Drucksache 14/5555
– 138 –
versicherungsträger als auch für die – ohnehin auskunftspflichtigen – betroffenen Rentner verbunden. Vor dessen
Einführung mussten die Krankenkassen regelmäßig die
freiwillig krankenversicherten Rentner nach der aktuellen
Höhe ihrer Rente befragen. Aufgrund deren Auskunft
wurde ihnen dann eine Bescheinigung über die zu zahlenden Krankenversicherungsbeiträge übersandt und der
Rentner musste anschließend gegebenenfalls selbst eine
Anpassung des ihm zustehenden Beitragszuschusses bei
seinem Rentenversicherungsträger beantragen. Durch
den automatisierten Datenaustausch müssen die Krankenkassen kein aufwendiges System für die Nachfrage bei
den Rentnern und die Überwachung der Antwort mehr
vorhalten; den Rentnern wird erspart, eine Anfrage der
Krankenkasse zu beantworten, die Beitragsbescheinigung
abzuwarten und sich selbst um die Anpassung des Beitragszuschusses zu kümmern.
Obwohl die Vorteile des unmittelbaren Datenaustauschs
zwischen Renten- und Krankenversicherungsträgern für
alle Beteiligten nicht zu bestreiten sind, habe ich Zweifel,
ob die vom AOK-Bundesverband insoweit angeführte
Vorschrift des § 201 Abs. 4 SGB V eine eindeutige und damit ausreichende Rechtsgrundlage für dieses Verfahren
ist. Ich habe deshalb das BMG gebeten, durch eine klarstellende Änderung des § 201 SGB V Rechtssicherheit für
die Beteiligten zu schaffen; dieses Anliegen wird auch
vom AOK-Bundesverband mitgetragen.
Im übrigen wäre der bei einigen Rentnern entstandene
Unmut wohl zu vermeiden gewesen, wenn eine rechtzeitige und vollständige Information der Betroffenen über
das neue Verfahren Transparenz geschaffen hätte.
19.3
Datenschutzbeauftragte bei
Sozialleistungsträgern
Sozialleistungsträger müssen einen internen Datenschutzbeauftragten bestellen. Er unterstützt die Geschäftsführung bei der Sicherstellung des Datenschutzes und ist
Ansprechpartner für Mitarbeiter. Das Gesetz gibt ihm eine
starke Stellung, die von fachlicher Weisungsfreiheit, Verschwiegenheitspflicht, Abberufungsschutz und unmittelbarer Unterstellung unter dem Vorstand gekennzeichnet
ist (§ 81 Abs. 4 SGB X in Verbindung mit §§ 36, 37 Abs. 1
BDSG).
Schon vor zwei Jahren hatte ich die Bahnbetriebskrankenkasse kritisiert, weil der dem internen Datenschutzbeauftragten zur Verfügung stehende Zeitanteil nicht dem
Arbeitsanfall im Bereich Datenschutz entsprach. Mit
Blick auf die Anzahl der Versicherten hatte ich deshalb
gefordert, die Arbeitskapazität des Datenschutzbeauftragten vollständig für seine Aufgaben nach § 81 SGB X in
Verbindung mit § 37 Abs. 1 BDSG freizuhalten und ihm
ggf. auch personelle Unterstützung zu gewähren
(vgl. 17. TB Nr. 21.4).
Die Bahnbetriebskrankenkasse hat zwischenzeitlich einen hauptamtlichen Datenschutzbeauftragten bestellt.
Ich verkenne nicht, dass ein interner Datenschutzbeauftragter allein mit den Aufgaben eines Datenschutzbeauf-
Deutscher Bundestag – 14. Wahlperiode
tragten nicht immer voll ausgelastet ist. Vor allem bei kleineren Sozialleistungsträgern kann es angebracht sein, ihm
weitere Aufgaben zu übertragen, solange seine Aufgaben
als Datenschutzbeauftragter dabei nicht zu kurz kommen
und Interessenskonflikte vermieden werden.
Nicht selten ist auch eine Lösung anzutreffen, bei der die
Funktion des Datenschutzbeauftragten einer vorstandsnahen Führungskraft formal übertragen ist, die tatsächlichen
Aufgaben jedoch von einem seiner Mitarbeiter wahrgenommen werden. Damit wird die gesetzliche Vorgabe unmittelbarer Unterstellung unter den Vorstand formal erfüllt. Problematisch ist bei dieser Lösung jedoch, dass der
besondere gesetzliche Schutz des Datenschutzbeauftragten nur für diesen selbst, nicht aber für einen etwa von ihm
bestellten Vertreter oder das vom Gesetz sogenannte
„Hilfspersonal“ gilt. Die Aufgabenteilung zwischen dem
förmlich bestellten Datenschutzbeauftragten, der gleich
einem Lobbyisten Themen des Datenschutzes lediglich an
die Geschäftsführung heranträgt und anderen Mitarbeitern, die die inhaltliche Arbeit des Datenschutzbeauftragten wahrnehmen, hat zur Folge, dass für diese Mitarbeiter
die besondere Verschwiegenheitspflicht über die Identität von Betroffenen, der Abberufungsschutz und die
fachliche Weisungsfreiheit nicht gelten. Auch das Recht,
sich in Zweifelsfällen an die externe Datenschutzkontrollinstanz zu wenden, räumt das Gesetz nur dem Beauftragten für den Datenschutz selbst ein. Die Entscheidung, einen solchen Schritt zu gehen, wird bei einer leitungsnahen
Führungskraft von der nachvollziehbaren Zurückhaltung,
Interna nach außen zu tragen, begleitet sein. Auch die Einräumung des unmittelbaren Vorspracherechts gegenüber
dem Vorstand oder dem Geschäftsführer eines Sozialleistungsträgers ist nach der Rechtslage dem formal bestellten Datenschutzbeauftragten vorbehalten.
Bei der BA musste ich u. a. feststellen, dass den Mitarbeitern der Personalabteilung in der Hauptstelle, die für die
Führung der Personalakten zuständig sind, der interne Datenschutzbeauftragte sowie dessen Mitarbeiter überhaupt
nicht bekannt waren. Nach eigenen Angaben wurden sie
von Kollegen aus dem Personalreferat oder in ihrer Ausbildung auf die besondere Schutzwürdigkeit von Personaldaten hingewiesen. Das mir vorliegende Organigramm
der Hauptstelle der BA enthält ebenfalls keinen Hinweis
auf den Datenschutzbeauftragten der Bundesanstalt für
Arbeit.
Ich habe die BA um Mitteilung gebeten, welche Maßnahmen sie zur Umsetzung der Vorgaben des § 81 Abs. 4
SGB X in Verbindung mit §§ 36, 37 Abs. 1 BDSG treffen
wird. Beratungsgespräche hierzu haben zwischenzeitlich
stattgefunden und werden fortgesetzt.
Bei der Bundesversicherungsanstalt für Angestellte (BfA)
ist es beispielsweise seit Jahren Praxis, dass ein Abteilungsleiter der förmlich bestellte Datenschutzbeauftragte
ist, während die mit dieser Funktion verbundene Arbeit
vom Datenschutzreferat der BfA wahrgenommen wird.
Aufgrund der unterschiedlichen Erfahrungen in der Praxis neige ich der Auffassung zu, dass bei größeren Sozialleistungsträgern der förmlich bestellte Datenschutzbeauftragte diese Aufgabe auch wahrnehmen sollte. Es dürfte