– 173 –
Weiter wird mit dem RVOrgG die Zuständigkeit für die
Auskunfts- und Beratungsstellen der Rentenversicherung vor Ort den Regionalträgern (ehemalige Landesversicherungsanstalten) zugeordnet. Die Grundsätze der
Organisation und Aufgabenzuweisung der Auskunftsund Beratungsstellen nimmt dabei die „Deutsche Rentenversicherung Bund“ wahr.
Die Beratung von Versicherten und Rentnern erfolgt in
der gesetzlichen Rentenversicherung bisher schon über
ein Netz von Auskunfts- und Beratungsstellen auf Grundlage von Kooperationsvereinbarungen der Rentenversicherungsträger untereinander. Dabei findet eine Auskunft
und Beratung nur dann statt, wenn die Versicherten, die in
einer Beratungsstelle Informationen erhalten möchte, ihre
Berechtigung durch Vorlage eines Ausweispapiers nachweisen. Ehepartner und Bevollmächtigte müssen zudem
eine Vollmacht und eine Einwilligungserklärung vorlegen. Im Gesetzgebungsverfahren habe ich die Notwendigkeit der Fortführung dieser bisherigen Praxis deutlich
gemacht. Dementsprechend wird in der Begründung des
RVOrgG auf die datenschutzrechtlichen Erfordernisse bei
der Organisation der Auskunfts- und Beratungsstellen
hingewiesen, nach denen u. a. eine Auskunft und Beratung nur nach entsprechender Legitimation der Versicherten erfolgen darf (vgl. Bundestagsdrucksache 15/3654
S. 70). Damit ist weiterhin sichergestellt, dass die dem
Sozialgeheimnis unterliegenden Versichertendaten nur
den jeweils berechtigten Personen zugänglich gemacht
werden.
18.2
Feststellungen aus Datenschutzkontrollen
18.2.1 Kontrolle in der Hauptstelle der BfA
Bei einem im Berichtszeitraum durchgeführten Beratungs- und Kontrollbesuch in einer Leistungsabteilung
der Bundesversicherungsanstalt für Angestellte (BfA)
konnte ich mich davon überzeugen, dass die Rentenangelegenheiten der Versicherten datenschutzkonform bearbeitet werden.
In den Leistungsabteilungen der BfA werden die Versicherungs- und Rentenangelegenheiten der Versicherten
bearbeitet. Neben der Bearbeitung der eigentlichen Rentenanträge umfasst dies etwa auch Kontenklärungen und
Rentenauskünfte.
Bei einem Beratungs- und Kontrollbesuch habe ich in
verschiedenen Bereichen der BfA (u. a. zentrale Poststelle, Datenein- und -ausgabe in den Servicedezernaten,
Sachbearbeitung in einzelnen Teams bzw. an einzelnen
Arbeitsplätzen, Registraturen, Archive) den Umgang mit
den Versichertendaten geprüft. Dabei konnte ich in der
Hauptstelle der BfA und in einer weiteren von mir besuchten großen Berliner Dienststelle der BfA keine wesentlichen datenschutzrechtlichen Mängel feststellen.
Dieses positive Ergebnis wurde auch durch die stichprobenartige Einsichtnahme in verschiedene Versichertenakten in beiden Dienststellen der BfA bestätigt.
Während des Besuches konnte ich u. a. feststellen, dass
der Zugriff der Mitarbeiter in der Sachbearbeitung auf
Versicherten- bzw. Sozialdaten in den entsprechenden
Versichertenkonten jeweils auf das zur sachgerechten
Aufgabenwahrnehmung erforderliche Maß beschränkt
ist. Gleiches gilt für die Dateneingabebereiche, in denen
nur den jeweils zuständigen Mitarbeitern ein Zugriff auf
die Versichertenkonten zur Wahrnehmung ihrer jeweiligen Aufgaben in dem erforderlichen Umfang gewährt
wird. Auch die Abläufe in der zentralen Poststelle der
Hauptstelle der BfA und die hierzu bestehenden internen
Regelungen der BfA entsprechen den datenschutzrechtlichen Anforderungen.
Verschiedene weitere datenschutzrechtlich relevante Gesichtspunkte konnten noch während meines Besuches gemeinsam mit Vertretern der BfA erörtert und geklärt werden. Angesichts des insgesamt positiven Ergebnisses, bin
ich überzeugt, auch die wenigen noch offenen Einzelfragen mit der BfA im weiteren schriftlichen Verfahren abschließend klären zu können.
18.2.2 Kontrolle einer Rehabilitationsklinik
der BfA
Bei einem Kontroll- und Beratungsbesuch in einer Rehabilitationsklinik der BfA habe ich die Verarbeitung und
Nutzung von Sozialdaten der Patienten und den Umgang
mit sonstigen Personal- und Patientendaten geprüft.
Schwerpunkte des Kontroll- und Beratungsbesuches in
verschiedenen Bereichen einer Rehabilitationsklinik in
der Trägerschaft der BfA waren die Verarbeitung und
Nutzung von Sozialdaten der Patienten (insbesondere medizinischer Daten), die Wahrung des Sozialgeheimnisses
nach § 35 SGB I, die Umsetzung der Datenschutzrichtlinien für die Reha-Klinikgruppe der BfA (vgl. 19. TB
Nr. 25.1) und die Verarbeitung und Nutzung weiterer personenbezogener Daten (Personal-, Patientendaten) im
Verwaltungsbereich sowie Fragen zum technischen und
organisatorischen Datenschutz.
Insbesondere die Umsetzung der o. a. Datenschutzrichtlinien im medizinischen Bereich hat meinen bei früheren
Beratungs- und Kontrollbesuchen gewonnenen positiven
Eindruck von den Kliniken in der Trägerschaft der BfA
erneut bestätigt. In Einzelfällen festgestellte datenschutzrechtliche Mängel wurden von der BfA abgestellt.
Meine Prüfung der Verarbeitung und Nutzung von sonstigen personenbezogenen Daten der Patienten im Verwaltungsbereich der Klinik, insbesondere von Personal-/
Personalaktendaten der in der Klinik Beschäftigten, hat
dagegen datenschutzrechtliche Mängel und Verstöße ergeben. Für diesen Bereich habe ich dringenden und
grundsätzlichen Handlungsbedarf aufgezeigt und meine
Feststellungen eingehend mit der BfA diskutiert. Erfreulicherweise haben meine datenschutzrechtlichen Empfehlungen und Hinweise bereits während der Kontrolle zu
ersten Verbesserungen vor Ort geführt.
Weil mir die BfA darüber hinaus innerhalb kurzer Zeit die
entsprechende Umsetzung meiner Verbesserungsvorschläge sowie ihre sofort getroffenen Maßnahmen bestätigt hat, mit denen sie die festgestellten unzulässigen
Verarbeitungen und datenschutzrechtlichen Defizite
BfD
20. Tätigkeitsbericht
2003–2004