Sie sind hier: > Start > Tätigkeitsberichte > 23. TB 2008 > 17. Soziales
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.12.2009
17. Soziales
17.1. Soziale Forschung
17.1.1. Forschungsvorhaben zur Untersuchung der Situation von Kindern in gleichgeschlechtlichen Lebenspartnerschaften
Ein Institut einer bayerischen Hochschule hatte sich im Berichtszeitraum an mich gewandt und um datenschutzrechtliche Stellungnahme zu einem Forschungsvorhaben gebeten, bei dem die Situation von Kindern in gleichgeschlechtlichen Lebenspartnerschaften untersucht werden sollte. Hierzu wollte das Institut bundesweit eine Melderegisterauskunft über sämtliche Personen bzw. Haushalte mit dem Familienstand "Lebenspartnerschaft" einholen. Die Meldedaten sowie mit deren Hilfe zusätzlich recherchierte Telefonnummern sollten dann für eine Kontaktaufnahme mit den Betroffenen genutzt werden. Dabei wollte das Institut zunächst herausfinden, in welchen Haushalten mit dem Familienstand "Lebenspartnerschaft" überhaupt Kinder leben. Diese Betroffenen sollten dann gebeten werden, auf freiwilliger Basis an einer Befragung teilzunehmen.
In meiner Stellungnahme hatte ich dem Institut mitgeteilt, dass nach meiner Auffassung keine Rechtsgrundlage für die Erhebung der Meldedaten besteht. Denn nach Art. 16 Abs. 1 Bayerisches Datenschutzgesetz (BayDSG) ist das Erheben personenbezogener Daten nur zulässig, wenn ihre Kenntnis zur Erfüllung der in der Zuständigkeit der erhebenden Stelle liegenden Aufgaben erforderlich ist. Erforderlich ist die Datenerhebung dann, wenn die Datenkenntnis die Aufgabenerfüllung objektiv unterstützt, fördert oder beschleunigt. Zwar konnte man dem geplanten Vorgehen die Förderlichkeit für das Forschungsprojekt nicht absprechen. Um die Erforderlichkeit bejahen zu können, hätte jedoch darüber hinaus die zu erfüllende Aufgabe wie auch die konkrete Unterstützung, Förderung oder Beschleunigung in Folge der Datenkenntnis mit den schutzwürdigen Interessen der Betroffenen an einer Nichtverwendung ihrer Daten in einem angemessenen Verhältnis stehen müssen. Vorliegend war bei dieser Güterabwägung den Interessen der Betroffenen Vorrang einzuräumen. Denn es handelte sich bei den zu erhebenden Daten um äußerst sensible Informationen über die Betroffenen.
Hinzu kommt, dass für das Forschungsvorhaben ein Adressmittlungsverfahren in Betracht kam. Dazu konnte das Institut die zu versendenden Schreiben den Meldebehörden zur Verfügung stellen, die diese wiederum an die Zielpersonen senden konnten, ohne dass die personenbezogenen Daten der anzuschreibenden Personen dem Institut zur Verfügung gestellt werden mussten. Es war für mich nicht erkennbar, welche wesentlichen Vorteile das geplante Vorgehen gegenüber einem Adressmittlungsverfahren gehabt hätte. Der Umstand, dass ein Adressmittlungsverfahren aufwendiger und kostenintensiver ist, musste angesichts der besonderen Schutzwürdigkeit der zu erhebenden Daten zurückstehen.
Durch Eingaben mehrerer Betroffener erfuhr ich einige Zeit später, dass das Institut offenbar entgegen meiner Stellungnahme Melderegisterauskünfte eingeholt hatte. Darauf angesprochen erklärte mir das Institut, es habe in jenen Bundesländern, in denen die Landesbeauftragten für den Datenschutz das Adressmittlungsverfahren empfohlen hätten (darunter u.a. auch Bayern), ein Adressmittlungsverfahren durchgeführt. Nur soweit die Landesdatenschutzbeauftragten anderer Bundesländer keine Einwände gegen eine Datenübermittlung aus den Melderegistern vorgebracht hätten, seien die personenbezogenen Daten aus den Melderegistern erhoben worden.
Ich habe das Institut hierzu darauf aufmerksam gemacht, dass es sich bei der Anforderung der Adressdaten bei den Meldebehörden durch das Institut um eine Datenerhebung des Instituts handelt, bei der Weitergabe der Adressdaten durch die Meldebehörden an das Institut hingegen - soweit erfolgt - um eine Datenübermittlung der jeweiligen Meldebehörden. Die datenschutzrechtliche Zulässigkeit der Datenerhebung und der Datenübermittlung ist getrennt für den jeweiligen Vorgang nach den jeweils hierfür geltenden Vorschriften zu beurteilen. Im Rahmen meiner Kontrollzuständigkeit für das Institut einer bayerischen Hochschule war allein bedeutsam, ob dieses die bei den Meldebehörden anderer Länder angeforderten personenbezogenen Daten überhaupt erheben durfte. Dies hatte ich in meiner früheren Stellungnahme bereits verneint. Im Ergebnis bedeutete dies, dass bereits unter dem Gesichtspunkt der Datenerhebung durch das Institut Adressmittlungsverfahren durchzuführen waren, unabhängig von Einschätzungen in anderen Bundesländern bezüglich der Zulässigkeit von Datenübermittlungen durch die dortigen Meldebehörden.
Auf eine förmliche Beanstandung des Instituts habe ich dennoch verzichtet. Denn zum einen hat mir das Institut glaubhaft versichern können, dass es die personenbezogenen Daten aus den Melderegistern - soweit erfolgt - gutgläubig erhoben hatte, nachdem eine Billigung der Datenübermittlung durch einige Landesdatenschutzbeauftragte vorlag. Soweit die Landesdatenschutzbeauftragten auf das Adressmittlungsverfahren verwiesen hatten, hat das Institut ohnehin keine Meldedaten erhoben. Zum andern hatte mir das Institut mitgeteilt, dass die Melderegisterdaten und auch die mit deren Hilfe selbst recherchierten Telefonnummern mittlerweile vollständig gelöscht sind, soweit die Betroffenen nicht bereits ihre Einwilligung zur Teilnahme an der Studie erklärt hatten. Ich konnte deshalb davon ausgehen, dass der Verstoß gegen datenschutzrechtliche Vorschriften nicht mehr fortdauert.
17.2. Zentrum Bayern Familie und Soziales
17.2.1. Evaluation des Bundeselterngeld- und Elternzeitgesetzes
Für einen Bericht der Bundesregierung (Bundesfamilienministerium) nach § 25 des Bundeselterngeld- und Elternzeitgesetzes (BEEG) gegenüber dem Bundestag über die Auswirkungen des BEEG sowie die ggf. notwendige Weiterentwicklung seiner Vorschriften wurde zur Durchführung der Befragung von Elterngeldbeziehern das Rheinisch-Westfälische Institut für Wirtschaftsforschung e.V. (RWI) beauftragt, das seinerseits mit dem Datendienstleister Wirtschafts- und Sozialforschung Kerpen (WSF) zusammenarbeitet.
Für die Zusendung eines Fragebogens an Elterngeldbezieher sollten dem WSF von den jeweiligen Elterngeldstellen der Länder (in Bayern: Zentrum Bayern Familie und Soziales) auf der Grundlage des § 75 Abs. 1 SGB X die Adressen der Elterngeldbezieher mit einem zwischen dem 1.1.2007 und 31.3.2007 geborenem Kind übermittelt werden. Das für die Genehmigung nach § 75 Abs. 2 SGB X zuständige Staatsministerium für Arbeit und Sozialordnung, Familie und Frauen ist mit der Bitte um datenschutzrechtliche Prüfung der Datenübermittlung von den Elterngeldstellen an das RWI bzw. WSF an mich herangetreten.
Nach meiner Auffassung lagen die Voraussetzungen für eine Genehmigung der begehrten Datenübermittlung nach § 75 Abs. 2 SGB X nicht vor. Nach § 75 Abs. 1 Satz 1 SGB X ist eine Übermittlung von Sozialdaten u.a. nur dann zulässig, wenn sie für ein dort genanntes bestimmtes Vorhaben erforderlich ist. Eine Übermittlung ohne Einwilligung des Betroffenen ist u.a. nicht zulässig, soweit es zumutbar ist, den Zweck der Forschung oder Planung auf andere Weise zu erreichen (§ 75 Abs. 1 Satz 2 SGB X). Für die begehrte Datenübermittlung fehlte es nach meiner Auffassung an der Erforderlichkeit bzw. konnte der Zweck des Vorhabens zumutbar auf andere Weise erreicht werden. Denn es war möglich, ein bewährtes datenschutzfreundliches Verfahren, nämlich das sog. Adressmittlungsverfahren durchzuführen:
Bei diesem Verfahren bedarf es einer Datenübermittlung an das RWI bzw. WSF nicht. Das RWI bzw. das WSF muss lediglich dem Zentrum Bayern Familie und Soziales (ZBFS) die zu versendenden Fragebögen zur Verfügung stellen. Das ZBFS verschickt dann die Fragebögen an die in der Bruttostichprobe enthaltenen Adressen der Elterngeldbezieher. Die befragten Eltern können den freiwillig beantworteten, anonymen Fragebogen an das WSF zurückschicken. Um Irritationen zu vermeiden, kann im Rahmen des Anschreibens deutlich gemacht werden, dass das ZBFS die Anschriften nicht an das RWI bzw. das WSF weitergegeben hat, sondern lediglich die Fragebögen versendete. Auf diese Weise kann die Befragung durchgeführt werden, ohne dass die Sozialdaten der anzuschreibenden Personen dem WSF für den Versand zur Verfügung gestellt werden müssen. Das Argument, ein Adressmittlungsverfahren sei unzumutbar, weil damit eine für solche Fragebögenaktionen erforderliche Erinnerung der angeschriebenen Elterngeldbezieher nicht oder nur schwer durchführbar sei, überzeugt nicht. Selbst bei Unterstellung der Notwendigkeit einer Erinnerungsaktion ist nach meiner Auffassung die Durchführung eines Adressmittlungsverfahrens weiterhin möglich. Dies gilt auch dann, wenn die Elterngeldstellen nicht wissen, welche Eltern auf das erste Schreiben hin geantwortet haben. Denn es besteht die Möglichkeit, an alle Eltern aus der Bruttostichprobe eine Erinnerung seitens der Elterngeldstellen zu versenden. In einem solchen Erinnerungsschreiben könnte der Hinweis aufgenommen werden, dass die Erinnerung gegenstandslos ist, wenn der Fragebogen bereits ausgefüllt und versandt worden ist. Auch angesichts der Größe der Bruttostichprobe von bundesweit insgesamt 6000 Müttern bzw. Familien und einer anteilig in Bayern deutlich niedrigeren Anzahl ist diese Vorgehensweise möglich.
17.3. Kindeswohl und Datenschutz
Die Themen Kindeswohlgefährdung und Missbrauch von Kindern stehen seit einiger Zeit im Blickpunkt der Öffentlichkeit (Medien, Politik, Verwaltung). Hierbei werden immer wieder Schlagworte wie "Kinderschutz vor Datenschutz" oder "Datenschutz darf das Kindeswohl nicht gefährden" geäußert.
Der Arbeitskreis Gesundheit und Soziales der Bundes- und Landesbeauftragten für den Datenschutz hat deshalb am 6./7.03.2008 in Vorbereitung zur 75. Datenschutzkonferenz am 03./04.04.2008 die Thematik ausführlich diskutiert. Im Wesentlichen hat der Arbeitskreis folgende Positionen vertreten:
- "Datenschutz behindert den Kinderschutz nicht, noch steht er im Widerspruch zum Kinderschutz. Formulierungen wie "Kinderschutz vor Datenschutz" sind zwar einprägsam, aber wenig zielführend und verstellen den Blick auf die zu lösenden Probleme.
- Die pauschale Formel "Kinderschutz vor Datenschutz" verkennt insbesondere die schützende Funktion von Vertraulichkeit in Hilfebeziehungen. Es ist eine offene Diskussion auch darüber erforderlich, welche Schweigepflichten und Vertrauensverhältnisse für das Kindeswohl unabdingbar sind und wie weit man diese sinnvollerweise einschränken oder gar aufheben kann. Zu erwähnen ist z.B. die Gefahr, dass Hilfe aus Angst vor nachfolgenden Offenbarungen nicht mehr in Anspruch genommen wird. Auch die Auswirkungen von Stigmatisierungen Betroffener und folgende Beeinträchtigungen der Familien in "Verdachtsfällen", die sich nicht bestätigen, sollten dabei nicht außer Acht gelassen werden.
- Erforderlich ist eine genaue Analyse, ob die vorhandenen Strukturen und Möglichkeiten in der Praxis bereits ausgeschöpft sind bzw. optimiert werden können, um den Kinderschutz bereits auf dieser Basis zu gewährleisten.
- Weitere gesetzliche Eingriffe in das informationelle Selbstbestimmungsrecht und damit vielfach in Vertrauensverhältnisse und Schweigepflichten sind allenfalls nach gründlicher Analyse der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit der entsprechenden Maßnahmen sowie nachfolgender Evaluation zu erwägen."
In Bayern sind durch den Gesetzgeber zwischenzeitlich erhebliche Neuerungen zum Kinderschutz beschlossen worden. Mit Inkrafttreten des Gesetzes zur Änderung des Gesundheitsdienst- und Verbraucherschutzgesetzes und des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen am 16.05.2008 (GVBl S. 158, BayRS 2120-1-UG, 2230-1-1-UK) gelten in Bayern insbesondere folgende, im neuen Art. 14 verankerte Regelungen (siehe hierzu auch Nr. 14.4 dieses Tätigkeitsberichts "Änderungen des GDVG"):
- Pflicht der Personensorgeberechtigten, die Teilnahme ihrer Kinder an den Früherkennungsuntersuchungen im Sinn der Richtlinien des Gemeinsamen Bundesausschusses gemäß § 26 in Verbindung mit § 25 Abs. 4 Satz 2 des Fünften Buches Sozialgesetzbuch sicherzustellen,
- Zusammenarbeit der Behörden für Gesundheit, Veterinärwesen, Ernährung und Verbraucherschutz mit anderen Stellen und öffentlichen Einrichtungen, insbesondere mit Schulen und Stellen der Schulverwaltung sowie mit Einrichtungen und Trägern der öffentlichen und freien Jugendhilfe; Einschaltung des Jugendamtes, wenn ihnen gewichtige Anhaltspunkte für eine Gefährdung des Wohls eines Kindes bekannt werden,
- Teilnahme an einer Schuleingangsuntersuchung im Jahr vor der Aufnahme in die Jahrgangsstufe 1,
- Vorlage eines Nachweises über die Teilnahme an der U9-Früherkennungsuntersuchung im Rahmen der Schuleingangsuntersuchung, bei fehlendem Nachweis Teilnahme an einer schulärztlichen Untersuchung, bei Verweigerung der schulärztlichen Untersuchung Mitteilung an das Jugendamt,
- Verpflichtung von Ärztinnen und Ärzten, Hebammen und Entbindungspflegern, gewichtige Anhaltspunkte für eine Misshandlung, Vernachlässigung oder einen sexuellen Missbrauch eines Kindes oder Jugendlichen, die ihnen im Rahmen ihrer Berufsausübung bekannt werden, dem Jugendamt mitzuteilen.
Im Rahmen des Gesetzgebungsverfahrens habe ich darauf hingewiesen, dass das Vertrauensverhältnis und der Geheimnisschutz zwischen dem Arzt und Eltern/Kind nicht gestört werden dürfe. Ich habe darauf aufmerksam gemacht, dass durch eine Meldepflicht von Ärzten und Hebammen gegenüber dem Jugendamt bei "gewichtigen Anhaltspunkten" dieses Vertrauensverhältnis auf Seiten der Eltern beeinträchtigt werden könnte. Das könnte dazu führen, dass gerade in schwerwiegenden Fällen im Hinblick auf die Gefährdung des Kindeswohls die Eltern den Arzt nicht mehr aufsuchen werden, weil die Eltern damit rechnen müssen, an das Jugendamt gemeldet zu werden. Dies würde die Zielsetzung des Gesetzgebers, den Kinderschutz zu verbessern, im Ergebnis sogar infrage stellen.
In einem Fall, der die Thematik Kindeswohlgefährdung zum Gegenstand hatte, habe ich eine Beanstandung ausgesprochen. Es lag folgender Sachverhalt zu Grunde:
Die Meldebehörde einer kreisfreien Gemeinde (Bürgeramt) hat an das Amt für Kinder, Jugend und Familie (Jugendamt) dieser Gemeinde monatlich einen Ausdruck mit Vorname, Geschlecht und Geburtsdatum der Neugeborenen sowie Vornamen, Familienname und Adresse der Eltern bei ehelichen Kindern oder Vorname, Familienname und Adresse der Mutter bei nichtehelichen Kindern weitergegeben. Das Jugendamt hat es für notwendig gehalten, im Rahmen des Schutzauftrages zur Erhaltung des Kindeswohls, die Eltern aller neugeborenen Kinder anzuschreiben bzw. anzusprechen, um vor allem Hilfe und Beratung anzubieten. In diesem Zusammenhang sollten Hausbesuche durch Kinderkrankenschwestern durchgeführt werden, die bei der Gemeinde angestellt sind. Ich habe dazu folgende Rechtsauffassung vertreten:
Die Zulässigkeit der Übermittlung von personenbezogenen Daten (Art. 4 Abs. 6 Satz 2 Nr. 3 Buchst. a) Bayerisches Datenschutzgesetz - BayDSG) von der Meldebehörde (Bürgeramt) an das Jugendamt beurteilt sich nach Art. 28 Abs. 7 Meldegesetz. Die Meldebehörde prüft allerdings nur die Plausibilität der vom Jugendamt vorgetragenen Begründung für die Anforderung der Daten. Ob die Anforderung der Daten, die nach § 67 Abs. 5 SGB X eine Erhebung von Sozialdaten durch das Jugendamt darstellt, zulässig ist, entscheidet sich jedoch nach den Bestimmungen der §§ 61 ff. SGB VIII, § 35 SGB I, §§ 67 ff. SGB X. Sozialdaten dürfen vom Jugendamt demnach nur erhoben werden, soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist (§ 62 Abs. 1 SGB VIII). Die Formulierung "jeweilige Aufgabe" stellt klar, dass eine Datenerhebung einzelfallbezogen sein muss. Dementsprechend findet sich auch in den §§ 11 bis 60 SGB VIII keine Aufgabe, die generelle Ermittlungen des Jugendamtes ohne Anhaltspunkte im Einzelfall erforderte. Für eine regelmäßige und pauschale Erhebung der Daten aller Eltern und deren neugeborenen Kinder zur Erfüllung des Schutzauftrags "Kindeswohl" bietet § 62 Abs. 1 SGB VIII jedenfalls keine Rechtsgrundlage. Dies ist auch nachvollziehbar, weil nicht bei allen Eltern neugeborener Kinder unterstellt werden kann, dass eine Kindeswohlgefährdung zu befürchten ist, vielmehr müssten, wie in § 8 a SGB VIII festgelegt, gewichtige Anhaltspunkte dafür vorliegen.
Fazit: Der monatliche Erhalt eines Ausdrucks von Vornamen, Geschlecht und Geburtsdatum Neugeborener sowie Vornamen, Familienname und Adresse der Eltern bei ehelichen Kindern oder Vornamen, Familienname und Adresse der Mutter bei nichtehelichen Kindern (Ausnahme § 21 b Personenstandsgesetz) ist in dieser pauschalen Form nicht durch eine Rechtsgrundlage im SGB VIII gedeckt. Da insoweit bereits eine gesetzliche Befugnis zur pauschalen Datenerhebung nicht vorliegt, ist auch eine pauschale Nutzung (§ 67 Abs. 7 SGB X) durch Weitergabe der Sozialdaten an von der Gemeinde angestellte Kinderkrankenschwestern zum Zwecke von Hausbesuchen bei allen Eltern bzw. Müttern nicht zulässig.
In einer dazu eingeholten Stellungnahme hat das Bayerische Staatsministerium für Arbeit und Sozialordnung, Familie und Frauen meine oben dargelegte Rechtsauffassung geteilt. Anlassunabhängige Hausbesuche mitsamt einer vorherigen "pauschalen" Erhebung von Meldedaten seien auch in den vom Bayerischen Landesjugendhilfeausschuss zu § 8 a SGB VIII erstellten fachlichen Empfehlungen vom 15.03.2006 (abrufbar unter http://www.blja.bayern.de/Textoffice.Startseite.htm) nicht vorgesehen und somit nicht zulässig. Zulässig nach § 62 Abs. 1 i.V.m. Abs. 2 Nr. 2 lit. D SGB VIII sei nur ein einzelfallbezogenes Vorgehen, wie es in den fachlichen Empfehlungen beschrieben sei.
Auf meine Beanstandung hin hat mir die Gemeinde mitgeteilt, dass aufgrund der von mir dargelegten Rechtslage die pauschale monatliche Datenerhebung durch das Amt für Kinder, Jugend und Familie unverzüglich eingestellt wurde. Die Einstellung der Datenübermittlung wurde auch vom Bürgeramt der Gemeinde schriftlich bestätigt.
17.4. Krankenversicherungsrecht (Krankenkassen, MDK)
ISmed 3 ist ein Verfahren zur vollständigen elektronischen Erstellung, Verarbeitung und Speicherung von Gutachten beim MDK (Medizinischer Dienst der Krankenkassen). Zudem soll der Auftraggeber für ein Gutachten (z.B. die Krankenkasse) zukünftig die Möglichkeit erhalten, Aufträge elektronisch zu erteilen, die Unterlagen hierzu bereitzustellen und den Stand der Bearbeitung so wie das Ergebnis elektronisch zu erhalten. Des Weiteren ist angedacht, auch zwischen MDKs Aufträge elektronisch weiterzuleiten. Damit soll ein vollständig elektronischer Workflow erreicht werden.
ISmed 3 wird von der ISmed-Gemeinschaft entwickelt und beim MDK Bayern im Rahmen eines Pilotbetriebs getestet, den ich unter rechtlichen und technisch-organisatorischen Gesichtspunkten geprüft habe.
Die ISmed-Gemeinschaft ist in Form einer Gesellschaft bürgerlichen Rechts organisiert. Ihr gehören 13 MDKs an. Zweck ist die Schaffung und Betreuung einer gemeinsamen EDV-Infrastruktur. Für die technischen Fragen wurde die ITSO (IT Service Organisation) eingerichtet, die den Betrieb der zentralen Systeme sicherstellt und die Fehlerbehebung im Pilotprojekt koordiniert.
Die Server für ISmed 3 werden von der GSKV GmbH (Rechenzentrum der BKKs in München) betrieben. Im Rechenzentrum der GSKV GmbH werden somit die Sozialdaten, die vom MDK erhoben bzw. dorthin übermittelt werden, verarbeitet. Hierbei handelt es sich um eine Verarbeitung von Sozialdaten durch die GSKV GmbH im Auftrag des MDK, so dass die Bestimmungen des § 80 Zehntes Buch Sozialgesetzbuch (SGB X) maßgeblich sind. Ich habe den MDK darauf hingewiesen, dass der Auftrag schriftlich zu erteilen ist, wobei die Datenverarbeitung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind (§ 80 Abs. 2 Satz 2 SGB X). Daraufhin wurde vom MDK ein Vertrag vorgelegt, der den Anforderungen des § 80 SGB X im Wesentlichen entspricht.
Auf der technischen Infrastruktur bei der GSKV GmbH wird für jeden MDK eine eigene Instanz von ISmed 3 betrieben, so dass jeder MDK nur auf seine eigenen Gutachten Zugriff hat. Die Gutachten sind in Versichertenakten organisiert. Ich habe in diesem Zusammenhang auf die Vorgaben des § 276 Abs. 2 Sätze 5 bis 8 Fünftes Buch Sozialgesetzbuch (SGB V) hingewiesen, die eine getrennte Speicherung der Sozialdaten zur Identifizierung des Versicherten von den medizinischen Sozialdaten erfordern (Trennungsgebot). Zum Prüfungszeitpunkt waren diese Vorgaben noch nicht umgesetzt, weil Gutachter im Begutachtungsfall Zugriff auf die bereits zusammengeführten medizinischen und identifizierenden Daten in der Versichertenakte hatten.
Für die Erstellung/Bearbeitung werden die Gutachten auf lokalen Servern der Zentrale bzw. der Außenstellen des MDK Bayern in einem Dokumentenmanagementsystem gespeichert. Nach ihrer Fertigstellung werden sie vom Gutachter elektronisch signiert und im zentralen System abgelegt. Alle lokalen Kopien werden dann gelöscht. Aus dem zentralen System werden sie nach Ablauf der 5-jährigen Aufbewahrungsfrist gelöscht.
Zum Prüfungszeitpunkt bestand die Möglichkeit, bereits erstellte Gutachten für neue Gutachtensaufträge heranzuziehen. Damit sollte sich die Löschfrist des alten Gutachtens automatisch auf die Frist des hinzuziehenden Gutachtens verlängern. Ich habe den MDK darauf hingewiesen, dass nach § 276 Abs. 2 Satz 3 SGB V die Sozialdaten nach 5 Jahren zu löschen seien. Soweit auf § 276 Abs. 2 Satz 4 SGB V in Verbindung mit § 304 Abs. 1 Satz 3 SGB V verwiesen werde, um eine Verlängerung der Aufbewahrungsfrist von Gutachten zu rechtfertigen, habe ich darauf aufmerksam gemacht, dass in diesem Fall sichergestellt sein müsse, dass ein Bezug zum Arzt und Versicherten nicht mehr herstellbar sei. Dies setze eine Anonymisierung der Sozialdaten voraus (§ 67 Abs. 8 SGB X). Sollte dies nicht möglich sein, müssten die Sozialdaten in Gutachten nach der insoweit nicht auslegungsfähigen Grundregel des § 276 Abs. 2 Satz 3 SGB V nach 5 Jahren gelöscht werden. Eine automatische Verlängerung der Aufbewahrungsfristen bestehender Gutachten durch die Hinzuziehung dieser bestehenden Gutachten zu neu in Auftrag genommenen Gutachten könne somit nicht angenommen werden.
Zum Prüfungszeitpunkt waren alle Arbeitsplätze, also auch alle Außenstellen des MDK Bayern, mit ISmed 3 ausgerüstet, es wurden jedoch noch nicht alle Gutachten darüber abgewickelt. Zudem waren alle Gutachter mit einer Signaturkarte mit qualifiziertem Zertifikat für die elektronische Unterzeichnung der Gutachten ausgestattet.
Aus technisch-organisatorischer Sicht ist ISmed 3 von besonderem Interesse, da es sich einerseits bei den gespeicherten Daten um medizinische Daten handelt, die einem besonderen Schutzbedarf unterliegen und daher erhöhte Schutzmaßnahmen nötig sind. Gleichzeitig befinden sich die Server in einem externen Rechenzentrum, so dass die Gefahr einer unbefugten Kenntnisnahme durch die dortigen Administratoren besteht. Drittens handelt es sich bei ISmed 3 um eines der ersten Verfahren im aktiven Betrieb, das vollständig auf Papier verzichtet und die Integrität und Authentizität der Gutachten über eine qualifizierte Signatur sicherstellt.
Zur Gewährleistung der Vertraulichkeit der sensiblen Daten wurden diverse Sicherheitsmaßnahmen ergriffen. Unter anderem werden alle Daten für den Transport zwischen dem MDK und dem zentralen Server verschlüsselt. Bei den im Rechenzentrum gespeicherten Daten werden alle identifizierenden Daten (Name, Adresse etc.) verschlüsselt. Damit sollen die gesetzlichen Vorgaben zu einer pseudonymisierten Speicherung der Gutachten erfüllt werden. Zudem ist es auf diese Art möglich, die Gutachtensinhalte für statistische und andere Zwecke ohne Personenbezug auszuwerten. Es muss allerdings sichergestellt werden, dass nur der jeweilige MDK und nicht das Rechenzentrum Zugriff auf die Verschlüsselungsschlüssel hat. Zudem habe ich eine Verschlüsselung der gesamten Daten empfohlen, um den Mitarbeitern des Rechenzentrums keinerlei Einblick in die Daten zu gewähren.
Jeder Gutachter kann nur auf diejenigen zentral gespeicherten Gutachten mit Personenbezug zugreifen, für die er einen Auftrag hat. Dies wird über ein differenziertes Berechtigungskonzept sowie die Authentifizierungszertifikate der Chipkarte kontrolliert.
Um Sicherheitsvorfälle feststellen zu können, findet an mehreren Stellen eine Protokollierung statt, z.B. Depseudonymisierung der Daten, Änderung von Rollen und Rechten, erfolglose Authentifizierungsversuche, Bearbeitung von Gutachten, Konfigurationsänderung, Administratortätigkeiten.
Soweit die erwähnten rechtlichen Anmerkungen beachtet werden, bestehen keine Einwände gegen den Einsatz von ISmed 3 in der geplanten Form. In einigen Punkten habe ich zusätzliche technisch-organisatorische Maßnahmen vorgeschlagen, um das Sicherheitsniveau des Verfahrens noch weiter zu erhöhen. Die zukünftige Entwicklung des Verfahrens werde ich auch weiterhin in Kooperation mit den anderen betroffenen Landesbeauftragten verfolgen.
17.5. Wohngeldstellen
17.5.1. Presse- und Öffentlichkeitsarbeit mit Sozialdaten
Zur Presse- und Öffentlichkeitsarbeit mit Sozialdaten habe ich mich bereits in der Vergangenheit geäußert (vgl. hierzu Nr. 4.1 und 16.1, 19. Tätigkeitsbericht). Ein Vorgang aus dem aktuellen Berichtszeitraum veranlasst mich, nochmals ausdrücklich auf meine damaligen Ausführungen hinzuweisen und diese hier zu ergänzen.
Sozialdaten und damit auch die im Rahmen eines Wohngeldantrags gemachten Angaben unterliegen dem Sozialdatenschutz des § 35 Sozialgesetzbuch - Erstes Buch - (SGB I). Solche Daten dürfen nur dann an Dritte übermittelt werden, wenn eine entsprechende, wirksame Einwilligung des Betroffenen vorliegt oder eine gesetzliche Befugnisnorm im Sozialgesetzbuch diese Datenübermittlung erlaubt.
Im konkreten Fall hat eine Wohngeldstelle bzw. Kommune Strafanzeige gegen einen Leistungsbezieher erstattet. Die örtliche Presse hat hierüber einschließlich detaillierter Informationen aus dem Wohngeld-Vorgang berichtet. Für die Weitergabe dieser Informationen an die Presse seitens der Kommune wäre keine gesetzliche Befugnisnorm im Sozialgesetzbuch ersichtlich gewesen. Da diese Informationen aber bereits vor der Veröffentlichung nicht nur der Kommune bekannt waren und auch die vom Betroffenen eingeschaltete Staatsanwaltschaft nicht herausfinden bzw. nachweisen konnte, von wem die Daten letztlich an die Presse weitergegeben worden sind, konnte ich keine konkrete Stelle beanstanden.
Im weiteren Verlauf der Presseberichterstattung waren zusätzliche Informationen im Hinblick auf diesen Wohngeld-Vorgang veröffentlicht worden. Teilweise hat sich die Presse hierbei auf Aussagen des Betroffenen selbst berufen, teilweise hatte sich die Kommune gegenüber der Presse geäußert und teilweise ließ sich nicht aufklären, von wem eine einzelne Information im weiteren Verlauf an die Presse weitergegeben worden ist.
Im Rahmen meines Schriftwechsels mit der Kommune hat diese u.a. darauf hingewiesen, dass die Kommune zu keiner Zeit aktiv auf die Presse zugegangen sei, sondern immer nur insbesondere auf (unrichtige) Äußerungen des Leistungsbeziehers in der Presse reagiert habe.
Gemäß § 69 Abs. 1 Nr. 3 Sozialgesetzbuch - Zehntes Buch - (SGB X) ist die Übermittlung von Sozialdaten zulässig, soweit sie erforderlich ist für die Richtigstellung unwahrer Tatsachenbehauptungen des Betroffenen im Zusammenhang mit einem Verfahren über die Erbringung von Sozialleistungen. Gemäß der genannten Regelung bedarf diese Übermittlung dann allerdings der vorherigen Genehmigung durch die zuständige oberste Bundes- oder Landesbehörde. Auch wenn aus Sicht der Kommune hier Richtigstellungen unwahrer Tatsachenbehauptungen erforderlich waren, so hätte sie jedenfalls vorher die Genehmigung der zuständigen obersten Landesbehörde einholen müssen. Dies hat sie jedoch nicht getan.
Weiterhin waren - auch wenn man die Erforderlichkeit einer Richtigstellung dem Grunde nach unterstellt - nicht alle Informationen für die Richtigstellung als solche erforderlich. Für darüber hinausgehende Datenübermittlungen lediglich im Zusammenhang mit einer Richtigstellung kann § 69 Abs. 1 Nr. 3 SGB X keine Rechtsgrundlage darstellen.
Ich habe die Kommune daher eindringlich auf die sozialdatenschutzrechtlichen Vorgaben im Hinblick auf eine Presse- und Öffentlichkeitsarbeit mit Sozialdaten hingewiesen sowie zur entsprechenden Beachtung und Einhaltung aufgefordert.
Ich rate allen Behörden dringend an, vor der Übermittlung von Sozialdaten im Zusammenhang mit einer Presse- oder Öffentlichkeitsarbeit sehr genau zu prüfen, ob im konkreten Fall überhaupt und ggf. in welchem Umfang eine solche Übermittlung zulässig wäre.
17.6. Arbeitsgemeinschaften (ARGEn) und Sozialämter
17.6.1. Datenschutz bei Arbeitsgemeinschaften nach § 44 b SGB II
Die an mich gerichteten Eingaben und Anfragen aus dem Bereich Soziales standen oftmals im Zusammenhang mit Leistungen nach dem Sozialgesetzbuch - Zweites Buch - (SGB II), umgangssprachlich auch häufig als "Hartz-IV" bezeichnet.
In diesem Zusammenhang sind an mich sowohl neue Fallgestaltungen als auch "alt bekannte" datenschutzrechtliche Themen herangetragen worden. Nachfolgend stelle ich eine Auswahl der von mir behandelten Vorgänge vor.
Meine Kontrollzuständigkeit für die ARGEn in Bayern kann nur auf der Grundlage bestehen, dass die ARGEn selbst eigenverantwortlich speichernde Stellen sind, auch wenn die ARGEn durch einerseits einen kommunalen Träger und andererseits die Agentur für Arbeit errichtet werden. Gemäß Urteil des Bundesverfassungsgerichts vom 20.12.2007 (2 BvR 2433/04, 2 BvR 2434/04) verstößt die in § 44 b SGB II getroffene Regelung, wonach die kommunalen Träger und die Bundesagentur für Arbeit zur einheitlichen Wahrnehmung ihrer Aufgaben Arbeitsgemeinschaften bilden sollen, gegen Art. 28 Abs. 2 i.V.m. Art. 83 des Grundgesetzes. Das in der Vorschrift geregelte Zusammenwirken von Bundes- und Landesbehörden überschreite die Grenzen des verfassungsrechtlich Zulässigen. Bis zu einer gesetzlichen Neuregelung, längstens bis zum 31.12.2010, bleibe die Norm jedoch anwendbar. Demzufolge sehe ich derzeit keinen Anlass, insofern von der bisherigen Verfahrensweise abzuweichen.
Das Bundesverfassungsgericht hat darauf hingewiesen, dass Ausdruck der mangelhaften Zuordnung von Verantwortlichkeiten, die mit der unklaren Zuordnung der Arbeitsgemeinschaften zur Bundes- oder zur kommunalen Ebene zusammenhängt, auch Unsicherheiten hinsichtlich der Anwendbarkeit von Bundes- und Landesrecht sind, wie sie etwa im Vollstreckungsrecht und beim Datenschutz aufgetreten sind. Es bleibt zu hoffen, dass nach einer gesetzlichen Neuregelung insbesondere die datenschutzrechtlichen Zuständigkeiten eindeutig und nachvollziehbar festgelegt sind.
Ich vertrete die Auffassung, dass die ARGEn nach § 44 b SGB II gemäß der Regelung in Art. 25 Abs. 2 BayDSG einen behördlichen Datenschutzbeauftragten zu bestellen haben. Diese Sichtweise teilen offensichtlich jedoch nicht alle ARGEn. Einzelne ARGEn haben nach meiner Intervention einen behördlichen Datenschutzbeauftragten oder einen "Datenschutzverantwortlichen" bestellt. Ich werde diese Auffassung weiterhin gegenüber den ARGEn vertreten und auf die Bestellung eines behördlichen Datenschutzbeauftragten nach Art. 25 Abs. 2 BayDSG drängen.
Ein immer wieder kehrendes Thema sind die organisatorischen Rahmenbedingungen in den ARGEn bei persönlichen Kontakten. Als Beispiele seien etwa offen stehende Türen bei Gesprächen mit dem Sachbearbeiter oder Diskretionsabstände an einem Empfangsschalter genannt (vgl. hierzu Nr. 14.4.1, 22. Tätigkeitsbericht). Im Hinblick auf die Antragsannahme bzw. "Sichtung" der Unterlagen hatte eine ARGE eine ganz besondere Idee. Ein hiervon betroffener Bürger hatte sich daraufhin an mich gewandt. Er wollte seine Antragsunterlagen bei der ARGE vorlegen, sei von dort jedoch darauf verwiesen worden, die Unterlagen bei der örtlichen Volkshochschule abzugeben. Erst nach Weigerung des betroffenen Bürgers und Rücksprache mit dem "Amtsleiter" habe er die Unterlagen persönlich bei der ARGE abgeben dürfen.
Ich bin daraufhin an die ARGE mit datenschutzrechtlichen Hinweisen und der Aufforderung zur unverzüglichen Stellungnahme herangetreten. Die ARGE hat mir daraufhin mitgeteilt, dass Kunden mit sofortiger Wirkung nicht mehr verpflichtet würden, den Antrag auf Arbeitslosengeld II bei der Volkshochschule abgeben zu müssen. Die Annahme der Antragsunterlagen erfolge somit wieder ausschließlich bei der ARGE. Darüber hinaus werde die ARGE dafür Sorge tragen, dass sämtliche Daten, die bei der Volkshochschule erhoben und dort gespeichert worden seien, gelöscht bzw. vernichtet würden. Zudem wurde ich gebeten, dem betroffenen Bürger das ausdrückliche Bedauern für die entstandenen Unannehmlichkeiten zu übermitteln. Der Geschäftsführer der ARGE stehe diesem für eine persönliche Entschuldigung jederzeit zur Verfügung.
Zum Sachverhalt selbst hatte die ARGE noch mitgeteilt, dass insofern ein "Informations- und Orientierungsseminar, Sofortmaßnahme" gemäß §§ 15 a, 16 Abs. 1 SGB II i.V.m. § 48 SGB III bei der Volkshochschule durchgeführt worden sei. Die Maßnahme sei seit kurzem und bislang jedem erwerbsfähigen Hilfebedürftigen anlässlich der Antragstellung angeboten worden. In diesem Rahmen habe es auch ein Modul gegeben, in dem die Annahme und "Sichtung" des Antrags enthalten sei. Es habe ein Coaching im Hinblick auf die Sichtung und Bearbeitung der Leistungsanträge bzw. im Hinblick auf die Annahme der vollständigen Leistungsanträge mit anschließender Weiterleitung an die ARGE gegeben.
Bei den Datenerhebungen von ARGEn hat wiederholt die Zulässigkeit von Datenerhebungen im Zusammenhang mit Hausbesuchen eine Rolle gespielt. Soweit hier im Einzelfall die datenschutzrechtlichen Voraussetzungen für Datenerhebungen bzw. entsprechende datenschutzrechtlichen Hinweis- und Belehrungspflichten im Zusammenhang mit einem Hausbesuch nicht eingehalten wurden, habe ich die jeweilige ARGE auf die aus datenschutzrechtlicher Sicht einzuhaltenden Verfahrensweisen hingewiesen und zur Einhaltung der datenschutzrechtlichen Voraussetzungen aufgefordert.
Im Zusammenhang mit einem Antrag auf Gewährung von Reisekosten hat eine ARGE die Vorlage einer ausgefüllten "Bescheinigung zur Vorlage bei dem Träger der Grundsicherung" unter Hinweis auf die Mitwirkungspflicht des Antragstellers verlangt. Der Betroffene hatte sich zuvor bei einem potentiellen auswärtigen Arbeitgeber vorgestellt. Das Formular, das aus der Formulierung und dem Formularkopf ersichtlich anschließend an die ARGE zu übergeben bzw. zu schicken war, hätte vom potentiellen Arbeitgeber ausgefüllt bzw. bestätigt werden müssen, der damit vom Leistungsbezug Kenntnis erlangt hätte. Ich habe daraufhin die ARGE angeschrieben und um Stellungnahme zur Erforderlichkeit der einzelnen Fragen bzw. der Ausgestaltung des Verfahrens und des Formulars gebeten. Die ARGE hat mein Schreiben daraufhin der Bundesagentur für Arbeit vorgelegt, da es sich um eine zentrale Vorlage von dort handelte. Die Bundesagentur für Arbeit hat mir letztlich mitgeteilt, dass dieser Vordruck künftig nicht mehr zum Einsatz komme und eine Datenerhebung bei einem potentiellen Arbeitgeber insofern nicht mehr erfolgen werde.
Soweit eine ARGE erforderliche Daten erheben will, gilt der Grundsatz, dass diese Daten beim Betroffenen selbst zu erheben sind. Nur in den gesetzlich bestimmten Fällen (§ 67 a Abs. 2 Satz 2 SGB X) sind Datenerhebungen bei Dritten zulässig. Die gesetzlich geregelten Voraussetzungen lagen in Einzelfällen bei Datenerhebungen bspw. bei Nachbarn und Vermietern, der Schule oder dem Arbeitgeber nicht vor, so dass ich die im Einzelfall handelnden ARGEn dann jeweils zur Beachtung der sozialdatenschutzrechtlichen Voraussetzungen und zur Unterlassung einer vergleichbaren Verfahrensweise aufgefordert habe. In Vergessenheit gerät neben den Voraussetzungen für die Datenerhebung als solche gerne auch die der Behörde obliegende Hinweispflicht nach § 67 a Abs. 4 SGB X: "Werden Sozialdaten bei einer nicht-öffentlichen Stelle erhoben, so ist diese Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit hinzuweisen."
Ein (ausdrücklicher) Hinweis auf die Freiwilligkeit kann dabei auch nicht dadurch ersetzt werden, dass die Behörde lediglich eine Verpflichtung zur Auskunft nicht ausdrücklich behauptet. Gleiches gilt für die ggf. nach Maßgabe des § 67 a Abs. 5 SGB X bestehende Pflicht zur Unterrichtung des Betroffenen bei solchen Dritterhebungen.
ARGEn erheben aber nicht nur Daten, sondern übermitteln in verschiedenen Fallkonstellationen auch Sozialdaten. Dies ist nur dann zulässig, wenn entweder die Einwilligung des Betroffenen vorliegt oder eine gesetzliche Befugnisnorm im Sozialgesetzbuch dies gestattet (§ 67 d Abs. 1, § 67 b Abs. 1 SGB X).
Im nachfolgenden Fall habe ich insbesondere die Datenübermittlung einer ARGE beanstandet und die ARGE aufgefordert, die dorthin mitgeteilten Gesichtspunkte zum Sozialdatenschutz zu beachten und ein Vorgehen wie geschehen zukünftig zu unterlassen.
Ein Sachbearbeiter einer ARGE hatte eine Antragstellerin, die in einem Pflegeheim gearbeitet hatte, telefonisch nach den Umständen des Verlustes ihrer letzten Arbeitsstelle befragt. Die Antragstellerin hatte sich u.a. dahin geäußert, dass sie auf Missstände gestoßen sei und diese auch der Heimaufsicht angezeigt habe. Weiterhin hatte sie sich in diesem Zusammenhang auch über den Leiter der Heimaufsicht negativ geäußert.
Die ARGE hat über das Telefongespräch im Rahmen der Antragsbearbeitung einen (personenbezogenen) Gesprächsvermerk angefertigt und diesen an den besagten Leiter der Heimaufsicht weitergegeben. Dieser hat daraufhin eine Unterlassungsklage gegen die Antragstellerin im Hinblick auf deren negative Äußerung angestrengt und den Aktenvermerk als Beweismittel bezeichnet.
Entgegen der Auffassung der ARGE in deren Stellungnahme unterfallen Daten aus diesem Gesprächsvermerk hier eindeutig den sozialdatenschutzrechtlichen Vorschriften. Die hilfsweise von der ARGE angeführten Befugnisnormen (§ 68 Abs. 1 Satz 1 SGB X und § 71 Abs. 1 Satz 1 Nr. 1 SGB X) waren ebenfalls eindeutig nicht erfüllt. Die ARGE hat nicht nur aufgrund der eigentlichen Datenübermittlung, sondern auch durch ihre nachfolgende Stellungnahme gezeigt, dass die sozialdatenschutzrechtlichen Vorschriften dort offensichtlich nicht ausreichend bekannt sind bzw. beachtet werden. Ich habe die ARGE daher beanstandet. Die Heimaufsichtsbehörde habe ich zudem auf die fehlende Datenübermittlungsbefugnis der ARGE aufmerksam gemacht und eindringlich darauf hingewiesen, dass die unbefugt übermittelten Sozialdaten nicht genutzt und/oder (weiter) übermittelt werden dürfen.
Eine Datenübermittlung liegt auch in der Überweisung der Miete von der ARGE direkt an den Vermieter. Denn bereits hierdurch wird der Vermieter regelmäßig von einem Sozialleistungsbezug seines Mieters in Kenntnis gesetzt. Auch hier gilt der datenschutzrechtliche Erforderlichkeitsgrundsatz. Die ARGE müsste daher genau begründen, warum diese direkte Überweisung an den Vermieter zur Aufgabenerfüllung der ARGE nach dem SGB II erforderlich ist. Der Gesetzgeber hat in § 22 Abs. 4 SGB II geregelt, dass die Kosten für Unterkunft und Heizung an den Vermieter oder andere Empfangsberechtigte gezahlt werden sollen, wenn die zweckentsprechende Verwendung durch den Hilfebedürftigen nicht sichergestellt ist. An mich haben sich Leistungsbezieher nach dem SGB II mit der Bitte gewandt, die Überweisung an sie selbst sicherzustellen, da die zuständige ARGE dies auch auf entsprechende Hinweise der Betroffenen verweigerte. Nach rechtlichen Hinweisen meinerseits hat die ARGE den Vorgang nochmals geprüft und ist zu dem Ergebnis gekommen, dass in diesem Fall die Miete wieder direkt an die Leistungsbezieher ausgezahlt wird.
17.7.1. Anonymisierung der Prüfberichte der Heimaufsicht
Die für die Heimaufsicht zuständigen Behörden haben eine wichtige Aufgabe: Sie kontrollieren zum Schutz pflege- und betreuungsbedürftiger Menschen, ob insbesondere in den Heimen die gesetzlichen Qualitätsanforderungen erfüllt sind. Dazu führen die Heimaufsichtsbehörden u.a. wiederkehrende und anlassbezogene Prüfungen in den Heimen durch, deren Ergebnisse sie in Prüfberichten zusammenfassen.
Durch eine Eingabe habe ich erfahren, dass eine Heimaufsichtsbehörde die Prüfberichte nicht nur an die Träger des jeweils kontrollierten Heims, sondern - per einfacher E-Mail - auch an andere Stellen wie z.B. das Gesundheitsamt, eine gesetzliche Krankenkasse, den Medizinischen Dienst der Krankenkassen (MDK), den Bezirk, und die Regierung weitergibt. Im konkreten Fall waren die betroffenen Bewohnerinnen und Bewohner in dem Prüfbericht sinngemäß wie folgt aufgeführt: "Wohnbereich 1: Frau A., Herr Z., Frau N.; Wohnbereich 2: Frau Doris F., Herr P., Frau F." Im weiteren Verlauf waren bezogen auf die einzelnen Bewohnerinnen und Bewohner die Ergebnisse der Prüfung sehr detailliert dargestellt. Dies betraf z.B. die Wohnsituation bei Frau F., die Verordnung bestimmter Medikamente wegen bestimmter Erkrankungen bei Frau A., Frau N. sowie Frau F., erforderliche Prophylaxen bei Frau A. und Frau F., Feststellungen zur Ernährungssituation, Körperpflege und zum Umgang mit Dekubitalgeschwüren jeweils bei Herrn Z. sowie über freiheitsentziehende Maßnahmen bei Frau F.
Ich habe der Heimaufsichtsbehörde mitgeteilt, dass ein derart gestalteter Prüfbericht personenbezogene Daten über die Bewohnerinnen und Bewohner des Heims enthält. Dabei handelt es sich vor allem um besonders sensible Daten über die Gesundheit (vgl. Art. 15 Abs. 7 BayDSG). Eine Anonymisierung im Sinne des Art. 4 Abs. 8 BayDSG liegt nicht vor, da durch Angabe des Wohnbereichs, des Geschlechts, des Anfangsbuchstabens des Nachnamens und teilweise des vollen Vornamens die Daten in den meisten Fällen ohne unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Die Weitergabe der in dem Prüfbericht enthaltenen personenbezogenen Daten der Bewohnerinnen und Bewohner an die oben genannten Stellen stellt eine Datenübermittlung bzw. -nutzung dar. Hierfür besteht keine Rechtsgrundlage, insbesondere weil diese Stellen - das war unstreitig - keine personenbezogenen Daten über Bewohnerinnen und Bewohner benötigen, um ihre Aufgaben zu erfüllen.
Darüber hinaus habe ich in technisch-organisatorischer Hinsicht auf Folgendes hingewiesen: Der Versand personenbezogener Daten per E-Mail über das Internet entspricht ohne zusätzliche Sicherheitsmaßnahmen nicht den Anforderungen des Datenschutzes, da hier u.a. die Vertraulichkeit, Integrität und Revisionsfähigkeit der Daten nicht gegeben ist. Art. 7 BayDSG fordert technisch-organisatorische Sicherheitsmaßnahmen, die auch bei diesem Transportmedium gewährleistet sein müssen. Üblicherweise ist für den E-Mail-Versand mindestens die Verschlüsselung der Daten zu fordern. Weiterhin können Maßnahmen erforderlich sein, um die Überprüfbarkeit von Sender und Empfänger zu gewährleisten.
Daraus folgt: Will die Heimaufsichtsbehörde den Prüfbericht weiterhin an die oben genannten Stellen weitergeben, muss sie die personenbezogenen Daten der Bewohnerinnen und Bewohner den Anforderungen des Art. 4 Abs. 8 BayDSG entsprechend anonymisieren. Im Hinblick auf die in den Prüfberichten enthaltenen besonders sensiblen Daten über die Gesundheit, die Vielzahl der Empfänger der Prüfberichte und den vorgesehenen Versand per E-Mail ist hier ein strenger Maßstab anzulegen. Für eine Anonymisierung genügt es daher nicht, dass für die Bewohnerinnen und Bewohner statt des abgekürzten Namens die Pseudonyme "Bewohner 1", "Bewohner 2", etc. verwendet werden. Zwar wäre die Zuordnung der in den Prüfberichten enthaltenen Daten zu einer bestimmten Person im Vergleich zur bisherigen Praxis erschwert, allerdings nicht in einem für die Beseitigung des Personenbezugs ausreichenden Maße. Dies lässt sich am Beispiel des oben beschriebenen Prüfberichts erkennen: Wäre dort z.B. Frau F als "Bewohner 1" bezeichnet und verfügt ein Dritter über Zusatzwissen, weil diesem z.B. bekannt ist, dass Frau F. aus dem Wohnbereich 2 unter einer bestimmten Krankheit leidet, kann der Dritte der Bezeichnung "Bewohner 1" einer konkrete Person, nämlich Frau F, zuordnen. Durch den Prüfbericht werden dem Dritten dann auch Einzelheiten zur Wohnsituation sowie zu erforderlichen Prophylaxen und freiheitsentziehenden Maßnahmen bei Frau F bekanntgegeben. Von einer Anonymisierung kann erst dann ausgegangen werden, wenn entweder im Prüfbericht selbst die Identifikationsmerkmale vollständig gelöscht sind oder die Daten in einem für die Weitergabe an andere Stellen bestimmten eigenständigen Bericht aggregiert, also zusammengefasst werden.
Die Thematik der Anonymisierung der Prüfberichte der Heimaufsicht wird zukünftig über den mir vorgelegten konkreten Fall hinaus Bedeutung erlangen. Denn das zum 01.08.2008 in Kraft getretene Pflege- und Wohnqualitätsgesetz (PfleWoqG) sieht in Art. 6 Abs. 2 vor, dass ab dem 01.01.2011 die Prüfberichte der Heimaufsichtsbehörden in geeigneter Form zu veröffentlichen sind. Darüber hinaus bestimmt Art. 11 Abs. 10 PfleWoqG, dass alle Organisationseinheiten innerhalb der für die Heimaufsicht zuständigen Behörden, deren Prüfungen sich auf stationäre Einrichtungen erstrecken (gemeint sind laut Gesetzesbegründung z.B. die Lebensmittelkontrolle oder die Bauaufsichtsbehörden), die jeweiligen Prüfberichte auszutauschen haben. Die Weitergabe personenbezogener, insbesondere auch medizinischer Daten der Bewohnerinnen und Bewohner an Stellen wie z.B. die Bauaufsichtsbehörden oder gar die Öffentlichkeit (Aushang im Heim? Veröffentlichung im Internet?) würde deren Persönlichkeitsrechte massiv verletzen. Daher wird besonders darauf zu achten sein, dass die Prüfberichte nur in anonymisierter Form ausgetauscht und veröffentlicht werden. Es gilt zu verhindern, dass das wichtige Ziel des Pflege- und Wohnqualitätsgesetz, durch die Veröffentlichung der Prüfberichte im Interesse der Bewohnerinnen und Bewohner mehr Transparenz zu schaffen, nicht durch eine Veröffentlichung intimer Daten der Bewohnerinnen und Bewohner diskreditiert wird.
17.8. Jugendämter - Auskunft über Namen von Behördeninformanten
Gerade im Bereich des Kindeswohls wird immer wieder eine Kultur des Hinsehens eingefordert. Dies wird oftmals nicht nur auf Behörden, sondern vielmehr auch auf alle Bürgerinnen und Bürger bezogen.
Aus einem solchen Hinsehen entsteht manchmal Besorgnis um das Wohl von bestimmten Kindern. Mancher Nachbar oder Verwandter teilt seine Beobachtungen dann dem Jugendamt mit, das bei entsprechender Veranlassung tätig wird.
Soweit das Jugendamt aufgrund solcher Beobachtungen bspw. eines Nachbarn tätig wird und die betroffenen Eltern hiervon Kenntnis erlangen, wollen diese in der Folge oftmals vom Jugendamt wissen, welche Person (Name und ggf. Anschrift) sich an das Jugendamt gewandt hat. Hierbei führen die betroffenen Eltern beispielsweise an, sie wollten nach entsprechender Auskunft gerichtlich gegen den Behördeninformanten vorgehen. Im Berichtszeitraum haben sich betroffene Eltern an mich gewandt, da sie der Auffassung waren, dass sie einen Anspruch auf Offenlegung des Namens des Behördeninformanten hätten. Das Jugendamt hatte insoweit jeweils sowohl eine entsprechende Akteneinsicht als auch eine Auskunft verweigert. Das Jugendamt müsse bei Nennung des Namens des Behördeninformanten im Übrigen damit rechnen, dass sich wiederum dieser hierüber beschwere, denn auch sein Name falle unter das Sozialgeheimnis des § 35 SGB I und dürfe nur nach Maßgabe der sozialdatenschutzrechtlichen Vorschriften weitergegeben werden.
Doch wer hat nun Recht? Grundsätzlich in Frage kommende Anspruchsgrundlagen wie § 25 SGB X (Akteneinsicht) oder § 83 SGB X (Auskunft) enthalten auch Ausschlusstatbestände. Ich kann an dieser Stelle nicht alle rechtlichen Detailfragen darstellen, möchte aber auf wesentliche Formulierungen hierzu in der Rechtsprechung hinweisen. Gemäß dem Bundesverwaltungsgericht (Urteil vom 04.09.2003, Az. 5 C 48/02 zu einem Vorgang aus dem Bereich Sozialhilfe) kommt eine Akteneinsicht bzw. eine Auskunft im Hinblick auf den Namen eines Behördeninformanten dann in Betracht, wenn ausreichende Anhaltspunkte für die Annahme vorlägen, dass der Behördeninformant wider besseres Wissen und in der vorgefassten Absicht, den Ruf des Klägers zu schädigen, gehandelt oder der Behörde leichtfertig falsche Informationen übermittelt haben könnte.
Für den Bereich der Kinder- und Jugendhilfe (SGB VIII), also bei einer Information an ein Jugendamt, hat eine erstinstanzliche Gerichtsentscheidung darauf hingewiesen, dass das Jugendamt zur Gestattung einer Akteneinsicht bzw. zu einer Auskunft gemäß § 65 SGB VIII nicht berechtigt sei, soweit die streitbefangenen Sozialdaten den Mitarbeitern des Jugendamts zum Zwecke persönlicher und erzieherischer Hilfe anvertraut worden seien und kein Ausnahmefall gemäß § 65 Abs. 1 Satz 1 Nrn. 1 bis 5 SGB VIII vorliege. Der Sozialdatenschutz im Jugendhilferecht gehe weiter als der allgemeine Sozialdatenschutz. Das Gericht hat im dort entschiedenen Fall einen Anspruch auf entsprechende Akteneinsicht bzw. Auskunft im Hinblick auf den Namen des Informanten abgelehnt.
Jedenfalls in der vom Bundesverwaltungsgericht angesprochenen Konstellation einer Information wider besseres Wissen und in Schädigungsabsicht wäre es zwar fraglich, ob das Tatbestandsmerkmal "zum Zwecke persönlicher und erzieherischer Hilfe anvertraut" erfüllt sein und damit § 65 SGB VIII zur Anwendung kommen könnte.
In den im Berichtszeitraum aufgetretenen und mir vorgetragenen Fällen, in denen das Jugendamt (oder eine andere Behörde) eine Auskunft bzw. Akteneinsicht im Hinblick auf den Namen des Behördeninformanten verweigert hat, habe ich jeweils keinen Verstoß gegen datenschutzrechtliche Vorschriften festgestellt.
17.9. Gesetzentwurf über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz)
Die Bundesregierung hat am 25.06.2008 den Gesetzentwurf über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) beschlossen (BT-Drs. 16/10492) und in das Gesetzgebungsverfahren eingebracht. Der Entwurf sieht die Schaffung einer bundesweiten Zentraldatei vor, in der Einkommensdaten der über 30 Millionen abhängig Beschäftigten, Beamten, Richter und Soldaten gespeichert werden sollen. Dadurch werden massenhaft sensible personenbezogene Daten an einer Stelle vorgehalten. Die Nutzung dieser Daten ist zwar bisher auf den Fall beschränkt, dass soziale Leistungen der Bundesagentur für Arbeit sowie der Elterngeld- und Wohngeldstellen beantragt werden. Es ist aber schon jetzt absehbar, dass die Nutzung der Daten künftig auch auf andere Sozialleistungsbereiche ausgeweitet werden soll, nachdem der Gesetzentwurf bereits selbst auf weitere geplante Nutzungsmöglichkeiten hinweist. Eine solche Einkommensdatei, der erhebliche datenschutzrechtliche Bedeutung zukommt, darf nur dann eingerichtet werden, wenn die verfassungsrechtlichen Voraussetzungen, die Erforderlichkeit und Verhältnismäßigkeit sowie die technisch-organisatorischen Vorkehrungen zum Schutz der dort gespeicherten Daten vorliegen. Darauf hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bereits wiederholt hingewiesen. Da der nun vorliegende Gesetzentwurf die bestehenden erheblichen Zweifel an der Verfassungsmäßigkeit des ELENA-Verfahrens nicht ausräumen konnte, hat vor allem auf Initiative Bayerns die 76. Datenschutzkonferenz am 06./07.11.2008 erneut und eindringlich auf die verfassungsrechtlichen und technisch-organisatorischen Mängel des Verfahrens aufmerksam gemacht und eine Nachbesserung des Gesetzentwurfs gefordert.