2.10.1 Erteilung von statistischen Auskünften auf Postkarten
In einer Petition wurde mir eine Postkarte zur Kenntnis gegeben, mit
deren Hilfe durch das Statistische Landesamt Erhebungen über Umsatz
und Anzahl der Beschäftigten in Unternehmen durchgeführt werden.
Die Auskunftspflicht für die Inhaber oder Leiter von Unternehmen
hinsichtlich dieser Angaben ergibt sich aus § 8
Handelsstatistikgesetz i.V.m. den §§ 15 und 26 Abs. 4 Satz 1
Bundesstatistikgesetz (BStatG). Die erhobenen Einzelangaben unterliegen
nach § 16 BStatG der Geheimhaltungspflicht und dürfen grundsätzlich
nur für statistische Zwecke verwendet werden.
Vom Petenten wurden nun hinsichtlich der Geheimhaltungspflicht Bedenken
gegen die Verwendung von Postkarten bei derartigen Erhebungen geäußert.
Gegen das Auskunftsverfahren selbst bestehen jedoch grundsätzlich
keine Bedenken.
Ich habe dem Petenten mitgeteilt, daß das Unternehmen auf der
Antwortkarte nicht aufgeführt werden muß und somit die in der
Postkarte enthaltenen Angaben keinem bestimmten Unternehmen zugeordnet
werden können. So bleibt die Anonymität gewahrt. Dem
Auskunftspflichtigen steht es ferner frei, die Karte in einem
verschlossenen Umschlag einzusenden. Darauf wird der Auskunftspflichtige
vom Statistischen Landesamt im Heranziehungsbescheid hingewiesen. Es
besteht die Gefahr, daß der Auskunftspflichtige den Hinweis zur
Sicherung der Anonymität der Daten im Heranziehungsbescheid nicht
beachtet und so ungewollt Dritten den Zugang zu seinen Daten ermöglicht.
Um die Gefahr der ungewollten Deanonymisierung durch den
Auskunftspflichtigen zu minimieren, war das Statistische Landesamt auf
meine Anfrage hin bereit, künftig die Postkarte mit einem
entsprechenden Hinweis zu versehen. Nach meiner Auffassung wird damit das
Interesse des Auskunftspflichtigen hinsichtlich der Geheimhaltung seiner
Daten in geeigneter Weise gewahrt.
2.10.2 Statistik im Kommunalbereich
Der interne Datenschutzbeauftragte einer Kommune wandte sich mit der Frage an mich, ob aufgrund einer Satzung über die Kommunalstatistik
a) Daten in anonymisierter Form
b) personenbezogene Daten (zum Aufbau der sogenannten kleinräumigen
Gliederung)
aus dem Einwohnermelderegister an die Statistikstelle innerhalb der Behörde übermittelt werden dürften. Ich habe dazu wie folgt Stellung genommen:
zu a)
Gegen die Weitergabe von Daten in anonymisierter Form ist aus
datenschutzrechtlicher Sicht grundsätzlich nichts einzuwenden. Das
DSG MV findet keine Anwendung, soweit ein Rückschluß auf
Personen nicht möglich ist. Ob die Satzung der Kommune gegen anderes
höherrangiges Recht verstößt, unterliegt nicht meiner
Beurteilung.
zu b)
Die Weitergabe von personenbezogenen Daten aus dem Einwohnermelderegister
an die kommunale Statistikstelle halte ich für bedenklich. Eine
derartige Datenübermittlung - in diesem Fall würde es sich um
eine regelmäßige Datenübermittlung handeln - kann nicht
auf eine Satzung über die Kommunalstatistik gestützt werden. Außerdem
war der vorliegend geschilderte beabsichtigte Fall einer Datenübermittlung
in der Satzung noch nicht einmal geregelt.
Einschlägig ist hier § 31 Landesmeldegesetz. Regelmäßige
Datenübermittlungen sind gem. § 31 Abs. 6 LMG unter strenger
Beachtung des Zweckbindungsgrundsatzes in einer Rechtsverordnung näher
zu regeln. In der Meldedaten-Übermittlungsverordnung (MeldDÜV
MV) ist eine Datenübermittlung vom Einwohnermelderegister an die
kommunale Statistikstelle ebenfalls nicht vorgesehen. Sie ist aus den
vorgenannten Gründen unzulässig. Es wäre zu überlegen,
Kompetenzen und Übermittlungsbefugnisse einer kommunalen
Statistikstelle in einem Landesstatistikgesetz zu regeln.
Von der Kommune wurden meine vorstehend genannten datenschutzrechtlichen
Bedenken akzeptiert und eine Datenübermittlung in der o.g. Form nicht
weiter in Erwägung gezogen.
Für Ende April/Anfang Mai 1993 hatte das Statistische Landesamt eine statistische Erfassung der Bevölkerungsstruktur (Mikrozensus) angekündigt. Der Mikrozensus hat den Zweck, statistische Angaben in tiefer fachlicher Gliederung über die Bevölkerungsstruktur, die wirtschaftliche und soziale Lage der Bevölkerung und der Familien, den Arbeitsmarkt, die berufliche Gliederung und Ausbildung der Erwerbsbevölkerung sowie die Wohnverhältnisse bereitzustellen. Rechtsgrundlage ist das Mikrozensusgesetz vom 10. Juni 1985. Nachdem die ersten Interviewer vor der Tür standen, erhielt ich einige mündliche Anfragen. Die Anrufer wollten wissen, ob und in welcher Form sie zur Auskunft verpflichtet seien.
Aus datenschutzrechtlicher Sicht ist vor allem bedeutsam, daß die Anonymität der Erhebung hinreichend gewährleistet ist. Das Bundesverfassungsgericht hat in seinem Beschluß vom 15.04.1988 darauf hingewiesen, daß das Recht auf informationelle Selbstbestimmung angesichts der verfassungsrechtlichen Bedeutung der amtlichen Statistik (Artikel 73, Abs. 11 GG) nicht absoluten Geheimnisschutz fordern kann, sondern die Herstellung relativer, faktischer Anonymisierung ausreichend ist. So hat auch das OVG Hamburg (Beschluß vom 12.02.1991) im Leitsatz bekräftigt: "Die rein theoretische Möglichkeit, eine Person, deren Daten in die Statistik eingegangen sind, zu ermitteln und dem Interessierten die Kenntnisse und Daten dieser Person zu erschließen, bietet keinen Grund, die Auskunft des Mikrozensus zu verweigern."
Ich habe mich von den Mitarbeitern des Statistischen Landesamtes ausführlich über den Ablauf des Verfahrens zum Mikrozensus informieren und mir die einzelnen Arbeitsetappen von der Auswahl der Wohnungen bis zur Datenerfassung und -verarbeitung schildern lassen. Aufgrund der Vorgehensweise bin ich der Auffassung, daß mit den Daten im Statistischen Landesamt ordnungsgemäß verfahren wird.
Einen Schwachpunkt stellt meines Erachtens jedoch die Auswahl der Interviewer dar. Wenn die Kleinzählung geplant wird, werden die Stellen für Interviewer ausgeschrieben und interessierte Bürger können sich hierfür bewerben. Die Auswahl geschieht nach Treu und Glauben. Später sucht jeder Interviewer ca. 30 Haushalte auf und füllt gemeinsam mit dem Haushaltsvorstand den statistischen Fragebogen aus. Die Interviewer werden zwar belehrt, die personenbezogenen Daten geheimzuhalten und müssen das durch ihre Unterschrift bestätigen, aber eine weitergehende Überprüfung ihrer Person findet nicht statt. Sie müssen lediglich noch eine Erklärung unterschreiben, daß sie nicht als offizieller oder inoffizieller Mitarbeiter des MfS/AfNS der ehemaligen DDR tätig waren. Da jedoch eine Überprüfung dieser Angaben nicht vorgesehen ist, habe ich Bedenken hiergegen geäußert. Diesen Bedenken wurde vom Statistischen Landesamt entgegengehalten, daß es für die Betroffenen auch möglich ist, auf die Unterstützung durch den Interviewer zu verzichten und den Fragebogen allein auszufüllen, zu versiegeln und an das Landesamt abzusenden. Dennoch habe ich empfohlen, nach Möglichkeit einen festen Personenkreis von Interviewern einzusetzen, die sich bereits in der Vergangenheit als zuverlässig erwiesen haben.
2.11.1 Vorgedrucktes und Vertrauliches im Jugendamt
Von den Jugendämtern werden u.a. Formulare verwendet, die noch das Jugendwohlfahrtsgesetz (JWG) als Rechtsgrundlage für die Datenerhebung beinhalten, obwohl das Kinder- und Jugendhilfegesetz (KJHG) mit einigen Einschränkungen bereits zum 03. Oktober 1990 in den neuen Bundesländern in Kraft getreten ist. Einige Jugendämter nutzten Vordrucke, in denen bei Angaben, die auf freiwilliger Basis erhoben werden, z.B. beim Ehegatten des Unterhaltspflichtigen, ein entsprechender Hinweis zur Freiwilligkeit im Vordruck fehlte. Die im Bereich Hilfe zur Erziehung von einem Jugendamt genutzten Formulare zur Antragstellung enthielten keine Angaben über die Rechtsgrundlage der Erhebung und den Erhebungs- bzw. Verwendungszweck. In diesem Zusammenhang habe ich die Jugendämter auf die Regelungen des § 62 KJHG hingewiesen, wonach Zulässigkeit und Umfang der Datenerhebung an die entsprechende Aufgabenerfüllung gekoppelt sind, Rechtsgrundlage und Verwendungszweck im jeweiligen Vordruck enthalten sein müssen und die Betroffenen hierüber aufzuklären sind.
Probleme zeigten sich auch im Zusammenhang mit der Beratung der Bürger.
Es ist insbesondere durch die räumlichen Gegebenheiten nicht in allen
Bereichen eine Einzelberatung möglich, so daß zur Zeit noch
zwei oder mehr Bürger gleichzeitig in einem Raum beraten werden müssen.
In einem Jugendamt konnte aufgrund der schlechten Schalldämmung der Türen
die Beratung des Antragstellers im Bereich der Kindertagesstätten auf
dem Flur mitgehört werden. Ich halte diese Zustände für
nicht akzeptabel und habe die Jugendämter aufgefordert, die
entsprechenden technisch-organisatorischen Maßnahmen (Trennwände,
Einzelabfertigung, Schalldämmung der Türen) zur Herstellung
eines ausreichenden Datenschutzes einzuleiten. In den Jugendämtern
werden meine Bedenken geteilt und es wurde zugesichert, die Mißstände
abzustellen.
2.11.2 Sozialhilfeempfänger - Freiwild
der Ausforschung ?
"Überprüfungsbogen - Wohn- und
Wirtschaftsgemeinschaft -"
Von einem Kollegen erhielt ich ein Formular "Überprüfungsbogen
- Wohn- und Wirtschaftsgemeinschaft/eheähnliche Gemeinschaft -",
das in Sozialämtern seines Landes bei der Überprüfung des
Vorliegens einer Wohn- und Wirtschaftsgemeinschaft verwendet wird. Ich
wurde um eine rechtliche Bewertung dieses Formulares und um die
Darstellung der entsprechenden Handhabung in Sozialämtern
Mecklenburg-Vorpommerns gebeten.
Der Überprüfung des Vorliegens einer Wohn- und
Wirtschaftsgemeinschaft kommt insbesondere bei der Gewährung von
Wohngeld entscheidende Bedeutung zu. Nach dem Wohngeldgesetz wird zunächst
einmal vermutet, daß Personen, die gemeinsam einen Wohnraum
bewohnen, auch eine Wirtschaftsgemeinschaft haben. Diese gesetzliche
Vermutung kann aber vom Antragsteller widerlegt werden. Dafür muß
er u.a. mit Hilfe des Überprüfungsbogens darlegen und glaubhaft
machen, daß er entgegen der auf der allgemeinen Lebenserfahrung gründenden
Regel ausnahmsweise keine Wirtschaftsgemeinschaft mit der anderen Person
hat. Weil daraus ein insgesamt höherer Wohngeldanspruch erwachsen
kann, kommt es vor, daß es Partnerschaften fingiert darauf anlegen,
zwar als Wohn-, aber nicht als Wirtschaftsgemeinschaft zu gelten. Der zu
prüfenden Frage, ob der Antragsteller die gesetzliche Vermutung
glaubhaft widerlegt hat, muß erhebliche Aufmerksamkeit gewidmet
werden.
Auf dem zu beurteilenden Überprüfungsbogen war nun dieser Frage aus datenschutzrechtlicher Sicht etwas zuviel Aufmerksamkeit gewidmet worden. So mußte der Antragsteller beispielsweise beantworten, wo seine Wäsche und wo die seines Mitbewohners/Partners gelagert werde, wer diese Wäsche reinigt und bügelt und wer sie dann in den Schrank zurück sortiert. Eine derartige Erhebung von personenbezogenen Daten ist aber nach den Grundsätzen des Datenschutzrechtes nur dann zulässig, wenn u.a. deren Kenntnis zur rechtmäßigen Erfüllung einer in der Zuständigkeit der erhebenden Stelle liegenden Aufgabe erforderlich ist. Bei diesem Überprüfungsbogen war die "Erforderlichkeit" einzelner Fragen von Petenten zu Recht angezweifelt worden. Die Erforderlichkeit ist grundsätzlich nur dann gegeben, wenn die Aufgabe sonst gar nicht, nicht vollständig oder in nicht rechtmäßiger Weise erfüllt werden kann.
Die Überprüfung eines in Mecklenburg-Vorpommern von einem Amt
für Wohnungswesen, Abteilung Wohngeldstelle, verwendeten Formulares ("Anlage
- Wohn- und Wirtschaftsgemeinschaft -") ergab jedoch, daß die
darauf befindlichen Fragen datenschutzrechtlich unbedenklich sind. Dieses
Formular unterscheidet sich gerade in den wesentlichen - bedenklichen -
Punkten von dem o.g. Überprüfungsbogen; insbesondere fehlen die
Fragestellungen nach der Reinigung und Lagerung der Wäsche. Der in
Mecklenburg-Vorpommern verwendete Überprüfungsbogen kann sogar
als gutes Beispiel dafür dienen, daß das Bestehen oder
Nicht-Bestehen einer Wohn- und Wirtschaftsgemeinschaft auch mit Hilfe
eines reduzierteren Fragenkataloges ausreichend zuverlässig beurteilt
werden kann.
PROSOZ-Datei
Anläßlich einer Kontrolle in der Hauptfürsorgestelle (HFSt) des Landes habe ich die Verarbeitung der Daten von Schwerbehinderten und Kriegsopfern geprüft. Die Hauptfürsorgestelle verwendet dazu Programme der PROSOZ GmbH. In diesen Dateien sind für die Anwender frei verfügbare Datenfelder vorgesehen. Nach Auskunft der HFSt ist das für spezifische Anpassungen notwendig, da die Softwareentwickler das Produkt bundesweit vertreiben und somit nicht alle Besonderheiten in den Ländern und Sozialämtern berücksichtigen können. Bei einer weiteren Kontrolle in einem Sozialamt wurden in einer anderen PROSOZ-Datei ebenfalls vom Anwender frei zu definierende Datenfelder gefunden.
Die Datenschutzbeauftragten des Bundes und der Länder stimmen darin
überein, daß für den Anwender frei verfügbare
Datenfelder sich nicht mit den Grundsätzen des Datenschutzes
vereinbaren lassen (s.a. 2.14.2.). Entweder müssen diese Datenfelder
gesperrt werden, oder es sind in einer Dienstvereinbarung ihr Zweck und
ihre Nutzung festzuschreiben. Würden derartige Einschränkungen
nicht vorgenommen, so wären Mißbrauchsmöglichkeiten
gegeben; beispielsweise wäre denkbar, daß unzulässige
Vermerke über das Verhalten von Antragstellern gemacht werden. In
jedem Fall muß die Verwendung der Datenfelder einer Datei revisionsfähig
sein. Da nach Aussage der HFSt die freien Datenfelder gegenwärtig
nicht benötigt werden, habe ich die Sperrung der Felder empfohlen.
Die unverzügliche Umsetzung meiner Empfehlung wurde zugesichert.
2.11.3 Sozialdatenschutz bei Gericht
Ein Altenpflege- und Pflegeheim informierte mich, daß bei der Durchführung des Betreuungsgesetzes (BtG) der Datenschutz durch das zuständige Amtsgericht verletzt worden sei. Was war geschehen?
Das Amtsgericht hat elf Bewohner des Heimes vom Vorschlag, einen
Betreuer zu bestellen, durch Übermittlung einer nur für das
Amtsgericht bestimmten Liste in Kenntnis gesetzt. Das Pflegeheim hatte die
Liste zusammengestellt und sie gemäß § 2 BtG dem Gericht
zur Entscheidung vorgelegt. Sie enthielt den Namen, den Vornamen und das
Geburtsdatum des zu Betreuenden sowie den Vornamen, den Namen und die
Adresse des vorgeschlagenen Betreuers und das Verwandtschaftsverhältnis
zueinander. In einem weiteren Schreiben, das ebenfalls einigen
Heimbewohnern zuging, wurde um eine schnelle Entscheidung für einen
namentlich benannten Bewohner gebeten, "da aus medizinischen Gründen
(zunehmende Aggressivität und damit Gefährdung anderer
Heimbewohner) u.U. eine schnelle Verlegung notwendig wird."
Das Pflegeheim wiederum erhielt Kenntnis von der Übermittlung an die
Bewohner, weil ein Betroffener das Personal um Hilfe bei der Beantwortung
der Fragen des Amtsgerichtes bat. Am gleichen Tag telefonierten daraufhin
die Betreiber des Heimes mit dem zuständigen Richter und wiesen auf
den Verstoß gegen Grundsätze des Datenschutzes hin. Der Fehler
wurde durch den Richter zwar eingeräumt, aber er führte an, daß
die Angelegenheit nicht mehr rückgängig zu machen sei, da
bereits alle Schreiben versandt worden seien. Tatsächlich jedoch
erhielten fünf weitere Bewohner drei Wochen nach dem Telefonat die
entsprechenden Schreiben des Amtsgerichtes ohne Anonymisierung der anderen
Heimbewohner. Es wäre also sehr wohl möglich gewesen, die
Offenbarung der Daten der anderen Betroffenen zu vermeiden.
Auf meine Anfrage beim Direktor des Amtsgerichtes wurde die Schilderung
des Heimes bestätigt. Der Richter ging bei seinem Telefonat mit den
Betreibern davon aus, daß bereits alle Betroffenen diese Mitteilung
erhalten hätten, weil die Schreiben ein Datum trugen, das vierzehn
Tage vor dem Telefongespräch lag. Tatsächlich hätten sich
die Schreiben jedoch noch gegenständlich im Geschäftsgang
befunden und ihre Weiterleitung gestoppt werden können. Aufgrund
meines Schreibens wurde der Vorfall im Gericht ausgewertet und mir
versichert, daß die datenschutzrechtlichen Bestimmungen künftig
beachtet werden.
2.11.4 Landesversicherungsanstalt
Kontrolle der Landesversicherungsanstalt
Eine meiner ersten Kontrollen habe ich bei der
Landesversicherungsanstalt Mecklenburg-Vorpommern (LVA MV) durchgeführt.
Die LVA MV ist eine Körperschaft des öffentlichen Rechts und
unterliegt gemäß § 79 Sozialgesetzbuch Zehntes Buch (SGB
X) dem BDSG. Weil es sich hierbei jedoch um eine Landesinstitution
handelt, wird die Kontrolle der Einhaltung des BDSG in diesem Fall von mir
wahrgenommen.
Die Rentenanträge der Versicherten werden in den Auskunfts- und
Beratungsstellen erfaßt und danach der LVA MV zugestellt. Teilweise
müssen fehlende Angaben zu Beschäftigungszeiten aufwendig
recherchiert werden. Zur Unterstützung dieser Recherche sind u.a.
Hebekarten der Finanzämter aus der Zeit von 1946 bis 1950 durch ein
Archiv der LVA MV in Schwerin übernommen worden. Andererseits kann
der Rentenanspruch durch Beibringung von Zeugen glaubhaft gemacht werden,
wenn durch den Antragsteller kein schriftlicher Nachweis einer Beschäftigungszeit
und des Verdienstes erbracht werden kann.
Die eingehenden Rentenanträge werden nach festgelegten Kriterien auf
die Arbeitsbereiche der LVA MV aufgeteilt und dort maschinell erfaßt.
Die Speicherung erfolgt in einer Zentraldatei der
Landesversicherungsanstalten der neuen Bundesländer. Die LVA MV hat
direkten Zugriff zu dieser Zentraldatei. Die Zugriffsrechte der
Mitarbeiter auf die Datei sind hierarchisch geregelt und durch Paßwörter
geschützt. Die Zugriffe selbst werden protokolliert und gestatten
eine eindeutige Zuordnung. Die Zugriffsprotokolle werden stichprobenartig
kontrolliert.
Diese Datenschutzmaßnahmen entsprechen soweit dem üblichen
Standard. Auf meine Frage nach der Dateibeschreibung wurde jedoch darauf
verwiesen, daß sie nur am Standort der Zentraldatei geführt
wird. Ich habe darauf hingewiesen, daß es nicht nur im Interesse der
Versicherten notwendig ist, eine Dateibeschreibung vorzuhalten, sondern
auch zur Information der Mitarbeiter und auf die dazu im BDSG enthaltenen
Bestimmungen aufmerksam gemacht. Nach Verständigung der an der
Zentraldatei beteiligten Landesversicherungsanstalten untereinander wurde
meinem Hinweis gefolgt, und die Dateibeschreibung ist nun ebenfalls in der
LVA MV angelegt.
Angabe von Heilstätten gegenüber Arbeitgebern
Nach einem Hinweis des Hamburgischen Datenschutzbeauftragten habe ich
das Verfahren zur Angabe der Behandlungsstätte auf einer "Bescheinigung
für den Arbeitgeber gem. § 7 Abs. 2 Lohnfortzahlungsgesetz"
bei der LVA MV geprüft. Kritikwürdig an dem bisherigen Verfahren
ist, daß der Arbeitnehmer, wenn ihm eine Kur bewilligt wird, von der
LVA die o.g. Bescheinigung zur Vorlage beim Arbeitgeber bekommt und
aufgefordert wird, den Beginn der Behandlung und den Entlassungstag durch
Bescheinigungen der Behandlungsstätte nachzuweisen. Ein erfahrener
Personalsachbearbeiter kann aus der Angabe der Behandlungsstätte,
mitunter allein schon aufgrund des Behandlungsortes, auf die Art der zu
behandelnden Erkrankung schließen.
Entsprechend eines Vorschlages meines Hamburger Kollegen habe auch ich
empfohlen, daß die LVA die beschriebene Ankündigung unterläßt
und den Arbeitnehmern auf Wunsch eine neutrale Bescheinigung ausstellt und
ihnen das in einem Merkblatt auch ausdrücklich anbietet. Die LVA MV
hat sich zu dem Vorschlag positiv geäußert und verfährt
inzwischen entsprechend.
Datenweitergabe bei Beantragung von Hilfsmitteln
Der Inhaber einer Firma für Rehabilitationstechnik hat im Juli 1993 die Frage an mich gerichtet, in welchen Fällen eine Krankenkasse die Patientendaten einem Zweitanbieter übermitteln darf. Er führte an, daß die Krankenkasse einem Mitbewerber ohne Zustimmung des Patienten dessen Namen, Adresse und spezifische Merkmale des Hilfsmittels übermittelt hätte. In Abstimmung mit der Krankenkasse sei der Patient zunächst bei ihm gewesen und hätte für ein bestimmtes Hilfsmittel einen Kostenvoranschlag gewünscht. Da es sich nicht um ein Standardprodukt handelte, waren umfangreiche Messungen von Körpermerkmalen des Patienten notwendig. Der Kostenvoranschlag sei dann zusammen mit den Meßergebnissen an die Krankenkasse gesandt worden. Der Patient erkundigte sich nach einiger Zeit bei der Reha-Technik Firma nach seinem Hilfsmittel. Da aber noch keine Auftragsbestätigung vorlag, wurde bei der Krankenkasse nachgefragt, dort jedoch die Auskunft erteilt, daß erst noch ein Konkurrenzangebot eingeholt werden müßte. Der Patient ist bei keinem anderen Sanitätshaus vorstellig geworden. Daraus hat der Erstanbieter geschlossen, daß die personenbezogenen Daten einschließlich der gemessenen Körpermerkmale an einen Zweitanbieter übermittelt wurden.
Zur Klärung des in der Beschwerde angesprochenen Sachverhaltes habe
ich Informationsbesuche in den Hauptverwaltungen der Allgemeinen
Ortskrankenkasse und der Innungskrankenkasse durchgeführt und in
beiden Fällen unterschiedliche Verfahrensweisen vorgefunden.
Die AOK holt nur Zweitangebote bei anderen Sanitätshäusern ein,
wenn es sich um Standardprodukte handelt. Die Übermittlung
personenbezogener Daten wäre deshalb in dieser Phase nicht notwendig,
sondern erst dann, wenn der Zweitanbieter den Auftrag erhält. In
diesem Fall werden der Name und die Anschrift des Versicherten an das
Sanitätshaus übermittelt.
Von der Innungskrankenkasse werden in bestimmten Fällen auch die Maße
für spezielle Anfertigungen übermittelt, jedoch ohne
Personenbezug. Erhält der Zweitanbieter den Auftrag, so werden ihm
Name und Anschrift des Versicherten sowie die Verordnung und die Diagnose
des Arztes übermittelt. Kopien des Kostenübernahmeformulares
erhalten sowohl der Leistungserbringer als auch der Versicherte, der
dadurch erfährt, daß er sein Hilfsmittel von einem anderen
Anbieter (Zweitanbieter) erhält.
Die geschilderte Verfahrensweise bei den Krankenkassen macht deutlich,
daß sehr unterschiedliche Auffassungen zur Gewährleistung des
Datenschutzes bestehen und es dringend notwendig ist, daß sich die
Landesverbände der Krankenkassen auf der Grundlage des § 127
Abs. 3 SGB V (Verträge mit Leistungserbringern) auf ein Verfahren
einigen, das den Prinzipien des Datenschutzes entspricht. Bis zur
Inkraftsetzung dieser notwendigen Regelung habe ich den Krankenkassen
empfohlen, vor der Übermittlung personenbezogener Daten an einen
Zweitanbieter den Patienten zu informieren und ihm ein Widerspruchsrecht
gegen die Übermittlung in einer angemessenen Frist einzuräumen.
Kontrolle in einer Betriebskrankenkasse
Betriebskrankenkassen (BKK) wird wegen ihrer Nähe zum Arbeitgeber häufig
unterstellt, daß ein konsequenter Datenschutz hier nicht zu
realisieren ist. Für mich war es deshalb von besonderem Interesse,
die Organisation und Arbeitsweise einer BKK näher kennenzulernen, um
mir ein eigenes Bild von diesem häufig erwähnten Vorurteil
machen zu können.
Die besuchte BKK hat gegenwärtig einen Mitgliederbestand von ca. 6
800 Versicherten und ca. 2 000 mitversicherten Familienangehörigen.
Sie ist Mitglied des Landesverbandes Nord, in dem BKKn der Länder
Mecklenburg-Vorpommern, Hamburg und Schleswig-Holstein zusammengeschlossen
sind. Zur Datenverarbeitung wird gegenwärtig noch ein Rechnernetz mit
dem Betriebssystem Amboss eingesetzt. Die Anmeldung zum DV-System erfolgt
über die Systemkennung, ein anwenderspezifisches Kennwort sowie ein
persönliches Paßwort, das in regelmäßigen Abständen
gewechselt wird. Die Anmeldungen zum System werden protokolliert,
ausgedruckt und stichprobenartig ausgewertet. Die notwendigen
technisch-organisatorischen Datenschutzmaßnahmen halte ich damit für
realisiert. Ende des Jahres 1993 soll ein Rechnerverbund des
Landesverbandes Nord genutzt und die Datenverarbeitung dann auf einer
UNIX-Anlage durchgeführt werden. In den Geschäftsstellen der BKK
werden nur noch Bildschirme und Tastaturen vorhanden sein, und die
Kommunikation mit dem Zentralrechner wird über Leitungen der DBP
Telekom erfolgen. Eine weitere Kommunikationsstrecke besteht zum
Bundesverband der Betriebskrankenkassen, von der der BKK Veränderungen
der Versichertendaten übermittelt und an die statistische Daten
weitergegeben werden. Die Unterlagen der Versicherten werden in verschließbaren
Schränken in den Räumen der BKK aufbewahrt. Neben einem üblichen
Schließsystem sind die Räume mit einer Diebstahl- und
Brandwarnanlage ausgerüstet.
Eine Bestätigung für das Vorurteil, daß der Datenschutz
in einer BKK nur schwer zu realisieren sei, habe ich nicht gefunden.
Gleichwohl hat der Geschäftsführer bestätigt, daß der
Auftrag der Gesundheitsprophylaxe wegen dieser Nähe zum Arbeitgeber
nur mit sehr viel Behutsamkeit wahrgenommen werden kann.
2.11.6 Bald Chipkarte statt Krankenschein?
Die Krankenkassen planen die Einführung von Chipkarten anstelle der bisher üblichen Krankenscheine mit dem Ziel, die jetzt noch aufwendige Abrechnung ärztlicher Leistungen zu vereinfachen. Allein mit dem Ersetzen des Krankenscheines ist aber das Potential einer solchen Chipkarte noch lange nicht ausgeschöpft. Deshalb gibt es Überlegungen, auf ihr auch wichtige Gesundheitsdaten bis hin zur ganzen Krankengeschichte zu speichern, um beispielsweise in Notfallsituationen schnell helfen zu können (s.a. 2.21.2.). Weil die Datenschutzrisiken gegenwärtig nicht vollständig abgeschätzt werden können, bleibt es auf Initiative des BfD vorläufig bei dem Ersetzen des Krankenscheines und damit lediglich der Speicherung von Beitragsdaten, wie Name, Vorname, Geburtsdatum, Anschrift, Krankenversicherungsnummer, Versichertenstatus und Beginn des Versicherungsschutzes auf der Chipkarte. In einigen Gebieten der Bundesrepublik wird die Chipkarte bereits probeweise eingesetzt, um Erfahrungen zu sammeln, die dann bei der geplanten bundesweiten Einführung berücksichtigt werden.
Ich hatte die Kassenärztliche Vereinigung Mecklenburg-Vorpommern
(KV MV) um Auskunft über den Stand der Einführung der Chipkarte
in unserem Land und des damit verbundenen Datenflusses bei der Abrechnung
kassenärztlicher Leistungen gebeten. Bei diesem Informationsgespräch
habe ich auf die notwendigen datenschutzrechtlichen Maßnahmen
aufmerksam gemacht. Der Geschäftsführer der KV MV stellte zunächst
mögliche Ausstattungsvarianten der Arztpraxen mit Hard- und Software
vor. Die Wahl einer Variante trifft der jeweilige Kassenarzt, wobei er
finanziell zu einem bestimmten Teil sowie beratend von der KV MV bzw. den
Krankenkassen unterstützt wird. Ziel ist es, einen durchgängigen
Datenfluß mittels maschinenlesbarer Datenträger (Diskette) vom
Arzt über die KV MV zur Krankenkasse zu erreichen.
Bei der KV MV werden pro Abrechnungszeitraum hunderte Disketten der
niedergelassenen Ärzte eingehen, deren Daten nach der Verarbeitung
fachgerecht vernichtet werden müssen. Nach Aussage der Mitarbeiter
der KV MV ist die direkte Vernichtung der Disketten zu teuer. Deshalb habe
ich empfohlen, die entsprechende Technik zur physischen Löschung der
Daten auf der Diskette einzusetzen und die gelöschten Datenträger
anschließend an die Arztpraxen zurückzugeben.
Durch die mit der Einführung der Chipkarte verbundene Ausrüstung
der Arztpraxen mit Rechentechnik wird es den Krankenkassen erstmals möglich
sein, umfangreiche Auswertungen und Statistiken der ärztlichen Tätigkeiten
und über die Patienten zu erstellen. So gesehen besteht neben der
latenten Gefahr des "gläsernen Patienten" nun auch die
Gefahr des "gläsernen Arztes". Was bisher nur durch
umfangreiche, zeitaufwendige und teure Recherchen, beispielsweise der
Krankenscheine mit den Diagnose- und Verordnungsdaten eines Arztes, an
Auswertungen möglich gewesen wäre, wird dann durch einfache
Programme jederzeit realisierbar. Ich sehe es deshalb als eine meiner
wesentlichen Aufgaben auf diesem Gebiet an, darauf zu achten, daß
Auswertungen, die zwar technisch möglich, aber durch
Rechtsvorschriften nicht geregelt oder nicht zugelassen sind, auch tatsächlich
nicht vorgenommen werden.
Ein genauer Zeitpunkt zur Einführung der Chipkarte in
Mecklenburg-Vorpommern steht noch nicht fest.
2.11.7 Welche Daten darf die Kurverwaltung erheben?
Ich erhielt die Eingabe eines Bürgers aus Ulm, der zusammen mit seiner Ehefrau seinen Urlaub in Heringsdorf (Usedom) verbrachte. Dort hatte er bei der Kurverwaltung die fällige Kurabgabe entrichtet und sollte in diesem Zusammenhang auch sein Geburtsdatum und das seiner Ehefrau auf der Kurkarte eintragen. Der darüber erboste Urlauber bat mich um die Überprüfung der Zulässigkeit einer derartigen Datenerhebung.
In § 11 des Kommunalabgabengesetzes ist geregelt, daß ein Kurbeitrag als Gegenleistung dafür erhoben werden kann, daß denjenigen Personen, die sich als Ortsfremde in Kurorten eine Unterkunft nehmen, die Möglichkeit geboten wird, die dort vorhandenen Einrichtungen und Anlagen in Anspruch zu nehmen und an den durchgeführten Veranstaltungen teilzunehmen. Dabei können die Beherbergungsstätten in einer Satzung - hier die Satzung über die Erhebung einer Kurabgabe in der Gemeinde Seebad Heringsdorf - dazu verpflichtet werden, die beherbergten Personen der Gemeinde, dem Landkreis oder dem Gemeindeverband zu melden, den Kurbeitrag einzuziehen und an die Gemeinde, den Landkreis oder den Gemeindeverband abzuliefern. Aus diesem Grunde haben beherbergte Personen gemäß § 26 LMG am Tage ihrer Ankunft in der Beherbergungsstätte einen besonderen Meldeschein auszufüllen und zu unterschreiben. Dabei können mitreisende Ehegatten auf dem Meldeschein mit aufgeführt werden. Welche Angaben auf dem Meldeschein gemacht werden müssen, ist in § 27 LMG normiert; so sind der Tag der Ankunft und der der voraussichtlichen Abreise, der Familienname, der gebräuchliche Vorname, die Anschrift, die Staatsangehörigkeit und auch das Geburtsdatum anzugeben. Ebenfalls ist in § 27 LMG geregelt, daß für Zwecke der Erhebung des Kurbeitrages und auch für Zwecke der Fremdenverkehrsstatistik von den ausgefüllten Meldescheinen Durchschriften gefertigt werden dürfen. Falls die jeweilige Beherbergungsstätte eine solche Durchschrift fertigt, muß sie jedoch die beherbergte Person im Meldeschein darauf hinweisen. Auf der Durchschrift "Kurkarte" erscheinen allerdings nicht mehr alle Daten, die auf dem Meldeschein erhoben wurden, denn die Angaben "Geburtstag", "Staatsangehörigkeit" und "Herkunftsland" werden nicht durchgedruckt, da die entsprechenden Stellen auf der Kurkarte geschwärzt sind.
Die in den Meldescheinen für Beherbergungsstätten enthaltenen
Daten dürfen gemäß
§ 29 LMG grundsätzlich nur von der Meldebehörde ausgewertet
und verarbeitet werden und dieses auch nur dann, wenn es für ihre
Aufgabenerfüllung erforderlich ist. Darüber hinaus dürfen
die Daten auf den Durchschriften von den Gemeinden zur Erhebung des
Kurbeitrages sowie für Zwecke der Fremdenstatistik ausgewertet und
verarbeitet werden.
Wie die Meldescheine und wie die Durchschriften auszusehen haben, ist in der "Landes-verordnung über Meldescheine und die amtliche Meldebestätigung (Meldescheinverordnung)" Mecklenburg-Vorpommerns geregelt. Die in der Meldescheinverordnung abgebildeten Muster für einen "Meldeschein für Beherbergungsstätten" und für eine "Kurkarte" sind vom Zweckverband "Seebäder Insel Usedom" in der dort vorgegebenen Form übernommen worden. Im Ergebnis war daher nicht zu beanstanden, daß der Urlauber und seine Ehefrau zumindest auf dem Meldeschein bestimmte Daten, darunter auch ihr Geburtsdatum, angeben mußten und dann Teile der gemachten Angaben - jedoch nicht mehr das Geburtsdatum - auf der Durchschrift "Kurkarte" erscheinen.