Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die verdeckten Bildaufnahmen durch Fraport-Mitarbeiter während der Räumung des Camps im Kelsterbacher Wald waren rechtswidrig.
Flughafenausbaugegner hatten im Kelsterbacher Wald ein Camp errichtet, um Ihrem Protest gegen die Rodung des Waldes Nachdruck zu verleihen. Am 18. Februar 2009 wurde dieses Camp durch die Polizei geräumt. Während dieser Räumung hat ein Mitarbeiter des Sicherheitsdienstes der Fraport AG mit einer am Helm montierten Minikamera das Geschehen gefilmt. Davon betroffen waren auch über die Räumung berichtende Journalisten. Einer dieser Journalisten hat die Kamera entdeckt und sich an meine Dienststelle gewandt und um datenschutzrechtliche Prüfung des Vorgehens von Fraport AG gebeten.
Die Fraport AG hat sich zunächst hinsichtlich der Rechtmäßigkeit der Kameraüberwachung bei der Räumung des Camps auf die Befugnisnorm des § 6b Abs. 2 Bundesdatenschutzgesetz (BDSG) berufen; denn die Überwachungsmaßnahme habe sich auf das Gelände bezogen, das sich aufgrund eines Besitzeinweisungsbeschlusses des Regierungspräsidiums Darmstadt im Besitz der Fraport AG befand.
Dieser Argumentation habe ich Folgendes entgegengehalten:
Der Vorstand der Fraport AG hat mir daraufhin mitgeteilt, dass er meine Rechtsauffassung teilt, wonach der Einsatz einer „Head-Set-Kamera“ jedenfalls außerhalb des umzäunten Geländes mit dem geltenden Datenschutzrecht nicht vereinbar war, nachdem sich herausgestellt hatte, dass an dem fraglichen Tag keine für alle potentiell Betroffenen sichtbaren Hinweise in Form der im gesamten Flughafenbereich üblichen Piktogramme vorhanden waren. Es wurde versichert, die von mir vertretene Rechtsansicht zukünftig zu beachten.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die Verarbeitung personenbezogener Daten zu Planungszwecken unter Einsatz von Videotechnik ist datenschutzrechtlich dann nicht zu beanstanden, wenn die Daten nach Erreichung des Planungsziels sofort wieder gelöscht werden.
Im vergangenen Berichtszeitraum erreichten mich mehrere Anfragen von Bürgern, die beobachtet hatten, dass an einer Ausfallstraße einer hessischen Kommune verschiedene Videokameras installiert worden waren und baten um rechtliche Überprüfung der Maßnahme. Meine Rückfrage bei der Kommune ergab, dass die Daten zu Zwecken der Verkehrsplanung erhoben wurden.
Unter den in § 32 HDSG formulierten Voraussetzungen ist eine Verarbeitung von personenbezogenen Daten für Planungszwecke zulässig.
|
§ 32 HDSG
(1) Für Zwecke der öffentlichen Planung können personenbezogene Daten gesondert verarbeitet werden. Die Verarbeitung soll von der übrigen Verwaltung personell und organisatorisch getrennt erfolgen.
(2) Die zu Planungszwecken gespeicherten personenbezogenen Daten dürfen nicht für andere Verwaltungszwecke genutzt werden. Sobald es der Zweck der Planungsaufgabe erlaubt, sind die zu diesem Zweck verarbeiteten personenbezogenen Daten so zu verändern, dass sie sich weder auf eine bestimmte Person beziehen noch eine solche erkennen lassen. Eine Übermittlung von Daten, aus denen Rückschlüsse auf Einzelpersonen gezogen werden können, ist unzulässig. |
Die Daten, die so zu Planungszwecken erhoben wurden, dürfen aber grundsätzlich nicht zu einem anderen Zweck verarbeitet werden. Die Spezialvorschrift des Abs. 2 verbietet deshalb auch die Berufung auf § 13 Abs. 2 i.V.m. § 12 Abs. 2 Nr. 2 bis 5 HDSG, wo geregelt ist, unter welchen Bedingungen Daten zweckändernd weiterverarbeitet werden dürfen. Andernfalls hätte es dieser besonderen Hervorhebung der Zweckbindung nicht bedurft.
Damit ist eine Verarbeitung dieser Daten zu anderen Zwecken nur auf der Grundlage der Einwilligung durch den Betroffenen oder einer gesetzlichen Regelung zulässig. Eine derartige Regelung müsste explizit die zweckändernde Verwendung der zu Planungszwecken erhobenen Daten erlauben.
Das erfasste Kennzeichen muss nach Auswertung der Zahlen aus dem Datenbestand unverzüglich wieder entfernt werden, weil die Erhebung nur den Zweck hatte festzustellen, wohin welche Fahrzeuge ihren Weg nehmen. Das Kennzeichen ist hier kurzfristig ein Hilfsmittel, das dann aber nicht mehr benötigt wird und deshalb im Moment der Erfüllung der Planungsaufgabe gelöscht werden muss.
Die Kommune hat zugesichert, die Vorgaben strikt einzuhalten. Aus Gründen der Akzeptanzsteigerung derartiger Maßnahmen sollte im Vorfeld umfassend über die geplante Analyse informiert werden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zur Dokumentation von Verkehrsverstößen kann auch Videotechnik eingesetzt werden, wenn sichergestellt ist, dass einzelne Fahrzeuge nur aufgenommen werden, wenn ein konkreter Verdacht für verkehrswidriges Verhalten besteht.
Das BVerfG hat mit einem Beschluss vom 11. August 2009 (2 BvR 941/08) zum Einsatz von Videotechnik im Rahmen von Verkehrskontrollen für erhebliche Diskussionen gesorgt.
Ausgangspunkt war ein Ordnungswidrigkeitenverfahren. Dem Führer eines Pkw war eine Geschwindigkeitsübertretung vorgeworfen worden. Grundlage des Vorwurfs waren Videoaufnahmen, die mit einem auf einer Brücke installierten System erstellt waren. Mit dieser Anlage sollte das Einhalten des Sicherheitsabstandes überwacht werden. Der Pkw-Fahrer hatte sich darauf berufen, dass eine Ermächtigungsgrundlage für einen solchen Einsatz nicht vorhanden sei und die Aufnahme deshalb nicht als Beweismittel zulässig wäre.
Das BVerfG hat in diesem Zusammenhang klargestellt, dass eine verdachtslose Verkehrsüberwachung mittels Videoaufzeichnungen einen Eingriff in das informationelle Selbstbestimmungsrecht des Betroffenen darstellt. Mangels gesetzlicher Grundlage ist ein solcher Eingriff nicht zulässig.
Der Einsatz von Videotechnik ist damit allerdings auch im Zusammenhang von Geschwindigkeitskontrollen nicht völlig ausgeschlossen. Entsprechende Bildaufzeichnungen dürfen allerdings erst nach Vorliegen eines Anfangsverdachts erfolgen, d.h. eine Messung der Geschwindigkeit muss vorausgegangen sein.
Wiederholt haben bei mir sowohl Bürger als auch Kommunen nachgefragt, inwieweit die hessische Praxis von der Entscheidung betroffen sei. Auf Nachfrage hat mir das Innenministerium mitgeteilt, es habe alle betroffenen Polizeibehörden sowie die Kommunen über die Rahmenbedingungen zum Einsatz der entsprechenden Geräte informiert.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Mit den Änderungen des HSOG sollen die Vorgaben der Rechtsprechung des BVerfG insbesondere zum Schutz des Kernbereichs privater Lebensführung umgesetzt werden. Nicht in allen Teilen ist dies gelungen.
In den letzten Jahren hat das BVerfG wiederholt Anforderungen an Sicherheitsgesetze formuliert, die den Grundrechtsschutz der betroffenen Bürgerinnen und Bürger sichern sollen. So hatte das BVerfG u.a. die hessische Regelung zur Kennzeichenerkennung im Polizeirecht für nichtig erklärt und die Anforderungen an die Rasterfahndung als nicht verfassungskonform beurteilt. Schließlich gab es mehrere Entscheidungen, in denen das Gericht Anforderungen zum Schutz des Kernbereichs privater Lebensführung formuliert hatte. Über die einzelnen Entscheidungen und die Notwendigkeit der Überarbeitung des HSOG hatte ich in den letzten Jahren wiederholt berichtet (zuletzt 37. Tätigkeitsbericht, Ziff. 4.3.1), zur aktuellen Entwicklung der Rechtsprechung siehe auch Ziff. 1.2.1 sowie Ziff. 1.4.2.
Zu Beginn der neuen Legislaturperiode legten die Fraktionen von CDU und FDP einen Gesetzentwurf vor. Damit wurden den Polizeibehörden auch zusätzliche Instrumentarien, insbesondere im Zusammenhang mit der Nutzung von moderner Kommunikationstechnologie, an die Hand gegeben (so die Begründung des Gesetzentwurfes, LTDrucks. 18/861 S. 10).
Mit einigen Änderungen als Reaktion auf eine vom Innenausschuss des Hessischen Landtages durchgeführte Anhörung wurde das Gesetz im Dezember verabschiedet, so dass es mit Wirkung vom 1. Januar 2010 in Kraft treten konnte.
Aus meiner Sicht ist es nicht in allen Punkten gelungen, die selbst genannten Anforderungen zu erfüllen. Auf einige Aspekte, die auch schon Gegenstand der Anhörung im Landtag waren, möchte ich hier nochmals hinweisen.
4.2.1.1
Vertrauensschutz für Berufsgeheimnisträger
Im Rahmen der Gefahrenabwehr ist jedermann grundsätzlich zur Auskunft verpflichtet es sei denn, er kann sich auf ein Zeugnisverweigerungsrecht – wie im Strafverfahren – berufen. Diese Möglichkeit gibt es allerdings nicht, soweit die Auskunft zur Abwehr einer konkreten Gefahr erforderlich ist. Von dieser Verpflichtung werden nunmehr einzelne Berufsgeheimnisträger befreit.
|
§ 12 Abs. 2 Satz 2 und 3 HSOG
Unter den in den §§ 52 bis 55 der Strafprozessordnung genannten Voraussetzungen ist eine betroffene Person, die nicht für die Gefahr verantwortlich ist, zur Verweigerung der Auskunft berechtigt. Außer für Rechtsanwälte und in den Fällen des § 53 Abs. 1 Satz 1 Nr. 1, 2, 4 und 5, auch in Verbindung mit § 53a der Strafprozessordnung gilt dies nicht, wenn die Auskunft für die Abwehr einer Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist. |
4.2.1.2
Videoüberwachung
Bei dieser Novellierung bot sich nicht die Gelegenheit, die Vielfalt der Probleme, die sich in der Praxis bei der Umsetzung der vorhandenen Regelungen ergeben haben, aufzugreifen. Allerdings wurden für den Einsatz der Videotechnik durch Polizei und Gefahrenabwehrbehörden zwei Ergänzungen getroffen, die den Sinn dieser Regelungen – mögliche Störer bewusst abzuschrecken und gleichzeitig allen Passanten zu vermitteln, dass diese Örtlichkeit besonders geschützt ist – weiter verstärken.
Die aufgenommene Verpflichtung, mindestens im Abstand von zwei Jahren die Notwendigkeit von festinstallierten Anlagen zu überprüfen, verdeutlicht für die Praxis, dass die Begründung für eine einmal getroffene Entscheidung zur Notwendigkeit einer Videoanlage nicht auf unbestimmte Zeit Geltung haben kann. Selbstverständlich galt auch bisher im Prinzip schon, dass die Erforderlichkeit für die vollständige Dauer des Einsatzes vorhanden sein musste und nicht nur zum Zeitpunkt der Entscheidung über die Errichtung. Die Praxis hat jedoch gezeigt, dass das Hinterfragen der Notwendigkeit des Einsatzes nach einer gewissen Zeit eher die Ausnahme war.
Inwieweit dies nunmehr zu einer geänderten Praxis und nicht nur zu einer routinemäßigen Verlängerung nach Ablauf der zwei Jahre führt, wird sich erweisen. Dazu beitragen können nicht zuletzt die noch zu erlassende Verwaltungsvorschrift zur Ausführung des HSOG sowie eine Überarbeitung der Handlungsempfehlungen des Landeskriminalamtes für die Errichtung von Videoüberwachungsanlagen.
Von Beginn an habe ich Transparenz für den Einsatz der Videotechnik verlangt: Der überwachte Bereich sollte kenntlich gemacht und auf den Schildern auch die Stelle bezeichnet werden, die den Einsatz verantwortet. In der Praxis wurde dies in aller Regel auch so umgesetzt. Nunmehr ist eine Verpflichtung dazu in das Gesetz aufgenommen worden.
4.2.1.3
Kernbereichsschutz bei der Wohnraumüberwachung
Bei aller Schwierigkeit, die vom BVerfG formulierten Anforderungen zum Umgang mit Daten aus dem Kernbereich privater Lebensführung in die gesetzlichen Grundlagen für Eingriffsmaßnahmen umzusetzen, erscheint mir die für den Bereich der Wohnraumüberwachung nunmehr geltende Regelung als nicht ausreichend.
|
§ 15 Abs. 4 S. 4 HSOG
Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch die Maßnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die Maßnahme unzulässig. Bestehen insoweit Zweifel, darf die Datenerhebung ausschließlich durch eine automatische Aufzeichnung erfolgen und fortgesetzt werden. |
4.2.1.4
Telekommunikationsüberwachung an informationstechnischen Systemen (Quellen-TKÜ)
Das HSOG enthält nunmehr eine Rechtsgrundlage für den heimlichen technischen Eingriff in ein informationstechnisches System (sog. Quellen-TKÜ). Dabei gibt es ersichtlich Parallelen zur umstrittenen Online-Durchsuchung. Denn auch wenn (nur) das gesprochene Wort im Rahmen einer bestehenden Telekommunikationsverbindung aufgezeichnet werden soll, bevor es (verschlüsselt) über das Internet weitergegeben wird, ist die eingesetzte Technik vergleichbar, wenn nicht identisch. Meine Bedenken zum Einsatz solcher Technologien durch den Staat habe ich schon mehrmals zum Ausdruck gebracht (vgl. 37. Tätigkeitsbericht, Ziff. 1.3 und 9.1 sowie 36. Tätigkeitsbericht, Ziff. 1.3.3 und 4.1). Dabei bin ich mir durchaus bewusst, dass die weiter entwickelten Technologien und der Einsatz solcher Möglichkeiten durch Störer die Tätigkeit der Gefahrenabwehr vor immer neue Herausforderungen stellt, und dabei die Frage, ob überhaupt abgehört werden darf, in dem rechtlich vorgegebenen Rahmen entschieden werden soll.
Angesichts der Problematik des heimlichen Eindringens in die Hardware der Überwachten macht es für mich allerdings grundsätzlich keinen Unterschied, ob damit Zugriff auf die Inhalte eines Telekommunikationsvorgangs genommen wird oder auf andere auf dem überwachten Gerät vorhandene Informationen.
|
§ 15b HSOG
(1) Wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person unerlässlich ist, kann die Überwachung und Aufzeichnung der Telekommunikation ohne Wissen der betroffenen Person in der Weise erfolgen, dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingegriffen wird, wenn
(3) Bei jedem Einsatz des technischen Mittels sind zum Zwecke der Datenschutzkontrolle und der Beweissicherung zu protokollieren:
(4) Die Maßnahme darf sich nur gegen eine Person richten, die nach den §§ 6 oder 7 verantwortlich ist. Sie darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.
(5) § 15 Abs. 4 Satz 2 bis 5 und Abs. 5 gilt entsprechend mit der Maßgabe, dass das informationstechnische System, in das zur Datenerhebung eingegriffen werden soll, in der Anordnung möglichst genau zu bezeichnen ist. |
Das Gesetz hat im Prinzip die Formulierung des BVerfG aufgenommen und als Schwelle für den Einsatz einer Rasterfahndungsmaßnahme die konkrete Gefahr definiert. Damit ist klargestellt, dass die Rasterfahndung nicht mehr als eine – vom Bundesverfassungsgericht für unzulässig erklärte – Vorfeldmaßnahme eingesetzt werden kann.
|
§ 26 HSOG
Die Polizeibehörden können von öffentlichen Stellen oder Stellen außerhalb des öffentlichen Bereichs zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leben, Gesundheit oder Freiheit oder wenn gleichgewichtige Schäden für die Umwelt zu erwarten sind, die Übermittlung von personenbezogenen Daten bestimmter Personengruppen zum Zwecke des automatisierten Abgleichs mit anderen Datenbeständen verlangen, wenn dies zur Abwehr der Gefahr erforderlich ist. |
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Das Verfahren SoPart habe ich im Einsatz bei der Bewährungshilfe überprüft. Daraus ergab sich Nachbesserungsbedarf. Durch den geplanten Einsatz auch für die Sozialen Dienste in den Vollzugsanstalten sind weitere Aspekte hinzugekommen.
In diesem Jahr habe ich mich über das Verfahren SoPart bei einer Bewährungshilfe informiert. Es ging auch um Art und Weise, wie die Tätigkeit von Bewährungshelfern unterstützt aber auch vorgegeben wird. Zu den Ergebnissen habe ich mit den beteiligten Stellen Gespräche geführt, die dann auch zu Änderungen am Verfahren und in den Abläufen geführt haben. Ende des Jahres hat man mich darüber in Kenntnis gesetzt, dass das Verfahren auch in Justizvollzugsanstalten eingesetzt werden soll. Durch die Integration ergeben sich neue Anforderungen.
4.2.2.1
Das Verfahren SoPart
4.2.2.1.1
Funktion
SoPart soll die Bewährungshelfer in der täglichen Arbeit unterstützen. Es soll einfach möglich sein, aktuelle Daten zu Personen und Institutionen zu erhalten, mit denen die Bewährungshelfer bei ihrer Arbeit Kontakt haben. Außerdem sollen die Bewährungshelfer in der Arbeit mit den Klienten nötige Hilfsmittel erhalten. Mit dem Verfahren SoPart sollen die Bewährungshelfer zudem ihre gesamte Tätigkeit im einzelnen Fall dokumentieren. Deshalb bietet das Verfahren sowohl die Möglichkeit, Statusinformationen zum Einzelfall, als auch unterschiedlichen Schriftverkehr sowie Notizen, beispielsweise zu Gesprächen, zu erfassen. Urteile oder Schreiben an den Bewährungshelfer werden weiterhin in einer Papierakte vorgehalten. Insofern arbeiten Bewährungshelfer mit einer Hybridakte aus dem in SoPart geführten elektronischen Teil und der Papierakte. Solchen Hybridakten sind Probleme immanent, z.B. die Abgabe von (vollständigen) Akten bei einem Wohnungswechsel in ein anderes Bundesland.
Um die elektronische Akte einer anderen Stelle in Hessen zur Verfügung stellen zu können, muss sie durch die bisher zuständige Stelle geschlossen werden. Dann können die Zugriffsrechte an den dann Zuständigen übergeben werden.
4.2.2.2
Basisdaten
Eine wesentliche Rolle spielt der behördenübergreifend allen hessischen Stellen der Bewährungshilfe zur Verfügung stehende Datenbestand, der als „Basisdaten“ bezeichnet wird. Es sollen Doppelerfassungen vermieden werden und von einer Stelle der Bewährungshilfe einmal erfasste Informationen sollen bei einem Zuständigkeitswechsel nicht immer wieder neu erhoben werden müssen, sondern von der einen an die andere Stelle übergeben werden. Schließlich wurde von den Anwendern vorgetragen, sie müssten informiert sein, ob ein Klient auch schon bei einer anderen Stelle vorstellig geworden sei bzw. dort schon (früher) als Klient geführt wurde. Ob dies als Begründung für eine gemeinsame Datenbank der Bewährungshelfer bei allen Landgerichten ausreicht, ist immer noch Gegenstand der Erörterungen zu diesem Verfahren mit der Justizverwaltung. Für eine landesweite Suche ist es zunächst nötig, bestimmte Basisdaten behördenübergreifend zum Zugriff für alle Anwender zur Verfügung zu stellen. Dieser Kerndatensatz war sehr umfangreich. Er galt auch für sonstige Personen wie Rechtsanwälte oder Mitarbeiter und für Institutionen.
Gespeichert werden beispielsweise Name, Adressen und Telefonnummern sowie Geburtsdaten bei Klienten. Auf weitere Daten zu Klienten oder Mitarbeitern können nur zuständige und berechtigte Nutzer zugreifen.
Da der Datenbestand hessenweit verschiedenen Stellen zur Verfügung steht, handelt es sich um ein gemeinsames Verfahren nach § 15 HDSG. Das deshalb notwendige Verfahren einschließlich der Festlegungen der Verantwortlichkeiten ist noch nicht abgeschlossen.
4.2.2.3
Technik des Verfahrens
Eine vollständige Beschreibung der Technik des Verfahrens kann und soll hier nicht gegeben werden. Ich möchte jedoch einige Themen skizzieren.
Grundstruktur
SoPart ist eine Terminalserver-Anwendung. Die Daten werden in Hünfeld in einer Oracle-Datenbank gespeichert. Auch die Programme laufen dort auf Terminalservern. Ein Bewährungshelfer greift von seinem Arbeitsplatz aus mit der Kommunikationssoftware Citrix über das Justiznetz auf die Programme zu. Die Datenübertragung wird durch Citrix verschlüsselt. Damit sind Datenschutzforderungen umgesetzt.
Anmeldung am Verfahren
Um mit dem Verfahren arbeiten zu können, muss sich ein Benutzer zuerst am Terminal-Server anmelden und als zweiten Schritt an der Anwendung selbst. In der Version von Anfang 2009 wurde für SoPart ein 8-stelliges Passwort verlangt, das im Unterschied zur Terminalserveranmeldung nicht alle Anforderungen aus den Grundschutzkatalogen des BSI erfüllte. Jetzt ist beabsichtigt, die bei der Anmeldung am Terminalserver geprüfte Benutzerkennung an SoPart weiterzureichen und das Programm ohne weitere Passwortabfrage zu starten. Dieser Ansatz ist akzeptabel, solange die Anmeldung am Terminalserver die Anforderungen aus den Grundschutzkatalogen des BSI erfüllt und die Anzahl der gestarteten Programme nicht zu hoch ist. Dies wäre zurzeit erfüllt. Zusätzlich wird der passwortgeschützte Bildschirmschoner nach 15 Minuten aktiviert.
Protokollierung
Alle Lesezugriffe auf die Falldaten werden protokolliert. Dies gilt für Zugriffe bei der Sachbearbeitung innerhalb der Behörde, aber auch für Lesezugriffe durch andere Behörden, die eine Datenübermittlung darstellen. Eine Aufstellung der Lesezugriffe auf Probanden eines Bewährungshelfers wird nicht automatisch erstellt, sondern muss jeweils durch ihn angestoßen werden.
Das Ergebnis wird als Dokument zur Verfügung gestellt. Die Protokolldaten lagen von mehr als zwei Jahren vor. Die Speicherdauer wird dahingehend präzisiert, dass die Dokumentation von Datenübermittlungen bis zum Ende des auf die Übermittlung folgenden Kalenderjahres vorliegt, während Protokolle zu dienststelleninternen Zugriffen maximal sechs Monate vorliegen.
Suchanfragen werden nicht protokolliert. Da die Anzeige von Treffern beispielsweise Name, Geburtsdatum und Anschrift von Probanden anderer Stellen umfasst, handelt es sich bereits vor dem Zugriff über das „i“-Icon um eine Datenübermittlung. (s. Ziff. 4.2.2.5)
Ändernde Zugriffe werden in der Änderungshistorie protokolliert.
4.2.2.4
Organisatorisches Umfeld
Die HZD betreibt das Verfahren nach den Vorgaben der Justizverwaltung. Insbesondere das Anlegen von Benutzern, das die Behördenleitung des jeweiligen Landgerichts veranlassen kann, oder neuen Mandanten wird durch die Gemeinsame IT-Stelle der Justiz vorgenommen. Die Abläufe mussten noch überarbeitet werden, da nicht dokumentiert war, wann welcher Benutzer aufgrund welchen Auftrags angelegt wurde und welche Zugriffsrechte dieser erhalten hat. So war es möglich, telefonisch einen Auftrag zu geben. Selbst wenn in Eilfällen diese Möglichkeit vorgesehen sein sollte, muss eine schriftliche Bestätigung folgen. Im System waren die Eintragungen nachvollziehbar dokumentiert.
4.2.2.5
Problempunkt Suchfunktion
Zur Unterstützung der Bewährungshelfer ist eine Suchfunktion vorhanden. In der ursprünglichen Ausgestaltung konnte ein Benutzer über den gesamten Bestand an gespeicherten Personen suchen und auf die Stammdaten zugreifen. Personengruppen waren neben den Klienten auch Bewährungshelfer, Anwälte und andere Personen. Die Suche konnte über alle Gruppen erfolgen oder auf einzelne Gruppen eingeschränkt werden. Die Suchfunktion selbst war praktisch nicht eingeschränkt. Es war beispielsweise möglich, sich unter Eingabe eines Buchstabens alle Personen anzeigen zu lassen, deren Familienname mit dem Buchstaben beginnt. Die Trefferliste zeigt die Namen gespeicherter Personen. Weitergehende Daten sind in dieser Anzeige nicht vorhanden. Die Suchanfrage wird bis zu diesem Zeitpunkt nicht protokolliert.
Aus der Trefferliste kann dann ein Eintrag ausgewählt werden. Durch Anklicken eines Icons („i“ für Information) werden weitere Stammdaten angezeigt. Hierzu gehören:
Es gab technisch die Möglichkeit, Daten auszublenden. Dies war beispielsweise bei den Daten zu Mitarbeitern der Fall. Ich habe gefordert, generell den Umfang der angezeigten Daten zu reduzieren.
Die Begründung für eine Suche nach Klienten war die Vermeidung von Doppelerfassungen. Wenn ein Bewährungshelfer die Daten zu einem Klienten erfasst, der vor ihm sitzt, soll er erkennen können, ob er schon erfasst wurde. Ich stehe noch in Diskussionen mit dem Justizministerium, ob hier die oben beschriebene Suchfunktion sinnvoll ist, oder bei der Erfassung an Hand bestimmter Datenbankfelder wie Namen und Geburtsdatum automatisch auf mögliche „Dubletten“ hingewiesen wird; dabei müssten natürlich Zahlendreher oder einfache Schreibfehler erkannt werden.
4.2.2.6
Erweiterung auf die Sozialen Dienste im Justizvollzug
Zukünftig soll das Verfahren auch in den Justizvollzugsanstalten zum Einsatz kommen. Die von den Mitarbeitern der sozialen Dienste zu führenden Teile der Gefangenenpersonalakte sollen im Verfahren SoPart verarbeitet werden. Damit werden nicht nur zahlenmäßig mehr Stellen an diesem Verfahren beteiligt sein.
Der geplante Einsatz des Verfahrens im Justizvollzug sieht darüber hinaus – neben der Suchfunktion – weitere gemeinsame Zugriffe vor. Die derzeit im Landtag beratenen neuen Vollzugsgesetze sehen im Rahmen der Entlassungsvorbereitung eine verstärkte Zusammenarbeit der Sozialen Dienste in den Anstalten mit den Bewährungshelfern vor. Zukünftig sollen diese schon sechs Monate vor der vermutlichen Entlassung mit einbezogen werden. In diesem Kontext benötigen sie dann auch – zumindest teilweise – die in SoPart gespeicherten Informationen über den einzelnen Gefangenen. Durch diese gesetzliche Aufgabenzuweisung ist grundsätzlich die Notwendigkeit des Zugriffs auf ein gemeinsames Verfahren im Rahmen des § 15 HDSG gegeben. Für die konkrete Ausgestaltung des Verfahrens muss jedoch differenziert analysiert werden, wer zu welchem Zeitpunkt auf welche Dokumente einer anderen Stelle zugreifen darf. Als Anhaltspunkt können zum einen die derzeit auf herkömmlichem Wege stattfindenden Informationsaustausche zwischen den Beteiligten diesen. Für die erweiterte Tätigkeit der Bewährungshelfer im Rahmen der Entlassungsvorbereitung muss die Notwendigkeit des Zugriffs auf die einzelnen Dokumente noch analysiert werden. Im Übrigen muss auch differenziert werden zwischen dem Zugriff während der Entlassungsvorbereitung und in der Zeit danach. Da die von den Sozialen Diensten gespeicherten Unterlagen als Teil der Gefangenenpersonalakte anzusehen sind, darf nach der Entlassung aus der Anstalt ein Zugriff auf diese Dokumente nicht mehr erfolgen. Soweit notwendig muss eine Transformation der Dokumente in die Dokumentation des dann zuständigen Bewährungshelfers erfolgen.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Auch in Hessen hat die Diskussion um die zunehmend wahrgenommene Kriminalität Jugendlicher dazu geführt Modelle zu entwickeln, um diese effektiver zu bekämpfen. Wiederholt bin ich um Beratung gebeten worden, wie man mit veränderten Formen der Zusammenarbeit diesem Thema besser gerecht werden kann.
Eine Vielzahl von Institutionen und Behörden beschäftigt sich mit Problemen von Kindern und Jugendlichen. Das reicht von der Schule, dem Jugendamt und den unterschiedlichsten freien Trägern bis hin zu Polizei und Gericht. Der Vielzahl dieser Stellen korrespondiert eine Vielzahl rechtlicher Regelungen. Diese betreffen u.a. das Zusammenwirken der verschiedenen Stellen. Dabei setzten datenschutzrechtliche Regelungen der Zusammenarbeit Grenzen. So ist einerseits gerade im Bereich der Jugendhilfe der Gedanke der ganzheitlichen Betreuung ein wesentlicher Gesichtspunkt. Andererseits wirken vor allem die Regelungen des Sozialdatenschutzes und das sog. Sozialarbeitergeheimnis (abgeleitet aus § 203 Abs. 1 Nr. 5 StGB) wie ein enges Korsett, das eine Zusammenarbeit nicht einfach macht.
|
§ 203 Abs. 1 Nr. 5 StGB
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als |
Andererseits hat die Entwicklung gezeigt, dass auch neue oder andere Wege gesucht werden müssen, um mit den auftretenden Fragestellungen umzugehen – Jugendlichen Hilfe anzubieten ist dabei ebenso relevant wie die Durchsetzung des staatlichen Strafanspruchs, auch im Interesse aller Bürgerinnen und Bürger.
Nicht immer gelingt es ohne Weiteres, Überlegungen und Ansätze, die von den jeweiligen Fachleuten für sinnvoll erachtet werden, in die vorgegebenen Strukturen einzupassen.
Ein in diesem Kontext häufig verwendetes Instrument ist die Fallkonferenz. Dabei ist jedoch zu beachten, dass sich dahinter die unterschiedlichsten Ideen verbergen. Deshalb kann auch eine für das Projekt A gefundene Lösung nicht ohne Weiteres auf andere Projekte übertragen werden.
Für alle diese Projekte können abstrakt nur zwei Maßgaben formuliert werden: Zunächst muss sorgfältig analysiert werden, ob es eine Rechtsgrundlage für den konkret gewünschten Informationsfluss gibt – wenn nicht, kann allenfalls mit allen dabei auftretenden Schwierigkeiten das Instrument der Einwilligung weiterhelfen. Und schließlich ist für jeden einzelnen Kontakt zwischen den beteiligten Institutionen, ebenso wie für die einzelnen konkret agierenden Personen, immer zu fragen, ob gerade das, was im Moment getan wird, erforderlich für diesen konkreten Fall/für diese Situation ist.
In diesem Kontext haben meine Mitarbeiter in der Vergangenheit u.a. zwei konkrete Projekte näher begleitet:
4.2.3.1
Haus des Jugendrechts
In anderen Bundesländern arbeiten solche Einrichtungen schon seit einigen Jahren in unterschiedlicher Art und Weise.
Im Jahre 2008 wurde federführend durch das HMDJ eine Arbeitsgruppe gebildet, die beispielhaft für Frankfurt die Möglichkeiten und die Struktur einer solchen Einrichtung erarbeiten sollte. Ich war gebeten worden, diese Arbeit von Anfang an zu begleiten. Dazu hatte ich u.a. in einem Arbeitspapier die Anforderungen aus Sicht des Datenschutzes für die Zusammenarbeit in einem Haus des Jugendrechts zusammengefasst.
Grds. gilt für die Zusammenarbeit aller beteiligten Stellen: Ein konkreter personenbezogener Informationsaustausch ist immer dann zulässig, wenn er im Rahmen der (auch jetzt schon) anzuwendenden Rechtsgrundlagen erfolgt (insbesondere SGB VIII, SGB X, JGG, StPO; HDSG).
Bei der Gestaltung der Zusammenarbeit sind daher zwei Komplexe zu betrachten:
Ein Austausch über einen Jugendlichen kann jeweils (nur) zwischen den zuständigen Mitarbeitern der Institution erfolgen, die (zu diesem Zeitpunkt) für die Bearbeitung des Falles zuständig sind. Es kann daher nicht eine allgemeine Fallkonferenz geben, sondern die Zusammensetzung/Beteiligung ist für jeden Einzelfall festzulegen. (Was nicht ausschließt dass es eine Vorgabe für die Regelzusammensetzung – Polizei-, StA-, JGH-Mitarbeiter – gibt, im Rahmen ihrer örtlichen Zuständigkeit für alle Fälle in diesem Komplex.)
Auswirkungen bzw. jeweils im Einzelfall konkreter Entscheidungsbedarf ergeben sich daraus insbesondere für die Einschaltung der freien Träger zur Frage, ob und welche Maßnahmen für einen bestimmten Jugendlichen sinnvoll und möglich sind.
Die grundsätzliche Frage, ab welchem Zeitpunkt und in welchem Umfang die Beteiligung eines freien Trägers bzw. die Übermittlung von Daten an diesen erfolgen kann, stellt sich für jeden Einzelfall unabhängig davon, ob immer ein bestimmter Träger für alle Fälle oder für bestimmte Fallkonstellationen herangezogen wird, genauso aber auch für die angedachte Bündelung über eine „Kopfstelle“.
Bei allen Besprechungen – aber auch bei der Weitergabe von Akten – ist zu beachten, dass im Einzelfall auch Daten weiterer Beteiligter – sei es aus dem Tatkomplex, der zu bearbeiten ist, sei es aus der Familie der Jugendlichen – Gegenstand sein könnten. Auch deren Interesse auf Schutz ihrer persönlichen Daten ist zu beachten.
Die Arbeitsgruppe hat zunächst die grobe Konzeption einer solchen Einrichtung beschrieben. Darin waren zwar noch keine konkreten Maßnahmen zur Sicherstellung des Rechts auf informationelle Selbstbestimmung enthalten. Es war jedoch festgehalten, dass jeweils alle Beteiligten selbst für die Einhaltung der für sie geltenden Datenschutznormen verantwortlich bleiben. Zudem ist vorgesehen, dass zeitnah zur Eröffnung des Hauses eine gemeinsame Schulung zum Thema Datenschutz erfolgen soll.
Im Berichtsjahr hat nunmehr die Arbeit zur konkreten Umsetzung begonnen. Dazu gehören, neben dem Umbau der Immobilie und den sich daraus ergebenden – vor allem technischen – Fragen, Überlegungen zum konkreten Umgang miteinander bzw. zur (gemeinsamen) Fallbearbeitung. Derzeit versuchen daher die Mitarbeiter, die zukünftig für die beteiligten Ämter im Haus des Jugendrechts tätig sein sollen, Vorschläge für die alltägliche Arbeit zu formulieren: wer ist wann zu beteiligen, wann ist er erreichbar, wie wird der Umlauf der Akten organisiert und Ähnliches. Auch hier bin ich wieder beratend beteiligt.
4.2.3.2
Vorschlag einer Fallkonferenz als Ergebnis der Arbeit eines kommunalen Präventionsrates
In einem Landkreis hatte sich – angestoßen vom Präventionsrat – eine Arbeitsgruppe gebildet, die sich schwerpunktmäßig mit Jugendlichen und Kindern beschäftigen will, die (noch) nicht straffällig geworden sind oder bei denen derzeit keine aktuellen Verfahren laufen, die aber in vielfältiger Weise auch schon mit den beteiligten Stellen in Kontakt gekommen sind. Beteiligt waren u.a. Jugendamt, Bewährungshilfe, Polizei, Jugendrichter, Kreisjugendring und Sozialarbeiter der Caritas.
Vorgesehen war ein Angebot an die betroffenen Jugendlichen/Kinder und auch an deren Eltern. Ziel war ein schnelles, unbürokratisches Hilfsangebot durch die enge Zusammenarbeit der beteiligten Stellen und die Bündelung von Maßnahmen und Hilfen. Am Ende einer solchen Fallkonferenz sollte idealiter ein Konzept stehen, welchem der oder die Betroffene freiwillig zustimmt. Er bzw. sie soll dies als Chance begreifen, um den „üblichen“ negativen Entwicklungen entgegenzuwirken. Daher war nicht ausgeschlossen, dass die Betroffenen zumindest zeitweise direkt beteiligt werden könnten.
Dieses Modell ist eng an das Instrument der Hilfeplanung im Rahmen der Jugendhilfe angelehnt. Allerdings sollte hier verstärkt der Aspekt der Verhinderung von (weiteren) Delikten mit einbezogen und deshalb auch die Teilnahme etwa der im Rahmen der Prävention örtlich tätigen Polizeibeamten vorgesehen werden.
Von Anfang an war klar, dass in aller Regel das Instrument der Einwilligung zum Tragen kommen muss. Der gemeinsame Austausch ist sonst kaum möglich. Denn eine wirkliche Anonymisierung, um abstrakt über ein Hilfeangebot sprechen zu können, ist kaum vorstellbar; zumal gerade im ländlichen Raum die Betroffenen bzw. auch ihre Familien häufig in den Institutionen bekannt sind.
Bei der Ausgestaltung der Einwilligung wurden dann die Schwierigkeiten deutlich: Es ist eine Differenzierung notwendig, die die Verständlichkeit der Einwilligungserklärung nicht unbedingt erleichtert.
Notwendig ist die konkrete Beschreibung der Personen, zu deren Gunsten eingewilligt werden soll. Nicht außer Acht zu lassen ist zudem – gerade im Bereich der Jugendlichen – die Frage, wer muss einwilligen. Dabei ist die Einwilligungsfähigkeit ebenso wie die besondere Problematik der Einbeziehung der Eltern – die in aller Regel ja auch inhaltlich betroffen sind – nie abstrakt zu beantworten.
|
Einwilligungserklärung zur Verwendung meiner Daten Hiermit willige ich ein, dass meine personenbezogenen Daten im Rahmen einer Fallkonferenz den unten genannten Teilnehmern mitgeteilt werden.
Zu den personenbezogenen Daten gehören: Name, Anschrift, Telefonnummer, Alter, Name der Eltern und Geschwister, Schule oder Ausbildungsbetrieb, … Ich möchte, dass die Teilnehmer der Fallkonferenz auch ohne mein Beisein über diese Daten verfügen und sich darüber austauschen können. Die Daten sind nur für die Dauer der Fallkonferenz und anschließend zeitlich begrenzter und mir bekannter Maßnahmen der Teilnehmer verwendbar, danach werden sie vernichtet.
Teilnehmer der Fallkonferenz sind:
O Insbesondere befreie ich aber auch folgende Teilnehmer widerruflich von der ihnen Einwilligungserklärende/r: Gesetzlicher Vertreter: Ort/Datum: (Jugendliche ab 14.Lebensjahr können diese Erklärung selbst abgeben, wenn sie die notwendige Einsichtsfähigkeit in die Bedeutung der Erklärung besitzen. Andernfalls müssen die gesetzlichen Vertreter, wie bei den Kindern unter 14 Lebensjahren die Erklärung unterzeichnen.) |
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Das Hessische Landesamt für Verfassungsschutz plant den Einsatz eines neuen Datenverarbeitungssystems. In die Planung und Umsetzung werde ich einbezogen.
Neben dem Nachrichtendienstlichen Informationssystem (NADIS), an dem sich das Bundesamt für Verfassungsschutz und alle Landesämter für Verfassungsschutz beteiligen, betreibt das Hessische Landesamt für Verfassungsschutz seit vielen Jahren eigene Amtsdateien. Während NADIS bis jetzt in erster Linie zum Auffinden der zu einer Person angelegten Akte dient, also vor allem ein Aktenhinweissystem darstellt, können in den Amtsdateien die zu einer Person oder zu einem Objekt gehörenden Texte und Informationen direkt eingespeichert werden. In Hessen war die wichtigste Arbeitsdatei lange Zeit LARGO, über die ich zuletzt im 31. Tätigkeitsbericht (Ziff. 8.4.1) berichtete. Während LARGO zunächst für die Speicherung von Informationen für alle Aufgaben des Verfassungsschutzes zur Verfügung stand, kam dann später für den Aufgabenbereich der Beobachtung von Bestrebungen der Organisierten Kriminalität das Datenverarbeitssystem CRIME hinzu.
Mit dem nunmehr geplanten Hessischen Analyse- und Recherchesystem (HARIS) soll wieder ein einheitliches Datenverarbeitungssystem geschaffen werden. Mit Ausnahme des Bereichs der Mitwirkung des HLFV bei der Sicherheitsüberprüfung bei Personen des öffentlichen Dienstes werden Daten aus allen anderen Aufgabenbereichen des Verfassungsschutzes in HARIS eingespeichert. Aus Sicht des Verfassungsschutzes bietet HARIS im Vergleich zu seinen beiden Vorgängersystemen CRIME und LARGO durch den Einsatz einer neuen Technologie, die auf einem Wissensnetz basiert, beträchtliche Vorteile. Durch variable Verknüpfungsmöglichkeiten und insbesondere deren graphischer Darstellung werden die erforderlichen Auswertungen wesentlich effizienter.
Derzeit ist nicht vorgesehen, die Papierakte des HLFV durch HARIS zu ersetzen. Vor jeder Entscheidung eines Mitarbeiters des Verfassungsschutzes ist nach wie vor die Akte zu der betreffenden Person oder Organisation heranzuziehen.
HARIS läuft seit Sommer d.J. als Pilotprojekt mit Echtdaten. Ich werde in die Planung und Umsetzung einbezogen.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Das Hessische Landesamt für Verfassungsschutz erarbeitet im Zusammenhang mit dem Hessischen Innenministerium neue untergesetzliche Vorschriften, die seine Tätigkeit regeln. Daran werde ich von Anfang an beteiligt.
Gründe für die Überarbeitung bestehender und die Erarbeitung neuer Vorschriften sind zum einen Änderungen des zuletzt im Jahr 2007 novellierten Gesetzes über das Hessische Landesamt für Verfassungsschutz (36. Tätigkeitsbericht, Ziff. 3.1) aber auch Anpassungen an die praktische Tätigkeit des Hessischen Landesamtes für Verfassungsschutz. Zudem bedingt die Einführung der Amtsdatei HARIS (s.o.) eine Reihe neuer Regelungen.
Bisher wurden mir Vorschriften sowohl für den Bereich der Auswertung als auch den der Beschaffung von Informationen durch das HLFV vorgelegt.
In den Vorschriften über die Auswertung werden die Voraussetzungen, unter denen Informationen erhoben, gespeichert und gelöscht werden – unterhalb der gesetzlichen Normen – geregelt.
Die Vorschriften über die Beschaffung regeln Einzelheiten der Gewinnung von Informationen durch die Nutzung nachrichtendienstlicher Mittel, also insbesondere Observationen, Einsatz von Vertrauenspersonen und Einsatz technischer Maßnahmen, wie z.B. Abhörvorrichtungen. Da die Vorschriften als Verschlusssachen eingestuft sind, beschränke ich mich auf die Feststellung, dass der größte Teil meiner datenschutzrechtlichen Verbesserungsvorschläge akzeptiert wurde.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Amtlich anerkannte Überwachungsorganisationen zur Durchführung von Hauptuntersuchungen und Sicherheitsprüfungen nach der Straßenverkehrszulassungsordnung müssen der Aufsichtsbehörde auf Verlangen ihren jährlichen Revisionsbericht mit pseudonymisierten Angaben über die Tätigkeit der einzelnen Prüfingenieure in elektronischer Form vorlegen.
Zur Überwachung der ordnungsgemäßen und gleichmäßigen Durchführung der amtlichen Fahrzeuguntersuchungen verlangte das Regierungspräsidium Darmstadt vom DEKRA e.V., den jährlichen Revisionsbericht in elektronischer Form vorzulegen. Der Bericht enthält für jeden Prüfingenieur eine Auflistung der von ihm im Revisionszeitraum festgestellten Fahrzeugmängel. Die Prüfingenieure sind in dem Bericht zwar nicht mit Namen, sondern mit Nummern aufgeführt. Der DEKRA e.V. kann jedoch jederzeit die dahinter verborgene Person identifizieren. Der Gesamtbetriebsrat der DEKRA sah in der beabsichtigten Datenerhebung des Regierungspräsidiums eine unzulässige Leistungs- und Verhaltenskontrolle und bat mich um datenschutzrechtliche Überprüfung.
4.4.1.1
Verarbeitung personenbezogener Daten
Der DEKRA e.V. als amtlich anerkannte Überwachungsorganisation freiberuflicher Kfz-Sachverständiger nach Anlage VIIIb StVZO und die durch ihn betrauten Prüfingenieure sind mit der Wahrnehmung hoheitlicher Aufgaben Beliehene und unterliegen als solche staatlicher Aufsicht (Nr. 9 Anlage VIIIb StVZO). Dies hat freilich nicht zur Folge, dass im Verhältnis zur Aufsichtsbehörde keine Datenschutzvorschriften gelten, wie der Technische Leiter des DEKRA e.V. in einer Stellungnahme gegenüber dem Gesamtbetriebsrat meinte.
|
Nr. 9 Anlage VIIIb StVZO
|
|
§ 3 Abs. 6a BDSG
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
|
Nach Ansicht des Gesamtbetriebsrats fehlte eine ausreichende Rechtsgrundlage. Er war der Auffassung, dass die Aufsicht des Regierungspräsidiums sich zunächst auf den Technischen Leiter der amtlich anerkannten Überwachungsorganisation zu richten habe, um zu prüfen, ob dieser seinen gesetzlichen Aufgaben nachkomme. Bevor die Behörde personenbeziehbare Daten erhalte, habe sie zunächst die Aufsicht der beliehenen Organisation zu prüfen. Die Aufsicht habe sich auf die Überwachung zu beschränken und dürfe sich nicht selbst an die Stelle der beliehenen Organisation setzen.
Es sei völlig ausreichend, wenn der Behörde Informationen über die Fahrzeuge, ihre Altersstruktur, Fahrzeugort und Prüfort übermittelt würden, ohne dass gleichzeitig pseudonymisierte Daten der Prüfingenieure zur Verfügung gestellt würden. Das Regierungspräsidium könne seine Aufsichtspflicht erfüllen, ohne dass dem Revisionsbericht eine Auflistung der von jedem Prüfingenieur im Revisionszeitraum erkannten Mängel beigefügt werde. Es genüge, dass die Behörde überprüfe, inwieweit die mitgeteilten Prüfergebnisse signifikant von den bekannten Mängelwerten in Bezug auf Fahrzeugtypen und Altersstruktur abweichen. Bemerke die Überwachungsbehörde beispielsweise, dass an einem Prüfort auffallend viele ältere Fahrzeuge die Prüfung ohne Feststellung erheblicher Mängel überstanden hätten, könne dies ein Anlass sein, bei der Überwachungsorganisation nähere Informationen einzuholen. Die Überwachungsorganisation teile der Behörde z.B. mit, dass es sich um eine bestimmte Werkstatt handelte, und dass in diesem konkreten Fall bezüglich dieses Fahrzeugtyps keine Auffälligkeiten bestünden. Erst wenn die Überwachungsorganisation mit den von ihr zusätzlich übermittelten Angaben den begründeten Verdacht des Regierungspräsidiums auf unzureichende Prüfungen nicht ausräumen könne, dürften in diesem Fall aus konkretem Anlass personenbezogene Daten des Prüfers angefordert werden. Für die ordnungsgemäße Überwachung durch das Regierungspräsidium sei es daher nicht erforderlich, dass vorab bereits personenbeziehbare Daten aller Prüfingenieure mitgeteilt würden. Die Speicherung der Daten verstoße gegen den Grundsatz der Datensparsamkeit und stelle eine unzulässige Vorratsdatenspeicherung dar.
Bei der Durchführung der Überwachungstätigkeit sei die Aufsichtsbehörde verpflichtet, zunächst kritische Bereiche aufgrund der übermittelten Daten zu identifizieren und zu versuchen, diese gemeinsam mit der Überwachungsorganisation zu klären. Erst wenn dies nicht gelinge oder sich der Verdacht auf nicht korrekte Prüfungen bestätige, sei der Zugriff auf personenbezogene Daten im Einzelfall gerechtfertigt. Die Untersuchungs- und Prüfqualität könne in einem ersten Schritt geprüft und nachvollzogen werden, ohne dass dazu eine personenbeziehbare Prüferliste benötigt werde. Die Prüfung richte sich dann auf die jeweilige HU, AU und SP sowie die Abnahmen.
Der Gesamtbetriebsrat machte außerdem geltend, selbst wenn man seine Auffassung nicht teile, müsse die Aufsichtsbehörde zumindest konkrete Kriterien benennen, nach denen sie bei ihrer Prüftätigkeit von einer Auffälligkeit ausgehe. Sei die Aufsichtsbehörde beispielsweise der Meinung, dass beim Überschreiten einer bestimmten Anzahl täglicher Prüfungen der Verdacht auf eine nichtordnungsgemäße Prüfung bestehe, ließe sich der Eingriff auf diejenigen Fälle beschränken, in denen diese Anzahl überschritten werde. Aber auch in diesen Fällen müsse die Überwachungsorganisation zunächst die Möglichkeit haben, die große Anzahl zu erklären und das Ergebnis der eigenen Untersuchung mitzuteilen, ob ordnungsgemäß geprüft wurde oder nicht.
4.4.1.3
Zulässigkeit der Datenerhebung
Die Rechtsgrundlage für die Vorlage des Revisionsberichts findet sich in der aufgrund § 6 Abs. 1 Nr. 2 Buchstabe n StVG erlassenen Anlage VIIIb StVZO. Gemäß Nr. 2.4 Anlage VIIIb StVZO sind die Ergebnisse der Hauptuntersuchungen, Abgasuntersuchungen und Sicherheitsüberprüfungen für die Aufsichtsbehörden so zu sammeln und auszuwerten, dass jederzeit die Untersuchungs- und Prüfqualität für einen beliebigen Zeitraum innerhalb der letzten drei Jahre nachvollzogen werden kann. Die Aufsichtsbehörde kann gem. Nr. 9.1.2 Anlage VIIIb StVZO selbst prüfen, ob die Hauptuntersuchung, Abgasuntersuchung und Sicherheitsprüfung sowie die Abnahmen ordnungsgemäß durchgeführt und die sich sonst aus der Anerkennung oder aus Auflagen ergebenden Pflichten erfüllt werden. Der Gesamtbetriebsrat verkannte die rechtliche Stellung des Beliehenen. Das Demokratieprinzip verlangt, dass bei der Übertragung von Staatsaufgaben auf Private im Wege der Beleihung die Aufgabenverantwortung und die daraus folgende Garantenstellung für die Aufgabenerfüllung beim Staat verbleibt und durch eine effektiv genutzte umfassende Fach- und Rechtsaufsicht ausgeübt wird.
|
Anlage VIIIb StVZO
2. Voraussetzungen für die Anerkennung
Nr. 2.4 |
Die unmittelbare Kontrolle der Arbeit der Prüfingenieure vor Ort durch die Aufsichtsbehörde mittels Auswertung der pseudonymiserten Daten geschehe aus zwei Gründen: Zum einen sei es zur Gewährleistung der Sicherheit des Straßenverkehrs notwendig, dass Mängel bei der der amtlichen Prüfung von Fahrzeugen sofort abgestellt würden, dass z.B. fehlerhafte oder unvollständige Prüfberichte gleich korrigiert oder zurückgezogen würden. Zum anderen ließen sich aus der Beobachtung der Arbeitsweise von Prüfingenieuren und der anschließenden Auswertung der statistischen Daten des jeweiligen Prüfingenieurs Rückschlüsse auf die Qualität der Arbeit der technischen Leitung gewinnen, die anders nicht zu erlangen seien. Wenn beispielsweise im Zuge einer Aufsichtsmaßnahme vor Ort ein Prüfingenieur durch sehr schnelle oder oberflächliche Arbeitsweise auffalle und die Auswertung seiner Prüftätigkeit über die letzten Monate erkennen lasse, dass dies auch schon seit längerem aus den statistischen Daten erkennbar gewesen wäre, ergäben sich daraus Zweifel an der Qualität der Arbeit der technischen Leitung, die das hätte erkennen und gegensteuern müssen. Eine Aufsicht über die Arbeit der technischen Leitung ohne eigene Qualitätskontrollen, die sich nur auf die von der technischen Leitung gelieferten Berichte stütze, wäre weitgehend wirkungslos.
Plausibel begründete das Regierungspräsidium außerdem, weshalb es nicht ausreicht, lediglich die Daten der Prüfstützpunkte zu betrachten. Qualitätsprobleme würden durch das Handeln der Prüfingenieure und nicht durch bestimmte Prüfstützpunkte verursacht. Es habe sich gezeigt, dass die absolute Zahl der von einem Prüfingenieur durchgeführten Prüfungen ein wichtiges Indiz für mögliche Qualitätsprobleme sei, insbesondere wenn diese Prüfungen an relativ alten Fahrzeugen vorgenommen wurden. Diese Information ließe sich aus den Prüfstützpunktdaten nicht ableiten. Wenn nur die Prüfergebnisse der Stützpunkte vorlägen, würde dies die Identifizierung kritischer Bereiche erschweren und dazu führen, dass Mitarbeiter in den Fokus von Aufsichtsmaßnahmen gerieten, die aufgrund der pseudonymisierten Prüfergebnisse nicht auffällig wären. Läge z.B. ein Prüfstützpunkt hinsichtlich des Durchschnittsalters der geprüften Fahrzeuge kritisch hoch und wäre die Mängelquote ebenfalls relativ hoch wäre der Stützpunkt unauffällig. Dies wäre unproblematisch, solange der Prüfstützpunkt nur von einem Mitarbeiter betreut würde. Bei mehreren Prüfingenieuren könne es allerdings durchaus sein, dass von diesen einer seine Arbeit mangelhaft erledige, was aber durch die anderen statistisch ausgeglichen werde. Das Qualitätsproblem bliebe somit unbemerkt. Wenn umgekehrt ein Prüfstützpunkt statistisch auffällig wäre, der von mehreren Mitarbeitern betreut wird, und dies nicht durch besondere Merkmale des Prüfstützpunktes erklärbar wäre, müssten von allen Mitarbeitern die kompletten Daten personenbezogen geprüft werden, obwohl vielleicht nur einer die Qualitätsprobleme verursacht hat.
Das Regierungspräsidium beachtete somit auch den Grundsatz der Datensparsamkeit, in dem es zunächst nur pseudonymisierte Daten der Prüfingenieure verlangte, die lediglich bei Bedarf einer konkreten Person zugeordnet werden sollten.
4.4.1.4
Verfahrensregelung
Unter dem Vorsitz eines Vertreters meines Hauses haben sich das Regierungspräsidium Darmstadt und der DEKRA-Gesamtbetriebsrat u.a. auf folgendes Verfahren verständigt:
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Das Hessische Kultusministerium hat eine neue Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen in Kraft gesetzt. Bei der Erarbeitung der Verordnung war ich beteiligt. Den Belangen des Datenschutzes ist hinreichend Rechnung getragen.
Unter dem Titel „Datenschutz“ enthält § 83 des HSchulG bereichsspezifische Regelungen zum Datenschutz für den Schulbereich. Absatz 9 der Vorschrift enthält die Ermächtigung Umfang und Einzelheiten der personenbezogenen Datenverarbeitung in der Schule näher zu regeln.
|
§ 83 Abs. 9 HSchulG
Umfang und Einzelheiten der personenbezogenen Datenverarbeitung in der Schule werden durch Rechtsverordnung näher geregelt; dabei ist zu bestimmen, welche Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten außerhalb der Schule zu berücksichtigen sind. |
Auf der Grundlage dieser beiden Ermächtigungen erging durch das Hessische Kultusministerium am 4. Februar 2009 die „Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen“ (ABl. 2009 S. 131). Sie löst eine frühere Verordnung aus dem Jahre 1993 ab.
Die neue Verordnung konkretisiert zahlreiche datenschutzrelevante Sachverhalte. Dabei wird dem verfassungsrechtlichen Gebot der Transparenz und Normenklarheit datenschutzrechtlicher Bestimmungen entsprochen. Nur beispielhaft sind hier einige Einzelregelungen aufgezählt:
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Schulen können gedruckte Aushänge auch in Form eines elektronischen Aushangs auf Digitalen Schwarzen Brettern anzeigen. Die weitergehenden Möglichkeiten der elektronischen Verarbeitung werfen neue Fragestellungen auf.
Im Berichtszeitraum wurden erstmals Fragen zur datenschutzrechtlich korrekten Nutzung von sog. „Digitalen Schwarzen Brettern“ in Schulen an mich herangetragen.
Solange der elektronische „Aushang“ nicht für zusätzliche Aufgaben verwendet werden soll, lassen sich die Systeme unter Beachtung einiger technischer und organisatorischer Rahmenbedingungen, wie der herkömmliche Aushang, datenschutzgerecht betreiben. Da aber die moderne Plattform zu einer weitergehenden Nutzung einlädt und sich die einmal aufbereiteten Daten leicht auf das Internetangebot der Schul-Homepage übertragen lassen, ergeben sich doch einige neue Probleme.
Obwohl bis zur Mitte des Jahres 2009 keine nennenswerten Erfahrungen mit dem Betrieb der Systeme vorlagen, habe ich auch in Abstimmung mit dem Hessischen Kultusministerium einen Beitrag in meinem Internetangebot veröffentlicht, der die grundlegenden Fragen von Betroffenen wie Verantwortlichen zu beantworten sucht.
|
Den Schulen wird derzeit von verschiedenen Herstellern ein System zur Ablösung bzw. multimedialen Ergänzung des althergebrachten Aushangs angeboten. Unter Beachtung der datenschutzrechtlichen und technisch-organisatorischen Rahmenbedingungen können Digitale Schwarze Bretter in den Schulen eingesetzt werden.
Der Artikel soll betroffenen Schülern, Eltern und Lehrkräften als auch den Verantwortlichen der Schulen und Schulträger als erste Orientierung dienen.
Systembeschreibung
Das auf den Digitalen Schwarzen Brettern zur Verfügung gestellte Informationsangebot gliedert sich nach den derzeit vorliegenden Systembeschreibungen zumeist in drei verschiedene Informationsbereiche, die in den Beschreibungen der Hersteller z.T. als Module bezeichnet werden:
Vertretungsplan
Multimediales Informationsangebot Einfache Textnachrichten („Newsticker“).
Rechtlicher Rahmen/Abgrenzung zum Internet-Angebot der Schule
Die Beurteilung, welche personenbezogenen Daten im Rahmen des Schulbetriebs notwendigerweise verarbeitet werden müssen, obliegt in erster Linie der Schule vor Ort. Ist die Notwendigkeit der Datenverarbeitung zu bejahen, bedarf es insoweit auch keiner Einwilligung der Betroffenen. Das bedeutet bspw., dass durch das „Digitale Schwarze Brett“ auf dem Vertretungsplan bekannt gegeben werden darf, durch welche Lehrkraft eine Unterrichtsstunde (Angaben zu Tag, Uhrzeit, Klasse/Kurs) vertreten wird. Nicht erforderlich erscheint hingegen, in diesem Fall zusätzlich darauf hinzuweisen, welche Lehrkraft gerade nicht zur Verfügung steht und den Vertretungsfall ausgelöst hat. Deshalb ist auch nur die Bekanntgabe der vertretenden Lehrkräfte vorzusehen. Der Vertretungsplan kann ggf. zusätzlich auf einer Plattform einer geschlossenen Benutzergruppe (Schüler, Eltern und Lehrer) aber keinesfalls öffentlich im Internet zur Verfügung gestellt werden. Grundsätzlich nicht erforderlich und damit von einer Einwilligung abhängig sind bspw. Präsentationen am Digitalen Schwarzen Brett, die Abbildungen oder Videos mit Lehrkräften oder Schülern enthalten. Einer gesonderten Einwilligung bedarf es darüber hinaus, wenn solche Präsentationen nicht nur in der Schule veröffentlicht, sondern auch über das Internet der Allgemeinheit zugänglich gemacht werden sollen.
Bei der Systemauswahl haben Schulen und Schulträger folgende Punkte besonders zu beachten: Da es sich bei den Plattformangeboten um eine Datenverarbeitung im Auftrag handelt, müssen die Verträge mit den Systemanbietern den Erfordernissen des § 4 HDSG entsprechen. Dies schließt gemäß § 4 Abs. 3 HDSG unter anderem ein, dass der Auftraggeber vertraglich sicherzustellen hat, dass der Auftragnehmer die Bestimmungen des Hessischen Datenschutzgesetzes befolgt. Das bedeutet insbesondere auch, dass dem Auftragnehmer eine Verarbeitung der Daten zu einem anderen als dem zur rechtmäßigen Aufgabenerfüllung gehörenden Zweck untersagt ist (§ 9 HDSG). Außerdem muss sich der Auftragnehmer gemäß § 4 Abs. 3 HDSG der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen. Die Zugänge zur angebotenen Plattform müssen über eine verschlüsselte Verbindung erfolgen. Bei einer Produktauswahl ist daher darauf zu achten, dass bei den ggf. zum Einsatz kommenden SSL-Zertifikaten eine sichere Erstellung gegeben und für den angegebenen Gültigkeitszeitraum eine Sperrlistenprüfung möglich ist. Die schulspezifische Anmeldung an der zentralen Plattform, die auch von verschiedenen berechtigten Personen mit persönlichen Kennungen und Passwörtern erfolgen kann, muss den allgemeinen Ansprüchen an Authentisierungssysteme genügen. D.h. die Passwörter müssen mindestens 8 Zeichen lang sein und sich komplex aus Buchstaben, Ziffern und Sonderzeichen zusammensetzen. Soweit die eingesetzte Digitale Schwarze Brett-Software nicht über automatisierte Löschfunktionen verfügt, muss die Schule die notwendigen organisatorischen Maßnahmen zur Löschung nicht länger benötigter Daten treffen.
Separate Internetanbindung Werden Einzelgeräte bzw. die Digitalen Schwarzen Bretter einer Schule zusammengefasst über einen eigenen Internet-Zugang mit der Plattform verbunden, sind die Geräte mit allen Schnittstellen gegen unbefugte Zugriffe zu sichern. Geräte im pädagogischen Netz Da auch in den Unterrichtsnetzen personenbezogene Daten verarbeitet werden, sollte zusätzlich zum Gerät der unbefugte Zugang zu den Netzwerkanschlüssen verhindert werden. In Fällen, in denen dies nicht gewährleistet werden kann, ist der Schutz des Netzwerks auch durch eine entsprechende Konfiguration des Ports am Netzwerk-Switch möglich, der dann nur mit Geräten mit zugelassenen IP- und Mac-Adressen kommuniziert. Geräte im Verwaltungsnetz
Hier sollten wenn möglich beide Maßnahmen umgesetzt werden. Dem Schutz der Netzwerkverbindungen des Digitalen Schwarzen Bretts kommt dabei vorrangige Bedeutung zu, da es sonst durchaus möglich ist, die am Switch zugelassenen IP- und Mac-Adressen auszuforschen, mit einem anderen Gerät zu simulieren und über diesen Anschluss das Verwaltungsnetz anzugreifen. |
Weitaus schwieriger wird es, wenn die Schule am Digitalen Schwarzen Brett und darüber hinaus auf der „Homepage“ personenbezogene Daten, Bilder oder Videos im Zusammenhang mit Schulveranstaltungen veröffentlichen will. Hier benötigen die Schulen zwingend die Einwilligungen der betroffenen Schüler bzw. Eltern und Lehrer, die sich auch deutlich auf den Verbreitungsweg – Digitales Schwarzes Brett, Internet-Angebot, Schülerzeitung – beziehen muss. Dieses Vorgehen ist den Schulen nicht allein wegen der datenschutzrechtlichen Erfordernisse zwingend zu empfehlen, sondern auch weil die Rechtsprechung Klägern, die sich gegen eine ungenehmigte Veröffentlichung wenden, regelmäßig einen Schadenersatzanspruch zubilligt.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Gegen Ende des Berichtszeitraumes habe ich eine aktualisierte Auflage meiner erstmals im Jahre 1995 vorgestellten Broschüre „Datenschutz in Schulen“ herausgegeben. Die Broschüre kann bei meiner Behörde angefordert werden.
Im Jahre 1992 hatte der Gesetzgeber das Schulrecht neu geordnet und die Verarbeitung personenbezogener Daten in Schulen an eine Reihe von Bedingungen geknüpft. Danach erschien erstmals eine von meiner Behörde aufgelegte Schulbroschüre mit allen schulrechtlich relevanten Datenschutzbestimmungen.
Inzwischen ist das Schulgesetz mehrfach geändert worden. Die Änderung vom 29. November 2004 (GVBl. I S. 330) betraf auch datenschutzrechtliche Bestimmungen. Die Fassung vom 14. Juni 2005 (GVBl. I S. 442) wurde zuletzt geändert durch Gesetz vom 14. Juli 2009 (GVBl. I S. 265). Ergänzt werden die Vorschriften durch die vom Hessischen Kultusminister erlassene Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen vom 4. Februar 2009 (ABl. 3/2009 S. 131). Mit Erlassen vom 21. August 2009 (ABl. 9/2009 S. 726 ff.) und 27. November 2009 (ABl. 1/2010 S. 11) hat das Hessische Kultusministerium Details für die IT-Sicherheit und für den heimischen Arbeitsplatz der Lehrkräfte festgelegt.
Wegen der umfangreichen Änderungen war eine Überarbeitung der Schulbroschüre dringend notwendig. Die aktualisierte Auflage enthält die schulspezifischen Vorschriften ergänzt um die verfassungsrechtlichen Grundlagen zum Datenschutzrecht, das Hessische Datenschutzgesetz und das Bundesdatenschutzgesetz. Die Broschüre enthält aber nicht nur die für den Schulbereich wichtigsten Vorschriften. Sie legt auch die Regelungssystematik von allgemeinem und bereichsspezifischem Datenschutzrecht dar, erläutert und kommentiert datenschutzrechtliche Einzelregelungen.
Die neue Broschüre soll Schülerinnen und Schülern, Erziehungsberechtigten, Lehrerinnen, Lehrern und Schulleitungen einen Überblick über das aktuelle Datenschutzrecht geben. Sie wurde über die Staatlichen Schulämter allen hessischen Schulen zur Verfügung gestellt. Weitere Einzelexemplare können bei meiner Behörde angefordert werden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Infolge des 2007 vom Landtag beschlossenen Kindergesundheitsschutzgesetzes konnte die Zahl der an den sog. U-Untersuchungen teilnehmenden Kinder deutlich erhöht werden. Allerdings sind bei der Umsetzung des Gesetzes auch Probleme aufgetreten. Eine erhebliche Anzahl von Eltern hat Erinnerungsschreiben vom Kindervorsorgezentrum bzw. Anfragen eines Jugendamtes erhalten, obwohl ihr Kind zur Vorsorgeuntersuchung gebracht wurde bzw. obwohl ihr Kind bereits vorher verstorben war. Ich habe mich dafür eingesetzt, dass die Probleme genau analysiert und notwendige Maßnahmen zur Beseitigung der Probleme getroffen werden. Einige Fragen sind noch offen.
4.6.1.1
Einleitung
Mit dem Kindergesundheitsschutzgesetz wird eine Verbesserung des Gesundheitsschutzes von Kindern und ihres Schutzes vor Vernachlässigung, Misshandlung und Missbrauch angestrebt. Seit 1. Januar 2008 sind in Hessen die Vorsorgeuntersuchungen für Kinder verbindlich vorgeschrieben (Hessisches Gesetz zur Verbesserung des Gesundheitsschutzes für Kinder vom 14. Dezember 2007, GVBl. I S. 856). Zum einen ist die Teilnahme an den Früherkennungsuntersuchungen U4 bis U9 (s. Richtlinien des Bundesausschusses der Ärzte und Krankenkassen über die Früherkennung von Krankheiten bei Kindern bis zur Vollendung des 6. Lebensjahres, sog. Kinderrichtlinien) verbindlich. Zum anderen ist auch die Teilnahme an den Früherkennungsuntersuchungen auf behandelbare Stoffwechsel- und Hormonerkrankungen, das sog. Neugeborenen-Screening (s. Anlage 2 der o.a. Kinder-Richtlinien) verbindlich.
Durch Verordnung vom 21. Dezember 2007 (GVBl. I S. 962) wurde als Hessisches Kindervorsorgezentrum (HKVZ) das Universitätsklinikum Frankfurt bestimmt. Die gesetzlichen Regelungen sehen vor, dass die Kinder, die nicht innerhalb einer Frist an den jeweiligen Früherkennungsuntersuchungen teilgenommen haben, im HKVZ durch Abgleich mit den Meldedaten herausgefunden werden, die Eltern (bzw. Personensorgeberechtigten) dieser Kinder über die erforderlichen Früherkennungsuntersuchungen informiert und an die Teilnahme erinnert werden und – sofern weiterhin keine Teilnahme der die Früherkennungsuntersuchungen durchführenden Personen an das HKVZ gemeldet wird – das zuständige Jugendamt informiert wird (zu den Details der datenschutzrechtlichen Aspekte des Gesetzes s. 36. Tätigkeitsbericht, Ziff. 5.8.2). Nach dem Konzept der Landesregierung soll das HKVZ über die im Kindergesundheitsschutzgesetz geregelten Aufgaben auf der Basis einer Einwilligung der Eltern auch weitere Aufgaben im Hinblick auf weitere Früherkennungsuntersuchungen haben, z.B. hinsichtlich eines Hör-Screenings.
4.6.1.2
Probleme mit fehlerhaften Erinnerungs- und Mahnschreiben an die Eltern
Dem HKVZ zufolge konnte die Quote derjenigen Kinder, bei denen die U-Untersuchungen durchgeführt wurden, deutlich erhöht werden. Bei der Umsetzung des Gesetzes sind allerdings auch erhebliche Probleme aufgetreten. Nach dem Kindergesundheitsschutzgesetz sollen die Kinder, die nicht innerhalb einer Frist an den jeweiligen Früherkennungsuntersuchungen teilgenommen haben, im HKVZ durch einen Abgleich mit den Meldedaten herausgefunden werden. Eine zentrale Voraussetzung für die korrekte Durchführung des gesetzlich vorgesehen Abgleichsverfahrens ist die Aktualität der betroffenen Meldedaten im Melderegister. Bei den Diskussionen vor der Verabschiedung des Gesetzes gingen alle Beteiligten stillschweigend davon aus, dass die Aktualität der Meldedaten gewährleistet ist. Es sind jedoch in Hessen 2008 und 2009 Fälle bekannt geworden, in denen das HKVZ sowohl Erinnerungs- als auch Mahnschreiben wegen nicht durchgeführter Untersuchungen an Eltern verstorbener Kinder versandte. In einigen Fällen wurde sogar das Jugendamt benachrichtigt, welches dann Kontakt zu den Eltern der verstorbenen Kinder aufnahm. In diesen Fällen lag im Kindervorsorgezentrum offenbar keine Information über den Tod des betreffenden Kindes vor.
Nachdem ich im Herbst 2008 durch Beschwerden von Eltern verstorbener Kinder und auch durch Informationen des HMDIS und des HKVZ von dem Problem Kenntnis erhalten hatte, habe ich mehrere Gespräche mit dem HMDIS, dem HKVZ sowie weiteren Stellen initiiert, damit die Ursachen für die mangelnde Aktualität des Meldedatenbestandes schnell analysiert werden und anschließend geeignete Maßnahmen zur möglichst weitgehenden Beseitigung des Problems vereinbart werden können. Die Probleme konnten nicht im HKVZ gelöst werden. Es musste daher der gesamte Prozess der Datenverarbeitung vom Tod des Kindes bis zur Datenübermittlung an das HKVZ analysiert werden. Konkret heißt dies, dass die einzelnen Verfahrensschritte vom Tod eines Kindes, der Meldung des Todes an das zuständige Standesamt, der Beurkundung des Todes durch das Standesamt, der Datenübermittlung vom Standesamt an das zuständige Meldeamt und der Datenübermittlung vom Meldeamt an das HKVZ, die jeweils mindestens benötigte Zeit, möglicherweise auftretende Verzögerungen und deren Vermeidbarkeit im Detail untersucht werden mussten, um die Fehlerquellen zu finden und den Prozess zu optimieren.
Soweit die Ursachen geklärt werden konnten, lagen sie insbesondere in
|
Erlass vom 2. Januar 2010 – Az. LPP 22 – B – 023 – a – 02
Aufgaben der Standesämter und Meldebehörden: Für die Wahrnehmung der Aufgaben ist das HKVZ auf die Daten der Standesämter und Meldebehörden angewiesen. Sicherzustellen ist eine regelmäßige und zeitnahe Datenübermittlung aller in Hessen wohnhafter Kinder im Alter bis zu fünfeinhalb Jahren an das HKVZ. Durch eine Änderung der Meldedatenübermittlungsverordnung (MeldDÜVO) wurde die erforderliche Datenübermittlung an das HKVZ geregelt (vgl. § 18a MeldDÜVO). Danach sind die Meldebehörden verpflichtet, automatisiert die notwendigen Daten von Kindern bis zu einem Alter von fünfeinhalb Jahren dem HKVZ zu übermitteln. Im Falle der Speicherung einer Geburt im Melderegister, des Zuzugs eines Kindes unter fünfeinhalb Jahren oder der Fortschreibung der zu übermittelnden Daten (z.B. ein Sterbefall) übermitteln die Meldebehörden wöchentlich die Änderungen an das HKVZ. Sterbefälle sind nach § 28 PStG durch Personen mündlich (§ 29 Abs. 1 PStG) und von Einrichtungen sowie von registrierten Bestattungsunternehmen schriftlich (§§ 30, 29 Abs. 2 PStG) spätestens am dritten auf den Tod folgenden Werktag dem zuständigen Standesamt anzuzeigen. Nach § 38 PStV soll mit der Sterbefallanzeige eine Geburtsurkunde, ein Nachweis über den letzten Wohnsitz und eine ärztliche Bescheinigung über den Tod (Leichenschauschein oder vorläufige Todesbescheinigung) vorgelegt werden. Nach der Beurkundung des Sterbefalls hat das Standesamt u.a. eine Mitteilung an die Meldebehörde zu richten (§ 60 Abs. 1 Nr. 6 PStV), die wiederum die Information an das HKVZ übermittelt. Bedauerlicherweise ist es in der Vergangenheit zu verzögerten sowie fehlerhaften bzw. unvollständigen Veränderungsmeldungen an das HKVZ gekommen. Dies betraf etwa die Übermittlung von Sterbedaten von Kindern mit der Folge, dass von Seiten des HKVZ Aufforderungen zur Durchführung der Untersuchungen an die Personensorgeberechtigten versandt wurden, obwohl das Kind bereits verstorben war. Um derartige Fehler in Zukunft zu vermeiden und eine möglichst schnelle und korrekte Übermittlung der Daten an das HKVZ sicherzustellen, bitte ich im Einvernehmen mit dem hessischen Sozialministerium sowie in Absprache mit dem Hessischen Datenschutzbeauftragten Folgendes zu beachten: 1) Für den Bereich der Standesämter: Die Mitteilung von Sterbefällen von Kindern bis zu einem Alter von fünfeinhalb Jahren an die Meldebehörden nach § 60 Abs. 1 Nr. 6 PStV hat so schnell wie möglich, in der Regel noch am Tage der Beurkundung, spätestens jedoch innerhalb von drei Werktagen zu erfolgen. Erfolgt die Übermittlung an die zuständige Meldebehörde postalisch, bitte ich um Versendung per Einzelpost. Rückfragen von Seiten der Meldebehörde bzw. des HKVZ sind von den Standesämtern unverzüglich zu bearbeiten. 2) Für den Bereich der Meldebehörden: Die Bearbeitung von Sterbefällen und sonstigen Veränderungen im Datenbestand von Kindern bis zu einem Alter von fünfeinhalb Jahren hat vorrangig und mit besonderer Sorgfalt zu erfolgen. Sämtliche Änderungen von Daten, insbesondere aber Sterbefälle, werden täglich – und nicht erst wie bisher wöchentlich – dem HKVZ übermittelt. Rückfragen von Seiten des Standesamtes bzw. des HKVZ sind von den Meldebehörden unverzüglich zu bearbeiten. Das HKVZ wird sich im Falle von Zweifeln an der Plausibilität bei der Datenübermittlung und Datenzuordnung unverzüglich an die zuständige Meldebehörde bzw. das zuständige Standesamt wenden, um eine rasche Klärung zu erreichen.
|
Aufgrund der Analyse des gesamten Datenverarbeitungsprozesses wurde aber auch klar, dass infolge der Komplexität der Verwaltungsabläufe das Problem nicht vollständig gelöst werden kann, vielmehr damit gerechnet werden muss, dass in Einzelfällen das HKVZ immer wieder Kontakt mit Eltern verstorbener Kinder aufnimmt, weil es vom Tod des Kindes noch nichts weiß. Für diese auch künftig voraussichtlich auftretenden Restfälle wurde in den gemeinsamen Besprechungen Folgendes vorgesehen:
Darüber hinaus gibt es immer wieder Fälle, in denen Eltern Erinnerungs- oder Mahnschreiben oder auch einen Anruf des Jugendamts erhalten, obwohl ihr Kind rechtzeitig zur Untersuchung gebracht wurde. Auch in meiner Dienststelle sind Beschwerden mit diesem Inhalt eingegangen. Als mögliche Ursachen werden insbesondere eine Nichtbeachtung der Berichtspflicht durch einzelne Ärzte (von einzelnen Ärzte wird der Ablauf des Verfahrens, insbesondere die Unentgeltlichkeit der Berichte, kritisiert) und/oder Fehler von Praxismitarbeitern bei der Erstellung/Versendung der Bescheinigung sowie Verluste beim Postversand angesehen.
Ich sehe es als notwendig an, dass das HMAFG und das HMDIS die Gründe für fehlerhafte Anschreiben an Eltern und evtl. mögliche Maßnahmen zur Problembehebung noch weiter aufklären und werde die Entwicklung weiter verfolgen.
4.6.1.3
Weiterverarbeitung der Daten im Jugendamt
Aufgrund von Anfragen betroffener Eltern, ob ihre Akte im Jugendamt vernichtet wird, wenn sich herausstellt, dass die Untersuchung rechtzeitig durchgeführt wurde, haben meine Mitarbeiterinnen und Mitarbeiter stichprobenhaft in verschiedenen Jugendämtern Gespräche darüber geführt, auf welche Weise die beim Jugendamt eingegangenen Meldungen des HKVZ dort weiterverarbeitet werden. Insbesondere ging es auch um die weitere Verfahrensweise, wenn das Jugendamt feststellt, dass das betroffene Kind rechtzeitig zur U-Untersuchung gebracht wurde.
Nach Eingang einer Meldung wird in der Regel vom Jugendamt ein standardisierter Brief an die Eltern versendet mit dem Inhalt, dass das Jugendamt das Kind sehen möchte bzw. – wenn die Untersuchung entgegen der Meldung des HKVZ bereits durchgeführt wurde – das Jugendamt um Vorlage des U-Heftes oder einer Kopie der Bescheinigung des Arztes bittet. In der weit überwiegenden Anzahl der Fälle von Mitte 2008 bis Mitte 2009 hat sich nach Darstellung der Jugendämter herausgestellt, dass die Untersuchung des betroffenen Kindes bereits rechtzeitig durchgeführt wurde. Hintergrund der Meldungen waren neben nicht korrekt erfolgtem Bericht durch den Arzt an das HKVZ insbesondere nicht (mehr) zutreffende Meldedaten (z.B. Umzug, Auslandsaufenthalt von Eltern und Kind, uneinheitliche Schreibweise des Namens bei der Meldebehörde einerseits und dem Arzt andererseits, Tod des Kindes). In den Fällen, in denen eine Untersuchung nicht rechtzeitig durchgeführt wurde, treffen die Jugendämter die jeweils im Einzelfall als erforderlich angesehenen Maßnahmen.
Da die Jugendämter nach Eingang einer Meldung des HKVZ auf jeden Fall tätig werden, um die jeweilige Situation aufzuklären, sehen sie auch die Notwendigkeit, ihre Tätigkeit zu dokumentieren und die Akte u.a. zum Nachweis der durchgeführten Tätigkeit zumindest für sechs Jahre aufzubewahren, z.B. für den Fall, dass später evtl. Vorwürfe wegen unzureichender Tätigkeit erhoben werden oder dass bei der nächsten U-Untersuchung derselbe Fehler (z.B. falsche Meldedaten) passiert und das Jugendamt nach Vernichtung der Akte den Sachverhalt evtl. nochmals aufwendig recherchieren müsste.
Ich sehe es einerseits als ein nachvollziehbares Anliegen der Eltern an, dass über sie und ihr Kind nicht längerfristig eine Akte geführt wird, wenn sie sich korrekt verhalten haben, bzw. zumindest sichergestellt wird, dass die Dokumentation des Vorgangs ihnen nicht zum Nachteil gereichen wird. Andererseits ist mir auch nachvollziehbar, dass die Jugendämter eine Dokumentation ihrer Tätigkeit als notwendig ansehen. Die Dokumentation der Tätigkeit ist zur Aufgabenerfüllung erforderlich und steht im Einklang mit §§ 7, 11 HDSG. Was die Dauer der Speicherung der Dokumentation anbelangt, so erscheint mir eine einheitliche transparente Verfahrensweise in den Jugendämtern in Hessen wünschenswert, die beiden Interessen möglichst weitgehend gerecht wird. Die Speicherung bzw. Aufbewahrung der Unterlagen sollte im Jugendamt so erfolgen, dass kein Risiko für die Eltern entsteht, in einen falschen Verdacht zu geraten. Gemäß § 7 Abs. 5 HDSG steht betroffenen Eltern ein Widerspruch gegen die weitere Speicherung ihrer Daten zu, wenn ihr im konkreten Einzelfall schutzwürdige Gründe entgegenstehen. Unabhängig davon, dass die Speicherung der Dokumentation rechtmäßig ist, können Eltern daher eine zusätzliche Prüfung durch das Jugendamt veranlassen, ob die Daten aufgrund der besonderen persönlichen Lage der Betroffenen frühzeitig gelöscht werden können.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Der Aufbau elektronischer Patientenakten in den Krankenhäusern erfordert eine differenzierte Ausgestaltung der Zugriffsmöglichkeiten des Personals. Bei der Umsetzung der datenschutzrechtlichen Vorgaben sind u.a. auch in Hessen Defizite bekannt geworden. Sowohl Krankenhäuser als auch Softwarehersteller sind gefordert, den Datenschutz zu verbessern. Die Datenschutzbeauftragten des Bundes und der Länder haben eine Arbeitsgruppe eingerichtet, um diesen Prozess zu unterstützen.
4.6.2.1
Rechtliche Ausgangspunkte
Ein Krankenhaus ist keine rechtliche Einheit, innerhalb derer personenbezogene Patientendaten beliebig offenbart werden dürfen. Dies gilt insbesondere vor dem Hintergrund, dass Krankenhausinformationssysteme (KIS) zu unverzichtbaren Hilfsmitteln der Behandlung in Krankenhäusern geworden sind. Ein Abruf der darin elektronisch gespeicherten Patientendaten ist technisch jederzeit ortsungebunden und sekundenschnell möglich. Dies ermöglicht einerseits eine schnelle und effiziente Information und Entscheidung durch das Personal, macht andererseits aber auch eine differenzierte Ausgestaltung der Zugriffsmöglichkeiten zwingend erforderlich. Z.B. rechnet ein Patient eines Universitätsklinikums nicht damit und muss auch nicht damit rechnen, dass die mehreren tausend Mitarbeiterinnen und Mitarbeiter des Universitätsklinikums seine sensitiven detaillierten medizinischen Daten während seiner Behandlung – vielleicht sogar noch Jahre danach – zur Kenntnis nehmen können. Sowohl in Deutschland wie auch international sind immer wieder Fälle bekannt geworden, in denen zu weit gehende Zugriffsrechte dazu geführt haben, dass Klinikmitarbeiter Behandlungsdaten von Bekannten, Kollegen oder Prominenten unzulässig eingesehen und weitergegeben haben.
4.6.2.1.1
Rechtslage in Hessen
Im Detail sind die datenschutzrechtlichen Vorgaben in den Bundesländern unterschiedlich geregelt. Nicht alle Bundesländer haben z.B. Landeskrankenhausgesetze verabschiedet. Im Grundsatz gilt aber bundesweit, dass ein Zugriff auf die Daten eines Patienten nur denjenigen Krankenhausmitarbeiterinnen und -mitarbeitern möglich sein darf, die in diese Behandlung einbezogen sind oder die Behandlung verwaltungsmäßig abwickeln. In Hessen ist im Hessischen Krankenhausgesetz (HKHG) ausdrücklich vorgeschrieben, dass die in § 12 Abs. 2 HKHG festgelegten rechtlichen Voraussetzungen für Datenübermittlungen entsprechend auch für die Weitergabe von Patientendaten zwischen Fachabteilungen Anwendung finden (§ 2 Abs. 3 HKHG).
|
§ 12 HKHG
(1) Für Krankenhäuser gelten die Bestimmungen des Hessischen Datenschutzgesetzes vom 11. November 1986 (GVBl. I S. 309) in der jeweils geltenden Fassung ohne die Einschränkung für öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen, nach Maßgabe der nachfolgenden Absätze.
(2) Die Übermittlung von Patientendaten an Personen oder Stellen außerhalb des Krankenhauses ohne die Einwilligung der oder des Betroffenen ist abweichend von den Vorschriften des Hessischen Datenschutzgesetzes nur zulässig, soweit dies erforderlich ist |
4.6.2.1.2
Rechtliche Vorgaben der EU-Datenschutzrichtlinie
Entsprechende rechtliche Vorgaben enthält auch die EU-Datenschutzrichtlinie (Richtlinie der EG 1995/46 vom 24. Oktober 1995). Zu den rechtlichen Anforderungen der Richtlinie an die Ausgestaltung von elektronischen Krankenakten hat die Art. 29 – Datenschutzgruppe der EU (ein in Art. 29 der Richtlinie vorgesehenes unabhängiges Beratungsgremium, in dem die Datenschutzbeauftragten aller EU-Mitgliedstaaten vertreten sind) 2007 ein Arbeitspapier veröffentlicht, in dem u.a. dargelegt wird, dass Ausgangspunkt der Ausgestaltung der Zugriffsberechtigungen der Behandlungszusammenhang sein sollte; Zugriff sollte nur haben, wer an der aktuellen Behandlung mitwirkt. Weitere Differenzierungen werden empfohlen, z.B. nach Art der medizinischen Fachkraft und nach Art der Daten. (Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten (EPA), 2007http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm.)
4.6.2.1.3
Entscheidung des Europäischen Gerichtshofs für Menschenrechte
2008 hat sich auch erstmals der Europäische Gerichtshof für Menschenrechte (EGMR) mit der Ausgestaltung und Kontrolle von Zugriffen auf Krankenhausdaten befasst (Rechtssache I v. Finland, Application No. 20511/03, Urteil vom 17. Juli 2008). Die Entscheidung betrifft den Fall einer Klägerin, die in einem öffentlichen Krankenhaus arbeitete und in diesem Krankenhaus auch als Patientin behandelt wurde. Auf das Krankenhausinformationssystem konnten zum Zeitpunkt ihrer Behandlung alle dort Beschäftigten zugreifen. Nachdem ihr Arbeitsvertrag nicht verlängert worden war, verklagte sie den Krankenhausträger als Arbeitgeber auf Schadensersatz und Schmerzensgeld, weil dies aus ihrer Sicht die Folge eines unbefugten Zugriffs auf ihre Krankheitsdaten durch ihren Arbeitgeber war. Sie verlor in allen Instanzen. Die finnischen Zivilgerichte wiesen sie mit der Begründung ab, sie habe nicht beweisen können, dass auf ihren Datensatz unbefugt zugegriffen wurde. Diesen Beweis konnte sie aber wegen einer unzureichenden Protokollierung der Zugriffe nicht führen. Auf ihre Klage hin hat nun der EGMR Finnland sowohl zur Zahlung von Schadensersatz als auch von Schmerzensgeld verurteilt, und zwar mit folgender Begründung: In der fehlenden Protokollierung der Zugriffe liege ein Verstoß gegen das Menschenrecht auf Achtung des Privatlebens (Art. 8 Europäische Menschenrechtskonvention), weil dies der Grund dafür sei, dass die Klägerin nicht habe beweisen können, dass zu Unrecht auf ihre medizinischen Befunde zugegriffen wurde (zur Verarbeitung der Daten von Mitarbeiterinnen und Mitarbeitern als Patientinnen und Patienten im Krankenhaus s. auch Ziff. 4.6.3).
4.6.2.1.4
Konkrete Anforderungen
Was die Einzelheiten der Zugriffsausgestaltung in den Krankenhäusern anbelangt, so hängt die konkrete Umsetzung der rechtlichen Forderungen auch von organisatorischen und technischen Aspekten im jeweiligen Krankenhaus ab. Die folgenden Anforderungen müssen in jedem Fall berücksichtigt werden:
4.6.2.2.1
Überprüfung einer Beschwerde
Im Zusammenhang mit Überprüfungen der Datenübermittlungen zwischen Krankenhäusern und Medizinischen Versorgungszentren habe ich bereits in meinem Tätigkeitsbericht für 2008 festgestellte Probleme dargestellt (37. Tätigkeitsbericht, Ziff. 4.7.4). Im Berichtszeitraum habe ich eine Beschwerde zum Anlass genommen, die Ausgestaltung der Zugriffsberechtigungen auf das KIS der betroffenen Klinik vor Ort zu überprüfen. Im Rahmen der Prüfung habe ich erhebliche Defizite bei der Ausgestaltung der Zugriffsberechtigungen und Abläufe festgestellt.
Die Diskussion über einige weitere Bereiche ist noch nicht abgeschlossen. Teilweise ist eine Lösung der Probleme dadurch wesentlich erschwert, dass das eingesetzte KIS die Umsetzung der datenschutzrechtlichen Anforderungen nicht hinreichend technisch unterstützt.
Aus datenschutzrechtlicher Sicht habe ich eine Protokollierung aller lesenden Zugriffe der bettenführenden Fachabteilung auf die „eigenen“ medizinischen Daten nicht als notwendig angesehen. Für alle darüber hinausgehenden Zugriffsberechtigungen ist eine Protokollierung lesender Zugriffe geboten. Dabei ist zu beachten, dass eine Protokollierung nur zielführend sein kann, wenn eine stichprobenhafte Überprüfung und die Kontrolle von Einzelfällen in effektiver Weise gewährleistet ist. Eine Überprüfung sollte auch dazu beauftragten Personen möglich sein, die nicht über Fachkenntnisse bezüglich der Datenbank verfügen. Diese Anforderungen waren zu dem Zeitpunkt, auf den sich die Beschwerde bezog, nicht erfüllt. Ein Konzept zur Ausgestaltung der Protokollierung wird erarbeitet; auf Basis des Konzepts soll dann ein eigenes Tool programmiert werden.
Eine wesentliche Kontrollfunktion ist dann theoretisch vorhanden. Zur vollständigen Umsetzung ist es erforderlich, dass die Klinikleitung dem internen Datenschutzbeauftragten den expliziten Auftrag erteilt, die Zugriffe bei konkretem Anlass und stichprobenhaft nachzuvollziehen und auf ihre Erforderlichkeit zu überprüfen, soweit notwendig auch durch Befragung der betroffenen Mitarbeiter.
4.6.2.2.2
Bundesweite Aktivitäten
Auch in anderen Bundesländern wurden teilweise erhebliche Defizite festgestellt. So hat z.B. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in seiner Presseerklärung vom 2. Juni 2009 darauf hingewiesen, dass Prüfungen in Krankenhäusern erhebliche Missbrauchsgefahren bei der Nutzung elektronischer Patientenakten offenbarten (http://www.hamburg.de/datenschutz/aktuelles/1506372/pressemeldung-2009-06-02.html) und gemeinsam mit behördlichen und betrieblichen Datenschutzbeauftragten der Hamburger Krankenhäuser „Normative Eckpunkte für Zugriffe auf elektronische Patientendaten im Krankenhaus“ für die weitere Diskussion entworfen (http://www.hamburg.de/contentblob/1722358/data/normative-eckpunkte-patientendaten.pdf).
Die Datenschutzbeauftragten des Bundes und der Länder haben sich auf ihrer 78. Konferenz am 8. und 9. Oktober 2009 mit diesem Thema befasst und eine Entschließung dazu verabschiedet: „Krankenhausinformationssysteme datenschutzgerecht gestalten!“ (s. Ziff. 9.12). Darüber hinaus haben die Datenschutzbeauftragten des Bundes und der Länder eine gemeinsame Arbeitsgruppe eingerichtet, die auf eine generelle Verbesserung des Datenschutzes in den Krankenhäusern abzielt. Sie wollen gemeinsame Diskussionen u.a. mit Krankenhausvertretern und auch mit Software-Herstellern initiieren. Wenn Software-Hersteller auf dem Markt langfristig durchsetzbare datenschutzgerechte Produkte anbieten wollen, müssen sie in ihren Systemen die Abbildung einer behandlungs- und patientenbezogenen Zugriffslogik sowie die notwendigen Funktionen für eine effiziente Protokollierung und Auswertung der Protokolle unterstützen. Der Hessische Datenschutzbeauftragte wird sich an dieser Arbeitsgruppe beteiligen.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Immer wieder richten Krankenhausmitarbeiter Anfragen an mich, wie ihre eigenen Behandlungsdaten im Krankenhaus effektiv geschützt werden können. Die datenschutzrechtlichen Regelungen schreiben vor, dass die Krankheitsdaten ausschließlich zweckgebunden verwendet werden dürfen. Insbesondere darf die Personalabteilung keine Kenntnis der Behandlungsdaten erhalten.
Offensichtlich kommt es relativ oft vor, dass sich Krankenhausmitarbeiter bei einer Erkrankung in dem Krankenhaus, in dem sie arbeiten, auch als Patient behandeln lassen. Hintergrund kann z.B. sein, dass ihnen ein kompetenter Krankenhausarzt persönlich bekannt ist und sie sich von ihm behandeln lassen möchten, oder dass eine Behandlung in diesem Krankenhaus für sie zeitlich leichter einzurichten ist. Immer wieder erhalte ich jedoch zu dieser Situation Anfragen: Krankenhausmitarbeiter fragen nach, wie ihre Behandlungsdaten geschützt sind, weil sie befürchten, dass Informationen über ihre Krankheit ihrem Arbeitgeber zur Kenntnis gelangen könnten und sich dies nachteilig für sie auswirken könnte. Auch interne Datenschutzbeauftragte erkundigen sich häufig, ob es für diese Situation spezielle Regelungen gibt und/oder spezielle Verfahrensabläufe realisiert werden können.
4.6.3.1
Rechtliche Vorgaben für eine zweckgebundene Verwendung der Behandlungsdaten im Krankenhaus
Für die Verarbeitung personenbezogener Patientendaten im Krankenhaus gelten die speziellen Regelungen in § 12 Abs. 2 HKG; ergänzend sind gemäß § 12 Abs. 1 HKG die Bestimmungen des Hessischen Datenschutzgesetzes (HDSG) anzuwenden. Gemäß §§ 13 Abs. 1 und 2, 12 Abs. 2 und 3 HDSG dürfen die Patientendaten grundsätzlich nur für den Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert worden sind, d.h. konkret für die Durchführung des Behandlungsvertrages. Ein Zugriff auf personenbezogene Daten ist jeweils nur in dem Umfang zulässig, in dem die personenbezogenen Daten tatsächlich zur Erfüllung der jeweiligen konkreten Aufgabe der Beschäftigten erforderlich sind. Ein Krankenhaus ist daher keine rechtliche Einheit, innerhalb derer personenbezogene Patientendaten beliebig offenbart werden dürfen. Auch innerhalb des Krankenhauses gilt die ärztliche Schweigepflicht im Sinne der Berufsordnung und des Strafgesetzbuchs. So darf insbesondere eine Fachabteilung, die einen Patienten nicht behandelt, dessen detaillierte medizinische Daten grundsätzlich nicht zur Kenntnis erhalten, es sei denn, sie übernimmt die Mit- oder Nachbehandlung. Das Verwaltungspersonal hat Zugriff auf die Patientendaten, soweit dies für seine Aufgabenerfüllung und für den jeweiligen Zweck erforderlich ist im Rahmen der Durchführung des Behandlungsvertrages (z. B. Abrechnung mit den Kostenträgern, Daten i.S.v. § 301 SGB V).
Spezielle Regelungen für den Umgang mit den Patientendaten der eigenen Krankenhausmitarbeiter gibt es nicht. Gerade in diesen Konstellationen ist jedoch die strikte Einhaltung der Zweckbindung der Behandlungsdaten von besonderer Bedeutung für die Betroffenen. Weder die Personalabteilung noch möglicherweise persönlich interessierte Kolleginnen oder Kollegen dürfen die Behandlungsdaten zur Kenntnis erhalten. Die Krankenhäuser müssen sich – auch in ihrem eigenen Interesse – überlegen, wie sie die Behandlungsdaten ihrer Mitarbeiterinnen und Mitarbeiter angemessen schützen können. Dabei kommt es entscheidend auf die Situation vor Ort an. Grundsätzlich ist es z.B. möglich, dass ein Krankenhaus auf freiwilliger Basis einen über die dargelegten Vorschriften hinausgehenden Schutz einführt, indem es eine Pseudonymisierung der Patientendaten aller Krankenhausmitarbeiter vornimmt. Allerdings ist dies organisatorisch zumindest während des Zeitraums der Behandlung sehr schwierig, weil während einer Behandlung im Regelfall Dokumente zu dem Behandlungsfall empfangen und auch an externe Dritte versandt werden müssen und zu diesem Zweck ständig pseudonymisiert und depseudonymisiert werden müsste. Dem Hessischen Datenschutzbeauftragten ist bisher leider keine effektive Pseudonymisierungslösung in einem Krankenhaus zu diesem Zweck bekannt. Die o.a. dargelegten rechtlichen Vorgaben zur Zweckbindung der Daten können bei entsprechender Umsetzung (s. hierzu auch den Beitrag Ziff. 4.6.2) einen weitgehenden Schutz der Patientendaten gewährleisten. Zu Fragen der Vorgaben kann ein Mitarbeiter bei Bedarf den internen Datenschutzbeauftragten des Krankenhauses oder auch den Hessischen Datenschutzbeauftragten einschalten. Wenn einem Krankenhausmitarbeiter dies nicht ausreicht, bleibt ihm die Möglichkeit, für seine Behandlung ein anderes Krankenhaus aufzusuchen.
4.6.3.2
Zur Problematik eines Abgleichs der Daten neu aufgenommener Krankenhauspatienten mit den Personaldaten des Klinikums für Genesungswünsche
Im Berichtszeitraum erreichte mich die Anfrage eines Klinikums, das jedem im Klinikum stationär einliegenden Krankenhausmitarbeiter Genesungswünsche und einen Blumenstrauß zukommen lassen wollte. Um dies lückenlos gewährleisten zu können, wurde überlegt, die im Krankenhausinformationssystem gespeicherten Patientendaten mit den Daten der Personaldatenbank abzugleichen. In der von mir erbetenen Stellungnahme zu dieser geplanten Maßnahme habe ich mich kritisch dazu geäußert:
Die Intention, den in der Klinik behandelten Mitarbeiterinnen und Mitarbeitern Genesungswünsche und einen Blumenstrauß zukommen zu lassen, war vom Klinikum zweifelsohne als freundliche Geste gemeint. Die jahrelange Erfahrung des Hessischen Datenschutzbeauftragten ist es aber, dass Patienten, die zugleich Mitarbeiter des sie behandelnden Krankenhauses sind, oft in Sorge sind, dass ihr Arbeitgeber Krankheitsdaten über sie erfährt und eine Kenntnisnahme des Arbeitgebers bzw. der Personalabteilung von ihrer Behandlung im Krankenhaus definitiv nicht wünschen, sondern vielmehr auf eine strikte Abschottung ihrer Behandlungsdaten von der Personalabteilung dringen. Ein Abgleich der Behandlungsdaten mit der Personaldatenbank des Klinikums wäre eine Änderung der Zweckbestimmung der im Krankenhausinformationssystem gespeicherten Daten. Gemäß §§ 13 Abs. 1 und 2, 12 Abs. 2 und 3 HDSG dürfen die Patientendaten grundsätzlich nur für den Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert worden sind. Im konkreten Fall wurden die Patientendaten zur Durchführung des Behandlungsvertrages erhoben und gespeichert. Die in § 12 Abs. 2 und 3 HDSG abschließend aufgeführten Voraussetzungen, unter denen eine Änderung der Zweckbestimmung der Daten zulässig ist, sind im vorliegenden Fall nicht einschlägig.
|
§ 12 Abs. 2 und 3 HDSG
(2) Bei öffentlichen Stellen dürfen Daten im Einzelfall ohne seine Kenntnis nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht, zwingend voraussetzt oder der Betroffene eingewilligt hat, 2. die Bearbeitung eines vom Betroffenen gestellten Antrags ohne Kenntnis der Daten nicht möglich ist oder Angaben des Betroffenen überprüft werden müssen; der Betroffenen ist darauf hinzuweisen, bei welchen Personen oder Stellen seine Daten erhoben werden können, 3. die Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit und persönliche Freiheit dies gebietet, 4. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben oder 5. die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange des Betroffenen beeinträchtigt werden können.
(3) Beim Betroffenen und bei Dritten außerhalb des öffentlichen Bereichs dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn der Schutz von Leben und Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies im Einzelfall gebietet oder eine Rechtsvorschrift dies vorsieht oder, soweit es sich um eine Rechtsvorschrift des Bundes handelt, zwingend voraussetzt. |
Diskutiert wurde auch die Möglichkeit, einen Abgleich der Daten des Krankenhausinformationssystems mit der Personaldatenbank vorzusehen und den Krankenhausmitarbeitern ein Widerspruchsrecht gegen diese Maßnahme einzuräumen. Eine solche Verfahrensweise würde nicht die o.a. gesetzlichen Anforderungen an eine Änderung der Zweckbestimmung der Behandlungsdaten erfüllen und wäre daher unzulässig. Ein Widerspruchsrecht ist gegenüber einer Einwilligung ein deutlich begrenzteres Recht und ist nur dann ausreichend, wenn eine gesetzliche Regelung ausdrücklich ein Widerspruchsrecht statt einer Einwilligungslösung vorsieht.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
In dem Berichtszeitraum habe ich die Diskussion über die Ausgestaltung der Zugriffsberechtigungen in MVZ fortgesetzt. Zu den von mir zusammengestellten zentralen Anforderungen hat die LÄK differenziert Stellung genommen. Es besteht in vielen Punkten Konsens. Einige Fragen sind noch offen.
4.6.4.1
Einleitung
Im 37. Tätigkeitsbericht hatte ich über verschiedene Rechtsfragen im Zusammenhang mit MVZ berichtet (Ziff. 4.7.4). Ich hatte zunächst die rechtlichen Voraussetzungen einer Übermittlung von Patientendaten zwischen Kliniken und MVZ dargelegt (s. Bilanzbeitrag Ziff. 8.3). Ein weiteres Thema dieses Tätigkeitsberichts war die Ausgestaltung der Zugriffsmöglichkeiten auf Patientendaten innerhalb eines MVZ. Bundesweit gibt es teilweise MVZ mit bis zu 70 Ärzten und Patienten haben ein berechtigtes Interesse daran, dass ihre Krankheitsdaten nur denjenigen Personen bekannt werden, die in ihre Behandlung einbezogen sind.
Stichprobenhafte Prüfungen hatten gezeigt, dass in MVZ
4.6.4.2
Zentrale Anforderungen an die Zugriffsausgestaltung
Aufgrund der Diskussionen habe ich die folgenden zentralen Anforderungen zusammengestellt:
Wenn der Widerspruch eines Patienten gegen eine Einsichtnahme bestimmter Ärzte in seine Patientendaten technisch zwingend umgesetzt werden soll, dürfen diese Ärzte nicht auf die Daten zugreifen können. Die Möglichkeit eines allgemeinen lesenden Zugriffs durch diese Ärzte wäre in diesem Fall nicht akzeptabel. Wenn demgegenüber der Widerspruch eines Patienten gegen eine Einsichtnahme nur durch Protokollierung lesender Zugriffe, Durchsicht der Protokolle und bei Bedarf Aufklärung des Sachverhalts soweit wie möglich gewährleistet werden soll, können Ärzte technisch auf die Daten dieses Patienten zugreifen und ein unberechtigter Zugriff kann nur durch nachträgliche Kontrollen festgestellt und evtl. sanktioniert werden. In diesem Fall muss eine zeitnahe, technisch unterstützte effektive Auswertung der Protokolle gewährleistet werden.
4.6.4.3
Offene Fragen
In Absprache mit dem RP Darmstadt habe ich die in dem gemeinsamen Gespräch noch nicht abschließend geklärten Fragen zusammengefasst und die LÄK und die KV Hessen um schriftliche Stellungnahme gebeten. Die LÄK hat sich eingehend mit der Frage auseinandergesetzt, welche Ärzte innerhalb eines MVZ auf die Daten eines Patienten zugreifen dürfen und dabei folgendes Mehrstufenmodell vorgeschlagen:
|
Stellungnahme der LÄK (Auszug)
Überschaubarer Kreis von behandelnden Ärzten in einer ambulanten Einrichtung Grundsätzlich gehen wir davon aus, dass der Patient mit Abschluss des Behandlungsvertrages zumindest konkludent die datenschutzrechtliche Einwilligung abgibt, die Patientendaten in der jeweiligen Einrichtung zu erheben, zu nutzen und zu verarbeiten, sofern dies denn nach § 28 Abs. 7 BDSG erforderlich ist. Hinsichtlich des Merkmals der Erforderlichkeit beziehen wir auch Vertretung während Urlaub und Krankheit sowie die Tätigkeit im Mehrschichtbetrieb mit ein. Übertragen auf ein MVZ oder eine Gemeinschaftspraxis, in welchem eine überschaubare Anzahl von Ärzten fachübergreifend tätig ist, bedeutet dies, dass ein Patient aufgrund des Behandlungsvertrages Anspruch auf die gesamte Kompetenz dieser Ärzte hat und jeden Arzt der dort vertretenen Fachrichtung erforderlichenfalls auch ermächtigt, in die Behandlungsunterlagen Einblick zu nehmen. Im Regelfall sucht der Patient eine solche ambulante Einrichtung gezielt wegen der dort vorhandenen Fachkompetenz aus. Wünscht er abweichend eine Behandlung durch einen bestimmten Arzt nicht, ist es an ihm, ausdrücklich zu widersprechen. Sofern neben dem oder den Praxisinhabern angestellte Ärzte in einer Praxis tätig werden, hat die Landesärztekammer, auch um den Datenschutz des Patienten zu stärken, in die Berufsordnung die Verpflichtung aufgenommen, den Patienten über die Tätigkeit von angestellten Ärzten in angemessener Weise zu informieren (§ 19 Abs. 4 Berufsordnung). Ein Beispiel eines MVZ mit aus unserer Sicht noch überschaubarer Anzahl von tätigen Ärzten kann wie folgt beschrieben werden: In einem MVZ sind acht Ärzte der Fachrichtung Radiologie und acht Ärzte aus der Fachrichtung Orthopädie und Unfallchirurgie tätig. Ein Patient bedarf nach Beratung eines Facharztes für Orthopädie und Unfallchirurgie zunächst einer radiologischen Untersuchung und anschließend eine orthopädischen Therapie mit abschließender radiologischer Untersuchung. Sicher ist die im eben erwähnten Beispielsfall herausgegriffene Zahl von acht Ärzten pro Fachgebiet willkürlich. Da in einem MVZ jedoch ein Arztsitz durch vier Ärzte in Teilzeitbeschäftigung wahrgenommen werden kann, macht dieses Beispiel deutlich, dass der Patient bei entsprechender Behandlungsdauer in der Regel mit allen in diesem MVZ tätigen Ärzten in Kontakt treten wird.
Sofern der Kreis der in einem MVZ tätigen Ärzte jedoch so groß ist, dass regelmäßig nicht mehr davon ausgegangen werden kann, dass die dort tätigen Ärzte auch unter Berücksichtigung von Urlaubs- und Krankheitsvertretung sowie Einsatz im Mehrschichtsystem im Regelfall mit der Betreuung eines bestimmten Patienten befasst sein können, kann die oben erwähnte Parallele zwischen behandlungsvertragsrechtlicher Willenserklärung und datenschutzrechtlicher Einwilligung fraglich sein. Wann dieser Fall eintritt, kann in absoluten Zahlen unserer Ansicht nach nicht festgelegt werden. Hier kommt es auf die Organisation des MVZ im Einzelfall an. Sofern die hier vorgeschlagene Vorgehensweise anhand eines Mehrstufenmodells in der Praxis umgesetzt werden kann, kann zukünftig ggf. im Rahmen der Rechtsberatung einzelner Einrichtungen auf Erfahrungswerte zurückgegriffen werden.
Bei einem überschaubaren Kreis von behandelnden Ärzten in der jeweiligen Fachabteilung sollte zunächst geprüft werden, ob eine datenschutzrechtliche Orientierung anhand von Fachabteilungen möglich ist. Gegebenenfalls kommt eine Anlehnung an den Grundgedanken des § 12 Abs. 3 Landeskrankenhausgesetz in Betracht. Insoweit kann eine Begrenzung der Einwilligung auf die jeweilige Facharztgruppe, welche der Patient zunächst aufsucht, nach den unter 1. genannten Voraussetzungen angenommen werden. Wird beispielsweise die Behandlung des Patienten nach Aufnahme durch einen Facharzt für Orthopädie durch weitere Fachärzte notwendig, ist bei lebensnaher Betrachtung davon auszugehen, dass der zuvor behandelnde Facharzt den Patienten bspw. auf die Untersuchung und Behandlung durch Fachärzte für Radiologie hinweist. Folgt der Patient dieser Empfehlung ist zumindest eine konkludente Einwilligung zur Behandlung für die jeweilige in der ambulanten Einrichtung weiter tätige zahlenmäßig überschaubare Facharztgruppe anzunehmen. Über die Verfahrensweise sollte der Patient zuvor schriftlich informiert werden. Für die interne Organisation ist zudem zu fordern, dass die Ärzte nur dann Zugriff auf die Patientenunterlagen nehmen, wenn deren Hinzuziehung für die medizinische Behandlung notwendig ist. Im Regelfall sollte dies dokumentiert werden.
Erst wenn auch die einzelnen Fachgruppen in einer zahlenmäßigen Anzahl vorhanden sind, welche es ausschließt, dass alle in der jeweiligen Fachgruppe tätigen Ärzte die Behandlungsunterlagen für die Untersuchung oder Behandlung des Patienten benötigen, muss über weitere Einwilligungserfordernisse nachgedacht werden. Dies kann insbesondere bei einem MVZ in der von Ihnen beschriebenen Größe von bis zu 70 angestellten Ärzten der Fall sein. In einem solchen Fall sollte der Patient aus unserer Sicht über die Notwendigkeit der datenschutzrechtlichen Einwilligung zur Datenerhebung und -verarbeitung zu Beginn einer Behandlung besonders informiert werden. Eine mögliche Formulierung könnte sein: „In unserem MVZ sind …. Ärzte tätig. Um auch in Ihrem Interesse die Warte- und Behandlungszeiten kurz zu halten, wird der erstaufnehmende Arzt mit Ihnen die weiteren Untersuchungen und Behandlungen vereinbaren. Sie werden dann von unserem medizinischen Fachpersonal zum nachfolgenden Arzt geleitet. Dieser stellt sich mit Namen und Funktion vor. Sofern Sie mit der Weiterbehandlung oder Untersuchung nicht einverstanden sind, müssen Sie der Behandlung oder Untersuchung und der Nutzung ihrer Daten durch diesen Arzt widersprechen.“
Für die interne Organisation ist auch hier zu fordern, dass die Ärzte nur dann Zugriff auf die Patientenunterlagen nehmen, wenn deren Hinzuziehung für die medizinische Behandlung notwendig ist. Im Regelfall sollte dies dokumentiert werden. |
Die KV Hessen hat zu den von mir zusammengestellten offenen Fragen keine konkreten schriftlichen Vorschläge unterbreitet.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die KfH-Stiftung Präventivmedizin will eine nachhaltige Infrastruktur für die Forschung im Bereich der Nephrologie aufbauen, die für zukünftige wissenschaftliche Studien dauerhaft genutzt werden kann. Mit meiner Beratung wurde ein Datenschutzkonzept erstellt, das Umfang, Zweck sowie Art und Weise der Verarbeitung der Patientendaten und die den verschiedenen beteiligten Stellen jeweils obliegenden Verantwortlichkeiten festlegt. Diese Festlegungen sind Grundlage für die Patienteninformationen.
Die KfH-Stiftung Präventivmedizin in Neu-Isenburg (http://www.kfh-stiftung-praeventivmedizin.de) wurde von dem gemeinnützigen Verein „Kuratorium für Dialyse und Nierentransplantation e.V.“ (KfH) mit dem Ziel gegründet, Studien zur Erforschung des chronischen Nierenversagens (CKD) zu unterstützen, an der in Deutschland bis zu sechs Millionen Menschen leiden. Darüber hinaus ist es Ziel der Stiftung, eine zentrale Sammlung klinischer Daten (sog. Kerndatensatz) chronisch niereninsuffizienter Patienten aufzubauen, auf die auch im Rahmen künftiger Studien zugegriffen werden kann. Aufgrund einer Anfrage habe ich die Stiftung bei der Ausgestaltung des Datenschutzkonzepts für die Erhebung, Speicherung und künftige Nutzung der zentralen Datensammlung beraten. Dabei waren insbesondere die folgenden Punkte klärungsbedürftig:
4.6.5.1
Gemeinsamer Kerndatensatz
Im Rahmen jeder von der Stiftung geförderten Studie muss für jeden Studienteilnehmer ein gemeinsamer sog. Kerndatensatz (insbesondere Stammdaten der Patienten, Daten zum Krankheitsverlauf, Ergebnisse der klinischen Untersuchungen, Laborergebnisse, Lagerungsort von Biomaterialproben) erhoben werden. Dieser Kerndatensatz ist Bestandteil der konkreten Studie und wird zugleich in pseudonymisierter Form in die von der Stiftung aufgebaute zentrale Datensammlung aufgenommen.
Die zentrale Datensammlung wird berechtigten Wissenschaftlern für weitere Studien im nichtkommerziellen, medizinischen und gesundheitsökonomischen Bereich im erforderlichen Umfang zur Verfügung gestellt, damit sie bisherige Forschungsergebnisse nutzen und erweitern können. Berechtigte Wissenschaftler sind Wissenschaftler, denen der Zugriff auf Daten der zentralen Datensammlung nach Begutachtung eines Antrages durch den wissenschaftlichen Beirat und Beschluss der Aufsichtsgremien der KfH-Stiftung Präventivmedizin genehmigt wurde. Sollte ein Wissenschaftler auch Zugriff auf Proben von Patienten benötigen, so kann anhand der in der zentralen Datenbank gespeicherten Daten festgestellt werden, ob und ggf. wo Proben vorhanden sind. Die Proben werden dezentral gelagert und verwendet und über ihre Weitergabe entscheidet die dezentrale Studienleitung, nicht die Stiftung.
Geplant ist, den Kerndatensatz in der zentralen Datenbank über maximal 20 Jahre nach Ende der jeweiligen Studie zu speichern.
4.6.5.2
Pseudonymisierung des Kerndatensatzes
Das Pseudonymisierungskonzept orientiert sich in wesentlichen Punkten an dem von den Datenschutzbeauftragten des Bundes und der Länder konsentierten generischen Datenschutzkonzept der Telematikplattform der medizinischen Forschungsnetze (TMF, http://www. tmf-ev.de). Sofern ein Patient an mehreren Studien teilnimmt, erhält er für jede Studie ein anderes Pseudonym. Dies ergibt sich aus der Art und Weise, wie nach dem TMF-Modell Pseudonyme erstellt und Daten zwischen Studienzentrale und Datenbank übertragen werden. Studienzentrale, Betreiber des Pseudonymisierungsdienstes und Betreiber der Datenbank sind voneinander unabhängige Stellen.
Die Schritte sind wie folgt:
1.
Die Zentrale einer Studie vergibt in einem ersten Schritt einmalig für einen Patienten eine PID, d.h., einen studienspezifischen Identifikator. Nur die zuständigen Mitarbeiter der Studie können der PID die identifizierenden Daten des Patienten zuordnen.
2.
Die Daten werden nach dem Prinzip des doppelten Umschlags übertragen. Dazu werden die medizinischen Daten ebenso wie die PID verschlüsselt. Die medizinischen Daten sind so verschlüsselt, dass nur der Betreiber der Datenbank sie entschlüsseln kann, während die PID vom Pseudonymisierungsdienst entschlüsselt werden kann.
3.
Beide Datenpakete werden an den Pseudonymisierungsdienst übertragen.
4.
Dort wird das Datenpaket mit der PID entschlüsselt. Aus der PID wird gemäß den Regeln, die zwischen Studienzentrale und Pseudonymisierungsdienst abgestimmt sind, das Pseudonym (PSN) generiert. Jetzt wird das PSN für den Betreiber der Datenbank verschlüsselt. Es liegen jetzt sowohl die medizinischen Daten als auch das PSN für den Betreiber der Datenbank verschlüsselt vor.
5.
Es werden die medizinischen Daten und das PSN in verschlüsselter Form übertragen.
6.
Der Betreiber der Datenbank entschlüsselt die medizinischen Daten und das PSN und speichert die Daten in der Datenbank.
Die PID wird durch die Studien unabhängig voneinander festgelegt. Oft handelt es sich um laufende Nummern. Ein Patient, der an mehreren Studien teilnehmen würde, erhält in der Regel verschiedene PIDs und damit auch verschiedene PSN. Das System erlaubt es auch, dass der Pseudonymisierungsdienst je Studie nach anderen Regeln das Pseudonym generiert.
Zweifache Pseudonymisierung
Eine zweifache Pseudonymisierung kommt zustande, wenn eine Studie Daten an die Kerndatensatz-Datenbank liefert, die bereits nach dem TMF-Modell arbeitet. Die entsprechenden Daten liegen bei der Studie in pseudonymisierter Form vor. In diesem Fall würde beim Pseudonymisierungsdienst keine PID, sondern bereits eine PSN angeliefert. Für das Verfahren ist es unerheblich, ob eine PID oder ein PSN übertragen wird; es wird nach den vorgegebenen Regeln ein Pseudonym gebildet. Es würde also von einem Pseudonym ein weiteres Pseudonym abgeleitet.
Der Pseudonymisierungsdienst wird im Auftrag der Stiftung von einem externen Dienstleister betrieben. Die Stiftung hat keinen Zugriff auf den Schlüssel zur Pseudonymbildung.
4.6.5.3
Patienteninformation und -einwilligung
Rechtsgrundlage für die Speicherung des Kerndatensatzes in der zentralen Datenbank ist die Einwilligungserklärung des Patienten. In die für die konkrete Studie notwendige Information und Einwilligung des Patienten wird ein separater Abschnitt zur Information und Einwilligung in die langfristige Speicherung eines pseudonymisierten Kerndatensatzes in der zentralen Datenbank der Stiftung einbezogen. Dabei ist es aus datenschutzrechtlicher Sicht wichtig, dass für die Patienten die unterschiedlichen Zwecke und Verantwortlichkeiten transparent werden, die einerseits für die Datenverarbeitung der konkreten Studie gelten und andererseits bei der Datenverarbeitung in der zentralen Datenbank. Da die Patientendaten in der zentralen Datenbank pseudonymisiert (und nicht anonymisiert) gespeichert werden, müssen die Patienten auch darüber informiert werden, unter welchen Voraussetzungen ihre Daten depseudonymisiert werden dürfen. Nach dem Konzept ist dies ausschließlich mit Einwilligung der Betroffenen zulässig. In gemeinsamen Gesprächen wurde der Wortlaut der Information und Einwilligung der Patienten bezüglich des Kerndatensatzes mit mir abgestimmt. Er soll künftig in allen Studien gleichlautend sein.
4.6.5.4
Rückverschlüsselung des Pseudonyms aus dem Kerndatensatz
Es gibt Fälle, in denen zu Zwecken der Qualitätssicherung ein Pseudonym aufgelöst werden muss oder in denen ein Forscher zu einem Patienten und dessen Arzt Kontakt aufnehmen will. Damit dies geschehen darf, müssen die Rahmenbedingungen für eine Depseudonymisierung festgelegt sein und die Technik muss es unterstützen.
Technisch betrachtet muss es eine Nachricht geben, bei der vom Betreiber der Kerndatenbank ein PSN verschlüsselt an den Pseudonymisierungsdienst übertragen wird. Dort wird das Pseudonym in die PID umgerechnet und die PID dann verschlüsselt an die Studie übertragen. Durch die Zentrale der Studie kann anhand der PID der Patient bestimmt werden. Wenn erforderlich kann es einen Datenteil geben, der verschlüsselt von der Datenbank zur Studienzentrale geht.
4.6.5.5
Löschung des Kerndatensatzes
Es ist zurzeit noch nicht endgültig geklärt, wie verfahren wird, wenn ein Patient die Teilnahme beendet und seine Daten in der Kerndatenbank gelöscht werden sollen. Es gibt den Wunsch, die Daten weiterhin anonymisiert vorzuhalten. Wenn die Daten hinreichend anonymisiert sind, bestehen dagegen keine Bedenken.
Falls eine vollständige Löschung der Daten stattfinden soll, muss es eine passende Nachricht geben. Dann würden auf dem unter Ziff. 4.6.5.2 beschriebenen Weg keine medizinischen Daten von der Studienzentrale an die Kerndatenbank übertragen, sondern eine Löschanweisung. Durch passende Sicherheitsvorkehrungen muss gewährleistet werden, dass nur authentische Löschanweisungen weiter bearbeitet werden. Wenn die Anweisung bestätigt ist, müssen die zu der PSN gespeicherten Daten gelöscht werden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Viele Kliniken richten internetbasierte Zuweiserportale ein, über die die Kommunikation zwischen der Klinik und niedergelassenen Ärzten optimiert werden soll. Im Berichtszeitraum habe ich verschiedene Kliniken beraten, welche rechtlichen und technischen Aspekte zu berücksichtigen sind.
Im Gesundheitsbereich wird vielfach das Problem gesehen, dass die aktuellen, für die Behandlung notwendigen Patientendaten nicht zum richtigen Zeitpunkt am richtigen Ort vollständig zur Verfügung stehen. Insbesondere auch die Kommunikation zwischen verschiedenen an einer Behandlung beteiligten Ärzten bzw. Behandlungseinrichtungen wird als verbesserungsbedürftig angesehen. Einer der Ansätze hierfür ist die Einrichtung eines sog. Zuweiserportals in den Kliniken für die Kommunikation mit mit- oder nachbehandelnden Ärzten bzw. Behandlungseinrichtungen.
4.6.6.1
Was ist ein Zuweiserportal?
Der Begriff „Zuweiserportal“ wird in der Praxis nicht immer einheitlich verwendet. Grundsätzlich sind zwei unterschiedliche Konstellationen zu unterscheiden:
4.6.6.2
Mögliche Ausgestaltungsformen
Je nach konkretem Zweck und Beteiligten können Zuweiserportale unterschiedlich ausgestaltet sein. Zwischen den Beteiligten muss die konkrete Ausgestaltung vereinbart werden. Dabei sind insbesondere auch die folgenden Fragen zu klären:
4.6.6.3
Rechte des Patienten
Die allgemeinen rechtlichen Voraussetzungen einer Übermittlung von Patientendaten vom Krankenhaus an externe mit- oder nachbehandelnde Ärzte bzw. Behandlungseinrichtungen sind in § 12 Abs. 2 Nr. 2 HKHG geregelt. Nach dieser Vorschrift ist eine Übermittlung zulässig, soweit dies erforderlich ist zur Durchführung einer Mit- oder Nachbehandlung und soweit der betroffene Patient nach Hinweis auf die beabsichtigte Übermittlung nichts anderes bestimmt hat. Diese Vorschrift gilt auch für die Übermittlung von Patientendaten über ein Zuweiserportal.
|
§ 12 Abs. 2 HKHG
(2) Die Übermittlung von Patientendaten an Personen oder Stellen außerhalb des Krankenhauses ohne die Einwilligung der oder des Betroffenen ist abweichend von den Vorschriften des Hessischen Datenschutzgesetzes nur zulässig, soweit dies erforderlich ist
|
Eine schriftliche Information und Einwilligung des Patienten ist grundsätzlich vom Hessischen Krankenhausgesetz nicht zwingend vorgeschrieben. Im Interesse aller Beteiligten und zur Vermeidung von späteren Kontroversen kann allerdings eine schriftliche Festlegung hilfreich sein. So kann z.B. dem Patienten im Aufnahmeformular die Möglichkeit gegeben werden, die Ärzte anzugeben, die einen Entlassungsbericht des Krankenhauses erhalten sollen. Erfolgt im Krankenhaus lediglich ein Gespräch mit dem Patienten über die beabsichtigten Datenübermittlungen, so sollte zumindest dies Gespräch in der Krankenakte dokumentiert sein.
Wenn beabsichtigt wird, Datenübermittlungen an mit- oder nachbehandelnde Ärzte bzw. Behandlungseinrichtungen über ein Zuweiserportal vorzunehmen, ist bei der Entscheidung über die Verfahrensweise zu berücksichtigen, dass über ein Zuweiserportal in der Regel ein umfangreicherer Datenaustausch stattfindet und die Modalitäten der Übermittlung für den Patienten zunächst schwerer nachvollziehbar sind. Bei der Errichtung von Zuweiserportalen ist daher in der Regel eine schriftliche Information des Patienten notwendig, damit das Verfahren für den Patienten transparent ist und auch das Krankenhauspersonal entlastet wird. Dabei muss selbstverständlich nicht jedes Dokument konkret erwähnt werden, aber der konkrete Zweck und der allgemeine Umfang der Datenübertragungen (z.B. Art der Dokumente) müssen für den Patienten transparent sein. Zur Unterstützung der Krankenhäuser habe ich eine Musterinformation entworfen und auf meiner Homepage unter http://www.datenschutz.hessen.de/dg004.htm veröffentlicht. Der Musterentwurf kann an die jeweilige Situation im Krankenhaus angepasst werden.
Das Einholen einer schriftlichen Einwilligung des Patienten in die Einrichtung eines Zuweiserportals ist zu empfehlen, damit die Einhaltung der Vorschrift des § 12 Abs. 2 Nr. 2 HKHG jederzeit nachvollziehbar ist.
In einem Krankenhaus enthielt der übliche Aufnahmevertrag vorübergehend folgenden Passus:
|
„Der Patient ist damit einverstanden, dass das ... zur Verbesserung einer qualifizierten (Weiter-)Behandlung mit einigen einweisenden Ärzten und Krankenhäusern elektronisch kommuniziert. Dazu gehört auch, dass der behandelnde Vertragsarzt Einblick in Termine, Arztbrief und medizinische Dokumentationen nehmen kann. Der Patient entbindet das ... insofern von der ärztlichen Schweigepflicht. Das ... wird nicht mit den einweisenden Ärzten elektronisch kommunizieren, wenn der Patient damit nicht einverstanden ist. Dies kann er durch handschriftliche Streichung dieses Absatzes kenntlich machen.“ |
4.6.6.4
Technische Datensicherheitsmaßnahmen
In meinem 37. Tätigkeitsbericht (Ziff. 4.7.2) hatte ich von einem Projekt berichtet, bei dem Behandlungsinformationen in Form von Arztbriefen zwischen Krankenhäusern und Ärzten ausgetauscht werden. Die Dokumente werden vom Sender gezielt für den einzelnen Empfänger verschlüsselt, so dass nur dieser sie lesen kann. Sie werden dann auf einem Server gespeichert und stehen für den Empfänger bereit. Nachdem sich der Empfänger am Server angemeldet hat, kann er seine Dokumente herunterladen. Nur er ist in der Lage, sie auf seinem Rechner zu entschlüsseln. Während der gesamten Übertragung bleiben die Daten verschlüsselt und können nicht von Unbefugten zur Kenntnis genommen werden.
Dieser Ansatz wird bei den Zuweiserportalen aufgeweicht. Der Server, auf dem die Dokumente zwischengespeichert werden, wird vom Krankenhaus betrieben. Er befindet sich aber nicht mehr im besonders gesicherten inneren Kommunikationsnetz, sondern in einem vorgelagerten Netzsegment, einer sog. „demilitarisierten Zone“ (DMZ). Über das Internet können die berechtigten Ärzte auf den Server zugreifen. Die eigentliche Datenübertragung zwischen dem Rechner beim Arzt und dem Server erfolgt verschlüsselt. Der entscheidende Unterschied zu dem o.g. Konzept besteht darin, dass die Dokumente unverschlüsselt gespeichert werden. Damit ein unbefugter Arzt, der ein Zugriffsrecht für den Server besitzt, sie nicht zur Kenntnis nehmen kann, müssen auch die Zugriffsrechte auf die Dokumente korrekt vergeben sein. Diese Rahmenbedingungen führen zu Konsequenzen, wenn angemessene technische Datenschutzmaßnahmen erreicht werden sollen.
Sobald die Telematikinfrastruktur vorhanden ist, steht mit dem Heilberufeausweis (HBA) eine Technik zur Verfügung, die diese Anforderungen weitgehend umsetzen würde. Es bleiben aber organisatorische Maßnahmen wie die Zulassung zur Teilnahme und die Dokumentation der Abläufe umzusetzen.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Im Berichtsjahr hat einer meiner Mitarbeiter zusammen mit dem Datenschutzbeauftragten der Arbeitsgemeinschaft DMP Hessen (ARGE Hessen) die von der Firma systemform MediaCard betriebene Datenstelle in Hallstadt bei Bamberg sowie den Hauptsitz von systemform in Prien aufgesucht. Hinsichtlich der Gebäudesicherheit sowie des administrativen und organisatorischen Datenschutzes wurden keine gravierenden Mängel festgestellt.
4.6.7.1
Ausgangssituation
Bereits im 34. Tätigkeitsbericht habe ich mich mit der Verarbeitung personenbezogener, medizinischer Daten im Rahmen sog. Disease-Management-Programme (DMP) befasst (34. Tätigkeitsbericht, Ziff. 5.8.4). Seinerzeit ging es dabei um die unzulässige Verarbeitung dieser Daten durch die DMP-Datenstelle in Hallstadt bei Bamberg in einem Rechenzentrum in Vietnam. Die Aufarbeitung der organisatorischen, administrativen und technischen Unzulänglichkeiten in der sog. „Datenstelle“ sowie die Umsetzung erforderlicher Maßnahmen zu deren Beseitigung wurde von meiner Dienststelle seinerzeit angestoßen und in den folgenden Jahren von den Datenschutzbeauftragten der Arbeitsgemeinschaften DMP Hessen und Sachsen intensiv begleitet.
4.6.7.2
Erhebungsstelle in Hallstadt
Anlass der Prüfung war die ausgelaufene Zertifizierung der DMP-Datenstelle. Die Zertifizierung des Betriebs erfolgte im Jahre 2006 durch die TÜV Informationstechnik GmbH in Essen. Eine erneute Zertifizierung wurde durch die Arbeitsgemeinschaften DMP zwar nicht mehr gefordert. Jedoch war der aktuelle organisatorisch/administrative Ist-Zustand der Datenstelle ein Thema, das im Rahmen einer Überprüfung durch die TÜV-Informationstechnik GmbH behandelt wurde.
Die Prüfungsinhalte basierten auf diesem Prüfbericht aus dem Jahr 2008, in dem die Umsetzung der Auflagen aus dem Jahr 2006 bilanziert wurden und weitere Empfehlungen zum Datenschutz und der Datensicherheit formuliert waren.
Nach wie vor verarbeitet die Datenstelle eingehende DMP-Bögen, in denen medizinische Daten des Patienten zu einem bestimmten Krankheitsbild und dessen Behandlung dokumentiert werden. Diese Daten werden elektronisch aufbereitet und verschiedenen Stellen, wie z.B. dem Arzt oder der Krankenkasse, zur Verfügung gestellt. Mittlerweile werden die Daten vom Arzt auch in elektronischer Form und verschlüsselt übermittelt, so dass verschiedene Schritte zur Bearbeitung der Dokumente erforderlich sind. Das Volumen der Datenverarbeitung hat sich hinsichtlich der Krankheitsbilder ausgeweitet. So wurden zunächst nur die Daten von Diabetes-mellitus-Patienten verarbeitet. Mittlerweile sind Brustkrebs, koronare Herzerkrankungen, Asthma sowie COPD (eine spezielle Art von Lungenkrankheit) hinzugekommen.
4.6.7.3
Umsetzung der im TÜV-Prüfbericht geforderten Maßnahmen
Die im TÜV-Bericht aus dem Jahre 2006 geforderten Maßnahmen wurden durch den Datenstellen-Betreiber alle erfüllt. Empfehlungen aus dem TÜV-Bericht wurden jedoch zum Teil nicht umgesetzt. Einige dieser Maßnahmen werden exemplarisch nachfolgend dargestellt.
4.6.7.3.1
Zutritte zum Serverraum
Der Zutritt zum Serverraum ist nur mit einer Zutritt-Chipkarte möglich. Zusätzlich erfolgt eine Protokollierung des Zutritts. Eine Öffnung des Raumes per Schlüssel löst einen Alarm aus.
4.6.7.3.2
Regelmäßige Inventur der ausgegebenen Schlüssel
Die Schlüsselvergabe wird in regelmäßigen Abständen überprüft. Nicht ausgegebene Exemplare werden in einem Tresor aufbewahrt.
4.6.7.3.3
Einbeziehung der Notausgänge in das Alarmsystem
Die Notausgänge sind in das Alarmsystem eingebunden. Die akustische Warnung wurde optimiert. Die Einbeziehung des Archivraums und eine Schaltung zur Teamleitung Sachbearbeitung ist realisiert worden.
4.6.7.3.4
Besucherbuch/Verpflichtung auf das Datengeheimnis
Auch diese Auflagen wurden umgesetzt. Jeder Besucher der Datenstelle muss sich in ein Besucherbuch eintragen, in dem die Zeitpunkte des Kommens und Gehens hinterlegt werden.
4.6.7.3.5
Aufbewahrung der Sicherungsbänder
Der Empfehlung, für Hallstadt einen Tresor zu beschaffen und in einem anderen Brandabschnitt zu montieren, wurde aus Kostengründen nicht gefolgt. Im Gegenteil: die Bänder mit Sicherungen für sieben Arbeitstage wurden im Serverraum selbst gelagert. Die unmittelbar geäußerte Kritik wurde von dem Datenschutzbeauftragten der Datenstelle aufgegriffen. Künftig werden die Bänder in einem separaten Raum eines anderen Gebäudeteils verwahrt.
4.6.7.4
Verarbeitungsstelle in Prien
Im Hauptsitz in Prien erfolgt die Druckverarbeitung und Versendung von Arztbriefen und Schreiben an die Krankenkassen durch die Firma systemform MediaCard. Die Daten hierfür werden elektronisch von Hallstadt nach Prien übermittelt. Monatlich etwa 100.000 Datensätze werden hier verarbeitet. Schwerpunkt der Prüfung in Prien waren Aspekte der Gebäudesicherung, der Zugangs- und Zugriffskontrolle sowie das Trennungsgebot.
4.6.7.4.1
Gebäudesicherheit und Zutrittskontrolle
Im Zusammenhang mit einer Gebäudeerweiterung bzw. dem Umbau der Geschäftsräume in den Jahren 2007 und 2008 wurden die Sicherheitsstandards wesentlich erhöht. Der Neu- bzw. Anbau wurde in der sog. „Widerstandsklasse 4“ errichtet. Wände, Fenster und Türen entsprechen besonderen Sicherheitsbestimmungen. Das Gebäude ist zudem im Innen- und Außenbereich videoüberwacht, mit Bewegungsmeldern versehen und mit Lichtstrahlern (Außenbereich) ausgestattet, die sich im Alarmfall einschalten. Hinzu kommt ein „doppelter Zaun“, der die Annäherung an das Gebäude erschwert. Der Haupteingang sowie der Empfangsbereich sind ebenfalls per Kamera überwacht. Hinzu kommen die Zugänge zum Produktionsbereich sowie den Übergängen zu dem Bereich des Schwesterunternehmens „systemform Datenbelege“. Der Zutritt zum Sicherheitsbereich erfolgt durch ein kartengesteuertes Zutrittssystem sowie eine Sicherheitsschleuse. Ein solches Sicherheitssystem ist auch für die Anlieferung von Material sowie den Versand der Briefe realisiert.
Besucher müssen sich legitimieren, in ein Besucherbuch eintragen und werden in Begleitung durch das Haus geführt.
4.6.7.4.2
Zugriff auf die DMP-Daten
Die Arbeitsvorbereitung erstellt die Druckaufträge, die inkl. der Kuvertierung in einem besonderen Teil des Gebäudes und von den hierfür vorgesehenen Mitarbeitern abgearbeitet werden. Um die einzelnen Verarbeitungsschritte zu dokumentieren, wird für jeden Auftrag ein Arbeitsblatt angelegt. Sind die Produktionsschritte beendet, geht das Blatt an die Arbeitsvorbereitung zurück. Im Anschluss werden die aus Hallstadt übermittelten Datenbestände gelöscht. Eingang und Löschung der Daten werden protokolliert. Für diesen Verarbeitungsschritt existiert allerdings keine klare, festgelegte Regelung. Derzeit werden die Daten 14 Tage nach dem Postversand gelöscht. Den zeitlichen Puffer hat man für evtl. Rückfragen oder Unzulänglichkeiten der Postzustellung gewählt, um ggf. Briefe erneut zu versenden. Von Seiten der Auftraggeber gibt es hierzu keine expliziten Anweisungen. Dieser Punkt muss aufgegriffen und zumindest von der Erforderlichkeit der Datenspeicherung abhängig gemacht werden.
4.6.7.4.3
Papiervernichtung
Soweit personenbezogene Daten vernichtet werden müssen, bedient sich systemform eines externen, zertifizierten Dienstleisters. Auf die Anforderungen zur Sicherstellung einer datenschutzgerechten Vernichtung hinsichtlich der einzuhaltenden Sicherheitsstufe bei der Zerkleinerung haben die Datenschutzbeauftragten hingewiesen.
4.6.7.5
Fazit
Die datenschutzkonforme Verarbeitung von DMP-Daten ist grundsätzlich sichergestellt. Allerdings muss einschränkend bemerkt werden, dass sich die Prüfung vornehmlich auf administrative und organisatorische Aspekte sowie (in Prien) die Gebäudesicherheit bezog.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Ein Betroffener hat sich in meiner Dienststelle darüber beschwert, dass ein Gesundheitsamt für die von ihm beantragte Auskunft bzw. Akteneinsicht Gebühren in Höhe von 13 Euro je angefangener Viertelstunde forderte. Nach meiner Intervention über die Datenschutzbeauftragte der Kreisverwaltung konnte für den Beschwerdeführer die kostenfreie Auskunftserteilung bzw. Akteneinsicht gewährleistet werden.
4.6.8.1
Gebühren für Auskunft und Einsicht?
Das Recht auf Auskunft und Akteneinsicht nach § 18 HDSG gilt auch für personenbezogene Daten, die im Gesundheitsamt gespeichert werden. Die Erhebung und Speicherung personenbezogener Daten durch die Gesundheitsverwaltung ist umfassend.
Schuleingangsuntersuchungen, amtsärztliche Untersuchungen oder sozialpsychiatrische Stellungnahmen: nur wenige andere staatliche Stellen erheben und verarbeiten derart umfangreich personenbezogene Daten. So ist es leicht verständlich, dass Personen, die außerhalb der ohnehin gesetzlich vorgeschriebenen Kontakte mit dem Gesundheitsamt in Berührung kommen, sich für die Inhalte der zu ihnen geführten Akten interessieren.
Die Bitte um Akteneinsicht wurde jedoch für den Petenten zunächst zu einem Spießrutenlauf: das Gesundheitsamt forderte für die Einsichtnahme eine Gebühr von 13 Euro je angefangener Viertelstunde. Dies akzeptierte der Antragsteller nicht und wandte sich mit seinem Problem an meine Dienststelle.
4.6.8.2
Rechtliche Grundlagen für Auskunft und Akteneinsicht
Die Rechtsgrundlage für das Tätigwerden der Gesundheitsämter bildet das Hessische Gesetz über den öffentlichen Gesundheitsdienst (HGöGD, GVBl. I S. 659 vom 28. September 2007). Nach § 18 Abs. 4 HGöGD gelten die datenschutzrechtlichen Regelungen des HDSG. Hinsichtlich der Auskunft und der Einsicht ist dann § 18 HDSG einschlägig.
|
§ 18 Abs. 3 HDSG „Daten verarbeitende Stellen, die personenbezogene Daten automatisiert speichern, haben dem Betroffenen auf Antrag gebührenfrei Auskunft zu erteilen.
Sind personenbezogene Daten in Akten gespeichert, die zur Person des Betroffenen geführt werden, dann kann er bei der speichernden Stelle Einsicht in die von ihm bezeichneten Akten verlangen. |
4.6.8.3
Unkomplizierte Lösung des Problems
Im konkreten Fall konnte dem Beschwerdeführer schnell geholfen werden. Die Einschaltung der Datenschutzbeauftragten des Landkreises und deren Kontakt zum Gesundheitsamt führte dazu, dass man dort schnell den Irrtum erkannte, dem die Gebührenforderung zugrunde lag. Das Gesundheitsamt revidierte seine Auskunft und vereinbarte einen Termin, den der Beschwerdeführer im weiteren Verlauf auch wahrnahm.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die Gewährung oder Verlängerung von Sozialleistungen setzt Mitwirkungspflichten der Betroffenen voraus, wie sie die §§ 60 ff. SGB I vorsehen. Allerdings müssen die bei der Datenverarbeitung mitwirkenden öffentlichen Stellen den Grundsätzen der Erforderlichkeit und Verhältnismäßigkeit Rechnung tragen.
Ein Empfänger von Arbeitslosengeld II hatte sich über den Inhalt eines Gutachtens beschwert, welches vom Gesundheitsamt eines Landkreises im Auftrag einer SGB-II-Stelle (ARGE) erstellt und übermittelt wurde und in dem Fragen zur Arbeitsfähigkeit des Betroffenen beantwortet werden sollten. Der zuständige Arzt nutzte für die Erstellung des Gutachtens nicht das hierfür vorgesehene Formular der ARGE, sondern schrieb seine Feststellungen in einem formlosen Papier nieder. Dabei traf er u.a. auch Aussagen zur Person des Petenten bzw. seinem familiären Umfeld, welche für die eigentliche Fragestellung nicht von Bedeutung waren. So enthielt das sozialmedizinische Gutachten Angaben zur landsmannschaftlichen Herkunft der Eltern, den Geschwistern sowie Hobbys des Betroffenen. In der Weitergabe dieser Daten an die Arbeitsverwaltung sah der Beschwerdeführer eine Missachtung seines Rechts auf informationelle Selbstbestimmung und stellte die Frage nach der Erforderlichkeit für die Bewertung seiner Arbeitsfähigkeit.
Die Einschaltung des Gesundheitsamtes durch die ARGE war rechtmäßig. Denn zur Prüfung der Arbeitsfähigkeit kann der Sozialleistungsträger vom Leistungsempfänger verlangen, sich ärztlichen und psychologischen Untersuchungen zu unterziehen, um eine sachgerechte Entscheidung zu treffen (§ 62 SGB I).
|
§ 62 SGB I
Wer Sozialleistungen beantragt oder erhält, soll sich auf Verlangen des zuständigen Leistungsträgers ärztlichen und psychologischen Untersuchungsmaßnahmen unterziehen, soweit diese für die Entscheidung über die Leistung erforderlich sind. |
Sowohl die Arbeitsverwaltung als auch das Gesundheitsamt haben meine Position, die ich in einem gemeinsamen Gespräch zum Ausdruck gebracht habe, akzeptiert.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Berufsgenossenschaften haben gegenüber Unternehmen Auskunftsansprüche, um mögliche Regressansprüche geltend machen zu können.
Eine Tierklinik hat angefragt, ob sie der für sie zuständigen Berufsgenossenschaft (einem Träger der gesetzlichen Unfallversicherung) Auskunft über Tierhalter geben müsse. Hintergrund des Auskunftsverlangens war, dass zwei Mitarbeiter der Tierklinik durch zur Behandlung in der Tierklinik sich befindende Tiere verletzt worden waren. Diese Verletzungen wurden der Berufsgenossenschaft zwecks unfallversicherungsrechtlicher Abwicklung gemeldet. Daraufhin erbat die Berufsgenossenschaft von der Tierklinik Auskunft über Name und Anschrift der entsprechenden Tierhalter. Die Tierklinik befürchtete allerdings, mit einer solchen Auskunft ihre Kunden zu verärgern, und bat mich deshalb um datenschutzrechtliche Bewertung.
Ausgangspunkt der rechtlichen Würdigung ist § 116 SGB X, der Ansprüche des sozialrechtlichen Leistungsträgers gegen Schadensersatzpflichtige betrifft. Bei dieser Vorschrift geht es darum, dass die Versicherung bei Dritten Regress nehmen kann, die sich etwa nach Bürgerlichem Recht gegenüber den Versicherten schadensersatzpflichtig gemacht haben. Im konkreten Fall kommt insbesondere die Tierhalterhaftung nach §§ 833 BGB infrage.
|
§ 833 BGB Wird durch ein Tier ein Mensch getötet oder die Körper oder die Gesundheit eines Menschen verletzt ..., so ist derjenige, welcher das Tier hält, verpflichtet, dem Verletzten den daraus entstehenden Schaden zu ersetzen.
|
|
§ 116 Abs. 1 SGB X Ein auf anderen gesetzlichen Vorschriften beruhender Anspruch auf Ersatz eines Schadens geht auf den Versicherungsträger über, soweit dieser aufgrund des Schadensereignisses Sozialleistungen zu erbringen hat, die der Behebung eines Schadens der gleichen Art dienen und sich auf denselben Zeitraum wie der vom Schädiger zu leistende Schadensersatz beziehen.
|
|
§ 192 Abs. 3 SGB VII Die Unternehmen haben ferner auf Verlangen des zuständigen Unfallversicherungsträgers die Auskünfte zu geben, die zur Erfüllung der gesetzlichen Aufgaben des Unfallversicherungsträgers (§ 199) erforderlich sind.
|
|
§ 199 SGB VII Abs. 1. S. 2
Ihre (der Unfallversicherungsträger) Aufgaben sind:
|
|
§ 199 Abs. 1 Satz 1 SGB VII Die Unfallversicherungsträger dürfen Sozialdaten erheben, soweit dies zur Erfüllung ihrer gesetzlich vorgeschriebenen oder zugelassenen Aufgaben erforderlich ist.
|
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
In Kommunen kommt es häufig vor, dass Eltern ihre Kinder gleichzeitig in mehreren Kindertageseinrichtungen anmelden. Dadurch wird fehlerhaft ein höherer Bedarf an Plätzen in Kindertageseinrichtungen signalisiert, als es tatsächlich der Fall ist.
Um diesem Problem der Mehrfachanmeldungen von Kindern in Kindertageseinrichtungen zu begegnen, ist es datenschutzrechtlich zulässig, dass Kindertageseinrichtungen die Anmeldungen miteinander abgleichen, um den realen Bedarf bestimmen zu können.
Aufgrund einer Eingabe eines Elternvereins habe ich für die Stadt Frankfurt ein Verfahren begleitet, das die Organisation der Aufnahme von Kindern in Kindertageseinrichtungen unterstützt, insbesondere das Problem der Mehrfachanmeldungen behandelt.
Um Mehrfachmeldungen abgleichen zu können, werden von den Kindertageseinrichtungen in Frankfurt jeweils stadtteilbezogen einmal jährlich die Namen und Geburtstage der angemeldeten Kinder miteinander abgeglichen. Dieser Abgleich findet auf sogenannten Planungsforen statt, zu denen die Leitungen der Kindertageseinrichtungen Namenslisten der angemeldeten Kinder mitbringen.
Durch die damit verbundene Transparenz betreffend die Anmeldungen soll unterstützt werden, dass der in §§ 22 ff. SGB VIII (Kinder- und Jugendhilfe) normierte Auftrag, Kinder in Tageseinrichtungen zu fördern, möglichst bei allen in Tageseinrichtungen angemeldeten Kindern realisiert werden kann.
§ 24 SGB VIII regelt den Anspruch auf Förderung in Tageseinrichtungen im Einzelnen. Anhand von fachlichen Kriterien (z.B. Wohnungsnähe, Arbeitsplatznähe) wird entschieden, welches Kind in welche Kindertageseinrichtung aufgenommen wird.
Die für die Ausführung des SGB VIII notwendige Datenverarbeitung wird durch die speziellen kinder- und jugendhilferechtlichen Vorschriften, §§ 61 ff. SGB VIII, gedeckt. Der spezielle Sozialdatenschutz nach dem SGB VIII gilt nämlich nicht nur für die Träger der öffentlichen Jugendhilfe (hier: die Stadt Frankfurt), sondern auch dann, wenn Träger der öffentlichen Jugendhilfe Einrichtungen von Trägern der freien Jugendhilfe in Anspruch nehmen (§ 61 Abs. 3 SGB VIII). In diesem Fall soll für die freie Jugendhilfe der gleiche Datenschutz wie für die öffentliche Jugendhilfe maßgebend sein.
|
§ 61 Abs. 3 SGB VIII Werden Einrichtungen und Dienste der Träger der freien Jugendhilfe in Anspruch genommen, so ist sicherzustellen, dass der Schutz der personenbezogenen Daten bei der Erhebung und Verwendung in entsprechender Weise gewährleistet ist.
|
Ein spezielles Widerspruchsrecht der Eltern sehen die §§ 61 ff. SGB VIII nicht vor, so dass auf das generelle Sozialdatenschutzrecht, auf das § 61 Abs. 1 SGB VIII verweist, rekurriert werden muss.
§ 76 SGB X räumt ein Widerspruchsrecht indes nur ein, soweit es um die Übermittlung besonders schutzwürdiger Sozialdaten geht. Bei Namen und Geburtstag eines zu einer Tageseinrichtung angemeldeten Kindes ist das allerdings nicht der Fall.
Auch das in (§ 84 Abs. 1a SGB X i.V.m.) § 20 Abs. 5 BDSG verankerte Recht zum Widerspruch ist mit Blick auf den Abgleich der Mehrfachanmeldungen nicht betroffen, da bei diesem Abgleich die Daten, anders als besagte Regelung voraussetzt, weder automatisiert noch in nicht automatisierten Dateien weiterverarbeitet werden. Vielmehr findet nach dem Abgleich eine Speicherung nicht statt. Darauf wird in dem Anmeldeformular auch ausdrücklich hingewiesen.
|
§ 20 Abs. 5 BDSG Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an der Erhebung, Verarbeitung oder Nutzung überwiegt...
|
Obwohl sich nach alledem ein gesetzliches Widerspruchsrecht mit Blick auf den Abgleich von Mehrfachanmeldungen nicht ergibt, hat der Datenschutzbeauftragte der Stadt Frankfurt mit meiner Unterstützung vorgeschlagen, zur Stärkung des informationellen Selbstbestimmungsrechts Eltern aus persönlichen Gründen in begründeten Einzelfällen ein Widerspruchsrecht gegen den Abgleich einzuräumen und die Eltern im Anmeldeformular darauf hinzuweisen. Diesem Vorschlag ist die Stadt Frankfurt erfreulicherweise gefolgt und hat das Anmeldeformular dementsprechend gestaltet. Ende 2010 werde ich mich bei der Stadt Frankfurt erkundigen, ob und inwiefern das eingeräumte Widerspruchsrecht praktische Bedeutung erlangt hat.
Der Elternverein, dessen Eingabe meine Beteiligung ausgelöst hat und den ich informiert habe, hat das Widerspruchsrecht und dessen Evaluation ausdrücklich begrüßt.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Es bedeutet einen groben Datenschutzverstoß, wenn der Dienstherr ein Privatunternehmen ohne Kenntnis der betroffenen Bediensteten beauftragt, deren dienstliches, insbesondere das Führungsverhalten zu eruieren und zu beurteilen.
Die Eingeberin, Kanzlerin einer Fachhochschule, trug mir folgenden Sachverhalt vor:
Im Auftrag des Präsidenten der Fachhochschule erhob die „Fairness-Stiftung gemeinnützige GmbH“ mit Sitz in Frankfurt am Main die Eingeberin betreffende personenbezogene Daten, ohne deren Wissen durch Befragungen in deren dienstlichem Umfeld. Konkret ging es darum, dass das dienstliche Verhalten, insbesondere das Führungsverhalten der Kanzlerin durch die Stiftung eruiert und beurteilt wurde. Diese „Expertise“ wurde dann an das Wissenschaftsministerium weitergeleitet, um die Versetzung der Kanzlerin auf eine Stelle außerhalb der Fachhochschule durchzusetzen. Der Versetzungsbescheid führte zu einer verwaltungsprozessualen Auseinandersetzung.
Für die Vorgehensweise der Fachhochschule und die damit verbundene Tätigkeit der Fairnessstiftung ist eine Rechtsgrundlage nicht ersichtlich; die damit verbundene Datenverarbeitung lässt sich weder auf den Datenschutz bei Dienst- und Arbeitsverhältnissen regelnden § 34 HDSG noch auf die ebenfalls das Dienstverhältnis betreffenden personalaktenrechtlichen Vorschriften der §§ 107 ff. HBG stützen.
Auch wenn man ergänzend die allgemeine Vorschrift zur Verarbeitung personenbezogener Daten im Auftrag heranzieht, § 4 HDSG, bleibt die Rechtswidrigkeit der Auftragsvergabe bestehen. Danach hätte die Hochschule die Stiftung auf die Beachtung des HDSG vertraglich festlegen, die Stiftung sich der Kontrolle des HDSB unterwerfen, und die Hochschule hätte den HDSB vorab unterrichten müssen (vgl. § 4 Abs. 3 HDSG). Dies alles war nicht geschehen, so dass schon deshalb die Datenerhebung auch nicht durch § 4 HDSG gerechtfertigt sein konnte.
Diese Rechtslage teilte ich dem Präsidenten der Fachhochschule mit und bat ihn um Stellungnahme in der Angelegenheit. Zudem wies ich zusätzlich auf meine Absicht hin, sein Vorgehen förmlich nach § 27 HDSG zu beanstanden.
Die Stellungnahme des Präsidenten lieferte keine Anhaltspunkte, die geeignet waren, die datenschutzrechtliche Unzulässigkeit des Vorgehens infrage zu stellen. Dies teilte ich dem Präsidenten mit. Da seine Stellungnahme mit der Zusage geendet hatte, zukünftig datenschutzrechtlich sorgsamer zu sein und mich in Zweifelsfällen einzubinden, hielt ich es für vertretbar, seiner Bitte zu entsprechen, von einer förmlichen Beanstandung abzusehen. Über das Ergebnis meiner Prüfung habe ich die Kanzlerin der Fachhochschule informiert.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Es ist datenschutzrechtlich unzulässig, wenn eine Kommune in die Bearbeitung von Beihilfevorgängen stets die Innenrevision einbezieht.
Bei der Überprüfung der Datenverarbeitung der Stadt Limburg bin ich darauf gestoßen, dass die Innenrevision in die Bearbeitung sämtlicher Beihilfevorgänge einbezogen wird. Die Stadt Limburg hat ausgeführt, dass dies seit jeher bei ihr ständige Praxis ist.
Diese Vorgehensweise ist datenschutzrechtlich nicht zulässig.
In den personalaktenrechtlichen Vorschriften des Hessischen Beamtengesetzes, die auch die Beihilfe betreffen (§§ 107a, 107g Abs. 2f), werden die Befugnisse der Innenrevision im Hinblick auf Personalakten nicht geregelt. Allerdings zeigt § 13 Abs. 4 HDSG, dass die Ausübung von Kontroll- und Aufsichtsbefugnissen, zu denen auch Revisionstätigkeit gehört, datenschutzrechtlich zulässig ist.
|
§ 13 Abs. 4 HDSG Personenbezogene Daten, die für andere Zwecke erhoben worden sind, dürfen auch zur Ausübung von Aufsichts- und Kontrollbefugnissen...in dem dafür erforderlichen Umfang verwendet werden.
|
|
§ 107 Abs. 2 BBG Auf Verlangen ist Beauftragten für den Datenschutz nach § 4f des Bundesdatenschutzgesetzes Zugang zur Personalakte zu gewähren. Zugang zur Personalakte haben ferner die mit Angelegenheiten der Innenrevision beauftragten Beschäftigten, soweit sie die zur Durchführung ihrer Aufgaben erforderlichen Erkenntnisse nur auf diesem Weg und nicht durch Auskunft aus der Personalakte gewinnen können. Jede Einsichtnahme nach S. 2 ist aktenkundig zu machen.
|
Dürfen schon Personakten nicht uneingeschränkt der Innenrevision zugänglich gemacht werden, so muss dies erst recht für Beihilfeakten gelten. Die darin enthaltenen Daten zur Gesundheit erfordern wegen ihrer Sensitivität ein höheres Schutzniveau. Dies zeigt sich denn auch daran, dass Beihilfeakten im Personalaktenrecht speziellen Regelungen unterliegen (§§ 107a, 107g Abs. 2 HBG).
Vor diesem rechtlichen Hintergrund habe ich die Stadt Limburg auf die Unzulässigkeit hingewiesen, die Innenrevision durchgängig in die Beihilfebearbeitung einzubeziehen. Die Stadt Limburg hat daraufhin zugesagt, diese Praxis zu beenden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Das für die Personaladministration in der hessischen Landesverwaltung eingesetzte System SAP R/3 HR kann wichtige Datenschutzanforderungen nicht erfüllen: Die Löschung von Daten ist nicht vorgesehen. Dieses System hätte deshalb zum Einsatz in der hessischen Landesverwaltung nicht ausgewählt werden dürfen. Die Löschfunktion ist unverzüglich nachzubessern, um weitere Verstöße gegen die gesetzlich geregelten Löschfristen zu vermeiden.
Obwohl die Löschfristen für die Urlaubs- und Krankheitsdaten im SAP R/3 HR-System bereits überschritten sind, ist eine Löschung dieser Daten noch nicht erfolgt. Die Frist für die vorgeschriebene Löschung der Datensätze von aus dem Dienst ausgeschiedenen Bediensteten läuft in Kürze ab. Die Möglichkeit zur Löschung dieser Datensätze ist zwar inzwischen im SAP R/3 HR-System programmtechnisch hinterlegt, bisher aber noch nicht getestet worden und somit noch nicht einsatzbereit.
Schon in meinem 36. Tätigkeitsbericht (Ziff. 5.10.3.2) habe ich mich zur Problematik Löschung von Daten im SAP-System geäußert.
Die Tatsache, dass die Löschung von kompletten Personalstammdatensätzen zunächst im SAP-Standard nicht vorgesehen war, wurde durch die Landesregierung in ihrer Stellungnahme zum 36. Tätigkeitsbericht ausdrücklich bestätigt. Bereits im Dezember 2005 hat die hessische Landesverwaltung die SAP AG aufgefordert, die Löschfunktionen zu realisieren. Die Landesregierung teilte mit, dass entsprechende Funktionalitäten und Standard-Löschreports mit dem Releasewechsel zu SAP ERP 6.0 ab Ende Juni 2007 zur Verfügung stehen sollten, die allerdings noch zu testen seien. Außerdem hatte die Landesverwaltung noch inhaltliche und organisatorische Festlegungen zu treffen, und der Entwicklungsbereich der SAP AG musste einbezogen werden.
Im Hessischen Competence-Center wurde ein Projekt „Löschen von Personaldaten“ gestartet, in dessen Arbeit ich ständig eingebunden war. An Workshops zum Thema „Löschen von Personaldaten im SAP-System im Rahmen von Fristen und Datenschutzvorschriften“ der SAP AG, in denen die entsprechenden Probleme besprochen und einer Lösung zugeführt werden sollten, habe ich teilgenommen.
Die durchgeführten Tests und die Diskussion um die notwendigen inhaltlichen Festlegungen zur Löschung von Daten und der zu treffenden organisatorischen Maßnahmen haben bis heute leider nicht zum Erfolg geführt.
Die Entwicklung eines „Löschreports“ für die Urlaubs- und Krankheitsdaten ist zwar schon weit vorangeschritten und zwischenzeitlich wurden Tests durchgeführt, allerdings sind immer noch nicht alle Fragen im Zusammenhang mit der notwendigen Überprüfung der Ergebnisse vor einem „Echteinsatz“ des entsprechenden SAP-Tools, das weiterhin an die hessischen Anforderungen angepasst werden muss, geklärt.
Ich stelle fest, dass die Fristen für die Löschung von Urlaubs- und Krankheitsdaten im SAP R/3 HR-System des Landes Hessen und die einschlägigen Vorschriften zur Löschung von Daten (§ 107f HBG, §§ 19 Abs. 3 und § 34 Abs. 4 HDSG) nicht eingehalten werden und die vorgeschriebenen Löschungen von Krankheits- und Urlaubsdaten nicht erfolgt sind.
|
§ 107f HBG
(1) Personalakten sind nach ihrem Abschluss von der personalaktenführenden Behörde fünf Jahre aufzubewahren. Personalakten sind abgeschlossen,
(3) Versorgungsakten sind fünf Jahre nach Ablauf des Jahres, in dem die letzte Versorgungszahlung geleistet worden ist, aufzubewahren; besteht die Möglichkeit eines Wiederauflebens des Anspruchs, sind die Akten dreißig Jahre aufzubewahren. (4) Die Personalakten werden nach Ablauf der Aufbewahrungsfrist vernichtet, sofern sie nicht vom zuständigen Staatsarchiv übernommen werden.
Personenbezogene Daten sind unverzüglich zu löschen, sobald feststeht, dass ihre Speicherung nicht mehr erforderlich ist, um die Zwecke zu erfüllen, für die sie erhoben worden sind oder für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen. Wenn bei der Speicherung nicht absehbar ist, wie lange die Daten benötigt werden, ist nach einer aufgrund der Erfahrung zu bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Satz 1 findet keine Anwendung, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.
Im Falle des § 19 Abs. 3 Satz 1 sind die Daten der Beschäftigten zu löschen. Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.
|
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die Anzahl der vergebenen Download-Berechtigungen im SAP R/3 HR-System ist weiterhin extrem hoch. Mit einem Download können Personaldaten außerhalb des SAP-Systems gespeichert und unkontrolliert weiterverarbeitet werden.
Unter Ziff. 5.10.3.1 meines 36. Tätigkeitsberichts habe ich über die Praxis bei der Vergabe von Download-Berechtigungen im SAP R/3 HR-System berichtet.
Zum damaligen Zeitpunkt waren von 5.374 HR-Benutzern 2.718 mit einer Download-Berechtigung ausgestattet. Die Berechtigungen werden jeweils für die Teilsysteme von SAP (z.B. Rechnungswesen und Personalwesen) getrennt geprüft und vergeben. Die Vergabe einer Download-Berechtigung im Personalwesen (SAP R/3 HR-System) darf nur dann erfolgen, wenn die Aufgabe des oder der Berechtigten die Arbeit mit solchen Downloads erfordert. Diese Berechtigungen müssen restriktiv vergeben werden, da sie zur Folge haben, dass Personaldaten außerhalb des SAP-Systems unkontrolliert weiterverarbeitet werden können.
Das SAP-System wird im Landesintranet unter Einsatz eines Windows Terminal Servers (WTS) genutzt. Der WTS ermöglicht als zentrale Zugangsstelle den Zugriff auf die verschiedenen SAP-Teilsysteme. Zum Arbeiten mit SAP R/3 melden sich die zugangsberechtigten Bediensteten des Landes Hessen im Landesintranet über diesen WTS-Server an und erhalten Zugriff auf die jeweiligen SAP-Systeme. Den Bediensteten, die auf mehrere SAP-Teilsysteme zugriffsberechtigt sind, werden automatisch die weitestgehenden Zugriffsrechte für jedes System vergeben, da die Rechtevergabe auf WTS-Ebene und nicht auf der Ebene der Teilsysteme erfolgt.
Von den 2.718 Anwendern waren lediglich 1.679 Nutzer im HR-System berechtigt, Downloads durchzuführen. Dies bedeutete, dass 1.039 Anwender, die sowohl auf dem SAP-Rechnungswesen-System als auch auf dem SAP-HR-System zugangsberechtigt waren, Daten aus dem SAP-HR-System downloaden und somit personenbezogene Daten auf ihrer Festplatte speichern, mit anderen Daten zusammenzuführen, weiterverarbeiten oder weiterleiten konnten, obwohl ihre Aufgabe im Personalwesen dies nicht erforderte.
Im Zugriffsberechtigungsrahmenkonzept des Landes Hessen ist ausdrücklich geregelt, dass die Vergabe von Download-Berechtigungen restriktiv zu erfolgen hat, um eine unkontrollierte Verarbeitung von vertraulichen Daten des Landes Hessen auf lokalen Arbeitsplatzrechnern einzuschränken.
In ihrer Stellungnahme zu meinem 36. Tätigkeitsbericht vertrat die Landesregierung die Auffassung, eine Überprüfung dieser Vergabepraxis habe ergeben, dass die Vergabe der Download-Berechtigungen restriktiv erfolgt sei.
Diese Auffassung wird von mir bei dieser sehr hohen Anzahl von Usern, die downloadberechtigt sind, nach wie vor nicht geteilt.
Eine nochmalige Prüfung der im HR-System vergebenen Berechtigungen für das Downloaden von personenbezogenen Daten hat ergeben, dass zum heutigen Zeitpunkt von 5.511 HR-Anwendern für 2.194 Nutzer Downloadkonten auf WTS existieren. Lediglich 1.696 Anwender sind aus SAP-HR heraus berechtigt. Es ist festzustellen, dass auch weiterhin 498 Nutzer, die sowohl auf das Rechnungswesen-System als auch auf das HR-System zugreifen dürfen, aus WTS heraus Berechtigungen zum Download auf beide Systeme haben. Dies, obwohl sie diese Rechte nur für das Rechnungswesen-System haben dürften. Es kann auch bis heute nicht verhindert werden, dass für Mitarbeiter, die über WTS sowohl einen Zugang zum Rechnungswesen-System als auch zum HR-System haben, automatisch die weitestgehenden Zugriffsrechte für beide Systeme eingerichtet werden. Die Landesregierung hat in ihrer Stellungnahme zum 36. Tätigkeitsbericht das Problem eingeräumt und angekündigt, Lösungsansätze zu erarbeiten. Diese sind bis jetzt weder gefunden noch umgesetzt worden.
Somit können auch heute noch 498 Anwender personenbezogene Daten aus dem HR-System herunterladen, obwohl die zuständigen Legitimationsberechtigten ihnen dieses Recht für das HR-System aufgrund ihrer Aufgabenstellung nicht einräumen durften und nicht eingeräumt haben.
Die Problematik der unberechtigten Downloadmöglichkeiten wird noch dadurch verschärft, dass eine Protokollierung der Downloads nicht erfolgt. Einstellungen für eine gezielte Protokollierung auf SAP-Ebene bzw. WTS-/Betriebssystemebene für den Download und das Kopieren von Informationen aus dem HR-System existieren nicht.
Bei beiden beschriebenen Sachverhalten muss ein Verstoß gegen § 10 Abs. 2 Ziff. 3, 4 und 5 HDSG festgestellt werden.
|
§ 10 Abs. 2 Ziff. 3, 4 und 5 HDSG
Werden personenbezogene Daten automatisiert verarbeitet, ist das Verfahren auszuwählen oder zu entwickeln, welches geeignet ist, so wenig personenbezogene Daten zu verarbeiten, wie zur Erreichung des angestrebten Zwecks erforderlich ist. Außerdem sind Maßnahmen schriftlich anzuordnen, die nach dem jeweiligen Stand der Technik und der Art des eingesetzten Verfahrens erforderlich sind, um zu gewährleisten, dass
|
Führungsberichte können bisher aus dem SAP R/3 HR-System nicht erstellt werden. Künftig soll eine zentrale Auswertestelle im Innenministerium solche Führungsberichte erstellen.
In meinem 36. Tätigkeitsbericht habe ich unter Ziff. 5.10.3.5 über die Absicht der Landesregierung berichtet, ein Business-Warehouse-HR zu implementieren, mit dem Führungsberichte und Berichte als Grundlage für strategische Entscheidungen erstellt werden sollten.
Meine Auffassung, dass den Mitarbeiterinnen und Mitarbeitern, die im Rahmen des Vorprojekts „Business-Warehouse HR/HEPIS-Neu“, entsprechende Auswertemöglichkeiten entwickeln sollten, durch die Landesverwaltung zunächst konkrete und detaillierte Vorgaben gegeben werden müssten, teilte die Landesregierung nicht. Ich halte dies aber nach wie vor für notwendig, um aussagekräftige und zielgerichtete Auswertungen erstellen zu können.
In ihrer Stellungnahme stellte die Landesregierung fest, dass Anforderungen und Zielgruppen eines Gesamt-Personal-Berichtswesens für das operative HR-System und das zu entwickelnde Business-Warehouse definiert worden seien.
Dies konnte ich auch in der Folgezeit bei weiterer Mitarbeit im Vorprojekt leider nicht feststellen. In den unzähligen Sitzungen, an denen ich teilnahm, habe ich immer wieder die Frage nach den konkreten Vorgaben gestellt. Ich hielt und halte es für unmöglich, ein Business-Warehouse zu entwickeln, ohne dass im Vorhinein die notwendigen Auswertungen und deren Inhalte festgelegt und definiert werden. Nur so kann im Vorfeld konkret über die einzelnen Daten entschieden werden, die zunächst für die weiteren Verarbeitungsschritte aus anderen Systemen in das Business-Warehouse übertragen werden müssen, damit dort die entsprechenden Auswertungen erstellt werden können. Die Datenbasis ist die Grundlage jeder Auswertung.
Am 4. Mai 2009 wurde die zuständige Fachabteilung darüber informiert, dass auf Weisung des Hessischen Ministers des Innern und für Sport die Arbeiten an dem Projekt „HEPIS-Neu“ bis auf Weiteres ausgesetzt werden.
Nach meinem jetzigen Kenntnisstand ist stattdessen beabsichtigt, dass eine „zentrale Auswertestelle“ im Innenministerium eingerichtet werden soll, die zukünftig für die Erstellung von Führungsberichten und Berichten als Grundlage für strategische Entscheidungen zuständig sein soll. Mir wurde zugesagt, dass ich bei der Entwicklung der dort zu erstellenden Berichte rechtzeitig und umfassend eingebunden werde. Ich habe selbstverständlich meine Mitarbeit zugesagt. Auch eine „zentrale Auswertestelle“, die im Innenministerium angesiedelt sein soll, hat die einschlägigen Vorschriften des § 120 HBG, des § 107 Abs. 3 HBG, des § 107g Abs. 1 und 2 HBG und des HDSG, insbesondere § 34 Abs. 1 HDSG zu beachten.
|
§ 120 HBG
Der Minister des Innern kann
Zugang zur Personalakte dürfen nur Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind, und nur soweit die zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist; dies gilt auch für den Zugang im automatisierten Abrufverfahren.
(1) Personalaktendaten dürfen in Dateien nur für Zwecke der Personalverwaltung oder der Personalwirtschaft verarbeitet und genutzt werden. Ihre Übermittlung ist nur nach Maßgabe des § 107d zulässig. Ein automatisierter Datenabruf durch andere Behörden ist unzulässig, soweit durch besondere Rechtsvorschrift nichts anderes bestimmt ist. (2) Personalaktendaten im Sinne des § 107a dürfen automatisiert nur im Rahmen ihrer Zweckbestimmung und nur von den übrigen Personaldateien technisch und organisatorisch getrennt verarbeitet und genutzt werden.
(1) Der Dienstherr oder Arbeitgeber darf Daten seiner Beschäftigten nur verarbeiten, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung es vorsieht. Die für das Personalaktenrecht geltenden Vorschriften des Hessischen Beamtengesetzes sind, soweit tarifvertraglich nichts anderes geregelt ist, auf Angestellte und Arbeiter im öffentlichen Dienst entsprechend anzuwenden. |