3877/AB XX.GP
Zur gegenständlichen Anfrage führe ich folgendes aus:
Zu den Fragen 1 bis 19:
Diesbezüglich verweise ich auf die beiliegende Stellungnahme des Hauptverbandes der öster -
reichischen Sozialversicherungsträger, der als Dachorganisation - und damit auch in EDV - An -
gelegenheiten - zentrale Anlaufstelle der Sozialversicherungsträger zur Beantwortung dieser
Fragen ist. Den sehr detaillierten Ausführungen des Hauptverbandes zu den Fragen 1 - 19 ist
lediglich folgendes hinzuzufügen:
Zu Frage 5:
Ich halte unter den gegebenen Umständen die Bekanntgabe der Namen der hier in Frage
kommenden (Einzel)Personen für eine ausreichende und erschöpfende Beantwortung dieser
Frage der vorliegenden parlamentarischen Anfrage nicht für erforderlich. Hier wäre eben
gerade aus dem dieser Anfrage zugrundeliegenden Datenschutzgedanken der Geheimhaltung
der Daten der Betroffenen der Vorzug zu geben.
Zu den Fragen 14 und 15:
Ich stimme mit der Auffassung des Hauptverbandes der österreichischen Sozialversicherungs -
träger überein, wonach die Kontrollmöglichkeiten für datenschutzrechtliche Belange im Be -
reich der gesetzlichen Sozialversicherung in ausreichendem Maße gegeben sind. Es besteht
aber auch kein Grund zur Annahme, daß von den Sozialversicherungsträgern bzw. dem Haupt -
verband der österreichischen
Sozialversicherungsträger von diesen Instrumentarien nicht in
ausreichender und adäquater Form Gebrauch gemacht wird oder wurde. Vielmehr wird jedem
auch nur ansatzweise geübten Vorwurf der anfragenden Abgeordneten über einen angeblich
sorglosen Umgang mit personenbezogenen Daten im Bereich der gesetzlichen Sozialversiche -
rung bereits durch die Ausführungen des Hauptverbandes jede Grundlage entzogen. Weitere
Veranlassungen zu diesen Fragen erübrigen sich somit.
Zu Frage 20:
Auf die Daten der Krankenanstalten, die aufgrund des Bundesgesetzes über die Dokumentation
im Gesundheitswesen dem Bundesministerium für Arbeit, Gesundheit und Soziales zu melden
sind und hier gesammelt und gespeichert werden, haben ausnahmslos autorisierte Bedienstete
der zuständigen Sektion des Bundesministeriums sowie die mit der Systemwartung beauftrag -
ten Personen Zugriff.
Zu den Fragen 21 und 22:
Die dem Bundesministerium für Arbeit, Gesundheit und Soziales aufgrund des Bundesgesetzes
über die Dokumentation im Gesundheitswesen zur Verfügung gestellten Daten beziehen sich
ausschließlich auf Krankenhausaufenthalte und lassen keinen Rückschluß auf einzelne Patienten
zu. Dem Bundesministerium liegen aufgrund dieser Datenmeldungen somit keine Datensamm -
lungen über Patienten vor.
Unbeschadet dessen, daß es sich um keine Patientendaten handelt, finden bei der Verarbeitung
und Auswertung der auf Grundlage des Bundesgesetzes über die Dokumentation im Gesund -
heitswesen erhobenen Daten strenge Vorschriften - wie zum Beispiel Zugriff nur mit spezieller
Benutzererkennung für einen ausgewählten Personenkreis - Anwendung. Zudem sind alle mit
der Datenverarbeitung befaßten Personen ausdrücklich verpflichtet, alle Bestimmungen zur
Wahrung des Datenschutzes einzuhalten.
Zu Frage 23:
Es gibt keinerlei Hinweise auf Datendiebstahl oder Datenmißbrauch.
Zu Frage 24:
Da es bisher weder Hinweise auf Datendiebstahl noch Datenmißbrauch gegeben hat, waren
auch keine Konsequenzen zu ziehen.
Zu Frage 25:
Wie die bisherigen langjährigen Erfahrungen zeigen, ist aufgrund verschiedenster Kontroll -
mechanismen - beginnend bei den umfangreichen Datensicherheitsvorkehrungen der ADV -
Systeme bis hin zu den einzelnen zugriffsberechtigten Personen - ausreichend Sorge getragen,
daß alle Bestimmungen zur Wahrung des
Datenschutzes eingehalten werden.
Zu Frage 26:
Es hat keine Schadensfälle gegeben.
Zu den Fragen 27 und 28:
Dem Bundesministerium für Arbeit, Gesundheit und Soziales liegen, wie bereits bei den Fragen
21 und 22 dargestellt, keine Patientendaten vor. Daher kann ein durch Mißbrauch von
Patientendaten entstehender Schaden nicht
eintreten.
Betr.: Parlamentarische Anfrage betreffend "Datenschutzlosigkeit",
Nr. 3953/J
Bezug: Ihr Schreiben vom 6. April 1998, Zl. 21.891/68 - 5/98
Sehr geehrte Damen und Herren!
Die Sozialversicherungsträger und der Hauptverband sind im Interesse
der Versicherten, Leistungsbezieher und Beitragszahler (insbesondere auch
der Dienstgeber) sehr daran interessiert, daß ihre Datenbestände rechtmäßig
gespeichert und verwendet werden.
Die Datenbestände der Österreichischen Sozialversicherung werden auf -
grund eindeutiger Rechtsgrundlagen gespeichert und nachvollziehbar nur an
konkret definierte Stellen übermittelt.
Dem Autor des in der Anfrage genannten Buches wurde die Datenverar -
beitungsorganisation der Sozialversicherung in einem längeren Gespräch ein -
gehend erläutert. Umsomehr bedauern wir, daß die gegebenen Detailinforma -
tionen im Werk nicht genau verarbeitet wurden
und daher in den letzten Wo -
chen ungenaue und daher mißverständliche Informationen über diese Daten -
bestände in der Öffentlichkeit diskutiert wurden.
Unrechtmäßige Datenweitergaben sind in Österreich als Geheimnisbruch,
Amtsmißbrauch etc. gerichtlich strafbar (§ 48 DSG usw.). Die Sozialversiche -
rung legt großen Wert darauf, Datenmißbrauch und ungerechtfertigte Zugriffe
nicht zuzulassen. Diesem Zweck dienen
- mitlaufende Protokolle, welche dokumentieren, wann von wem auf kon -
krete Daten zugriffen wurde und
- die Tatsache, daß nur Daten für den Aufgabenbereich der Sozialversi -
cherung gespeichert werden, nicht aber darüber hinausgehende Daten.
Zu den Sicherheitsmaßnahmen gehört auch, daß Datenbestände auf
mehrere Rechner bzw. Speicherungsprogramme aufgeteilt sind und nur sach -
bezogene, nicht aber generelle Zugriffsberechtigungen vergeben werden. Eine
allgemeine Zugriffsberechtigung “zum Sozialversicherungsrechner” existiert
nicht, schon gar nicht für die am Beginn der Anfrage genannten Stellen.
Die Datenspeicherungen sind für die gesetzlich vorgegebenen Zwecke
gestaltet, aus den Speicherungen lassen sich keine konkreten Aussagen für
andere Bereiche treffen. Die eingeschränkte Verwendbarkeit der Datenbestän -
de der Sozialversicherung z. B. für Einkommensstatistiken ist Thema der par -
lamentarischen Anfrage der Abgeordneten Haller, Mag. Haupt und Kollegen
Nr.4311/J vom 16. April 1998, in welcher eine vollständige Datenerfassung
von Meldedaten für wünschenswert bezeichnet wurde.
Vor diesem Hintergrund wird zu den einzelnen Fragen der Anfrage fol -
gendes festgehalten:
Zu Frage 1 (Zutrittsberechtigung):
Die genannten Stellen haben lediglich Zugriff zur Rechtsdokumentation
der Sozialversicherung, in welcher keine persönlichen Daten vorhanden sind
Diese Dokumentation enthält Gesetze,
Urteile, Verordnungen und andere
Rechtsvorschriften, sie ist von den personenbezogenen Speicherungen strikt
getrennt.
Online - Zugänge zur EDV - Anlage des Hauptverbandes sind eingerichtet,
• für die Sozialversicherungsträger, für deren Daten die Speicherung
beim Hauptverband gesetzlich eingerichtet ist.
• für die gesetzlich dazu berechtigten Stellen, wie Gerichte, Finanzbe -
hörden, Sicherheitspolizeibehörden, Jugendwohlfahrtsämter, Frem -
denbehörden, Sozialhilfeträger,
• für das gesetzlich dazu berechtigte Arbeitsmarktservice und
• für die gesetzlich dazu berechtigten Benutzer der Rechtsdokumentati -
on (neben den genannten Stellen z. B. auch Kammern, Industriellen -
Vereinigung. Rechnungshof).
Zu Frage 2 (Gründe für den Online - Zugang):
zu lit. a bis e: es handelt sich um Zugriffsberechtigungen zur Rechtsdo -
kumentation, auf sie besteht ein gesetzliches Recht (§ 31 Abs. 10 ASVG),
zu lit. f: die Zugriffsberechtigung beruht auf § 42 Abs. 1 Satz 3 ASVG. Sie
betrifft die Versicherungsnummer und dient zur raschen Anmeldung der
Aushilfsbediensteten (die SV - Anmeldung ist mit der Versicherungsnum -
mer zu versehen, § 41 Abs 2 Z 2 ASVG),
zu lit. g: alle übrigen Personen und Institutionen: der Anschluß der Sozi -
alversicherungsträger beruht auf § 321 und den unten genannten Geset -
zesbestimmungen, jener des Arbeitsmarktservice auf § 69 AIVG jene der
sonstigen abtrageberechtigten Stellen auf § 31 Abs. 4 Z 3 lit. b ASVG.
Zu Frage 3 (Rechtsgrundlagen):
§ 31 Abs. 4 Z 3 lit. b, § 31 Abs. 10 und § 321, § 338 Abs. 4, § 360, § 460b
und 460c ASVG, § 183 und § 194 GSVG, § 171 und § 182 BSVG, § 119 und
§ 129 B - KUVG, § 65 und § 87
NVG.
Zu Frage 4 (Gegenleistungen):
Die gesetzlichen Auskunftsverpflichtungen in - und außerhalb der Sozial -
versicherung werden als Amtshilfe auf Gegenseitigkeit ohne Verrechnung im
Einzelfall erbracht (Barauslagen fallen dabei nicht an, vgl. § 360 ASVG), für
Auskünfte an die Justiz wurde durch Art. VII der Zivilverfahrensnovelle 1986
ein Kostenersatz vorgesehen. Dieser Kostenersatzbetrag belief sich für 1997
auf 694.904,84 S und 1996 auf 720.998,15 S.
Die Zutrittsberechtigung zur Rechtsdokumentation für Gebietskörper -
schaften, Parlament, Universitäten erfolgt im Austausch für Datenbankzugriff
zum Rechtsinformationssystem des Bundes und der Länder - RIS - nach § 31
Abs. 10 Satz 2 ASVG kostenlos, für die Zugriffsberechtigungen anderer Stellen
außerhalb der Sozialversicherung sind Kostenersätze vorgeschrieben. Für das
letzte Jahr ergaben Sich hiefür Entgelte von 50.466,67 S.
Zu Frage 5 (Verfügungsberechtigte):
Wie eingangs erwähnt, existiert keine allgemeine Verfügungsberechti -
gung. Es sind lediglich konkret umschriebene Abfrageberechtigungen verge -
ben. "Verfügungsberechtigt" in diesem Sinn (= abfrageberechtigt für ihren Tä -
tigkeitsbereich) sind
• die jeweils bei den Sozialversicherungsträgern zugriffsberechtigten
Sachbearbeiter der einzelnen Sozialversicherungszweige entspre -
chend ihrem Arbeitsgebiet,
• die Sachbearbeiter des Arbeitsmarktservice, denen die entsprechende
Zugriffsberechtigung erteilt wurde, entsprechend ihrem Arbeitsgebiet,
• die Richter, Rechtspfleger, Sachbearbeiter bei Gerichten, Finanzbe -
hörden und anderen zugriffsberecntigten Stellen entsprechend ihrem
Arbeitsgebiet.
Insgesamt sind dies (Stand 27. April 1998) 17.433 Personen mit (nicht
zuletzt aus Datenschutzgründen unterschiedenen) 37.602 Abfragerechten. Ei -
ne konkrete namentliche Auflistung dieser Personen würde eine umfangreiche
Liste der Mitarbeiter dieser Arbeitsbereiche und damit ein Arbeitnehmerregister
der betroffenen Stellen ergeben. Sie
könnte nur mit großem Aufwand zusam -
mengeführt werden. Der Hauptverband ersucht um Verständnis dafür, daß dies
im vorliegenden Fall im Rahmen der zur Verfügung Stehenden Zeit nicht erfol -
gen konnte.
Frage 6 (sonstige gespeicherte Daten):
Zunächst muß festgehalten werden, daß "Arbeitgeber" und "Arbeitsplatz"
nicht gespeichert sind, sondern lediglich Angaben über die meldeverpflichtete
Stellen. Das ist In der Praxis nicht dasselbe. Meldepflichtige Stelle (§§ 33 ff.
ASVG usw.) ist allgemein der Träger der sozialversicherungsrechtlichen
Dienstgeberpflichten, das können auch Wirtschaftstreuhänder oder andere
Stellen sein (vgl. die Definitionen in den §§ 35 ff. ASVG). Arbeitsorte
(Arbeitsplätze) sind nicht gespeichert, nur die sozialversicherungsrecntlich re -
levanten Unterschiede der Versicherungsverhältnisse wie z. B. Arbeiter/Ange -
stellter - /Hausbesorger/kappschaftliche Tätigkeit o.ä. Die Datenspeicherung
kann schon deswegen nicht als Arbeitgeberregister oder Arbeitsplatzregister
verwendet werden. Es ist auch nicht die “Höhe des Versicherungsbeitrages"
gespeichert, sondern die “Beitragsgrundlage" (§§ 44 ff. ASVG), aus welcher
sich wegen beitragsfreier Entgeltbestandteile bzw. beitragspflichtiger Sachbe -
züge nicht von vornherein konkrete Rückschlüsse auf die Einkommenshöhe
ziehen lassen.
Inhalt der Datenspeicherung sind neben den Angaben über die Person (Versi -
cherungsnummer, Namen, Geschlecht, Staatsbürgerschaft, Unterscheidungs -
merkmale zu Personen mit gleichen Namen und Geburtsdaten usw.) die Anga -
ben über die sozialversicherungsrechtlich relevanten Versicherungsverhältnis
se (§§ 457 ff. für Zeiten vor 1972 bzw. § 31 Abs. 4 Z 3 lit. a ASVG für Zeiten
nach 1972): Das sind
- Beitragszeiten der Pflichtversicherung
- Beitragszeiten der freiwilligen Versicherung
- Ersatzzeiten
- neutrale Zeiten
- Angaben über Leistungsbezüge
- andere Daten, die für sozialversicherungsrechtliche Leistungen be -
deutsam, sind (z. B. das Datum einer Geburt für Kindereziehungszei -
ten nach § 228a Abs. 1 ASVG).
Zu Frage 7 (Zugang zu aggregierten Daten):
Der Begriff "aggregierte Daten" ist zu unscharf, um hiezu eine konkrete
Auskunft zu geben, weil die bereits genannten Beitragsgrundlagen für die Leis -
tungsberechnung auf Monats - /Jahreswerte verdichtet bzw. auf Bemessungs -
grundlagen umgerechnet werden und bereits damit einen gewissen Aggregie -
rungsstand erreichen. Für den Fall, daß mit der Frage lediglich die Mitarbeiter
der Statistikabteilungen, die sich nicht mit personenbezogenen Daten befas -
sen, gemeint sein sollten, sei auf den Standpunkt zur Anfertigung von Perso -
nallisten bei Frage 5 verwiesen.
Zu Frage 8 (Zugang zu persönlichen Daten):
Siehe Frage 5
Zu den Fragen 9 bis 11 (Kontrolle):
Die Kontrolle der Datenzugriffe ist intensiv, durch mitlaufende Auf -
zeichnungen nach Zeit, Herkunft der Abfrage und betroffene Daten sind Abfra -
gen im Einzelfall nachvollziehbar.
Aufzeichnungen über Datenzugriffe werden mehrere Jahre lang aufbe -
wahrt, um auch Fragen, welche innerhalb der Verjährungsfristen des Straf -
rechts und des Schadenersatzrechts allenfalls erst nach Jahren auftreten, be -
antworten zu können.
Diese Aufzeichnungen in der Datenspeicherung des Hauptverbandes
umfassen auch Übermittlungen, die nach dem Datenschutzgesetz nicht exakt
protokolliert werden müßten. Die Kontrolle der Datenzugriffe geht über das ge -
setzliche Datenschutzniveau hinaus, sie hat sich bei der Prüfung von Einzelfäl -
len in den letzten Jahren bewahrt. Die Aufzeichnungsroutinen sind Teil der
einschlägigen Abfrageprogramme.
Durch § 19 der Datenschutzverordnung der Sozialversicherung (§ 31
Abs. 12 ASVG), SozSi 1989, S. 583 wird auf die Pflicht zur vertraulichen Be -
handlung personenbezogener Daten ausdrücklich hingewiesen.
Stichproben aus den Abfrageprotokollen werden täglich jenen Stellen
zur Verfügung gestellt, welche die Benutzerberechtigungen verwalten und die
auch Maßnahmen bei Auffälligkeiten in die Wege leiten können.
Zu den Fragen 12 und 13 (Hinweise auf Datenklau oder Datenmißbrauch,
Konsequenzen):
Eine Umfrage bei allen Sozialversicherungsträgern hat fünf Fälle erge -
ben, wovon einer zu einem gerichtlichen Freispruch, die vier anderen zu ein -
schlägigen disziplinären Maßnahmen führten.
Zu den Fragen 14 und 15 (weitere Kontrollen):
Die bisherigen Kontrollen sind aus unserer Sicht wirksam und ausrei -
chend.
Zu Frage 16 (Schutz vor Schäden):
Schutz vor Schäden bieten die exakte Protokollierung und Nachvoll -
ziehbarkeit der Datenabfragen, wodurch Verantwortliche rasch feststellbar
sind. Siehe Frage 11
Zu den Fragen 17 und 18 (Hat es schon Schadensfälle gegeben?):
Solche Fälle sind nicht bekanntgeworden. Sollten solche Schäden auf -
treten, haben die Sozialversicherungsträger ausreichende Möglichkeiten, von
Amts wegen negative Auswirkungen zu berichtigen.
Zu Frage 19 (Voraussetzungen für Schadenersatz):
Nach den Bestimmungen des Amtshaftungsgesetzes bzw. nach dem
Schadenersatzrecht des ABGB können berechtigte Schadenersatzforderungen
allgemein durchgesetzt werden.
Zur Korrektur von Fehlern stehen die Vorschriften über die rückwirken -
de Herstellung des gesetzmäßigen Zustandes bei Geldleistungen (§ 101 ASVG
usw.) und die anderen Verfahrensregeln des Verwaltungsverfahrens vor den
Versicherungsträgern zur Verfügung (gebührenfrei, kein Anwaltszwang). Lei -
stungsentscheidungen der Versicherungsträger können im (ebenfalls kosten -
begünstigten) Verfahren nach dem Arbeits - und Sozialgerichtsgesetz ange -
fochten werden.
Zu Frage 20 (Dokumentation im Gesundheitswesen):
Eine zentrale Speicherung solcher Daten existiert im Sozialversiche -
rungsbereich nicht. Die Angaben nach dem Bundesgesetz über die Dokumen -
tation im Gesundheitswesen sind dem Bundesministerium für Arbeit, Gesund -
heit und Soziales (ursprünglich dem Bundesministerium für Gesundheit und
Konsumentenschutz) vorzulegen.
Zu den Fragen 21 bis 28 (Datensammlungen über Patienten):
Die Frage der Speicherungsorganisation nach dem zitierten Bundes -
gesetz wäre aus der Sicht des dafür zuständigen Bundesministeriums zu be -
antworten, da der Hauptverband dieses Gesetz nicht zu vollziehen hat.
Für weitere Auskünfte steht Ihnen der Hauptverband gerne zur Verfügung.