26. TB (2004) - Was es sonst noch zu berichten gibt

26. Tätigkeitsbericht (2004)

13	Was es sonst noch zu berichten gibt
13.1	Vorabkontrolle deckt Mängel beim HKR auf
	Durch die Novelle des Landesdatenschutzgesetzes im Jahre 2000 wurde das Instrument der Vorabkontrolle eingeführt. Diese geht zurück auf eine Vorgabe in der Europäischen Datenschutzrichtlinie und hat unter anderem dann zu erfolgen, wenn ein automatisiertes Verfahren eingerichtet oder wesentlich geändert wird, in dem besonders sensible Daten verarbeitet werden. Solche Daten liegen bei Verfahren im Bereich Haushalt-, Kassen- und Rechnungswesen (HKR) vor, da dort unter anderem Steuerdaten und durch die Kreise oft auch Daten aus Sozialleistungsangelegenheiten verarbeitet werden. Die erforderliche Vorabkontrolle ist eine Aufgabe der behördlichen Datenschutzbeauftragten. Beim Kreis Schleswig-Flensburg wie auch bei der Stadt Flensburg wurde mustergültig aufgezeigt, welchen Wert eine vom behördlichen Datenschutzbeauftragten durchgeführte Vorabkontrolle für die Verbesserung des Datenschutzniveaus haben kann. Die Datenschutzbeauftragten beider Behörden konnten bei der Überprüfung eines weit verbreiteten HKR-Verfahrens einen Mangel feststellen, der zu erheblichen datenschutzrechtlichen Risiken führte. Unter Nutzung der Funktion der Haushaltsüberwachungsliste war es bei dieser Software möglich, auch Zahlungsvorgänge außerhalb des jeweiligen Zuständigkeitsbereiches des betreffenden Sachbearbeiters angezeigt zu bekommen. Damit konnte z. B. bei der Stadt Flensburg jeder mit Zahlungsvorgängen befasste Mitarbeiter auf einzelne Beihilfevorgänge, Steuerdaten oder Zahlungsrückläufe aus der Sozialhilfe zugreifen. Die Datenschutzbeauftragte des Kreises Schleswig-Flensburg informierte die Herstellerfirma des Produktes, die bereits nach wenigen Wochen einen speziellen Patch zur Behebung des Fehlers bereitstellte. Die Vorabkontrolle führte in diesem konkreten Fall nicht nur zum Nachweis der Datenschutzverträglichkeit des eingesetzten Verfahrens, sondern hatte positive Auswirkungen für eine Vielzahl anderer Kommunen, die das Verfahren ebenfalls einsetzen.
13.2	Müssen Vereine einen betrieblichen Datenschutzbeauftragten bestellen?
	Von Vereinen und Verbänden wurde mehrfach die Frage an uns herangetragen, ob sie zur Bestellung eines Datenschutzbeauftragten verpflichtet seien. Grundsätzlich gelten für Vereine und Verbände die gleichen Datenschutzvorschriften wie für Wirtschaftsunternehmen. Für die Bestellung eines Datenschutzbeauftragten ist es in der Regel erforderlich, dass mindestens fünf Arbeitnehmer mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Wenn eine Vereinigung professionelle Strukturen hat, insbesondere selbst Arbeitgeber ist, muss auch sie die Verpflichtung zur Bestellung eines Datenschutzbeauftragten erfüllen.
13.3	Arbeitsgruppe FISCUS liegt auf Eis
	Mit großen Erwartungen ist eine Arbeitsgruppe ans Werk gegangen, die die Entwicklung des bundeseinheitlichen automatisierten Besteuerungsverfahrens FISCUS begleiten wollte (vgl. 24. TB, Tz. 4.10.2). Auch das für die Entwicklung von FISCUS gegründete Softwarehaus versprach sich einiges von dieser Zusammenarbeit, weil verabredet war, bereits auf Konzeptebene einen datenschutzrechtlichen und sicherheitstechnischen Abstimmungsprozess zu realisieren. Leider konnte dies nur für ein einziges Projekt und auch nur für dessen Pilotversion durchgeführt werden. Offenbar hat die FISCUS GmbH von ihrem Auftraggeber, dem Bundesfinanzministerium, kein Mandat für weitere Gespräche und die Übergabe von Konzeptunterlagen bekommen. Die Arbeitsgruppe besteht derzeit praktisch nur auf dem Papier. Mit dem automatisierten Besteuerungsverfahren werden sich die Datenschutzbeauftragten wohl erst wieder befassen können, wenn die Einzelmodule in den Ländern in Pilotverfahren getestet werden. Die Behebung von Mängeln und die Berücksichtigung datenschutzrechtlicher und sicherheitstechnischer Verbesserung werden dadurch nicht eben einfacher.
13.4	Arbeitsgruppe AOK-SAM effizient
	Eine Arbeitsgruppe der Datenschutzbeauftragten begleitet das automatisierte Verfahren AOK-SAM. Hierbei handelt es sich um ein Mammutprojekt des Bundesverbandes der Allgemeinen Ortskrankenkassen in Zusammenarbeit mit dem AOK-Systemhaus und der Firma SAP, das über mehrere Jahre angelegt ist. Die Vertreter der Krankenkassen haben offenbar den Wert sehr frühzeitiger datenschutzrechtlicher Klärungen erkannt. Sie legen bereits ihre Konzepte offen, demonstrieren ihre Prototypen für die so genannte Masterversion und ermöglichen die Analyse von Pilotverfahren. Dies ist für beide Seiten sehr arbeitsintensiv, erleichtert den Datenschutzbeauftragten aber beim späteren Einsatz der Module das Ermitteln und Bewerten kassenspezifischer Besonderheiten. Deshalb werden die Erkenntnisse, die in der Arbeitsgruppe gewonnen werden, über die Arbeitskreise "Gesundheit und Soziales” und "Technik” bereits jetzt den Kollegen in denjenigen Bundesländern bekannt gegeben, die nicht in der Arbeitsgruppe vertreten sind. Welche unmittelbaren Konsequenzen die Projektverantwortlichen der Krankenkassenseite aus den manchmal durchaus kontroversen Erörterungen ziehen, lässt sich nicht genau abschätzen. Eine Reihe von problematischen Absichten werden aber offenbar nicht mehr weiterverfolgt, weil man erkannt hat, dass diesbezüglich ein Konsens mit den Datenschützern nicht herstellbar sein wird. Nicht zuletzt auch wegen der außergewöhnlich guten kollegialen Atmosphäre dürfte diese Arbeitsgruppe auch künftig sehr effizient arbeiten können.
13.5	Weitergabe der Mängel an Hauswasseranschlüssen an private Firmen
	Eine Gemeinde hatte gemeinsam mit dem zuständigen Wasserbeschaffungsverband die in der Gemeinde vorhandenen Hauswasseranschlüsse überprüft. Dabei wurden Mängel festgestellt, die von den Eigentümern der Hausanschlussleitungen zu beseitigen waren. Noch bevor die Betroffenen überhaupt über die festgestellten Mängel unterrichtet wurden, hatte die Gemeinde zwei örtliche Fachfirmen aufgefordert, Kostenvoranschläge für die Mängelbeseitigung abzugeben. Das jeweils günstigste Angebot wurde den Eigentümern zusammen mit der Aufforderung zur Mängelbeseitigung zur Verfügung gestellt. Die Gemeinde wollte dieses Verfahren als selbstverständliche Serviceleistung gegenüber den Betroffenen verstanden wissen; unseres Erachtens hätte ein wirklicher Service zuvor eine Abstimmung mit den Betroffenen erfordert. Die Datenübermittlung war deshalb als Verstoß gegen geltendes Datenschutzrecht zu beanstanden.
13.6	Prüfung von Wahlunterstützungsunterschriften
	Das Verfahren für die Behandlung von Wahlvorschlägen ist im Gemeinde- und Kreiswahlrecht geregelt. Danach sind Wahlvorschlägen zwingend auch die erforderlichen Unterstützungsunterschriften nebst Bescheinigung des Wahlrechts der Unterzeichnerinnen und Unterzeichner beizufügen. Eine Partei begehrte die Zulassung zur Kreistagswahl. Die Wahlunterlagen enthielten zwar eine ausreichende Zahl von Unterstützungsunterschriften, allerdings fehlte die für jeden Einzelfall vorgesehene Wahlrechtsbescheinigung des Unterstützers. Die Zulassung der Partei wurde deshalb abgelehnt. Auf Wunsch der Partei sind wir der Frage nachgegangen, ob die Einholung der Wahlrechtsbescheinigung durch die sich bewerbende Partei den datenschutzrechtlichen Grundsätzen entspricht. Das Verfahren war im Hinblick auf die Persönlichkeitsrechte der Unterschriftsleistenden nicht zu beanstanden. Entsprechend dem geprüften Vordruck erklärt sich der Unterstützer damit einverstanden, dass für ihn eine Bescheinigung des Wahlrechts eingeholt wird. Sollte er dies nicht wollen, kann er den Zusatz auch streichen, die Bescheinigung selbst einholen und sie erst dann der Partei zuleiten. In diesem Fall wäre sichergestellt, dass Dritte von einer möglichen Versagung der Bescheinigung keine Kenntnis erlangen.
13.7	Datenschutz zum Schmunzeln
	Einen sehr spezifischen "technischen” Fortschritt bei der Altaktenvernichtung konnten wir bei der Prüfung einer Kommunalverwaltung registrieren. In den 70er-Jahren erfolgte die Vernichtung noch im Handbetrieb. Man vergrub die Altakten auf einem gemeindeeigenen Grundstück. In den 80er-Jahren wurde das Papier in einem mechanischen Schredder zerkleinert und die Schnipsel dem örtlichen Bestattungsunternehmer zur Auspolsterung von Särgen übergeben. Als in den 90er-Jahren das Altpapier überhand nahm und das Bestattungsunternehmen auf andere Materialien zur Sargpolsterung auswich, beauftragte man einen professionellen Altaktenversorger, der die ordnungsgemäße Entsorgung mit modernen Systemen schriftlich bestätigte. Keine der drei Methoden bot einen Grund zu Beanstandungen, aber die Technik schreitet eben unaufhaltsam voran!