21. Tätigkeitsbericht (1999)


4.4

Justizverwaltung

4.4.1

Überblick

Für Mitteilungen der Justiz an Dritte sowie für den Strafvollzug hat der Bundesgesetzgeber in den letzten beiden Jahren im Justizmitteilungsgesetz und im Strafvollzugsgesetz (vgl. Tz. 4.4.2 sowie Tz. 9.5) endlich bereichsspezifische Rechtsgrundlagen für den Datenschutz geschaffen. Die grundlegenden Regelungen für die Verarbeitung personenbezogener Daten im Strafverfahren stehen dagegen nach wie vor aus. Dabei besteht in Schleswig-Holstein die Besonderheit, daß die Datenverarbeitung in dem mittlerweile bei allen Staatsanwaltschaften eingeführten System MESTA (früher GAST) durch bereichsspezifische, landesrechtliche Regelungen abgedeckt ist.

Die Arbeiten zur Einführung der beiden großen Automatisierungsvorhaben (MESTA bei den Staatsanwaltschaften, MEGA bei den Amtsgerichten (vgl. Tz. 4.4.3)) sind im wesentlichen abgeschlossen. Als neues Großprojekt steht nun die Einführung des elektronischen Grundbuches (EGB, vgl. Tz. 5.1) bevor.

Auffallend war im Berichtsjahr ein Anstieg von Eingaben zu den Themenbereichen "Einsichtnahme in das Grundbuch" und "Schuldnerverzeichnis" (vgl. Tz. 4.4.4). Auch wenn unsere Nachprüfungen nur in wenigen Fällen ein datenschutzrechtliches Fehlverhalten der betroffenen Stellen ergaben, zeigte sich doch, wie bedeutsam eine vorschriftsgemäße Handhabung dieser sensiblen Daten insbesondere für die berufliche Situation des einzelnen ist und wie schwer es sein kann, zu Unrecht gespeicherte und übermittelte Daten wieder "einzufangen".

4.4.2

Datenschutzregelungen für den Strafvollzug

Der Bund hat mit dem 4. Strafvollzugsänderungsgesetz bereichsspezifische Datenschutznormen für den Strafvollzug eingeführt. Leider sind die neuen Datenverarbeitungsbefugnisse, insbesondere durch Initiativen des Bundesrats, in einigen Punkten viel zu weitgehend.

Daten über den Strafvollzug gehören auch nach der EU-Datenschutzrichtlinie zur Kategorie der besonders sensiblen Informationen. Durch strenge Verarbeitungsregelungen muß gewährleistet sein, daß sie nicht in falsche Hände geraten. Dem wird das neue Strafvollzugsgesetz wegen zu weiter Generalklauseln nicht gerecht.

Als Beispiele für bedenklich konturenlose Datenverarbeitungsbestimmungen sind zu nennen:

  • Daten aus dem Strafvollzug können für vollzugsfremde Zwecke an öffentliche Stellen übermittelt werden, wenn dies durch anderweitige, teilweise unbestimmte gesetzliche Vorschriften vorgesehen ist.

  • Durch eine dehnbare Generalklausel wird auch die Erhebung von Daten über dritte Personen (Verwandte, "Urlaubsadressen", Besucher) erlaubt.

  • Die besondere Schweigepflicht der Ärzte, Psychologen und Sozialarbeiter ist weitgehend aufgehoben; sie müssen Daten, die ihnen Gefangene anvertraut haben, gegenüber dem Anstaltsleiter dann bereits offenbaren, wenn es der "Aufgabenerfüllung der Vollzugsbehörde dient".

  • Akteneinsicht in die über sie geführten Unterlagen erhalten Gefangene lediglich zur Wahrnehmung rechtlicher Interessen. Außerdem werden sie zunächst auf die Auskunft verwiesen.

  • Auch nach der Entlassung dürfen Lichtbild und Personenbeschreibung des Gefangenen weiter aufbewahrt werden, obwohl es hierfür weder eine vollzugliche noch eine polizeiliche Notwendigkeit gibt. Wir hatten zuvor bei einer Querschnittsprüfung erreicht, daß Gefangene die Vernichtung ihrer Lichtbilder nach Entlassung verlangen können.

  • Schließlich sind die Fristen für die Aufbewahrung von Gefangenenpersonalakten, Gesundheitsakten und Gefangenenbüchern mit zwanzig bzw. dreißig Jahren außergewöhnlich lang geraten. Selbst diese Fristen können in bestimmten Fällen noch verlängert werden.

Was ist zu tun?
Der Justizminister sollte die neuen Regelungen so anwenden, daß unverhältnismäßige Eingriffe in die Grundrechte der Gefangenen vermieden werden.

4.4.3

Zentrale Register der Staatsanwaltschaften

Trotz der Einführung des Verfahrens MESTA bei allen fünf Staatsanwaltschaften des Landes sind noch einige Fragen zur Datensicherheit und des Datenschutzes offen. Erreicht werden konnte, daß die Daten in Schleswig-Holstein auf dem Übertragungsweg verschlüsselt werden.

Im 20. Tätigkeitsbericht (Tz. 4.4.1) hatten wir berichtet, daß das Verfahren MESTA bei der Staatsanwaltschaft Flensburg in den Pilotbetrieb gegangen war. Mittlerweile sind alle Staatsanwaltschaften des Landes mit entsprechenden Systemen ausgestattet. Zur Zeit gibt es allerdings noch eine Reihe technischer Probleme, so daß von einem Normalbetrieb noch nicht die Rede sein konnte. Aus diesem Grund sind noch einige datenschutzrechtlich relevante Fragen offen.

Insbesondere muß in den einzelnen Staatsanwaltschaften noch geklärt werden, wie die Zugriffsrechte der einzelnen Mitarbeiter auf die Daten konkret ausgestaltet werden. Sie müssen grundsätzlich streng auf die jeweiligen Zuständigkeiten beschränkt sein, ohne die Möglichkeit zu verbauen, kurzfristig auf Vertretungssituationen und auf die bei den Staatsanwaltschaften regelmäßig vorkommende Sitzungsvertretung zu reagieren.

Ein Erfolg unserer datenschutzrechtlichen Bemühungen zeichnet sich bereits ab: Die Notwendigkeit der Datenverschlüsselung auf dem Übertragungsweg haben inzwischen auch das Justizministerium und die Generalstaatsanwaltschaft erkannt, allerdings noch nicht realisiert. Sie beabsichtigen, den Datenabgleich, der regelmäßig zwischen den verschiedenen Staatsanwaltschaften durchgeführt wird, nur in verschlüsselter Form über die Leitungen des Schleswig-Holstein-Netzes zu schicken.

Anfang 1999 ist das "Zentrale Staatsanwaltschaftliche Verfahrensregister" (ZStV) in Betrieb gegangen, über das wir im 18. Tätigkeitsbericht (Tz. 4.4.2) berichtet hatten. Damit soll es allen Staatsanwaltschaften im Bundesgebiet möglich sein, festzustellen, ob gegen bestimmte Beschuldigte bereits bei anderen Staatsanwaltschaften Verfahren eröffnet wurden. Das ZStV wird ebenso wie das Bundeszentralregister (BZR) von der Generalbundesanwaltschaft in Berlin geführt. Sämtliche Staatsanwaltschaften in Deutschland sind verpflichtet, die neu eröffneten Ermittlungsverfahren an das ZStV mitzuteilen. In MESTA steht bereits eine entsprechende Schnittstelle zur Verfügung. Allerdings sind andere Bundesländer mit der Ausgestaltung ihrer landeseigenen staatsanwaltschaftlichen Systeme noch nicht so weit, so daß das ZStV wohl erst in zwei Jahren vollständige Daten über sämtliche in der Bundesrepublik begonnenen Strafverfahren enthalten wird. Von datenschutzrechtlichem Interesse ist, daß die Speicherungsdauer im ZStV auf zwei Jahre nach rechtskräftiger Entscheidung im Strafverfahren beschränkt und somit kürzer als in MESTA ist (vgl. 20. TB, Tz. 4.4.1).

Was ist zu tun?
Beim Einsatz von MESTA im täglichen Betrieb und insbesondere bei der Vergabe der Zugriffsrechte müssen noch datenschutzrechtliche Vorgaben umgesetzt werden.

4.4.4

Fehler im Schuldnerverzeichnis

Es kann zu gravierenden wirtschaftlichen Folgen für Betroffene kommen, wenn Informationen aus dem Schuldnerverzeichnis nicht korrekt gehandhabt werden. Wie schwer es ist, eine fehlerhafte Eintragung im Schuldnerverzeichnis wieder "einzufangen", müssen dann die Betroffenen erfahren.

  • Löschung eines Haftbefehls im Schuldnerverzeichnis - bei der Bank nicht angekommen?

Ein säumiger Schuldner war von seiner Bank zur Abgabe der eidesstattlichen Versicherung vor dem Amtsgericht aufgefordert worden. Kurz vor dem Termin einigten sich die Parteien jedoch über Rückzahlungsmodalitäten; ein entsprechendes Fax der Bank an das Amtsgericht gelangte offensichtlich nicht auf den Tisch des zuständigen Richters, so daß dieser wegen des Ausbleibens des Schuldners Haftbefehl erließ. Dieser wurde prompt in das Schuldnerverzeichnis eingetragen und per Abdruck an eine Reihe von Wirtschaftsauskunfteien übermittelt. Nach Zustellung des Haftbefehls veranlaßte der Schuldner sofort dessen Aufhebung und Löschung im Schuldnerverzeichnis. Dem wurde ebenso prompt entsprochen; Nachtragsmitteilungen gingen auch an die Empfänger der Abdrucke.

Zwischenzeitlich konnte der Petent als selbständiger Handelsvertreter eine neue Arbeit finden und seine finanzielle Situation bereinigen. Um für seine Tätigkeit einen Überziehungskredit zu vereinbaren, sprach er bei seiner neuen Bank vor. Diese lehnte jedoch nach Blick auf den Bildschirm des Computers mit den Worten ab: "Bringen Sie erst einmal die Sache mit dem Haftbefehl in Ordnung!" Auch nachdem der Betroffene die Zusammenhänge um den versehentlich entstandenen Haftbefehl erläutert hatte, blieb man dabei: "Da wird schon irgend etwas gewesen sein. In Deutschland wird man nicht so ohne weiteres verhaftet. Ihren Antrag auf einen Überziehungsrahmen lehnen wir ab!"

Warum die Information über den zwischenzeitlich gelöschten Haftbefehl noch bei dieser Bank - und möglicherweise anderen Stellen - vorhanden war, obwohl die Löschungsmitteilungen korrekt an die Abdruckempfänger versandt worden waren, war auch durch das Innenministerium im Rahmen der Aufsicht über den Privatbereich letztlich nicht mehr zu klären.

  • Per Mausklick ins Schuldnerverzeichnis

Eine Petentin beabsichtigte im September 1998 für ihre neu gegründete Firma einen Pkw zu leasen. Ein entsprechender Vertrag kam jedoch nicht zustande, da ihr vom Autohaus vorgehalten wurde, bei der SCHUFA gespeichert zu sein. Sie fiel aus allen Wolken.

Was war geschehen? Gegen die Petentin wurde im März 1998 ein Zwangsvollstreckungsverfahren eingeleitet, das jedoch im April wieder eingestellt wurde. Im zuständigen Amtsgericht war sie im März ordnungsgemäß mit den Daten aus diesem Verfahren im System MEGA gespeichert worden. Dort wird ein automatisches Vollstreckungsregister geführt, das sich in zwei Unterregister unterteilt: eines für Verfahren, in denen eine eidesstattliche Versicherung abgegeben wird (M1), und eines für sonstige Vollstreckungssachen (M2). Um den Bearbeitern die Eingabe zu erleichtern, sieht MEGA ein Verfahrensregister mit sämtlichen Vollstreckungsverfahren vor. Dadurch können Grunddaten, die bereits einmal eingegeben wurden, für ein weiteres Verfahren automatisch übernommen werden.

Im April 1998 beabsichtigte eine Mitarbeiterin des Amtsgerichts, das Datum der Abgabe einer eidesstattlichen Versicherung in einen Datensatz zu einem Namensvetter der Petentin einzugeben. Aus Unachtsamkeit erzeugte sie jedoch anstatt dessen einen Schuldnerverzeichniseintrag zu der Petentin. Durch die in diesem Bereich nicht ausgereifte Technik im Verfahren MEGA wurde ihr die Falscheingabe wesentlich "erleichtert". Über den Namen als Suchmodus kam man nämlich in das oben erwähnte Verfahrensgesamtregister, in dem auch der Name der Petentin mit dem Aktenzeichen aus dem Zwangsvollstreckungsverfahren aufgeführt war. Versehentlich rutschte die Mitarbeiterin mit dem Cursor auf die Zeile mit dem Namen der Petentin und klickte ihn an. Auf der nächsten Maske erschienen die Personengrunddaten, die jedoch von der Mitarbeiterin des Amtsgerichts nicht mehr abgeglichen wurden. Sie klickte sofort zur nächsten Maske weiter, in der das Datum der Abgabe der eidesstattlichen Versicherung eingegeben wird. Diese Maske legt sich über die vorherige Maske, so daß die Grunddaten dann nicht mehr sichtbar sind.

Aber ein Fehler kommt selten allein. Einige Tage nach dem Versand der Abdrucke aus dem Schuldnerverzeichnis rief eine Mitarbeiterin eines der Abnehmer an, weil sie sich über das untypische Aktenzeichen und das fehlende Geburtsdatum zu dem Eintrag der Petentin gewundert hatte. Die Mitarbeiterin bemerkte ihren Eingabefehler und wollte diesen umgehend beseitigen. Daher griff sie kurzerhand zum Telefonhörer und meldete die Löschung der Petentin aus dem Schuldnerverzeichnis an die Abnehmer der Abdrucke weiter. Dabei ließ sie die Vorschriften der Schuldnerverzeichnisverordnung, die eine schriftliche Löschungsmitteilung zwingend vorsieht, unberücksichtigt. Ein Abnehmer reagierte offensichtlich nicht auf die telefonische Löschung und wartete eine schriftliche Mitteilung ab, so daß die Petentin bis September 1998 weiterhin bei der SCHUFA gespeichert war.

Das für die Programmierung von MEGA zuständige Justizministerium hat diesen Vorfall bereits zum Anlaß genommen, das Verfahren nachzubessern. Künftig wird das M1-Register weiter unterteilt in eine Liste mit Schuldnern, die bereits eine eidesstattliche Versicherung abgegeben haben, und in eine Liste mit sonstigen Schuldnern. Ferner wird ausschließlich innerhalb des M1-Registers eine Übersichtsliste der Verfahren eingerichtet, so daß dort nur "Schuldnervorgänge" geführt werden. Des weiteren erscheint bei der Eingabe eines eidesstattlichen Versicherungsdatums eine zusätzliche rot umrandete Maske mit der Aufforderung, die Personendaten noch einmal zu kontrollieren, da die Eintragung zur Aufnahme in das Schuldnerverzeichnis führt. Damit sind Fehleintragungen wie im vorliegenden Fall künftig nicht mehr so leicht möglich. Menschliches Versagen kann natürlich niemals gänzlich ausgeschlossen werden.

Was ist zu tun?
Beim Umgang mit Daten aus dem Schuldnerverzeichnis ist größtmögliche Sorgfalt geboten. Durch zusätzlichen Anwenderkomfort dürfen nicht auf der anderen Seite datenschutzrechtliche Risiken entstehen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel