Im Zuge der Corona-Pandemie erreichen uns immer wieder neue Anfragen, die den Datenschutz tangieren. Dieses Mal geht es um die Datenverarbeitung durch Berufsgenossenschaften.
Um zu klären, ob die Versicherten sich mit Covid -19 Infektion in dem beruflichen Umfeld infiziert haben, versenden die Berufsgenossenschaften Fragebögen, die sich nicht nur auf die Daten der Versicherten selbst beziehen, sondern auch auf die Daten der Dritten. Zweck ist die Feststellung des möglichen Beratungsbedarfs in den Fällen der schweren Krankheitsverläufe. In einem der Beispiele werden die Versicherten (Krankenhausmitarbeiter) nicht nur nach eigenen Daten gefragt, sondern auch nach Daten der nachweisbar erkrankten Patienten mit denen im Rahmen ihrer beruflichen Tätigkeit Kontakt bestand.
Die Versicherten werden aufgefordert die Initialen des Patienten, die Aufenthaltsdauer im Krankenhaus und den Wohnort des Patienten mitzuteilen, mit dem Kontakt am Arbeitsplatzt bestand. Auf Nachfrage sollen auch die vollen Namen der infizierten Patienten, mit denen Kontakt bestand, mitgeteilt werden.
Wir haben die Rechtmäßigkeit dieser Auskünfte der Berufsgenossenschaften datenschutzrechtlich geprüft.
Die Rechtmäßigkeit der Übermittlung der patienten-bezogenen Daten, hängt in unserem Beispiel davon ab, ob diese Daten als pseudonymisierte oder anonymisierte Daten datenschutzrechtlich betrachtet werden. Wie wir berichteten, ist diese Frage umstritten. Es kommt grundsätzlich darauf an, ob der Empfänger in der Lage ist den Personenbezug herzustellen. Auf die pseudonymisierten Daten findet das Datenschutzrecht Anwendung mit der Konsequenz, dass die Datenschutzvorschriften der DSGVO anwendbar sind und eine Rechtsgrundlage für die Verarbeitung der pseudonymisierten Daten erforderlich ist. Die anonymisierten Daten sind hingegen keine personenbezogenen Daten mehr und unterfallen nicht dem Datenschutz.
Fraglich ist, ob es aus Sicht der Berufsgenossenschaften möglich und realistisch ist, die Identität der dritten Personen mithilfe der übermittelten Daten festzustellen. Die Klärung dieser Frage wird von mehreren Faktoren abhängig sein. Insbesondere wäre hier zu berücksichtigen, über welche Informationen die Berufsgenossenschaften bereits verfügen und ob unter Hinzuziehung dieser Informationen doch noch die Feststellung des Personenbezugs unter Umständen möglich ist. Die angebliche Anonymität der Daten ist mit Vorsicht zu genießen. Oft ist die Re-Identifizierung möglich. Wir berichteten auch hier.
Nun zurück zu dem Fall: Berufsgenossenschaften sind Träger der gesetzlichen Unfallversicherung für die Unternehmen der Privatwirtschaft. Die Rechtsgrundlage der Datenverarbeitung durch Berufsgenossenschaften ergibt sich aus den gesetzlichen Vorschriften des Sozialgesetzbuches VII (gesetzliche Unfallversicherung) in Verbindung mit der DSGVO. Als Rechtsgrundlage kommt § 199 Abs.1 Nr. 6 SGB VII in Verbindung mit DSGVO in Betracht. In § 199 Abs. 1 Nr. 6 SGB VII heiß es:
„Die Unfallversicherungsträger dürfen Sozialdaten verarbeiten, soweit dies zur Erfüllung ihrer gesetzlich vorgeschriebenen oder zugelassenen Aufgaben erforderlich ist… Die Aufgaben sind:
Nr. 6 die Erforschung von Risiken und Gesundheitsgefahren für die Versicherten.“
Ist nun die Übermittlung der pseudonymisierten drittbezogenen Daten, in unserem Beispiel Patientendaten, von dieser Rechtsgrundlage gedeckt? Wenn wir von der Pseudonymisierung der Daten ausgehen, muss die Übermittlung der Daten für die Erforschung der Risiko- und Gesundheitsgefahren für den Versicherten erforderlich sein. Aus unserer Sicht sind die drittbezogenen Informationen in diesem Zusammenhang für die Aufgabenerfüllung der Berufsgenossenschaft irrelevant und die Auskunft sollte sich nur auf die Daten der Versicherten beschränken. Die Übermittlung der patienten-bezogenen Daten an die Berufsgenossenschaft wäre somit rechtswidrig.
Was sollten Sie tun?
Fragt die Berufsgenossenschaft nicht nur die Daten der Versicherten, sondern auch die Daten dritter Personen ab, ist Vorsicht geboten. Beschränken Sie sich möglichst auf die Übermittlung der Versichertendaten, die im Zusammenhang mit der Erkrankung stehen. Teilen Sie keine vollständigen Namen der dritten Personen mit. Planen Sie trotzdem die Daten mit Drittbezug an die Berufsgenossenschaft zu übermitteln, denken Sie an wirksame Anonymisierung dieser Daten, um datenschutzkonform zu handeln.
8. April 2021 @ 17:50
Die Rechtsgrundlage ist leider nicht richtig wiedergegeben. Zweck der Abfrage dieser Informationen ist die Prüfung der Leistungsvoraussetzungen (§ 199 Abs. 1, Nr. 2 SGB VII), nicht die Forschung. Im Rahmen des gesetzlichen Untersuchungsgrundsatzes sind von der Berufsgenossenschaft die geeigneten Beweismittel einzuholen §§ 20, 21 SGB X). Zur Überprüfung der Leistungsvoraussetzungen muss festgestellt werden, ob tatsächlich im beruflichen Kontext eine Indexperson existiert. Als milderes Mittel werden vorrangig nur die Initialen der Kontaktperson angefragt.
13. April 2021 @ 14:35
Vielen Dank für Ihre Hinweise zu unserem Blogbeitrag, die wir in unserer Beratung berücksichtigen werden. Gemäß § 199 Abs. 2 SGB VII dürfen die Sozialdaten für Aufgaben nach Abs.1 in dem jeweils erforderlichen Umfang übermittelt werden. Der Umfang der Daten ist auf das notwendige Maß zu beschränken. In dem geschilderten Fall haben wir deswegen unsere Kunden von der Offenlegung der vollen Namen bzw. der sprechenden Pseudonymen der Patienten abgeraten. Wir empfehlen stattdessen ein datensparsames Vorgehen, welches anstelle der sprechenden Pseudonyme (Anfangsbuchstaben) selbst generierte Pseudonyme vorsieht (z.B. laufende Nummern, wobei die Schlüsselliste bei der übermittelnden Stelle verwahrt wird). Sofern im Einzelfall konkrete Informationen entpseudonymisiert werden sollen, muss dies im anhand des vorliegenden Falles und unter Berücksichtigung der bestehenden beruflichen Schweigepflicht geprüft werden. Denn neben der Erhebungsbefugnis der Berufsgenossenschaft muss eine Offenbarungsbefugnis der übermittelnden Stelle vorliegen. Das muss aber gründlich geprüft werden.
Mit freundlichen Grüßen.
8. April 2021 @ 15:38
Nach der Sondererhebung des Verbandes der Deutschen Gesetzlichen Unfallversicherung (DGUV), für die Monate Januar und Februar 2021 erhielten die gewerblichen Berufsgenossenschaften und die Unfallkassen in diesen beiden Monaten insgesamt 47.578 Verdachtsanzeigen auf eine beruflich bedingte Erkrankung an COVID-19. Im vergangenen Jahr waren es insgesamt 30.329 Verdachtsanzeigen. Seit Beginn der Pandemie wurden bis Ende Februar dieses Jahres 49.295 Fälle entschieden. 42.753 Berufskrankheiten wurden anerkannt. Die Mehrheit der Fälle entfällt auf die Berufsgenossenschaft für Gesundheitsdienst (BGW) und Wohlfahrtspflege sowie auf die Unfallkassen. Sie übernehmen im Fall der Anerkennung als berufsbedingt die gesamten Kosten der medizinischen Behandlung, zahlen statt dem knappen Krankengeld ein monatliches Verletztengeld aus und erbringen erforderliche Leistungen zur beruflichen und sozialen Wiedereingliederung. Bei bleibenden Schäden wird ggf. eine lebenslange Rente bezahlt.
Die gesetzlichen Voraussetzungen für diese Leistungen müssen jedoch vorliegen und sind von den Unfallversicherungsträgern von Amts wegen festzustellen. Dazu sind sie nach § 199 Abs. 1 Nr. 1 und 2 SGB VII i.V.m. §§ 67 ff SGB X berechtigt, die erforderlichen Daten zu erheben und zu verarbeiten:
§ 199 Abs. 1
Nr. 1 die Feststellung der Zuständigkeit und des Versicherungsstatus,
Nr. 2. die Erbringung der Leistungen nach dem Dritten Kapitel einschließlich Überprüfung der Leistungsvoraussetzungen und Abrechnung der Leistungen,
Nach § 21 SGB Abs. 1 Nr. 2 X sind die Unfallversicherungsträger berechtigt, Zeugen zu befragen.
Wer keine Zeugen dafür angibt, die bestätigen können, dass die Infektion am Arbeitsplatz erfolgt ist, riskiert, dass der Anspruch auf Leistungen als nicht bewiesen abgelehnt werden muss.