04

Kernpunkte:

  • Landesdatenschutzgesetz
  • Mehr Transparenz im Land

4    Datenschutz in der Verwaltung

4.1          Allgemeine Verwaltung

4.1.1       Entwurf eines E-Government -Gesetzes des Bundes

Mit dem im September 2012 vom Bundeskabinett verabschiedeten Entwurf eines E-Government-Gesetzes sollen die von der Bundesregierung geförderten IT-Infrastrukturmaßnahmen für nut­zerfreundliche und effiziente Verwaltungsdienste nutzbar gemacht werden.

Das ULD geht davon aus, dass der Entwurf eines Gesetzes zur Förderung der elektronischen Verwal­tung sowie zur Änderung weiterer Vorschriften (E‑Government-Gesetz), auch wenn es dem Wort­laut nach auf Bundesbehörden beschränkt ist, starke Auswirkungen auf die Länder und deren Verarbeitung personenbezogener Daten durch öffentliche Stellen haben wird. Ziel des Gesetzes soll es sein, durch den Abbau bundesrechtlicher Hindernisse generell die elektronische Kommuni­kation mit der Verwaltung zu erleichtern.

Das ULD begrüßt im Wesentlichen die vorge­schlagenen Regelungen. Sie können in den Berei­chen der elektronischen Aktenführung und elek­tronischen Kommunikation mit Bürgerinnen und Bürgern Rechtssicherheit und Rechtsklarheit brin­gen. Um den datenschutzkonformen Einsatz der elektronischen Kommunikation zu gewährleisten, sind aber noch Änderungen nötig.

So sind die Rechte der Betroffenen bei Einsicht in elektronische Akten und die Verhältnisse zu ande­ren Informationszugangsrechten, wie z. B. dem Informationszugangsgesetz und dem Geodaten­infrastrukturgesetz des Landes Schleswig-Holstein, nicht ausreichend klar dargelegt. Datenschutz­rechtlich relevant sind die Regelungen zur elektro­nischen Kommunikation über die De-Mail. So soll es den Bürgerinnen und Bürgern nicht ermöglicht werden, differenziert nur mit einzelnen Behörden über De-Mail zu kommunizieren. Die Veröffent­lichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnis­dienst gilt generell als Zugangseröffnung. Mit Ablage der De-Mail im Postfach gilt ein Verwal-­
tungsakt bzw. das Verfahrensschriftstück als zuge­gangen. Die für die Briefpost geltende Dreitages­fiktion soll nicht anwendbar sein; dies ist nicht gerade verbraucherfreundlich.

Gemäß dem Entwurf soll § 36a Abs. 2 SGB I geändert werden, wonach künftig bei der Kommu­nikation mit den Krankenkassen die Versicherten ihre Identität auch mit der elektronischen Gesund­heitskarte (eGK) elektronisch nachweisen können. Dies bedeutet, dass die eGK entgegen den gelten­den Bestimmungen in § 291a SGB V gegenüber der Krankenkasse als Identitätsnachweis genutzt werden darf, während in allen anderen vom E‑Government-Gesetz erfassten Fällen nur der neue Personalausweis mit seinen höheren Sicher­heitsanforderungen akzeptiert wird. Die eGK und deren Technik sind nicht für Identifikationsnach­weise konzipiert. Eine Nachrüstung der eGK mit den zum Personalausweis geltenden Sicherheits­merkmalen ist nicht sinnvoll, zumal 75 % der elektronischen Gesundheitskarten im Jahr 2012 schon ausgegeben worden sind.

Der Entwurf sieht für sämtliche Verwaltungs­kommunikation vor, dass beim Versenden von Daten durch eine De-Mail-Nachricht die jeweiligen akkreditierten Diensteanbieter eine kurzfristige automatische Entschlüsselung zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht vornehmen sollen.

Entsprechendes soll für Sozial- und Steuerdaten durch eine Änderung des Sozialgesetzbuches X und der Abgabenordnung gelten. Dies hätte zur Folge, dass De-Mail-Nachrichten mit Daten, die dem Sozial- oder dem Steuergeheimnis unterlie­gen, durch Dritte zur Kenntnis genommen werden könnten, was deren Vertraulichkeit beeinträch­tigen würde. Eine derartige Durchbrechung des Sozial- und des Steuergeheimnisses weitet die Zugangsmöglichkeit dieser besonders schutzbe-­
dürftigen Daten ohne ausreichende Absicherun­gen unerwünscht aus. Durch eine Ende-zu-Ende-Verschlüsselung bei De‑Mail könnte dagegen ein angemessenes Schutzniveau für die Versendung besonders schutzbedürftiger personenbezogener Daten erreicht werden.

Was ist zu tun?

Im Gesetzgebungsverfahren sollte der E-Government-Gesetzentwurf entsprechend nachgebessert werden.

 

4.1.2       Outsourcing  öffentlich-rechtlicher Forderungen an private Inkassobüros

Unterstützungsleistungen privater Inkassobüros bei der Einziehung öffentlich-rechtlicher Forde­rungen sind nicht generell unzulässig. Sie unter­liegen aber im Hinblick auf den Funktionsvor­behalt für den öffentlichen Dienst Restriktionen.

Bereits im Jahr 2003 haben wir uns eingehend mit der Einziehung privatrechtlicher kommunaler Forderungen durch private Inkassobüros befasst (25. TB, Tz. 4.1.5). Datenschutzrechtliche Bedenken können dadurch ausgeräumt werden, wenn für die Einhaltung der strengen Maßgaben zur Auftrags­datenverarbeitung gesorgt wird. Dies lässt sich allerdings nicht ohne Weiteres auf die Einziehung öffentlich-rechtlicher Forderungen übertragen. Das Landesverwaltungsgesetz erlaubt die Übertra­gung von Aufgaben der öffentlichen Verwaltung zur Erledigung in den Handlungsformen des pri­vaten Rechts nur durch oder aufgrund eines Gesetzes. Eine solche Norm für die eigenverant­wortliche Übertragung von Vollstreckungstätig­keiten auf Private besteht nicht. § 17 Abs. 6 LDSG erlaubt für den engen Bereich der beratenden oder begutachtenden Tätigkeiten im Zweifel die Übermittlung personenbezogener Daten, soweit dadurch die Grenzen der Auftragsdatenverarbei­tung, insbesondere die Notwendigkeit der Ertei­lung abschließender Weisungen für die Durch­führung des Auftrages, nicht außer Acht gelassen werden. Darüber hinaus muss sich Auftragsdaten­verarbeitung auf bloße Hilfstätigkeiten ohne eigene Gestaltungs- und Entscheidungsmöglich­keiten des Auftragnehmers beschränken. Ein hoheitliches Auftreten des Auftragnehmers nach außen ist in jedem Fall ausgeschlossen.

Fraglich ist zudem, ob und in welchem Umfang eine Auftragsdatenverarbeitung im Kernbereich originärer Staatsaufgaben verantwortbar ist. Im Datenschutzrecht findet dieser Kernbereich z. B. darin seinen Ausdruck, dass für Steuerverfahren in der Abgabenordnung die Offenbarung personen­bezogener Daten in sehr engen materiellen Gren­zen abschließend geregelt ist. Eine Anwendung landesrechtlicher Vorschriften zur Auftragsdaten­verarbeitung würde gegen höherrangiges Recht verstoßen und scheidet deshalb für diesen Bereich aus. Entsprechendes gilt für personenbezogene Daten, die einem besonderen Berufs- oder Amts­geheimnis, etwa der ärztlichen Schweigepflicht, unterliegen.

Angesichts dieser Anforderungen bleiben bei der Einziehung öffentlich-rechtlicher Forderungen nur wenige Hilfs- und Unterstützungstätigkeiten, die einem privaten Inkassobüro übertragen werden können. Zugleich muss die Behörde einen nicht unerheblichen Verwaltungsaufwand auf sich neh­men, um ausreichend detaillierte Verträge und Weisungen mit dem Auftragnehmer zu verein­baren und um anschließend die ordnungsgemäße Erfüllung des Auftrags zu kontrollieren. Angesichts dessen und der generellen Risiken, die immer mit einer Bekanntgabe besonders geschützter Daten aus hoheitlichen Verfahren an private Stellen verbunden sind, muss von einer Beteiligung privater Inkassobüros an der Einziehung öffentlich-rechtlicher Forderungen grundsätzlich abgeraten werden.

Was ist zu tun?

Schleswig-holsteinische Behörden sollten bei der Vollstreckung öffentlich-rechtlicher Forderungen auf die Einschaltung privater Inkassobüros in Form einer Auftragsdatenverarbeitung verzichten.

 

4.1.3       Geodaten  und Verhaltenskodex

Die Datenschutzbeauftragten von Bund und Ländern sowie die Kommission für Geoinforma­tionswirtschaft (GIW) des Bundesministeriums für Wirtschaft und Technologie erarbeiten ein ge­meinsames Konzept zur datenschutzkonformen Geodatennutzung durch Wirtschaftsunternehmen und zur Bereitstellung von Geodatendiensten durch öffentliche Stellen.

Im Rahmen der Erarbeitung des Konzeptpapieres erwies es sich als sinnvoll, dass eine Abstimmung mit dem Landesvermessungsamt Schleswig-Holstein und dem Innenministerium des Landes Schleswig-Holstein stattfand. Auf Grundlage der erarbeiteten Studien des ULD aus den Jahren 2007, 2008 und 2010 konnten wir gemeinsam die wesentlichen Eckpunkte aus schleswig-holsteini­scher Sicht festlegen.

https://www.datenschutzzentrum.de/geodaten/

Das ULD und das Landesvermessungsamt gehen davon aus, dass schutzwürdige Interessen Betrof­fener durch eine Übermittlung von Geodaten grundsätzlich nicht beeinträchtigt werden, wenn ein Kartenmaßstab größer als 1:5000 oder bei Bilddaten eine Auflösung von 20 cm pro Bildpunkt (Pixel) verwendet wird. Entsprechendes soll für Flächen gelten, die in einem Raster von mindes­tens 100 Meter mal 100 Meter dargestellt sind, sowie für Informationen, bei denen Daten von mindestens acht Haushalten aggregiert wurden.

Wollen Unternehmen darüber hinausgehende Geodaten mit Personenbezug erhalten und weiter­verarbeiten, so planen die Landesbeauftragten und der Bundesbeauftragte für Datenschutz und die GIW-Kommission, ein Akkreditierungsverfahren für diese Unternehmen zu etablieren. Für die Akkreditierung selbst müssen die Unternehmen das Vorliegen eines Datenschutzmanagement­systems mit einem betrieblichen Datenschutz­beauftragten, geeigneten technisch-organisatori­schen Maßnahmen nach § 9 BDSG, geeigneten Transparenzmaßnahmen, einer regelmäßigen Auditierung und einem Beschwerdemanagement nachweisen. Hat eine Akkreditierung des Unter­nehmens stattgefunden, so soll dies bei der Prüfung der schutzwürdigen Interessen Betroffe­ner und der Nutzungsinteressen der Unternehmen durch die Geodaten haltende öffentliche Stelle berücksichtigt werden.

Wie und in welcher Form das Konzept von den Landesbeauftragten für den Datenschutz, dem Bundesbeauftragten für den Datenschutz und der GIW-Kommission verabschiedet wird, ist noch nicht abschließend entschieden. Für Schleswig-Holstein ist die Festlegung der aufgeführten Eckpunkte bereits in der Praxis bei Anfragen zu Geodaten hilfreich und kann technisch im Rahmen der Geodateninfrastruktur umgesetzt werden.


4.1.4       Geodaten  und das Geodateninfrastrukturgesetz  (GDIG)

Gemeinsam mit dem Landesamt für Vermessung Schleswig-Holstein hat das ULD entsprechend der sogenannten Ampelstudie die Kriterien zur Bewer­tung der Sensibilität von Geoinformationen weiter­entwickelt und eine Klassifizierung vorgenommen.

Bei der Umsetzung der europäischen INSPIRE-Richtlinie, die zur Bereitstellung von behördlichen Geodaten für die Öffentlichkeit verpflichtet (30. TB, Tz. 8.14), hat das ULD für die einzelnen dort aufgeführten Daten eine Kategorisierung entspre-­
chend einem vom ULD entwickelten Ampelsystem (31. TB, Tz. 5.2) gemeinsam mit dem Landesver­messungsamt vorgenommen. Für die im Annex I der INSPIRE-Richtlinie genannten Daten konnte weitgehend festgestellt werden, dass keine schutz­würdigen Belange von Personen betroffen sind, sodass aus Datenschutzgründen grundsätzlich keine Einwände gegen eine Veröffentlichung – auch über das Internet – bestehen. Eine solche Veröffentlichung erfolgt über das Geoportal des Landes Schleswig-Holstein:

http://www.gdi-sh.de/GDISH/DE/Service/GdiShDatenschutz/gdiShDatenschutz_node.html

 

4.1.5       Einheitliches Zeitwirtschaftssystem  der Landesverwaltung

Elektronische Zeiterfassungssysteme sind mittler­weile zu komplexen Verfahren mutiert, in denen für unterschiedliche Zwecke auch Urlaubs- und Krankheitsdaten verwaltet werden.

Im Wortlaut: § 59 Abs. 1 MBG SH

Allgemeine Regelungen in Angelegenheiten, die nach § 51 der Mitbestimmung unterliegen und die über den Geschäftsbereich einer obersten Landesbehörde hinausgehen, sind zwischen den Spitzenorganisationen der zuständigen Gewerkschaften und der zuständigen obersten Landesbehörde zu vereinbaren.

Zur Modernisierung und Steigerung der Wirt­schaftlichkeit der Landesverwaltung führt das Innenministerium als ressortübergreifendes Ver­fahren ein zentrales digitales Zeitwirtschaftssystem ein. Nach einer europaweiten Ausschreibung erhielt ein Produkt den Zuschlag, dessen Einsatz nicht nur einheitliche neue Hardware, sondern auch einheitliche Regelungen und Vorgaben zum Datenumgang nötig macht. Diese sind in Form einer Vereinbarung nach § 59 Mitbestimmungs­gesetz Schleswig-Holstein (MBG SH) inzwischen geschaffen worden, die als öffentlich-rechtlicher Vertrag als Befugnisgrundlage zur Datenverar­beitung infrage kommt. In Vorbereitung der Verhandlungen mit den Spitzenorganisationen der Gewerkschaften haben wir das zuständige Finanz­ministerium bei der Erstellung eines entspre­chenden Entwurfstextes beraten und folgende Punkte herausgearbeitet:

  • Einrichtung einer zentralen Leitstelle

Um die mit einem einheitlichen Verfahren verbun­denen Synergieeffekte real nutzen zu können, war von Anfang an geplant, die Zugriffsberechti­gungen und Rollen durch eine ressortübergreifen­de Leitstelle für das digitale Zeitwirtschaftssystem zu vergeben. Diese sollte über die Berechtigung zur Wahrnehmung von Wartungsarbeiten und von vergleichbaren Unterstützungstätigkeiten verfü­gen sowie für Test und Freigabe des Systems verantwortlich sein. Da damit die Grenzen der Auftragsdatenverarbeitung weit überschritten werden, musste ein neuer Lösungsansatz gesucht werden.

Ähnliche Leitstellenprobleme treten auch in ande­ren Verfahren auf. Eine Neuregelung im LDSG gibt hierauf eine Antwort: Danach kann durch Rechts­verordnung der für das Verfahren zuständigen obersten Landesbehörde festgelegt werden, dass die Verantwortung für die Rechtmäßigkeit des automatisierten Verfahrens von der Verantwor­tung für die gespeicherten Daten abgetrennt und einer zentralen Stelle übertragen wird. Eine solche Funktionsübertragung ist nach dem Landesverwal­tungsgesetz nur durch oder aufgrund eines Gesetzes zulässig. Die „Landesverordnung über die zentrale Stelle für das einheitliche und zentrale digitale Zeitsystem der Landesverwaltung Schles­wig-Holstein“ ist inzwischen in Kraft. Erhebliche Einspareffekte ergaben sich schon allein dadurch, dass Dokumentation, Test, Freigabe und Vorab­kontrolle für das Verfahren nur von einer Stelle vorgenommen werden mussten.

  • Speicherfristen

Mit dem Finanzministerium besteht Einigkeit darüber, dass es sich bei den im Verfahren gespeicherten personenbezogenen Daten um sogenannte Personalaktendaten im beamten­rechtlichen Sinn handelt. Für Urlaubs- und Krank­heitsdaten legt das Beamtenrecht ausdrücklich eine Speicherfrist von fünf Jahren nach Ablauf des Jahres, in dem die Bearbeitung des einzelnen Vorgangs abgeschlossen wurde, fest. Für Arbeits­zeitdaten besteht keine vergleichbare spezielle Regelung. Diese Daten sind gemäß den allge­meinen Regeln zu löschen, wenn sie zur recht­mäßigen Aufgabenerfüllung der datenverarbeiten­den Stelle nicht mehr erforderlich sind. Zwischen dem Ministerium und dem ULD konnte Einver­nehmen erzielt werden, dass weder für Revisions­zwecke noch für statistische Auswertungen zum Zweck der Personalplanung oder der Personalwirt­schaft eine personenbezogene Speicherung für mehr als ein Jahr erforderlich ist. Die Frist wurde deshalb entsprechend verkürzt.

  • Revision der Arbeitszeitdaten

Das Erforderlichkeitsprinzip und das besondere Vertraulichkeitsgebot für Personalakten verpflich­ten dazu, Kenntnisnahmen innerhalb einer Verwal­tung nur so weit zuzulassen, wie dies im Rahmen ihrer funktionalen Zuständigkeit notwendig ist. Dabei ist der Gesetzgeber davon ausgegangen, dass Personalverwaltungsaufgaben in einer eigen­ständigen Organisationseinheit, losgelöst von den unmittelbaren Dienst- und Fachaufsichtsaufgaben unmittelbarer Vorgesetzter, wahrgenommen wer­den. Das Beamtenrecht beschränkt das Zugangs­recht zu Personalakten auf Beschäftigte, die mit der Bearbeitung von Personalangelegenheiten beauftragt sind. Andere Mitarbeiter, und damit sind insbesondere die unmittelbaren Vorgesetzten gemeint, dürfen nur im Einzelfall die für ihre Aufgabenerfüllung tatsächlich erforderlichen Daten zur Kenntnis erhalten.

Zur notwendigen Revision der Arbeitszeitdaten der Mitarbeiter gehört eine Plausibilitätsprüfung der erfolgten Buchungen. Entsprechende Kennt­nisse über Abwesenheiten der Mitarbeiter sind üblicherweise nur bei den zuständigen Fachvor­gesetzten vorhanden. Diese haben deshalb die erfassten Daten auf ihre Richtigkeit hin zu über­prüfen. Darüber hinaus ist eine Einsicht in diese automatisierte Personalteilakte des Mitarbeiters nicht erforderlich. Aus der Natur der Sache heraus muss eine Revision zeitnah erfolgen, da dem Beschäftigten bei Unstimmigkeiten eine Stellung­nahme nur zuzumuten ist, wenn er sich an die Umstände einzelner Buchungen noch erinnern kann. Als zumutbare Frist können drei Monate angesehen werden.

In der Ausschreibung für das Zeitwirtschaftssystem war vorgesehen, nur ein einmaliges Leserecht der Fachvorgesetzten in den Arbeitszeitkonten ihrer Mitarbeiter zu erlauben. Gleichzeitig sollte ein entsprechender Prüfungsvermerk protokolliert werden. Leider ist das ausgewählte Produkt nicht in der Lage, diese Anforderung zu erfüllen. Als Alternative haben wir uns mit dem Finanzminis­terium darauf verständigt, dass den Fachvorge­setzten ein eingeschränktes Leserecht für drei Monate rückwirkend ab Monatsabschluss einge­räumt werden soll. Diese Frist berücksichtigt den Umstand, dass Vorgesetzten nicht immer unmittel­bar nach Monatsschluss eine Plausibilitätsprüfung möglich ist, weil sie selbst krank sind oder sich im Urlaub befinden. Alle lesenden Zugriffe der Vorgesetzten sollen protokolliert und im Konto der Mitarbeiter angezeigt werden. Diese Anforderung wurde inzwischen technisch umgesetzt. Damit ist eine ausreichende Revisionsfähigkeit gegeben.

 

4.1.6       KoPers  – ein neues Personalmanagementsystem

Das neue Personalmanagementsystem KoPers ist als „integriertes Verfahren“ geplant, in dem not­wendige Personaldaten sowohl für Personalver­waltungs- als auch für -abrechnungszwecke nur einmal vorgehalten werden. Wesentliche Einspa­rungen und Rationalisierungseffekte werden damit angestrebt.

Um dieses Ziel zu erreichen, sind noch einige Hürden zu überwinden. Ursprünglich sollte die Einführung ausschließlich elektronisch geführter Personalakten in KoPers erst in einer späteren Ausbaustufe erfolgen. Allerdings mussten wir bei einer Prüfung im Finanzverwaltungsamt fest­stellen, dass die dort geführten Besoldungs-, Vergütungs- und Beihilfeakten bereits seit Länge­rem nur noch papierlos vorgehalten werden. Eine entsprechende Ermächtigung ist zwar im Landes­beamtengesetz enthalten. Allerdings sind bei solchen Akten die Vertraulichkeit der Daten sowie die Rechte der Betroffenen durch geeignete tech­nische und organisatorische Maßnahmen sicher­zustellen. Hierzu gehört nicht nur deren Personal­akteneinsichtsrecht, sondern auch der Anspruch auf effektiven Rechtsschutz durch eine beweis­sichere Dokumentation der sie betreffenden dienstrechtlichen Entscheidungen in ihrer elektro­nischen Personalakte. Die zu ergreifenden Maß­nahmen müssen dem Stand der Technik entspre­chen und im Hinblick auf die Schutzbedürftigkeit der Daten erforderlich und angemessen sein.

Aus unserer Sicht kann nur eine qualifizierte elek­tronische Signatur diesen Anforderungen ange­messen genügen. Eine solche Signatur ist seit Anfang 2012 im Personenstandswesen zwingend vorgeschrieben. Nennenswerte Probleme sind hierbei in der Praxis nicht aufgetreten. Ein personeller Mehraufwand bei der Bearbeitung war nicht festzustellen. Auch die Kosten für die auszustellenden Signaturkarten blieben im vertret­baren Rahmen. Eine entsprechende Klarstellung für elektronische Personalakten im Landesbeam­tengesetz, wie sie beispielsweise in Mecklenburg-Vorpommern besteht, wäre hier sehr hilfreich.

Die Personalakte dient der rechtssicheren Doku­mentation des Rechtsverhältnisses zwischen dem Beschäftigten und seinem Dienstherrn. Insoweit haben papierene Dokumente in Personalakten wegen ihrer hohen Fälschungssicherheit als Urkunde einen hohen Beweiswert. Nachträgliche Veränderungen oder Einfügungen sind relativ leicht zu erkennen und nachzuweisen. Die für das Dokument verantwortliche Person kann durch ihre handschriftliche Unterschrift zweifelsfrei identifi­ziert werden. Eine vergleichbare Beweiskraft für elektronisch gespeicherte Dokumente liegt nach der Zivilprozessordnung erst vor, wenn sie mit einer qualifizierten elektronischen Signatur verse­hen sind.

Eine Dokumentation der für elektronische Perso­nalakten getroffenen Datensicherheitsmaßnah­men des Finanzverwaltungsamtes lag uns bis Redaktionsschluss noch nicht vor. Es besteht aber Einvernehmen, dass der Status quo nicht für KoPers übernommen werden kann. Wir empfehlen als zukunftsfähige Lösung die Einführung der qualifizierten elektronischen Signatur, weil damit ein Höchstmaß an Datensicherheit auf Dokumen­tenebene erreicht werden kann. Für die Über­nahme papierener Unterlagen in elektronische Personalakten können so alle beim Finanzverwal­tungsamt eingescannten Dokumente vor der Vernichtung per Sammelsignatur beweiskräftig gesichert werden. Entscheidungen über Besol­dung und Vergütung, die den Betroffenen per Stammblatt mitgeteilt werden, können zusätzlich als elektronisches Dokument im Verfahren gespei­chert und ebenfalls durch eine qualifizierte elektro-­
nische Signatur gesichert werden. Damit wäre gleichzeitig eine halbwegs verständliche Einsicht­nahme für Betroffene in ihre elektronische Perso­nalakte möglich.

Neu bei KoPers wird die Einrichtung einer zentra­len Stelle für die Gewährleistung der Ordnungs­mäßigkeit der automatisierten Datenverarbeitung sein. Diese wurde notwendig, weil das Verfahren für den gesamten Bereich der Landesverwaltung nach einheitlichen Merkmalen bei Dataport als Auftragnehmer betrieben werden soll. Aufgabe der zentralen Stelle ist es, die technischen und fachlichen Anforderungen für das Land als Auftraggeber gegenüber Dataport zu definieren und anschließend deren Einhaltung zu kontrollie­ren und zu dokumentieren.

Die zentrale Stelle wurde inzwischen per Rechts­verordnung auf der Grundlage des Landesdaten­schutzgesetzes bei der Staatskanzlei eingerichtet. Damit erfolgt eine organisatorische Trennung zwischen der Verantwortung für das automati­sierte Verfahren und der Verantwortung für die Richtigkeit der Daten, die weiter bei den personal­verwaltenden Stellen verbleibt. Derartige zentrale Verfahren sind tatsächlich nur beherrschbar, wenn dafür eine zentral verantwortliche Stelle geschaf­fen wird. Mit der Trennung der Verantwortung entstehen neue Fragen zur Zusammenarbeit zwischen der zentralen und den beteiligten Stellen, zu den Verwaltungsabläufen bei Mängeln im Verfahren sowie zur Verantwortung für Perso­nalentscheidungen gegenüber den Betroffenen. Noch zu erarbeitende Einzelheiten lassen sich in den nach der Landesverordnung für die Errichtung der zentralen Stelle vorgesehenen Nutzungs­bestimmungen regeln. Alle Beteiligten sollten sich im Klaren sein, dass hier noch Pionierarbeit zu leisten ist, bei der wir gerne weiterhin beraten.

 

4.1.7       Übertragung von IT-Dienstleistungen auf einen Zweckverband

Ein Zweckverband wird durch die Übertragung von öffentlich-rechtlichen Aufgaben der ange­schlossenen Verbandskommunen zur datenverar­beitenden und damit verantwortlichen Stelle im Sinne des LDSG. Der Aufgabenübergang kann auch „teilweise“ erfolgen. So besteht die Mög­lichkeit, die Verantwortung für die Ordnungs­mäßigkeit eines automatisierten Verfahrens von der Verantwortung für die Richtigkeit der Daten abzutrennen und separat auf den Zweckverband zu übertragen.

Einem Zweckverband waren von den angeschlos­senen Kommunen die Erbringung von IT-Dienst­leistungen als eigene Aufgabe übertragen worden. Wir prüften zunächst, ob eine Auftragsdaten­verarbeitung oder eine Funktionsübertragung vor­lag. Eine Auftragsdatenverarbeitung nach dem LDSG kommt nur in Betracht, soweit keine eigene Zuständigkeit bzw. rechtliche Verantwortung für die jeweilige Datenverarbeitung beim Zweckver­band besteht. Eine rechtliche Verantwortung setzt nach dem Landesverwaltungsgesetz voraus, dass
Aufgaben der öffentlichen Verwaltung zur Erle­digung in den Handlungsformen des öffentlichen Rechts durch Gesetz oder aufgrund eines Gesetzes übertragen werden. Genau dies war im vorliegen­den Fall geschehen.

Das Gesetz über die kommunale Zusammenarbeit (GkZ) erlaubt ausdrücklich die Übertragung von Aufgaben der öffentlichen Verwaltung auf einen Zweckverband. Rechte und Pflichten der an einem Zweckverband beteiligten Kommunen gehen zur Erfüllung der Aufgaben der öffentlichen Verwal­tung, die dem Zweckverband übertragen werden, einschließlich des Satzungs- und Verordnungs­rechts auf den Zweckverband über. Im konkreten Fall lag der für die Aufgabenübertragung bzw. für die Errichtung des Zweckverbandes erforderliche öffentlich-rechtliche Vertrag zwischen den betei­ligten Kommunen bereits vor.

Unter dem Begriff „Aufgabenübertragung“ ist die vollständige Erfüllung bestimmter sachlicher Auf­gaben (Aufgaben im materiellen Sinn) zu verste­hen. Dem Zweckverband wurden jedoch nur die bei der Aufgabenerfüllung anfallenden IT-Dienst­leistungen, also eine technische Hilfeleistung für die materielle Aufgabenerfüllung, übertragen. Insoweit sind die beteiligten Kommunen einen neuen Weg der kommunalen Zusammenarbeit gegangen. Dieser wurde erst mit der letzten Ände­rung des GkZ im Jahr 2012 dadurch eröffnet, dass eine partielle Aufgabenübertragung zugelassen wurde.

Gemäß der Gesetzesbegründung soll die Ergän­zung, wonach dem Zweckverband Aufgaben der öffentlichen Verwaltung nunmehr „ganz oder teilweise“ übertragen werden können, der Angleichung der Begrifflichkeit an die Regelungen zu Kommunalunternehmen in der Gemeinde­ordnung dienen und das Instrument „Zweck­verband“ als Form der kommunalen Zusammen­arbeit auch für verwaltungsinterne Dienstleistun­gen nutzbar machen. Hierzu gehöre insbesondere die Unterstützung der öffentlichen Verwaltung durch Informations- und Kommunikationstech­niken. Die Kommunen könnten so den Aufgaben­bereich des Zweckverbandes flexibel gestalten,
sodass dieser auch quasi als „Erfüllungsgehilfe“ für die Kommunen tätig werden kann und die Kommune Aufgabenträger bleibt.

Die Neuregelung verfolgt also weitgehend den gleichen Zweck wie die Regelung über die Einrichtung einer zentralen Stelle im LDSG. In beiden Fällen wird die Verantwortung für die Ordnungsmäßigkeit des automatisierten Verfah­rens von der Verantwortung für die gespeicherten Daten getrennt. Der Zweckverband wird für das automatisierte Verfahren zur verantwortlichen Stelle. Die Einzelheiten regelt hier allerdings nicht eine Verordnung, sondern ein öffentlich-recht­licher Vertrag bzw. die Verbandssatzung. Mit der Gründung des Zweckverbandes geben die beteiligten Kommunen insoweit ihre Zuständigkeit für die Erbringung von IT-Dienstleistungen auf. Damit geht die Verantwortung für die Ordnungs­mäßigkeit der automatisierten Verarbeitung perso­nenbezogener Daten vollständig auf den Zweck­verband über.

Eine Auftragsdatenverarbeitung durch den Zweck­verband kommt in diesem Zusammenhang noch in Betracht, wenn dem Zweckverband nicht angehörende dritte Stellen entsprechende Aufträ­ge erteilen. Es ist z. B. Auftragsdatenverarbeitung, wenn der Zweckverband für angeschlossene Schulträger administrative IT-Dienstleistungen bei Schulgeräten vornimmt, da die Schulen eigen­ständige datenverarbeitende Stellen sind. Die Ver­antwortung für die Verarbeitung der personen­bezogenen Daten der Schülerinnen und Schüler sowie der Eltern trägt nach der Datenschutz­verordnung Schule die Schulleiterin oder der Schulleiter. Ist bei einem Verbandsmitglied ein Schulamt eingerichtet, so ist das Schulamt als untere Landesbehörde ebenfalls eine eigenstän­dige datenverarbeitende Stelle. Die Administration der dortigen EDV-Geräte ist ebenfalls Auftrags­datenverarbeitung. Entsprechendes gilt für die personenbezogene Verarbeitung auf Geräten, die vom Träger des schulpsychologischen Dienstes im Rahmen seiner Verpflichtung nach dem Schul­gesetz für die Schulpsychologinnen und Schulpsy­chologen beschafft wurden.

Was ist zu tun?

Das Modell des Zweckverbandes ist ein geeignetes Instrument zur Errichtung einer zentralen Stelle für zusammen betriebene automatisierte Verfahren im kommunalen Bereich zur Sicherung der Ordnungs­mäßigkeit des Verfahrens. Der Zweckverband bedarf dann natürlich nicht nur technischer, sondern auch fachbereichsspezifischer Kompetenz. Das mögliche Einsparpotenzial dieser Zusammenarbeit ist beträchtlich.

 

4.1.8       Kommunaler Bürgerservice – Nutzung von eIDs

Der neue Personalausweis wird seit über zwei Jahren ohne nennenswerte Probleme ausgegeben. Leider stehen dem noch immer keine ausreichen­den Nutzungsmöglichkeiten gegenüber. Öffent­liche Stellen mit intensivem Bürgerkontakt wie die Kommunen haben insofern besondere Möglich­keiten und Verpflichtungen. Die Nutzung des elek­tronischen Identitätsnachweises (eID) kann Vorbild sein für den privaten Bereich und kann die Service­qualität und Datensicherheit deutlich verbessern.

Bis Herbst 2012 wurden in Deutschland mehr als 17 Millionen neue Personalausweise (nPA) mit eID-Funktion ausgegeben. Mit Ausnahme des Ver­kehrszentralregisters beim Kraftfahrt-Bundesamt findet bis heute praktisch noch keine Nutzung im öffentlichen Sektor statt. Dabei wäre es einfach, erste kleine Schritte zu tun: Statt die Bürgerinnen und Bürger zu relativ unsicheren E-Mail-Kontakten zu ihrer Gemeinde- oder Kreisverwaltung zu verlei­ten, könnten diese auf ihrer Homepage ein Mitteilungsfenster, vergleichbar einem Webmail­verfahren, integrieren, wo das Anliegen an die Behörde über eine SSL-verschlüsselte Leitung, also auf einem sicheren Übertragungsweg, mitgeteilt werden kann. Würde dieses Vorgehen mit der eID-Funktion des neuen Personalausweises verknüpft, wäre zudem eine zweifelsfreie Identifikation des Absenders für die Behörde möglich. Die Nutzung der eID eröffnet große Potenziale beim E-Govern­ment. Anders als bei einer E-Mail könnten darüber verbindliche Anträge, z. B. für die Bereitstellung von Mülltonnen, für die Anforderung von Brief­wahlunterlagen, Meldebescheinigungen o. Ä., ge­stellt werden. Eine persönliche Vorsprache beim Amt wäre oft entbehrlich, was auch die Behörden entlasten würde.

Natürlich erfordert die Integration der eID-Funk­tion in die kommunale Homepage einen gewissen Aufwand. Dieser kann aber durch eine zentrale Organisation über einen Dienstleister, z. B. durch Dataport, minimiert werden. Vorstellbar ist auch ein zen­trales Angebot für alle Kommunen über das bestehende Schleswig-Holstein-Gateway, von wo Nachrichten gesichert an die jeweilige Kommune weitergeleitet werden könnten. Kommunale Dienst­leister könnten sich hier ein attraktives neues Geschäftsfeld eröffnen.

Wegen des hohen Sicherheitsstandards dieses Verfahrens würde zugleich eine wesentliche Ver­besserung des Datenschutzes und der Daten­sicherheit erreicht. Insbesondere könnte die bisher praktizierte unverschlüsselte E-Mail-Kommunika­tion zurückgedrängt werden.

Was ist zu tun?

Dataport sollte ebenso wie private Dienstleister prüfen, ob sie den Kommunen ein Angebot zur Integration der eID-Funktion auf kommunalen Homepages unterbreiten können. Kommunen sollten diese Wünsche an ihren Dienstleister herantragen. Bund und Land sollten über ein Angebot zur Projektförderung nachdenken.

 

4.1.9       Bürgerbegehren und der Umgang mit Unterschriftenlisten

Bürgerbegehren geben immer wieder Anlass zur Kritik beim Umgang mit den dazugehörigen Unter­schriftenlisten. Die maßgeblichen Rechtsvorschrif­ten eröffnen Interpretationsspielräume, die zu Rechtsunsicherheit führen. Das Innenministerium bemüht sich inzwischen um Klarstellungen.

In einem Fall wurde ein Bürgerbegehren mit den dazugehörigen Antragslisten bei der dafür zustän­digen Amtsverwaltung abgegeben. In diese Listen sind neben der Unterschrift der Familienname, Vorname, Wohnort mit Postleitzahl, Straße und Hausnummer sowie das Datum der Unterzeich­nung einzutragen. Mit diesen Angaben kann festgestellt werden, ob die Unterzeichner am Tag des Eingangs des Antrags bei der Gemeinde dort wahlberechtigt und damit beteiligungsberechtigt waren. Die Amtsverwaltung hatte die Antragslisten zeitnah als zuständige Meldebehörde geprüft. Anschließend wurden sie zuständigkeitshalber an die Kommunalaufsichtsbehörde abgegeben, aller­dings nicht ohne vorher zwei Kopien angefertigt zu haben. Eine Kopie war „für den Dienstgebrauch“ bestimmt, die andere wurde dem ehrenamtlichen Bürgermeister der Gemeinde zugeleitet. Seitens der Beschwerdeführer wurde zunächst vermutet, dass der Bürgermeister die Daten für eine Kontakt­aufnahme mit den Unterstützern des Bürger­begehrens genutzt habe, um diese zu beein­flussen. Bei unseren Ermittlungen hat sich diese Vermutung allerdings nicht bestätigt.

Dennoch war einiges schiefgelaufen. Nach der Landesverordnung zur Durchführung der Gemein­de-, der Kreis- und der Amtsordnung ist lediglich die Kopie einer einzelnen Antragsliste und eines Einzelantrags, quasi als Muster, der Kommunal­aufsichtsbehörde zu übersenden, weil über die Anzahl der Beteiligten und damit über das Errei­chen des Quorums die zuständige Meldebehörde entscheidet. Die Kopie sämtlicher Listen „für den Dienstgebrauch“ wäre deshalb entbehrlich gewe­sen.

Für eine Weiterleitung der vollständigen Antrags­listen an den ehrenamtlichen Bürgermeister gab es auch keine Notwendigkeit und keine Rechtferti­gung. Die Verwendung der Daten ist ausschließlich zum Zweck der Feststellung der Beteiligungs­berechtigung und damit zur Ermittlung des Quorums vorgesehen. Das Datenschutzrecht er­laubt eine Kenntnisnahme durch Funktionsträger als eine Form der Verarbeitung personenbezo­gener Daten nur, soweit dies zur rechtmäßigen Aufgabenerfüllung erforderlich ist. Diese Voraus­setzung war hinsichtlich des ehrenamtlichen Bür­germeisters nicht erfüllt.

Die zuständige Kommunalaufsichtsbehörde hatte im vorliegenden Fall bestätigt, dass die von der Amtsverwaltung getroffenen Entscheidungen zum Umgang mit dem Bürgerbegehren im gegen­seitigen Einvernehmen getroffen wurden. Sie hatte überflüssigerweise die vollständigen Unterschrif­tenlisten erhalten und nichts dagegen unter­nommen. Das Innenministerium als oberste Kommunalaufsichtsbehörde nahm diesen Fall zum Anlass, den Umgang mit Bürgerbegehren anläss­lich der jährlichen Dienstbesprechung mit den Kommunalaufsichtsbehörden der Kreise zu erör­tern. Im konkreten Fall haben die Beteiligten versichert, dass die eigene Verfahrensweise künftig an die vom Innenministerium dargestellte Rechts­lage angepasst wird.

Was ist zu tun?

Kommunen sollten ihre Verwaltungspraxis beim Umgang mit Daten aus Bürgerbegehren sorgfältig prüfen und mit der zuständigen Kommunalaufsichtsbehörde abstimmen. Unter dem Gesichtspunkt der Normenklarheit sollte die Landesverordnung zur Durchführung der Gemeinde-, der Kreis- und der Amtsordnung im Hinblick auf eine Präzisierung der einschlägigen Verfahrensregelungen überprüft werden.

4.1.10    Was bringt das neue Bundesmeldegesetz ?

Die Ausweitung automatisierter Datenabrufe durch öffentliche und private Stellen sowie Änderungen bei den Anforderungen für Melderegisteraus­künfte im neuen Bundesmeldegesetz (BMG) haben erhebliche Auswirkungen auf die Persönlichkeits­rechte der Meldepflichtigen.

Nach dem Übergang der Gesetzgebungskompe­tenz für das Meldewesen auf den Bund wurde nach langer politischer Diskussion ein neues Bundesmeldegesetz verabschiedet. Es enthält an zentralen Stellen deutliche Änderungen gegen­über der bisherigen Rechtslage in den Ländern. Aus diesem Grund sollen nachfolgend die wichtig­sten Regelungen auf den datenschutzrechtlichen Prüfstand gestellt werden. Es bleibt fraglich, ob die mit den Änderungen verbundenen Belastungen für die Bürgerinnen und Bürger in einem ange­messenen Verhältnis zu dem gesetzlich verfolgten Ziel eines Melderechts „als multifunktionale Grund­lagen- und Querschnittsverwaltung“ steht.

  • Mitwirkung des Vermieters bei der Anmeldung

Die Mitwirkungspflicht des Wohnungsgebers war erst im Jahr 2002 abgeschafft worden. Sie wird jetzt in verschärfter Form wieder eingeführt, in der Hoffnung, Scheinanmeldungen wirksamer verhin­dern zu können. Bis heute liegen keine belastbaren Daten darüber vor, ob und in welchem Umfang überhaupt solche Scheinanmeldungen in den Melderegistern gespeichert sind. Nennenswerte Probleme sind in dieser Hinsicht jedenfalls in schleswig-holsteinischen Meldebehörden nicht bekannt geworden. Das neue Gesetz verpflichtet den Wohnungsgeber oder eine von ihm beauf­tragte Person, den Einzug oder Auszug schriftlich oder elektronisch zu bestätigen. Für die Prüfung, ob die von der meldepflichtigen Person gemach­ten Angaben richtig sind, hat die Meldebehörde den Namen und die Anschrift des Eigentümers der Wohnung und, wenn dieser nicht selbst Woh­nungsgeber ist, auch den Namen und die Anschrift des Wohnungsgebers im Melderegister zu spei­chern. Hinzu kommen Hinweise zum Nachweis der Richtigkeit der Daten.

Die praktischen Auswirkungen dieser Neuregelung sind zunächst ein erheblicher Mehraufwand für Bürger und Verwaltung. Meldepflichtige vergessen häufig bei ihrem ersten Besuch in der Melde­behörde ihre Vermieterbescheinigung. Diese zu beschaffen ist für sie nicht immer einfach, insbe­sondere wenn der Vermieter nicht vor Ort wohnt oder nicht kurzfristig erreichbar ist. Sukzessive entsteht über die Neuregelung ein vollständiges Wohnungseigentümerverzeichnis im Melderegis­ter. In Mehrfamilienhäusern mit unterschiedlichen Wohnungseigentümern muss eine Zuordnung der Meldepflichtigen über die eigentliche Anschrift hinaus zu einzelnen Wohnungen erfolgen. Auch wegen des für die Kommunen mit den Neuerun­gen hinzukommenden Aufwands sieht das Innen­ministerium die Wiedereinführung der Mitwir­kungspflicht ebenso wie das ULD kritisch.

  • Automatisierte Datenabrufe öffentlicher und privater Stellen

Automatisierte Datenabrufe werden schon heute in den Ländern praktiziert. Sowohl öffentliche als auch private Stellen können damit Melderegister­auskünfte über das Internet einholen. Wichtige Sicherheitsanforderungen, z. B. eine verschlüsselte Auskunftserteilung oder eine umfassende Proto­kollierung der Abrufe, sind ausdrücklich gesetzlich festgelegt. Gegenüber schriftlichen Auskünften der Meldebehörden per Post ist das automatisierte Abrufverfahren nicht nur effizienter und schneller, sondern auch sicherer. Die Vorteile des automa­tisierten Verfahrens sind aus unserer Sicht ein­deutig: Briefpost kann verloren gehen oder von Unbefugten gelesen werden. Eingabe- und Über­tragungsfehler der Meldebehörden sind im auto­matisierten Verfahren weitgehend ausgeschlossen. Die Einhaltung der Kriterien für die vorgeschrie­bene Identitätsprüfung hinsichtlich der gesuchten Person kann durch die EDV-Programme best­möglich sichergestellt werden. Eine umfassende und automatisiert auswertbare Protokollierung der Abrufe gewährleistet ein Höchstmaß an Revisions­sicherheit. Quasi als Nebeneffekt ermöglicht diese Protokollierung präzise Auskünfte gegenüber Betroffenen über die Weitergabe ihrer Daten. Vor diesem Hintergrund ist der Wegfall der bisherigen Widerspruchsmöglichkeit für Betroffene gegen Online-Auskünfte an private Stellen konsequent. Damit war aus Sicht des ULD kein Gewinn für ihre Persönlichkeitsrechte verbunden.

  • Phonetische Suche bei automatisierten Datenabrufen

Neu eingeführt wird die Möglichkeit, bei Familien­namen, früheren Namen und Vornamen eine phonetische Suche vorzunehmen. Das Gesetz sagt allerdings nicht, was genau unter einer phone­tischen Suche zu verstehen ist. Werden aufgrund eines Abrufs einer öffentlichen Stelle die Daten­sätze mehrerer Personen gefunden, dürfen diese vollständig übermittelt werden, auch wenn klar ist, dass nur eine Person die oder der Gesuchte sein kann, die anderen Datensätze folglich unbeteiligte Dritte betreffen. Bei Auskünften an private Stellen wird selbst bei einer phonetischen Suche gefor­dert, dass die Identität der gesuchten Person eindeutig festgestellt wird. Dies ist ein Wider­spruch in sich. Es bleibt abzuwarten, ob noch zu erlassende Ausführungsbestimmungen für die phonetische Suche für mehr Klarheit sorgen.

  • Einfache Melderegisterauskunft an private Stellen

Nach heftiger öffentlicher Kritik an der Beschluss­fassung des Deutschen Bundestags hat der Bundesrat deutliche Verbesserungen bei den Anforderungen an die Erteilung einfacher Melde­registerauskünfte vorgeschlagen. Bei Auskünften zu gewerblichen Zwecken müssen diese ange­geben und dürfen anschließend nur für diesen Zweck verwendet werden. Danach sind die Daten zu löschen. Werden Daten zur geschäftsmäßigen Anschriftenermittlung für Dritte erhoben, dürfen diese vom Dienstleister nicht für eigene Zwecke weiterverwendet werden. Sollen Daten für Zwecke der Werbung oder des Adresshandels verwendet werden, ist dies nur mit ausdrücklicher Einwilli­gung der Betroffenen zulässig.

Für das Verbot des Adresspooling sowie für die Bereiche Werbung und Adresshandel dürften die Regelungen eine ausreichende Revisionsfähigkeit gewährleisten. Aufgrund von Eingaben Betroffener oder durch gezielte Auswertung der Protokoll­datenbestände hinsichtlich einzelner Empfänger werden „schwarze Schafe“ wohl schnell feststellbar sein. Gegebenenfalls können entsprechende Buß­gelder auf der Grundlage der ebenfalls ergänzten Bußgeldvorschriften verhängt werden. Auch der generelle Ausschluss vom automatisierten Verfah­ren für die Nutzung der einfachen Melderegister­auskunft ist eine mögliche Konsequenz.

 

4.1.11    Externe Dienstleister als behördliche Datenschutzbeauftragte ?

Die Erfahrung zeigt, dass die Bestellung eines behördlichen Datenschutzbeauftragten zu einer wesentlichen Erhöhung des Datenschutzniveaus in den betreffenden Behörden führt. Das ULD unter­stützt daher ausdrücklich derartige Bestellungen. An das ULD wird immer wieder die Frage heran­getragen, ob wegen der nicht absolut klaren Formulierung in § 10 Landesdatenschutzgesetz auch externe Dienstleister behördliche Daten­schutzbeauftragte in Schleswig-Holstein sein dürfen. Wir können jedoch hierbei keine Unklarheit erkennen. Aber auch wegen der umfassend gewährten Kontrollrechte innerhalb einer hoheit­lich tätigen Verwaltung muss die Funktion eines behördlichen Datenschutzbeauftragten immer durch einen Beschäftigten oder eine Beschäftigte der datenverarbeitenden Stelle ausgeführt wer­den. Gemäß § 10 Abs. 1 Satz 2 Landesdatenschutz­gesetz ist eine explizite enge Ausnahme vorgese­hen: Mehrere datenvverarbeitende Stellen können gemeinsam einen behördlichen Datenschutzbe­auftragten bestellen. Private Dienstleister oder sonstige Externe, die nicht Angehörige öffentlicher Stellen sind, dürfen also unzweifelhaft nicht be­stellt werden.

Externe Dienstleister können wohl als Sachver­ständige für allgemeine Fragen der Organisation der Verfahren und für technische Beratungen herangezogen werden. Ein Zugriff auf personen­bezogene Daten darf einem externen Berater aber nur unter den Bedingungen des § 17 Abs. 6 LDSG gewährt werden. Die Kontrolle der Datenverar­beitung bei der jeweiligen Stelle obliegt allein der oder dem behördlichen Datenschutzbeauftragten.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel