaltungsleistungen digital bereitzustellen. Dies betrifft auch Sozialleistungen, die besondere Anforderungen an den Sozialdatenschutz stellen. Neben der allgemeinen Datenschutz-Grundverordnung (DSGVO) beinhalten die §§ 67 ff. SGB X besondere Anforderungen für Leistungsträger.
Kommunale Entscheider stehen vor der Herausforderung, digitale Angebote zu schaffen, die sowohl bürgerfreundlich als auch rechtskonform sind. Wie kann eine Verwaltung sicherstellen, dass etwa digitale Antragssysteme und Kommunikation den hohen Standards des Sozialdatenschutzes entsprechen?
Besonderheiten des Sozialdatenschutzes im Vergleich zur DSGVO
Die DSGVO regelt den allgemeinen Datenschutz in der Europäischen Union und ist gegenüber dem BDSG etwa vorrangig. Der Sozialdatenschutz nach SGB X ist hingegen speziell für Sozialdaten konzipiert, die besonders sensibel sind (z. B. Gesundheits-, Einkommens- und Leistungsdaten). Die wichtigsten Unterschiede sind:
Kriterium | Sozialdatenschutz (§§ 67 ff. SGB X) | DSGVO |
Geltungsbereich | Gilt für Sozialbehörden und Leistungsträger | Gilt für alle datenverarbeitenden Stellen |
Rechtsgrundlage | Verarbeitung nur bei ausdrücklicher gesetzlicher Grundlage oder Einwilligung des Betroffenen | Verarbeitung nach Art. 6 DSGVO möglich, auch bei berechtigtem Interesse |
Datensicherheit | Strenge Maßnahmen nach §§ 67a ff. SGB X erforderlich | Sicherheitsmaßnahmen nach Art. 32 DSGVO |
Datenübermittlung | Stark reglementiert Verarbeitung und Zweckbindung | Flexiblere Regeln für Weitergabe |
Während die DSGVO allgemeine Datenschutzanforderungen formuliert, setzt der Sozialdatenschutz in gewissen Punkten strengere Anforderungen an die Zweckbindung, Sicherheit und Weitergabe von Daten. Dies hat direkte Auswirkungen auf die Digitalisierung der Verwaltung.
Anforderungen an digitale Systeme in der Sozialverwaltung
Kommunen und Sozialbehörden, die digitale Antragsverfahren anbieten, müssen sicherstellen, dass technische und organisatorische Maßnahmen den hohen Datenschutzanforderungen gerecht werden.
a) Verarbeitung von Sozialdaten im Auftrag
Sofern man eine externe nicht-öffentliche Stelle einbezieht, welche Daten in irgendeiner Form verarbeitet, richtet sich die Möglichkeit der Beauftragung nach § 80 SGB X. Zunächst handelt es sich generell nur um eine Verarbeitung von Sozialdaten im Auftrag, wenn der Leistungsträger weiterhin ggü. dem Dritten weisungsbefugt bleibt.
Die Verarbeitung ist nur zulässig, wenn bei den Verantwortlichen (Leistungsträger) Störungen im Betrieb auftreten können oder die übertragene Arbeit erheblich kostengünstiger besorgt werden kann. Ist das der Fall muss ein Datenverarbeitungsvertrag mit genauer Leistungsbeschreibung geschlossen und der Rechts- oder Fachaufsicht vorgelegt werden.
b) Datensicherheit
Während § 80 SGB X nur das “ob” der Datenverarbeitung regelt, bestimmt Art. 28, 32 DSGVO das “wie”. Der Verarbeiter muss hinreichend Garantien dafür bieten, dass die technischen und organisatorischen Maßnahmen eine DSGVO-konforme Verarbeitung gewährleisten. Insofern muss der Verarbeiter nachweisen, was er zum Schutz personenbezogener Daten unternimmt.
Beachte: Letztlich verbleibt die Verantwortung für die Verarbeitung nach § 80 SGB X beim Auftraggeber, also dem Leistungsträger.
Anforderungen an digitale Kommunikation zwischen BürgerInnen und Behörden
Wenn für ein Dokument die Schriftform erforderlich ist, kann diese etwa gem. 36a Abs. 2 SGB I ersetzt werden durch eine qualifizierte elektronische Signatur (qeS), De-mail Postfach etc. Aufgrund der Nichtförmlichkeit im Sozialverwaltungsverfahren (§ 9 SGB X), ist die Schriftform in vielen Fällen nicht erforderlich und gilt meist nur für die Bescheidung. Dann ist ein entsprechender Kanal für schriftformersetzende Kommunikation zu nutzen oder der Bescheid schriftlich zu übermitteln.
So ist jede andere Kommunikation zwischen BürgerInnen und Leistungsträger, wie Antragstellung oder Nachfragen, nicht per se an eine besondere Form gebunden. Es ist dennoch sicherzustellen, dass eine sichere DSGVO-konforme Übermittlung erfolgt und die nötigen technischen und organisatorischen Maßnahmen eingehalten werden.
