25. August 2010 - Aus der DSB-Praxis

Mangelhafter Datenschutz im Verein: Hospizvereine

In Zeiten einer zunehmend älter werdenden Bevölkerung gewinnt das Hospizwesen auch in Deutschland immer mehr an Bedeutung. Naturgemäß fallen hier verschiedenste Kategorien personenbezogener Daten an. Die praktische Erfahrung zeigt jedoch, dass der Datenschutz kaum beachtet wird.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Was sind „Hospizvereine“?

Ein „Hospiz“ (lat. hospitium = Herberge) war ursprünglich eine Herberge für Pilger, Fremde, Bedürftige oder Kranke und ist der heutigen Bedeutung nach eine Einrichtung der Pflege, Beratung, Betreuung, Unterstützung und Begleitung für Schwerstkranke und Sterbende, sowie für Angehörige. Nach deren Bedürfnissen richten sich vielfältige Angebote, die von ambulanten, teilstationären und stationären Hospiz- und Palliativeinrichtungen in unterschiedlichsten Organisationsformen und von verschiedensten Trägern erbracht werden. Hier verrichten ehrenamtliche Helfer einen Dienst am Mitmenschen, der Achtung und höchsten Respekt verdient.

Obwohl Umsetzungsaspekte des Datenschutzes in allen bestehenden Organisationsformen bedacht werden müssen, soll in diesem Artikel speziell auf die ambulanten Hospizvereine und deren Umgang mit dem Datenschutz im Verein eingegangen werden.

Zahl der Hospize steigt an

Die Zahl solcher Dienste steigt kontinuierlich an. Waren 1996 noch lediglich 451 Dienste verzeichnet, zählte man 2002 schon derer 1156 und im Jahre 2008 schließlich 1500 (Quelle: Wegweiser Hospiz und Palliativmedizin und DHPV).

Träger ambulanter Hospize

Als Träger ambulanter Hospize fungieren in Deutschland Kirchen (Diakonie, Caritas), gemeinnützige Organisationen und Stiftungen, aber auch gemeinnützige Vereine. Letztere gründen sich nach dem deutschen Vereinsrecht, i.d.R. als eingetragene Vereine, verfügen über Vorstand und Mitgliederversammlung als Organe, ebenso über eine Satzung und sind als gemeinnützig anerkannt.

Rechtliche Grundlagen

Organisation und Arbeit eines ambulanten Hospizvereins sind definiert in § 39 a SGB V in Verbindung mit der daraus entstandene Rahmenvereinbarung zwischen dem „Spitzenverband Bund der Krankenkassen gem. § 217 a SGB V“ und den Trägern der Hospizarbeit, u.a. der Arbeiterwohlfahrt, der Caritas, dem Deutschen Hospiz- und Palliativ-Verband, dem Deutschen Paritätischen Wohlfahrtsverband, dem DRK und dem Diakonischen Werk.

In der Rahmenvereinbarung sind die Voraussetzungen für die Förderung der Hospizvereine durch die Krankenkasse sowie Inhalt, Qualität und Umfang der ambulanten Hospizarbeit festgelegt.

Ein ambulanter Hospizdienst muss demnach mindestens eine fest angestellte, fachlich verantwortliche Kraft („Koordinator/in“) beschäftigen, die bestimmte Voraussetzungen vor Aufnahme ihrer Tätigkeit erfüllen muss. Dazu gehören unter anderem eine abgeschlossene Palliative-Care-Weiterbildungs­maßnahme, ein 40stündiges Koordinatoren-Seminar und ein 80stündiges Seminar zur Führungskompetenz.

Weiterhin ist in den Vorschriften geregelt, dass

  • die Krankenkasse ambulante Hospizdienste durch einen angemessenen Zuschuss zu den notwendigen Personalkosten fördern muss,
  • der ambulante Hospizdienst die Gewinnung, Schulung, Koordination und Unterstützung der ehrenamtlich tätigen Personen („Helfer/innen“), die für die Sterbebegleitung zur Verfügung stehen, sicherstellen muss und
  • der ambulante Hospizdienst mit palliativmedizinisch erfahrenen Pflegediensten und Ärzten zusammenarbeitet.

Diese und weitere Bestimmungen wirken sich unmittelbar auf Vorstandsentscheidungen aus. So hat der Vorstand die Auswahl der Fachkraft sorgfältig zu treffen, die Ausbildung der ehrenamtlichen Helfer/innen durch die Fachkraft zu organisieren und durchzuführen und im Rahmen der Weiterbildung die Teilnahme an Supervisionen sicherzustellen.

Datenschutz im Verein und im Hospizwesen – Unterschiede und Gemeinsamkeiten

Der kundige Leser erkennt schon jetzt, dass bei dem beschriebenen Konstrukt eine Reihe personenbezogener Daten anfallen. Betroffene sind sowohl die Mitglieder des Vereins, die die satzungsgemäßen Vereinsziele durch ihren Mitgliedsbeitrag fördern, als auch die Helfer/innen und deren Koordinator/in und natürlich die Patienten und deren Angehörige. Vor allem die Daten letzterer sind als Gesundheitsdaten i.S. des § 3 Abs. 9 BDSG besonders sorgfältig vor unberechtigtem Zugriff zu schützen.

Zum Umgang mit diesen Daten bestehen einerseits spezialgesetzliche Vorgaben, die beispielsweise zur Durchführung der Abrechnung bestimmte Datenübermittlungen an Leistungsträger (Krankenkassen) erfordern. Andererseits richtet sich der datenschutzkonforme Umgang mit diesen Daten, soweit es keine konkreten gesetzlichen Vorgaben gibt, nach den allgemeinen, im BDSG gefassten Auffangregeln.

Mängel aus Unkenntnis

Leider kann man beobachten, dass – wie übrigens vielfach im nicht-öffentlichen Bereich – die Datenschutz-Vorschriften kaum bekannt sind und daher nicht beachtet werden. Insbesondere trifft dies für die Verarbeitung besonderer Arten personenbezogener Daten durch Koordinator/in, Helfer/innen und das für die Zuschussbeantragung zuständige Vorstandsmitglied zu.

Da auf eine Vorabkontrolle nach § 4 d Abs. 5 BDSG durch eine förmliche Einwilligung und/oder die Begründung eines rechtsgeschäftsähnlichen Schuldverhältnisses verzichtet werden kann, könnte eine Einwilligung in die am Anfang der Betreuung stehende Pflegevereinbarung integriert werden. Schon die Gestaltung beider Rechtsakte dürfte einem Datenschutzunkundigen schwer fallen.

Technisch-organisatorische Maßnahmen: Fehlanzeige

Eine dem besonderen Schutzbedarf angemessene Gestaltung der IT-Infrastruktur, der Berechtigungsgestaltung und ganz allgemein der Auswahl angemessener Schutzmaßnahmen im Sinne von § 9 BDSG unterbleibt häufig aufgrund mangelnden technischen Verständnisses.

Es kann aber nicht hingenommen werden, dass Patientendaten auf unprofessionelle und nachlässige Weise auf halbherzig eingerichteten IT-Systemen verarbeitet werden, die auch noch ans Internet angeschlossen und dadurch zusätzlichen Gefahren ausgesetzt sind. In dieser Frage muss, bei aller Sympathie für ehrenamtliches Engagement, ein absolut professioneller Umgang mit der IT-Infrastruktur gefordert werden, der dem Schutzbedürfnis der betroffenen Patienten gerecht wird.

Selbst wenn ein Verein zunächst mit einem Laptop oder einem einzelnen privaten Rechner beginnt, muss einem möglichen, späteren Aufwachsen der automatisierten Datenverarbeitung Rechnung getragen werden.

Kaum Datenschutzbeauftragte bestellt

Leider bleiben selbst grundlegende, wörtlich aus dem Gesetz abzulesende Datenschutzpflichten häufig unerfüllt. So finden sich unter den ambulanten Hospizvereinen nur wenige, die einen Datenschutzbeauftragten (DSB) bestellt haben, deren Helfer/innen und Vorstandsmitglieder auf das Datengeheimnis verpflichtet sind und die eine Übersicht nach § 4g Abs. 2 BDSG erstellt haben und für eine Veröffentlichung („öffentliches Verfahrensverzeichnis“) auf Antrag verfügbar halten.

Auch eine Datenschutzerklärung auf der website, die über die üblichen, nichtssagenden Disclaimer hinausgeht und tatsächlich eine hinreichende Erklärung des realisierten Datenschutzmanagements darstellt (auch wenn dieses nur rudimentär die notwendigen Schutzmaßnahmen beinhaltet), ist kaum zu finden.

Selbst wenn das Quorum von mindestens zehn mit der Datenverarbeitung beschäftigten Personen nicht erreicht wird, ein DSB also nicht bestellt werden muss, bedeutet dies keinen Freibrief für jegliche Verarbeitung personenbezogener Daten. Vielmehr muss in diesem Fall der Leiter der verantwortlichen Stelle selbst für eine angemessene Datenschutzorganisation und die Einhaltung aller einschlägigen Vorschriften sorgen.

Dass gem. § 4g Abs. 2 a BDSG der Vorsitzende eines Vereins in diesem Fall die Erfüllung der Aufgaben des DSB sicherzustellen hat, wird i.d.R. nicht beachtet oder ist schlicht unbekannt.

Datenschutz-Realisierung wäre durch vorhandene Hospizinfrastrukturen möglich

Verbände und Organisationen des Hospizwesens auf Bundes-, Landes- oder Kommunalebene, die ja gerade damit werben, dass sie örtliche ambulante Hospizvereine bei deren Gründung beraten und unterstützen, könnten hier eine Lücke schließen. Leider schließt die angebotene Beratung bisher offensichtlich keinerlei Unterstützung bei der datenschutzgerechten Gestaltung der Vereinsarbeit ein.

Offenbar besteht auch hier noch nicht die ausreichende Sensibilität. Gelegentliche Hinweise des Autors in diese Richtung fanden bisher kaum Widerhall. Vielmehr wird auf eine allgemeine Schweigepflicht verwiesen.

Es ist jedoch aus unterschiedlichen Gründen notwendig, dass der Umgang mit Datenschutzfragen auch bei ehrenamtlicher Tätigkeit professionalisiert wird. Zur Wahrung der Menschenwürde der Patienten, dem Grundgedanken des Hospizwesens, gehört eben auch ein die Persönlichkeitsrechte wahrender Umgang mit Patientendaten. Und darüber hinaus wäre es das falsche Signal, wenn ausgerechnet Hospize wegen Datenschutzverstößen ins Gerede kämen. Wir haben schon genug Datenschutzskandale!

Die ehrenamtlich tätigen Hospizhelfer/innen haben es nicht verdient, dass ihr aufopferungsvoller Einsatz durch mangelnde Datenschutzorganisation in der Öffentlichkeit diskreditiert wird.

Datenschutz schafft Vertrauen

Eine offensive, transparente und bewusste Umsetzung von Datenschutzvorgaben, gerade im hochsensiblen Bereich des Hospizwesens, würde zusätzlich Vertrauen bei denjenigen schaffen, die für einen Partner oder einen Angehörigen eine vertrauenswürdige Organisation für die Betreuung suchen und dabei das Recht auf informationelle Selbstbestimmung für beide Seiten gewahrt wissen wollen.

Absicht oder Ignoranz?

Übrigens: Den genannten Organisationen wurde dieser Artikel vor Veröffentlichung mit der Bitte um Stellungnahme zugeleitet, da möglicherweise – für den Außenstehenden nicht erkennbar – Maßnahmen zur Initiierung eines „Datenschutzminimums“ inzwischen eingeleitet oder zumindest vorbereitet wurden. Auf entsprechende Anfragen erhielt der Autor jedoch keinerlei Reaktion: kein Kommentar, keine Äußerung, deren Inhalt man an dieser Stelle ebenfalls dargestellen könnte.

Abschließend ein herzliches Dankeschön an Fr. K. Schuler, die durch ein Review und wertvolle Ergänzungen an diesem Artikel mitgewirkt hat. Karin Schuler ist stv. Vorsitzende Deutsche Vereinigung für Datenschutz e.V. (www.datenschutzverein.de).

Manfred von Reumont
Manfred von Reumont berät u.a. einen ambulanten Hospizverein in datenschutzrechtlichen Fragen durch Wahrnehmung der Aufgaben eines extDSB (
www.mvr-datenschutz.de).

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln