04

Kernpunkte:

  • Anfertigung von Sozialberichten
  • Elektronische Aufenthaltsüberwachung
  • Löschanspruch an Fachverfahren owi21
  • Sozialdaten zum Mitlesen
  • Datenpannen im Medizinbereich
  • Datenschutz- und Medienkompetenz

 

4    Datenschutz in der Verwaltung

 

4.1         Allgemeine Verwaltung

4.1.1         Interessenkonflikt bei behördlichen Datenschutzbeauftragten?

Zu prüfen war die Frage, ob die Tätigkeit in einem Rechnungsprüfungsamt mit der parallelen Wahrnehmung von Aufgaben als behördlicher Datenschutzbeauftragter zu einem Interessenkonflikt führen kann. Der Landesgesetzgeber hat hierzu bereits eine Regelung getroffen:

§ 115 Abs. 4 der Gemeindeordnung
Die Leiterin oder der Leiter und die Prüferinnen und Prüfer des Rechnungsprüfungsamtes können nicht zu gleicher Zeit eine andere Stellung in der Gemeindeverwaltung innehaben; dies gilt nicht für die Stellung einer oder eines Beauftragten für den Datenschutz.

Maßgebend ist darüber hinaus Art. 38 Abs. 6 Satz 2 DSGVO. Demnach stellt insbesondere der Verantwortliche sicher, dass in Abgrenzung zum Aufgabenkatalog in Artikel 39 DSGVO die Wahrnehmung anderer Aufgaben und Pflichten nicht zu einem Interessenkonflikt führt. Nähere Ausführungen dazu, wie und durch welche Maßnahmen der Verantwortliche eine Interessenkollision vermeidet, enthält die DSGVO nicht. Insoweit besteht ein Ermessen des Dienstherrn. Allerdings ist vor allem zu gewährleisten, dass die oder der Datenschutzbeauftragte seine Aufgaben weisungsfrei erledigen kann. Ihre bzw. seine insoweit unabhängige Stellung setzt andererseits voraus, dass ein unbefangenes Tätigwerden möglich bleibt und ferner die Fähigkeit zu wertneutralen Entscheidungen in datenschutzrechtlichen Fragestellungen besteht, die nicht infolge der Wahrnehmung anderer Aufgaben beeinflusst wird. Betrifft eine solche Fragestellung die Praxis der Verarbeitung personenbezogener Daten im Bereich des Rechnungsprüfungsamtes, so kann im Einzelfall ein solcher Interessenkonflikt entstehen. § 115 Abs. 4 GO ist daher europarechtskonform auszulegen.

Das VG Stuttgart hat in einem vergleichbaren Fall einige Erwägungen zur Thematik angestellt. Das Gericht kommt zum Ergebnis, dass zwar ein Interessenkonflikt entstehen könne. Allerdings sei ein solcher Konflikt „unkompliziert durch die Benennung eines Stellvertreters aus einer anderen Dienststelle“ vermeidbar, welcher „im Konfliktfall unbefangen einen Vorgang anstelle des Datenschutzbeauftragten übernimmt“. Ein solches Vorgehen erscheint auch aus unserer Sicht denkbar (VG Stuttgart, Beschluss vom 29.03.2021, 11 K 484/21).

Was ist zu tun?
Die kommunalrechtlichen Vorgaben werden durch die europarechtlichen Vorgaben eingeschränkt. Ist gerade die Verarbeitung personenbezogener Daten Gegenstand einer Beurteilung der oder des behördlichen Datenschutzbeauftragten, so kann diese Person in jenem Fall keine unabhängige Prüfung vornehmen, wenn sie im Rechnungsprüfungsamt eine Leitungsposition wahrnimmt. Der bloße Wortlaut von § 115 Abs. 4 der Gemeindeordnung hilft da nicht weiter. Folglich muss für diesen Fall eine andere unabhängige Prüfperson tätig werden, welche die hinreichende Qualifikation und Datenschutzpraxis besitzt.

 

4.1.2         Ortsbeiräte und Seniorenbeiräte als Mandatsträger

§ 50 Abs. 2 Bundesmeldegesetz (BMG)
Verlangen Mandatsträger, Presse oder Rundfunk Auskunft aus dem Melderegister über Alters- oder Ehejubiläen von Einwohnern, darf die Meldebehörde Auskunft erteilen über
1.        Familienname,
2.        Vornamen,
3.        Doktorgrad,
4.        Anschrift sowie
5.        Datum und Art des Jubiläums.

Altersjubiläen im Sinne des Satzes 1 sind der 70. Geburtstag, jeder fünfte weitere Geburtstag und ab dem 100. Geburtstag jeder folgende Geburtstag; Ehejubiläen sind das 50. und jedes folgende Ehejubiläum.

Nach der Gemeindeordnung kann die Gemeinde durch Beschluss der Gemeindevertretung Ortsteile bilden und deren Namen bestimmen. Die Gemeindevertretung kann die Bezeichnung Ortsteil durch die Bezeichnung „Dorfschaft“ oder eine andere Bezeichnung ersetzen. Die Gemeinde kann durch die Hauptsatzung für einen Ortsteil einen Ortsbeirat bilden. Die Hauptsatzung kann für den Ortsbeirat eine andere Bezeichnung vorsehen. Einige Kommunen haben davon Gebrauch gemacht und in ihren Satzungen anstelle der Formulierung „Ortsbeirat“ die Bezeichnung „Dorfvorsteher“ gewählt.

Der Ortsbeirat ist über alle wichtigen Angelegenheiten, die den Ortsteil betreffen, zu unterrichten. Die Geschäftsordnung bestimmt die Art der Unterrichtung. Der Ortsbeirat kann in Angelegenheiten, die den Ortsteil betreffen, Anträge an die Gemeindevertretung stellen. Ferner kann die Gemeindevertretung durch die Hauptsatzung bestimmte Entscheidungen auf den Ortsbeirat übertragen.

Weiterhin kann die Gemeinde durch Satzung die Bildung von Beiräten für gesellschaftlich bedeutsame Gruppen und Belange vorsehen. Zu nennen sind in diesem Kontext insbesondere Seniorenbeiräte, die als Interessenvertretung Beteiligungsrechte erhalten können.

Ortsbeiräte und Seniorenbeiräte benötigen zur Erfüllung ihrer Aufgaben gegebenenfalls Daten der Einwohnerschaft aus dem Melderegister. Maßgeblich ist hierfür das Bundesmeldegesetz.

Die genannten Beiräte können nach Auffassung des ULD als Mandatsträger im Sinne von § 50 Abs. 2 des BMG gelten und im Rahmen ihrer Aufgaben die entsprechenden Daten erhalten.

Was ist zu tun?
§ 50 Abs. 2 BMG beinhaltet eine Rechtsgrundlage für Ortsbeiräte und Seniorenbeiräte, Meldedaten zur eigenen Aufgabenerfüllung zu erhalten. Gemäß § 50 Abs. 5 BMG haben betroffene Personen aus der Einwohnerschaft das Recht, der Übermittlung ihrer Daten an Mandatsträger zu widersprechen. Auf das Widerspruchsrecht ist bei der Anmeldung im Rahmen des Bezugs einer Wohnung sowie einmal jährlich durch ortsübliche Bekanntmachung hinzuweisen.

 

4.1.3         Einhaltung der Vorgaben zur Schuleingangsuntersuchung

Bereits für den Berichtszeitraum im Jahr 2023 wurden die Inhalte des standardisierten Verfahrens für Schuleingangsuntersuchungen erläutert (42. TB, Tz. 4.1.4). Demnach erhalten die Eltern vor allem einen Fragebogen, bei welchem die mit einem Sternchen (*) gekennzeichneten Angaben verpflichtend zu beantworten sind. Die Fragen beziehen sich vor allem auf den Gesundheitszustand des Kindes. Hierfür besteht eine gesetzliche Auskunftspflicht nach § 27 Abs. 3 des Schulgesetzes. Die Übermittlung des Ergebnisses der Untersuchung sowie etwaiger Entwicklungsauffälligkeiten und gesundheitlicher Beeinträchtigungen, die im Einzelfall für die Beschulung von Bedeutung sind, einschließlich Förderbedarfe an die Schule, beruht auf § 27 Abs. 4 des Schulgesetzes.

§ 27 Abs. 3 Satz 1 und 2 des Schulgesetzes
Zur Durchführung der Untersuchungen nach Absatz 1 dürfen bei der untersuchenden Stelle diejenigen Anamnese- und Befunddaten als personenbezogene Daten verarbeitet werden, die für den Untersuchungszweck notwendig sind. Kinder, Jugendliche, Schülerinnen, Schüler und Eltern haben die erforderlichen Angaben zu machen.

Besorgte Eltern wandten sich bezüglich des Fragebogens mit den Gesundheitsfragen an das ULD und baten um Prüfung, ob es sich dabei um jene Fragen handelt, die verpflichtend zu beantworten sind. Nach Durchsicht des Fragebogens konnte das ULD dies bejahen und im Ergebnis keinen datenschutzrechtlichen Verstoß feststellen. So zählen zu den Pflichtangaben z. B. folgende Punkte:

  • Angaben zu chronischen Erkrankungen,
  • Auskünfte zu möglichen Allergien wie etwa bezüglich Nahrungsmitteln, Pollen, Hausstaubmilben, Medikamenten,
  • durchlebte Infektionskrankheiten wie etwa Masern, Röteln, Mumps, Scharlach,
  • Krankenhausaufenthalte oder Operationen,
  • entwicklungsfördernde Therapien oder Maßnahmen wie Physiotherapie, Ergotherapie, Sprachförderung, Logopädie, Frühförderung,
  • Angaben zur Schwangerschaftswoche, in welcher das Kind geboren wurde,
  • Besonderheiten beim Schwangerschafts- und Geburtsverlauf.

Von Bedeutung ist auch, dass die Angaben der ärztlichen Schweigepflicht unterliegen, nur der Wahrnehmung des schulärztlichen Dienstes dienen und nicht an die Schule weitergeleitet werden. Entsprechende Hinweise ergeben sich auch direkt aus dem Fragebogen. Weiterhin sind auch aus den standardisierten Pflichtangaben nach Artikel 13 DSGVO nähere Erläuterungen zu entnehmen, welche Fragen auf welcher gesetzlichen Grundlage zu beantworten sind und bei welchen Fragenkomplexen es sich um freiwillige Angaben handelt.

Im Ergebnis hatte sich der maßgebliche Kreis bei der Durchführung der Schuleingangsuntersuchung korrekt verhalten und alle datenschutzrechtlichen Vorgaben erfüllt. Maßgebend waren vor allem die Inhalte einer Beratung des ULD zur damaligen Entwicklung standardisierter Fragebögen und der datenschutzrechtlichen Pflichtangaben für die Eltern. Der damalige Entwicklungsprozess zur Schaffung einheitlicher Unterlagen für Schleswig-Holstein wurde von Vertretern des Ministeriums für Gesundheit und Justiz sowie von einigen Schulärztinnen und Schulärzten der Kreise und kreisfreien Städte sehr konstruktiv begleitet.

 

4.1.4         Löschung von Daten auf schulisch genutzten Tablets via Fernlöschung

Das ULD erhielt eine Beschwerde, dass unberechtigt personenbezogene Daten auf einem schulisch genutzten Tablet gelöscht wurden.

Unter anderem auf dem privaten Tablet des Kindes der Beschwerdeführer wurden versehentlich personenbezogene Daten ohne Zustimmung der Eltern oder des Kindes durch die verantwortliche Stelle gelöscht. Die verantwortliche Stelle informierte die betroffenen Schüler und Eltern umgehend, dass es aufgrund einer Fernlöschung zu dem Vorfall gekommen war. Es waren nicht nur schulische Dokumente, sondern auch private Fotos, Kontakte, Chatverläufe usw. betroffen.

Daraufhin beschwerten sich die Eltern beim ULD: Sie führten aus, dass sie nicht ausreichend informiert gewesen seien und von dem Umstand der Möglichkeit einer Fernlöschung keine Kenntnis hatten. Die Eltern waren zudem sehr besorgt, dass so auch eine komplette Einsichtnahme durch dritte Personen auf die Daten des Sohnes nicht ausgeschlossen werden konnten.

Im Rahmen eines Anhörungsverfahrens hat das ULD bei der verantwortlichen Stelle um Erläuterungen zu dem konkreten Vorfall gebeten. Daraufhin wurde ausgeführt, dass es sich bei dem Tablet um das Eigentum der Schüler bzw. Eltern handelte. Die Datensicherung obliegt den Eigentümern. Eine automatische Sicherung privater Daten durch die verantwortliche Stelle kann und darf nicht erfolgen, denn die Einsichtnahme in private Daten auf den Geräten war und ist durch die verantwortliche Stelle nicht möglich.

MDM – Mobile Device Management
 Mit einem MDM können mobile Geräte wie Tablets, Smartphones und Notebooks zentral verwaltet werden. Wichtige Funktionen sind die Installation und Deinstallation von Apps, die Konfiguration und die Sperrung oder Löschung verlorener Geräte.

Die Schule wurde über die geplanten Maßnahmen – der Wechsel des Mobile Device Managements – der IT informiert und kommunizierte die geplante Zurücksetzung auch im Voraus an die Schülerschaft. Seitens der Schul-IT wurden über die Schule Anleitungen übermittelt, wie Datensicherungen erfolgen könnten, damit mit Sicherheit brauchbare Back-ups bestehen.

Es hätte gruppenweise ein Entfernen der Geräte aus dem alten MDM und anschließend die Installation und Registrierung im neuen MDM stattfinden sollen. Aufgrund des Fehlers eines Mitarbeiters der Schul-IT kam es jedoch zu einer versehentlichen Löschung von Daten auf mehreren hundert Schülergeräten im Rahmen dieser Umstellung des MDM. Durch eine fehlerhafte Ausführung wurde eine zentrale Funktion aktiviert, die dazu führte, dass betroffene Geräte vollständig zurückgesetzt wurden. Dabei wurden auch alle lokal gespeicherten Daten gelöscht.

Nach Feststellen des Fehlers wurde der Auftrag umgehend gestoppt. Der Elternschaft wurde im Rahmen eines auch an das ULD übermittelten Schreibens erläutert, dass ein MDM ein wichtiger Bestandteil des digitalen Schulbetriebs ist, welches aber auch gewisse Risiken mit sich bringt, die sich im vorliegenden Fall leider verwirklicht haben.

Die verantwortliche Stelle entschuldigte sich bei den betroffenen Personen und versuchte – soweit technisch möglich – die Daten auf den verschiedenen Geräten wiederherzustellen. Intern wurden Maßnahmen ergriffen, um einen ähnlichen Vorfall in Zukunft zu verhindern.

Da es sich um einen unglücklichen menschlichen Individualfehler handelte, hat das ULD das Verfahren mit einigen Hinweisen abgeschlossen: Künftig soll die verantwortliche Stelle vermehrt und insbesondere in Zeiträumen von technischen Umstellungen darauf hinweisen, dass wichtige Daten regelmäßig gesichert werden. Die verantwortliche Stelle sollte zudem sicherstellen, dass eine Kommunikationsweitergabe an die Schüler und Eltern erfolgt. Eine Überprüfung seitens der verantwortlichen Stelle, ob gleichartige Fehler technisch verringert oder gar vermieden werden können, wird ebenfalls von der verantwortlichen Stelle erwartet.

Letztlich handelt es sich auch bei diesem Vorfall um einen nach Artikel 33 DSGVO meldepflichtigen Datenschutzverstoß. Die verantwortliche Stelle wurde dazu aufgefordert, zukünftige vergleichbare Fälle eigenständig innerhalb der 72-Stunden-Frist an das ULD zu melden.

Was ist zu tun?
Datensicherungen sollten regelmäßig vorgenommen werden. Dies gilt nicht nur für Privatpersonen, sondern auch für verantwortliche Stellen, soweit es um die Verarbeitung personenbezogener Daten geht, auf die diese Einfluss und Zugriff haben. Wenn zur Datensicherung Handlungen der Nutzerinnen und Nutzer notwendig sind, sollte dies klar und regelmäßig kommuniziert werden.

 

4.1.5         Einbrüche in Verwaltungs- und Büroräume

Das ULD erhielt mehrere Datenpannenmeldungen aufgrund von Einbrüchen in Verwaltungsräume bzw. in Büroräumlichkeiten, in denen auch Dokumente mit personenbezogenen Daten gelagert wurden. Es wurden Fenster eingeschlagen oder gewaltsam aufgebrochen, Türen aufgehebelt, verschlossene Schränke aufgebrochen und Büros verwüstet.

In fast allen Fällen konnte ein Entwenden von Akten oder Dokumenten mit personenbezogenen Daten ausgeschlossen werden, da Ziel der Einbrüche Bargeld oder Wertgegenstände waren. Es bestand jedoch die Möglichkeit, dass Einsicht in personenbezogene Daten genommen wurde.

Für einen Einbruch kann eine verantwortliche Stelle nichts, wenn Fenster und Türen ordnungsgemäß verschlossen waren. Problematisch aus Sicht des ULD waren jedoch die Fälle, in denen Papierakten mit personenbezogenen Daten unverschlossen auf Schreibtischen gelagert wurden.

Hierzu kam es aufgrund von Überarbeitung und Unaufmerksamkeit der Mitarbeitenden. Einige verantwortliche Stellen führten ergänzend aus, dass ein Aktenschrankschloss einen Täter, der bereits Fenster eingeschlagen hat, nicht daran hindere, auch diese Schlösser zu öffnen. Das mag bis zu einem gewissen Grad richtig sein, jedoch stellt auch das Aktenschrankschloss ein weiteres Hindernis für einen Einbrecher dar und ist zumindest eine technisch-organisatorische Maßnahme, die seitens der verantwortlichen Stelle getroffen werden kann, um personenbezogene Daten auch für den Fall eines Einbruchs zu schützen.

Nach Feststellen der jeweiligen Einbrüche folgten durch die verantwortlichen Stellen Sensibilisierungen der Mitarbeitenden, Papierakten entsprechend den Vorgaben in verschlossenen Schränken zu lagern, Montagen von zusätzlichen Fenstersicherungsbeschlägen, die Installation von zusätzlichen Lichtquellen mit Bewegungsmeldern und zum Teil die Einrichtung von Kameraüberwachungen bzw. Bestreifungen durch Sicherheitsdienstmitarbeitende. Selbstverständlich wurden auch jeweils Anzeigen bei der Polizei gestellt.

Seitens des ULD erfolgte noch der ergänzende Hinweis, dass bei Veranlassung von Kameraüberwachungen der Einrichtungen ebenfalls datenschutzrechtliche Vorgaben bezüglich Videoüberwachungen Berücksichtigung zu finden haben.

Was ist zu tun?
Türen und Fenster sind bei Verlassen von Büros zu verschließen. Papierakten sollten bei längerem bzw. für den Arbeitstag endgültigem Verlassen des Büros in abgeschlossenen Aktenschränken gelagert werden. Technische Geräte sind bei Verlassen des Gebäudes für den Feierabend immer zu sperren und sollten festplattenverschlüsselt sein. Hierfür sollten Verantwortliche (schriftliche) Vorgaben für ihre Mitarbeitenden festlegen. Eine „Clean Desk“-Richtlinie sollte durchgesetzt werden.

 

4.1.6         Vollstreckungsankündigung ohne Umschlag im gemeinsamen Briefkasten mit dem Vermieter

Das ULD erhielt eine Datenpannenmeldung nach Artikel 33 DSGVO und einen Tag später auch eine Beschwerde zu den Handlungen eines Vollstreckungsbeamten eines Amtes. Dieser hatte eine Vollstreckungsankündigung mit einem Termin für einen weiteren Besuch vor Ort ohne Umschlag in den Briefkasten des Schuldners eingeworfen. Der Briefkasten war allerdings deutlich mit zwei Namen beschriftet – dem des Schuldners und dem des Vermieters. Da der Vermieter als Erster den Briefkasten öffnete, konnte er ohne Probleme die offen einsehbare Vollstreckungsankündigung gegen seinen Mieter lesen.

In der Meldung nach Artikel 33 DSGVO führte das Amt aus, dass der Vollstreckungsbeamte angewiesen worden sei, künftige Terminankündigungen nur mit Umschlag zu hinterlegen. Da das Amt auf das Fehlverhalten des Vollstreckungsbeamten aufgrund einer auch dort eingegangenen Beschwerde des Schuldners aufmerksam wurde, war eine Benachrichtigung nach Artikel 34 DSGVO obsolet.

Das ULD hat das Amt ergänzend darauf hingewiesen, dass sämtliche Mitarbeitenden dahin gehend sensibilisiert werden sollten, dass zukünftig alle Schreiben, die personenbezogene Daten aufweisen, auch bei persönlicher Überbringung in einem Umschlag übermittelt werden sollten, um die Daten vor der unmittelbaren Einsehbarkeit durch Dritte zu schützen. Dies gilt auch, wenn Briefkästen nur einen Namen auszeichnen, da auch in diesem Fall selbstverständlich dennoch mehrere Personen auf schützenswerte personenbezogene Daten Zugriff haben könnten.

Was ist zu tun?
Personenbezogene Daten müssen in jeglicher Übermittlungsform vor Zugriffen und Einsichtsmöglichkeiten Dritter geschützt werden. Hierfür können z. B. Verschlüsselungen bei elektronischer Übermittlung und Briefumschläge bei postalischer Übermittlung geeignete Maßnahmen sein. Mitarbeitende sollten diesbezüglich sensibilisiert sein und über entsprechende technische Möglichkeiten und Ressourcen verfügen.

 

4.1.7         Befristetes Arbeitsverhältnis: Namentliche Benennung der zu vertretenden Beschäftigten?

Sind Beschäftigte für einen bestimmten Zeitraum abwesend, kommt deren Vertretung durch andere Beschäftigte in Betracht, indem mit Letzteren ein befristeter Arbeitsvertrag geschlossen wird. Maßgeblich ist dann § 14 Abs. 1 Nr. 3 des Teilzeit- und Befristungsgesetzes:

§ 14 Abs. 1 Nr. 3 des Teilzeit- und Befristungsgesetzes
Die Befristung eines Arbeitsvertrages ist zulässig, wenn sie durch einen sachlichen Grund gerechtfertigt ist. Ein sachlicher Grund liegt insbesondere vor, wenn der Arbeitnehmer zur Vertretung eines anderen Arbeitnehmers beschäftigt wird.

Der maßgebliche Sachgrund muss bei Abschluss des befristeten Arbeitsvertrags vorliegen. In Betracht kommen z. B. vorübergehende Beschäftigungsverbote, etwa wegen Mutterschutz, die Wahrnehmung von Elternzeit oder die längere Erkrankung eines Beschäftigten. Fraglich ist, ob Arbeitgeber in einem befristeten Vertrag die zu vertretende Person namentlich bezeichnen müssen.

Soweit ersichtlich gibt es für die Fragestellung noch keine vertiefte Rechtsprechung. In einer Entscheidung hat das Arbeitsgericht München ausdrücklich offengelassen, ob die Benennung der vertretenen Person im befristeten Vertrag einen Datenschutzverstoß darstellen würde (ArbG München, Endurteil vom 09.09.2020 – 8 Ca 10000/18 – Rz. 25).

Aus der Rechtsprechung der Arbeitsgerichte oder aus der Literatur ist – soweit ersichtlich – bisher nicht zu entnehmen, dass die Aufnahme des Namens der vertretenen Person obligatorisch ist. Der Arbeitgeber wird im Streitfall aber belegen müssen, dass die Vorgaben des § 14 Abs. 1 Nr. 3 TzBfG erfüllt sind und hierfür die Umstände der vertretenen Beschäftigten dokumentieren.

Offen bleibt, weshalb die Benennung des sachlichen Befristungsgrundes (z. B. Befristung auf Grundlage einer Vertretung in der Elternzeit einer Beschäftigten; Befristung aufgrund der Krankheitsabwesenheit einer Person; Befristung aufgrund der Abordnung eines Beschäftigten) nicht ausreichen soll, um eine höhere Transparenz sicherzustellen. Dies mag derzeit dafür sprechen, dass eine namentliche Benennung der vertretenen Person im befristeten Arbeitsvertrag nicht erforderlich ist. Allerdings kann die mehr arbeitsrechtliche Fragestellung durch das ULD kompetenzhalber nicht abschließend beantwortet werden. Es ist zu empfehlen, auf mögliche künftige Konkretisierungen durch die Rechtsprechung zu achten.

 

4.1.8         Mitteilung des Arztes zur Fahruntauglichkeit eines Patienten an Fahrerlaubnisbehörde?

Das ULD war mit der Frage befasst, inwieweit Ärztinnen und Ärzte Angaben zur Fahruntauglichkeit einer Patientin oder eines Patienten, die während der Untersuchung festgestellt wurden, an eine Fahrerlaubnisbehörde weiterleiten dürfen. Im Grundsatz besteht nach den verkehrsrechtlichen Vorschriften eine Befugnis zur Datenweitergabe nur für die Polizeibehörden:

§ 2 Abs. 12 Satz 1 Straßenverkehrsgesetz (StVG)
Die Polizei hat Informationen über Tatsachen, die auf nicht nur vorübergehende Mängel hinsichtlich der Eignung oder auf Mängel hinsichtlich der Befähigung einer Person zum Führen von Kraftfahrzeugen schließen lassen, den Fahrerlaubnisbehörden zu übermitteln, soweit dies für die Überprüfung der Eignung oder Befähigung aus der Sicht der übermittelnden Stelle erforderlich ist.

Insbesondere hinsichtlich der Ergebnisse einer gesundheitlichen Untersuchung sind Ärztinnen und Ärzte an die berufliche Verschwiegenheitspflicht gebunden. Mit der Weitergabe von Patientendaten an eine Fahrerlaubnisbehörde würden Ärztinnen und Ärzte auch den Verarbeitungszweck ändern, da die ärztliche Untersuchung den ursprünglichen Erhebungszweck kennzeichnet. Zweckänderungen bedürfen wiederum einer rechtlichen Grundlage, wobei die engen Vorgaben im Landesdatenschutzgesetz nicht weiterhelfen. Da besondere Rechtsvorschriften fehlen, welche eine Datenübermittlung an die Fahrerlaubnisbehörden legitimieren, kommt es auf eine Schweigepflichtentbindung der Patientin oder des Patienten bzw. auf deren/dessen Einwilligung bezüglich der Datenweitergabe an.

Die Rechtsprechung hat allerdings in den vergangenen Jahren eine Datenweitergabe durch die Ärztin oder den Arzt im Einzelfall als befugt erachtet, soweit dies durch einen Notstand (§ 34 Strafgesetzbuch – StGB) gerechtfertigt ist:

  • Nach Auffassung des Verwaltungsgerichts Oldenburg kommt ein solcher Notstand gegebenenfalls in Betracht, wenn ein Patient Heroin konsumiert, er sich nunmehr in einer Substitutionstherapie befindet und von ihm erhebliche Gefahren für das Leben und die Gesundheit unbeteiligter Personen ausgehen, falls er weiterhin im öffentlichen Straßenverkehr Kraftfahrzeuge führt (VG Oldenburg, Beschluss vom 21.08.2019, 7 B 2289/19).
  • Das Oberlandesgericht Düsseldorf verdeutlicht unter Berufung auf den Bundesgerichtshof, dass bei der Prüfung, ob eine Gefahr noch anders abwendbar war, aufgrund des Vertrauensverhältnisses zum Patienten grundsätzlich zu verlangen ist, dass der Arzt bei Zweifeln an der Kraftfahrtauglichkeit vor einer Information an die Fahrerlaubnisbehörde die gesundheitlichen Einschränkungen erläutert und auf die Gefahren im Falle einer Teilnahme am Straßenverkehr hinweist. Anderes mag dabei gelten, wenn der Patient aufgrund der Art seiner Erkrankung oder aufgrund seiner Uneinsichtigkeit nicht ansprechbar ist (OLG Düsseldorf, Beschluss vom 04.05.2015, III-2 Ws 101/15; BGH, Urteil vom 08.10.1968, VI ZR 168/67).

Eine pauschale Befugnis zur Weitergabe von Informationen zur Fahruntauglichkeit an eine Fahrerlaubnisbehörde besteht hingegen nicht. In jedem Einzelfall muss unter strafrechtlichen Gesichtspunkten geprüft werden, ob eine Notstandssituation besteht. Das Oberlandesgericht Düsseldorf führt aus, dass selbst bei einer ausnahmsweise befugten Durchbrechung der ärztlichen Verschwiegenheitspflicht die Datenweitergabe an die Fahrerlaubnisbehörde auf das Notwendige zu beschränken ist. Demnach reiche für den Ausnahmefall die Bezeichnung der Diagnose nebst der Mitteilung aus, dass Zweifel an der Fahruntauglichkeit bestehen. Die Fahrerlaubnisbehörde hätte dann die Möglichkeit, auf dieser Basis eine Anordnung zur Überprüfung der Eignung zum Führen von Kraftfahrzeugen nach § 11 Abs. 2 der Fahrerlaubnis-Verordnung zu treffen. Die zusätzliche Mitteilung einer ausführlichen Diagnose sowie Angaben zu stationären Aufenthalten und Therapieempfehlungen zählen nach Auffassung des Oberlandesgerichts Düsseldorf nicht zum zulässigen Informationsumfang der Ärztin oder des Arztes.

Was ist zu tun?
Ärztinnen und Ärzte dürfen aufgrund ihrer Eigenschaft als Berufsgeheimnisträger die Angaben aus der ärztlichen Untersuchung einer Patientin oder eines Patienten nicht unbefugt offenbaren. Zur befugten Weitergabe von Angaben zur Fahruntauglichkeit an die Fahrerlaubnisbehörde bedarf es grundsätzlich einer Einwilligungs- und Schweigepflichtentbindungserklärung der Patientin oder des Patienten. Nur im Ausnahmefall dürfen Einzelangaben von der Ärztin oder vom Arzt an die Fahrerlaubnisbehörde ohne eine solche Erklärung weitergegeben werden, wenn die Voraussetzungen eines Notstandes nach § 34 StGB vorliegen.

 

4.1.9         Anfertigung von Sozialberichten

Auszug aus dem Bericht zur sozialen Situation von Kindern und Jugendlichen in Schleswig-Holstein 2023
Der Kinderarmutsbericht greift ausschließlich auf Daten der amtlichen Statistik zurück, überwiegend auf den Mikrozensus und die Bevölkerungsstatistik (Fortschreibung des Bevölkerungsstandes).
Den aktuellen Rand der Analysen bildet dabei das Jahr 2022, im Falle der Bevölkerungsfortschreibung zum Stichtag 31.12.2022. Aus dem Mikrozensus (MZ) waren für diesen Bericht ausschließlich Erstergebnisse verfügbar. Daher können vergleichbare Analysen zu einem späteren Zeitpunkt unter Verwendung der MZ-Endergebnisse des Jahres 2022 zu abweichenden Ergebnissen gelangen.

Das ULD war mit Fragen zur Erstellung von Sozialberichten befasst. Entsprechende Berichte sollen eine Übersicht zur sozialräumlichen Entwicklung einer Kommune geben, etwa in den Bereichen der Leistungen zur Sozialhilfe, der Erziehungs- und Jugendhilfe, der Kindertagesförderung und der Wohnraumversorgung. Der Sozialbericht enthält statistische Angaben, z. B. Daten zur Bevölkerungsentwicklung, zum Alter der Bevölkerung, zu Haushaltsstrukturen, zu Gebäudestrukturen und Standorten besonderer Einrichtungen, zum Mietpreisniveau, zur Arbeitslosenquote und den Standorten von Kindertagesstätten.

Eine transparente Darstellung in einem Sozialbericht erfordert die Darstellung der Datengrundlagen. Zum Vergleich: Der vom Ministerium für Soziales, Jugend, Familie, Senioren, Integration und Gleichstellung veröffentlichte Bericht zur sozialen Situation von Kindern und Jugendlichen in Schleswig-Holstein 2023, der teils andere inhaltliche Schwerpunkte als kommunale Sozialberichte enthält, weist klare Ausführungen zu den Datenquellen auf.

Zu beachten ist, dass zur Erstellung kommunaler Sozialberichte die Kommune erläutern können muss, woher die statistischen Angaben stammen. Sollte hierfür eine Verarbeitung personenbezogener Daten in einzelnen Fachbereichen erfolgen, so muss hierfür eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorhanden sein.

Auszug aus § 7 Landesstatistikgesetz
(1) Die Gemeinden, Kreise und Ämter können zur Wahrnehmung ihrer Selbstverwaltungsaufgaben eigene Statistiken mit oder ohne Auskunftspflicht durchführen, soweit das Statistische Amt für Hamburg und Schleswig-Holstein Einzelangaben in dem erforderlichen Umfang nicht zur Verfügung stellen kann.
(2) Statistiken nach Absatz 1 sind durch Satzung anzuordnen. [...]

Die Anonymisierung personenbezogener Daten stellt dabei eine Verarbeitung nach Art. 4 Nr. 2 DSGVO dar, für welche eine solche Rechtsgrundlage bestehen muss. Der EU-Verordnungsgeber hat in der genannten Vorschrift den Verarbeitungsbegriff sehr weit gefasst und keine abschließende Aufzählung von Verarbeitungsformen vorgenommen.

Als Rechtsgrundlage wäre vor allem zu prüfen, ob gegebenenfalls landesrechtliche Vorschriften eine Anonymisierung für konkrete statistische Zwecke autorisieren.

Handelt es sich bei der Erstellung des Sozialberichts um eine Kommunalstatistik, so müssen die Vorgaben nach dem Landesstatistikgesetz erfüllt werden:


Was ist zu tun?
Die Kommunen müssen vor der Erstellung von Sozialberichten prüfen, ob Angaben aus anderen Statistiken verwendet werden oder ob bestimmte Angaben nur auf Basis einer Anonymisierung personenbezogener Daten ermittelbar wären. Für die Anonymisierung müssen wiederum konkrete Rechtsgrundlagen bestehen. Fehlen diese, darf die Anonymisierung nicht erfolgen.

 


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel
```