Menu
menu

VII. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2003 - 31.03.2005

20.16 Privatisierung der Krankenhilfeabrechnung

Im Berichtszeitraum (vor der mit dem Gesundheitsmodernisierungsgesetz eingefügten Regelung des § 264 Abs. 2 SGB V) hatten Sozialhilfeempfänger einen Anspruch auf Krankenhilfe gegen den örtlichen Träger der Sozialhilfe in entsprechender Anwendung von Regelungen der gesetzlichen Krankenversicherung. Die Abrechnung mit Ärzten und anderen Leistungserbringern war Aufgabe der zuständigen Sozialämter. Zur Kostenersparung wollte ein Sozialamt die Abrechnung auf eine private Firma übertragen. Die private Firma erhielt vom Sozialamt die Information, wer anspruchberechtigter Krankenhilfeempfänger sein kann. Die Leistungserbringer reichten ihre Rechnungen bei der privaten Firma ein, die im gewissen Umfang Prüfungen durchführt und Auszahlungen vornimmt.
Zu diesbezüglichen Vertragsentwürfen konnte der Landesbeauftragte beratend Stellung nehmen.

Bei den personenbezogenen Informationen zur Krankenhilfeberechtigung handelte es sich um besonders geschützte Sozialdaten. Eine Übermittlung durch die Sozialämter hätte einer sozialgesetzlichen Grundlage bedurft, die nicht gegeben war. Die Einschaltung einer nicht-öffentlichen Stelle und die Weitergabe von Sozialdaten an diese Stelle war daher lediglich als Datenverarbeitung im Auftrag zulässig, die den besonderen Anforderungen des § 80 SGB X entsprechen muss. Die materielle und datenschutzrechtliche Verantwortlichkeit musste beim Auftraggeber, hier dem Sozialamt, verbleiben. Der Vertragsentwurf entsprach diesen Anforderungen weitestgehend. Die von der privaten Firma durchzuführenden Prüfungs- und Vergütungstätigkeiten waren begrenzt und detailliert beschrieben. Das Handeln der privaten Firma war umfänglich vom Weisungsrecht des auftraggebenden Sozialamtes abhängig. Lediglich zu einzelnen Formulierungen wurde durch den Landesbeauftragten eine Klarstellung angeregt, um das Missverständnis zu vermeiden, die private Firma könnte zu eigenständiger Recherche, Sachbearbeitung und eigenständiger Entscheidung berufen sein.

Die besonderen Anforderungen an die Verarbeitung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen nach § 80 Abs. 5 SGB X waren ebenfalls erfüllt. Zunächst hatte der Sozialleistungsträger dargelegt, dass die Arbeiten bei der privaten Firma erheblich kostengünstiger realisiert werden können, da bereits im Verwaltungsbereich Einsparungen bis zu 50 % erwartet wurden. Auch verblieb der überwiegende Teil des Datenbestandes des Sozialhilfeträgers bei ihm selbst. Die Auftragsdatenverarbeitung erfolgte in Fallgruppen bei teilweise eigener Bearbeitung. Zudem wurden lediglich aufgabenorientierte Informationen übermittelt.

Zu den Archivierungsregelungen wurde auf Änderungsbedarf hingewiesen. Es ging um Vorgangsarchivierung auf Verwaltungsebene, nicht um archivrechtliche Aufbewahrung. Es erschien jedoch nicht vertretbar, der privaten Firma die Speicherung einzelner Vorgänge für die Dauer der Laufzeit des gesamten Vertrages aufzugeben. Auf die Regelung des § 84 Abs. 2 Satz 2 SGB X wurde hingewiesen.

Nach § 80 Abs. 2 Satz 1 SGB X ist zudem eine Datenverarbeitung im Auftrag lediglich dann zulässig, wenn der Datenschutz beim Auftragnehmer den Anforderungen genügt, die für den Auftraggeber gelten. Diesbezüglich hatte der Vertragsentwurf vorgesehen, die in der Anlage zu § 78a SGB X enthaltenen Maßnahmen in das Vertragswerk zu inkorporieren. Gemäß § 80 Abs. 2 Satz 2 SGB X sind jedoch die technischen und organisatorischen Maßnahmen im Einzelnen festzulegen. Zu bestimmen wären beispielsweise Zeit, Ort und Berechtigte für die Übergabe der für die Datenverarbeitung vorgesehenen Datenbestände. Gleiches gilt für die Aufbewahrung der Datenträger, die Beseitigung von Ausschussmaterial, die Löschung von Restdaten usw. Beispielhafte Festlegungen könnten den Passwortschutz und Verschlüsselungen, jeweils nach dem Stand der Technik, betreffen. Nr. 8 der Anlage zu § 78a SGB X verlangt zudem, dass bei Rechenzentren, die für mehrere Auftraggeber arbeiten, eine Vermischung der Daten bzw. ein Zugriff eines Auftraggebers auf Daten eines anderen Auftraggebers verhindert werden.

Im Hinblick auf die Überwachungsrechte des Auftraggebers nach § 80 Abs. 2 SGB X wurde darauf hingewiesen, dass eine lediglich schriftliche Einräumung der Prüfungsrechte nicht ausreichend ist. Vielmehr hat der Auftraggeber sich vor Ort von der Einhaltung der Datensicherheitsmaßnahmen zu überzeugen.

Der Vertragsentwurf sah vor, die bei der privaten Firma Beschäftigten auf das Datengeheimnis nach § 5 BDSG zu verpflichten. Dazu wurde angeregt, die Belehrung und Verpflichtung mit einer inhaltlichen Information zu verbinden, um sicherzustellen, dass sich die Betroffenen in strafrechtlicher Hinsicht nicht auf einen Verbotsirrtum berufen können. Auch eine Verpflichtung auf der Grundlage des Verpflichtungsgesetzes wurde nahegelegt, mit dem Ziel des entsprechenden Datenschutzniveaus im Sinne des § 80 Abs. 2 Satz 1 SGB X.