Deutscher Bundestag – 17. Wahlperiode
– 119 –
– Obwohl den Ärzten die Rolle des Auftraggebers zugeschrieben wird, haben sie de facto keine hinreichenden
Gestaltungsbefugnisse. So bestimmen die Hausärzteverbände, also die vermeintlichen Auftragnehmer,
über die vertragliche Ausgestaltung des Auftragsverhältnisses (z. B. die Auswahl eines wiederum unterbeauftragten Rechenzentrums).
– Die Verträge verpflichten die Ärzte zur Nutzung einer
bestimmten Software zur Datenübertragung an die
Hausärzteverbände. Gleichzeitig verwehren sie den
Ärzten die Kenntnis wesentlicher Funktionen der Software. Es ist daher zweifelhaft, ob die Ärzte wissen,
welche genauen Daten sie mittels der Software an den
Hausärzteverband weitergeben. Die Ärzte als eigentlich verantwortliche Stelle haben damit nicht die gesetzlich vorgeschriebene Kontrolle über die verarbeiteten Daten.
– Die Hausärzteverbände verfolgen mit den Daten auch
eigene, über die Abrechnung hinausgehende Zwecke
(etwa das Führen von Musterprozessen als Teil der ihnen obliegenden Interessenvertretung), die von der gesetzlichen Ermächtigungsgrundlage nicht erfasst sind.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist im Juli 2010 gegen einen derartigen
Vertrag von zwischen in seiner Zuständigkeit liegenden
Krankenkassen und dem Hausärzteverband Schleswig-Holstein mit einer Verfügung nach § 38 Absatz 5 BDSG vorgegangen. Es hat dem Hausärzteverband Schleswig-Holstein
unter Androhung eines Zwangsgeldes untersagt, auf Grundlage des geschlossenen Vertrags von eingeschriebenen
Hausärzten stammende Patientendaten weiterzugeben
oder diese selbst zu nutzen. Gegen diese datenschutzrechtliche Anordnung hat sich der Hausärzteverband Schleswig-Holstein gerichtlich gewehrt. Das Verwaltungsgericht
Schleswig hat einen Antrag auf vorläufigen Rechtsschutz
gegen die Verfügung des ULD zurückgewiesen. Diese
Entscheidung wurde inzwischen vom OVG Schleswig bestätigt.
Derzeit befinde ich mich – in Abstimmung mit den Datenschutzbehörden der Länder – in Gesprächen mit den
Beteiligten mit dem Ziel, eine sowohl dem Datenschutz
als auch den übrigen Interessen gerecht werdende Lösung
herbeizuführen. Die befristeten Übergangsregelungen
müssen vor deren Auslaufen im Sommer 2011 durch endgültige Rechtsgrundlagen ersetzt werden. Ich werde dem
Gesetzgeber dabei beratend zur Seite stehen.
11.1.2
Neue Reglungen zur Auftragsdatenverarbeitung und zur Informationspflicht
bei Datenschutzverstößen im
Sozialrecht
Mit der Neufassung des § 80 SGB X werden an Auftraggeber und Auftragnehmer bei der Verarbeitung von Sozialdaten im Auftrag strengere Anforderungen gestellt.
Außerdem müssen sie über Datenschutzverstöße in ihrem
Bereich informieren.
Nach Inkrafttreten der strengeren Anforderungen an die
Auftragsdatenverarbeitung in § 11 BDSG am 1. Septem-
Drucksache 17/5200
ber 2009 (vgl. Nr. 2.4) lag das Schutzniveau für sensible
Sozialdaten unter demjenigen für (bisweilen weniger sensible) Daten, die dem BDSG unterfallen, da eine entsprechende Änderung des SGB X unterblieben war. Auf diesen Wertungswiderspruch habe ich das zuständige
Bundesministerium für Arbeit und Soziales (BMAS) aufmerksam gemacht und auf ein rasches gesetzgeberisches
Handeln gedrängt.
Mit einer am 5. August 2010 verkündeten Gesetzesänderung (BGBl. I S. 1127) ist der Gesetzgeber dieser Forderung nachgekommen. Der neu gefasste § 80 Absatz 2
Satz 2 SGB X legt nun detailliert fest, welche Anforderungen bei der Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag beachtet werden müssen. Der Auftraggeber wird außerdem verpflichtet, sich regelmäßig von
der Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen
und das Ergebnis der Prüfung zu dokumentieren. § 80 Absatz 2 Satz 2 SGB X entspricht damit § 11 Absatz 2 BDSG.
Zudem verpflichtet der neue § 83a SGB X die dem Sozialgeheimnis unterliegenden Stellen, im Fall der unrechtmäßigen Kenntniserlangung von Sozialdaten unverzüglich die Aufsichtsbehörde nach § 90 SGB IV, die
zuständige Datenschutzaufsichtsbehörde und den Betroffenen zu informieren. Im Hinblick auf die Art der Benachrichtigung verweist die Norm auf § 42a BDSG. Erste Meldungen über Datenschutzverstöße aufgrund dieser neuen
Vorschrift haben mich bereits erreicht.
Ebenfalls den BDSG-Regelungen nachempfunden ist die
Bußgeldbewehrung von Verstößen gegen die Vorschriften
über die Auftragsdatenverarbeitung und die Informationsverpflichtung.
11.1.3
Elektronischer Entgeltnachweis
11.1.3.1 Das ELENA-Verfahren
Mit dem im Frühjahr 2009 beschlossenen ELENA-Verfahrensgesetz wurde nach langer Diskussion eines der größten Datenverarbeitungsvorhaben im Sozialbereich gesetzlich geregelt. Letztlich wird das Bundesverfassungsgericht
(BVerfG) über seine Verfassungsmäßigkeit zu entscheiden
haben.
Seit vielen Jahren habe ich fortlaufend über das Vorhaben
der Bundesregierung berichtet, für die Erstellung von
Einkommensnachweisen erforderliche Daten aller Beschäftigten bei einer zentralen Stelle zu speichern und
diese für Sozialbehörden zur Entscheidung etwa über Sozialleistungen elektronisch verfügbar zu machen (vgl.
etwa 19. TB Nr. 23.2.2; zuletzt 22. TB Nr. 6.2).
Durch das ELENA-Verfahrensgesetz vom 28. März 2009
(BGBl. I S. 634) wurde mir die Verwaltung des Datenbank-Hauptschlüssels nach § 99 Absatz 3 Satz 2 SGB IV
zugewiesen. Der Bundestag hat meine Bedenken, durch
diese Aufgabenzuweisung könnte die Unabhängigkeit des
BfDI beeinträchtigt werden, da es sich bei der Schlüsselverwaltung letztlich um eine Verwaltungsaufgabe handele,
nicht berücksichtigt. Diese Aufgabenübertragung enthält
BfDI 23. Tätigkeitsbericht 2009-2010