Drucksache 17/5200
– 130 –
seiner Ansicht dem Patienten zumutbar, sein Auskunftsrecht diesen Stellen gegenüber auszuüben. Dies
sind
– sein niedergelassener Arzt,
– sofern der Arzt seine Praxis ohne Nachfolger aufgegeben hat oder verstorben ist, die zuständige
Kassenärztliche Vereinigung
– und/oder das ihn behandelnde Krankenhaus.
Die Auffassung des PEI, es ergebe sich weder aus dem
BDSG noch aus dem TFG eine Verpflichtung, das
Auskunftsrecht für den Betroffenen so einfach wie
möglich zu gestalten, habe ich nicht geteilt.
Da das PEI sich jedoch entschlossen hat, meiner Forderung nach einer Pseudonymisierung der Arztdaten
zu folgen, ist auch dieses Problem gelöst, so dass Patienten künftig für eine Dauer von zwei Jahren auf alle
über sie gespeicherten Daten zugreifen können. Danach erlischt das Recht auf Auskunftserteilung, da die
Daten tatsächlich nicht mehr personenbezogen gespeichert sind.
– Anonymisierung der Patientendaten
Die Patientendaten werden mit Ausnahme der Behandlungsdaten, des Geburtsjahrs und der ersten beiden Ziffern der Postleitzahl der Patienten durch die Löschung
des Pseudonyms anonymisiert. Bei geringer Bevölkerungsdichte (unter 250 000 Einwohner pro Postleitzahlregion) liegt jedoch keine Anonymisierung nach
§ 3 Absatz 6 BDSG vor, weil nicht zuletzt aufgrund der
Seltenheit des Krankheitsbildes in Verbindung mit den
anonymisierten und den pseudonymisiert bleibenden
Patientendaten die Herstellung des Personenbezugs
ohne unverhältnismäßigen Zeit-, Kosten- und Kraftaufwand möglich wäre. Die Einspeisung der Daten aus der
einzigen unter dem Schwellenwert von 250 000 Einwohnern liegenden Postleitzahlregion in das DHR erfolgt daher künftig zusammen mit der Einspeisung der
Daten aus einer zweiten Postleitzahlregion. Mit der
hiermit erreichten Überschreitung des Schwellenwertes von 250 000 Einwohnern sind die Daten ausreichend anonymisiert. Damit wurde meinen Bedenken
Rechnung getragen.
11.4
Forschungsprojekt des Robert-KochInstituts zum Thema Schweinegrippe
Angesichts des befürchteten Ausbruchs einer Schweinegrippenpandemie hatte das Robert-Koch-Institut (RKI) in
Berlin eine krankenhausbasierte Fall-Kontrollstudie zur
Wirksamkeit von Schweinegrippenimpfstoffen geplant.
Im Vorfeld der Studie hat mich das RKI um datenschutzrechtliche Beratung bezüglich der vorgesehenen Verarbeitung personenbezogener Daten von Schweinegrippe-Patienten sowie hieran nicht erkrankter Patienten aus
Krankenhäusern in Berlin gebeten.
Soweit für die Studie außerdem Daten von Versicherten
der AOK Berlin und durch Melderegisterauskunft bei der
Berliner Verwaltung gewonnener Teilnehmer einbezogen
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
werden sollten, hat der Berliner Landesdatenschutzbeauftragte den Beratungsprozess unterstützt.
Die datenschutzrechtlichen Fragestellungen ähnelten den
Aspekten, die auch bei meiner Beratung des Bundesinstituts für Sportwissenschaft bei dessen Dopingforschungsprojekt eine Rolle spielten (vgl. Nr. 8.7).
Das RKI ist meinen Empfehlungen gefolgt, die Einwilligungserklärung sowie ein Informationsschreiben an die
zur Teilnahme vorgesehenen Personen zu präzisieren. Ich
habe darum gebeten, die Hinweise auf das uneingeschränkte Auskunftsrecht der Betroffenen zu verbessern.
Außerdem habe ich Ratschläge zur schriftlichen Dokumentation der auf Einwilligung der Betroffenen beruhenden Datenerhebungen bei deren Hausärzten für die Fälle
erteilt, in denen die Einwilligung durch die Forscherinnen
und Forscher telefonisch eingeholt wird.
11.5
Arbeitsverwaltung
11.5.1
Aufsichtszuständigkeit über die
neu geschaffenen Jobcenter
Seit dem 1. Januar 2011 unterliegen die bislang von den
Landesbeauftragten kontrollierten Mischbehörden ausschließlich meiner Zuständigkeit. Dem daraus resultierenden zusätzlichen Personalbedarf in meiner Dienststelle wurde noch nicht nachhaltig Rechnung getragen.
Mit dem am 1. Januar 2011 in Kraft getretenen „Gesetz
zur Weiterentwicklung der Organisation der Grundsicherung für Arbeitsuchende“ (BGBl. I 2010 S. 1112) wird in
§ 50 Absatz 4 SGB II geregelt, dass die Datenschutzkontrolle und die Kontrolle der Einhaltung der Vorschriften
über die Informationsfreiheit bei der gemeinsamen Einrichtung sowie für die zentralen Verfahren der Informationstechnik nach § 24 BDSG dem BfDI obliegen.
Die bisher gemeinsam von der Bundesagentur für Arbeit
(BA) und den Kommunen in den 346 sog. Arbeitsgemeinschaften (ARGE) wahrgenommenen Aufgaben werden nach
der Neuregelung auch weiterhin in „Gemeinsamen Einrichtungen“ (neu: Jobcentern) durchgeführt. Dabei sind
die BA und die Kommunen weiterhin Leistungsträger im
Sinne des SGB und die Jobcenter verantwortliche Stellen.
Dies entspricht im Wesentlichen der bisherigen Regelung.
Bis zur Neuregelung unterlagen die ARGE als Stellen der
Länder der Kontrolle der Landesbeauftragten für den Datenschutz (§ 81 Absatz 1 Nr. 2, Absatz 3 SGB X). Lediglich soweit die BA zentrale EDV-Programme den ARGE
zur Verfügung gestellt oder generelle Vorgaben getroffen
hat, war meine Zuständigkeit begründet.
Diese Aufgabenteilung mit meinen Länderkolleginnen
und -kollegen hatte sich aus meiner Sicht bewährt und gewährleistete eine effiziente und bürgernahe Datenschutzkontrolle „vor Ort“. Durch den Verzicht auf diese sachgerechte Differenzierung wurde der Vorteil der räumlichen
Nähe zur beaufsichtigten Stelle preisgegeben. Ich hatte
mich daher gegen diese Änderung der Zuständigkeitsregel
ausgesprochen.
Von entscheidender Bedeutung ist künftig, im Interesse
der Betroffenen auch weiterhin eine effiziente Daten-