Aus datenschutzrechtlicher Sicht sind die folgenden Regelungen der RSAV von besonderer Bedeutung Nach § 28 f Abs
Der Informationsfluss zwischen den an DMP beteiligten Stellen, insbesondere der Umfang der den Krankenkassen vorzulegenden Patientendokumentation, ist nach § 137 f SGB V in einer Rechtsverordnung zu regeln. Dies ist in der Vierten Verordnung zur Risikostrukturausgleichsverordnung (RSAV) geschehen. Mittlerweile ist bereits die Siebte RSAV in Kraft getreten.
Aus datenschutzrechtlicher Sicht sind die folgenden Regelungen der RSAV von besonderer Bedeutung:
Nach § 28 f Abs. 2 Nr. 3 RSAV muss der Versicherte in jede einzelne Übermittlung gesondert schriftlich einwilligen.
Die RSAV sieht vor, dass den Krankenkassen die Aufgabe der „Betreuung" im Rahmen der DMP zukommt. Darüber hinaus findet jedoch auch eine (Erfolgs-)Kontrolle durch die Krankenkassen statt. In den Verträgen sollte daher eine möglichst konkrete Aufgabenbeschreibung der Krankenkassen vorgenommen werden, weil sich hierauf die Einwilligungserklärung des Versicherten, die Bestandteil der Verträge ist, zu beziehen hat.
Die Krankenkassen erhalten für ihre Aufgabenerfüllung medizinische Daten der Versicherten. Welche dies konkret sind, ist in den Anlagen der RSAV geregelt. Nach § 28 f Abs. 2 RSAV besteht die Möglichkeit, dass die Krankenkassen mit den Kassenärztlichen Vereinigungen Verträge zum DMP abschließen. In diesen Fällen erhalten die Krankenkassen weniger personenbezogene Daten, insbesondere im Hinblick auf die Leistungserbringer. Kommen derartige Verträge nicht zustande, können die Krankenkassen mit den Vertragsärzten Einzelverträge abschließen. Bei dieser Verfahrensweise erhalten die Krankenkassen im Hinblick auf ihre Aufgaben bei DMP mehr personenbezogene Daten.
Der Weg über die Kassenärztlichen Vereinigungen führt des Weiteren dazu, dass eine Arbeitsgemeinschaft zu gründen ist, welche insbesondere die Aufgabe der Pseudonymisierung und der Depseudonymisierung der Versichertendaten (z. B. für Zwecke der Qualitätssicherung und der Evaluation) zu übernehmen hat. Diese Aufgabe hat für den Fall, dass Verträge mit den Kassenärztlichen Vereinigungen nicht zustande kommen, die Krankenkasse zu übernehmen.
Die Krankenkassen haben nach § 28 f Abs. 1 Nr. 2 RSAV sicherzustellen, dass nur bestimmte geschulte Mitarbeiter Zugang zu den DMP-Daten besitzen.
In Rheinland-Pfalz haben die vier Kassenärztlichen Vereinigungen mit den Betriebs-, Innungs- und Landwirtschaftskassen, der Bundesknappschaft sowie den Angestelltenkrankenkassen und Arbeiter-Ersatzkassen am 13. März 2003 den ersten DMP-Vertrag in Sachen Diabetes unterzeichnet. Die AOK hat einen Vertragsabschluss abgelehnt und beabsichtigt stattdessen, Einzelverträge mit den Vertragsärzten abzuschließen.
Die dem LfD vorgelegten Musterverträge waren inhaltlich stark an die Vorgaben des Bundesversicherungsamtes gebunden, so dass datenschutzrechtliche Änderungs- bzw. Ergänzungswünsche nur noch teilweise in Bezug auf die Einwilligungserklärung/Versicherteninformation möglich waren. Der LfD wird weitere Fragen, die insbesondere mit der Einschaltung einer Arbeitsgemeinschaft im Zusammenhang stehen, weiterhin kritisch begleiten und die gesetzeskonforme Umsetzung der o. g. Bestimmungen im Rahmen örtlicher Feststellungen regelmäßig überprüfen.
Arztgeheimnis und strafrechtliche Ermittlungen
Die Aufklärung von Tötungsdelikten zählt zweifelsohne zu den wichtigsten Aufgaben der Polizei. Damit sie diese Aufgabe wahrnehmen kann, sind ihr in der StPO umfangreiche Befugnisse eingeräumt worden. Diese umfassen selbstverständlich auch das Recht, die für die Aufklärung der Tat erforderlichen Informationen erheben zu dürfen. Fordert die Polizei im Rahmen ihrer Ermittlungstätigkeit jedoch Sozialdaten an, so beurteilt sich die Rechtmäßigkeit der Datenweitergabe durch den Sozialleistungsträger ausschließlich nach den Bestimmungen des Sozialgesetzbuches. Ein Umstand, der bei Delikten, bei denen ein entsprechender Ermittlungsdruck besteht, bisweilen übersehen wird. So auch in dem Fall, in dem die Polizei Ermittlungen im Zusammenhang mit dem Auffinden eines unbekannten toten Säuglings anstellte. In Abstimmung mit der Staatsanwaltschaft wurde eine Kassenärztliche Vereinigung gebeten, eine Liste der Frauen auszuhändigen, bei denen der errechnete Geburtstermin in dem Zeitraum des Auffindens des Säuglings lag. Die Kassenärztliche Vereinigung druckte daraufhin eine Liste mit Namen, Vornamen, Geburtsdatum, Anschrift und dem mutmaßlichen Entbindungstag der entsprechenden Patientinnen aus und übergab sie der Polizei. Diese schied aus dem Datenbestand diejenigen Mütter aus, deren Geburt amtlich registriert war. Die verbleibenden Frauen, bei denen keine Geburt festgestellt werden konnte, wurden im Rahmen einer schriftlichen Befragung aufgefordert, ärztliche Bescheinigungen über Abtreibung bzw. Totgeburten vorzulegen.
Einige der betroffenen Frauen wandten sich daraufhin Rat suchend an ihre jeweiligen Frauenärzte. Der Berufsverband der Frauenärzte, welcher auf diesem Weg von den Vorkommnissen unterrichtet wurde, wies in seinem Schreiben an die Kassenärztliche Vereinigung, die Staatsanwaltschaft sowie den LfD darauf hin, dass das Arzt-Patientengeheimnis durch die Vorgehensweise der Polizei in erheblichem Umfang ausgehöhlt würde. So könnten Frauen, welche einen legalen Abbruch vor ihrer Familie verheimlicht hätten, bei islamischer Herkunft in Lebensgefahr geraten, falls das Schreiben von Familienangehörigen gelesen würde.
Der Leitende Oberstaatsanwalt ließ nach Unterrichtung über den Vorgang die fragliche Ermittlungsaktion stoppen und die betreffenden Patientendaten vernichten. Diese Form der Schadensbegrenzung änderte jedoch nichts daran, dass die Datenerhebung der Ermittlungsbehörden und die Datenübermittlung der Kassenärztlichen Vereinigung mit den Vorschriften des Sozialgesetz67 buches nicht zu vereinbaren und damit rechtswidrig waren (vgl. § 35 Abs. 3 SGB I i. V. m. §§ 73 und 76 SGB X). Der LfD beanstandete den unzulässigen Informationsaustausch sowohl gegenüber der Kassenärztlichen Vereinigung als auch der Staatsanwaltschaft. Beide Institutionen haben in der Zwischenzeit durch interne Maßnahmen dafür Sorge getragen, dass solche Vorgänge künftig ausgeschlossen werden.
Anforderung medizinischer Unterlagen durch Krankenkassen bei Krankenhäusern
Im 18. Tätigkeitsbericht wurde unter Tz. 11.1.1 ausführlich über die Zulässigkeit der Anforderung medizinischer Unterlagen durch Krankenkassen bei Krankenhäusern berichtet. Anlass waren die aus Sicht des LfD unzutreffenden Urteile des Sozialgerichtes Speyer sowie des Landessozialgerichtes, welche im Berichtszeitraum vom Bundessozialgericht überprüft wurden. Das Bundessozialgericht schloss sich dabei der Rechtsauffassung des LfD vollinhaltlich an. Es stellte in seinem Urteil vom 23. Juli 2002 fest, dass Krankenkassen eine Einsichtnahme in Behandlungsunterlagen nicht aus eigenem Recht verlangen können, sondern insoweit auf ein Tätigwerden des MDK angewiesen sind. Der Praxis einiger Krankenkassen, die Begleichung der Krankenhausrechnung von der Vorlage von Patientendaten abhängig zu machen, ist damit ein Riegel vorgeschoben worden. Es bleibt zu hoffen, dass das Urteil des Bundessozialgerichts einen wesentlichen Beitrag dazu leisten kann, den lang andauernden Streit über diese wesentliche Frage innerhalb der gesetzlichen Krankenversicherung endlich beilegen zu können. Im Zuständigkeitsbereich des LfD ergibt sich mit dem Urteil des Bundessozialgerichtes jedoch kein konkreter Änderungsbedarf: Die der Kontrolle des LfD unterstehenden Krankenkassen hatten bereits in der Vergangenheit anerkannt, dass nach der Aufgabenverteilung in der gesetzlichen Krankenversicherung die Einsichtnahme in sensible medizinische Daten wie etwa Arzt-, Operations- und Krankenhausentlassungsberichte ausschließlich dem MDK vorbehalten ist.
Grundsicherungsgesetz
Für ältere und dauerhaft voll erwerbsgeminderte Menschen mit geringem Einkommen ist am 1. Januar 2003 ein neues Leistungsgesetz zur Sicherung des Lebensunterhaltes in Kraft getreten. Das GSiG sieht insoweit die Einführung einer von der Sozialhilfe unabhängigen Leistung vor, die die verschämte Altersarmut verhindern und voll erwerbsgeminderten Erwachsenen eine eigenständige materielle Absicherung ihres Lebensunterhaltes garantieren soll. Das entsprechende Ausführungsgesetz auf Landesebene legt als Träger der Grundsicherung die Landkreise und kreisfreien Städte fest, die diese Aufgabe jedoch an die Verbandsgemeinden delegieren können.
Mit dem In-Kraft-Treten des neuen Gesetzes wurden auch datenschutzrelevante Fragen aufgeworfen. So wollte eine Verbandsgemeinde beispielsweise wissen, ob die Sozialämter an die Grundsicherungsämter die Antragsdaten übermitteln dürfen oder ob zuvor das Einverständnis der Betroffenen einzuholen ist. Hierzu war festzustellen, dass nicht etwa die Verbandsgemeindeverwaltung insgesamt, sondern das Sozialamt der Verbandsgemeinde als verantwortliche Stelle im Sinne des § 67 Abs. 9 SGB X zu qualifizieren ist. Dies bedeutet, dass Informationsweitergaben des Sozialamtes an andere Stellen auch innerhalb der Verbandsgemeindeverwaltung rechtlich als Übermittlung von Sozialdaten zu qualifizieren sind. Diese sind nur nach Maßgabe des § 69 SGB X zulässig.
Voraussetzung einer zulässigen Datenübermittlung ist hiernach stets die Erforderlichkeit der Informationsweitergabe. Im vorliegenden Fall waren die Grundsicherungsämter jedoch selbst in der Lage, die erforderlichen Daten bei den Betroffenen zu erheben.
Dies entspricht im Übrigen auch dem sog. Ersterhebungsgrundsatz beim Betroffenen (vgl. § 67 a Abs. 2 SGB X).
Eine Datenerhebung beim Betroffenen hat im Übrigen den Vorteil, dass auch nur die Informationen erhoben werden, die für die Aufgabenerfüllung der Grundsicherungsämter tatsächlich benötigt werden. Aufgrund der unterschiedlichen Zielsetzungen des Sozialhilfeverfahrens einerseits und des Verfahrens über die bedarfsorientierte Grundsicherung andererseits besteht ansonsten die Gefahr nicht erforderlicher Datenweitergaben.
Da das Sozialgesetzbuch eine Übermittlung von Sozialdaten zur Verfahrenserleichterung („im Interesse des Betroffenen") nicht kennt, konnten die entsprechenden Daten von dem Sozialamt nur dann zur Verfügung gestellt werden, wenn die Betroffenen zuvor eingewilligt hatten.
Auch die bundesweit zum Einsatz kommenden Formulare zur Durchführung des Grundsicherungsgesetzes wurden einer datenschutzrechtlichen Prüfung unterzogen. Als problematisch erwies sich dabei der Informationsaustausch zwischen Rentenversicherungsträger und Grundsicherungsträger, wenn eine volle Erwerbsminderung noch nicht festgestellt worden ist. Die Beantwortung der Frage, ob der Grundsicherungsträger seinerseits überhaupt personenbezogene Daten erheben darf und bei welcher Stelle die Unterlagen dauerhaft aufzubewahren sind, hängt nämlich davon ab, welche Zuständigkeitsverteilung zwischen Grundsicherungsund Rentenversicherungsträger besteht und ob der Entscheidung des Rentenversicherungsträgers Bindungswirkung für das Grundsicherungsamt zukommt. Die Fragen werden derzeit vom BfD mit dem Verband der Rentenversicherungsträger geklärt, um eine einheitliche Verfahrensweise zu erreichen.
12. Datenschutz im Ausländerwesen
Überprüfung von Speicherungen im Schengener Informationssystem
In seinem 17. Tb. hatte der LfD von vermehrt vorgelegten Prüfungsersuchen des Personenkreises, der im SIS zur Einreiseverweigerung ausgeschrieben war, berichtet. Die Überprüfungen im aktuellen Berichtszeitraum haben abweichend von den im 17. Tb. dargelegten Feststellungen ergeben, dass in der überwiegenden Anzahl der geprüften Ausschreibungen die Ausschreibungsfristen zu lang gewählt worden waren. Der LfD sah in den nachstehend aufgeführten Prüffällen Anlass, die Löschung der Ausschreibung im SIS zu empfehlen: Rechtsgrundlage für Ausschreibungen zum Zweck der Einreiseverweigerung bildet Art. 96 SDÜ i. V. m. Ziffer 2.2.1.3 der einschlägigen Allgemeinen Anwendungshinweise zum Schengener Durchführungsübereinkommen. Die Vorschrift kann dann nicht herangezogen werden, wenn die Ausschreibung lediglich den Zweck der Aufenthaltsermittlung untergetauchter abgelehnter Asylbewerber verfolgt. Der Empfehlung des LfD, die unzulässigen Ausschreibungen im SIS sowie zur Festnahme in INPOL zu löschen und zur Aufenthaltsermittlung in INPOL oder im AZR auszuschreiben, kamen die Ausländerbehörden regelmäßig nach.
Gemäß Ziffer 2.2.2.1 der vorgenannten Allgemeinen Anwendungshinweise beträgt die Ausschreibungsfrist bei Abschiebungen nach §§ 49 ff. AuslG unbeschadet einer Verlängerung drei Jahre. Hält es die Ausländerbehörde für erforderlich, die Ausschreibung einmalig um weitere drei Jahre zu verlängern, ist dagegen grundsätzlich nichts einzuwenden. Eine Löschung hält der LfD dann für geboten, wenn die für eine darüber hinausgehende weitere Verlängerung erforderlichen neuen Anhaltspunkte oder besonderen Gründe in den jeweiligen Prüffällen nicht vorliegen. Die Ausländerbehörden waren den Empfehlungen des LfD auch in diesen Fällen gefolgt.
Darf das Ausländeramt einem getrennt lebenden noch nicht geschiedenen Ehemann einer Ausländerin Auskunft über den Aufenthaltsort seiner Gattin geben?
Auf entsprechende Fragen von Ausländerämtern hat der LfD wie folgt geantwortet:
Die noch bestehende oder ehemalige Ehe allein stellt in keinem Fall für sich genommen einen Rechtsgrund für eine Auskunftserteilung dar.
Die Datenverarbeitungsregelungen des Ausländergesetzes (§§ 75 bis 80 AuslG) betreffen diese Fälle nicht. Es ist deshalb auf die allgemeinen datenschutzgesetzlichen Regelungen über Datenübermittlungen an Private in § 16 Abs. 1 LDSG zurückzugreifen.
Folgende Übermittlungsalternativen kommen danach in Betracht:
Gemäß § 16 Abs. 1 Nr. 2 i. V. m. § 12 Abs. 1 Nr. 2 LDSG ist eine Übermittlung zulässig, wenn die Betroffenen eingewilligt haben; dies kommt in den geschilderten Fällen, in denen Streit zwischen den ehemaligen oder noch verbundenen Ehegatten besteht, offensichtlich nicht in Betracht.
Gemäß § 16 Abs. 1 Nr. 2 i. V. m. § 12 Abs. 1 Nr. 4 LDSG, wenn die Übermittlung zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist; dies ist in Fällen der vorliegenden Art, in denen es allein um Interessen der Anfrager geht, ebenfalls regelmäßig ausgeschlossen.
Gemäß § 16 Abs. 1 Nr. 2 i. V. m. § 12 Abs. 1 Nr. 5 LDSG, wenn dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist; ein solcher Fall wäre vorstellbar; es müssten aber entsprechende Gesichtspunkte seitens des Anfragenden nachgewiesen werden.
Gemäß § 16 Abs. 1 Nr. 2 i. V. m. § 12 Abs. 1 Nr. 9 LDSG, wenn die Daten allgemein zugänglich sind und wenn keine Anhaltspunkte vorliegen, dass der Datenübermittlung überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen; dies kommt in Betracht, wenn die Adresse tatsächlich z. B. im Telefonbuch vermerkt ist und nicht von einer streitigen Auseinandersetzung zwischen den Beteiligten auszugehen ist; im Zweifel empfiehlt sich vor einer Datenübermittlung eine Anfrage bei der betroffenen Person, um deren Daten es geht.
Nach § 16 Abs. 1 Nr. 3 LDSG wird eine Datenübermittlung auch durch ein rechtliches Interesse gerechtfertigt, wenn keine überwiegenden schutzwürdigen Belange des Betroffenen ersichtlich sind. Der Begriff des rechtlichen Interesses ist vom „berechtigten Interesse" deutlich zu unterscheiden. Damit ist nicht jedes von der Rechtsordnung bloß anerkannte Interesse gemeint, dessen Verwirklichung Ausfluss der allgemeinen Handlungsfreiheit ist. Hiermit sind vielmehr Interessen bezeichnet, die mit Hilfe der Rechtsordnung durchgesetzt und vollstreckt werden können. In erster Linie handelt es sich hier also um Rechtsansprüche gegen andere Private oder gegen öffentliche Stellen, zu deren Realisierung Informationen benötigt werden. Auch hier ist eine detaillierte plausible Darlegung durch den Antragsteller gefordert und auch hier ist im Falle eines Streits zwischen den Beteiligten grundsätzlich von einer Übermittlung abzusehen. Auch hier empfiehlt sich im Zweifel eine Anfrage bei der betroffenen Person, um deren Daten es geht.