22. Tätigkeitsbericht (2000)
12 |
Rückblick |
|
|
|
12.1 |
Neuorganisation des polizeiärztlichen Dienstes unter Dach und Fach |
|
Im 20. Tätigkeitsbericht hatten wir unter Tz. 4.11.3 auf die Notwendigkeit einer Neuorganisation beim polizeiärztlichen Dienst hingewiesen, um eine ausreichende Trennung der Heilfürsorgeaufgaben von der Haus- sowie der Amtsarzttätigkeit zu erreichen. Eine entsprechende Regelung wurde vom Polizeiverwaltungsamt Anfang 1998 getroffen. Umstritten blieb allerdings zunächst das Verfahren zur amtsärztlichen Begutachtung von Polizeibeamten. Diese sollte grundsätzlich durch einen Polizeiarzt erfolgen, der den Betroffenen zuvor mindestens zehn Jahre nicht oder nur in geringem Umfang kurativ betreut hat. Eine Ausnahme sollte allenfalls mit schriftlicher Zustimmung des Betroffenen gemacht werden. Diese Frist ist datenschutzrechtlich geboten, um die Nutzung von Heilfürsorgedaten beziehungsweise hausärztlichen Behandlungsdaten für Zwecke der allgemeinen Personalverwaltung auszuschließen. Allerdings war auch vorgesehen, bei der Begutachtung durch einen anderen Polizeiarzt die Krankenkarte und gegebenenfalls auch die Krankenakte beizuziehen und für den Untersuchungszweck gezielt auszuwerten. Damit wäre der Zweck der personellen Abschottung unterlaufen worden. Nach eingehender Diskussion mit dem Polizeiverwaltungsamt wurde uns bestätigt, dass die Nutzung der Krankenkarten für amtsärztliche Begutachtungen zukünftig entfallen wird. |
|
12.2 |
Evaluierung polizeilicher Befugnisse durch die Verwaltungsfachhochschule Altenholz |
|
Aus dem Untersuchungsprojekt der Verwaltungsfachhochschule zur Praxis verdeckter Datenerhebungsbefugnisse in Strafverfahren (wir berichteten zuletzt im 21. TB, Tz. 4.2.8) wurden entgegen unserer Erwartung noch keine Ergebnisse vorgelegt. Sowohl in Mecklenburg-Vorpommern als auch in Hamburg haben die Innenressorts ihr Interesse an einer Beteiligung an der Untersuchung erklärt. Mittlerweile ist von anderer Seite Bewegung in die jahrelange Diskussion um eine unerlässliche Evaluierung verdeckter Datenerhebungsbefugnisse der Polizei gekommen. Im Zusammenhang mit der Veröffentlichung von Zahlen über die bundesweit durchgeführten Telekommunikationsüberwachungen durch die Bundesregierung im Jahr 1998, die einen weiteren sprunghaften Anstieg offen legen, vergab das Bundesjustizministerium ein Forschungsprojekt zur "Rechtswirklichkeit und Effizienz der Überwachung der Telekommunikation nach den §§ 100a, 100b StPO” an das Max-Planck-Institut für Straf- und Strafprozessrecht in Freiburg. Die wissenschaftliche Methodik des Instituts soll nach dem Willen des schleswig-holsteinischen Innenministers Eingang in das Evaluierungsprojekt der Verwaltungsfachhochschule Altenholz finden und auf die technischen Überwachungsmaßnamen übertragen werden, die vom Bundesprojekt nicht untersucht werden. Unter diesen Rahmenbedingungen und angesichts des bisherigen zeitlichen Vorlaufs sollte die hiesige Untersuchung in der Lage sein, im Jahr 2000 zu aussagekräftigen Ergebnissen zu gelangen. |
|
12.3 |
Endlich "schlanke” Fahrtenbücher für Ärzte und Apotheken
|
|
Jahrelang wurde bundesweit zwischen den Finanzministerien, den Berufsverbänden der Ärzte und Apotheker sowie den Datenschutzbeauftragten darüber diskutiert, ob die Namen von Patienten bzw. Kunden in den aus steuerlichen Gründen zu führenden Fahrtenbüchern verzeichnet sein müssen (vgl. 19. TB, Tz. 4.10.3; 21. TB, Tz. 10.5). Endlich ist die Angelegenheit unter Dach und Fach. Zum Nachweis des Verhältnisses zwischen beruflicher/geschäftlicher und privater Nutzung der Kraftfahrzeuge muss im Fahrtenbuch nur "Patientenbesuch” bzw. "Kundenbesuch” vermerkt sein. Die Identität der einzelnen besuchten Personen ist in einer gesonderten Liste zu vermerken. Bei "normalen” Betriebsprüfungen werden die nunmehr anonymisierten Fahrtenbücher vorgelegt. Nur wenn in konkreten Einzelfällen Unstimmigkeiten aufzuklären sind, werden die Finanzämter Einblick in die personenbezogenen Listen verlangen. Auf diese gute Idee hätte man schon vor Jahren kommen können. |
|
12.4 |
Sicherheitskonzepte nicht mehr umstritten
|
|
Die Datenschutzverordnung von 1994 hat sich rundherum bewährt. Die in ihr festgeschriebenen "Grundsätze einer ordnungsgemäßen automatisierten Verarbeitung personenbezogener Daten” werden durch die Bank von den Behörden als vernünftige Mindestanforderungen akzeptiert. Besonders hervorzuheben ist dabei die in den Grundsätzen enthaltene Verpflichtung zur Erarbeitung von Sicherheitskonzepten. Wenn Behörden in den vergangenen Jahren neue Computersysteme angeschafft und Datenbestände angelegt haben, ohne für die Verfahren Sicherheitskonzepte zu entwickeln, stand die rechtliche Fragwürdigkeit ihres Tuns stets außer Zweifel. Die Verantwortlichen mussten sich anlässlich unserer Prüfungen also nicht nur die tatsächlichen Sicherheitsdefizite vorwerfen lassen, sondern auch, dass sie Verstöße gegen die Datenschutzverordnung geduldet hatten. Soweit allerdings Sicherheitskonzepte erarbeitet worden waren, wurden die Verantwortlichen frühzeitig auf eventuelle Defizite aufmerksam. Die wenigen, die trotzdem auf entsprechende technische oder organisatorische Maßnahmen verzichteten, taten das für jeden erkennbar wider besseren Wissens. Das Sicherheitsniveau ist durch die Datenschutzverordnung zweifellos angehoben wurden (vgl. 18. TB, Tz. 6.1). |
|
12.5 |
KomFIT gedeiht prima
|
|
Über Jahre hinweg haben wir die "kommunale Familie” (Städteverband, Landkreistag, Gemeindetag und deren Mitglieder) ermuntert, die Kooperation auf dem Gebiet des IT-Einsatzes zu verstärken, damit sicherheitsrelevante Fehlentwicklungen im kommunalen Bereich (insbesondere bei kleineren Organisationseinheiten) so weit wie möglich vermieden werden. Zunächst wurden unsere Anregungen nur zögerlich aufgenommen, dann hatte man ein Konzept, aber es fehlte am Geld. Noch vor zwei Jahren musste man befürchten, dass "die ganze Sache den Bach hinunter gehen würde” (vgl. 20. TB, Tz. 6.2). Als 1998 das "Kommunale Forum für Informationstechnik KomFIT” gegründet wurde, waren endlich die institutionellen Voraussetzungen geschaffen. Wiederum ein Jahr später kann diese Institution eine durchaus beeindruckende Bilanz ihres Wirkens vorlegen. In Zusammenarbeit mit der Investitionsbank Schleswig-Holstein und einer Reihe anderer Institutionen sind z. B. Leitlinien für die IT-Infrastruktur der Kommunen, ein Standard-IT-Konzept, ein Standard-Beratungskonzept und ein Standard-Fortbildungskonzept erarbeitet worden. In Entwicklung befindet sich ein so genanntes "Verbandsforum”, das auf der Basis des Internets den Informationsaustausch zwischen den kommunalen Landesverbänden und den Kommunen verbessern soll. Auch die Prüfung und Zertifizierung von Software für den kommunalen Markt zeigt erste Erfolge. Diese zunächst nicht zu erwartende positive Entwicklung rechtfertigt weiterhin unsere intensive unterstützende datenschutzrechtliche und sicherheitstechnische Beratung. |
|
12.6 |
Rechtsgrundlagen für Studi-Chipkarten
|
|
Im letzten Tätigkeitsbericht (Tz. 4.9.3) haben wir von unserer beratenden Tätigkeit gegenüber einer Hochschule berichtet, die für ihre Studierenden universelle Berechtigungsausweise in Form von Chipkarten eingeführt hatte. Dabei war u.a. darauf hinzuweisen, dass es für die obligatorische Einführung eines solchen Ausweises einer bereichsspezifischen Rechtsgrundlage bedarf. Der von uns auf Wunsch formulierte Vorschlag wurde vom Bildungsministerium in modifizierter Form übernommen und in die Studierenden-Daten-Verordnung eingefügt. Es sind jetzt die zulässigerweise zu verarbeitenden Daten festgelegt und die einzelnen Funktionalitäten der Chipkarte innerhalb und außerhalb des Hochschulbetriebs beschrieben. Um die Datenverarbeitungsvorgänge so transparent wie möglich zu gestalten, ist weiter festgelegt, dass jede Kommunikation zwischen Chipkarte und Lesegerät für den Karteninhaber erkennbar sein muss. Außerdem steht ihm ein spezieller Auskunftsanspruch über die durch die Karte aktivierten Speicherungsvorgänge zur Seite. Schleswig-Holstein ist damit das erste Bundesland, das die Nutzung von Chipkarten als Studierendenausweis normenklar geregelt hat. |
|
12.7 |
Telefondaten-CD-ROM in der öffentlichen Verwaltung
|
|
Im 19. Tätigkeitsbericht (Tz. 7.4) haben wir noch davor gewarnt, Produkte wie die D-Info-CD-ROM
in der öffentlichen Verwaltung einzusetzen. Grund dafür war der Umstand, dass die Anbieter dieser und ähnlicher Produkte ihre Datensammlungen in unzulässiger Weise unmittelbar aus den Telefonbüchern abschreiben ließen. Die Widersprüche der Telefonkunden, die nicht in elektronischen Verzeichnissen erscheinen wollten, waren nicht berücksichtigt. Erst nach Einschaltung der Regulierungsbehörde für Telekommunikation und Post wurde von der Telekom der Preis für die Überlassung von Telefonverzeichnissen reduziert, womit dem legalen Erwerb der Veröffentlichungsrechte für die genannten Produkte nichts mehr im Wege steht. Bei einem legalen Erwerb der Daten bestehen damit keine datenschutzrechtlichen Bedenken mehr gegen die Nutzung derartiger Telefon-CDs in der öffentlichen Verwaltung. Die Betroffenen müssen sich darüber im Klaren zu sein, daß Daten in elektronischen Verzeichnissen, sei es auf CD-ROM oder im Internet, technisch bedingt einer erhöhten Verwertungsmöglichkeit unterworfen sind. Wer sich mit der Nutzung seiner Daten nicht abfinden möchte, sollte der Veröffentlichung seiner Daten auf elektronischen Verzeichnissen nicht zustimmen bzw. seine Einwilligung zurückziehen. |
