4.4.1 Auskünfte aus der Personalakte dürfen an Dritte nur mit Einwilligung des Beamten erteilt werden, es sei denn, dass die Abwehr einer erheb- lichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen des Dritten die Auskunitserteilung zwingend erfordert ($ 56 d Abs. 2 LBG). Inhalt und Empfänger der Auskunft sind dem Beamten schriftlich mitzuteilen. Die Auskunft ist auf den jeweils erforderlichen Umfang zu beschränken ($56 d Abs.3 LBG). Dies bedeutet, dass in jedem Einzelfall das konkrete Informationsbe- dürfnis des Datenempfängers Maßstab für den Umfang der zu übermit- telnden Daten darstellt. Die ersuchte Behörde hat vor Weitergabe der Akten oder vor Erteilung einer Auskunft zu prüfen, ob die Erforderlich- keit der Akteneinsicht in dem erbetenen Umfang dargelegt ist. Ist für die ersuchte Behörde erkennbar, dass der Informationsbedarf auch anders gedeckt werden kann, so muss sie von einer Weitergabe der Akten absehen. Hinzu kommt, dass die Erteilung einer Auskunft grundsätzlich an die Einwilligung des Beamten knüpft, es sei denn, dass ein gewichtiges vor- rangiges Informationsinteresse des Dritten oder eine erhebliche Beein- trächtigung des Gemeinwohls die Auskunftserteilung ohne Einwilli- gung zwingend erfordert. Auch in diesen Fällen sollte aufgrund der Für- sorgepflicht des Dienstherrn versucht werden, zunächst die Einwilli- gung des Beamten einzuholen bzw. der Auskunftserteilung entgegen- stehende Interessen festzustellen. In jedem Fall darf die Übermittlung der Daten nicht hinter dem Rücken des Beamten stattfinden. Er ist nach $56 d Abs.2 Satz 2 LBG über Inhalt und Empfänger der Auskunft schriftlich zu informieren. Im vorliegenden Fall ist sowohl eine Interessenabwägung als auch eine schriftliche Benachrichtigung der Beamtin über die Einsichtnahme in ihre Personalakte bzw. Auskunftserteilung aus ihrer Personalakte an einen Beamten des BKA unterblieben. Integrierte Personalverwaltung Im Jahr 2000 soll die seit 1992 geplante „Integrierte Personalverwal- tung“ (IPV) in der Berliner Verwaltung sukzessiv in den Echtbetrieb gehen. Über die Entwicklung haben wir kontinuierlich berichtet!", Mit IPV soll die Personalverwaltung vereinfacht werden, indem ver- schiedene Funktionen von der Bearbeitung von Urlaubs- oder Teilzeit- anträgen bis zu den Lohn- und Gehaltsbuchungen einzelner Stellen zusammengefasst werden. Weiterhin sollen Funktionen der Bürolei- tung, der Personalwirtschaftsstellen, der Personalaktenführung und 111  JB 1993, 4.5.1; JB 1996, 4.4.1; JB 1997, 2.3; IB 1998, 2.2 80                                                              Jahresbericht BInBDA 1999

4.4.1 viele mehr zu einem Personalinformationssystem integriert werden. Realisiert wird IPV auf der Grundlage des Moduls Human Ressources (HR) eines SAP R/3 Systemst!?2, Erste Pilotanwendungen wurden frühzeitig in den Bezirken Köpenick und Wedding erprobt. Dabei lag bis März 1998 der Schwerpunkt auf der Personalverwaltung, während für die Zahlbarmachung der Löhne, Gehälter und Besoldung eine Schnittstelle zum Altverfahren des Landesverwaltungsamtes geschaffen werden sollte. Inzwischen ist der Funktionsumfang so erweitert worden, dass die Personalzahlungsver- fahren in das SAP R/3-System einbezogen und die Altverfahren abge- löst werden können. Diese Strategieänderung erfolgte gegen den Willen der mit der Anpassung des SAP-Systems an die Berliner Bedürfnisse (sog. Customi- zing) betrauten Unternehmensberatung, die daraufhin einseitig kün- digte. Dies führte zu einer weiteren Verzögerung des Projekts, die durch den Einstieg der SAP AG selbst für das Customizing in Grenzen gehal- ten werden konnte. Mit Auflösung der Projektgruppe IPV bei der Senatsverwaltung für Inneres und der Gründung des Service- und Systemunterstüzungscen- ters (SSC) beim Landesverwaltungsamt am 1. April 1999 ging das Verfah- ren aus der Projektierungs- in die Einführungsphase über. Das SSC ist seit diesem Zeitpunkt Verfahrensbetreiber. Im Zuge dieses Übergangs hatten wir die Änderungen der vorliegenden Konzeption zu bewerten. Ein Schwerpunkt liegt auf dem Sicherheitskonzept, das von der Pro- jektgruppe erstellt wurde und das u. a. das Berechtigungskonzept ent- hält. Die Ausgestaltung erfolgte datenschutzgerecht und unter Berück- sichtigung der IT-Sicherheitsrichtlinie!'®. Offene Fragen wurden mit uns abgestimmt und gelöst. Die Grundlage für das Berechtigungskonzept bildet eine fiktive Senats- bzw. Bezirksverwaltung, so dass bei der später erfolgenden Einführung in einer realen Verwaltung die Umsetzung des allgemeinen Sicherheits- konzepts auf die vorhandenen Infrastrukturen nochmals kritisch beob- achtet werden muss. Als erste Senatsverwaltung soll im Mai 2000 die Senatsverwaltung für Inneres den Produktivbetrieb mit IPV aufneh- men. In einer Sitzung des Unterausschusses „Datenschutz“ des Aus- schusses für Inneres, Sicherheit und Ordnung des Abgeordnetenhauses von Berlin gab die Senatsverwaltung für Inneres, die sich in Bezug auf die Umsetzung der IT-Sicherheitsrichtlinie für den IPV-Einsatz im eige- nen Hause eher zurückhaltend geäußert hatte, die Zusage, rechtzeitig zum Beginn des Echtbetriebes ein Sicherheitskonzept umgesetzt zu haben. 112  JB 1998, 4.8.1 113  Richtlinie zur Gewährleistung der notwendigen Sicherheit beim IT-Einsatz in der Berliner Verwal- tung v. 5. 1. 1999, DBI. I, Nr. 2, 5.5 ff. Jahresbericht BInBDA 1999                                                                          8

4.4.2 Die hohe Schutzbedürftigkeit der Personaldaten veranlasste uns sehr frühzeitig, die Verschlüsselung der IPV-Daten während der Übertragung über das Berliner Landesnetz nachhaltig zu empfehlen. Da sich die Suche nach einem starken Verschlüsselungsprodukt, welches als Infra- strukturdienstleistung zentral vom Landesbetrieb für Informationstech- nik und verfahrensunabhängig angeboten werden soll, erheblich hinzö- gerte, hätten wir nach dem Motto „Besser als gar nichts“ übergangs- weise auch eine schwächere Lösung akzeptiert. Allerdings wurden im Oktober 1999 erfolgreiche Tests mit einer starken Verschlüsselungssoft- ware am IPV-Verfahren durchgeführt, so dass dieses Problem zumin- dest für IPV eine Lösung finden wird'!". 4.4.2 Gesundheit Gesundheitsreform 2000 Im Jahre 1999 wurde versucht, vieles im Gesundheitswesen zu bewe- gen. Die Bundesregierung nahm die Gesundheitsreform 2000 in Angriff. Der Gesetzentwurf! wies allerdings erhebliche catenschutzrechtliche Mängel auf, die bei den Datenschutzbeauftragten des Bundes und der Länder und in der breiten Öffentlichkeit auf Kritik stießen. Der Gesetzentwurf gab das bisherige Konzept der Datenverarbeitung in der gesetzlichen Krankenversicherung auf, wonach aus dem ambu- lanten Bereich personenbezogene Abrechnungsdaten mit medizini- schen Inhalten den Krankenkassen nur ausnahmsweise zu Prüfzwecken zur Verfügung stehen. Geplant war, diese Informationen den Kranken- kassen generell versichertenbezogen zu übermitteln. Es bestand die Gefahr des „gläsernen Patienten“. Das Arztgeheimnis wäre ausgehöhlt worden. Denn bei den gesetzlichen Krankenkassen wären Datenbe- stände aller gesetzlich Versicherten entstanden, aus denen sich für jeden einzelnen Patienten ein vollständiges Gesundheitsprofil hätte erstellen lassen. Die beabsichtigte Einführung von zentralen Datenan- nahme- und -verteilstellen, bei denen nicht einmal klar war, in welcher Rechtsform (öffentlich-rechtlich oder privat) siz betrieben werden sollen, hätte eine weitere, krankenkassenübergreifende zentrale Samm- lung medizinischer personenbezogener Patientendaten zur Folge gehabt ($294 SGB V des Entwurfs). Wir haben Verständnis für die Bemühungen, die Kosten des Gesund- heitswesens zu begrenzen, ohne gleichzeitig die gute Versorgung der Patienten zu verschlechtern. Bei der Wahl der Mittel ist es aber Aufgabe des Gesetzgebers, bei dem Eingriff in das Recht auf informationelle Selbstbestimmung die Erforderlichkeit und die Verhältnismäßigkeit zu 14   191.482 115  Gesetzentwurf der Fraktionen der SPD und Bündnis 90/Die Grünen, BT-Drs. 14/1245, und der gleichlautende Gesetzentwurf der Bundesregierung, BT-Drs. 14/1721 32                                                                    Jahresbericht BInBDA 1999

4.4.2 wahren. Der Gesetzentwurf ließ jede Begründung vermissen, warum die bisherigen Kontrollmechanismen, die ohne die Speicherung umfangreicher Patientendatenbestände bei den Krankenkassen aus- kommen, ungeeignet sein sollten, die Wirtschaftlichkeit und Qualität ärztlicher Leistungserbringung sicherzustellen. Die Datenschutzbeauftragten des Bundes und der Länder haben dringend eine Überarbeitung empfohlen!‘s. Der Gesetzentwurf wurde daraufhin wesentlich verbessert und weiterentwickelt. Die Krankenkas- sen sollten nunmehr von den Leistungserbringern (z. B. Ärzten, Kran- kenhäusern, Apotheken) die Patientendaten nicht mehr in personenbe- zogener, sondern in pseudonymisierter Form erhalten!!’. Dieses neue Modell nimmt eine zentrale Forderung der Datenschutzbeauftragten auf, für die Verarbeitung von Patientendaten solche technischen Ver- fahren zu nutzen, die die Persönlichkeitsrechte der Betroffenen wahren und so die Entstehung des „gläsernen Patienten“ verhindern. Auch anhand von pseudonymisierten Daten können die Krankenkas- sen ihre Aufgaben der Prüfung der Richtigkeit der Abrechnungen sowie der Wirtschaftlichkeit und der Qualität der Leistungen erfüllen!!s. Als Folge der Kritik der Datenschutzbeauftragten wurden vom Bundestag auch die Regelungen zum Umgang mit den Daten der Versicherten in der gesetzlichen Krankenversicherung erheblich verbessert, z. B. durch die Beschränkung der Datenzugriffsrechte innerhalb der Krankenkas- sen!!? oder die Einführung eines Beratungsgeheimnisses!%. Am 4. November 1999 hat der Bundestag das Gesundheitsreformge- setz in dieser Fassung, die sogar datenschutzrechtliche Verbesserungen gegenüber der bisherigen Rechtslage enthielt, beschlossen. Nachdem sich abzeichnete, dass der Bundesrat dem Gesetzentwurf nicht zustim- men und eine Abtrennung der zustimmungsbedürftigen Teile erfolgen würde, appellierten die Datenschutzbeauftragten an die zuständigen gesetzgebenden Körperschaften, die - politisch bisher völlig unstreiti- gen - datenschutzrechtlichen Teile im Bundesrat passieren zu lassen, da durch das „Aufschnüren“ des Paketes und die Preisgabe der zustim- mungspflichtigen Teile des Gesetzes drohte, dass die datenschutzrecht- lichen Verbesserungen nicht umgesetzt werden. Sie haben darauf hin- gewiesen, dass das bisherige Verfahren grundlegend verbessert würde, weil bei den Krankenkassen auch Krankenhaus- und Arzneimittel- kosten nicht mehr personenbezogenen abgerechnet werden müssten. 116  Entschließung zu „Gesundheitsreform 2000“, Anlagenband „Dokumente zum Datenschutz 1999°, Teil AU 117  Beschlussempfehlung und Bericht des Ausschusses für Gesundheit insbesondere zu $294 SGB V, BT-Drs. 14/1977 118  Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länderz tenschutz durch Pseudonymisierung“, Anlagenband „Dokumente zum Datenschutz 1999“, Te 119  Beschlussempfehlung und Bericht des Ausschusses für Gesundheit zu $ 284 Abs. 4SGB V, BT-Drs. 14/1977 120  Beschlussempfehlung und Bericht des Ausschusses für Gesundheit zu $305 SGB V, BT-Drs. 14/1977 Jahresbericht BInBDA 1999                                                                     83

4.4.2 Während der Beratungen in den Ausschüssen des Bundestages wurde dieser versichertenfreundliche Gesetzesteil quer durch die Parteien befürwortet und so verabschiedet. Selbst die Kassen und die Pharmain- dustrie begrüßten die Vorschläge weitgehend. Bedeutende zusätzliche Kosten wären durch das neue Verfahren nicht entstanden. Wir haben der Senatorin für Gesundheit und Soziales empfohlen, diesern Teil des Gesetzentwurfs im Bundesrat zuzustimmen. Leider wurde dem Appell der Datenschutzbeauftragten nicht gefolgt. Nach einer ablehnenden Stellungnahme des Bundesrates hat der Bundestag am 16. Dezember 1999 auf Beschlussempfehlung des Vermittlungsausschusses!?! das Gesetz zur Reform der gesetzlichen Krankenversicherung ab dem Jahr 2000 ohne die wesentlichen datenschutzrechtrechtlichen Verbesserun- gen beschlossen'?. Gesundheitsdatengesetz Auch außerhalb des Systems der gesetzlichen Krankenversicherung sind bundesgesetzliche Regelungen zur medizinischen Datenverarbei- tung erforderlich. Die Europäische Datenschutzrichtlinie untersagt die Verarbeitung von personenbezogenen Daten über Gesundheit oder Sexualleben, wenn nicht bestimmte Ausnahmen vorliegen (Art. 8 Abs. 1). Hierzu gehören die ausdrückliche Einwill:gung der betroffenen Patienten, die Datenverarbeitung auf dem Gebiet des Arbeitsrechts, der Schutz lebenswichtiger Interessen oder wenn der Betroffene außer Stande ist, die Einwilligung abzugeben, sowie der Umstand, dass die Daten von der betroffenen Person selbst offenkundig öffentlich gemacht worden oder sie zur Rechtsverfolgung erlorderlich sind (Art. 8 Abs. 2). Die Vorgaben des Artikels 8 der Richtlinie machen eine flächen- deckende, sinnvollerweise bundesrechtliche Regelung des Umgangs mit Gesundheitsdaten erforderlich, die durch spezialrechtliche Regelun- gen auf Bundes- und Landesebene verfeinert werden kann. Es besteht erheblicher Regelungsbedarf in verschiedener Hinsicht. So wäre zu prü- fen, ob Gesundheitsdaten generell unter einen besonderen Schutz zu stellen sind, ob ein Gesundheitsdatengeheimnis zu schaffen ist, ob überhaupt ohne explizite Einwilligung die Verarbeitung erlaubt werden darf, an welche Stellen Daten übermittelt werden dürfen, wie mit besonders sensiblen Daten umzugehen ist und welche angemessenen Garantien zur Sicherung der informationellen Selbstbestimmung im Zusammenhang mit anderen Daten gegeben werden müssen. Die Ent- wicklung neuer Techniken sowie Auskunfts- und Einsichtsrechte und der Aufbau von Gesundheitsregistern sowie die Verwendung von Gesundheitsdaten in Wissenschaft und Forschung, Ausbildung und Lehre bedürfen einer expliziten Regelung. 121  BT-Drs. 14/2369 122  BGBl. 11999, $. 2626 84                                                  Jahresbericht BiaBDA 1999

4.4.2 Zwar sieht die Bundesregierung keine Veranlassung „ein übergreifen- des Medizindatenschutzrecht in Form eines Rahmengesetzes“ vorzu- schlagen!?. Sie verweist vielmehr auf „bereichsspezifische Datenschutz- vorschriften“. Dies kann aber nicht ausreichen, die Breite der Verwen- dung von Gesundheitsdaten abzudecken. Approbation von Psychotherapeuten Diskussionen verursachte die Approbation bzw. Zulassung der Psycho- therapeuten nach dem Psychotherapeutengesetz, weil die Kassenärzt- liche Vereinigung zur Prüfung der fachlichen Kompetenz eine Anzahl von Fallbearbeitungen verlangte, die von den Antrag stellenden Thera- peuten zu berichten waren. Diese waren erheblich verunsichert, weil sie befürchteten, selbst bei Fortlassung des Namens aufgrund der Gesam- tumstände ohne Absicht doch Patientendaten zu offenbaren. Wir haben den Therapeuten dringend nahe gelegt, bei der Anonymi- sierung ihrer Fälle so weit wie möglich zu gehen, damit auch im engeren Fachkreis nicht durch zufällige Bekanntschaften oder Vorkenntnisse eine Aufdeckung einer psychotherapeutischen Behandlung zu Lasten eines Patienten erfolgen würde. Zu bemängeln war an dem Verfahren nichts, weil die Kassenärztliche Vereinigung ausdrücklich auf die Angabe von personenbezogenen oder patientenbezogenen Daten ver- zichtet hatte. Es sollten lediglich Fallbeispiele aus der therapeutischen Praxis angeliefert werden. Besuchskontrolle im Altenheim Von einer Betreuungsperson wurde uns mitgeteilt, dass die Besucher an der Pforte eines Heimes und der zu besuchende Bewohner namentlich erfasst werden. Der Besucher wurde darüber nicht informiert; Gründe für die Speicherung wurden nicht angegeben. Die Pforte wurde auch nicht regelmäßig bewacht, so dass viele Besucher ohne Kontrolle und ohne notiert zu werden das Haus betreten konnten. Daraus ergab sich für einen Betreuer die missliche Situation, dass er in den Verdacht einer unregelmäßigen Abrechnung geriet. Denn ein Gericht, das die Abrech- nung in einem Betreuungsverhältnis nachprüfen sollte, zog zum Beweis das Besucherbuch heran, wobei Unstimmigkeiten zwischen den im Besucherbuch eingetragenen Besuchen und dem Abrechnungsstand festgestellt wurden. Das Altenheim war der Auffassung, diese Besucherliste aus Sicher- heitsgründen für die Besucher und die Heimbewohner und für den Pfle- gebedarf führen zu müssen, weil die Befindlichkeit von Heimbewoh- nern oft von der Art des vorausgegangenen Besuches abhängig sei und zudem die Sicherheit der Besucher selbst geschützt werden sollte (z. B. bei Brandgefahr). 123  BT-Drs. 14/1527, S.14 Jahresbericht BinBDA 1999                                                   85

4.4.2 In der überwiegenden Zahl der Berliner Pfiegeheime ist der freie Zutritt durch Besucher gewährleistet. Eine Kontrolle durch einen Pfört- ner erfolgt in der Regel nicht. Es gibt auch keine Kontrolle durch das Pflegepersonal in den einzelnen Wohnbereichen, mit der Ausnahme der normalen Beobachtung des Pflegeablaufs. Eiwaigen Sicherheitsbe- dürfnissen der Heimbewohner kann durch den Heimbetreiber in Form einer Klingelanlage mit Wechselsprechanlage und entsprechenden Schließanlagen Rechnung getragen werden. Deran Willen der Heimbe- wohner ist Vorrang einzuräumen und sicherzustellen, dass diese jeder- zeit Besuch empfangen und das Heim verlassen können. Die Heimbetriebe haben dafür zu sorgen, dass sich keine fremden Personen gegen den Willen der Heimbewohner Zugang zu den Bewoh- nerzimmern verschaffen. Hierzu ist es allerdings nicht erforderlich, die Häufigkeit der Besuche von Angehörigen, Betreuern oder anderen Per- sonen zu erfassen. Eine derartige Regelung wird vom Landesamt für Gesundheit und Soziales als Einschränkung der Privatsphäre des Heim- bewohners angesehen. Das Landesamt geht davon aus, dass auch die Pflegeheime diese Bewertung teilen. Denn die Heimverträge enthalten keine Berechtigung eines Heimes zu einer Protokollierung von Betreu- erbesuchen. Meist ist sogar das Gegenteil der Fall, wonach durch eine Klausel die Erfassung bewohnerbezogener Daten begrenzt ist auf Daten, die zur Pflege und Betreuung benötigt werden, und dass diese Daten vertraulich zu behandeln sind. Eine Weitergabe solcher Daten an Dritte, mit Ausnahme an die Heimaufsicht und an den Medizinischen Dienst der Krankenkassen, erfolgt nicht. Fallkonferenzen Da wegen Sparmaßnahmen auch in psychiatrischen und geriatrischen Krankenhäusern Betten abgebaut werden müssen, stellt sich für eine ältere Person mit phasenweiser Verwirrtheit und ständigem Pflegebe- dürfnis die Frage nach dem Wohin. Da die Pflege zum Teil durch die Sozialhilfe finanziert wird, schlägt die Sozialverwaltung „betreutes Wohnen“ vor, bei dem privat organisierte Leistungserbringer die Pflege und Unterbringung kostengünstiger anbieten. Die Frage des „Wohin“ wird in einer Fallkonferenz erörtert, wo sich sowohl Vertreter des Sozialpsychiatrischen Dienstes, des Kran- kenhauses, aber auch unterschiedliche Trägereinrichtungen einfinden, um eine angemessene Bleibe für den pflegebedürftigen Menschen zu inden. Die Fallkonferenz wird auch unter anderer Bezeichnung tätig. Die regionalisierte „gemeindenahe“, d. h. bezirkliche Versorgung psychisch kranker Menschen ist ein zentrales Ziel der Psychiatriepolitik im Lande Berlin. Um dieses Ziel zu erreichen, wurden in den Bezirken Plan- und Leitstellen und ein Psychiatriekoordinator eingerichtet, denen die Pla- 86                                                   Jahresbericht BinBDA 1999

4.4.2 nung und Steuerung von psychosozialen Einrichtungen im gemeinde- nahen oder bezirklichen Bereich obliegen. Die Fallkonferenz steuert dabei die weitere Versorgung der einzelnen Patienten. Maßgeblich kommt es auf die individuelle Bedarfssituation der Patienten an. Es stellt sich jedoch ein Datenschutzproblem insofern, als in der Fall- konferenz über die Persönlichkeit und das Leiden eines Patienten gesprochen werden muss, um dessen Versorgung so gut wie möglich zu gestalten. Die an uns herangetragenen Bedenken (gegenüber dieser „offenen“ Situation) haben wir aufgegriffen, um in einer gemeinsamen Arbeitsgruppe mit der Senatsverwaltung für Gesundheit und Soziales unter Beteiligung der Bezirke bzw. freien Träger ein Konzept zu ent- wickeln, wie der Patientenschutz in diesem Gremium nachhaltig geschützt werden kann. Rechtliche Voraussetzung ist, dass der Patient diesem Verfahren zustimmt. Aber wesentlich ist vor allem, dass er oder sein Betreuer diese Zustimmung vor dem Hintergrund einer klaren Vor- stellung von der Zusammensetzung der Fallkonferenz abgeben kann. In einem Empfehlungsschreiben sollen die Bezirke modellhaft auf die bestehenden Interessenkonflikte hingewiesen werden. Die Fallkon- ferenzen sind so zu gestalten, dass eine Verletzung schutzwürdiger Belange der Patienten ausgeschlossen werden kann.            Grundsätzlich muss jedoch von einer Mitwirkungspflicht und Mitwirkungsbereitschaft des Patienten an diesem Verfahren ausgegangen werden. Auf die Mit- wirkung als tragendes Element der Sozialarbeit und des sozialen Leis- tungsrechts kann auch hier nicht verzichtet werden. In der Fallkonfe- renz soll durch einen Fürsprecher, der jeweils von Sitzung zu Sitzung bestimmt wird, sichergestellt werden, dass auch für nichtanwesende Patienten oder für solche Patienten, die ihre Interessen nicht mehr sachgerecht vertreten können, eine möglichst behutsame und angemes- sene Handhabung ihrer Lebens- bzw. Krankengeschichte erfolgt. Prüfung der Arbeitsunfähigkeit EineBerliner Krankenkasse hat einen großen Teil ihrer Mitarbeiter auch krankenversichert. Betreut werden diese Mitglieder von einem Mitarbei- ter dieser Krankenkasse in einem „Mitarbeiterkrankenbüro“. Ein Petent war für längere Zeit arbeitsunfähig geschrieben, wurde jedoch kurz vor dem Ablauf des Arbeitsverhältnisses vom Arzt gesundgeschrieben, wodurch der Urlaubsanspruch erhalten blieb. Die Krankenkasse beauf- tragte daraufhin als Arbeitgeberin das Mitarbeiterkrankenbüro, die „Arbeitsfähigkeitsschreibung“ ärztlich durch den Medizinischen Dienst der Krankenkasse nachzuprüfen. Der Anordnung lag wohl die Annahme zugrunde, dass durch die „Gesundschreibung“ lediglich der Urlaubsan- spruch des Petenten gerettet werden sollte. Nach $ 275 Abs. 1 Ziff. 3 SGB V sind die Krankenkassen verpflichtet, zur „Beseitigung von Zweifeln“ an der Arbeitsunfähigkeit eine gutach- Jahresbericht BInBDA 1999                                                87

4.4.3 terliche Stellungnahme des Medizinischen Dienstes der Krankenversiche- rungen einzuholen. Hier hatte der Arbeitgeber jedoch Zweifel an der Arbeitsfähigkeit geltend gemacht. Eine enge Interpretation des Wortlau- tes von $275 SGBV trifft nicht die Bedeutung dieser Bestimmung. Denn die Aufgabe des Medizinischen Dienstes besteht darin, in dem Dreiecksverhältnis zwischen Arbeitgeber, Arbeitnehmer und Kranken- kasse zu klären, auf welcher Sachverhaltsgrundlage wirklichkeitsge- rechte Entscheidungen zu finden sind. Der Begriff „Zweifel an der Arbeitsunfähigkeit“ deckt damit auch Zweifel an der Arbeitsfähigkeit ab, denn die „Arbeitsunfähigkeit“ ist begrifflich die unmittelbare Kehr- seite der „Arbeitsfähigkeit“. Die Rache des Gehörnten Eine verheiratete Frau lebte mit einem anderen Mann zusammen mit der Absicht, sich scheiden zu lassen. Der verlassene Ehegatte versuchte dies mit allen Mitteln zu unterbinden. Eines Tages teilte er der Ehefrau mit, über vertrauliche Daten ihres neuen Lebenspariners zu verfügen. Er gab brisante Details preis und stellte in Aussicht, diese Daten weiterzuleiten. Die Frau begab sich in die ehemals gemeinsame Wohnung, um ihren Gatten zur Rede zu stellen und um ihn von seinem Vorhaben abzubrin- gen. Dieser hielt ihr ein Dokument mit sehr sensiblen Daten vor, das keinen Briefkopf aufwies. Die Petentin geht davon aus, dass es sich um einen Auszug aus einer Krankenkassendatenbank bezüglich ihres neuen Lebenspartners handelte und dessen Krankheitsverläufe betraf. Der ver- lassene Ehemann war beieiner Rentenversicherungsanstalt beschäftigt. Die Überprüfung hat ergeben, dass die Möglichkeit bestanden haben könnte, unter einer fingierten Anfrage der Rentenversicherung von der Krankenkasse Krankheitsdaten zum            Schein für die Rentenversiche- rungsanstalt abzufragen. Eine endgültige Aufklärung war trotz einge- hender Prüfung, die im Einvernehmen mit der betroffenen Kranken- kasse durchgeführt wurde, nicht möglich. Da auch die streitenden Par- teien nach ihrer ersten Wut zu einer friedlichen Verständigung neigten, wurde keine Strafanzeige erstattet und die Sache nicht weiterverfolgt. Dieser Fall kennzeichnet die Schwäche von Datenverarbeitungs- systemen, die keine Zugriffskontrolle durchführen und diese protokol- lieren. Nur so könnte man im Nachhinein klären, von wem und aus welchem Grund auf Daten zugegriffen wurde. 4.4.3 Sozial- und Jugendverwaltung BASIS I - Die Technik entwickelt sich weiter, die Sicherheit auch? Mit dem IT-Verfahren BASIS I wird seit einigen Jahren die Bearbei- tung von Sozial- und Jugendhilfeangelegenheiten in den Bezirken und dem Landesamt für Gesundheit und Soziales erfolgreich unterstützt. In 88                                                         Jahresbericht BInBDA 1999

4.4.3 der Entstehungsphase des Projektes haben wir beratend mitgewirkt!*. Die seinerzeit für die Sicherheit des Verfahrens vorgesehene Konzep- tion haben wir akzeptiert. Nun hat sich die Informationstechnologie auch in der Berliner Ver- waltung weiterentwickelt. Das Verfahren BASIS I wird inzwischen mit anderen Systemplattformen betrieben. Der ursprüngliche DOS-Client wurde teilweise durch eine grafische Benutzeroberfläche (WINDOWS 3.1) erweitert und verbessert oder durch ein moderneres Betriebssystem ersetzt. Mit diesen neuen Errungenschaften entstanden aber auch neue Risiken, die bei der ursprünglichen Konzeption noch nicht bedacht wer- den konnten und mussten. Es ist daher wichtig, die Sicherheitskonzepte an die neuen Gegebenheiten anzupassen bzw. neu zu entwickeln. Wir haben daher in mehreren Bezirksämtern angekündigte Kontrol- len des technisch-organisatorischen Datenschutzes bzw. der IT-Sicher- heit durchgeführt. Die Kontrolle konzentrierte sich dabei auf Maßnah- men zur Zugangs-, Datenträger-, Speicher-, Benutzer- und Zugriffs- kontrolle einschließlich der Regelungen zum Umgang mit Passwörtern. Dabei gelangten wir zu folgenden Erkenntnissen: Der Grad der Vernetzung in den Bezirksämtern ist in den letzten Jahren signifikant gewachsen. Mittlerweile sind die zahlreichen kleinen Einzelnetze jeweils zu einem bezirklichen Gesamtnetz zusammenge- fasst worden. Durch diese Entwicklung kann die IT-Kompetenz an einer zentralen Stelle konzentriert werden, was nicht nur wirtschaftlich vernünftig, sondern auch in Hinblick auf die IT-Sicherheit vorteilhaft ist, weil sich besser qualifizierte IT-Fachleute auch besser um die Sicherheitsfragen kümmern können. Andererseits wird die Zugangskontrolle durch die enorme Zunahme von Klienten-PCs problematischer, da der Zugriff auf BASIS theore- tisch von allen Arbeitsplatzrechnern im Bezirk möglich ist. Es ist daher wichtig, dass andere Schutzmaßnahmen, z. B. die der Speicher-, Benut- zer- und Zugriffskontrolle, besonders wirksam sein müssen. Ein weiterer Vorteil der Zusammenschaltung der bezirklichen Netze liegt darin, dass die bis dahin dezentral verteilten Server jetzt in einem zentralen, gut zu sichernden Serverraum untergebracht werden können. Allerdings mussten wir feststellten, dass diese zentralen Serverräume in mehr als der Hälfte der geprüften Bezirksämter Mängel der Zugangs- kontrolle ‚aufwiesen. Beispielsweise werden die Server zusammen mit anderen schutzbedürftigen technischen Systemen, z. B. der Telefonan- lage, untergebracht, bei deren Wartung und Betreuung Personen Zugang bekommen können, die nicht der IT-Stelle, meist sogar Fremd- firmen, angehören. Die notwendige Aufsicht durch die IT-Stelle wird meistens nicht gewährleistet. 124  vgl. u.a. JB 1994, 4.11 Jahresbericht BInBDA 1999                                                89