Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

15

Beispiele dafür, was die Bürgerinnen und Bürger von unserer Tätigkeit haben

1. In einem Bürgerbüro konnten Gespräche, die an einem Besucherarbeitsplatz geführt wurden, auch an anderen Besucherarbeitsplätzen und im Wartebereich auf dem Flur problemlos mit angehört werden. Auf diese Weise erhielten Unbefugte Kenntnis von sensiblen Daten der Besucher. Auf unsere Anregung hin wurde die Akustikabtrennung zwischen den Besucherarbeitsplätzen sowie gegenüber dem Wartebereich wesentlich verbessert.

2. Bei der Festsetzung von Straßenausbaubeiträgen sollten die Bemessungsgrundlagen sowie die Höhe des zu zahlenden Beitrages einzelfallbezogen allen Beitragspflichtigen gegenüber bekannt gegeben werden. Für einen effektiven Rechtsschutz der Betroffenen war dies nicht erforderlich. Auf unseren Vorschlag hin wurden nur solche Daten weitergegeben, die zwar eine Kontrolle der Festsetzung der Ausbaubeiträge zuließen, jedoch keine Rückschlüsse auf die beteiligten Grundstückseigentümer ermöglichten.

3. Auf der Seite www.schleswig-holstein.de, die auch das offizielle Internet-Angebot des Landes beinhaltet, wurden langfristige Cookies verwendet, im Rahmen einer so genannten Mit-Mach-Börse unzulässig Daten erhoben und ein Webmaildienst angeboten, der für den Nutzer zunächst unerkennbar die vollständigen Personendaten den von ihm abgesendeten Mails beifügte. Nach unserer Intervention gegenüber dem Anbieter konnten diese Probleme behoben werden.

4. Das Landesbesoldungsamt Schleswig-Holstein verweigerte geschiedenen Ehefrauen ehemaliger Landesbeamten die Erteilung von Auskünften aus deren Personalakten zur Verfolgung von Unterhaltsansprüchen. Auf Bitten des Petitionsausschusses des Schleswig-Holsteinischen Landtages haben wir dem Landesbesoldungsamt einen rechtlich zulässigen Weg zur Weitergabe der gewünschten Informationen aufgezeigt.

5. Einer Grundstückseigentümerin war im Rahmen eines Neubauvorhabens des Nachbarn von der zuständigen Bauaufsichtsbehörde die Einsicht in dessen Bauakte unter Hinweis auf den ”Datenschutz” versagt worden. Unsere Prüfung ergab, dass die Grundstückseigentümerin nach der Landesbauordnung einen Anspruch darauf hatte, Lageplan, Bauzeichnungen und Baubeschreibung des Nachbarn einzusehen, da die Baumaßnahme ihre Belange berühren konnte.

6. Gelegentlich fordern Banken Ärzte im Rahmen der Überprüfung der Kreditwürdigkeit auf, ihre Debitorenliste vorzulegen. Auf diesem Wege könnten Patientendaten an die Banken gelangen. Unsere Intervention führte zu einer Änderung dieser Verfahrensweise.

7. Bei der Übermittlung von Blutbefunden an die Polizei wurden Informationen über Abbauprodukte auch dann bekannt gegeben, wenn gar keine Trunkenheit im Straßenverkehr vorlag. Nach unserem Tätigwerden wird sich die Datenübermittlung künftig strikt an die Vorgaben der Straßenverkehrsgesetze halten.

8. Das Landgericht Kiel betreibt einen Schulungsraum, der mit dem restlichen Netz des Gerichts verbunden ist. Aufgrund einer unzureichenden Absicherung bestand die Gefahr, dass von dort Angriffe auf Datenbestände der Justiz unternommen werden konnten. Mit Vertretern des Ministeriums und des Landgerichts haben wir ein Konzept erarbeitet, mit dem die Sicherheit im Schulungsraum ohne großen finanziellen und systemadministrativen Aufwand gewährleistet werden kann.

9. Auf der Grundlage schwer zu durchschauender Lizenzvereinbarungen versuchte die Firma Microsoft, von Kunden unbemerkt Änderungen an den Betriebssystemen online vornehmen zu können. Angepriesen wurde diese Methode mit dem Angebot, fehlerberichtigende Software (Patches) zum frühestmöglichen Zeitpunkt einzuspielen. Nicht erwähnt wurde, dass Microsoft damit die volle Verfügungsgewalt über das Betriebssystem erlangt hätte und auch die Datenbestände hätte ausspähen können. Nach dem von uns initiierten Protest der Datenschutzbeauftragten des Bundes und der Länder bietet Microsoft nunmehr ein datenschutzrechtlich und sicherheitstechnisch besseres Verfahren an.

10. In schleswig-holsteinischen Justizvollzugsanstalten wurden medizinische Gutachten mit intimen Angaben auch über Opfer von Straftätern so vorgehalten, dass weit mehr Personen Zugriff darauf hatten, als dies für die Aufgabenerfüllung erforderlich war. Durch unser Tätigwerden konnte erreicht werden, dass diese sensiblen Informationen künftig getrennt von der Gefangenenpersonalakte so aufbewahrt werden, dass nur ein kontrollierter Zugriff möglich ist.

11. Pressewirksam wurde wiederholt die Forderung erhoben, Bewährungshelfer müssten Daten ihrer Probanden freizügig an die Polizei übermitteln dürfen. Neben einer Störung des Vertrauensverhältnisses zwischen Bewährungshelfer und Proband hätte dies zu überflüssigen Datenübermittlungen geführt. Nunmehr hat das Justizministerium unsere Auffassung bekräftig, dass die Einschaltung der Polizei nur dann in Betracht kommt, wenn konkrete Anhaltspunkte für neue Straftaten vorliegen.

12. Detekteien und Sicherheitsunternehmen verarbeiten in erheblichem Umfang personenbezogene Daten und greifen in die Privatsphäre ihrer ”Zielpersonen” ein. Vor allem die systematische Observation des Privatlebens darf nur unter strikt rechtlichen Bedingungen erfolgen. Nach unseren Beanstandungen stellte ein geprüftes Sicherheitsunternehmen seine bedenkliche Observationspraxis komplett ein.

13. Bei der Zweitwohnungssteuer wurden in den vergangenen Jahren regelmäßig mehr Daten erhoben als zulässig. Auf diesem Weg erhielten die Kommunen vor allem persönliche Daten über Übernachtungs- und Kurgäste. Nach unserer Intervention schränkten die kritisierten Kommunen ihre Vordrucke entsprechend ein.

14. Ein Unternehmen plante die Einführung einer Revisionssoftware, die sämtliche Vorgänge an seinen Kassen erfassen und auswerten sollte. Die Kassenmitarbeiter wären bei einer ungeregelten Nutzung der Software einer lückenlosen Überwachung durch den Arbeitgeber ausgesetzt gewesen. Wir haben die Software begutachtet und die Bedingungen für einen rechtmäßigen Einsatz formuliert. Unsere rechtlichen Wertungen sind in eine Gesamtbetriebsvereinbarung umgesetzt worden, in der sowohl eine effektive Revision als auch der Schutz der Arbeitnehmer gewährleistet ist.

15. In bestimmten Ausnahmefällen darf mit personenbezogenen Krebsregisterdaten geforscht werden. Damit ohne sein Wissen kein ”Gesamtbild” eines Krebskranken entstehen kann, sind die Forschungsprojekte gegeneinander abzuschotten. Nach einer Prüfung des Krebsregisters sind die Maßnahmen zur Trennung der Datenbestände so verbessert worden, dass die Gefahr unzulässiger Verknüpfungen praktisch nicht mehr gegeben ist.

16. Viele Benutzer von Arbeitsplatzrechnern haben Zweifel, ob die von den Systemadministratoren vorgegebenen Sicherheitsmaßnahmen tatsächlich ausreichend sind. Da ihnen zumeist nicht bekannt ist, welcher Sicherheitsstandard möglich ist, haben sie keine Möglichkeit zu kritischen Fragen. Unser neues backUP-Magazin versetzt sie in die Lage, die erforderliche Sicherheit am Arbeitsplatz einzufordern. Nutznießer sind die Bürgerinnen und Bürger, deren Daten verarbeitet werden. Auf diese Weise wird insbesondere die Vertraulichkeit der Datenverarbeitungsprozesse verbessert.

17. Unsere Hinweise auf die erforderlichen (Mindest-)Sicherheitsmaßnahmen und die verbleibenden Restrisiken der in der Verwaltung eingesetzten Betriebssysteme der Firma Microsoft gehören in der Zwischenzeit zur Standardliteratur von Systemadministratoren. Selbst die Firma Microsoft empfiehlt die Einhaltung unserer Empfehlungen. Man kann wegen der weiten Verbreitung der backUP-Magazine davon ausgehen, dass durch sie das Sicherheitsniveau der IT-Systeme verbessert wird.

18. Bei einer Versicherung war es im Rahmen der engen Zusammenarbeit mit Sparkassen ”üblich”, medizinische Daten aus den Unterlagen über Lebensversicherungen an die örtliche Sparkassenfiliale zu schicken. Auf unser Betreiben hin hat die Versicherungsgesellschaft ihr Verfahren geändert und zugesagt, künftig derartige Unterlagen mit medizinischen Einzelheiten nur noch an den Betroffenen selbst zu übersenden.

19. Die Telefonseelsorge im Internet ist als Beratungsangebot für manche Menschen in brisanten Situationen der letzte Ausweg. Wesensmerkmal der Telefonseelsorge ist, dass sie auf Wunsch anonym erfolgt. Kirchliche Stellen empfehlen die Nutzung unseres Anonymitätsdienstes AN.ON.

20. Die chinesische Regierung betreibt eine rigide Zensur des Internet-Verkehrs von Nutzern in China, sodass zahlreiche Internet-Angebote gesperrt werden. Dies betrifft auch deutsche Firmen, die in China tätig sind. Mittels AN.ON ist es ihnen möglich, diese Zensur zu umgehen und auch auf von der Regierung nicht überwachte Internet-Angebote zuzugreifen.

21. In der Ärzteschaft, der Zahnärzteschaft und bei den Patientinnen und Patienten besteht oft Unsicherheit, welche Ansprüche und welche Pflichten aus Datenschutzsicht bestehen. Folge dieser Unsicherheit ist, dass aufgrund falscher Befürchtungen wichtige Informationen vorenthalten werden oder aber ohne rechtliche Grundlage das Patientengeheimnis und damit die Vertrauensbeziehung zwischen Arzt und Patient verletzt wird. Gemeinsam mit den Kammern der Ärzte und der Zahnärzte haben wir auch im Berichtsjahr mit unserer Aktion ”Datenschutz in meiner Arztpraxis” allen Betroffenen Informationen und Hilfen für die typischen Problemlagen gegeben.

22. Über Jahre hinweg bestand ein Konflikt zwischen Krankenhäusern und Krankenkassen hinsichtlich der Kostenabrechnung: Unter der Androhung, anderenfalls die Kosten nicht zu tragen, erreichten die Krankenkassen, dass ihnen auch sensibelste Arztunterlagen übergeben wurden, auf die sie keinen Anspruch hatten. Im Rahmen eines Schiedsverfahrens machten wir einen von allen Seiten akzeptierten und nunmehr landesweiten praktizierten Vorschlag, der den Krankenkassen eine Plausibilitätskontrolle von Abrechnungen ermöglicht, ohne dass dabei ein Übermaß an Patientendaten an die Kassen gelangt.