In einem Unternehmen wurde die Einführung eines Informationssystems als Informationsbasis des MitarbeiterKnowhow geplant
Umgangs mit personenbezogenen Daten der Kontrolle durch den betrieblichen Datenschutzbeauftragten unterliegt. Gleichzeitig sollte die Unabhängigkeit des betrieblichen Datenschutzbeauftragten von der Unternehmensleitung gestärkt und zugleich dem Betriebsrat ein Mitbestimmungsrecht bei der Bestellung des Datenschutzbeauftragten auch dann eingeräumt werden, wenn diese Funktion einem vorhandenen Mitarbeiter des Unternehmens übertragen werden soll.
In einem Unternehmen wurde die Einführung eines Informationssystems als Informationsbasis des Mitarbeiter-Know-how geplant. Das System sollte das Know-how aller Mitarbeiter erfassen und insbesondere der strategischen Personalplanung, -förderung und -entwicklung dienen sowie die gezielte Besetzung von Projekten fördern. In diesem Zusammenhang bat der Betriebsrat um umfangreiche Ergebnisberichte, wie sie für die Personalverantwortlichen vorgesehen waren, allerdings unter Auslassung
- des Namens,
- der Personalnummer und
- der PIN-Nummer (dies ist eine Nummer, die das System selbst jedem Datensatz fest zuordnet).
Der Betriebsrat als Organ des Betriebes besitzt keine eigene Rechtspersönlichkeit und ist daher als Teil der speichernden Stelle des Betriebes anzusehen. Daraus folgt jedoch nicht, daß Informationen frei fließen können, vielmehr richten sich die Informationsansprüche des Betriebsrates nach dem Betriebsverfassungsgesetz, das den zulässigen Rahmen für die Nutzung der Arbeitnehmerdaten bestimmt (§ 28 Abs. 1 BDSG).
Danach steht dem Betriebsrat § 92 Betriebsverfassungsgesetz ein umfassendes und rechtzeitiges Informationsrecht bei der Personalplanung zu. Entsprechend hat der Arbeitgeber den Betriebsrat über die Personalplanung, insbesondere den Personalbedarf sowie über die sich daraus ergebenden personellen Maßnahmen und Bildungsmaßnahmen, anhand von Unterlagen zu unterrichten. Insoweit kann es erforderlich werden, dass der Arbeitgeber dem Betriebsrat bestimmte über das Personaldatensystem erhobene oder zu erhebende Daten zugänglich macht, sofern das Personaldatensystem für die Personalplanung erhebliche Daten enthält. Im Planungsstadium sind dabei regelmäßig nur anonymisierte Daten zu übermitteln, die als Entscheidungsgrundlage für die Personalplanung dienliche Informationen enthalten.
Der für den Betriebsrat vorgesehene Ergebnisbericht sollte daher nur Angaben enthalten, die einerseits dem Informationsbedürfnis des Betriebsrates Rechnung tragen, andererseits die Möglichkeit einer Personenbeziehbarkeit weitgehend einschränken.
Gesundheit Organtransplantationen
Das Transplantationsgesetz vom 5. November 1997144 ist nach langwierigen und zum Teil heftigen Debatten in Kraft getreten.
Der Gesetzestext berücksichtigt im wesentlichen die von den Datenschutzbeauftragten im Gesetzgebungsverfahren geltend gemachten Gesichtspunkte. Insbesondere ist zu begrüßen, dass es nicht zu einer Widerspruchslösung und damit zu einem indirekten Erklärungszwang für Patienten gekommen ist. Die in §§ 3 und 4 verankerte Zustimmungslösung, die auf die Zustimmung des Organspenders zu Lebzeiten oder nach seinem Tode auf die Zustimmung der Angehörigen abstellt, hat sich in der Praxis allerdings erst noch zu bewähren. Es muss deutlich darauf hingewiesen werden, dass der mutmaßliche Wille eines möglichen Organspenders zwar ein geeignetes Entscheidungskriterium sein kann, daß dafür aber immer nur auf die Einzelsituation des jeweiligen verstorbenen Patienten abgestellt und nicht generell von einer pauschalierten Spendebereitschaft der Bevölkerung ausgegangen werden kann. Zu begrüßen ist vor allem, dass Angehörige den mutmaßlichen Willen zu prüfen haben und nicht Personen, die ein therapeutisches Interesse an der Organentnahme haben. BGBl. I, 2631
Der Senat stimmt mit der Meinung des Berliner Datenschutzbeauftragten überein.
Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats
Berlin Stadt der Gesundheitsregister Berlin mit seinen mächtigen Forschungseinrichtungen beherbergt eine Reihe großer Datensammlungen mit medizinischen Daten.
Aus der DDR-Zeit stammt das Krebsregister der neuen Bundesländer, dessen Weiterführung zunächst durch das Krebsregistersicherungsgesetz gewährleistet wurde. Im vergangenen Jahr wurde der Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin, Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen unterzeichnet. Er wird in der ersten Hälfte 1998 in Kraft treten und eine endgültige Rechtsgrundlage für diesen wichtigen Datenbestand darstellen.
In den letzten beiden Jahresberichten145 informierten wir über die verschiedensten Maßnahmen, eine datenschutzgerechte Lösung für das Qualitätssicherungsregister von Dialysepatienten zu finden. Nachdem die Anonymisierung bzw. auch Deanonymisierung durch das Dazwischenschalten eines Treuhänders rechtlich wie auch technisch datenschutzgerecht ausgestaltet wurde, konnten mit ausdrücklicher Einwilligung der Betroffenen die Primärdaten erhoben werden. Zwischenzeitlich melden ca. 900 Dialyseeinrichtungen quartalsweise die Daten an den Datentreuhänder. Dieser gibt dann nach der Anonymisierung die Einzeldaten zur Speicherung an das Register weiter. Da es sich hierbei um Daten von fast 60 000 Patienten handelt, galt es, effiziente technische und dennoch datenschutzgerechte Lösungen zu suchen.
Als ein erster Schritt wurde im April begonnen, an die Patienten einen Patientenausweis in Form einer Chipkarte auszugeben.
Aus unserer Sicht ist neben den Vorteilen, die diese Karte für die Patienten beispielsweise beim Wechseln der Behandlungseinrichtung, aber auch für die Ärzte und das Register selbst bietet, von entscheidender Bedeutung, dass weder die Behandlung noch die Meldung an das Register selbst „zwangsweise" die Nutzung dieser Chipkarte voraussetzt. Somit wird der Dialysepatient nicht gezwungen, sich über die Karte „auszuweisen". Sie kann ihm aber mit seiner Einwilligung in Zukunft erhebliche Vorteile bringen, wenn in besonders gesicherten Bereichen charakteristische Behandlungsdaten zusätzlich gespeichert werden. Gegenwärtig ist dies jedoch noch nicht vorgesehen.
Die Bearbeitung der vierteljährlich beim Treuhänder eingehenden großen Mengen an Patientendaten in Form von Meldebögen oder auch übersandten Disketten stellt einen erheblichen Arbeitsaufwand und auch ein Datenschutzrisiko dar. So wurde ein sehr komplexes und ausgeklügeltes Konzept erarbeitet, das auch die Online-Übertragung von Patientendaten durch die Behandlungseinrichtung an den Datentreuhänder und dann der anonymisierten Daten an das Register umfaßte. Dieses Konzept wurde vom Bundesamt für Sicherheit in der Informationstechnik begutachtet. Die Verschlüsselungen auf Grundlage von Kryptoprozessor-Chipkarten erlauben nach Ansicht des BSI einen hinreichenden Schutz, um medizinische Informationen sowohl über ISDN als auch über Internet zu übertragen. Die Gefährdung der Projektgeschäftsstelle gegen „Hacker" soll durch geeignete Maßnahmen wie „Firewalls" oder ISDN-D Kanal Filter verringert werden.
Bundes-Gesundheitssurvey 1997/98
Unbeschadet der Zuständigkeit des Bundesbeauftragten für den Datenschutz bat uns das in Berlin ansässige Robert-KochInstitut Bundesinstitut für Infektionskrankheiten und nicht übertragbare Krankheiten um datenschutzrechtliche Beratung zum Bundes-Gesundheitssurvey 1997/98. Im Rahmen dieser Untersuchung sollen über 7 000 Personen im Alter von 18 bis 79 Jahren bundesweit zu gesundheitsrelevanten Themen befragt und einer medizinischen Untersuchung unterzogen werden. Die Datenerhebung selbst wird im Auftrage des Robert-Koch-Instituts durch ein privates medizinisches Forschungsinstitut durchgeführt. Bei diesem Projekt ist insbesondere das gewählte Anonymisierungsverfahren datenschutzrechtlich interessant, da es entsprechend dem Ablauf der Untersuchung in mehreren Stufen erfolgt. Zunächst wird für die ausgewählten Erhebungsorte eine
JB 1995, 5.14 und JB 1996, 4.5.1
Der Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin, Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen ist am 20. November 1997 unterzeichnet worden und wird nach Ratifizierung durch die beteiligten Länder noch im 1.Halbjahr 1998 in Kraft treten. Der Staatsvertrag enthält auch detaillierte Regelungen zum Datenschutz. Mit ihm wird das Gemeinsame Krebsregister auf eine für die beteiligten Länder gegenüber dem bisherigen Verwaltungsabkommen verbindlichere Grundlage gestellt.
Der Senat begrüßt, dass es in enger Zusammenarbeit mit dem Berliner Datenschutzbeauftragten gelungen ist, eine effiziente technische Lösung für das Qualitätssicherungsregister von Dialysepatienten zu finden, die gleichzeitig die Anforderungen des Datenschutzes erfüllt.
Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats
Stichprobe aus den Melderegistern gezogen. Den Namen dieser Personen wird eine sogenannte „Bruttonummer" zugeordnet.
Wenn nun die um ihre Einwilligung gebetenen Personen zustimmen, werden alle nachfolgenden Befragungen und Untersuchungen nur noch mit einer „Nettonummer" versehen. Damit ist sichergestellt, dass bei der Auswertung der Daten nicht mehr in einem einstufigen Verfahren auf die Adresse zugegriffen werden kann. Die beiden Schlüsselbrücken „Namen-Bruttonummer" und „Bruttonummer-Nettonummer" werden jeweils getrennt von den anderen Unterlagen aufbewahrt. Sie dienen dem Robert-KochInstitut dazu, in einem Zeitraum von ca. 5 Jahren möglicherweise notwendige Nacherhebungen oder Ergänzungsuntersuchungen durchzuführen und die Betroffenen um ihre Mitwirkung zu bitten. Nach Ablauf dieser Frist werden auch diese Schlüsselbrücken gelöscht.
Der Computer und der Tod „In den Kliniken wächst die Angst" „Der Todescomputer" „Tödliche Medizin" „Ärzte kritisieren" „Wirbel um neues Softwareprogramm in Kliniken" „Darf ein Computer über das Leben entscheiden?" „Entsetzen über Todescomputer Test auf Intensivstationen" „Überlebensprognose mit dem Computer" „Der virtuelle Todesstoß" .
Diese Schlagzeilen der Berliner Tageszeitungen kennzeichnen die zum Teil mystifizierende Betrachtungsweise, in der sich die Öffentlichkeit mit der Informationstechnik auseinandersetzt. Es ging dabei um ein Computerprogramm namens „RIYADH", welches in einem Berliner Krankenhaus als Hilfsmittel für die Qualitätssicherung eingesetzt wird. Durch die Auswertung der hier verarbeiteten Daten sollte untersucht werden, wie gut die Versorgung der Patienten in den Intensivstationen des Krankenhauses ist. Uns wurde versichert, weitere Nutzungen, etwa die Möglichkeit, während der Behandlung von Patienten in der Intensivstation deren Überlebenschancen zu verfolgen, würden nicht stattfinden. Insbesondere sollten keinerlei Auswertungsergebnisse unmittelbar in die Behandlung einfließen.
Praktisch handelt es sich um eine isolierte PC-Anwendung in einem abgeschlossenen Raum in der Intensivstation. Die Daten werden von Krankenschwestern, die am Bett keinen Dienst verrichten dürfen, in zeitlichem Abstand nach der Entlassung des Patienten aus der Intensivstation eingegeben. In der Intensivmedizin ist es weltweit seit Jahren üblich, ein „Patientenscoring" durchzuführen, d. h. die Überlebenschancen der Patienten abzuschätzen und auf Grund der gewonnenen Daten die Behandlung der Patienten zu verbessern. Dies ist bei Krankenhäusern mit besonders schwer erkrankten Patienten von großer Bedeutung.
Man versucht seit Jahren, dieses Scoring, das bisher manuell durchgeführt wird, durch automatische Systeme zu ersetzen. In den USA wird seit Jahren das Programm „APACHE" verwendet, das hier jedoch nicht einsetzbar ist. Das Programm „RIYADH" ist eine Neuentwicklung, die von den Autoren während eines Forschungsaufenthaltes in der Hauptstadt von Saudi-Arabien entwickelt worden ist. Da eine unmittelbare Rückkoppelung mit der Behandlung der Patienten nicht beabsichtigt ist, sagte das Krankenhaus die unverzügliche Anonymisierung der Patientendaten zu.
Die Anonymisierung der Daten ist absprachegemäß unverzüglich vollzogen worden. In keinem Fall war oder ist daran gedacht worden, die Behandlung eines Patienten vorzeitig zu beenden, weil der Computer seine Überlebenschancen als gering bewertet hat.
Eine derartige Vorgehensweise würde gegen das Strafrecht und das ärztliche Standesrecht verstoßen. Sie wäre auch ein Beispiel für eine automatisierte Entscheidung, die nach der EU-Datenschutz-Richtlinie verboten wäre (Art. 15). Die reißerische Berichterstattung, die nicht nur von der Boulevardpresse, sondern auch von anderen Zeitungen praktiziert wurde, erwies sich damit als gegenstandslos. Wir berichten über den Fall, um zu zeigen, daß Mystifizierung und unbegründete Angst vor der EDV ganz nah beieinander liegen und die Tätigkeit des Datenschutzbeauftragten zu einer realistischen Betrachtungsweise beitragen kann.
Krankengeschichten in fremden Händen
Ein Berliner Krankenhaus will die Archivierung der Krankengeschichten auf ein privates Unternehmen übertragen. Dazu schloß es einen Übernahmevertrag, durch den die ArchivverwalDer Senat stimmt mit der Meinung des Berliner Datenschutzbeauftragten überein.
Die Senatsverwaltung für Gesundheit und Soziales wird, soweit die entsprechende aufsichtsrechtliche Zuständigkeit gegeben ist, auch bei zukünftigem Auftauchen derartiger Vorkommnisse im Rahmen der zur Verfügung stehenden aufsichtsrechtlichen Mittel tätig werden.
Der Senat stimmt mit der Meinung des Berliner Datenschutzbeauftragten überein.