Neuer Inhalt

Gesundheitsdaten von Beamten: Verwaltungsamt missachtete gesetzliche Pflichten

Computer in Klinik

Landesdatenschutzbeauftragte Maja Smoltczyk kritisiert den Umgang des Landesverwaltungsamtes (Lvwa) mit hochsensiblen Informationen.

Foto:

picture alliance/dpa

Es sind höchst sensible Daten, über die das Landesverwaltungsamt (Lvwa) verfügt. Alle Beamten im Landesdienst, vom Gefängniswärter bis zum Senator, vertrauen der Behörde an, welche medizinischen Behandlungen sie in Anspruch genommen haben. Sie tun das, weil sie einen Teil der Kosten erstattet bekommen, so sieht es das Beamtenrecht vor. Doch sind die Informationen beim Landesverwaltungsamt auch in guten Händen?

Maja Smoltczyk hätte informiert werden müssen

Zumindest nimmt es die Behörde mit dem Datenschutz nicht so genau wie sie müsste. Bei der Einführung einer Anti-Betrugssoftware des US-Konzerns IBM im vorigen Jahr hat sie wesentliche Informationspflichten verletzt. Nach dem Gesetz hätte das Lvwa die Landesdatenschutzbeauftragte Maja Smoltczyk über ihr Projekt informieren müssen. Deren Experten hätten dann die Möglichkeit gehabt, das Verfahren zu prüfen und Gewissheit zu schaffen, ob es unbedenklich ist oder nicht. Diese Prüfung ist nicht trivial: Immerhin überspielt das Lvwa potenziell sensible Daten tausender Beschäftigter auf die Server eines Privatunternehmens.

Doch der Landesdatenschutz erfuhr erst anderthalb Jahre später von dem Einsatz des Systems – durch die Berichterstattung der Berliner Zeitung. Jetzt wollen Smoltczyks Mitarbeiter eine Prüfung einleiten. „Wir haben das Landesverwaltungsamt um Übersendung detaillierter Informationen gebeten“, sagte Pressesprecherin Dalia Kues der Berliner Zeitung. „Sofern sich dabei Hinweise auf unzulässige Datenverarbeitungsprozesse ergeben, werden wir weitere aufsichtsrechtliche Schritte einleiten.“

Rendezvous der Verwaltung mit Big Data

Zwar liegen bislang keine Hinweise auf konkrete Verstöße gegen gesetzliche Regelungen vor. Es hätte den Mitarbeitern des Landesverwaltungsamts aber schon zu einem frühen Zeitpunkt auffallen müssen, dass der Einsatz des IBM-Systems Watson zumindest Zweifel wecken kann.

In gewisser Weise ist es das erste Rendezvous der Berliner Verwaltung mit Big-Data-Technologien. Watson leistet eine Analysearbeit, die kein Sachbearbeiter oder Buchprüfer leisten könnte. Das System prüft sämtliche Beihilfefälle – rund 400.000 pro Jahr – anhand bestimmter Parameter auf Auffälligkeiten.

Digitalcourage äußert Bedenken

Dazu werden ausgewählte Daten aus den Anträgen zur Analyse an IBM übermittelt. Zwar geschieht das in pseudonymisierter Form, also nicht mit echten Namen. „Ein solches Verfahren ist dennoch höchst problematisch“, sagt Nils Büschke vom Verein Digitalcourage. Es sei allgemein kritisch zu bewerten, wenn die öffentliche Hand sensible Daten privaten Unternehmen übergebe, statt sie selbst zu verarbeiten. Vor allem aber sei zweifelhaft, ob die Pseudonymisierung tatsächlich sicher sei. „Es gibt genug Beispiele, dass sich Personen anhand weniger, scheinbar nicht zuzuordnender Merkmale identifizieren lassen“, erklärt Büschke.

Es ist zudem fraglich, ob es überhaupt nötig gewesen wäre, den Softwarekonzern damit zu beauftragen, Betrüger zu jagen. Auf Anfrage der Berliner Zeitung teilte der landeseigene IT-Dienstleister ITDZ mit: „Wir haben dem Landesverwaltungsamt seinerzeit ein Angebot unterbreitet, welches nach unserer Meinung schneller und günstiger zum Ziel führt.“ Watson habe aus Sicht des ITDZ eine „negative Kosten-Nutzen-Relation“. Sprich: Es ist zu teuer und nicht vielseitig genug einsetzbar.

"Sinnvoll wie ein Panzer auf dem Acker"

Diese Einschätzung teilt der IT-Fachmann Andre Koppel. Sein Unternehmen Koppel-Software ist spezialisiert darauf, etwa nach Insolvenzen in riesigen Datenbeständen nach möglichen Unregelmäßigkeiten zu suchen. Für den Bedarf einer Behörde wie dem Landesverwaltungsamt sei ein System wie Watson zu komplex – und damit vermutlich auch zu teuer, meint Koppel. „Man kann es schon dafür einsetzen. Aber das ist ähnlich sinnvoll, wie wenn man einen Acker mit dem Panzer umpflügt.“ Er bezweifelt auch, dass die Anonymisierung der Daten tatsächlich keine Rückschlüsse auf reale Personen zulässt. „Ich halte es für ausgeschlossen, dass die Daten ausreichend anonymisiert werden können.“

Das Lvwa ist hingegen überzeugt, dass der Datenschutz gewährleistet ist. Die hauseigene Datenschutzbeauftragte habe das Vorhaben geprüft. „Im Ergebnis dieser Prüfung wurde festgestellt, dass durch die getroffenen Verschlüsselungsmaßnahmen der Personenbezug ausgeschlossen ist“, schrieb die zuständige Finanzverwaltung auf eine Anfrage der Berliner Zeitung. Die Frage, weshalb der Landesdatenschutz nicht informiert wurde – der über viel mehr Expertise verfügt, als eine behördliche Beauftragte –, ließ sie unbeantwortet.

Dirk Behrendt will Lösung in Regie des Landes

Für Justizsenator Dirk Behrendt (Grüne) sind die Zweifel am Vorgehen des Landesverwaltungsamts eine schlechte Nachricht. Er will in den nächsten Wochen das Vorhaben in den Senat einbringen, auch in anderen Behörden IT-Systeme zur Betrugsbekämpfung einzuführen. Bislang gilt das Landesverwaltungsamt als Vorzeigebeispiel.

Dass die Behörde mit einem privaten Anbieter zusammenarbeitet, findet aber auch Behrendt nicht optimal. „Perspektivisch muss der Grundsatz gelten: Die Daten bleiben bei uns. Das Ziel ist, dass die Auswertung auf landeseigenen Servern stattfindet“, sagte er der Berliner Zeitung.