Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4

Datenschutz in der Verwaltung

4.1

Kommunalbereich

4.1.1

Vom Nutzen behördlicher Datenschutzbeauftragter

Die Bestellung behördlicher Datenschutzbeauftragter bei den Kommunen gewinnt zunehmend an Fahrt. Immer mehr Behörden nutzen die damit verbundenen organisatorischen Vorteile.

Durch die Bestellung eines Datenschutzbeauftragten entstehen den Behörden keine Aufgaben, die nicht ohnehin auf der Grundlage des allgemeinen und bereichsspezifischen Datenschutzrechts wahrzunehmen sind. Geändert wird durch die Bestellung nur die Art und Weise der Aufgabenerfüllung. Die Mitarbeiterinnen und Mitarbeiter in den Fachämtern müssen dann nicht mehr jeder für sich ihre Datenschutzprobleme lösen; sie können dafür auf eine entsprechend geschulte Fachkraft zurückgreifen. Die Aufgabe kann so in der Regel schneller und häufig auch qualitativ besser erledigt werden. Dem zeitlichen und personellen Aufwand für die Tätigkeit des Datenschutzbeauftragten steht also ein in der Regel sehr viel höherer Rationalisierungsfaktor in den Fachämtern gegenüber.

Weitere Synergieeffekte ergeben sich, wenn die Aufgabe des Datenschutzbeauftragten mit anderen Querschnittsaufgaben verknüpft wird (z. B. Aufgaben nach dem Informationsfreiheitsgesetz, Übertragung von Verwaltungscontrollingaufgaben). Gleiches gilt für die Bestellung gemeinsamer Datenschutzbeauftragter durch mehrere Behörden. Erfahrungen, die bei einer Kommune gesammelt werden, können mit reduziertem Aufwand auf andere Kommunen übertragen werden. Die notwendigen Fortbildungskosten fallen nur einmal an. Offensichtlich überzeugen diese Vorteile immer mehr Kommunen, denn die Zahl der kommunalen Datenschutzbeauftragten ist im vergangenen Jahr kontinuierlich gewachsen.

Auch wir sind bestrebt, zum Gelingen der Arbeit der Datenschutzbeauftragten beizutragen. Aus diesem Grund haben wir unsere Aktivitäten zur Unterstützung der Datenschutzbeauftragten deutlich ausgeweitet. Am häufigsten wurde die Möglichkeit genutzt, sich bei schwierigen Fragestellungen durch uns beraten zu lassen. Der ”kleine Dienstweg” hat sich in diesem Zusammenhang sehr bewährt. Daneben erfreut sich auch die neue Mailinglist für die Datenschutzbeauftragten großer Beliebtheit. Neben aktuellen Informationen werden darüber interessante datenschutzrechtliche Materialien verbreitet, die - vor Ort elektronisch abgelegt - jederzeit leicht erschließbare Antworten zu den unterschiedlichsten Fragestellungen geben können. Die Teilnehmer können die Mailinglist außerdem für den Erfahrungsaustausch und als Diskussionsforum nutzen. Weitere Interessenten werden gern in die Mailinglist aufgenommen.

4.1.2

Hinweise zur Vorabkontrolle

Vor der Einführung von IT-Verfahren, mit denen besonders vertrauliche Daten verarbeitet werden, muss im Wege einer Vorabkontrolle geprüft werden, ob sie den Belangen des Datenschutzes genügen. Wenn ein Produkt bereits über ein Gütesiegel verfügt, kann dies die Vorabkontrolle abkürzen, aber nicht ganz ersetzen.

Das Instrument der Vorabkontrolle war aufgrund der EU-Datenschutzrichtlinie in das Landesdatenschutzgesetz (LDSG) aufzunehmen. Sie ist in zwei Fällen durchzuführen:

• Mehrere Daten verarbeitende Stellen führen gemeinsam die Verarbeitung durch, oder die Übermittlung personenbezogener Daten erfolgt durch ein Abrufverfahren, oder

• es wird ein Verfahren eingeführt, bei dem besondere Datenkategorien nach § 11 Abs. 3 LDSG verarbeitet werden. Dies sind z. B. Daten über die rassische oder ethnische Herkunft, die weltanschauliche oder religiöse Überzeugung, die Gesundheit und das Sexualleben sowie Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen.

Die Vorabkontrolle ist grundsätzlich von den behördlichen Datenschutzbeauftragten durchzuführen. Nur wenn ein solcher nicht bestellt ist, darf sie beim ULD beantragt werden. Wir haben deshalb Hinweise zur Durchführung von Vorabkontrollen erstellt und auf unserer Homepage veröffentlicht:

Kernstück ist eine Checkliste, nach der man vorgehen sollte, um die Vorabkontrolle einfach und effizient durchzuführen. Arbeitet man sie ab, so werden dadurch zugleich die gesetzlich geforderte Dokumentation nach § 7 Abs. 1 LDSG für das Verfahrensverzeichnis erstellt und die Anforderungen der Datenschutzverordnung berücksichtigt. Die wichtigsten Punkte sind:

• Grundangaben zum Verfahren wie Zweckbestimmung, Rechtsgrundlagen, Kreis der Betroffenen,

• Prüfung, ob die vorgesehene Datenverarbeitung von den Rechtsgrundlagen abgedeckt ist,

• Prüfung, ob die Rechte der Betroffenen gewahrt sind,

• Prüfung, ob eine Verfahrensdokumentation inklusive einer Verfahrensbeschreibung nach der Datenschutzverordnung vorliegt,

• Prüfung, ob ein Sicherheitskonzept gemäß Datenschutzverordnung vorliegt,

• Nachweis der Erprobung des Verfahrens durch einen Test,

• schriftliche Freigabe.

Auch für das Haushalts-, Kassen- und Rechnungswesen (HKR) ist eine Vorabkontrolle durchzuführen, wenn dort Steuer- und Sozialdaten verarbeitet werden. Damit sind Datenkategorien erfasst, die unter ein besonderes Berufs- oder Amtsgeheimnis fallen. Die Vorabkontrolle muss durchgeführt werden, bevor solche Verfahren zum Einsatz kommen. Nun bietet das Kommunale Forum für Informationstechnik (vgl. 22. TB, Tz. 12.5; 24. TB, Tz. 14.3) seit einiger Zeit ein Prüfzertifikat an, mit dem HKR-Verfahren nachweisen können, dass sie die fachlichen Vorgaben erfüllen. Zu den Eigenschaften, die nach einem Kriterienkatalog abgeprüft werden, gehören auch eine Reihe von datenschutzrechtlichen Anforderungen. Von verschiedenen Stellen wurde die Frage an uns herangetragen, ob nicht in den Fällen, in denen ein HKR-Verfahren eine solche Prüfung erfolgreich durchlaufen hat, auf die Vorabkontrolle verzichtet werden könne.

Dabei ist zu beachten, dass die datenschutzrechtliche Vorabkontrolle eine andere Ausrichtung hat als die Prüfung des IT-Produkts auf die Einhaltung der fachlichen Anforderungen. Während die Letztgenannte das Produkt sozusagen im Rohzustand begutachtet, beschäftigt sich die Vorabkontrolle mit dem konkreten Einsatz vor Ort. Daraus folgt, dass das Vorliegen eines Zertifikats von KomFIT zwar nachweist, dass das Produkt datenschutzrelevante Vorgaben umsetzen kann. Es ist allerdings nicht gesagt, dass die Einstellungen vor Ort auch tatsächlich vorgenommen worden sind. Aus diesem Grund kann die Vorabkontrolle auch bei Vorliegen eines Prüfsiegels nicht entfallen. Allerdings kann sie deutlich abgekürzt werden, wenn im Rahmen des Prüfverfahrens bereits wichtige datenschutzrechtliche Fragestellungen geklärt wurden. Hierzu muss anhand der Prüfkriterien, die KomFIT zugrunde legt, nachvollzogen werden, welche Eigenschaften des Produktes bereits positiv festgestellt wurden. Zusätzlich ist vor Ort die konkrete Implementierung zu überprüfen.

4.1.3

Meldedaten an politische Parteien

Politische Parteien wenden sich vor Wahlen regelmäßig an die Meldeämter und ersuchen für Zwecke der Wahlwerbung um die Übermittlung von Wähleradressen. Obwohl die Bürgerinnen und Bürger ein Recht zum Widerspruch gegen die Weitergabe ihrer Daten an politische Parteien haben, kommt es nach den Werbeaktionen der Parteien immer wieder zu Beschwerden, weil die Bürger oftmals keine Kenntnis von ihrem Widerspruchsrecht gegen diese Datenübermittlungen haben.

Das Melderecht erlaubt die Übermittlung einiger weniger Daten (Vor- und Familienname, Doktorgrad, Anschriften) an Parteien, Wählergruppen und Wahlbewerber im Zeitraum von sechs Monaten vor der Wahl. Auch vor der jüngsten Bundestagswahl im September 2002 richteten politische Parteien entsprechende Anfragen an die Meldeämter.

In einem Fall ging es um die Anfrage einer Partei, die um Übermittlung der Daten von drei Gruppen von Personen ersuchte. Es handelte sich hierbei um die 18- bis 25-Jährigen, 26- bis 55-Jährigen sowie um Personen, die älter als 55 Jahre waren. Die einzelnen Personengruppen sollten jeweils mit bestimmten Punkten der parteilichen Programmatik besonders bekannt gemacht werden. De facto erstrebte die Partei damit die Übermittlung der Daten sämtlicher Personen im wahlberechtigten Alter. Es ist umstritten, ob eine derartig umfassende Auskunft noch vom Meldegesetz abgedeckt ist. Zwar scheint der Wortlaut der Vorschrift eine solche Art der Auskunftserteilung zu erlauben. Unzulässig wäre lediglich die pauschale Übermittlung der Daten aller Wahlberechtigten ohne Bildung von Gruppen. Aus der Gesetzesbegründung zum Landesmeldegesetz lässt sich jedoch schließen, dass nur die Übermittlung von Daten über Angehörige bestimmter (und nicht aller) Altersgruppen zulässig sein soll.

Das Landesmeldegesetz begründet allerdings keinen absoluten Anspruch der Parteien auf Übermittlung der Daten. Vielmehr obliegt die Entscheidung dem pflichtgemäßen Ermessen der Meldebehörden. Dies gilt auch, wenn von einer Partei nur die Auskunft über eine altersmäßig begrenzte Gruppe von Wahlberechtigten gefordert wird. Mehrere Oberverwaltungsgerichte haben entschieden, dass das Ermessen korrekt ausgeübt wird, wenn die Übermittlung der Daten mit dem Hinweis darauf verweigert wird, dass dem informationellen Selbstbestimmungsrecht ein hoher Rang zukomme und bei Übermittlung mit Protesten der Bürger zu rechnen sei. Zu beachten ist, dass die getroffene Ermessensentscheidung die Meldebehörde auch bei künftigen Anfragen anderer Parteien bindet, sodass sie in vergleichbaren Fällen in gleicher Weise zu entscheiden hat.

4.1.4

Wie detailliert dürfen Rechnungsprüfungsberichte sein?

Im Rahmen der kommunalen Rechnungsprüfung dürfen auch personenbezogene Daten verarbeitet werden. Werden Prüfberichte erstellt, so sollte mithilfe von Pseudonymisierungen der Grundsatz der Datensparsamkeit beachtet werden.

In mehreren Fällen nahmen Kommunalverwaltungen daran Anstoß, dass die Rechnungsprüfungsämter in detaillierten Prüfberichten Einzelangaben über bestimmte Beschäftigte gemacht hatten. Dazu gehörten Informationen über den Familienstand, die Vergütungsgruppe sowie über Krankheits- und Fehlzeiten.

Es fehlt an einer speziellen Befugnisnorm für die Datenverarbeitung zum Zwecke der Rechnungsprüfung. Daher ist auf die allgemeinen Zulässigkeitsvorschriften des Landesdatenschutzgesetzes zurückzugreifen. Danach ist die Datenverarbeitung dann zulässig, wenn sie zur rechtmäßigen Erfüllung der durch Rechtsvorschrift zugewiesenen Aufgaben der Daten verarbeitenden Stelle erforderlich ist. Die Verwendung von Daten für Zwecke der Rechnungsprüfung ist ausdrücklich zugelassen. Nach den Vorschriften der Gemeindeordnung ist das Rechnungsprüfungsamt der Gemeindevertretung gegenüber unmittelbar verantwortlich. Daraus ergibt sich, dass die Prüfberichte an sie weitergegeben werden müssen. Allerdings ist zu beachten, dass die Gemeindevertreter ihrerseits nach den Vorschriften der Gemeindeordnung zur Verschwiegenheit über die personenbezogenen Daten aus den Berichten verpflichtet sind.

Werden Berichte (das gilt auch für Entwürfe) an die geprüfte Stelle gegeben, ist zu beachten, dass die Daten nicht über den Personenkreis hinaus bekannt werden, der ohnehin Zugriff auf die jeweils dargestellten Informationen hat. Es muss in jedem Fall ausgeschlossen werden, dass durch die Zirkulation der Berichte unbefugte Personen Kenntnis von Personaldaten erhalten. Die Rechnungsprüfungsämter sollten auf diesen Umstand hinweisen, wenn sie die Berichte an die geprüfte Stelle weitergeben.

Viele Kommunen möchten Prüfberichte veröffentlichen, um den sinnvollen Umgang mit Steuergeldern nachzuweisen. Dabei ist zu beachten, dass die vollständigen Prüfberichte inklusive der personenbezogenen Daten selbstverständlich nicht publik gemacht werden dürfen. Möglich ist die Verfahrensweise, dass der Prüfbericht in zwei Teile gegliedert wird. Der erste und ausführliche Teil bleibt unter Verschluss; der zweite, der eine abstrakte Zusammenfassung der Ergebnisse enthält, wird veröffentlicht. Diese Verfahrensweise wurde bereits im Jahre 1991 in einem Runderlass des Innenministeriums empfohlen.

Eine andere Alternative besteht darin, für die einzelnen Personen Pseudonyme im Sinne einer Referenz zu vergeben. Der Vorteil liegt darin, dass bei dieser Verfahrensweise in den Prüfberichten zunächst keine oder nur wenige personenbezogene Daten enthalten sind. Mithilfe der Referenzliste lässt sich die Identität feststellen, falls Unstimmigkeiten zwischen der geprüften Stelle und dem Rechnungsprüfungsamt geklärt werden müssen.

4.1.5

Beauftragung eines Inkassodienstes

Die Einziehung privatrechtlicher Forderungen der Kommunen kann jetzt auch privaten Inkassobüros übertragen werden. Dabei sind die gleichen Maßgaben zu beachten, die auch für die Auftragsdatenverarbeitung gelten.

Von mehreren Städten und Gemeinden ist die Frage an uns herangetragen worden, ob gegen die Beauftragung eines Inkassounternehmens mit der Einziehung offener Forderungen von Kommunen datenschutzrechtliche Bedenken bestehen. Dabei handelte es sich ausschließlich um privatrechtliche Forderungen, die weder dem kommunalen Abgabengesetz noch der Abgabenordnung unterlagen.

Nach der Neufassung des LDSG ist die Übermittlung personenbezogener Daten zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der Daten verarbeitenden Stelle zulässig, wenn die übermittelnde Stelle die beauftragten Personen verpflichtet, die Daten nur für den Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind, und nach Erledigung des Auftrages die ihnen von der Daten verarbeitenden Stelle überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen. Im Übrigen wird auf die Maßgaben der Auftragsdatenverarbeitung verwiesen.

Der im Gesetz genannte Begriff der beratenden Tätigkeiten ist in diesem Zusammenhang nicht zu eng auszulegen. Er umfasst nicht nur Tätigkeiten im Innenverhältnis zwischen Auftraggeber und beratender Stelle, sondern erlaubt auch nach außen wirkende, die Aufgabenerfüllung des Auftraggebers unterstützende Tätigkeiten im Namen des Auftraggebers. Im Hinblick auf den Schutzzweck der Norm würde es keinen Sinn machen, etwa nur eine Beratung der Kommune durch einen Rechtsanwalt oder einen Inkassodienst im Innenverhältnis zuzulassen und anschließend eine Prozessvertretung bzw. die Durchführung von Vollstreckungsmaßnahmen zu verbieten. Im Übrigen ist auch eine gutachterliche Tätigkeit häufig mit unmittelbarer Außenwirkung verbunden, soweit die Begutachtung die Ermittlung des jeweiligen Sachverhaltes einschließt.

Bei der Beauftragung des Inkassodienstes ist allerdings dafür Sorge zu tragen, dass die im LDSG genannten Maßgaben zur Auftragsdatenverarbeitung beachtet werden. Dies bedeutet, dass je nach Fallgestaltung weitere Auflagen notwendig sind. Die beauftragte Stelle muss bei der Abwicklung deutlich machen, dass sie im Auftrag der Behörde tätig ist.

4.1.6

Wichtige Änderungen des Melderechts in Vorbereitung

Mit der Änderung des Melderechtsrahmengesetzes kündigen sich weitere wichtige Neuerungen im Melderecht des Landes an. Datenschutzrechtliche Verbesserungen drohen dabei auf der Strecke zu bleiben.

Mit der nunmehr dritten umfassenden Änderung des Melderechtsrahmengesetzes (MRRG) hat der Bundesgesetzgeber die Absicht verbunden, die erforderlichen Rahmenbedingungen für die Nutzung moderner Informations- und Kommunikationstechnologien zu schaffen. Tatsächlich gehen die Änderungen weit darüber hinaus. Als wichtigste Neuerungen sind zu nennen:

• die Speicherung der Seriennummer des Personalausweises und des Passes im Melderegister,

• der Wegfall der Abmeldepflicht,

• die Befugnis zum automatisierten Datenaustausch mit anderen Behörden,

• die automatisierte Erteilung einfacher Melderegisterauskünfte über das Internet,

• die Aufhebung der Auskunftssperre für Melderegisterauskünfte, wenn im Einzelfall eine entsprechende Gefährdung nachträglich ausgeschlossen werden kann.

Insbesondere die Novellierung der Auskunftssperre halten wir aus datenschutzrechtlicher Sicht für bedenklich. Werden Daten an private Stellen übermittelt, ist eine vertrauliche Behandlung dort nicht mehr zu gewährleisten. Es kann nicht ausgeschlossen werden, dass Personen, von denen eine Gefahr für den Meldepflichtigen ausgeht, sich die neuen Möglichkeiten zunutze machen, um an die aktuelle Anschrift des Meldepflichtigen zu kommen. Da bei einer Rechtsgüterabwägung dem Schutz von Leib und Leben der betroffenen Personen der absolute Vorrang eingeräumt werden muss, kann in diesem Sinne eine entsprechende Gefahr nur dann ausgeschlossen werden, wenn eine Datenübermittlung an private Stellen generell untersagt wird. Aus diesem Grund hätten wir es sehr begrüßt, wenn es bei der bisherigen Regelung geblieben wäre.