Der Landesbeauftragte für den Datenschutz Baden-Württemberg

-> Home -> Der LfD -> Tätigkeitsberichte -> 2007


	Inhalte:

	Aufgaben und Befugnisse des Landesbeauftragten

	Kontakt

	Pressemitteilungen

	Tätigkeitsberichte

	Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

28. Tätigkeitsbericht 2007 - Inhaltsverzeichnis

28. Tätigkeitsbericht 2007 - 3. Teil

3. Teil: Gesundheit und Soziales

1. Abschnitt: Gesundheit

1. Die elektronische Gesundheitskarte

2. Datenschutz im Zentrum für Psychiatrie - ein Kontrollbesuch
2.1 Patientenaufnahme
2.2 Behandlung
2.3 Krankenhausverwaltung
2.4 Dokumentation der Behandlung
2.5 Archivierung der Patientenunterlagen
2.6 Patientenrechte
2.7 Dienstanweisungen zum Datenschutz

2. Abschnitt: Die gesetzliche Krankenversicherung

1. Kundenwerbung - Ein Dauerbrenner

2. Das Fahrradturnier und seine Folgen

3. Einreichung ärztlicher Verordnungen im Rahmen der häuslichen Pflege

4. Unterlagen von Frem- und Zwangsarbeitern kommen in die Staatsarchive

3. Abschnitt: Soziales

1. Arbeitslosengeld II - quo vadis?

2. Arbeitslosengeld II: Getrennte Aufgabenwahrnehmung - doppelte Vorlagepflicht?

3. Arbeitslosengeld II: Die Bettlägerigkeitsbescheinigung

4. Datenabgleich beim Wohngeld

5. Unterhalt für die Schwiegermutter?

1. Abschnitt: Gesundheit

Für den Gesundheitsbereich könnte man frei nach Schopenhauer sagen: "Gesundheit ist nicht alles, aber ohne Gesundheit ist alles nichts". Dieser Aussage dürften sich die meisten Bürgerinnen und Bürger ohne weiteres anschließen, wenn man sie dazu befragen würde. Es verwundert deshalb nicht, dass es in kaum einem anderen Bereich in so rascher Zeitfolge vergleichbar viele Aktivitäten mit Veränderungen und Weiterentwicklungen in EDV-technischer, medizinischer und pharmakologischer Hinsicht gibt. Der Gesundheitsmarkt ist in Baden-Württemberg Branchenprimus - zumindest was die Zahl der Beschäftigten anbelangt - mit einer Wertschöpfung von fast 30 Milliarden Euro im Jahr. Es gibt allein im Land rd. 300 Krankenhäuser, 61 000 Betten, fast zwei Millionen Patienten jährlich und rd. 140 000 dort tätige Mitarbeiter. Für die Kosten einzutreten haben dabei in der Regel die private bzw. überwiegend die gesetzliche Krankenversicherung.

Dass dieser Teil des sozialen Sicherungssystems trotz weiterer Verbesserungen im Leistungs- und Behandlungsangebot und zum Teil darauf zurückzuführender Teuerungen auch noch weiter von der Solidargemeinschaft der Versicherten finanziert werden kann, ist ein schwer zu lösendes Problem. Intensivere und von den Versicherten oft als zu weitgehend und zu bürokratisch empfundene Einzelfallprüfungen, Rückfragen und Recherchen ihrer Krankenkassen führten auch im Berichtsjahr wieder zu einer steigenden Zahl von Eingaben und Beratungen durch meine Dienststelle. Dies kann angesichts eines selbst für Fachleute nur noch sehr schwer zu durchdringenden Geflechts an Regelungen vor allem in den Sozialgesetzbüchern, verbunden mit Gesetzesänderungen in rascher Folge und ebensolchen Entwicklungen im IT-Bereich, nicht verwundern.

Sehr anspruchsvoll und beratungsintensiv für meine Dienststelle waren auch verschiedene Forschungsvorhaben, mit denen sich baden-württembergische Universitätskliniken auf nationaler und internationaler Ebene befassen wollten. Gleiches lässt sich auch über unsere Beratungstätigkeit im Rahmen von Modellprojekten zur integrierten Versorgung nach § 140a des Fünften Buchs des Sozialgesetzbuchs - SGB V - und solchen Vorhaben, die sich dafür ausgaben, berichten. Beratung Suchende waren hierbei in erster Linie gesetzliche Krankenkassen und das Ministerium für Arbeit und Soziales. Eine wichtige (Teil-)Aufgabe meines Amts ist auch die Durchführung von Außenkontrollen. Diese können anlassbezogen sein oder auch aus anderen Erwägungen stattfinden. In diesem Jahr haben wir uns schwerpunktmäßig für die Prüfung eines Zentrums für Psychiatrie entschieden, über dessen Ergebnis später berichtet wird.

1. Die elektronische Gesundheitskarte

Mit der vom Bundesgesetzgeber im Fünften Buch des Sozialgesetzbuchs - SGB V - (vgl. § 291a Abs. 1 SGB V) als Erweiterung der bisherigen Krankenversichertenkarte allgemein verbindlich eingeführten elektronischen Gesundheitskarte soll in verschiedenen Ausbaustufen das Gesundheitswesen elektronisch vernetzt werden. Im Rahmen eines der umfangreichsten und teuersten IT-Projekte Deutschlands sollen ca. 80 Millionen neue Karten an Versicherte der gesetzlichen und privaten Krankenversicherung ausgegeben werden und bundesweit u. a. rd. 21 000 Apotheken, 123 000 niedergelassene Ärzte, 65 000 Zahnärzte, 2 200 Krankenhäuser sowie 300 gesetzliche und private Krankenkassen mit der neuen Karte arbeiten.

Bereits im 26. Tätigkeitsbericht für das Jahr 2005 (LT-Drucksache 13/4910) und im 27. Tätigkeitsbericht für das Jahr 2006 (LT-Drucksache 14/650) hatten wir uns sehr ausführlich mit dieser Thematik befasst. Vorliegend möchten wir daher über in der Zwischenzeit eingetretene Weiterentwicklungen des IT-Projekts berichten und nochmals die Position des Datenschutzes verdeutlichen.

Nach dem Willen des Gesetzgebers sollte bekanntlich die elektronische Gesundheitskarte die heutige Krankenversichertenkarte zum 1. Januar 2006 ablösen. Dieses Ziel wurde - was angesichts der Komplexität des Vorhabens nicht verwundert - deutlich verfehlt. Bis zum Ende des Berichtszeitraums wurden die vom Bundesministerium für Gesundheit förmlich festgeschriebenen verschiedenen Phasen der Testung für die Einführung der elektronischen Gesundheitskarte (vgl. Rechtsverordnung vom 5. Oktober 2005, zuletzt geändert am 2. Oktober 2006, Bundesgesetzblatt I, Nr. 45, S. 2189 ff.) nicht einmal in der ersten Teststufe (sog. Zehntausendertest) verwirklicht. In weiteren Phasen sollen sich daran sog. Hunderttausendertests anschließen.

Das Verfehlen des zeitlichen "Klassenziels" möchten wir nur als Information verstanden wissen und nicht als Forderung, um den Preis mangelnder Sorgfalt die elektronische Gesundheitskarte nunmehr voreilig einzuführen. Im Gegenteil: Zum einen ist der Wunsch, mit Hilfe der neuen Krankenversichertenkarte die Wirtschaftlichkeit, Qualität und Transparenz der Behandlung zu verbessern, ein politisches Ziel, das aufgrund der zahlreichen Schwierigkeiten, die reale Welt im Gesundheitswesen in einem IT-Projekt abzubilden, von Seiten des Datenschutzes durchaus kritisch gesehen wird. Geht es doch letztlich um sensible Gesundheits- bzw. Sozialdaten von Betroffenen. Zum anderen verstehen wir unsere Forderung, dass Sorgfalt vor Schnelligkeit gehen müsse, nicht als den Versuch von datenschutzrechtlichen Bedenkenträgern, ein Projekt verzögern zu wollen, sondern als einen konstruktiven (Teil-)Beitrag zum Gelingen des Vorhabens. Die Überzeugung von der Sinnhaftigkeit des Projekts kann bei sämtlichen Beteiligten nur dann erreicht werden, wenn diese auch darauf vertrauen können, dass mit ihren Daten im Rahmen des IT-Projekts verantwortungsvoll umgegangen wird. Aus verschiedenen Anfragen und Eingaben von Bürgerinnen und Bürgern hören wir immer wieder von deren ernster Sorge, dass sie nunmehr wegen der elektronischen Gesundheitskarte zum "Gläsernen Patienten" werden könnten.

Aus Sicht des Datenschutzes soll deshalb nochmals zur Verdeutlichung gesagt werden, dass der Gesetzgeber in § 291a SGB V nur eine schrittweise Verwirklichung verschiedener Funktionen und als Pflichtteil der elektronischen Gesundheitskarte neben den administrativen Daten auf der Krankenversichertenkarte (Name, Anschrift, Geburtsdatum, Krankenkasse, Versichertenstatus, Versichertennummer und [neu] Lichtbild) lediglich die Nutzung als elektronisches Rezept vorgesehen hat. Mit anderen Worten: Die elektronische Gesundheitskarte stellt (zunächst nur) ein papierloses Rezept im "Scheckkartenformat" dar. Darüber hinaus muss nach dem Willen des Gesetzgebers die Gesundheitskarte auch geeignet sein, in einem freiwilligen Teil medizinische Daten (z. B. für die Notfallvorsorge, Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Impfungen, Blutgruppe etc.) aufzunehmen. Darüber hinaus können - ebenfalls freiwillig - von Versicherten selbst zur Verfügung gestellte weitere Gesundheitsdaten auf der elektronischen Gesundheitskarte gespeichert werden. Der vorgesehene kleinere Pflichtteil entspricht demzufolge dem vom Bundesverfassungsgericht in seinem sog. Volkszählungsurteil vom 15. Dezember 1983 formulierten Grundsatz der informationellen Selbstbestimmung insoweit, als der Einzelne grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten im Rahmen der Einführung der elektronischen Gesundheitskarte (ausgenommen der Pflichtteil) bestimmen darf. Der allgemein geltende datenschutzrechtliche Grundsatz, dass die Gefahr einer Datenschutzverletzung umso geringer ist, je weniger Daten ein Betroffener von sich preisgibt, gilt selbstverständlich auch hier. Skeptische Bürger werden die Nutzung der Versichertenkarte daher zunächst auf das elektronische Rezept beschränken.

Hiervon unabhängig möchten wir noch einmal die Grundsatzposition des Datenschutzes zur Einführung der elektronischen Gesundheitskarte in Erinnerung rufen, wie sie in einer gemeinsamen Entschließung der Datenschutzbeauftragten von Bund und Ländern vom 18./11. März 2005 (siehe 26. Tätigkeitsbericht für das Jahr 2005, LT-Drucksache 13/4910) zum Ausdruck kam. Folgende Aspekte zum Schutz der Patientenrechte wurden dabei als wesentlich angesehen:

Die über die Karte erfolgende Datenverarbeitung muss nach den gesetzlichen Vorgaben weitgehend aufgrund der Einwilligung der Versicherten erfolgen.
Um die hierfür nötige Akzeptanz bei den Versicherten zu erhalten, sind neben den rechtlichen auch die tatsächlichen - technischen wie organisatorischen - Voraussetzungen dafür zu schaffen, dass sowohl das Patientengeheimnis als auch die Wahlfreiheit bei der Datenspeicherung und Übermittlung gewahrt sind.
Die Versicherten müssen auch darüber informiert werden, welche Datenverarbeitungsprozesse mit der Karte durchgeführt werden können, wer hierfür verantwortlich ist und welche Bestimmungsmöglichkeiten sie hierbei haben.
Das Zugriffskonzept auf medizinische Daten muss technisch so realisiert werden, dass in der Grundeinstellung das Patientengeheimnis auch gegenüber und zwischen Angehörigen der Heilberufe umfassend gewahrt bleibt.
Die Verfügungsbefugnis der Versicherten über ihre Daten muss durch geeignete Maßnahmen sichergestellt werden, um die Vertraulichkeit der konkreten elektronischen Kommunikationsbeziehungen zu gewährleisten.
Vor der obligatorischen flächendeckenden Einführung der elektronischen Gesundheitskarte sind die Verfahren und Komponenten auf ihre Funktionalität, ihre Patientenfreundlichkeit und ihre Datenschutzkonformität hin zu erproben und zu prüfen.
Die Test- und Pilotversuche müssen ergebnisoffen ausgestaltet werden, damit die datenschutzfreundlichste Lösung gefunden werden kann. Eine vorzeitige Festlegung auf bestimmte Verfahren sollte deshalb unterbleiben. Vorgesehene Einführungstermine dürfen, so die Datenschutzkonferenz weiter, kein Anlass dafür sein, dass von den bestehenden Datenschutzanforderungen Abstriche gemacht werden.

Aus Sicht des Datenschutzes wird es deshalb ganz wesentlich darauf ankommen, die vom Gesetzgeber in § 291a SGB V gemachten Vorgaben, die vom Ansatz her als durchaus datenschutzfreundlich bezeichnet werden können, auch in die praktische Realität umzusetzen. Erste Voraussetzung dafür wäre, dass die Gematik GmbH (Anmerkung: Es handelt sich um eine eigens auf Bundesebene für die Einführung der elektronischen Gesundheitskarte geschaffene Gesellschaft, der Krankenkassen und Verbände der Leistungserbringer angehören) endlich ihrem gesetzlichen Auftrag nachkommt und ein umfassendes und primär mit dem Bundesdatenschutzbeauftragten abgestimmtes Datenschutzkonzept vorlegt.

Der Stand der Einführung der elektronischen Gesundheitskarte ist gegenwärtig folgender:

Nachdem Ende vergangenen Jahres die ebenfalls vorgesehene Testregion Bremen ihre Teilnahme an dem Zehntausendertest aufgekündigt hat, wird dieser nunmehr noch in sieben Testregionen in verschiedenen Bundesländern durchgeführt, darunter im Stadt- und im Landkreis Heilbronn (Testregion Heilbronn).

Die Suche nach 10 000 Patienten, 25 Ärzten, zehn Apotheken und einem Krankenhaus, die auf freiwilliger Basis am Test teilzunehmen bereit sind, gestaltete sich in der Testregion schwieriger als zunächst angenommen. Insbesondere die Ärzteschaft und die ärztlichen Berufsverbände - und dies nicht nur in dieser Testregion - zeigten sich skeptisch, weil sie zusätzliche Kosten und Zeitaufwand durch die elektronische Gesundheitskarte auf sich zukommen sehen und auch datenschutzrechtliche Bedenken geltend machten, ohne diese allerdings näher benennen zu können. Von Seiten des Ministeriums für Arbeit und Soziales gab es, nachdem sich Mediziner aus dem Unterland im Ministerium darüber beschwert hatten, dass sie angeblich von ihrer Standesvertretung unter Druck gesetzt worden seien, die Testung zu boykottieren, harsche Worte. Die Ministerin teilte dem Medi-Verbund im Unterland, dem 430 der 620 niedergelassenen Ärzte aus dem Stadt- und dem Landkreis Heilbronn angehören, mit, dass sie im Hinblick auf die Beschwerden und die möglichen negativen Auswirkungen auf den Testlauf die weitere "konstruktive Zusammenarbeit mit den Medi-Verbund als gefährdet" ansehe.

Tatsache ist, dass in der Testregion Heilbronn in der ersten Testphase im sog. Offline-Betrieb zunächst lediglich 7 500 Versicherte, 14 niedergelassene Ärzte und zehn Apotheken teilnehmen; ein Krankenhaus soll noch später hinzukommen. Im ersten Schritt soll dabei das Zusammenspiel zwischen der elektronischen Gesundheitskarte und dem Heilberufeausweis des Arztes und des Apothekers mit den technischen Komponenten, also Lesegerät, Konnektor und der jeweiligen Systemsoftware, und die Nutzung des elektronischen Rezepts getestet werden. Anzumerken ist ferner, dass die freiwillig teilnehmenden Tester in dieser Testphase sowohl über ihre bereits vorhandene Versicherungskarte als auch über die neue elektronische Gesundheitskarte verfügen und sie in dieser Zeit die Rezepte sowohl auf der elektronischen Karte als auch noch in Papierform für die Einlösung in der Apotheke erhalten. Das elektronische Rezept wird dabei mittels Lesegerät und persönlicher fünfstelliger PIN vom behandelnden Arzt auf der elektronischen Gesundheitskarte gespeichert. In den Apotheken, die am Test teilnehmen, kann das elektronische Rezept ebenfalls nur mittels eines Lesegeräts eingelesen werden. Auch hierfür muss der Apotheker seinen Heilberufeausweis mit persönlicher PIN nutzen. Am 10. Oktober 2007 erhielten wir von einer unserer Kontrolle unterliegenden Krankenkasse die "Jubelmeldung", dass um "10.58 Uhr die erste elektronische Gesundheitskarte eines echten Patienten" in einer Arztpraxis in der Testregion Heilbronn eingelesen und mit einer E-Verordnung beschrieben worden sei. Der Vorgang - so die Krankenkasse weiter - sei reibungslos und ohne technische Probleme abgelaufen.

Kritisch anzumerken ist jedoch, dass sich diese frohe Botschaft lediglich darauf bezog, dass in der allerersten Teilteststufe ein kleiner Mosaikstein eines insgesamt komplexen IT-Projekts funktioniert hat. Wie sich das Ganze weiterentwickeln wird, wenn es in weiteren Testphasen in den viel schwierigeren Online-Betrieb geht und komplexe Anwendungen hinzukommen, bleibt abzuwarten. Aussagen in der Presse, wonach die Datenschützer im Land grünes Licht für die Testung im Unterland gegeben haben, können sich deshalb auch nur auf diese Teiltestungen im Offline-Betrieb beziehen.

Zu gewissen Irritationen führten auch Aussagen der Bundesregierung, wonach mit einem bundesweiten Rollout der Komponenten bereits im zweiten Quartal 2008 begonnen werden soll. Im Ergebnis käme dadurch die elektronische Gesundheitskarte doch noch früher auf den Markt, als man aufgrund der eingetretenen Verzögerungen eigentlich erwarten konnte. Befürchtet wird in diesem Zusammenhang nicht nur von Datenschützern, dass damit z. B. auf die verordnungsmäßig vorgegebenen weiteren wichtigen Testabschnitte (z. B. sog. Hunderttausendertests) verzichtet werden könnte.

Eine besorgte Nachfrage des Bundesdatenschutzbeauftragten im Bundesministerium für Gesundheit brachte die Auskunft, dass zu dem genannten Zeitpunkt zwar elektronische Gesundheitskarten ausgegeben werden sollen, allerdings ohne jegliche Funktion und Anwendung - was immer dies auch für einen Sinn ergeben mag. Einen Verzicht auf etwaige Testungen soll es jedenfalls nicht geben. Meine Kolleginnen und Kollegen im Bund und in den anderen Ländern sehen es daher als wichtige Aufgabe an, bei der Einführung der elektronischen Gesundheitskarte weiter darauf zu achten, dass der in vier Teststufen in der oben genannten Verordnung präzise vorgegebene Migrationsplan zur Einführung dieses IT-Projekts auch entsprechend der dort normierten Schritte unter Wahrung der Belange des Datenschutzes erfolgt. Auf Landesebene wurde im Februar 2005 für die Einführung der elektronischen Gesundheitskarte in Baden-Württemberg und zur Durchführung der Testung in der Region Heilbronn eine Arbeitsgemeinschaft (ARGE eGK) gegründet, deren Arbeit wir u. a. in einem eigens dafür gebildeten Beirat und in einer Unterarbeitsgruppe "Datenschutz" konstruktiv begleiten. In diesem Zusammenhang möchten wir ausdrücklich die fachlich wie atmosphärisch reibungslose Zusammenarbeit in diesen Gremien loben. Eine gute Idee ist dabei, im Internet-Portal der ARGE eGK (http://www.gesundheitskarte-bw.de) die am häufigsten gestellten Fragen und ihre Antworten zur elektronischen Gesundheitskarte einzustellen. Gleiches gilt im Übrigen für die Telefonaktion einer Regionalzeitung. Diese Aktion bot einem Mitarbeiter meiner Dienststelle die Gelegenheit, auf Fragen des Datenschutzes am Expertentelefon einzugehen, wobei interessant war, dass sich die meisten Anrufe auf das Thema Datenschutz und nicht auf andere, die elektronische Gesundheitskarte betreffende Fragestellungen bezogen.

2. Datenschutz im Zentrum für Psychiatrie - Ein Kontrollbesuch

Die Kernversorgung der Bevölkerung im stationären Bereich nehmen bei psychischen Erkrankungen in Baden-Württemberg neun Zentren für Psychiatrie wahr. Sie unterliegen als Anstalten des öffentlichen Rechts unserer datenschutzrechtlichen Kontrolle und haben sich aus den ursprünglichen Heil- und Pflegeanstalten sowie den psychiatrischen Landeskliniken (ab dem Jahr 1953) entwickelt. Je nach Versorgungsregion kooperieren jeweils drei Zentren für Psychiatrie insbesondere auf der Verwaltungsebene miteinander bzw. bilden einen sog. Organisationsverbund. Im Rahmen eines anlassunabhängigen Kontrollbesuchs vor Ort führte uns in diesem Jahr der Weg nach Südwürttemberg, wo drei Kliniken in Verbundform organisiert sind. Die nachstehenden Ausführungen sind somit auch unmittelbar auf die beiden anderen Verbundklinken übertragbar; sie dürften aber auch ganz generell für die anderen Kliniken im Land wichtige datenschutzrechtliche Hilfestellungen geben.

Bereits anlässlich früherer Außenprüfungen in Kliniken mit gänzlich anderen Aufgabenstellungen hatten wir Verständnis dafür geäußert, dass es im Spannungsbogen des täglichen Klinikbetriebs einerseits und der reinen Lehre des Datenschutzes andererseits nicht immer einfach ist, das richtige Maß zu finden. Dies gilt insbesondere für stationäre Einrichtungen, wie sie die Zentren für Psychiatrie darstellen. Umso erfreulicher war, dass wir anlässlich unseres Kontrollbesuchs feststellen konnten, dass der "Datenschutz" in der von uns geprüften Einrichtung ein Thema ist, für das sich nicht nur der behördliche Datenschutzbeauftragte des Zentren-Verbunds, sondern auch die Geschäftsführung und die ärztliche Leitung sehr aufgeschlossen zeigten. Dieser Eindruck spiegelte sich auch in der Stellungnahme des Zentrums zu unserem Prüfbericht wieder. Der Kontrollbesuch wird darin als konstruktiv sowie problem- und beratungsorientiert bezeichnet. Wie man uns weiter mitgeteilt hat, sollen unsere Anregungen und Forderungen vollständig aufgegriffen und auch umgesetzt werden. Der vom Zentrum geäußerten Bitte, dieses im Rahmen der Beratungstätigkeit meines Amts gemäß § 31 Abs. 3 LDSG auch bei der konkreten Umsetzung der Vorschläge zu unterstützen, werden wir im Rahmen unserer Möglichkeiten gerne nachkommen.

Von dem Kontrollbesuch meiner Dienststelle ist Folgendes berichtenswert:

2.1 Patientenaufnahme

Erste Anlaufstelle bei einem geplanten Krankenhausaufenthalt ist regelmäßig eine speziell für diese Zwecke eingerichtete zentrale Anlaufstelle der Krankenhausverwaltung. Hier werden erstmals sensible Patientendaten erhoben, gespeichert und an weitere Organisationseinheiten des Krankenhauses übermittelt. Daraus ergeben sich unterschiedliche datenschutzrechtliche Fragestellungen, die wir bereits in früheren Tätigkeitsberichten ausführlich behandelt haben (vgl. u. a. 25. Tätigkeitsbericht für das Jahr 2004, LT-Drucksache 13/3800).

Wie wir anlässlich unserer Prüfung vor Ort feststellen konnten, erfolgt die reguläre Aufnahme neuer Patienten des Zentrums nicht in Zentraleinrichtungen des Krankenhauses, sondern unmittelbar auf den Stationen. Die für die Aufnahme benötigten Informationen werden dabei im Dialog zwischen Patient und Aufnahmekraft erfragt und direkt in das im Zentrum verwendete EDV-System eingegeben. Grundsätzlich zu unterscheiden ist dabei zwischen der administrativen und der medizinischen Aufnahme. Während die administrative Aufnahme im Wesentlichen den Abschluss des Behandlungsvertrags sowie Angelegenheiten der Unterbringung im Krankenhaus beinhaltet, dient die medizinische Aufnahme der Vorbereitung der Behandlung.

Eine stichprobenweise Prüfung ergab, dass im Zentrum - soweit wir feststellen konnten - nur Daten erhoben werden, die für die oben genannten Zwecke erforderlich sind. Mit dem verwendeten EDV-System besteht auch die Möglichkeit, in der Aufnahmemaske eine Auskunftssperre vermerken zu lassen. Dies ist für den Bereich eines Zentrums deshalb wichtig, weil Patienten teilweise verhindern wollen, dass ihre Aufnahme in das Krankenhaus bei der Pforte oder auf anderem Weg von Dritten erfragt werden kann. Ein wesentlicher Grund dafür ist die leider auch heute noch teilweise festzustellende Neigung zur Vorverurteilung, wenn aufgrund einer psychischen Erkrankung eine stationäre Behandlung in einem Zentrum erforderlich wird.

Im Zusammenhang mit der Patientenaufnahme ist aus datenschutzrechtlicher Sicht die Erfassung der Religionszugehörigkeit nach wie vor ein Thema, zu dem uns immer wieder Anfragen erreichen. Anlässlich eines früheren Kontrollbesuchs im Jahr 2004 hat sich meine Dienststelle hierzu bereits geäußert (vgl. 25. Tätigkeitsbericht für das Jahr 2004, LT-Drucksache 13/3800). Unter Beachtung des in § 45 Abs. 2 des Landeskrankenhausgesetzes geschaffenen Regelwerks dürfen personenbezogene Daten für Zwecke der Krankenhausseelsorge grundsätzlich erhoben werden. Da die beiden beim Zentrum tätigen Krankenhauspfarrer ihr Betreuungsangebot aber nur im Rahmen von Andachten, Gottesdiensten oder auf ausdrücklichen Wunsch der Patienten wahrnehmen, ist es datenschutzrechtlich korrekt, dass beim Zentrum im Rahmen der Aufnahme keine entsprechenden Daten erhoben werden.

Ein anderes Thema, das bei Anfragen öfters eine Rolle spielt, ist die Nutzung von Telefax-Geräten. Auf den von uns besuchten Stationen gab es - was wir ausdrücklich begrüßen - keine Telefaxgeräte, mit denen sensible Patientendaten versandt bzw. empfangen werden können. Diese Geräte befinden sich vielmehr zentral jeweils im Büro der Abteilungssekretärin, die auch die Verteilung eingehender Post an die Ärzte in die dafür vorgesehenen Postfächer vornimmt.

2.2 Behandlung

Ein Kontrollbesuch bedarf für meine Mitarbeiter einer gründlichen Vorbereitung. Hierzu lassen wir uns regelmäßig Organisationspläne der Einrichtung, Verfahrensverzeichnisse nach § 11 LDSG, evtl. vorhandene Zugriffs-, Sperr- und Löschkonzeptionen, Verträge mit Dritten (Datenverarbeitung im Auftrag) sowie vorhandene Vordrucke vorlegen. Bereits im Vorfeld der Außenprüfung mussten wir feststellen, dass die vom Zentrum aktuell verwendeten Behandlungsverträge einer Überarbeitung bedürfen. Einer der gravierendsten Mängel in dem dafür vorgesehenen Vordruck war, dass der Patient in der Einwilligungserklärung - wenn man die gewählte Überschrift als Maßstab nimmt - unter Hinweis auf § 73 Abs. 1b SGB V (nur) in eine "Datenübermittlung an den Hausarzt" einwilligt, während er bei vollständiger Betrachtung des Vertragstextes mit seiner Unterschrift zugleich auch darin einwilligt, dass seine beim Hausarzt vorliegenden Behandlungsdaten, soweit diese für die Behandlung im Zentrum für erforderlich angesehen werden, durch die Klinik angefordert werden dürfen. Beiden Formen der Datenübermittlung muss bereits in der Überschrift oder auf anderem Weg hinreichend deutlich Rechnung getragen werden. Das Zentrum hat zugesagt, diese Anregung im Rahmen der Neufassung der Behandlungsverträge umzusetzen und dabei im Rahmen der Neugestaltung auch deutlicher als bisher darauf hinzuweisen, dass bestimmte Erklärungen "freiwillig" sind. Ein solcher Hinweis erfolgt gegenwärtig nur neben anderen Informationen im laufenden Vordrucktext und wird im Übrigen auch nicht durch entsprechende Textgestaltung (z. B. Fettdruck) gegenüber anderen Passagen besonders hervorgehoben. Dies entspricht nicht den in § 4 Abs. 3 LDSG enthaltenen Anforderungen.

Ein anderes datenschutzrechtliches Thema, dessen sich meine Mitarbeiter vor Ort angenommen haben, betrifft die Türbeschriftung der Patientenzimmer. Bei einem Besuch auf zwei Krankenstationen (Geriatrie, Suchtabteilung) fiel auf, dass neben den Zimmertüren die Namen der Patienten angebracht waren. Eine Rückfrage ergab, dass es bisher keine schriftliche Dienstanweisung dafür gibt, nach welchen Kriterien die Namensschilder angebracht werden dürfen (oder besser nicht). Es bleibt vielmehr dem Pflegedienst der einzelnen Stationen selbst überlassen, auf welche Art und Weise diese die Beschriftung an den Zimmertüren vornehmen. Unbestritten stellen Namensschilder für Besucher und Patienten an den Zimmertüren eine Orientierungshilfe dar. Man kann auch davon ausgehen, dass Patienten den Besuch am Krankenbett wünschen und damit (möglicherweise) sogar konkludent in entsprechende Türinformationen einwilligen. Dies gilt jedoch dann nicht, wenn Anhaltspunkte für einen gegenteiligen Willen vorliegen. Hiervon ist grundsätzlich bei Patienten in einem Zentrum und hier insbesondere für bestimmte Krankenstationen auszugehen. Es lässt sich nämlich nicht ausschließen, dass über die Zimmerbeschriftung Besucher, Nachbarn, Firmenvertreter, Pflegedienste etc. - bewusst oder unbewusst - etwas über die Anwesenheit bestimmter Personen im Zentrum und - in Verbindung mit der Abteilungsbezeichnung - sogar etwas über die Art der Erkrankungen erfahren, obwohl die Patienten diese Informationen aus nachvollziehbaren Gründen gerade nicht weiter verbreitet sehen möchten. Möchte man zur Vermeidung von Nachfragen durch Besucher - aber auch zur Erleichterung des Arbeitsablaufs für die ärztlichen und nicht-ärztlichen Mitarbeiter im Krankenhaus - auf die Beschriftung der Zimmertüren nicht gänzlich verzichten, bietet sich aus Sicht des Datenschutzes als Lösung an, die Patienten selbst entscheiden zu lassen, ob sie eine Namensbeschriftung möchten oder nicht. Dies kann z. B. - soweit möglich - durch die Aushändigung eines unbeschrifteten Türschilds mit der Möglichkeit, dieses selbst auszufüllen, erfolgen oder durch eine ausdrückliche Erklärung gegenüber dem Pflegepersonal auf der Station (z. B. direkt bei der Aufnahme oder zu einem späteren Zeitpunkt). Im wohlverstandenen Eigeninteresse des Krankenhauses empfehlen wir zusätzlich noch eine schriftliche Dokumentation eines solchen Patientenwunsches. Das Zentrum hat zugesagt, in Kürze eine Dienstanweisung mit entsprechendem Inhalt zu erlassen.

2.3 Krankenhausverwaltung

Im Fokus unserer Prüf- und Beratungstätigkeit vor Ort stand auch der Pfortenbereich und dort insbesondere die Frage, ob durch technisch-organisatorische Maßnahmen sichergestellt wird, dass Auskünfte über Patienten an private Stellen (z. B. Besucher, Angehörige, Firmenvertreter, Versicherungen) nur in dem vom jeweiligen Patienten gewünschten Umfang erteilt werden und dass Auskünfte an öffentliche Stellen (z. B. Polizei) nur in dem gesetzlich erlaubten Umfang erfolgen.

Für die im Pfortendienst eingesetzten Teilzeitkräfte gibt es bisher keine schriftliche Anweisung, wie im Einzelfall telefonische oder persönliche Anfragen an der Pforte zu erledigen sind. Dies hat zur Folge, dass die Auskunftspraxis uneinheitlich sein dürfte und nach "bestem Wissen und Gewissen" situativ durch das Pfortenpersonal erledigt wird. Ein meiner Dienststelle im Nachgang zu dem Kontrollbesuch übermitteltes Papier, das möglicherweise als Dienstanweisung hinsichtlich der Erteilung von Auskünften an externe Stellen generell für das Zentrum gelten soll, ist für die konkrete Aufgabenerledigung eines Pfortendienstes zu umfangreich, um für die dort eingesetzten Teilzeitkräfte eine echte Hilfestellung zu geben. Eine knapp gehaltene Positivliste - wem darf die Pforte was mitteilen? - würde hier wesentlich weiterhelfen.

Wie wir weiter feststellen konnten, bietet das Patientenmanagementverfahren die Möglichkeit, auf Wunsch die Namen bestimmter Patienten aus dem allgemeinen Patientenverzeichnis, das an der Pforte aufgerufen werden kann, herauszunehmen. Gleichwohl war es für uns möglich, an der Pforte eine eigene Liste aufzurufen, welcher sich Namen, Vornamen und Geburtsdaten auch solcher Patienten entnehmen ließen, für die eine diesbezügliche Sperre extra dafür eingerichtet worden war. Wozu die Pforte solche brisanten Informationen über "gesperrte" Patienten überhaupt benötigt, ließ sich vor Ort nicht klären. Des Weiteren mussten wir feststellen, dass Stammdaten von entlassenen Patienten noch sechs Wochen nach deren Entlassung an der Pforte eingesehen werden können, obwohl uns von den Mitarbeitern erklärt wurde, dass Anfragen, für die diese Daten tatsächlich benötigt werden, in der Praxis relativ selten seien. Über die Rechtslage gibt § 23 Abs. 1 LDSG Auskunft: Danach sind personenbezogene Daten in Dateien immer dann zu löschen, wenn die speichernde Stelle diese zur Aufgabenerfüllung nicht mehr benötigt. Aus Sicht des Datenschutzes sollte deshalb eine deutlich reduzierte Speicherdauer Eingang in eine schriftliche Dienstanweisung (Löschkonzeption) finden.

Es gibt - so wurde uns berichtet - auch immer wieder fernmündliche Anfragen der Polizei. Sie erkundigt sich beim Pfortendienst, ob sich eine von ihr gesuchte Person im Zentrum in der stationären Behandlung befindet. Auf unsere Nachfrage, ob und wie der Pfortendienst am Telefon überhaupt nachprüfen könne, ob es sich bei dem Anfragenden um eine auskunftsberechtigte Person handelt, wurde erklärt, dass man sich in erster Linie von Sekundärmerkmalen (z. B. Polizeifunkverkehr im Hintergrund, Art und Weise des "Auftretens" des Anfragers) orientiere, nachdem es hierfür keine schriftlichen Handlungsanleitungen gebe. Zur Wahrung der Patientenrechte haben wir deshalb in unserem Prüfbericht das Zentrum gebeten, das Verfahren der Pfortenauskunft in einer einfach gestalteten schriftlichen Anweisung speziell für die dort eingesetzten Beschäftigten datenschutzkonform zu vereinheitlichen.

Das Zentrum hat unsere diesbezüglichen Vorschläge aufgegriffen und wird in Kürze eine entsprechende "Positivliste" für die Pforte erstellen, in der auch der Teilbereich der Erteilung von Auskünften bei Anfragen der Polizei geregelt sein wird. Die Möglichkeit, die Speicherdauer von Stammdaten entlassener Patienten im Bereich des Pfortendienstes zu reduzieren, wird nach Aussagen des Zentrums aktuell von einer dafür eingerichteten Arbeitsgruppe sowohl technisch als auch organisatorisch mit dem Ziel geprüft, das Verfahren entsprechend der Empfehlungen meiner Dienststelle umzugestalten.

2.4 Dokumentation der Behandlung

Nach der standesrechtlichen Berufsordnung für Ärzte (vgl. § 10 der (Muster-)Berufsordnung für die deutschen Ärztinnen und Ärzte (MBO-Ä) mit inhaltsgleicher Landesregelung), aber auch unter haftungsrechtlichen Aspekten, sind Ärzte und Pflegepersonal verpflichtet, die Behandlung von Patienten vollständig zu dokumentieren. Die ärztliche Leitung des Krankenhauses trägt dabei die Gesamtverantwortung für die Dokumentation der Krankenhausbehandlung. Diese erfolgt in den drei dem Zentren-Verbund angehörenden Krankenhäusern EDV-unterstützt durch die für den Zentrums-Bereich speziell entwickelte Patientenmanagement-Software. Seit ca. sechs Jahren kommt diese einheitlich in allen dem Verbund der Südwürttembergischen Zentren für Psychiatrie angeschlossenen Einrichtungen zur Anwendung, so dass konventionelle Krankenakten nur noch als Teilakten für solche Bereiche (ergänzend) geführt werden, die nicht mit Hilfe der vorgenannten Software dokumentiert werden können (z. B. Röntgenaufnahmen, externe Anfragen und Unterlagen).

Im Rahmen unserer Außenprüfung sind wir auch der Frage nachgegangen, welche Personen Patientenakten führen dürfen, wer und auf welche Weise Krankenakten von früheren Aufenthalten desselben Patienten im Zentrum beigezogen werden dürfen und wie mit diesen Dokumenten auf den von uns besuchten Stationen durch die Mitarbeiter umgegangen wird. Zu diesem Themenkomplex haben wir im Rahmen der bei einem solchen Kontrollbesuch immer nur möglichen stichprobenweisen Überprüfung erfreulicherweise keine gravierenden Defizite feststellen können.

2.5 Archivierung von Patientenunterlagen

Die oben genannte (Muster-)Berufsordnung für die deutschen Ärztinnen und Ärzte, die inhaltsgleich in Landesrecht umgesetzt wurde, enthält korrespondierend zur Dokumentationspflicht über vorgenommene Behandlungen auch Regelungen, wonach ärztliche Aufzeichnungen für die Dauer von (mindestens) zehn Jahren nach Abschluss der Behandlung aufzubewahren sind (vgl. § 10 MBO-Ä). Für den besonderen Bereich von psychiatrischen Krankenhäusern kann es - was von Seiten des Datenschutzes durchaus akzeptiert wird - medizinisch und aus Gründen der Beweisführung bei Gerichtsverfahren sinnvoll und notwendig sein, diese Dokumente erforderlichenfalls auch über eine darüber hinausgehende Zeit aufzubewahren, wobei dann 30 Jahre die absolute Obergrenze sein sollten.

Wir empfehlen allen Krankenhäusern unseres Kontrollbereichs, grundlegende Regelungen der Patientenaktenführung und -aufbewahrung verbindlich in Archivordnungen festzulegen und sie als Dienst- oder Betriebsanweisung in Kraft zu setzen. Als erhebliches Datenschutzmanko mussten wir im kontrollierten Zentrum feststellen, dass es bislang dort - und demzufolge auch nicht im Zentren-Verbund - eine entsprechende Archivordnung nicht gibt und darüber hinaus seit Bestehen der Einrichtung noch nie Patientenakten vernichtet wurden.

Durch Inaugenscheinnahme konnten wir uns davon überzeugen, dass zwar Patientenakten nach ca. zehn Jahren von der aktuellen Registratur in eine Altregistratur überführt werden, die sich in gesonderten Räumen des Zentrums befindet. Dies wurde von uns ausdrücklich begrüßt. Keinen Anlass für Beanstandungen sahen wir in der tradierten Praxis der Führung der aktuellen Registratur und des Verfahrens bei der Anforderung von Patientenunterlagen über frühere Aufenthalte im Zentrum sowie die Entscheidungsmechanismen bei der Anforderung von Patientenunterlagen des Zentrums durch externe Stellen. Hier besteht die leider nur auf mündlicher Weisung beruhende Praxis, dass der ärztliche Direktor im Einzelfall entscheidet, ob Akten und Informationen an Kliniken, Arztpraxen, Gerichte, Versicherungen etc. übermittelt werden dürfen; auch die Art und Weise, wie dies im Einzelfall zu geschehen hat (Brief, Telefax etc.), ist nicht schriftlich geregelt. Im Rahmen der noch zu erstellenden Archivordnung haben wir das Zentrum gebeten, die oben beschriebene Praxis für diese Einrichtung bzw. den Zentren-Verbund verbindlich festzuschreiben.

Die Altregistratur, die in den Kellerräumen eines früheren Klostergebäudes auf dem Gelände des Zentrums untergebracht ist, enthält nach unserer Feststellung viele Akten, bei denen die Behandlungsabschlüsse erheblich länger als 30 Jahre zurückliegen und zum Teil sogar noch weit in das vorletzte Jahrhundert zurückreichen. So fielen uns bei Stichproben verschiedene Akten in die Hände, in denen Daten von Patienten gespeichert waren, die schon lange vor dem Jahr 1900 geboren waren (u. a. 1868, 1869 etc.). Wie uns vor Ort mitgeteilt wurde, habe man Akten von Patienten mit psychischen Erkrankungen, die vor das Jahr 1945 zurückreichten, zunächst - wie es richtig ist - dem Staatsarchiv zur Übernahme angeboten. Dieses habe jedoch nur bestimmte Dokumente übernommen und die übrigen nach Prüfung wieder an das Zentrum zurückgegeben. Gleichwohl habe man sich dort aus "medizin-historischen" Gründen nicht dazu entschließen können, die Patientenakten endgültig zu vernichten.

Datenschutzrechtlich stellt diese Praxis einen Verstoß gegen § 9 Abs. 2 LDSG dar, wonach organisatorische Maßnahmen getroffen werden müssen, die erforderlich sind, um eine datenschutzgerechte Datenverarbeitung zu gewährleisten. Nach § 23 LDSG sind personenbezogene Daten immer dann zu löschen, wenn sie für die weitere Aufgabenerfüllung nicht mehr erforderlich sind. Altakten, die über Patienten aufbewahrt werden, die schon seit vielen Jahrzehnten verstorben sind, rechtfertigen jedenfalls keine Aufbewahrung im Rahmen der originären Aufgabenerfüllung eines Zentrums. Hierfür gibt es das Regelwerk des Archivrechts, wonach dem Staatsarchiv zunächst die Unterlagen zur Übernahme anzubieten sind und - falls diese von dort nicht übernommen werden - nach den Regelungen des Datenschutzes in geeigneter Weise zu vernichten sind. Nachdem das von uns kontrollierte Zentrum organisatorisch einem Zentren-Verbund angehört, haben wir in unserem Prüfbericht die Geschäftsführung gebeten, durch die Schaffung einer schriftlichen Registraturordnung für die gesamten dem Verbund angehörenden Zentren ein den Anforderungen des Datenschutzes gerecht werdendes Regelwerk zu schaffen.

Auf die von meiner Dienststellte festgestellten Defizite hat man erfreulich rasch und professionell reagiert. So wurden wir darüber informiert, dass bereits kurz nach unserem Kontrollbesuch eine Arbeitsgruppe eingesetzt wurde, in der alle Standorte der Südwürttembergischen Zentren für Psychiatrie vertreten sind und die sich der Fragen des Umgangs mit den Altaktenbeständen annehmen soll. Darüber hinaus hat man - sozusagen im Vorgriff - bereits eine vorläufige Archivordnung für einen Übergangszeitraum verabschiedet. Die eingerichtete Arbeitsgruppe selbst hat sich zum Ziel gesetzt, eine neue gemeinsame Archivordnung mit Gültigkeit für alle Unternehmensbereiche zu erarbeiten und dabei die Art und Weise, die Dauer und den Umfang der Archivierung, aber auch die Wahrung evtl. bestehender historischer Interessen zu berücksichtigen. Mitglieder der Arbeitsgruppe sind neben dem Datenschutzbeauftragten des Zentrums, Leitende Ärzte aus dem Zentren-Verbund sowie ein Medizinhistoriker der Universität Ulm. Auch soll noch einmal mit dem zuständigen Staatsarchiv der archivrechtliche Umgang mit den Altakten abgestimmt werden. Der von der Geschäftsführung in diesem Zusammenhang geäußerten Bitte um unterstützende Beratung durch meine Dienststelle werden wir uns selbstverständlich nicht verschließen.

2.6 Patientenrechte

Eine Frage, die meine Dienststelle im Rahmen von Eingaben oder Beratungsersuchen immer wieder erreicht, betrifft das Einsichtsrecht von (Psychiatrie-)Patienten in die Krankenunterlagen. Die nachstehenden Ausführungen haben deshalb auch keinen konkreten Bezug zum Kontrollbesuch im Zentrum, sondern sollen die Ausführungen ergänzen und dadurch eine allgemeine Hilfestellung für die Praxis bei der Behandlung von Anfragen geben.

Die Pflicht für Arzt und Krankenhaus, Patientenakten über die gesamte Behandlung von der Anamnese über die Diagnose bis zur Therapie und zum Eingriff, zur postoperativen Behandlung und zur Entlassung zu führen, ist nicht nur eine sich aus dem Behandlungsvertrag ergebende Pflicht gegenüber dem Patienten, sondern nach § 10 Abs. 1 MBO-Ä eine Berufspflicht. Ging man früher noch davon aus, dass die Aufzeichnungen des Arztes diesem lediglich als eigene Gedächtnisstütze dienen und insofern für ein Einsichtnahmerecht des Patienten kein Grund bestehe, ist mittlerweile sowohl in der einschlägigen Literatur wie auch in der Rechtsprechung unumstritten, dass die Dokumentation und das Ermöglichen der Einsicht in die Krankenbehandlung für den Arzt und für den Krankenhausträger verbindliche Nebenpflichten aus dem Behandlungsvertrag darstellen (vgl. u. a. BGH, Urteil vom 23. November 1982 - VI ZR 222/79). Aus dem der Behandlung zugrunde liegenden Vertragsverhältnis in Verbindung mit dem Selbstbestimmungsrecht und der personalen Würde des Patienten (Grundrecht auf Datenschutz, das aus dem allgemeinen Persönlichkeitsrecht des Artikels 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 des Grundgesetzes hergeleitet wird, vgl. sog. Volkszählungsurteil des Bundesverfassungsgerichts [BVerfGE 65,1]) resultiert auch dessen Anspruch auf Einsicht in die über seine Behandlung geführten Krankenunterlagen. § 10 Abs. 2 MBO-Ä bestimmt ausdrücklich und folgerichtig, dass Patienten auf ihr Verlangen grundsätzlich ein Einsichtsrecht in die sie betreffenden Krankenunterlagen haben; ausgenommen sind nur diejenigen Teile, die subjektive Eindrücke oder Wahrnehmungen der Behandler enthalten. Dem Patienten muss eine frei verantwortliche Entscheidung über die Möglichkeit, eine ärztliche Behandlung selbstständig und kritisch überprüfen zu können, eingeräumt werden. Dies erfordert die Kenntnis des Krankheitsbilds und des in den Akten dokumentierten Behandlungsablaufs. Als Ausfluss dieses Rechts auf informationelle Selbstbestimmung kann der Patient daher vom Arzt und vom Krankenhausträger grundsätzlich auch außerhalb eines Rechtsstreits Einsicht in die ihn betreffenden Krankenunterlagen verlangen. Ein besonderes schutzwürdiges bzw. rechtliches Interesse an der Einsichtnahme wird hierfür nicht gefordert, da sich dieses bereits aus dem allgemeinen Persönlichkeitsrecht des Patienten ergibt.

Der Bundesgerichtshof hat in seiner oben erwähnten grundlegenden Entscheidung weiter ausgeführt, dass sich das Einsichtnahmerecht des Patienten nur auf naturwissenschaftlich objektivierbare Befunde und Behandlungsfakten beziehe. Aufzeichnungen des Arztes über persönliche Eindrücke (z. B. subjektive Werturteile bzw. emotional gefärbte Bemerkungen des Arztes), die oftmals zwangloser und deutlicher abgefasst würden, könnten hingegen dem Patienten vorenthalten werden. Diese Rechtsprechung des Bundesgerichtshofs wurde durch einen Beschluss des Bundesverfassungsgerichts vom 16. September 1998 - 1 BvR 1130/98 - bestätigt und konkretisiert.

Eine Einschränkung des Einsichtnahmerechts des Patienten wegen (angeblich) entgegenstehender therapeutischer Gründe wird häufig als sog. therapeutisches Privileg bezeichnet. Dies bedeutet, dass der Arzt in Einzelfällen eine ungünstige Prognose oder eine schwerwiegende Erkrankung verschweigen oder verharmlosen darf, um die Heilungsaussichten nicht zu beeinträchtigen. Die Rechtsprechung erkennt ein solches therapeutisches Privileg jedoch nur ganz ausnahmsweise an, da ansonsten die Gefahr bestünde, dass das grundrechtlich garantierte Selbstbestimmungsrecht des Patienten ausgehöhlt würde. Die Reduktion auf eng begrenzte Ausnahmefälle wird durch eine aktuelle Entscheidung des Bundesverfassungsgerichts (Beschluss vom 9. Januar 2006 - 2 BvR 443/02) bestätigt. Diese Entscheidung betrifft zwar unmittelbar ein anderes Thema, nämlich das Auskunftsrecht eines im Maßregelvollzug Untergebrachten, gibt in seinen Leitsätzen jedoch auch über diesen Fall hinaus wichtige Auslegungshinweise:

Der Patient hat danach generell ein geschütztes Interesse daran zu erfahren, wie mit seiner Gesundheit umgegangen wurde, welche Daten sich dabei ergeben haben und wie man die weitere Entwicklung einschätzt. Dies gilt im gesteigerten Maße für Informationen über die psychische Verfassung.
Es bleibt nach Meinung des Gerichts ausdrücklich offen, ob die Rechtsprechung des Bundesgerichtshofs, die den Anspruch des Patienten auf Einsicht in die ihn betreffenden Krankenunterlagen grundsätzlich auf sog. objektive Befunde beschränkt und einen sog. therapeutischen Vorbehalt anerkannt hat, noch verfassungsgemäß ist.

Im Hinblick auf die sich in der Rechtsprechung abzeichnende Ausdehnung des Informationsrechts des Patienten auch bei einem psychiatrisch-medizinischen Sachverhalt wird man sich in der Auskunftspraxis nur noch in äußerst seltenen Fällen auf einen therapeutischen Vorbehalt berufen können, der dann gegebenenfalls auch einer juristischen Prüfung standhalten muss. Wenn demzufolge auch "heikle" Notizen für den Patienten unter Umständen zukünftig einsehbar sein werden, empfiehlt es sich, dies von vornherein bei beabsichtigten Aufzeichnungen zu bedenken und vorschnelle, möglicherweise entwürdigende oder beleidigende Formulierungen gänzlich zu vermeiden.

Ergänzend sei noch darauf hingewiesen, dass das Landeskrankenhausgesetz Baden-Württemberg (LKHG) - anders als zum Teil in anderen Bundesländern - keine datenschutzrechtliche Sonderbestimmung über das Patientenauskunftsrecht enthält. Allerdings verweist § 43 Abs. 5 LKHG u. a. auf die jeweils geltenden Vorschriften über den Schutz personenbezogener Daten (Anmerkung: Je nach Trägerschaft des Krankenhauses kann dies das Landesdatenschutzgesetz oder das Bundesdatenschutzgesetz sein). Insoweit besteht auch über diese Verweisungsvorschrift nach § 21 LDSG bzw. § 19 BDSG ein grundsätzlicher Anspruch auf Auskunft und Akteneinsicht des Patienten über die zu seiner Person gespeicherten Krankendaten.

2.7 Dienstanweisungen zum Datenschutz

Das Zentrum hatte u. a. Dienstanweisungen für die Nutzung von Personalcomputern, Laptops, Personal Digital Assistants - PDAs - und sonstigen tragbaren IT-Geräten, für die Nutzung des Internets und von USB-Geräten und -Schnittstellen sowie zu den Telefaxsystemen, zur Fernwartung und zu Telearbeitsplätzen erlassen. Dabei war besonders anzuerkennen, dass neben "klassischen" Themen wie PC-Einsatz, Telefax oder die Nutzung des Internets auch Themenbereiche wie Einsatz von USB-Medien sowie mobile Informations- und Kommunikationstechnik (IuK) behandelt wurden. Bei einer Durchsicht stellten wir hinsichtlich dieser Unterlagen zum einen noch einen gewissen Änderungsbedarf fest. Zum anderen deckten die übersandten Regelungen nicht alle datenschutzrelevanten Bereiche ab. So fehlten in den Dienstanweisungen Vorgaben zur Konfiguration der Internet-Firewall oder lokaler Netzwerkkomponenten. Da es sich dabei um IuK-Systeme handelt, die zahlreiche datenschutzrechtliche Fragestellungen aufwerfen und für deren datenschutzgerechten Betrieb umfassende Maßnahmen konzipiert und umgesetzt werden müssen, ist es unverzichtbar, auch für deren Nutzung organisatorische Regelungen zu treffen. Diese können etwa in Vorgaben zur Konfiguration oder zu Verfahrensweisen zur Beantragung oder Änderung der im Netz vorhandenen Kommunikationsmöglichkeiten bestehen. Da das Fehlen derartiger schriftlicher Unterlagen einen datenschutzrechtlichen Mangel darstellt, wiesen wir das Zentrum darauf hin, dass noch fehlende Regelungen alsbald zu treffen sind. Zudem forderten wir das Zentrum auf, ein internes Datenschutzmanagement zu etablieren, das sicherstellt, dass bei der Konzeption neuer oder der Änderung bestehender sicherheitsrelevanter Systeme rechtzeitig die notwendigen Datenschutz- und Sicherheitsmaßnahmen berücksichtigt werden. Das Zentrum sagte zu, dies umzusetzen.

2. Abschnitt: Die gesetzliche Krankenversicherung

1. Kundenwerbung - Ein Dauerbrenner

Zu einem datenschutzrechtlichen Dauerbrenner scheint sich das Bemühen der Krankenkassen zu entwickeln, die ihnen durch das im Jahr 2003 beschlossene Gesetz zur Modernisierung der gesetzlichen Krankenkassen eingeräumte Wettbewerbsfreiheit offensiv in der Praxis zu nutzen. Dass das Werben um neue Kunden allerdings bestimmten datenschutzrechtlichen Spielregeln unterliegt, hatten wir bereits in unserem letztjährigen Tätigkeitsbericht näher beleuchtet (LT-Drucksache 14/650). Im Berichtszeitraum mussten wir erneut tätig werden und dabei insbesondere einem Spezialversicherer für Handwerker die Grenzen des datenschutzrechtlich Machbaren aufzeigen.

So ging bei uns eine Beschwerde darüber ein, dass verschiedene Arbeitgeber von zwei Regionaldirektionen dieser Krankenkasse Anfang 2007 Werbepost erhalten hatten. In Serienbriefen, denen jeweils ein Rückantwortschein angeschlossen war, baten die Regionaldirektionen die Arbeitgeber um Mitteilung, welche der bei ihnen beschäftigten Mitarbeiter und Auszubildenden bisher noch nicht bei der Krankenkasse versichert sind. Die Firmen wurden darin um die Übermittlung folgender personenbezogener Daten ihrer Beschäftigten - getrennt nach Mitarbeitern und Azubis - gebeten: Name, Vorname, Straße, Postleitzahl/Ort und Telefon. Bezüglich der Mitarbeiter wurde darüber hinaus auch noch gefragt, bei welcher Kasse diese derzeit versichert sind. Hinsichtlich der Auszubildenden war die Krankenkasse auch daran interessiert zu erfahren, wann diese ihre Ausbildung begonnen hätten und ob für sie bereits ein Vorvertrag bestehe oder nicht.

In der von uns daraufhin von der Krankenkasse eingeholten Stellungnahme vertrat diese zunächst die Auffassung, dass es § 284 Abs. 4 des Fünften Sozialgesetzbuchs - SGB V - (ohne weiteres) zulasse, Daten zur Gewinnung von Mitgliedern zu erheben, zu verarbeiten und zu nutzen. Darüber hinaus sei das Fehlen einer wirksamen datenschutzrechtlichen Einwilligungsklausel in den Serienbriefen nur darauf zurückzuführen, dass die Krankenkasse einen neuen sog. Lettershop mit der Durchführung dieser Art der Kundenwerbung beauftragt habe (Outsourcing). Unsere Antwort darauf war unmissverständlich: Den Versuch, an Adress- und sonstige personenbezogene Daten von potenziellen Kunden ohne deren ausdrückliche schriftliche Einwilligung (über deren Arbeitgeber) zu gelangen, lässt § 284 Abs. 4 Satz 1 SGB V nach seinem eindeutigen Wortlaut nur dann zu, wenn die dafür benötigten Daten aus allgemein zugänglichen Quellen erhoben werden. In allen anderen Fällen stellt sich die Rechtslage wie folgt dar:

Gemäß § 67b Abs. 1 Satz 1 des Zehnten Buchs des Sozialgesetzbuchs (SGB X) ist eine Verarbeitung personenbezogener Daten, wozu auch die Datenerhebung zählt, nur dann zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder - was im vorliegenden Fall die einzig mögliche Alternative war - die Betroffenen in die Erhebung ausdrücklich eingewilligt haben. Die Einwilligung hätte darüber hinaus gemäß § 67b Abs. 2 Satz 3 SGB X der Schriftform bedurft. Auch der Versuch der Krankenkasse, die Verantwortung der datenschutzrechtlichen Fehlleistung auf Dritte, den Lettershop, abzuwälzen, erwies sich als untauglich. Denn bei einem solchen Vorgehen handelt es sich um eine Datenverarbeitung im Auftrag, bei der der Auftraggeber für die Einhaltung der Vorschriften über den Datenschutz nach wie vor verantwortlich bleibt (vgl. u. a. § 80 Abs. 1 SGB X). Die sich aus dieser Verantwortlichkeit ergebende Verpflichtung beschreibt § 80 Abs. 2 SGB X näher. Danach ist der Auftraggeber zunächst gehalten, den Auftragnehmer sorgfältig auszuwählen, um anschließend den Auftrag schriftlich zu erteilen. Der Auftraggeber hat sich im Übrigen beim Auftragnehmer von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zur Wahrung eines ausreichenden Datenschutzstandards zu überzeugen.

Erfreulicherweise zeigte sich die Krankenkasse schließlich doch einsichtig und teilte uns mit, dass man nunmehr die Ablaufprozesse so gestalten wolle, dass vor einer Produktionsfreigabe an externe (Werbe )Firmen immer erst eine Endabnahme durch ihren behördlichen Datenschutzbeauftragten zu erfolgen habe. Dadurch soll künftig vermieden werden, dass eine Einwilligungsklausel bei entsprechenden Datenerhebungen fehlt. Bezüglich der der Krankenkasse durch diese datenschutzrechtlich unzulässige Aktion bereits zugegangenen Antwortscheine zeigte man sich ebenfalls kooperativ. Letztlich konnte folgende von uns mitgetragene Lösung gefunden werden: Die Krankenkasse tritt über den Arbeitgeber an die Arbeitnehmer heran und bittet diese nachträglich um deren ausdrückliches Einverständnis in die mit der beschriebenen Werbemaßnahme ursprünglich beabsichtigte Datennutzung. Wird diese verweigert, erfolgt unverzüglich eine Datenlöschung.

Unter dem Motto "Sind Sie wirklich zufrieden mit Ihrer Krankenkasse?" hatte dieselbe Krankenkasse im Berichtszeitraum bereits eine weitere Aktion zur Gewinnung von Neukunden gestartet. Mit dem Unterschied zur ersten Aktion, dass die mit einer Rückantwortkarte versehenen Anschreiben nunmehr von allen Regionaldirektionen in Baden-Württemberg an über 500 000 potenzielle Kunden versandt wurden. Ein betroffener Mitbürger beklagte sich bei meiner Dienststelle u. a. darüber, dass die für die Rückantwort bestimmte Postkarte an ihn (Anmerkung: die Adressdaten waren bereits aufgedruckt) keinen Hinweis darauf enthielt, dass die dort erbetenen Angaben bezüglich Telefon und E-Mail-Anschrift freiwillig erfolgen. Im Übrigen mussten wir anhand der übersandten Unterlagen feststellen, dass weder aus der Rückantwortkarte noch aus der Werbebroschüre ersichtlich wurde, wie lange die Krankenkasse die Daten bei sich zu speichern beabsichtigte. Auf der Antwortkarte hatten die Angeschriebenen drei Alternativen zum Ankreuzen: 1. Die Bitte um einen persönlichen Besuch; 2. Die Bitte um ein telefonisches Beratungsgespräch; 3. Die Bitte (lediglich) um die Übersendung von weiterem Info-Material der Krankenkasse.

Auf die datenschutzrechtliche Problematik des Vorgehens angesprochen, teilte uns die Krankenkasse mit, dass auch in diesem Fall ein Lettershop in ihrem Auftrag die Serienbriefe mit Hilfe "angemieteter" Adressdaten durchgeführt habe. Die dem Anschreiben beigefügten Antwortkarten sollten lediglich dazu dienen, die Krankenkasse darüber zu informieren, dass Interesse an einer Kontaktaufnahme bzw. der Übermittlung von weiterem Informationsmaterial besteht. Dabei liege es nach Auffassung der Krankenkasse im Ermessen der Betroffenen, ob sie die Karte überhaupt nutzen und dabei zusätzlich ihre Telefonnummer und/oder ihre E-Mail-Anschrift als Kontaktadresse angeben. Auf diese Weise meinte die Krankenkasse den im Sozialdatenschutz verankerten Grundsatz der "Freiwilligkeit" bei der Erhebung von Kundendaten gewahrt zu haben. Hinsichtlich der Speicherdauer teilte man uns zunächst nur lapidar mit, dass im Rahmen der beschriebenen Werbeaktion - wenn keine Mitgliedschaft zu Stande komme - die Daten dann gelöscht würden, sobald sie für die Zwecke der Mitgliedergewinnung nicht mehr benötigt werden.

Nachdem wir uns mit diesen Ausflüchten der Krankenkasse nicht zufrieden gaben und nochmals nachhakten, räumte man kleinlaut ein, dass es bisher zu diesem speziellen Thema keine betriebsinternen Regelungen in Form einer Dienstanweisung gebe. Genauere Fristen für die Speicherung und Löschung solcher im Rahmen von Werbeaktionen gewonnenen Daten seien daher noch nirgends schriftlich festgelegt. Es wurde zugesagt, dies nunmehr aufgrund unserer Anregungen und Hinweise nachzuholen. Die Krankenkasse möchte dabei - je nach Fallkonstellation - eine Streuung der Aufbewahrungsdauer bei Erwachsenen von sechs Monaten bis zu vier Jahren vorsehen sowie bei Kindern und Jugendlichen sogar so lange, wie diese noch zur Schule gehen oder studieren. Ohne dass im Zeitpunkt der Drucklegung des Tätigkeitsberichts eine abschließende Beratung gegenüber der Krankenkasse möglich gewesen wäre, halten wir bei derartigen Werbeaktionen im Grundsatz eine Höchstnutzungsdauer in Anlehnung an § 175 Abs. 4 Satz 5 SGB V für die Dauer von maximal zwei Jahren für zulässig. Etwas anderes gilt nur dann, wenn der Betroffene erneut von sich aus gegenüber der Krankenkasse wieder aktiv wird. Redlicherweise kann eine Krankenkasse nach einer so langen Zeitdauer nicht mehr davon ausgehen, dass ein einmal angeschriebener potenzieller Kunde nach über zwei Jahren an einem Wechsel der Krankenkasse noch interessiert ist. Der datenschutzrechtliche Hinweis, so wie ihn die Krankenkasse zukünftig in ihre Werbebroschüren aufnehmen möchte ("Ich bin damit einverstanden, dass die [Name der Krankenkasse] meine Daten speichert und nutzt, um mich informieren und beraten zu können. Ein Widerruf ist jederzeit möglich, meine Daten werden dann gelöscht.") stellt zwar eine Verbesserung gegenüber der bisherigen Werbepraxis dar. Gleichwohl vermag diese Formulierung die oben dargestellten datenschutzrechtlichen Bedenken meines Amts nicht vollständig auszuräumen, da sie keinen Hinweis auf die Dauer der Datenspeicherung enthält.

2. Das Fahrradturnier und seine Folgen

Dass der Profiradsport durch Doping-Vorwürfe ins Zwielicht gerückt ist und immer wieder neue Enthüllungen an die Öffentlichkeit gelangen, überrascht eigentlich niemanden mehr. Erstaunt waren wir allerdings, dass ein von einem Automobilclub zusammen mit einer unserer Kontrolle unterliegenden Krankenkasse veranstaltetes Fahrradturnier dunkle datenschutzrechtliche Schatten auf eine an sich gute Sache werfen konnte. Was war geschehen?

Ein verärgerter Vater hatte sich an meine Dienststelle gewandt, weil sein noch minderjähriger Sohn ohne erkennbaren Anlass von einer Krankenkasse angeschrieben worden war, obwohl weder er noch der Sohn dort familienversichert waren. Eine Nachfrage bei der Krankenkasse ergab eine überraschende Erklärung: Mit einer auf Bezirksebene durchgeführten Werbeaktion in Form eines "Berufsstarterangebots" versuchte die Krankenkasse Jugendliche - werbestrategisch geschickt als Angebot für ein sog. Bewerbertraining verpackt - gezielt anzusprechen und sie auf diese Weise als Neukunden zu gewinnen. Im Rahmen dieser Aktivitäten wurden sowohl Familienangehörige als auch jugendliche Personen, deren Daten man im Rahmen von unterschiedlichen Aktionen (z. B. Preisausschreiben, Fahrradturniere etc.) als vermeintliche Interessenten gewonnen hatte, angeschrieben. Insgesamt erhielten auf diese Weise immerhin ca. 5 000 Personen inhaltsgleiche Werbesendungen.

Besonders ärgerlich für die Betroffenen - neben anderen von uns im weiteren Verfahren festgestellten datenschutzrechtlichen Verstößen - war, dass die Krankenkasse die Adressdaten anlässlich eines in Oberschwaben veranstalteten Jugend-Fahrrad-Turniers erlangt hatte, das gemeinsam mit einem allgemein in gutem Ruf stehenden Automobilclub bereits vor vier Jahren (im Jahr 2002) durchgeführt worden war. Wie unsere Recherchen weiter ergaben, war seinerzeit die Abgabe einer Teilnahmeerklärung Voraussetzung, um überhaupt an diesem Fahrradturnier teilnehmen zu können. Die Erklärungen selbst mussten sowohl von den jugendlichen Teilnehmern als auch von deren Erziehungsberechtigten unterschrieben werden. Der Bitte, uns Originale dieser Teilnahmeerklärungen zur Einsicht vorzulegen, konnte man (leider) nicht mehr entsprechen, weil diese dort bereits vernichtet waren, nachdem die Krankenkasse zuvor das für sie Wichtigste - nämlich die Adressdaten der Jugendlichen - für Werbezwecke gespeichert hatte.

Auf die aus Sicht des Datenschutzes unzulässige Vorgehensweise der Krankenkasse angesprochen, räumte diese unumwunden ein, dass es für die anlässlich des Fahrradturniers gewonnenen Adressdaten und deren spätere Nutzung keine wirksamen Einwilligungserklärungen der Betroffenen gebe. Darüber hinaus entspreche die Vorgehensweise nicht den internen datenschutzrechtlichen Anforderungen, wie sie für die korrekte Ansprache von Kunden im Rahmen von Werbeaktionen im Datenschutzhandbuch der Krankenkasse festgeschrieben seien. Im Übrigen habe man auch schon vor mehreren Jahren in den internen Dienstanweisungen festgelegt, dass Adressgewinnungslisten vor Ort bei den Bezirksdirektionen archiviert werden müssten, um bei Streitfällen gegebenenfalls die ordnungsgemäße Speicherung der Daten und die Rechtmäßigkeit der Werbemaßnahmen belegen zu können. Das Datenschutzhandbuch weise ferner ausdrücklich darauf hin, dass die Archivierung unbedingt so lange zu erfolgen habe, wie die Einwilligungserklärungen der Einzelnen Grundlage für die Speicherung und Nutzung der betreffenden Daten seien. Ebenso eindeutig stellten die Handlungsanweisungen für die Beschäftigten der Krankenkasse klar, dass bei solchen Datenerhebungsmaßnahmen streng auf die Freiwilligkeit bei der Beantwortung der Fragen - wie es im Verhältnis zu Interessenten immer der Fall sein müsse - hinzuweisen ist.

Die datenschutzrechtliche Bewertung des Falls ergibt sich unmittelbar aus dem Gesetzestext. Sowohl die Gewinnung der Adressdaten im Jahre 2002 anlässlich des Fahrradturniers als auch die darauf beruhenden Anschreiben an mögliche Interessenten für eine Krankenversicherung verstießen gegen § 4 LDSG. Wesentlich ist dabei, dass versäumt wurde, die Jugendlichen und auch die Erziehungsberechtigten auf die Freiwilligkeit ihrer Angaben, den eigentlichen Zweck der Erhebung und Verarbeitung ihrer Daten, die Speicherdauer und die Möglichkeit des jederzeitigen Widerrufs der von ihnen gemachten Angaben hinzuweisen. Im Übrigen muss eine Einwilligungserklärung schon in ihrem Schriftbild deutlich vom Erscheinungsbild der sonstigen Erklärungen abgehoben sein.

Soweit aus einem solchen Vorgang überhaupt positive Schlüsse gezogen werden können, dann diese, dass die Krankenkasse selbst aktiv zur Aufklärung des Sachverhalts beigetragen und die objektiv nicht unerheblichen Datenschutzverstöße auch unumwunden eingeräumt hat. Auch konnten wir feststellen, dass es mit dem Datenschutzhandbuch der Krankenkasse tatsächlich bereits ein Regelwerk gibt, bei dessen strikter Beachtung derartige Datenschutzverstöße nicht hätten passieren dürfen. Die Krankenkasse hat zudem glaubhaft versichert, den Vorfall zum Anlass zu nehmen, im Rahmen von zusätzlichen Mitarbeiterinformationen nochmals ausführlich über die datenschutzrechtlichen Anforderungen bei der Durchführung von Werbemaßnahmen hinzuweisen und deren strikte Beachtung anzumahnen. Auf die Durchführung weiterer Fahrradturniere zur gezielten Ansprache von Jugendlichen (als eigentliche Triebfeder für diese Aktionen) hat die Krankenkasse inzwischen ebenfalls verzichtet und gegenüber meiner Dienststelle schriftlich erklärt, dass man die seinerzeit unzulässig erhobenen Adressdaten gelöscht habe.

3. Einreichung ärztlicher Verordnungen im Rahmen der häuslichen Pflege

Der regelmäßige Erfahrungsaustausch der Datenschutzbeauftragten von Bund und Ländern ist eine wichtige Erkenntnisquelle für die tägliche Arbeit meiner Dienststelle, erfahren wir doch auf diese Weise, wenn sich andernorts neue Entwicklungen ergeben. Durch eine Umfrage eines Kollegen aus den neuen Bundesländern wurden wir darauf aufmerksam, dass Träger häuslicher Pflegedienste in der Praxis anscheinend Probleme damit haben, die Vorgaben der Richtlinie des Bundesausschusses der Ärzte und Krankenkassen über die Verordnung von "häuslicher Krankenpflege" nach § 92 Abs. 1 Satz 2 Nr. 6 und Abs. 7 SGB V einzuhalten. Danach besteht die Verpflichtung, innerhalb von drei Arbeitstagen die Verordnung bei der die Kosten tragenden Krankenkasse einzureichen. Sehr oft kann die genannte Drei-Tages-Frist bei einem Versand der Verordnungen per Post durch die Pflegedienste nicht eingehalten werden. Datenschutzrechtliche Schwierigkeiten können sich meist dann ergeben, wenn die Verordnungen - zur Fristwahrung - von den Pflegediensten vorab per Telefax übermittelt werden.

Um die Abrechnungspraxis in Baden-Württemberg in Erfahrung zu bringen, haben wir bei der größten Krankenkasse im Land um Auskunft gebeten, wie dort mit diesen Fällen verfahren wird. Folgendes wurde uns berichtet:

Nummer 24 der genannten Richtlinie sieht lediglich vor, dass die Krankenkassen bis zur Entscheidung über die Genehmigung der Pflegemaßnahme die vom Vertragsarzt verordneten und vom Pflegedienst erbrachten Leistungen zu vergüten haben, wenn die Verordnung spätestens am dritten auf die Ausstellung folgenden Arbeitstag der Krankenkasse vorgelegt wird. Sollte eine Verordnung später bei der Krankenkasse eingehen, so hat dies zur Folge, dass die Krankenkasse nicht verpflichtet ist, die erbrachten Leistungen dem Pflegedienst zu vergüten.

Bei der von uns befragten Krankenkasse gibt es die Anordnung, dass bei Leistungspflicht der Krankenkasse eine Kostenübernahme sowohl bei Posteingang innerhalb als auch außerhalb der Frist vorgenommen wird. Sofern keine Leistungspflicht nach der oben genannten Richtlinie besteht, werden gleichwohl innerhalb der Eingangsfrist von drei Werktagen die Kosten bis zur Ablehnung übernommen. Außerhalb der Frist wird eine Kostenübernahme jedoch abgelehnt. Weiter wurde uns über die dortige Versicherungspraxis noch berichtet, dass die Krankenkasse

die datenschutzrechtlichen Voraussetzungen bei der Datenübermittlung per Telefax - insbesondere was den Telefax-Empfang von besonders zu schützenden Daten anbelangt - in ihrem Datenschutzhandbuch in einem besonderen Kapitel geregelt hat. Dieses Verfahren soll gleichwohl nur im Ausnahmefall - auch hinsichtlich der Pflegedienste - angewendet werden;
dadurch einen datenschutzkonformeren Weg anbietet, dass sie eine verschlüsselte Übertragungsmöglichkeit auch für "Partner im Gesundheitswesen" über ein Internet-Portal anbietet. Sobald der Vertragspartner der Krankenkasse die ausgefüllte und unterschriebene Verpflichtungserklärung zugeschickt hat, kann der Zugang durch die Krankenkasse freigeschaltet werden. Über ein sicheres Postfach können danach die besonders schützenswerten Gesundheitsdaten zwischen Krankenkasse und dem Vertragspartner ausgetauscht werden. Die Pflegedienste können über diese Möglichkeit die Verordnungen verschlüsselt übermitteln.

Das vorstehend beschriebene Verfahren wird von meiner Dienststelle ausdrücklich begrüßt und zur Nachahmung auch für andere Krankenkassen empfohlen. Erfreulich ist, dass aufgrund unserer Nachfrage eine weitere Verfahrensverbesserung insoweit vorgenommen wurde, dass künftig die Pflegedienste, die ihre Verordnungen nach wie vor per Telefax vorab übermitteln, ausdrücklich darauf hingewiesen werden, dass ihnen die Krankenkasse über das genannte Internet-Portal eine sichere Übertragungsmöglichkeit anbietet. Parallel dazu wurden auch die Bezirksdirektionen darüber informiert.

Sollten die Pflegedienste gleichwohl das angebotene Internet-Portal nicht nutzen (können), versucht die Krankenkasse die datenschutzrechtlichen Risiken, die eine Telefaxübertragung immer mit sich führt, durch folgende zusätzliche Maßnahmen noch weiter zu mindern:

Intern stellt die Krankenkasse künftig sicher, dass nur ein fest zugeordnetes Telefaxgerät für die Annahme und Übermittlung der Verordnungen im Pflegebereich zum Einsatz kommt. Das Gerät sollte möglichst über einen Zwischenspeicher verfügen, der verhindert, dass z. B. in den Abendstunden oder am Wochenende Telefaxausdrucke im Postkorb beim Gerät verbleiben. Ist dies kurzfristig nicht möglich, muss zumindest organisatorisch sichergestellt werden, dass keine Unbefugten von den Verordnungen Kenntnis erhalten.
Die Krankenkasse wird die Pflegedienste veranlassen, dass diese eine feste (einprogrammierte) Kurzwahl mit der Telefax-Nummer der Krankenkasse verwenden.

Wir haben diese Vorschläge ausdrücklich begrüßt und zusätzlich empfohlen, ein in einem anderen Bundesland (Brandenburg) von einer Krankenkasse bereits praktiziertes Verfahren aufzugreifen: Danach soll die Systemlandschaft so verändert werden, dass eingehende Telefaxe entweder an den Arbeitsplatz-PC der bearbeitenden Mitarbeiter gesandt oder - was datenschutzrechtlich besonders interessant ist - nur noch per PIN-Eingabe bzw. personengebundener Chipkarte von den Telefax-Geräten abgeholt werden können. Auf die von meiner Dienststelle herausgegebenen Hinweise zum Thema "Datensicherheit beim Telefax" wird in diesem Zusammenhang hingewiesen; sie können über unsere Homepage (http://www.baden-wuerttemberg.datenschutz.de) heruntergeladen werden.

4. Unterlagen von Fremd- und Zwangsarbeitern kommen in die Staatsarchive

Zwangsarbeit während der NS-Zeit gehört fraglos zu den dunkelsten Kapiteln der deutschen Geschichte. Unterlagen darüber wurden nicht systematisch aufbewahrt. Zu den Quellen, die über das Schicksal der Betroffenen Auskunft geben können, zählen die sog. "Hebelisten" - dies sind die Versichertenunterlagen - der Allgemeinen Ortskrankenkassen (heute: AOK Baden-Württemberg), die bis zum heutigen Tag zuhauf noch in den Altregistraturen bei den Bezirksdirektionen lagern.

Diese Unterlagen wurden im Rahmen der Arbeit der Stiftung "Erinnerung, Verantwortung, Zukunft" ausgewertet, um den Opfern eine finanzielle Entschädigung zukommen zu lassen. Meine Dienststelle wurde im Jahr 2000 erstmals mit den sich dabei ergebenden datenschutzrechtlichen Fragestellungen befasst (21. Tätigkeitsbericht für das Jahr 2000, LT-Drucksache 12/6020).

Es dürfte einer breiten Öffentlichkeit meist nicht bekannt sein, dass die während der NS-Zeit zur Zwangsarbeit eingesetzten Fremdarbeiter unfreiwillig Mitglied in der gesetzlichen Krankenversicherung waren und die Versicherungsunterlagen bis heute noch bei der AOK Baden-Württemberg vorhanden sind. Aus archiv- und datenschutzrechtlicher Sicht ergeben sich daraus jedoch schwierige Fragen, die auch dank der intensiven Beratung meiner Dienststelle und der ergebnisorientierten Herangehensweise von AOK und Landesarchiv einer sachgerechten und für alle Beteiligten sinnvollen Lösung zugeführt werden konnten. Eine Archivierung der Unterlagen durch das Landesarchiv wurde offenbar deshalb ins Auge gefasst, weil weder die Hauptverwaltung der AOK Baden-Württemberg noch ihre Bezirksdirektionen über eigene, archivfachlichen Ansprüchen genügende Archive verfügen. Die bei der AOK Baden-Württemberg aufbewahrten Versicherungsunterlagen von Zwangsarbeitern aus der Zeit des Nationalsozialismus werden daher ab Januar 2008 an die Staatsarchive übergeben. Die rechtliche Grundlage dafür bildet ein aus diesem Anlass abgeschlossener Archivvertrag zwischen der AOK Baden-Württemberg und dem Land Baden-Württemberg (Landesarchiv), in dem das Nähere insbesondere über die Übergabe der Unterlagen an die Archive und die Erteilung von Auskünften an Betroffene bzw. deren Angehörige geregelt ist. Wichtig war dabei für mich, dass auch nach Übergabe der Unterlagen an das Landesarchiv Auskunftsersuchen von ehemaligen Zwangsarbeitern in der gleichen Weise entsprochen werden wird, wie dies die Krankenkasse bis dahin selbst erledigt hatte. Diesem Ziel haben die AOK Baden-Württemberg und das Landesarchiv durch entsprechende vertragliche Regelungen Rechnung getragen. Nach dem mit mir abgestimmten Vertragstext bietet die AOK Baden-Württemberg dem Landesarchiv von vornherein sowieso nur Unterlagen an, die von den einzelnen AOK-Bezirksdirektionen zur Erfüllung ihrer Aufgaben nicht mehr benötigt werden. Für - mit Zeitablauf immer unwahrscheinlicher werdende - Anfragen, mit denen sich ehemalige Zwangsarbeiter oder deren Angehörige doch noch zur Einholung von Auskünften an die Krankenkasse wenden, wurde eine eigene Vertragsklausel entwickelt: Die AOK Baden-Württemberg kann jederzeit auf die von ihr übergebenen Unterlagen für die Zwecke zurückgreifen, für die diese Unterlagen vor der Abgabe an das Landesarchiv verwendet werden durften. Somit ist gewährleistet, dass einerseits die Belange der Betroffenen weiterhin in gleicher Weise wie bisher gewahrt werden und andererseits dem Interesse der Forschung Genüge getan ist, unter Nutzung der Archive mehr Licht in dieses düstere Kapitel unserer Geschichte zu bringen.

Für mich ist dieser Fall ein Musterbeispiel dafür, dass sachgerechte Lösungen gefunden werden können, wenn die datenschutzrechtliche Beratung nach § 31 Abs. 3 LDSG rechtzeitig in Anspruch genommen wird.

3. Abschnitt: Soziales

1. Arbeitslosengeld II - quo vadis?

Auch mit Ablauf des dritten Jahres seit ihrer Einführung steht die Sozialleistung Arbeitslosengeld II weiterhin im Fokus der Öffentlichkeit. Was ist sozial gerecht? Diese Frage wird nicht nur in der Politik, sondern in vielen gesellschaftlichen Kreisen intensiv diskutiert. Betroffen von der Diskussion ist dabei nicht nur das Arbeitslosengeld II, sondern auch die in vielen Fällen vorgelagerte Versicherungsleistung Arbeitslosengeld, umgangssprachlich auch als Arbeitslosengeld I bezeichnet. Monatelang stritten SPD und Union über eine längere Zahlung des Arbeitslosengelds an ältere Arbeitnehmer. Der Koalitionsausschuss verständigte sich nun darauf, Älteren schon bald wieder länger Arbeitslosengeld zu zahlen.

Nicht allein die Dauer der Auszahlung des Arbeitslosengelds, auch die Existenz der für das Arbeitslosengeld II zuständigen Arbeitsgemeinschaften steht dieses Jahr auf dem Prüfstand. Im Mai 2007 fand vor dem Bundesverfassungsgericht in Karlsruhe die mündliche Verhandlung der Verfassungsbeschwerde von elf Landkreisen statt, die gegen die Verpflichtung, Arbeitsgemeinschaften mit der Bundesagentur für Arbeit zu bilden, geklagt hatten. In dem Verfassungsbeschwerdeverfahren - 2 BvR 2433/04 - beanstanden die Beschwerdeführer zudem die Zuweisung der Zuständigkeit für einzelne Leistungen der Grundsicherung für Arbeitsuchende ohne Ausgleich der sich daraus ergebenden Mehrkosten. Bis Redaktionsschluss für diesen Tätigkeitsbericht war nicht bekannt, wie das Bundesverfassungsgericht über die Verfassungsbeschwerde entscheiden wird; die Entscheidung soll aber noch in diesem Jahr ergehen. Die andauernde soziale Brisanz der Thematik und die ganz unterschiedlichen Probleme, die mit dem Arbeitslosengeld II verbunden sind, spiegeln sich auch in den zahlreichen Eingaben und Anfragen wider, mit denen meine Dienststelle im Berichtszeitraum wieder befasst war.

Erfreulicherweise sind aus Sicht des Datenschutzes auch positive Entwicklungen zu verzeichnen: Bereits in den vorangegangenen Tätigkeitsberichten berichteten wir vom Datenbanksystem A2LL, das die Erfassung und Verwaltung von finanziellen Leistungen für die Bezieher von Arbeitslosengeld II ermöglicht. Die Datenschutzbeauftragten des Bundes und der Länder fordern hier schon seit dem Jahr 2004 ein klar definiertes Zugriffsberechtigungskonzept und eine Protokollierung (auch) der lesenden Zugriffe. Der Bundesdatenschutzbeauftragte zog im September dieses Jahres nach einem Kontrollbesuch bei der Bundesagentur für Arbeit ein positives Resümee: Das für die Leistungsgewährung genutzte Programm A2LL verfüge nunmehr über die angemahnten, längst fälligen datenschutzrechtlichen Mindeststandards, insbesondere klar definierte, abgestufte Zugriffsberechtigungen. Zudem werden die bundesweiten Zugriffe nun lückenlos protokolliert.

2. Arbeitslosengeld II: Getrennte Aufgabenwahrnehmung - doppelte Vorlagepflicht?

Träger der Leistungen der Grundsicherung für Arbeitsuchende sind die Bundesagentur für Arbeit und die Land- bzw. Stadtkreise als kommunale Träger. Das Zweite Buch des Sozialgesetzbuchs (SGB II) sieht vor, dass die Leistungsträger - soweit der kommunale Träger nicht als sog. optierende Kommune die Aufgaben der Bundesagentur für Arbeit mit übernimmt (siehe hierzu 25. Tätigkeitsbericht für das Jahr 2004, LT-Drucksache 13/3800, und 27. Tätigkeitsbericht für das Jahr 2006, LT-Drucksache 14/650) - zur einheitlichen Wahrnehmung ihrer Aufgaben Arbeitsgemeinschaften errichten. Dies kann durch privatrechtliche oder öffentlich-rechtliche Verträge bewerkstelligt werden. Aber nicht in allen Stadt- und Landkreisen konnten sich die Leistungsträger auf diese Form der Aufgabenerledigung einigen, so dass es bundesweit in knapp 20 Fällen bei der getrennten Aufgabenwahrnehmung geblieben ist. Dabei handelt es sich anscheinend um eine baden-württembergische Besonderheit: Elf Stadt- und Landkreise mit getrennter Aufgabenwahrnehmung liegen im Land.

Die getrennte Aufgabenwahrnehmung hat zur Folge, dass ein Bürger, der Arbeitslosengeld II beantragt, es mit zwei Behörden zu tun hat. Mangelnde Kundenorientiertheit ist aber nicht das einzige Problem der getrennten Aufgabenerledigung. Die Gemeindeprüfungsanstalt Baden-Württemberg hat in ihrem Geschäftsbericht 2007 festgestellt, dass das Modell sowohl qualitativ als auch fiskalisch unbefriedigende Ergebnisse liefert und Synergieeffekte faktisch ausgeschlossen sind. Die vom Gesetzgeber nur als Übergangslösung vorgesehene Konstellation der getrennten Aufgabenwahrnehmung hat auch datenschutzrechtliche Konsequenzen: Da die Aufgaben der Agentur für Arbeit und des kommunalen Trägers nicht von einer Arbeitsgemeinschaft gemeinsam erledigt werden, muss genau darauf geachtet werden, welcher Träger für welche Aufgabe zuständig ist, da hiervon auch die Zulässigkeit der Datenverarbeitung abhängig ist. Wie der folgende Fall zeigt, sieht dies allerdings manch betroffener Träger nicht so eng.

Eine Bürgerin, die Arbeitslosengeld II bezog, wandte sich an meine Dienststelle, weil das Landratsamt von ihr die Vorlage von Kontoauszügen zur Prüfung ihrer Einkommens- und Vermögensverhältnisse verlangt hatte. Die Petentin machte u. a. geltend, dass die Prüfung der Hilfebedürftigkeit der Agentur für Arbeit und nicht dem Landratsamt obliege. Da die Leistungsbezieherin in der Angelegenheit auch eine Petition beim Landtag eingereicht hatte, wandte sich das Ministerium für Arbeit und Soziales, das gegenüber dem Petitionsausschuss des Landtags Stellung zu nehmen hatte, an meine Dienststelle und bat ebenfalls um eine Bewertung des Anliegens der Petentin.

Datenschutzrechtlich stellte sich die Angelegenheit wie folgt dar: Das Arbeitslosengeld II umfasst Leistungen zur Sicherung des Lebensunterhalts einschließlich der angemessenen Kosten für Unterkunft und Heizung. Die Bundesagentur für Arbeit ist Träger der Regelleistung zur Sicherung des Lebensunterhalts, während der kommunale Träger die Leistungen für Unterkunft und Heizung zu übernehmen hat. Für beide Teilleistungen ist Voraussetzung, dass der Betroffene hilfebedürftig ist, das heißt, dass er seinen Lebensunterhalt nicht aus eigenen Kräften und Mitteln sichern kann und die erforderliche Hilfe nicht von anderen erhält. Der Gesetzgeber hat aber nicht vorgesehen, dass jeder Träger eigenständig feststellt, ob der Betroffene hilfebedürftig ist. Vielmehr handelt es sich um einen einheitlichen Leistungsanspruch, der zwingend ein einheitliches Ergebnis in der Beurteilung der Hilfebedürftigkeit erfordert. Die Befugnis zur Feststellung der Hilfebedürftigkeit hat der Gesetzgeber der Agentur für Arbeit zugewiesen. Dies hat zur Folge, dass die Agentur für Arbeit den Sachverhalt insoweit auch aufzuklären hat und vom Betroffenen gegebenenfalls die Vorlage von Beweisurkunden verlangen kann. Da der kommunale Träger, der die Kosten für Unterkunft und Heizung maßgeblich zu tragen hat, ein ureigenes Interesse daran hat, Leistungen nur an wirklich Bedürftige zu zahlen, ist im Zweiten Buch des Sozialgesetzbuchs vorgesehen, dass er der Feststellung der Agentur für Arbeit zur Hilfebedürftigkeit widersprechen kann. In diesem Fall entscheidet eine gemeinsame Einigungsstelle, der ein Vorsitzender und jeweils ein Vertreter der Agentur für Arbeit und des widersprechenden Trägers angehören. Die Agentur für Arbeit hat die von ihr zur Höhe des Einkommens und Vermögens des Betroffenen erhobenen Informationen dem kommunalen Träger nach Maßgabe der datenschutzrechtlichen Vorschriften zuzuleiten, damit dieser prüfen kann, ob er der Feststellung der Agentur für Arbeit widersprechen möchte, und den Widerspruch gegebenenfalls begründen kann.

Nicht zulässig ist es aber, dass der kommunale Träger, wenn ihm die Feststellung der Agentur für Arbeit zur Hilfebedürftigkeit nicht passt, auf eigene Faust ermittelt und vom Antragsteller Nachweise zur Höhe seines Einkommens und Vermögens verlangt. Hält der kommunale Träger die Sachverhaltsaufklärung der Agentur für Arbeit für unzureichend, hat er im Einigungsstellenverfahren auf weitergehende Ermittlung hinzuwirken. Das Ministerium für Arbeit und Soziales ist meiner Auffassung gefolgt.

Da im Land unterschiedliche rechtliche Bewertungen kursierten, ob und in welchem Umfang der kommunale Träger bei getrennter Aufgabenwahrnehmung die Hilfebedürftigkeit zu prüfen hat, sah das Ministerium weiteren Abklärungsbedarf mit dem Landkreistag, dem Städtetag und der Gemeindeprüfungsanstalt. Ergebnis der Abstimmung aller beteiligten Stellen war eine "Gemeinsame Bewertung des Landkreistags Baden-Württemberg, des Städtetags Baden-Württemberg, des Landesbeauftragten für den Datenschutz, der Gemeindeprüfungsanstalt Baden-Württemberg und des Ministeriums für Arbeit und Soziales als oberster Rechtsaufsicht über die kommunalen Träger nach dem SGB II zur Frage der Prüfung der Hilfebedürftigkeit nach § 44a SGB II in der Organisationsform der getrennten Aufgabenwahrnehmung", in der noch einmal ausdrücklich auf die wesentlichen Punkte hingewiesen wurde. Die Bewertung wurde inzwischen an die Stadt- und Landkreise verteilt.

3. Arbeitslosengeld II: Die Bettlägerigkeitsbescheinigung

Die Agentur für Arbeit soll im Einvernehmen mit dem kommunalen Träger mit jedem erwerbsfähigen Hilfebedürftigen eine Eingliederungsvereinbarung abschließen. Zweck der Eingliederungsvereinbarung ist die Konkretisierung der im Zweiten Buch des Sozialgesetzbuchs abstrakt geregelten Grundsätze des Förderns und Forderns. Durch die Vereinbarung werden die Rechte und Pflichten sowohl des Hilfebedürftigen als auch der Behörde verbindlich festgelegt. Ferner sollen hierdurch die Akzeptanz und die Eigenverantwortung des Hilfebedürftigen erhöht werden. Kommt eine Vereinbarung zwischen Behörde und dem Hilfebedürftigen nicht zustande, besteht nach dem Gesetz aber auch die Möglichkeit, dass die Behörde (einseitig) einen Verwaltungsakt erlässt, der die Vereinbarung ersetzt.

Ein Bürger, der Arbeitslosengeld II bezog, wandte sich Hilfe suchend an meine Dienststelle. Die für ihn zuständige Arbeitsgemeinschaft hatte, da die Eingliederungsvereinbarung von ihm nicht unterschrieben war, einen vereinbarungsersetzenden Verwaltungsakt erlassen. In diesem war geregelt, dass der Petent Zeiten der Krankheit ausschließlich mit einer Bettlägerigkeitsbescheinigung nachzuweisen habe. Allein eine vorliegende Arbeitsunfähigkeitsbescheinigung reiche nicht aus.

Von meiner Dienststelle zur Stellungnahme aufgefordert, erklärte die betroffene Arbeitsgemeinschaft, die Vorlage einer Bettlägerigkeitsbescheinigung sei lediglich für Fälle gedacht, in denen sich der Kunde der Meldepflicht und der Möglichkeit, einen Integrationsplan zu erarbeiten, durch Vorlage von Krankmeldungen entziehe. Weiterhin gelte dies nicht für alle Arbeitsunfähigkeitszeiten, sondern lediglich für die Tage, an denen der Kunde zu einem Termin bei der Arbeitsgemeinschaft erscheinen oder an Schulungsmaßnahmen teilnehmen solle. Der Petent habe bisher Einladungen der Arbeitsgemeinschaft Folge geleistet. Daher bestehe objektiv keine Veranlassung, eine Bettlägerigkeitsbescheinigung zu verlangen. Eventuell sei dies aufgrund nicht dokumentierter Äußerungen des Petenten "vorbeugend" in den Verwaltungsakt aufgenommen worden. Im Ergebnis schien die Arbeitsgemeinschaft ihr Vorgehen für zulässig zu halten.

Dem konnte ich nicht folgen: Die in der Eingliederungsvereinbarung enthaltene Verpflichtung, Zeiten der Krankheit ausschließlich durch eine Bettlägerigkeitsbescheinigung nachzuweisen, dürfte zur Erreichung des von der Arbeitsgemeinschaft verfolgten Zwecks von vornherein wenig geeignet sein, da es durchaus Krankheiten gibt, bei denen der Erkrankte zwar nicht der Bettruhe bedarf, aber dennoch nicht arbeitsfähig bzw. nicht in der Lage ist, zu einem Meldetermin zu erscheinen oder an einer Schulungsveranstaltung teilzunehmen. Erwerbsfähige Hilfebedürftige sind nach dem Zweiten Buch des Sozialgesetzbuchs verpflichtet, dem zuständigen Leistungsträger spätestens vor Ablauf des dritten Kalendertags nach Eintritt der Arbeitsunfähigkeit eine ärztliche Bescheinigung über die Arbeitsunfähigkeit und deren voraussichtliche Dauer vorzulegen; die Arbeitsgemeinschaft ist berechtigt, die Vorlage der ärztlichen Bescheinigung früher zu verlangen. Gründe, weswegen es im Falle des Petenten erforderlich gewesen sein könnte, Zeiten der Krankheit - die in der Eingliederungsvereinbarung auch gar nicht eingegrenzt waren - ausschließlich mit einer Bettlägerigkeitsbescheinigung nachzuweisen, wurden von der Arbeitsgemeinschaft nicht vorgetragen. Der vorliegende Fall und insbesondere die Stellungnahme der betroffenen Arbeitsgemeinschaft zeigen, dass dort die datenschutzrechtlichen Kenntnisse nicht sonderlich ausgeprägt sind und offenkundig auch das notwendige Einfühlungsvermögen den Kunden gegenüber fehlt.

4. Datenabgleich beim Wohngeld

Das Wohngeldgesetz ermächtigt die Wohngeldstellen, die zum Haushalt rechnenden Familienmitglieder und Personen von Wohn- und Wirtschaftsgemeinschaften zur Vermeidung von Leistungsmissbrauch regelmäßig im Wege eines Datenabgleichs in verschiedener Hinsicht zu überprüfen. Beispielsweise darf kontrolliert werden, welche Zinseinkünfte aus Kapitalvermögen die Betroffenen erhalten und ob und für welche Zeiträume andere Sozialleistungen, bei denen auch Kosten der Unterkunft berücksichtigt werden, beantragt oder empfangen werden. Der Datenabgleich ist auch in automatisierter Form zulässig. Das Wohngeldgesetz ermächtigt die Landesregierungen, durch Rechtsverordnung das Nähere über das Verfahren eines solchen automatisierten Datenabgleichs zu regeln.

Baden-Württemberg hat dieses Jahr als drittes Bundesland nach Hamburg und Nordrhein-Westfalen eine Verordnung über den automatisierten Datenabgleich bei Leistungen nach dem Wohngeldgesetz erlassen. In der Verordnung ist vorgesehen, dass Einzelheiten des Datenübermittlungs- und Datenabgleichverfahrens, insbesondere des Aufbaus der Datensätze, der Übermittlung, der Prüfung und Berichtigung von Datensätzen von den an dem automatisierten Datenabgleich beteiligten Stellen unter Beteiligung des Landesbeauftragten für den Datenschutz in Verfahrensgrundsätzen einvernehmlich festgelegt werden.

Das Wirtschaftsministerium übersandte meiner Dienststelle daher Ende Mai dieses Jahres einen Entwurf der Verfahrensgrundsätze zur Stellungnahme. Zu den übersandten Unterlagen gehörte u. a. eine Aufzählung der Sozialdaten, die ein sog. Anfragesatz enthält (beispielsweise Name, Vorname, Geburtsdatum, Anschrift). Die Wohngeldstellen übermitteln diesen Anfragesatz über eine zentrale Landesstelle der Datenstelle der Träger der Rentenversicherung. Die Datenstelle gleicht die im Anfragesatz enthaltenen Sozialdaten mit den ihr ebenfalls vorliegenden Daten von Beziehern von Sozialhilfe und Arbeitslosengeld II ab. So kann geprüft werden, ob ein rechtswidriger Doppelbezug vorliegt. Das Wohngeldgesetz selbst regelt abschließend, welche Sozialdaten für den Datenabgleich von der Wohngeldstelle an die Datenstelle übermittelt werden dürfen. Auch der Abgleich ist auf diese Daten zu beschränken. Der uns vorliegende Anfragesatz enthielt jedoch Sozialdaten, die im Gesetz nicht vorgesehen sind: So war geplant, den Geburtsnamen des Leistungsempfängers und, soweit dem Leistungsempfänger in der Deutschen Rentenversicherung eine aktuelle Versicherungsnummer zugeordnet werden kann, auch diese in den Datenabgleich mit einzubeziehen.

Auf meinen Hinweis, dass die in dem Anfragesatz enthaltenen Sozialdaten über die im Wohngeldgesetz abschließend aufgezählten hinausgehen, wurde mitgeteilt, dass die Übermittlung dieser Angaben die "Trefferquote" beim Datenabgleich um ein Vielfaches erhöhe. Außerdem bestünden Bestrebungen der Bundesregierung, die entsprechende Vorschrift im Wohngeldgesetz zumindest um den Geburtsnamen zu ergänzen. Diese Argumentation ändert nichts an der Rechtswidrigkeit des geplanten Vorgehens. Außerdem ist auf Folgendes hinzuweisen: Der automatisierte Datenabgleich stellt einen sehr weit reichenden Eingriff in das allgemeine Persönlichkeitsrecht der Betroffenen dar. Regelmäßig werden alle zum Haushalt rechnenden Familienmitglieder und Personen von Wohn- und Wirtschaftsgemeinschaften in verschiedener Hinsicht überprüft, ohne dass im Einzelfall ein konkreter Anlass erforderlich wäre. Deshalb ist es umso wichtiger, dass die Umsetzung des automatisierten Datenabgleichs in rechtlich einwandfreier Art und Weise erfolgt.

Aufgrund der Ausführungen meiner Dienststelle hat das Ministerium schließlich mitgeteilt, eine Übermittlung des Geburtsnamens der Leistungsempfänger an die Datenstelle werde bis zu einer Änderung des Wohngeldgesetzes nicht erfolgen. Ich begrüße dies und gehe davon aus, dass sich das Wirtschaftsministerium außerdem dafür einsetzt, dass auch eine Einbeziehung der Versicherungsnummer in den Datenabgleich mangels gesetzlicher Grundlage nicht erfolgt.

5. Unterhalt für die Schwiegermutter?

Bei bestimmten Sozialleistungen gehen Unterhaltsansprüche des Leistungsberechtigten für die Zeit, für die Leistungen erbracht werden, auf den Sozialleistungsträger über. Möchte der Sozialleistungsträger den Unterhaltsanspruch gegenüber dem Verpflichteten geltend machen, muss er sich zunächst über dessen finanzielle Situation unterrichten. In diesem Zusammenhang kommt es immer wieder auch zu datenschutzrechtlichen Fragestellungen:

So wandte sich ein Bürger an uns, dessen Mutter vom Sozialamt Hilfe zur Pflege erhielt. Das Sozialamt interessierte sich nicht nur für das Einkommen des Petenten, sondern auch für das Einkommen von dessen Ehefrau. Diese wollte keine Auskunft zu ihrem Einkommen erteilen, da sie mit der Schwiegermutter "nicht in einer Linie stehe". Der Petent schickte daher nur die Angaben zu seinem Einkommen an den Sachbearbeiter des Sozialamts zurück. Trotzdem erhielt der Petent anschließend einen Berechnungsbogen für Unterhaltszahlungen vom Sozialamt, auf dem auch ein Einkommen für seine Frau angegeben war. Das angegebene Einkommen entsprach auch ziemlich genau dem, was die Ehefrau tatsächlich verdiente. Der Verdacht des Petenten und seiner Frau war nun, dass das Sozialamt Informationen über das Einkommen der Ehefrau beim Finanzamt eingeholt hatte. Wir baten das betroffene Sozialamt, zu dem Vorgang Stellung zu nehmen. Dabei stellte sich heraus, dass sich die Befürchtungen des Petenten und seiner Frau nicht bestätigt hatten; der Petent selbst hatte dem Sozialamt im Zuge des Verfahrens Unterlagen, aus denen das Einkommen seiner Ehefrau ersichtlich war, zugesandt.

Zu der Frage, ob das Sozialamt Kenntnis von der Höhe des Einkommens der Ehefrau zur Erfüllung seiner Aufgaben benötigte, haben wir dem Petenten und seiner Ehefrau mitgeteilt, dass eine solche Datenerhebung - zumindest wenn sich die Ehefrau wie im vorliegenden Fall nicht aus eigenem Einkommen unterhalten kann - aus Sicht des Datenschutzes nicht zu beanstanden ist: Das Erheben von Sozialdaten durch einen Sozialleistungsträger ist zulässig, wenn ihre Kenntnis zur Erfüllung einer Aufgabe der erhebenden Stelle nach dem Sozialgesetzbuch erforderlich ist. Die Mutter des Petenten erhielt im vorliegenden Fall vom Sozialamt Hilfe zur Pflege. Bei dieser Sozialleistung geht, wenn die leistungsberechtigte Person für die Zeit, für die Leistungen erbracht werden, nach bürgerlichem Recht einen Unterhaltsanspruch hat, dieser bis zur Höhe der geleisteten Aufwendungen grundsätzlich auf den Träger der Sozialhilfe über.

Nach dem Bürgerlichen Gesetzbuch sind Verwandte in gerader Linie, also beispielsweise Mutter und Sohn, einander unterhaltspflichtig. Die Ehefrau des Sohns ist gesetzlich nicht verpflichtet, ihrer Schwiegermutter Unterhalt zu leisten. Insoweit scheinen die Einkommensverhältnisse der Ehefrau tatsächlich zunächst ohne Belang zu sein. Jedoch ist der Sohn gegenüber seiner Mutter nur zu Unterhalt verpflichtet, wenn er leistungsfähig ist. Dies bedeutet, dass er bei Berücksichtigung seiner sonstigen Verpflichtungen im Stande sein muss, ohne Gefährdung seines eigenen angemessenen Unterhalts den Unterhalt für seine Mutter zu gewähren. Vorrangig ist der Petent aber seiner Ehefrau und seinen eigenen Kindern und erst dann seinen sonstigen Verwandten, etwa seiner bedürftigen Mutter, zum Unterhalt verpflichtet. Wenn seine Ehefrau nun über keine oder nur geringfügige Einkünfte verfügt, muss der Petent seine Mittel vorrangig für deren Unterhalt einsetzen, was seine Möglichkeiten schmälert, Leistungen gegenüber seiner sozialhilfebedürftigen Mutter zu erbringen. Verfügt andererseits die Ehefrau über nennenswerte Einkünfte, muss der Petent für den Unterhalt der Ehefrau nicht mit aufkommen, so dass ihm mehr Mittel bleiben, seine Mutter zu unterstützen. Daraus ergibt sich, dass für die Leistungsfähigkeit eines verheirateten Unterhaltsverpflichteten die wirtschaftliche Lage seines Ehegatten durchaus von Bedeutung sein kann, auch wenn der Ehegatte selbst keinesfalls unterhaltspflichtig ist.

nach oben

PGP-Key

Kontakt

Impressum