Sie sind hier: > Start > Tätigkeitsberichte > 28. TB 2018 > 9. Sozialwesen
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2019
9. Sozialwesen
9.1. Bundesrecht: Reform des Sozialgesetzbuches
Das gesamte Sozialgesetzbuch enthält eine Vielzahl bereichsspezifischer Regelungen zum Datenschutz. Die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung erlaubt den Mitgliedstaaten grundsätzlich, bereichsspezifische Regelungen gestützt auf Art. 6 Abs. 1 UAbs. 1 Buchst. c und e in Verbindung mit Abs. 2 und Abs. 3 UAbs. 1 Buchst. b DSGVO sowie insbesondere Art. 9 Abs. 2 Buchst. b, h und i DSGVO beizubehalten. Dies erforderte allerdings, das bereichsspezifische Datenschutzrecht auf die Vereinbarkeit mit der Datenschutz-Grundverordnung hin zu überprüfen und soweit nötig Anpassungen vorzunehmen.
Mitte März 2017 erreichte mich deshalb ein Gesetzentwurf des Bundesministeriums für Arbeit und Soziales zur Anpassung der Vorschriften des Ersten Buches Sozialgesetzbuch - Allgemeiner Teil - (SGB I) und des Zehnten Buches Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) an die Datenschutz-Grundverordnung.
Zu diesem Gesetzentwurf hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder im Rahmen ihrer 93. Sitzung am 29./30. März 2017 aufgrund meiner Initiative folgenden Beschluss gefasst:
"I. Der Gesetzgeber wird aufgefordert, wegen des Ungleichgewichts zwischen Bürger und gesetzlichen Sozialversicherungsträgern oder sonstiger Sozialbehörden (Erwägungsgrund 43 DSGVO) im Bereich des Sozialrechts die Verarbeitung besonderer Kategorien von Daten im Sinne von Art. 9 Absatz [1] DSGVO nur auf der Grundlage von bereichsspezifischen Regelungen zuzulassen.
II. Bei der Verarbeitung von Gesundheitsdaten ist der Gesetzgeber aufgefordert, über die entsprechende Anwendung des § 22 Absatz 2 BDSG-E hinausgehend weitere, spezielle Anforderungen für technische und organisatorische Maßnahmen ausdrücklich gesetzlich vorzusehen. Dabei sollten beispielsweise die Grundsätze der Datenminimierung und Speicherbegrenzung sowie die Notwendigkeit einer Datenschutz-Folgenabschätzung besonders berücksichtigt werden.
III. Der Gesetzgeber sollte die in Artikel 4 Nr. 7 und Artikel 26 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 angelegte Möglichkeit nutzen und - soweit seine Regelungskompetenz besteht - die europarechtlichen Vorgaben für gemeinsame Verfahren im nationalen Recht in Bezug auf Gesundheitsdaten präzisieren. Hierzu könnten beispielsweise entsprechende Landesgesetze als Vorlage herangezogen werden.
IV. Die Datenschutzkonferenz unterstützt ausdrücklich die in Nr. 32 der Stellungnahme des Bundesrats zu Artikel 1 (§ 29 Absatz 3 BDSG) des Entwurfs eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU), erhobene Forderung, wonach die Bundesregierung gebeten wird, "die in § 29 Abs. 3 BDSG-E getroffenen Regelungen zugunsten einer zeitnahen, rechtssicheren und umfassenderen Gesamtregelung auf Grundlage der Anforderungen des Artikels 90 der Datenschutz-Grundverordnung zurückzustellen" (siehe BR-Drs. 110/17 [Beschluss], Seite 29)."
Darüber hinaus habe ich im Rahmen eines Positionspapiers eine Bewertung von Einzelfragen zu dem Gesetzentwurf abgegeben. Dieses Papier war das Ergebnis eines schriftlichen Umlaufverfahrens unter den unabhängigen Datenschutzbehörden des Bundes und der Länder, welches ich als Vorsitzender ihres Arbeitskreises Gesundheit und Soziales durchgeführt habe. Es hat sich insbesondere mit den Regelungen zur Datenerhebung von Sozialdaten mittels Einwilligungserklärung, mit der Verarbeitung von Sozialdaten zu Forschungszwecken und mit der Beschränkung der Betroffenenrechte auseinandergesetzt.
Bedauerlicherweise hat der Bundesgesetzgeber kaum Änderungsvorschläge übernommen und das betreffende Gesetz nahezu unverändert verabschiedet (siehe das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017, BGBl. I S. 2541).
Ein kurzer Überblick über die wesentlichen Änderungen im Ersten und Zehnten Buch Sozialgesetzbuch ist auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018 - Informationsreihe - Einzelthemen" abrufbar. Dabei sind überwiegend nur redaktionelle Anpassungen an die Datenschutz-Grundverordnung, insbesondere an die Begriffsbestimmungen aus Art. 4 DSGVO (siehe § 67 SGB X), vorgenommen worden. Wesentliche Neuerungen ergeben sich bei den Rechten der betroffenen Person (§§ 82 bis 84 SGB X). Zudem sind Regelungen bezüglich der neuen Rechtsschutzmöglichkeiten aufgenommen worden (§§ 81a f. SGB X).
Das Gesetzgebungsverfahren zur Anpassung der weiteren Bücher des Sozialgesetzbuches war bis zum Ende des Berichtszeitraums noch nicht abgeschlossen.
9.2. Gesetzliche Krankenversicherung
9.2.1. Anpassungen an die Datenschutz-Grundverordnung
Im Berichtszeitraum war ich verstärkt mit der Beratung von bayerischen Krankenkassen beschäftigt, die Fragen zur Anpassung ihrer Datenschutzhinweise an die Datenschutz-Grundverordnung hatten.
Dabei ging es zum einen um die Anpassung der konkreten Datenschutzhinweise, die zum Beispiel auf Antragsformularen verwendet werden, und zum anderen um die Erstellung allgemeiner Hinweisblätter zur Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO.
Dabei galt es auch zu berücksichtigen, dass die §§ 82 ff. Zehntes Buch Sozialgesetzbuch Einschränkungen der Informationspflichten sowie der Rechte der betroffenen Person regeln.
Ähnlich verhielt es sich mit dem Beratungsbedarf hinsichtlich der Anpassung von Einwilligungserklärungen.
Dadurch, dass aber das bisherige Sozialgesetzbuch bereits strenge Vorgaben im Zusammenhang mit der Einholung von Einwilligungserklärungen vorsah, haben sich durch die Geltung der Datenschutz-Grundverordnung keine wesentlichen Neuerungen ergeben. Das Merkmal der Freiwilligkeit ist nunmehr besonders sorgfältig zu prüfen (siehe Erwägungsgrund 43 DSGVO). Zudem bedarf es des zusätzlichen Hinweises auf Art. 7 Abs. 3 Satz 2 DSGVO. Danach ist die betroffene Person darüber in Kenntnis zu setzen, dass bei einem Widerruf der Einwilligung die bis zum Widerruf auf Grundlage dieser Einwilligung erfolgte Datenverarbeitung rechtmäßig bleibt.
9.2.2. Häusliche Krankenpflege
Über einen längeren Zeitraum habe ich mich mit dem Fragebogen einer bayerischen Krankenkasse beschäftigt, mit dem sie die versicherte Person hinsichtlich möglicher Ausschlussgründe für den Anspruch auf häusliche Krankenpflege nach § 37 Abs. 3 Fünftes Buch Sozialgesetzbuch- Gesetzliche Krankenversicherung - (SGB V) befragte.
§ 37 SGB V
Häusliche Krankenpflege
(3) Der Anspruch auf häusliche Krankenpflege besteht nur, soweit eine im Haushalt lebende Person den Kranken in dem erforderlichen Umfang nicht pflegen und versorgen kann.
In diesem Zusammenhang stellte die Krankenkasse unter anderem auch die Frage nach den Gründen für die Ablehnung der Pflege durch eine im Haushalt lebende Person.
Diese Nachfrage hielt ich jedoch für nicht erforderlich und daher für unzulässig. Meines Erachtens nach können unter Zugrundelegung der Urteile des Bundessozialgerichts vom 30. März 2000, Az.: B 3 KR 23/99 R, und des Landessozialgerichts Brandenburg vom 7. Juni 2005, Az.: L 24 KR 49/03, grundsätzlich nur drei Fragen gestellt werden:
- Leben noch weitere Personen im Haushalt der versicherten Person?
- Wäre eine dieser Personen bereit, die Pflege (teilweise) zu übernehmen?
- Wäre die versicherte Person mit der Pflege durch diese Person einverstanden? Falls nicht, dürfte die versicherte Person hinsichtlich der eigenen Gründe befragt werden.
Das Bundessozialgericht stellt nämlich den Grundsatz auf, dass der Anspruch auf häusliche Krankenpflege nur dann entfällt, wenn ein beiderseitiges Einverständnis bezüglich der Übernahme der Pflege durch eine im Haushalt lebende Person (sogenannte aktive und passive Pflegebereitschaft) gegeben ist. Des Weiteren besteht laut Gericht keine Möglichkeit der zwangsweisen Durchsetzung, wenn die im Haushalt lebende Person die Übernahme der Pflege verweigern würde. Gleichwohl darf sich die versicherte Person nicht ohne nachvollziehbaren Grund weigern.
Davon unberührt bleibt die Befugnis der Krankenkasse, sich an die verordnende Ärztin oder den verordnenden Arzt zu wenden, wenn diese oder dieser die Verordnung zur häuslichen Krankenpflege nicht oder nicht ordnungsgemäß ausgefüllt haben sollte.
Darüber hinaus habe ich auch empfohlen, die Frage nach der Versorgung mit täglichen Mahlzeiten durch eine im Haushalt lebende Person im Fragebogen zu streichen. Als Begründung für diese Frage hat die Krankenkasse angegeben, dass in diesem Zusammenhang auch Medikamente durch diese Person verabreicht werden könnten. Allerdings muss die Medikamentengabe nicht notwendigerweise mit der Nahrungsaufnahme verbunden sein (siehe Sozialgericht Dortmund, Urteile vom 9. April 2003, Az.: S 13 KR 141/02, und vom 20. Juni 2002, Az.: S 44 KR 251/99); dies gilt insbesondere für Medikamente, die nur bei Bedarf eingenommen werden müssen.
Die Krankenkasse ist schließlich meiner Rechtsauffassung gefolgt und hat den Fragebogen entsprechend angepasst.
9.2.3. Erhebung der steuerlichen Identifikationsnummer
Ein Bürger, der bei seiner gesetzlichen Krankenversicherung Verletztengeld beantragt hatte, legte mir ein Schreiben vor, mit dem die Krankenkasse die Angabe der steuerlichen Identifikationsnummer von ihm verlangte.
Grundsätzlich habe ich seit Einführung der steuerlichen Identifikationsnummer Bedenken hinsichtlich der möglichen Entwicklung der steuerlichen Identifikationsnummer hin zu einem einheitlichen Personenkennzeichen geäußert (siehe vor allem meinen 23. Tätigkeitsbericht 2008 unter Nr. 11.1.1). Die Gefahr, zum "gläsernen Bürger" zu werden, ist im Zeitalter der Digitalisierung der Verwaltungen auch zehn Jahre später nicht geringer geworden.
Deshalb konnte ich die Besorgnis des Petenten nachvollziehen, dass die Erhebung der steuerlichen Identifikationsnummer durch eine Krankenkasse ungewöhnlich wirken muss, weil diese Datenerhebung dem ersten Anschein nach in keinem Zusammenhang mit den originären Aufgaben der gesetzlichen Krankenversicherung steht.
Allerdings sehen das Einkommensteuergesetz (EStG) sowie die Abgabenordnung (AO) hierfür ausreichend Rechtsgrundlagen vor. So hat der Bundesgesetzgeber die gesetzlichen Krankenversicherungen verpflichtet, die Daten über die im Kalenderjahr gewährten Leistungen (im konkreten Fall: Verletztengeld) sowie die Dauer des Leistungszeitraums an die Finanzverwaltung zu übermitteln (§ 32b Abs. 3 Satz 1 Halbsatz 1 EStG). Die Regelung ermöglicht es den Finanzbehörden, den sogenannten Progressionsvorbehalt zu berücksichtigen, womit auf das zu versteuernde Einkommen ein besonderer Steuersatz anzuwenden ist. Die Übermittlungspflicht führt dazu, dass die Träger der Sozialleistungen (hier: die gesetzliche Krankenversicherung) in das Besteuerungsverfahren eingebunden werden.
Damit die Krankenkasse ihrer Pflicht der Datenübermittlung an die Finanzbehörden nachkommen kann, besteht im Gegenzug eine Auskunftspflicht des Leistungsempfängers unter anderem über seine steuerliche Identifikationsnummer (§ 32b Abs. 3 Satz 1 Halbsatz 2 in Verbindung mit § 22a Abs. 2 Satz 1 EStG). Die anschließende Übermittlung der steuerlichen Identifikationsnummer soll eine eindeutige Zuordnung der eingehenden Daten und deren zielgerichtete Auswertung bei den Finanzbehörden ermöglichen.
Falls der Leistungsempfänger die Identifikationsnummer trotz Aufforderung nicht mitteilt, dürfte die Krankenkasse diese sogar unmittelbar beim Bundeszentralamt für Steuern erheben (§ 22a Abs. 2 Satz 2 EStG).
Die Krankenkasse darf die steuerliche Identifikationsnummer aber ausschließlich zu dem Zweck der Übermittlung - zusammen mit den Daten über die gewährte Leistung sowie die Dauer des Leistungszeitraums - verwenden (§ 93c Abs. 7 AO).
Die Eingabe führte dazu, dass die gesetzliche Krankenkasse ihre Datenschutzhinweise, die zum Teil unzureichende Informationen über die Rechtsgrundlagen zur Datenerhebung enthielten, im Sinne der obigen Ausführungen anpasste und richtigstellte.
9.3.1. Vollzug des Pflege- und Wohnqualitätsgesetzes
Bereits in meinem 26. Tätigkeitsbericht 2014 unter Nr. 8.2.1 hatte ich angekündigt, die Einhaltung des mit dem Bayerischen Staatsministerium für Gesundheit und Pflege vereinbarten Verfahrens in Bezug auf die Prüfungen von Pflegeeinrichtungen zu überprüfen. Im 27. Tätigkeitsbericht 2016 unter 8.2.1 hatte ich dann über die Ergebnisse der schriftlichen Umfrage unter den Fachstellen für Pflege und Behinderteneinrichtungen - Qualitätsentwicklung und Aufsicht (FQA; früher Heimaufsicht) berichtet.
Im Nachgang dazu habe ich nunmehr im aktuellen Berichtszeitraum mehrere Prüfungen vor Ort durchgeführt. Aufgrund der dabei gewonnenen Erkenntnisse habe ich folgende allgemeingültige datenschutzrechtliche Hinweise für die Durchführung heimaufsichtsrechtlicher Prüfungen gegeben:
Zunächst ist immer erst zu klären, ob für das jeweilige Tätigwerden der FQA eine Einwilligung benötigt wird.
Das Gesetz sieht hierzu vor, dass jede Verarbeitung der im Rahmen der Prüfungstätigkeit gewonnenen personenbezogenen Daten der Zustimmung durch die Bewohnerin oder den Bewohner bedarf.
Die Einsichtnahme in die Pflegedokumentation und die Inaugenscheinnahme des pflegerischen Zustands einer Bewohnerin oder eines Bewohners fallen unproblematisch darunter, ein allgemeines Gespräch mit einer Bewohnerin oder einem Bewohner, um die Einwilligungsfähigkeit zu klären, dagegen (noch) nicht.
Zur Einholung der Einwilligungserklärung ist das vom Gesundheitsministerium zur Verfügung gestellte Musterformular zu verwenden.
Darüber hinaus darf dieses Formular nicht (pauschal) vorab angekreuzt werden; vielmehr ist im Rahmen des "Einwilligungsgesprächs" zu entscheiden, was tatsächlich Gegenstand der Qualitätsprüfung sein soll.
Zu jedem angekreuzten Punkt muss auch die Einwilligung gegeben worden sein. Das bedeutet, die FQA muss die einwilligende Person über die konkrete Prüftätigkeit (etwa Inaugenscheinnahme des Pflegezustandes oder Einsichtnahme in die Pflegedokumentation) informieren und hierfür jeweils das vorherige Einverständnis einholen.
Auf dem Einwilligungsformular darf im "Briefkopf" nur die prüfende FQA zu finden sein. Die verantwortliche Stelle muss für die einwilligende Person unmissverständlich erkennbar sein.
Für den Fall, dass bereits im Voraus (nicht am Prüfungstag) eine Einwilligung eingeholt worden ist, kann im Formular das Feld "Datum der Prüfung" gestrichen werden.
- Einholung der Einwilligung allein bei Bewohnerin oder Bewohner
Eine vorliegende Betreuung schließt zunächst nicht automatisch die Möglichkeit der alleinigen Erklärung der Einwilligung durch die Bewohnerin oder den Bewohner aus. Das in den §§ 1896 ff. Bürgerliches Gesetzbuch (BGB) geregelte Betreuungsrecht verfolgt vielmehr grundsätzlich das Ziel, dem Recht auf Selbstbestimmung sowie auf freie Entfaltung der Persönlichkeit des oder der Betreuten so weit wie möglich Rechnung zu tragen.
Deshalb sollte im Rahmen der Einholung von Einwilligungserklärungen immer erst geprüft werden, ob die Bewohnerin oder der Bewohner - trotz vorhandener (rechtlicher) Betreuung - noch selbst einwilligungsfähig wäre und die Einwilligung demzufolge alleine erklären könnte. Dies gilt insbesondere, wenn das Betreuungsgericht keinen einschlägigen Einwilligungsvorbehalt im Sinne des § 1903 BGB angeordnet hat.
Einwilligungsfähigkeit ist dabei die Fähigkeit der betroffenen Person, mögliche Folgen der Erhebung und Verwendung ihrer personenbezogenen Daten, somit den Umfang und die Tragweite ihrer Zustimmungserklärung, abschätzen zu können.
Falls eine Bewohnerin oder ein Bewohner einwilligungsfähig ist und selbst unterschrieben hat, liegt bereits eine schriftliche Zustimmung vor. Das Ausfüllen eines etwaigen Zusatzes "mündlich zugestimmt", des "Grundes der nur mündlichen Zustimmung" sowie ein Gegenzeichnen lassen durch die FQA und/oder durch eine dritte Person wäre in diesem Fall nicht erforderlich und sollte aus Gründen der Rechtsklarheit unterbleiben.
Kann die einwilligungsbereite Bewohnerin oder der einwilligungsbereite Bewohner tatsächlich, zum Beispiel aufgrund körperlicher Einschränkungen, nicht mehr eigenhändig unterschreiben, käme im Ausnahmefall ein Rückgriff auf eine mündliche Einwilligung in Betracht, die auch dokumentiert werden müsste.
Es besteht allerdings kein Wahlrecht einwilligungsfähiger Bewohnerinnen und Bewohner dahingehend, nur mündlich einzuwilligen, falls sie in der Lage sind, selbst zu unterschreiben.
- Einholung der Einwilligung bei Betreuerin oder Betreuer
Falls die Bewohnerin oder der Bewohner nicht mehr einwilligungsfähig ist, kommt die Einholung einer Einwilligung bei einer betreuenden Person in Betracht. Die FQA muss diese Person über den Grund und Inhalt der Qualitätsprüfung aufklären sowie mit ihr das Einwilligungsformular durchgehen.
Wenn die betreuende Person nicht vor Ort anwesend ist, hat diese Aufklärung telefonisch zu erfolgen. Dabei sollte im Hinblick auf die Erklärung der Einwilligung zumindest gefragt werden, ob diese in Textform (etwa per Telefax) erklärt werden kann. Der Rückgriff auf eine mündliche Einwilligungserklärung darf nur im Ausnahmefall erfolgen (siehe 26. Tätigkeitsbericht 2014 unter Nr. 8.2.1 und 27. Tätigkeitsbericht 2016 unter Nr. 8.2.1).
Wenn die betreuende Person die Einwilligung nur mündlich erklären kann, sollte sich davon nicht nur die FQA, sondern auch die Pflegeeinrichtung tatsächlich überzeugen.
Darüber hinaus bin ich bei der Anpassung des Einwilligungsformulars an die Datenschutz-Grundverordnung zur Durchführung heimaufsichtsrechtlicher Prüfungen sowie bei der Erstellung von Hinweisblättern zur Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO beratend tätig gewesen.
Im Übrigen habe ich die ersten Überlegungen des Gesundheitsministeriums zur Novellierung des Gesetzes zur Regelung der Pflege-, Betreuungs- und Wohnqualität im Alter und bei Behinderung begleitet und werde dies auch in Zukunft tun.
9.3.2. Landespflegegeld
Das Bayerische Staatsministerium für Gesundheit und Pflege hat mich im Berichtszeitraum frühzeitig in das Gesetzgebungsverfahren zur Einführung eines Bayerischen Landespflegegeldes eingebunden. Ich habe die Gelegenheit wahrgenommen, hierzu aus datenschutzrechtlicher Sicht Stellung zu nehmen.
In diesem Zusammenhang habe ich insbesondere Bedenken bezüglich einer Regelung geäußert, mit der das neu zu schaffende Bayerische Landesamt für Pflege die Bescheinigung der Pflegebedürftigkeit, die von der Antragstellerin oder dem Antragsteller vorgelegt werden soll, überprüfen können sollte. Hierfür sollte eine Einwilligung der jeweiligen Person eingeholt werden. Ich habe dem Gesundheitsministerium hierzu mitgeteilt, dass ich es für zweifelhaft halte, ob die Einwilligung wirksam erteilt werden kann, da die Einwilligung in die Gewährung einer staatlichen Leistung eingebunden ist und insoweit die Freiwilligkeit in Frage stehen dürfte (siehe Erwägungsgrund 43 DSGVO). Stattdessen habe ich vorgeschlagen, gewisse Mitwirkungspflichten der Antragstellerin oder des Antragstellers vorzusehen.
Nunmehr erklärt das inzwischen verabschiedete Bayerische Landespflegegeldgesetz vom 24. Juli 2018 (GVBl. S. 613, 625) unter anderem das Erste Buch Sozialgesetzbuch (SGB I) sowie das Erste und Zweite Kapitel des Zehnten Buches Sozialgesetzbuch für entsprechend anwendbar. Damit gelten die allgemeinen sozialdatenschutzrechtlichen Vorschriften im Zusammenhang mit der Gewährung des Landespflegegeldes, aber auch gewisse Mitwirkungspflichten der Antragstellerin oder des Antragstellers (siehe § 60 SGB I). Laut der Gesetzesbegründung soll hiermit auf der einen Seite die Antragstellerin oder der Antragsteller mit nur geringem Darlegungsaufwand hinsichtlich des Nachweises ihrer oder seiner Pflegebedürftigkeit belastet werden. Auf der anderen Seite sollen eine hohe Qualität gewährleistet und Missbrauch verhindert werden. Im Regelfall wird daher eine Kopie des Bescheides über die Pflegebedürftigkeit ausreichend sein. Anlassbezogen und stichprobenartig kann die zuständige Behörde aber weitere Beweismittel verlangen, beispielsweise Bestätigungen der Pflegekasse (vgl. Landtags-Drucksache 17/22033, S. 38). Auf eine Datenverarbeitungsbefugnis auf Grundlage einer Einwilligungserklärung ist dagegen verzichtet worden.
Darüber hinaus habe ich die datenschutzkonforme Gestaltung des Formulars zur Beantragung des Landespflegegeldes begleitet.
9.3.3. Alten- und Pflegeheime als Wettbewerbsunternehmen
Im Rahmen meiner Aufgabe, die Verwaltung in datenschutzrechtlichen Zweifelsfragen zu beraten, hatte ich zu klären, welche datenschutzrechtlichen Vorschriften für bayerische Alten- und Pflegeheime einschlägig sind. Eine Kommune war an mich deshalb herangetreten. Zu der aufgeworfenen Frage vertrete ich folgende Auffassung:
Zunächst ist vorrangig das Gesetz zur Regelung der Pflege-, Betreuungs- und Wohnqualität im Alter und bei Behinderung (Pflege- und Wohnqualitätsgesetz) einschlägig. Die darin getroffenen Regelungen stellen besondere Rechtsvorschriften im Sinne des Art. 1 Abs. 5 BayDSG dar.
Sollte das Pflege- und Wohnqualitätsgesetz zu einer konkreten datenschutzrechtlichen Fallkonstellation keine Regelung enthalten, ist auf die allgemeinen datenschutzrechtlichen Vorschriften zurückzugreifen. Ergänzend zur Datenschutz-Grundverordnung sind diese entweder dem Bayerisches Datenschutzgesetz oder dem Bundesdatenschutzgesetz zu entnehmen.
Entscheidend für die Frage, welche allgemeine datenschutzrechtliche Norm (Bayerisches Datenschutzgesetz oder Bundesdatenschutzgesetz) ergänzend zur Datenschutz-Grundverordnung herangezogen werden muss, ist, ob das Alten- oder Pflegeheim ein Wettbewerbsunternehmen darstellt. Denn soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gilt das Bundesdatenschutzgesetz (Art. 1 Abs. 3 BayDSG).
Alten- und Pflegeheime nehmen zwar mit der Sicherstellung einer bedarfsgerechten pflegerischen Versorgung der Bevölkerung grundsätzlich eine öffentliche Aufgabe wahr. Allerdings kann dieser Versorgungsauftrag nicht losgelöst von dem Kriterium der Wirtschaftlichkeit gesehen werden (§ 72 Abs. 3 Satz 1 Nr. 2 Elftes Buch Sozialgesetzbuch - Soziale Pflegeversicherung -). Laut der Gesetzesbegründung zu dieser Vorschrift sollte damit den Landesverbänden der Pflegekassen die Möglichkeit eingeräumt werden, Pflegeeinrichtungen auch über den aktuellen Versorgungsbedarf hinaus zur Pflege der Versicherten zuzulassen. Hierdurch sollte ein geschlossener Markt der zugelassenen Pflegeeinrichtungen verhindert, neuen innovativen Leistungsanbietern der Zugang zum "Pflegemarkt" offen gehalten und so der Wettbewerb unter den Pflegeeinrichtungen gefördert werden. Diese Haltung des Bundesgesetzgebers führt dazu, dass von einer wettbewerblichen Situation auf dem Markt der Pflegeeinrichtungen ausgegangen werden muss.
Diese Sachverhalte und die daran anknüpfenden Überlegungen haben mich im Ergebnis zu der Auffassung gelangen lassen, dass als allgemeines Datenschutzrecht für bayerische Alten- und Pflegeheime, auch wenn sie durch eine öffentliche Stelle betrieben werden, neben der Datenschutz-Grundverordnung das Bundesdatenschutzgesetz anzuwenden ist.
9.4. Sozialbehörden: Verarbeiten von Sozialdaten durch Optionskommunen
9.4.1. Einschaltung des ärztlichen Dienstes
Im Berichtszeitraum habe ich mich weiterhin - wie bereits in der Vergangenheit (siehe 27. Tätigkeitsbericht 2016 unter Nr. 8.3.2 und 25. Tätigkeitsbericht 2012 unter Nr. 8.12) - mit der Verarbeitung medizinischer Daten durch Sozialbehörden, insbesondere durch Optionskommunen, beschäftigt.
Das Bayerische Staatsministerium für Familie, Arbeit und Soziales hat meine Erkenntnisse zum Anlass genommen, die bereits vorhandenen Vollzugshinweise für Optionskommunen zur Thematik Sozialdatenschutz um die Rubrik "Erhebung medizinischer Daten" zu ergänzen. Darin wird unter anderem ein Verfahren zur Zusammenarbeit mit der begutachtenden Ärztin oder dem begutachtenden Arzt empfohlen.
- Vertragliche Vereinbarung
Dabei stellte sich dann konkret die Frage, wie die Beauftragung einer niedergelassenen Ärztin oder eines niedergelassenen Arztes zur Vornahme einer ärztlichen Begutachtung durch eine Sozialbehörde rechtlich einzuordnen ist.
Ich habe dabei die Auffassung vertreten, dass, wenn ein entsprechender Dienst- oder Beratungsvertrag mit der niedergelassenen Ärztin oder dem niedergelassenen Arzt geschlossen wird, es sich bei der Ärztin oder dem Arzt nicht um eine "Dritte" oder einen "Dritten", also nicht um eine Person außerhalb der verantwortlichen Stelle handelt (siehe hierzu auch meinen 27. Tätigkeitsbericht 2016 unter Nr. 8.3.9).
Bezogen auf die Einschaltung von ärztlichen Beratern durch einen Sozialversicherungsträger hat das Bundessozialgericht in zwei Urteilen vom 5. Februar 2008, Az.: B 2 U 8/07 R und B 2 U 10/07 R, festgestellt, dass
"die Beratungstätigkeit nicht auf Ärzte, die in einem Beschäftigungsverhältnis im Sinne des § 7 Viertes Buch Sozialgesetzbuch (SGB IV) bei dem jeweiligen Unfallversicherungsträger stehen, beschränkt ist [...]. Entscheidend ist die Ausgestaltung der Rechtsbeziehung zu ihnen, so dass z. B. der Abschluss entsprechender Dienst- oder Beratungsverträge höherer Art mit sogenannten Beratungsärzten möglich ist, die dann als Teil des Unfallversicherungsträgers tätig werden".
Das bedeutet, dass in diesen Fällen die Vertragsärztinnen und -ärzte nicht als sogenannte "Dritte" anzusehen sind, sondern im Rahmen der Begutachtung Teil der verantwortlichen Stelle werden.
Dies hat zur Folge, dass das datenschutzrelevante Handeln der niedergelassenen Ärztin oder des niedergelassenen Arztes im Zusammenhang mit der Begutachtung der auftraggebenden Sozialbehörde zuzurechnen ist.
Hinsichtlich des notwendigen Inhalts einer entsprechenden Vereinbarung habe ich auf die im Rahmen des Urteils des Landessozialgerichts Baden-Württemberg vom 25. Oktober 2013, Az.: L 8 U 541/13, festgelegten Kriterien verwiesen (insbesondere Unterwerfung unter die entsprechenden Amts- und Verschwiegenheitspflichten, die auch für Angestellte sowie Beamtinnen und Beamten gelten; siehe auch Landessozialgericht Bayern, Urteil vom 13. Juni 2013, Az.: L 17 U 239/11).
- Schweigepflichtentbindungserklärung
Unabhängig davon habe ich im Rahmen einer Eingabe Kenntnis davon erlangt, dass die Gewährung einer Leistung nach dem Zweiten Buch Sozialgesetzbuch - Grundsicherung für Arbeitsuchende - zwingend von der Abgabe einer Schweigepflichtentbindungserklärung abhängig gemacht worden sei; obwohl die betroffene Person bereit war, medizinische Unterlagen selbst beizubringen oder sich einer ärztlichen Begutachtung zu unterziehen.
Ich habe hierzu die Auffassung vertreten, dass die Nichterteilung einer Schweigepflichtentbindungserklärung nicht in jedem Fall automatisch zu einer Entziehung oder Versagung der Leistungen führen darf. Die Erteilung einer Schweigepflichtentbindungserklärung stellt zwar eine Mitwirkungsobliegenheit nach § 60 Abs. 1 Nr. 1 Erstes Buch Sozialgesetzbuch (SGB I) dar, und die Nichterteilung ohne wichtigen Grund kann bei Vorliegen der übrigen gesetzlichen Voraussetzungen zu einer vollständigen oder teilweisen Versagung oder Entziehung der Leistungen führen (siehe § 66 SGB I).
Sofern der Leistungsberechtigte von sich aus aber ärztliche Unterlagen zum Beleg seiner Einschränkungen vorgelegt hat, liegt zunächst keine erhebliche Erschwerung der Sachverhaltsermittlung vor, da diese Unterlagen zunächst von der begutachtenden Ärztin oder dem begutachtenden Arzt ausgewertet werden können. Sollten die Unterlagen zum Nachweis nicht genügen, kann anschließend geprüft werden, ob zusätzlich eine Entbindung von der Schweigepflicht erforderlich ist.
9.4.2. Anpassung an die Datenschutz-Grundverordnung
Die bereits vorhandenen Vollzugshinweise des Sozialministeriums für Optionskommunen zur Thematik Sozialdatenschutz sind unter meiner Beteiligung an die Datenschutz-Grundverordnung angepasst worden. Neben allgemeinen datenschutzrechtlichen Grundsätzen enthalten diese Hinweise auch Ausführungen zu konkreten Einzelfällen (etwa zur Datenverarbeitung von Kontoauszügen).
9.5. Jugendhilfe
9.5.1. Jugendbefragungen
Im Berichtszeitraum habe ich von mehreren Befragungen junger Menschen Kenntnis erlangt. Dabei geht es um ein Instrument der Träger der öffentlichen Jugendhilfe, mit dem Wünsche, Bedürfnisse und Interessen junger Menschen bezüglich des unter anderem freizeitlichen Angebots abgefragt werden sollen (siehe § 80 Abs. 1 Nr. 2 Achtes Buch Sozialgesetzbuch - Kinder- und Jugendhilfe - SGB VIII). Das Ergebnis der Befragung soll dann in die sogenannte Jugendhilfeplanung einfließen.
Von wenigen Ausnahmen abgesehen - die meine datenschutzrechtliche Beratung vorab in Anspruch genommen haben -, zeigten sich dabei immer ähnliche datenschutzrechtliche Problemfelder.
Die Träger der öffentlichen Jugendhilfe gingen zunächst von einer anonymen Befragung der Kinder und Jugendlichen aus und hielten damit Hinweise zum Datenschutz für entbehrlich.
In den meisten Fällen war jedoch ein Personenbezug aufgrund der konkreten und umfangreichen Fragestellungen zumindest herstellbar. Dies ist bereits ausreichend, um von der Erhebung von "Sozialdaten" im Sinne von § 67 Abs. 1 Satz 1 Zehntes Buch Sozialgesetzbuch (SGB X) zu sprechen.
Bei der Erhebung und Verwendung von Sozialdaten in der Jugendhilfe gelten dann gem. § 61 Abs. 1 Satz 1 SGB VIII die folgenden datenschutzrechtlichen Vorschriften: §§ 62 bis 68 SGB VIII, § 35 Erstes Buch Sozialgesetzbuch (SGB I) sowie §§ 67 bis 85a SGB X.
Diese Vorschriften gelten für alle Stellen des Trägers der öffentlichen Jugendhilfe, soweit sie Aufgaben nach dem Achten Buch Sozialgesetzbuch wahrnehmen. Dies gilt entsprechend für die Wahrnehmung von Aufgaben durch kreisangehörige Gemeinden und Gemeindeverbände, die nicht örtliche Träger sind (§ 61 Abs. 1 Satz 3 SGB VIII).
Das bedeutet, sobald ein Personenbezug herstellbar ist, müssen sozialdatenschutzrechtliche Vorgaben beachtet werden. Konkret müssten Datenschutzhinweise vorgesehen werden. Darin müssen insbesondere Ausführungen dazu enthalten sein, auf welche Rechtsgrundlagen im Sozialgesetzbuch oder allgemeinen Datenschutzrecht sich die Datenverarbeitungen gegenüber den befragten Personen stützen lassen. Zudem sollte aufgeführt sein, dass die Teilnahme freiwillig ist und eine Nichtteilnahme keine negativen Folgen hat.
Des Weiteren sollten dann die Eltern über die entsprechende Befragung im Vorfeld informiert und deren Einverständnis eingeholt werden. Das Gesetz sieht zwar ausdrücklich vor, dass junge Menschen selbst Adressat der Leistungen der Jugendarbeit sind (siehe Wortlaut des § 11 SGB VIII). Allerdings setzt laut Kommentarliteratur die Inanspruchnahme der Leistungen der Jugendarbeit durch Kinder und Jugendliche im Innenverhältnis die Zustimmung der Eltern voraus.
Auch nach der Datenschutz-Grundverordnung verdienen Kinder bei ihren personenbezogenen Daten besonderen Schutz, da sie sich der betreffenden Risiken und Folgen bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind (siehe Erwägungsgrund 38 DSGVO).
Falls der Fragebogen online - etwa mittels QR-Code - ausgefüllt werden soll, müsste man sich darüber hinaus mit mindestens folgenden technischen und organisatorischen Fragen beschäftigen: technische Absicherung (insbesondere Verschlüsselung), Einbindung von weiteren Dienstleistern (etwa zum Betrieb der Website) und Protokollierung. IP-Adressen gelten im Allgemeinen als personenbezogene Daten. Eine Protokollierung der vollständigen IP-Adresse würde somit auch bedeuten, dass die Erhebung der Daten der Jugendumfrage nicht anonymisiert erfolgen würde.
Schließlich müssten bei der Einbindung von Dienstleistern, zum Beispiel auch für die Auswertung von Fragebögen, datenschutzrechtliche Vorgaben beachtet werden, die im Rahmen eines Vertrages niedergelegt werden sollten.
9.5.2. Informationsaustausch zwischen Jugendamt und Ermittlungsbehörden
Ich war im Berichtszeitraum des Öfteren mit der Beratung von Jugendämtern beschäftigt, die von Ermittlungsbehörden aufgefordert worden waren, personenbezogene Daten weiterzugeben; auch das Begehren nach Akteneinsicht oder Aktenherausgabe sowie von Zeugenaussagen waren Gegenstand meiner Beratungen.
Zur Klarstellung möchte ich vorab darauf hinweisen, dass nachfolgend (nur) die Zulässigkeit der Verarbeitung von Daten, die dem Sozialgeheimnis nach § 35 Abs. 1 Satz 1 Erstes Buch Sozialgesetzbuch (SGB I) unterfallen, dargestellt wird. Davon zu trennen ist die Frage nach einer etwaigen strafbewehrten Verletzung von Privatgeheimnissen (§ 203 Strafgesetzbuch - StGB).
- Datenübermittlungsbefugnis
Das Sozialgeheimnis verpflichtet den Träger der öffentlichen Jugendhilfe grundsätzlich auch gegenüber den Ermittlungsbehörden. Eine Übermittlung von Daten ist somit nur zulässig, wenn eine entsprechende Befugnis nach dem Sozialgesetzbuch (etwa dem Achten oder Zehnten Buch - SGB VIII oder SGB X) besteht.
Als Datenübermittlungsbefugnis können verschiedene Rechtsgrundlagen in Betracht kommen, die je nach Fallkonstellation einschlägig sein könnten; insbesondere zu prüfen sind:
- Übermittlungsbefugnis gemäß § 68 SGB X:
Nach dieser Vorschrift dürfen grundsätzlich nur gewisse Sozialdaten (etwa Name, Vorname, Geburtsdatum, derzeitige Anschrift der betroffenen Person) zur Erfüllung von Aufgaben unter anderem der Polizeibehörden im Einzelfall übermittelt werden, allerdings nur auf Ersuchen der in dieser Vorschrift genannten Stellen.
- Übermittlungsbefugnis gemäß § 73 SGB X:
Eine Übermittlung von Sozialdaten ist danach - auf Anordnung des Richters - zulässig, soweit sie zur Durchführung eines Strafverfahrens wegen eines Verbrechens oder wegen einer sonstigen Straftat von erheblicher Bedeutung erforderlich ist.
- Übermittlungsbefugnis gemäß § 69 Abs. 1 Nr. 1 SGB X:
Eine Übermittlung von Daten gemäß § 69 Abs. 1 Nr. 1 SGB X ist zulässig, soweit sie erforderlich ist für die Erfüllung der Zwecke, für welche die Daten erhoben worden sind oder für die Erfüllung einer gesetzlichen Aufgabe des Jugendamts. Die Aufgaben des Jugendamts im Bereich der Jugendhilfe ergeben sich aus § 2 SGB VIII.
- Übermittlungsbefugnis gemäß § 69 Abs. 1 Nr. 2 SGB X:
Gemäß § 69 Abs. 1 Nr. 2 SGB X wäre eine Übermittlung von Sozialdaten zulässig, soweit sie erforderlich ist für die Durchführung eines mit der Erfüllung einer Aufgabe nach § 69 Abs. 1 Nr. 1 SGB X zusammenhängenden gerichtlichen Verfahrens einschließlich eines Strafverfahrens. Nicht ausreichend ist ein lediglich örtlicher oder zeitlicher Zusammenhang mit der Tätigkeit des Jugendamts. Vielmehr muss ein sachlicher Zusammenhang zwischen der Aufgabenerfüllung und der Einleitung des gerichtlichen Verfahrens bestehen. Ob dieser Zusammenhang besteht, muss das Jugendamt - im Gegensatz zu § 73 SGB X - selbst entscheiden, da es für die Aufgabenerfüllung zuständig ist.
- Einschränkung der Datenübermittlungsbefugnis
Hinsichtlich der vorgenannten Datenübermittlungsbefugnisse müssen zusätzlich Vorschriften geprüft werden, die eine etwaig bestehende Befugnis wieder einschränken könnten; mit der Folge, dass eine Übermittlung doch nicht zulässig wäre.
- Einschränkung nach § 64 Abs. 2 SGB VIII:
Die Zulässigkeit der Übermittlung nach § 69 SGB X kann durch § 64 Abs. 2 SGB VIII eingeschränkt sein. Die Übermittlung darf danach den Erfolg einer zu gewährenden Leistung nicht in Frage stellen.
- Einschränkung nach § 65 SGB VIII:
Bei der Einschränkung nach § 65 SGB VIII handelt es sich um den Schutz von Informationen, die dem Jugendamt zum Zweck persönlicher und erzieherischer Hilfe anvertraut worden sind. Anvertraut sind Informationen laut der Kommentarliteratur nicht nur, wenn die Mitteilung "unter dem Siegel der Verschwiegenheit" erfolgt, sondern immer dann, wenn derjenige, der die Information der Mitarbeiterin oder dem Mitarbeiter des Jugendamts preisgibt, im Sinne einer subjektiven Zweckbindung von dessen Verschwiegenheit ausgeht und dies ausdrücklich signalisiert oder wenn dies aus dem Zusammenhang erkennbar ist.
Die Nummern 1 bis 5 des § 65 Abs. 1 Satz 1 SGB VIII enthalten jedoch auch wiederum Ausnahmen, die eine zulässige Weitergabe der anvertrauten Informationen ermöglichen. Im Verhältnis zur Polizei kommt überwiegend nur Nummer 5 in Betracht. Danach ist eine Weitergabe unter den Voraussetzungen zulässig, unter denen eine der in § 203 Abs. 1 oder 4 StGB genannten Personen dazu befugt wäre. Eine Rechtfertigung einer solchen Offenbarung könnte sich etwa aus rechtfertigendem Notstand, Nothilfe oder der Wahrnehmung rechtlicher Interessen des Verantwortlichen ergeben.
- Einschränkung nach § 76 SGB X:
Bei der Übermittlung besonders schutzwürdiger Sozialdaten nach den §§ 68 bis 75 SGB X ist als Einschränkung § 76 SGB X zu beachten.
- Sonderregelung des § 68 SGB VIII
Für den Schutz von Sozialdaten bei deren Erhebung und Verwendung im Rahmen der Tätigkeit des Jugendamts als Amtspfleger, Amtsvormund und Beistand gilt nur § 68 SGB VIII (siehe § 61 Abs. 2 SGB VIII).
Für den Fall, dass eine Datenübermittlung unzulässig ist, besteht weder eine Pflicht zur Auskunft, zum Zeugnis noch zur Vorlage oder Auslieferung von Schriftstücken, nicht automatisierten Dateien und automatisiert verarbeiteten Sozialdaten. Dies ergibt sich aus § 61 Abs. 1 Satz 1 SGB VIII in Verbindung mit § 35 Abs. 3 SGB I.
§ 35 Abs. 3 SGB I richtet sich zunächst an die in § 35 Abs. 1 Satz 1 und 4 SGB I genannten Stellen, aber auch an deren Beschäftigte (siehe § 35 Abs. 1 Satz 5 SGB I); das heißt auch an jede Mitarbeiterin und jeden Mitarbeiter des Jugendamts. Den Bediensteten darf daher keine Genehmigung zur Aussage als Zeuge erteilt werden (siehe etwa Landgericht Braunschweig, Beschluss vom 13. Juni 1986, Az.: 32 Qs 48/86).
9.5.3. Kommunale Satzungen bayerischer Kindertageseinrichtungen
Ich habe Kenntnis darüber erlangt, dass eine Gemeinde per Satzung für ihre örtliche Kindertageseinrichtung festlegte, dass Eltern dazu verpflichtet sind, bei jeglicher Erkrankung des Kindes und einem dadurch bedingten Fehlen mitzuteilen, um welche Erkrankung es sich handelt und wie lange diese voraussichtlich dauern wird. Darüber hinaus wurde von den Eltern verlangt, das vollständige Nachweisheft für Vorsorgeuntersuchungen und den Impfpass vorzulegen.
Solche pauschalen Vorgaben sind datenschutzrechtlich allerdings in hohem Maße problematisch.
So lässt sich eine (allgemeine) Meldepflicht von Eltern gegenüber Kindertageseinrichtungen hinsichtlich jeglicher Erkrankung des Kindes sowie der Erkrankungsart und -dauer keiner gesetzlichen Regelung entnehmen. Weder in Gesetzen des Sozial- noch des Gesundheitsrechts gibt es derzeit einen Anknüpfungspunkt hierfür. Eine entsprechende Meldung der Eltern kann allenfalls auf freiwilliger Basis erfolgen. Lediglich das Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (Infektionsschutzgesetz - IfSG) sieht eine Meldepflicht vor. Diese ist aber nicht pauschal ausgestaltet, sondern nimmt allein auf bestimmte übertragbare Erkrankungen Bezug (beispielsweise Cholera, Keuchhusten, Masern, siehe § 34 Abs. 4 und 5 IfSG).
Auch für eine verpflichtende Vorlage des vollständigen Nachweishefts für Vorsorgeuntersuchungen und des Impfpasses ist eine gesetzliche Grundlage nicht erkennbar. Vorgeschrieben ist hier lediglich, dass Eltern bei der Anmeldung des Kindes eine Bestätigung über dessen Teilnahme an der letzten fälligen altersentsprechenden Früherkennungsuntersuchung vorzulegen haben (Art. 9b Abs. 2 Satz 1 Bayerisches Gesetz zur Bildung, Erziehung und Betreuung von Kindern in Kindergärten, anderen Kindertageseinrichtungen und in Tagespflege), sowie, dass (lediglich) ein Nachweis über die erfolgte Impfberatung erbracht werden muss (§ 34 Abs. 10a IfSG).
Ich habe der Gemeinde meine datenschutzrechtlichen Einwände mitgeteilt, woraufhin die Satzung geändert wurde; die beanstandeten Vorgaben sind nun nicht mehr in der Satzung enthalten.