Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 27.01.2005

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

6. Sozialbehörden

6.1. Gesundheitsmodernisierungsgesetz und Elektronische Gesundheitskarte

Am 01.01.2004 ist das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz-GMG) vom 14.11.2003 in Kraft getreten. Öffentlich werden vor allen Dingen die Erhöhung der Zuzahlungen und die Streichung von Leistungen diskutiert. Jedoch werden durch das Gesetz auch eine ganze Reihe von datenschutzrechtlichen Fragen aufgeworfen.

Aus Datenschutzsicht äußerst kritisch zu betrachten ist die erweiterte Datenbasis für Krankenkassen. Nach dem neuen § 295 Abs. 2 SGB V sollen nämlich die gesetzlichen Krankenkassen auch die Abrechnungen der niedergelassenen Ärzte über ihre Leistungen "versichertenbezogen" erhalten. Dies war bislang nicht so. Auch wenn die bisherige Regelung ihre Ursache in erster Linie im gesetzlich garantierten Selbstverwaltungsrecht der Ärzte und der damit verbundenen Rolle der Kassenärztlichen Vereinigung im Rahmen der Abrechnung der Leistungen gehabt haben mag, so hatte die bisherige Regelung doch den datenschutzpolitisch höchst wünschenswerten Effekt, dass die gesetzlichen Krankenkassen in diesem Bereich keine versichertenbezogenen Daten hatten.

Begründet wurde die Novellierung mit einer Änderung im Abrechnungssystem. Während bislang die Krankenkassen an die Kassenärztlichen Vereinigungen eine Gesamtvergütung zu bezahlen hatten, die sich auf der Grundlage einer für jedes Mitglied zu zahlenden Kopfpauschale berechnete, gilt nunmehr die "Gesamtvergütung durch Regelleistungsvolumina". Die Krankenkassen entrichten an die jeweilige Kassenärztliche Vereinigung mit befreiender Wirkung eine Gesamtvergütung für die gesamte vertragsärztliche Versorgung der Mitglieder. Nach der Gesetzesbegründung wird damit das finanzielle Risiko einer Mengenausweitung der abgerechneten ärztlichen Leistungen auf die Krankenkassen verlagert. Zu Kontrollzwecken müssten die Krankenkassen wesentlich mehr Daten bekommen, als sie bisher erhielten.

Worin liegt nun das datenschutzrechtliche Problem dieser primär gesundheitspolitischen Entscheidung? Es ist zu befürchten, dass die Patienten für die Krankenkassen "gläsern" werden. Große versichertenbezogene Datenbestände bei den gesetzlichen Krankenkassen wecken Begehrlichkeiten und erhöhen das Missbrauchsrisiko. Insbesondere besteht die Gefahr der Risikoselektion. Denn die gesetzlichen Krankenkassen können nun alle für einen Versicherten erbrachten medizinischen Leistungen - auch über längere Zeiträume hinweg - verknüpfen, prüfen und bewerten. Für den Bürger besteht die Gefahr, dass er aufgrund seiner Erkrankungen als "schlechtes" Mitglied eingestuft wird. Damit könnten für ihn Nachteile verbunden sein.

Diese Gefahren hätte man dadurch entschärfen können, dass man eine Pseudonymisierung der Daten vorschreibt. Dies hatte in der Tat der Entwurf eines Transparenzgesetzes der gesetzlichen Krankenversicherung vorgesehen. Leider wurden diese Überlegungen nicht realisiert.

Die Gefahr hätte weiter dadurch minimiert werden können, dass das Gesetz angemessen präzise und verbindlich die Grenzen erlaubter Nutzungen festlegt. Aber auch dies ist nicht geschehen, obwohl der Bundesbeauftragte für den Datenschutz unterstützt durch die Landesbeauftragten für den Datenschutz im Gesetzgebungsverfahren auf diesen Punkt hingewiesen hat. Auf der 66. Datenschutzkonferenz in Leipzig haben die Landesbeauftragten für den Datenschutz und der Bundesbeauftragte für den Datenschutz eine Entschließung zum Gesundheitsmodernisierungsgesetz gefasst, in der unter anderem auch dieser Punkt kritisch beleuchtet wurde (siehe Anlage 10).

Ein weiterer wichtiger Punkt des Gesundheitsmodernisierungsgesetzes betrifft die Werbung durch die gesetzlichen Krankenkassen. Die gesetzlichen Krankenkassen stehen untereinander im Wettbewerb. Werbemaßnahmen sind für sie zwingend, wenn sie überleben wollen. Bislang hatte der Gesetzgeber zwar vorgegeben, dass die Krankenkassen im Wettbewerb stünden, er hat jedoch keine Aussagen darüber getroffen, unter welchen Voraussetzungen die Krankenkassen werben dürfen. Dies ist auch ein Problem von datenschutzrechtlicher Bedeutung, da bei jeder personenbezogenen Werbemaßnahme Daten erhoben bzw. genutzt werden. Nunmehr hat der Gesetzgeber in § 284 Abs. 4 SGB V geregelt, dass die Krankenkassen zur Gewinnung von Mitgliedern Daten nur dann erheben, verarbeiten und nutzen dürfen, wenn die Daten allgemein zugänglich sind, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

Der wichtigste Punkt im Reformvorhaben ist jedoch die elektronische Gesundheitskarte.

Elektronische Gesundheitskarte

Unter diesem Schlagwort findet derzeit ein groß angelegter Wandel im Gesundheitswesen statt. Der technologische Fortschritt in der Computer- und Medizintechnik macht eine Vernetzung aller Beteiligten (z.B. niedergelassene Ärzte, Krankenhäuser, Krankenkassen, Heilberufe, Apotheken) und somit neuartige Anwendungen wie den elektronischen Arztbrief oder die elektronische Patientenakte möglich. Eine Grundidee dieser Neuerungen ist die ständige Verfügbarkeit wichtiger medizinischer Basisdaten eines Patienten - wie z.B. Allergien, schwer wiegende Krankheiten, Arzneimittelunverträglichkeiten - für alle Akteure im Gesundheitswesen, um eine adäquate Behandlung sicherzustellen. Eine weitere Grundidee besteht in der Zusammenführung von Informationen aus bisher getrennten Datenbeständen zu einer integrierten medizinischen Dokumentation, so dass der behandelnde Arzt auch die Vorerkrankungen sowie die Diagnosen und Behandlungen seiner Vorgänger unkompliziert und schnell einsehen kann.

Um derartigen Entwicklungen Rechnung zu tragen, wurden im GMG u.a. im § 291a SGB V entsprechende Grundlagen gesetzlich geregelt. So wird zum 01.01.2006 der Einsatz der Krankenversichertenkarte durch die elektronische Gesundheitskarte erweitert. Diese Karte bietet dann neben den bisherigen Funktionen auch das elektronische Rezept als verpflichtende Anwendung und auf freiwilliger Basis die Anwendungen Notfalldaten, elektronischer Arztbrief, elektronische Patientenakte, Patientenfach und Patientenquittung. Als Ersatz für den Auslandskrankenschein wird ein Sichtausweis aufgebracht. Die Nutzung der neuen Anwendungen soll nur bei Vorlage der Gesundheitskarte durch den Patienten in Verbindung mit einem Heilberufsausweis (HPC, Health Professional Card) des Arztes oder Heilberuflers möglich sein, um die Patientenhoheit zu gewährleisten.

Technische Grundvoraussetzung für die Umsetzung dieser Anwendungen ist, neben der flächendeckenden Einführung der Gesundheitskarte selbst, die Verknüpfung der derzeitigen technischen Insellösungen zu einer gemeinsamen Telematikinfrastruktur für alle Beteiligten, um die Zusammenführung der Daten zu ermöglichen.

Derartige Bestrebungen gibt es nicht nur in Deutschland, sondern europaweit. Eine Vielzahl von Ländern, wie z.B. Frankreich, Österreich, Griechenland, Slowenien und Schweden arbeiten derzeit an der Einführung neuer bzw. der Erweiterung vorhandener Kartensysteme im Gesundheitswesen. Neben dem eigentlichen Zugang zu Leistungen, wie sie die deutsche Krankenversichertenkarte bietet, rücken zunehmend Funktionalitäten wie gesicherte Identifikation, Signatur und Verschlüsselung medizinischer Dokumente, sowie die Bereitstellung von Notfalldaten und Behandlungsinformationen, ins Blickfeld. Zudem wurde im Juni 2004 mit der Einführung der europäischen Health Card begonnen, die im ersten Schritt als Sichtausweis den bisherigen Auslandskrankenschein (E 111) ersetzen soll. Zukünftig ist aber auch hier der EU-weite Zugang zu medizinischen Daten des Patienten geplant.

Datenschutzaspekte der Gesundheitskarte

Das Konzept der elektronischen Gesundheitskarte wirft eine Vielzahl von datenschutzbezogenen Fragen auf, da hier eine neue Qualität des Zugangs und der Nutzung von personenbezogenen medizinischen Daten entsteht. Grundsätzlich muss in allen Fällen sichergestellt werden, dass der Patient die Hoheit über seine Daten behält, d.h. dass er entscheiden kann, welche Daten auf der Gesundheitskarte bzw. in der Telematikinfrastruktur gespeichert werden und wer worauf zugreifen darf.

Zur effektiven Durchsetzung dieser Forderungen muss neben den gesetzlichen Regelungen auch eine angepasste technische Gestaltung der Systeme erfolgen, die Maßnahmen zum Schutz vor unbefugtem Zugriff auf die Daten beinhaltet, gleichzeitig aber auch durch eine gute Handhabbarkeit den Benutzer bei der Wahrnehmung seiner Rechte unterstützt.

Die technischen Details der Gesundheitskarte und Infrastruktur werden derzeit vom BIT4health-Gremium und den Organen der Selbstverwaltung des Gesundheitswesens ausgearbeitet. Einige grundlegende Richtungsentscheidungen, die auch die Vorstellungen des Datenschutzes berücksichtigen, sind jedoch bereits gefallen. Diese umfassen

  • die Festlegung der Freiwilligkeit der Anwendungen, bei denen medizinische Daten bereitgestellt werden,
  • die Ablehnung einer zentralen Datenspeicherung und
  • die Festlegung auf die Patientenhoheit bzgl. der Daten.

An der genauen Umsetzung wird jedoch noch gearbeitet. Um hierauf intensiv Einfluss nehmen zu können, ist seit Mai 2004 eine Arbeitsgruppe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu diesem Thema tätig, in der ich Mitglied bin. Ziel ist es, die bisher allgemein vorliegenden Anforderungen des Datenschutzes in die Realisierungsdetails einfließen zu lassen.

Von der Arbeitsgruppe wurden u.a. folgende Themen als Schwerpunkte identifiziert, um eine datenschutzfreundliche technische Ausgestaltung zu erreichen:

  • Feingranulare Zugriffsrechte und Autorisierung
  • Speicherorte der Daten, Betreiberkonzepte
  • Schutz der gespeicherten und übertragenen Daten

Zugriffsrechte auf die Gesundheitskarte

Das GMG regelt in § 291 a Abs. 5 Satz 3 SGB V, dass der Zugriff auf bestimmte Daten nur in Verbindung mit einem elektronischen Heilberufsausweis erfolgen darf. Ich halte den Zugriff auf die Daten der Gesundheitskarte nur in Verbindung mit einem elektronischen Heilberufsausweis für eine wesentliche datenschutzrechtliche Errungenschaft des GMG. Denn nur so sind die Versicherten hinreichend davor geschützt, dass auf sie von unbefugten Dritten Druck ausgeübt wird, ihre Gesundheitsdaten zu offenbaren.

Weiter wird aus Datenschutzsicht gefordert, dass der Patient auch differenziert nach einzelnen Angehörigen eines Heilberufs und einzelnen Teilen einer Anwendung über die Einsichtnahme entscheiden können soll. Dies muss technisch im Rahmen des Zugriffs auf die Gesundheitskarte realisiert werden. Zunächst muss sichergestellt werden, dass sich der Heilberufler für jeden Zugriff auf die Gesundheitskarte über seine HPC authentifizieren muss. Für den Einzelzugriff auf Daten müssen weitere Mechanismen zum Freischalten/Sperren durch den Patienten vorhanden sind, z.B. PINs.

Die Umsetzung feingranularer Zugriffsrechte bringt jedoch große technische Schwierigkeiten mit sich, da die Komplexität aufgrund der Anzahl der Beteiligten und der verschiedenen Anwendungen sehr hoch ist. Aus diesem Grunde hat das Bundesministerium für Gesundheit und Soziale Sicherung zur Unterstützung der Einführung der elektronischen Gesundheitskarte am 03.09.2003 ein Konsortium, bestehend aus den Firmen IBM Deutschland GmbH, dem Fraunhofer-Institut für Arbeitswissenschaft und Organisation (IAO), der SAP Deutschland AG & Co KG, der InterComponentWare AG und der ORGA Kartensysteme GmbH, mit einem Projekt namens "bIT4health"beauftragt. Im Mittelpunkt der Arbeiten des Projekts bIT4health steht die Definition einer herstellerneutralen Telematik- Rahmenarchitektur und Sicherheitsinfrastruktur. Weitere begleitende Aktivitäten sind in den Bereichen Akzeptanzbildung, Projektmanagement, Qualitätssicherung und der wissenschaftlichen Begleitung gebündelt. Das Projektkonsortium »bIT4health« begleitet die Einführung der elektronischen Gesundheitskarte über die Definitionsphase der Rahmenarchitektur hinaus während der Testphase bis hin zur Einführung und dem ersten Betriebsjahr in 2006. Das bIT4health Gremium plant eine zweistufige Umsetzung der Zugriffsrechte: Auf Ebene der Karten soll die Kontrolle der Zugriffe der Benutzergruppen gemäß § 291 a SGB V bezüglich der Anwendung als Ganzes erfolgen. Die weitere Differenzierung der Zugriffe auf einzelne Personen und Teile von Anwendungen soll in den Anwendungsprogrammen stattfinden. Die genaue Ausgestaltung muss jedoch noch spezifiziert werden.

Zusätzlich stellt sich die Frage, in welcher Form der Besitzer der Karte Einsicht in die über ihn gespeicherten Daten nehmen und z.B. Löschungen vornehmen kann. Neben rechtlichen Festlegungen ist hier z.B. eine gesicherte Einsatzumgebung empfehlenswert, die einen Schutz vor unerwünschten Zugriffen sicherstellt und das geforderte Beisein einer HPC Gewähr leistet. Nur so kann garantiert werden, dass sich Gruppen außerhalb des Gesundheitswesens, wie z.B. Arbeitgeber, durch Überredung und Zwang keinen Zugriff auf die Karten von Mitarbeitern verschaffen können. Denkbar wären z.B. Kiosksysteme in den Arztpraxen, an denen der Patient auch ohne direktes Beisein des Arztes tätig werden kann.

Speicherorte, Betreiberkonzept für die Gesundheitskarte

Es besteht Übereinstimmung darüber, dass die medizinischen Daten der Patienten nicht an einer Stelle zusammengeführt werden dürfen, sondern dezentral gespeichert werden. Eine Verknüpfung der Bestände soll nur über die Gesundheitskarte möglich sein. Dabei gibt es jedoch verschiedene Lösungsansätze, die sich in kartenbasierte und serverbasierte unterteilen lassen.

Bei den kartenbasierten Ansätzen sind sämtliche Daten auf der Karte gespeichert und unterliegen damit der alleinigen Obhut des Patienten, bei der serverbasierten Lösung liegen die Daten auf mehreren Servern verteilt. Da aufgrund der Datenmenge nicht für alle Anwendungen ein kartenbasierter Ansatz infrage kommt, ist die Umsetzung von Hybridlösungen zu erwarten. Diese Telematikinfrastruktur wird gemäß dem gesetzlichen Auftrag derzeit von einem Gremium der Selbstverwaltung des Gesundheitswesens (Protego.net) erarbeitet und nach Fertigstellung auch der Arbeitsgruppe zur Bewertung vorgelegt. Da grundsätzlich davon ausgegangen werden kann, dass Daten in vielen Fällen von den erhebenden Stellen (Arztpraxen etc.) nicht 24 Stunden am Tag, 7 Tage die Woche bereitgehalten werden können, sind Lösungen mit Hilfe von Providern, die verteilte Serverkapazitäten zur Verfügung stellen, zu erwarten. Aus Datenschutzsicht ist hierbei besonders darauf zu achten, dass die Provider keine Kenntnis von den auf ihren Systemen gespeicherten Daten nehmen können, z.B. im Rahmen von Wartungsarbeiten.

Schutz der gespeicherten und übertragenen Daten

Die Telematikinfrastruktur muss umfassende technische Sicherheitsmechanismen enthalten, um unbefugte Kenntnisnahme bei der Datenübertragung oder -speicherung zu verhindern. Dies ist ein sehr komplexes Unterfangen, da eine große Anzahl unterschiedlicher Systeme in verschiedenen Verantwortungsbereichen miteinander verknüpft werden muss. Dadurch werden die bisher vorhandenen Insellösungen über andere Netze zugänglich gemacht und unterliegen einem erhöhten Angriffsrisiko. Dennoch muss über geeignete technische Maßnahmen der Schutz aller Systeme, wie z.B. der Praxissysteme der niedergelassenen Ärzte, gewährleistet sein. Es ist daher sinnvoll, nicht nur die technische Integration der Netze voranzutreiben, sondern gleichzeitig eine Definition gemeinsamer Sicherheitsziele, Mindestanforderungen und Maßnahmen vorzunehmen, die anschließend für alle Komponenten verbindlich sind. Der Schwerpunkt aus Datenschutzsicht liegt hierbei auf Maßnahmen, die eine unbefugte Kenntnisnahme oder Veränderung der Daten bei Transport und Speicherung verhindern, wie z.B. Verschlüsselung und Signatur der Daten, Benutzerauthentifizierung über Chipkarten, differenzierte Berechtigungskonzepte etc.

6.2. Mammographie-Screening

In Deutschland erkranken jährlich rund 46 000 Frauen an Brustkrebs. Je früher der Brustkrebs erkannt wird, desto größer sind die Heilungschancen. Um die Qualität in der Brustkrebsfrüherkennung zu verbessern, wurden sowohl auf Bundes- als auch auf Landesebene Programme entwickelt. In Bayern startete am 01.04.2003 das Bayerische Mammographie-Screening-Programm. Alle Frauen in Bayern zwischen 50 und 69 Jahren haben die Möglichkeit daran teilzunehmen. Dabei wird die Einladung zum Bayerischen Mammographie-Screening-Programm von einer Arbeitsgemeinschaft nach § 219 SGB V der gesetzlichen Krankenkassen ("Einladungssekretariat") organisiert. Für den Zweck der Einladung sowie zur Abrechnung der medizinischen Leistungen werden personenbezogene Daten durch die Arbeitsgemeinschaft auf einer zentral eingerichteten Datenbank der Kassenärztlichen Vereinigung Bayern gespeichert. Dort wird auch eine Screening-Datenbank unterhalten, in der die Untersuchungsergebnisse des Erst-, des Zweit- und ggf. Drittbefundes verarbeitet werden. Die Informationen aus der Screening-Datenbank sollen mit dem Bayerischen Klinischen Krebsregister abgeglichen werden. Technisch soll das Vorhaben über das KVB Safenet abgewickelt werden (vgl. Nr. 22.2.3.1).

Dieses Programm wirft auch in datenschutzrechtlicher Hinsicht viele Fragen auf. Ich war bereits in einem sehr frühen Stadium in das Projekt eingebunden. Da die Teilnahme am Mammographie-Screening freiwillig ist, ist dafür eine Einwilligung der betroffenen Frauen erforderlich. Diese Einwilligung setzt eine ausreichende Information der betroffenen Frauen voraus. Besonderes Augenmerk habe ich dabei darauf gelegt, dass die betroffenen Frauen über das Verfahren der Datenspeicherungen, -nutzungen und -übermittlungen im ausreichenden Maß aufgeklärt werden. Angesichts der Vielzahl der beteiligten Stellen sind Einwilligung und Information nicht unkompliziert. Ich glaube jedoch, dass in Anbetracht der Komplexität des Projekts eine gute Lösung gefunden wurde.

Mittlerweile hat auch der Bundesausschuss der Ärzte und Krankenkassen Richtlinien für die Einführung des flächendeckenden Mammographie-Screenings auf Bundesebene erarbeitet.

Diese Krebsfrüherkennungsrichtlinien sehen die Einrichtung einer öffentlichen Stelle im Sinne des § 18 Abs. 4 Melderegisterrahmengesetz vor, einer sogenannten "zentralen Stelle", auf der Grundlage landesrechtlicher Vorschriften. Diese Aufgabe wird in Bayern, wie oben geschildert, vom Einladungssekretariat wahrgenommen. Für die Einladung sind Daten der Melderegister zu verwenden. An die "zentrale Stelle" sollen Vornamen, Familiennamen, früherer Familienname, einschließlich Geburtsname, Geburtsdatum, Geburtsort und Anschrift übermittelt werden. Die Meldebehörde kann jedoch nicht zwischen privat versicherten und gesetzlich versicherten Frauen differenzieren, sondern soll die Meldedaten aller Frauen im fraglichen Alter übermitteln. Dies ist auch gewollt, da auch privat versicherten Frauen die Möglichkeit der Teilnahme am Mammographie-Screening eröffnet werden soll.

Fraglich ist jedoch die melderechtliche Grundlage für diese Datenübermittlungen. Zwar ist
o.g. Arbeitsgemeinschaft nach § 219 Abs. 1 SGB V eine öffentliche Stelle im Sinne des Melderechts. Übermittlungen an öffentliche Stellen sind melderechtlich privilegiert. Der öffentlichen Stelle "Arbeitsgemeinschaft" sollen jedoch mit der Einladung auch privat Versicherter auch Aufgaben zugewiesen werden, die nichts mit dem System der gesetzlichen Krankenversicherung zu tun haben. Ich habe das Bayerische Staatsministerium für Arbeit und Sozialordnung, Familie und Frauen auf dieses Problem hingewiesen. Da es sich dabei um eine Frage handelt, die sich bundesweit stellt, hat die Bayerische Staatsministerin die Bundesministerin für Gesundheit und Soziale Sicherung gebeten, eine entsprechende Regelung auf Bundesebene zu schaffen. Das Ergebnis dieser Initiative bleibt abzuwarten.

6.3. Datenabgleich der BAföG-Ämter mit dem Bundesamt für Finanzen

Studenten und Studentinnen, die als BAföG-Bezieher Kapitalvermögen über der Freigrenze (in der Regel 5.200,- €) beim Bezug von BAföG nicht angegeben haben, verbringen zur Zeit sorgenreiche Nächte. Denn ein automatisierter Datenabgleich zwischen den BAföG-Ämtern und dem Bundesamt für Finanzen (BfF) hat zahlreiche Missbrauchsfälle aufgedeckt. Eine erhebliche Zahl der BAföG-Empfänger hat zu Unrecht Ausbildungsförderung bezogen, weil sie wahrheitswidrige Angaben gemacht haben. Dies hat zum einen verwaltungsrechtliche Konsequenzen: Die
BAföG-Ämter erlassen Rückforderungsbescheide. Viel wichtiger sind für die Betroffenen jedoch die strafrechtlichen Folgen. Neben dem Bußgeldtatbestand des § 58 Abs. 1 Nr. 1 BAföG steht der Straftatbestand des Betrugs (§ 263 StGB) im Raum. Eine strafrechtliche Verurteilung hätte vor allen Dingen in den Studiengängen, in denen die Studenten und Studentinnen auf den öffentlichen Arbeitsmarkt angewiesen sind, wie z.B. bei Lehrkräften, gravierende Konsequenzen. Beispielsweise würde eine Verurteilung wegen Betrugs zu einer Geldstrafe von über 100 Tagessätzen im Führungszeugnis, das vom Bundeszentralregister ausgestellt wird, vermerkt. Eine Anstellung im öffentlichen Dienst dürfte damit zumindest erheblich erschwert werden.

Ich bin diesem Datenabgleich wegen der zahlreichen Missbrauchsfälle trotz Bedenken für eine Übergangszeit nicht entgegengetreten.

Bei der datenschutzrechtlichen Bewertung des Abgleichs sind zwei Übermittlungsvorgänge zu unterscheiden:

Zum einen die Datenübermittlung von den BAföG-Ämtern an das BfF und zum anderen die
Übermittlung vom BfF an die BAföG-Ämter.

Die Befugnis für die Rückübermittlung nach erfolgten Abgleich durch das BfF ergibt sich aus § 45 d Abs. 2 Satz 2 EStG. Die Befugnis der Sozialleistungsträger (BAföG-Ämter), die für den Abgleich beim BfF erforderlichen Daten zu übermitteln, ist für den Einzelfall aus § 69 Abs. 1 Nr. 1 SGB X herzuleiten. Danach dürfen Sozialdaten übermittelt werden für die Erfüllung der Zwecke einer gesetzlichen Aufgabe der übermittelnden Leistungsträger. Hierzu gehört auch die Überprüfung der Angaben der Leistungsempfänger.

Grundsätzlich sind vollständige Datenabgleiche datenschutzrechtlich nicht unproblematisch. Deshalb gelten für vollständige Datenabgleiche grundsätzlich Sonderregelungen, wie z.B. § 117 BSHG, der den automatisierten Datenabgleich von Sozialhilfeempfängern z.B. mit dem Datenbestand der Bundesagentur für Arbeit oder den Rentenversicherungen zulässt. Maßgebend für eine solche Regelung war die Erkenntnis, dass es zu großen Missbräuchen gekommen ist, denen mit Einzelfallprüfungen nicht mehr effektiv entgegengetreten werden konnte.

Es war deshalb fraglich und unter den Datenschutzbeauftragten auch umstritten, ob man auch den vollständigen Datenabgleich auf § 69 Abs. 1 Nr. 1 SGB X stützen kann. Da in der vorliegenden Fallgestaltung bundesweit Leistungsmissbrauch in einem großen Umfang dargelegt wurde und überdies begründet wurde, dass die Durchführung von Stichproben oder die Überprüfung nur in Verdachtsfällen keine entsprechenden Mittel zur Bekämpfung der Missbräuche mehr darstellen, bin ich wegen der gleichen Interessenlage, die zur Schaffung des § 117 BSHG geführt hat, für eine Übergangszeit bis zur Schaffung einer gesetzlichen Regelung einem vollständigen Abgleich nicht entgegengetreten.

Mittlerweile wurde mit den Gesetzgebungsarbeiten zur Schaffung einer (klarstellenden) Regelung für den Datenabgleich im BAföG begonnen.

6.4. Formulare zur Beantragung von Wohngeld

Die Gestaltung von Formularen wirft oft datenschutzrechtliche Probleme auf, die auf den ersten Blick gar nicht erkennbar sind. Denn vielfach geht aus Formularen, die von Dritten auszufüllen sind, direkt oder indirekt hervor, dass der Betreffende auf Sozialleistungen angewiesen ist.

Das stellt eine Übermittlung von Sozialdaten dar, die nicht erforderlich ist. Es muss deswegen darauf geachtet werden, dass der Antragsteller auch neutrale Formulare verwenden kann.

Was ist aber, wenn der Antragsteller behördlicherseits gewissermaßen "gezwungen" wird, offizielle Formulare zu verwenden, aus denen für den Arbeitgeber unschwer erkennbar ist, dass es sich um einen Bedürftigen handelt? Hier ist es notwendig, das amtliche Formular so zu gestalten, dass die Eigenschaft "Bedürftiger" nicht erkennbar ist.

Ein entsprechender Fall war mir im Zusammenhang mit der Beantragung von Wohngeld vorgetragen worden:

Ein Petent hat sich gegen das Formblatt "Verdienstbescheinigung" gewandt, weil daraus hervorgeht, dass es für die Wohngeldbeantragung verwendet wird. Das gemäß AllMBl Nr. 4/2002 S. 165 verwendete Formular ließ erkennen, dass der Antragsteller Wohngeld beantragt. Ich habe die Formulierung im Titel des Formulars "Verdienstbescheinigung zum Antrag auf Wohngeld" und die Angabe der Wohngeldnummer als für eine nach dem SGB unzulässige, da nicht erforderliche Übermittlung von Sozialdaten an Dritte gerügt.

Zwar werden die Daten nicht von der Wohngeldstelle bekannt gegeben, sondern vom Antragsteller selbst. Da aber der Antragsteller faktisch dazu gezwungen wird, die ihm von der Wohngeldstelle mitgegebenen Formulare zu verwenden, ist der Fall so zu behandeln, als würde die Wohngeldstelle selbst die Bestätigung des Arbeitgebers einholen und damit die auf dem Formular angegebenen Daten übermitteln.

Bei den Angaben handelt es sich um Sozialdaten nach § 67 Abs. 1 Satz 1 SGB X. Die Datenübermittlung an den Arbeitgeber war nicht nach § 69 Abs. 1 Nr. 1 SGB X zulässig, da sie nicht erforderlich war. Die Wohngeldstelle benötigte lediglich die Angaben über den Verdienst, eine Kenntnis des Arbeitgebers, warum diese Angaben benötigt werden, war weder für diesen, noch für die Wohngeldstelle erforderlich.

Das Formular konnte so neutral formuliert werden, dass der Arbeitgeber nicht erkennen konnte, dass der Arbeitnehmer Wohngeld beantragt hat. Ich hatte deshalb das Bayerische Staatsministerium des Innern aufgefordert, die Verdienstbescheinigung zum Antrag auf Wohngeld dahingehend zu ändern, dass sie den Verwendungszweck nicht mehr erkennen lässt. Auf meine Initiative hin hat es das Bayerische Staatsministerium des Innern erreicht, dass die verwendeten Vordrucke für eine Verdienstbescheinigung zum Antrag auf Wohngeld so geändert wurden, dass sie den Verwendungszweck nicht mehr erkennen lassen.

6.5. Gefahren bei der Verwendung eines Telefaxgerätes

In einer Jugendamts-Angelegenheit war die Kontaktaufnahme mit einem Erziehungsberechtigten durch die Behörde notwendig. Vom Erziehungsberechtigten war zuvor ein Fax beim Jugendamt eingegangen. Auf diesem Fax waren auf der Faxleiste die absendende Faxnummer und ein - mit dem Erziehungsberechtigten nicht identischer - Name ersichtlich. Im Briefkopf enthielt das Fax lediglich den Namen, die Adresse, Telefonnummer und E-Mail-Adresse des Erziehungsberechtigten. Da das Jugendamt den Erziehungsberechtigten telefonisch nicht erreichen konnte und auf eine E-Mail keine Reaktion erfolgte, hat es an die - durch das erhaltene Fax - ersichtliche Nummer ein Fax, namentlich an den Erziehungsberechtigten adressiert, gesendet. Die Behörde ging aufgrund von "Anhaltspunkten" davon aus, dass es sich dabei um den Faxanschluss der Lebensgefährtin des Erziehungsberechtigten handelt. Tatsächlich war dies jedoch der Faxanschluss des Arbeitgebers einer mit dem Erziehungsberechtigten befreundeten Person.

Ich habe die Übermittlung sensibler Daten an das Faxgerät eines Dritten als unzulässig beurteilt.

Gerade der Faxverkehr gefährdet das Recht auf informationelle Selbstbestimmung in vielfältiger Weise. In vorliegender Fallgestaltung wurde die Faxnummer nicht vom Erziehungsberechtigten angegeben, vielmehr war lediglich ersichtlich, von welchem Faxgerät aus versendet wurde (und dass dort ein anderer Name angegebenen war). Unabhängig von der Frage, ob der Einsatz eines Faxgeräts im Sozial(datenschutz)bereich überhaupt zulässig ist, gab der Fall Anlass zu folgenden grundsätzlichen Erwägungen:

Grundsätzlich hat sich die Behörde, wenn ihr die Adresse des Betroffenen bekannt ist, zunächst an diesen schriftlich per Post zu wenden. Denn dann ist in ausreichendem Maße sichergestellt, dass dieser und nur dieser das behördliche Schreiben erhält. Gibt der Adressat des behördlichen Schreibens selbst eine Faxnummer an und kann die Behörde davon ausgehen, dass der Adressat des Schreibens zugleich Empfänger des Faxes sein wird, so kann die Behörde das Schreiben auch per Fax übermitteln. Hat nun die Behörde, wie im vorliegenden Fall, lediglich die Faxnummer einer dritten Person und aber zugleich die postalische Adresse des Betroffenen, so hat sich die Behörde grundsätzlich per Post an den Adressaten ihres Schreibens zu wenden. Allein daraus, dass der Betroffene eine dritte Person mit dem Absenden eines Faxes beauftragt hat und infolge dessen die Faxnummer des Dritten auf der Faxleiste erscheint, kann nicht geschlossen werden, dass der Betroffene unter eben dieser Faxnummer seinerseits nun wieder Faxe zugesendet bekommen möchte. Dies gilt um so mehr, wenn besonders sensible Daten übermittelt werden sollen. Denn selbst wenn sich die dritte Person und der Betroffene nahe stehen sollten, ist nicht auszuschließen, dass der Betroffene nicht wünscht, dass andere Personen Kenntnis vom Inhalt an ihn gerichteter behördlicher Schreiben erhalten.

Ich habe das Jugendamt auf diese Rechtslage hingewiesen und zur künftigen Beachtung aufgefordert.

6.6. Regelmäßige, anlassunabhängige Übersendung von Sozialhilfebescheiden (Abdrucken) an kreisangehörige Gemeinden und Städte durch einen Landkreis

Ein Landkreis (örtlicher Träger der Sozialhilfe) teilte mir mit, kreisangehörige Gemeinden und Städte erhielten einen Abdruck der Sozialhilfebescheide mit der Bitte, dem Landkreis Änderungen in den "Verhältnissen" des jeweiligen Hilfeempfängers mitzuteilen (insbesondere Umzüge, Sterbetage, Aufnahme von Personen in die Wohnung des Hilfeempfängers usw.). Der Landkreis berief sich auf Art. 9 AGBSHG und auf die Erforderlichkeit, Überzahlungen zu vermeiden. Er bat um meine Stellungnahme, da eine Gemeinde dieses Vorgehen für datenschutzrechtlich unzulässig hielt.

Die Bedenken der Gemeinde waren richtig. Das Landratsamt hatte keine Rechtsgrundlage für die regelmäßige Übermittlung der Bescheide an die Kommunen.

Die Übersendung von Sozialhilfebescheiden an kreisangehörige Gemeinden/Städte ist eine
Übermittlung von Sozialdaten, für die eine gesetzliche Grundlage notwendig wäre. Für eine derartige regelmäßige und anlassunabhängige Datenübermittlung bedürfte es zudem einer gesetzlichen Vorschrift, die gerade diese gestattet.

§ 117 Abs. 3 BSHG, der Regelungen zum anlassunabhängigen (auch automatisierten) Datenabgleich enthält, scheidet als Rechtsgrundlage bereits deswegen aus, da auf dieser Grundlage vom Sozialhilfeträger für eine Überprüfung lediglich die in § 117 Abs. 1 Satz 2 BSHG genannten Daten (u.a. Name, Vorname, Geburtsdatum) an die Gemeinden/Städte übermittelt werden dürften. Die in einem Sozialhilfebescheid genannten Daten, insbesondere über die gewährten Leistungen, gehen jedoch über die in § 117 Abs. 1 Satz 2 BSHG genannten Daten hinaus. Zudem dürften in diesem Rahmen auch nur genau bestimmte Daten durch die Gemeinden/Städte überprüft werden (§ 117 Abs. 3 Satz 4 BSHG). Insoweit nehme ich auch auf meinen 18. Tätigkeitsbericht (Nr. 4.5.2) Bezug. Außerdem müssten die Gemeinden/Städte die vom Sozialhilfeträger erhaltenen Daten im Anschluss unverzüglich löschen (§ 117 Abs. 3 Satz 6 BSHG).

Art. 9 Abs. 1 AGBSHG, nach dem kreisangehörige Gemeinden auf Anforderung der Landkreise bei der Feststellung und Prüfung der für die Gewährung von Sozialhilfe erforderlichen Voraussetzungen "mitwirken", stellt - nach Systematik und Gesetzgebungsgeschichte/-verlauf - keine Rechtsgrundlage für regelmäßige, anlassunabhängige Übermittlungen/Datenabgleiche dar, da er dafür nicht die notwendigen Voraussetzungen eines konkreten Befugnisrahmens enthält. Diese Vorschrift stellt eine Aufgabenzuweisungs-, aber keine Befugnisnorm dar, die zu konkreten Rechtseingriffen berechtigen würde. Im übrigen wendet sie sich an die Gemeinden, gibt aber dem Sozialhilfeträger keine Befugnisse.

Auch § 69 Abs. 1 SGB X stellt ebenfalls keine solche Rechtsgrundlage dar. Datenübermittlungen können nach dieser Vorschrift unter den dort genannten Voraussetzungen lediglich in konkreten Fällen aus bestimmten Anlässen erfolgen. Derartige konkrete Anlässe gab es hier gerade nicht.

Die regelmäßige, anlassunabhängige Übersendung von Abdrucken der Sozialhilfebescheide an Gemeinden und Städte war deshalb unzulässig. Ich habe den Landkreis daher aufgefordert, dieses Verfahren einzustellen. Dies ist erfolgt. Datenerhebungen und -übermittlungen können allenfalls im Rahmen des § 117 BSHG oder im anlassbezogenen Fall unter Beachtung der §§ 67 ff. SGB X erfolgen.

Im Übrigen hat derjenige, der Sozialleistungen erhält, gemäß § 60 Abs. 1 Satz 1 Nr. 2 SGB I Änderungen in den Verhältnissen, die für die Leistung erheblich sind oder über die im Zusammenhang mit der Leistung Erklärungen abgegeben worden sind, unverzüglich mitzuteilen.

Spiegelbildlich bedürfte es auch auf Seiten der Gemeinden und Städte einer Rechtsgrundlage dafür, aufgrund regelmäßiger, anlassunabhängiger Übersendung von Abdrucken der Sozialhilfebescheide Daten "auf Vorrat" zu speichern, fortlaufend auf Veränderungen, etwa hinsichtlich der Aufnahme von weiteren Personen in die Wohnung, zu überprüfen und eingetretene Veränderungen dem Landkreis zu melden. Eine dementsprechende gesetzliche Befugnisnorm gibt es jedoch ebenfalls nicht.