Hartz
In Anbetracht der dem Allgemeinwohl dienenden Ziele einer umfassenden und validen Gesundheitsberichterstattung sowie unter Berücksichtigung der in § 11 Abs. 1 ÖGdG enthaltenen Regelung kann gleichwohl eine Erhebung personenbezogener Daten durch die Behörden des öffentlichen Gesundheitsdienstes, sofern dies ausschließlich zum Zwecke der Erstellung von Gesundheitsberichten erfolgt, auf der Basis einer informierten Einwilligung gem. § 5 Abs. 2 LDSG zulässig sein. Dabei sollten die hiervon Betroffenen neben der Freiwilligkeit zumindest über den Zweck der Verarbeitung, den möglichen Empfängerkreis der erhobenen Angaben sowie die Dauer der personenbezogenen Speicherung der Daten aufgeklärt werden.
Im Hinblick auf die Datenerhebung im Zusammenhang mit der Schuleingangsuntersuchung wies der LfD darauf hin, dass angesichts der unterschiedlichen rechtlichen Grundlagen der Datenverarbeitungen einerseits zum Zwecke der Feststellung der Schulreife, andererseits zur Erstellung von Gesundheitsberichten, eine deutliche Trennung dieser beiden Komplexe erfolgen muss. Denn während die Schuleingangsuntersuchung für die Betroffenen verpflichtend ist und von diesen nicht verweigert werden kann, obliegt es deren Entscheidung, ob sie darüber hinaus weitere Angaben machen, die nicht der Feststellung der Schultauglichkeit des Kindes dienen.
Das LSJV passte die in diesem Zusammenhang eingesetzten Unterlagen den datenschutzrechtlichen Vorgaben an.
Datenschutz bei der Suchtberatung
Im Rahmen einer Eingabe hatte der LfD folgenden Sachverhalt zu bewerten:
Nachdem aufgrund eines allgemeinen Informationsgesprächs bei der Beratungsstelle des Sozialpsychiatrischen Dienstes einer Kreisverwaltung bekannt wurde, dass möglicherweise ein in einem sicherheitsrelevanten Bereich Tätiger alkoholkrank ist, schaltete die Behördenmitarbeiterin zur Klärung der weiteren Vorgehensweise die Leitung des Sozialpsychiatrischen Dienstes ein. Diese führte mit dem Betroffenen ein weiteres Beratungsgespräch, in dem dieser sich zwar nicht als alkoholabhängig bezeichnete, allerdings ein Alkoholproblem selbst einräumte. Die von dem Amtsarzt angesichts der beruflichen Verwendung des Petenten angeregte Blutuntersuchung lehnte dieser ab. Daraufhin sprach das Gesundheitsamt eine sog. „Behandlungsauflage nach dem PsychKG" aus, nach der sich der Betroffene zu einer weiteren Untersuchung im Gesundheitsamt einfinden sollte. Den vorgeschlagenen Termin sagte der Petent ab. Zugleich teilte er dem Gesundheitsamt mit, dass er selbst mit dem ärztlichen Dienst seines Arbeitgebers einen Gesprächstermin vereinbart habe. Der Amtsarzt informierte seinen Dienstvorgesetzten sowie die Rechtsabteilung der Kreisverwaltung hiervon und stimmte mit diesen die weiteren Schritte ab. Angesichts des angekündigten Gesprächs des Betroffenen mit dem ärztlichen Dienst des Arbeitgebers wurde die Behandlungsauflage als erfüllt angesehen; der Amtsarzt bat zugleich jedoch um eine zeitnahe schriftliche Bestätigung der angekündigten Untersuchung. Dem kam der Petent nicht nach. Das Gesundheitsamt sprach darauf hin erneut eine Behandlungsauflage aus, der der Betroffene entweder durch eine Untersuchung im Gesundheitsamt oder durch einen niedergelassenen Arzt oder durch Einschaltung des ärztlichen Dienstes seines Arbeitgebers nachkommen könne. Für den Fall der Nichtbefolgung stellte das Gesundheitsamt die Unterrichtung des ärztlichen Dienstes des Arbeitgebers in Aussicht.
Der Petent hielt sowohl die verwaltungsinterne Weitergabe der in einem vertraulichen Beratungsgespräch von ihm freiwillig mitgeteilten Informationen als auch die angedrohte Unterrichtung seines Arbeitgebers für datenschutzrechtlich unzulässig. Die Bewertung der Angelegenheit durch den LfD kam dagegen zu einem anderen Ergebnis:
Soweit die Mitarbeiterin der Beratungsstelle die im ersten Gespräch erhaltenen Informationen an die Leitung des Sozialpsychiatrischen Dienstes weitergegeben hatte, war dies von der Regelung des § 34 Abs. 5, Abs. 3 Satz 1 Nr.1a, c PsychKG gedeckt. Denn aufgrund dieser Angaben war zu befürchten, dass der Petent an einer Alkoholerkrankung leidet und dies darüber hinaus aufgrund seiner beruflichen Tätigkeit in einem sicherheitsrelevanten Bereich eine Gefährdung nicht nur seiner Gesundheit, sondern auch der mittelbar davon Betroffenen darstellt. Angesichts dieser Situation war zu entscheiden, ob aufgrund der in dem Beratungsgespräch mitgeteilten Informationen ein Tätigwerden des Gesundheitsamtes auf der Grundlage des § 8 PsychKG bzw. eine sofortige Unterrichtung des ärztlichen Dienstes des Arbeitgebers zur Abwendung der o. g. Gefährdung auf der Grundlage des § 34 Abs. 5 PsychKG erfolgen musste. Angesichts der Komplexität und Tragweite der zu treffenden Entscheidung war es gerechtfertigt, dass die Leitung des Sozialpsychiatrischen Dienstes selbst dies entschied, so dass eine Weitergabe der zugrunde liegenden Informationen an sie erforderlich war, zumal angesichts der betroffenen Rechtsgüter das Geheimhaltungsinteresse des Petenten deutlich zurücktrat.
Auch die im weiteren Verlaufe erfolgte Einbindung des Landrates und des Rechtsreferates der Kreisverwaltung durch den Amtsarzt bzw. die damit verbundene Weitergabe der den Petenten betreffenden Angaben war auf der Grundlage des § 34 Abs. 5, Abs. 3 Satz 1 Nr. 1 a, c PsychKG datenschutzrechtlich zulässig. Nach der Weigerung des Petenten zur Kooperation mit dem Gesundheitsamt musste auch hier ähnlich der Situation unmittelbar nach dem ersten Beratungsgespräch über das weitere Vorgehen entschieden werden. Da der Petent bislang eine Klärung der Frage, ob er tatsächlich alkoholkrank sei, verweigerte, stellte sich die Frage, ob und in welcher Weise das Gesundheitsamt nun tätig werden musste. Auch hier war aufgrund der Komplexität und Tragweite der zu treffenden Entscheidung eine Hinzuziehung des Landrates als Dienstvorgesetzten bzw. des Rechtsreferates zur Klärung des rechtlichen Hintergrundes gerechtfertigt und erforderlich.
Schließlich bestanden aus datenschutzrechtlicher Sicht auch keine Bedenken gegen die von dem Gesundheitsamt für den Fall der Nichtbefolgung der Behandlungsauflage angekündigte Unterrichtung des ärztlichen Dienstes des Arbeitgebers. In diesem Zusammenhang war insbesondere zu berücksichtigen, dass das Gesundheitsamt dem Petenten mehrere Möglichkeiten offen ließ, in welcher Weise der Behandlungsauflage entsprochen werden konnte und somit nicht zwingend eine Unterrichtung des ärztlichen Dienstes des Arbeitgebers verlangt wurde. Angesichts der aus Sicht des Gesundheitsamtes gegebenen Gefahrenlage musste jedoch definitiv geklärt werden, ob der Petent tatsächlich alkoholkrank war. Hierzu durfte das Gesundheitsamt zumindest bei nicht vorliegender Kooperationsbereitschaft des Petenten auf der Grundlage des § 34 Abs. 5, Abs. 3 Satz 1 Nr.1 a, c PsychKG den ärztlichen Dienst des Arbeitgebers unterrichten.
Outsourcing im Krankenhaus
Bestellung eines externen Datenschutzbeauftragten
Aufgrund der Anfrage eines „frei schaffenden Datenschützers" hatte der LfD zu der Frage Stellung zu nehmen, ob der Kenntnisnahme von Patientendaten durch einen externen Krankenhausdatenschutzbeauftragten datenschutzrechtliche Gründe entgegenstehen.
Nach § 36 Abs. 8 Satz 2 LKG hat der Krankenhausträger nach den für ihn geltenden datenschutzrechtlichen Bestimmungen einen Beauftragten für den Datenschutz zu bestellen. Das für öffentliche Stellen maßgebliche LDSG sieht in § 11 Abs. 1 Satz 5 vor, dass zum behördlichen Datenschutzbeauftragten auch eine Person außerhalb der öffentlichen Stelle bestellt werden kann.
Im Krankenhausbereich werden jedoch regelmäßig sensitive Daten im Sinne des § 3 Abs. 9 LDSG verarbeitet, welche zudem der ärztlichen Schweigepflicht unterliegen (vgl. § 203 Abs.1 StGB). Da ein externer Datenschutzbeauftragter nicht als Teil der verantwortlichen Stelle im Sinne des § 3 Abs. 3 LDSG anzusehen ist, liegt datenschutzrechtlich eine Übermittlung von Patientendaten vor, wenn dieser im Rahmen seiner Tätigkeit personenbezogene Daten von Patienten zur Kenntnis nimmt. Diese ist nur zulässig, wenn entweder die Einwilligung der Betroffenen oder eine Rechtsvorschrift vorliegt. § 36 Abs. 3 LKG enthält keine Bestimmung, auf die eine solche Datenweitergabe gestützt werden könnte. Auch aus dem Verweis auf das LDSG in § 36 Abs. 8 LKG kann nichts Gegenteiliges abgeleitet werden. Denn mit der Aufgabenstellung eines behördlichen Datenschutzbeauftragten gem. § 11 LDSG ist es grundsätzlich nicht zu vereinbaren, wenn dieser sensitive Daten im Sinne des § 3 Abs. 9 LDSG zur Kenntnis nimmt. Der LfD hat aus diesem Grunde in der Vergangenheit stets die Auffassung vertreten, dass die Kenntnisnahme von geschützten Personaldaten durch den behördlichen Datenschutzbeauftragten ohne Einwilligung des Betroffenen unzulässig ist. Nichts anderes kann im Bereich der Patientendaten durch einen externen Datenschutzbeauftragten gelten.
Auch der Hinweis auf das Verpflichtungsgesetz führt zu keinem anderen Ergebnis. Hierzu ist festzustellen, dass ein externer Datenschutzbeauftragter weder als Berufsgeheimnisträger nach § 203 Abs. 1 StGB noch als Berufsgehilfe im Sinne des § 203 Abs. 3 StGB zu qualifizieren ist. Über das Verpflichtungsgesetz kann lediglich eine strafrechtliche Gleichstellung mit einem Amtsträger nach § 203 Abs. 2 StGB erreicht werden. Die ärztliche Schweigepflicht ist jedoch mit der normalen Schweigepflicht eines Amtsträgers nicht zu vergleichen. In § 203 Abs. 1 und 3 StGB wird die besondere Vertrauensbeziehung zwischen einem Berufsgeheimnisträger und dem Klienten geschützt, welches auch strafprozessual über Zeugnisverweigerungsrechte (vgl. § 53 Abs. 1 Nr. 3 StPO) und Beschlagnahmeverbot (§ 97 StPO) abgesichert ist. Der beamtenrechtlichen Verschwiegenheitspflicht nach § 203 Abs. 2 StGB liegt demgegenüber keine besondere Vertrauensbeziehung zugrunde. Aus diesem Grunde hat der LfD in der Vergangenheit die Auffassung vertreten, dass im vergleichbaren Fall der Auftragsdatenverarbeitung durch Private eine „§ 203 StGB entsprechende Schweigepflicht" wie dies § 36 Abs. 9 LKG voraussetzt über das Verpflichtungsgesetz nicht zu erreichen ist.
Gegen die Beauftragung eines externen privaten Datenschutzbeauftragten im Krankenhausbereich bestehen somit erhebliche datenschutzrechtliche Bedenken.
Zu den Aufgaben und Befugnissen des behördlichen Datenschutzbeauftragten hat der LfD die Orientierungshilfe „Hinweise zum behördlichen Datenschutzbeauftragten" erstellt, die im Internetangebot des LfD unter der Rubrik „Materialien" „Hinweise und Empfehlungen" abrufbar ist.
Auslagerung der Patientenaktenverwaltung im Krankenhausbereich
Die Beauftragung externer Dritter mit der Verwaltung von Patientenakten gewinnt auch im Krankenhausbereich an Bedeutung.
Dies ist nicht ohne Brisanz: sowohl die Vorgaben des Landeskrankenhausgesetzes als auch die Strafandrohung des § 203 Abs.1 StGB engen die Möglichkeiten einer Auslagerung stark ein. Folgendes ist zu beachten:
Bei dem Führen und Archivieren von Patientenakten handelt es sich aus datenschutzrechtlicher Sicht um die Verarbeitung personenbezogener Daten. Diese Aufgabe obliegt nach § 10 der Berufsordnung für die Ärzte in Rheinland-Pfalz dem jeweiligen behandelnden Arzt. Soweit der Patient in einem Krankenhaus behandelt wird, ist das Krankenhaus nach § 36 Abs. 2 Nr. 1 LKG zur Vornahme der ärztlichen Dokumentation befugt. Soweit Patientenakten automatisiert geführt werden, ist zudem die in § 36 Abs. 7 LKG enthaltene beschränkte Zugriffsberechtigung nach Abschluss der Behandlung zu berücksichtigen.
Ob und in welcher Form die Verarbeitung von Patientendaten aus dem Krankenhausbereich ausgelagert werden kann, richtet sich in Rheinland-Pfalz primär nach § 36 Abs. 9 LKG. Danach kann sich das Krankenhaus zur Verarbeitung von Patientendaten Dritter bedienen, wenn die Einhaltung der Datenschutzbestimmungen des Landeskrankenhausgesetzes sowie eine § 203 StGB entspre56
chende Schweigepflicht beim Auftragnehmer sichergestellt ist. Dies bedeutet, dass es für die Zulässigkeit der angestrebten Auslagerung der Patientenaktenverwaltung entscheidend darauf ankommt, ob der Auftragnehmer seinerseits der ärztlichen Schweigepflicht unterliegt. Zur Wahrung einer § 203 StGB entsprechenden Schweigepflicht reicht eine in diesem Zusammenhang erwogene Verpflichtung von Mitarbeitern des Auftragnehmers nach dem Verpflichtungsgesetz nicht aus (siehe hierzu auch die näheren Ausführungen in Tz. 10.6.1).
Eine organisatorische Einbindung externer Mitarbeiter in das Krankenhaus kann möglicherweise die Vorgaben des § 36 Abs. 9 LKG erfüllen. Ob dies allerdings tatsächlich der Fall ist, hängt von der konkreten Ausgestaltung dieser Einbindung im Einzelfall ab und muss jeweils sorgfältig geprüft werden.
Grundsätzlich sollte im Vorfeld einer angestrebten Auslagerung der Patientenaktenverwaltung, bei der nach § 36 Abs.1 LKG zumindest dann, wenn es sich um ein in öffentlicher Trägerschaft befindliches Krankenhaus handelt, auch die Vorgaben des § 4 LDSG zu beachten sind, der behördliche Datenschutzbeauftragte des Krankenhauses beteiligt werden.
11. Datenschutz bei Sozialleistungsträgern
Hartz IV und der Datenschutz
Zu einem deutlich gesteigerten Arbeitsaufkommen im Berichtszeitraum führte die ab dem 1. Januar 2005 anstelle der bisherigen Sozial- bzw. Arbeitslosenhilfe eingeführte Gewährung von Leistungen der Grundsicherung für Arbeitsuchende. Diese unter dem Begriff „Hartz IV" bekannt gewordene Neuordnung der staatlichen Unterstützung im Bereich der erwerbsfähigen Arbeitslosen veränderte auf der Grundlage des SGB II neben der inhaltlichen Hilfegestaltung gerade auch unter organisatorischen Gesichtspunkten die bislang vorhandenen Behördenstrukturen in erheblichem Maße. Die betroffenen Behörden hatten in kürzester Zeit neben der Bildung einer neuen aus Bundes- und Kommunalverwaltung gespeisten Organisationsform eine funktionierende Infrastruktur bereitzustellen und darüber hinaus die komplizierten gesetzlichen Neuregelungen des SGB II rechtskonform anzuwenden.
Aus datenschutzrechtlicher Sicht kamen mit dem Inkrafttreten des SGB II zahlreiche auch grundsätzliche Fragen auf, die teilweise beantwortet wurden, oftmals aber noch mit dem BfD und den Länderkollegen sowie der BA geklärt werden müssen, und bei denen es zumindest teilweise ungewiss ist, ob man bislang allgemein anerkannten Prinzipien des Datenschutzes wie z. B. dem Erforderlichkeitsgrundsatz, dem Direkterhebungsgrundsatz oder dem Grundsatz der Datenvermeidung und Datensparsamkeit überhaupt gerecht werden kann. Es mag an der Zusammenlegung bisher getrennter Verwaltungsbereiche und der dazugehörenden Verwaltungen liegen, und es mag letztendlich auch wenig Alternativen zu dem eingeschlagenen Weg geben festzuhalten bleibt, dass mit der im SGB II realisierten Verschmelzung von Leistungs- und Vermittlungsaufgaben der „gläserne Bürger" ein Stück mehr Wirklichkeit geworden ist. Dies ist zumindest angesichts der derzeit vorhandenen äußerst weitreichenden bundesweiten Recherchemöglichkeiten bei der zum Einsatz kommenden Software aus der Sicht des Datenschutzes zu beklagen.
Entwicklungen auf Bundesebene
Bereits im Vorfeld des Inkrafttretens des SGB II gaben die von der BA im Sommer 2004 veröffentlichten Antragsformulare Anlass zum Tätigwerden. Unter Federführung des BfD überprüfte eine kurzfristig von den Datenschutzbeauftragten gebildete Arbeitsgruppe den 16-seitigen Hauptantrag und die zahlreichen Zusatzblätter und stellte diverse datenschutzrechtliche Mängel fest. Nach Gesprächen mit dem BfD erklärte sich die BA bereit, sog. „Ausfüllhinweise zum Antragsvordruck Arbeitslosengeld II" zu erstellen, in denen die meisten der von den Datenschutzbeauftragten bemängelten Punkte klargestellt wurden. Die im September 2004 veröffentlichten Hinweise wurden sowohl den mit der Gewährung des Arbeitslosengeldes II befassten Behörden als auch online den Antragstellern zur Verfügung gestellt. Dennoch erreichten diese Hinweise eine Vielzahl von Antragstellern, die bereits zuvor ihre Anträge eingereicht hatten, nicht mehr. Die 68. Konferenz der Datenschutzbeauftragten des Bundes und der Länder wies in einer hierzu gefassten Entschließung (vgl. Anlage 10) auf diesen Missstand hin. Mittlerweile hat die BA in Abstimmung mit dem BfD die Antragsvordrucke überarbeitet.
Im Hinblick auf die nach § 44 b Abs.1 SGB II neu errichteten Arbeitsgemeinschaften war zunächst zwischen dem BfD und den Landesbeauftragten die datenschutzrechtliche Kontrollzuständigkeit zu klären. Angesichts der in § 36 SGB II festgelegten örtlichen Zuständigkeit der Arbeitsgemeinschaften und in Anlehnung an die in § 44 b Abs. 3 SGB II festgelegte Fachaufsicht durch die zuständige oberste Landesbehörde sind diese gemäß § 81 Abs. 3 Satz 1 SGB X regelmäßig als öffentliche Stelle des Landes zu qualifizieren. Sie unterliegen somit der Kontrollzuständigkeit des jeweiligen Landesbeauftragten für den Datenschutz. Ob damit die Arbeitsgemeinschaften auch eigenverantwortlich datenverarbeitende Stelle sind, konnte zwischen den Datenschutzbeauftragten und der BA noch nicht einvernehmlich geklärt werden. Der LfD vertrat bislang die Auffassung, dass mit der Einordnung der Arbeitsgemeinschaften als öffentliche Stellen diese zugleich verantwortliche Stellen i. S. v. § 3 Abs. 3 LDSG werden und den hieraus resultierenden Pflichten wie z. B. der Bestellung eines behördlichen Datenschutzbeauftragten nachkommen müssen.
Weit gravierender für den Datenschutz war und ist der Einsatz des im Zusammenhang mit der Gewährung des Arbeitslosengeldes II zur Datenerfassung und Leistungsberechnung verwendeten Programms A2LL. Das auch von den Arbeitsgemeinschaften in Rheinland-Pfalz genutzte Verfahren, welches nach Wertung des BfD „nicht einmal den datenschutzrechtlichen Basisanforderungen genügt" (vgl. 20. Tb. des BfD, Tz. 16.1.3), missachtet den Erforderlichkeitsgrundsatz sowie die üblicherweise von den öffentlichen Stellen einzuhaltenden Mindeststandards im technisch-organisatorischen Datenschutz. Die seitens des BfD in seinem 20.