Wenn ein Gericht die Eröffnung des Hauptverfahrens ablehnt, weil es der Überzeugung ist, dass der Beschuldigte keine Straftat begangen hat, muss die Staatsanwaltschaft die Polizei darüber informieren. Die Polizei muss ihre Daten löschen. Ein automatisiertes Verfahren zur Übermittlung der Information durch die Staatsanwaltschaft existiert. Eine automatische Weiterverarbeitung der von der Staatsanwaltschaft übermittelten Information seitens der Polizei findet nicht statt.
Ein hessischer Sportschütze, der im Besitz einer entsprechenden Genehmigung seiner Waffenscheinbehörde war, erwarb bei einer hessischen Firma eine Schusswaffe. Tags darauf zeigte er bei der Waffenscheinbehörde den Erwerb der Waffe an. Die Waffenscheinbehörde vertrat die Ansicht, der ihm erteilte Berechtigungsschein gelte für die erworbene Waffe nicht. Der Lauf der Waffe sei zu kurz; sie sei vom Schießsport ausgeschlossen. Also habe er ohne Erlaubnis eine Schusswaffe erworben und besessen. Sein Einwand, der Erwerbsberechtigungsschein enthalte keine entsprechende Einschränkung, half nichts. Auch ein Nachweis, wonach es für die von ihm ausgeübte sportliche Disziplin eine Ausnahmebestimmung bzgl. der Länge des Laufs gibt, stimmte die Behörde nicht um. Sie stellte die Waffe vorläufig sicher, schaltete die Polizei ein und erstattete Strafanzeige bei der Staatsanwaltschaft.
Auch die Staatsanwaltschaft konnte der Betroffene nicht überzeugen. Sie erhob Anklage wegen unerlaubten Waffenbesitzes und -erwerbes. Erst das zuständige Amtsgericht gab ihm Recht. Es lehnte die Eröffnung der Hauptverhandlung wegen eines Verstoßes gegen das Waffengesetz ab. Die Kosten des Verfahrens wurden der Staatskasse auferlegt. Nach dem Beschluss ermächtigte die von der Waffenscheinbehörde erteilte Genehmigung sowohl zum Erwerb als auch zum Besitz des tatgegenständlichen Revolvers.
Dennoch waren mit dieser eindeutigen Entscheidung noch nicht alle Spuren des Vorganges beseitigt. Als der Betroffene etwa ein halbes Jahr später in eine Polizeikontrolle geriet, wurde er nach Überprüfung seiner Personalien nach seiner Empfindung gründlicher kontrolliert als andere Personen. Auf Nachfrage erklärten ihm die Beamten, das sei schon so richtig, schließlich sei er schon einmal wegen eines Verstoßes gegen das Waffengesetz polizeilich in Erscheinung getreten. Nun wandte er sich an mich und fragte, ob er die Datenspeicherung der Polizei hinnehmen muss.
Meine Überprüfung hat ergeben, dass es im polizeilichen Auskunftssystem POLAS-HE eine Datenspeicherung zu dem Betroffenen gab. Sie lautete unter Angabe seiner Personalien und des staatsanwaltschaftlichen Aktenzeichens sinngemäß "Unbefugter Erwerb und Besitz einer Waffe - Revolver -". Wie das Verfahren ausgegangen war, war der Polizei nicht bekannt. Richtig wäre es gewesen, wenn die Staatsanwaltschaft der Polizei mitgeteilt hätte, dass die Eröffnung des Hauptverfahrens abgelehnt worden war, weil keine Straftat vorlag und wenn die Polizei daraufhin ihre Daten gelöscht hätte. Nach § 20 Abs. 4 HSOG sind Daten, die die Polizei bei der Verfolgung von Straftaten gewonnen hat, zu löschen, wenn der Verdacht entfallen ist. Dies war hier der Fall.
|
§ 20 Abs. 4 HSOG Die Polizeibehörden können, soweit Bestimmungen der Strafprozessordnung oder andere gesetzliche Regelungen nicht entgegenstehen, personenbezogene Daten, die sie im Rahmen der Verfolgung von Straftaten gewonnen haben, zur Abwehr einer Gefahr oder zur vorbeugenden Bekämpfung von Straftaten speichern oder sonst verarbeiten. Die Speicherung oder sonstige Verarbeitung in automatisierten Verfahren ist nur zulässig, wenn es sich um Daten von Personen handelt, die verdächtig sind, eine Straftat begangen zu haben; entfällt der Verdacht, sind die Daten zu löschen. |
Dem behördlichen Datenschutzbeauftragten der zuständigen Polizeibehörde übersandte ich ein Exemplar des Gerichtsbeschlusses und bat ihn, die Rechtmäßigkeit der Datenspeicherung selbst zu prüfen. Er verfügte daraufhin sofort die Löschung. Nach einer Bestätigung der Umsetzung dieser Verfügung informierte ich den Betroffenen.
Warum die Polizei die Daten nicht gelöscht hatte, war nicht festzustellen. Es ist möglich, dass die Staatsanwaltschaft die Polizei nicht über den Ausgang des Verfahrens informiert hat. Es ist auch möglich, dass eine Information stattfand, aber nicht mitgeteilt wurde, dass der Verdacht entfallen ist und daher die Daten gelöscht werden müssen. Rechtsgrundlage für die Informationspflicht der Staatsanwaltschaft bildet § 484 Abs. 1 und 2 StPO.
|
§ 484 Abs. 1 und Abs. 2 StPO (1) Die Staatsanwaltschaft teilt der Polizeibehörde, die mit der Angelegenheit befasst war, ihr Aktenzeichen mit. (2) Sie unterrichtet die Polizeibehörden in den Fällen des Abs. 1 über den Ausgang des Verfahrens durch Mitteilung der Entscheidungsformel, der entscheidenden Stelle, sowie des Datums und der Art der Entscheidung. Die Übersendung eines Abdrucks der Mitteilung zum Bundeszentralregister ist zulässig, im Falle des Erfordernis auch des Urteils oder einer mit Gründen versehenen Einstellungsentscheidung. |
Ebenso ist es möglich, dass die notwendige Information erging, aber von der Polizei nicht verarbeitet wurde. Ich mache "seit Jahren" (zuletzt 34. Tätigkeitsbericht, Ziff. 5.3.4, 33. Tätigkeitsbericht, Ziff. 5.1.4, 29. Tätigkeitsbericht, Ziff. 6.1.4, 28. Tätigkeitsbericht, Ziff. 5.3) darauf aufmerksam, dass die Polizei den Ausgang der von ihr bearbeiteten Ermittlungsverfahren nicht registriert. Die Landesregierung führt in ihren Stellungnahmen zu meinen Berichten, was die evtl. fehlende Informationsübermittlung durch die Staatsanwaltschaften angeht an, es handele sich um Einzelfälle und meine Quantifizierungen, nach denen die Polizei "oft" oder "häufig" nicht vom Verfahrensausgang informiert ist, seien nicht empirisch gesichert. Doch mit der Einführung von MESTA, dem Datenverarbeitungsverfahren der Staatsanwaltschaften, sollte es möglich sein, dieses Problem automatisiert zu lösen. Seitens der Polizei – hier wiederhole ich ein Verlangen aus dem
Vorjahresbericht (Ziff. 5.3.4.2) – mangelt es an einer elektronischen Weiterverarbeitung der von der Justiz übermittelten Information über den Verfahrensausgang. Konkrete Schritte, wie sie in der Stellungnahme der Landesregierung zu meinem letzten Tätigkeitsbericht angekündigt sind, sind dazu bislang nicht zu erkennen.
Die hessischen Amtsgerichte informieren die Kirchengemeinden über Kirchenaustritte ihrer Mitglieder. Aufgrund von kirchensteuerlichen Regelungen sind bei verheirateten Personen dabei auch Angaben über die Eheschließung und den Ehepartner notwendig. Bei Personen, die nicht verheiratet sind, sondern eine eingetragene Lebenspartnerschaft begründet haben, sind solche Angaben unzulässig.
Ein Frankfurter Einwohner hat sich an mich gewandt und angeführt, das Frankfurter Amtsgericht habe ihm schweren Schaden zugefügt. Es habe dem Gesamtverband der katholischen Kirchengemeinden in Frankfurt am Main eine Mitteilung über seinen Kirchenaustritt gemacht und dabei hinzugefügt, dass, seit wann und mit wem er in einer eingetragenen Lebenspartnerschaft steht. Der Gesamtverband der katholischen Kirchengemeinden in Frankfurt am Main habe diese Information an die Kirchengemeinde seines Heimatdorfes weitergegeben. Da er aus einer sehr dörflichen Gegend stamme, wisse nun sein ganzes Heimatdorf und seine Familie von seiner gleichgeschlechtlichen Ausrichtung. Seine Familie habe mit ihm gebrochen. In seinem Heimatdorf werde er wie ein Aussätziger behandelt.
Er wandte sich an mich und legte mir eine Kopie der Mitteilung des Amtsgerichts vor. Sie trägt die Eingangsstempel von zwei Kirchengemeinden einschließlich der erwähnten Angaben. In nicht präziser Bezeichnung trägt die Mitteilung, bei der es sich nicht um ein Formular handelt, noch die Angabe wann und wo die "Eheschließung" stattfand.
Rechtsgrundlage der Datenübermittlung an die Kirchengemeinde ist ein seit dem Jahre 1920 geltendes Gesetz, betreffend den Austritt aus den Religionsgesellschaften öffentlichen Rechts i. d. F. des hessischen Gesetzes zur Vereinheitlichung der Verfahrensvorschriften über den Austritt aus einer öffentlich-rechtlichen Religionsgesellschaft vom 31. Mai 1974. Nach § 1 Abs. 1 dieses Gesetzes ist der Kirchenaustritt bei dem Amtsgericht zu erklären, das für den Wohnsitz des Betreffenden zuständig ist. Obwohl das Gesetz aus dem Jahre 1920 stammt, genügt die Regelung über die Information der Kirchengemeinde allgemeinen datenschutzrechtlichen Anforderungen:
|
§ 1 Abs. 3 Kirchenaustrittsgesetz Die Geschäftsstelle des Amtsgerichts hat von der Abgabe und der etwaigen Zurücknahme der Austrittserklärung unverzüglich den Vorstand der Religionsgesellschaft, der der Erklärende angehört, zu benachrichtigen und demnächst dem Ausgetretenen eine Bescheinigung über den vollzogenen Austritt zu erteilen. |
Damit ist grundsätzlich gegen eine Information der Kirchengemeinde über den Austritt ihres Mitgliedes nichts einzuwenden. Fraglich ist der Umfang der Datenübermittlung: Da das Gesetz einen genauen Datensatz nicht aufzählt, gilt der sich aus dem allgemeinen Datenschutzrecht herleitende Erforderlichkeitsgrundsatz. Erforderlich ist sicherlich eine Mitteilung über die Identifizierungsdaten des Betroffenen, also den Name, Vorname und Geburtsdatum. Als weiteres Identifizierungsdatum noch den Geburtsort anzugeben, wird nicht beanstandet. Auch zur Zuordnung von örtlichen Zuständigkeiten, die Adresse mit Wohnort und Straße zu bezeichnen, ist sicherlich erforderlich. Im Laufe der Geltung der Vorschrift hat sich die Verwaltungspraktik ergeben, bei verheirateten Personen auch noch Daten über die Eheschließung und den Ehepartner anzugeben. Soweit solche Informationen zur Feststellung des Wegfalles oder des Fortbestehens der Kirchensteuerpflicht notwendig sind, ist auch dagegen nichts einzuwenden. Eine steuerliche Gleichstellung von Eheschließungen und eingetragenen Lebenspartnerschaften ist aber gerade nicht erfolgt. Angaben über eine eingetragene Lebenspartnerschaft und über den Partner haben keine kirchensteuerrechtlichen Auswirkungen. Solche Angaben zu machen, war daher nicht erforderlich und damit unzulässig.
Mit der Feststellung, dass die in Rede stehende Datenübermittlung rechtswidrig erscheint, habe ich das Amtsgericht Frankfurt am Main um eine Stellungnahme gebeten. Das Amtsgericht Frankfurt am Main hat eingeräumt, dass die Niederschrift über den Kirchenaustritt der betreffenden Person insofern nicht korrekt war, als dort von einer "Eheschließung" die Rede war. Dabei habe es sich allerdings lediglich um eine versehentliche Falschbezeichnung gehandelt. Zur Anwendung des Erforderlichkeitsgrundsatzes in Bezug auf den zu übermittelnden Datenumfang widersprach mir das Gericht. Die Niederschrift über den Austritt erfolge auf der Grundlage eines bestimmten amtlichen Vordruckes des Oberlandesgerichts Frankfurt am Main. Dieser Vordruck sehe nun einmal die in Rede stehenden Angaben über die eingetragene Lebenspartnerschaft nebst den Angaben über den Lebenspartner vor. Bei der Mitteilung an die Kirchengemeinde sah sich das Gericht an die Angaben des Vordruckes gebunden.
Die sich nun aufdrängende Auseinandersetzung mit der Justizverwaltung erübrigte sich aus folgendem Grunde: In der Zwischenzeit hatte die betroffene Person beim Oberlandesgericht Frankfurt am Main Ansprüche auf immateriellen Schadensersatz geltend gemacht. Das Oberlandesgericht hat solche Ansprüche verneint, hat aber bezüglich des übermittelten Datenumfanges festgehalten, dass die Angaben "verpartnert" sowie wann, wo und mit wem die fälschlich so bezeichnete "Eheschließung" erfolgte, rechtswidrig waren. Es teilte meine Auffassung, dass neben dem eingangs zitierten Gesetz die allgemeinen Vorschriften des Datenschutzrechtes Anwendung finden und dass die Übermittlung von Angaben über eine eingetragene Lebenspartnerschaft nicht erforderlich und damit nicht zulässig ist. Dass der Vordruck, mit dem die Austrittserklärung dokumentiert wird, solche Angaben enthalte, beruhe auf einem Fehler. Dieser Fehler sei entstanden, weil der Vordruck bereits im Vorgriff auf das Inkrafttreten einer früheren Fassung des Lebenspartnerschaftsgesetzes angepasst worden sei. Diese frühere Fassung sah vor, die Lebenpartnerschaft steuerlich der Ehe völlig gleichzusetzen. Das letztlich verabschiedete Gesetz sieht eine solche Gleichstellung jedoch nicht vor.
Das Oberlandesgericht habe die hessischen Amtsgerichte mit einer Rundverfügung angewiesen, von der Aufnahme von Daten über eine eingetragene Lebenspartnerschaft in die Kirchenaustrittserklärung abzusehen. Offensichtlich ist diese Rundverfügung nicht ausreichend von allen hessischen Amtsgerichten zur Kenntnis genommen worden. Ich habe daher, um Wiederholungsfälle zu vermeiden, das Oberlandesgericht gebeten, den falschen Vordruck "aus dem Verkehr" zu ziehen und durch einen neuen Vordruck zu ersetzen. Eine Antwort steht noch aus. In meinem nächsten Tätigkeitsbericht werde ich über den Ausgang der Angelegenheit berichten.
Den Betroffenen habe ich entsprechend informiert. Soweit er die kircheninterne Informationsübermittlung rügte, musste ich ihn an die zuständige Datenschutzbeauftragte der katholischen Kirche verweisen. Allerdings wäre die nicht unproblematische kircheninterne Informationsverarbeitung nicht möglich gewesen, wenn sich bereits die Mitteilung des Amtsgerichts auf das tatsächlich Erforderliche beschränkt hätte.
zurück zur KapitelübersichtVor Beginn der Fußballweltmeisterschaft 2006 habe ich beim Polizeipräsidium Frankfurt einen Teil des hessischen Datenbestandes der Datei "Gewalttäter Sport" überprüft.
Die Prüfung führte nicht zu Beanstandungen.
Bei der Datei "Gewalttäter Sport" handelt es sich um eine sog. Verbunddatei, die je nach Bedarf sowohl den Polizeibehörden der Länder als auch denen des Bundes zur Verfügung steht und zu der sowohl von Bundes- wie auch von Landespolizeidienststellen Daten angeliefert werden. Die Datei wird seit dem Jahre 1994 geführt. Auf Bundesebene koordiniert eine "Zentrale Informationsstelle Sporteinsätze" (ZIS) die Sammlung, Bewertung und Steuerung der anlassbezogen übermittelten Informationen aus dem In- und Ausland. Die Aufgaben der ZIS sind dem Landeskriminalamt Nordrhein-Westfalen übertragen. Auf Länderebene stehen ihr jeweils eine "Landesinformationsstelle Sporteinsätze" (LIS) gegenüber, welche die Verteilung und Bewertung der Informationen landesintern steuert. Diese LIS ist in Hessen dem Polizeipräsidium Frankfurt zugeordnet. Sie wird unterstützt von so genannten szenenkundigen Beamten, die ihren Dienstsitz am Sitz von Bundesligamannschaften haben und sowohl mit den Fußballvereinen wie auch mit Fanclubs zusammenarbeiten. Sie sind über die eventuell vorhandene Gewaltbereitschaft von Einzelpersonen, Fangruppen und Fanclubs bestens informiert. In der Datei "Gewalttäter Sport" sind bundesweit ca. 6.000 bis 6.500 Personen gespeichert. Etwa 300 Datensätze stammen von hessischen Polizeibehörden; davon stammt etwa die Hälfte aus dem Zuständigkeitsbereich des Polizeipräsidiums Frankfurt am Main.
Rechtsgrundlage für die Führung der Datei ist heute § 7 Abs. 1, § 8 Abs. 1, 2, 4 und 5 und § 9 des BKAG. Rechtsgrundlage für die Datenanlieferung der Länder ist § 13 Abs. 1 BKAG. Rechtsgrundlage für die Datenübermittlung an die Länder und für das Bereithalten der Daten zum Abruf für die Landespolizeibehörden ist § 10 Abs. 1 und 7 BKAG.
|
§ 10 BKAG (1) Das Bundeskriminalamt kann an andere Polizeien des Bundes und an Polizeien der Länder personenbezogene Daten übermitteln, soweit dies zur Erfüllung seiner Aufgaben oder der des Empfängers erforderlich ist. ... (7) Die Einrichtung eines automatisierten Verfahrens für die Übermittlung personenbezogener Daten durch Abruf ist nach Maßgabe des § 10 Abs. 2 und 3 des Bundesdatenschutzgesetzes nur zur Erfüllung vollzugspolizeilicher Aufgaben mit Zustimmung des Bundesministeriums des Innern und der Innenministerien und Senatsinnenverwaltungen der Länder zulässig, soweit diese Form der Datenübermittlung unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit angemessen ist. |
Nach § 34 des BKAG hat das BKA für jede bei ihm geführte Datei in einer Errichtungsanordnung Festlegungen u. a. zur Rechtsgrundlage, Bezeichnung und Zweck der Datei, des betroffenen Personenkreises, der zu speichernden Daten sowie Fristen zur Prüfung und Löschung der Daten zu treffen. Im Jahre 2005 wurde die Errichtungsanordnung angesichts der bevorstehenden Fußballweltmeisterschaft 2006 und im Hinblick auf das politische und gesellschaftliche Verlangen an die Sicherheitsbehörden, unter Beobachtung der Weltöffentlichkeit einen friedlichen Verlauf der Fußballweltmeisterschaft 2006 – auch in Nachbetrachtung der schweren Ausschreitungen vorangegangener Veranstaltungen – zu gewährleisten, geändert. So wurden z. B. die aufgezählten Straftaten, die Anlass zur Aufnahme in die Datei bieten und u. a. Gewalt-, Raub- und Diebstahlsdelikte umfassen, um die Delikte "Verwenden von Kennzeichen verfassungswidriger Organisationen (§ 86a StGB), Volksverhetzung (§ 130 StGB) und Beleidigung (§ 185 StGB)" erweitert.
Nach der Errichtungsanordnung ermöglicht die Datei das Gewinnen von Anhaltspunkten für das Ergreifen von sachgerechten und wirksamen Eingriffsmaßnahmen. Sie liefert der Polizei Erkenntnisse für organisatorische und taktische Maßnahmen. Sie dient der Verhinderung gewalttätiger Auseinandersetzungen und sonstiger Straftaten im Zusammenhang mit Sportveranstaltungen. Anlässe die zur Datenspeicherung führen – immer im Zusammenhang mit Sportveranstaltungen festgestellt – können z. B. sein:
– eingeleitete und abgeschlossene Ermittlungsverfahren sowie rechtskräftige Verurteilungen wegen bestimmter bereits erwähnter Straftaten.
– Personalienfeststellungen, Platzverweise und Ingewahrsamnahmen zur Verhinderung anlassbezogener Straftaten, wenn Tatsachen die Annahme rechtfertigen, dass die Betroffenen Straftaten von erheblicher Bedeutung begehen werden.
Bei der erstgenannten Fallgruppe erscheint das Anknüpfen an "rechtskräftig Verurteilte" oder zumindest an "Beschuldigte" bestimmter im Zusammenhang mit Sportveranstaltungen begangener Straftaten, als Speichervoraussetzung ausreichend. Stichprobenhaft habe ich von den etwa 50 betroffenen Personen 15 Betroffene ausgewählt und um Vorlage der Kriminalakten gebeten. Die Speichervoraussetzungen waren bei allen gegeben. Gegen jeden der Betroffenen war wegen eines der in der Errichtungsanordnung aufgeführten Delikte, vorwiegend wegen Gewalttaten, begangen im Zusammenhang mit Sportveranstaltungen, Ermittlungsverfahren eingeleitet oder abgeschlossen oder rechtskräftige Verurteilungen ergangen.
Ich habe mich nun der zweiten Fallgruppe zugewandt. Zwar müssen auch hier Tatsachen die Annahme rechtfertigen, dass die Betroffenen Straftaten "von erheblicher Bedeutung" begehen werden, doch sind die Straftaten, die im Zusammenhang mit Ausschreitungen bei Großveranstaltungen zu befürchten sind, immer "von erheblicher Bedeutung". Und "Tatsachen, die die Annahme rechtfertigen, dass solche Taten bevorstehen" sind bei Fußballgroßveranstaltungen – mehr oder weniger stark ausgeprägt – immer vorhanden oder latent gegeben. Andererseits haben Betroffene geklagt, sie seien zu Unrecht in die Datei aufgenommen worden. Sie wären rein zufällig und unbeabsichtigt in eine Gruppe von Hooligans geraten und mit ihnen als gewaltbereit eingestuft worden.
Bei den szenenkundigen Beamten des Polizeipräsidiums Frankfurt, Polizeidirektion Süd, habe ich nun die Datenschutzkontrolle auf diejenigen Betroffenen konzentriert, zu denen keine Kriminalakten existieren. Sie waren also nicht Beschuldigte oder Verurteilte bestimmter Straftaten. Einer der anderen in der Errichtungsanordnung genannten Anlässe musste ausschlaggebend für die Datenspeicherung in der Datei sein. Dabei stellt eine bloße Personalienfeststellung keinen ausreichenden Anlass dar, um den mit der Datenspeicherung in der Datei "Gewalttäter Sport" verbundenen Eingriff in das Recht auf informationelle Selbstbestimmung als rechtmäßig zu erachten. Es handelte sich um 102 Personen. Im Ergebnis habe ich bei keinem der Betroffenen die Datenspeicherung beanstandet. Bei den meisten Betroffenen waren Platzverweise oder Ingewahrsamnahmen Anlass der Datenspeicherung. Zu jedem Einzelnen konnten mir die szenenkundigen Beamten der Polizeidirektion Süd bezeichnen, aufgrund welcher allgemeinen polizeilichen Lagebeurteilung und bei welchem Fußballspiel die Polizei eingeschritten war und welche Rolle die betroffene Person dabei spielte. Zwar war es oft so, dass keine Straftaten vorlagen, aber festgehalten war, dass durch gegenseitige Provokationen von Fangruppen tätliche Auseinandersetzungen unmittelbar bevorstanden und durch den Platzverweis oder die Ingewahrsamnahme Straftaten verhindert wurden. Jedenfalls war bei keinem der Betroffenen ausschließlich eine Personalienfeststellung Anlass der Datenspeicherung. Zusammenfassend ist festzustellen, dass von hessischen Polizeibehörden keine leichtfertigen oder unverhältnismäßigen Speicherungen in der Datei "Gewalttäter Sport" festzustellen waren.
Das Recht auf Auskunft über Datenspeicherungen zur eigenen Person gehört zu den elementaren Ausprägungen des Grundrechtes auf informationelle Selbstbestimmung. Wenn Arbeitgeber von Stellenbewerbern verlangen, ihrer Bewerbung eine von der Polizei ausgestellte Auskunft über eigene Daten beizufügen, stellt dies ein Missbrauch dieses Rechts dar.
Im Berichtszeitraum wurde folgendes datenschutzrechtliche Problem gleich von zwei Seiten an mich herangetragen:
Ein Einwohner aus dem Westerwald schilderte, er habe sich bei einem Frankfurter Sicherheitsdienst beworben. Das Unternehmen verlange von ihm, dass er seinen Bewerbungsunterlagen eine polizeiliche Selbstauskunft nach § 29 Abs. 1 HSOG, welche er beim HLKA beantragen möge, hinzufügen soll.
|
§ 29 Abs. 1 HSOG Der betroffenen Person ist auf Antrag gebührenfrei Auskunft zu erteilen über
... |
Dort sei ihm auf Nachfrage mitgeteilt worden, solche Anfragen würden nicht schriftlich beantwortet. Die Sicherheitsunternehmen würden auf diesem Wege Informationen erlangen, die ihnen nicht zustehen. Es handele sich um einen Missbrauch seines datenschutzrechtlichen Informationsanspruchs, dem die Behörde nicht Vorschub leisten will. Der Betroffene wandte sich daraufhin an mich.
Tatsächlich hatte sich schon einige Wochen vorher das HLKA mit mir in Verbindung gesetzt und mich über eine Verfahrensweise informiert, die einem Missbrauch des Auskunftsrechts begegnen sollte. Es gingen dort Auskunftsanträge ein, die offensichtlich nicht in Wahrnehmung des datenschutzrechtlichen Informationsanspruchs, sondern auf Betreiben eines Dritten, und zwar meist von einem gewerblichen Sicherheitsunternehmen gestellt wurden. Teilweise wurde das Drittinteresse offenbar, indem das Unternehmen selbst die formularmäßig aufbereiteten und in Form und Ausdruck identischen Auskunftsanträge päckchenweise dem HLKA zukommen ließ. Da die Anträge auch noch mit einer entsprechenden Einverständniserklärung versehen waren, sollten die Antworten gleich dem Unternehmen zurückgeschickt werden. An einem solch offensichtlichen Missbrauch des Auskunftsrechts wollte sich das HLKA verständlicherweise nicht beteiligen.
Andererseits hat das Verlangen der Sicherheitsunternehmen in § 34a der Gewerbeordnung durchaus einen rechtlichen Hintergrund. Danach darf ein Bewachungsunternehmer mit der Durchführung von Bewachungsaufgaben nur Personen beschäftigen, die u. a. die erforderliche Zuverlässigkeit besitzen.
Wie diese Zuverlässigkeit zu prüfen ist, lässt die Gewerbeordnung offen. Pflichtwidrig würde ein Bewachungsunternehmer handeln, würde er die erforderliche Zuverlässigkeit einfach außer Acht lassen. Er benötigt also Anhaltspunkte, um die Zuverlässigkeit eines Bewerbers beurteilen zu können. Dabei hätte eine polizeiliche Selbstauskunft, aus der hervorgeht, dass über den Antragsteller keinerlei Datenspeicherung vorliegt, die Wirkung eines "Persilscheines". Nun können Personen, über die die Polizei in ihren Informationssystemen keine Daten gespeichert hat, sicherlich als ausreichend zuverlässig eingeschätzt werden; das Unternehmen könnte sich daher darauf berufen, dass es bei dieser Sachlage seiner Prüfpflicht Genüge getan hat. Doch diese Intention widerspricht den Vorstellungen des Gesetzgebers. Für die gewünschte Prüfung steht dem Unternehmer das Instrument zur Verfügung, sich ein sog. Führungszeugnis nach § 30 BZRG vorlegen zu lassen.
|
§ 30 Abs. 1 und 2 BZRG (1) Jeder Person, die das 14. Lebensjahr vollendet hat, wird auf Antrag ein Zeugnis über den sie betreffenden Inhalt des Zentralregisters erteilt (Führungszeugnis). Hat der Betroffene einen gesetzlichen Vertreter, so ist auch dieser antragsberechtigt. Ist der Betroffene geschäftsunfähig, so ist nur sein gesetzlicher Vertreter antragsberechtigt. (2) Der Antrag ist bei der Meldebehörde zu stellen. ... |
Dieses Führungszeugnis unterscheidet sich erheblich von der Selbstauskunft der Polizei.
Zunächst ist es ausdrücklich für Drittinteressenten z. B. einen potentiellen Arbeitgeber geschaffen, für den die Unbescholtenheit seines Bewerbers wegen der Art der Tätigkeit von Bedeutung ist. In das Führungszeugnis werden im Wesentlichen alle strafrechtlichen Verurteilungen eingetragen. Hinzu kommen einige Entscheidungen von Verwaltungsbehörden, wie z. B. Passversagungen oder die Versagung waffenrechtlicher Erlaubnisse. Auch die Einstellung eines Strafverfahrens wegen Schuldunfähigkeit ist einzutragen. Aus Resozialisierungsgründen gibt es im Falle von nur einer Eintragung im Register eine Bagatellschwelle, z. B. für Verurteilungen, durch die auf Geldstrafe von nicht mehr als 90 Tagessätzen erkannt worden ist. Die Regelung (§ 32 BZRG) ist durch Verweise, Ausnahmen und Rückausnahmen recht kompliziert, doch sie ist enumerativ und für jedermann im Gesetz nachzulesen.
Es gibt im Bundeszentralregisterrecht neben den Vorschriften für das Führungszeugnis auch noch einen alle Eintragungen im Register umfassenden datenschutzrechtlichen Informationsanspruch (§ 42). Damit diese Selbstauskunft von den Betroffenen nicht als Leumundszeugnis oder sozusagen als erweitertes Führungszeugnis für dritte Interessenten verwendet werden kann, gibt es Vorkehrungen. So wird einem Anfrager diese Auskunft nur zur Einsicht vorgelegt – nicht zur Mitnahme. Sie kann auch nur persönlich entgegengenommen werden.
|
§ 42 Abs. 1 BZRG Einer Person, die das 14. Lebensjahr vollendet hat, wird auf Antrag mitgeteilt, welche Eintragungen über sie im Register enthalten sind. § 30 Abs. 1 Satz 2, 3 gilt entsprechend. Erfolgt die Mitteilung nicht durch Einsichtnahme bei der Registerbehörde, so ist sie, wenn der Antragsteller im Geltungsbereich dieses Gesetzes wohnt, an ein von ihm benanntes Amtsgericht zu senden, bei dem er die Mitteilung persönlich einsehen kann. Befindet sich der Betroffene in amtlichem Gewahrsam einer Justizbehörde, so tritt die Anstaltsleitung an die Stelle des Amtsgerichts. Wohnt der Antragsteller außerhalb des Geltungsbereichs dieses Gesetzes, so ist die Mitteilung an eine von ihm benannte amtliche Vertretung der Bundesrepublik Deutschland zu senden, bei der er die Mitteilung persönlich einsehen kann. Nach Einsichtnahme ist die Mitteilung vom Amtsgericht, der Anstaltsleitung oder der amtlichen Vertretung der Bundesrepublik Deutschland zu vernichten. |
Ganz anders die Speicherung personenbezogener Daten durch die Polizei: Sie ergeht gerade nicht, um eine Interessenlage Dritter zu erfüllen, sondern findet zur Aufgabenerfüllung der Polizei statt. Dabei steht neben der Gefahrenabwehr die vorbeugende Bekämpfung von Straftaten im Vordergrund. Sie hat präventiven, nicht repressiven Charakter. Künftige Straftaten sollen leichter aufgeklärt – noch besser – verhindert werden. Die Polizei speichert Daten nicht nur über Verurteilungen. Zwar muss sie ihre Daten löschen, wenn ein Verdacht entfallen ist
(s. Ziff. 5.1.1). Doch die Bagatellschwelle orientiert sich in erster Linie nicht an Resozialisierungsaspekten, sondern an der Erforderlichkeit und der Verhältnismäßigkeit. So darf die Polizei auch Daten über Fälle speichern, die noch gar nicht abgeschlossen sind oder bei denen die Justiz, z. B. aus Gründen der Billigkeit, auf eine strafrechtliche Verurteilung verzichtete oder die sie gegen Zahlung einer Geldauflage einstellte. Selbstverständlich muss sie einen Betroffenen im Rahmen einer Selbstauskunft auch über solche Datenspeicherungen informieren. Doch dass der Betroffene im Rahmen einer Selbstauskunft gezwungen wird, seinem künftigen Arbeitgeber solche Informationen zu offenbaren, widerspricht dem datenschutzrechtlichen Grundgedanken, der dem Informationsrecht zugrunde liegt.
Das HLKA informierte mich, es wolle Anfrager, die offensichtlich eine fremdbestimmte Selbstauskunft beantragen, künftig darüber informieren, dass das Auskunftsrecht nach § 29 HSOG ausschließlich dem Betroffenen selbst vorbehalten ist. Weiterhin wolle es auf die zitierten Regelungen des BZRG hinweisen und entsprechend dem Rechtsgedanken in § 42 BZRG im Falle der Aufrechterhaltung des Auskunftsverlangens dem Anfrager anbieten, die Auskunft in einem Gespräch in einer Polizeidienststelle zu erläutern.
Ein Erfahrungsaustausch mit den anderen Landesdatenschutzbeauftragten und dem Bundesdatenschutzbeauftragten führte zu dem Ergebnis, dass das Problem sowohl bei den Bundesbehörden als auch in etwa der Hälfte der anderen Länder mehr oder weniger stark ausgeprägt vorkam. Dort wo es aufgetaucht ist, wurde ihm so oder ähnlich wie vom HLKA vorgesehen begegnet. Ich habe dem HLKA signalisiert, gegen das Verfahren vorläufig nichts einzuwenden. Übrig bleibt eine gewisse Unsicherheit, die einerseits beinhaltet, dass ein fremdbestimmtes Auskunftsverlangen nicht als ein solches erkannt wird. Andererseits könnte ein selbstbestimmtes Auskunftsverlangen fehlerhafterweise als fremdbestimmt eingeschätzt werden und der Betroffene sich bei der Geltendmachung seiner Datenschutzrechte gehindert betrachten. Zumindest Letzteres wurde seit Einführung des Verfahrens von niemandem angeführt.
Nur bei bestimmten Entscheidungen und bei Entscheidungen über Angehörige bestimmter Nationalitäten muss eine besondere Sicherheitsüberprüfung zum Zwecke der Terrorismusbekämpfung stattfinden. Eine generelle Anfrage der Ausländerbehörde bei der Polizei vor jeglicher ausländerrechtlichen Entscheidung ist nicht zulässig.
Ein Frankfurter Rechtsanwalt hatte bei einer Ausländerbehörde im Rhein-Main-Gebiet die Erteilung einer befristeten Aufenthaltserlaubnis für einen eritreischen Staatsangehörigen beantragt. Als er nach einiger Zeit nachfragte, wann mit der Erteilung zu rechnen sei, erklärte die Ausländerbehörde, eine Sicherheitsanfrage bei der Polizei sei noch nicht beantwortet. Der Anwalt meinte, eine solche Anfrage sei nur gerechtfertigt, wenn Anhaltspunkte dafür vorliegen, dass Sicherheitsinteressen der beantragten Erlaubnis entgegenstehen. Solche Anhaltspunkte lägen bei seinem Mandanten nicht vor. Er wandte sich an mich.
Tatsächlich wurde im Zuge des Terrorismusbekämpfungsgesetzes ein Verfahren eingeführt, wonach die Ausländerbehörden bei Angehörigen bestimmter Nationalitäten vor der Erteilung von befristeten Aufenthaltsgenehmigungen unter anderem die Polizei um eine Stellungnahme bittet (s. meinen 27. Tätigkeitsbericht, Ziff. 6.1). Rechtgrundlage des Verfahrens sind nach der Neuregelung des Ausländerrechts die §§ 5 Abs. 4 und 54 Nr. 5 und 5a des
AufenthG.
|
§ 5 Abs. 4 AufenthG Die Erteilung eines Aufenthaltstitels ist zu versagen, wenn einer der Ausweisungsgründe nach § 54 Nr. 5 oder 5 a vorliegt. Von Satz 1 können in begründeten Einzelfällen Ausnahmen zugelassen werden, wenn sich der Ausländer gegenüber den zuständigen Behörden offenbart und glaubhaft von seinem sicherheitsgefährdenden Handeln Abstand nimmt. Das Bundesministerium des Innern oder die von ihm bestimmte Stelle kann in begründeten Einzelfällen vor der Einreise des Ausländers für den Grenzübertritt und einen anschließenden Aufenthalt von bis zu sechs Monaten Ausnahmen von Satz 1 zulassen.
§ 54 AufenthG Ein Ausländer wird in der Regel ausgewiesen, wenn 1. - 4. .... 5. Tatsachen die Schlussfolgerung rechtfertigen, dass er einer Vereinigung angehört oder angehört hat, die den Terrorismus unterstützt oder eine derartige Vereinigung unterstützt oder unterstützt hat; auf zurückliegende Mitgliedschaften oder Unterstützungshandlungen kann die Ausweisung nur gestützt werden, soweit diese eine gegenwärtige Gefährlichkeit begründen, 5a. er die freiheitlich demokratische Grundordnung oder die Sicherheit der Bundesrepublik Deutschland gefährdet oder sich bei der Verfolgung politischer Ziele an Gewalttätigkeiten beteiligt oder öffentlich zur Gewaltanwendung aufruft oder mit Gewaltanwendung droht. |
Nach einem Erlass des HMDIS erfolgt diese Prüfung bei Anträgen auf unbefristete Aufenthaltsgenehmigungen bei allen Ausländern. Bei befristeten Aufenthaltsgenehmigungen gilt der Erlass nur bei bestimmten Staatsangehörigen. Eritreische Staatsangehörige gehören bei befristeten Anträgen nicht zum Kreise der Betroffenen.
Auf meine Nachfrage erklärte die Ausländerbehörde, sie kenne den Erlass zur Intensivierung der Terrorismusbekämpfung. Sie war aber der Ansicht, sie habe zwecks Prüfung der allgemeinen Genehmigungsvoraussetzungen in jedem Falle eine Anfrage unter anderem bei der Polizei zu tätigen.
Diese Haltung entbehrte einer Rechtsgrundlage. Dem allgemeinen Ansinnen der Ausländerbehörde ist Rechnung getragen durch die Befugnis, im Ausländerzentralregister eventuell gespeicherte Daten abzurufen. Für den ansonsten noch zu prüfenden "gesicherten Lebensunterhalt" muss der Ausländer selbst Nachweise erbringen. Evtl. anhängige Strafverfahren ergeben sich aus Strafanzeigen, Anklageschriften, Urteilen etc., die der Ausländerbehörde von der Polizei bzw. den Strafverfolgungsbehörden unaufgefordert zu übermitteln sind.
Ich schaltete die Aufsichtsbehörde ein. Das HMDIS wies die betreffende Ausländerbehörde darauf hin, dass eine Rechtsgrundlage für eine generelle Anfrage bei den Polizeibehörden nicht vorhanden ist und zu unterbleiben hat.
Das Hessische Ministerium des Innern und für Sport hat im September 2006 einen Entwurf für ein Sicherheitsüberprüfungsgesetz vorgelegt, zu dem ich Stellung genommen haben.
In dem Gesetzentwurf werden die Voraussetzungen und das Verfahren zur Überprüfung von Personen geregelt, die von einer Behörde oder einer anderen öffentlichen Stelle mit einer sicherheitsempfindlichen Aufgabe betraut werden.
Bisher erfolgte die Überprüfung der betroffenen Personen ohne ausreichende Rechtsgrundlage. Es existierte lediglich eine Aufgabenzuweisung an den Verfassungsschutz in § 2 Abs. 5 VerfSchG.
|
§ 2 Abs. 5 VerfSchG Das Landesamt für Verfassungsschutz wirkt auf Ersuchen der zuständigen Stellen mit
|
Außerdem gibt es Richtlinien der Landesregierung aus dem Jahr 1962, die im Laufe der Jahre abgeändert wurden.
Bei der Sicherheitsüberprüfung handelt es sich um sehr weitgehende Eingriffe in das Recht auf informationelle Selbstbestimmung, beispielsweise werden auch Ehegatten oder Verwandte in die Überprüfung einbezogen. Ab einer bestimmten Ermächtigungsstufe werden nicht nur vom Betroffenen angegebene Referenzpersonen, sondern auch weitere Personen, von denen der Betroffene nichts weiß, vom Landesamt für Verfassungsschutz befragt.
Meine Amtsvorgänger und ich haben deshalb immer wieder darauf hingewiesen, dass es einer konkreten gesetzlichen Regelung für die Sicherheitsüberprüfung bedarf. Nachdem auf Bundesebene bereits 1994 eine gesetzliche Regelung erfolgte und die anderen Bundesländer nachzogen, ist Hessen jetzt das letzte Bundesland, das ein Gesetz erarbeitet.
Der nunmehr vorliegende Gesetzentwurf wird deshalb von mir grundsätzlich begrüßt.
Die Regelungen des hessischen Entwurfs sind weitgehend mit denjenigen des Sicherheitsüberprüfungsgesetzes auf Bundesebene aus dem Jahr 1994 identisch. Dies beruht darauf, dass bei der gegenseitigen Anerkennung von Sicherheitsüberprüfungen zwischen dem Bund und den Ländern oder den Ländern untereinander Probleme vermieden werden sollen.
In einigen Punkten weicht der Entwurf allerdings vom Bundesgesetz ab. Derzeit befinde ich mich noch in der Diskussion mit dem HMDIS.
Durch automatisierte Protokollierung kann ein unzulässiger Zugriff auf Daten aufgedeckt werden. Bei Abfrageterminals ist aber zusätzlich organisatorisch sicherzustellen, dass erforderlichenfalls neben dem Nutzer des Terminals auch der Zweck der Abfrage und der Datenempfänger festgestellt werden kann.
Eine Bürgerin wandte sich im vergangenen Jahr an mich, nachdem sie ein anonymes Schreiben erhalten hatte, in dem ihr ein angeblich unnötiger Überholvorgang mit ihrem Pkw vorgeworfen wurde. In diesem Schreiben wurde neben dem Kfz-Kennzeichen und ihrer Anschrift auch ihr Geburtsdatum sowie die Namen und das Alter der Familienangehörigen genannt. Der anonyme Briefschreiber kündigte an, sich weitere Schritte gegen sie vorzubehalten. Die Petentin fühlte sich durch dieses Schreiben bedroht und fragte, wie der Absender oder die Absenderin an diese Informationen gelangen konnte.
Aufgrund der genutzten Daten (Kfz-Daten und Meldedaten) kam eine – unzulässige – Nutzung von Einwohnermeldedaten und Zulassungsdaten in Frage.
In Hessen erfolgt der automatisierte Abruf unter Angabe des Kfz-Kennzeichens auf die Daten der örtlichen Fahrzeugregister durch Ordnungsbehörden seit dem 1. Januar 1999 mittels eines von der KIV entwickelten Verfahrens (Transaktion AUGE = Auskunft Gemeinde).
Hierbei haben die örtlichen Ordnungsbehörden der kreisangehörigen Städte und Gemeinden einen Zugriff auf den Fahrzeug-Gesamtbestand der KIV in Hessen, allerdings nur, soweit es sich um die Verfolgung von Ordnungswidrigkeiten nach § 24 oder § 24a StVG handelt.
|
§ 24 StVG (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig einer Vorschrift einer auf Grund des § 6 Abs. 1 erlassenen Rechtsverordnung oder einer auf Grund einer solchen Rechtsverordnung ergangenen Anordnung zuwiderhandelt, soweit die Rechtsverordnung für einen bestimmten Tatbestand auf diese Bußgeldvorschrift verweist. Die Verweisung ist nicht erforderlich, soweit die Vorschrift der Rechtsverordnung vor dem 1. Januar 1969 erlassen worden ist. (2) Die Ordnungswidrigkeit kann mit einer Geldbuße geahndet werden.
§ 24a StVG (1) Ordnungswidrig handelt, wer im Straßenverkehr ein Kraftfahrzeug führt, obwohl er 0,25 mg/l oder mehr Alkohol in der Atemluft oder 0,5 Promille oder mehr Alkohol im Blut oder eine Alkoholmenge im Körper hat, die zu einer solchen Atem- oder Blutalkoholkonzentration führt. (2) Ordnungswidrig handelt auch, wer unter der Wirkung eines in der Anlage zu dieser Vorschrift genannten berauschenden Mittels im Straßenverkehr ein Kraftfahrzeug führt. Eine solche Wirkung liegt vor, wenn eine in dieser Anlage genannte Substanz im Blut nachgewiesen wird. Satz 1 gilt nicht, wenn die Substanz aus der bestimmungsgemäßen Einnahme eines für einen konkreten Krankheitsfall verschriebenen Arzneimittels herrührt. (3) Ordnungswidrig handelt auch, wer die Tat fahrlässig begeht. (4) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu eintausendfünfhundert Euro geahndet werden. (5) Das Bundesministerium für Verkehr, Bau und Stadtentwicklung wird ermächtigt, durch Rechtsverordnung im Einvernehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium der Justiz mit Zustimmung des Bundesrates die Liste der berauschenden Mittel und Substanzen in der Anlage zu dieser Vorschrift zu ändern oder zu ergänzen, wenn dies nach wissenschaftlicher Erkenntnis im Hinblick auf die Sicherheit des Straßenverkehrs erforderlich ist. |
Rechtsgrundlage für die Anwendung dieses Verfahrens ist § 36 Abs. 2 letzter Satz StVG i. V. m. § 26 Abs. 1 StVG. Die hier genannten Verwaltungsbehörden wurden in Hessen durch Verordnung vom 7. April 1992 (GVBl. I S. 134, verkündet am 15. April 1992, 61-42/43) festgelegt. § 3 dieser Verordnung stellt fest, dass für die Verfolgung von Ordnungswidrigkeiten nach §§ 24 und 24a StVG einschließlich der Erteilung von Verwarnungen, der Erhebung von Verwarnungsgeldern, der Einstellung von Verfahren und der Kostenentscheidungen nach § 25a Abs. 2 StVG die Bürgermeister (Oberbürgermeister) als örtliche Ordnungsbehörden zuständig sind.
|
§ 36 Abs. 2 letzter Satz StVG ... Satz 1 gilt entsprechend für den Abruf der örtlich zuständigen Polizeidienststellen der Länder und Verwaltungsbehörden im Sinne des § 26 Abs. 1 aus den jeweiligen örtlichen Fahrzeugregistern.
§ 26 Abs. 1 StVG Bei Ordnungswidrigkeiten nach § 24, die im Straßenverkehr begangen werden, und bei Ordnungswidrigkeiten nach § 24a ist Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten die Behörde oder Dienststelle der Polizei, die von der Landesregierung durch Rechtsverordnung näher bestimmt wird. Die Landesregierung kann die Ermächtigung auf die zuständige oberste Landesbehörde übertragen. |
Aufgrund meiner Nachforschungen konnte ich feststellen, dass zu dem Kfz-Kennzeichen der Petentin im genannten Zeitraum tatsächlich ein automatisierter Abruf mittels des Verfahrens AUGE stattgefunden hat, bei dem allerdings kein Ordnungswidrigkeitenverfahren eingeleitet wurde. Da jedem Terminal, von dem aus diese Anfragen möglich sind, eine sog. Identifikationsnummer zugeordnet ist, stand zweifelsfrei fest, von welchem Terminal in welcher Behörde die Abfrage durchgeführt wurde.
Da das anonyme Schreiben auch Angaben über Familienangehörige der Petentin enthielt, habe ich ebenfalls nachgeprüft, ob eine Anfrage auf die EWO-Datei der betroffenen Kommune erfolgt ist. Eine Auswertung der Protokollsätze seitens der KIV ergab jedoch keine Zugriffe auf die Datensätze der in Frage kommenden Personen in dem entsprechenden Zeitraum.
Aufgrund der von mir festgestellten Angaben habe ich daraufhin die betroffene Ordnungsbehörde mit dem Vorgang konfrontiert und um Stellungnahme gebeten.
Zur Sachverhaltsaufklärung hat der Behördenleiter umfangreiche interne Gespräche geführt und Nachforschungen veranlasst. Dabei wurde festgestellt, dass aufgrund der internen Organisationsstruktur der Behörde der Mitarbeiter, von dessen Terminal die Abfrage erfolgte, täglich mehrfach von Mitarbeiterinnen und Mitarbeitern seiner Arbeitsgruppe telefonisch gebeten wird, Halter von bestimmten Kraftfahrzeugen zu ermitteln, die beispielsweise ihr Fahrzeug extrem verkehrsbehindernd abgestellt haben. In diesen Fällen können die Mitarbeiterinnen und Mitarbeiter dann direkt Kontakt mit dem Fahrzeughalter aufnehmen, ohne dass dem Halter Abschleppkosten entstehen. Sowohl diese Halteranfragen als auch die Datenweitergabe an die anfragenden Mitarbeiterinnen und Mitarbeiter wurden in der Vergangenheit in der Behörde nicht schriftlich dokumentiert.
Der betreffende Mitarbeiter konnte sich zum Zeitpunkt der Befragung durch den Behördenleiter nicht mehr bewusst an eine Halterabfrage zu dem entsprechenden Kfz-Kennzeichen erinnern. Auch den in Frage kommenden Mitarbeiterinnen und Mitarbeiter seiner Arbeitsgruppe war das betreffende Kennzeichen im Zusammenhang mit der Halteranfrage unbekannt bzw. sie versicherten, dass sie den betreffenden Mitarbeiter nicht gebeten haben, ihnen den Halter dieses PKW mitzuteilen.
Nach diesen Aussagen, weil sowohl der Grund für die Halterabfrage als auch der Datenempfänger nicht schriftlich notiert worden sind, ließ sich nur noch feststellen, dass diese Abfrage tatsächlich erfolgt ist. Die Frage nach der rechtlichen Zulässigkeit und Verantwortlichkeit für die missbräuchliche Nutzung der Daten für das anonyme Schreiben musste offenbleiben.
Aufgrund dieses aktuellen Falles wurde in der betroffenen Kommune mit einer Bürgermeisterverfügung u. a. festgelegt, dass, soweit personenbezogene Daten durch Behördenmitarbeiter abgefragt und weitergegeben werden, dies ausschließlich bei Nachweis eines dienstlichen Grundes erfolgen darf. Diese Abfragen und Datenübermittlungen müssen zukünftig so dokumentiert werden, dass Abfragezweck, Datenumfang und Datenempfänger nachvollziehbar sind.
Unter Beachtung der nunmehr vorliegenden Verfügung des Behördenleiters wird in Zukunft eine Klärung derartiger Halterabfragen unter Vermeidung einer missbräuchlichen Nutzung möglich sein.
Ich behalte mir vor, die Einhaltung der Bürgermeisterverfügung vor Ort zu prüfen.
Hessische Lehrkräfte können darauf vertrauen, dass die Schule ihre private Telefonnummer nicht Dritten, etwa Eltern der betreuten Schüler, ohne ihre Zustimmung übermittelt.
Die datenschutzrechtliche Anfrage eines schulischen Datenschutzbeauftragten offenbarte folgenden Sachverhalt:
Im Rahmen der Einstellung einer verbeamteten Lehrkraft verlangte die Schulverwaltung von dieser u. a. die Angabe der privaten Telefonnummer. Die Lehrkraft verweigerte jedoch diese Bekanntgabe mit dem Hinweis, diese Nummer könnte von der Schulverwaltung u. a. an verschiedene Eltern weitergeleitet werden. Daraus entstünden jedoch oftmals unzumutbare Belästigungen. Trotz der Zusicherung seitens der Schulverwaltung, eine solche Übermittlung erfolge keinesfalls ohne schriftliche Einwilligung, wurde zunächst die Verweigerung aufrechterhalten.
Die Prüfung der Rechtslage ergab folgende Feststellungen:
Grundsätzlich darf nach § 34 Abs. 1 HDSG die Schule nur die Daten der Lehrkräfte erheben und weiterverarbeiten, die sie u. a. für die Durchführung des Dienstverhältnisses benötigt.
|
§ 34 Abs. 1 HDSG Der Dienstherr oder Arbeitgeber darf Daten seiner Beschäftigten nur verarbeiten, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung es vorsieht. Die für das Personalaktenrecht geltenden Vorschriften des Hessischen Beamtengesetzes sind, soweit tarifvertraglich nichts anderes geregelt ist, auf Angestellte und Arbeiter im öffentlichen Dienst entsprechend anzuwenden. |
Diese Vorschrift wird im Kontext der Schulverwaltung allerdings konkretisiert durch Anlage 2 der "Verordnung zur Verarbeitung personenbezogener Daten in Schulen".
|
Anlage 2 Daten von Lehrerinnen und Lehrern, die in der Schule für die in § 1 angegebenen Zwecke verarbeitet werden dürfen: Abkürzung des Namens, Name, Geburtsname, Vorname(n), Geschlecht, Anschrift, Telefon, Dienstverhältnis, Lehramt, Funktion innerhalb der Schule, Lehrbefähigung (jeweils Fach und Art), Unterrichtserlaubnis (Art und Ablauftermin), Pflichtstundensoll/Regelpflichtstunden, erteilter Unterricht (Wochenstunden, Fächer, Klassen/Kurse), Mehrarbeit, Unterricht an anderen Schulen (Schule, Schulform, Wochenstunden, Fächer, Klassen/Kurse), Anrechnung dienstlicher Tätigkeiten (Wochenstunden, Grund), Pflichtstundenermäßigung (Wochenstunden, Grund), Sprechstunde (Tag, Zeit, Raum) Freistellungen |
Der Zweck des Datums der privaten Telefonnummer liegt in den Besonderheiten des Schulbetriebes begründet: Vielfältige Situationen im Schulbetrieb, plötzlicher Unterrichtseinsatz, dringende fachliche und organisatorische Nachfragen erfordern oftmals eine umgehende Kontaktaufnahme über die private Telefonnummer der Lehrkräfte. Insoweit kann hier die Erforderlichkeit der Datenerhebung zweifellos angenommen werden. Die datenschutzrechtliche Erlaubnis der Schule, personenbezogene Daten zu verarbeiten, führt aber nicht zwangsweise auch zur Auskunftspflicht der Betroffenen. Diese muss sich ebenfalls aus einer Rechtsvorschrift ergeben. Im vorliegenden Fall ergibt sie sich aus § 83 Abs. 3
HSchulG.
|
§ 83 Abs. 3 HSchulG Schülerinnen und Schüler, deren Eltern und Lehrerinnen und Lehrer sind verpflichtet, die erforderlichen Angaben zu machen. |
Danach haben die Lehrkräfte der Schule die erforderlichen Angaben zu überlassen. Dazu zählt also auch die private Telefonnummer, selbst wenn sie von den Betroffenen als besonders sensibel angesehen wird und nicht in öffentlichen Registern verfügbar ist.
Die Befürchtungen der betroffenen Lehrkraft reichen nicht aus, eine Verweigerung zu rechtfertigen. Denn die Weitergabe dieser privaten Telefonnummer innerhalb der Schulverwaltung, insbesondere an andere Lehrkräfte oder an Eltern, unterliegt zunächst dem allgemeinen datenschutzrechtlichen Verbot. Die Weitergabe innerhalb der Schule wäre nur durch § 34 Abs. 1 HDSG zu rechtfertigen. Die normale Kommunikation zwischen den Lehrkräften einer Schule erfolgt grundsätzlich in der Schule in mündlicher oder schriftlicher Form (Postfach). Gleichwohl wird oftmals durch die Lehrkräfte selber eine Liste privater Telefonnummern erstellt und verteilt, die Eintragung in diese erfolgt allerdings freiwillig.
Bei der Weitergabe der Telefonnummer an Dritte, insbesondere Eltern, hätte die Schulverwaltung § 34 Abs. 2 HDSG zu beachten.
|
§ 34 Abs. 2 HDSG Abweichend von § 16 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereichs nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienstverkehr es erfordert oder der Betroffene eingewilligt hat. Die Übermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung des Betroffenen zulässig. |
Da selbst die Eltern der Schüler, die die betroffene Lehrkraft betreut, generell kein "rechtliches Interesse" an der privaten Telefonnummer nachweisen können, darf die Übermittlung nur erfolgen, wenn die Lehrkraft dem vorher schriftlich zugestimmt hat.
Nachdem die Schulverwaltung erklärt hat, dass eine Übermittlung der Telefonnummer nur mit schriftlicher Einwilligung erfolgt, also ausdrücklich die Einhaltung der Rechtslage zugesichert hat, durfte die Angabe der Telefonnummer nicht verweigert werden. Im Übrigen können Lehrkräfte sich auch grundsätzlich darauf verlassen, dass die Schulverwaltung diese rechtlichen Bedingungen beachtet.
Im Rahmen der Weiterentwicklung von Unterrichtsmaterialien durch das Institut für Qualitätsentwicklung wurden Lehrkräfte mittels Fragebögen über ihre Unterrichtsgestaltung befragt. Bei solchen Befragungen ist sicherzustellen, dass die Befragten über die datenschutzrechtlichen Bedingungen der Befragung rechtzeitig informiert werden.
Im Rahmen einer Beschwerde teilte mir eine Lehrerin folgenden Sachverhalt mit:
Das Institut für Qualitätsentwicklung betreut u. a. landesweite Projekte zur Evaluierung und Weiterentwicklung von Unterrichtsmaterialien in hessischen Schulen. In diesem Rahmen wurde es tätig beim Projekt SINUS, in dem es um die Weiterentwicklung der Unterrichtsmaterialien im Fach Mathematik und in naturwissenschaftlichen Fächern ging. Dazu übersandte es verschiedenen Wiesbadener Schulen einen mehrseitigen Fragebogen für die betroffenen Fach-Lehrkräfte. Die Schulen wurden gebeten, die Fragebögen an die betroffenen Fachlehrer auszuteilen mit der Aufforderung, die Fragebögen ausgefüllt über die Schulleitung wieder an das Institut für Qualitätsentwicklung zurückzuschicken. Im Lehrerfragebogen war auf die Freiwilligkeit der Angaben nicht hingewiesen. Auf der ersten Seite enthielt er unter anderem den Hinweis, die Angaben würden anonym behandelt, d. h. Rückschlüsse auf die Person würden nicht gezogen. Zur Person wurde allerdings auf der zweiten Seite des Fragebogens u. a. erfragt: Geschlecht, Alter und Jahre im Schuldienst. Die weiteren zahlreichen Fragen zu Einzelheiten der Gestaltung des Unterrichts der Lehrkraft sahen eine Bewertungsskala von 1 – 6 vor, die bei 1 eine deutlich negative eigene Bewertung bedeutete. So lautete eine Frage: "Im Unterricht erläutere ich die zu vermittelnden Themen und beantworte die Fragen der Schüler." Die sich beschwerende Lehrkraft teilte weiter mit, der Fragebogen sei ihr von der Schulleitung ohne weitere Informationen ausgehändigt worden mit dem Hinweis, ihn binnen drei Tagen ausgefüllt wieder abzugeben.
Meine anschließende Nachfrage beim Institut für Qualitätsentwicklung über die Organisation der Befragung ergab dann, dass in der Tat ein Informationsschreiben für die Schulleitungen und Lehrkräfte mit dem Hinweis auf die Freiwilligkeit und den Ablauf der Befragung nicht verteilt worden war und auch keine diesbezüglichen mündlichen Hinweise vorgesehen waren.
Meine datenschutzrechtliche Bewertung des Sachverhalts ergab zunächst die Feststellung, dass die Angaben zur Person der Lehrkraft auf der erwähnten ersten Seite des Fragebogens personenbezogene Daten enthalten i. S. v. § 2 Abs. 1 HDSG.
|
§ 2 Abs. 1 HDSG Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). |
Zwar sahen die Fragen keine Namen vor. Die Angaben zu Geschlecht, Alter und Jahre im Schuldienst der Lehrkraft ließen jedoch unschwer die Möglichkeit zu, die Identität der betroffenen Lehrkraft festzustellen, wenn ein Abgleich mit dem Datenbestand in den Personalakten in der Schule erfolgte. Eine Personenzuordnung wurde weiterhin erleichtert durch die Eingrenzung der Betroffenen auf die Funktion als Fachlehrer. Damit waren die Daten in den Fragebögen zumindest im Bereich der Schule personenbestimmbar. Eine Personenbeziehbarkeit beim Institut für Qualitätsentwicklung selbst war im Rahmen der Auswertung allerdings nicht mehr möglich.
Um einen Schutz der Fragebögen gegen die sicher nicht beabsichtigte, aber auch nicht ausschließbare Einsicht durch Dritte in der Schule, insbesondere die Schulleitung, zu gewährleisten und zur deutlichen rechtlichen Aufklärung der Lehrkraft über ihre Rechte beizutragen, teilte das Institut für Qualitätssicherung auf meiner Aufforderung hin den betroffenen Schulen und Lehrkräften unverzüglich mit: Die Teilnahme an der Befragung sei freiwillig, und in dem Ausfüllen des Fragebogens sei die nach § 7 Abs. 2 HDSG notwendige Einwilligungserklärung zur Verarbeitung der personenbezogenen Daten zu sehen. Der Fragebogen solle entweder im verschlossenen Umschlag bei der Schulleitung abgegeben oder direkt an das Institut für Qualitätsentwicklung gesandt werden. Zum Zeitpunkt dieses Rundschreibens war allerdings eine wesentliche Anzahl der Fragebögen eingesammelt.
|
§ 7 Abs. 2 HDSG Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Sie muss sich im Falle einer Datenverarbeitung nach Abs. 4 ausdrücklich auch auf die dort genannten Daten beziehen. Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, ist der Betroffene hierauf schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, aufzuklären. Die Aufklärungspflicht umfasst bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Der Betroffene ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass er die Einwilligung verweigern und jederzeit mit Wirkung für die Zukunft widerrufen kann. |
In einer anschließenden Besprechung des Falles im Institut für Qualitätsentwicklung wurden Wege besprochen, wie künftig solche Fehler in der Abwicklung von Befragungsaktionen an Schulen vermieden werden könnten. Es wurde mir zugesichert, künftig die Fragebögen um ein Informationsblatt zu ergänzen, indem alle nach § 7 Abs. 2 HDSG notwendigen Hinweise dokumentiert werden, sofern nicht auf anderem Wege der Personenbezug gänzlich ausgeschlossen werden kann.
Veröffentlichungen am Schwarzen Brett in der Schule können gravierende Folgen haben, auch wenn sie auf den ersten Blick den schlichten Zweck der schnellen Information verfolgen.
Im Rahmen einer Beschwerde wurde mir folgender Sachverhalt übermittelt: Ein hessisches Gymnasium hatte unterschiedliche schulinternen Nachhilfekurse organisiert, die von Oberstufen-Schülern gegen ein angemessenes Entgelt betreut wurden. Die Zusammensetzung der Kurse wurde den beteiligten Schülern mit Ort und Zeit per Aushang am Schwarzen Brett im Schulgebäude mitgeteilt. Damit konnten auch evtl. Änderungen in den Daten der Kurse unbürokratisch und schnell weitergeleitet werden.
Parallel dazu betreuten Lehrkräfte der Schule weitere Schüler mit der sog. LRS-Schwäche (Lese- und Rechtschreibschwäche) in Förderkursen. Auch die diesbezüglichen Kursdaten wurden mit Namen der betroffenen Schüler am Schwarzen Brett in der Schule ausgehängt.
Die datenschutzrechtliche Bewertung dieser beiden Varianten führte zu folgenden Ergebnissen:
Soweit die Schulverwaltung die Kurse organisierte und einteilte, stellte die Bekanntgabe der Kursdaten an die beteiligten Kursleiter und Kursteilnehmer keine Übermittlung dar i. S. v. § 2 Abs. 2 Nr. 3 HDSG dar.
|
§ 2 Abs. 2 Nr. 3 HDSG ... Im Sinne der nachfolgenden Vorschriften ist ... 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass die Daten durch die Daten verarbeitende Stelle an den Dritten weitergegeben werden oder dass der Dritte zum Abruf bereitgehaltene Daten abruft, ... |
Denn die Adressaten der Aushänge waren zunächst einmal die Betroffenen selber, die begrifflich nach § 2 Abs. 5 HDSG nicht Dritte sein konnten.
|
§ 2 Abs. 5 HDSG Dritter ist jede Person oder Stelle außerhalb der Daten verarbeitenden Stelle, ausgenommen der Betroffene oder diejenigen Personen und Stellen, die innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie Daten im Auftrag verarbeiten. |
Der Begriff Übermittlung setzt aber definitionsgemäß den Dritten als Empfänger voraus.
Die Aushänge konnten jedoch auch von Unbeteiligten gelesen werden, wie etwa anderen Schülern. Diese sind als Dritte i. S. v. § 2 Abs. 5 HDSG anzusehen, da sie nicht der Schulverwaltung angehören. Damit lag eine Übermittlung i. S. v. § 2 Abs. 2 Nr. 3 HDSG vor. Die Datenverarbeitung in Form der Übermittlung ist nach § 7 Abs. 1 HDSG nur zulässig, wenn sie auf einer Einwilligung beruht, oder eine Rechtsvorschrift sie erlaubt. Als Spezialvorschrift könnte dafür Anlage 6, Nr. 4 der "Verordnung zur Verarbeitung personenbezogener Daten in Schulen" in Betracht kommen.
|
Anlage 6 Nr. 4 Datenübermittlung an Personen und Stellen außerhalb des öffentlichen Bereichs Eine Weitergabe personenbezogener Daten von Schülern oder Erziehungsberechtigten an Personen oder Stellen außerhalb des öffentlichen Bereichs ist grundsätzlich nur mit dem Einverständnis der Betroffenen zulässig. In diesem Fall ist bei minderjährigen Schülern die Einwilligung der Erziehungsberechtigten erforderlich. Dies gilt auch für eine von ehemaligen Schülern gewünschte Übermittlung der Adressdaten von Mitschülern und ehemaligen Lehrerinnen und Lehrern. Diese Bestimmung beinhaltet ferner, dass Auskünfte an Erziehungsberechtigte volljähriger Schüler über die Teilnahme am Unterricht oder über schulische Leistungen nur mit Zustimmung des Schülers erteilt werden dürfen. Eine Ausnahme von dieser Bestimmung bilden die Fälle, in denen die Voraussetzungen des § 16 Abs. 1 HDSG erfüllt sind, d. h. ein berechtigtes Interesse an der Datenübermittlung begründet und belegt wird (z. B. privatrechtlicher Ersatzansprüche) und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange der Betroffenen beeinträchtigt werden. Eine Übermittlung von Daten der Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienstverkehr es erfordert oder der Betroffene eingewilligt hat (§ 34 Abs. 2 HDSG). |
Auch diese Vorschrift verweist auf eine Einwilligung oder die Regelung zur Datenübermittlung außerhalb des öffentlichen Bereichs nach § 16 HDSG.
|
§ 16 HDSG (1) Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb des öffentlichen Bereichs ist über §§ 11 und 13 hinaus zulässig, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange des Betroffenen beeinträchtigt werden können. (2) Der Empfänger darf die übermittelten Daten nur zu dem Zweck verwenden, zu dessen Erfüllung sie ihm übermittelt wurden. |
Schüler, die von den Kursen nicht betroffen waren, können kein "berechtigtes Interesse" an den Informationen vorbringen. Es war zudem nicht auszuschließen, dass die Aushänge zu den Kursen, die von Oberstufen-Schülern betreut wurden, schutzwürdige Belange der am Kurs teilnehmenden Schüler beeinträchtigen konnten. Denn die Kursteilnahme offenbarte in dem jeweiligen Fach persönlichen Nachholbedarf.
Ein besonders gravierender Datenschutzverstoß war die Nennung der Schülernamen bei den LRS-Kursen. Denn die Lese- und Schreibschwäche kann im Einzelfall Krankheitswert haben und ist dann ein sensitives Datum gemäß § 7 Abs. 4 HDSG. Aber auch ohne Krankheitswert offenbart es ein besonders gravierendes Defizit, und die Übermittlung beeinträchtigt damit schutzwürdige Belange in besonderem Maße. Ich habe daher die Schulverwaltung aufgefordert, auf diese Aushänge künftig zu verzichten und andere Wege der Information zu wählen.
Beim Paul-Ehrlich-Institut wird das Deutsche Hämophilieregister aufgebaut. Das Datenschutzkonzept für das neue bundesweite Patientenregister ist mit den Datenschutzbeauftragten des Bundes und der Länder intensiv diskutiert und abgestimmt worden.
5.6.1.1
Hintergrund
Gemäß § 21 des Transfusionsgesetzes (TFG) haben die Träger von Spendeeinrichtungen, pharmazeutische Unternehmen und Einrichtungen der Krankenversorgung jährlich die Zahlen zu dem Umfang der Gewinnung von Blut und Blutbestandteilen, der Herstellung, des Imports und Exports und des Verbrauchs von Blutprodukten und Plasmaproteinen i. S. v. § 14 TFG sowie die Anzahl der behandlungsbedürftigen Personen mit angeborenen Hämostasestörungen der zuständigen Bundesoberbehörde zu melden. Zweck des § 21 TFG ist die Ermittlung der Versorgung mit Blutprodukten. Empfänger der Meldungen ist das Paul-Ehrlich-Institut (PEI) als zuständige selbstständige Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Gesundheit. Das PEI hat seit 1998 aufgrund der Meldungen der Ärzte einen anonymisierten Bericht zu erstellen, insbesondere über den Verbrauch von Gerinnungsfaktoren und die Zahl der damit behandelten Patienten. Die Datenbank wird jedoch als nicht geeignet angesehen als Basis einer fundierten wissenschaftlichen Auswertung, da die Daten nicht vollständig sind und Doppelmeldungen auch nicht ausgeschlossen werden können.
Seit mehreren Jahren wird der Aufbau eines Deutschen Hämophilieregisters (DHR) angestrebt (www.pei.de). Erfasst werden sollen Daten von Patienten mit Hämophilie A und B (ca. 6.000 bis 8.000 männliche Patienten in Deutschland), und von Patienten mit dem Willebrand-Syndrom, das zwar häufiger vorkommt, jedoch selten dauerhaft. Folgende Ziele werden mit dem Aufbau des Registers verfolgt:
Unter Leitung des BMGS wurde in Gesprächen mit Hämophiliebehandlern, Patientenorganisationen und dem PEI vereinbart, dass das DHR bei dem PEI als unabhängige neutrale Stelle angesiedelt werden soll. Die Gesellschaft für Thrombose- und Hämostaseforschung e. V. (GTH), die Vertreter der Patientenorganisationen Deutsche Hämophiliegesellschaft zur Bekämpfung von Bluterkrankungen e. V. (DGH) und die Interessengemeinschaft Hämophiler e. V. (IGH) haben sich unter der Federführung des PEI zusammengeschlossen, um auf der Basis eines multilateralen Kooperationsvertrages ein DHR als Online-Datenbank zu erstellen und zu pflegen. Das Bundesministerium für Gesundheit hat das PEI mit Erlass vom 10. Dezember 2004 beauftragt, ein DHR aufzubauen und zu betreiben.
Die Vertragsparteien setzen einen Ausschuss ein, der über alle für das DHR, seinen rechtmäßigen Fortgang, seine Entwicklung und seine Perspektiven maßgeblichen Fragen beratschlagt, Beschlüsse fasst und Wahlen durchführt. Der Ausschuss setzt sich aus je zwei Vertretern jeder Vertragspartei zusammen. Es wird allerdings in dem Vertrag von einer "originären" Verantwortung des PEI für das Register ausgegangen. Aufgrund dieser originären Verantwortung und der dem PEI in § 21 TFG zugewiesenen Aufgaben verfügt das PEI in Belangen, die sich auf Verantwortungsbereiche, Kostentragungsaspekte und die Verpflichtung nach § 21 TFG auswirken können, über eine Letztentscheidungskompetenz im Sinne eines Vetorechts. Nach dem Vertrag hat das PEI auch die Verantwortung für die Installation gemäß dem beschlossenen Konzept, die Einhaltung der Datensicherheitsanforderungen, Durchführung der erforderlichen Updates und die Wartung und ist verpflichtet, alle datenschutz- und datensicherheitsrelevanten Maßnahmen zu ergreifen und umzusetzen. Das PEI ist daher als verantwortliche Daten verarbeitende Stelle im Sinne der Datenschutzgesetze anzusehen.
Für den Aufbau dieses bundesweiten Registers mit Patientendaten ist ein detailliertes Datenschutzkonzept unerlässlich. Das Datenschutzkonzept des DHR wurde unter dem Vorsitz meiner Dienststelle im Arbeitskreis Wissenschaft der Datenschutzbeauftragten des Bundes und der Länder intensiv diskutiert und 2006 abschließend mit allen Datenschutzbeauftragten abgestimmt. Eine zentrale Diskussionsgrundlage waren dabei auch die generischen Konzepte für medizinische Forschungsnetze, die die Telematikplattform für medizinische Forschungsnetze (TMF) in Abstimmung mit den Datenschutzbeauftragten des Bundes und der Länder entwickelt hat (Reng, Debold, Specker, Pommerening, Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin, Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006;
www.egms.de/pdf/journals/mibe/2005-1/mibe000017.pdf; 29. Tätigkeitsbericht, Ziff. 9.2; 32. Tätigkeitsbericht, Ziff. 10.2).
5.6.1.2
Datenschutzrechtliche Rahmenbedingungen
In verschiedenen Bundesgesetzen (z. B. § 75 SBG X) und Landesgesetzen (z. B. § 12 Abs. 3 HKG i. V. m. § 33 HDSG) finden sich datenschutzrechtliche Regelungen zur Durchführung von Forschungsvorhaben mit personenbezogenen Daten. Diese Regelungen sind jedoch für den Aufbau auf Dauer angelegter Krankheitsregister bzw. auf Dauer angelegter einrichtungsübergreifender Forschungsnetze nicht anwendbar, sie beziehen sich ausschließlich auf zeitlich und inhaltlich begrenzte konkrete Forschungsvorhaben.
Für das Hämophilieregister gibt es keine datenschutzrechtliche gesetzliche Regelung. Außerhalb des spezialgesetzlich geregelten Bereichs sind grundsätzlich verschiedene Datenschutzkonzepte möglich: Datenverarbeitung auf der Grundlage von Einwilligungen der Betroffenen – mit oder ohne Zwischenschaltung eines Datentreuhänders – oder unter Verzicht auf die Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen ohne Einwilligung der Betroffenen. Entscheidend für die konkrete Ausgestaltung des Konzepts ist zunächst die Frage, welche konkreten Ziele und Zwecke mit dem Register erreicht werden sollen.
5.6.1.3
Einzelheiten der Ausgestaltung des Deutschen Hämophilieregisters
5.6.1.3.1
Fachliche Vorgaben für die Ausgestaltung des Registers
Die Ausgestaltung eines Datenschutzkonzepts für ein Patientenregister hängt zunächst von medizinischen Fachfragen und Zielen und der Ausgangssituation in dem in Frage stehenden Bereich ab.
Bei der konkreten Ausgestaltung des Datenschutzkonzepts des DHR waren zusätzlich zu den unter 5.6.1 aufgeführten grundsätzlichen Zielen des DHR spezielle Vorgaben der Projektbeteiligten einzubeziehen:
Die Vorgaben der Projektbeteiligten enthielten damit bereits wesentliche Aspekte eines Datenschutzkonzepts; insbesondere auch für die Patientenorganisationen war die Sicherstellung des Schutzes der Patientendaten ein zentraler Punkt.
5.6.1.3.2
Umfang der Speicherung von personenbezogenen Patientendaten im Register
Von zentraler Bedeutung ist die Frage, ob und ggf. in welchem Umfang personenbezogene oder personenbeziehbare Daten in einem bundesweiten Patientenregister gespeichert werden sollen. Ein Register mit ausschließlich anonymisierten Patientendaten wurde in diesem Fall nicht als hinreichend angesehen für die Erreichung der o. a. Ziele und Vorgaben. Es wurde aber auch nicht als erforderlich bzw. auch nicht als erstrebenswert angesehen, in dem DHR Name, Geburtsdatum und Adresse der Patienten zu speichern. Für die kontinuierliche Erfassung und korrekte zeitliche und örtliche (um z. B. regionale Häufung von Erkrankungen feststellen zu können) Zuordnung der Behandlungsdaten und Krankheitsverläufe zu einem Patienten über Jahre hinweg wurde es als ausreichend und auch als erforderlich angesehen, dass im Register die von den Ärzten gemeldeten Daten dem Pseudonym des Patienten eindeutig zugeordnet werden können. Über ein für jeden Patienten gebildetes Pseudonym soll es möglich sein, die Daten innerhalb des DHR zusammenzufassen und damit eine zuverlässige Abbildung des Behandlungsverlaufs der Patienten als Voraussetzung der wissenschaftlichen Evaluation von Fragen wie der optimalen Behandlungsform und -dosierung oder den Risiken und der Behandlungsstrategie beim Auftreten von Inhibitoren zu ermöglichen.
Im Gegensatz zu vielen anderen Forschungsnetzen (s. z. B. das Kompetenznetz Parkinson, s. 32. Tätigkeitsbericht, Ziff. 10.2.1) soll es beim DHR in keinem Fall erforderlich sein, den Patienten anhand des Pseudonyms unter bestimmten Voraussetzungen außerhalb der Behandlungsinstitution wieder zu reidentifizieren.
Gespeichert werden im DHR sog. Profildaten und Behandlungsdaten. Profildaten (für die wissenschaftliche Auswertung und die Bildung von Patientengruppen) enthalten Angaben über das Geschlecht, Geburtsmonat, Geburtsjahr sowie die ersten beiden Ziffern der Postleitzahl der Adresse des Patienten. Behandlungsdaten enthalten diagnostische Daten (insbesondere Art der Erkrankung, Überträgereigenschaft etc.) und therapeutische Daten (Verbrauch von Gerinnungsfaktoren, Krankenhausaufenthalte – ohne konkrete Daten, angegeben die Dauer in Tagen pro Jahr – etc.).
Im DHR werden zu keinem Zeitpunkt Name, Geburtsdatum oder Adresse der Patienten verarbeitet. Der behandelnde Arzt übermittelt die aus der Versicherungsnummer und dem Institutionenkennzeichen der Krankenkasse gebildete so genannte Patientennummer an das DHR (im Rechtssinne an das PEI als verantwortliche Daten verarbeitende Stelle). Diese Patientennummer (p’) ist – da die Möglichkeit einer Reidentifizierung des Patienten über diese Patientennummer nicht völlig ausgeschlossen ist – als personenbeziehbares Datum zu qualifizieren, das unter den Anwendungsbereich der Datenschutzgesetze fällt. Die Patientenummer wird allerdings nicht dauerhaft im DHR gespeichert. Nach der Übermittlung an das DHR wird die Patientennummer sofort in ein vom so genannten Intermediär (einer speziellen Software auf einem physisch getrennten Rechner innerhalb des DHR-Programmes) gebildetes Pseudonym (p’’) umgewandelt, d. h. die Patientenummer wird nur während der Berechnung des Pseudonyms (temporär) im DHR gespeichert. Im Intermediär liegt die Patientenummer nur für wenige Millisekunden entschlüsselt vor. Das Pseudonym (p’’) wird dem Register mitgeteilt. Es wird im DHR gespeichert und diesem werden die Profil- und Behandlungsdaten zugeordnet, die der behandelnde Arzt – wiederum über die Patientenummer und den Intermediär – an das DHR meldet. Die konkrete technische Ausgestaltung ist noch in der Diskussion, u. a. wird der Einsatz eines Rechners geprüft, der das Konzept einer sog. "Black-Box" umsetzt, d. h. der Betreiber kann technisch auf die dort gespeicherten Daten nicht zugreifen und erhält nur die pseudonymisierten Daten an einer definierten Schnittstelle.
Das DHR erhält daher nicht ausschließlich pseudonymisierte Daten, die vom PEI auf keinen Fall depseudonymisiert werden können. Im datenschutzrechtlichen Sinn verarbeitet das PEI – wenn auch strikt begrenzt und technisch abgeschottet und jeweils nur für einen kurzen Zeitraum – personenbeziehbare Daten, da sich die aus Versichertennummer und Krankenkasse gebildete Patientennummer (p’) kurzfristig technisch im Zugriffsbereich des PEI befindet. Auf einem Rechner des PEI läuft die Umschlüsselung der Patientennummer, das Ergebnis ist das Pseudonym; d. h. der Intermediär hat vorher personenbeziehbare Daten, hinterher das Pseudonym, das PEI (insbesondere der Administrator) könnte mit einem gewissen Aufwand die Patientennummer dem Pseudonym zuordnen und speichern. An dieser Stelle weicht das Datenschutzkonzept des DHR als zentrale Datenschutzmaßnahme von den generischen Modellen der TMF ab: Bei den generischen Modellen der TMF wird eine Informationsverteilung und Aufgabenteilung empfohlen: Sofern das Pseudonym nicht vom behandelnden Arzt selbst erzeugt wird, ist die Stelle, die das Pseudonym erzeugt (i. d. R. eine rechtlich und personell getrennte so genannte Vertrauensstelle), strikt getrennt von der Stelle, die die medizinischen Daten unter den Pseudonymen speichert. Datenschutz wird über so genannte informationelle Gewaltenteilung erreicht, die im Einzelfall unterschiedlich ausgestaltet wird. Beim DHR befindet sich alles in einer Stelle – aber einer öffentlichen Stelle, die neutral bezüglich der Behandlungsstrategien ist und weder den Behandlungsinstitutionen noch der Industrie nahesteht und vor diesem Hintergrund als vertrauenswürdig eingestuft wird für die vorgesehene Datenverarbeitung.
Da das PEI personenbeziehbare Patientendaten erhält, bedürfen die Datenübermittlungen der behandelnden Ärzte an das DHR einer Rechtsgrundlage. Als Rechtsgrundlage kommt – da keine gesetzliche Regelung für das DHR vorliegt – nur eine Einwilligung der Patienten in Betracht.
5.6.1.3.3
Einwilligungserklärung der Patienten
Für die Verarbeitung der Patientendaten im DHR wird die Einwilligung der Patienten eingeholt. Vor der Erteilung der Einwilligung werden die Patienten über das gesamte Verfahren mittels einer schriftlichen Patienteninformation konkret informiert.
Für den Umfang der Patienteninformation spielen rechtliche Vorgaben eine Rolle, aber auch Fragen der Akzeptanz. Für die Patienten wurde vom DHR eine ausführliche Patienteninformation erstellt, die insbesondere Informationen über die folgenden Punkte enthält:
In der Einwilligungserklärung wird auf die Patienteninformation Bezug genommen. Mit der Einwilligung wird der behandelnde Arzt auch von seiner ärztlichen Schweigepflicht entbunden, soweit es für die Teilnahme des Patienten am DHR erforderlich ist.
5.6.1.3.4
Meldung und Einsicht durch die behandelnden Ärzte
Ärzte sind weiterhin gemäß § 21 TFG zur Meldung der Anzahl der von ihnen behandelten Patienten mit angeborenen Hämostasestörungen sowie dem Umfang der Anwendung von Blutprodukten bei diesen Patienten verpflichtet. Diese Meldungen erfolgen kumulativ, sie sind anonymisiert und aggregiert. Die Ärzte sind nicht zur Teilnahme am Meldeverfahren zum DHR verpflichtet. Wenn Ärzte freiwillig am DHR teilnehmen wollen, erhalten sie eine Information über das DHR und unterschreiben eine Einwilligungserklärung in die Verarbeitung ihrer eigenen Daten. Danach erhalten sie vom DHR eine Zugangsberechtigung und eine Arbeitsanweisung zum genauen Umgang mit der Datenbank. Mit der Teilnahme am DHR erfüllen sie gleichzeitig ihre Meldepflicht nach § 21 TFG und eine gesonderte Meldung an das PEI ist nicht mehr erforderlich. Für Patienten, die ihre Einwilligung zur Teilnahme am DHR nicht geben, kann der Arzt die Meldung nach § 21 TFG gesammelt und anonymisiert in einer separaten Eingabemaske des DHR online durchführen.
Der als Teilnehmer registrierte Arzt kann nach Angabe seines Benutzernamens und seines Passwortes die Daten verschlüsselt über das Internet an das beim PEI geführte DHR übermitteln. Auf demselben Weg kann er sich die Daten seiner eigenen teilnehmenden Patienten ansehen, nicht jedoch die Daten eines anderen Arztes (auch nicht desselben Patienten) oder Daten von anderen Patienten. Die Ärzte – wie auch die anderen Benutzergruppen (Forscher, Mitarbeiter des DHR, Krankenkassen etc.) können ihr Passwort selbst ändern.
5.6.1.3.5
Nutzung der Daten
Beim DHR werden verschiedene Benutzergruppen definiert, z. B. Ärzte, Mitarbeiter des DHR und Forscher. Innerhalb der Benutzergruppen werden noch verschiedene Rollen (z. B. innerhalb der Benutzergruppe "Mitarbeiter des DHR" Administration, Forschungsexport und -freigabe) unterschieden und den Benutzergruppen und Rollen jeweils spezifische Zugriffs- und Verarbeitungsrechte zugeordnet.
Auch die Benutzergruppe "Krankenkasse" wird eingerichtet. Im Rahmen der Qualitätssicherungsmaßnahmen erhalten die Krankenkassen Zugriff auf die bei ihnen vorzulegenden Belege zur Meldung nach § 21 TFG der Behandler, soweit der Behandler der Einsichtnahme in diese Daten durch die Krankenkasse zugestimmt hat.
Statt des bisherigen Beleges zur Meldung nach § 21 TFG, den das PEI ausstellte, erhält der Behandler seine Belege zur Meldung nach § 21 TFG durch das DHR. Diese Belege sind im Rahmen der Qualitätssicherung bei der jeweiligen Krankenkasse vorzulegen und weisen nach, wie viele bei der Krankenkasse versicherte Patienten der Arzt im letzten Jahr behandelte. Um sich die Mühe des Ausdrucks und der Übersendung des Belegs an die Krankenkasse zu sparen, kann der Behandler der Krankenkasse Zugriff auf den für sie erstellten Beleg gewähren.
Forscher erhalten nie Zugriff auf den gesamten Datenbestand des DHR, sondern nur auf den jeweils erforderlichen Teildatenbestand. Der von ihnen für ein Forschungsvorhaben benötigte Teildatenbestand muss beantragt werden. Antragsberechtigt sind die Mitglieder des Ausschusses des DHR sowie Wissenschaftler, die sich mit Fragen im Zusammenhang mit Blutgerinnungsstörungen beschäftigen. Im Antrag muss das Studienvorhaben detailliert beschrieben, die benötigten Datenbestände dargestellt und der Datenschutz zugesichert werden. Der Ausschuss entscheidet darüber, ob dem Antrag auf Nutzung des pseudonymisierten Datenbestandes stattgegeben wird. Ein Direktzugriff auf das DHR ist in keinem Fall möglich. Der bewilligte Forschungsexport wird vom DHR erstellt, vor der Freigabe auf ein evtl. Reidentifizierungsrisiko überprüft und anschließend ggf. freigegeben. Nach Authentifizierung gegenüber dem Register können die Antragsteller sich ihre Forschungsdaten herunterladen. Die beantragten Daten werden stets ohne die Pseudonyme herausgegeben. Alle Anträge und alle Zugriffe auf die bereitgestellten Exportdateien werden protokolliert und dokumentiert.
Die Telematikplattform für medizinische Forschungsnetze hat ein generisches Datenschutzkonzept für Biomaterialbanken entwickelt, in dem die rechtlichen Rahmenbedingungen für den Aufbau und Betrieb von Biomaterialbanken dargelegt werden. Das Konzept wurde mit den Datenschutzbeauftragten des Bundes und der Länder abgestimmt und ist eine zentrale Diskussionsgrundlage für den künftigen Aufbau von Biomaterialbanken in Deutschland.
5.6.2.1
Begriff, Zwecke und Brisanz von Biomaterialbanken
Biomaterialbanken (BMB, auch "Biobanken" genannt) enthalten in der Regel sowohl Biomaterialien (wie z. B. Zellen, Gewebe, Blut, Organe oder Anteile solcher Substanzen wie etwa Serum oder DNA) wie auch – in unterschiedlichem Umfang – Daten der Personen, die solche Materialien spenden. Sie sind ein zentraler Bestandteil der modernen medizinischen Forschung, insbesondere der molekular orientierten medizinischen Forschung. Der Wert einer BMB für die Forschung hängt maßgeblich ab von der Anzahl und Qualität der Proben und dem Umfang der damit verknüpften Daten der Spendenden (z. B. Angaben über Krankheiten und Behandlungsverläufe der Spendenden und ihrer Angehörigen, genetische Daten, Daten über die familiäre und soziale Situation, den Arbeitsplatz, den Lebensstil, Umweltdaten wie etwa die Nähe des Wohnortes zu einem Kernkraftwerk etc.). Die besondere datenschutzrechtliche Brisanz des Themas ergibt sich insbesondere aus der Möglichkeit der Verwendung der Proben für vielfältige, nahezu unbegrenzte medizinische Fragestellungen und aus den z. T. umfangreichen gespeicherten Datensätzen über die spendenden Personen, aus denen detaillierte Persönlichkeitsprofile erkennbar werden können. Vor dem Hintergrund einer Veränderung der medizinischen Forschungsstrukturen hin zu einer Vernetzung werden auch zunehmend zentrale, d. h. institutionenübergreifende Biomaterialbanken geplant bzw. realisiert. Großprojekte wie z. B. die Gendatenbanken in Island, Estland und Großbritannien haben in der Öffentlichkeit ein Bewusstsein geweckt für die mit Biomaterialbanken verbundenen Chancen und auch für die datenschutzrechtlichen Probleme.
2001 hat sich die Konferenz der Datenschutzbeauftragten des Bundes und der Länder detailliert mit der Verarbeitung genetischer Daten befasst, u. a. auch mit den rechtlichen Voraussetzungen eines Aufbaus von Probensammlungen
30. Tätigkeitsbericht, Ziff. 27.14). In meinem
33. Tätigkeitsbericht (Ziff. 5.8.1) habe ich darauf aufmerksam gemacht, dass die Möglichkeiten, Blut- und Gewebeproben (insbesondere auch genetisch) zu analysieren, ständig zunehmen und vor diesem Hintergrund die rechtlichen Rahmenbedingungen für die Gewinnung, Aufbewahrung und Verwendung von Blut- und Gewebeproben in Biomaterialbanken der Klärung bedürfen. In meinem
34. Tätigkeitsbericht (Ziff. 5.8.3) hatte ich als Beispiel für eine konkrete Abklärung dargelegt, dass der Vorstand des Universitätsklinikums Frankfurt auf der Grundlage meiner Beratung am 24. August 2005 Rahmenbedingungen für den Aufbau von Biobanken im Universitätsklinikum beschlossen hat. Bundesweit geht der Aufbau von Biobanken weiter. Das derzeit größte Projekt ist die im Rahmen des Nationalen Genomforschungsnetzes aufgebaute Biomaterialbank popgen (Populationsrepräsentative Bevölkerungsstichprobe und Krankheitskohorte,
www.popgen.de; zum Datenschutzkonzept s. www.datenschutzzentrum.de/material/tb/tb28/kap04_6htm;
Eller-Eberstein/Gundermann/Krawczack/Schreiber/Wolf, Datenmanagement bei popgen, in: Informatik 2006, Band 1, S. 729 ff.) im Universitätsklinikum Schleswig-Holstein, für das noch ein förmliches Datenschutz-Audit geplant ist.
5.6.2.2
Ziel des Datenschutzkonzepts
Angesichts der Tatsache, dass
−
derzeit nach wie vor erhebliche Rechtsunsicherheit bezüglich der Patienten- bzw. Spenderrechte besteht,−
Umfang und Zentralisierung von Biobanken zunehmen bei gleichzeitiger Aufhebung einer konkreten Zweckbindung i. S. einer inhaltlich begrenzten wissenschaftlichen Fragestellung,−
an dem Aufbau von Biomaterialbanken vielfach zahlreiche Institutionen in verschiedenen Rollen beteiligt sind und−
spezifische Fragen der Reidentifizierungsrisiken bei Proben und Daten in BMB auftretenist es von zentraler Bedeutung, dass die Telematikplattform für Medizinische Forschungsnetze
(TMF; www.tmf-ev.de), die bereits in Abstimmung mit den Datenschutzbeauftragten Generische Lösungen für die Forschungsnetze in der Medizin entwickelt hat (Reng/Debold/Specker/Pommerening, Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin, MWV 2006), jetzt praxisgerechte Lösungsvorschläge für den datenschutzgerechten Aufbau und Betrieb von BMB entwickelt hat (Biomaterialbanken – Datenschutz und ethische Aspekte – Generische Konzepte und Realisierung, MWV 2007). Die wesentlichen datenschutzrechtlichen Fragen des Konzepts wurden unter dem Vorsitz meiner Dienststelle im Arbeitskreis Wissenschaft der Datenschutzbeauftragten des Bundes und der Länder intensiv diskutiert und die überarbeitete Fassung mit den Datenschutzbeauftragten in den wesentlichen datenschutzrechtlichen Fragen abgestimmt. Das Konzept enthält darüber hinaus auch zahlreiche Aussagen zu zivilrechtlichen und strafrechtlichen Fragen sowie zu Fragen des Verwertungsrechts und Persönlichkeitsrechts.
Biomaterialbanken können je nach Anzahl der Proben, mit dem Aufbau der BMB verbundenen Forschungsthemen, der Dauer der Nutzung der Proben, dem Kreis der berechtigten Nutzer der Proben und dem Umfang der mit den Proben verbundenen Daten sehr unterschiedlich organisiert und ausgestaltet sein. Das Konzept der TMF gibt einen Überblick über zahlreiche Varianten und unterscheidet drei grundsätzliche Organisationsmodelle:
−
Integration der Biomaterialbank in eine Klinik oder medizinische Einrichtung−
eigenständige BMB und−
BMB im Netz.Damit ist klar, dass die im Konzept dargelegten Überlegungen und Grundmodelle und die Zusammenstellung rechtlicher, technisch-organisatorischer und praktischer Aspekte eine Diskussion über die konkrete Ausgestaltung von Einzelprojekten nicht ersetzen können. Sie sind aber eine äußerst hilfreiche Grundlage für die weitere Diskussion über die konkrete Ausgestaltung von Biomaterialbanken im Einzelfall.
Das Konzept bezieht sich in erster Linie auf künftig neu gewonnene Proben, und zwar sowohl auf Proben, die im alltäglichen Behandlungskontext gewonnen werden, wie auch auf Proben, die für die Aufnahme in eine BMB für die Forschung gewonnen werden.
5.6.2.3
Zentrale datenschutzrechtliche Aspekte des Konzepts
5.6.2.3.1
Grundsätzliche Überlegungen
Grundlegender datenschutzrechtlicher Ausgangspunkt der Datenschutzbeauftragten des Bundes und der Länder, der auch dem Konzept der TMF vorangestellt wird, ist der folgende: Je abstrakter und allgemeiner der Forschungszweck, die Aufbewahrungszeit und die Nutzungsberechtigten benannt sind, umso strengere Anforderungen sind sowohl an die diesbezügliche Information der Betroffenen und die Formulierung der Einwilligungserklärung als auch an die Sicherheit der Verfahren und die erforderlichen Regelungen zur Aufbewahrung und Nutzung der Proben zu stellen.
5.6.2.3.2
Trägerschaft der Biomaterialbanken
Dem Konzept zufolge eignen sich in der Wissenschaft typischerweise die Rechtsform eingetragener Verein, GmbH und privatrechtliche Stiftung besonders gut für eine BMB; dargelegt werden die jeweiligen Möglichkeiten, die Verantwortlichkeiten klar festzulegen. Aus datenschutzrechtlicher Sicht ist es ein zentrales Anliegen, klare Verantwortlichkeiten – insbesondere auch dauerhaft – für die Proben und Daten verbindlich festzulegen. So ist es zu begrüßen, dass das Konzept auch auf Probleme im Zusammenhang mit Insolvenz des Trägers einer BMB eingeht, wie sie in der Praxis auch schon aufgetreten sind. Wenn auch die Ausführungen zeigen, dass hier Fragen
offen bleiben, wird hierdurch zumindest ein Problembewusstsein geschaffen, und die Lösung der Probleme liegt sowohl im Interesse der Forschung wie auch im Interesse des Datenschutzes der Probanden.
5.6.2.3.3
Anonymisierbarkeit von Proben/Unterschied zwischen Daten und Proben
Biomaterialien unterscheiden sich von medizinischen Daten insbesondere dadurch, dass
−
sie umfangreiche, über die aktuellen bei ihrer Gewinnung vorhandenen Fragestellungen hinausgehende, insbesondere auch genetische Informationen enthalten und−
sie Informationen enthalten, über die sie den spendenden Personen – bei Vorhandensein geeigneter personenbezogener Vergleichsproben – eindeutig wieder zugeordnet werden können. Im Gegensatz zu medizinischen Daten ist es bei Biomaterialien auch nicht möglich, durch Vergröbern oder Weglassen von Teilinformationen einen solchen Bezug aufzuheben. Eine absolute Anonymisierung von Biomaterialien ist daher prinzipiell nicht möglich.Vor diesem Hintergrund hat es mit den Datenschutzbeauftragten des Bundes und der Länder intensive Diskussionen über die Frage gegeben, ob Biomaterialien überhaupt anonymisiert werden können. Nach der Legaldefinition in § 3 Abs. 6 BDSG liegt eine (sog. faktische) Anonymisierung vor, wenn ein Personenbezug nur noch mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft hergestellt werden kann. Die Datenschutzbeauftragten des Bundes und der Länder sind übereingekommen, dass eine (faktische) Anonymisierung von Biomaterialien derzeit im Einzelfall grundsätzlich noch als möglich eingestuft werden kann. Entscheidend sind die konkreten Umstände der Gewinnung und Verwendung der Proben und Daten und das Ergebnis einer Risikoanalyse (z. B. die Möglichkeit des Zugangs zu einer personenbezogenen Vergleichsprobe der Spendenden für die Forschenden). Es ist der Verdienst des TMF-Konzepts, dass es auf diese zentrale Frage der Möglichkeit einer faktischen Anonymisierung von Proben detailliert eingeht und auch Problembewusstsein schafft, wenngleich die Ausführungen zur langfristigen Situation notwendigerweise fragmentarisch sein müssen.
Das TMF-Konzept schließt aus der Diskussion um die Unmöglichkeit einer absoluten Anonymisierung, dass
−
die Herausgabe von Proben aus der BMB an Dritte nach Möglichkeit zu vermeiden ist,−
eine erforderliche Weitergabe von Proben nur unter striktem Verbot von Reidentifizierungsversuchen – gekoppelt mit hohen Vertragsstrafen – erfolgen darf,−
jede Weitergabe kontrolliert erfolgen muss und−
auch vor einer Veröffentlichung von Analysen und Forschungsergebnissen das Reidentifizierungsrisiko geprüft werden muss.Offen ist aus der Sicht des Datenschutzes die Frage, wie – u. U. international – die Einhaltung der Vorgaben der Einwilligungserklärung bzw. der vertraglichen Regelungen effektiv überprüft werden können.
5.6.2.3.4
Anforderungen an Einwilligungserklärungen
Aus der Lagerung von Biomaterialien in BMB und der Nutzung der Materialien für die Forschung ergeben sich neue Fragen hinsichtlich der Patienten- bzw. Spenderinformation und der Ausgestaltung der Einwilligungserklärung, die im Konzept aufgegriffen und diskutiert werden, insbesondere Fragen der Reichweite der Einwilligungserklärung, Fragen nach einem evtl. Interesse der betroffenen Patienten oder spendenden Personen an Mitteilungen über erzielte Forschungsergebnisse, ärztlich begründeten Mitteilungspflichten des Forschenden, Fragen nach Eigentums- und Nutzungsübertragung bei Proben, Fragen nach den Folgen eines Widerrufs der Einwilligungserklärung und deren vielschichtige Verschränkung.
Von zentraler datenschutzrechtlicher Bedeutung ist die Frage der Reichweite der Einwilligungserklärung. Nach allgemeinem Datenschutzrecht setzt eine wirksame Einwilligungserklärung voraus, dass die betroffene Person weiß, in welchem Umfang und zu welchem Zweck ihre Daten verarbeitet werden sollen. Die Anforderungen an die Vollständigkeit und Präzision der Information können allerdings je nach Lebensbereich variieren. So ist es z. B. allgemein anerkannt, dass der Eigengesetzlichkeit der Forschung bei der Formulierung von Einwilligungserklärungen im Rahmen von epidemiologischen Studien Rechnung getragen werden muss. Bei BMB gestaltet sich die Frage der Information der betroffenen Personen und damit der Zweckbindung der Proben und Daten jedoch erheblich schwieriger. BMB sind vielfach angelegt als Pool zur Durchführung verschiedener Forschungsvorhaben, die zwar oft ein bestimmtes Indikationsgebiet zum Forschungsschwerpunkt haben, aber auch für Forschungsvorhaben genutzt werden sollen, die zum Zeitpunkt der Probengewinnung bzw. -einlagerung noch nicht absehbar sind. Die TMF legt – unter Berufung auf den Nationalen Ethikrat, der sich 2004 in seiner Stellungnahme zu "Biobanken für die Forschung" ebenfalls eingehend mit dieser Frage befasst hat (www.ethikrat.org) – dar, dass es für die Forschung möglich sein sollte, dass die spendenden Personen ganz allgemein in die Nutzung ihrer Proben und Daten für die medizinische Forschung einschließlich genetischer Forschung einwilligen, sofern ihnen hinreichend klargemacht wird, dass der Zweck der Verwendung der Probe offen ist, und zwar insbesondere hinsichtlich der inhaltlichen wissenschaftlichen Fragestellungen, der involvierten Forscher und des Zeitpunktes der Löschung bzw. Vernichtung der personenbezogenen Daten und Proben.
Dabei wird – wiederum entsprechend der Stellungnahme des Nationalen Ethikrates – hervorgehoben, dass das Recht der Biomaterial spendenden Person auf Widerruf ihrer Einwilligung unverzichtbar ist, auch bei jeder Weitergabe der Probe realisiert werden muss und der Offenheit der Verwendungszwecke der Proben Grenzen setzt. Darüber hinaus wird – ebenfalls in Anlehnung an den Nationalen Ethikrat – eine pauschale Einwilligung in die Weitergabe von personenbezogenen Proben und Daten an unbestimmte weitere Empfänger ausgeschlossen. Die Proben und Daten können anonymisiert oder pseudonymisiert weitergegeben werden; soweit erforderlich kann eine Verknüpfung mit personenbezogenen Daten über die BMB vorgenommen werden. Damit ist sichergestellt, dass die spendende Person ihre Entscheidungsrechte nicht vollständig aus der Hand gibt, sondern ihr bestimmte Handlungs- und Steuerungsmöglichkeiten bleiben.
In jedem Fall sollte sie über die Verfahrensweise nach einem evtl. Widerruf der Einwilligung informiert werden:
Was geschieht mit den Proben und Daten? Werden sie vernichtet bzw. gelöscht oder anonymisiert?
Es liegt auf der Hand, dass diese Frage sowohl für die Forschenden wie auch für die Betroffenen von erheblicher Bedeutung sein kann und daher – da rechtlich nicht zwingend vorgegeben –konkret vereinbart werden muss.
Angesprochen wird in dem Konzept auch die Frage, inwieweit Forschende im Einzelfall eine rechtliche und/oder ethische Pflicht haben, von sich aus die Biomaterial spendende Person zu informieren, wenn bestimmte Forschungsergebnisse für sie relevant sind, z. B. den Ausbruch einer Krankheit verhindern können. Die TMF geht davon aus, dass sowohl eine Mitteilungspflicht als auch ein Ausschluss von Mitteilungen vereinbart werden kann. Ergebnismitteilungen können aus datenschutzrechtlicher Sicht aber auch Risiken mit sich bringen: Wenn eine Ergebnismitteilung vereinbart wird, darf die Verfahrensweise bei der Ergebnismitteilung selbstverständlich nicht dazu führen, dass das bestehende Datenschutzkonzept (z. B. Trennung von Identitätsdaten und medizinischen Daten, Pseudonymisierung) nicht mehr eingehalten wird. Zu bedenken ist auch, dass Ergebnismitteilungen an die spendenden Personen für sie mit Nachteilen verbunden sein können, z. B. bei einem Abschluss von Versicherungsverträgen, bei dem die Betroffenen ihnen bekannte Gesundheitsrisiken offenbaren müssen. Unabhängig davon ist in jedem Fall der datenschutzrechtliche Auskunftsanspruch der Proben spendenden Person über die zu ihrer Person gespeicherten personenbezogenen Daten zu gewährleisten.
5.6.2.3.5
Technisch-organisatorische Datensicherheitsmaßnahmen
Als abzuwehrende Risiken werden im Konzept genannt
−
der unbefugte Zugriff auf Informationen, die in der BMB gespeichert sind;−
der unbefugte Zugriff auf die Proben;−
die unbefugte Reidentifikation eines Probanden unter Verwendung von berechtigt oder unberechtigt erlangten Informationen.Im Grundmodell wird davon ausgegangen, dass die Proben und zumindest vier Datenarten zu unterscheiden und unter getrennter Verantwortung zu speichern sind (auf der Ebene der BMB, nicht der konkreten Projektebene):
−
identifizierende Daten (IDAT),−
medizinische Daten (MDAT),−
Proben mit organisatorischen Angaben wie z. B. Herkunft, Datum (OrgDAT) und−
aus der Probe gewonnene Analysedaten (ProbDAT).Für die Zuordnung dieser getrennten Teildatenbestände werden die Kennungen
−
PID (eindeutiger Patientenidentifikator),−
PSB (Pseudonym, unter dem die MDAT gespeichert werden),−
LABID (Kennzeichnung einer Probe) und−
LABIDtransals Pseudonyme verwendet, die jeweils nur unter genau definierten Bedingungen miteinander verknüpfbar sind.
Eine verteilte Speicherung von Informationen und Aufgabenwahrnehmung ist allerdings nur dann zielführend, wenn mit dieser Verteilung auch eine entsprechende rechtlich differenzierte Verantwortlichkeit einhergeht. Diese Frage wird im Konzept eingehend diskutiert. Bei der Konstruktion der Verteilung der Datenbestände und Aufgaben und der zu unterscheidenden Verantwortlichkeiten und Zugriffmöglichkeiten wird eine Prüfung von Aufwand und Verhältnismäßigkeit empfohlen. Je leichter aus den Daten ein Rückschluss auf die Person gezogen werden kann, desto eher wird eine getrennte Datenhaltung als notwendig angesehen. Im Einzelfall soll daher auch z. B. von der Forderung nach getrennter Speicherung des Teildatenbestandes abgewichen werden können. Für alle BMB wird es aber als zwingend angesehen, dass die personenbezogene Patientenliste räumlich und technisch getrennt von den Forschungsdaten gespeichert ist und die Verantwortlichen auch einer getrennten disziplinarischen Verantwortung unterworfen sind. Es wird davon ausgegangen, dass die Führung der Patientenliste zumindest einer von der restlichen Datenbank getrennten disziplinarischen Verantwortung unterliegen muss, da sie als Ort des Identitätsmanagements besonders schutzbedürftig ist. Wann die Aufgabe der Führung der Patientenliste durch einen externen Datentreuhänder, d. h. einen besonders vertrauenswürdigen Dritten (z. B. Notar), wahrgenommen werden muss, wird offengelassen. Diese Notwendigkeit ist lt. Konzept in jedem Einzelfall zu prüfen. Es wird empfohlen, dass zumindest eine separate Einrichtung die Patientenliste führt. Diese Fragen der Separierung von Datenbeständen und Aufgaben und die entsprechend differenzierte Zuordnung von Verantwortlichkeiten werden künftig bei der datenschutzrechtlichen Bewertung von Konzepten für den Aufbau und Betrieb von Biomaterialbanken eine zentrale Rolle spielen.
Diskutiert werden im Konzept zahlreiche Optionen der Ausgestaltung und Realisierung von getrennter Speicherung und Verantwortlichkeit jeweils für die unterschiedlichen Modellvarianten:
−
BMB in einer Klinik oder medizinischen Einrichtung−
eigenständige BMB und−
BMB in einem Forschungsnetz.Ein Direktzugriff von Forschern auf die zentrale Datenbank wird nur dann als vertretbar angesehen, wenn das Risiko einer Reidentifizierung der spendenden Person durch die gespeicherten Daten als sehr gering eingeschätzt wird. Als Regelfall wird der Export von Daten genannt, und zwar lediglich der Export der im Einzelfall erforderlichen Daten. Ist ein hohes Reidentifizierungspotenzial aus dem Gesamtbestand nicht auszuschließen, so muss für die Herausgabe von Daten außerdem ein zweites Pseudonym PSN erzeugt werden. Bei jedem Export muss dieses unterschiedlich sein, damit keine externen Datenbestände aufgebaut werden können, die über einen kritischen Informationsbestand verfügen.
5.6.2.3.6
Eigentumsverhältnisse und Nutzungsrecht
Das Konzept legt bei Behandlungs- und Forschungsproben jeweils in unterschiedlicher Weise zu berücksichtigende eigentumsrechtliche, sachenrechtliche und persönlichkeitsrechtliche Aspekte dar und kommt zu der Empfehlung, dass für künftig aufzubauende BMB "für alle Proben die Bedingungen der Nutzung und Weitergabe genau festzulegen" sind. Auch hier treffen sich Interessen der Forschung und des Datenschutzes. Alle rechtlichen Aspekte müssen zu einem Gesamtkonzept zusammengefügt werden.
Bei der Arzneimittelprüfung verbleiben die personenbezogenen medizinischen Daten der an der Studie teilnehmenden Personen beim Prüfarzt. Andere an der Arzneimittelprüfung beteiligte Stellen dürfen grundsätzlich nur pseudonymisierte Daten erhalten. Kontrovers diskutiert wird gegenwärtig, wie die Pseudonymisierung auszugestalten ist.
Die Wirksamkeits- und Verträglichkeitsprüfung neuer Arzneimittel erfolgt in kontrollierten klinischen Studien. Die Verfahrensweise ist insbesondere im Arzneimittelgesetz (AMG) detailliert geregelt. In den letzten Jahren wurde das Arzneimittelgesetz infolge neuer EU-Regelungen mehrfach geändert, u. a. auch in Punkten, die datenschutzrechtliche Fragen betrafen. Die neuen EU-Regelungen betrafen insbesondere den Schutz der an der Studie teilnehmenden Personen sowie das Verfahren zur Bewertung der klinischen Prüfung durch die Ethikkommission und zur Genehmigung durch die zuständige Bundesoberbehörde. Wesentliche Änderungen der §§ 40 bis 42 AMG, die den Schutz des Menschen bei klinischen Prüfungen beinhalten, wurden erforderlich.
Klinische Studien werden stets auf der Grundlage einer schriftlichen Einwilligung der an der Studie teilnehmenden Personen durchgeführt. Im Rahmen einer Studie werden umfangreiche sensitive medizinische Daten über die an der Studie teilnehmenden Personen erhoben. An dem Verfahren der Arzneimittelprüfung sind eine Reihe von Personen bzw. Stellen in unterschiedlichen Funktionen beteiligt, insbesondere
−
der Prüfarzt, der für die Durchführung der klinischen Prüfung verantwortlich ist,−
der Sponsor, d. h. eine Person, eine Firma, eine Institution oder eine Organisation, die die Verantwortung für die Initiierung, das Management und/oder die Finanzierung einer klinischen Prüfung übernimmt (zumeist forschende Pharmafirmen), der die Prüfberichte des Prüfarztes und die Meldungen über unerwünschte Ereignisse erhält,−
das Bundesinstitut für Arzneimittel und Medizinprodukte, das Mitteilungen über unerwünschte Arzneimittelwirkungen erhält und an die europäische Datenbank weitergibt.Es benötigen jedoch keinesfalls alle involvierten Stellen die personenbezogenen Daten der an der Studie teilnehmenden Personen. Letztere haben vielmehr ein Recht darauf, dass ihre persönlichen medizinischen Daten nicht unnötig über zahlreiche Stellen im In- und Ausland verbreitet werden. Aus datenschutzrechtlicher Sicht sind daher die zentrale Fragen,
−
wer außer dem Prüfarzt welche Daten der an der Studie teilnehmenden Personen erhält und−
wie die an der Studie teilnehmenden Personen über die Datenflüsse informiert werden.Im AMG sind zu diesen Fragen nunmehr detaillierte Regelungen enthalten. In § 40 AMG sind die Voraussetzungen der Durchführung einer klinischen Prüfung detailliert festgelegt. Zu den Voraussetzungen zählt auch, dass die an der Studie teilnehmenden Personen über Zweck und Umfang der Erhebung und Verwendung personenbezogener Daten, insbesondere von Gesundheitsdaten, informiert worden sind und schriftlich eingewilligt haben. Sie sind gemäß § 40 Abs. 2a Nr. 1 insbesondere darüber zu informieren, dass die erhobenen Daten soweit erforderlich
−
zur Einsichtnahme durch die Überwachungsbehörde oder Beauftragte des Sponsors zur Überprüfung der ordnungsgemäßen Durchführung der klinischen Prüfung bereitgehalten werden (Nr. 1a),−
pseudonymisiert an den Sponsor oder eine von ihm beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden (Nr. 1b),−
im Falle eines Antrags auf Zulassung pseudonymisiert an den Antragsteller und die für die Zulassung zuständige Behörde weitergegeben werden (Nr. 1c) und−
im Falle unerwünschter Ereignisse des zu prüfenden Arzneimittels pseudonymisiert an den Sponsor und die zuständige Bundesoberbehörde sowie von dieser an die Europäische Datenbank weitergegeben werden (Nr. 1d).Damit ist eindeutig geregelt, dass der Sponsor, die Zulassungsbehörde und die zuständige Bundesoberbehörde sowie die Europäische Datenbank keine personenbezogenen Daten der an der Studie teilnehmenden Personen erhalten dürfen. Die konkrete Form der Übermittlung der jeweiligen Daten an die genannten Stellen wird jedoch kontrovers diskutiert. Die Praxis ist offensichtlich derzeit nicht einheitlich. Teilweise werden auch Berichte bzw. Meldungen mit den medizinischen Angaben und den Initialen, dem Geschlecht und dem vollständigen Geburtsdatum der an der Studie teilnehmenden Personen weitergegeben.
Die Art und Weise der Pseudonymisierung ist im AMG nicht konkret vorgeschrieben. Es gelten daher die allgemeinen datenschutzrechtlichen Vorgaben. Pseudonymisierung ist ein Rechtsbegriff. Ebenso wie beim Anonymisieren ist es das Ziel des Pseudonymisierens, den Personenbezug auszuschließen. Beim Pseudonymisieren bleibt jedoch eine Zuordnungsregel, nach der der Kenner dieser Regel den Personenbezug herstellen kann. Im Übrigen ist wie bei der Anonymisierung auch bei der Pseudonymisierung zu prüfen, ob die Informationen (für Dritte ohne Zuordnungsregel) nicht mehr oder mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (vgl. z. B. § 3 Abs. 6 BDSG). Enthalten z. B. Berichte des Prüfarztes an den Sponsor über Verträglichkeit, Wirkung und Nebenwirkungen bei den einzelnen an der Studie teilnehmenden Personen, klinische Prüfberichte oder Meldungen über unerwünschte Ereignisse die Initialen, das Geschlecht und das vollständige Geburtsdatum einer an der Studie teilnehmenden Person, so können deutschlandweit zwar keineswegs alle an der Studie teilnehmenden Personen identifiziert werden, aber es können beispielsweise an der Studie teilnehmende Personen mit ungewöhnlicheren Namen oder auch mit einem ungewöhnlichen Alter mit etwas Aufwand und etwa unter Zuhilfenahme von Telefonbüchern, Meldedaten o. Ä. identifiziert werden. Auch wenn ein regionaler Bezug vorhanden ist, vereinfacht das die Identifizierung. Außerdem können die meisten Dateien in Deutschland über die Initialen erschlossen werden.
|
Betrachtungen zur Möglichkeit einer Reidentifizierung bei der Nutzung von Initialen und Geburtsdatum als Pseudonym Die Kenntnis der Initialen und des genauen Geburtsdatums einer Person reicht in vielen Konstellationen nicht aus, eine Person zu identifizieren. Aber die Wahrscheinlichkeit ist doch größer, als sie im ersten Augenblick erscheint. Das genaue Geburtsdatum ist bereits sehr aussagekräftig. Man stelle sich für jedes Geburtsdatum ein Kästchen vor und für jede Person, deren Zuordnung man wissen will eine Kugel. Wenn man eine Kugel entnimmt, kann man dann auf die Person schließen, die der Kugel zugeordnet ist? Wenn das komplette Geburtsdatum bekannt ist, stehen für jedes Jahr 365 (bzw. 366) "Kästchen" zur Verfügung. Da der Mensch über 100 Jahre alt werden kann, gibt es auch Kästchen für das Jahr 1900 in denen sich noch eine oder mehrere Kugeln befinden. Die Lebenserwartung beträgt in Deutschland etwa 80 Jahre, was für ca. 30.000 (80 Jahre mal 365 Tage) verschiedene Geburtstage steht. Im Durchschnitt sind daher, wenn man für jeden Bewohner eine Kugel in sein "Geburtstagskästchen" legt, in jedem Kästchen etwa 2.750 Kugeln (80.000.000 Einwohner verteilt auf 30.000 Kästchen). Je länger das Geburtsdatum zurückliegt, also je älter die Personen sind, umso weniger "Kugeln" gibt es im Kästchen und umso einfacher kann ich auf die Person schließen. Zu alten Personen gibt es dann oft nur noch eine Kugel im "Kästchen" und man kann sogar mit dem "Pseudonym" Geburtstag eine Person identifizieren. Wenn die Initialen bekannt sind, gibt es eine weitere Information. Für jede Person sind dann bildlich gesprochen auf der Kugel die Initialen vermerkt. Für häufige Initialen hilft das nicht weiter. Eine Person zu identifizieren ist immer noch schwierig oder unmöglich. Das Bild ändert sich aber, wenn eine Person einen sehr seltenen Anfangsbuchstaben beim Vor- oder Nachnamen hat. Einen Nachnamen mit Y oder Q haben weniger als eine von 500 Personen. Zusammen mit dem Vornamen sind diese Initialen nur bei etwa einer von 10.000 Personen gegeben: in dem Beispiel hätte nur jede 10.000ste Kugel diese Initialen. Da sogar bei einem bundesweiten Register durchschnittlich nur 2.750 Kugeln in einem "Kästchen" sind, ist bei diesen Nachnamen (bzw. Vornamen) die Wahrscheinlichkeit groß, eine Person identifizieren zu können. Wenn es noch eine regionale Zuordnung gibt, reduziert sich die Zahl der zu berücksichtigenden Einwohner. Handelt es sich um das Rhein-Main-Gebiet mit 3.000.000 Einwohnern, so sind im Schnitt 100 Kugeln in einem "Kästchen". Eine Identifizierung ist daher mit großer Sicherheit möglich. Dies gilt dann auch für Nachnamen mit seltenen Initialen wie z. B. I, U, V oder Z. Aus diesem Grund ist es möglich, eine Person in vielen Fällen zu identifizieren, wenn die Initialen und das Geburtsdatum vorliegen. |
Die Verwendung von Initialen und Geburtsdatum wird daher von den Datenschutzbeauftragten des Bundes und der Länder nicht als hinreichende Pseudonymisierung angesehen. Im Übrigen ist die Frage, welche Angaben in den Prüfberichten und in den Meldungen über die an der Studie teilnehmenden Personen tatsächlich erforderlich sind, damit sie korrekt zugeordnet werden können und die Arzneimittelsicherheit gewährleistet ist, derzeit noch offen. Von den forschenden Pharmafirmen werden hierzu auch voneinander abweichende Stellungnahmen abgegeben. Die Fragen sind unter dem Vorsitz meiner Dienststelle im Arbeitskreis Wissenschaft der Datenschutzbeauftragten des Bundes und der Länder intensiv diskutiert worden. Die Diskussion muss 2007 fortgesetzt werden. Geplant ist auch ein Gespräch der Datenschutzbeauftragten mit dem Bundesinstitut für Arzneimittel und Medizinprodukte.
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis
In diesem Jahr wurde auch in Hessen mit dem Aufbau der Infrastruktur für das flächendeckende qualitätsgesicherte Mammographie-Screening begonnen. Mit meiner Beratung wurde die Rechtsgrundlage für die Übermittlung der Meldedaten an die neue Zentrale Einladungsstelle in der Meldedatenübermittlungsverordnung geschaffen. Eine Prüfung der Zentralen Einladungsstelle ergab, dass die Daten der Frauen, die nicht teilnehmen möchten, korrekt gelöscht werden.
5.7.1.1
Einleitung
Mit dem Ziel der Absenkung der Brustkrebssterblichkeit bei Frauen zwischen 50 und 70 Jahren wurden seit 1998 in Deutschland zunächst Modellprojekte zum qualitätsgesicherten Mammographie-Screening beschlossen und eingeführt. Gegenstand der Modellprojekte war die Erprobung von Strukturen, innerhalb deren künftig qualitätsgesichertes Mammographie-Screening in Deutschland flächendeckend durchgeführt werden kann. Während der Durchführung der Modellprojekte forderten der Bundesrat (BRDrucks. 372/01 und 1031/01), der Bundestag (BTDrucks. 14/6453 und 14/9122, Plenarprotokoll 14/246, TOP 31a, S. 24940) und die Gesundheitsministerkonferenz (75. Sitzung am 20./21. Juni 2002, TOP 8.2) 2002 die Bundesregierung auf, für die baldmögliche Einführung eines flächendeckenden qualitätsgesicherten Brustkrebs-Früherkennungsprogramms in allen Bundesländern auf der Grundlage der europäischen Leitlinien in Deutschland zu sorgen. Das Bundesministerium für Gesundheit und Soziales bat Ende 2002 den Bundesausschuss für Ärzte und Krankenkassen, Richtlinien zur Einführung des Mammographie-Screenings zu entwerfen. Eine entsprechende Änderung der Richtlinien des Bundesausschusses der Ärzte und Krankenkassen über die Früherkennung von Krebserkrankungen (Krebsfrüherkennungs-Richtlinien) ist 2003 erfolgt. Der Gemeinsame Bundesausschuss der Ärzte und Krankenkassen änderte mit Beschluss vom 23. März 2003 die Brustkrebsfrüherkennungs-Richtlinien dahingehend, dass jede Frau in Deutschland vom 50. bis 69. Lebensjahr an alle zwei Jahre einen Anspruch auf eine Mammographie hat. Alle Frauen dieses Alters sollen routinemäßig über ein Einladungssystem auf der Grundlage amtlicher Meldedaten zum Mammographie-Screening eingeladen werden. In den Richtlinien sind auch wesentliche Details der Organisationsstruktur des flächendeckenden Screenings in den Ländern festgelegt.
Ein zentraler Aspekt des Projekts war von Anfang an das Anliegen, jeder Frau in der betroffenen Altersgruppe das Mammographie-Screening anzubieten, unabhängig von der Frage, ob die Frau in der gesetzlichen Krankenversicherung versichert ist. Die Frauen sollen turnusgemäß, persönlich und schriftlich zur Teilnahme eingeladen werden. Um dies zu ermöglichen, sollen die Meldeämter den einladenden Stellen die hierfür erforderlichen Datensätze der Frauen in der betroffenen Altersgruppe übermitteln. Die Teilnahme am Mammographie-Screening ist selbstverständlich freiwillig. Die Richtlinien sehen vor, dass die Daten derjenigen Frauen, die am Mammographie-Screening nicht teilnehmen wollen, in der einladenden Stelle gelöscht werden.
Sowohl bei den Modellprojekten als auch bei der flächendeckenden Einführung waren auch eine Reihe von datenschutzrechtlichen Fragen zur Verarbeitung der Daten der betroffenen Frauen zu klären. Dies erfolgte in enger Abstimmung mit dem Regierungspräsidium Darmstadt, das für die Verarbeitung der Daten in den Screening-Einheiten zuständig ist.
5.7.1.2
Vom Modellprojekt zum flächendeckenden Screening in Hessen
In meinem 30. Tätigkeitsbericht, Ziff. 11.1 hatte ich darüber berichtet, dass in Wiesbaden und im Rheingau-Taunus-Kreis (wie auch in Bremen und in der Region Weser-Ems) Modellprojekte zur Einführung einer qualitätsgesicherten Brustkrebsfrüherkennung mittels Mammographie-Screening durchgeführt werden. Aufgrund meiner Forderung wurde ein überarbeitetes Datenschutzkonzept von den Projektbeteiligten vorgelegt. Abschließend wurde insbesondere geklärt, dass
|
§ 34 Abs. 3 HMG Melderegisterauskunft über eine Vielzahl nicht namentlich bezeichneter Einwohnerinnen und Einwohner (Gruppenauskunft) darf nur erteilt werden, soweit sie im öffentlichen Interesse liegt. Für die Zusammensetzung der Personengruppe dürfen die folgenden Daten herangezogen werden:
Mitgeteilt werden dürfen außer der Tatsache der Zugehörigkeit zu der Gruppe folgende Daten:
|
Für das Projekt zur Verbesserung der Qualität von Mammographie-Untersuchungen wurde ein öffentliches Interesse bejaht. Die Vorschrift bezieht sich allerdings auf Einzelfälle. Mit der Ablösung der zeitlich und örtlich begrenzten Modellprojekte durch eine dauerhafte flächendeckende Durchführung des Screenings ist eine regelmäßige Datenübermittlung von den Meldeämtern an die Zentrale Stelle notwendig. Bereits im Jahr 2004 wurde daher von meiner Dienststelle klargestellt, dass eine regelmäßige Datenübermittlung für das Mammographie-Screening nur mit einer entsprechenden neuen Rechtsgrundlage zulässig ist.
Seit dem 31. März 2006 ist das Modellprojekt in Hessen beendet, und seit dem 1. April 2006 wurde mit dem flächendeckenden Mammographie-Screening begonnen (detaillierte Informationen zum Sachstand bundesweit, zu den Vorschriften und weiteren Einzelheiten s. unter www.kooperationsgemeinschaft-mammographie.de).
5.7.1.3
Aufbau des flächendeckenden Screenings in Hessen
An der Durchführung des flächendeckenden Screenings in Hessen sind entsprechend den Vorgaben in den Richtlinien verschiedene Institutionen/Personen beteiligt:
Das Screening wird auf Bundesebene begleitet durch eine Kooperationsgemeinschaft, die durch sog. regionale Referenzzentren vor Ort präsent ist. Träger der Kooperationsgemeinschaft sind die Spitzenverbände der Krankenkassen und die Kassenärztliche Bundesvereinigung.
Eine Rechtsgrundlage für regelmäßige Datenübermittlungen wurde mit § 18 MeldDÜVO vom 6. Juli 2006 geschaffen. Der Inhalt der Neuregelung wurde mit meiner Dienststelle abgestimmt. Der neue § 18 der MeldDÜVO sieht vor, dass die Meldebehörden der Kassenärztlichen Vereinigung Hessen auf deren Antrag zum Zwecke der Früherkennung von Brustkrebs durch Mammographie-Screening den Namen, Doktorgrad, Tag und Ort der Geburt und Anschrift höchstens vierteljährlich übermitteln dürfen.
|
§ 18 MeldDÜVO Die Meldebehörde übermittelt der Kassenärztlichen Vereinigung Hessen auf deren Antrag zum Zwecke der Früherkennung von Brustkrebs durch Mammographie-Screening höchstens vierteljährlich soweit erforderlich folgende Daten aller Frauen im Alter zwischen 50 und 69 Jahren, um sie zur vorsorglichen Untersuchung einzuladen:
|
5.7.1.4
Löschung der Daten der Frauen, die am Screening nicht teilnehmen wollen
Bei meiner Überprüfung des Verfahrens standen 2006 die Rechte der Frauen im Vordergrund, die nicht am Screening teilnehmen wollen.
In den Einladungsschreiben werden die Frauen darüber informiert, dass ihre von den Meldeämtern an die Zentrale Stelle übermittelten Daten – entsprechend den Regelungen in den Krebsfrüherkennungs-Richtlinien – gelöscht werden, wenn sie explizit erklären, dass sie am Screening nicht teilnehmen möchten oder auf die Einladung und ein erneutes Anschreiben nicht reagieren. Die Verfahrensabläufe habe ich in der Zentralen Stelle gemeinsam mit dem Regierungspräsidium Darmstadt überprüft und wie folgt vorgefunden.
5.7.1.4.1
Datenbankstruktur
Die für Einladungen benötigten Daten werden in zwei Datenbanktabellen als Listen gespeichert. Es gibt die Liste der Teilnehmerinnen und die Liste mit den Meldedaten (Meldeliste). Die Einträge dieser beiden Listen sind über die Screening-ID (SID) miteinander verbunden; die SID wird mittels einer Hashfunktion aus dem Geburtsnamen, Geburtsort und Geburtsdatum gebildet.
In der Teilnehmerinnenliste sind neben der SID vor allem der Status und das Sperre-Datum gespeichert; nicht gespeichert sind der Name und die Adresse. Der Status besagt beispielsweise, ob eine Einladung erfolgt ist oder die Teilnahme verweigert wurde. Das Sperre-Datum legt fest, wann frühestens wieder eine Untersuchung erfolgen darf und daher eine Einladung versandt werden soll.
In der Meldeliste ist wiederum die SID gespeichert. Zusätzlich sind Geburtsname, Geburtsort, Geburtstag sowie Vorname, Nachname und die aktuelle Anschrift gespeichert, die für das Anschreiben benötigt werden.
5.7.1.4.2
Ablauf der Übernahme von Meldedaten und Löschung der Daten
Wenn eine Kommune Meldedaten an die Zentrale Stelle übermittelt, sollen diese in die Meldeliste übernommen werden, soweit sie für anstehende Untersuchungen benötigt werden. Dazu erfolgt für jede gemeldete Frau ein Abgleich mit dem Sperre-Datum aus der Teilnehmerinnenliste. Für den Abgleich wird aus den Meldedaten die SID gebildet und mit diesem Wert in der Teilnehmerinnenliste gesucht.
Wenn es in der Teilnehmerinnenliste keinen Eintrag mit dieser SID gibt, wird er angelegt und in der Meldeliste der Datensatz gespeichert. Das kann der Fall sein, wenn eine Frau 50 Jahre alt geworden ist und daher zum ersten Mal an dem Screening teilnehmen kann. Gibt es einen Eintrag in der Teilnehmerinnenliste, wird das Sperre-Datum mit dem Lieferdatum verglichen. Ist das Sperre-Datum erreicht oder bereits verstrichen, werden die Meldedaten übernommen. Gibt es einen Eintrag und das Sperre-Datum liegt in der Zukunft, werden keine Daten zu der Frau in der Meldeliste gespeichert. Sie wird beim Screening für die gelieferten Meldedaten nicht berücksichtigt.
Nach der Übernahme wird abhängig von den Untersuchungskapazitäten der Screening-Einheiten ein Einladungstermin ermittelt und ein Einladungsschreiben erstellt. Der Status wird in der Teilnehmerinnenliste auf "eingeladen" gesetzt.
Auf die Einladung reagieren die Teilnehmerinnen sehr unterschiedlich.
Bis 15 Tage nach dem (Erst-)Einladungstermin wird gewartet, ob die Screening-Einheit die Teilnahme meldet. Medizinische Daten erhält die Zentrale Stelle nicht.
– Wenn die Screening-Einheit die Teilnahme meldet, wird das Sperre-Datum auf den Teilnahmemonat plus zwei Jahre gesetzt und der Status auf "teilgenommen" gesetzt. Der Datensatz in der Meldeliste wird gelöscht.
– Meldet die Screening-Einheit keine Teilnahme, wird ein Erinnerungsschreiben mit einem neuen Termin verschickt. Der Status wird auf "erinnert" gesetzt.
Es können nun die gleichen Möglichkeiten eintreten wie bei der Ersteinladung.
Wie bei der Ersteinladung wird abgewartet, ob es in den 15 Tagen nach dem Termin eine Teilnahmebestätigung durch die Screening-Einheit gibt.
– Wenn die Screening-Einheit die Teilnahme bestätigt, wird das Sperre-Datum auf den Teilnahmemonat plus zwei Jahre gesetzt und der Status auf "teilgenommen" gesetzt. Der Datensatz in der Meldeliste wird gelöscht.
– Hat die Frau auch auf das zweite Schreiben nicht reagiert und ist nicht zur Untersuchung gekommen, wird das Sperre-Datum um zwei Jahre erhöht. Der Status wird auf "ErinnerungErfolglos" gesetzt und der Datensatz in der Meldeliste wird gelöscht.
Ich habe geprüft, ob entsprechend der Beschreibung die Datensätze mit den Meldedaten nicht vorhanden bzw. gelöscht waren. Bei der Prüfung konnte ich feststellen, dass nur dann Meldedaten gespeichert waren, wenn sie auf Grund der Abläufe für eine Teilnahme benötigt wurden.
Zur Frage der Heranziehung von Pflegedokumentationen für die Aufklärung und Weiterverfolgung von Falschabrechnungen und Abrechnungsbetrug habe ich zahlreiche Anfragen und Beschwerden erhalten. Soweit zwingend erforderlich dürfen Pflegedokumentationen auch für diese Zwecke verwendet werden. Die Verfahrensweise muss klar festgelegt und die Kenntnisnahme der sensitiven Daten strikt begrenzt werden.
Bei der Pflegedokumentation, die in den Pflegeeinrichtungen geführt wird, handelt es sich um eine personenbezogene Unterlage, die regelmäßig sehr detaillierte, sehr persönliche und überwiegend medizinische Informationen über die Betroffenen enthält und daher besonders schutzwürdig ist. Sie darf daher grundsätzlich nur für den Zweck der Pflege verwendet werden.
Die mir zugegangenen Anfragen und Beschwerden betreffen die Durchführung von Qualitätsprüfungen in Pflegeeinrichtungen.
5.7.2.1
Qualitätsprüfung und Abrechnungsprüfung
Die Durchführung von Qualitätsprüfungen ist in den §§ 112 ff. SGB XI geregelt. Gemäß § 112 Abs. 3 haben die Pflegeeinrichtungen auf Verlangen der Landesverbände dem Medizinischen Dienst der Krankenversicherung (MDK) oder den von den Landesverbänden bestellten Sachverständigen die Prüfung der erbrachten Leistungen und deren Qualität durch Einzelprüfungen, Stichproben und vergleichende Prüfungen zu ermöglichen. Die Prüfungen sind auf die Qualität, die Versorgungsabläufe und die Ergebnisse der in § 112 Abs. 2 SGB XI genannten Leistungen sowie auf deren Abrechnung zu erstrecken. Soweit ein zugelassener Pflegedienst auch häusliche Krankenpflege nach § 37 SGB V erbringt, gelten diese Regelungen entsprechend.
|
§ 112 Abs. 3 SBG XI Die Pflegeeinrichtungen haben auf Verlangen der Landesverbände der Pflegekassen dem Medizinischen Dienst der Krankenversicherung oder den von den Landesverbänden bestellten Sachverständigen die Prüfung der erbrachten Leistungen und deren Qualität durch Einzelprüfungen, Stichproben und vergleichende Prüfungen zu ermöglichen. Die Prüfungen sind auf die Qualität, die Versorgungsabläufe und die Ergebnisse der in Abs. 2 genannten Leistungen sowie auf deren Abrechnung zu erstrecken, soweit ein zugelassener Pflegedienst auch Leistungen nach § 37 des Fünften Buches erbringt, gelten die Sätze 1 und 2 entsprechend. |
Gemäß § 114 Abs. 1 SBG XI sind der MDK oder die von den Landesverbänden der Pflegekassen bestellten Sachverständigen in Wahrnehmung ihres Prüfauftrags nach § 112 Abs. 3 SBG XI berechtigt und verpflichtet, an Ort und Stelle zu überprüfen, ob die ambulanten oder stationären zugelassenen Pflegeeinrichtungen die vorgeschriebenen Leistungs- und Qualitätsanforderungen weiterhin erfüllen. Gemäß § 114 Abs. 6 SBG XI sind auf Verlangen Vertreter der betroffenen Pflegekassen oder ihrer Verbände an den Prüfungen zu beteiligen.
5.7.2.2
Verwendung der Pflegedokumentation für Abrechnungsprüfungen
Es ist unstreitig, dass die Pflegedokumentation Gegenstand der Qualitätsprüfung ist. Nach meiner Auffassung bestehen auch keine Bedenken gegen eine Einsichtnahme in die Pflegedokumentation durch den Vertreter der betroffenen Pflegekasse oder der Verbände der Pflegekassen, sofern diese an einer Prüfung vor Ort nach § 114 Abs. 1 bis 3 SBG XI beteiligt werden, um die vom Gesetzgeber vorgeschriebene Abrechnungsprüfung durchzuführen. Dies entspricht dem Wortlaut des Gesetzes. Die Abrechnungsprüfung ist vom Gesetzgeber gezielt als Bestandteil der Qualitätsprüfung festgelegt worden, damit Falschabrechnung und Abrechnungsbetrug festgestellt und verfolgt werden können.
In Hessen werden seit einiger Zeit regelmäßig Qualitätsprüfungen in Pflegeeinrichtungen durchgeführt, an denen jeweils der MDK, die Heimaufsicht sowie ein Vertreter der betroffenen Pflegekasse oder des Verbandes der Pflegekasse teilnehmen. Es handelt sich nach den mir vorliegenden Informationen ausschließlich um anlassbezogene Qualitätsprüfungen, nicht um routinemäßige Qualitätsprüfungen. Entsprechend den o. a. Grundsätzen habe ich keine Bedenken dagegen, dass sich die Qualitätsprüfung wie gesetzlich vorgesehen auch auf die Abrechnungen erstreckt und der Vertreter der betroffenen Pflegekasse oder des Verbandes der Pflegekassen in diesem Zusammenhang in die Pflegedokumentation Einsicht nimmt und evtl. Abrechnungsauffälligkeiten z. B. durch Vergleich der Pflegedokumentation mit den Rechnungen feststellt, also z. B. überprüft, ob eine abgerechnete Leistung tatsächlich erbracht wurde.
Vom Gesetzgeber nicht explizit geregelt ist die weitere Verfahrensweise, wenn im Rahmen einer Qualitätsprüfung Anhaltspunkte für Falschabrechnungen oder Abrechnungsbetrug ersichtlich werden.
Soweit im Rahmen einer solchen anlassbezogenen Qualitätsprüfung nach § 112 SBG XI konkrete Anhaltspunkte für einen Abrechnungsbetrug festgestellt werden und die weitere Aufklärung des Sachverhalts sowie eine Beweissicherung ausschließlich unter Zuhilfenahme der Pflegedokumentation durchgeführt werden kann, habe ich keine Bedenken dagegen, dass die Pflegedokumentation im jeweils erforderlichen Umfang kopiert und von dem Vertreter der betroffenen Pflegekassen für diese Zwecke mitgenommen wird. Die Originaldokumentation ist umgehend zurückzugeben.
Die Pflegedokumentation beinhaltet umfangreiche, sensitive persönliche Daten des Betroffenen. Nach der gesetzlichen Regelung ist die Pflegedokumentation keine Abrechnungsunterlage i. S. d. § 105 SBG XI. Es besteht daher auch keine rechtliche Grundlage, die eine routinemäßige Weitergabe der Pflegedokumentation an die Pflegekasse erlauben würde. Da jedoch im Einzelfall eine Einsichtnahme in die Pflegedokumentation durch den Vertreter der betroffenen Pflegekasse oder des Verbandes zur Abrechnungsprüfung zulässig ist und sich im Rahmen der Prüfung vor Ort konkrete Anhaltspunkte für einen Abrechnungsbetrug ergeben können, kann es nicht das Ziel der gesetzlichen Regelung sein, eine weitere Durchführung der Abrechnungsprüfung einschließlich der notwendigen Beweissicherung unmöglich zu machen. Die Durchführung der Abrechnungsprüfung muss abgeschlossen werden können mit der Konsequenz, dass Verfehlungen im Zusammenhang mit der Abrechnung ggf. zivilrechtlich und/oder strafrechtlich verfolgt werden. Wie die AOK Hessen mehrfach mir gegenüber schriftlich und mündlich dargelegt hat, ist eine abschließende Klärung des Sachverhalts und eine Beweissicherung vor Ort nicht immer möglich.
5.7.2.3
Vorgaben für den weiteren Umgang mit den Pflegedokumentationen bei der Pflegekasse
Von dieser Position unberührt bleibt die Feststellung, dass die Pflegedokumentation keine Abrechnungsunterlage i. S. d. § 105 SBG XI darstellt. Dies hat zur Folge, dass die Verwendung der Pflegedokumentation durch den Vertreter der Pflegekasse nur zweckgebunden für die konkrete Überprüfung der Anhaltspunkte für Falschabrechnung und/oder Abrechnungsbetrug zulässig ist und durch geeignete technische und organisatorische Maßnahmen sicherzustellen ist, dass die Unterlage vernichtet wird, soweit bzw. sobald sie für die korrekte Überprüfung nicht mehr benötigt wird.
5.7.2.4
Maßnahmen der AOK Hessen zum datenschutzgerechten Umgang der Pflegedokumentationen
Von den Mitarbeitern meiner Dienststelle wurde zusammen mit der AOK zunächst ein Arbeitsablauf konzipiert, der detailgenau das Verfahren beschreibt, das zur temporären Speicherung der Unterlagen bei der zuständigen Ermittlungsgruppe der AOK führt. Der Arbeitsablauf wird jedem zuständigen Mitarbeiter ausgehändigt und ist bindend. Zusätzlich ist das mehrseitige Papier im hausinternen Intranet der AOK publiziert. Es enthält zunächst einige grundsätzliche rechtliche Anmerkungen, die ich bereits unter der Ziff. 5.7.2.1 dargelegt habe.
5.7.2.4.1
Kopie der Pflegedokumentation – Übergabe- und Rückgabeprotokoll
Ausschließlich dann, wenn im Rahmen einer Qualitätsprüfung bei den stichprobenhaften Abrechnungsprüfungen Auffälligkeiten festgestellt werden, kann das die Kopie der Unterlage rechtfertigen. Die Originalunterlagen werden soweit erforderlich durch den Prüfer mitgenommen. Hierüber wird ein Protokoll gefertigt, in dem wesentliche organisatorische Inhalte wie z. B. Name des Pflegedienstes, Name des Patienten sowie der inhaltliche Umfang der ausgehändigten Unterlagen festgehalten wird. Beide Parteien unterschreiben das Papier. Von der zentralen Ermittlungsgruppe der AOK werden anschließend die Kopien gefertigt.
Ebenfalls protokolliert und quittiert wird die Rückgabe der Unterlagen an den Pflegedienst. Dies erfolgt persönlich durch Mitarbeiter der AOK.
5.7.2.4.2
Eintrag in eine Datentabelle
Um zu jedem Zeitpunkt den Aufbewahrungsort der Dokumentationen nachvollziehen zu können, werden die Inhalte des Übergabeprotokolls in eine Tabelle eingetragen. So kann ad hoc festgestellt werden, ob sich die gesuchte Akte z. B. im Archiv, in der laufenden Bearbeitung oder bei der Staatsanwaltschaft befindet oder ob die Vernichtung erfolgte, weil es eine Einigung mit dem Pflegedienst gegeben hatte bzw. offene Forderungen der Pflegekasse beglichen wurden.
Zusätzlich führt die AOK eine "Gesamttabelle", die über das gesamte Kalenderjahr hinweg einen Überblick über sämtliche überprüfte Unterlagen vermittelt.
5.7.2.4.3
Auswertung
Die Auswertung erfolgt grundsätzlich bei der Ermittlungsgruppe der AOK, die in Rüdesheim angesiedelt ist. Neben den zuständigen Prüfern der AOK haben sonst keine weiteren Personen Zugriff auf die Unterlagen. Die Auswertung erfolgt manuell. Eine elektronische Erfassung der Unterlagen wird nicht vorgenommen.
5.7.2.4.4
Lagerung der Unterlagen
Nach Abschluss ggf. erfolgter Gespräche über finanzielle Rückforderungen mit dem Pflegedienst bzw. bis zum vollständigen Ausgleich zurückgeforderter Beträge werden die Unterlagen nebst Prüf- und Auswertungsberichten im Archiv in Rüdesheim aufbewahrt. Zugang zum Archiv haben ausschließlich befugte Mitarbeiter des zuständigen Fachbereichs der Pflegekasse der AOK.
Um jederzeit die Revisionsfähigkeit der gelagerten Unterlagen sicherstellen zu können, wird eine Archiv-Liste geführt, in der auch längerfristige Einlagerungen (z. B. im Zusammenhang mit Gerichtsverfahren) protokolliert werden.
5.7.2.4.5
Vernichtung der Unterlagen
Grundsätzlich sind die kopierten Unterlagen zum frühestmöglichen Zeitpunkt zu vernichten. Dies kann dann sein, wenn sich
Der Ort und Zeitpunkt der Vernichtung wird protokolliert und dem betroffenen Pflegedienst zur Kenntnis gegeben.
Die ebenso eindeutigen wie detaillierten Regelungen zum Umgang mit kopierten Pflegedokumentationen durch die Pflegekasse sind nicht nur im Interesse des Kostenträgers, sondern berücksichtigen ebenso die berechtigten Interessen sowohl der Pflegebedürftigen selbst als auch der Pflegedienste.
Bei Kopflausbefall schreibt das Infektionsschutzgesetz eine namentliche Meldung betroffener Kinder an das zuständige Gesundheitsamt vor. Die Behörde kann nach Ansicht des Sozialministeriums aber keine weiteren Maßnahmen treffen, weil es keine Regelungen zur weiteren Verwendung der Personendaten gibt. Damit entsteht ein "Datenfriedhof" in den Ämtern, dessen Sinnhaftigkeit bezweifelt werden muss.
5.7.3.1
Personenbezogene Meldung von Kopflausfällen nach dem Infektionsschutzgesetz
Auch im abgelaufenen Berichtszeitraum habe ich mich aufgrund von Beschwerden mit der Datenübermittlung personenbezogener Daten an das Gesundheitsamt befasst. Im konkreten Fall ging es um die Frage, ob und wenn ja, welche Daten Kindertagesstätten im Zusammenhang mit dem Auftreten von Kopflausbefall zu melden haben. Nach §§ 33, 34 des Gesetzes zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (Infektionsschutzgesetz – IfSG) vom 20. Juli 2000 (BGBl. I S. 1045), zuletzt geändert durch Art. 57 der Verordnung vom 31. Oktober 2006 (BGBl. I S. 2407) ist die Leitung der Gemeinschaftseinrichtung verpflichtet, das zuständige Gesundheitsamt unverzüglich zu benachrichtigen und krankheits- und personenbezogene Angaben zu machen.
|
§ 33 IfSG Gemeinschaftseinrichtungen im Sinne dieses Gesetzes sind Einrichtungen, in denen überwiegend Säuglinge, Kinder oder Jugendliche betreut werden, insbesondere Kinderkrippen, Kindergärten, Kindertagesstätten, Kinderhorte, Schulen oder sonstige Ausbildungseinrichtungen, Heime, Ferienlager und ähnliche Einrichtungen.
§ 34 Abs. 1 IfSG Personen, die ...verlaust sind, dürfen in den in § 33 genannten Gemeinschaftseinrichtungen keine Lehr-, Erziehungs-, Pflege-, Aufsichts- oder sonstige Tätigkeiten ausüben....Satz 1 gilt entsprechend für die in der Gemeinschaftseinrichtung Betreuten mit der Maßgabe, dass sie die dem Betrieb der Gemeinschaftseinrichtung dienenden Räume nicht betreten, Einrichtungen der Gemeinschaftseinrichtung nicht benutzen und an Veranstaltungen der Gemeinschaftseinrichtung nicht teilnehmen.
§ 34 Abs. 5 IfSG Wenn einer der in den Absätzen 1, 2 oder 3 genannten Tatbestände bei den in Absatz 1 genannten Personen auftritt, so haben diese Personen oder in den Fällen des Absatzes 4 der Sorgeinhaber der Gemeinschaftseinrichtung hiervon unverzüglich Mitteilung zu machen.
§ 34 Abs. 6 IfSG Werden Tatsachen bekannt, die das Vorliegen einer der in den Absätzen 1, 2 oder 3 aufgeführten Tatbestände annehmen lassen, so hat die Leitung der Gemeinschaftseinrichtung das zuständige Gesundheitsamt unverzüglich zu benachrichtigen und krankheits- und personenbezogene Angaben zu machen... |
5.7.3.2
Befugnisse des Gesundheitsamtes
Nach Rechtsauffassung des Hessischen Sozialministeriums, die in einem "IfSG-Leitfaden" für Kinderbetreuungsstätten und Schulen in Hessen dokumentiert ist, kommt neben einem Besuchsverbot nach § 17 IfSG nur die Anordnung der Entwesung der mit Läusen und Nissen verunreinigten Räume und Gegenstände durch das zuständige Gesundheitsamt in Betracht. Für andere, weiterführende Maßnahmen enthalte das IfSG keine Rechtsgrundlage.
5.7.3.3
Was macht das Gesundheitsamt mit den personenbezogenen Daten der Kinder?
Festzustellen bleibt, dass es für die personenbezogene Datenübermittlung an das Gesundheitsamt eine klare gesetzliche Regelung im § 34 Abs. 6 IfSG gibt. Die Konsequenzen aus der Meldung des Kopflausbefalls, die nunmehr – entgegen den alten Regelungen des Bundesseuchengesetzes – mit personenbezogenen Angaben an das Gesundheitsamt zu erfolgen hat, sind jedoch unklar. Folgt man der im "Leitfaden" dargelegten Ansicht des Sozialministeriums, dass die Gesundheitsämter keine weiteren Maßnahmen ergreifen können, also nicht im Wege z. B. einer Beratung oder Kontrolle bei den Betroffenen vorstellig werden dürfen, muss die Sinnhaftigkeit der Datenübermittlung insgesamt hinterfragt werden.
Ebenfalls unklar sind die Speicherfristen für derartige Meldungen. Die zulässige Übermittlung führt zunächst einmal zu einer – ebenfalls zulässigen – Speicherung der Daten. Deren Dauer ist nicht im IfSG geregelt, denn es enthält keine Aufbewahrungs- bzw. Speicherfrist für die personenbezogenen Daten der Kinder und Eltern. Dies kann aber nicht zur Konsequenz haben, dass die Daten über einen unbestimmten Zeitraum hinweg gespeichert bleiben. Einer unbefristeten Speicherung stehen die allgemeinen Regelungen des HDSG entgegen, wonach die Erforderlichkeit der Datenspeicherung den Zeitpunkt der Löschung bestimmt. Sind die Daten also nach der Übermittlung zur rechtmäßigen Aufgabenerfüllung nicht mehr erforderlich, müssen sie gelöscht werden.
|
§ 19 Abs. 3 HDSG Personenbezogene Daten sind unverzüglich zu löschen, sobald feststeht, dass ihre Speicherung nicht mehr erforderlich ist, um die Zwecke zu erfüllen, für die sie erhoben worden sind oder für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen. Wenn bei der Speicherung nicht absehbar ist, wie lange die Daten benötigt werden, ist nach einer aufgrund der Erfahrung zu bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Satz 1 findet keine Anwendung, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden. |
Wenn nach der Übermittlung entsprechend der Aussage des Sozialministeriums keine weiteren Maßnahmen des Gesundheitsamtes erfolgen dürfen, weil es dafür keine Rechtsgrundlage im IfSG gibt, ist eine Aufbewahrung der Daten nicht erforderlich. Die personenbezogenen Daten wären folglich zu löschen. Auch das stellt den Sinn der Datenübermittlung an sich in Frage.
5.7.3.4
Weitere Vorgehensweise
Es erscheint deshalb erforderlich, neben der besonderen Befugnisnorm zur personenbezogenen Übermittlung der Daten betroffener Kinder klare Regelungen zu treffen, in welcher Weise diese Daten durch das Gesundheitsamt verwendet werden sollen. Das bloße Speichern der Informationen lässt Zweifel an der Erforderlichkeit hierfür aufkommen. Eine sinnvolle Regelung setzt voraus, dass die speichernde Stelle, also das Gesundheitsamt, die Daten zur Aufgabenerfüllung tatsächlich benötigt. Deshalb sollten ggf. konkrete Maßnahmen, zu denen das Gesundheitsamt befugt ist, festgelegt werden. In diesem Zusammenhang ist auch die Speicherdauer der Daten zu beurteilen und es sind dazu entsprechende Regelungen zu treffen.
Soll das Gesundheitsamt nicht weiter tätig werden, muss sowohl die Datenübermittlung als auch die Zulässigkeit einer Speicherung grundsätzlich in Frage gestellt werden.
Um möglichen Missverständnissen vorzubeugen: eine effektive Bekämpfung des sich derzeit in der Ausbreitung befindlichen Kopflausbefalls, insbesondere in Kindertagesstätten, soll nicht in Frage gestellt werden. Zur Diskussion steht jedoch eine eindeutige und nachvollziehbare gesetzliche Regelung, welche sowohl den Interessen der Betroffenen als auch der für die Bekämpfung zuständigen Behörde Rechnung trägt. Deshalb habe ich das Sozialministerium eingeschaltet und um eine Stellungnahme zu dieser Problematik gebeten.
Die Übermittlung von Versichertendaten der AOK Hessen mit medizinischen Inhalten an Versand-Apotheken war wegen der fehlenden bzw. unvollständigen Einwilligung der Versicherten in die Datenübermittlung unzulässig.
5.7.4.1
Service für die Versicherten
Durch eine Beschwerde des Hessischen Apotheker-Verbandes bin ich auf die Verfahrensweise der AOK aufmerksam geworden. Die AOK Hessen hatte durch die zielgerichtete Auswertung ihres Versicherungsbestandes Versicherte ermittelt, die an Diabetes Mellitus erkrankt sind. Unter Verwendung eines Gesprächsleitfadens informierten zunächst Beschäftigte des eigenen Call-Centers, schließlich eine eigene Mitarbeitergruppe innerhalb der Fachabteilung diese Versicherten über Möglichkeiten einer preiswerten medizinischen Versorgung. Insbesondere wurde auf mögliche finanzielle Vorteile bei der Bestellung von medizinischen Produkten bei Versand-Apotheken hingewiesen. Zum Schluss wurden Versicherte nach ihrem Einverständnis zur Übermittlung der Adresse an die Versand-Apotheken gefragt und ein entsprechender Vermerk in den elektronisch zur Verfügung gestellten Versichertendatensatz eingestellt. Diese Datensätze wurden hernach geprüft und die Daten der Versicherten, die einer Übermittlung ihrer Adresse zugestimmt hatten, in einer gesonderten Tabelle hinterlegt.
5.7.4.2
Nicht nur Adressdaten wurden übermittelt
Die Einholung der mündlichen Einwilligung in eine Datenübermittlung war in diesem Fall zunächst unproblematisch. Durch die zur Verfügung gestellten Informationen, die sich aus einem Gesprächsleitfaden ergaben, den die eingesetzten Mitarbeiter der AOK benutzten, war der Versicherte hinreichend über die Art und den Inhalt der zu seiner Person vorgesehenen Datenübermittlung an die Apotheken aufgeklärt. Allerdings unterlief der AOK dabei ein Fehler: Neben den reinen Adressdaten der damit einverstandenen Versicherten wurde zudem die Diabetiker-Eigenschaft an die Versand-Apotheken übermittelt. Das war in dieser Form mit den Betroffenen nicht abgestimmt. Hinzu kam, dass es sich in diesem Kontext um die Übermittlung medizinischer Daten handelte, mithin um sensitive Daten, für die ein hohes Datenschutzniveau einzuhalten ist.
5.7.4.3
Auch das Verfahren der Datenübermittlung war mangelhaft
Die AOK übermittelte die in einer "Excel-Datei" zusammengespielten Daten der Versicherten (also Name und Anschrift) an Versand-Apotheken, die mit ihr einen Vertrag abgeschlossen hatten. Die Übermittlung der Excel-Datei erfolgte als Anhang zu einer E-Mail. Zusätzlich wurde der Apotheke telefonisch mitgeteilt, dass es sich um Diabetiker handelt, damit den Versicherten spezielle Informationen und Angebote übermittelt werden konnten.
Eine Verschlüsselung der auf elektronischem Weg übermittelten Informationen erfolgte nicht. Da eine E-Mail ohne großen technischen Aufwand von Unbefugten eingesehen werden kann, auf ihrem Weg vom Sender zum Empfänger nicht nachvollziehbare elektronische Strecken bis zum Server des Empfängers zurücklegt und dabei technisch auch eine Zwischenspeicherung auf anderen Servern nicht ausgeschlossen werden kann, muss eine nach dem derzeitigen Stand der Technik verfügbare Verschlüsselungssoftware eingesetzt werden. Eine E-Mail ist klassisch vergleichbar einer Postkarte, deren Inhalte grundsätzlich von jedem, der diese Karte in die Hand bekommt, zur Kenntnis genommen werden kann. Der nicht verschlüsselte Anhang der E-Mail-Sendungen der AOK an die Versand-Apotheken konnte demnach also auch von Unbefugten potenziell geöffnet und gelesen werden.
5.7.4.4
Beschwerde des Apotheker-Verbandes und Maßnahmen des HDSB
Die Beschwerde des Hessischen Apotheker-Verbandes hat mich auf die problematische Verfahrensweise der AOK aufmerksam gemacht. Ein Mitarbeiter meiner Dienststelle hat daraufhin unverzüglich die zuständige Stelle der AOK in Eschborn aufgesucht und den Sachverhalt recherchiert.
Aus datenschutzrechtlicher Sicht bestehen grundsätzlich keine Bedenken dagegen, dass die AOK aufgrund einer Einwilligung ihren Versicherten die Möglichkeit einer preiswerten medizinischen Versorgung eröffnet. Soweit hiermit eine Übermittlung personenbezogener Versichertendaten verbunden ist, sollte jedoch von der AOK eine strikt auf die von den Versicherten gewünschten Zwecke begrenzte Verwendung der Daten durch den Empfänger sichergestellt werden.
In dem Vertrag mit den Versand-Apotheken war zwar eine zweckgebundene Verwendung der Daten, aber nicht deren unverzügliche Löschung nach dem Versand der Informationsschreiben geregelt. Nach der Bewertung des Sachverhaltes hatte ich die AOK aufgefordert sicherzustellen, dass
5.7.4.5
Maßnahmen der AOK Hessen
Die AOK hat unverzüglich reagiert und die von mir unter der Ziff. 5.7.4.4 geforderten Maßnahmen umgesetzt. Der Gesprächsleitfaden wurde ergänzt und die Übermittlung durch kennwortgeschützte, komprimierte Dateien sichergestellt. Die Löschung der Adressdaten wurde schriftlich bestätigt. Da die Umsetzung der Maßnahmen unmittelbar realisiert wurde, habe ich von einer förmlichen Beanstandung abgesehen.
Der spezielle kinder- und jugendhilferechtliche Datenschutz hat eine die Förderung des Kindeswohls unterstützende Funktion.
Ein Kreisjugendamt hat um Informationen gebeten, welche Rolle der Datenschutz einnimmt, wenn das Kreisjugendamt, insbesondere auch in Kooperation mit anderen Stellen, zugunsten des Kindeswohls tätig sein will.
Was das Kindeswohl betrifft, ist Ausgangspunkt Art. 6 Abs. 2 Satz 1 GG; diese Vorschrift vertraut das Kindeswohl primär den Eltern an.
Bei der Pflege und Erziehung der Kinder kann es zu Defiziten kommen, wenn die Eltern ihrer verfassungsrechtlichen Pflicht nur unzureichend nachkommen. Deshalb hat der Staat im Hinblick auf das Kindeswohl die sog. "Wächterfunktion", die in Art. 6 Abs. 2 Satz 2 GG verankert ist.
|
Art. 6 Abs. 2 GG Pflege und Erziehung der Kinder sind das natürliche Recht der Eltern und die zuvörderst ihnen obliegende Pflicht. Über ihre Betätigung wacht die staatliche Gemeinschaft. |
Das Kindeswohl zu sichern ist das Hauptanliegen des Kinder- und Jugendhilfegesetzes (KJHG, SBG VIII). Diesem Ziel dienen auch die spezifischen Datenschutzvorschriften des SGB VIII (§§ 61 ff.). Datenverarbeitung zugunsten des Kindeswohls ist grundsätzlich zulässig. Werden im Rahmen des Kindeswohlschutzes Daten der Eltern verarbeitet, ist deren Recht auf informationelle Selbstbestimmung betroffen, das Verfassungsrang hat (Art. 1 Abs. 1 i. V. m. Art. 2 Abs. 1 GG). Auch insoweit geht es also um Datenschutz, und es kann hier zu Konflikten mit dem Kindeswohl kommen. Priorität hat unter Beachtung der "praktischen Konkordanz" in diesem Zusammenhang das Kindeswohl, was sich sehr deutlich in § 8a SGB VIII widerspiegelt.
|
§ 8a SGB VIII (1) Werden dem Jugendamt gewichtige Anhaltspunkte für die Gefährdung des Wohls eines Kindes oder Jugendlichen bekannt, so hat es das Gefährdungsrisiko im Zusammenwirken mehrerer Fachkräfte abzuschätzen. Dabei sind die Personensorgeberechtigten sowie das Kind oder der Jugendliche einzubeziehen, soweit hierdurch der wirksame Schutz des Kindes oder des Jugendlichen nicht infrage gestellt wird. Hält das Jugendamt zur Abwendung der Gefährdung die Gewährung von Hilfen für geeignet und notwendig, so hat es diese den Personensorgeberechtigten oder den Erziehungsberechtigten anzubieten. (2) In Vereinbarungen mit den Trägern von Einrichtungen und Diensten, die Leistungen nach diesem Buch erbringen, ist sicherzustellen, dass deren Fachkräfte den Schutzauftrag nach Abs. 1 in entsprechender Weise wahrnehmen und bei der Abschätzung des Gefährdungsrisikos eine insoweit erfahrene Fachkraft hinzuziehen. Insbesondere ist die Verpflichtung aufzunehmen, dass die Fachkräfte bei den Personensorgeberechtigten oder den Erziehungsberechtigten auf die Inanspruchnahme von Hilfen hinwirken, wenn sie diese für erforderlich halten, und das Jugendamt informieren, falls die angenommenen Hilfen nicht ausreichend erscheinen, um die Gefährdung abzuwenden. (3) Hält das Jugendamt das Tätigwerden des Familiengerichts für erforderlich, so hat es das Gericht anzurufen; dies gilt auch, wenn die Personensorgeberechtigten oder die Erziehungsberechtigten nicht bereit oder in der Lage sind, bei der Abschätzung des Gefährdungsrisikos mitzuwirken. Besteht eine dringende Gefahr und kann die Entscheidung des Gerichts nicht abgewartet werden, so ist das Jugendamt verpflichtet, das Kind oder den Jugendlichen in Obhut zu nehmen. (4) Soweit zur Abwendung der Gefährdung das Tätigwerden anderer Leistungsträger, der Einrichtungen der Gesundheitshilfe oder der Polizei notwendig ist, hat das Jugendamt auf die Inanspruchnahme durch die Personensorgeberechtigten oder die Erziehungsberechtigten hinzuwirken. Ist ein sofortiges Tätigwerden erforderlich und wirken die Personensorgeberechtigten oder die Erziehungsberechtigten nicht mit, so schaltet das Jugendamt die anderen zur Abwendung der Gefährdung zuständigen Stellen selbst ein. |
§ 8a SGB VIII betont also den Vorrang des Kindeswohls, selbst wenn das zur Beeinträchtigung der Elternrechte führt.
Ich habe das Kreisjugendamt in diesem Sinne beraten.
Unfallversicherungsträger haben keinen Anspruch auf Übersendung krankenhausärztlicher Entlassungsberichte, soweit gesetzlich nur ein Auskunftsanspruch vorgesehen ist.
Zwischen einem Unfallversicherungsträger und einem Krankenhaus gab es eine heftige Kontroverse darüber, ob die in § 203 SGB VII (Gesetzliche Unfallversicherung) geregelte Auskunftspflicht von Ärzten so weit reichen kann, dass dem Unfallversicherungsträger der krankenhausärztliche Entlassungsbericht zu übersenden ist. Mir wurde die Angelegenheit zur datenschutzrechtlichen Würdigung vorgelegt.
In § 203 SGB VII ist ausdrücklich nur eine Auskunftspflicht von Ärzten gegenüber Unfallversicherungsträgern normiert.
|
§ 203 Abs. 1 SBG VII Ärzte ... sind verpflichtet, dem Unfallversicherungsträger auf Verlangen Auskunft über die Behandlung, den Zustand sowie über Erkrankungen und frühere Erkrankungen des Versicherten zu erteilen, soweit dies für die Heilbehandlung und die Erbringung sonstiger Leistungen erforderlich ist. Der Unfallversicherungsträger soll Auskunftsverlangen zur Feststellung des Versicherungsfalls auf solche Erkrankungen oder auf solche Bereiche von Erkrankungen beschränken, die mit dem Versicherungsfall in einem ursächlichen Zusammenhang stehen können. |
Mit dem vom Unfallversicherungsträger gegebenen Hinweis auf den in § 20 SBG X angeordneten Untersuchungsgrundsatz lässt sich die in § 203 SBG VII nur verfügte Auskunftspflicht nicht zu einer Herausgabepflicht des krankenhausärztlichen Entlassungsberichts "verdichten". Denn rechtssystematisch gilt, dass die spezielle Norm der generellen vorgeht. Das bedeutet hier: Der allgemeine sozialverwaltungsverfahrensrechtliche Untersuchungsgrundsatz tritt hinsichtlich des Informationsflusses zwischen Ärzten und Unfallversicherungsträgern hinter den speziellen § 203 SBG VII zurück, der eben nur eine Auskunftspflicht und keine Pflicht zur Herausgabe des Entlassungsberichts anordnet.
Verweigert somit der Unfallversicherungsträger gegenüber dem Versicherten den Erlass eines begünstigenden Verwaltungsaktes schon allein deshalb, weil der krankenhausärztliche Entlassungsbericht nicht übersendet wird, dann ist dieses Verwaltungshandeln des Unfallversicherungsträgers rechtswidrig. Rechtmäßig ist allein das Anfordern der erforderlichen Informationen, und genau hierauf bezieht sich die in § 203 SBG VII verfügte ärztliche Auskunftspflicht.
Kommt es zu einer sozialgerichtlichen Auseinandersetzung, hat das Sozialgericht zu überprüfen, ob ärztlicherseits der Auskunftspflicht gemäß § 203 SBG VII Genüge getan wurde. Falls es in der sozialgerichtlichen Praxis vorkommen sollte, den Entlassungsbericht zum Gegenstand des Rechtsstreits zu machen, wäre das mit § 203 SBG VII kaum zu vereinbaren. Jedenfalls würde eine solche sozialgerichtliche Praxis es nicht rechtfertigen, wenn der Unfallversicherungsträger schon im vorprozessualen Stadium unter Verstoß gegen § 203 SBG VII auf der Übersendung des Entlassungsberichts besteht. Die Rechtmäßigkeit einer solchen Verwaltungspraxis lässt sich auch nicht daraus herleiten, dass eine andere Verfahrensweise, also die Erteilung von Auskünften nach § 203 SBG VII, dem Unfallversicherungsträger "bisher völlig fremd" war.
Ich habe das Krankenhaus über die Rechtslage informiert und den Unfallversicherungsträger gebeten, seine Praxis zukünftig an § 203 SBG VII auszurichten.
Ohne Einwilligung des Betroffenen ist es nicht zulässig, Sozialdaten zu Zwecken der Durchführung eines Disziplinarverfahrens zu übermitteln.
Im Rahmen eines Disziplinarverfahrens nach der Hessischen Disziplinarordnung forderte der Untersuchungsführer die Übermittlung von Sozialdaten von der Deutschen Rentenversicherung – Hessen –, was diese ablehnte. Daraufhin erbat der Untersuchungsführer von mir Rechtsauskunft zu der Frage, ob er kraft des Disziplinarrechts die Übermittlung von Sozialdaten des Betroffenen beanspruchen kann.
Zwar schreibt § 17 HDO, auf den der Untersuchungsführer hinwies, vor, dass alle Gerichte und Verwaltungsbehörden in Disziplinarsachen dem Untersuchungsführer Rechts- und Amtshilfe zu leisten haben.
In den allgemeinen Vorschriften zum Sozialdatenschutz wird jedoch geregelt, dass im Verhältnis zum Sozialdatenschutz die Regelungen zur Amtshilfe nachrangig sind (§ 37 Satz 3 SBG I), § 67d SBG X, der sich speziell mit den Übermittlungsgrundsätzen bei Sozialdaten befasst, ordnet die ausschließliche Maßgeblichkeit des Sozialrechts bei der Übermittlung von Sozialdaten an.
| § 67d Abs. 1 SGB X Eine Übermittlung von Sozialdaten ist nur zulässig, soweit eine gesetzliche Übermittlungsbefugnis nach den §§ 68 bis 77 oder nach einer anderen Rechtsvorschrift in diesem Gesetzbuch vorliegt. |
Die Durchsicht der §§ 68 ff. SBG X, insbesondere auch des § 71 SBG X, der die Übermittlung für die Erfüllung besonderer gesetzlicher Pflichten und Mitteilungsbefugnisse betrifft, und des § 73 SBG X, der die Übermittlung für die Durchführung eines Strafverfahrens zulässt, hat jedoch das Resultat, dass eine Übermittlung zu Zwecken der Durchführung eines Disziplinarverfahrens gesetzlich gerade nicht vorgesehen ist. Dies hat zur Konsequenz, dass eine Übermittlung nur dann zulässig wäre, wenn der Betroffene vorher eingewilligt hat (§ 67d Abs. 1 SBG X).
Über diese Rechtslage habe ich den Untersuchungsführer informiert. Mittlerweile ist unter Aufhebung der HDO das Hessische Disziplinargesetz
(HDG) vom 21. Juli 2006 in Kraft getreten (GVBl. I S. 394). An der Vorrangigkeit des Sozialdatenschutzrechts hat sich freilich nichts geändert.
Auch in diesem Jahr lag ein Schwerpunkt meiner Arbeit in der Begleitung der Einführung der Personalverwaltungssoftware SAP R/3 HR in der hessischen Landesverwaltung und dabei in erster Linie bei der Beurteilung der rechtlichen Zulässigkeit von Änderungsanträgen zur Anpassung der Software an die Bedingungen der Landesverwaltung. Außerdem habe ich eine nicht geringe Anzahl von Konzepten zur Weiterentwicklung datenschutzrechtlich bewertet und die Entwickler beraten.
Die im Rahmen der NVS durchgeführten organisatorischen Änderungen in der Landesverwaltung und die gleichzeitige Einführung der Personalverwaltungssoftware SAP R/3 HR erfordert es, die Software immer wieder anzupassen. Je mehr Dienststellen ihre Personaldaten in das System eingepflegt haben, desto mehr Auswirkungen, auch in datenschutzrechtlicher Hinsicht, hatte jede beantragte Änderung. Ebenso waren auch die zu begutachtenden konzeptionellen Weiterentwicklungen zunehmend umfangreicher.
5.9.1.1
Prüfung und Beratung in konzeptionellen Fragen
Ich möchte an dieser Stelle nur einige der von mir datenschutzrechtlich bewerteten und geprüften Konzepte anführen. Über deren Inhalt kann ich nicht konkreter und ausführlicher berichten, weil die teilweise sehr technischen und komplexen Fragestellungen im Rahmen dieses Tätigkeitsberichts nicht so dargestellt werden können, dass sie ohne detaillierte Kenntnisse der verwaltungstechnischen Erfordernisse und der technischen Rahmenbedingungen der Software SAP R/3 HR allgemeinverständlich sind.
Im Einzelnen wurden mir folgende Konzepte vorgelegt:
– Konzept für die SAP-Veranstaltungsmanagement-Korrespondenz
Es war die Frage zu klären, inwieweit den Mitarbeiterinnen und Mitarbeitern im Veranstaltungsmanagement in datenschutzrechtlich zulässiger Weise eine Download-Berechtigung gegeben werden kann.
Mit einer Download-Berechtigung kann praktisch jede Standardauswertung im SAP R/3 HR-System auf den PC des Berechtigten heruntergeladen und dort – auch für andere Zwecke – weiterverarbeitet werden. Deshalb ist die Vergabe dieser Berechtigung im Hinblick auf ihre Erforderlichkeit für die Aufgabenstellung kritisch zu prüfen. Aus Datenschutzsicht sind solche Berechtigungen restriktiv zu handhaben.
Nach dem Konzept können die Mitarbeiterinnen und Mitarbeiter im Veranstaltungsmanagement nur sehr eingeschränkt auf die Daten der Mitarbeiterinnen und Mitarbeiter der hessischen Landesverwaltung zugreifen. Die Download-Berechtigung benötigen sie zur Erfüllung ihrer Aufgaben, um Anwesenheitslisten aus dem System herunterzuladen und aufgrund kurzfristiger Änderungen des Teilnehmerkreises zu bearbeiten. Außerdem müssen Word-Briefe, die im System als Standardbriefe hinterlegt sind, geändert und angepasst werden. Vor dem Hintergrund dieser Aufgabenstellung habe ich dem Konzept zugestimmt.
– Berechtigungsfeinkonzept für die Sachbearbeitersuche
Es war die Frage zu klären, ob und auf welche Einzeldaten im SAP-System, unter Berücksichtigung der besonderen Zugriffsbeschränkungen auf die Daten der Bediensteten des Landesamtes für Verfassungsschutz und der Polizei, die Mitarbeiterinnen und Mitarbeiter der Telefonzentrale der Hessischen Bezügestelle (HBS) zugreifen dürfen, um Anrufer direkt an die für sie in der HBS zuständigen Bediensteten weitervermitteln zu können. Ebenso sind diese Daten für die direkte Weiterleitung der eingehenden Post an die jeweils für die Sachbearbeitung zuständigen Bediensteten notwendig.
Die Sachbearbeitersuche wurde nach meiner Beratung so eingerichtet, dass die Mitarbeiterinnen und Mitarbeiter der Telefonzentrale und der Posteingangsstelle der HBS nur den Vornamen und den Nachnamen der im SAP-System gespeicherten Bediensteten der Landesverwaltung und den für sie zuständigen Sachbearbeiter der HBS einsehen können.
Die zur Suche des jeweiligen Datensatzes notwendigen Merkmale wurden in Absprache mit mir auf das unbedingt notwendige Maß reduziert. Somit wurde sichergestellt, dass in der Telefonzentrale und der Posteingangsstelle der HBS keine Auswertungen über alle Bediensteten von bestimmten Behörden erstellt werden können.
Es kann nur direkt über die Personalnummer oder über die Feldkombinationen Name, Vorname oder Name, Geburtsdatum gesucht werden, so dass davon ausgegangen werden kann, dass nur der gesuchte Datensatz direkt angezeigt wird.
– Konzeption für den Einsatz des Verfahrens IZEMA
IZEMA ist das bei der hessischen Polizei eingesetzte Zeitmanagementsystem zur Erstellung der Schicht- und Arbeitszeitplanung. Das System erfasst und verarbeitet die An- und Abwesenheitsdaten der Bediensteten und übergibt die abrechnungsrelevanten Zeiten über eine entsprechende Schnittstelle in das Abrechnungsverfahren im SAP-System.
Das Konzept wurde in Zusammenarbeit mit mir dahingehend angepasst, dass nur die Daten gespeichert und verarbeitet werden, die zur Erstellung der Schicht- und Arbeitszeitpläne sowie der Erfassung der An- und Abwesenheitsdaten tatsächlich notwendig sind.
Weiterhin wurden umfangreiche Änderungen im Berechtigungskonzept vorgenommen, sodass sichergestellt ist, dass nur die Bediensteten selbst bzw. die für die Erstellung der Schicht- und Arbeitszeitpläne zuständigen Mitarbeiterinnen und Mitarbeiter der jeweiligen Polizeidienststellen auf die Daten zugreifen können.
Ebenso wurden die Auswertungsmöglichkeiten auf den zur Aufgabenerfüllung konkret notwendigen Umfang reduziert.
– Konzept für die Pensionsrückstellungen
Im SAP-System werden die für die Berechnung der Pensionsrückstellung relevanten Daten der Beamtinnen und Beamten sowie die erforderlichen Daten der Angehörigen ausgewertet und dem Hessischen Competence Center (HCC) zur Berechnung der Pensionsrückstellungen übermittelt.
Hier war insbesondere die Frage zu klären, welche Daten von Angehörigen der Beamtinnen und Beamten zur Berechnung der Pensionsrückstellung konkret notwendig sind und somit an das HCC übermittelt werden dürfen.
Strittig war die Frage, ob das Geburtsdatum der Angehörigen vollständig zur Berechnung der Pensionsrückstellung notwendig ist.
Da sowohl die beauftragte Wirtschaftsprüfungsgesellschaft als auch der Hessische Rechnungshof dies als notwendig gefordert hatten, habe ich der Übermittlung des vollständigen Geburtsdatums zugestimmt.
– Konzept für die Altersteilzeitrückstellungen
Es werden die notwendigen Daten der Bediensteten, für die eine im Rechnungswesen zu verbuchende Rückstellung für die Altersteilzeit getätigt werden muss, ausgewertet.
Ich habe das Konzept geprüft und konnte diesem ohne Änderungen zustimmen.
– Konzept "Zentraler Zugriff"
Mit diesem Konzept soll die Problematik des Zugriffs auf Personaldaten von Bediensteten nachgeordneter Behörden datenschutzgerecht gelöst werden. Über diese Problemstellung hatte ich in meinem
34. Tätigkeitsbericht (Ziff. 5.10.2.4) berichtet.
Das Thema hat mich auch in diesem Jahr intensiv beschäftigt. Die Ausprägung des sog. "Merkmals Z" im SAP-System war sehr arbeitsaufwändig. Die notwendigen Anpassungen in den Zuständigkeitsanordnungen der einzelnen Ressorts waren teilweise so unterschiedlich, dass sich die Umsetzung und die Beurteilung der sich daraus ergebenden Konsequenzen für die Hinterlegungen in den Berechtigungen als äußerst schwierig erwiesen.
Das "Merkmal Z" wurde ab der Staffel 06/2006 im System "scharf geschaltet". Die Ressortinteressenvertreter haben mich gebeten, für eine Übergangsphase zunächst in ausgesuchten Behörden die konkreten Auswirkungen auf den Dienstbetrieb testen zu können. Dem habe ich, verbunden mit der Auflage, mir die Ergebnisse der Tests mitzuteilen, zugestimmt. Dies wurde mir fest zugesagt.
Obwohl ich ständig mit dieser Thematik befasst war, habe ich bis zum Redaktionsschluss dieses Berichts keine Mitteilungen erhalten, welche Ressorts das "Merkmal Z" konsequent im System hinterlegt haben und wie konkret weiter verfahren wird, bzw. was das Ergebnis der Tests war.
Leider muss ich in diesem Fall feststellen, dass die Absprachen, die ich im Projektausschuss mit Ressortinteressenvertretern treffe, nicht eingehalten werden. Dies ist um so schwerwiegender, als gerade die Einführung des "Merkmals Z" neben der Erstellung des Berechtigungskonzepts zur Sicherstellung der datenschutzrechtlichen Anforderungen dient, dass nur die Personen und diese auch nur soweit auf Personaldaten zugreifen dürfen, wie dies zur Erfüllung ihrer Aufgaben erforderlich ist. Sollte diese Anforderung beim Einsatz SAP R/3 HR nicht konsequent umgesetzt werden, muss ich dies beanstanden.
Ich werde deshalb eine Auswertung aller Datensätze im SAP R/3 HR-System verlangen und im Einzelnen prüfen, ob die Festlegungen der neuen Zuständigkeitsanordnungen in den jeweiligen Ressorts rechtmäßig im SAP-System hinterlegt worden sind.
5.9.1.2
Freie Auswahl von SAP-Druckern
Von einer hessischen Dienststelle wurde mir eine Druckausgabe einer Jahresentgeltbescheinigung einer Bediensteten übergeben, die bei dieser Behörde nie beschäftigt war. Ich habe diese Angelegenheit sofort überprüft und festgestellt, dass von einer Bediensteten der HBS bei der Druckausgabe ein "falscher" Drucker angesteuert worden war. Dies war möglich, weil das SAP-System so eingestellt war, dass jedem Mitarbeiter der Landesverwaltung alle im SAP-System angeschlossenen Drucker zur freien Auswahl angeboten wurden.
Dieser Sachverhalt wurde in Zusammenarbeit mit der HZD und dem HCC umgehend analysiert. Das System wurde dahingehend geändert, dass jetzt nur noch die Drucker der jeweiligen Dienststellen angesteuert werden können. Somit wird konsequent verhindert, dass Druckausgaben mit hochsensiblen Abrechnungsdaten in "fremden" Dienstellen ausgedruckt werden können.
5.9.1.3
Zugriff auf Einzelabrechnungsergebnisse
Im Rahmen meiner Prüftätigkeiten habe ich festgestellt, dass die Personalkostenhochrechner von vorgesetzten Dienststellen nicht nur die "Hochrechnungsdaten" für ihren Zuständigkeitsbereich erhalten, sondern ihnen auch automatisch alle zugrunde liegenden Einzelabrechnungsergebnisse aller Mitarbeiter des nachgeordneten Bereichs übermittelt werden.
Dies ist unzulässig, weil diese Daten nicht zur Erfüllung der Aufgaben eines Personalkostenhochrechners einer übergeordneten Dienstelle notwendig sind.
Das Programm ermittelt automatisch die Personalkosten für alle im Zuständigkeitsbereich der Personalkostenhochrechner liegenden Dienststellen und deren Personal. Die Verantwortung für die Richtigkeit dieser Daten liegt eindeutig bei der Personaladministration vor Ort und bei der HBS. Eine Überprüfung der Einzelabrechnungsergebnisse durch die Personalkostenhochrechner der vorgesetzten Dienststellen halte ich nicht nur für nicht erforderlich, sondern auch für faktisch unmöglich.
Den Personalkostenhochrechnern müsste in jedem Einzelfall bekannt sein, welche Person mit welcher Vergütungsgruppe und mit welchem Arbeitszeitanteil auf der jeweiligen Stelle geführt wird. Weiterhin müssten die persönlichen Verhältnisse der Bediensteten (Familienstand, Kinderzahl usw.) konkret bekannt sein.
Dies kann nur durch die jeweils Personal führenden Dienstellen, bei denen es jeweils verantwortliche Personalkostenhochrechner gibt, analysiert und verantwortet werden. Dort werden die notwendigen Überprüfungen eigenverantwortlich vorgenommen, so dass die Personalkostenhochrechnungsergebnisse in den vorgesetzten Dienststellen nicht noch einmal personenbezogen überprüft werden müssen.
Dies wurde mir durch mehrere Personalkostenhochrechner von vorgesetzten Dienststellen bestätigt, denen die Einzelabrechnungsergebnisse zwar zur Verfügung gestellt werden, die sie aber nicht nutzen.
Ich werde diese Angelegenheit durch weitere Prüfungen vor Ort weiter untersuchen und gegebenenfalls eine Änderung des Verfahrens der Personalkostenhochrechnung verlangen.
5.9.1.4
Releasewechsel HR in der Hessischen Landesverwaltung
Seit September d. J. bin ich konkret in das Projekt Releasewechsel HR eingebunden und werde dort bis zur Umsetzung beratend mitarbeiten.
5.9.1.5
Fazit und Ausblick
Die Zusammenarbeit mit den aus der Landesverwaltung beteiligten Stellen war immer vertrauensvoll und offen. Eine Ausnahme stellt, wie oben beschrieben, die Umsetzung des "Merkmals Z" dar.
Ich werde auch im nächsten Jahr das SAP-System vor Ort prüfen um sicherzustellen, dass die datenschutzrechtlichen Rahmenbedingungen, so wie von mir geprüft und begutachtet, eingehalten werden.
Überprüfungen von Kontendatenabrufersuchen hessischer Finanzbehörden bei den Kreditinstituten haben Mängel vor allem in einer rechtsschutzfähigen Dokumentation der Erforderlichkeit sowie bei der Information der Betroffenen ergeben. Unter dem Vorsitz meiner Dienststelle wurde im Arbeitskreis Steuerverwaltung der Datenschutzbeauftragten des Bundes und der Länder ein Muster- und Maßnahme-Formular entwickelt und dem Bundesministerium für Finanzen zur Verfügung gestellt, das helfen soll, diese Mängel vor Ort abzustellen.
5.10.2
Rechtliche Grundlagen
Seit 1. April 2005 können Finanzbehörden zu eigenen Zwecken (§ 93 Abs. 7 AO) oder auf Ersuchen von anderen Behörden und Gerichten, die in ihrer Zuständigkeit Gesetze anwenden, die an Begriffe des Einkommensteuergesetzes anknüpfen (§ 93 Abs. 8 AO), über das Bundeszentralamt für Steuern (BZSt) Daten aus den von den Kreditinstituten nach § 24c Abs. 1 KWG zu führenden Dateien automatisiert abrufen, § 93b AO.
Diese von den Banken seit dem 1. April 2003 in besonderen Dateien zum Abruf bereitgestellten Daten dienten ursprünglich der Bekämpfung illegaler Finanzaktionen im Bereich Terrorismus und organisierter Kriminalität und wurden nach den Attentaten vom 11. September 2001 eingeführt. Die Verantwortung für die Zulässigkeit des Abrufs auch durch die Finanzverwaltung trägt die Finanzbehörde (im Fall des Abs. 7) sowie die ersuchende Stelle (im Fall des Abs. 8). Das BZSt darf lediglich prüfen, ob das Ersuchen plausibel ist.
|
§ 93 Abs. 7 und Abs. 8 AO (7) Die Finanzbehörde kann bei den Kreditinstituten über das Bundeszentralamt für Steuern einzelne Daten aus den nach § 93b Abs. 1 zu führenden Dateien abrufen, wenn dies zur Festsetzung oder Erhebung von Steuern erforderlich ist und ein Auskunftsersuchen an den Steuerpflichtigen nicht zum Ziele geführt hat oder keinen Erfolg verspricht. (8) Knüpft ein anderes Gesetz an Begriffe des Einkommensteuergesetzes an, soll die Finanzbehörde auf Ersuchen der für die Anwendung des anderen Gesetzes zuständigen Behörde oder eines Gerichtes über das Bundeszentralamt für Steuern bei den Kreditinstituten einzelne Daten aus den nach § 93b Abs. 1 zu führenden Dateien abrufen und der ersuchenden Behörde oder dem ersuchenden Gericht mitteilen, wenn in dem Ersuchen versichert wurde, dass eigene Ermittlungen nicht zum Ziele geführt haben oder keinen Erfolg versprechen. |
|
§ 93b AO (1) Kreditinstitute haben die nach § 24c Abs. 1 des Kreditwesengesetzes zu führende Datei auch für Abrufe nach § 93 Abs. 7 und 8 zu führen. (2) Das Bundeszentralamt für Steuern darf auf Ersuchen der für die Besteuerung zuständigen Finanzbehörden bei den Kreditinstituten einzelne Daten aus den nach Absatz 1 zu führenden Dateien im automatisierten Verfahren abrufen und sie an die ersuchende Finanzbehörde übermitteln. (3) Die Verantwortung für die Zulässigkeit des Datenabrufs und der Datenübermittlung trägt in den Fällen des § 93 Abs. 7 die ersuchende Finanzbehörde, in den Fällen des § 93 Abs. 8 die ersuchende Behörde oder das ersuchende Gericht. (4) § 24c Abs. 1 Satz 2 bis 6, Abs. 4 bis 8 des Kreditwesengesetzes gilt entsprechend. |
Die Rechtmäßigkeit eines Kontendatenabrufs kann vom zuständigen Gericht im Rahmen der Überprüfung des Steuer- bzw. Leistungsbescheids oder eines anderen Verwaltungsakts zu dessen Vorbereitung der Kontendatenabruf vorgenommen wurde oder isoliert im Wege der Leistungs- oder (Fortsetzungs-)Feststellungsklage überprüft werden. Da der Gesetzestext keine näheren Angaben zur Durchführung eines Kontendatenabrufersuchens macht, hat das Bundesministerium für Finanzen (BMF) in einem umfangreichen Anwendungserlass zu § 93 Abs. 7 und 8 AO detaillierte Ausführungsvorschriften vorgegeben. Unter Berücksichtigung dieser Konkretisierungen wurde ein einstweiliges Anordnungsverfahren gegen das Inkrafttreten der Normen zum Kontendatenabrufverfahren vor dem Bundesverfassungsgericht zurückgewiesen (BVerfG, Beschluss vom 22. März 2005 – BvR 2357/04, 1 BvQ 2/05). Die Entscheidung zur der Hauptsache über die Verfassungswidrigkeit der zugrunde liegenden Regelungen, insbesondere zu deren Normenklarheit und Verhältnismäßigkeit (s. dazu Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 2. November 2004), steht noch aus.
Derzeit bilden daher die §§ 93 Abs. 7 und 8, 93b AO zusammen mit dem Anwendungserlass (AEAO) zu § 93 AO die rechtliche Grundlage für die bundesweite Durchführung des Verfahrens.
In Hessen wurden von April 2005 bis Juni 2006 laut Auskunft des Hessischen Finanzministeriums insgesamt 1.107 Kontendatenabrufersuchen durchgeführt. Noch ist das Verfahren nicht die Regel, die Tendenz aber steigend. Die Finanzverwaltung hat (Word-)Formulare im Intranet zur Verfügung gestellt, mit denen ein Kontodatenabrufersuchen vom Mitarbeiter des Finanzamtes aktenkundig gemacht werden soll. Zukünftig ist beabsichtigt, das Abrufverfahren zu automatisieren. Zum Zeitpunkt der Prüfungen war das Verfahren noch papiergebunden und wurde auf dem Postweg abgewickelt.
In Hessen wurde der Anwendungserlass des BMF durch Rundverfügung der OFD Frankfurt für den Dienstgebrauch aufbereitet und an die Finanzämter weitergegeben. In allen geprüften Finanzämtern wurden die betroffenen Mitarbeiter in Dienstbesprechungen und mit Hausverfügungen über die anzuwendenden Grundlagen und die Verfahrensweise informiert. Dies sind im Wesentlichen:
I. Bei Kontendatenabrufersuchen der Finanzämter für das Besteuerungsverfahren (§ 97 Abs. 7 AO):
1.
Ein Kontendatenabruf zu eigenen Zwecken der Finanzbehörde nach § 93 Abs. 7 AO soll im gesamten Besteuerungsverfahren des Anwendungsbereichs der Abgabeordnung erfolgen können; auch im Haftungs-, Festsetzungs-, Erhebungs-, Rechtsbehelfs- und Vollstreckungsverfahren.
2.
Nach § 93 Abs. 7 AO kann die Finanzbehörde im Einzelfall folgende Bestandsdaten (Kontenstammdaten) zu Konten- und Depotverbindungen über das BZSt abrufen:
– die Nummer eines Kontos, das der Verpflichtung zur Legitimationsprüfung im Sinne des § 154 Abs. 2 Satz 1 AO unterliegt, oder eines Depots,
– den Tag der Errichtung und den Tag der Auflösung des Kontos oder Depots,
– den Namen sowie bei natürlichen Personen den Tag der Geburt, des Inhabers und eines Verfügungsberechtigten sowie
– den Namen und die Anschrift eines abweichend wirtschaftlich Berechtigten (§ 8 Abs. 1 Geldwäschegesetz).
Kontenbewegungen und Kontenstände können auf diesem Weg nicht ermittelt werden. Dies kann aber im Einzelfall im Verlauf der Sachbearbeitung gemäß § 93 Abs. 1 AO erfolgen.
3.
Ein Kontendatenabruf steht im Ermessen der Finanzbehörde und darf nur anlassbezogen und zielgerichtet erfolgen. Er muss als Pflichtangabe entweder den Namen und das Geburtsdatum einer natürlichen Person bzw. den Namen einer Personenvereinigung oder juristischen Person enthalten. Bei der Ausübung des Ermessens sind die Grundsätze der Gleichmäßigkeit der Besteuerung, der Verhältnismäßigkeit der Mittel, der Erforderlichkeit, der Zumutbarkeit, der Billigkeit und von Treu und Glauben sowie das Willkürverbot und das Übermaßverbot zu beachten.
4.
Die Erforderlichkeit ist im Einzelfall durch eine Prognose zu ermitteln, dass z. B. aufgrund konkreter Momente oder allgemeiner Erfahrungen ein Kontendatenabruf angezeigt ist.
5.
Die Finanzbehörde soll zunächst der betroffenen Person Gelegenheit geben, Auskunft über ihre Konten und Depots zu erteilen, es sei denn, der Ermittlungszweck würde gefährdet oder eine Aufklärung durch die betroffene Person ist nicht zu erwarten. Hierbei soll auch bereits darauf hingewiesen werden, dass die Finanzbehörde einen Kontendatenabruf durchführen kann, wenn die Sachaufklärung durch Betroffene nicht zum Ziel führt. Wurde von einem Auskunftsverlangen abgesehen, ist die betroffene Person nachträglich über die Durchführung des Kontendatenabrufs zu informieren.
6.
Wurden neue Konten oder Depots festgestellt, ist die betroffene Person über das Ergebnis zu informieren und darauf hinzuweisen, dass die Finanzbehörde das betroffene Kreditinstitut nach § 93 Abs. 1 AO um Auskunft ersuchen kann, wenn ihre Zweifel durch die Auskunft der betroffenen Person nicht ausgeräumt werden. Allerdings kann sich die Finanzbehörde auch unmittelbar an das Kreditinstitut wenden, wenn durch eine vorhergehende Information der betroffenen Person der Ermittlungszweck gefährdet werden würde oder sich aus den Umständen des Einzelfalls ergibt, dass eine Aufklärung durch sie selbst nicht zu erwarten ist. In diesen Fällen ist sie jedoch nachträglich zu informieren. In Vollstreckungsfällen wird die Information im Benachrichtigungsschreiben über die erfolgte Pfändungsmaßnahme aufgenommen.
7.
Wurden die Angaben der betroffenen Person bestätigt, ist diese gleichwohl über die Durchführung des Kontendatenabrufs zu informieren. Dies soll i. d. R. durch einen Hinweis im Steuerbescheid erfolgen.
8.
Die jeweiligen Bediensteten, die Auskunft für den Fortgang der von ihnen bearbeiteten Akten benötigen, führen im internen Verfahrensablauf den Abruf durch. Der Abruf erfolgt mittels eines bundeseinheitlichen Vordrucks. Das Zeichnungsrecht obliegt der Hauptsachgebietsleitung AO (HSGL AO). Die Verfügung des Ersuchens ist zu den Akten zu nehmen. Eine Zweitschrift ist der Hauptsachbearbeitung AO (HSB AO) für statistische Zwecke zuzusenden. Das Original ist auf dem Postweg an das BZSt weiterzuleiten.
II. Bei Kontendatenabrufersuchen der Finanzämter auf Ersuchen anderer Behörden und Gerichte (§ 93 Abs. 8 AO):
1.
Ein Kontendatenabrufersuchen auf Ersuchen einer anderen Behörde, nach § 93 Abs. 8 AO kann die Finanzbehörde durchführen, wenn die andere Behörde im Rahmen ihrer Zuständigkeit ein Gesetz oder eine Rechtsverordnung anwendet, die an Begriffe des Einkommensteuergesetzes anknüpft; dieses sind z. B. "Einkommen", "Einkünfte" oder inhaltsgleiche Begriffe.
Das für die Besteuerung der betroffenen Person zuständige Finanzamt ist auch zuständiges Finanzamt für den Kontendatenabruf auf Ersuchen. Innerhalb des Finanzamtes ist die Zuständigkeit im Sachgebiet der HSGL AO zu zentralisieren. Die ersuchende Behörde hat ebenfalls einen bundeseinheitlichen Vordruck zu nutzen. Eine Durchschrift des Ersuchens ist beim Finanzamt in der zentral zuständigen Stelle (HSGL AO) aufzubewahren.
2.
Ein Kontendatenabruf kommt nur in folgenden Fällen in Betracht:
– im Rahmen der Sozialhilfe: Bestimmung der zu berücksichtigenden Einkommen (auch Einkünfte aus Kapitalvermögen) bei der Berechnung von Sozialhilfe;
– im Rahmen der Sozialversicherungen: Bestimmung des Gesamteinkommens i. S. d. Einkommensteuerrechts (§ 16 SGB IV);
– bei der sozialen Wohnraumförderung: Bestimmung des maßgebenden Gesamteinkommens (Summe der positiven Einkünfte);
– bei der Ausbildungsförderung und Aufstiegsförderung: Bestimmung des maßgebenden Einkommens (Summe der positiven Einkünfte);
– bei der Gewährung von Wohngeld: Bestimmung des maßgebenden Gesamteinkommens (Summe der positiven Einkünfte);
– bei der Gewährung von Erziehungsgeld: Bestimmung des maßgebenden Einkommens (nicht um Verluste in einzelnen Einkommensarten zu vermindernde Summe der positiven Einkünfte);
– bei Leistungen zur Unterhaltssicherung: Anrechnung etwaiger Einkünfte bei einem Wehrpflichtigen.
In anderen Fällen ist ein Kontendatenabruf nach § 93 Abs. 8 AO nicht möglich. Bei der Bemessung des Arbeitslosengeldes II ist der Begriff des Einkommens abweichend vom Einkommensteuergesetz definiert, somit liegt kein "Anknüpfen" an Begriffe des EStG und keine Anwendungsmöglichkeit vor.
3.
Der Kontendatenabruf muss zur Klärung des Sachverhaltes unmittelbar geeignet, erforderlich und verhältnismäßig sein. Auch hier genügt eine Prognoseentscheidung der ersuchenden Stelle aufgrund konkreter Momente oder allgemeiner Erfahrungen. Ein Kontodatenabruf ist dann nicht erforderlich, wenn es zur Aufklärung des Sachverhaltes ein ebenso geeignetes, aber für die betroffene Person weniger belastendes Beweismittel gibt. Diese Entscheidung obliegt aber nicht der Finanzbehörde, sondern der ersuchenden Stelle. Sie trägt die Verantwortung für die Zulässigkeit des Datenabrufs und der Datenübermittlung.
4.
Im Ersuchen der anderen Behörde ist daher die Rechtsgrundlage anzugeben und zu versichern, dass eigene Ermittlungen nicht zum Ziel geführt haben. Die Finanzbehörde überprüft die Plausibilität der Angaben. Sie prüft insbesondere, ob die Angaben zur Rechtsgrundlage des Ersuchens nachvollziehbar sind und versichert wurde, dass eigene Ermittlungen nicht zu Ziel geführt haben oder keinen Erfolg versprechen. Zudem sind die Identität und die Authentizität der ersuchenden Behörde oder des ersuchenden Gerichts in geeigneter Weise zu prüfen. Im Beanstandungsfall ist das Ersuchen zurückzugeben.
5.
Die Finanzbehörde erhält das Ergebnis des Ersuchens vom BZSt in einem verschlossenen Briefumschlag und leitet diesen an die ersuchende Stelle weiter. Sie nimmt inhaltlich vom Ergebnis keine Kenntnis und vermerkt die Weiterleitung auf der Aktenausfertigung des Ersuchens.
6.
Die Information der betroffenen Person über die erfolgte Abfrage ist Aufgabe der ersuchenden Stelle. Sie richtet sich nach den im Einzelfall jeweils anzuwendenden gesetzlichen Regelungen, die regelmäßig eine Information für den Fall vorsehen, dass Daten nicht bei der betroffenen Person selbst erhoben werden (§ 67a Abs. 5 Satz 1 SGB X) oder aus dem jeweils geltenden Datenschutzgesetz.
5.10.3
Prüfergebnisse
In der Zeit von April 2005 bis Juni 2006 – die statistischen Werte werden quartalsweise festgestellt – wurden insgesamt von 35 hessischen Finanzämtern 1.092 Kontendatenabrufersuchen nach § 93 Abs. 7 AO und 15 Kontendatenabrufersuchen für andere Behörden/Gerichte nach § 93 Abs. 8 AO gestellt. Die Antwortzeiten des BZSt betrugen zwischen i. d. R. einer und vier Wochen.
Ich habe bei vier Finanzämtern, die laut Statistik eine höhere Anzahl von Abrufen zu eigenen Zwecken und auch einige der wenigen Abrufe auf Ersuchen anderer Behörden gestellt haben, 42 Kontendatenabrufe nach § 93 Abs. 7 AO und 5 Kontendatenabrufe nach § 93 Abs. 8 AO stichenprobenartig ausgewählt und geprüft.
Der Schwerpunkt meiner Prüfung lag auf folgenden Fragen:
1. Wie ist das Verfahren vor Ort organisiert?
2. In welchem Stadium des Besteuerungsverfahrens wurde die Anfrage jeweils durchgeführt?
3. Wurde zuvor eine Auskunft der betroffenen Person eingeholt?
4. Ob und wie wurde die Erforderlichkeitsprüfung durchgeführt und dokumentiert?
5. Wann und wie wurden die Betroffenen über den Kontendatenabruf informiert?
6. Wie "erfolgreich" war der Abruf?
Zu 1: Wie ist das Verfahren vor Ort organisiert?
Bei allen Stichproben entsprach der organisatorische Ablauf in den einzelnen Finanzämtern zunächst den Vorgaben und war im Wesentlichen gleich ausgestaltet:
Sowohl in den Fällen des § 93 Abs. 7 AO als auch im Bereich des § 93 Abs. 8 AO wurde der vorgesehene bundeseinheitliche Vordruck benutzt.
In den Fällen des § 93 Abs. 7 AO wurde der Vordruck in dreifacher Ausführung von dem oder der sachbearbeitenden Bediensteten ausgefüllt und zur Zeichnung an den HSGL AO gegeben. Von dort ging eine Durchschrift HSB AO zur Führung der Statistik, eine weitere verblieb bei HSGL AO. Das Original der Anfrage erhielt der oder die sachbearbeitende Bedienstete zur Anfrage an das BZSt und Ablage für die Akte. Die Antwort des BZSt ging direkt an die sachbearbeitende Person.
In Fällen des § 93 Abs. 8 AO wurde vermerkt, dass die Antworten des BZSt in verschlossenem Umschlag an die ersuchende Behörde weitergeleitet wurden.
Verbesserungswürdig waren allerdings einzelne Umsetzungsdetails. So waren z. B. bei einem Finanzamt im Statistikordner auch Kopien der Antworten des BZSt von erfolgreichen Ersuchen nach § 93 Abs. 7 AO abgeheftet, um die Erfolge zu dokumentieren. Diese Unterlagen sind für die Statistik nicht erforderlich und deshalb zu entfernen. Für die Statistik werden nur die kumulierten Ergebnisse (festgesetzte Mehrsteuern oder gezahlte Mehrsteuern) benötigt. In einem anderen Fall wurden die Ersuchen nach § 93 Abs. 8 AO nicht wie vorgesehen zentral beim HSGL AO abgelegt, sondern der jeweiligen Steuerakte hinzugefügt. Auch das wurde mittlerweile abgestellt.
Zu 2: In welchem Stadium des Besteuerungsverfahrens wurde das Ersuchen durchgeführt?
Es fiel auf, dass ca. 85 % der Kontendatenersuchen von Beschäftigten im Vollstreckungsbereich, weitere ca. 13 % im Bereich der Betriebsprüfung und die wenigsten Fälle (ca. 2%) im Bereich der Veranlagung gestellt wurden. Dies scheint ein bundesweiter Trend zu sein, denn das Ergebnis entspricht auch den Feststellungen der Datenschutzbeauftragten der anderen Bundesländer, soweit dort ähnliche Prüfungen durchgeführt wurden. Dies entspricht aber nicht der ursprünglichen Intention bei Einführung des Verfahrens, wonach die Notwendigkeit des Kontendatenabrufverfahrens mit der Möglichkeit zur Entdeckung hinterzogener Kapitalerträge begründet wurde.
Zu 3: Wurde zuvor eine Auskunft des Betroffenen eingeholt?
In den meisten Fällen waren ebenfalls keine Vermerke erkennbar, die dokumentierten, dass ein vorangegangenes Auskunftsersuchen oder eine Anhörung der betroffenen Person i. S. d. § 93 AO durchgeführt wurde. Zum Teil ergaben sich Hinweise beim intensiveren Aktenstudium, dass die Steuerpflichtigen nach Konten gefragt wurden. Ohne einen solchen Hinweis konnte aus den Akten nicht entnommen werden, ob bzw. aus welchen Gründen eine Anhörung unterblieb.
Zu 4: Ob und wie wurde die Erforderlichkeitsprüfung durchgeführt und dokumentiert?
Willkürliche und datenschutzrechtlich bedenkliche Routineabfragen habe ich nicht festgestellt. In einem Finanzamt waren Vermerke zur Erforderlichkeit eines Ersuchens angeordnet, dort war der Ablauf des Kontendatenabrufverfahrens nachvollziehbar und transparent.
Ansonsten war die Durchführung einer vorgeschalteten Erforderlichkeitsprüfung im Einzelfall nicht immer sofort erkennbar, nach Durchsicht der Akte bestanden aber jeweils keine Zweifel, dass der Kontendatenabruf erforderlich war. Es fehlte jedoch fast durchgängig an einer geeigneten Dokumentation. Im Bereich der Vollstreckungsverfahren haben einige Finanzämter die Durchführung eines Ersuchens per se für erforderlich gehalten, wenn der rückständige Steuerbetrag mindestens 25.000 € betrug. Gleichwohl war auch in diesen Fällen die Erforderlichkeit im Einzelfall vorhanden, da dort bereits sämtliche bekannten Vollstreckungsmöglichkeiten ausgeschöpft waren und der Steuerschuldner oder die Steuerschuldnerin erkennbar nicht mitwirkte.
Gerade in Bezug auf die Dokumentation der Ermessensentscheidung waren unterschiedliche Anordnungen getroffen. In einem Fall wurden bei der Vorlage zur Zeichnung durch den HSGL AO die Akten beigefügt, in einem anderen Fall wurde lediglich überwacht, ob bestimmte Sachgebiete überproportional Kontendatenabrufersuchen einleiten. In diesen Fällen war dann auch nicht auf den ersten Blick erkennbar, wie es zu der Entscheidung gekommen ist. Bei intensiver Durchsicht der Akte wurde dann zwar das Ergebnis bestätigt, die exakten Gründe im Einzelfall waren aber letztendlich nicht dokumentiert.
In einem weiteren Amt waren nur die Veranlagungsbezirke und die Betriebsprüfer angewiesen, die Ermessensentscheidung für ein Kontendatenabrufersuchen zu dokumentieren, da im Vollstreckungsbereich von einer offenkundigen Erforderlichkeit ausgegangen werden sollte. Zum Teil wurden die Erwägungen die zum Ersuchen führten, in Aktenvermerken festgehalten oder in Gesprächsnotizen z. B. mit dem Steuerberater der Betroffenen erwähnt. Eine übersichtliche Nachvollziehbarkeit konnte insbesondere in solchen Akten festgestellt werden, die ein sog. Aktenvorblatt enthielten, auf dem alle wesentlichen Schritte der Aktenbearbeitung vermerkt waren. Allerdings enthielten die Akten auch bei dieser Verfahrensweise nicht immer eine summarische Dokumentation über die Erforderlichkeitsprüfung und Prognoseentscheidung. Im Hinblick auf die Nachvollziehbarkeit der Entscheidung bei einem Bearbeiterwechsel oder der Nachprüfung der Zulässigkeit durch das Gericht ist eine nachvollziehbare (summarische) und transparente Dokumentation der Begründung in jedem Fall erforderlich.
In den Fällen des § 93 Abs. 8 AO kamen die Ersuchen sämtlich von Kreisbehörden, die im Rahmen der Gewährung von Sozialhilfe tätig wurden. Die anfragende Behörde hatte die Rechtsgrundlagen benannt und versichert, dass eigene Ermittlungen nicht zum Ziel geführt haben. Diese Angaben waren (durch Handzeichen gekennzeichnet) vom jeweiligen HSGL AO abgezeichnet worden. In einem Fall wurde das Ergebnis der vom Finanzamt kurz zuvor zufälligerweise zu eigenen Zwecken veranlassten Abfrage an das ersuchende Sozialamt weitergeleitet. Dies entsprach zwar nicht dem Zweck, konnte aber aufgrund der näheren Umstände in diesem Einzelfall so gelöst werden.
Zu 5: Wie "erfolgreich" war der Abruf?
Die tatsächlichen Erfolge eines durchgeführten Kontendatenabrufs waren ebenfalls sehr unterschiedlich. Es gab einzelne, wenige erfolgreiche Fälle, in denen z. B. in einem Besteuerungsverfahren zusätzlich 22.000 € Steuer festgesetzt oder in einem Vollstreckungsverfahren zusätzlich 9.300 € vollstreckt werden konnten. Es gab einige Fälle, in denen zwar "neue" Konten offengelegt wurden, diese aber trotzdem mangels Masse nicht belastet werden konnten. Ein Erfolg des Abrufs war jedoch aus den übrigen Akten nicht zu entnehmen. Eine aussagekräftige Gesamt-Erfolgsstatistik liegt mir nicht vor. Die Mitarbeiter der Finanzämter hatten sich jedenfalls größere Erkenntnisse erhofft.
Über die Erfolge der Abfragen nach § 93 Abs. 8 AO war zutreffend in den Akten der Finanzämter nichts festgehalten worden. Derartige Ergebnisse dürfen sich nur in den Akten der ersuchenden Behörde befinden.
Zu 6: Wann und wie wurden die Betroffenen über den Kontendatenabruf informiert?
Bei den meisten Kontendatenabfragen war nicht auf Anhieb erkennbar, ob und wie eine Information der Betroffenen stattgefunden hat. In einzelnen Fällen konnte aus kurzen Gesprächsnotizen, die aber unabhängig von der Bearbeitung des Kontendatenabrufersuchens an anderer Stelle gefertigt waren, Hinweise entnommen werden, dass z. B. die Steuerberatung in einem Telefonat informiert wurde oder der oder die Steuerpflichtige selbst in einem Gespräch über den Ablauf der Betriebsprüfung auf die allgemeine Möglichkeit aufmerksam gemacht wurde.
Allerdings waren viele Verfahren auch noch nicht abgeschlossen und daher eine zeitlich zusammenhängende Information durchaus noch möglich. Eine organisatorische Kontrolle, wonach eine Information der betroffenen Person zu einem geeigneten Zeitpunkt durchgeführt werden soll, war in keinem der geprüften Finanzämter vorhanden.
Lediglich bei Kontendatenabrufersuchen in Vollstreckungsverfahren wurde von der OFD zwischenzeitlich in das Schreiben an die Person des Steuerschuldners, mit dem sie über die Pfändungsmaßnahme informiert wird, auch formularmäßig der Hinweis aufgenommen, dass die Maßnahme auf den Informationen eines Kontendatenabrufs beruhen. Eine Information der Betroffenen über die Erkenntnis ggf. neuer, von ihnen nicht angegebener Konten, habe ich in keinem der geprüften Fälle feststellen können. Auch diese Feststellungen entsprachen den Erfahrungen der datenschutzrechtlichen Stichprobenprüfungen in den anderen Bundesländern.
5.10.4
Bewertung
Zusammenfassend ist festzustellen, dass das Verfahren derzeit insbesondere im Steuerfestsetzungs- und Steuererhebungsverfahren zurückhaltend eingesetzt wird. Das Verfahren hat sich in erster Linie weg vom Steuererhebungsverfahren hin zu einem Werkzeug der Vollstreckung rückständiger Steuerforderungen entwickelt. Dies liegt m. E. daran, dass das Verfahren noch papiergebunden abläuft, die Rücklaufzeiten zu langwierig sind und die Ergebnisse nicht den erhofften Erfolg brachten. Dem Grunde nach wird das Verfahren zwar nach Erforderlichkeitsgesichtspunkten eingesetzt. Allerdings lässt die Dokumentation der Entscheidung und die Information des Betroffenen zu wünschen übrig. Im Hinblick auf die Nachvollziehbarkeit der Entscheidung bei einem Bearbeiterwechsel oder der Nachprüfung der Zulässigkeit durch das Gericht ist eine Dokumentation der Begründung erforderlich. Die rechtzeitige und vollständige Information des Betroffenen ist erforderlich, damit dieser auch von seiner Rechtsweggarantie Gebrauch machen kann.
Da diese Feststellungen durch Prüfungen der Datenschutzbeauftragten auch in anderen Bundesländern getroffen wurden, hat der Arbeitskreis Steuer der Datenschutzbeauftragten des Bundes und der Länder (AK Steuer) ein Muster- und Maßnahme-Formular entwickelt, das helfen soll, die organisatorischen Mängel zu beheben. Es wurde vorgeschlagen, die Ermessensentscheidung, die zum Kontendatenabruf führt, jeweils durch einen summarischen Vermerk festzuhalten und diesen zusammen mit dem Antrag dem HSGL AO zur Plausibilitätsprüfung vorzulegen. Durch entsprechende Wiedervorlagefristen soll die Information des Betroffenen zum angemessenen Zeitpunkt gewährleistet werden. Der AK Steuer hat das Formular über den BfDI dem BMF mit der Bitte um Umsetzung zur Verfügung gestellt.
Inwieweit der Einsatz des Kontendatenabrufverfahrens hauptsächlich zum Zweck der Vollstreckung von Steuerrückständen zulässig ist, wird vermutlich erst das erwartete Urteil des Bundesverfassungsgerichts zum Normenkontrollverfahren klären.
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis