Sozialgesetzbuch (SGB X)
Zehntes Buch
Sozialverwaltungsverfahren und Sozialdatenschutz

Stand: Neugefasst durch Bek. v. 18. 1.2001 I 130; zuletzt geändert durch Art. 6 G v. 11.11.2016 I 2500

§ 79 SGB X Einrichtung automatisierter Verfahren auf Abruf

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung von Sozialdaten durch Abruf ermöglicht, ist zwischen den in § 35 des Ersten Buches genannten Stellen sowie mit der Deutschen Rentenversicherung Bund als zentraler Stelle zur Erfüllung ihrer Aufgaben nach § 91 Absatz 1 Satz 1 des Einkommensteuergesetzes und der Deutschen Rentenversicherung Knappschaft-Bahn-See, soweit sie bei geringfügig Beschäftigten Aufgaben nach dem Einkommensteuergesetz durchführt, zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit angemessen ist und wenn die jeweiligen Rechts- oder Fachaufsichtsbehörden die Teilnahme der unter ihrer Aufsicht stehenden Stellen genehmigt haben. Das Gleiche gilt gegenüber den in § 69 Absatz 2 und 3 genannten Stellen.
(1a) Die Einrichtung eines automatisierten Verfahrens auf Abruf für ein Dateisystem der Sozialversicherung für Landwirtschaft, Forsten und Gartenbau ist nur gegenüber den Trägern der gesetzlichen Rentenversicherung, der Deutschen Rentenversicherung Bund als zentraler Stelle zur Erfüllung ihrer Aufgaben nach § 91 Absatz 1 Satz 1 des Einkommensteuergesetzes, den Krankenkassen, der Bundesagentur für Arbeit und der Deutschen Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, zulässig; dabei dürfen auch Vermittlungsstellen eingeschaltet werden.
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens auf Abruf kontrolliert werden kann. Hierzu haben sie schriftlich oder elektronisch festzulegen:
1.
Anlass und Zweck des Verfahrens auf Abruf,
2.
Dritte, an die übermittelt wird,
3.
Art der zu übermittelnden Daten,
4.
nach Artikel 32 der Verordnung (EU) 2016/679 erforderliche technische und organisatorische Maßnahmen.
(3) Über die Einrichtung von Verfahren auf Abruf ist in Fällen, in denen die in § 35 des Ersten Buches genannten Stellen beteiligt sind, die der Kontrolle des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) unterliegen, dieser oder diese, sonst die nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle rechtzeitig vorher unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Sie hat mindestens bei jedem zehnten Abruf den Zeitpunkt, die abgerufenen Daten sowie Angaben zur Feststellung des Verfahrens und des für den Abruf Verantwortlichen zu protokollieren; die protokollierten Daten sind spätestens nach sechs Monaten zu löschen. Wird ein Gesamtbestand von Sozialdaten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Dateisystemen, die mit Einwilligung der betroffenen Personen angelegt werden und die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen.