Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

16

Beispiele dafür, was die Bürgerinnen und Bürger von unserer Tätigkeit haben

1. In einer psychiatrischen Klinik wurden Patientenunterlagen über viele Jahre hinweg als ”aktive” Patientendokumentationen aufbewahrt, ohne dass deren Erforderlichkeit geprüft worden wäre und ohne dass der Zugriff hierauf auf das Nötige eingeschränkt war. Dies führte dazu, dass auch Nichtberechtigte (z. B. Doktoranden) auf teilweise hochsensible Uraltunterlagen zugreifen konnten. Auf unsere Forderung wurden die laufenden von den nicht mehr aktuellen Unterlagen getrennt. Ein Teil der alten, teilweise aus der Nazizeit stammenden Unterlagen wurde in eine ordentliche Archivierung überführt; ein großer, nicht mehr benötigter Teil wurde vernichtet.
   
2. Durch ein kleines Kreuz auf einer Karte bestimmen die Patienten in der Universitätsklinik in Kiel, welches Essen am nächsten Tag an ihr Bett geliefert wird. Bisher enthielten diese Karten, die innerhalb des Krankenhauses durch unzählige Hände gehen, neben dem vollständigen Namen auch die Anschrift und das Geburtsdatum. Nachdem wir dies infrage stellten, reagierte das Universitätsklinikum prompt und verzichtet zukünftig auf die Erfassung der Anschrift und des Geburtsdatums.
   
3. In Einbürgerungsverfahren wurde den Ausländerinnen und Ausländern landesweit eine Einwilligungserklärung abverlangt, dass Auskünfte bei allen denkbaren Behörden eingeholt werden könnten. Im Fall der Weigerung wurde die Antragsablehnung in Aussicht gestellt. Dadurch wurde nicht nur der Grundsatz der Datenerhebung beim Betroffenen durchbrochen. Gravierender war, dass die Antragstellenden nicht mehr überblicken konnten, welche Informationen bei der Einbürgerung herangezogen werden. In Kooperation mit dem Innenministerium wurde ein Einwilligungsformular entwickelt, das den Betroffenen größtmögliche Transparenz und Wahlfreiheit gibt, ohne dass bürokratische Hindernisse aufgebaut würden.
   
4. Ein Kieler Kindergarten kam auf die Idee, Fotos der Drei- bis Sechsjährigen auf einer eigenen Kindergartenhomepage zu veröffentlichen, was von einigen Müttern abgelehnt wurde. Dabei erwies sich, dass sich die meisten Eltern und der Kindergarten selbst gar nicht über die Risiken einer Internet-Veröffentlichung bewusst waren. Nunmehr werden in sämtlichen Kindergärten in Kiel die Eltern ordnungsgemäß informiert und können frei entscheiden, ob sie einer Veröffentlichung der Fotos ihrer Kinder im Internet zustimmen wollen.
   
5. Im Zuge der Umsetzung des Schwerbehindertengesetzes konnte es dazu kommen, dass der Arbeitgeber vom Landesarbeitsamt über intimste Details der zur Behinderung führenden gesundheitlichen Beeinträchtigung informiert wurde. Nachdem diese Vorgehensweise auch vom Bundessozialgericht kritisiert worden war, regten wir gegenüber der zuständigen Bundesanstalt für Arbeit eine Verfahrensänderung an. Dort reagierte man umgehend: Der Arbeitgeber wird künftig nur noch in Kenntnis und mit Zustimmung des betroffenen Schwerbehinderten beteiligt.
6. Bei der Durchführung von Laboruntersuchungen, die nicht von den gesetzlichen Krankenkassen, sondern von den Patienten selbst bezahlt werden, wurden bisher die Labore in den Auftragsvordrucken über zur Untersuchung nicht erforderliche Patientendaten informiert. Wir setzten eine datenschutzgerechte Gestaltung dieses Vordruckes durch, sodass die Labore nur noch die tatsächlich erforderlichen Patientendaten erhalten.
   
7. Wegen Baumaßnahmen im Städtischen Krankenhaus Kiel mussten Mitarbeiterinnen und Mitarbeiter dunkle Kellerflure nutzen, um von einem Gebäude zum anderen zu kommen. Die deshalb aus Sicherheitsgründen installierte Videoüberwachungsanlage hätte auch zur Mitarbeiterkontrolle genutzt werden können. Personalrat und Verwaltungsleitung folgten unserem Rat und schlossen eine Dienstvereinbarung, die den datenschutzrechtlichen Belangen der Mitarbeiter gerecht wird.
   
8. Nur in seltenen Ausnahmefällen dürfen Sozialämter vollständige Hilfeakten mit der Gesamtgeschichte eines Hilfeempfängers und den in der Regel sehr sensiblen Informationen an andere Sozialämter weitergeben. Dies hatten wir schon im November 1998 für Schleswig-Holstein im Amtsblatt und im Internet bekannt gegeben. Unter Berufung hierauf weigerten sich Sozialämter unseres Landes, Gesamtakten auf Anforderung an Ämter anderer Länder herauszugeben. Dies führte dazu, dass nun auch andere Länder inhaltlich unsere Hinweise übernahmen, sodass länderübergreifend eine einheitliche, praxisgerechte, datensparsame und damit bürgerfreundliche Vorgehensweise gefunden wurde.
   
9. Beantragen Hilfesuchende aus gesundheitlichen Gründen Leistungen, so benötigen die Sozialämter als Entscheidungsgrundlage ein amtsärztliches Gutachten. In vielen Sozialämtern herrschte Unsicherheit, welche Fragen dem Amtsarzt zu stellen und welche Angaben zur Begutachtung zu übermitteln sind. Durch die Mitentwicklung von Vordrucken zur Beauftragung amtsärztlicher Gutachten konnten wir dazu beitragen, dass nicht erforderliche sensible Gesundheitsdaten künftig nicht mehr in den Sozialhilfeakten landen.
   
10. In einer Klinik wurde eine Patientin nach einer ambulanten Behandlung in einem Fragebogen zu ihrer häuslichen Lebenssituation befragt, angeblich, um den Datenhunger der Krankenkassen zu stillen. Unsere Bemühungen führten zu einer Überarbeitung des Fragebogens, sodass künftig die Patienten über den Grund der Datenerhebung, nämlich die bessere Information des behandelnden Arztes, korrekt informiert werden.
    
11. Zwei Unternehmen verteilten die Lohnsteuerkarten ihrer Beschäftigten offen. Damit waren unbefugte Offenbarungen von Personaldaten vorprogrammiert. In beiden Fällen sorgten wir dafür, dass die Lohnsteuerkarten künftig in geschlossenen Briefumschlägen verteilt werden.
    
12. Eine Handelsauskunftei übermittelte bereits gesperrte Daten an ihre Kunden. Durch die Weitergabe von Informationen, deren Richtigkeit die Betroffenen bestritten, wurden einige in ihren Möglichkeiten, Darlehensverträge abzuschließen, erheblich eingeschränkt. Wir bewirkten eine effektive Sperrung der Daten und die Versicherung der Auskunftei, die Daten nicht ohne vorherige Beteiligung der Betroffenen an Dritte weiterzugeben.
    
13. Ein Unternehmen übermittelte im Rahmen einer Konzerndatenbank die Leistungsbewertung eines ehemaligen Mitarbeiters als schlecht, obwohl seine Arbeitsleistungen im Zeugnis mit gut bis befriedigend angegeben wurden. Wir erreichten eine Löschung des diskriminierenden Eintrages bei allen Konzernunternehmen.
    
14. Im Entwurf des Gesetzes zur Neuregelung des Disziplinarrechts war für bestimmte Fälle, in denen eine Disziplinarmaßnahme unzulässig ist, eine weitere Aufbewahrung der betreffenden Unterlagen für die Dauer von zwei Jahren vorgesehen. Da für diese die Betroffenen belastende Datenspeicherung kein sachlicher Grund bestand, wurde die Regelung auf unseren Vorschlag dahin gehend geändert, dass die Löschung der Daten nun unmittelbar nach Rechtskraft der Entscheidung erfolgt.
    
15. Der von uns angebotene Anonymitätsdienst AN.ON, der Surfern die anonyme Webnutzung ermöglicht, hat sich mittlerweile fest etabliert. Steigende Nutzungszahlen belegen, dass die Bürgerinnen und Bürger, aber auch Wirtschaftsunternehmen, Interesse an Maßnahmen haben, die sie selbst ergreifen können, um sich vor Beobachtung ihres Surfverhaltens durch Dritte schützen zu können.
    
16. Bis zum Zeitpunkt unserer Kontrolle konnten in einem Krankenhaus eine große Zahl von Mitarbeitern externer Softwarehäuser und Fernwartungsunternehmen unkontrolliert und unkontrollierbar die medizinischen Daten von Patienten aus dem Krankenhausinformationssystem auslesen und sogar verändern. Diese Sicherheitslöcher sind aufgrund unserer Beanstandungen unverzüglich geschlossen worden.
    
17. Bei einer flächendeckenden Kontrolle aller Handels- und Wirtschaftsauskunfteien des Landes wurden Mängel bei der Handhabung von besonders sensiblen Schuldnerdaten aufgedeckt. Die daraufhin veranlassten Verbesserungen des Datenschutzes minimieren das Risiko, aufgrund ungerechtfertigter Datenverarbeitung keinen Bankkredit mehr zu bekommen.
    
18. Die Mitarbeiter der Ambulanz eines schleswig-holsteinischen Klinikums offenbarten gegenüber der Polizei, dass sich eine gesuchte Person dort aufhielt. Die Polizei nahm die Betroffene fest und führte erkennungsdienstliche Maßnahmen durch. Auf unseren Hinweis, dass auch der Umstand, dass sich eine bestimmte Person zur ambulanten Behandlung in einer Klinik aufhält, grundsätzlich von der ärztlichen Schweigepflicht umfasst ist, wies die Hausleitung die Mitarbeiter an, derartige Auskünfte künftig zu unterlassen.
    
19. Bei der Versendung von Jahresmeldungen der Versorgungsanstalt des Bundes und der Länder durch das Landesbesoldungsamt war im Anschriftenfeld auch die Versicherungsnummer der Betroffenen abgedruckt. Da die ersten sechs Stellen der Versicherungsnummer das Geburtsdatum enthalten, wurden auf diese Weise vertrauliche Daten der Mitarbeiter veröffentlicht. Auf unser Betreiben hin wurde die vom Landesbesoldungsamt vorgegebene Adressierung der Umschläge geändert.
    
20. Die jährlich 120.000 Gutachten mit medizinischen Daten des Medizinischen Dienstes der Krankenversicherungen werden aufgrund der Ergebnisse unserer Kontrolle wirksamer gegen unbefugte Kenntnisnahme abgeschottet. Dazu gehört z. B., dass die Diskettenlaufwerke der Arbeitsplatzrechner deaktiviert, die Möglichkeiten der Einsichtnahme der Systemadministratoren begrenzt und die Anonymisierungsmethoden für statistische Datensätze verbessert wurden.
    
21. Das Justiz- und Frauenministerium forderte zum Zwecke der Kontrolle der Verwendung von Fördermitteln von Frauenhäusern namentliche Listen der dort aufgenommenen geschützten Frauen und Kinder. Hiergegen wandten sich die Frauenhäuser, weil sie eine große Gefahr für die untergebrachten Frauen und Kinder befürchteten, wenn diese Listen in falsche Hände gerieten. Auf unsere Intervention hin gibt sich das Ministerium künftig mit einer pseudonymisierten Aufstellung zufrieden, die sowohl Kontrollierbarkeit als auch Vertraulichkeitsschutz gewährleistet.
    
22. Das Internet steckt voller Risiken für die Privatsphäre der Nutzerinnen und Nutzer. In unserer Reihe ”Safer Surfen” bieten wir umfangreiche Hilfestellungen zum Selbstdatenschutz rund um das Thema ”Sicherheit im Internet”. Die Servicewebseiten unter www.datenschutzzentrum.de/selbstdatenschutz/ wurden im Berichtszeitraum aktualisiert und bieten neben Aspekten wie Internet-Sicherheit und Verschlüsselung auch Informationen zur Anwendung von neuen Datenschutztechnologien für den eigenen Computer.