22. Tätigkeitsbericht (2000)
11 |
Was es sonst noch zu berichten gibt |
11.1 |
Erfolgreiche Kooperation der behördlichen Datenschutzbeauftragten |
|
Bislang sah das Landesdatenschutzgesetz die Bestellung behördlicher Datenschutzbeauftragter gar nicht vor, da zeigte sich bereits, welch konstruktiven Beitrag sie im Rahmen überbehördlicher Zusammenarbeit zur Verbesserung der datenschutzrechtlichen und sicherheitstechnischen Situation leisten können. Die Arbeitskreise der bereits tätigen Datenschutzbeauftragten im Bereich der Polizei- und Kreisverwaltungen haben in kurzer Zeit gute Resultate hervorgebracht. Ähnlich wie in der IT-Kommission des Landes und dem Kommunalen Forum für Informationstechnik (KomFIT) sind wir auch in diesen Gremien beratend vertreten. Die sich daraus ergebenden vielfältigen Kontakte und "Querverbindungen” führen ganz von selbst zu einem immer größer werdenden "Datenschutz-Netzwerk”, das viele zunächst scheinbar unlösbare Probleme in einer erstaunlich effektiven und pragmatischen Weise zu bewältigen in der Lage ist. Die Synergieeffekte derartiger Kooperationen sprechen sich offenbar herum; schon gründen sich die ersten Arbeitsgruppen zu speziellen Fachfragen (z. B. zur Internetnutzung) und bitten ebenfalls um unsere beratende Teilnahme. |
|
11.2 |
Praxisgerechte Handlungsvorschläge ersetzen Musterlösungen |
|
Vor Jahren haben wir auf Grund nachdrücklicher Anregungen aus der Praxis eine Reihe von Musterlösungen veröffentlicht. Es handelte sich z. B. um ein "Muster-IT-Konzept”, ein "Muster-Sicherheitskonzept” und um "Muster-Dienstanweisungen”. Inzwischen haben wir damit begonnen, unter dem Titel "backUP - Magazin für IT-Sicherheit” eine Schriftenreihe aufzulegen, die praktische Handlungsvorschläge für die Lösung thematisch eingegrenzter Problemstellungen und Sicherheitsmaßnahmen gibt. Nicht ein (mögliches) fertiges Ergebnis wird dargestellt, sondern der (methodisch) richtige Weg zu dem behördenspezifischen Ergebnis.
(Rubrik: Datenschutz und Technik)
Die backUP-Magazine sollen in unregelmäßigen Abständen erscheinen und unentgeltlich zur Verfügung gestellt werden. Sie sind Teil unserer Konzeption des neuen
Datenschutzes, der neben der Kontrolltätigkeit vor allem auf Beratung und Service setzt. Das erste backUP-Magazin befasst sich mit der Planung, Erstellung und Umsetzung von IT-Sicherheitskonzepten und hat (obwohl eine Art Prototyp) eine positive Resonanz gefunden. Als Nächstes werden wir uns mit dem Thema "Betriebssystem MS-Windows-NT 4.0 - Schwachstellen und Sicherheitsmaßnahmen” auseinander setzen. |
|
11.3 |
Kooperation der Datenschutzbeauftragten von Hamburg und Schleswig-Holstein |
|
Nach Abschluss des Verwaltungsabkommens zwischen der Hansestadt Hamburg und dem Land Schleswig-Holstein betreffend die Zusammenarbeit des Landesamtes für Informationstechnik (LIT) und der Datenzentrale (DZ; vgl. Tz. 4.9.3) haben auch der Hamburgische Datenschutzbeauftragte und wir eine spezielle Kooperationsvereinbarung getroffen. Ziel ist es, durch eine unbürokratische und effektive Verfahrensweise dafür zu sorgen, dass die länderübergreifende Kooperation des LIT und der DZ nicht zu einem ökonomischen Mehraufwand bzw. zu Abstimmungsproblemen bei der Kontroll- und Beratungstätigkeit auf der Ebene der Datenschutzbeauftragten führt.
Deshalb haben wir uns darauf verständigt, dass Bewertungen, Rechtsauffassungen, Beanstandungen oder Beratungen, die im Zusammenhang mit der Kooperation stehen, stets als gemeinsame Meinung der Datenschutzbeauftragten von Hamburg und Schleswig-Holstein gelten sollen. Prüfungen vor Ort werden wir gemeinsam durchführen, soweit grundsätzliche Fragestellungen berührt sind. In der Regel erfolgen sie durch den jeweiligen "ortsnahen” Datenschutzbeauftragten. Unsere Mitarbeiter bilden eine Arbeitsgruppe, die für die erforderliche interne Abstimmung der gemeinsamen Positionen sorgt und die Strategien und Zeitplanungen für evtl. Aktivitäten (z. B. Prüfungen) festlegt. Sie wird die sicherheitstechnischen und organisatorischen Anforderungen an die beiden Produktionsstätten in einem gemeinsamen Papier zusammenfassen. Beschwerden und sonstige Anliegen von Betroffenen sowie Anfragen und Beratungsersuchen anderer Stellen werden, soweit sie die Kooperation zwischen LIT und DZ betreffen, grundsätzlich von dem Datenschutzbeauftragten beantwortet, an den sich der Anfragende gewandt hat. Handelt es sich jedoch um die Auslegung landesspezifischer Rechtsvorschriften, erfolgt eine Abgabe an den gesetzlich zuständigen Datenschutzbeauftragten. |
|
11.4 |
Software für Feuerwehren
|
|
An die Freiwilligen Feuerwehren im Land wurde vom Innenministerium kostenlos Software verteilt, mit deren Hilfe die personenbezogenen Daten der Mitglieder der Feuerwehren verarbeitet werden können. Die Kommunen selbst wurden über die Einführung dieses Programmes nicht informiert. Bei dieser Vorgehensweise waren die Vorschriften des Landesdatenschutzgesetzes und der Datenschutzverordnung nicht beachtet worden. So war weder das Programm hinreichend dokumentiert, noch war die Frage geklärt, wer das Verfahren zu testen und freizugeben hat. Der vom Programm vorgesehene Umfang der personenbezogenen Daten stimmte nicht mit dem zulässigen Datenprofil des Brandschutzgesetzes überein mit der Folge, dass einige der vorgesehenen Daten nur mit der Einwilligung der Betroffenen in den Datenbestand hätten einfließen dürfen. Das Innenministerium gab nach unserer Intervention die erforderliche Dokumentation sowie Erläuterungen und Checklisten für die einzelnen Feuerwehren heraus. Darüber hinaus wurde zugesichert, einen standardisierten Erfassungsbogen als Muster für die Feuerwehren zu entwickeln, der nur die vom Brandschutzgesetz vorgegebenen Daten umfasst. Weitere personenbezogene Daten, an deren Kenntnis die Feuerwehren interessiert sein könnten, müssen gegenüber den betroffenen Mitgliedern als freiwillige Angaben ausreichend kenntlich gemacht werden. |
|
11.5 |
Brisante Aktenbündel als Irrläufer |
|
In der Zentralen Aktenaustauschstelle der Freien Hansestadt Hamburg ging ein Bündel von Akten und Schriftstücken des Kreises Steinburg ein. Bemerkenswert daran war, dass diese Akten und Schriftstücke unverschlossen, allein durch ein Gummiband zusammengehalten und ohne Anschreiben auf die Reise geschickt worden waren. Es handelte sich u. a. um Melderegisteranfragen, Fahrzeugabmeldungen mit Fahrzeugbriefen, Vollstreckungs- und Fahrerermittlungsersuchen, Akten der Ausländerbehörde u. a. mit Urteilen aus Asylverfahren. Von der Zentralen Aktenaustauschstelle gelangten die Unterlagen als "Irrläufer” zum Wirtschaftssenator und von dort zum Hamburger Datenschutzbeauftragten, der sie uns zuständigkeitshalber übersandte. Wir haben die Akten und Schriftstücke dem Kreis unverzüglich zusammen mit einer Beanstandung zurückgesandt. Zu kritisieren war nicht nur das Ignorieren des datenschutzrechtlichen Einmaleins, sondern auch der dadurch verursachte unnötige Verwaltungsaufwand. Es bleibt zu hoffen, dass durch die Rundreise der Unterlagen keine unwiederbringlichen Nachteile durch Fristablauf o. Ä. entstanden sind. |
|
11.6 |
Brauche ich Schüleradressen, veranstalte ich ein Quiz |
|
Erneut wandten sich verärgerte Eltern an uns, deren Sohn von einer gesetzlichen Krankenkasse ein persönliches Schreiben erhielt, in welchem ihm u. a. ein kostenloser Service zur Unterstützung bei Bewerbungen angeboten wurde. Unsere Prüfung ergab, dass die Krankenkasse zwei Jahre zuvor im Rahmen einer Veranstaltung zur Suchtprävention, an der der damals 14-jährige Sohn teilnahm, ein Quiz veranstaltete und dabei Preise auslobte. Alle Teilnehmer mussten "natürlich” ihren Namen und ihre Anschriften angeben. Auf der Quizkarte befand sich der Hinweis, dass die Angabe der persönlichen Daten freiwillig erfolge. Darunter stand: "Ich bin damit einverstanden, dass sie zur weiteren Informationsvermittlung verwendet werden.” Die so erhobenen Daten hatte die Krankenkasse gespeichert, um damit beim späteren Schulabgang der Quizteilnehmer "Direktmarketing” zu betreiben. Die Quizkarte entsprach nicht den Voraussetzungen des Landesdatenschutzgesetzes hinsichtlich einer wirksamen Einwilligungserklärung. Bei Jugendlichen zwischen 12 und 14 Jahren kann nicht davon ausgegangen werden, dass sie bei einem derart lapidaren Satz hinreichend klar erkennen, welche Datenverarbeitung sie durch ihre Einwilligung zulassen. Hierauf hatte schon Monate vorher die Datenschutzbeauftragte der Krankenkasse in einem internen Vermerk hingewiesen. Allerdings war die Krankenversicherung erst nach unserem Einschreiten bereit, Abhilfe zu schaffen. |
|
11.7 |
Zentralisierung der Fahrerlaubnisdaten
|
|
Die örtlichen Fahrerlaubnisregister der Straßenverkehrsbehörden werden bis zum Jahr 2005 sukzessive aufgelöst und die Daten der Fahrerlaubnisinhaber zentral beim Kraftfahrt-Bundesamt (KBA) gespeichert. Die erforderlichen Datenübermittlungen von den örtlichen Fahrerlaubnisbehörden zum KBA erfolgen zukünftig in einem Online-Verfahren. Um dies technisch abzusichern, soll auf Vorschlag des KBA ein bestimmtes Verschlüsselungsverfahren eingesetzt werden, welches, soweit wir feststellen konnten, dem heutigen Stand der Technik entspricht. Um die Daten nicht nur auf dem Übertragungswege, sondern auch im Bereich der Fahrerlaubnisbehörde gegen unbefugte Kenntnisnahme und Veränderungen zu sichern, haben wir zusammen mit dem Verkehrsministerium einen Maßnahmenkatalog für die Sicherung vor Ort erarbeitet. |
|
11.8 |
Verfassungstreue Neubürger
|
|
Die Neuregelung des Staatsangehörigkeitsrechts im Jahr 1999 war politisch heftig umstritten. Unstreitig war, von den künftigen deutschen Staatsangehörigen zu verlangen, dass sie sich zur freiheitlich demokratischen Grundordnung des Grundgesetzes bekennen müssen. Ausschlussgründe für eine Einbürgerung sollten nur bestehen, wenn konkrete "Anhaltspunkte” die Annahme rechtfertigen, dass verfassungsfeindliche Bestrebungen verfolgt wurden. Im Gesetzgebungsverfahren wurde erreicht, dass die Einbürgerung auch möglich ist, wenn der Bewerber glaubhaft macht, sich von früheren Bestrebungen abgewandt zu haben. Die Wahrscheinlichkeit für Nichtdeutsche, von Ämtern für Verfassungsschutz erfasst zu werden, ist - nach Angaben in der Literatur - etwa zwanzigmal größer als für Deutsche. Angesichts dieser hohen Erfassungsquote und des teilweise nur wenig abgesicherten Erkenntnisstandes der Ämter für Verfassungsschutz besteht ein hohes Risiko, dass Einbürgerungswillige ungerechtfertigt mit dem Vorwurf einer verfassungsfeindlichen Bestrebung konfrontiert werden. Wir gehen davon aus, dass die gesetzliche Formulierung eine Regelanfrage der Einbürgerungsbehörden ausschließt. |
|
11.9 |
Gerichtsakten in den Händen von Strafgefangenen
|
|
Im Frühjahr 1999 wurde berichtet, dass für die Umzugsarbeiten bei einem Amtsgericht Freigänger aus der nahe gelegenen Justizvollzugsanstalt eingesetzt worden waren. Ihre Aufgabe war es, die Gerichtsakten von einem Archivraum in einen anderen zu transportieren. Eine nennenswerte Aufsicht durch Justizpersonal fand dabei nicht statt. Die Nachfrage bei dem Amtsgericht ergab, dass zwar Justizbedienstete mit der Beaufsichtigung der Tätigkeit der Gefangenen betraut worden waren. Da diese Mitarbeiter aber nicht von anderen unaufschiebbaren Dienstgeschäften freigestellt wurden, mussten sie die Gefangenen immer wieder für nicht unerhebliche Zeiträume alleine lassen. In diesen Zeiten hätten die Strafgefangenen in den Gerichtsakten stöbern können. Wir haben dies als einen Verstoß gegen die Pflicht zu organisatorischen Maßnahmen der Datensicherheit förmlich beanstandet. |
|
11.10 |
Die Organisation zahnärztlicher Abrechnungskontrolle |
|
Die Kassenzahnärztliche Vereinigung (KZV) wollte einen großen Anteil der Karteikarten einer Zahnärztin zu Kontrollzwecken kopiert zugesandt bekommen. Diese weigerte sich mit dem berechtigten Argument, auf den Karteikarten stünden nicht nur die abrechnungsrelevanten Angaben, sondern auch sensible Daten aus der Behandlung, die sie nicht offenbaren dürfe. Das Gesetz erlaubt nur den Einblick in Befunde, nicht in sonstige Behandlungsunterlagen. Ein Schwärzen der Kopien hätte einen übermäßigen Aufwand verursacht. Im konkreten Fall schlugen wir vor, dass die Zahnärztin und die KZV in einem gemeinsamen Termin die relevanten Unterlagen sichten. Die Zahnärztin sollte nur Einblick in die prüfrelevanten Daten gewähren. Für die Zukunft formulierten wir gemeinsam mit der KZV eine Empfehlung über die Führung der Karteikarten durch die Zahnärzte, die derartige gemeinsame Sitzungen unnötig macht. Danach sollen die abrechnungsrelevanten Befunde quartalsweise auf einem getrennten Blatt erfasst werden. Für den Fall einer Überprüfung genügt es, dieses Blatt zu kopieren und der KZV zur Verfügung zu stellen. Die KZV erhält bei einer derartigen Datenorganisation keine Daten unbefugt zur Kenntnis, kann aber dennoch umfassend kontrollieren.
(Rubrik: weitere Materialien/Bekanntmachungen) |
|
11.11 |
Geplanter Erlaß einer neuen Telekommunikationsdatenschutzverordnung |
|
Seit August 1996 ist der Bund in der Pflicht, eine Verordnung zum Datenschutz in der Telekommunikation zu schaffen. Ende des Jahres lag endlich ein Entwurf vor, der voraussichtlich in der ersten Jahreshälfte 2000 in Kraft tritt. Gegenüber den ursprünglichen Plänen stellt er eine Verbesserung dar. So war zunächst geplant, die Speicherungsdauer für Verbindungsdaten von bisher 80 Tagen nach Rechnungsversand auf künftig zwei Jahre auszudehnen. Auf Grund der Kritik vor allem aus dem Kreis der Datenschutzbeauftragten wurde die Zweijahresfrist wenigstens auf sechs Monate reduziert. Ein weiteres datenschutzrechtliches Problem sahen wir bezüglich der Absicht, eine so genannte Invers-Auskunft zuzulassen, bei der der Nachfragende lediglich die Telefonnummer kennt und dann dazu Name und eventuell Anschrift des Teilnehmers mitgeteilt bekommt. Hiervon wurde zwischenzeitlich abgesehen. Dies wirkt sich allerdings nur auf die Auskunftsdienste der Telekommunikationsunternehmen aus. Bei Daten, die auf CD-ROM gespeichert sind, kann technisch nicht verhindert werden, dass mithilfe frei verkäuflicher Software eine Invers-Suche stattfindet. Die Betroffenen müssen sich über diesen Umstand im Klaren sein. Wer eine solche Suchmöglichkeit verhindern will, sollte nicht in die Veröffentlichung seiner Anschlussdaten auf CD-ROM einwilligen. Dies kann durch eine entsprechende Erklärung gegenüber der Telekom erfolgen. |
