Prüfung einer landwirtschaftlichen Berufsgenossenschaft

12.2 Prüfung einer landwirtschaftlichen Berufsgenossenschaft

Die Prüfung eines Sozialleistungsträgers konnte ohne Anlaß zur Kritik abgeschlossen werden.

Mit dem "Gesetz zur Einordnung des Rechts der gesetzlichen Unfallversicherung in das Sozialgesetzbuch" vom 7. August 1996, das im wesentlichen am 1. Januar 1997 in Kraft getreten ist, wurde das bisherige Unfallversicherungsrecht der Reichsversicherungsordnung (RVO) in ein Siebtes Buch des Sozialgesetzbuchs (SGB VII) übernommen.

Das Achte Kapitel (§§ 199-208) enthält bereichsspezifische Regelungen zum Datenschutz für die Unfallversicherung.

Um mich unter anderem über den Stand der Umsetzung der neuen gesetzlichen Regelungen zu informieren, habe ich Ende April 1997 bei der Land- und forstwirtschaftlichen Berufsgenossenschaft Hessen in Kassel eine Prüfung durchgeführt.

Schwerpunktmäßig bin ich im Verlauf der Prüfung nach folgendem Schema vorgegangen:

Stand der technischen und organisatorischen Maßnahmen zur Datensicherung und Datensicherheit:

- Gebäudesicherung und Zugangskontrolle
- Aufbewahrung und Sicherung von Unterlagen mit personenbezogenen Daten
- Vernichtung datengeschützter Informationsträger
- Dienstanweisungen zum Datenschutz

Datenerhebung, -verarbeitung und -nutzung:

- Zusammenarbeit der Berufsgenossenschaft mit anderen Sozialleistungsträgern
- Datenerhebungen bei Ärzten
- Datenerhebungen bei Gutachtern
- Verwendung von Vordrucken und Formularen mit Einwilligungserklärungen, z.B. Entbindung von der ärztlichen Schweigepflicht
-Inhalt von Unfallakten

Personaldatenverarbeitung:
- Führung und Inhalt von Personalakten nach §§ 107 ff. des Hessischen Beamtengesetzes

Bei meiner Prüfung bin ich sehr kompetent von dem Datenschutzbeauftragten der Landwirtschaftlichen Sozialleistungsträger Hessen unterstützt worden.

Stellung und Aufgabenbeschreibung des Datenschutzbeauftragten sind in einer "Dienstanweisung für den Datenschutz" geregelt. Nach aktuellem Stand sind die Regelungen vorbildlich und daher nachfolgend wiedergegeben.

Interner Beauftragter für den Datenschutz

Bestellung des internen Beauftragten für den Datenschutz

Zur Sicherstellung des Datenschutzes und der Datensicherung ist Herr ... zum internen Beauftragten für den Datenschutz bestellt worden. Er kann im Einvernehmen mit dem Geschäftsführer zur Erledigung seiner Aufgaben Mitarbeiter im erforderlichen Umfang heranziehen.

Stellung des internen Beauftragten für den Datenschutz

Der interne Beauftragte für den Datenschutz hat zur Durchführung seiner Aufgaben insbesondere das Recht, jederzeit Auskünfte zu verlangen und Unterlagen einzusehen. Bei Gefahr im Verzuge hat der interne Beauftragte für den Datenschutz Eingriffs- und Weisungsbefugnisse, sofern der Geschäftsführer oder sein Vertreter im Amt nicht rechtzeitig zu erreichen sind.

Aufgrund der ständigen Weiterentwicklung in Organisation, Technik, Gesetzgebung und Rechtsprechung muß dem internen Datenschutzbeauftragten die Möglichkeit gegeben werden, sich weiterzubilden, um seine Aufgabenerfüllung entsprechend den gesetzlichen Forderungen sicherzustellen.

Aufgaben des internen Beauftragten für den Datenschutz

Der interne Beauftragte für den Datenschutz hat

- im Rahmen der Erhebung, Verarbeitung und Nutzung personenbezogener Daten die Ausführung der Bestimmungen über den Sozialdatenschutz sowie

- die Einhaltung dieser Dienstanweisung und ergänzender Dienstanweisungen/Büroverfügungen zum Datenschutz

sicherzustellen.

Er hat insbesondere

- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; er ist über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,

- auf eine ausreichende Programmdokumentation hinzuwirken,

- die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse im jeweiligen Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen,

- bei der Auswahl der in der Verarbeitung personenbezogener Daten tätigen Personen sowie bei der Auswahl der Firmen und Einrichtungen, die im Auftrag der LSV-Träger Daten verarbeiten, beratend mitzuwirken,

- die Verzeichnisse der eingesetzten Datenverarbeitungsanlagen und Dateien gem. § 81 Abs. 4 SGB X i.V.m. § 6 Abs. 1 HDSG mit folgendem Inhalt zu führen:
1. die Zweckbestimmung der Datei,
2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,
3. den Kreis der Betroffenen,
4. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und die Herkunft regelmäßig empfangener Daten,
5. Fristen für die Sperrung und Löschung der Daten,
6. die technischen und organisatorischen Maßnahmen nach § 10 HDSG,
7. bei automatisierten Verfahren die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.

- stichprobenartig interne Kontrollen innerhalb der Verwaltung durchzuführen.

Berichts- und Informationspflicht des internen Beauftragten für den Datenschutz

Der interne Beauftragte für den Datenschutz ist gegenüber dem Geschäftsführer berichtspflichtig.

Im Verlauf der Prüfung habe ich mit zahlreichen Mitarbeitern der Berufsgenossenschaft gesprochen. In diesem Zusammenhang soll nicht unerwähnt bleiben, daß alle Fragen fachkundig beantwortet wurden.

Die Gespräche betrafen insbesondere den datenschutzgerechten Ablauf der Begutachtung und Behandlung von Unfall- bzw. Erkrankungssachen, vor allem den Informationsaustausch der Berufsgenossenschaft mit anderen Sozialleistungsträgern sowie mit medizinischen Gutachtern und behandelnden Ärzten. Bei den stichprobenweise von mir durchgesehenen Leistungsakten war ersichtlich, daß die Ermittlungstätigkeit der Berufsgenossenschaft mit den datenschutzrechtlichen Vorgaben im Einklang steht, insbesondere der Grundsatz der Erforderlichkeit bei der Datenverarbeitung beachtet wird. Zu bemerken ist in diesem Zusammenhang auch, daß die Betroffenen zu jeder Zeit über den Ablauf der sie betreffenden Verwaltungsvorgänge informiert sind.

Zusammenfassend konnte ich feststellen, daß den Erfordernissen des Datenschutzes und der Datensicherheit im Haus der Landwirtschaftlichen Berufsgenossenschaft in hohem Maße Rechnung getragen wird. Dies betrifft auch den Stand der technischen und organisatorischen Maßnahmen der Gebäudesicherung und der Zugangskontrolle. So ist z.B. der Eingang des Hauptgebäudes ständig mit einem Pförtner besetzt. Aber auch der von anderen öffentlichen Stellen oft vernachlässigte Hausbriefkasten ist so konstruiert, daß unbefugte Dritte keinen Zugriff nehmen können. Die EDV-Abteilung ist nochmals besonders abgeschirmt und nur für autorisierte Mitarbeiter zugänglich.

Bei diesen durchgehend positiven Prüfungsergebnissen versteht es sich fast von selbst, daß die Führung der Personalakten und der Umgang mit Personaldaten vorbildlich geregelt sind. Die Personalakten werden in verschlossenen Metallschränken aufbewahrt und sind nur den Mitarbeitern der Personalabteilung zugänglich.

Inhalt, <=, =>,