– 150 –
Geräte und Einrichtungen und der Verpflichtung, den Betroffenen eindeutig Kommunikationsvorgänge erkennbar zu machen, die auf dem Medium eine Datenverarbeitung auslösen.
Von besonderer datenschutzrechtlicher Bedeutung war das
vorgesehene Altersmerkmal auf der Chipkarte, das als personenbezogenes Datum der Einwilligung der Betroffenen bedarf, und die Frage der Verantwortlichkeit für diese Zusatzfunktion auf der Geldkarte.
Nach intensiven Beratungen der Beteiligten mit den Datenschutzaufsichtsbehörden und mehrmaliger Überarbeitung
des technischen Konzeptes hat man sich nunmehr auf ein
Verfahren geeinigt, gegen das keine datenschutzrechtlichen
Bedenken mehr bestehen. Nach diesem Verfahren wird die
kontogebundene Geldkarte mit einem „Legitimationsvermerk“ versehen, der zum Zigarettenkauf an Automaten berechtigt. Diesen Vermerk erhalten die Karteninhaber auf
ihre Chipkarte, die das 18. Lebensjahr vollendet haben. Dieser Vermerk ist ohne jegliches Datum, sodass eine Personenbeziehbarkeit nicht vorhanden ist und es einer Einwilligung des Karteninhabers zur Aufbringung auf die Chipkarte
nicht bedarf. Lediglich bei minderjährigen Karteninhabern
erhält der Vermerk das verschlüsselte Datum, an dem der
Karteninhaber volljährig wird. Von diesem Datum aus kann
das Lesegerät zurückrechnen und überprüfen, ob der Inhaber der Karte bereits 16 Jahre alt ist und dementsprechend
den Zugang zu dem Automaten eröffnen oder verweigern.
Die Einholung der datenschutzrechtlich erforderlichen Einwilligung zu der Aufbringung des Datums auf der Geldkarte
bei minderjährigen Kunden erfolgt mit dem Antragsformular bei der Kontoeröffnung.
Insgesamt ist dies ein Beispiel für gute Zusammenarbeit
zwischen Unternehmen und Datenschutzbehörden im Vorfeld technischer Investitionen.
28.7.2
Anforderungen von OP-Protokollen durch
private Krankenversicherer
Im Berichtszeitraum beschwerten sich Patienten bzw. Ärzte
über die pauschale Anforderung von OP-Protokollen durch
private Krankenversicherer. Eine solche Anforderung eines
OP-Protokolls darf nur erfolgen, wenn eine entsprechende
Datenerhebung auch erforderlich ist. Sie muss sich aus den
Gründen des Einzelfalles, z. B. bei konkreten Zweifeln an
der Abrechnung, ergeben. Die zuständige Datenschutzaufsichtsbehörde erhielt von der betroffenen Krankenversicherung die Auskunft, dass Anforderungen von OP-Protokollen
nur in seltenen Einzelfällen vorgenommen würden, wenn
sie zur Feststellung der Leistungspflicht des Versicherers erforderlich seien. Im Ergebnis war daher festzustellen, dass
eine pauschale Anforderung von OP-Protokollen nach übereinstimmender Auffassung von Datenschutzaufsichtsbehörden und der betroffenen Versicherung nicht zulässig ist.
28.7.3
Apotheken-CD
Zur Abwicklung der Kostenerstattung der von den gesetzlich
Krankenversicherten eingereichten Rezepte mit den Krankenkassen schalten Apotheken vielfach Apotheken-Rechenzentren ein. Hierfür bietet § 300 Abs. 2 SGB V die Rechtsgrundlage. In der bis zum 15. Februar 2002 gültigen Fassung
der Vorschrift hieß es im Wortlaut: „Die Apotheken und weitere Anbieter von Arzneimitteln können zur Erfüllung ihrer
Verpflichtungen nach Abs. 1 Rechenzentren in Anspruch
BfD 19. Tätigkeitsbericht 2001–2002
nehmen. Die Rechenzentren dürfen die Daten für im Sozialgesetzbuch bestimmte Zwecke verarbeiten und nutzen, soweit sie dazu von einer berechtigten Stelle beauftragt worden
sind; anonymisierte Daten dürfen auch für andere Zwecke
verarbeitet und genutzt werden.“ Im Rahmen des Gesetzes
zur Begrenzung von Arzneimittelausgaben der gesetzlichen
Krankenversicherung vom 15. Februar 2002 (BGBl. I
S. 684) wurde die Vorschrift wie folgt ergänzt: .... „Die Rechenzentren dürfen die Daten für im Sozialgesetzbuch bestimmte Zwecke und ab dem 1. Januar 2003 nur in einer auf
diese Zwecke ausgerichteten Weise verarbeiten und nutzen,
soweit ....“. Anlässlich von Prüfungen von Datenschutzaufsichtsbehörden aus dem nicht öffentlichen Bereich wurde
festgestellt, dass verschiedentlich Apotheken personenbezogene Rezeptdaten über Abrechnungszwecke hinaus für andere Zwecke durch Apotheken-Rechenzentren aufbereiten
ließen und in Form einer CD mit verschiedenen Auswertemöglichkeiten verwandten, ohne dass es hierfür eine Rechtsgrundlage aufgrund Gesetzes oder Einwilligung gab. Dies
wurde von den jeweils zuständigen Aufsichtsbehörden beanstandet. In der Folge wurde im Düsseldorfer Kreis die Frage
kontrovers diskutiert, inwieweit solche Verfahren über Einwilligungserklärungen der Patienten legitimiert werden
könnten. Ich habe hier ebenso wie die Landesbeauftragte für
den Datenschutz Nordrhein-Westfalen die Rechtsauffassung
vertreten, dass es sich bei der Vorschrift des § 300 Abs. 2
SGB V, dessen Ausrichtung auf Zwecke des Sozialgesetzbuches durch die erwähnte Gesetzesänderung noch verstärkt
wurde, um eine vorrangige Rechtsvorschrift handelt, die aus
einem allgemeinen Interesse heraus die personenbezogene
kommerzielle Verwertung der sensiblen Gesundheitsdaten in
Rezepten nicht zulässt. Die hier vorhandene spezialrechtliche Regelung kann daher nicht durch eine Einwilligung außer Kraft gesetzt werden. Das Bundesministerium für Gesundheit, das mit der Rechtsfrage wiederholt befasst wurde,
hat sich letztlich meiner Auslegung angeschlossen und die
Ausrichtung der Verarbeitung der personenbezogenen Rezeptdaten auf Zwecke des Sozialgesetzbuches bekräftigt.
29
Verkehr
29.1
LKW-Maut – droht eine generelle
Verkehrsüberwachung?
Das „Gesetz zur Einführung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen mit schweren
Nutzfahrzeugen“ (Autobahnmautgesetz), an dessen Gestaltung ich in den letzten Jahren intensiv beteiligt war (vgl.
18. TB Nr. 28.4), ist am 12. April 2002 in Kraft getreten
(BGBl. I S. 1234). Am 20. September 2002 wurde ein Firmenkonsortium mit dem Aufbau und Betrieb eines satelliten- und mobilfunkgestützten Mauterfassungssystems beauftragt. Ab August 2003 sollen Schwerlaster ab zwölf
Tonnen elektronisch erfasst und die Maut berechnet werden.
Je nach Achsenzahl und Schadstoffklasse müssen sie zwischen 10 und 17 Cent pro Kilometer zahlen. Betroffen sind
schätzungsweise 1,2 bis 1,5 Millionen Fahrzeuge, davon
500 000 ausländische. Die Mautschuldner sind verpflichtet,
bei der Mauterhebung mitzuwirken, z. B. durch Mitführen
eines Gerätes in der Größe eines Autoradios (so genanntes
On Board Unit – OBU), das über GPS den Standort erfasst
und über Mobilfunk mit der Abrechnungsstelle kommuniziert. Auf den Autobahnen werden rund 300 Messbrücken
als Kontrolleinrichtungen errichtet. Neben der automati-