– 134 –
Nachdem sowohl die Bundesanstalt für Arbeit (BA) als
auch die BfA von mir um Stellungnahme zu der Angelegenheit gebeten worden waren, stellte sich heraus, dass die in
dem Schreiben des Rechtsanwalts aufgeführten Leistungszeiträume mit den im Arbeitsamt über den Petenten gespeicherten Sozialdaten identisch waren. Eine Befragung der
Mitarbeiter des Arbeitsamtes, die Zugriff auf die gespeicherten Daten hatten, ergab erwartungsgemäß keine weiteren Aufschlüsse. Dennoch ging auch die BA bei Betrachtung der Gesamtzusammenhänge davon aus, dass die
Sozialdaten von einem Mitarbeiter des Arbeitsamtes offenbart worden waren. Obwohl datenschutzrechtliche Weisungen der BA ausdrücklich vorsehen, dass vor der telefonischen Übermittlung schutzwürdiger Daten die Identität des
Anrufers zu prüfen ist, wurde dies im vorliegenden Fall offensichtlich nicht beachtet. Auch diesen Verstoß gegen das
Sozialgeheimnis habe ich daher beanstandet. In ihrer Stellungnahme hat die BA erklärt, dass es gerade in letzter Zeit
häufiger vorkomme, dass sich Beauftragte von Inkassounternehmen oder Auskunfteien telefonisch als Mitarbeiter anderer Behörden ausgeben und versuchen, auf diesem Weg
unberechtigt Auskünfte über Kunden des Arbeitsamtes zu
erhalten. Die BA hat mir daher zugesagt, den geschilderten
Fall zum Anlass zu nehmen, die Mitarbeiter aller Dienststellen nochmals für die Problematik unberechtigter Auskunftsersuchen zu sensibilisieren.
Im Rahmen dieser Eingabe wurde ich auch darauf aufmerksam, dass lesende Zugriffe auf gespeicherte Daten in
der Arbeitsverwaltung nicht protokolliert werden. Dies
halte ich aus datenschutzrechtlicher Sicht für unbefriedigend. Jeder lesende Zugriff bietet grundsätzlich die Möglichkeit und birgt damit – wie der vorliegende Fall zeigt –
auch die Gefahr, dass sensible Sozialdaten unzulässig offenbart werden. Auch ein lesender Zugriff auf IT-Systeme
ist immer nur dann zulässig, wenn dies im jeweiligen Einzelfall zur Aufgabenerfüllung erforderlich ist. Ich habe der
BA daher dringend empfohlen, auch die lesenden Zugriffe
auf die IT-Systeme zu protokollieren. Nicht zuletzt die
Kenntnis der Mitarbeiter über eine solche Protokollierung
würde die Sensibilität im Umgang mit den gespeicherten
Sozialdaten sicherlich erhöhen. Die BA teilt zwar meine
Auffassung, dass die Protokollierung lesender Zugriffe aus
datenschutzrechtlicher Sicht ein nicht zu vernachlässigendes Instrument ist, will aber dennoch weiterhin darauf verzichten, weil der hierfür erforderliche Aufwand ihrer Meinung nach in keinem vertretbaren Verhältnis zu dem
möglichen Sicherheitsgewinn steht. Die Ablehnung dieser
zusätzlichen Sicherheitsmaßnahme wird insbesondere damit begründet, dass die in den Arbeitsämtern eingesetzten
IT-Systeme, deren Lebenszyklus zu Ende gehe, nur begrenzte Speicherkapazität aufweisen und eine Protokollierung daher nicht leisten könnten. Erst bei künftigen Neuentwicklungen ist man seitens der Arbeitsverwaltung
bereit, meine Forderung erneut zu prüfen. Ich habe die BA
daher gebeten, mir mitzuteilen, in welchem Zeitrahmen
mit der Einführung der Protokollierung zu rechnen ist. Unabhängig davon erwarte ich auch eine Stellungnahme zu
der Frage, warum nicht bereits jetzt im Rahmen der vorhandenen Möglichkeiten statt einer Gesamt- zumindest
schon eine Blockprotokollierung eingeführt wird. Diese
dürfte auch angesichts begrenzter Speicherkapazitäten
durchführbar sein.
BfD 19. Tätigkeitsbericht 2001–2002
23.5.5
Unzulässige Datenübermittlung
Eine Petentin hatte bei einem Landesarbeitsamt einen Antrag auf Erlaubnis zur gewerbsmäßigen Arbeitnehmerüberlassung gestellt.
Die Arbeitsverwaltung informierte daraufhin die Stadtverwaltung (Ordnungsamt), bei der die Petentin damals als
Mitarbeiterin tätig war, über diesen Antrag. Dies war für die
Aufgabenerfüllung des Arbeitsamtes nicht erforderlich.
Auch für eine Überlassung dieser Information an die Stadtverwaltung als Arbeitgeberin der Petentin fehlte jede
Rechtsgrundlage.
Außerdem wurden dem Ehemann der Petentin im Rahmen
einer Einsicht in seine bei der Arbeitsverwaltung geführten
Akten unzulässigerweise darin aufgenommene Angaben
zum Antrag der Petentin auf Erlaubnis zur gewerbsmäßigen
Arbeitnehmerüberlassung zur Kenntnis gegeben.
Diese Verstöße gegen das Sozialgeheimnis habe ich wegen
Verstoßes gegen § 35 SGB I i. V. m. § 67d SGB X beanstandet.
24
Krankenversicherung,
Pflegeversicherung
24.1
Krankenversicherung
24.1.1
Gesundheitsreform: Der Datenschutz
bleibt am Ball!
In der 14. Legislaturperiode habe ich mich in besonderem
Maße mit Gesetzgebungsvorhaben im Bereich der Gesundheitsreform befasst. Leider enthält das am 1. Januar 2000 in
Kraft getretene GKV-Gesundheitsreformgesetz 2000
(BGBl. I 1999 S. 2626) die im Laufe des Gesetzgebungsverfahrens auf Initiative der Datenschutzbeauftragten des Bundes und der Länder aufgenommenen datenschutzrechtlichen
Verbesserungen im Abrechnungssystem der Krankenkassen
nicht mehr. Der vom Deutschen Bundestag ursprünglich beschlossene Gesetzentwurf hatte vorgesehen, dass die Krankenkassen künftig zwar über die vollständigen Abrechnungsdaten aller Leistungserbringer, also auch der Ärzte
und Zahnärzte, für alle Versicherten verfügen können; andererseits war aber festgelegt, dass die Leistungsabrechnungsdaten den Krankenkassen nur noch pseudonymisiert übermittelt werden sollten (vgl. 18. TB Nr. 21.1).
Nachfolgend, und zwar im Laufe des Jahres 2001 hat das
Bundesministerium für Gesundheit Vorstellungen für ein
Gesetz zur Verbesserung der Datentransparenz entwickelt.
Die Datenschutzbeauftragten des Bundes und der Länder
haben sich im März 2001 hierzu umfassend geäußert (s. Anlage 13). Sie begrüßten ausdrücklich, dass mit dem Arbeitsentwurf ihre Forderung wieder aufgegriffen werden sollte,
durch Pseudonymisierung des Abrechnungsverfahrens die
Belange des Patientengeheimnisses und des Datenschutzes
zu wahren. Der Entwurf fiel allerdings gegenüber dem Entwurf des Jahres 1999 zurück; nunmehr sollte nämlich die
Pseudonymisierung der Abrechnungsdaten erst nach Durchführung der Abrechnung aller nichtvertragsärztlichen Leistungen durchgeführt werden. Das Bundesministerium für
Gesundheit hat den Arbeitsentwurf letztlich nicht weiterverfolgt.
Anfang des Jahres 2002 wurde das Bundesministerium für
Gesundheit nochmals aktiv. Es präsentierte als Minimal-