Deutscher Bundestag – 17. Wahlperiode
– 127 –
Nutzung von Sozialdaten im Auftrag nach § 80 SGB X
(vgl. hierzu Nr. 11.1.2) betreffen.
Bei einem weiteren Beratungsbesuch, der den praktischen
Einsatz des Systems SUBsys II in einem Reha-Zentrum
zum Gegenstand hatte, galt mein besonderes Augenmerk
den dortigen Möglichkeiten der Anbindung der unterschiedlichen medizinisch-technischen Geräte, mit denen
Gesundheitsdaten der Patienten verarbeitet werden, an
KLInet. Bei der Kontrolle habe ich die bestehenden vertraglichen Regelungen mit Dritten, die – soweit vorhanden – datenschutzrechtlichen Konzepte (etwa zur Sicherstellung der Auskunftsrechte der Betroffenen) sowie die
technischen und organisatorischen Gegebenheiten im Praxisbetrieb des Reha-Zentrums näher einbezogen. Im Ergebnis habe ich erhebliche den Datenschutz betreffende
Defizite festgestellt und umfassende Empfehlungen zu deren Behebung gegeben. Diese betrafen beispielsweise die
vertraglichen Ausgestaltungen nach § 80 SGB X, die Dokumentationen zum Einsatz der im Reha-Zentrum in Augenschein genommenen klinikeigenen sowie der geleasten
medizinisch-technischen Geräte sowie Datensicherheitsund Datenschutzkonzepte.
Der DRV Bund habe ich geraten, die Einbindung weiterer
Subsysteme an KLInet erst dann umzusetzen, wenn die
von mir empfohlenen Datenschutz- und Datensicherheitsmaßnahmen gewährleistet werden können. Die DRV Bund
hat mich im Anschluss darüber unterrichtet, dass sie alle
meine Empfehlungen aufgegriffen habe. Zudem werde sie
bei den weiteren Planungen meine datenschutzrechtliche
Beratung in Anspruch nehmen.
Ich werde im Rahmen meiner Beratungsaufgabe beim aktuellen und künftigen Einsatz medizinisch-technischer
Geräte besonders darauf achten, dass beim beschriebenen
Umgang mit diesen sensiblen personenbezogenen Daten
die Persönlichkeitsrechte der Betroffenen gewahrt bleiben.
11.1.9
Kontrolle einer Leistungsabteilung der
Deutschen Rentenversicherung Bund
Ein Kontroll- und Beratungsbesuch in einer Leistungsabteilung der DRV Bund offenbarte erhebliche Schwachstellen. Die DRV Bund hat meine Anregungen weitgehend
aufgegriffen.
Gegenstand des Beratungs- und Kontrollbesuches in einer
Leistungsabteilung der DRV Bund waren verschiedene
Bereiche bzw. Dezernate. Dort habe ich schwerpunktmäßig den Umgang mit personenbezogenen Daten der Versicherten, u. a. durch eine stichprobenartige inhaltliche Prüfung von Versichertenakten, aber auch der Beschäftigten
kontrolliert und hierzu datenschutzrechtliche Hinweise
und Empfehlungen gegeben.
Der Austausch von Leistungsakten zwischen der Hauptstelle der DRV Bund und dieser Leistungsabteilung erfolgt
täglich mit einem eigenen Lkw. Hierfür werden auf dem
Transportwege mit einem Vorhängeschloss gesicherte Aktenwagen eingesetzt, in denen jeweils eine große Anzahl
Akten und Vorgänge mit Sozialdaten transportiert werden.
Bei der Zwischenlagerung der Aktenwagen nach der An-
Drucksache 17/5200
lieferung aus Berlin und vor einem Transport zur Hauptstelle habe ich festgestellt, dass ein Zugang zu den Sozialdaten für unbefugte Dritte sowie für unberechtigte
Beschäftigte möglich war. Die DRV Bund hat umgehend
reagiert und sofort nach dem Kontroll- und Beratungsbesuch die erforderlichen Maßnahmen getroffen. Dies habe
ich ausdrücklich begrüßt.
Stichprobenartig habe ich auch Einsicht in Akten der Leistungsabteilung genommen und deren Inhalt auf Rechtmäßigkeit kontrolliert. Von mir in Einzelfällen aufgezeigter
Handlungsbedarf, etwa zu in Leistungsakten aufgefundenen Kopien von Schul- oder Prüfungszeugnissen mit jeweils nicht geschwärzten Schul- bzw. Prüfnoten, hat umgehend zu ersten datenschutzgerechten Lösungen geführt.
Zu anderen grundsätzlichen Themen stehe ich noch in Gesprächen mit der DRV Bund, ebenso zu einigen Feststellungen, die ich bei der Prüfung des Umgangs der Leistungsabteilung mit Beschäftigtendaten getroffen habe. Das
grundsätzliche Problem der nach den Regelungen des BBG
erforderlichen, bisher aber nicht erfolgten Löschungen von
Abwesenheitszeiten (Personalaktendaten) im Personalwirtschaftsverfahren (Personalinformationssystem SAP R/3 HR)
werde ich weiter mit hoher Priorität verfolgen. Näheres
hierzu vgl. Nr. 5.4.2.
Unter Berücksichtigung der konstruktiven und zügigen
Umsetzung der von mir vorgetragenen datenschutzrechtlichen Hinweise und Empfehlungen noch während oder unmittelbar im Anschluss an den Kontroll- und Beratungsbesuch konnte ich nach § 81 Absatz 2 SGB X i. V. m. § 25
Absatz 2 BDSG davon absehen, die festgestellten Verstöße gegenüber der DRV Bund förmlich zu beanstanden.
11.1.10 Ersatzkasse vermittelte psychisch
Erkrankte zur Betreuung älterer
Menschen
Eine Ersatzkasse suchte ihren Versichertendatenbestand
nach psychisch erkrankten Personen durch, die für die
Teilnahme an einer ehrenamtlichen Maßnahme in Betracht kommen – ein äußerst bedenkliches Projekt.
Durch eine Eingabe wurde ich darauf aufmerksam, dass in
einer regionalen Geschäftsstelle einer Ersatzkasse ein datenschutzrechtlich äußerst bedenkliches Projekt durchgeführt wurde. Begrüßenswertes Ziel des Projektes war es,
psychisch erkrankten Personen den Wiedereinstieg in ein
geregeltes Leben zu erleichtern. Zu diesem Zweck kooperierte die Ersatzkasse mit dem Caritasverband, der dem betroffenen Personenkreis anbot, sich ehrenamtlich – z. B.
durch die Betreuung älterer Menschen – zu engagieren.
Zur Ermittlung der in Betracht kommenden Personen wertete die Ersatzkasse ihren Datenbestand nach Medikamentenverordnungen, Krankenhauseinweisungsdiagnosen etc.
aus. Anschließend informierte sie die ermittelten psychisch erkrankten Personen über das Angebot des Caritasverbands. Die Kontaktaufnahme zum Caritasverband
durch die angeworbenen Versicherten und die Teilnahme
an der sozialen Maßnahme erfolgten auf freiwilliger Basis.
Zur Abrechnung der vertraglich vereinbarten Vergütung
informierte der Caritasverband die Ersatzkasse darüber,
welche Versicherten an dem Projekt teilgenommen hatten.
BfDI 23. Tätigkeitsbericht 2009-2010