Mit dem zunehmenden Einsatz der Datenverarbeitung nehmen die Kontroll- und Überwachungsmöglichkeiten des Arbeitgebers zu, gleichzeitig steigern sich die Abhängigkeiten des Arbeitnehmers. Bereits lange vor Ausbreitung der modernen Informationstechnik in Betrieben und Verwaltungen hat sich die Rechtsprechung veranlasst gesehen, allzu weit gehenden Informationsanforderungen des Arbeitgebers entgegenzutreten und seinen Umgang mit arbeitnehmerbezogenen Daten zu reglementieren.

Auch die Datenschutzbeauftragten des Bundes und der Länder kritisieren bereits seit 1984[103], dass kein ausreichender Schutz für im Rahmen eines Arbeitsverhältnisses gesammelte Daten gewährleistet ist. Sie fordern daher seither die Schaffung eines einheitlichen speziellen Datenschutzgesetzes für Beschäftigte.

Auf eine Kleine Anfrage der SPD-Fraktion im Deutschen Bundestag im Jahr 1992 zu diesem Problem stellte die Bundesregierung klar, dass sie die Auffassung der Datenschutzbeauftragten teile und eine bereichsspezifische Regelung des Arbeitnehmerdatenschutzes ebenfalls für notwendig erachte[104]. Dennoch hat die Regierung bis zum heutigen Tag noch keinen Gesetzentwurf vorgelegt. Allerdings ist der Antwort der Bundesregierung auf eine Kleine Anfrage vom 1. September 1999 zu entnehmen, dass sie die Schaffung eines Arbeitnehmerdatenschutzgesetzes als dringlich ansieht und noch in dieser Legislaturperiode die Vorlage eines entsprechenden Gesetzentwurfs plant[105].

Im Rahmen des Arbeitsverhältnisses werden - anders als bei anderen Vertragsbeziehungen - personenbezogene Daten aus den verschiedensten Lebensbereichen des Arbeitnehmers erhoben. Diese Daten setzt der Arbeitgeber nicht nur für eigene Zwecke ein. An das Arbeitsverhältnis knüpfen auch Auskunfts-, Bescheinigungs- und Meldepflichten an, die der Arbeitgeber gegenüber öffentlichen Stellen zu erfüllen hat. Durch die Möglichkeit, die anfallenden personenbezogenen Daten miteinander zu verknüpfen und sie losgelöst vom bisherigen Erhebungszweck für andere Verwendungen zu nutzen, entstehen Gefahren für das informationelle Selbstbestimmungsrecht des Arbeitnehmers.

Der Einsatz von Personalinformationssystemen ermöglicht eine Systematisierung und Effektivierung der Personalplanung und des Personaleinsatzes. Durch Tastendruck können Arbeitgeber die verschiedenen Daten des Arbeitnehmers derart verknüpfen, dass ein Profil der Arbeitswilligkeit erstellt werden und bei der Personalplanung Berücksichtigung finden kann.

Zunehmender Beliebtheit bei Arbeitgebern erfreuen sich Software-Produkte für Personal- und Organisationsentwickler (SPO). Neu dabei ist die Verzahnung von Daten zu Mitarbeiterkompetenzen (Kompetenz-Profile), Weiterbildung/Training und Weiterbildungskosten. Mit Mouse-Klick beantwortet SPO Fragen nach den für die Tätigkeit erforderlichen und den tatsächlichen Kompetenzen der Mitarbeiter und beschreibt deren individuellen Fortbildungsbedarf. Eine Datenbank informiert, welche Kurse welche Kompetenzen fördern und welche Veranstalter diese Kurse anbieten. Aufgelaufene Kosten werden dabei ebenfalls automatisch verwaltet. Ähnliche Persönlichkeitsprofile werden immer häufiger auch bei Auswahlverfahren eingesetzt. Ausgeklügelte Verfahren der Bewerberauswahl bieten Orientierungshilfen, denn Fehlentscheidungen bei der Personalauswahl kommen Unternehmen teuer zu stehen.

Hinzu kommt, dass Arbeitnehmer zunehmend selbst Informationen automatisiert verarbeiten und damit Datenspuren in immer größerem Umfang hinterlassen[106]. Am Arbeitsplatz ist das Individuum umfangreichen Informationsanforderungen ausgesetzt. Betriebliche, unternehmerische und konzernweite Vernetzungen erlauben unternehmensübergreifend auch über die nationalen Grenzen hinweg die Sammlung und Übermittlung der durch die Nutzung entstehenden Daten.

So gewinnt die Nutzung des Internet zunehmend an Bedeutung. Insbesondere die Korrespondenz mittels E-Mail stellt eine Alternative zu anderen Übertragungsformen wie dem Telefax dar. Sie eröffnet allerdings dem Arbeitgeber den Zugang zum Kommunikationsverhalten der Arbeitnehmer. Amerikanische Firmen setzen immer häufiger Filtersoftware ein, mit der sie die elektronische Post ihrer Mitarbeiter kontrollieren. Dabei durchforsten Softwareprogramme die digitalen Botschaften nach sexuellen oder rassistischen Tabuwörtern oder Firmeninterna. Auch in Deutschland spähen Unternehmen ihre Mitarbeiter aus ("Monitoring"). Sie setzen "Spitzel-Software" ein, mit der sie die Arbeitsleistung der Beschäftigten am Computer auf den Mouse-Klick genau erfassen und kontrollieren, ob und mit welcher Seitenauswahl sich der Angestellte während der Arbeitszeit ins WWW eingeloggt hat.

Auch technische Überwachungseinrichtungen mit Videokameras im Arbeitsverhältnis greifen in immer stärkerem Ausmaß um sich[107]. Warenverluste und damit finanzielle Einbußen werden von Arbeitgebern zum Anlass genommen, in Kunden- und Kassenräumen Videokameras zu installieren, um Straftaten zu verhindern bzw. zu erschweren und ggf. aufzuklären. Dass damit auch "Zeitdiebstähle" von Mitarbeitern aufgedeckt und die Wirtschaftlichkeit des Unternehmens durch gezielte Verhaltens- und Leistungskontrollen der Beschäftigten optimiert wird, ist nicht nur "lästiges Abfallprodukt", sondern bei etlichen Arbeitgebern erklärtes Ziel.

Soweit die offene, für jeden ersichtliche Videoüberwachung ohne Aufzeichnung nur als verlängertes Auge des Bewachungspersonals dient, ist sie unproblematisch. Da gesetzliche Regelungen zum Schutz der Arbeitnehmerinnen und Arbeitnehmer bei offener Videoüberwachung aber gänzlich fehlen, sollte in Betriebs- bzw. Dienstvereinbarungen klargestellt werden, dass die Überwachung nicht zur Verhaltens- und Leistungskontrolle dienen darf und Räumlichkeiten ohne Videoüberwachung für das Personal bereitgestellt werden müssen.

Das Sozialgericht München[108] hatte 1990 über die Rechtmäßigkeit einer Sperrfrist nach dem Arbeitsförderungsgesetz zu befinden. Der Arbeitnehmer hatte mit seinem Arbeitgeber einen Aufhebungsvertrag mit sofortiger Wirkung geschlossen, da der Arbeitgeber im Ausstellungs- und Verkaufsraum eines Autohauses eine Videokamera installiert hatte, die Ton- und Bildaufnahmen fertigte. Das Sozialgericht entschied, dass die Sperrfrist zu Recht festgelegt wurde, da es dem Arbeitnehmer nicht unzumutbar war, seine Tätigkeit beim Autohaus fortzusetzen. Die Kamera war nämlich lediglich auf einen Teil des Austellungsraumes ausgerichtet. Damit war eine komplette Überwachung des Arbeitnehmers nicht gegeben. Vielmehr war das Verkaufsbüro, in dem der Schreibtisch des Arbeitnehmers stand und wo er auch die Verkaufsverhandlung abwickelte, nicht von der Kamera erfasst. Da somit keine "ständige, lückenlose" Videoüberwachung des Arbeitsplatzes stattfand, sah das Sozialgericht diese auch als für den Arbeitnehmer zumutbare Maßnahme an.

Die Aufzeichnung von Bildern ist nur in Ausnahmefällen zulässig. Werden Aufzeichnungen angefertigt, so sind in einer Dienst- bzw. Betriebsvereinbarung Anlass der Aufzeichnungen, Zugriffsmöglichkeit, Verwendungszweck und Speicherdauer des Bildmaterials festzulegen.

Ganz anders ist der Fall zu beurteilen, wenn Arbeitnehmer mit versteckter Videokamera mit deren Kenntnis überwacht werden. Nach ständiger Rechtsprechung des Bundesarbeitsgerichts liegt darin grundsätzlich ein rechtswidriger Eingriff in das Persönlichkeitsrecht des Beschäftigten. Der Eingriff in das Persönlichkeitsrecht des Arbeitnehmers, der darin besteht, dass er ohne konkreten Anlass zu jeder Zeit mit der Überwachung durch versteckte Kameras rechnen muss, kann allerdings durch die Wahrnehmung überwiegender schutzwürdiger Interessen des Arbeitgebers gerechtfertigt sein. Zur Konkretisierung des Persönlichkeitsrechts bedarf es einer sorgfältigen Güter- und Interessenabwägung. Die Überwachung durch verdeckte Kameras ist dabei nur bei entsprechend gewichtigen schutzwürdigen Interessen und Pflichten des Arbeitgebers zulässig. Dazu bedarf es einer substanziierten Darlegung konkreter betrieblicher Beeinträchtigungen wie z. B. Warenverluste in nennenswertem Umfang etc., die einen so weit gehenden Eingriff des Arbeitgebers erforderlich machen. Voraussetzung ist ferner, dass der Einsatz von verdeckten Kameras die einzige Möglichkeit ist, weiteren Schaden zu verhindern bzw. zu begrenzen. Kann derselbe Erfolg auch mit weniger weit reichenden Mitteln, z. B. durch das Aufstellen von sichtbaren Kameras, herbeigeführt werden, so ist die Maßnahme unzulässig.

Erfolgt die Videoaufzeichnung dagegen nicht nur mit versteckter Kamera, sondern auch ohne Wissen der Beschäftigten, so müssen darüber hinaus zwei Voraussetzungen erfüllt sein, die einen so massiven Eingriff in das Persönlichkeitsrecht der Arbeitnehmer rechtfertigen. Zum einen muss der Einsatz der verdeckten Kamera die einzige Möglichkeit sein, einen mutmaßlichen Täter zu ermitteln, so dass die Aufstellung einer sichtbaren Kamera als weniger einschneidendes und milderes Mittel ausscheidet, und es muss vor Beginn der Maßnahme ein konkreter, durch nähere Anhaltspunkte begründeter Verdacht einer vorsätzlichen schweren Vertragsverletzung oder Straftat gegen einen oder mehrere Arbeitnehmer bestehen. Ein pauschaler Verdacht gegen die gesamte Belegschaft genügt regelmäßig nicht.

Zehn Jahre nach dem Mauerfall mehren sich die Stimmen, die fordern, die Regelüberprüfungen von Mandatsträgern und Mitarbeitern im öffentlichen Dienst anhand von Stasi-Unterlagen zu überdenken und möglicherweise neu zu gestalten. So sagte der Regierende Bürgermeister Eberhard Diepgen bei einer Festveranstaltung am 9. November: "Zehn Jahre nach dem Mauerfall bin ich durchaus der Meinung, dass die Erkenntnisse der Gauck-Behörde nicht verschwiegen werden dürfen, aber im Hinblick auf ihre aktuelle Wirksamkeit den auch ansonsten üblichen Verjährungsfristen zu unterwerfen sind."[109]

Auch die Datenschutzbeauftragten des Bundes und einiger Länder haben sich mit dem Thema befasst. Eine Einigung auf einheitliche Vorschläge kam nicht zu Stande, da auch hier über die weitere Vorgehensweise unterschiedliche Auffassungen bestehen.

Unsere Auffassung, die von den Landesbeauftragten in Brandenburg und Mecklenburg-Vorpommern geteilt wird, kommt in einem Papier zum Ausdruck, das den Datenschutzbeauftragten zur Diskussion vorlag. Es umschreibt die Probleme, die hinsichtlich des künftigen Umfangs der Überprüfungen, der Nutzung der Daten, der Rechte der Betroffenen sowie der Aufbewahrung der Unterlagen insbesondere nach dem Ende des Jahres 2006 bestehen und wie sie gelöst werden könnten. Als Diskussionsgrundlage drucken wir das Papier im Anhang zu diesem Bericht ab[110].

Die Ermittlungsakten sowie der Vorermittlungsbericht der Untersuchungsführer sind Personalakten, die dem Vertraulichkeitsschutz des § 56 Abs. 1 Satz 1 Landesbeamtengesetz (LBG) unterliegen.

Der Grundsatz der Vertraulichkeit wird durch die Fürsorgepflicht des Dienstherrn nach § 42 LBG konkretisiert. Danach ist dieser verpflichtet, zur Wahrung der Rechte des Beamten den Kreis der mit Personalaktendaten Beschäftigten möglichst eng zu halten und auch Teilakten, Auszüge oder einzelne Angaben nicht ohne dienstlichen Grund - je nach dem Maße ihrer Schutzwürdigkeit - anderen Beschäftigten zur Kenntnis zu geben. Bei Vorermittlungsakten handelt es sich um besonders sensible Daten, bei denen dies in besonderem Maße gilt.

Selbst wenn man davon ausgeht, dass wegen des zu erwartenden Arbeits- und Zeitaufwandes die Beauftragung von zwei Vorermittlungsführern vom Behördenleiter für zweckmäßig erachtet wurde, war die Überprüfung des Ermittlungsergebnisses durch zwei weitere Personen nicht erforderlich, da der Bericht durch die eingesetzten Ermittlungsführer selbst hätte nachgebessert werden können.

Noch problematischer ist die Beauftragung von zwei zusätzlichen Personen mit der weiteren Durchführung des Vorermittlungsverfahrens. Hinzu kam, dass einer der Beamten behördlicher Datenschutzbeauftragter war. Ein Datenschutzbeauftragter, der nebenher als Ermittlungsbeamter personenbezogene Angaben verwerten kann, die ihm nur als behördlichem Datenschutzbeauftragten zugänglich wären, kommt in Konflikt mit seiner Verschwiegenheitspflicht gemäß § 19 Abs. 5 BlnDSG i.V.m. § 36 Abs. 4 BDSG. Unabhängig von seinen subjektiven charakterlichen Eigenschaften steht damit seine Zuverlässigkeit im Sinne von § 36 Abs. 2 BDSG in Frage. Das Vertrauen, das der behördliche Datenschutzbeauftragte gerade bei jenen genießen muss, die Gründe haben, die datenschutzrechtlich korrekte Durchführung von disziplinarischen Vorermittlungen zu bezweifeln, könnte sich nicht einstellen. Damit wären aber die Voraussetzungen, das Amt als Datenschutzbeauftragter ordnungsgemäß auszuüben, entscheidend in Frage gestellt.

Auch die Übermittlung des gesamten Vorgangs an die Fachaufsicht war datenschutzrechtlich bedenklich. § 56 d Abs. 1 Satz 1 LBG bestimmt, dass es ohne Einwilligung des Beamten zulässig ist, die Personalakte für Zwecke der Personalverwaltung oder Personalwirtschaft der obersten Dienstbehörde oder einer im Rahmen der Dienstaufsicht weisungsbefugten Behörde vorzulegen. Soweit eine Auskunft ausreicht, ist aber von einer Vorlage abzusehen. Vorlage und Auskunft sind auf den jeweils erforderlichen Umfang zu begrenzen (§ 56 d Abs. 3 LBG). Diese Regelungen müssen auch für die Weiterleitung von Personalaktendaten an die weisungsbefugte Behörde im Rahmen eines Disziplinarvorgangs herangezogen werden. Die Übersendung des gesamten Vorgangs im Rahmen der Befangenheitsprüfung entspricht dem ersichtlich nicht, da sich die Befangenheit allein aus der Drohung mit einer Anzeige durch den Anwalt des Petenten ergeben sollte.

Die Tatsache, dass im weiteren Verlauf der Vorgang zusätzlich zwei noch in der Ausbildung befindlichen Juristen zur Bearbeitung überlassen wurde, ist mit der Geheimhaltungspflicht ebenfalls unvereinbar.

Auskünfte aus der Personalakte dürfen an Dritte nur mit Einwilligung des Beamten erteilt werden, es sei denn, dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen des Dritten die Auskunftserteilung zwingend erfordert (§ 56 d Abs. 2 LBG). Inhalt und Empfänger der Auskunft sind dem Beamten schriftlich mitzuteilen. Die Auskunft ist auf den jeweils erforderlichen Umfang zu beschränken (§ 56 d Abs. 3 LBG).

Dies bedeutet, dass in jedem Einzelfall das konkrete Informationsbedürfnis des Datenempfängers Maßstab für den Umfang der zu übermittelnden Daten darstellt. Die ersuchte Behörde hat vor Weitergabe der Akten oder vor Erteilung einer Auskunft zu prüfen, ob die Erforderlichkeit der Akteneinsicht in dem erbetenen Umfang dargelegt ist. Ist für die ersuchte Behörde erkennbar, dass der Informationsbedarf auch anders gedeckt werden kann, so muss sie von einer Weitergabe der Akten absehen.

Hinzu kommt, dass die Erteilung einer Auskunft grundsätzlich an die Einwilligung des Beamten knüpft, es sei denn, dass ein gewichtiges vorrangiges Informationsinteresse des Dritten oder eine erhebliche Beeinträchtigung des Gemeinwohls die Auskunftserteilung ohne Einwilligung zwingend erfordert. Auch in diesen Fällen sollte aufgrund der Fürsorgepflicht des Dienstherrn versucht werden, zunächst die Einwilligung des Beamten einzuholen bzw. der Auskunftserteilung entgegenstehende Interessen festzustellen. In jedem Fall darf die Übermittlung der Daten nicht hinter dem Rücken des Beamten stattfinden. Er ist nach § 56 d Abs. 2 Satz 2 LBG über Inhalt und Empfänger der Auskunft schriftlich zu informieren.

Im vorliegenden Fall ist sowohl eine Interessenabwägung als auch eine schriftliche Benachrichtigung der Beamtin über die Einsichtnahme in ihre Personalakte bzw. Auskunftserteilung aus ihrer Personalakte an einen Beamten des BKA unterblieben.

Im Jahr 2000 soll die seit 1992 geplante "Integrierte Personalverwaltung" (IPV) in der Berliner Verwaltung sukzessiv in den Echtbetrieb gehen. Über die Entwicklung haben wir kontinuierlich berichtet[111].

Mit IPV soll die Personalverwaltung vereinfacht werden, indem verschiedene Funktionen von der Bearbeitung von Urlaubs- oder Teilzeitanträgen bis zu den Lohn- und Gehaltsbuchungen einzelner Stellen zusammengefasst werden. Weiterhin sollen Funktionen der Büroleitung, der Personalwirtschaftsstellen, der Personalaktenführung und viele mehr zu einem Personalinformationssystem integriert werden. Realisiert wird IPV auf der Grundlage des Moduls Human Ressources (HR) [LINK]eines SAP R/3 Systems[112].

Erste Pilotanwendungen wurden frühzeitig in den Bezirken Köpenick und Wedding erprobt. Dabei lag bis März 1998 der Schwerpunkt auf der Personalverwaltung, während für die Zahlbarmachung der Löhne, Gehälter und Besoldung eine Schnittstelle zum Altverfahren des Landesverwaltungsamtes geschaffen werden sollte. Inzwischen ist der Funktionsumfang so erweitert worden, dass die Personalzahlungsverfahren in das SAP R/3-System einbezogen und die Altverfahren abgelöst werden können.

Diese Strategieänderung erfolgte gegen den Willen der mit der Anpassung des SAP-Systems an die Berliner Bedürfnisse (sog. Customizing) betrauten Unternehmensberatung, die daraufhin einseitig kündigte. Dies führte zu einer weiteren Verzögerung des Projekts, die durch den Einstieg der SAP AG selbst für das Customizing in Grenzen gehalten werden konnte.

Mit Auflösung der Projektgruppe IPV bei der Senatsverwaltung für Inneres und der Gründung des Service- und Systemunterstüzungscenters (SSC) beim Landesverwaltungsamt am 1. April 1999 ging das Verfahren aus der Projektierungs- in die Einführungsphase über. Das SSC ist seit diesem Zeitpunkt Verfahrensbetreiber. Im Zuge dieses Übergangs hatten wir die Änderungen der vorliegenden Konzeption zu bewerten.

Ein Schwerpunkt liegt auf dem Sicherheitskonzept, das von der Projektgruppe erstellt wurde und das u. a. das Berechtigungskonzept enthält. Die Ausgestaltung erfolgte datenschutzgerecht und unter Berücksichtigung der IT-Sicherheitsrichtlinie[113]. Offene Fragen wurden mit uns abgestimmt und gelöst.

Die Grundlage für das Berechtigungskonzept bildet eine fiktive Senats- bzw. Bezirksverwaltung, so dass bei der später erfolgenden Einführung in einer realen Verwaltung die Umsetzung des allgemeinen Sicherheitskonzepts auf die vorhandenen Infrastrukturen nochmals kritisch beobachtet werden muss. Als erste Senatsverwaltung soll im Mai 2000 die Senatsverwaltung für Inneres den Produktivbetrieb mit IPV aufnehmen. In einer Sitzung des Unterausschusses "Datenschutz" des Ausschusses für Inneres, Sicherheit und Ordnung des Abgeordnetenhauses von Berlin gab die Senatsverwaltung für Inneres, die sich in Bezug auf die Umsetzung der IT-Sicherheitsrichtlinie für den IPV-Einsatz im eigenen Hause eher zurückhaltend geäußert hatte, die Zusage, rechtzeitig zum Beginn des Echtbetriebes ein Sicherheitskonzept umgesetzt zu haben.

Die hohe Schutzbedürftigkeit der Personaldaten veranlasste uns sehr frühzeitig, die Verschlüsselung der IPV-Daten während der Übertragung über das Berliner Landesnetz nachhaltig zu empfehlen. Da sich die Suche nach einem starken Verschlüsselungsprodukt, welches als Infrastrukturdienstleistung zentral vom Landesbetrieb für Informationstechnik und verfahrensunabhängig angeboten werden soll, erheblich hinzögerte, hätten wir nach dem Motto "Besser als gar nichts" übergangsweise auch eine schwächere Lösung akzeptiert. Allerdings wurden im Oktober 1999 erfolgreiche Tests mit einer starken Verschlüsselungssoftware am IPV-Verfahren durchgeführt, so dass dieses Problem zumindest für IPV eine Lösung finden wird[114].

Im Jahre 1999 wurde versucht, vieles im Gesundheitswesen zu bewegen. Die Bundesregierung nahm die Gesundheitsreform 2000 in Angriff. Der Gesetzentwurf[115] wies allerdings erhebliche datenschutzrechtliche Mängel auf, die bei den Datenschutzbeauftragten des Bundes und der Länder und in der breiten Öffentlichkeit auf Kritik stießen.

Der Gesetzentwurf gab das bisherige Konzept der Datenverarbeitung in der gesetzlichen Krankenversicherung auf, wonach aus dem ambulanten Bereich personenbezogene Abrechnungsdaten mit medizinischen Inhalten den Krankenkassen nur ausnahmsweise zu Prüfzwecken zur Verfügung stehen. Geplant war, diese Informationen den Krankenkassen generell versichertenbezogen zu übermitteln. Es bestand die Gefahr des "gläsernen Patienten". Das Arztgeheimnis wäre ausgehöhlt worden. Denn bei den gesetzlichen Krankenkassen wären Datenbestände aller gesetzlich Versicherten entstanden, aus denen sich für jeden einzelnen Patienten ein vollständiges Gesundheitsprofil hätte erstellen lassen. Die beabsichtigte Einführung von zentralen Datenannahme- und -verteilstellen, bei denen nicht einmal klar war, in welcher Rechtsform (öffentlich-rechtlich oder privat) sie betrieben werden sollen, hätte eine weitere, krankenkassenübergreifende zentrale Sammlung medizinischer personenbezogener Patientendaten zur Folge gehabt (§ 294 SGB V des Entwurfs).

Wir haben Verständnis für die Bemühungen, die Kosten des Gesundheitswesens zu begrenzen, ohne gleichzeitig die gute Versorgung der Patienten zu verschlechtern. Bei der Wahl der Mittel ist es aber Aufgabe des Gesetzgebers, bei dem Eingriff in das Recht auf informationelle Selbstbestimmung die Erforderlichkeit und die Verhältnismäßigkeit zu wahren. Der Gesetzentwurf ließ jede Begründung vermissen, warum die bisherigen Kontrollmechanismen, die ohne die Speicherung umfangreicher Patientendatenbestände bei den Krankenkassen auskommen, ungeeignet sein sollten, die Wirtschaftlichkeit und Qualität ärztlicher Leistungserbringung sicherzustellen.

Die Datenschutzbeauftragten des Bundes und der Länder haben dringend eine Überarbeitung empfohlen[116]. Der Gesetzentwurf wurde daraufhin wesentlich verbessert und weiterentwickelt. Die Krankenkassen sollten nunmehr von den Leistungserbringern (z. B. Ärzten, Krankenhäusern, Apotheken) die Patientendaten nicht mehr in personenbezogener, sondern in pseudonymisierter Form erhalten[117]. Dieses neue Modell nimmt eine zentrale Forderung der Datenschutzbeauftragten auf, für die Verarbeitung von Patientendaten solche technischen Verfahren zu nutzen, die die Persönlichkeitsrechte der Betroffenen wahren und so die Entstehung des "gläsernen Patienten" verhindern.

Auch anhand von pseudonymisierten Daten können die Krankenkassen ihre Aufgaben der Prüfung der Richtigkeit der Abrechnungen sowie der Wirtschaftlichkeit und der Qualität der Leistungen erfüllen[118]. Als Folge der Kritik der Datenschutzbeauftragten wurden vom Bundestag auch die Regelungen zum Umgang mit den Daten der Versicherten in der gesetzlichen Krankenversicherung erheblich verbessert, z. B. durch die Beschränkung der Datenzugriffsrechte innerhalb der Krankenkassen[119] oder die Einführung eines Beratungsgeheimnisses[120].

Am 4. November 1999 hat der Bundestag das Gesundheitsreformgesetz in dieser Fassung, die sogar datenschutzrechtliche Verbesserungen gegenüber der bisherigen Rechtslage enthielt, beschlossen. Nachdem sich abzeichnete, dass der Bundesrat dem Gesetzentwurf nicht zustimmen und eine Abtrennung der zustimmungsbedürftigen Teile erfolgen würde, appellierten die Datenschutzbeauftragten an die zuständigen gesetzgebenden Körperschaften, die - politisch bisher völlig unstreitigen - datenschutzrechtlichen Teile im Bundesrat passieren zu lassen, da durch das "Aufschnüren" des Paketes und die Preisgabe der zustimmungspflichtigen Teile des Gesetzes drohte, dass die datenschutzrechtlichen Verbesserungen nicht umgesetzt werden. Sie haben darauf hingewiesen, dass das bisherige Verfahren grundlegend verbessert würde, weil bei den Krankenkassen auch Krankenhaus- und Arzneimittelkosten nicht mehr personenbezogenen abgerechnet werden müssten. Während der Beratungen in den Ausschüssen des Bundestages wurde dieser versichertenfreundliche Gesetzesteil quer durch die Parteien befürwortet und so verabschiedet. Selbst die Kassen und die Pharmaindustrie begrüßten die Vorschläge weitgehend. Bedeutende zusätzliche Kosten wären durch das neue Verfahren nicht entstanden. Wir haben der Senatorin für Gesundheit und Soziales empfohlen, diesem Teil des Gesetzentwurfs im Bundesrat zuzustimmen. Leider wurde dem Appell der Datenschutzbeauftragten nicht gefolgt. Nach einer ablehnenden Stellungnahme des Bundesrates hat der Bundestag am

16. Dezember 1999 auf Beschlussempfehlung des Vermittlungsausschusses[121] das Gesetz zur Reform der gesetzlichen Krankenversicherung ab dem Jahr 2000 ohne die wesentlichen datenschutzrechtrechtlichen Verbesserungen beschlossen[122].

Auch außerhalb des Systems der gesetzlichen Krankenversicherung sind bundesgesetzliche Regelungen zur medizinischen Datenverarbeitung erforderlich. Die Europäische Datenschutzrichtlinie untersagt die Verarbeitung von personenbezogenen Daten über Gesundheit oder Sexualleben, wenn nicht bestimmte Ausnahmen vorliegen (Art. 8 Abs. 1). Hierzu gehören die ausdrückliche Einwilligung der betroffenen Patienten, die Datenverarbeitung auf dem Gebiet des Arbeitsrechts, der Schutz lebenswichtiger Interessen oder wenn der Betroffene außer Stande ist, die Einwilligung abzugeben, sowie der Umstand, dass die Daten von der betroffenen Person selbst offenkundig öffentlich gemacht worden oder sie zur Rechtsverfolgung erforderlich sind (Art. 8 Abs. 2).

Die Vorgaben des Artikels 8 der Richtlinie machen eine flächendeckende, sinnvollerweise bundesrechtliche Regelung des Umgangs mit Gesundheitsdaten erforderlich, die durch spezialrechtliche Regelungen auf Bundes- und Landesebene verfeinert werden kann. Es besteht erheblicher Regelungsbedarf in verschiedener Hinsicht. So wäre zu prüfen, ob Gesundheitsdaten generell unter einen besonderen Schutz zu stellen sind, ob ein Gesundheitsdatengeheimnis zu schaffen ist, ob überhaupt ohne explizite Einwilligung die Verarbeitung erlaubt werden darf, an welche Stellen Daten übermittelt werden dürfen, wie mit besonders sensiblen Daten umzugehen ist und welche angemessenen Garantien zur Sicherung der informationellen Selbstbestimmung im Zusammenhang mit anderen Daten gegeben werden müssen. Die Entwicklung neuer Techniken sowie Auskunfts- und Einsichtsrechte und der Aufbau von Gesundheitsregistern sowie die Verwendung von Gesundheitsdaten in Wissenschaft und Forschung, Ausbildung und Lehre bedürfen einer expliziten Regelung.

Zwar sieht die Bundesregierung keine Veranlassung "ein übergreifendes Medizindatenschutzrecht in Form eines Rahmengesetzes" vorzuschlagen[123]. Sie verweist vielmehr auf "bereichsspezifische Datenschutzvorschriften". Dies kann aber nicht ausreichen, die Breite der Verwendung von Gesundheitsdaten abzudecken.

Diskussionen verursachte die Approbation bzw. Zulassung der Psychotherapeuten nach dem Psychotherapeutengesetz, weil die Kassenärztliche Vereinigung zur Prüfung der fachlichen Kompetenz eine Anzahl von Fallbearbeitungen verlangte, die von den Antrag stellenden Therapeuten zu berichten waren. Diese waren erheblich verunsichert, weil sie befürchteten, selbst bei Fortlassung des Namens aufgrund der Gesamtumstände ohne Absicht doch Patientendaten zu offenbaren.

Wir haben den Therapeuten dringend nahe gelegt, bei der Anonymisierung ihrer Fälle so weit wie möglich zu gehen, damit auch im engeren Fachkreis nicht durch zufällige Bekanntschaften oder Vorkenntnisse eine Aufdeckung einer psychotherapeutischen Behandlung zu Lasten eines Patienten erfolgen würde. Zu bemängeln war an dem Verfahren nichts, weil die Kassenärztliche Vereinigung ausdrücklich auf die Angabe von personenbezogenen oder patientenbezogenen Daten verzichtet hatte. Es sollten lediglich Fallbeispiele aus der therapeutischen Praxis angeliefert werden.

Das Altenheim war der Auffassung, diese Besucherliste aus Sicherheitsgründen für die Besucher und die Heimbewohner und für den Pflegebedarf führen zu müssen, weil die Befindlichkeit von Heimbewohnern oft von der Art des vorausgegangenen Besuches abhängig sei und zudem die Sicherheit der Besucher selbst geschützt werden sollte (z. B. bei Brandgefahr).

In der überwiegenden Zahl der Berliner Pflegeheime ist der freie Zutritt durch Besucher gewährleistet. Eine Kontrolle durch einen Pförtner erfolgt in der Regel nicht. Es gibt auch keine Kontrolle durch das Pflegepersonal in den einzelnen Wohnbereichen, mit der Ausnahme der normalen Beobachtung des Pflegeablaufs. Etwaigen Sicherheitsbedürfnissen der Heimbewohner kann durch den Heimbetreiber in Form einer Klingelanlage mit Wechselsprechanlage und entsprechenden Schließanlagen Rechnung getragen werden. Dem Willen der Heimbewohner ist Vorrang einzuräumen und sicherzustellen, dass diese jederzeit Besuch empfangen und das Heim verlassen können.

Die Heimbetriebe haben dafür zu sorgen, dass sich keine fremden Personen gegen den Willen der Heimbewohner Zugang zu den Bewohnerzimmern verschaffen. Hierzu ist es allerdings nicht erforderlich, die Häufigkeit der Besuche von Angehörigen, Betreuern oder anderen Personen zu erfassen. Eine derartige Regelung wird vom Landesamt für Gesundheit und Soziales als Einschränkung der Privatsphäre des Heimbewohners angesehen. Das Landesamt geht davon aus, dass auch die Pflegeheime diese Bewertung teilen. Denn die Heimverträge enthalten keine Berechtigung eines Heimes zu einer Protokollierung von Betreuerbesuchen. Meist ist sogar das Gegenteil der Fall, wonach durch eine Klausel die Erfassung bewohnerbezogener Daten begrenzt ist auf Daten, die zur Pflege und Betreuung benötigt werden, und dass diese Daten vertraulich zu behandeln sind. Eine Weitergabe solcher Daten an Dritte, mit Ausnahme an die Heimaufsicht und an den Medizinischen Dienst der Krankenkassen, erfolgt nicht.

Da die Pflege zum Teil durch die Sozialhilfe finanziert wird, schlägt die Sozialverwaltung "betreutes Wohnen" vor, bei dem privat organisierte Leistungserbringer die Pflege und Unterbringung kostengünstiger anbieten. Die Frage des "Wohin" wird in einer Fallkonferenz erörtert, wo sich sowohl Vertreter des Sozialpsychiatrischen Dienstes, des Krankenhauses, aber auch unterschiedliche Trägereinrichtungen einfinden, um eine angemessene Bleibe für den pflegebedürftigen Menschen zu finden.

Die Fallkonferenz wird auch unter anderer Bezeichnung tätig. Die regionalisierte "gemeindenahe", d. h. bezirkliche Versorgung psychisch kranker Menschen ist ein zentrales Ziel der Psychiatriepolitik im Lande Berlin. Um dieses Ziel zu erreichen, wurden in den Bezirken Plan- und Leitstellen und ein Psychiatriekoordinator eingerichtet, denen die Planung und Steuerung von psychosozialen Einrichtungen im gemeindenahen oder bezirklichen Bereich obliegen. Die Fallkonferenz steuert dabei die weitere Versorgung der einzelnen Patienten. Maßgeblich kommt es auf die individuelle Bedarfssituation der Patienten an.

Es stellt sich jedoch ein Datenschutzproblem insofern, als in der Fallkonferenz über die Persönlichkeit und das Leiden eines Patienten gesprochen werden muss, um dessen Versorgung so gut wie möglich zu gestalten. Die an uns herangetragenen Bedenken (gegenüber dieser "offenen" Situation) haben wir aufgegriffen, um in einer gemeinsamen Arbeitsgruppe mit der Senatsverwaltung für Gesundheit und Soziales unter Beteiligung der Bezirke bzw. freien Träger ein Konzept zu entwickeln, wie der Patientenschutz in diesem Gremium nachhaltig geschützt werden kann. Rechtliche Voraussetzung ist, dass der Patient diesem Verfahren zustimmt. Aber wesentlich ist vor allem, dass er oder sein Betreuer diese Zustimmung vor dem Hintergrund einer klaren Vorstellung von der Zusammensetzung der Fallkonferenz abgeben kann.

In einem Empfehlungsschreiben sollen die Bezirke modellhaft auf die bestehenden Interessenkonflikte hingewiesen werden. Die Fallkonferenzen sind so zu gestalten, dass eine Verletzung schutzwürdiger Belange der Patienten ausgeschlossen werden kann. Grundsätzlich muss jedoch von einer Mitwirkungspflicht und Mitwirkungsbereitschaft des Patienten an diesem Verfahren ausgegangen werden. Auf die Mitwirkung als tragendes Element der Sozialarbeit und des sozialen Leistungsrechts kann auch hier nicht verzichtet werden. In der Fallkonferenz soll durch einen Fürsprecher, der jeweils von Sitzung zu Sitzung bestimmt wird, sichergestellt werden, dass auch für nichtanwesende Patienten oder für solche Patienten, die ihre Interessen nicht mehr sachgerecht vertreten können, eine möglichst behutsame und angemessene Handhabung ihrer Lebens- bzw. Krankengeschichte erfolgt.

Nach § 275 Abs. 1 Ziff. 3 SGB V sind die Krankenkassen verpflichtet, zur "Beseitigung von Zweifeln" an der Arbeitsunfähigkeit eine gutachterliche Stellungnahme des Medizinischen Dienstes der Krankenversicherungen einzuholen. Hier hatte der Arbeitgeber jedoch Zweifel an der Arbeitsfähigkeit geltend gemacht. Eine enge Interpretation des Wortlautes von § 275 SGB V trifft nicht die Bedeutung dieser Bestimmung. Denn die Aufgabe des Medizinischen Dienstes besteht darin, in dem Dreiecksverhältnis zwischen Arbeitgeber, Arbeitnehmer und Krankenkasse zu klären, auf welcher Sachverhaltsgrundlage wirklichkeitsgerechte Entscheidungen zu finden sind. Der Begriff "Zweifel an der Arbeitsunfähigkeit" deckt damit auch Zweifel an der Arbeitsfähigkeit ab, denn die "Arbeitsunfähigkeit" ist begrifflich die unmittelbare Kehrseite der "Arbeitsfähigkeit".

Die Überprüfung hat ergeben, dass die Möglichkeit bestanden haben könnte, unter einer fingierten Anfrage der Rentenversicherung von der Krankenkasse Krankheitsdaten zum Schein für die Rentenversicherungsanstalt abzufragen. Eine endgültige Aufklärung war trotz eingehender Prüfung, die im Einvernehmen mit der betroffenen Krankenkasse durchgeführt wurde, nicht möglich. Da auch die streitenden Parteien nach ihrer ersten Wut zu einer friedlichen Verständigung neigten, wurde keine Strafanzeige erstattet und die Sache nicht weiterverfolgt.

Dieser Fall kennzeichnet die Schwäche von Datenverarbeitungssystemen, die keine Zugriffskontrolle durchführen und diese protokollieren. Nur so könnte man im Nachhinein klären, von wem und aus welchem Grund auf Daten zugegriffen wurde.

Mit dem IT-Verfahren BASIS I wird seit einigen Jahren die Bearbeitung von Sozial- und Jugendhilfeangelegenheiten in den Bezirken und dem Landesamt für Gesundheit und Soziales erfolgreich unterstützt. In der Entstehungsphase des Projektes haben wir beratend mitgewirkt[124]. Die seinerzeit für die Sicherheit des Verfahrens vorgesehene Konzeption haben wir akzeptiert.

Nun hat sich die Informationstechnologie auch in der Berliner Verwaltung weiterentwickelt. Das Verfahren BASIS I wird inzwischen mit anderen Systemplattformen betrieben. Der ursprüngliche DOS-Client wurde teilweise durch eine grafische Benutzeroberfläche (WINDOWS 3.1) erweitert und verbessert oder durch ein moderneres Betriebssystem ersetzt. Mit diesen neuen Errungenschaften entstanden aber auch neue Risiken, die bei der ursprünglichen Konzeption noch nicht bedacht werden konnten und mussten. Es ist daher wichtig, die Sicherheitskonzepte an die neuen Gegebenheiten anzupassen bzw. neu zu entwickeln.

Wir haben daher in mehreren Bezirksämtern angekündigte Kontrollen des technisch-organisatorischen Datenschutzes bzw. der IT-Sicherheit durchgeführt. Die Kontrolle konzentrierte sich dabei auf Maßnahmen zur Zugangs-, Datenträger-, Speicher-, Benutzer- und Zugriffskontrolle einschließlich der Regelungen zum Umgang mit Passwörtern. Dabei gelangten wir zu folgenden Erkenntnissen:

Der Grad der Vernetzung in den Bezirksämtern ist in den letzten Jahren signifikant gewachsen. Mittlerweile sind die zahlreichen kleinen Einzelnetze jeweils zu einem bezirklichen Gesamtnetz zusammengefasst worden. Durch diese Entwicklung kann die IT-Kompetenz an einer zentralen Stelle konzentriert werden, was nicht nur wirtschaftlich vernünftig, sondern auch in Hinblick auf die IT-Sicherheit vorteilhaft ist, weil sich besser qualifizierte IT-Fachleute auch besser um die Sicherheitsfragen kümmern können.

Andererseits wird die Zugangskontrolle durch die enorme Zunahme von Klienten-PCs problematischer, da der Zugriff auf BASIS theoretisch von allen Arbeitsplatzrechnern im Bezirk möglich ist. Es ist daher wichtig, dass andere Schutzmaßnahmen, z. B. die der Speicher-, Benutzer- und Zugriffskontrolle, besonders wirksam sein müssen.

Ein weiterer Vorteil der Zusammenschaltung der bezirklichen Netze liegt darin, dass die bis dahin dezentral verteilten Server jetzt in einem zentralen, gut zu sichernden Serverraum untergebracht werden können. Allerdings mussten wir feststellten, dass diese zentralen Serverräume in mehr als der Hälfte der geprüften Bezirksämter Mängel der Zugangskontrolle aufwiesen. Beispielsweise werden die Server zusammen mit anderen schutzbedürftigen technischen Systemen, z. B. der Telefonanlage, untergebracht, bei deren Wartung und Betreuung Personen Zugang bekommen können, die nicht der IT-Stelle, meist sogar Fremdfirmen, angehören. Die notwendige Aufsicht durch die IT-Stelle wird meistens nicht gewährleistet.

Die Forderung der früheren BASIS-Projektgruppe, vor dem Echteinsatz des Verfahrens ein eigenständiges lokales Sicherheitskonzept und die notwendigen Arbeitsanweisungen zum Datenschutz erstellt und umgesetzt zu haben, haben nur wenige Bezirksämter befolgt. Die frühere BASIS-Projektgruppe der Senatsverwaltung für Gesundheit und Soziales hatte Mustervorgaben für die Entwicklung solcher Konzepte und Anweisungen erarbeitet und mit uns abgestimmt. Für das damalige Pilotbezirksamt wurden die Mustervorgaben am Beispiel konkretisiert. Umso verblüffender war es für uns, als uns in einem Bezirksamt nach langem Praxiseinsatz von BASIS I erklärt wurde, für die Erstellung von Konzepten und Anweisungen warte man noch auf Vorgaben der Innenverwaltung.

Schon mehrfach wurde das Problem aufgeworfen, dass es bei der Client-Server-Anwendung BASIS I in bestimmten Fällen möglich ist, als normaler Anwender auf die Betriebssystemebene zu gelangen, womit die softwareseitigen Schutzmaßnahmen des Anwendungsverfahrens umgangen werden können. Die Projektgruppe hatte zu diesem Problem eine zufrieden stellende Lösung entwickelt und an die einsetzenden Stellen weitergegeben. Dies war Teil des Sicherheitspakets für BASIS I. Leider war nur ein einziges der besuchten Bezirksämter in der Lage, die Hinweise umzusetzen. Alle anderen nahmen diese Sicherheitslücke billigend in Kauf.

Die Entwicklung und Einführung modernerer Betriebssysteme (etwa WINDOWS 95, 98 und NT) hat diese Problematik leider verschärft. Sie bieten neben einer Fülle neuer Funktionen, die dem Anwender das Leben erleichtern können, leider auch neue Möglichkeiten, die bisher erfolgreich verwendeten Sicherheitsmaßnahmen zu umgehen. Dies zeigt, dass mit der Einführung modernerer Systemplattformen die bestehenden Sicherheitskonzeptionen neu bewertet und ggf. angepasst werden müssen. Aufgrund der jeweils eigenen Verantwortung für den sicheren und datenschutzgerechten Einsatz der Verfahren reicht es nicht, auf eventuelle Vorgaben zentraler Stellen zu warten. Es kann sich fatal auf die Verfahrenssicherheit auswirken, wenn die Sicherheitskonzepte nicht mit den Systemen mitwachsen.

Das beste Sicherheitskonzept nützt wenig, wenn es nicht konsequent umgesetzt wird. Die Voraussetzung dafür ist, dass die Nutzer vernünftig geschult werden, auch in der Beachtung von Sicherheitsregeln. Die Realität sieht leider in vielen Ämtern anders aus. Rechner und Programme können von knappen Mitteln bezahlt werden, die Schulung wird häufig genug eingespart. Neue Mitarbeiter werden entweder im "Crashkurs" durch die IT-Stelle oder durch Kollegen eingewiesen. Schulungen, die u. a. auch die Beachtung von Sicherheitsrichtlinien vermitteln sollen, werden eher selten gewährt. Aber selbst dann, wenn gut geschult wurde, fehlten den Anwendern oft Unterlagen wie z. B. Benutzerhandbuch, in denen im Zweifel nachgeschlagen werden kann.

Sicherheit fängt im Bewusstsein des Anwenders an. Beim bloßen Unterzeichnen von Verpflichtungserklärungen, deren Inhalt schon nach wenigen Wochen in Vergessenheit gerät, kann man es nicht belassen.

Zusammenfassend ergab die Prüfung, wie auch Kontrollen und Erfahrungen bei vielen anderen Verfahren zeigen, dass zwar viele Ressourcen in die Automatisierung von Arbeitsabläufen investiert werden, wobei der praxistaugliche - genauer: anfangs fehlerarme - Einsatz als oberstes Ziel angesehen wird, andere wichtige Dinge, von denen auf Dauer der ordnungsgemäße und sichere Einsatz der Verfahren zwingend abhängt, wie Sicherheitskonzepte, Dokumentationen oder Benutzerhandbücher, aber auf einen unbestimmten späteren Zeitpunkt ("Wenn man mal Zeit oder Geld hat!") verschoben werden.

Die daraufhin vorgenommene Ermittlung bei Nachbarn war zulässig. Schon das Verwaltungsgericht hatte in einem hierauf bezogenen Verfahren durch Beschluss festgestellt, dass das Bezirksamt verpflichtet ist, eine solche Vorklärung auch bei Nachbarn durchzuführen, und hat dem Bezirksamt eine dementsprechende Auflage erteilt. Die Rechtsgrundlage für eine solche Untersuchung ergibt sich aus § 20 Abs. 1 i.V.m. § 69 Abs. 1 Ziff. 2 SGB X. Nach § 20 Abs. 1 SGB X hat die Behörde den Sachverhalt von Amts wegen zu ermitteln. Sie bestimmt Art und Umfang der Ermittlungen. Sie ist an das Vorbringen und an die Beweisanträge der Beteiligten nicht gebunden.

Dieser "Untersuchungsgrundsatz" scheint mit dem Mitwirkungsgrundsatz nach

§ 60 SGB X im Widerspruch zu stehen. Die Lösung der scheinbaren Widersprüchlichkeit ergibt sich aus den unterschiedlichen Zielsetzungen, die beiden Vorschriften zugrunde liegen. Während sich der Mitwirkungsgrundsatz auf die Obliegenheit des Hilfeempfängers bezieht, die für die Leistungsgewährung notwendigen Tatsachen selbst vorzutragen und glaubwürdig zu machen, betrifft der Untersuchungsgrundsatz die Befugnis der Behörde, einen Sachverhalt im öffentlichen Interesse aufzuklären. Ein öffentliches Interesse ist dann gegeben, wenn die Geltendmachung eines Erstattungsanspruchs oder die Androhung einer Sanktion in Aussicht steht. Die Verhinderung des Unterstützungsbetruges ist ein wesentlicher Teilaspekt der Leistungsfunktion der Sozialbehörden, die damit einen wesentlichen Beitrag zur sozialen Leistungsgerechtigkeit erbringen müssen.

Daraus ergibt sich, dass die Sozialbehörden verpflichtet sind, einen Sachverhalt von Amts wegen aufzuklären, wenn er durch die Mitwirkung des Hilfeempfängers aufgrund der zuwiderlaufenden Interessenlage, insbesondere wenn sich der Hilfeempfänger gegen eine weitere Aufklärung des Sachverhaltes sperrt, nicht aufgeklärt werden kann.

Eine allgemeine Richtlinie, in welchem Umfang Kontoauszüge vorzulegen sind, gibt es nicht. Die individuelle Einzelfallüberprüfung obliegt dem Ermessen der Mitarbeiter. So wird bei einem Erstantrag auf Sozialhilfe grundsätzlich die Vorlage ungeschwärzter Kontoauszüge der letzten drei Monate verlangt, denn vom Nachrangprinzip der Sozialhilfe ausgehend soll vermieden werden, dass durch das "Abräumen" der Konten bzw. durch das "Verlagern" von Geldern die Sozialhilfebedürftigkeit früher einsetzt als dies bei wirtschaftlichem Verhalten gegeben wäre. Ein weiterer Aspekt ist - je nach Einzelfall - die Erfüllung der Nachweispflicht bei den Zahlungen für Miete, BEWAG/GASAG, Krankenkasse, Schuldentilgung usw. Während des laufenden Bezuges von Sozialhilfe werden ungeschwärzte Kontoauszüge nur in bestimmten Einzelfällen, die Anlass zu einer eingehenden Prüfung gegeben haben, angefordert, z. B. um Rückstände von Mieten, Krankenkassenbeiträgen, unwirtschaftliches Verhalten oder den Verdacht von Sozialhilfebetrug zu ermitteln.

Allerdings ist trotz des legitimen Aufklärungsinteresses der Sozialbehörde auch ein Geheimhaltungsschutz anzuerkennen. So sollte dem Hilfeempfänger die Möglichkeit belassen werden, z. B. die Mitgliedschaft in politischen Parteien oder in Vereinen, für die möglicherweise auf dem Konto Beträge abgebucht werden, gegenüber dem Amt geheim zu halten. Auch ob er angemessene Kleinbeträge in dem einen oder anderen Geschäft ausgegeben hat, ist für das Sozialamt nicht entscheidungsrelevant. Solche Angaben sollten also in jedem Falle geschwärzt werden dürfen.

Die Bereitstellung der Daten an das Konsortium wurde als Lieferung zur Auftragsdatenbearbeitung beschrieben. Im vorliegenden Fall handelte es sich jedoch nicht um einen Auftrag, der von § 80 SGB X erfasst wird. Er betraf eben nicht die Verarbeitung oder Nutzung personenbezogener Sozialdaten, sondern die Entwicklung eines Programms zur Verarbeitung personenbezogener Daten. Die Entwicklung von Programmen fällt nicht unter die Aufgaben, die unter Anwendung von § 80 SGB X oder § 3 BlnDSG vergeben werden können. Nur die Migration selbst könnte als Datenverarbeitung im Auftrag zu betrachten sein.

Die beabsichtigte Verwendung der Daten durch das Konsortium ist als Nutzung der Sozialdaten anzusehen. Nach § 67 b i.V.m. § 67 c Abs. 1 SGB X ist dies nur zulässig, wenn es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben nach dem Sozialgesetzbuch erforderlich ist und für Zwecke erfolgt, für die die Daten erhoben worden sind. Dies trifft für die Entwicklung eines Programms nicht zu.

Aus all dem folgt, dass die in Auftrag gegebene Verarbeitung oder Nutzung personenbezogener Daten unzulässig war, da keines der im SGB X beschriebenen Zulässigkeitskriterien für die Verarbeitung erfüllt war. Die Daten wurden zweckentfremdet verarbeitet bzw. genutzt.

Wir haben empfohlen, das Konsortium anzuweisen, die rechtswidrig bereitgestellten Daten unverzüglich zu löschen und alle bereits vorliegenden Arbeitsergebnisse mit personenbezogenen Daten zu löschen bzw. zu vernichten. Darüber hinaus ist für die Entwicklung der Migrationssoftware ein Testdatenbestand bereitzustellen, der keine personenbezogenen Echtdaten enthält. Der Testdatenbestand ist entweder auf der Grundlage der Dokumentation des Datenmodells für BASIS I zu entwickeln oder von den Betreibern des IT-Verfahrens PROSOZ/BASIS I durch eine geeignete Anonymisierung der Datensätze aus dem Echtdatenbestand abzuleiten. Das Bezirksamt Neukölln hat uns inzwischen mitgeteilt, dass das Konsortium die Daten gelöscht hat, nachdem es aufgrund unserer Beanstandung vom Bezirksamt dazu aufgefordert wurde.

Die Drogenbeauftragte des Senats bei der Senatsverwaltung für Schule, Jugend und Sport beabsichtigte, ein IT-gestütztes Berichterstattungsverfahren für die Aktivitäten der Drogenberatungsstellen einzuführen. Dazu sollte der in den Drogenberatungsstellen erhobene und bundesweit einheitlich verabredete "Deutsche Kerndatensatz zur Dokumentation im Bereich der Suchtkrankenhilfe" in anonymisierter Form von den Drogenberatungsstellen an die Senatsverwaltung übermittelt werden.

Diese selbstverständlich zulässige anonyme Berichterstattung betrifft außerordentlich sensible personenbezogene Daten. Wird ruchbar, dass Daten, die Hilfe suchende Suchtkranke in den Drogenberatungsstellen preisgeben müssen, bei der Drogenbeauftragten zu einem nicht hinreichend anonymisierten "Suchtkrankenregister" konzentriert werden, so könnte dieser Vertrauensbruch das System der Drogenberatung zerstören.

Wir hatten die Prüfung angeregt, ein vollständiges Anonymisierungsverfahren zu benutzen, obwohl damit Doppelerfassungen unerkannt bleiben und die Zuordnung von Datenänderungen ausgeschlossen würde. Dieses ist möglich, wenn die statistisch aufbereiteten und aggregierten Ergebnisse dadurch keine signifikante Verfälschung erleiden würden. Dies war jedoch aus Sicht der Drogenbeauftragten nicht akzeptabel, so dass es jetzt auf eine zuverlässige Pseudonymisierung ankam, die sowohl Doppelerfassungen anonym erkennbar machen als auch spätere Änderungen der richtigen Person zuordnen lassen würde.

Gegen den ursprünglichen Plan, einen Code zu verwenden ("HIV-Code"), der aus Buchstaben und Zahlen zusammengesetzt ist, die sich mit einer eindeutigen Regel aus den vier Merkmalen Vorname, Nachname, Geschlecht und Geburtsjahr ermitteln lassen, hatten wir erhebliche Bedenken. Mit diesen vier normalerweise nicht vertraulich gehaltenen und nach Vorlage des Personalausweises bekannten Merkmalen lässt sich leicht das Pseudonym brechen.

Die Drogenbeauftragte hat dann ein Modell vorgeschlagen, mit dem wir uns einverstanden erklären konnten: Die Beratungsstellen erfassen die Einzelfälle personenbezogen und ordnen ihnen zwei Ordnungsmerkmale zu: Den HIV-Code mit bekanntermaßen nicht hinreichender Pseudonymisierungswirkung zur Identifizierung gleicher Fälle und eine interne Fallnummer. Die Beratungsstellen übermitteln der Drogenbeauftragten einen Datenträger mit den anonymisierten Einzelfällen und dem Ordnungsmerkmal "Interne Fallnummer". Gleichzeitig übermitteln die Beratungsstellen einer im Auftrag tätigen Abteilung des Robert-Koch-Instituts in Berlin einen Datenträger, der zu jedem Einzelfall den HIV-Code, die interne Fallnummer sowie die Kennung der Beratungsstelle, sonst aber keine Daten des Einzelfalls enthält. Das Robert-Koch-Institut ordnet jedem HIV-Code eine sog. Personennummer zu. Diese Nummer wird so erzeugt, dass ein Rückschluss auf den HIV-Code über die Nummer ausgeschlossen ist. Diese Zuordnung bleibt im Robert-Koch-Institut gespeichert. Das Robert-Koch-Institut erzeugt schließlich einen Datenträger, der pro Fall nur die interne Fallnummer, die Personennummer und die Kennung der Beratungsstelle enthält, und übersendet diesen Datenträger an die Drogenbeauftragte.

Damit erhält die Drogenbeauftragte die hinreichend anonymisierten Falldaten und kann über die Personennummer die Daten zu den gleichen Personen zusammenführen. Das Robert-Koch-Institut kann zwar zu Personen, über deren Identifikationsdaten es verfügt, die Personennummer ermitteln, verfügt jedoch nicht über die eigentlichen Falldaten. Mit diesem Verfahren halten wir die Anonymität der bei der Drogenbeauftragten zu führenden Basisdokumentation für hinreichend gewährleistet.

Im Zuge der Verwaltungsreform sollen auch Methoden des Querschnittscontrollings (QC) eingeführt werden. Aus einem Gutachten einer Unternehmensberatung für die Senatsverwaltung für Finanzen wird deutlich, dass in der QC zunächst Kriterien, Parameter und Rahmenbedingungen herausgearbeitet werden müssen, welche das staatliche Handeln in den vom Controlling[125] erfassten Aufgabengebieten steuern, und dann herausgefunden werden muss, welche Ausprägungen diese Kriterien, Parameter und Rahmenbedingungen haben müssen, damit das staatliche Handeln auch effektiv ist.

Die Verwaltung will somit verbesserte Steuerungsmöglichkeiten staatlichen Handelns durch ein integriertes Berichtswesen erproben und muss dazu vorher die optimalen Berichtsinhalte ermitteln.

Das QC wird in einem Pilotprojekt erprobt. Dafür wurde das sozialpolitische Programm "Integration durch Arbeit - IdA" im Geschäftsbereich der Senatsverwaltung für Gesundheit und Soziales ausgewählt. Dabei handelt es sich um ein Programm zur Umsetzung der Sozialleistung "Hilfe zur Arbeit" (HzA) nach §§ 18 bis 20 BSHG. Bei der HzA geht es darum, geeignete Sozialhilfeempfänger wieder in den Arbeitsprozess einzugliedern und somit von der Sozialhilfe unabhängig zu machen. Pilotbezirke sind Köpenick und Neukölln.

Das QC bei IdA soll Kriterien liefern, unter welchen Umständen die Integration durch Arbeit erfolgreich und gleichzeitig in effektiver, d. h. Kosten sparender Weise erfolgen kann. Mit den außerordentlich sensiblen Daten, die zur Bewertung der Eingliederungsfähigkeit eines Sozialhilfeempfängers in den Arbeitsmarkt erforderlich sind, war ausgerechnet ein datenschutzrechtlich besonders heikles Arbeitsgebiet für das Pilotprojekt ausgewählt worden.

Für das IdA-Querschnittscontrolling wurde durch ein Beratungsunternehmen ein IT-Verfahren konzipiert, mit dem eine dezentrale Fallerfassung in den beteiligten Bezirken und eine zentrale Auswertung durch die Senatsverwaltung für Gesundheit und Soziales erfolgen sollte.

Das Querschnittscontrolling ist als Organisationsuntersuchung anzusehen, das seine Rechtsgrundlage in § 67c Abs. 3 Sozialgesetzbuch X findet, sofern

- für die Fallerfassung keine zusätzlichen Daten erhoben werden;

- sich der Zugriff auf die personenbezogenen Daten der Betroffenen an den dezentralen Arbeitsplätzen auf jene Mitarbeiter beschränkt, die für die Gewährung der Sozialleistungen bei der Hilfe zur Arbeit zuständig sind und daher ohnehin auf die Daten in den Akten zugreifen können;

- die Auswertung der dezentral erfassten und über das Berliner Landesnetz übertragenen Daten anonym erfolgt und diese demzufolge nur anonymisiert oder pseudonymisiert zum zentralen Server übertragen und dort verarbeitet werden.

Die letzten beiden Anforderungen gingen in das IT-Sicherheitskonzept für das IT-Verfahren ein. Das Konzept sieht vor, dass vor der Übertragung der Daten die identifizierenden Daten der Datensätze mit einem sicheren symmetrischen Verschlüsselungsverfahren verschlüsselt und damit für die Senatsverwaltung unlesbar gemacht werden. Dabei ist sicherzustellen, dass der Empfänger den Schlüssel nicht erhält. Da die Pseudonymisierung immer mit dem gleichen Schlüssel erfolgt, kann auch sichergestellt werden, dass spätere Datenänderungen oder -ergänzungen an den Datensätzen vorgenommen werden können, ohne dass gegenüber der Senatsverwaltung die Pseudonymität aufgehoben wird. Da die Daten für Dritte pseudonym sind, ist eine weitere Verschlüsselung für die Datenübertragung entbehrlich.

Die BWB sind auch nach ihrer Teilprivatisierung in der Rechtsform einer Anstalt des öffentlichen Rechts organisiert und damit nicht einem Privatunternehmen gleichzusetzen. Als Unternehmen der öffentlichen Energie- und Wasserversorgung können die BWB zur Erfüllung ihrer Aufgaben Angaben aus dem Liegenschaftskataster auf maschinenlesbaren Datenträgern gespeichert erhalten (vgl. § 28 Abs. 1 Nr. 2 i. V. m. § 17 Abs. 7 Vermessungsgesetz). Mit Änderung der Liegenschaftskataster-Abgabeverordnung[127] wurde nun auch die Rechtsgrundlage für eine Abgabe der Grundstückseigentümerdaten auf maschinenlesbaren Datenträgern an die BWB geschaffen. Eine solche Datenübermittlung hat hinsichtlich der Privatkunden der BWB noch nicht stattgefunden. Eine Übermittlung von Eigentümerdaten aus dem Liegenschaftskataster wird erst notwendig, wenn die BWB sämtliche Grundstücke mit ihrer Kundendatei abgeglichen haben und daraufhin der Eigentümer eines Grundstücks ermittelt werden muss, für das bisher keine Abgaben erhoben wurden. Ebenfalls ergänzt wurde die Verordnung über die Verarbeitung personenbezogener Daten bei den Berliner Stadtreinigungsbetrieben, den Berliner Verkehrsbetrieben und den Berliner Wasserbetrieben[128], so dass damit auch die datenschutzrechtlichen Voraussetzungen für die weitere Verarbeitung der Grundstücksdaten durch die BWB geschaffen wurden. Hierzu zählt insbesondere die konkrete Berechnung des entsprechenden Entgelts für Schmutz- und Niederschlagswasser für die einzelnen Haushalte. Die getrennte Entgeltberechnung wurde zum 1. Januar 2000 eingeführt.

Dem Vermieter ist insoweit zuzustimmen, als hier datenschutzrechtliche Belange der Mieter, für deren Wohnungen die Verbrauchs- und Kostenangaben erbeten werden, berührt sind. Bei der Weitergabe dieser Daten an die auskunftbegehrenden Mieter handelt es sich um eine Übermittlung von personenbezogenen Daten, die hier jedoch auf § 28 Abs. 2 Nr. 1 a) BDSG gestützt werden kann. Danach ist die Übermittlung zulässig, wenn sie zur Wahrung berechtigter Interessen eines Dritten erforderlich ist und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat.

Das berechtigte Interesse umfasst nicht nur ein rechtliches oder rechtlich geschütztes Interesse, sondern jeden - z. B. auch jeden akzeptablen wirtschaftlichen - Zweck. Das berechtigte Interesse der auskunftbegehrenden Mieter an der Datenübermittlung ergibt sich hier aus dem Mietvertragsverhältnis.

Erfolgt die Abrechnung der Heizkosten nicht nur pauschal (z. B. nach der Wohnungsgröße), sondern wird der individuelle Verbrauch als Grundlage für die Berechnung herangezogen, ist eine ordnungsgemäße Verbrauchserfassung nur anhand der einzelnen Abrechnungsbelege möglich. Wird auf den persönlichen Einzelverbrauch abgestellt, gehen unrichtig ermittelte Verbrauchswerte zu Lasten der übrigen Mitmieter. Insoweit hat der Nutzer/Mieter auch ein berechtigtes Interesse an den Heizungsabrechnungsdaten der Mitmieter. Nur in Kenntnis der (Verbrauchs-)Stricheinheiten der Mitmieter ist die Richtigkeit der in der individuellen Abrechnung angegebenen Gesamtheit aller verbrauchten Stricheinheiten zu überprüfen.

Damit kann jedoch nicht eine Offenlegung aller Daten der anderen Mietparteien durch den Vermieter gerechtfertigt werden. Zulässig ist nur das, was für die vollständige Kontrolle erforderlich ist. Eine Detailauflistung ist also nur dann zulässig, wenn es Anhaltspunkte für eine fehlerhafte Berechnung der Abrechnungsdaten gibt. Diese sind z. B. dann gegeben, wenn Verbrauchszahlen im Vergleich zu den Vorjahren erheblich differieren oder die Berücksichtigung von Wohnungsleerstand zweifelhaft ist. Da jeder einzelne Mieter ein Interesse an der Richtigkeit der Heizungsabrechnung hat, besteht insofern kein Grund zu der Annahme, dass die Betroffenen (Mitmieter) ein schutzwürdiges Interesse am Ausschluss der Übermittlung haben.

Die Erhebung und Verarbeitung der neuen Adresse des ausscheidenden Mieters ist unzulässig.

Insbesondere kommt hier der Verweis auf § 28 Abs. 1 Nr. 1 BDSG, wonach es zulässig ist, personenbezogene Daten für die Erfüllung eigener Geschäftszwecke im Rahmen eines Vertragsverhältnisses mit dem Betroffenen zu speichern, nicht in Betracht. Die Datenverarbeitung erfolgt hier anlässlich der Auflösung eines bestehenden Vertragsverhältnisses. Hierfür ist die Speicherung der neuen Adresse des bisherigen Vertragspartners jedoch nicht erforderlich. Zur Geltendmachung eventuell bestehender Forderungen kann eine Melderegisterauskunft eingeholt werden. Die regelmäßige Speicherung der neuen Adressen aller ehemaligen Vertragspartner ist dagegen eine unzulässige Datenspeicherung auf Vorrat.

Die Wohnungsbaugesellschaft ist unserer Empfehlung gefolgt und wird in Zukunft auf die Erhebung und Speicherung der neuen Adresse des ausscheidenden Mieters verzichten. Der Vordruck der Verzichtserklärung wurde überarbeitet und enthält keine derartigen Textfelder mehr.

Während die WBS-Antragsteller mit dringendem Wohnungsbedarf im Rahmen der behördlichen Mithilfe bei der Wohnraumbeschaffung in den entsprechenden Formularen über die Bekanntgabe ihrer Daten (Name, Adresse, Anzahl der mit einziehenden Angehörigen, WBS-Antragsnummer) an den Vermieter informiert wurden und dazu ihre Einwilligung erteilten, war dies für die Betroffenen ohne dringenden Wohnbedarf nicht der Fall. Wir haben empfohlen, den Vordruck entsprechend zu ergänzen, um auch diesen Personenkreis über die Datenübermittlung an die Vermieter zu informieren. Die Senatsverwaltung ist dieser Empfehlung gefolgt. In der Neufassung des Vordruckes kann der Antragsteller zukünftig - unabhängig davon, ob die Kriterien eines dringenden Wohnbedarfs vorliegen oder nicht - um die behördliche Mithilfe bei der Wohnraumbeschaffung bitten. Eine Übermittlung von personenbezogenen Daten des Antragstellers (Name, Anzahl der mit einziehenden Angehörigen und WBS-Antragsnummer) an den Vermieter erfolgt nur noch in den Fällen, in denen der Betroffene in diese Übermittlung eingewilligt hat. Eine Differenzierung bei der Aufklärung über die Übermittlung danach, ob ein dringender Wohnbedarf besteht oder dies nicht der Fall ist, ist somit nicht mehr gegeben.

Mit der Nutzentgeltverordnung (NutzEV) vom 22. Juli 1993[129] hat der Gesetzgeber bezweckt, die Nutzungsentgelte für Erholungsgrundstücke (Datschen) auf dem Gebiet der ehemaligen DDR, die regelmäßig sehr niedrig waren, schrittweise und sozialverträglich auf das ortsübliche Entgelt für vergleichbar genutzte Grundstücke anzuheben. Nachdem 1996 in weiten Bereichen bereits das ortsübliche Niveau bei den Entgelten erreicht war, wurde mit der Änderung der NutzEV im Jahr 1997[130] in § 6 Abs. 1 eine Erläuterungspflicht für Erhöhungsverlangen eingeführt. Ziel dieser Regelung ist, dass sich der Grundstückseigentümer vor einer weiteren Erhöhung über die ortsüblichen Entgelte informiert[131]. Bezüglich der Erläuterungspflicht - und der darin enthaltenen Daten zu Vergleichsgrundstücken - werden an die Grundstückseigentümer keine überzogenen Erwartungen gestellt. Es ist ausreichend, wenn in der Erhöhungserklärung Hinweise und Angaben gemacht werden, die es dem Nutzer ermöglichen, die Berechtigung der Erhöhung zu überprüfen.

Zur Ermittlung der ortsüblichen Nutzungsentgelte besteht nach § 7 Abs. 1 NutzEV ein Auskunftsanspruch, gegenüber dem zuständigen Gutachterausschuss. Dieser hat dem Antragsteller - in anonymisierter Form - Auskunft über die in seinem Geschäftsbereich vereinbarten Entgelte unter Angabe der Gemarkung, in der die Grundstücke liegen, zu erteilen. Liegen dem Gutachterausschuss keine Erkenntnisse über vergleichbare Grundstücke mit frei vereinbarten Entgelten vor, ist - neben dem Vergleichsverfahren - subsidiär das Bodenwertverzinsungsverfahren zur Ermittlung des Entgeltes zugelassen (§ 3 Abs. 3 NutzEV). Die Praxis der Gutachterausschüsse hat gezeigt, dass das Bodenwertverzinsungsverfahren - als eine vom Gesetzgeber hilfsweise zugelassene Methode - zur Ermittlung des ortsüblichen Entgeltes geeignet ist.

Dagegen ist eine Rechtsvorschrift, die es dem Eigentümer/Verpächter erlaubt, personenbezogene Daten im Zusammenhang mit Vergleichsgrundstücken an Dritte zu übermitteln, nicht ersichtlich. Auch in der NutzEV ist eine derartige Übermittlungsbefugnis nicht geregelt. Die Übermittlung von Adressen zur Ermittlung der ortsüblichen Entgelte an die Nutzer der Datschengrundstücke ist daher nur mit Einwilligung der Eigentümer oder Nutzer der Vergleichsgrundstücke erlaubt.

Nach § 2 Abs. 1 Nr. 2 Miethöhegesetz (MHG) muss der Vermieter in seinem Mieterhöhungsverlangen begründet darlegen, dass die verlangte erhöhte Miete die ortsübliche Miete nicht übersteigt.

Mit dem Hinweis auf die ortsübliche Vergleichsmiete hat der Gesetzgeber seine Absicht zum Ausdruck gebracht, Mieterhöhungen in bestehenden Mietverhältnissen auf die ortsüblichen Entgelte für vergleichbare Wohnungen in der Gemeinde zu begrenzen. Er hat durch das Vergleichsmietensystem einen Ausgleich geschaffen zwischen dem Interesse des Vermieters, eine möglichst hohe Miete erzielen zu können, und dem Interesse des Mieters, den einmal vereinbarten Mietzins möglichst lange unverändert zahlen zu müssen. Der unbestimmte Rechtsbegriff der "ortsüblichen Vergleichsmiete" umfasst die üblichen Entgelte, die in der Gemeinde für nicht preisgebundenen Wohnraum vergleichbarer Art, Größe, Ausstattung, Beschaffenheit und Lage in den letzten vier Jahren vereinbart oder geändert worden sind. Gebildet wird die ortsübliche Vergleichsmiete aus dem Durchschnitt aller Mieten für vergleichbaren Wohnraum, die zum Zeitpunkt des Zugangs des Erhöhungsverlangens gezahlt werden.

Dem Mieterhöhungsverlangen des Vermieters muss stets eine Begründung zugrunde liegen. Der Zweck des Begründungserfordernisses liegt darin, dem Mieter die Möglichkeit der Information und der Nachprüfbarkeit zu geben, damit er aufgrund der ihm mitgeteilten Daten entscheiden kann, ob er dem Mieterhöhungsverlangen zustimmen will oder nicht.

Der Gesetzgeber hat in § 2 Abs. 2 MHG drei Begründungsmöglichkeiten für ein Mieterhöhungsverlangen für zulässig erklärt. Zulässig sind die Bezugnahme auf einen Mietspiegel (§ 2 Abs. 2 Satz 2 MHG), die Erstellung eines Sachverständigengutachtens (§ 2 Abs. 2 Satz 3 MHG) und die Angabe von einzelnen Vergleichswohnungen (§ 2 Abs. 2 Satz 4 MHG). Diese Aufzählung ist exemplarisch und nicht abschließend. Zugelassen sind alle Begründungsmöglichkeiten, wenn sie nur geeignet sind, dem Mieter die für die Entschließung zur Zustimmung erforderliche Information zu geben.

Das Gesetz erwähnt den Mietspiegel an erster Stelle, weil die Darlegung der ortsüblichen Vergleichsmiete unter Angabe von einzelnen Vergleichswohnungen alle Beteiligten vor beträchtliche Schwierigkeiten stellt. Diese Form der Begründung des Erhöhungsverlangens sollte nach den Vorstellungen des Gesetzgebers die Ausnahme bleiben, da ein statistisch erstellter Mietspiegel die ortsübliche Vergleichsmiete mit einer sehr viel höheren Wahrscheinlichkeit wiedergibt als drei vom Vermieter willkürlich ausgewählte einzelne Vergleichswohnungen.

Das Bundesverfassungsgericht hat die Bedeutung von Mietspiegeln mehrfach ausdrücklich betont[132]. Nach Ansicht des Gerichts liegt die Verwendung von Mietspiegeln im gerichtlichen Erkenntnisverfahren auch im Interesse der Vermieter. Sie garantiert nicht nur eine schnelle Entscheidung, sie erleichtert dem Vermieter zugleich in ganz erheblichem Maße die ihm obliegende prozessuale Darlegungslast.

Dagegen ist die Angabe von drei einzelnen Vergleichswohnungen zur Begründung des Mieterhöhungsverlangens problematisch. Dabei ist zwischen der Frage, wie eine Wohnung objektiv beschaffen sein muss, um als Vergleichswohnung herangezogen werden zu können, und der Frage, welche Informationen dem Mieter über die Vergleichswohnung zu übermitteln sind, zu unterscheiden. Der Wortlaut des § 2 Abs. 2 Satz 4 MHG ist diesbezüglich wenig ergiebig. Dort ist nur von einem "Hinweis" sowie einer "Benennung" der Wohnung die Rede. Diese Formulierungen des Gesetzgebers lassen eine sehr enge Auslegung zu, bei der dem Mieter nur sehr wenige Angaben über die Vergleichswohnung zu machen sind, aber auch eine sehr weite Auslegung, wonach dem Mieter im Erhöhungsverlangen sehr detaillierte Informationen mitzuteilen sind.

Die Rechtsprechung fordert, dass der Vermieter die Vergleichswohnungen so konkret bezeichnen muss, dass sie für den Mieter zweifelsfrei zu identifizieren sind. Dazu sind in jedem Fall Angaben zur postalischen Anschrift (Ort, Straße, Hausnummer) erforderlich. Sind unter der Anschrift mehrere Wohnungen (z. B. in einem Mehrparteienmietshaus) zu finden, hat der Vermieter weitere Angaben zur Identifizierung des Objekts (z. B. Wohnungsnummer, Geschosszahl, linker oder rechter Seitenflügel usw.) zu machen. Dagegen sind Angaben zum Namen und Vornamen der Mieter der Vergleichswohnungen nur in Ausnahmefällen erforderlich, um das Objekt zu identifizieren.

In jedem Fall handelt es sich bei den vorstehenden Angaben um personenbezogene Daten des Mieters. Durch die Anschrift und die weiteren Angaben zur Lage der Wohnung ist er bestimmbar, durch die genaue Beschreibung der Ausstattungsmerkmale kann auf seine Lebensumstände, insbesondere seine Wohnverhältnisse geschlossen werden.

Dem berechtigten Interesse des Vermieters, das Mieterhöhungsverfahren durchzuführen, steht das schutzwürdige Interesse der Mieter der Vergleichswohnungen an der Geheimhaltung der Daten entgegen (vgl. § 28 Abs. 1 Nr. 2 BDSG).

Die Übermittlung der Wohnungsdaten ist deshalb nur mit Einwilligung der Mieter in den Vergleichswohnungen zulässig. Die Einwilligung ist nach § 4 Abs. 1 BDSG schriftlich vom Betroffenen einzuholen. Dieser ist über den vorgesehenen Verwendungszweck der Daten und darüber zu informieren, dass die Einwilligung widerruflich ist.

Gestützt wurde die Maßnahme von der Wohnungsbaugesellschaft - unter Bezugnahme auf Empfehlungen des Berliner Datenschutzbeauftragten aus dem Jahr 1992 - auf die §§ 20 und 69 SGB X.

Die datenschutzrechtliche Beurteilung aus dem Jahr 1992 erfolgte zu der Fragestellung, ob Sozialämter - um eine drohende Obdachlosigkeit zu verhindern - an den Vermieter herantreten dürfen und ob dieser daraufhin Daten des Mieters übermitteln darf. Gegenstand der damaligen Überlegungen war eine klar definierte soziale Randgruppe, der unmittelbar die Obdachlosigkeit droht, die aber zugleich als Problemklientel ihrer Mitwirkungspflicht i.S.d. Sozialgesetzbuches (§ 60 SGB I) offensichtlich nicht genügen kann oder will.

Für diese Fälle sieht Nr. IV/1 der Anordnung über Mitteilungen in Zivilsachen (MiZi) eine Übermittlungspflicht vor. Danach hat das Zivilgericht den Umstand des Einganges einer Klage, mit der die Räumung von Wohnraum im Falle der Kündi-gung des Mietverhältnisses wegen Zahlungsverzuges des Mieters nach § 554 BGB verlangt wird, dem Sozialamt mitzuteilen (vgl. Nr. IV/1 Abs. 5 MiZi). Gleichzeitig ist der Betroffene über den Inhalt und den Empfänger der Mitteilung zu unterrichten (Nr. IV/1 Abs. 6 MiZi). Erhält das Sozialamt die Mitteilung vom Gericht, kann es - um die Wohnung zu erhalten und eine Obdachlosigkeit zu vermeiden - an den Vermieter herantreten und diesem anbieten, rückständige Mietzahlungen zu übernehmen. Der Vermieter kann dieses Angebot annehmen und dabei offenbaren, dass die Betroffenen tatsächlich in einem Mietverhältnis zu ihm stehen bzw. in welcher Höhe Mietrückstände bestehen.

Davon zu unterscheiden sind - wie im vorliegenden Fall - "Spontanübermittlungen" an das Sozialamt durch den Vermieter, die nur mit Einwilligung des Mieters zulässig sind. In keinem Fall dürfen diese hinter dem Rücken des Mieters erfolgen. Eine gesetzliche Befugnis ist nicht ersichtlich. Insbesondere bieten § 20 SGB X - Untersuchungsgrundsatz - und § 69 SGB X - Übermittlung für die Erfüllung sozialer Aufgaben - keine Rechtsgrundlage für eine derartige Datenübermittlung durch den Vermieter.

Nicht zulässig sind auch Regelanfragen, in denen das Sozialamt an den Vermieter herantritt und diesen auffordert mitzuteilen, ob und wie viele Kündigungen wegen Zahlungsverzuges nach § 554 BGB in einem bestimmten Zeitraum ausgesprochen wurden. Von dieser Maßnahme würden - ohne Ausnahme - alle Mieter erfasst, bei denen ein Mietzinsrückstand (aus welchem Grund auch immer) besteht. Infolge der Anfragen würden beim Sozialamt - anlassunabhängig - über eine Vielzahl von Betroffenen Daten verarbeitet, ohne dass die Voraussetzungen des BSHG vorliegen.

"Der tut nix!", ist ein oft von Hundehaltern gehörter Spruch. Leider bewahrheitet sich diese Ankündigung nicht immer. Angriffe und Bisse durch aggressive Hunde erschrecken immer wieder die Öffentlichkeit. Um diese von gefährlichen Hunden ausgehenden Risiken besser zu bekämpfen, wurde die Verordnung über das Halten von Hunden in Berlin vom 5. November 1998 (HundeVO Bln)[133] erlassen.

Wenn sich ein Hund als gefährlich erwiesen hat, weil er z. B. wiederholt in Gefahr drohender Weise Menschen angegriffen hat, sind neben den erforderlichen Auflagen (insbesondere Leinen- oder Maulkorbzwang) oder Maßnahmen, die bis zur Sicherstellung und/oder Tötung des Hundes führen können, die Sachkunde und Zuverlässigkeit des Hundehalters zu überprüfen. Die Diskussion, ob - wie in Brandenburg - eine Liste mit Rassen der als gefährlich einzustufenden Hunde der bessere Weg ist, ist keine Sache des Datenschutzes, wohl aber die Frage, welche Daten von Haltern unter welchen Voraussetzungen und wie lange bei den Veterinärämtern gespeichert werden dürfen. Weiterhin ist festzulegen, bei Vorliegen welcher Voraussetzungen die Zuverlässigkeitsüberprüfung der Halter durchgeführt werden darf und welche Überprüfungen im Einzelnen erfolgen. Dies alles lässt die Verordnung offen. Die Senatsverwaltung für Gesundheit und Soziales ist unserer Anregung - auch nach einer Besprechung im Unterausschuss "Datenschutz" - nicht gefolgt, so dass letztlich das Abgeordnetenhaus hierüber entscheiden musste[134]. Es hat den Senat aufgefordert, in die HundeVO Bln auch die von uns vorgeschlagenen Veränderungen aufzunehmen[135].

Nach der Entscheidung des Bundesverwaltungsgerichtes am 19. Januar 2000 zu der Zulässigkeit einer höheren Hundesteuer für bestimmte "Kampfhund-Rassen" ist die Diskussion um die Neuorientierung der Hundeverordnung erneut entbrannt. Die höhere Besteuerung hätte aus der Sicht des Datenschutzes jedenfalls den Vorteil, dass das Sammeln von Informationen über die Hundehalter entfiele, jedenfalls solange der Hund nicht auffällig geworden ist. Bei dem darüber hinaus zum Teil geforderten generellen Verbot des Haltens und des Erwerbes bestimmter Hunderassen (mit Tötungsverfügung bei Zuwiderhandlung?) würde zwar die Zuverlässigkeitsüberprüfung der Halter entfallen; ob eine derartige Regelung aber noch verhältnismäßig ist, ist fraglich. Unabhängig davon, ob eine Rasse-Liste (mit Genehmigungsvorbehalt und Zuverlässigkeitsprüfung des Halters) eingeführt wird oder ob eine Zuverlässigkeitsüberprüfung nach konkreten Bissvorfällen - unabhängig von der Hunderasse - erfolgt: In jedem Fall müssen klare Datenverarbeitungsregelungen aufgenommen werden. Die Senatsverwaltung für Gesundheit und Soziales hat inzwischen zugesagt, in dem nunmehr beabsichtigten Gesetz über das Halten und Führen von Hunden die Datenerhebungsbefugnisse zu konkretisieren und klarzustellen, dass im Rahmen der Zuverlässigkeitsüberprüfung ein Führungszeugnis angefordert wird. Ferner wird geprüft, ob konkrete Löschungsfristen für die gespeicherten Halterdaten aufgenommen werden.

Das Verfahren stößt auf erhebliche datenschutzrechtliche Bedenken. Der Fragebogen enthält Angaben (z. B. Aktenzeichen, ausstellende Behörde, getroffene Maßnahmen usw.), über die eine Person, gegen die ein Tierschutzverfahren geführt wurde, bestimmbar ist. Es handelt sich somit um die Erhebung von personenbezogenen Daten und deren Übermittlung an die TVT. Eine Rechtsvorschrift, auf die eine derartige Verarbeitung der personenbezogenen Daten gestützt werden könnte, ist nicht ersichtlich.

Die Senatsverwaltung für Gesundheit und Soziales teilte unsere Bedenken. Die für den Vollzug des Tierschutzrechtes zuständigen Veterinär- und Lebensmittelaufsichtsämter von Berlin wurden dahingehend informiert, keine Informationen an die genannten Einrichtungen zu übermitteln.

Unbestritten ist, dass das Tierheim berechtigt ist, die personenbezogenen Daten der zukünftigen Tierhalter zu erheben, die es benötigt, um eine sachgerechte Tiervermittlung durchzuführen. Dies gilt unabhängig davon, ob die Daten in der Selbstauskunft Bestandteil des Überlassungsvertrages sind oder ob diese im Rahmen der Anbahnung eines zukünftigen Vertragsverhältnisses in einem Bewerbungsverfahren erhoben werden.

Angaben zu Geburtsort, Staatsangehörigkeit, Personalausweis- oder Reisepassnummer des Interessenten sind jedoch weder erforderlich, um die Identität des Interessenten festzustellen oder eine Verwechslung mit Dritten auszuschließen, noch um bei den Meldestellen eine Auskunft über die gegenwärtige Anschrift zu erhalten. Auch für die Einleitung gerichtlicher Maßnahmen (Erstattung einer Strafanzeige, Klageerhebung usw.) werden diese Daten nicht benötigt. Andere Gründe, warum diese Angaben für den Abschluss eines Tierüberlassungsvertrages erforderlich sein sollten, sind nicht ersichtlich. Die Erhebung und Speicherung dieser Daten ist daher unzulässig.

Angaben zum Vermieter/Untermieter sind für das Vertragsverhältnis ebenfalls nicht erforderlich. Soweit diese Angaben etwa dazu genutzt werden sollen, Erkundigungen über den Tierinteressenten einzuholen, ist darauf hinzuweisen, dass eine derartige Datenerhebung hinter dem Rücken des Betroffenen grundsätzlich gegen Treu und Glauben verstößt und daher unzulässig ist (vgl. § 28 Abs. 1 Satz 2 BDSG).

Angaben zur Wohndauer ("Seit wann wohnen Sie dort?/Wohnen Sie auch in den nächsten 8 Wochen dort?") sind nicht geeignet, falsche Angaben zur Person oder zum Wohnort aufzudecken oder zu verhindern. Soweit sie dazu dienen sollen, eine gewisse "Sesshaftigkeit" des Interessenten festzustellen, ist nicht erkennbar, warum dies für den Vertragszweck von Bedeutung sein soll.

Soweit Angaben zur Person des Ehepartners/Lebensgefährten oder die Kontaktadresse eines Bekannten erfragt werden, handelt es sich um die Daten von Dritten, die grundsätzlich beim Betroffenen selbst zu erheben sind. Darüber hinaus ist die Erforderlichkeit zur Verarbeitung dieser Daten nicht ersichtlich. Die Angaben über den Tierinteressenten genügen, um eventuell Nachkontrollen durchführen zu können. Um die Betreuung des Tieres auch während der (z. B. beruflichen) Abwesenheit des Tierhalters sicherzustellen, kann eine entsprechende Verpflichtung vertraglich festgelegt werden. Angaben dazu, welche Personen (Angaben über Dritte) dieser Verpflichtung - im Auftrag des Tierhalters - nachkommen werden, sind dagegen nicht erforderlich.

Das Tierheim ist unseren Empfehlungen für eine datenschutzgerechte Gestaltung des Formulars "Selbstauskunft" gefolgt. Die geänderte Fassung des Vordruckes, in dem die nicht erforderlichen Daten nicht mehr erfasst werden, schafft einen Ausgleich zwischen dem Interesse an einer sachgerechten, am Wohl des Tieres orientierten Vermittlung und dem Recht auf informationelle Selbstbestimmung der zukünftigen Tierhalter.

Das Ansinnen, einen Sachkundenachweis der Beschäftigten zu verlangen, ist kein Verstoß gegen datenschutzrechtliche Bestimmungen. Die Erhebung von personenbezogenen Daten der Beschäftigten kann auf §§ 9 und 10 Pflanzenschutzgesetz (PflSchG) i.V.m. § 2 der Verordnung über die Anzeige der Anwendung von Pflanzenschutzmitteln und über das Prüfungsverfahren für den Nachweis der pflanzenschutzlichen Sachkunde (AnzPrüfOPflSch) gestützt werden.

Nach § 9 PflSchG ist der gewerbliche Umgang mit Pflanzenschutzmitteln der zuständigen Behörde vor Aufnahme der Tätigkeit anzuzeigen. Die Anzeige muss Name und Anschrift des Betriebes, des Betriebsinhabers und der Personen, die Pflanzenschutzmittel anwenden, sowie einen Sachkundenachweis für diese Personen enthalten (§ 25 AnzPrüfOPflSch). Der Sachkundenachweis kann z. B. durch Prüfungszeugnisse oder Ausbildungsnachweise erbracht werden.

Das Zeugnis über die bestandene Prüfung enthält nach § 9 Abs. 2 AnzPrüfOPflSch die Bezeichnung der Prüfung, die Personalien des Prüfungsteilnehmers, Ort und Datum der Prüfung und die Feststellung über das Bestehen der Prüfung. Weitere Angaben zu Leistungsmerkmalen, -bewertungen, -beurteilungen, Berufsabschlüssen und Einzelbenotungen werden nicht verlangt. Daraus wird ersichtlich, dass diese zusätzlichen Angaben für den Nachweis der Sachkunde nicht erforderlich sind.

Der Sachkundenachweis kann auch durch Vorlage anderer Zeugnisse, z. B. Ausbildungsnachweise, erbracht werden. Soweit diese Angaben (z. B. Benotungen) enthalten, die über den Katalog der in § 9 Abs. 2 AnzPrüfOPflSch genannten Daten hinausgehen, können diese unkenntlich gemacht werden. Nach dem Willen des Gesetzgebers ist jedoch der allgemeine Hinweis, eine einschlägige Berufsausbildung mit den vorgesehenen Ausbildungsgraden abgeschlossen zu haben, allein für den Nachweis der Sachkunde nicht ausreichend.

[103] JB 1984, 4.3

[104] BT-Drs. 12/2948

[105] BT-Drs. 14/1527

[106] JB 1998, 3.3

[107] vgl. 3.1

[108] RDV 1992, S. 85 ff.

[109] Berliner Zeitung v. 10.11.1999, S. 21

[110] Anlage 3

[111] JB 1993, 4.5.1; JB 1996, 4.4.1; JB 1997, 2.3; JB 1998, 2.2

[112] JB 1998, 4.8.1

[113] Richtlinie zur Gewährleistung der notwendigen Sicherheit beim IT-Einsatz in der

Berliner Verwaltung v. 5.1.1999, DBI. l, Nr. 2, S. 5 ff.

[114] vgl. 4.8.2

[115] Gesetzentwurf der Fraktionen der SPD und Bündnis 90/Die Grünen, BT-Drs.

14/1245, und der gleichlautende Gesetzentwurf der Bundesregierung, BT-Drs.

14/1721

[116] Entschließung zu "Gesundheitsreform 2000", Anlagenband "Dokumente zum

Datenschutz 1999", Teil A II

[117] Beschlussempfehlung und Bericht des Ausschusses für Gesundheit insbesondere

zu § 294 SGB V, BT-Drs. 14/1977

[118] Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und

der Länder zu "Patientenschutz durch Pseudonymisierung", Anlagenband

"Dokumente zum Datenschutz 1999", Teil A III

[119] Beschlussempfehlung und Bericht des Ausschusses für Gesundheit zu § 284

Abs. 4 SGB V, BT-Drs. 14/1977

[120] Beschlussempfehlung und Bericht des Ausschusses für Gesundheit zu § 305 SGB

V, BT-Drs. 14/1977

[121] BT-Drs. 14/2369

[122] BGBl. I 1999, S. 2626

[123] BT-Drs. 14/1527, S. 14

[124] vgl. u. a. JB 1994, 4.11

[125] Man beachte, dass im Englischen Controlling weniger "Kontrolle" als vielmehr

"Steuerung" oder "Lenkung" bedeutet!

[126] JB 1998, 4.6.3

[127] GVBl. S. 506

[129] BGBl. I S. 1339

[130] BGBl. I S. 1920

[131] BR-Drs. 1/97, S. 9

[132] Beschluss v. 3.4.1990 Az.: 1 BvR 268/98, NJW 1992, S. 1377

[133] GVBl. S. 326

[134] Beschluss des Abgeordnetenhauses v. 25.3.1999

[135] vgl. Beschlussempfehlung des Ausschusses für Gesundheit, Soziales und

Migration v. 18.3.1999 über Nachbesserung der Berliner Hundeverordnung,

Abghs.-Drs. 13/3587