Zehntes Buch Sozialgesetzbuch (Sozialverwaltungsverfahren und Sozialdatenschutz)
(1) Eine Übermittlung von Sozialdaten ist zulässig, soweit sie erforderlich ist für ein bestimmtes Vorhaben
und schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden oder das öffentliche Interesse an der Forschung oder Planung das Geheimhaltungsinteresse der betroffenen Person erheblich überwiegt. ²Eine Übermittlung ohne Einwilligung der betroffenen Person ist nicht zulässig, soweit es zumutbar ist, ihre Einwilligung einzuholen. ³Angaben über den Namen und Vornamen, die Anschrift, die Telefonnummer sowie die für die Einleitung eines Vorhabens nach Satz 1 zwingend erforderlichen Strukturmerkmale der betroffenen Person können für Befragungen auch ohne Einwilligungen übermittelt werden. ⁴Der nach Absatz 4 Satz 1 zuständigen Behörde ist ein Datenschutzkonzept vorzulegen.
(2) Ergibt sich aus dem Vorhaben nach Absatz 1 Satz 1 eine Forschungsfrage, die in einem inhaltlichen Zusammenhang mit diesem steht, können hierzu auf Antrag die Frist nach Absatz 4 Satz 5 Nummer 4 zur Verarbeitung der erforderlichen Sozialdaten verlängert oder eine neue Frist festgelegt und weitere erforderliche Sozialdaten übermittelt werden.
(3) Soweit nach Absatz 1 oder 2 besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 an einen Dritten übermittelt oder nach Absatz 4a von einem Dritten verarbeitet werden, sieht dieser bei der Verarbeitung angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes vor. ²Ergänzend zu den dort genannten Maßnahmen sind die besonderen Kategorien von Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist.
(4) Die Übermittlung nach Absatz 1 und die weitere Verarbeitung sowie die Übermittlung nach Absatz 2 bedürfen der vorherigen Genehmigung durch die oberste Bundes- oder Landesbehörde, die für den Bereich, aus dem die Daten herrühren, zuständig ist. ²Die oberste Bundesbehörde kann das Genehmigungsverfahren bei Anträgen von Versicherungsträgern nach § 1 Absatz 1 Satz 1 des Vierten Buches oder von deren Verbänden auf das Bundesversicherungsamt übertragen. ³Eine Übermittlung von Sozialdaten an eine nicht-öffentliche Stelle und eine weitere Verarbeitung durch diese nach Absatz 2 darf nur genehmigt werden, wenn sich die nicht-öffentliche Stelle gegenüber der Genehmigungsbehörde verpflichtet hat, die Daten nur für den vorgesehenen Zweck zu verarbeiten. ⁴Die Genehmigung darf im Hinblick auf die Wahrung des Sozialgeheimnisses nur versagt werden, wenn die Voraussetzungen des Absatzes 1, 2 oder 4a nicht vorliegen. Sie muss
(4a) Ergänzend zur Übermittlung von Sozialdaten zu einem bestimmten Forschungsvorhaben nach Absatz 1 Satz 1 kann die Verarbeitung dieser Sozialdaten auch für noch nicht bestimmte, aber inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereiches beantragt werden. ²Die Genehmigung ist unter den Voraussetzungen des Absatzes 4 zu erteilen, wenn sich der Datenempfänger gegenüber der genehmigenden Stelle verpflichtet, auch bei künftigen Forschungsvorhaben im Forschungsbereich die Genehmigungsvoraussetzungen einzuhalten. ³Die nach Absatz 4 Satz 1 zuständige Behörde kann vom Antragsteller die Vorlage einer unabhängigen Begutachtung des Datenschutzkonzeptes verlangen. ⁴Der Antragsteller ist verpflichtet, der nach Absatz 4 Satz 1 zuständigen Behörde jedes innerhalb des genehmigten Forschungsbereiches vorgesehene Forschungsvorhaben vor dessen Beginn anzuzeigen und dabei die Erfüllung der Genehmigungsvoraussetzungen darzulegen. ⁵Mit dem Forschungsvorhaben darf acht Wochen nach Eingang der Anzeige bei der Genehmigungsbehörde begonnen werden, sofern nicht die Genehmigungsbehörde vor Ablauf der Frist mitteilt, dass für das angezeigte Vorhaben ein gesondertes Genehmigungsverfahren erforderlich ist.
(5) Wird die Verarbeitung von Sozialdaten nicht-öffentlichen Stellen genehmigt, hat die genehmigende Stelle durch Auflagen sicherzustellen, dass die der Genehmigung durch Absatz 1, 2 und 4a gesetzten Grenzen beachtet werden.
(6) Ist der Dritte, an den Sozialdaten übermittelt werden, eine nicht-öffentliche Stelle, unterliegt dieser der Aufsicht der gemäß § 40 Absatz 1 des Bundesdatenschutzgesetzes zuständigen Behörde.