Vorwort - Thüringer Landesbeauftragter für den ... · nelle Selbstbestimmung als festen Bestandteil unserer ... CD-ROM Compact Disk ... CN Corporate Network CPU Central Processing

Vorwort

Mit dem vorliegenden 2. Tätigkeitsbericht komme ich meiner Ver-pflichtung gemäß § 40 ThürDSG nach, dem Landtag und der Lan-desregierung mindestens alle 2 Jahre Bericht über meine Tätigkeit zuerstatten. Der Berichtszeitraum erstreckt sich vom 01.01.1996 bis31.12.1997 und enthält wesentliche Feststellungen und Anregungenaus der Kontroll- und Beratungstätigkeit der öffentlichen Stellen desFreistaats Thüringen.Ebenfalls wird auf wichtige rechtliche Regelungen auf dem Gebietdes Datenschutzes im Berichtszeitraum und auf Ergebnisse der statt-gefundenen Konferenzen der Datenschutzbeauftragten des Bundesund der Länder eingegangen.Der Bericht wurde gemäß § 40 Abs. 4 ThürDSG im Beirat vorbera-ten. Möge er einen Beitrag dazu leisten, das Recht auf informatio-nelle Selbstbestimmung als festen Bestandteil unserer Rechtsord-nung und als wertvolles Rechtsgut zu sehen, welches auch im Zeit-alter der Informationsgesellschaft zu gewährleisten ist.

Erfurt, im Dezember 1997

Silvia LiebaugLandesbeauftragte für den Datenschutz

2. Tätigkeitsbericht des TLfD 1996/1997

2

2. Tätigkeitsbericht des TLfDBerichtszeitraum vom 01.01.1996 bis 31.12.1997

InhaltsverzeichnisAbkürzungsverzeichnis

1. Einleitung1.1 Die Dienststelle des TLfD1.2 Das Datenschutzregister beim TLfD1.3 Konferenzen und Arbeitskreise der Datenschutzbe-

auftragten des Bundes und der Länder

2. Europäischer und internationaler Daten-schutz

2.1 Die Umsetzung der EG-Datenschutzrichtlinie - No-vellierung der Datenschutzgesetze - Modernisierungdes Datenschutzrechts

2.1.1 Die Datenschutzgruppe nach Artikel 292.1.2 Informationsveranstaltung zur EG-Datenschutzrichtlinie

im Thüringer Landtag

3. Datenschutz im Parlament3.1 Weitergabe von Sozialdaten an den Petitionsaus-

schuß des Landtages3.2 Informationsrecht der Abgeordneten und Daten-

schutz von Mitgliedern einer Tierschutzkommission3.3 Mitteilungen über abschließende Entscheidungen in

Strafverfahren gegen Mitglieder von gesetzgebendenKörperschaften

4. Neue Medien - Multimedia4.1 Telekommunikationsgesetz (TKG) - Begleitgesetz

zum TKG (BegleitG)4.2 Telekommunikationsdiensteunternehmen-

Datenschutzverordnung (TDSV)


3

4.3 Informations- und Kommunikationsdienste-Gesetz(IuKDG)

4.4 Mediendienste-Staatsvertrag4.5 Thüringer Rundfunkgesetz (TRG)4.6 Rundfunkänderungsstaatsvertrag4.7 Rundfunkgebührenbefreiung aus sozialen Gründen4.8 Veröffentlichung eines säumigen Beitragszahlers im

Infokanal einer Antennengemeinschaft

5. Innenverwaltung - Kommunales - Sparkassen5.1 Innenverwaltung5.1.1 Einführung einer Asylcard5.1.2 Vorschriften im Ausländerwesen5.1.3 Übermittlung personenbezogener Daten bosnischer

Bürgerkriegsflüchtlinge5.1.4 Datenübermittlung aus Anlaß der Abschiebung von

Vietnamesen5.1.5 Ermittlungen im Rahmen von Scheineheverfahren ge-

mäß § 92 Abs. 2 Nr. 2 Ausländergesetz (AuslG)5.1.6 Veröffentlichung von Asylbewerberdaten5.1.7 Verpflichtung zur Kostenübernahme nach § 84 AuslG5.1.8 Kontrolle der LAST und ZAST5.1.9 Kontrolle im Thüringer Landesverwaltungsamt5.2 Kommunales5.2.1 Gästemeldeschein zur Werbung der Kurverwaltung?5.2.2 Online-Zugriff auf Meldedaten innerhalb von Gemeinden5.2.3 Unterlagen und Verfahren zur Führung des Melderegisters5.2.4 Melderegisterauskünfte an Adreßbuchverlage5.2.5 Zusendung einer falschen Geburtsurkunde5.2.6 Kontrolle in einem Sozialamt5.2.7 Übermittlung von Sozialdaten an Polizei und Auslän-

derbehörde5.2.8 Verarbeitung von Sozialhilfedaten bei Privatunternehmen?5.2.9 Umgang mit Altdaten aus ehemaligen Polikliniken5.2.10 Vorsorgeuntersuchung in Kindertagesstätten durch den

Jugendgesundheitsdienst5.2.11 Einladung zur amtsärztlichen Untersuchung mit Postkarte5.2.12 Kontrolle eines Jugendamtes


4

5.2.13 Verwaltungsvereinfachung zu “einfach”5.2.14 Festsetzung von Elterngebühren für die Benutzung von

Kindertageseinrichtungen5.2.15 Datenerhebung durch Jugendämter bei Kindertagesein-

richtungen5.2.16 Umgang mit Unterlagen nicht-öffentlicher Sitzungen5.2.17 Veröffentlichung von Grundstücksdaten5.2.18 Mangelnde Unterstützung des TLfD durch eine Stadt-

verwaltung5.3 Sparkassen

6. Personalwesen6.1 Personalaktenführungsrichtlinie6.2 Personalaktenführung6.3 Personalfragebogen für Bedienstete des Landes Thü-

ringen6.4 Personalverwaltung der Lehrer6.5 Personalakten im Justizbereich6.6 Einsichtnahme von Vorgesetzten in Personalakten6.7 Verwaltungsvorschrift zur Thüringer Verordnung

über Zuständigkeiten für die Feststellung, Berechnungund Anordnung der Zahlung der Bezüge von Bedien-steten und Versorgungsempfängern (ThürZustVBezü-ge)

6.8 Veröffentlichung von Mitarbeiterdaten6.9 Polizeiärztliche Untersuchungen im Rahmen von

Bewerberauswahlverfahren für den polizeilichenDienst

6.10 Einstellung in den Polizeidienst6.11 Datenverarbeitung bei Personalkostenzuschüssen6.12 Dienstvereinbarung über die elektronische Verarbei-

tung von Personaldaten6.13 Führung von An- und Abwesenheitslisten der Mitar-

beiter6.14 Zulässigkeit behördlicher Organisations-/Arbeits-

platzuntersuchungen und von Mitarbeiter-/Bürger-befragungen

6.15 Personenbezogene Daten beim Personalrat


5

6.16 Abschottung der Beihilfestelle in einer Stadtverwaltung6.17 Formular der Zentralen Beihilfestelle des Landes-

verwaltungsamtes6.18 Datenschutz für private Eintragungen im “Schreib-

tischkalender”6.19 Veröffentlichung der Ungültigkeitserklärung von

Dienstausweisen6.20 Anschriftenverzeichnis ehemaliger DDR-Arbeitgeber

7. Polizei7.1 Bundeskriminalamtgesetz - BKAG7.2 Polizeirechtsänderungsgesetz7.3 Europol7.4 Schengener Informationssystem - Schengener

Durchführungsübereinkommen7.5 Automatisiertes Fingerabdrucksystem (AFIS)7.6 Datenschutzrechtliche Kontrollen im Polizeibereich7.7 Speicherung personenbezogener Daten bei der Polizei7.8 Personalien in einer polizeilichen Allgemeinverfügung7.9 Vermerk des Aktenzeichens auf dem Briefkuvert7.10 Erhebung und Verarbeitung von Daten im Rahmen

der Verfolgung von Verkehrsordnungswidrigkeiten7.11 Lichtbildernachweis in einem polizeilichen Aus-

kunftssystem7.12 Videoüberwachung

8. Verfassungsschutz8.1 Kontrollbesuch beim Landesamt für Verfassungs-

schutz8.2 Sicherheitsüberprüfung

9. Finanzen, Steuern, Rechnungsprüfung9.1 Bereichsspezifische Regelungen in der Abgabenord-

nung (AO)9.2 “Bescheidzustellung an Dritte”9.3 Kontrolle im Thüringer Landesamt zur Regelung

offener Vermögensfragen9.4 Kontrollen in der Finanzverwaltung


6

9.5 Verfolgung von “Steuersündern”9.6 Führung eines Fahrtenbuches durch Ärzte für steu-

erliche Zwecke9.7 Datenschutz bei der Ausstellung und Versendung

von Lohnsteuerkarten9.8 Übermittlung von Fördermittelanträgen an Finanz-

amt9.9 Einsichtsrecht des Rechnungshofs in Personalakten

von Beamten

10. Justiz10.1 Justizmitteilungsgesetz10.2 Beratungen zum Strafverfahrensänderungsgesetz

(StVÄG 1996)10.3 Öffentliche Fahndung im Strafverfahren10.4 DNA-Anlaye - “Genetischer Fingerabdruck”10.5 Zentrales Staatsanwaltschaftliches Verfahrensregister10.6 Entwurf eines Vierten Gesetzes zur Änderung des

Bundeszentralregisters (4. BZRÄndG)10.7 Informationelle Selbstbestimmung und Bild-Ton-

Aufzeichnungen bei Vernehmungen im Strafverfah-ren/Videoaufzeichnungen von Zeugenvernehmungen

10.8 “Großer Lauschangriff”10.9 Zentrale europäische Datenbanken, in denen ge-

richtliche Streitfälle gesammelt werden10.10 Gesetz über das Versorgungswerk der Rechtsanwäl-

te (ThürRAVG)10.11 Einsatz automatisierter Verfahren im Justizbereich10.11.1 MEGA10.11.2 SIJUS-Straf-StA10.11.3 Geschäftsstellenlösung der Justizvollzugsanstalten10.12 Kontrollkompetenz des TLfD bei Gerichten10.13 Telefonüberwachungsmaßnahmen10.14 Täter-Opfer-Ausgleich und Datenschutz10.15 Weitergabe personenbezogener Daten an gemeinnüt-

zige Einrichtungen10.16 Übermittlung von Postsendungen von Staatsanwäl-

ten und Gerichten an kommunale Stellen


7

10.17 Datenschutz im Strafvollzug10.18 Kontrolle einer Staatsanwaltschaft10.19 Entsorgung “alter” Diktatkassetten einer Staatsan-

waltschaft10.20 Datenschutz im Notariat10.21 Datenübermittlungen der Notare an die Gemeinden

zur Ausübung des kommunalen Vorkaufsrechts

11. Gesundheits- und Sozialdatenschutz11.1 Neues Transplantationsrecht11.2 Sozialhilfedatenabgleichsverordnung (SozhiDAV)11.3 Landesrechtliche Ausführungsvorschriften zum

Pflegeversicherungsgesetz und deren Anwendung11.4 Dritte Verordnung über die Pauschalförderung nach

dem Krankenhausgesetz11.5 Kontrolle eines Universitätsklinikums11.6 Krankenhäuser als Wettbewerbsunternehmen nach

§ 26 ThürDSG11.7 Bekenntnisfreiheit und Datenschutz im Kranken-

haus11.8 Datensicherungsmaßnahmen beim Versand von

Gewebeproben11.9 Archivierung von Krankenakten11.10 Externe Archivierung von Krankenhausakten/Mikro-

verfilmung11.11 Krankenakte im Krankenhaus verlegt11.12 Einsichtsrecht des Patienten in Krankenhausakten11.13 Chipkarten im Gesundheitswesen11.14 Vorlage eines polizeilichen Führungszeugnisses für

die Zulassung als Vertragsarzt11.15 Umgang mit Kassenarztverzeichnis11.16 Meldebögen der Landestierärztekammer Thüringen11.17 Automatisierte Datenverarbeitung bei der AOK11.18 Automatisierte Abrechnung durch die Krankenkassen11.18.1 Datenträgeraustausch zwischen Krankenkassen und

Zahnärzten11.18.2 ICD-10-Code zur Abrechnung ungeeignet


8

11.18.3 Technisch-organisatorische Anforderungen an die Da-tenübermittlung

11.18.4 Löschung der Abrechnungsdaten11.19 Falsch verstandene Auftragsdatenverarbeitung

durch die AOK11.20 Zweckfremde Nutzung von Sozialdaten?11.21 Zu großer Verteiler beim Notarzteinsatzprotokoll11.22 Prüfung einer Beratungsstelle des MDK11.23 Einsicht des MDK in Krankenhausakten11.24 Gemeinsame Nutzung von Daten durch Kranken-

kasse und Pflegekasse11.25 Kontrolle eines Versorgungsamtes11.26 Nachweis einer Schweigepflichtsentbindung durch

die Versorgungsverwaltung11.27 Zuverlässigkeitsprüfung von Heimträgern und

Heimleitern11.28 Antragsgestaltung für die Gewährung von Einglie-

derungshilfen11.29 Gegenseitige Beauftragung der Träger der gesetzli-

chen Rentenversicherung mit der Versichertenbe-treuung

12. Statistik12.1 Einführung einer Strafverfolgungsstatistik im Frei-

staat Thüringen12.2 Führung “Zentraler Register”

13. Bildung, Wissenschaft und Forschung13.1 Datenerhebung im Rahmen der Schulgesundheits-

pflege13.2 Schulpflichtüberwachung durch Schulamt?13.3 Datenerhebungen der Kirchen zur Planung des Reli-

gionsunterrichts13.4 Hochschuleinrichtung - öffentlich-rechtliches Wett-

bewerbsunternehmen?13.5 Kontrolle einer Hochschule


9

13.6 Von Schimmelpilzen der Gattung Rhizopus, Mucor,Aspergillus fumigatus und flavus, Penicilium, Epi-coccum sowie Modadium befallene Akten

13.7 Nutzung von Jugendgerichtshilfeakten zu For-schungszwecken

13.8 Staatsvertrag über ein gemeinsames Krebsregisterder neuen Bundesländer und Berlins

13.9 Bestandsaufnahme der Asbestsituation in Thüringen13.10 Anwendung des ThürDSG in Archiven

14. Wirtschaft, Verkehr, Wohnungswesen,Umwelt

14.1 Gesetz zur Änderung des Rechts der Architektenund Ingenieure

14.2 Thüringer Verordnung über den Gebrauchtwaren-,Edelmetall- und Altmetallhandel, über Auskunfteien,Detekteien, Reisebüros und die Vermittlung von Un-terkünften

14.3 Verwaltungsvorschrift zu § 34a GewO und der Be-wachungsverordnung

14.4 Bewerberliste der Bezirksschornsteinfeger14.5 Veröffentlichungen von Handelsregisterdaten im

Internet14.6 Übermittlung von Gewerbeanzeigen an die AOK14.7 Änderung straßenverkehrsrechtlicher Vorschriften14.8 Kontrolle einer Führerscheinstelle14.9 Kein “Wiederholungstäterregister” von Parksün-

dern14.10 Der “Kuckuck” mit der Schuldnerkralle14.11 Fahrgastbefragung zur Ermittlung der Reiseweite

im Ausbildungsverkehr14.12 Datenübermittlung zwischen Wohnungsgesellschaft

und Sozialamt14.13 Aushang einer Hausordnung in einem Familien-

übergangshaus14.14 Führung von Wohnungskarteikarten14.15 Erarbeitung von Mietspiegeln


10

14.16 Datenübermittlung für Vermessungszwecke14.17 Erhebungen von personenbezogenen Daten bei

Zweckverbänden14.18 Datenerhebung bei der Abfallentsorgung14.19 Datenübermittlung aus dem Emissionskataster an

eine Stadtverwaltung14.20 Dorfbiotopkartierung in Thüringen14.21 Kontrolle des ökologischen Landbaus durch private

Stellen

15. Technischer und organisatorischer Datenschutz15.1 Entwicklungen und Tendenzen der Informations-

und Kommunikationstechnik15.2 Corporate Network (CN) der Landesverwaltung15.2.1 Einführung15.2.2 Sprachkommunikation im CN15.2.3 Datenkommunikation im CN15.3 IT-Richtlinien in der Thüringer Landesverwaltung15.4 Kontrolltätigkeit in öffentlichen Stellen15.5 Einsatz von Zutrittskontrollsystemen15.5.1 Begriffsbestimmung15.5.2 Funktionsweise eines Zutrittskontrollsystems15.5.3 Datenschutzrechtliche Anforderungen an Zutrittskon-

trollsysteme15.6 Datenschutzfreundliche Technologien15.7 Sicherheit mit -Kryptographischen Verfahren-15.7.1 Einführung15.7.2 Verschlüsselung15.7.3 Symmetrische Verfahren15.7.4 Asymmetrische Verfahren15.7.5 Digitale Signatur15.7.6 Kryptokontroverse15.8 Das Signaturgesetz und die Signaturverordnung - ein

wichtiger Schritt zum elektronischen Rechtsverkehrelektronischer Dokumente

15.9 Anforderungen zur informationstechnischen Sicher-heit bei Chipkarten


11

15.10 Wartung von Informations- und Kommunikations-technik

15.11 Virenschutz15.12 Datenschutz beim Telefaxen15.13 Datenspuren beim Zugriff auf Web-Server

AnlagenSachregister


12

Abkürzungsverzeichnis

Abkürz. BedeutungAbfG AbfallgesetzAbs. AbsatzAFIS Automatisiertes Fingerabdruckidentifizie-

rungssystemAK ArbeitskreisAO AbgabenordnungAOK Allgemeine OrtskrankenkasseARoV Amt zur Regelung offener VermögensfragenArt. ArtikelAStBV (St) Anweisung für das Straf- und Bußgeldverfah-

ren (Steuer)AuslG-VV Allgemeine Verwaltungsvorschrift zum Aus-

ländergesetzAZR AusländerzentralregisterAZR-DV Ausländerzentralregister-

DurchführungsverordnungAZRG AusländerzentralregistergesetzBAFl Bundesamt für die Anerkennung ausländi-

scher FlüchtlingeBauGB BaugesetzbuchbDSB behördeninterner DatenschutzbeauftragterBDSG BundesdatenschutzgesetzBegleitG BegleitgesetzBfA Bundesversicherungsanstalt für AngestellteBfD Bundesbeauftragter für den DatenschutzBGB Bürgerliches GesetzbuchBGBl BundesgesetzblattBGH BundesgerichtshofBImSchG Bundes-ImissionsschutzgesetzBKA BundeskriminalamtBKAG BundeskriminalamtgesetzBMF BundesfinanzministeriumBMI Bundesministerium des InnernBMJ Bundesministerium der JustizBSHG Bundessozialhilfegesetz


13

BStatG BundesstatistikgesetzBZR BundeszentralregisterBZRÄndG Bundeszentralregister-ÄnderungsgesetzBZRG BundeszentralregistergesetzBZRGVwV Verwaltungsvorschrift zum Bundeszentalregi-

stergesetzbzw. beziehungsweiseCD-ROM Compact Disk-Read Only MemoryCDLS Chipkartenbasiertes DienstleistungssystemCN Corporate NetworkCPU Central Processing Unit (Zentraleinheit)DES Data Encryption Standard (Symmetrischer

Verschlüsselungsalgorithmus)DF Dedicated FileDNA-Analyse Genetischer FingerabdruckDRF Deutsche RettungsflugwachtDRK Deutsches Rotes KreuzDSB Datenschutzbeauftragter/ Datenschutzbeauf-

tragteDSRV Datenstelle der RentenversicherungsträgerDSS Digital Signature Standard (Signieralgorith-

mus)DT DatenträgerDV DatenverarbeitungE-Mail Elektronic-Mail (elektronische Post)EDV Elektronische DatenverarbeitungEEPROM Electrically Erasable Programmable Read

Only MemoryEF Elementary FileEG Europäische GemeinschaftEPROM Erasable Programmable Read Only MemoryETB elektronisches TelefonbuchEU Europäische UnionEUROPOL Europäisches PolizeiamtFAG FernmeldeanlagengesetzFGG Gesetz über die Angelegenheiten der Freiwil-

ligen Gerichtsbarkeit


14

FKPG Gesetz zur Umsetzung des Förderalen Kon-solidierungsprogramms

GDD-ERFA-Kreis Gesellschaft für Datenschutz und Datensi-cherheit-Erfahrungsaustausch-Kreis

GewO GewerbeordnungGG Grundgesetzggf. gegebenenfallsGKG Gesetz über Kommunale GemeinschaftsarbeitGKR Gemeinsames Krebsregister der Länder Ber-

lin, Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Frei-staaten Sachsen und Thüringen

GSM-Netz Global Standard for Mobile KommunikationGVBl Gesetz- und VerordnungsblattHeilberfG HeiberufsgesetzHGB HandelsgesetzbuchHTML Hypertext Markup Languagei. V. m. in Verbindung mitIABV Integriertes Automatisches Besteuerungsver-

fahrenIBP Informationssystem der Bayerischen PolizeiIDEA International Data Encryption Algorithm

(Blockchiffrieralgorithmus)IEC International Electrotechnical CommissionIGV-T Integrationsverfahren Thüringen-GrundstufeIHK Industrie- und HandelskammerIMA-IT Interministerieller Ausschuß für Information-

stechnikIP Internet ProtokollISDN Integrated Services Digital Network (dien-

stintegrierendes Digitalnetz)ISO International Standard OrganisationISTPOL Informationssystem der Thüringer PolizeiIT InformationstechnikIuK Informations- und KommunikationstechnikIuKDG Informations- und Kommunikationsdienste-

GesetzJGG Jugendgerichtsgesetz


15

JMBl Justiz-MinisterialblattKAN KriminalaktennachweisKB KilobyteKfZ KraftfahrzeugKHG KrankenhausfinanzierungsgesetzKitaG KindertageseinrichtungsgesetzKRG KrebsregistergesetzKT KartenterminalKV Kassenärztliche VereinigungKVK KrankenversicherungskarteKZV Kassenzahnärztliche VereinigungLAN Local Area NetworkLAST Landesaufnahmestelle für AussiedlerLfD Landesbeauftragter für den DatenschutzLHO LandeshaushaltsordnungLKA LandeskriminalamtLVA LandesversicherungsanstaltMAC Message Authentication CodeMB MegabyteMDK Medizinischer Dienst der KrankenkasseMDR Mitteldeutscher RundfunkMDS Medizinischer Dienst der SpitzenverbändeMDStV Mediendienste-StaatsvertragMEGA Mehrländer-Gerichts-AnwendungMF MasterfileMiStra Mitteilungen in StrafsachenMiZi Mitteilungen in ZivilsachenMPU Medizinisch-Psychologische UntersuchungNC Netzcomputero. g. oben genanntOFD OberfinanzdirektionPAG PolizeiaufgabengesetzPaßG PaßgesetzPBefAusglV PersonenbeförderungsausgleichsverordnungPBefG PersonenbeförderungsgesetzPC Personal ComputerPD Polizeidirektion


16

PDV Ärztliche Beurteilung der Polizeidiensttaug-lichkeit und der Polizeidienstfähigkeit

PflegeVG PflegeversicherungsgesetzPIN Personen-Identifikations-NummerPKW PersonenkraftwagenPRMD Private Management DomainsPTRegG Gesetz über die Regulierung der Telekommu-

nikation und des PostwesensPUK Personal Unblocking KeyRAM Random Access MemoryRiStBV Richtlinie für das Straf- und Bußgeldverfah-

renROM Read Only Memory (Nur-Lesespeicher)RSA assymetrisches Verschlüsselungsverfahren

nach seinen Entwicklern benannt :Rivest, Shamir, Adlemann

SDÜ Schengener DurchführungsübereinkommenSGB SozialgesetzbuchSHA Secure Hash-AlgorithmusSigG SignaturgesetzSigV SignaturverordnungSIS Schengener InformationssystemStAnz Staatsanzeiger der ehemaligen DDRStGB StrafgesetzbuchStMBG Mißbrauchsbekämpfungs- und Steuerbereini-

gungsgesetzStPO StrafprozeßordnungStVÄG StrafverfahrensänderungesetzStVG StraßenverkehrsgesetzTB TätigkeitsberichtTDDSG TeledienstedatenschutzgesetzTDG TeledienstegesetzTDSV Telekommunikationsdiensteunternehmen-

DatenschutzverordnungTFM Thüringer FinanzministeriumThLARoV Thüringer Landesamt zur Regelung offener

Vermögensfragen


17

ThürAbfAG Thüringer Abfallwirtschafts- und Altlastenge-setz

ThürAGPflegeVG Thüringer Ausführungsgesetz zum Pflegever-sicherungsgesetz

ThürArchivG Thüringer ArchivgesetzThürBelRechtG Thüringer BelegungsrechtegesetzThürBG Thüringer BeamtengesetzThürBO Thüringer BauordnungThürDSG Thüringer DatenschutzgesetzThürDSRegVO Thüringer DatenschutzregisterverordnungThürHG Thüringer HochschulgesetzThürKAG Thüringer KommunalabgabengesetzThürKatG Thüringer KatastergesetzThürKHG Thüringer KrankenhausgesetzThürKO Thüringer KommunalordnungThürMeldeG Thüringer MeldegesetzThürMScheinVO Thüringer MeldescheinverordnungThürOBG Thüringer OrdnungsbehördengesetzThürPersVG Thüringer PersonalvertretungsgesetzThürPolRÄG Thüringer PolizeirechtsänderungsgesetzThürRAVG Thüringer RechtsanwaltsversorgungsgesetzThürSchulG Thüringer SchulgesetzThürStatG Thüringer StatistikgesetzThürVerf Verfassung des Freistaats ThüringenThürVwVfG Thüringer VerwaltungsverfahrensgesetzThürVwZVG Thüringer Verwaltungszustellungs- und Voll-

streckungsgesetzThürZustVBezüge Verordnung über Zuständigkeiten für die

Feststellung, Berechnung und Anordnung derZahlung der Bezüge von Bediensteten

TIM Thüringer InnenministeriumTK TelekommunikationsanlageTKG TelekommunikationsgesetzTKM Thüringer KultusministeriumTLfD Thüringer Landesbeauftragter für den Daten-

schutzTLfV Thüringer Landesamt für VerfassungsschutzTLL Thüringer Landesanstalt für Landwirtschaft


18

TLRZ Thüringer LandesrechenzentrumTLS Thüringer Landesamt für StatistikTLVwA Thüringer LandesverwaltungsamtTMJE Thüringer Ministerium für Justiz und Europa-

angelegenheitenTMLNU Thüringer Ministerium für Landwirtschaft,

Naturschutz und UmweltTMSG Thüringer Ministerium für Soziales und Ge-

sundheitTMWI Thüringer Ministerium für Wirtschaft und

InfrastrukturTMWFK Thüringer Ministerium für Wissenschaft,

Forschung und KulturTOA Täter-Opfer-AusgleichTsk Thüringer StaatskanzleiTRG Thüringer Rundfunkgesetzv. H. von HundertVerpflichtungsG VerpflichtungsgesetzVorlThürNatG Vorläufiges Thüringer NaturschutzgesetzVVThürDSG Verwaltungsvorschriften zum Vollzug des

Thüringer DatenschutzgesetzesVwVfG VerwaltungsverfahrensgesetzVZR VerkehrszentralregisterWAN Wide Area NetworkWWW World Wide Webz. B. zum BeispielZAST Zentrale Anlaufstelle für AsylbewerberZG Zentrale Gehaltsstelle ThüringenZSIS Zentrales Schengener InformationssystemZStV Zentrales Staatsanwaltschaftliches Verfah-

rensregister


19

1. Einleitung

In allen gesellschaftlichen Bereichen werden zunehmend Datenelektronisch erfaßt und gespeichert und digitalisiert mittels Compu-ternetzen übertragen.Personenbezogene Informationen können bei der Nutzung von In-formations- und Kommunikationsdiensten in vielfältiger Weiseanfallen, beliebig kombiniert, verändert oder ausgewertet werden.Die Datenverarbeitung wird dadurch charakterisiert, daß sie nichtwie in den Anfangszeiten auf einer großen Datenverarbeitungsanla-ge stattfindet, sondern zunehmend im Netz mit einer Vielzahl vonBeteiligten. Dabei sind die Kontrollmöglichkeiten des Nutzers inAnbetracht der zunehmenden Vernetzung erheblich eingeschränkt.Auch in der Informationsgesellschaft muß angesichts der rasantentechnischen und technologischen Entwicklungen das “Recht aufinformationelle Selbstbestimmung” gesichert und vernünftiger Da-tenschutz praktiziert werden.So müssen sowohl gesetzliche Rahmenbedingungen eine Antwortfinden, als auch durch den Einsatz datenschutzfreundlicher Techno-logien, den Datenschutzrisiken wirksam begegnet werden. Dabeispielen Datensparsamkeit - Datenvermeidung - Anonymisierung undPseudonymisierung eine Schlüsselrolle. Neue Technik bringt aller-dings nicht nur Risiken sondern auch neue Chancen zum Schutz des“Rechts auf informationelle Selbstbestimmung”. Die Verschlüsse-lung von Daten, der Gebrauch digitaler Signaturen und der Einsatzvielfältiger Sicherheitsprodukte im Hard- und Softwarebereich bie-ten gute Ausgangspunkte für den Schutz der Privatsphäre der Bürgerund den Schutz der personenbezogenen Daten.Die vom Bundesverfassungsgericht im sogenannten “Volkszäh-lungsurteil” geprägten Grundprinzipien des Datenschutzes bleibennach wie vor aktuell. Beschränkungen des “Rechts auf informatio-nelle Selbstbestimmung” sind nur zulässig im überwiegenden All-gemeininteresse, auf gesetzlicher Grundlage, die dem rechtsstaatli-chen Gebot der Normenklarheit entspricht und unter Beachtung desGrundsatzes der Verhältnismäßigkeit.Große Herausforderungen gibt es auch für den Datenschutz. Dieberatende Tätigkeit durch Datenschutzbeauftragte in den öffentli-chen Stellen und deren rechtzeitige und effektive Einbindung in


20

behördliche Organisationsabläufe im Zusammenhang mit der Verar-beitung personenbezogener Daten und beim Einsatz insbesonderevon automatisierten Datenverarbeitungssystemen sind ein wichtigerFaktor bei der Einhaltung und Gewährleistung datenschutzrechtli-cher Bestimmungen.Datenverarbeitungssysteme müssen im Dienste der Menschen stehenund deren Privatsphäre achten. Die Transparenz der eingesetztenDatenverarbeitungssysteme für den Bürger ist ein weiterer wichtigerPunkt bei der Geltendmachung seiner Rechte in Bezug auf die Ver-arbeitung seiner personenbezogenen Daten durch die jeweilige da-tenverarbeitende Stelle.

1.1 Die Dienststelle des TLfD

Im Berichtszeitraum machten wiederum viele Bürger von ihremRecht gemäß § 11 ThürDSG Gebrauch, sich direkt an den TLfD zuwenden, wenn sie sich bei der Erhebung, Verarbeitung oder Nutzungihrer personenbezogenen Daten beeinträchtigt sahen. Dabei wurdendie jeweiligen Anliegen nicht nur schriftlich, sondern mitunter auchtelefonisch vorgebracht. Auch durch unmittelbares Vorsprechen inder Dienststelle haben Bürger direkt ihre Anfragen oder Beschwer-den vorgetragen.

Die Kontrolltätigkeit des TLfD bei den öffentlichen Stellen desLandes bezüglich der Einhaltung der Vorschriften des ThürDSG undanderer Vorschriften über den Datenschutz und die Datensicherheitbildete weiter einen wichtigen Aufgabenschwerpunkt im Berichts-zeitraum. Insgesamt kann gesagt werden, daß die Behörden bemühtsind, den datenschutzrechtlichen Belangen hinreichend Rechnung zutragen. Dort, wo ich aufgrund datenschutzrechtlicher Verstöße eineBeanstandung gemäß § 39 ThürDSG aussprechen mußte, verbundenmit einer gleichzeitigen Information der jeweiligen Aufsichtsbehör-de, wurden regelmäßig die meinerseits geforderten Maßnahmeneingeleitet. In den Fällen, wo Fristversäumnisse der jeweiligen Stellevorlagen oder eine mangelhafte Unterstützung dem TLfD entgegen-gebracht wurde, erfolgte durch Einschaltung und Information desjeweiligen Behördenleiters bzw. der Aufsichtsbehörde letztlich einezufriedenstellende Beantwortung zu den erbetenen Auskünften.


21

Die beratende Tätigkeit durch den TLfD bei datenschutzrechtlichenFragen in den Behörden wird zunehmend gewünscht. In diesemZusammenhang möchte ich auch die immer besser stattfindenderechtzeitige Einbeziehung meiner Dienststelle durch die jeweiligzuständigen Fachressorts der Landesregierung in Vorbereitung vonEntwürfen von Rechtsvorschriften erwähnen, die den Umgang mitpersonenbezogenen Daten berühren.

Im Rahmen der vorhandenen Möglichkeiten haben meine Mitarbei-ter und ich zu Themen des Datenschutzes Vorträge gehalten.

Im Rahmen der Öffentlichkeitsarbeit wurden zu aktuellen Themenauf dem Gebiet des Datenschutzes Veröffentlichungen oder Rund-schreiben von meiner Dienststelle herausgegeben. Zur Unterstützungder Tätigkeit der Datenschutzbeauftragten in den Behörden des Frei-staats Thüringen habe ich eine Broschüre mit “Empfehlungen zuAufgaben, Befugnissen und Zuständigkeiten vom behördeninternenDatenschutzbeauftragten” herausgegeben. Sowohl 1996 als auch1997 war der TLfD mit einem Stand anläßlich des “Tages der offe-nen Tür” im Thüringer Landtag vertreten. Zahlreiche Besuchernutzten dies, Informationsmaterialien des TLfD zu erhalten undAnfragen an mich und meine Mitarbeiter zu richten.

Die Dienststelle des TLfD mit insgesamt 12 Mitarbeitern und Mitar-beiterinnen (Organigramm, Anlage 28) ist stets bemüht, alle Vor-gänge möglichst kurzfristig zu bearbeiten, insbesondere, wenn essich um Bürgeranliegen handelt. Um den wachsenden Beratungsbe-darf in Datenschutz- und Datensicherheitsfragen so gut wie möglicherfüllen zu können, wird eine Personalaufstockung ins Auge zufassen sein.Ich werde meine diesbezüglichen Vorstellungen in absehbarer Zeitan die Abgeordneten des Thüringer Landtags herantragen.

Wie im 1. TB (2.2) ausgeführt, trägt die vereinbarte Übernahmeroutinemäßiger, üblicher Verwaltungstätigkeit für den TLfD durchdie Landtagsverwaltung zur effektiven Verwaltungsführung bei undhat sich bewährt.


22

Der gemäß § 42 Abs. 1 ThürDSG vorgesehene Erfahrungsaustauschmit den Aufsichtsbehörden für die Datenverarbeitung nicht-öffentlicher Stellen wurde durchgeführt. Sowohl mit dem TLVwAals Aufsichtsbehörde für den nicht-öffentlichen Bereich als auch mitdem TIM als der obersten Aufsichtsbehörde fand eine unkompli-zierte Zusammenarbeit und Meinungsaustausch statt.

1.2 Das Datenschutzregister beim TLfD

In meinem 1. TB (1.1.6, 2.1 und 2.3) habe ich bereits Ausführungenzum Datenschutzregister beim TLfD gemacht, welches ich, gemäß§ 40 Abs. 7 i. V. m. § 12 ThürDSG, zu führen habe. Auch die indiesem Zusammenhang aufgetretenen Probleme fehlender und feh-lerhafter Meldungen hatte ich bereits angesprochen.

Auch für den Berichtszeitraum 1996/97 muß eingeschätzt werden,daß eine Vielzahl mängelbehafteter Meldungen wiederum eingegan-gen sind, welche hätten vermieden werden können, wenn die rechtli-chen Bestimmungen und Veröffentlichungen meinerseits in diesemZusammenhang angemessen Berücksichtigung gefunden hätten.Häufig aufgetretene Fehler bei eingehenden Meldungen waren bei-spielsweise

auf dem Formblatt DSB 1:− fehlende Dateikurzbezeichnung,− fehlende Angabe des Datums der Meldung,− kein Ankreuzen im jeweils vorgesehenen Kästchen, ob es sich

um eine Erst-, Änderungs- oder Löschmeldung handelt,− fehlende Beschreibung der Aufgabe, zu deren Erfüllung die

Daten verarbeitet werden unter 2.d),− fehlende oder unkonkrete Nennung der Rechtsgrundlage unter

2.e), aus der sich die Zulässigkeit der Verarbeitung der perso-nenbezogenen Daten ergibt sowie

− fehlende Angabe der Regelfristen für die Löschung der Datenoder die Prüfung der Löschung unter 2.g) und


23

auf dem Formblatt DSB 2− Stempel und Unterschrift der speichernden Stelle fehlen,− bezüglich der Darstellung des Dateiinhalts mußten Hinweise

gegeben werden, diese einzelnen Datenarten untereinander auf-zuführen und mit fortlaufenden Nummern zu versehen. Freitext-felder sind in der Weise näher zu erläutern, indem aufgeführtwird, welche Bemerkungen hier gespeichert werden können.

Ich messe dem Datenschutzregister nicht nur deshalb eine großeBedeutung zu, weil dessen Führung gemäß § 40 Abs. 7 ThürDSG alsmeine gesetzliche Aufgabe beschrieben steht, sondern weil es derTransparenz der öffentlichen Verwaltung dient. Es enthält alle An-gaben über die automatisierte Verarbeitung personenbezogener Da-ten in der öffentlichen Verwaltung, die der Bürger benötigt, umseine Schutzrechte sachgerecht geltend machen zu können. Auch fürmeine Tätigkeit, insbesondere im Zusammenhang mit der Vorberei-tung von Kontrollen, sind die Angaben im Datenschutzregister einewertvolle Grundlage. Anhand der Kenntnisnahme des Umfangs derautomatisierten Verarbeitung personenbezogener Daten und derpraktischen Durchführung können konkrete als auch allgemeingülti-ge Schlußfolgerungen und Anregungen im Hinblick auf die Sicher-stellung des Datenschutzes und der Datensicherheit gegeben werden.Im Zuge eingehender Meldungen an mich war es auch oft so, daßKopien von Datenschutzregistermeldungen eingingen. In das Daten-schutzregister aufnahmefähig sind aber nur die Originale. Häufigwar es auch der Fall, daß die Anlagen- und Verfahrensverzeichnissegemäß § 10 ThürDSG an mich übersandt wurden, obwohl diese beiden öffentlichen Stellen zu führen sind, die Datenverarbeitungsanla-gen und automatisierte Verfahren, mit denen personenbezogeneDaten verarbeitet werden, einsetzen.

Im Zuge meiner Kontrolltätigkeit bei öffentlichen Stellen des Landesim Berichtszeitraum, die sich auf insgesamt 49 an der Zahl beliefen,mußte sowohl 1996 als auch 1997 bei mehreren öffentlichen Stellenfestgestellt werden, daß eine automatisierte Verarbeitung personen-bezogener Daten stattfand, obwohl keine entsprechende Daten-schutzregistermeldung bei mir vorlag. Die ebenfalls in diesem Zu-sammenhang zumeist fehlende vorherige schriftliche Freigabe ge-


24

mäß § 34 Abs. 2 ThürDSG wurde deshalb auch meinerseits förmlichbeanstandet. Die jeweilige Freigabeentscheidung wurde meinerseitsgefordert, da ansonsten die automatisierte Verarbeitung hätte einge-stellt werden müssen. In der gesetzlich geforderten vorherigenschriftlichen Freigabe hinsichtlich der Datenarten und regelmäßigenDatenübermittlungen durch die Stelle, die den Datenschutz sicherzu-stellen hat, sehe ich nicht nur eine Formalität.Hier geht es letztlich darum, vor dem erstmaligen Einsatz eines au-tomatisierten Verfahrens rechtzeitig zu überprüfen, ob die vorgese-henen Datenspeicherungen und die vorgesehenen Datenübermittlun-gen datenschutzrechtlich zulässig sind. Die Notwendigkeit, dies sofrühzeitig wie möglich durchzuführen, ergibt sich nicht zuletzt auchdaraus, Fehlinvestitionen zu vermeiden, indem erforderliche Ände-rungen in der Regel vor der Programmierung bzw. vor dem Erwerbeines DV-Programms ausreichend berücksichtigt werden. Im Rah-men meiner Kontrolltätigkeit wurde beispielsweise auch festgestellt,daß automatisierte Verarbeitung von Personal-, Telefon- und Zeiter-fassungsdaten der Mitarbeiter stattfand, ohne daß Freigabeentschei-dungen vorlagen. Hier ist auch zu berücksichtigen, daß bei diesenDV-Projekten die Mitbestimmungs- und Mitwirkungsrechte desPersonalrats beachtet werden. Gemäß § 74 Abs. 3 Thüringer Perso-nalvertretungsgesetz (ThürPersVG) hat der Personalrat beispielswei-se durch Abschluß von Dienstvereinbarungen mitzubestimmen überdie Einführung, Anwendung, wesentliche Änderung oder Erweite-rung automatisierter Datenverarbeitung personenbezogener Datender Beschäftigten.

Für die form- und fristgerechte Abgabe der Datenschutzregistermel-dung und die Beachtung der sonstigen rechtlichen Voraussetzungeneiner automatisierten Verarbeitung personenbezogener Daten ist diejeweilige öffentliche Stelle verantwortlich.Soweit von der jeweiligen obersten Landesbehörde nichts andereszugelassen ist, ist die Meldung über die oberste Landesbehörde beimTLfD abzugeben. Gemäß § 3 Abs. 1 Thüringer Datenschutzregister-verordnung (ThürDSReg-VO) leiten Landkreise und kreisfreieStädte die Meldungen ihrer speichernden Stellen unmittelbar, kreis-angehörige Gemeinden und Städte über das Landratsamt an mich


25

weiter. Zum Stand Dezember 1997 enthält das Datenschutzregisterinsgesamt 2.086 Meldungen.

Von einigen obersten Landesbehörden wie dem TIM, dem TMSGund dem TFM wurden Verwaltungsvorschriften zur Freigabe auto-matisierter Verfahren zur Verarbeitung personenbezogener Datenerlassen, die auch Festlegungen zur Datenschutzregistermeldungenthalten.

Als weitere Hilfestellung für die öffentlichen Stellen im Rahmen derErstellung der jeweiligen Datenschutzregistermeldung habe ich vomTLRZ ein Programm erstellen lassen, welches die rechnergestützteErfassung und den Druck der Formblätter ermöglicht. In diesesErfassungssystem wurden von mir auch ausführliche Erläuterungeneingestellt, die praktische Fragen beim Ausfüllen der Meldungenbeantworten helfen soll. Ich habe in einem Rundschreiben vom12.12.1997 (Anlage 27) empfohlen, soweit die technischen Mög-lichkeiten in der Verwaltung vorhanden sind, das Programm fürzukünftige Meldungen an mich einzusetzen. Ich gehe davon aus, daßdamit die Fehlerquote bei den eingehenden Registermeldungen wei-ter zurückgeht.

1.3 Konferenzen und Arbeitskreise der Datenschutzbe-auftragten des Bundes und der Länder

Wie im 1. TB (3.) berichtet, fanden auch wiederum im Berichtszeit-raum Konferenzen der Datenschutzbeauftragten des Bundes und derLänder sowie vorbereitende Sitzungen der jeweilig zuständigenFacharbeitskreise statt. So führte 1996 für die 51. und 52. Konferenzder Hamburgische Datenschutzbeauftragte den Vorsitz. 1997 hatteden Vorsitz der Datenschutzkonferenz der Bayerische Landesdaten-schutzbeauftragte inne. Es fanden 1997 neben der turnusmäßigen 53.und 54. Konferenz auch eine Sonderkonferenz zum Thema “NeueHerausforderungen für den Datenschutz” in Bamberg statt. Die Ent-schließungen der Konferenzen, einschließlich der verabschiedetenOrientierungshilfen und Arbeitspapiere, denen ich zugestimmt habe,sind im 2. Tätigkeitsbericht in den Anlagen 1 bis 21 abgedruckt.


26

2. Europäischer und internationaler Daten-schutz

Mit Interesse habe ich die Themen der Europäischen und Internatio-nalen Datenschutzkonferenzen im Berichtszeitraum verfolgt. In denAnlagen 22 bis 26 habe ich zur Information gemeinsame Erklärun-gen und Stellungnahmen der Europäischen Datenschutzbeauftragtenangefügt.

An der 18. Internationalen Datenschutzkonferenz am 18. und 19.September 1996 habe ich selbst auch teilgenommen. Im Mittelpunktder Vorträge stand insbesondere die Zukunft des Datenschutzes undAuswirkungen der europäischen Datenschutzrichtlinie auf dieRechtsverordnungen in den Staaten außerhalb der Gemeinschaft, densogenannten Drittstaaten. Ein weiterer Themenschwerpunkt warenChancen datenschutzfreundlicher Technologien, das Erreichen einerAllianz von Technik und Datenschutz.

2.1 Die Umsetzung der EG-Datenschutzrichtlinie - No-vellierung der Datenschutzgesetze - Modernisierungdes Datenschutzrechts

In meinem 1. TB (4.1) hatte ich über die Verabschiedung der Richt-linie 95/46/EG des Europäischen Parlaments und des Rates zumSchutz natürlicher Personen bei der Verarbeitung personenbezoge-ner Daten und zum freien Datenverkehr berichtet. Die Mitgliedstaa-ten haben innerhalb einer dreijährigen Frist die Bestimmungen innationales Recht umzusetzen. Diese Frist läuft im Oktober 1998 ab.In einer Entschließung der 51. Konferenz der Datenschutzbeauf-tragten des Bundes und der Länder vom 14./15. März 1996 (Anlage3) haben sie an die Gesetzgeber in Bund und Ländern appelliert, dieUmsetzung der Richtlinie nicht nur als Beitrag zur europäischenIntegration zu verstehen, sondern als Aufforderung und Chance, denDatenschutz fortzuentwickeln. Die Datenschutzbeauftragten spre-chen sich für eine umfassende Modernisierung des deutschen Daten-schutzrechts aus, damit der einzelne in der sich rapide veränderndenWelt der Datenverarbeitung, der Medien und der Telekommunikati-on über den Umlauf und die Verwendung seiner persönlichen Daten


27

soweit wie möglich selbst bestimmen kann. Anläßlich der 54. Kon-ferenz am 23./24. Oktober 1997 in Bamberg haben sich erneut dieDatenschutzbeauftragten des Bundes und der Länder eingehend mitder Novellierung des Bundesdatenschutzgesetzes befaßt und eineEntschließung verabschiedet, die in Anlage 15 des vorliegenden 2.Tätigkeitsberichts abgedruckt ist. Angesichts der in weniger alseinem Jahr ablaufenden Dreijahresfrist zur Umsetzung der Richtlinieappellieren die Datenschutzbeauftragten an die Bundesregierung, füreine fristgerechte Anpassung des Bundesdatenschutzgesetzes Sorgezu tragen. Sie mahnen die durch Verzögerungen des bisherigenVerfahrens höchst nachteilige Lage für die Entwicklung des Daten-schutzes an, weil u. a. auch eine rechtliche Zersplitterung folgenkönnte, weil in den Ländern eine Orientierung für die Anpassung derLandesdatenschutzgesetze fehlt. Im Dezember 1997 wurde der Ent-wurf eines Gesetzes zur Änderung des BDSG und anderer Gesetzevom BMI vorgelegt.Auch von Seiten des TIM wurde mitgeteilt, daß die Ländergesetzge-bung einer Anpassung um die Maßgaben der Richtlinie bedarf unddas die Vorarbeiten zur Anpassung des ThürDSG bereits hausinternaufgenommen wurden.

2.1.1 Die Datenschutzgruppe nach Artikel 29

Im 1. TB (4.1) hatte ich über Zusammensetzung und Aufgaben derDatenschutzgruppe bereits berichtet, welche in den Artikeln 29 und30 der EG-Datenschutzrichtlinie festgelegt sind. Ihre beratendeFunktion trägt zur einheitlichen Anwendung der zur Umsetzung derRichtlinie erlassenen einzelstaatlichen Vorschriften bei. Im Rahmender ständigen Zusammenarbeit der Kontrollstellen kann eine Weiter-entwicklung des Datenschutzes auf Gemeinschaftsebene erreichtwerden. Die Gruppe arbeitet auf der Grundlage einer gemeinsamenGeschäftsordnung. Unter Beachtung der förderalen Struktur derdeutschen Datenschutzkontrolle nehmen an den Sitzungen derGruppe auch ein Vertreter der Landesbeauftragten und der oberstenAufsichtsbehörden der Länder teil. Die Gruppe erstattet jährlicheinen Bericht. Der erste Jahresbericht (Dok. XV/5025/97 - und DE-WP3) der Arbeitsgruppe für den Schutz von Personen bei der Verar-


28

beitung personenbezogener Daten wurde zwischenzeitlich ange-nommen und veröffentlicht.

2.1.2 Informationsveranstaltung zur EG-Datenschutzrichtlinieim Thüringer Landtag

Am 10. September 1997 habe ich zu einer Informationsveranstaltungzur EG-Datenschutzrichtlinie eingeladen. Neben Datenschutzbeauf-tragten der obersten Landesbehörden, Landkreisen und kreisfreienStädten haben auch Mitglieder des GDD-ERFA-Kreises teilgenom-men. Als Gäste waren von Seiten der Thüringer Aufsichtsbehördenfür den nicht-öffentlichen Bereich Vertreter des TIM und desTLVwA anwesend. Vom Sächsischen Staatsministerium des Innernwar ebenfalls ein Vertreter der Aufsichtsbehörde für den nicht-öffentlichen Bereich des Freistaats Sachsen anwesend. Der Sächsi-sche Datenschutzbeauftragte, Dr. Giesen, hat interessante Ausfüh-rungen, insbesondere zur Rechtsstellung, Aufgaben und Befugnissender Datenschutzkontrollstellen im Sinne des Artikel 28 der Richtli-nie vorgetragen. Die EG-Datenschutzrichtlinie erweitert die Infor-mationsrechte des Bürgers und verpflichtet die Mitgliedstaaten zurEinrichtung unabhängiger staatlicher Kontrollstellen, die die Ein-haltung der in der Umsetzung der Richtlinie geschaffenen interna-tionalen Vorschriften überwachen. Ziel der Richtlinie ist es, gleich-wertigen Datenschutz in allen Mitgliedstaaten zu realisieren.

3. Datenschutz im Parlament

Die Thematik von Datenschutzregelungen für Parlamente und derInhalt und Umfang einer rechtlichen Grundlage dafür wurden imBerichtszeitraum aktuell diskutiert. Von Seiten der Konferenz derPräsidentinnen und Präsidenten der deutschen Landesparlamente am09. Mai 1995 in Konstanz liegen Thesen zu parlamentsspezifischenDatenschutzrecht vor. In diesem Zusammenhang wurde auch einMusterentwurf einer entsprechenden Datenschutzordnung vorgelegt,wenn beispielsweise auf der Grundlage einer in die Landesdaten-schutzgesetze aufzunehmenden Parlamentsklausel diese Daten-schutzordnung verabschiedet wird.


29

Auch die Datenschutzbeauftragten des Bundes und der Länder be-schäftigten sich mit dieser Problematik im Rahmen der 51. und der52. Konferenz. Die eigens dafür einberufene Arbeitsgruppe arbeitetedazu die inhaltlichen und rechtlichen Fragen auf. Im Ergebnis derDiskussion bestand Einigkeit darüber, daß die Datenschutzbeauf-tragten ihre Beratung bei der Schaffung parlamentsspezifischer Da-tenschutzregelungen anbieten. Unter Berücksichtigung der Beson-derheiten des jeweiligen Landesrechts spricht meines Erachtenseiniges dafür, parlamentsspezifisches Datenschutzrecht durch einformelles Gesetz umzusetzen. Dies habe ich dem Thüringer Landtagmitgeteilt.

3.1 Weitergabe von Sozialdaten an den Petitionsaus-schuß des Landtages

Unter den Datenschutzbeauftragten des Bundes und der Länderwurde die Frage diskutiert, unter welchen Voraussetzungen imRahmen eines Petitionsverfahrens Sozialdaten an den Petitionsaus-schuß des Landtags übermittelt werden dürfen. Meine Nachfrage beider Landtagsverwaltung hat ergeben, daß in der Praxis grundsätzlichkeine Akten direkt dem Petitionsausschuß vorgelegt werden, obwohldies in der Landesverfassung zugelassen ist. Im Petitionsverfahrenwird die Landesregierung um eine Stellungnahme gebeten, die ihrer-seits zu deren Erstellung die Akten im Rahmen ihrer Rechts- undFachaufsicht bei den zuständigen Stellen anfordert. Sowohl dieVorlage von Akten als auch die Übermittlung sonstiger Sozialdatenim Rahmen der Stellungnahme der Landesregierung an den Petiti-onsausschuß ist in denjenigen Fällen unproblematisch, in denen sichdiese Daten auf den Petenten selbst beziehen, da dieser das Petiti-onsverfahren angestoßen hat und in der Regel die Überprüfung sei-nes konkreten Falles unter Verwendung seiner Sozialdaten wünscht.Anders stellt sich dies allerdings in denjenigen Fällen dar, in denenzur Beurteilung des Sachverhalts personenbezogene Daten Drittererforderlich sind. Nach Art. 65 Abs. 2 i. V. m. Art. 64 Abs. 4 Satz 1und 2 Verfassung des Freistaats Thüringen (ThürVerf) haben dieLandesregierung und Behörden des Landes die Pflicht, angeforderteAkten vorzulegen und Auskünfte zu geben. Dadurch wird das In-formationsrecht des Parlaments konkretisiert. Durch Art. 65 Abs. 2


30

i. V. m. Art. 67 Abs. 3 ThürVerf kann jedoch die Landesregierungdie Beantwortung von Anfragen und Erteilung von Auskünftenablehnen, wenn dem Bekanntwerden des Inhalts gesetzliche Vor-schriften, insbesondere des Datenschutzes entgegenstehen. DiesenRegelungen ist zu entnehmen, daß weder das Informationsrecht desParlaments noch die Vorschriften zum Schutz des informationellenSelbstbestimmungsrechts von vornherein Vorrang haben. Es hatdaher eine Abwägung beider verfassungsrechtlich verankerter Prin-zipien im Einzelfall zu erfolgen, wobei beiden Grundsätzen soweitwie möglich zur Geltung zu verhelfen ist. Da die Ausschußsitzungenin nicht-öffentlicher Sitzung durchgeführt werden sowie größtenteilsSozialdaten des Betroffenen mit dessen Einwilligung dem Ausschußbekanntgegeben werden, dürfte im Regelfall ein angemessener Aus-gleich der widerstreitenden Interessen vorliegen. Beschwerden Be-troffener habe ich bislang nicht erhalten.

3.2. Informationsrecht der Abgeordneten und Daten-schutz von Mitgliedern einer Tierschutzkommission

Im Berichtszeitraum wurde ich um eine Stellungnahme im Zusam-menhang mit einer Kleinen Anfrage gebeten, ob es aus datenschutz-rechtlicher Sicht zulässig ist, daß die Landesregierung im Rahmender Beantwortung einer Parlamentarischen Anfrage die Namen undAnschriften der Mitglieder der nach § 15 Abs. 1 Tierschutzgesetzberufenen Kommission mitteilt. Diese Kommission berät die zustän-digen Behörden bei der Entscheidung über die Durchführung vonTierversuchen, hat jedoch keinerlei Entscheidungsbefugnisse undtagt auch nicht öffentlich. Die zuständigen Behörden sind nicht andie Äußerungen der Kommissionsmitglieder bei ihren Entscheidun-gen gebunden.

Auch in diesem Fall besteht ein Informationsrecht des Parlamentsund des einzelnen Abgeordneten aufgrund von Art. 67 Abs. 1 Thür-Verf i. V. m. den Vorschriften der Geschäftsordnung des ThüringerLandtags, dem ein Auskunftsverweigerungsrecht der Landesregie-rung nach Art. 67 Abs. 3 ThürVerf gegenübersteht, wenn dem Be-kanntwerden des Inhalts der Antwort auf eine parlamentarischeAnfrage datenschutzrechtlich geschützte Interessen Einzelner entge-


31

genstehen. Hier sind ebenfalls die verfassungsrechtlichen Prinzipienim Rahmen einer Abwägung einander so zuzuordnen, daß beide einegrößtmögliche Wirkung entfalten. Weil die Beantwortung von par-lamentarischen Anfragen entweder in der Öffentlichkeit erfolgt bzw.bei schriftlichen Anfragen die Antwort veröffentlicht wird, stellt dieBekanntgabe von Name und Adresse der Kommissionsmitgliedereinen wesentlich stärkeren Eingriff in deren informationelles Selbst-bestimmungsrecht dar, als eine Bekanntgabe ausschließlich gegen-über dem Abgeordneten. Im übrigen war wegen der nur beratendenund internen Funktion der Kommission keinerlei Erforderlichkeit füreine Veröffentlichung der Namen der Mitglieder der Kommissionersichtlich. Deswegen hielt ich in meiner Stellungnahme im vorlie-genden Fall aus datenschutzrechtlicher Sicht die Bekanntgabe vonNamen und Adressen der Kommissionsmitglieder in einem Land-tagsausschuß für zulässig, da dies einen geringeren Eingriff in dasPersönlichkeitsrecht der Kommissionsmitglieder darstellt, ohne daßhierbei der Informationsanspruch des Abgeordneten eingeschränktwürde.

3.3 Mitteilungen über abschließende Entscheidungen inStrafverfahren gegen Mitglieder von gesetzgebendenKörperschaften

Die Datenschutzbeauftragten haben sich mit der Frage befaßt, ob esaus datenschutzrechtlichen Gründen geboten sei, gemäß Nr. 192Abs. 5 Richtlinie für das Straf- und Bußgeldverfahren (RiStBV)abschließende Entscheidungen im Strafverfahren an den Präsidentender betreffenden “gesetzgebenden” Körperschaft zu übermitteln. DieInformation des Parlaments über die Notwendigkeit der Einleitungeines Strafverfahrens ist notwendige Voraussetzung dafür, daß dasParlament entscheiden kann, ob die Immunität aufgehoben werdensoll. Da nach den Regelungen der Verfassung die Entscheidungdarüber beim Parlament liegt, ist Strafverfolgung nur möglich, wennnotwendige Informationen an das Parlament gelangen. Regelungendarüber, wie zu verfahren ist, wenn das Verfahren seine Erledigunggefunden hat, gibt es nicht, so daß die Beurteilung davon abhängt,ob die Art der Erledigung für die weitere Tätigkeit des Abgeordne-ten bzw. des Parlaments von Bedeutung ist. Ich habe hierzu die


32

Ansicht vertreten, daß in Fällen, in denen ein Landtagsabgeordneteraus dem Parlament ausgeschieden ist, eine derartige Notwendigkeitnicht besteht. Von der Landtagsverwaltung ist mir hierzu mitgeteiltworden, daß sie diese Auffassung teilt.

4. Neue Medien - Multimedia

4.1 Telekommunikationsgesetz (TKG) - Begleitgesetzzum TKG (BegleitG)

Die vorgesehene Liberalisierung im Telekommunikationsmarkt zum01.01.1998 machte es erforderlich, hierfür auch den rechtlichenRahmen zu schaffen. Das zum 01.08.1996 in Kraft getretene Tele-kommunikationsgesetz (TKG, BGBl I S. 1220f) hat hierfür geeig-nete Rahmenbedingungen geschaffen. Schon im Vorfeld hatten dieDatenschutzbeauftragten (1. TB, Anlage 27) in ihrer Entschließungvom 09./10.11.1995 unter anderem die Forderung erhoben, einenwirksamen Datenschutz auch künftig als gleichberechtigtes Regulie-rungsziel zu gewährleisten, unabhängig davon, daß die Prinzipiender Datenvermeidung und der Einhaltung der Zweckbindung derVerbindungs- und Rechnungsdaten Rechnung getragen werdensollte. Das TKG schreibt ausdrücklich für die privaten Betreiber vonFernmeldeanlagen die Wahrung des Fernmeldegeheimnisses vor.Sowohl der Inhalt der Telekommunikation als auch die näherenUmstände des Kommunikationsvorgangs unterliegen dem Fernmel-degeheimnis, so daß damit auch die Verbindungsdaten, wer, wann,mit wem, telefoniert hat, unter das Fernmeldegeheimnis fallen. ZurEinhaltung des Fernmeldegeheimnisses ist derjenige verpflichtet, dergeschäftsmäßig Telekommunikationsdienste erbringt oder daranmitwirkt. Damit unterliegen auch private Netze in Firmen (CorporateNetworks), Nebenstellenanlagen in Krankenhäusern und Hotels demFernmeldegeheimnis, soweit sie den Beschäftigten zur privatenNutzung zur Verfügung gestellt sind. Die Datenschutzbeauftragtenhatten sich in der o. a. Entschließung dagegen ausgesprochen, dieDatenschutzkontrolle auf die Regulierungsbehörde zu übertragen, dadiese nicht über die hinreichende Unabhängigkeit verfügt. Nunmehrliegt die Zuständigkeit hierfür beim BfD. In der Praxis zeigte sichallerdings, daß in einigen Bereichen eine genaue Abgrenzung der


33

Zuständigkeiten zwischen BfD, LfD und Aufsichtsbehörden für dennicht-öffentlichen Bereich noch erforderlich sein wird. Im Kreise derDatenschutzbeauftragten wird dies derzeit erörtert. Erfreulich ist,daß nach § 89 Abs. 8 TKG die Rechte der Kunden im Telekommu-nikationsbereich bei der Eintragung in Telefonverzeichnisse eineVerstärkung erfahren haben. Nunmehr wird in das öffentliche Tele-fonbuch, unabhängig davon, ob es auf CD-ROM oder gedrucktabrufbar ist, nur noch derjenige aufgenommen, der dies beantragthat. Zuvor erfolgte eine Registrierung lediglich dann nicht, wenn derBetroffene der Registrierung widersprochen hatte (1. TB, 5.2.4.7).Für Eintragungen, die vor Inkrafttreten des TKG in das Telefonbuchaber aufgenommen worden sind, bleibt es bei der Widerspruchslö-sung. Wer nicht will, daß außer der Telefonnummer weitere Anga-ben über ihn beauskunftet werden, muß ebenfalls Widerspruch erhe-ben. Nach § 11 Abs. 3 TKG bestand die Verpflichtung, den Kundenüber die Wahlmöglichkeit, ggf. auch über die Rufnummern hinaus-gehende Auskünfte zu erteilen, zu unterrichten.Kritisch wird im Kreise der Datenschutzbeauftragten die Regelungdes § 90 TKG betrachtet, die ein automatisiertes Abrufverfahren fürdie aktuellen Kundendaten aller Telekommunikationsdiensteanbieteru. a. an Gerichte, Staatsanwaltschaften, Polizei und Verfassungs-schutzbehörden vorsieht. Hier wird kritisch zu beobachten sein, wiesich diese Vorschrift in der Praxis bewährt.Im Nachgang zum Postneuordnungsgesetz von 1994 (Postreform II)und in Umsetzung des TKG bestand die Notwendigkeit, zahlreicheRechtsvorschriften an die geänderte Rechtslage anzupassen. Demhat der Bundesgesetzgeber mit dem Begleitgesetz zum Telekommu-nikationsgesetz vom 17.12.1997 (BGBl I S. 3108) Rechnung getra-gen. Während sich Artikel I mit der neu eingerichteten Regulie-rungsbehörde für Telekommunikation befaßt, enthält Artikel II zahl-reiche Änderungen von Einzelvorschriften, zu denen auch das Strei-chen der Bezugnahme auf das Gesetz über Fernmeldeanlagen (FAG)im BDSG sowie Änderungen im Telekommunikationsgesetz selbstzählen. § 12 FAG, der zum 31.12.1997 außer Kraft treten sollte,sieht vor, daß unter bestimmten Voraussetzungen in strafgerichtli-chen Untersuchungen Auskunft über die Telekommunikation ver-langt werden kann. Hier war im BegleitG vorgesehen, einen neuen§ 99 a Strafprozeßordnung (StPO) einzuführen. Danach sollte u. a.


34

eine Auskunftserteilung nur bei Straftaten von nicht unerheblicherBedeutung ermöglicht werden, wobei keine Unterrichtung des Be-troffenen über diese Maßnahme vorgesehen war. Im weiteren Ge-setzgebungsverfahren wurde diese Überlegung nicht weiter verfolgt.Die Geltung von § 12 FAG wurde dann noch einmal bis zum31.12.1999 verlängert.

4.2 Telekommunikationsdiensteunternehmen-Datenschutzverordnung (TDSV)

Hinter dieser komplizierten Bezeichnung verbirgt sich die zum1. Juli 1996 in Kraft getretene Verordnung (BGBl I S. 982) auf derErmächtigungsgrundlage des § 10 Abs. 1 des Gesetzes über dieRegulierung der Telekommunikation und des Postwesens(PTRegG). Hier ist geregelt, wie Unternehmen, die Telekommuni-kationsdienstleistungen für die Öffentlichkeit erbringen oder daranmitwirken, unter anderem den Schutz personenbezogener Daten deram Fernmeldeverkehr Beteiligten sicherzustellen haben. Die Ver-ordnung enthält Vorschriften zum Umfang der Datenerhebung, -verarbeitung und -nutzung und enthält auch Fristen für die Löschungvon Verbindungsdaten bei Abrechnungen und Bestandsdaten nachBeendigung des Vertragsverhältnisses. Die Verordnung erfaßt je-doch nur Unternehmen, die Telekommunikationsdienstleistungen fürdie Öffentlichkeit erbringen und daran mitwirken und nicht ge-schlossene Benutzergruppen, wie Corporate Networks. Um dieseerfassen zu können, bedarf es einer neuen Rechtsverordnung, für die§ 89 des zum 01.08.1996 in Kraft getretenen TKG die Rechts-grundlage gibt. Daß eine neue Verordnung dringend erforderlich ist,ist allseits anerkannt. Ein entsprechender Entwurf liegt bisher nochnicht vor.

4.3 Informations- und Kommunikationsdienste-Gesetz(IuKDG)

Das zum 01.08.1997 in Kraft getretene als Artikelgesetz konzipierteIuKDG enthält neben den Änderungen verschiedener Rechtsvor-schriften auch drei neue Gesetze, mit denen juristisches Neulandbetreten wird. Dies gilt jedoch insbesondere für das Signaturgesetz


35

(SigG), zu dem an anderer Stelle (15.8) nähere Ausführungen ge-macht sind. Das Gesetz über die Nutzung von Telediensten (Tele-dienstegesetz - TDG) umfaßt u. a. Regelungen zur Zugangsfreiheitder Informations- und Kommunikationsdienste und zur Verantwort-lichkeit für Diensteanbietern bei Telediensten. Entscheidend isthierbei, daß als Teledienste die Kommunikationsdienste definiertwerden, denen eine Übermittlung mittels Telekommunikation zu-grunde liegt. Das IuKDG regelt lediglich die Nutzung der mittelsTelekommunikation übermittelten Inhalte, nicht die Telekommuni-kation selbst. In der Praxis bedeutet dies, daß der telekommunikati-onsrechtliche Datenschutz hier ebenfalls zu berücksichtigen ist. AlsTeledienste sind nach § 2 Abs. 2 TDG unter anderem Telebanking,Datendienste zu Informationen wie Verkehr, Wetter und Umwelt-daten sowie die Nutzung des Internets anzusehen. § 5 TDG stelltklar, daß Diensteanbieter, zu denen diejenigen zählen, die entwedereigene oder fremde Teledienste zur Nutzung bereithalten oder denZugang zur Nutzung vermitteln, nur für eigene Inhalte nach denallgemeinen Gesetzen verantwortlich sind und nicht für fremde In-halte, zu denen sie lediglich den Zugang vermitteln. Wenn bei-spielsweise der Diensteanbieter keine Kenntnis davon hat, daß einstrafbarer Inhalt eingestellt worden ist und es ihm technisch nichtmöglich und zumutbar ist, diese Nutzung zu unterbinden, kann erhierfür strafrechtlich nicht zur Verantwortung gezogen werden, wasvor Inkrafttreten des Gesetzes zumindest umstritten war.Im Teledienstedatenschutzgesetz (TDDSG), das bereichsspezifischden Schutz personenbezogener Daten bei Telediensten im Sinne desTDG regelt, findet sich in § 3 Abs. 4 TDDSG erstmalig eine Rege-lung, die den Grundsatz der Datensparsamkeit und Datenvermeidungfestlegt. Der Diensteanbieter darf nach § 3 Abs. 3 TDDSG die Er-bringungen von Telediensten nicht von einer Einwilligung des Nut-zers in die Verarbeitung oder Nutzung seiner Daten für andereZwecke abhängig machen, wenn ein anderer Zugang zu diesen Tele-diensten nicht oder in nicht zumutbarer Weise möglich ist. Ich sehedies als einen entscheidend positiven Gesichtspunkt dieses Gesetzesan, da damit für den Bürger die Teilnahme an der modernen Kom-munikation auch ohne Preisgabe seiner Daten an Dritte ermöglichtwird. Auch dem aus datenschutzrechtlicher Sicht immer wiedergeforderten Gesichtspunkt der Zulassung einer anonymen Nutzung


36

wird Rechnung getragen, indem § 4 Abs. 1 TDDSG normiert, daßdie Benutzer die Inanspruchnahme von Telediensten und ihre Be-zahlung anonym oder unter Pseudonymen, soweit technisch möglichund zumutbar, ermöglicht werden soll. Die datenschutzrechtlicheDiskussion wird seit Jahren davon bestimmt, daß verhindert werdensoll, Nutzungsprofile zu erstellen, die zum “gläsernen Bürger” füh-ren. § 4 Abs. 4 TDDSG gestattet die Erstellung von Nutzungsprofi-len nur dann, wenn hierzu Pseudonyme (vgl. zum Begriff 15.6)verwandt werden und verbietet es ausdrücklich, daß dieses Pseud-onym mit den Daten über den Träger des Pseudonyms zusammenge-führt werden. Diese Regelung trägt sowohl dem Interesse des Nut-zers an weitgehender Anonymität seines Konsumentenverhaltens alsauch dem wirtschaftlichen Interesse des Diensteanbieters hinsicht-lich der Auswertung der Inanspruchnahme der von ihm vermitteltenTeledienste Rechnung.Bei den sogenannten Bestandsdaten war ursprünglich vorgesehen,daß die Anbieter von Telediensten verpflichtet werden sollen, Poli-zei und Nachrichtendiensten Auskunft über Daten zur Begründung,inhaltlichen Ausgestaltung und Änderung der Vertragsverhältnisseihrer Kunden zu erteilen. Hiergegen haben sich die Datenschutzbe-auftragten mit ihrer Entschließung vom 17./18.04.1997 (Anlage 12)gewandt. Der Gesetzgeber hat bei der Beschlußfassung die kritisierteÜbermittlungsregelung nicht übernommen. Wichtig ist auch die in§ 6 TDDSG getroffene Regelung, wonach Nutzungsdaten nur erho-ben und gespeichert werden können, soweit dies erforderlich ist, umdem Nutzer die Inanspruchnahme von Telediensten zu ermöglichenund die Verpflichtung, Nutzungsdaten spätestens unmittelbar nachEnde der jeweiligen Nutzung, soweit es sich nicht um Abrechnungs-daten handelt, zu löschen. Schließlich gibt § 7 TDDSG dem Benut-zer das Recht, jederzeit die zu seiner Person oder zu seinem Pseud-onym gespeicherten Daten unentgeltlich beim Diensteanbieter ein-zusehen. Zur Datenschutzkontrolle verweist § 8 TDDSG auf § 38BDSG, so daß die Kontrolle der Datenschutzvorschriften der Auf-sichtsbehörde für den nicht-öffentlichen Bereich unterliegt. Erstma-lig wird hier bereits in Anlehnung an die EG-Datenschutzrichtlinievorgesehen, daß die Kontrolle durch die Aufsichtsbehörde nichtmehr an einen konkreten Anlaß gebunden sein muß. Eine neue Zu-ständigkeit erwächst hier für den BfD, der die Entwicklung des Da-


37

tenschutzes bei Telediensten zu beobachten und hierzu in seinemTätigkeitsbericht Stellung zu nehmen hat. Bei der Gesamtbetrach-tung ist allerdings zu berücksichtigen, daß sich die Regelungen desIuKDG nur auf Diensteanbieter in der BRD beziehen.

4.4 Mediendienste-Staatsvertrag

Vor und im Laufe der Beratungen zum IuKDG (4.3) und des Medi-endienste-Staatsvertrags (MDStV, GVBl S. 258), der am 01.08.1997in Kraft trat, gab es intensive Beratungen zwischen Bund und Län-dern zur Zuständigkeitsabgrenzung, da für Teilbereiche der neuenMedien sowohl der Bund als auch die Länder die Zuständigkeit fürsich in Anspruch nahmen. Der Mediendienste-Staatsvertrag gilt nachder getroffenen Klärung gemäß § 2 für das Angebot und die Nut-zung von an die Allgemeinheit gerichteten Informations- und Kom-munikationsdiensten. Hierzu zählen Verteildienste sowie Abrufdien-ste, bei denen Text, Ton und Bilddarbietungen aus elektronischenSpeichern auf Anforderung zur Nutzung übermittelt werden. DieAbgrenzung zwischen Telediensten und Mediendiensten kann mit-unter schwierig sein, da die Frage, ob die redaktionelle Gestaltungim Vordergrund steht, nicht einfach zu beantworten ist. Nach § 2Abs. 4 Ziffer 3 TDG ist ein Verteil- und Abrufdienst, der demWortlaut nach unter das TDG fallen kann, in einem solchen Fallnämlich dem MDStV unterstellt. Ansonsten ist festzuhalten, daß dieRegelungen des TDDSG und des MDStV, soweit bekannt, erstmaligin Form von Bundes- und Landesvorschriften weitestgehend aufein-ander abgestimmt wurden. Eine Neuerung stellt das im TDDSGnicht enthaltene sogenannte Datenschutz-Audit dar, das den Anbie-tern von Mediendiensten die Möglichkeit eröffnet, zur Verbesserungvon Datenschutz und Datensicherheit ihr Datenschutzkonzept sowieihre technischen Einrichtungen durch unabhängige und zugelasseneGutachter prüfen und bewerten sowie das Ergebnis der Prüfungveröffentlichen zu lassen. Zu den näheren Anforderungen bedarf esjedoch noch eines besonderen Gesetzes. Im Unterschied zumTDDSG sieht der MDStV auch vor, daß Verstöße gegen den Medi-endienste-Staatsvertrag als Ordnungswidrigkeiten geahndet werdenkönnen.


38

4.5 Thüringer Rundfunkgesetz (TRG)

Im Berichtszeitraum wurde das Thüringer Rundfunkgesetz (TRG)neu gefaßt (GVBl S. 271), wobei ich vorgeschlagen habe, im Zu-sammenhang mit der Abrechnung von in Anspruch genommenenProgrammangeboten eine Verpflichtung zur Unterrichtung von Mit-benutzern des Anschlusses aufzunehmen. Bei der Vorschrift zurMedienforschung habe ich angeregt, den Personenbezug zu löschen,sobald das nach dem Forschungsprojekt möglich ist. Meine Vor-schläge wurden berücksichtigt.

4.6 Rundfunkänderungsstaatsvertrag

Im Berichtszeitraum trat zum 01.01.1996 der Zweite Rundfunkände-rungsstaatsvertrag (GVBl S. 16) sowie am 01.01.1997 der DritteRundfunkänderungsstaatsvertrag (GVBl S. 87) in Kraft. Zum Daten-schutz findet sich im letztgemeinten in § 47 die Übernahme einerwortgleichen Formulierung aus der bisherigen Regelung. Zwischen-zeitlich gibt es nicht nur im Hinblick auf das digitale FernsehenÜberlegungen für einen Vierten Rundfunkänderungsstaatsvertrag,wobei auch an die Änderung des MDStV (4.4) gedacht wird. VonDatenschutzseite ist hier empfohlen worden, die bisherigen Rege-lungen zum Datenschutz an die Vorschriften des MDStV anzupas-sen, soweit nicht Änderungen im Hinblick auf die besonderen Be-dingungen des Rundfunks geboten sind. Auch hier umfaßt der zurZeit diskutierte Vorschlag die Einführung eines Datenschutz-Audit.Mit der Änderung des Staatsvertrags ist vorgesehen, auch andereStaatsverträge der Länder im Rundfunk/Medienbereich zu ergänzen.Die Abstimmungen auf Länderebene sind aber noch nicht abge-schlossen.

4.7 Rundfunkgebührenbefreiung aus sozialen Gründen

Auf die datenschutzwidrige Verfahrensweise bei der Befreiung vonder Rundfunkgebührenpflicht aus sozialen Gründen habe ich bereitsim 1. TB (11.9.1) aufmerksam gemacht. Im Berichtszeitraum wurdedas Verfahren mit dem MDR und den für das Rundfunkrecht zu-ständigen Staatskanzleien weiter diskutiert. Ein Vorschlag der Da-


39

tenschutzbeauftragten der MDR-Länder zur Änderung der Rund-funkgebührenbefreiungsverordnungen wurde bislang nicht aufge-griffen. Ziel einer möglichen Änderung der Verfahrensweise solltees sein, sowohl die Antragsbearbeitung für den Bürger ortsnah zugestalten als auch andererseits überflüssige Datenerhebungen und-verarbeitungen zu vermeiden. Obwohl sich im Berichtszeitraum indieser Frage nichts getan hat, haben die Beteiligten weitere Ge-sprächsbereitschaft signalisiert. Das Ergebnis bleibt abzuwarten.

4.8 Veröffentlichung eines säumigen Beitragszahlers imInfokanal einer Antennengemeinschaft

Eine Antennengemeinschaft, die einen Infokanal betreibt, bat michum Mitteilung, ob ein säumiger Beitragszahler im Infokanal mitNamen veröffentlicht werden könne. Nach § 59 Satz 2 ThüringerRundfunkgesetz (TRG) besteht die Verpflichtung, personenbezoge-ne Daten nicht über den in §§ 57 und 60 genannten Umfang hinauszu verarbeiten und zu nutzen. Die Veröffentlichung personenbezo-gener Daten der Nichtzahler im Infokanal hätte eine Prangerwir-kung, die das informationelle Selbstbestimmungsrecht der Betroffe-nen erheblich beeinträchtigen würde, zumal dies für die Abrechnungdes Entgelts nicht erforderlich ist. Ich habe daher dem Petentenempfohlen, von diesen Überlegungen Abstand zu nehmen.

5. Innenverwaltung - Kommunales - Sparkassen

5.1 Innenverwaltung

5.1.1 Einführung einer Asylcard

In meinem 1. TB (5.3.2) hatte ich darauf hingewiesen, daß es Über-legungen gibt, eine sogenannte Asylcard einzuführen. Das TIM siehtebenfalls auch die Vielzahl personenbezogener Daten, die auf derKarte gespeichert werden sollen, als einen erheblichen Eingriff indas informationelle Selbstbestimmungsrecht der Betroffenen an. Eshat darauf verwiesen, daß es hierzu einer entsprechenden Rechts-grundlage bedarf. Seitens des BMI ist eine Machbarkeitsstudie in


40

Auftrag gegeben worden, deren Ergebnisse allerdings noch nichtvorliegen.

5.1.2 Vorschriften im Ausländerwesen

Allgemeine Verwaltungsvorschrift zum Ausländergesetz (AuslG-VV)

Zu dem mir zugeleiteten Referentenentwurf einer allgemeinen Ver-waltungsvorschrift zum Ausländergesetz (AuslG-VV) habe ichStellung genommen und zur Inanspruchnahme von Sozialleistungenempfohlen, eine datenschutzrechtlich präzise Formulierung vorzuse-hen und die Übermittlung von Daten nicht von der Ausübung desErmessens abhängig zu machen. Bei Straf- und Bußgeldverfahrensieht § 76 Abs. 4 AuslG zur Übermittlung eine eindeutige Regelungvor, die in dem Entwurf der Verwaltungsvorschrift erweitert wurde.Soweit schon die Mitteilung der Einleitung eines strafrechtlichenErmittlungsverfahrens vorgesehen wird, findet dies in § 76 Abs. 4AuslG keine Rechtsgrundlage. Auch bei der Einstellung von Straf-oder Bußgeldverfahren nach § 170 Abs. 2 StPO oder der Ablehnungder Eröffnung des Hauptverfahren oder einem Freispruch besteht fürdie Übermittlung dieser Daten an die Ausländerbehörde keine Not-wendigkeit. Das TIM hat sich meiner Auffassung angeschlossen. InKraft getreten ist die Verwaltungsvorschrift noch nicht.

Allgemeine Verwaltungsvorschriften zum Ausländerzentralregisterund zur Ausländerzentralregisterdurchführungsverordnung (AZR-DV)

Nachdem, wie im 1. TB (1.2.3) berichtet, die vorgetragenen Beden-ken in der Verordnung zur Durchführung des Gesetzes für das Aus-länderzentralregister nicht berücksichtigt worden waren, habe ichzum Entwurf einer allgemeinen Verwaltungsvorschrift zum AZRGund zur AZR-DV dem TIM empfohlen, auf Klarstellungen undPräzisierungen hinzuwirken. Die Vorschriften, die der Zustimmungdes Bundesrats bedürfen, sind noch nicht in Kraft getreten.

Seit Dezember 1997 gibt es auch einen Entwurf zur Änderung desGesetzes über das Ausländerzentralregister und zur Einrichtungeiner Warndatei, der mir noch nicht vorliegt.


41

5.1.3 Übermittlung personenbezogener Daten bosnischerBürgerkriegsflüchtlinge

Die Innenministerien der Länder wurden vom Bundesinnenministe-rium gebeten, die ihnen von den Ausländerbehörden übermitteltenpersonenbezogenen Daten der bosnischen Bürgerkriegsflüchtlingean eine beim Bundesamt für die Anerkennung ausländischer Flücht-linge (BAFl) eingerichtete Projektgruppe zu übermitteln. Wie ineinigen Ländern hatte auch das TIM zunächst im Hinblick auf dievon mir geäußerten rechtlichen Bedenken von einer Übersendungpersonenbezogener Daten Abstand genommen. Im Zuge der Diskus-sion wurde deutlich, daß Projekte für den Wiederaufbau nur geneh-migt werden, wenn dem Antrag Listen beigefügt sind, in denen denwiederaufzubauenden Objekte sowohl Eigentümer als auch Woh-nungsberechtigten zugeordnet waren. Da ohne die Angabe der ge-nauen Herkunft der Flüchtlinge die finanzielle Förderung aus EU-Mitteln nicht möglich ist und die Zuständigkeit des Bundes für der-artige Wiederaufbau- und Rückkehrprojekte unzweifelhaft gegebenist, habe ich bezugnehmend auf § 21 Abs. 2 Satz 2 i. V. m. § 20Abs. 2 Ziffer 6 ThürDSG meine ursprünglichen Bedenken für ausge-räumt angesehen.

5.1.4 Datenübermittlung aus Anlaß der Abschiebung vonVietnamesen

Der Ausländerbeauftragte der Landesregierung hatte mir gegenüberseine Besorgnis über die Übermittlung personenbezogener Daten imRahmen des Vollzugs des Rückübernahmeabkommens für vietna-mesische Staatsangehörige zum Ausdruck gebracht. Eine Prüfungdes sogenannten Selbstangabe-Formulars (H.03) ergab, daß diesnicht eindeutig die Freiwilligkeit des Ausfüllens erkennen ließ. Beiden ausfüllenden Personen mußte auch der Eindruck entstehen, daßdie Angaben in Deutschland verbleiben würden, was jedoch nichtder Fall war, da die Übermittlung der Daten an vietnamesische Be-hörden vorgesehen ist. Das TIM hat mir mitgeteilt, daß die Auslän-derbehörden angewiesen wurden, den vietnamesischen Staatsange-hörigen vor Abgabe der Selbstauskunft ebenfalls ein Merkblatt aus-


42

zuhändigen, welches eindeutige Hinweise enthält Der in Rede ste-hende Vordruck H.03 steht auch in vietnamesischer Sprache zurVerfügung.

5.1.5 Ermittlungen im Rahmen von Scheineheverfahren ge-mäß § 92 Abs. 2 Nr. 2 AuslG

Nach § 17 Abs. 1 AuslG kann einem ausländischen Familienangehö-rigen eines deutschen Staatsangehörigen zum Zwecke des nach Arti-kel 6 GG gebotenen Schutzes von Ehe und Familie eine Aufent-haltserlaubnis für die Herstellung und Wahrung der familiären Le-bensgemeinschaft mit dem Ausländer im Bundesgebiet erteilt undverlängert werden. Die Ausländerbehörden sehen sich hierbei demProblem gegenüber, daß zum Zwecke der Aufenthaltserlaubnis mit-unter eine “Scheinehe” geschlossen wird, so daß nach § 75 Abs. 1AuslG die Erhebung von Daten erforderlich wird. Der Umfang unddie Art, wie die Ausländerbehörden hier zu Erkenntnissen kommen,die den Verdacht begründen, daß eine “Scheinehe” vorliegt, birgtverschiedene datenschutzrechtliche Probleme. Mit Fragebögen ver-suchen die Ausländerbehörden zu ermitteln, ob der Verdacht einer“Scheinehe” besteht, wobei die gestellten Fragen sehr weitgehendsind. Mein Hinweis an das TIM, daß ein in Thüringen verwandterFragebogen hinsichtlich der meisten gestellten Fragen der Überar-beitung bedarf, wurde positiv aufgegriffen. Gemeinsam mit demTIM wurde ein Fragebogen entwickelt, der auf nicht erforderlicheFragen verzichtet und die Ausländerbehörden in die Lage versetzensoll, die notwendigen Erkenntnisse zu gewinnen. Nachträglich wur-de noch das Problem angesprochen, ob die Ausländerbehörden be-rechtigt sind, Befragungen (eventuell auch bei Nachbarn) vor Ortvorzunehmen, weil der Fragebogen allgemeine Fragen enthält, diehinsichtlich ihrer Grundangaben vorher zwischen den Eheleutenabgestimmt sein könnten. Ich habe hierzu die Auffassung vertreten,daß nach § 75 Abs. 2 AuslG ggf. auch Datenerhebungen bei Nach-barn erfolgen können, wobei bei derartigen Befragungen Zurück-haltung geboten ist. Der Umstand, daß bei Fragebögen Ehepartnerdeckungsgleiche Antworten geben, berechtigt allein nicht dazu,davon auszugehen, daß eine Nachbarbefragung angezeigt ist, da


43

nicht automatisch aus deckungsgleichen Antworten die Schlußfolge-rung zulässig ist, daß sich die Eheleute abgesprochen haben.

5.1.6 Veröffentlichung von Asylbewerberdaten

Im Rahmen einer Petition wurde mir vorgetragen, daß durch einVerwaltungsgericht den bevollmächtigten Rechtsanwälten einesAsylbewerbers eine sogenannte Abgangsliste der Erstaufnahmeein-richtung Tambach-Dietharz mit einer Vielzahl von Namen, Vorna-men und Geburtsdaten von Asylbewerbern übermittelt worden war,obwohl die Bevollmächtigten nur einen der aufgeführten Asylbe-werber im anhängigen Asylverfahren vertraten. Ich habe mich dar-aufhin mit dem zuständigen Verwaltungsgericht in Verbindunggesetzt und gebeten, mir mitzuteilen, weshalb diese Datenübermitt-lung erfolgt ist. Nach § 37 Abs. 4 ThürDSG beschränkt sich meineZuständigkeit bei Gerichten nur auf Verwaltungsangelegenheiten,was hier zweifelhaft sein konnte, da unter Angabe eines verwal-tungsgerichtlichen Aktenzeichens von einem Richter unterzeichnetdie Liste übersandt worden ist, so daß ich das Verwaltungsgerichtauch insoweit um Stellungnahme gebeten habe. Das Verwaltungsge-richt hat es zwar als äußerst bedenklich im Hinblick auf § 37 Abs. 4ThürDSG angesehen, ob die von Richtern verfügte Versendung derListen im Rahmen einer Betreibensaufforderung nach § 81 AsylVfGmeiner Kontrolle unterliegt, hat gleichwohl aber meinem Anliegendadurch Rechnung getragen, daß künftig von einer Versendung derListen abgesehen oder die Namen der nicht am Verfahren beteiligtenAsylbewerber geschwärzt werden. Die Übersendung der Liste an dasVerwaltungsgericht wurde vom Landratsamt veranlaßt, wobei manmir auf meine Anfrage mitteilte, daß versehentlich die Liste kom-plett ohne die Schwärzung nicht verfahrensbeteiligter Asylbewerberübermittelt wurde. Nachdem man mir versichert hatte, daß die Mit-arbeiter der Ausländerbehörde noch einmal darüber belehrt wurden,den Datenschutz diesbezüglich genauestens einzuhalten, habe ich dieAngelegenheit als abgeschlossen angesehen und den Petenten ent-sprechend informiert.


44

5.1.7 Verpflichtung zur Kostenübernahme nach § 84 Auslän-dergesetz (AuslG)

Die Ausländerbehörden machen eine Visumerteilung von der Vorla-ge einer Verpflichtungserklärung nach § 84 Abs. 1 AuslG abhängig.Bei der Abgabe der Verpflichtungserklärung wird ein Nachweisverlangt, daß der Gastgeber in der Lage ist, für die Kosten aufzu-kommen. Es werden vom Gastgeber Angaben zu seinen Wohnungs-,Einkommens- und Vermögensverhältnissen abverlangt. So muß ermitteilen, ob er Mieter oder Eigentümer der von ihm bewohntenWohnung ist. Auch muß der Name des Arbeitgebers angegebenwerden. § 84 AuslG stellt für derartige Datenerhebungen keineRechtsgrundlage dar, sondern normiert nur die Verpflichtung, daßder Gastgeber die Kosten für den Lebensunterhalt des Ausländers zutragen und ggf. verauslagte öffentliche Mittel zu erstatten hat. DasTIM hat sich meinen Bedenken angeschlossen und verlangt künftignur noch die Vorlage einer Meldebescheinigung, einer Bankbürg-schaft oder die Hinterlegung eines Sparbuchs.

5.1.8 Kontrolle der LAST und ZAST

Sowohl die Landesaufnahmestelle für Aussiedler (LAST) in Eisen-berg als auch die Zentrale Anlaufstelle für Asylbewerber (ZAST) inTambach-Dietharz, die zum TLVwA gehören, wurden von mir einerdatenschutzrechtlichen Kontrolle unterzogen.

In der LAST stellte ich fest, daß alle Aussiedler in einer Registratur-liste mit Namen, Vornamen, Herkunftsland, Geburtsdatum, Berufund Konfession erfaßt werden, die in kopierter Form u. a. an dieDiakonie, die Arbeiterwohlfahrt, den Sozialdienst, den Krankenbe-reich des DRK und das Arbeitsamt weitergegeben wurden. Es istjedoch nicht einzusehen, daß von einem Betroffenen, der nicht krankist, alle Daten an den Krankenbereich gemeldet werden oder an diebetreffende Mitarbeiterin, die für die Bearbeitung von Anträgen aufGewährung pauschaler Wiedereingliederungshilfe zuständig ist,gemeldet werden, obwohl nicht alle einen derartigen Antrag stellen.Mir wurde zugesichert, daß die Weitergabe der Liste künftig nurnoch an die notwendigen Stellen erfolgt. Über die Verteilung der


45

Betroffenen in Übergangswohnheime wird ebenfalls eine Liste er-stellt, aus der sich ergibt, welche Person zu welchen Familienver-bänden gehören, die an das jeweilige Übergangswohnheim weiter-geleitet wird. Zur Praxis, täglich eine Kopie einer Liste über alleabreisenden Personen an die unterschiedlichsten Bereiche im Hauseweiterzuleiten, erklärte sich schon während der Kontrolle die LASTbereit, auch hier das Verfahren zu ändern und gegenüber den Berei-chen, in denen es nicht auf die Namen ankommt, auf deren Nennungzu verzichten. Eingestellt wurde auch das Verfahren, Arbeitsunfä-higkeitsbescheinigungen der Mitarbeiter vor der Übersendung an diehierfür zuständige OFD - Zentrale Gehaltsstelle - im Original zukopieren und über einen Zeitraum von bis zu einem Jahr aufzube-wahren, da hierfür keine Notwendigkeit besteht. Bei der ZASTkonnte ich feststellen, daß seit Ende 1995 ein Besucherbuch geführtwurde, in welchem Name, Vorname, Nationalität, Wohnanschriftdes Besuchers sowie der Name des Besuchten, Zimmernummer undBeginn und Ende des Besuchs notiert wurden. Auf den Hinweis, daßeine so lange Aufbewahrung der Besucherdaten nicht erforderlicherscheint, wurde zugesichert, das Besucherbuch nur noch für denZeitraum eines halben Jahres aufzubewahren. Ähnlich wird künftigauch mit den Ausgangskarten verfahren, die Asylbewerber erhalten,wenn sie die Einrichtung verlassen. Das bisherige Verfahren, dieseKarten jeweils zu den Akten zu nehmen, wird eingestellt, da maneingesehen hat, daß dies auch nicht erforderlich ist. Die bisherigePraxis, die Leistungsakten von Asylbewerbern zu kopieren und eineKopie an die aufnehmende Einrichtung zu übersenden, wenn Asyl-bewerber die Einrichtung verlassen, wird aufgegeben, da sich eineErforderlichkeit für die Aufbewahrung und etwaige Auskunftsertei-lung nur auf den Zeitraum erstrecken kann, in dem sich ein Asylbe-werber in der Zentralen Aufnahmestelle befand. Die ZAST hat auchmeine Anregung aufgegriffen, die Vielzahl von Unterlagen, für dieeine Aufbewahrungsnotwendigkeit über einen längeren Zeitraumnicht erkennbar ist, auf das notwendige Maß zu reduzieren.

5.1.9 Kontrolle im Thüringer Landesverwaltungsamt

Das Thüringer Landesverwaltungsamt (TLVwA) wurde im Be-richtszeitraum auf Einhaltung technischer und organisatorischer


46

Maßnahmen nach § 9 ThürDSG kontrolliert. Bei der Kontrolle wur-den neben einigen organisatorischen Unzulänglichkeiten auf demGebiet des Datenschutzes insbesondere technische und organisatori-sche Mängel bei der Anwendung der automatisierten Datenverar-beitung festgestellt. Zum Zeitpunkt der Kontrolle stand von Seitendes TLVwA kein bDSB als Ansprechpartner zur Verfügung. Dasgemäß § 10 ThürDSG zu führende Verfahrensverzeichnis, welchesalle eingesetzten automatisierten Verfahren beinhalten muß, mitdenen personenbezogene Daten verarbeitet werden, entsprach zumZeitpunkt der Kontrolle nicht dem aktuellen Stand und den gesetzli-chen Anforderungen gemäß § 10 Abs. 2 ThürDSG. Für eine erhebli-che Anzahl eingesetzter automatisierte Verfahren konnten keinedatenschutzrechtlichen Freigaben gemäß § 34 ThürDSG vomTLVwA vorgelegt werden, was ich beanstandet habe. Im TLVwAwerden eine Vielzahl von Verfahren, mit denen personenbezogeneDaten verarbeitet werden, eingesetzt. Die stichprobenhafte Kontrollein einer Abteilung zeigte, daß den erforderlichen technischen undorganisatorischen Maßnahmen gemäß § 9 ThürDSG hier nicht imausreichenden Maß entsprochen wurde. Dies habe ich beanstandet.Es war festzustellen, daß in den kontrollierten Bereichen zumeistSicherheitsmaßnahmen für diese Verfahren ohne konzeptionellenZusammenhang, zumeist sporadisch und im eigenen Ermessen derjeweiligen Mitarbeiter festgelegt wurden. Insbesondere fehlten ver-bindliche Regelungen und Vorgaben sowohl für ein sicheres Betrei-ben der vor Ort kontrollierten Verfahren, als auch bereichsübergrei-fende Richtlinien in Form eines IT-Sicherheitskonzeptes. In Einzel-fällen waren so z. B. Sicherheitsmaßnahmen bezüglich der Zugriffeauf den Server nicht aktiviert, die Boot-/Setup- Paßwörter an den PCnicht eingerichtet, kein Schutz für Diskettenlaufwerke vorgesehensowie Zugriffsrechte im Ermessen des Administrators eingerichtet.Desweiteren wurde festgestellt, daß an einen vernetzten PC mittelsModem ein Anschluß an das öffentliche Netz eingerichtet war, umden T-Online Dienst zu nutzen. Mit der Nutzung des T-Online Dien-stes und dem damit verbundenen Zugang zum Internet wurde daslokale Netz des Referates ohne notwendige Schutzmaßnahmen denhiermit verbundenen Sicherheitsrisiken ausgesetzt (1. TB, 15.13).Das Modem war nicht in dem entsprechenden Geräteverzeichnisaufgeführt. Desweiteren wurde bei einer Stichprobe eines Verfah-


47

rens festgestellt, daß Daten-Felder, die zur Aufgabenerfüllung nichterforderlich sind, nicht gesperrt waren, eine Auswertung der Proto-kollierung nicht durchgeführt wurde und erforderliche Regelungen(z. B. für Sicherheitsmaßnahmen und zur Paßwortgestaltung) nichtvorlagen. Für den Einsatz der TK-Anlage fehlten Festlegungen zuden eingerichteten Leistungsmerkmalen.Zwischenzeitlich sind die festgestellten Mängel behoben worden.Nach Angaben des TLVwA sollte ein IT-Sicherheitskonzept bisEnde 1997 vorliegen. Eine Mitteilung, ob dies geschehen ist, liegtnoch nicht vor.

5.2 Kommunales

5.2.1 Gästemeldeschein zur Werbung der Kurverwaltung?

Gemäß § 9 des Kommunalabgabengesetzes können Gemeinden, dieganz oder teilweise als Kurort oder Erholungsort staatlich anerkanntsind, von Personen, die sich zu Heil-, Kur- oder Erholungszweckenin diesem Gebiet aufhalten, ohne daß sie dort ihre Hauptwohnung imSinne des Melderechts haben, einen Kurbeitrag erheben. Nach § 25Abs. 3 ThürMeldeG können für die Zwecke der Erhebung des Kur-beitrages sowie für Zwecke der Fremdenverkehrs- und Beherber-gungsstatistik die erforderlichen Daten mittels Durchschriften dervon den Einrichtungen, die gewerbs- oder geschäftsmäßig fremdePersonen beherbergen, gemäß § 24 ThürMeldeG zu führende Mel-descheine erhoben werden. Da eine Übermittlung der erhobenenDaten an die Kurverwaltung jedoch nur im erforderlichen Umfangzulässig ist, dürfen die personenidentifizierenden Daten in derDurchschrift nicht enthalten sein. Zur Vereinfachung und um Miß-verständnisse zu vermeiden wurde in die Thüringer Meldeschein-verordnung das Muster eines für Beherbergungseinrichtungen ver-bindlichen Meldescheines aufgenommen, der diese Vorgaben erfüllt.Dieser für Beherbergungsstätten gemäß § 2 ThürMScheinVO vorge-gebene Meldeschein war in einem Kurort auch gleichzeitig für dieErhebung und Nachweisführung des Kurbeitrages genutzt worden.Entgegen der Beschriftung des Meldescheines hatte jedoch die Kur-verwaltung mit Anschreiben an die Beherbergungsstätten verfügt,daß ihr nicht der letzte, anonymisierte Durchschlag der Anmeldung


48

zu übergeben ist, sondern die für den Betroffenen als Nachweisvorgesehene Belegdurchschrift, die noch den Namen und Heimatan-schrift des Betroffenen enthält. Die Kurverwaltung wollte sich da-durch die Möglichkeit eröffnen, die Gäste auch nach ihrer Abreiseüber interessante Kurangebote zu unterrichten. Wegen der Zweck-bindung der Meldedaten und der fehlenden Rechtsgrundlage fürdiese Datenübermittlung habe ich die Gemeinde darüber informiert,daß eine Übermittlung der Anschriften der Gäste an die Kurverwal-tung zum Zwecke der Werbung nur auf Grundlage der Einwilligungder Betroffenen zulässig ist. Aufgrund meiner Hinweise wurde vonder Kurverwaltung die Verfahrensweise sofort den gesetzlichenVorgaben entsprechend verändert und die Beherbergungsstättendavon unterrichtet. Um auch künftig für Werbezwecke die An-schriften ihrer Gäste zu erhalten, wurde die Kur- und Gästekarteumgestaltet. Sie enthält nunmehr einen Hinweis, daß diese nachBeendigung des Aufenthaltes bei der Kurverwaltung abgegebenwerden kann, mit dem Ziel, die Anschriften für eigene Werbung derKurverwaltung weiter nutzen zu können.

5.2.2 Online-Zugriff auf Meldedaten innerhalb von Gemeinden

Wie bereits in meinem 1. TB (5.2.3) festgestellt, werden im Rahmender Einführung lokaler Netze innerhalb von Gemeindeverwaltungenhäufig auch Online-Zugriffe auf Meldedaten durch die verschieden-sten Ämter eingerichtet. Dies ist auch gemäß § 29 Abs. 7 ThürMel-deG innerhalb einer Gemeinde oder einer Verwaltungsgemeinschaftzulässig. Zu beachten ist dabei aber, daß zunächst von der jeweiligenMeldebehörde in Zusammenarbeit mit der anfordernden Stelle dieErforderlichkeit des Online-Zugriffs, insbesondere hinsichtlich derDatenarten und des zugriffsberechtigten Personenkreises, zu prüfenund kontrollfähig festzulegen ist. In der Praxis zeigt sich mitunterbei Kontrollen, daß aufgrund programmtechnischer Probleme undunter Berücksichtigung der Einsparung von Kosten ein für den On-line-Zugriff einmal bestimmter Datensatz mehreren Bereichen oderÄmtern undifferenziert zur Verfügung gestellt wird, obwohl dieseStellen zur Aufgabenerfüllung nur einen Teil der Daten benötigen.Dies ist aus datenschutzrechtlichen Gründen unzulässig. Bei ent-sprechenden Feststellungen habe ich deshalb die Behörden aufge-


49

fordert, soweit eine Beschränkung des Datenzugriffs nicht auf daserforderliche Maß möglich ist, von der Einrichtung oder NutzungeinesOnline-Zugriffs künftig abzusehen. Da diese Probleme nicht nur imMeldewesen, sondern regelmäßig bei der Einrichtung von Online-Verfahren auftreten können, empfiehlt es sich, daß alle beteiligtenStellen unter Einbeziehung des bDSB vor Erwerb bzw. der Ent-wicklung von automatisierten Verfahren die Möglichkeit und dieZulässigkeit der Einrichtung von Online-Zugriffen prüfen. Maßgeb-lich aus datenschutzrechtlicher Sicht ist dabei insbesondere nebender Beurteilung durch den bDSB die des Fachbereiches, der entspre-chend seiner Aufgabenstellung für die Erhebung, Verarbeitung undNutzung der Daten zuständig ist. Dort ist die Entscheidung über dieNotwendigkeit der Datenverarbeitung, zur Vergabe von Zugriffs-rechten sowie vorgesehenen Datenübermittlungen zu treffen. InWahrnehmung dieser Verantwortung hat er darauf Einfluß zu neh-men, daß durch entsprechende Protokollierungen eine Kontrolledieser Zugriffe und Übermittlungen jederzeit möglich ist. Der EDV-technische Bereich kann dabei nur die für die technische Umsetzungvermittelnde Stelle sein und nicht, wie mitunter auch bei Prüfungender Eindruck entsteht, als “Herr der Daten” und somit Entschei-dungsbefugter zum Umgang mit den Daten in Erscheinung treten. Injedem Fall ist durch organisatorische Regelungen zu gewährleisten,daß Entscheidungen zur Einführung und Nutzung automatisierterVerfahren oder Abrufverfahren mit personenbezogenen Daten nichtnur aus wirtschaftlichen oder technologischen Gründen getroffenwerden, ohne daß vorher die Erforderlichkeit und die Zulässigkeitder Datenflüsse geprüft wurde.

5.2.3 Unterlagen und Verfahren zur Führung des Melderegisters

Bereits in meinem 1. TB (5.2.2) habe ich dargelegt, daß in den Mel-deämtern Thüringens die verschiedensten automatisierten Verfahrenzur Führung der Melderegister genutzt werden. Bei Kontrollen warimmer wieder festzustellen, daß die landesspezifischen Regelungenim Meldegesetz, insbesondere zum Datenumfang und zur Einrich-tung von Auskunftssperren, nicht ausreichend realisiert werden. Indiesen Fällen habe ich die Meldebehörden aufgefordert, geeignete


50

Maßnahmen (z. B. Programmänderungen) zu ergreifen. Daten-schutzrechtliche Prüfungen im Berichtszeitraum zeigten, daß mitun-ter noch immer alte unbereinigte Meldekarteien der ehemaligenDDR genutzt werden. Soweit sich die Unterlagen nicht bereits inden kommunalen Archiven befanden und damit die entsprechendenarchivrechtlichen Vorschriften greifen, habe ich diese Meldebehör-den beanstandet und aufgefordert, unverzüglich die nach § 43ThürMeldeG geforderte Löschung unzulässig gespeicherter Melde-daten vorzunehmen, was in allen Fällen auch erfolgt ist. Da in näch-ster Zeit mit einer ersten Änderung des Thüringer Meldegesetzessowie einer Meldedatenübermittlungsverordnung zu rechnen ist,wird gerade auch die technische Umsetzung der Rechtsvorschrifteneine wichtige Aufgabe der Meldeämter sein.

5.2.4 Melderegisterauskünfte an Adreßbuchverlage

Wie auch in den anderen Bundesländern und bereits in meinem1. TB (5.2.4.7) erörtert, ist die Übermittlung von Meldedaten anAdreßbuchverlage ein Dauerthema. Immer wieder gibt es Anfragenaus der Bevölkerung, meist bei der Ankündigung oder nach Erschei-nen von Adreßbüchern. Im Berichtszeitraum wurde wegen der Miß-achtung der Bestimmungen des Thüringer Meldegesetzes im Ergeb-nis meiner Beanstandung die gesamte Auflage eines Adreßbucheseingezogen. Ursache dafür war insbesondere die unzulässige Daten-übermittlung und Aufnahme von Personen unter 18 Jahren imAdreßbuch.In einer Gemeinde kam es aufgrund von Mißverständnissen zurVeröffentlichung von Meldedaten. Die Betroffenen hatten beimMeldeamt bei der Ankündigung der Herausgabe des vorhergehendenAdreßbuches eine Widerspruchserklärung abgegeben. Sie hattendazu einen Vordruck verwendet, der einen Hinweis enthielt, daß sichder Widerspruch nur auf die nächste Ausgabe des Adreßbuchs be-zieht. Dieses übersehend, waren die Betroffenen davon ausgegan-gen, daß sie ihren Widerspruch gegen eine Datenübermittlung bisauf Widerruf gegenüber dem Meldeamt zum Ausdruck gebrachthätten. Da aber im Meldeamt kein erneuter Widerspruch eingelegtworden war, waren die Sperrvermerke im Melderegister automatischgelöscht worden, mit der Folge, daß auch die Adressen derjenigen an


51

den Adreßbuchverlag übermittelt wurden, die bei der ersten Ausgabewidersprochen haben.

Das Problem der Herausgabe von Meldedaten an Adreßbuchverlagehat insbesondere auch durch die technische Entwicklung eine neueDimension erhalten. Es bestehen zunehmend auch Bestrebungen,Meldedaten zur Herstellung elektronischer Verzeichnisse zu nutzen.Darüber hinaus sollen Adreßverzeichnisse auch im Internet weltweitveröffentlicht werden. Gleichgültig, ob der Gesetzgeber wie in eini-gen Bundesländern durch gesetzliche Regelungen zu verhindernsucht, daß Meldedaten in elektronischer Form veröffentlicht werden,kann letztlich doch jedermann die gedruckten Verzeichnisse durchEinscannen in ein elektronisches Verzeichnis umwandeln und dieseproblemlos mit anderen Datenbeständen zusammenführen und nachbeliebigen Kriterien auswerten. Ab dem Zeitpunkt der Veröffentli-chung von Adreßbüchern sind die Daten öffentlich. Hier gibt eskaum rechtliche Möglichkeiten, zu verhindern, daß sich Dritte dieserDatenfülle uneingeschränkt bedienen. Dieser Entwicklung kann mansich schlecht entziehen. Es bedeutet aber, daß der einzelne Betroffe-ne das Risiko einer Nutzung seiner Daten entgegen seinen Interessenimmer schwerer abschätzen kann. Allein die Möglichkeit, daß durchdie Nutzung von Daten aus Adreßbüchern gegen den Willen derBetroffenen diese belästigt werden können, sollten dem GesetzgeberAnlaß geben, hinsichtlich der Datenübermittlung, die Erforderlich-keit zu überprüfen. Die bisher angewandte Widerspruchslösungzeigt, daß dieses Verfahren zur Gewährleistung des informationellenSelbstbestimmungsrechts der Bürger unter den geschilderten techni-schen Rahmenbedingungen nicht immer ausreicht, weil beispiels-weise ein Teil der Einwohner die gesetzlich geforderten allgemeinenBekanntmachungen darüber aus den vielfältigsten Gründen nicht zurKenntnis nehmen bzw. die Bedeutung ihres Widerspruchsrechtsnicht kennen.

Gegenwärtig wird ein erstes Änderungsgesetz zum Thüringer Mel-degesetz vorbereitet. Darin ist nach meiner Kenntnis vorgesehen,daß eine Datenübermittlung an Adreßbuchverlage nur für die He-rausgabe von gedruckten Adreßbüchern zulässig sein soll. Darüberhinaus sollen im Rahmen des allgemeinen Widerspruchsrechts die


52

Betroffenen die Möglichkeit erhalten, auch einer Veröffentlichung ineinzelnen Teilen des Adreßbuchs (alphabetischer Teil/Straßenüber-sichten) zu widersprechen. Diese neuen Vorgaben können jedochnach meiner Auffassung letztlich nicht das Grundproblem der un-kontrollierten Nutzung von Meldedaten lösen. Aus datenschutz-rechtlicher Sicht sollte auch deshalb, wie mittlerweile im letzten Jahrbereits in zwei Bundesländern beschlossen, die Einwilligung derBetroffenen als Grundlage einer Datenübermittlung an Adreßbuch-verlage vorgesehen werden.

5.2.5 Zusendung einer falschen Geburtsurkunde

In der Eingabe eines Bürgers hatte dieser mir mitgeteilt, daß dieUrkundenstelle der Standesämter anstelle der gewünschten eigenenGeburtsurkunde dem Bürger daraufhin die Geburtsurkunde einerihm völlig fremden Person zugesandt hatte.Auf meine Anfrage hin teilte mir das Landratsamt zu dem Vorfallmit, daß der datenschutzrechtliche Verstoß im Rahmen eines Diszi-plinarverfahrens gegen den hierfür verantwortlichen Standesbeamtenausgewertet wurde. Ich habe abschließend das betroffene Landrats-amt aufgefordert, zukünftig dafür Sorge zu tragen, daß die erforder-lichen technischen und organisatorischen Maßnahmen getroffenwerden, die die Wiederholung eines solchen Vorfalls ausschließen.

5.2.6 Kontrolle in einem Sozialamt

Bei einer Kontrolle in einem Sozialamt konnte ich Hinweise zuMaßnahmen aus technischer und organisatorischer Sicht vorschla-gen, um die Rahmenbedingungen, unter denen Sozialdaten verar-beitet werden, zu verbessern. Obwohl bereits im 1. TB (12.4) alsunzulässig dargestellt, wurden in diesem Sozialamt zu den Sozialhil-feformularen nach wie vor noch Zusatzbögen verwandt, mit denenAngaben zur letzten Schul- und Berufsausbildung erhoben wurden.Auch hier wurde als Erforderlichkeit die Durchführung der Bundes-statistik nach den §§ 127 ff. BSHG angeführt. Da es sich jedoch umeine sogenannte Sekundärstatistik handelt, bei der nur solche Datenzu statistischen Zwecken genutzt werden dürfen, die ohnehin imRahmen der Verwaltungsaufgabe gebraucht werden, durfte eine


53

eigens für diese Statistik erhobene Abfrage des höchsten Bildungs-abschlusses und weiterer Angaben nicht erfolgen. Lediglich in denFällen, in denen es zur Bearbeitung des Sozialhilfeantrages auf dieSchulbildung ankommt (z. B. Hilfsmaßnahmen bezüglich einerSchul- oder Berufsausbildung), dürfen die Daten hierfür erhobenund anschließend im Rahmen der Sozialhilfestatistik weitergeleitetwerden. Das Sozialamt hat daraufhin die Benutzung des Zusatzbo-gens eingestellt und wird Daten zur Schul- und Berufsausbildungnur noch dann erfragen und an das TLS weiterleiten, wenn dies fürdie Antragsbearbeitung im Sozialamt erforderlich ist. Dem Sozialhil-feantrag war ein vom Antragsteller auszufüllender Vordruck mit derÜberschrift “Vermögenserklärung zur Vorlage beim Sozialamt”beizufügen, worin Angaben zum Kontoinhaber, Kontonummer,Kontostand und Kontostand vor drei Monaten (auch von in Haus-haltsgemeinschaften mit dem Antragsteller lebenden Familienmit-gliedern) durch die Bank als richtig und vollständig bzw. nicht rich-tig bestätigt werden sollte. Auf der Rückseite sollten Angaben weite-rer Vermögenswerte (Bausparverträge, Wertpapiere, Kapitalversi-cherung etc.) des Antragstellers sowie von Familienmitgliederngemacht werden. Diese “Vermögenserklärung” wurde standardisiertbei jedem Sozialhilfeantrag abverlangt. Ein regelmäßiges Anfordernder Vorlage einer Bankbestätigung ohne Vorliegen konkreter An-haltspunkte, daß die vom Hilfesuchenden abgegebene Erklärung zuden Vermögensverhältnissen unrichtig ist, stellt eine nach § 60Abs. 1 Nr. 1 SGB I überflüssige und damit nicht erforderliche Er-mittlungstätigkeit dar. Diese Praxis hatte das Sozialamt auf meinBestreben hin eingestellt und wird zukünftig eine solche Bankbestä-tigung nur bei bestimmten Verdachtsmomenten verlangen. Dadurch,daß die Bankbestätigung als “Vermögenserklärung zur Vorlage beimSozialamt” überschrieben ist, wird der Betroffene dazu veranlaßt,seine Antragstellung auf Sozialhilfe gegenüber seiner Bank zu of-fenbaren. Darüber hinaus werden auch Daten seiner Familienange-hörigen übermittelt. Ich habe das Sozialamt aufgefordert, daß zu-künftig, soweit erforderlich, neutrale Vordrucke verwendet werdensollen, die gegenüber der Bank den Zweck der weiteren Verwen-dung nicht erkennen lassen sowie daß für jedes einzelne in derHaushaltsgemeinschaft lebende Familienmitglied ein gesonderterVordruck zum Einsatz kommt. Im übrigen hat das Sozialamt bei der


54

Entscheidung, ob eine Bankauskunft angefordert wird, zu prüfen, obein geringerer Eingriff in das Persönlichkeitsrecht dadurch möglichist, daß die angegebenen Vermögenswerte des Antragstellers durchVorlage von Sparbücher, Versicherungsscheinen oder Kontoauszü-gen oder anderer Unterlagen belegt werden können.

Das in der betreffenden Kommunalverwaltung praktizierte Verfah-ren zur Aufzeichnung und Abrechnung von Telefongebührendatendes Personals sah in einer mit dem Personalrat abgeschlossenenDienstvereinbarung vor, daß eine detaillierte Aufstellung der vondem Bediensteten geführten Privatgespräche auf dessen Antrag nurgegen eine Gebühr von 20,00 DM erstellt wird. Dieser Betrag solltedarüber hinaus nur bei einem berechtigtem Widerspruch zurücker-stattet werden. Diese Regelung konnte im Hinblick auf § 13 Abs. 1Satz 1 Nr. 2 und Abs. 2 ThürDSG, nach dem der Betroffene An-spruch auf kostenlose Auskunft über die zu seiner Person gespei-cherten Daten hat, nicht aufrechterhalten bleiben. Eine entsprechen-de Änderung der Dienstvereinbarung, die als Voraussetzung für dendetaillierten Ausdruck von Privatgesprächen lediglich einen schrift-lichen Antrag begründet, wurde zwischenzeitlich in Kraft gesetzt.

5.2.7 Übermittlung von Sozialdaten an Polizei und Auslän-derbehörde

Häufig wird die Frage diskutiert, unter welchen Voraussetzungen dieSozialämter und Ausländerbehörden personenbezogene Daten vonBetroffenen an Polizei und Strafverfolgungsbehörden übermittelndürfen oder gar müssen. Im Berichtszeitraum erreichte mich ausge-löst durch Presseveröffentlichungen die Anfrage einer Sozialver-waltung, ob es datenschutzrechtlich zulässig sei, daß Mitarbeiter desSozialamtes die Polizei verständigen, wenn sie einen im Sozialamtvorsprechenden Sozialhilfeempfänger als einen zur Fahndung ausge-schriebenen Straftäter erkannt haben. Dem anfragenden Sozialamthabe ich mitgeteilt, daß ich dies nach § 68 Abs. 1 SGB X für zuläs-sig ansehe. Danach dürfen der Polizei Name, Geburtsdatum und -ort,die derzeitige Anschrift des Betroffenen sowie Namen und An-schriften seiner derzeitigen Arbeitgeber übermittelt werden. Unterden Begriff der derzeitigen Anschrift ist auch der momentane Auf-


55

enthalt des Betroffenen im Sozialamt zu fassen. Daher wäre aucheine Bestätigung durch Mitarbeiter des Sozialamts gegenüber derPolizei auf die telefonische Anfrage, ob der Betroffene sich derzeitim Sozialamt aufhält, zulässig. Das Sozialamt teilte meine Auffas-sung. Wie dieser Fall zeigt, gibt es zahlreiche Instrumente für dieStrafverfolgungsbehörden zur Verbrechensbekämpfung. So haben indiesem Bereich Polizei und Staatsanwaltschaft bei der Durchführungvon Strafverfahren wegen Verbrechen oder sonstiger Straftaten vonerheblicher Bedeutung nach § 73 SGB X die Möglichkeit, aufgrundeiner richterlichen Anordnung sich weitere Sozialdaten übermittelnzu lassen. Handelt es sich um ein gerichtliches Verfahren in Angele-genheiten des Sozialamtes, z. B. ein Strafverfahren wegen Subventi-onsbetrug, so darf das Sozialamt Daten des Betroffenen nach § 69Abs. 1 Nr. 2 SGB X an Polizei und Staatsanwaltschaft übermitteln.Ohne eine richterliche Anordnung ist jedoch die Mitteilung desnächsten Vorsprachetermins oder gar die Führung regelrechterFahndungslisten im Sozialamt nach geltendem Recht nicht möglich.Andernfalls würde dies dazu führen, daß die Sozialämter regelmäßigAufgaben der Strafverfolgung übernehmen müßten, die ihnen jedochnach dem Gesetz nicht zugewiesen sind.

Im Bereich der Ausländerverwaltung ist nach § 71 Abs. 2 SGB Xi. V. m. § 76 Abs. 2 Ausländergesetz das Sozialamt nicht nur be-rechtigt, sondern verpflichtet, die Ausländerbehörde unverzüglich zuunterrichten, wenn es Kenntnis über einen Ausländer erlangt, derkeine gültige Aufenthaltsgenehmigung oder Duldung besitzt. Daherdarf außer dem momentanen Aufenthalt des Betroffenen im Sozial-amt auch ein zukünftig vereinbarter Termin der Ausländerbehördemitgeteilt werden. Im Rahmen der Verhältnismäßigkeit kommt aberzunächst nur die Mitteilung des gewöhnlichen Aufenthaltsorts inFrage, soweit ein solcher vom Betroffenen angegeben wurde.

5.2.8 Verarbeitung von Sozialhilfedaten bei Privatunternehmen?

Ein Landratsamt fragte an, ob eine Verarbeitung der Sozialhilfedatendes Landratsamtes durch ein Privatunternehmen im Auftrag desSozialamtes zulässig wäre. Dabei war beabsichtigt, dem Auftrag-nehmer auf dessen Rechner den gesamten Sozialhilfedatenbestand


56

des Sozialamtes zu übergeben. Eine klare Antwort auf diese Fragegibt § 80 Abs. 5 SGB X, wonach eine Auftragsdatenverarbeitungdurch nicht-öffentliche Stellen nur dann zulässig ist, wenn die über-tragenen Arbeiten vom Auftragnehmer erheblich kostengünstigerbesorgt werden können und der Auftrag nicht die Speicherung desgesamten Datenbestandes des Auftraggebers umfaßt. Der überwie-gende Teil der Speicherung des Gesamtdatenbestandes muß dabeibeim Auftraggeber oder beim Auftragnehmer, der eine öffentlicheStelle ist, verbleiben. Zielrichtung dieser Vorschrift ist, daß im Re-gelfall sensible Sozialdaten im Einflußbereich der Sozialleistungs-träger oder zumindest bei öffentlichen Stellen bleiben sollen. Selbstwenn die Datenverarbeitung beim Auftragnehmer erheblich kosten-günstiger besorgt werden könnte, lag hier die Voraussetzung nichtvor, den gesamten Datenbestand an einen privaten Auftragnehmerweiterleiten zu können. Das Landratsamt hat daraufhin ein Rechen-zentrum beauftragt, das in öffentlicher Trägerschaft betrieben wird.Gegen eine solche Auftragsdatenverarbeitung bestanden keine Be-denken, sofern die sonstigen Voraussetzungen nach § 80 SGB Xeingehalten werden.

5.2.9 Umgang mit Altdaten aus ehemaligen Polikliniken

Nach langwierigen Abstimmungen wurden am 03.06.1996 “Ge-meinsame Hinweise und Empfehlungen des Thüringer Ministeriumsfür Soziales und Gesundheit und des Thüringer Innenministeriumszur Aufbewahrung und Nutzung von Patientenunterlagen aus Ge-sundheitseinrichtungen der ehemaligen DDR” (ThürStAnz. 1996, S.1287) veröffentlicht. Auf das Fehlen solcher Regelungen war vonmir im 1. TB (11.3.1) hingewiesen worden. Adressaten der Hinweisesind Gemeinde, Städte und Landkreise des Freistaats Thüringen, diedie uneingeschränkte Verantwortung für die Aufbewahrung dieserUnterlagen unter Wahrung des Arztgeheimnisses und der Gewähr-leistung weitergehender datenschutzrechtlicher Anforderungen zutragen haben. In diesen Hinweisen wird die bereits bisher prakti-zierte Verfahrensweise befürwortet, die Patientenunterlagen demörtlich zuständigen Gesundheitsamt zur Verwahrung zu übergeben.Von diesem ist durch geeignete technische und organisatorischeMaßnahmen sicherzustellen, daß ein unbefugter Zugriff bzw. eine


57

unbefugte Nutzung ausgeschlossen ist. Die Unterlagen sind entspre-chend den gesetzlichen Fristen aufzubewahren, wobei den Patientenein Auskunfts- bzw. Einsichtsrecht zusteht. Im Berichtszeitraumwurde ich mehrfach mit Fragen der Umsetzung dieser gemeinsamenHinweise und Empfehlungen befaßt. Dabei habe ich das TMSGgebeten, sich in den Kreisen und kreisfreien Städten einen Überblickdarüber zu verschaffen, in welchem Umfang Poliklinikakten vonBetriebs-polikliniken bei den Gesundheitsämtern aufbewahrt wer-den. Eine vom TMSG durchgeführte Umfrage ergab, daß der über-wiegende Teil der Akten der Betriebspolikliniken in den Gesund-heitsämtern der Landkreise und kreisfreien Städte archiviert ist.Darüber hinaus wurde ein Teil der Patientenakten von den ehemali-gen behandelnden und nunmehr frei praktizierenden Ärzten über-nommen, was nach den o. g. Hinweisen unter der Nr. 4 dann alszulässig angesehen wird, wenn der Patient eingewilligt hat. EineEinwilligung kann auch darin gesehen werden, daß der Patient sichweiter in der Behandlung des betreffenden Arztes befindet. Verein-zelt werden auch von Nachfolgebetrieben Betriebspoliklinikunterla-gen dem zuständigen Gesundheitsamt zur Archivierung übergeben.Soweit es sich um Akten aus Betriebspolikliniken der Wismut han-delt, so werden diese mit Wirkung vom 01.10.1996 durch die Bun-desanstalt für Arbeitsschutz und Arbeitsmedizin verwaltet.

Daß allein rechtliche Regelungen nicht ausreichen, den Patienten-akten aus staatlichen Einrichtungen des Gesundheitswesens derehemaligen DDR den notwendigen Schutz vor unbefugter Einsicht-nahme zu gewährleisten, sondern deren praktische Umsetzung maß-geblich ist, wurde bei einer Kontrolle in einem Gesundheitsamtdeutlich. Hier waren die Unterlagen in Kellerräumen eines Privatge-bäudes gelagert, deren Türen und Fenster nahezu gewaltfrei durchUnbefugte geöffnet werden konnten. Unmittelbar am Wochenendevor meiner Prüfung hatten Unbekannte den Nachweis dafür erbracht.Erst durch den Einbruch in Kellerräume des Amtes und in Auswer-tung meiner Prüfung war man sich bewußt geworden, daß die bishe-rigen technischen und organisatorischen Maßnahmen völlig unzurei-chend waren, um Unbefugten den Zugang zu den besonders schüt-zenswerten personenbezogenen Daten zu verwehren. Aufgrundmeiner Beanstandung wurden von den Verantwortlichen sofort alle


58

notwendigen Maßnahmen für eine künftig sichere Verwahrung derAkten eingeleitet.

Ein Gesundheitsamt beabsichtigte, die Archivierung der Patienten-unterlagen einem Privatunternehmen zu übertragen, das sich auf dieArchivierung von Akten spezialisiert hatte. Da es sich hierbei umeinen Fall von grundsätzlicher Bedeutung handelte, habe ich michzur Bewertung, unter welchen Voraussetzungen eine solche externeArchivierung als zulässig anzusehen ist, mit dem TIM, dem TMSGsowie dem TMJE im Verbindung gesetzt. In Übereinstimmung mitallen drei Ministerien gehe ich davon aus, daß eine Archivierung derPoliklinikakten außerhalb der Räume des Gesundheitsamtes außermit Einwilligung des jeweils Betroffenen nur zulässig ist, wennausgeschlossen ist, daß die Mitarbeiter des Archivierungsunterneh-mens die Möglichkeit erhalten, unbemerkt Zugriff sowohl auf denNamen desjenigen, über den eine Patientenakte angelegt worden istwie auch auf den Inhalt der Akte nehmen zu können. Dies kannbeispielsweise dadurch geschehen, daß die Akten in verschlossenenBehältnissen aufbewahrt werden, auf deren Inhalt die Mitarbeiter desArchivierungsunternehmens keinen Zugriff haben (sogenannte“Container-Lösung”). Durch das TMJE wurden meine zunächstgeäußerten Zweifel, ob auch hinsichtlich der außerhalb des Gesund-heitsamtes gelagerten Behältnisse der Beschlagnahmeschutz des§ 97 StPO greift, entkräftet, indem die Auffassung vertreten wird,daß auch die dem Gesundheitsamt übergebenen Unterlagen als Fälledes abgeleiteten Gewahrsams dem Schutzbereich des § 203 StGBunterliegen. Für die Beschlagnahmefreiheit nach § 97 Abs. 2 Satz 1StPO wird vorausgesetzt, daß sich die Unterlagen im Gewahrsameines zeugnisverweigerungsberechtigten Arztes befinden. Dabeigenüge Mitgewahrsam. Sofern die tatsächliche Zugriffsmöglichkeitder Mitarbeiter des Archivunternehmens auf die Unterlagen in denverschlossenen Behältnissen nicht gegeben sei, steht den Mitarbei-tern des Archivierungsunternehmens neben dem Gesundheitsamtlediglich ein Mitgewahrsam zu, so daß diese Unterlagen nicht derBeschlagnahme unterliegen. Zwischenzeitlich hat das TMSG dieGesundheitsämter über diese einvernehmliche Rechtsauffassung zurZulässigkeit der externen Archivierung von Patientenunterlagen


59

informiert (vgl. auch 11.11 zur externen Archivierung von Kranken-hausakten).

5.2.10 Vorsorgeuntersuchung in Kindertagesstätten durch denJugendgesundheitsdienst

Aufgrund einer Anfrage hatte ich mich mit dem Problem der Da-tenerhebung und -verarbeitung bei Vorsorgeuntersuchungen durchden jugendärztlichen Dienst in Tageseinrichtungen beschäftigt. Da-bei war ich im konkreten Fall gebeten worden, daß von einem Ge-sundheitsamt den Eltern übergebene Informationsschreiben mitbeigefügten Fragebogen einer datenschutzrechtlichen Prüfung zuunterziehen. Gemäß § 15 KitaG führt der öffentliche Gesundheits-dienst jährlich in den Tageseinrichtungen eine ärztliche und zahn-ärztliche Vorsorgeuntersuchung der Kinder durch. Voraussetzungdafür ist die Zustimmung der Erziehungsberechtigten. Aus dem imvorliegenden Fall den Eltern übergebenen Fragebogen zur Erstunter-suchung konnte dies nicht entnommen werden, da ausschließlich einHinweis zur Freiwilligkeit der Ausfüllung des Vordrucks nicht aberzur Untersuchung selbst enthalten war. Aufgrund der Tatsache, daßim Rahmen der freiwilligen Vorsorgeuntersuchung durch den ArztDaten der Kinder erhoben werden, bedarf es gemäß § 4 ThürDSGeiner entsprechenden Unterrichtung der betroffenen Eltern und derenschriftlicher Einwilligung. Darüber hinaus bedarf es gleichfalls einerEinwilligung der Eltern, wenn die Untersuchungsdaten der Vorsor-geuntersuchungen in den Kindertagesstätten in die Unterlagen derschulärztlichen Untersuchungen übernommen werden sollen. EineKopplung der Vorsorgeuntersuchungen im Kindergarten, die frei-willig sind, mit denen der Pflichtuntersuchungen in den Schulen istmangels einer entsprechenden Rechtsnorm nur mit Einwilligungmöglich. Aufgrund meiner Empfehlungen wurden die Fragebögenüberarbeitet unter zusätzlicher Aufnahme einer Erklärung, daß beiden Untersuchungen die jeweiligen Erzieherinnen anwesend seindürfen.


60

5.2.11 Einladung zur amtsärztlichen Untersuchung mit Postkarte

In der Eingabe eines Bürgers hatte sich dieser darüber beschwert,daß sein Sohn mittels einer Postkarte von einem Gesundheitsamtdazu aufgefordert wurde, sich zu einer amtsärztlichen Untersuchungeinzufinden. Darüber hinaus war dieser Karte zu entnehmen, daß dieUntersuchung “auf Antrag des Sozialamts” erfolgt und der “Befundvom Hausarzt” mitzubringen ist. Ich hatte daraufhin dem Gesund-heitsamt mitgeteilt, daß durch die Verwendung einer Postkarte mitpersonenbezogenem Inhalt, unbefugte Dritte Rückschlüsse auf dieBeziehung des Betroffenen zu einem Sozialleistungsträger ziehenkönnen. Der Bürger hat ein berechtigtes, schutzwürdiges Interessean der Geheimhaltung der auf der Postkarte aufgeführten persönli-chen und sachlichen Verhältnisse. Eine unbefugte Offenbarungdieser Verhältnisse kann bei einer offenen Versandart, wie dies beieiner Postkarte gegeben ist, aber nicht ausgeschlossen werden. Dieöffentliche Stelle hat die technischen und organisatorischen Maß-nahmen zu treffen, die erforderlich sind, personenbezogene Datender Bürger zu schützen. Nach § 9 Abs. 3 ThürDSG zählt hierzuauch, daß beim Transport ein unbefugter Zugriff der Daten durchDritte zu verhindern ist. Das Gesundheitsamt bedauerte diesen Vor-fall außerordentlich. Die Mitarbeiter wurden schriftlich darüberbelehrt, künftig alle Vorladungen und Untersuchungsaufforderungennur noch in verschlossenen Umschlägen zu versenden.

5.2.12 Kontrolle eines Jugendamtes

In einem Jugendamt habe ich im Berichtszeitraum eine datenschutz-rechtliche Kontrolle durchgeführt, bei der u. a. die technischen undorganisatorischen Maßnahmen zur Datensicherheit überprüft wur-den. Dabei wurde festgestellt, daß die schriftlichen Freigaben der inder Behörde eingesetzten Verfahren zur automatisierten Verarbei-tung personenbezogener Daten nicht vorlagen. Entsprechende Frei-gaben wurden im Ergebnis meiner Beanstandung nachgeholt. Eswurden weiter Hinweise gegeben, um das Datenschutzniveau zuverbessern. So wurden auf meine Anregung hin z. B. Regelungen füreinen Zugriff auf die Unterlagen im Bedarfsfall auch durch denVertreter bzw. den Vorgesetzten getroffen, Sicherungskopien der


61

Datenverarbeitung in einem feuersicheren Schrank untergebrachtsowie die Mitarbeiter zum regelmäßigen Paßwortwechsel verpflich-tet. Im Zuge der Kontrolle wurde ein vom Jugendamt selbst entwik-keltes Formular vorgelegt, das im Zusammenhang mit der Bearbei-tung von Unterhaltsangelegenheiten von unter der Vormundschaftdes Jugendamtes stehenden Mündeln Verwendung findet. Darinwurden vom Unterhaltspflichtigen neben Name, Wohnanschrift,Beruf und Arbeitgeber u. a. auch der Name und die Anschrift derKrankenkasse erfragt. Außerdem sollte der Unterhaltspflichtige ineiner kleingedruckten Erklärung versichern, daß die Angaben nachbestem Wissen und Gewissen abgegeben wurden, sowie, daß Ar-beitsdienstbescheinigungen beim jeweiligen Arbeitgeber angefordertund beim Finanzamt Auskünfte über Einkommens- und Vermögens-verhältnisse erfragt werden können. Auf meine Anregung hin wurdedie sehr pauschal gehaltene Einwilligungserklärung, die im übrigenauch nicht gesondert von der Versicherung der wahrheitsgemäßenAngaben getrennt unterschrieben werden sollte, aus dem Vordruckentfernt. Ferner wurde ein klarer Hinweis auf die Zwecke und dieRechtsgrundlagen für die Erhebung der benötigten Daten auf demVordruck aufgenommen. Inhaltlich wurde von mir die regelmäßigeAbfrage von Name und genauer Anschrift der Krankenkasse kriti-siert, da hierfür keinerlei Erforderlichkeit ersichtlich war. Nach Auf-fassung des Jugendamts sei die Angabe der Krankenkasse notwen-dig, damit möglicherweise von der Krankenkasse an den Unterhalts-pflichtigen zu zahlendes Krankengeld gepfändet werden kann, fallsdieser seine Zahlungen auf freiwilliger Basis einstellen sollte. Nach§ 55 SGB VIII wird eine Amtspflegschaft bzw. Amtsvormundschaftdurch einzelne Beamte des Jugendamtes ausgeübt, die nach § 56Abs. 1 SGB VIII die Vorschriften des BGB zu beachten haben.Soweit es sich um einen Auskunftsanspruch des Kindes gegenüberdem Unterhaltspflichtigen handelt, ist hier § 1605 BGB einschlägig.Aufgrund von § 68 Abs. 1 SGB VIII darf der Amtsvormund aberSozialdaten nur erheben, soweit sie für seine Aufgabenerfüllungerforderlich sind. Hierzu zählt zwar auch die Pfändung von Kran-kengeld, sofern der Verpflichtete seinen Unterhaltspflichten nicht(mehr) nachkommt und einen Anspruch auf Krankengeld gegenüberseiner Krankenkasse hat. Dies rechtfertigt jedoch nur dann die Erhe-bung und Speicherung der Adresse der Krankenkasse des Ver-


62

pflichteten, wenn dieser tatsächlich seinen Verpflichtungen im Ein-zelfall nicht nachkommt. Eine regelmäßige Erhebung von Datenüber die jeweilige Krankenkasse im Zusammenhang mit der Ermitt-lung der Höhe der Unterhaltsforderung stellt daher eine unzulässigeDatenvorratshaltung dar. Das Jugendamt habe ich über meine Beur-teilung unterrichtet und aufgefordert, die regelmäßige Erhebungdieses Datums zukünftig zu unterlassen. Gleichzeitig habe ich dasTMSG gebeten, die Jugendämter im Zuständigkeitsbereich übermeine Einschätzung zu informieren. Sowohl das Jugendamt als auchdas TMSG haben sich meiner Beurteilung angeschlossen. Das Ju-gendamt hat den entsprechenden Bogen überarbeitet, der zukünftigkeine Angaben über die Krankenkasse des Unterhaltspflichtigenmehr enthält.

5.2.13 Verwaltungsvereinfachung zu “einfach”

Zur Beurteilung eines Unterhaltsanspruches und ggf. zur Festsetzungdes Unterhalts im Wege einer außergerichtlichen Einigung hatte einSorgeberechtigter das zuständige Jugendamt bevollmächtigt, Aus-künfte beim unterhaltspflichtigen Elternteil einzuholen. Mit Über-sendung der angeforderten Unterlagen hatte der Unterhaltspflichtigedas Jugendamt gleichzeitig um die Beantwortung einiger Fragenhinsichtlich der Möglichkeit der Berücksichtigung bzw. Vernachläs-sigung von Einkommensbestandteilen bzw. sonstigen Ausgaben beider Berechnung des Unterhaltsanspruchs gebeten. Im Antwort-schreiben des Jugendamtes waren dem Betroffenen zunächst seinegestellten Fragen beantwortet und im weiteren der berechnete Un-terhaltsbetrag mitgeteilt worden. Der geschiedene Ehepartner erhielt“zur Vereinfachung der Verwaltung” eine Kopie dieses Schreibens.Diese Verfahrensweise entspricht nicht den datenschutzrechtlichenBestimmungen, da sich der Inhalt des ersten Teils des Schreibensausschließlich auf die Beantwortung von Fragen richtete, die vomBetreffenden an das Jugendamt im Hinblick auf dessen beratenderFunktion gerichtet waren. Die Übermittlung dieser Sachverhalte anden geschiedenen Ehepartner war weder zur Erfüllung der Aufgabendes Jugendamtes erforderlich bzw. noch lag ein berechtigtes Interes-se des geschiedenen Ehepartners an der Kenntnis dieser Daten vor.Der geschiedene Ehepartner hat zwar gegenüber dem Betroffenen


63

ein Recht auf Informationen zur Feststellung der unterhaltsrechtli-chen Leistungsfähigkeit, gleichwohl ist es dem Jugendamt nichtgestattet, diese Informationen unaufgefordert zu übermitteln, insbe-sondere wenn sie Tatsachen enthalten, die bei der Beurteilung desLeistungsvermögen unberücksichtigt bleiben können. Ich habe demJugendamt meine Rechtsauffassung mitgeteilt und gebeten, dieskünftig zu beachten.

5.2.14 Festsetzung von Elterngebühren für die Benutzung vonKindertageseinrichtungen

In Thüringen wird im Kindertageseinrichtungsgesetz (KitaG) be-stimmt, daß zur Finanzierung der Betreuung in Kindertagesstättenteilweise Beiträge von den Erziehungsberechtigten zu erheben sind.Die örtlichen Träger haben dabei eine soziale Staffelung der Beiträ-ge vorzunehmen. Das TMSG gibt den Trägern hierfür Empfehlun-gen. In der Praxis bestimmen die Kommunen selbst das anzuwen-dende Verfahren. Grundsätzlich wird ein Durchschnittssatz be-stimmt, der von allen Eltern zu zahlen ist. Da nicht alle Erziehungs-berechtigte finanziell in der Lage sind, diesen zu tragen, bestimmendie Kommunen durch Satzung die Höhe und Staffelung der Gebüh-ren. Die Satzung besitzt Rechtsnormcharakter und ist damit für dieentsprechenden kommunalen Einrichtungen verbindlich. Eine Stadt-verwaltung hatte die Eltern von Kindern, die eine Kindertagesstättebesuchen, über die neue Gebührensatzung und die daraus sich erge-benden Datenerhebungen sowie die Zweckbestimmung der Datenordnungsgemäß unterrichtet. Gleichzeitig hatte sie den Eltern zurNeufestsetzung der Elterngebühren für die Benutzung von Kinderta-geseinrichtungen einen Vordruck als Bescheinigung über den Ar-beitsverdienst übergeben, auf dem die Arbeitgeber der Eltern fürjeden einzelnen Monat detailliert die Bruttobezüge sowie die vonihm verrechneten gesetzlichen und sonstigen Abzüge eintragen undunterzeichnen sollten. Darüber hinaus sollten die Betroffenen weite-re Angaben über die wirtschaftlichen Verhältnisse des Haushaltes(Einkünfte und Ausgaben) machen und diese durch geeignete Un-terlagen nachweisen. Die Bewertung ergab, daß der Umfang derDatenerhebung, insbesondere im Vordruck zur Bescheinigung überden Arbeitsverdienst, nicht erforderlich war. Nach der geltenden


64

Gebührensatzung waren die betroffenen Eltern nur verpflichtet,Auskünfte über ihr monatliches Einkommen zu erteilen und entspre-chend nachzuweisen. Detaillierte Angaben über die Einkommensbe-standteile oder gar gesetzliche Pflichtabzüge waren nach der Satzungnicht vorgesehen. Darüber hinaus fehlte im Vordruck ein Hinweis,daß bei der Vorlage geeigneter Unterlagen Daten gelöscht bzw.geschwärzt werden konnten, die für die Festsetzung der Gebührennicht erforderlich sind. Auf Rückfrage beim zuständigen Jugendamtwurde mir mitgeteilt, daß die übergebenen Vordrucke nur als Unter-stützung den Eltern übergeben worden waren und keinesfalls alsverbindlich betrachten werden sollten. Um Mißverständnisse zuvermeiden erhielten deshalb die betroffenen Eltern in den Kinderein-richtungen dazu eine ergänzende Information mit dem Hinweis, daßauch andere geeignete Einkommensnachweise vorgelegt werdenkönnen. Künftig wird auf jeglichen Einkommensnachweis verzich-tet, wenn aufgrund der Höhe des monatlichen Einkommens (nachder geltenden Satzung von über 6.000,- DM) ohnehin der Höchst-beitrag gezahlt werden muß.

5.2.15 Datenerhebung durch Jugendämter bei Kindertagesein-richtungen

Ein freier Träger einer Kindertageseinrichtung hatte sich bei mirerkundigt, ob es datenschutzrechtlich zulässig wäre, auf Aufforde-rung der Stadt, eine Namensliste mit Geburtsdatum und Anschriftaller für einen Platz angemeldeten Kinder zu übermitteln. Ich habemich deshalb an die Stadt gewandt und dort darauf hingewiesen, daßdie Erhebung von Sozialdaten bei Kindertageseinrichtungen daten-schutzrechtlich unzulässig ist, weil weder § 62 SGB VIII noch einespezialgesetzliche Rechtsvorschrift dies erlaubt. Begründet wurdedie Anforderung der Listen von der Stadtverwaltung insbesonderemit dem Nachfrageverhalten der Eltern, die teilweise ihre Kinder inmehreren Kindertageseinrichtungen anmelden und nach Zusagebezüglich der übrigen Plätze keine fristgerechte Absage erteilenwürden. Außerdem würden aus verschiedenen Gründen einigeTageseinrichtungen bevorzugt, während sich für andere nur wenigeEltern entscheiden würden. Die Erhebung der Daten durch das Ju-gendamt sei erforderlich für die Aufstellung eines genauen Bedarf-


65

planes für die einzelnen Wohngebiete. Aufgrund meines Hinweiseshat die Stadt mir daraufhin mitgeteilt, daß sie ihren Anmeldemodusgeändert hat. Die freien Träger müssen künftig nur noch die Anzahlder Anmeldungen, das Alter der Kinder und das Wohngebiet bzw.die Straße melden.

Zusätzlich habe ich gegenüber dem TMSG die Problematik geschil-dert und darauf hingewiesen, daß eine solche Übermittlung vonnamentlichen Listen nur zulässig wäre, wenn der Landesgesetzgeberdas KitaG um einen entsprechenden Passus ergänzen würde. DasTMSG hat daraufhin erklärt, daß die listenmäßige Übermittlung vonName, Anschrift und Alter der in den Tageseinrichtungen angemel-deten Kinder für die Bedarfsplanung nicht erforderlich sei und einÄnderungsbedarf im KitaG daher nicht bestehe.

5.2.16 Umgang mit Unterlagen nicht-öffentlicher Sitzungen

Einem Pressebericht zufolge waren in einer Stadt Unterlagen auseiner nicht-öffentlichen Sitzung des Stadtrates bei der Räumungeiner Privatwohnung gefunden worden. Dies gab mir Anlaß, vor Ortden Umgang mit Unterlagen aus nicht-öffentlichen Sitzungen desStadtrates zu überprüfen.Bei der Kontrolle in der Stadtverwaltung habe ich festgestellt, daßdie bisherige Verfahrensweise und die Regelungen zum Umgang mitden Unterlagen nicht-öffentlicher Sitzungen nicht ausreichend dendatenschutzrechtlichen Anforderungen genügten. Insbesondere diePraxis, regelmäßig alle Vorlagen und Protokolle nicht-öffentlicherSitzungen auf Dauer den Stadtratsmitgliedern sowie den Amtsleiternzu überlassen, eröffnete vielfältige Möglichkeiten für Unbefugte, indiese Unterlagen einsehen zu können. Im weiteren gab es auch keinebesonderen technischen oder organisatorischen Vorkehrungen zumSchutz geheimhaltungsbedürftiger Unterlagen. Inwieweit dies je-doch ursächlich im Zusammenhang mit dem festgestellten Verstoßgegen geltendes Datenschutzrecht stand, konnte dabei nicht geklärtwerden. Im Ergebnis des Vorfalls und der Überprüfung wurde dieDienstanweisung zur Vorbereitung und Ausführung der Beschlüssedes Stadtrates in der Stadtverwaltung dahingehend geändert, daßkünftig Vorlagen für nicht-öffentliche Sitzungen mit dem Aufdruck


66

“Nicht-öffentlicher Teil” und mit einer persönlichen lfd. Nummerdes jeweiligen Empfängers (Stadtrat) gekennzeichnet werden.Schriftliche Begründungen zu den Vorlagen werden so abgefaßt, daßggf. auf einzelne Angaben oder Ausführungen aufgrund schutzwür-diger Interessen einzelner oder des Allgemeinwohls verzichtet wird.Bei Bedarf können dann im Sitzungsverlauf ergänzende Angabengemacht werden. Im Beschlußtext wird künftig aufgenommen, obund wann eine Geheimhaltung aufgehoben wird. In Umsetzung derBestimmungen des § 42 ThürKO, wonach Ratsmitgliedern jederzeitEinsicht in Niederschriften zu geben ist und darüber hinaus Ab-schriften der in öffentlichen Sitzungen gefaßten Beschlüsse zu er-teilen sind, werden die Beschlüsse künftig nur noch den jeweilszuständigen Ämtern übergeben, während das Sitzungsprotokoll nurin einem Exemplar angefertigt und für eine mögliche Einsichtnahmebeim Sitzungsdienst unter Verschluß verwahrt wird. Eine Versen-dung erfolgt nicht mehr. Die Einsichtnahmen werden protokolliert.Nach der abschließenden Beratung werden Unterlagen nicht-öffentlicher Sitzungen dem Sitzungsdienst zurückgegeben.

Sowohl vom Bürgermeister wie auch den Stadtratsmitgliedern sinddie Belange des Datenschutzes auch zu beachten. Gemäß § 12Abs. 3 ThürKO sind Ratsmitglieder verpflichtet, über die ihnen beider Ausübung des Ehrenamtes bekanntgewordenen AngelegenheitenVerschwiegenheit zu bewahren, soweit nicht diese Tatsachen offen-kundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedür-fen. Die Pflicht zur Verschwiegenheit besteht, wie in den einschlägi-gen Kommentierungen zur ThürKO vermerkt ist, auch gegenüberParteien, Wählergruppen und Wählern und natürlich auch gegenüberder Presse. Die Verschwiegenheit bezieht sich dabei auf alle Ange-legenheiten, deren Geheimhaltung ihrer Natur nach erforderlich istoder die besonders vorgeschrieben ist. Jede Übermittlung von perso-nenbezogenen Daten an einen Unbefugten ist damit ein Verstoßgegen datenschutzrechtliche Bestimmungen. Aufgrund des Charak-ters nicht-öffentlicher Sitzungen ist es selbstverständlich, daß diedort bekanntgewordenen Tatsachen der Geheimhaltung unterliegenund die Daten nur für die Zwecke genutzt werden dürfen, zu denensie erhoben wurden. Für Kreistagsmitglieder gilt nach § 94 ThürKOentsprechendes.


67

Im Hinblick auf mögliche Verstöße gegen datenschutzrechtlicheBestimmungen durch einzelne Gemeinderats- oder Kreistagsmitglie-der besteht im übrigen mit dem TIM dahingehend Einvernehmen,daß gegebenenfalls die Adressaten für erforderliche Beanstandungendurch den TLfD gemäß § 39 ThürDSG die jeweilige Gemeindever-waltung oder das Landratsamt sind. Begründet wird dies damit, daßGemeinderats-/Kreistagsmitglieder Teil des Organs Gemeinde-rat/Kreistag sind, die wiederum im weiteren Sinn Teil der Verwal-tung der Gemeinde bzw. des Landkreises sind, und ihnen die Datenbei Ausübung des Ehrenamts bekanntgegeben werden. Die Bean-standung gegenüber der Gemeindeverwaltung bzw. dem Landrats-amt gibt dem Gemeinderat/Kreistag zudem die Möglichkeit, dieSachlage zugleich im Hinblick auf einen Verstoß gegen die Ver-schwiegenheitspflicht nach § 12 Abs. 3 ThürKO zu überprüfen.

5.2.17 Veröffentlichung von Grundstücksdaten

Ein Stadtrat hatte beschlossen, der Öffentlichkeit jeweils den Voll-zug der Veräußerung eines kommunalen Grundstücks, unter Angabeder Grundstücksdaten und des Käufers, bekanntzugeben. Man wolltedadurch Transparenz schaffen und dem Vorwurf begegnen, daßeinzelne Personen bevorzugt würden. Gemäß § 40 Abs. 1 ThürKOsind Sitzungen des Gemeinderats öffentlich, soweit nicht Rücksich-ten auf das Wohl der Allgemeinheit oder das berechtigte Interesseeinzelner entgegenstehen. Ausnahmen, die den Ausschluß der Öf-fentlichkeit notwendig machen, sind regelmäßig Beratungen beiGrundstücksangelegenheiten, da insbesondere Verkaufs- oder Kau-fabsichten der Gemeinde häufig Anlaß zu Grundstücksspekulationengeben, die die Entwicklung der Gemeinde mitunter nachteilig beein-flussen können. Darüber hinaus sind auch berechtigte Interessen derKäufer oder Verkäufer zu berücksichtigen, die einer Veröffentli-chung von personenbezogenen Daten entgegenstehen können. Umdennoch für die Bürger die in nicht-öffentlicher Sitzung beschlosse-nen Grundstücksangelegenheiten nachvollziehbar zu machen, be-steht gemäß § 40 Abs. 2 ThürKO die Möglichkeit, die in nicht-öffentlicher Sitzung gefaßten Beschlüsse zu veröffentlichen, sobalddie Gründe für die Geheimhaltung weggefallen sind. Die Entschei-dung hierüber trifft der Gemeinderat. Nach Beschlußfassung des


68

Verkaufs eines kommunalen Grundstücks kann regelmäßig davonausgegangen werden, daß ein weiterer Ausschluß der Öffentlichkeitaufgrund möglicher Nachteile für die Stadt gegenstandslos gewor-den ist. Dennoch besteht durchaus ein schutzwürdiges Interesse desBetroffenen gegen eine Veröffentlichung. Die Veröffentlichungpersonenbezogener Daten ist eine Übermittlung an eine nicht-öffentliche Stelle gemäß § 22 ThürDSG und stellt die weitreichend-ste Form einer Offenbarung dar. Da mit der Veröffentlichung keineweitere Zweckbindung der Daten verbunden ist, werden die Datenjeglicher weiteren Kontrolle hinsichtlich ihrer Nutzung entzogen.Gemäß § 22 ThürDSG ist eine Datenübermittlung an Stellen außer-halb des öffentlichen Bereiches zulässig, wenn sie zur Erfüllung derin der Zuständigkeit der übermittelnden Stelle liegenden Aufgabeerforderlich ist, was im vorliegenden Fall nicht vorlag. Nach demBeschluß war jedoch nicht nur die Veröffentlichung von Grund-stücksdaten, sondern auch der Name des Käufers vorgesehen. DieErforderlichkeit dafür ist nicht erkennbar. Soweit dies im Einzelfallfür erforderlich gehalten wird, bedarf es dazu nach Abwägung derInteressen aller Beteiligten einer konkreten Beschlußfassung. ZurBeurteilung der Schutzwürdigkeit der Interessen des Käufers sindnicht nur das Bekanntwerden seiner persönlichen Verhältnisse, son-dern auch hieraus möglicherweise entstehende Folgen des Käuferszu betrachten. Da auch seitens der Rechtsaufsichtsbehörde meineAuffassung geteilt wurde, sah sich die Gemeindevertretung veran-laßt, ihren Beschluß dahingehend zu ändern, daß künftig beim Ver-kauf kommunaler Grundstücke regelmäßig nur Angaben zumGrundstück, jedoch nicht zum Käufer veröffentlicht werden.

In einem weiteren Fall hatte eine Gemeinde ihre neu beschlosseneSatzung über die Erhebung wiederkehrender Beiträge für die öffent-lichen Verkehrsanlagen im Amtsblatt bekannt gemacht. In der Anla-ge hatte sie ein Verzeichnis der einbezogenen Grundstücke beige-fügt, in dem neben der Größe und Lage der Grundstücke auch dieNamen der jeweiligen Eigentümer und deren Anschriften veröffent-licht worden waren. Hierfür gab es keine spezialgesetzliche Grund-lage. Nach § 22 Abs. 1 ThürDSG wäre die Übermittlung bzw. imkonkreten die Veröffentlichung personenbezogener Daten durchöffentliche Stellen nur zulässig, wenn dies zur Erfüllung der in der


69

Zuständigkeit der übermittelnden Stelle liegenden Aufgabe erfor-derlich wäre und die Voraussetzungen vorliegen, die eine Nutzungnach § 20 ThürDSG zulassen würden oder der Empfänger ein be-rechtigtes Interesse an der Kenntnis der zu übermittelnden Datenglaubhaft darlegt und der Betroffene kein schutzwürdiges Interesseam Ausschluß der Übermittlung hat. Die Rückfrage in der Gemeindeergab, daß die Veröffentlichung nicht das Ergebnis einer falschenInteressenabwägung war, sondern es sich nur um ein bedauerlichesMißverständnis handelte. Zu keiner Zeit war vorgesehen, die Über-sicht über die Grundstücksdaten und deren Eigentümer zu veröffent-lichen. Im Ergebnis führte der Vorfall dazu, die bisherigen arbeits-organisatorischen Abläufe zu verändern, um künftig gleichartigeVorfälle auszuschließen. Darüber hinaus erfolgte eine öffentlicheEntschuldigung und Klarstellung gegenüber den Betroffenen durchdie Gemeindeverwaltung.

5.2.18 Mangelnde Unterstützung des TLfD durch eine Stadt-verwaltung

Eine Stadtverwaltung war im Zusammenhang mit der Bearbeitungvon zwei Vorgängen aufgefordert worden, entsprechende Informa-tionen bzw. Stellungnahmen zukommen lassen. In einem Fall han-delte es sich um eine Bürgereingabe, bei der trotz mehrmaliger Erin-nerung die konkret gestellten Fragen nach fast einem halben Jahrnicht beantwortet wurden. Beim zweiten Vorgang wurden von Mit-arbeitern der Stadtverwaltung z. T. widersprüchliche Aussagen zuden gestellten Fragen gemacht, wobei der Eindruck entstehen mußte,als ob kein Interesse bestand, umfassende Auskünfte zu geben. Dieöffentlichen Stellen sind nach § 38 ThürDSG verpflichtet, den TLfDund seine Beauftragten in der Erfüllung ihrer Aufgaben zu unterstüt-zen. Dazu zählt auch die Erteilung von Auskünften in angemessenerFrist. Nachdem ich gegenüber der Stadtverwaltung die mangelndeUnterstützung beanstandet habe, wurden schließlich die entspre-chenden Auskünfte erteilt, die mich in die Lage versetzten, die bei-den Vorgänge zu bewerten.


70

5.3 Sparkassen

Aufzeichnung von Kundentelefongesprächen bei der Abwicklungvon Handelsgeschäften (Interbankenhandel)

Im Berichtszeitraum hatte ich gemeinsam mit dem Hessischen Da-tenschutzbeauftragten einen Informationsbesuch zur Aufzeichnungvon Kundentelefongesprächen bei der Abwicklung von Handelsge-schäften (Interbankenhandel) in der Landesbank Hessen-Thüringendurchgeführt. Wie ich mich überzeugen konnte, werden dort alleTelefongespräche, die auf einer der zahlreichen Telefonkanäle in derHandelsplatzabteilung geführt werden, von einer Aufzeichnungsan-lage vollständig mitgeschnitten. Über die Handelsplätze werdenausschließlich Kundengeschäfte abgewickelt, bei denen es zumeistum sehr hohe Beträge geht. Die Gründe für die Installation dieserAufzeichnungsanlage liegen deshalb nach Angaben der Helaba inerster Linie in der Beweissicherung. Der Zugang zur Aufzeich-nungsanlage erfolgt nach dem “Vier-Augen-Prinzip”, d. h. es habennur zwei berechtigte Mitarbeiter gleichzeitig Zugang zu den aufge-zeichneten Gesprächen. Für die Aufzeichnungsanlage sind von derHelaba die erforderlichen technischen und organisatorischen Maß-nahmen getroffen worden, um einen Mißbrauch der aufgezeichnetenGespräche zu verhindern. Außerdem steht jedem Handelsplatzmitar-beiter ein Telefonapparat zur Verfügung, der für private Telefonategenutzt werden kann und bei dem keine Aufzeichnungen erfolgen.

Ich bin mit meinem Hessischen Kollegen zu der Auffassung gelangt,daß die Nutzung der Aufzeichnungsanlage im gegenwärtigen Ver-fahren den Vorschriften der anzuwendenden Datenschutzgesetze(ThürDSG, BDSG und HDSG) nicht entgegen steht. Da die Helabaals öffentliche Stelle am Wettbewerb teilnimmt und gleichzeitig dieaufgezeichneten Kundentelefongespräche im Interbankenhandel- obwohl digitalisiert aufgenommen - keinen Dateibezug haben, sinddie Vorschriften des ThürDSG sowie des BDSG hier nicht anwend-bar. Hingegen findet die bereichsspezifische Norm des § 34 HDSGzum Datenschutz bei Dienst- und Arbeitsverhältnissen nach demStaatsvertrag zur Bildung einer gemeinsamen Sparkassenorganisati-on auch auf öffentlich-rechtliche Wettbewerbsunternehmen Anwen-


71

dung, ohne daß es dabei auf die Verarbeitung personenbezogenerDaten in oder aus Dateien ankommt. Die Verarbeitung von Perso-naldaten ist nach § 34 Abs. 1 HDSG u. a. zulässig, wenn dies zurDurchführung innerdienstlicher organisatorischer, sozialer und per-soneller Maßnahmen erforderlich ist. Man kann deshalb davon aus-gehen, daß die Aufzeichnung der am Telefon geführten Handelsge-spräche eine geeignete und zweckmäßige Maßnahme zur Beweissi-cherung darstellt, die aufgrund der hohen Handelsbeträge der amTelefon abgewickelten Geschäfte auch verhältnismäßig ist.Das Verfahren bewegt sich auch im Rahmen der Vorschrift des§ 201 Abs. 1 Nr. 1 Strafgesetzbuch (StGB). Danach wird bestraft,wer unbefugt das nicht-öffentlich gesprochene Wort eines anderenauf einen Tonträger aufnimmt. Während die Zulässigkeit des Mit-schnitts eines Telefongesprächs für die bei der Helaba beschäftigtenPersonen eine rechtliche Grundlage in § 34 Abs. 1 HDSG hat (s. o.),ist bei den Geschäftspartnern die Befugnis zur Aufzeichnung ineiner konkludenten Einwilligung zu sehen, die daraus abzuleiten ist,daß die Geschäftspartner bei der ersten Kontaktaufnahme auf dieTatsache der Aufzeichnung hingewiesen werden. Solche Hinweisebei der ersten Geschäftsanbahnung werden solange erforderlich sein,bis sich aus dem Verfahren ein Handelsbrauch entwickelt hat unddann allgemein davon ausgegangen werden kann, daß allen Han-delspartnern die Durchführung der Telefonaufzeichnungen bekanntsein muß. Durch die Bereitstellung einer aufzeichnungsfreien Tele-fonleitung an jedem Handelsplatz für die Erledigung von privatenTelefongesprächen ist zudem sichergestellt, daß keine privaten Tele-fonate aufgezeichnet werden, wofür es keine Rechtsgrundlage gäbe.

6. Personalwesen

6.1 Personalaktenführungsrichtlinie

Schon in meinem 1. TB (6.1.1) hatte ich auf die Notwendigkeitverwiesen, klare Regelungen zur Personalaktenführung zu treffen.Eine derartige Richtlinie liegt bisher nur in einem Entwurf vor, zudem ich ausführlich Stellung genommen habe. Nach der Ressortan-hörung wurde mir der Entwurf noch einmal zugeleitet.


72

Meine Hinweise und Empfehlungen fanden größtenteils Berück-sichtigung.

6.2 Personalaktenführung

Ein Mitarbeiter einer Verwaltungsbehörde setzte mich von einerDienstaufsichtsbeschwerde zur Personalaktenführung im Hinblickauf seine Personalakte in Kenntnis. Ich habe daraufhin eine Kon-trolle vorgenommen, bei der sich herausstellte, daß zwischenzeitlichdie unterbliebene Durchnumerierung der Personalakte nachgeholtwurde. Soweit der Beschwerdeführer darauf verwiesen hatte, daßNebenaktennotizen noch nicht zur Personalakte genommen wordenwaren, standen hierzu noch erforderliche Klärungen aus, so daß zumPrüfungszeitpunkt noch keine Veranlassung bestand, die Vorgängein die Personalakte aufzunehmen. Soweit man dem Beschwerdefüh-rer verweigert hatte, in die dort geführte Nebenakte Einblick zunehmen, war dies unzulässig, da es jedem Beschäftigten zusteht, inseine Personalakte einschließlich der Teil- und Nebenakten Einsichtzu nehmen. Diese Auffassung hatte ich auch bei meiner Kontrollezum Ausdruck gebracht. Die öffentliche Stelle war zunächst derAuffassung, bis zum Inkrafttreten einer Personalaktenführungsricht-linie keine Festlegungen für seinen Zuständigkeitsbereich ein-schließlich des nachgeordneten Bereichs treffen zu müssen. Es wur-de dann aber die Führung von Nebenakten einer Regelung zuge-führt, die nach einer nochmaligen Modifizierung die datenschutz-rechtlichen Bedenken ausräumen.

6.3 Personalfragebogen für Bedienstete des Landes Thü-ringen

In meinem 1. TB (6.1.2) hatte ich ausgeführt, daß die Auslegung derRegelungen des § 97 ThürBG hinsichtlich des erforderlichen Um-fangs von Personalaktendaten in Personalfragebogen Schwierigkei-ten bereitet. Das TKM hatte eingeräumt, daß der Personalfragebogenin Abstimmung mit dem TIM und dem TFM überarbeitet werdenmüsse, um den Erfordernissen des Datenschutzes zu genügen.


73

Seitens des TKM wurde ein überarbeiteter Entwurf eines Personal-fragebogens vorgelegt, bei dem die datenschutzrechtlich bedenklicherscheinenden Punkte ausgeräumt wurden.

6.4 Personalverwaltung der Lehrer

In meinem 1. TB (6.1.10) hatte ich auf die Probleme der Personal-verwaltung der Lehrer im Hinblick auf die festgestellte “doppelteAktenführung” in den Schulämtern sowie die ungeklärten Fragen beider Zuordnung und Aufbewahrung von Personalakten der vor dem03.10.1990 aus dem Schuldienst ausgeschiedener Lehrer und Erzie-her hingewiesen. Soweit ich dies im Berichtszeitraum bei meinenKontrollen bestätigt fand, habe ich das gegenüber dem Landesver-waltungsamt, den jeweiligen Schulämtern und auch gegenüber ei-nem Landratsamt beanstandet.Seit Mitte 1997 liegt ein novelliertes Schulaufsichtsgesetz vor, wo-nach künftig den Schulämtern als untere Schulaufsichtsbehörden dieDienstaufsicht über die Schulleiter, Lehrer, sonderpädagogischenFachkräfte und Erzieher obliegt. Zur Umsetzung der Neuregelungwurde zwischenzeitlich auch eine vorläufige Zuständigkeits- undVerfahrensregelung für die Personalverwaltung und Personalakten-führung im Geschäftsbereich des Thüringer Kultusministeriumswirksam. Danach sind die Schulämter im Rahmen der Personalver-waltung insbesondere auch für die Führung der Personalakten derLehrer und Erzieher ihres Zuständigkeitsbereiches verantwortlich.Mit der Übernahme der laufenden Personalunterlagen vom Landes-verwaltungsamt werden nunmehr auch die von mir beanstandetenunzulässig in den Schulämtern geführten Personalnebenakten auf-gelöst bzw. zur Vervollständigung der Personalakten genutzt. Dop-pelte Unterlagen werden dabei vernichtet, soweit es sich nicht umbeglaubigte Urkunden handelt, die den Betroffenen zurückzugebensind.Darüber hinaus wurden die Schulämter verpflichtet, die bei denLandratsämtern aufbewahrten Personalakten aller vor dem03.10.1990 aus dem Schuldienst ausgeschiedenen Lehrer und Erzie-her zu übernehmen. Trotz entsprechender Terminvorgaben durch dieAufsichtsbehörden wurde die Übergabe der Altakten noch immernicht in allen Kreisen abgeschlossen.


74

6.5 Personalakten im Justizbereich

Im 1. TB (6.1.12) hatte ich zur Führung der Personalakten der Straf-vollzugsbediensteten berichtet. Im Berichtszeitraum wurden imJustizbereich anläßlich durchgeführter Kontrollen in drei weiterenStellen (eine Justizvollzugsanstalt, eine Staatsanwaltschaft und einAmtsgericht) die Personalaktenführung überprüft. Dies führte zujeweils weiteren Beanstandungen gemäß § 39 ThürDSG. Die Bean-standungen waren letztendlich auch deswegen auszusprechen, da diePersonalakten in den kontrollierten Bereichen nach der Verwal-tungsvorschrift des Thüringer Justizministeriums vom 01.10.1992zur Führung von Personalakten geführt wurden. Diese Verwaltungs-vorschrift sieht insbesondere unter Ziffer 2 vor, daß Personalaktenvon Bediensteten je nach Laufbahn und entsprechend im Angestell-tenverhältnis bei mehreren Stellen geführt werden. In der Praxisbedeutet dies, daß Richter, Staatsanwälte, Beamte im gehobenenDienst bei ihrer Dienststelle, bei der nächsthöheren Dienststelle bzw.den höheren Dienststellen und auch im Ministerium jeweils einevollständige Personalakte haben. Im Gegensatz hierzu sieht § 97Abs. 2 Satz 1 des Thüringer Beamtengesetzes (ThürBG) vom10.06.1994 vor, daß über jeden Beamten nur eine Personalakte zuführen ist. In Folge der Kontrollen wurde gefordert, die Verwal-tungsvorschrift auf die Vereinbarkeit mit dem ThürBG und demErforderlichkeitsgrundsatz zu überprüfen und anzupassen. Da dieProblematik der Verwaltungsvorschrift dem TMJE seit Ende 1995bekannt war, konnte jedoch nicht weiter hingenommen werden, daßdiese eindeutig gegen gesetzliche Regelungen verstoßende Vor-schrift weiterhin für die öffentlichen Stellen im Geschäftsbereich desTMJE als verbindlich aufrecht erhalten wird, so daß ich mich ver-anlaßt sah, die Verwaltungsvorschrift gemäß § 39 ThürDSG zubeanstanden. Seitens des TMJE wurde daraufhin zugesagt,schnellstmöglich eine novellierte Fassung der Verwaltungsvorschriftim Einklang mit den gesetzlichen Bestimmungen zu erarbeiten.Zwar wird die Überarbeitung der Verwaltungsvorschrift unabhängigvon der landeseinheitlichen Richtlinie zur Anlage und Führung vonPersonalakten überarbeitet, die endgültige Fassung der novelliertenVerwaltungsvorschrift wird jedoch erst nach Inkrafttreten einerallgemeinverbindlichen Personalaktenführungsrichtlinie in Geltung


75

gesetzt werden. Ich habe dies akzeptiert, um eine doppelte Überar-beitung zu vermeiden. Unabhängig davon haben mir die kontrol-lierten Stellen berichtet, daß dort anhand meiner gegebenen Anre-gungen begonnen wurde, die vorhandenen Personalakten zu überar-beiten.

6.6 Einsichtnahme von Vorgesetzten in Personalakten

Im Berichtszeitraum wurde die Anfrage an mich herangetragen, obder Abteilungsleiter das Recht habe, in die Personalakte Einsicht zunehmen. Ich teilte mit, daß nach § 97 Abs. 3 ThürBG nur Beschäf-tigte, die im Rahmen der Personalverwaltung mit der Bearbeitungvon Personalangelegenheiten beauftragt sind, Zugang zur Personal-akten haben und nur, soweit dies zu Zwecken der Personalverwal-tung und der Personalwirtschaft erforderlich ist. Damit ist eindeutiggeregelt, daß nicht mit der Personalverwaltung befaßte Bedienstetekeinen Zugang zur Personalakte haben dürfen. Der vorgesetzteFachabteilungsleiter zählt grundsätzlich nicht zu denjenigen, die mitder Bearbeitung von Personalangelegenheiten betraut sind. Wenn diePersonalverwaltung den Fachvorgesetzten bei einem Vorstellungs-gespräch hinzuzieht, erhält dieser nur Kenntnis von den personenbe-zogenen Daten, die Gegenstand des Vorstellungsgesprächs sind unddie sich ggf. aus den Bewerbungsunterlagen ergeben. Dies begegnetauch keinen Bedenken. Mit der Einstellung gehen derartige Unterla-gen aber in die Personalakte ein und sind danach für den fachvorge-setzten Abteilungsleiter nicht mehr zugänglich, es sei denn, was imvorliegenden Fall nicht der Fall war, daß er ausdrücklich nach § 100Abs. 2 ThürBG hierzu ermächtigt ist. Die betreffende Stelle hatmitgeteilt, daß der Abteilungsleiter kein Einsichtsrecht in die Perso-nalakte hat.


76

6.7 Verwaltungsvorschrift zur Thüringer Verordnungüber Zuständigkeiten für die Feststellung, Berechnungund Anordnung der Zahlung der Bezüge von Bedien-steten und Versorgungsempfängern (ThürZustVBe-züge)

Seitens einer Dienststelle des Landes wurde die Frage an mich ge-richtet, ob es zulässig ist, daß der Zentralen Gehaltsstelle (ZG) zurBerechnung des Ruhegehaltes die komplette Personalakte übersandtwird. Die Bedenken richteten sich dagegen, daß in der Personalakteauch Dienstzeugnisse und persönliche Wertungen enthalten sind, diezur Bestimmung des Ruhegehaltes nicht erforderlich sind. In meinerAntwort habe ich darauf hingewiesen, daß in der vorbezeichnetenAngelegenheit § 101 Abs. 1 Satz 2 ThürBG, wonach ohne Einwilli-gung des Beamten die Personalakte der Pensionsbehörde vorgelegtwerden kann, einschlägig ist. § 101 Abs. 1 Satz 2 ThürBG begegnetaus meiner Sicht keinen datenschutzrechtlichen Bedenken, da imRegelfall nur die komplette Durchsicht der Personalakte, die auchAngaben zu Vorbeschäftigungsverhältnissen enthält, die Pensions-behörde in die Lage versetzt, festzustellen, welche Tätigkeit im ein-zelnen für die Festsetzung der ruhegehaltsfähigen Dienstbezüge inAnsatz zu bringen sind. Zwar ist zuzugeben, daß für die Festsetzun-gen von ruhegehaltsfähigen Dienstbezügen vom Grundsatz her nichtdie Kenntnis der gesamten Personalakte zwingend erforderlich ist.Hier im einzelnen aber praktikable Lösungen zu finden, welcheVorgänge zu entnehmen sind, erscheint mir problematisch zu sein,da nicht jeder Beschäftigte, der mit der Personalverwaltung zu tunhat, die Kenntnisse haben wird, zu differenzieren, auf welche Un-terlagen es für die Ruhegehaltsfestsetzung ankommt. Von einerÜbersendung der Personalakte an die ZG zur Berechnung des Ruhe-gehaltes geht auch der Entwurf für die Verwaltungsvorschrift zurThürZustVBezüge aus. Das TFM hat mich an der Erarbeitung desEntwurfs dieser Verwaltungsvorschrift beteiligt.Diese Verwaltungsvorschrift ist immer noch nicht in Kraft getreten,was bedauerlich ist, da auf die Notwendigkeit klarer Regelungen indiesem Zusammenhang schon in meinem 1. TB (6.3.1) hingewiesenworden war.


77

6.8 Veröffentlichung von Mitarbeiterdaten

In vielfältiger Form werden von öffentlichen Stellen die Namenihrer Mitarbeiter und deren Funktionen veröffentlicht. Dies erfolgtz. B. durch das Anbringen von Türschildern, die Verpflichtung zumTragen von Namensschilder, die Aufstellung von Wegweisern inden Behörden, durch die Veröffentlichung von Behörden- und Tele-fonverzeichnissen oder auch von Vorlesungsverzeichnissen. In je-dem Fall stellt sich für den Betroffenen die Frage nach der daten-schutzrechtlichen Zulässigkeit für die Veröffentlichung seiner Daten.Beschäftigte im öffentlichen Dienst können sich gegenüber demStaat nur auf ihr informationelles Selbstbestimmungsrecht berufen,soweit sie nicht als Amtsträger für den Staat handeln, dem dieseTätigkeit zugerechnet wird. Insoweit muß es der Bedienstete auchhinnehmen, daß sein Name in den von ihm bearbeiteten Vorgängenoder auch dienstlichen Verzeichnissen bekannt wird. Darüber hinauskann es notwendig und zweckmäßig sein, im Zusammenhang mitseinen dienstlichen Aufgaben den Namen des Mitarbeiters an Tür-oder auf Namensschildern Dritten gegenüber bekanntzumachen.Dies ist insbesondere notwendig, um die Ansprechbarkeit zu ermög-lichen und einen angemessenen Umgangston pflegen zu können.Gleichzeitig wird der Amtsträger insoweit aus der Anonymität her-ausgeführt, daß er mit seinem Namen für die Richtigkeit seinerAmtshandlung einstehen muß. Es bestehen deshalb keine daten-schutzrechtlichen Bedenken, wenn es darum geht, den Bürger inallgemeiner Form darüber zu informieren, wo er sich mit welchemAnliegen hinwenden kann bzw. wer der Bearbeiter seines Anliegensist. Dennoch trägt auch bei der Offenbarung von Mitarbeiterdatendie öffentliche Stelle eine Verantwortung, zu prüfen, ob im überwie-genden Allgemeininteresse die Bekanntgabe der Namen erforderlichist. Um dem Bürger die konkrete Ansprechbarkeit eines Leiters oderMitarbeiters zu ermöglichen bzw. den Bediensteten innerhalb derStelle näher bestimmen zu können, reicht im Regelfall die Bekannt-gabe seiner Funktion, des Nachnamens, ggf. seines Titels und ergän-zend dazu die Anrede Herr bzw. Frau aus. Eine Nennung des Vor-namens dürfte regelmäßig über das erforderliche Maß hinausgehen,da der Mitarbeiter aufgrund seines Aufgabengebietes und des Nach-namens bereits hinreichend konkretisiert werden kann. Da jedoch


78

die Kenntnis von Vor- und Nachnamen unter Nutzung weiterer Da-tenbestände, wie Adreßbüchern, Telefonverzeichnissen u. a. durch-aus geeignet ist, den betreffenden Mitarbeiter auch außerhalb derBehörde und damit als Privatperson zu identifizieren und dort imEinzelfall nicht ausgeschlossen werden kann, daß dies zum Nachteilder Betroffenen (z. B. durch Belästigungen) genutzt wird, solltegrundsätzlich auf die Nennung des Vornamens verzichtet werden,soweit nicht die Einwilligung des Betroffenen vorliegt.

Im Rahmen Ihrer Öffentlichkeitsarbeit erstellen z. B. viele Behördenzur Gestaltung einer bürgernahen und effizienten Verwaltung soge-nannte Behördenverzeichnisse oder Wegweiser. Üblich und zweck-mäßig ist es dabei, die jeweiligen Leiter, insbesondere der publikum-sintensiven Fachbereiche und Sachgebiete, namentlich zu benennen.Aufgrund einer Anfrage hatte ich mich diesbezüglich mit einemBehördenwegweiser zu beschäftigen, in dem jeweils auch die Vor-namen der Mitarbeiter genannt wurden. Eine Begründung zur Erfor-derlichkeit konnte von der Behörde nicht gefunden werden, so daßkünftig darauf verzichtet wird.

Entsprechendes gilt selbstverständlich auch bei der Erstellung undVerteilung von Telefonverzeichnissen in öffentlichen Stellen. Auchwenn es sich um ein dienstliches Verzeichnis handelt, gibt es regel-mäßig keinen Grund die Vornamen aufzunehmen, insbesondere aberdann nicht, wenn das Verzeichnis auch über die Behörde hinausverteilt wird. Gegenwärtig wird in Thüringen auf der Basis einesCorporate Network auf Landesebene ein Telefonverzeichnis allerLandesbehörden erstellt. Ich habe in diesem Zusammenhang gebe-ten, den Inhalt des Verzeichnisses hinsichtlich seiner Erforderlich-keit zu überprüfen. Da es sich um ein dienstliches Verzeichnis han-delt, ist es selbstverständlich, daß für diese Zwecke alle telefonischerreichbaren Mitarbeiter in das Verzeichnis aufgenommen werden.Wichtig ist außerdem, daß bei den einzelnen Mitarbeitern die jewei-lige Arbeitsaufgabe und die Funktion konkret benannt wird. Demge-genüber dürfte regelmäßig der Vorname des Mitarbeiters unerheb-lich sein, wenn statt dessen die jeweilige Anrede in das Verzeichnisaufgenommen wird. Ich habe diesbezüglich um Berücksichtigunggebeten.


79

Besondere Probleme treten zusätzlich dann auf, wenn zunächst in-terne Verzeichnisse veröffentlicht werden sollen. Aufgrund einesHinweises hatte ich erfahren, daß ein Fernsprechverzeichnis einerBehörde aus Kostengründen mit Werbeinseraten versehen von einerprivaten Druckerei hergestellt wurde.Gleichzeitig hat man die Möglichkeit eingeräumt, daß jedermannbeim Verlag das Telefonverzeichnis gegen entsprechendes Entgeltbeziehen konnte. Ein berechtigtes Interesse an der Kenntnis der ineinem behördlichen Telefonverzeichnis aufgeführter personenbezo-gener Daten aller Mitarbeiter in der Öffentlichkeit ist nicht erkenn-bar. Nur soweit Mitarbeiter dienstlich in Erscheinung treten, ist einNutzen für die Öffentlichkeit aus der Kenntnis der konkreten perso-nellen Zusammensetzung bzw. Zuordnung anzuerkennen, wie das insogenannten Behördenverzeichnissen bzw. Wegweisern gängigePraxis ist. Ansonsten steht der Persönlichkeitsschutz der Bedienste-ten generell einer Übermittlung entgegen. Behördliche Telefonver-zeichnisse sind für den dienstlichen Gebrauch bestimmt und geltensomit nicht als allgemein zugängliche Quelle im Sinne des Daten-schutzgesetzes. Ein Verkauf oder eine Veröffentlichung eines voll-ständigen behördlichen Fernsprechverzeichnisses scheidet deshalbaus. Aufgrund meiner Empfehlung wurde der weitere Verkauf ein-gestellt.

Selbstverständlich kann im Einzelfall auch entschieden werden, daßstatt des Nachnamens nur der Vornamen bekanntgegeben wird. DieEntscheidung, ob z. B. das Pflegepersonal in Krankenhäusern tradi-tionsgemäß nur Namensschilder mit dem Vornamen und der Funkti-onsbezeichnung oder die Anrede und den Nachnamen tragen, bleibtder jeweiligen Einrichtung ggf. unter Beteiligung der Personalver-tretung überlassen. Eine Verpflichtung der Beschäftigten zum Tra-gen von Namensschildern mit Vor- und Zunamen dürfte demgegen-über regelmäßig nicht erforderlich sein.

Wie mir bekannt ist, bestehen auch von Seiten der Hoch- und Fach-hochschulen Bestrebungen, personenbezogene Daten von Hoch-schulangehörigen und Studenten im Internet zu veröffentlichen. FürVeröffentlichungen von personenbezogenen Daten im Internet durch


80

eine öffentliche Stelle sind zunächst die Zulässigkeitsvoraussetzun-gen gemäß § 22 Abs. 1 ThürDSG zu überprüfen. Danach ist eineÜbermittlung von personenbezogenen Daten an nicht-öffentlicheStellen nur dann zulässig, wenn sie im konkreten Fall zur Erfüllungder in der Zuständigkeit der Hochschule liegenden Aufgaben erfor-derlich ist und die Voraussetzungen vorliegen, die eine Nutzungnach § 20 ThürDSG zulassen würden oder der Empfänger ein be-rechtigtes Interesse an der Kenntnis der Daten darlegt und der Be-troffene kein schutzwürdiges Interesse an dem Ausschluß der Über-mittlung hat. Einer Zurverfügungstellung bzw. Übermittlung derDaten in Verzeichnisse, deren Empfänger nicht näher bestimmtwerden können, wie das besonders im Internet der Fall ist, stehenregelmäßig schutzwürdige Interessen der Betroffenen entgegen. Dieswäre daher nur mit Einwilligung der betroffenen Beschäftigten zu-lässig (vgl. § 22 Abs. 1 Nr. 2 ThürDSG). Diese Einwilligung bedarfgemäß § 4 Abs. 2 ThürDSG regelmäßig der Schriftform. Das trifft ingleichem Maß auf ausführliche Vorlesungsverzeichnisse mitAdreßteil der Bediensteten zu. Während jedoch die Fernsprechver-zeichnisse ausschließlich für den Dienstgebrauch vorgesehen sindund ein entsprechender Zugriff auf die Daten durch Unbefugte aus-zuschließen ist, bestehen grundsätzlich bei der Veröffentlichung vonVorlesungsverzeichnissen gegen die Nennung der Professoren undDozenten, einschließlich der jeweiligen dienstlichen Anschrift sowiesoweit zweckmäßig auch der dienstlichen Telefonnummer sowohl inPapierform als auch im Internet keine datenschutzrechtlichen Be-denken, da Vorlesungsverzeichnisse ihrem Zweck nach öffentlicheQuellen und die Dozenten in amtlicher Funktion tätig sind.Die Aufnahme “privater” Adressen in vorgenannte Verzeichnissenist selbstverständlich auszuschließen oder bedarf der Zustimmungder Betroffenen.Für die Nutzung von personenbezogenen Daten Studierender geltenaufgrund der Zweckbestimmung der an Hochschulen erhobenenDaten der Studenten die gleichen datenschutzrechtlichen Anforde-rungen.


81

6.9 Polizeiärztliche Untersuchungen im Rahmen von Be-werberauswahlverfahren für den polizeilichen Dienst

Von einem anderen Datenschutzbeauftragten wurde mir mitgeteilt,daß bei polizeiärztlichen Untersuchungen im Rahmen von Bewer-berauswahlverfahren für den polizeilichen Dienst nach der Polizei-dienstvorschrift “Ärztliche Beurteilung der Polizeidiensttauglichkeitund der Polizeidienstfähigkeit” (PDV 300) verfahren wird, die unteranderem vorsieht, daß Lebenslauf und Zeugnisse von den für diePolizeiauswahlentscheidung zuständigen Stellen an die mit derAuswahl und Untersuchung beauftragten Polizeiärzte mitgeteiltwerden, was problematisch ist, weil diese Unterlagen für die bei derärztlichen Untersuchung zu treffenden Feststellungen nicht erforder-lich sind. Nach der Dienstvorschrift ist vorgesehen, daß Tätowierun-gen zu beschreiben und ggf. zu dokumentieren sind, wobei die Be-urteilung dann nicht durch den Arzt sondern im Rahmen des Aus-wahl- und Einstellungsverfahrens erfolgen soll. Hier stellt sich dieFrage, ob Bewerbern für den Polizeidienst deutlich wird, daß dievom Arzt im Rahmen der Einstellungsuntersuchung durchgeführteDokumentation seiner Tätowierungen an die für die Personalaus-wahlentscheidung zuständige Stelle weitergegeben wird. DiesesVerfahren begegnet erheblichen rechtlichen Bedenken, so daß hiereine den Persönlichkeitsrechten der Bewerbern angemessene Ver-fahrensweise gefunden werden sollte. Ziffer 11.1 der PDV sieht vor,daß Bewerber auch nach Familienanamnesen, überstandenen Ge-müts- und Geisteskrankheiten, Suizidversuchen, Bettnässen undhäufigem Wechsel des Berufs, von Freunden und Vorgesetzten be-fragt werden. Derartige Fragestellungen gehen in die Intimsphärevon Bewerbern und deren Familienangehörigen hinein, so daß sienicht zu rechtfertigen sind. Ob Bettnässen in der Kindheit bei er-wachsenen Bewerbern für den Polizeidienst noch relevant ist, er-scheint zumindest fraglich. Ein häufiger Vorgesetztenwechsel mußkeineswegs dem zu Untersuchenden anzulasten sein. Auch wennman zuerkennen muß, daß im Vergleich zu anderen Bewerbern fürden öffentlichen Dienst bei Bewerbern für den Polizeidienst höhereAnforderungen an die physische und psychische Belastbarkeit ge-stellt werden müssen, sind derartige Fragestellungen bedenklich. Ineinem Gespräch mit dem Ärztlichen Dienst der Thüringer Polizei


82

wurde festgestellt, daß diese von der Einsichtnahme in Personalak-ten Abstand nimmt und keine Fragen zur Persönlichkeitsbeurteilungstellt. Der Ärztliche Dienst der Thüringer Polizei zeigte sich gegen-über den datenschutzrechtlichen Belangen sehr aufgeschlossen. DieÜberarbeitung der PDV 300 steht noch aus; es bleibt abzuwarten, oballen vorgetragenen Bedenken gegen die derzeitige Fassung darinRechnung getragen wird.

6.10 Einstellung in den Polizeidienst

Ein Bewerber für den Polizeidienst in einem anderen Bundeslandzeigte sich darüber verwundert, daß eine nach § 60 Abs. 1 Nr. 7Bundeszentralregistergesetz (BZRG) im Erziehungsregister ver-merkte Entscheidung von der zuständigen Polizeidienststelle inThüringen weitergegeben worden war, die nach § 61 BZRG nichtzur Weiterleitung vorgesehen war. Er hatte hierbei übersehen, daß erbei der für die Einstellung zuständigen Dienststelle sein Einver-ständnis dazu erklärt hatte, daß polizeiliche Auskünfte bei der fürihn zuständigen Polizeidienststelle eingeholt werden konnten. Da erdamit sein Einverständnis mit der Weitergabe der Daten erklärthatte, begegnete die Auskunftserteilung keinen Bedenken.

6.11 Datenverarbeitung bei Personalkostenzuschüssen

Durch einige Anfragen wurde ich mit der Fragestellung befaßt, inwelchem Umfang personenbezogene Daten der Mitarbeiter FreierTräger der Jugendhilfe im Zusammenhang mit der Beantragung undBewilligung von Fördermitteln des Landes von den zuständigenStellen erhoben werden dürfen. Unsicherheiten gab es bei den beimir anfragenden Freien Trägern der Jugendhilfe insbesondere bzgl.der angeforderten detaillierten Angaben zur Gehaltszusammenset-zung, der Pflicht zur Vorlage der Arbeitsverträge sowie der Lebens-läufe der Mitarbeiter. Ich habe mich daraufhin mit dem für die Bear-beitung der Förderanträge zuständigen Landesjugendamt in Verbin-dung gesetzt und um die Vorlage der im Bereich der Kinder- undJugendhilfe verwendeten Antragsvordrucke gebeten. Danach gibt eszwei unterschiedliche Modelle der Förderung von Personalkostenbei Beratungsstellen im Bereich der Kinder- und Jugendhilfe. In


83

einigen Bereichen werden je eingesetzter Fachkraft entsprechendihrer Qualifikation monatliche Festbeträge bezahlt. Bei den anderenFörderprogrammen werden Personalkostenzuschüsse in Höhe einesbestimmten Prozentsatzes der tatsächlich angefallenen Personalko-sten gewährt. Bei beiden Modellen setzen die Förderrichtlinienvoraus, daß zum zweckentsprechenden Einsatz der Fördermittelausreichend qualifiziertes Personal eingesetzt wird, was im Rahmender Antragstellung und der Rechnungsprüfung nachzuweisen ist.Auch über den Umfang der Tätigkeit (Vollzeit- oder Teilzeitbe-schäftigung) sind entsprechende Angaben zur Mittelbewilligungvorzulegen.

Die direkte Anforderung der Mitarbeiterdaten durch das Landesju-gendamt bei den Freien Trägern stellt eine Datenerhebung bei Drit-ten dar. Rechtsgrundlage hierfür ist § 62 Abs. 4 SGB VIII. Diesersetzt voraus, daß der Betroffene nicht zugleich Leistungsberechtigteroder sonst an der Leistung beteiligt ist und die Kenntnis der Datenfür die Gewährung von Leistungen nach dem SGB VIII erforderlichsind. Bei der Gewährung von Personalkostenzuschüssen an FreieTräger der Jugendhilfe handelt es sich um Leistungen nach §§ 12und 74 SGB VIII in Verbindung mit den jeweiligen Förderrichtlini-en. Leistungsberechtigte in diesen Fällen sind ausschließlich diejeweiligen Freien Träger, nicht jedoch deren Mitarbeiter. Letztereprofitieren lediglich indirekt von der Leistungsgewährung. Unter derVoraussetzung, daß die personenbezogenen Angaben zu Lohn- undGehaltsbestandteilen, zur Qualifikation sowie zum Umfang der Be-schäftigung für die Gewährung der Zuwendungen, d. h. einer Lei-stung nach dem SGB VIII notwendig sind, dürfen diese Angabenauch bei Leistungsberechtigten (Dritten), d. h. bei den jeweiligenFreien Trägern erhoben werden. In entsprechender Anwendung von§ 62 Abs. 2 Satz 2 SGB VIII sollten jedoch die Mitarbeiter der Frei-en Träger über diese Datenerhebung informiert werden. Ich habedaher dem TMSG vorgeschlagen, auf dem jeweils letzten Blatt desAntragsformulars die Versicherung des Antragstellers aufzunehmen,daß die mit Landesmitteln zu fördernden Mitarbeiterinnen und Mit-arbeiter darüber informiert wurden, daß für das Zuwendungsverfah-ren notwendige personenbezogene Daten (z. B. Name, Anschrift,Geburtsdatum, Familienstand, Vergütungsgruppe, Anzahl und Alter


84

der Kinder, Qualifikation, Funktion, Arbeitszeitumfang, Arbeits-platzbeschreibung) gemäß § 62 Abs. 4 SGB VIII dem Zuwendungs-geber übermittelt werden dürfen. Darüber hinaus habe ich demTMSG mitgeteilt, daß ich in den Fällen, in denen die Förderung vonPersonalkosten in Form von Festbeträgen erfolgt, lediglich Namedes Mitarbeiters, Angaben zu Qualifikation und Funktion sowie zumUmfang der Arbeitszeit zur Überprüfung einer möglicherweise un-zulässigen Doppelförderung für erforderlich halte, weil es auf diekonkrete Gehaltszusammensetzung in diesen Fällen nicht ankommt.Das TMSG hat zwischenzeitlich die Antragsformulare in diesemSinn überarbeitet und zusätzlich den Hinweis bei der Anforderungvon Arbeitsverträgen angebracht, daß auf Kopien Angaben, die überName, Adresse, Beginn und Ende der Beschäftigung, Beschäfti-gungsumfang und Vergütungsgruppe hinausgehen, geschwärzt wer-den können. Im übrigen bestand Einvernehmen auch dahingehend,daß eine dauerhafte Speicherung von Arbeitsverträgen und Qualifi-kationsnachweisen beim Landesjugendamt nicht erforderlich ist,sondern diese Unterlagen nach abschließender Prüfung und Berück-sichtigung des Prüfergebnisses im Antragsprüfvermerk zusammenmit dem Bewilligungsbescheid an den Antragsteller zurückgesandtwerden können und dieser verpflichtet wird, für eine eventuelleRechnungsprüfung die Unterlagen bereitzuhalten. Grundsätzlich giltbei der Aufbewahrung dieser Unterlagen, daß diese von den übrigenden Freien Träger betreffenden Unterlagen getrennt aufbewahrtwerden, da es sich um Unterlagen handelt, die mit Personaldatenvergleichbar sind und daher einer besonderen Zweckbindung unter-worfen werden sollten.

6.12 Dienstvereinbarung über die elektronische Verarbei-tung von Personaldaten

Im 1. TB (15.5.3) hatte ich berichtet, daß die Thüringer Landesver-waltung die Einführung des PersonalverwaltungssystemsPERSOSTH, das von mir datenschutzrechtlich begleitet worden ist,zur Einführung vorgesehen hat. Mittlerweile haben verschiedeneDienststellen mit der Einführung begonnen, entsprechende Meldun-gen zum Datenschutzregister liegen vor. In diesem Zusammenhanghabe ich Empfehlungen gegeben, die sich u. a. auf die Paßwortge-


85

staltung, die Begrenzung der Anzahl der Anmeldefehlversuche,Zugriffsrechte und Protokollierung bezogen.

6.13 Führung von An- und Abwesenheitslisten von Mit-arbeitern

Hinweise aus der Presse und Anfragen von Mitarbeitern, daß ineiner Verwaltungsbehörde neben einem elektronischen Zeiterfas-sungssystem täglich An- bzw. Abwesenheitslisten für alle Mitarbei-ter unter Angabe der Gründe ihrer Abwesenheit zentral erstellt undder Behördenleitung sowie allen Abteilungen zur Information zurVerfügung gestellt werden, gaben mir Anlaß, die Führung von An-und Abwesenheitslisten bei den Landesbehörden zu hinterfragen.Da-rüber hinaus erfolgten in zwei Ministerien Kontrollen, bei denensich obiger Sachverhalt bestätigte. Gleichzeitig wurde in einem Mi-nisterium festgestellt, daß täglich Auszüge aus dem automatisiertenVerfahren gewonnen wurden, ohne eine entsprechende Vereinba-rung mit dem Personalrat. Zu den Aufgaben der Personalverwaltunggehört die Führung von Übersichten über die An- und Abwesenheitder einzelnen Mitarbeiter, insbesondere bei Gewährung von Frei-stellungen aus den verschiedensten Gründen, wie Krankheit undUrlaub, als Bestandteil der Personalunterlagen (§ 97 ThürBG). Dar-über hinaus obliegt dem jeweiligen Dienstvorgesetzten die Kontrolleder Einhaltung der täglichen Arbeitszeit. Da überwiegend für dieMitarbeiter in der Landesverwaltung Gleitzeitregelungen bestehen,sind die betreffenden Mitarbeiter verpflichtet, Zeiterfassungsblätterzu führen, die jeweils dem unmittelbaren Dienstvorgesetzten amMonatsende vorzulegen sind. In vielen Behörden werden stattdessenbereits automatisierte Verfahren (Zeiterfassungssysteme) genutzt. Zubeachten ist dabei, daß die Einführung, Anwendung, wesentlicheÄnderung oder Erweiterung automatisierter Verarbeitung personen-bezogener Daten, die geeignet sind, das Verhalten oder die Leistungder Beschäftigten zu überwachen oder zu erfassen, durch den jewei-ligen Personalrat gemäß § 74 Abs. 3 Ziff. 18 ThürPersVG mitbe-stimmungspflichtig sind. In den abzuschließenden Dienstvereinba-rungen sind insbesondere der Umfang und die Dauer der Erhebungund Verarbeitung von Beschäftigtendaten sowie die Möglichkeitenihrer Auswertung festzulegen.


86

Ungeachtet der Form zur Arbeitszeiterfassung ist es unstrittig, daßder jeweilige Vorgesetzte im Rahmen seiner Dienstaufsicht ausarbeitsorganisatorischen Gründen An- und Abwesenheitslisten überseine Mitarbeiter führen kann. Soweit es die Behördenleitungwünscht, jederzeit über den anwesenden Mitarbeiterbestand infor-miert zu sein, gibt es nur insoweit Einwände, als dort im allgemeinenauf die konkrete Nennung des Abwesenheitsgrundes verzichtenwerden sollte. Wird es darüber hinaus für erforderlich gehalten,weiteren Leitern oder Mitarbeitern in den verschiedensten Organisa-tionseinheiten der Behörde Übersichten zu übergeben, aus denenhervorgeht, welche Mitarbeiter zu welchem Zeitpunkt abwesendsind, ist dies nur unter Beachtung des Erforderlichkeitsgrundsatzzulässig. Nicht nachvollziehbar ist aber, wenn wie bei der Stellepraktiziert, uneingeschränkt allen Abteilungsleitern und Mitarbeiterndes technischen Bereiches, wie der Pforte regelmäßig bekannt seinmuß, welche Mitarbeiter der gesamten Behörde in welchem Zeit-raum nicht anwesend sind. Eine Erforderlichkeit für die Kenntnis derPersonaldaten aller Beschäftigten zur Aufgabenerfüllung dieserBediensteten kann man sicher verneinen. Wenn es darüber hinaus imEinzelfall zweckmäßig und erforderlich sein sollte, einem begrenz-ten Personenkreis regelmäßig listenmäßig über die “voraussicht-liche” oder “planmäßige” Abwesenheit von Mitarbeiter zu informie-ren, so sind die Mitarbeiter von dieser Verfahrensweise in Kenntniszu setzen. In jedem Fall sollte aber die Führung von Abwesenheitsli-sten schriftlich insbesondere hinsichtlich der Datenerhebung, desVerwendungszweckes, der Verteilung und der Löschung von Listengeregelt werden, um zu verhindern, daß, wie auch die Kontrollenzeigten, Übersichten über längere Zeit aufbewahrt und teilweise überdas erforderliche Maß hinaus gestreut werden. Soweit zur Erstellungvon täglichen An- und Abwesenheitslisten auch Daten aus demjeweiligen automatisierten Zeiterfassungssystem genutzt werdensollen, ist dies nur zulässig, wenn dazu in der Dienstvereinbarungmit dem Personalrat Regelungen getroffen sind. In Auswertung derdurchgeführten Prüfungen haben zwischenzeitlich die kontrolliertenBehörden ihre bisherigen Verfahrensweise zur Führung von Abwe-senheitslisten den datenschutzrechtlichen Anforderungen entspre-chend verändert.


87

6.14 Zulässigkeit behördlicher Organisations-/Arbeits-platzuntersuchungen und von Mitarbeiter-/Bürger-befragungen

In Zeiten knapper werdender Haushaltsmittel gehen Behörden zu-nehmend dazu über, Organisationsuntersuchungen in den Dienst-stellen durchzuführen, in deren Mittelpunkt die Prüfung der Aufbau-und Ablauforganisation der betreffenden Verwaltungseinheit steht.Dies macht mitunter auch Arbeitsplatzuntersuchungen erforderlich,bei denen Befragungen von Stelleninhabern durchgeführt werden.Ob derartige Datenerhebungen zulässig sind, wurde auch im Kreiseder Datenschutzbeauftragten erörtert. Nach § 19 Abs. 1 ThürDSG istdas Erheben personenbezogener Daten zulässig, wenn ihre Kenntniszur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.Die Erforderlichkeit zur Durchführung von Organisationsuntersu-chungen wird man nicht verneinen können; auch wird man den Be-schäftigten aus der Pflicht, seinen Vorgesetzten zu beraten und zuunterstützen, für verpflichtet ansehen müssen, Anordnungen auszu-führen und damit auch Fragen im Rahmen von Organisationsunter-suchungen zu beantworten. Handelt es sich jedoch um eine reineMitarbeiterbefragung, bei der es nur um die subjektive Bewertungdes Arbeitsumfelds geht, ohne daß diese in eine Organisationsunter-suchung einbezogen ist, geht dies nur auf freiwilliger Basis. EineStadtverwaltung hatte einen Fragebogen entwickelt, um Bürger undBürgerinnen zur Beurteilung der Qualität der Mitarbeiter der Stadt-verwaltung aufzufordern. Die Beurteilung der Arbeit von Mitarbei-tern in einer Stadtverwaltung hängt nicht zuletzt davon ab, wie manmit einer getroffenen Entscheidung zufrieden ist. Beim Verlassendes Ordnungs- und Sozialamtes ist dies sicherlich anders zu be-trachten als bei einer Eheschließung im Standesamt. Die Repräsen-tativität einer derartigen Befragung zu einer personenbezogenenDatenerhebung muß in Zweifel gezogen werden, da hier auch Mani-pulationen für oder gegen einzelne Mitarbeiter denkbar erscheinen.Soweit daher das Ergebnis der Befragung zur Beurteilung von Mit-arbeitern und damit zu Personalentscheidungen herangezogen wer-den sollte, habe ich die beabsichtigte Form und den Inhalt der Da-tenerhebung unter Berücksichtigung des überwiegenden schutzwür-digen Interesses der betroffenen Mitarbeiter für datenschutzrechtlich


88

unzulässig gehalten. Ich habe daher empfohlen, auf die Erhebungpersonenbezogener Daten zu verzichten. Die Stadtverwaltung istdiesem Vorschlag gefolgt.

6.15 Personenbezogene Daten beim Personalrat

Die Personalvertretung ist zur Durchführung ihrer Aufgaben recht-zeitig und umfassend unter Vorlage der Unterlagen, die die Dienst-stelle zur Vorbereitung der von ihr beabsichtigten Maßnahmen bei-gezogen hat, zu unterrichten (§ 68 Abs. 2 ThürPersVG). Die Unter-richtungspflicht umfaßt damit auch personenbezogene Daten, derenSpeicherung beim Personalrat nach Abschluß des Beteiligungsver-fahrens grundsätzlich nicht mehr erforderlich ist. Die Dauer derSpeicherung von personenbezogenen Daten ist an die Erforderlich-keit zur Aufgabenerfüllung geknüpft. Aufgrund einer Anfrage binich der Frage nachgegangen, ob der Personalrat als Teil der Dienst-stelle, ihm zugeleitete Unterlagen wie Beurteilungen u. ä. fotokopie-ren und damit speichern darf. Diese Verfahrensweise würde nämlichdazu führen, daß beim Personalrat eine Personaldatenvorratshaltungentstehen kann, die der Bildung von Personalnebenakten gleich-kommt, für die eine Rechtsgrundlage nicht besteht. Es stellte sichheraus, daß die Dienststelle dem Personalrat üblicherweise Schrei-ben, in denen umfänglich personenbezogene Daten enthalten waren,zum Zweck der Beteiligung zugeleitet hatte. Diese wurden urschrift-lich der Dienststelle zurückgegeben. Der Personalrat sah sich veran-laßt, generell hiervon Kopien zu ziehen, um zu dokumentieren, daßeine Beteiligung stattgefunden hatte und auf welcher Beratungs-grundlage eine Entscheidung getroffen worden war. Dies betraf z. B.Unterlagen im Bewerbungsverfahren oder auch die Angabe derGesamtbewertung einer Beurteilung bei Beförderungen. Selbstver-ständlich dürfen Anschreiben der Dienststelle, aufgrund derer derPersonalrat tätig wird, vom Personalrat zu Sachakten genommenwerden, da sie der Dokumentation der Tätigkeit dienen. Hierbei istjedoch darauf zu achten, daß in diesen Anschreiben nur erforderlichepersonenbezogene Daten enthalten sind. Alle über die Bezeichnungdes Beratungsgegenstands hinausgehenden Daten wären nicht erfor-derlich. Die betroffene Dienststelle hat mir zugesagt, daß in Ab-stimmung mit der Personalvertretung die Anfragen gemäß § 69


89

Abs. 2 Satz 4 ThürPersVG auf das unbedingt Notwendige be-schränkt werden. Zukünftig enthalten diese nur den Namen desBetroffenen, die beabsichtigte Maßnahme und den vorgesehenenZeitpunkt. Weitere personenbezogene Daten werden bei Bedarf,soweit notwendig, im Rahmen des Verfahrens gemäß § 69 Thür-PersVG mündlich erörtert. Dagegen ist aus datenschutzrechtlicherSicht nichts einzuwenden.

6.16 Abschottung der Beihilfestelle in einer Stadtverwaltung

Wie bereits im 1. TB (6.2.3) dargestellt, bedarf es bei der Abwick-lung der Beihilfe nach § 98 ThürBG einer strikten Abschottung derGesundheitsdaten von der übrigen Personalverwaltung. Dadurch,daß Beihilfeberechtigte einen Teil ihrer Arztkosten vom Dienstherrnerstattet bekommen, dürfen sie nicht gegenüber Mitarbeitern be-nachteiligt werden, die nicht beihilfeberechtigt sind und deren Ge-sundheitsdaten selbstverständlich nicht von der Krankenversiche-rung dem Personalamt zugänglich gemacht werden dürfen. In einergrößeren Stadt habe ich daher die Einhaltung dieser Abschottungs-vorschriften überprüft. Obwohl die Beihilfestelle dort im Personal-amt angesiedelt war, konnten die organisatorischen Vorkehrungen(z. B. getrennte räumliche Unterbringung, getrennter Postlauf direktzur Beihilfestelle etc.), die sicherstellen sollen, daß Personalsachbe-arbeiter keinen Zugriff auf die Beihilfedaten haben, als ausreichendangesehen werden. Lediglich bei der Gestaltung von Beihilfevor-drucken gab ich einige Hinweise, um zu vermeiden, daß unnötiger-weise immer wieder dieselben Daten vom Betroffenen und seinenFamilienangehörigen erhoben werden, obwohl keine Änderungenvorlagen und diese bereits bei der Beihilfestelle vorlagen. Mit Neu-fassung der Formulare wurde diesen Forderungen entsprochen.Als dennoch problematisch erwies sich die Eingliederung der Beihil-festelle in das Personalamt deswegen, weil im Rahmen von Be-schwerden, Widersprüchen und Eingaben nicht ausgeschlossen war,daß die entsprechenden Unterlagen dem Vorgesetzten bzw. auchdem Behördenleiter vorgelegt werden können. Zwar war die Bear-beitung von Widersprüchen durch eine mündliche Weisung desPersonalamtsleiters der Leiterin der Personalabrechnung zugewie-sen, die im Gegensatz zum Amtsleiter bzw. Behördenleiter keine


90

Aufgaben und Befugnisse bei Personalentscheidungen hat. Aufgrundder Weisungsgebundenheit war es den Vorgesetzten aber jederzeitmöglich, sich im Einzelfall derartige Fälle vorlegen zu lassen. Inzwei Fällen konnte ich feststellen, daß Widerspruchsbescheide inBeihilfesachen vom Leiter des Personalamtes gezeichnet wordenwaren. Mit dem Abschottungsgebot des § 98 ThürBG soll aber gera-de vermieden werden, daß solchen Stellen, die Personalentscheidun-gen zu fällen haben, Unterlagen über gesundheitliche Verhältnissedes Betroffenen zur Kenntnis gelangen. Ich habe daher die Stadtaufgefordert, entweder die Beihilfestelle in eine andere, nicht mitPersonalangelegenheiten befaßte Stelle einzugliedern oder aberdurch eine schriftliche Anweisung konkret bezeichneten Mitarbei-tern die ausschließliche Befugnis zur Bearbeitung und Entscheidungaller mit Beihilfeangelegenheiten zusammenhängenden Vorgängeabschließend zu übertragen. Die Stadt hat sich für die letztere Mög-lichkeit entschieden und die Leiterin der Personalabrechnungsstellemit der abschließenden Bearbeitung von Beihilfeangelegenheitenbeauftragt. Wie bereits im 1. TB (6.2.3) dargestellt, halte ich gleich-wohl eine Ansiedlung der Beihilfestelle außerhalb des Personalamtsbzw. außerhalb der Gemeindeverwaltung für die vorzugswürdigeLösung, um von vornherein Konfliktsituationen auszuschließen. DieLandesregierung hat sich in ihrer Stellungnahme zu meinem 1. TBdieser Auffassung angeschlossen. Durch das Landesverwaltungsamtwurden die Landkreise und kreisfreien Städte in einem Rundschrei-ben auf die Möglichkeit zur Bildung einer zentralen Beihilfestelle inForm eines Zweckverbandes aufgrund der §§ 16 ff Gesetz über diekommunale Gemeinschaftsarbeit (GKG) hingewiesen.

6.17 Formular der Zentralen Beihilfestelle des Landes-verwaltungsamtes

Verschiedene Beihilfeberechtigte haben mich gebeten, mich desBeihilfeformulars der Zentralen Beihilfestelle anzunehmen. Insbe-sondere richtete sich die Kritik dagegen, daß jeweils erneut Datenerhoben werden, obwohl sich keine Änderung gegenüber dem Vor-antrag ergeben haben. Das LVwA, dem die Beihilfestelle angeglie-dert ist, hat dies eingeräumt, allerdings darauf verwiesen, daß mitder Einführung des Beihilfeabrechnungsprogramms ABBA die Er-


91

arbeitung eines neuen Beihilfeformulars erforderlich wird, das demFormblatt des BMI entspricht. Danach obliegt es dem Antragstellerlediglich durch Ankreuzen zu kennzeichnen, daß sich keine Ände-rung bei den persönlichen Verhältnissen ergeben hat. Angesichts derangekündigten Einführung des BeihilfeabrechnungsprogrammsABBA habe ich die Angelegenheit auf sich bewenden lassen, dakünftig meinen Bedenken Rechnung getragen zu werden schien.Bisher ist das Beihilfeabrechnungsprogramm ABBA aber noch nichteingeführt worden.

6.18 Datenschutz für private Eintragungen im “Schreib-tischkalender”

Zur datenschutzrechtlichen Bewertung wurde folgender Sachverhaltan mich herangetragen:Ein Amtsleiter hatte Schreibtischkalender von Bediensteten fürdienstliche Zwecke angefordert. Diese enthielten aber zum Teilprivate Eintragungen der Bediensteten. Die Prüfung der Rechtslageergab, daß es sich bei einem Schreibtischkalender, der vom Dienst-herrn zur Verfügung gestellt und von den Bediensteten geführt wird,um eine dienstliche Unterlage handelt, die grundsätzlich entspre-chend § 63 Abs. 3 ThürBG auf Verlangen des Dienstvorgesetztenherauszugeben ist. Wenn einem Bediensteten also ein Schreibtisch-kalender nicht ausschließlich nur zu eigenen Zwecken zur Verfü-gung gestellt wird, muß er damit rechnen, daß seitens des Dienst-herrn auch Einsicht begehrt wird. Gegen eine Heranziehung derSchreibtischkalender mit den darin enthaltenen Strichlisten wardaher grundsätzlich nichts einzuwenden, wobei zur weiteren Beur-teilung auch die Umstände des Einzelfalls hinsichtlich der Erforder-lichkeit und Verhältnismäßigkeit gesehen werden müssen. Proble-matisch stellt sich die Angelegenheit jedoch im Hinblick auf dieprivaten Eintragungen dar. Daher sollten die Bediensteten daraufhingewiesen werden, daß die Schreibtischkalender unter Umständenfür die Überprüfung von Angaben herangezogen werden können, sodaß sie sich gegebenenfalls noch einen rein persönlichen Kalenderanlegen können. Vor Einzug der Schreibtischkalender sollte, soferndie Einsichtsmöglichkeit durch den Dienstvorgesetzten nicht be-kannt war, die Möglichkeit gegeben werden, rein private Eintragun-


92

gen zu entfernen. Damit wäre sichergestellt, daß der Dienstvorge-setzte nicht unbeabsichtigterweise rein private Termine zur Kenntnisnimmt, wozu auch keinerlei Erforderlichkeit besteht.

6.19 Veröffentlichung der Ungültigkeitserklärung vonDienstausweisen

Wiederholt war im Thüringer Staatsanzeiger sinngemäß zu lesen,daß “Der Dienstausweis mit der Nummer (...) des ... (Dienstbe-zeichnung, Name, Vorname) verloren gegangen ist und für ungültigerklärt wird.”Ich habe mich mit dieser Angelegenheit an das TIM zur Klärung derRechtsgrundlage und der Erforderlichkeit dieser Veröffentlichungengewandt. Aus datenschutzrechtlicher Sicht begegnet die namentlicheBekanntgabe wegen der Prangerwirkung für die Betroffenen erheb-lichen datenschutzrechtlichen Bedenken. Zur Warnung Dritter da-vor, daß der einen in Verlust geratenen Dienstausweis Vorlegendenicht der Berechtigte sein kann, bedarf es einer Veröffentlichung desNamens nicht. Hier reicht die Angabe der Ausstellungsbehörde, desAusstellungsdatums sowie der Dienstausweisnummer aus. Ich habeweiter angeregt, daß das TIM im Rahmen der Zuständigkeit alsoberste Kommunalaufsichtsbehörde über das Landesverwaltungsamtund die Kreise und kreisfreien Städte entsprechende rechtliche Hin-weise gibt.Das TIM hat mir in dieser Sache geantwortet, daß Einvernehmenzwischen den Ressorts der Thüringer Landesregierung bestehe, diebisherige Veröffentlichungspraxis einzustellen. Die obersten Lan-desbehörden und das Landesverwaltungsamt wurden von Seiten desTIM darüber informiert, daß sich Mitteilungen der nachgeordnetenBehörden sowie eine entsprechende Vorlage an die Redaktion desThüringer Staatsanzeigers erübrigen.

6.20 Anschriftenverzeichnis ehemaliger DDR-Arbeitgeber

Immer wieder stellt sich die Frage nach der Zuständigkeit und demVerbleib von Altakten. Im Berichtszeitraum erhielt ich Kenntnisdavon, daß der Bundesversicherungsanstalt für Angestellte zur Klä-rung rentenrechtlicher Ansprüche ein Arbeitgeber- Verzeichnis vor-


93

liegt. Durch Gegenüberstellung der ehemaligen Betriebe und Ein-richtungen der früheren DDR mit den jetzigen Rechtsnachfolgernwird in diesem Verzeichnis ein Überblick über den Verbleib derLohn- und Gehaltsunterlagen dieser früheren Institutionen gegeben.

7. Polizei

7.1 Bundeskriminalamtgesetz - BKAG

Mit dem am 01.08.1997 in Kraft getretenen neuen Bundeskriminal-amtgesetz (BGBl I S. 1650) hat der Bundesgesetzgeber bereichsspe-zifische Regelungen zur Zusammenarbeit des Bundes und der Län-der in kriminalpolizeilichen Angelegenheiten und für die Wahrneh-mung der Aufgaben des BKA auf den Gebieten der Gefahrenabwehrund Strafverfolgung geschaffen. Nach § 7 Abs. 6 BKAG bedarf eseiner Rechtsverordnung über die Art der Daten, die nach den §§ 8bis 9 BKAG als Daten der Zentralstelle und sonstige Dateien gespei-chert werden dürfen. Diese Rechtsverordnung steht noch aus. Zubegrüßen ist, daß ausdrücklich normiert ist, daß die von den Ländernin das polizeiliche Informationssystem eingegebenen Datensätze vonden jeweiligen Landesbeauftragten im Zusammenhang mit derWahrnehmung ihrer Prüfungsaufgaben in den Ländern kontrolliertwerden können, soweit die Länder nach § 12 Abs. 2, 3 BKAG ver-antwortlich sind.

7.2 Polizeirechtsänderungsgesetz

Seitens des TIM wurde ich im Vorfeld zum Thüringer Gesetz zurÄnderung polizeirechtlicher Vorschriften (Thüringer Polizeirechts-änderungsgesetz vom 27.11.1997 - ThürPolRÄG, GVBl S. 422)beteiligt. Zur vorgesehenen Änderung von § 14 Abs. 1 Nr. 5 PAG,die die Einführung von verdachts- und ereignisunabhängigen Kon-trollmöglichkeiten für allgemeine Personen- und Fahrzeugkontrollenauf Bundesstraßen vorsieht, habe ich Bedenken im Hinblick auf dieEinhaltung des Grundsatzes der Verhältnismäßigkeit geäußert. Nachdem bisherigen § 19 Abs. 1 Nr. 2 PAG war eine Ingewahrsamnahmenur bei Straftaten von erheblicher Bedeutung möglich. Der Gesetz-entwurf hierzu sah vor, daß diese Beschränkung gestrichen wird, so


94

daß nunmehr auch in Fällen leichter Kriminalität eine Ingewahrsam-nahme möglich sein soll. Den damit möglichen Eingriff in das in-formationelle Selbstbestimmungsrecht sehe ich als unverhältnismä-ßig an. Meine diesbezüglichen Hinweise sind nicht aufgegriffenworden.

7.3 Europol

Gegen Ende des Berichtszeitraums verabschiedete der Bundestag am10.10.1997 das Gesetz zu dem Übereinkommen vom 26.07.1995 aufGrundlage von Artikel K.3 des Vertrages über die Europäische Uni-on über die Errichtung eines europäischen Polizeiamtes(EUROPOL-Gesetz), zu dem auch der Bundesrat seine Zustimmunggegeben hat. Damit ist die Europol-Konvention ratifiziert und kann,wenn auch die anderen Staaten das Gesetz ratifiziert haben, in Krafttreten. Daß in einem zusammenwachsenden Europa grenzüber-schreitende Verbrechensbekämpfung angezeigt ist, ist allgemeinanerkannt.

Europol soll personenbezogene Daten aus den Mitgliedstaaten zen-tral speichern und auswerten, wobei die Berechtigung zur Abfrageund Einspeicherung das BKA und die LKA haben. Die Zuständig-keit für Europol ist u. a. gegeben für die Bereiche Terrorismus, ille-galer Drogenhandel und sonstige schwerwiegende Formen interna-tionaler Kriminalität, zu denen unter anderem Waffenhandel undMenschenhandel zählen. Zu Europol hat die europäische Daten-schutzkonferenz in Manchester am 24./25.04.1996 (Anlage 23)festgestellt, daß die Konvention dem Datenschutz erhebliche Be-deutung beimißt. Europol hat keine eigene Ermittlungszuständigkeit,sondern verfolgt das Ziel, durch die Sammlung von Informationenund deren Übermittlung an die Mitgliedsstaaten, die Leistungsfähig-keit der dort zuständigen Behörden und ihre Zusammenarbeit zuverbessern. Dies soll dadurch erreicht werden, daß die nationalenStellen - in Deutschland das BKA - Europol aus eigener InitiativeInformationen liefern. Im Informationssystem von Europol dürfennur die für die Erfüllung der Aufgaben von Europol erforderlichenDaten über Personen, die nach Maßgabe des nationalen Rechts einerStraftat, für die Europol zuständig ist, verdächtigt werden oder we-


95

gen einer solchen Straftat verurteilt worden sind oder bei denenbestimmte schwerwiegende Tatsachen nach Maßgabe des nationalenRechts die Annahme rechtfertigen, daß sie Straftaten im Zuständig-keitsbereich von Europol begehen werden, gespeichert werden. Umwelche Daten es sich handelt, ist in der Konvention ebenfalls näherbestimmt. Die Datenschutzbeauftragten haben in ihrer Konferenzvom 17./18.04.1997 zu Europol die Forderung des EuropäischenParlaments unterstützt, daß u. a. alle Informationen persönlichenCharakters von der Erfassung in Europol auszuschließen seien (An-lage 13). Detailliert ist die Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten zu den Arbeitsdateien zu Anlaysezweckengeregelt, wobei auch ausdrücklich normiert ist, daß Daten nur über-mittelt werden dürfen, soweit diese nach dem jeweiligen nationalenRecht zu Zwecken der Verhütung, Bekämpfung und Analyse vonStraftaten verarbeitet werden dürfen. Für bedeutsam sehe ich an, daßes bei den Durchführungsbestimmungen, die vom Verwaltungsrat zuden Dateien ausgearbeitet werden, sowie bei den Bestimmungenüber die Sicherheit der Daten und die interne Kontrolle ihrer Ver-wendung der Einstimmigkeit des Rates bedarf. Dabei werden auchPrüffristen und die Speicherungsdauer festgesetzt. Ebenfalls ist fest-zulegen, an wen die Daten übermittelt werden dürfen. Eine Verwen-dung der Daten für andere Zwecke oder durch andere Behörden istnur zulässig, wenn der Mitgliedsstaat, der die Daten übermittelt hat,hierzu seine Zustimmung gegeben hat und dies nach nationalemRecht des Mitgliedstaats zulässig ist. Eine Datenübermittlung anDrittstaaten oder Drittstellen kommt nur in Betracht, wenn dort einangemessener Datenschutzstandard gewährleistet ist. Jeder kanneinen Antrag stellen, um Auskunft über die von bei Europol über ihngespeicherten Daten zu erhalten. Zur Kontrolle gibt es eine Gemein-same Kontrollinstanz, in der neben einem auf Vorschlag des BfD zuernennenden Vertreter auch ein vom Bundesrat zu wählender Län-dervertreter teilnimmt. Nach § 5 Abs. 2 des Gesetzes über die Zu-sammenarbeit von Bund und Ländern in Angelegenheiten der Euro-päischen Union wird die Stellungnahme des Ländervertreters hierbeimaßgeblich zu berücksichtigen sein. Europol kann aufgrund derKonvention erst dann in Aktion treten, wenn auch das Gesetz zudem Protokoll vom 19.06.1997 aufgrund des Artikel K.3 des Ver-trags über die Europäische Union und von Artikel 41 Abs. 3 des


96

Europol-Übereinkommens über die Vorrechte und Immunität fürEuropol, die Mitglieder der Organe, die stellvertretenden Direktorenund die Bediensteten von Europol (Europol-Immunitätenproto-kollgesetz) in Kraft getreten ist. Dies steht derzeit im Bundestag zurBeratung an.

7.4 Schengener Informationssystem - SchengenerDurchführungsübereinkommen

Wie im 1. TB (4.3) berichtet, ist das Schengener Durchführungs-übereinkommen (SDÜ), das zum Wegfall der gemeinsamen Binnen-grenzen geführt hat, am 26.03.1995 in Kraft getreten.Die für die datenschutzrechtliche Kontrolle des in Betrieb genom-menen Schengener Informationssystems (SIS) eingesetzte gemein-same Kontrollinstanz nach Artikel 115 SDÜ, in der die deutscheDelegation durch den BfD und den Hessischen Datenschutzbeauf-tragten vertreten ist, hat zwischenzeitlich einen Tätigkeitsberichtüber den Zeitraum März 1995 bis März 1997 vorgelegt (Bundesrats-drucksache 423/97 vom 16.05.1997). Darin sind Ausführungen zuden Rechtsvorschriften, zum Schutz personenbezogener Daten undzu der Kontrollinstanz und deren Aufgaben sowie das Ergebnis einerKontrolle der gemeinsamen Kontrollinstanz des ZSIS, des ZentralenSchengener Informationssystems mit Sitz in Straßburg, dargestellt.

Im Zusammenhang mit dem SDÜ ist weiterhin auch die Koordinie-rung der unterschiedlichen europäischen Datenverarbeitungssysteme(Schengener Informationssystem, Zollinformationssystem, Europol,Europäisches Informationssystem) sowie die Entwicklung der poli-zeilichen und justitiellen Zusammenarbeit zu diskutieren.

7.5 Automatisiertes Fingerabdrucksystem (AFIS)

Im 1. TB (7.6) hatte ich ausgeführt, daß AFIS ohne Errichtungsan-ordnung geführt wird. Im Hinblick auf das neue BKAG wird aufdiesen Vorgaben die Errichtungsanordnung neu erarbeitet. Das TIMhat mir signalisiert, daß es meine Vorschläge in die erneute Abstim-mung auf Länderebene einfließen lassen wird.


97

7.6 Datenschutzrechtliche Kontrollen im Polizeibereich

Bei den im Berichtszeitraum durchgeführten datenschutzrechtlichenKontrollen im Polizeibereich wurde auch die Führung von polizeili-chen automatisierten Verfahren einbezogen.Bei einer Polizeidirektion (PD) habe ich mich über die Möglichkei-ten von Abfragen aus den zentralen polizeilichen Dateien, unteranderem aus dem Ausländerzentralregister (AZR) und INPOL, aufdie über das Landessystem “Informationssystem der Thüringer Poli-zei” (ISTPOL), das mit dem Landeskriminalamt (LKA) verbundenist, Zugriff genommen werden kann, informiert. Bei Anfragen vonBediensteten im Streifendienst werden Auskünfte über Personen, diein diesen Dateien erfaßt sind, erteilt. Bezüglich der Zugangs- undZugriffsberechtigungen erfolgt halbjährlich eine Prüfung durch dasLKA anhand einer Zugriffsprotokollierung. Zu den technischen undorganisatorischen Maßnahmen ergaben sich in diesem Zusammen-hang keine weiteren Fragen.In der PD wird auch das “Integrationsverfahren Thüringen - Grund-stufe” (IGV-T) mit verschiedenen Programmteilen, u. a. auch Thü-ringer Zentraldateien genutzt. Im Rahmen dieses Verfahrens stehtden PD auch die Möglichkeit offen, eigene Dateien anzulegen. Hier-zu sind ebenfalls jeweils gesonderte Errichtungsanordnungen gemäß§ 46 PAG, die einer datenschutzrechtlichen Freigabe nach § 34Abs. 2 ThürDSG entsprechen, sowie Meldungen zum Datenschutz-register erforderlich. Da diese nicht vorlagen, erfolgte eine Bean-standung.Bei der Kriminalinspektion der PD wird der Kriminalaktennachweis(KAN) als automatisierte Datei geführt. Die erstmalige Aufnahmevon Daten führt zum Anlegen einer Grundakte, alle weiteren rele-vanten Ereignisse auch im Bereich anderer Dienststellen werden deraktenführenden Dienststelle zur Eintragung in diese Datei mitgeteilt.Für die PD sind alle Daten dieser Datei, die von Thüringer Polizei-dienststellen angegeben werden, abrufbar. Die Überwachung derLöschfristen erfolgt durch das LKA.

Im Rahmen einer Kontrolle eines Informationssystems beim Polizei-präsidium Thüringen habe ich Empfehlungen zur Login-Protokollierung gegeben. Bei der Protokollierung wird festgehalten,


98

welcher Nutzer an welchem Tag und um welche Uhrzeit sein Termi-nal aus- und einschaltet. Eine Änderung von Daten kann sodann inVerbindung mit der Berechtigungsdatei und kriminalistischer Mittelnachvollzogen werden. Eine meinerseits geforderte erweiterte Pro-tokollierung des Zugriffs auf bestimmte Dateien und im Abrufver-fahren als technisch-organisatorische Maßnahmen gemäß § 9 Abs. 2Nr. 5 ThürDSG erschien den Verantwortlichen zunächst aus Ver-hältnismäßigkeitsgründen nicht realisierbar. Im Rahmen der Weiter-entwicklung von IBP sollen neue Sicherheitsmechanismen nachAuskunft des LKA eingearbeitet werden.Das Fehlen von datenschutzrechtlichen Freigaben von automatisier-ten Verfahren im Bereich der Personalverwaltung habe ich bean-standet.

Der Einsatz eines Zutrittskontrollsystems im LKA wurde mangelsFreigabe und unzureichender Sicherungsmaßnahmen beanstandet.Die Beanstandung wurde zwischenzeitlich behoben.Beim LKA, das nach § 8 Abs. 2 des PolizeiorganisationsgesetzesZentralstelle für die polizeiliche Datenverarbeitung und Datenüber-mittlung ist, ließen sich die Mitarbeiter des TLfD unter anderem dasVerfahren der Personenfahndung, des Abgleichs von Fingerabdrük-ken sowie die Führung der Kriminalstatistik darstellen.Das Verfahren der Personenfahndung wird auf Veranlassung derStaatsanwaltschaft von den Polizeidirektionen, soweit nicht eineeigene Zuständigkeit des LKA begründet ist, in Gang gesetzt. DieDaten der Fahndungsausschreibungen werden über das LKA an dasBKA übermittelt. Da die Fahndungsausschreibungen regelmäßigbefristet sind, erfolgt vor Ablauf der Fahndungsfrist vom BKA dieÜbersendung von Fristenüberwachungslisten, die zur weiteren Ver-anlassung vom LKA an die PDs weitergegeben werden, da diese dieLöschung oder die Fristverlängerung zu veranlassen haben.Neben einer alphabetischen Sammlung der Fingerabdruckblätterwerden die Fingerabdrücke auch automatisiert über AFIS erfaßt, umeinen bundesweiten Abgleich zu ermöglichen.Zur Führung der Kriminalstatistik ergaben sich keine Bedenken.Anonymisierung der Daten ist gewährleistet, eine Reanonymisierungerscheint ausgeschlossen.


99

Im Rahmen der zentralen Aufgabe im technischen Bereich für diePolizeidienststellen des Landes werden beim LKA auf dem zentralenRechner auch Speicherkapazitäten für Dateien der Polizeidienststel-len zur Verfügung gestellt. Das LKA ist hierbei lediglich im techni-schen Sinne verantwortlich. Die Verantwortung für die Dateiinhaltedieser sogenannten SPUDOK-Dateien verbleibt bei der zuständigenPolizeidienststelle.Den datenschutzrechtlichen Forderungen und Empfehlungen imErgebnis der Kontrolle ist weitestgehend nachgekommen worden.Zu einigen Punkten befinde ich mich noch in der Diskussion. Dazugehört insbesondere die notwendige Erstellung eines umfassendenIT-Sicherheitskonzeptes.

7.7 Speicherung personenbezogener Daten bei der Polizei

Eine Petentin machte geltend, daß sie nach ihren Feststellungen imINPOL gespeichert war, obwohl hierfür keine Veranlassung bestand.Bei der Überprüfung des Vorgangs stellte sich heraus, daß gegen diePetentin ermittelt und das Verfahren nach § 170 Abs. 2 StPO einge-stellt worden war. Von der Einstellung des Verfahrens im Jahre1992 durch die Staatsanwaltschaft war jedoch die Polizei durch dieStaatsanwaltschaft nicht informiert worden. Dies geschah erst nachEinschaltung des TLfD, so daß erst 1996 die personenbezogenenDaten im INPOL/ISTPOL gelöscht und das BKA darüber informiertwurde. Darüber habe ich den BfD, über den die Petition an michherangetragen worden war, informiert.

7.8 Personalien in einer polizeilichen Allgemeinverfügung

Anläßlich einer verbotenen Versammlung in Saalfeld wurde von derdortigen Polizeidirektion im Oktober 1997 ein Betretungsverbot aufder Grundlage des § 18 Abs. 1 PAG verfügt. Mit der Verfügung, diein Saalfeld verteilt wurde, wurden die Personen, denen sie ausge-händigt wurde, aufgefordert, die darin aufgeführten Straßen bzw.Straßenzüge im Stadtgebiet Saalfeld bis zu einem genannten Termin,nicht zu betreten.


100

In der Begründung der schriftlichen Verfügung wurde der Name,Geburtsdatum und Wohnanschrift eines Bürgers angegeben, welcherim Stadtgebiet Saalfeld einen Demonstrationszug angemeldet hatte.Die Bekanntgabe der Personalien im Betretungsverbot war meinerMeinung nach nicht erforderlich und die Datenübermittlung demzu-folge unzulässig. Gegenüber der PD Saalfeld habe ich deshalb ge-mäß § 39 ThürDSG eine Beanstandung ausgesprochen und das Poli-zeipräsidium Thüringen sowie das TIM als deren Aufsichtsbehördegleichzeitig davon informiert.Im Zusammenhang mit der ausgesprochenen Beanstandung forderteich eine Stellungnahme und Mitteilung bezüglich der eingeleitetenMaßnahmen, um derartige Datenschutzverstöße zukünftig zu ver-meiden. Das TIM teilte daraufhin mit, daß es unter Beachtung von§ 22 ThürDSG nicht geboten war, Wohnsitzangabe und Geburtsda-tum eines Bürgers im Betretungsverbot aufzunehmen. Es erfolgte andie Dienststellen der Thüringer Landespolizei die Anweisung, daßkünftig bei der Erstellung von Handzetteln in Vorbereitung auf poli-zeiliche Einsätze die Aufnahme von personenbezogenen Daten un-terlassen wird. Ich habe daraufhin die Beanstandung als behobenangesehen und weiter mitgeteilt, daß, auch wenn die Wohnanschrifteines Bürgers im Adreßbuch einer Stadt veröffentlicht und damitoffenkundig ist, dies nicht die Bekanntgabe in einer polizeilichenVerfügung rechtfertigt.

7.9 Vermerk des Aktenzeichens auf dem Briefkuvert

Von einem Thüringer Bürger wurde mir mitgeteilt, daß auf der Au-ßenseite des Briefumschlages des von einer Thüringer Polizeiin-spektion an ihn gerichteten Schreibens ein Teil des Aktenzeichensdieses Schreibens handschriftlich vermerkt war.Die betreffende Polizeiinspektion habe ich daraufhin um Stellung-nahme zur Problematik gebeten, insbesondere um Information dar-über, ob aufgrund der auf dem Briefumschlag vermerkten dreistelli-gen Zahl ein Bezug zu einer konkreten Straftat oder auch Ord-nungswidrigkeit hergestellt werden kann. Von Seiten der Polizeiin-spektion wurde mitgeteilt, daß zum Nachvollzug der Verwendungder Postwertzeichen in der Behörde die jeweilige Postsendung mitdem Aktenzeichen erfaßt wird. Vom vollständigen Aktenzeichen,


101

das aus der Behördenkennziffer, der sechsstelligen Registriernum-mer, der Jahreszahl und einer Prüfziffer besteht, werden dafür einTeil der Registriernummer und die Jahreszahl verwandt. VomAmtsleiter wurde dabei versichert, daß durch den Vermerk diesesverkürzten Aktenzeichens auf dem Briefumschlag kein Rückschlußauf personenbezogene Daten des Empfängers bzw. auf den konkre-ten Sachverhalt möglich sei.Im Ergebnis meiner datenschutzrechtlichen Prüfung habe ich demBeschwerdeführer darüber informiert, daß kein datenschutzrechtli-cher Verstoß festgestellt werden konnte. Der Polizeiinspektion habeich mitgeteilt, daß ich die sichtbare Anbringung eines Teiles desAktenzeichens auf dem Briefumschlag dennoch für nicht erforder-lich halte. Dem wurde Rechnung getragen.

7.10 Erhebung und Verarbeitung von Daten im Rahmender Verfolgung von Verkehrsordnungswidrigkeiten

Zur wirksamen Verfolgung von Verkehrsordnungswidrigkeiten mußder Halter immer mit den Tatdaten, wozu im besonderen bei Ge-schwindigkeitsüberschreitungen zur Ermittlung des Fahrers auch dasFahrerfoto zählt, konfrontiert werden. Stimmt der Fahrer nicht mitdem Halter überein, ist es erforderlich, den Kraftfahrzeughalter zumFahrer zu befragen und ihm dazu wegen seiner späteren Zeugen-schaft das Foto mit der abgebildeten Person zur Kenntnis zu geben.Seit 1996 wird deshalb in Thüringen nach einer Testphase bei einerGeschwindigkeitsüberschreitung dem Halter auf dem Anhörungsbo-gen das Tatfoto des Fahrers als Beweismittel übersandt. Zu damitverbundenen datenschutzrechtlichen Überlegungen (1. TB, 7.5.1)hat sich das zuständigen Innenministerium dahingehend geäußert,daß aufgrund der negativen Verkehrsunfallentwicklung in Thüringenund des überwiegenden öffentlichen Interesses an einer effektivenVerfolgung von Verkehrsordnungswidrigkeiten gegebenenfallsbestehende datenschutzrechtliche Bedenken zurückgestellt werdenmüssen. Im weiteren wird dies damit begründet, daß sich seit Ein-führung dieses Verfahrens die Anzahl der Einwendungen und Rück-fragen bei der zentralen Bußgeldstelle erkennbar reduziert haben, sodaß sich der erhoffte Effekt, die Betroffenen erkennen den Tatvor-wurf eher bei unmittelbarer Vorlage des Beweismittels an, bestätigt


102

hat. Durch technische und organisatorische Regelungen wird darüberhinaus gewährleistet, daß auf dem an den Halter übersandten Fotoaußer dem Fahrer keine weitere Personen abgebildet sind. Es liegenauch von den Betroffenen keinerlei datenschutzrechtlich begründeteEinwendungen gegen diese Verfahrensweise vor.

Wirkt der Betroffene bei der Fahrerermittlung nicht mit, z. B. durchAussageverweigerung, Nichtfolgeleistung einer Vorladung und wirder auch nicht zu Hause angetroffen, erfolgt im Rahmen der Fah-rerermittlung die weitere Datenerhebung im Ordnungswidrigkeits-verfahren mittels eines Datenabgleichs mit Ausweis- oder Paßbil-dern in der Meldebehörde oder bei Dritten (z. B. Nachbarn). Mei-nem Vorschlag entsprechend soll künftig zur Information der Be-troffenen auf dem Anhörungsbogen der Hinweis aufgenommenwerden, daß das Tatfoto, wenn der Halter sich nicht zum Vorwurfäußert oder keine Angaben zum Fahrer macht, mit dem Paß- undPersonalausweisregister verglichen wird. Die Ermächtigung zumDatenabgleich ergibt sich aus § 22 Abs. 2 Nr. 1 bis 3 Paßgesetz(PaßG) bzw. § 2 b Abs. 2 Gesetz über Personalausweise. Danachdürfen Paß- bzw. Personalausweisbehörden anderen Behörden Datenaus dem Paßregister bzw. Personalausweisregister, wozu selbstver-ständlich auch die Fotos gehören, übermitteln, wenn die ersuchendeBehörde ohne Kenntnis der Daten nicht in der Lage wäre, eine ihrobliegende Aufgabe zu erfüllen. Dies ist der Fall, wenn der Halter ander Fahrerermittlung nicht mitwirkt, da ein Datenabgleich in derMeldebehörde mit dem Fahrerfoto zweifellos einen geringeren Ein-griff in das Selbstbestimmungsrecht der Betroffenen darstellt, alseine Befragung bei Dritten.

Nach längerer Prüfung und eingehenden Diskussionen zur daten-schutzgerechten, inhaltlichen Gestaltung von Verwarnungsgeldan-gebots- und Anhörbögen bei Verkehrsordnungswidrigkeiten (1. TB,7.5.1) hat nunmehr das Innenministerium durch Runderlaß an allePolizeibehörden die notwendigen Veränderungen veranlaßt. Diesbetraf insbesondere die eindeutige Festlegung von Pflicht- und frei-willigen Angaben. Desweiteren entfällt künftig aufgrund fehlenderErforderlichkeit die Erhebung einiger Daten.


103

7.11 Lichtbildernachweis in einem polizeilichen Aus-kunftssystem

Auf Nachfrage teilte mir das TIM mit, daß vorgesehen ist, ein digi-tales Lichtbildaufnahme- und Lichtbildverwaltungssystem für diePolizei des Landes Thüringen aufzubauen. Man verspricht sich da-von eine Steigerung der Qualität der Täterlichtbilder, die sofortigeVerfügbarkeit nach der Aufnahme und Erfassung für alle Polizei-dienststellen des Landes sowie Recherchemöglichkeiten zur Bild-vorlage unter Einhaltung datenschutzrechtlicher Bestimmungen beiverringertem Zeitaufwand. Im Rahmen der Arbeit mit dem Bildda-tenbanksystem sollen personenbezogene Zugriffsberechtigungenerteilt und jeder Zugriff im Rechner entsprechend protokolliert wer-den. Mir ist zugesagt worden, das Pflichtenheft, das Gegenstandeiner entsprechenden Ausschreibung sein soll. Ich werde diesenVorgang auch weiterhin begleiten.

7.12 Videoüberwachung

Es ist abzusehen, daß der Einsatz von Videokameras auch im öf-fentlichen Bereich in Zukunft bundesweit zunehmen wird. Im Be-richtszeitraum war ich mehrfach mit der Frage beschäftigt, unterwelchen Voraussetzungen das Erheben, Verarbeiten und Nutzen derVideoaufnahmen zulässig ist. Ganz allgemein werden Videokamerasinstalliert und Aufzeichnungen erstellt, um ein Objekt zu überwa-chen, Vorgänge zu dokumentieren, Beweismittel zu gewinnen sowieeinen Abschreckungseffekt zu erreichen. Für die datenschutzrechtli-che Beurteilung ist es von Bedeutung, ob die Videobeobachtungheimlich erfolgt oder aber deutliche Hinweise an alle Betroffenenerfolgen. Ebenso ist die ausschließlich für momentane Bilder ge-nutzte Kamera “als verlängertes Auge” von derjenigen zu unter-scheiden, die das Beobachtete auch auf Videobändern mitzeichnet.Die Herstellung von Videoaufnahmen stellt in jedem Fall einenEingriff in das informationelle Selbstbestimmungsrecht des Betrof-fenen dar.

Ein großes Einsatzgebiet für Videokameras ist die Verkehrsüberwa-chung durch die Thüringer Verkehrspolizei. Die Geräte werden


104

dabei während der Fahrt als auch im Stand z. B. zur Geschwindig-keits- und Abstandsüberwachung eingesetzt. Die erstellten Beweis-bänder sind Beweisstücke im Sinne von § 147 StPO. In den Richtli-nien für die polizeiliche Verkehrsüberwachung (StAnz. Nr. 29/1991S. 595-599) ist bestimmt, daß die Video-Bänder gelöscht werdenkönnen, wenn die Verwarnung wirksam geworden oder das Verfah-ren durch rechtskräftigen Bußgeldbescheid abgeschlossen oder ein-gestellt ist. Wie das TIM mir mitteilte, werden nicht verwertbareAufnahmen sofort gelöscht. Die o. g. Richtlinie wird aber z. Zt.überarbeitet, so daß konkretere Regelungen zur Speicherungs- undLöschungsfrist zu erwarten sind.

In einem anderen Bereich hatte ich Presseartikeln entnommen, daßeine kreisfreie Stadt mehrere Wertstoffsammelplätze mit Videoka-meras überwachen läßt, weil dort häufig unerlaubte Müllablagerun-gen stattfinden würden.Wie sich auf meine Anfrage hin heraus stellte, übernimmt die Ab-fallentsorgung eine GmbH, die zu 100% im Eigentum der Stadtliegt. Dieser Entsorger hatte eine private Sicherheitsfirma damitbeauftragt, einen Wertstoffsammelplatz verdeckt mit einer Video-kamera zu überwachen. Nicht aufgeklärt werden konnte meine Ver-mutung, daß der Entsorger nicht aus eigenem Antrieb heraus han-delte, sondern vielmehr von der Stadt hierzu beauftragt wurde. Ord-nungswidrigkeitsverfahren wurden aufgrund der erstellten Aufnah-men nicht eingeleitet.Ich habe der Stadtverwaltung mitgeteilt, daß als Rechtsgrundlage füreine Videoüberwachung von Wertstoffsammelstellen zur Verhinde-rung unzulässiger Müllablagerungen § 26 Satz 1 Nr. 1 ThüringerOrdnungsbehördengesetz (ThürOBG) heranzuziehen ist. Danachkönnen die Ordnungsbehörden Bildaufzeichnungen anfertigen, “so-weit tatsächliche Anhaltspunkte die Annahme rechtfertigen, daßGefahren für die öffentliche Sicherheit oder Ordnung entstehen.”Zuvor sind aber alle Maßnahmen zu prüfen, die das informationelleSelbstbestimmungsrecht weniger beeinträchtigen (z. B. Aufstellenvon Verbotsschildern, Stichprobenkontrollen durch Umweltamtmit-arbeiter usw.). Im Rahmen des Verhältnismäßigkeitsgrundsatzes unddes Übermaßverbotes sollte im Falle einer Videoüberwachung mit


105

Hinweisschilder darauf aufmerksam gemacht werden. Allein dieserHinweis könnte bereits eine abschreckende Wirkung haben.Das TIM hat mir auf Anfrage mitgeteilt, daß es die Videoüberwa-chung für eine originäre staatliche Aufgabe halte und dem Funkti-onsvorbehalt von Art. 33 Abs. 4 GG unterfalle. Eine Übertragungvon Videoüberwachungen von Wertstoffsammelplätzen auf Privatehält das TIM für unzulässig. Es verwies hierzu auf die Rechtspre-chung im Zusammenhang mit der Geschwindigkeitsmessung durchPrivate (1. TB, 7.5.3).

Im Nachgang zu einem Fußballspiel wandte sich ein Bürger anmich, der Videoaufzeichnungen von Polizeibeamten anläßlich einesFußballspiels für unverhältnismäßig hielt und wollte wissen, ob einederartige Vorgehensweise zulässig sei. Ich konnte ihm hierzu mit-teilen, daß nach § 33 Abs. 1 PAG eine Ermächtigungsgrundlage fürderartige Bild- und Tonaufnahmen besteht, soweit tatsächliche An-haltspunkte die Annahme rechtfertigen, daß Gefahren für die öffent-liche Sicherheit und Ordnung entstehen.

In einem weiteren Fall stellte ich im Rahmen der datenschutzrechtli-chen Kontrolle einer Hochschule fest, daß auf dem Campus an ver-schiedenen Stellen eine Videoüberwachungsanlage installiert wurde.Nach Angaben der Hochschulleitung wurde diese Maßnahme auf-grund von verschiedenen Vandalismusfällen notwendig. Neben“Live-Bildern”, die von den Kamerastandpunkten zum Pförtnerübertragen werden, werden unter bestimmten Bedingungen auchregelmäßig Einzelstandbilder aufgezeichnet. Soweit keine Vor-kommnisse während der Aufzeichnungsphase auftreten, werden dieAufzeichnungen am darauf folgenden Tag gelöscht (überspielt).Wenn eine konkrete Gefahrenlage besteht, halte ich die Gelände-überwachung mittels einer Videoanlage zum Schutz von öffentli-chen Einrichtungen an besonders gefährdeten Stellen für daten-schutzrechtlich unbedenklich. Mangels einer spezialgesetzlichenRechtsgrundlage ergibt sich die Zulässigkeit für die Videoüberwa-chung aus § 19 Abs. 1 ThürDSG. Im übrigen hat die Hochschule aufmeine Bitte hin an den Eingangspforten Hinweisschildern ange-bracht, die auf die Videoüberwachung hinweisen. Ich gehe davon


106

aus, daß damit Vandalismusversuche bereits im Vorfeld verhindertwerden können.

8. Verfassungsschutz

8.1 Kontrollbesuch beim Landesamt für Verfassungs-schutz (TLfV)

Im Berichtszeitraum wurde im Thüringer Landesamt für Verfas-sungsschutz der Umgang mit personenbezogenen Daten im Rahmenvon Sicherheitsüberprüfungen kontrolliert. Die erbetenen Auskünftedes TLfD dazu wurden durch das TLfV gegeben, und es wurdeEinsicht in Sicherheitsüberprüfungsakten gewährt. Anlaß zu Bean-standungen in diesem Zusammenhang gab es nicht. Unabhängigdavon bestehen jedoch nach wie vor zwischen dem TIM und mirunterschiedliche Auffassungen zu der Frage, wer als Betroffener zurAusübung des Widerspruchsrechts nach § 37 Abs. 2 ThürDSG be-rechtigt ist. Während ich davon ausgehe, daß “Betroffener” im Sinnedes Sicherheitsüberprüfungsverfahrens nur die zu überprüfendePerson ist, vertritt das TIM den Standpunkt, daß auch die einbezoge-nen Personen (Ehegatte, Lebenspartner) Widerspruch gemäß § 37Abs. 2 ThürDSG erklären können. Falls ein Widerspruch von Seiteneiner Auskunfts- oder Referenzperson erklärt wird, solle eine Tren-nung der Akte vorgenommen werden. Der Teil der Akte, der dieAngaben der Auskunfts- bzw. Referenzperson beinhaltet, soll damitder Kontrolle durch den TLfD entzogen sein. Im übrigen soll dieAkte dem TLfD zur Verfügung gestellt werden. Eine einvernehmli-che Lösung bezüglich der unterschiedlichen Auffassungen zur Ein-sichtnahme des TLfD wurde nicht erreicht. Allerdings wurde ande-rerseits auch das Kontrollrecht des TLfD bezüglich der Sicher-heitsüberprüfungsakten im Berichtszeitraum nicht behindert odereingeschränkt.

8.2 Sicherheitsüberprüfung

Bereits in meinem 1. TB hatte ich unter 8.1 darauf hingewiesen, daßes eines Sicherheitsüberprüfungsgesetzes bedarf, um Sicherheits-überprüfungen, die bisher lediglich anhand von Richtlinien vorge-


107

nommen werden, auf eine eindeutige gesetzliche Grundlage zu stel-len. Nachdem bislang kein Gesetzentwurf bekannt ist, möchte ichnoch einmal an die Dringlichkeit der Verabschiedung eines Thürin-ger Sicherheitsüberprüfungsgesetzes erinnern.

9. Finanzen, Steuern, Rechnungsprüfung

9.1 Bereichsspezifische Regelungen in der Abgabenord-nung (AO)

Wie im 1. TB (9.1.8) berichtet, war der BfD an das BMF herange-treten, um das datenschutzrechtliche Anliegen der Datenschutzbe-auftragten des Bundes und der Länder zum Entwurf eines Abgaben-ordnungs-Änderungsgesetzes zu unterbreiten. Im Vorfeld des Miß-brauchsbekämpfungs- und Steuerbereinigungsgesetzes (StMBG)waren die datenschutzrechtlichen Hinweise nicht berücksichtigtworden. Der aus Sicht des Datenschutzes erforderliche Änderungs-bedarf der Abgabenordnung wurde in einer detaillierten Liste seitensdes BfD dem BMF vorgelegt und hat zu einer Diskussion auf Bun-desebene geführt. Das Ergebnis ist aber unbefriedigend, da die sei-tens der Datenschutzbeauftragten des Bundes und der Länder ge-machten Vorschläge fast durchgängig abgelehnt wurden. Nach wievor ist es aus datenschutzrechtlicher Sicht dringend erforderlich, vorallem den Umgang mit Daten, die dem Steuergeheimnis unterliegen,klarer zu regeln. Die Datenschutzbeauftragten des Bundes und derLänder werden weiterhin Vorschläge hierzu unterbreiten.

9.2 “Bescheidzustellung an Dritte”

Ein Petent hat mir folgendes datenschutzrechtliches Problem vorge-tragen: Der an diesen Bürger von Seiten eines ARoV erlassene Be-scheid hinsichtlich der Rückübertragung von Vermögenswertenwurde in vollständiger Form auch von diesem Bescheid betroffenenDritten zur Verfügung gestellt. Diese Personen erhielten somitKenntnis von Daten hinsichtlich des Eigentums, insbesondere Anga-ben über die die Interessen dieser Dritten nicht betreffenden Grund-stücke des Beschwerdeführers. Zur datenschutzrechtlichen Klärungdieser Angelegenheit habe ich das ARoV um Mitteilung hinsichtlich


108

der rechtlichen Grundlagen für die Übermittlung des Bescheides andritte Personen gebeten. Aus meiner Sicht wäre zur Unterrichtungder betroffenen Dritten auch ein Auszug aus dem Bescheid ausrei-chend gewesen bzw. hätten schutzwürdige Daten des beschwerde-führenden Bürgers geschwärzt werden können. Nach § 29 Verwal-tungsverfahrensgesetz (VwVfG) hat die Behörde den BeteiligtenEinsicht in die das Verfahren betreffenden Akten zu gestatten, so-weit deren Kenntnis zur Geltendmachung oder Verteidigung ihrerrechtlichen Interessen erforderlich ist. Darüber hinaus gilt für dieGeheimhaltungsinteressen von Beteiligten in Verfahren im Verhält-nis zueinander der § 30 VwVfG, hinsichtlich dessen die BeteiligtenAnspruch darauf haben, daß ihre Geheimnisse, insbesondere diezum persönlichen Lebensbereich gehörenden, von der Behörde nichtunbefugt offenbart werden. Die betreffende Behörde hat im Ergebnisder Prüfung des geschilderten Sachverhaltes eingeräumt, daß imvorliegenden Fall durch die Übersendung des kompletten Beschei-des an betroffene Dritte diese Kenntnis von Grundstücksdaten er-halten haben, die die unmittelbaren Interessen dieser Dritten nichtberühren. Nach Mitteilung des Amtes handelte es sich dabei jedochum einen bedauerlichen Ausnahmefall. Der hiermit festgestelltedatenschutzrechtliche Verstoß in Form einer Übermittlung von per-sonenbezogenen Daten an Unberechtigte wurde nach Mitteilung desAmtes zwischenzeitlich dadurch behoben, daß die Mitarbeiter aus-drücklich darauf hingewiesen wurden, bei allen Entscheidungengrundsätzlich eine Einzelfallprüfung durchzuführen, in welchemUmfang ein Bescheid den jeweiligen Verfahrensbeteiligten zuge-stellt wird, was eine geeignete Maßnahme darstellt, zukünftig dieEinhaltung der datenschutzrechtlichen Bestimmungen sicherzustel-len.

9.3 Kontrolle im Thüringer Landesamt zur Regelungoffener Vermögensfragen (ThLARoV)

Die datenschutzrechtliche Kontrolle im ThLARoV führte aufgrunddes Einsatzes von automatisierten Verfahren ohne die erforderlichedatenschutzrechtliche Freigabe sowie wegen Mängeln bei der Füh-rung von Personalakten zur datenschutzrechtlichen Beanstandung.Die Beanstandung der Personalaktenführung war darauf zurückzu-


109

führen, daß vorhandene Altunterlagen (“Kaderakten”) grundsätzlichohne Überprüfung eines unmittelbaren inneren Zusammenhangs dereinzelnen Unterlagen mit den Dienstverhältnissen weitergeführtwurden. In den Personalakten waren auch Unterlagen enthalten, dienach § 97 Abs. 1 ThürBG nicht aufgenommen werden dürfen. Ge-sundheitszeugnisse, die wegen der enthaltenen sensiblen Daten nurin verschlossenen Umschlägen zur Personalakte genommen werdendürfen, waren offen abgeheftet. Auf anderen Unterlagen befandensich zum Teil auch Namen mehrerer Betroffener, ohne daß die er-forderliche Schwärzung erfolgt war. Es wurde zugesagt, daß meinenForderungen im Rahmen der laufenden Personalaktenbearbeitungnachgekommen wird.Weitere Datenschutzforderungen und Empfehlungen wurden zurUmsetzung von Sicherungsmaßnahmen am Gebäude aufgestellt.Diese wurden im Rahmen der Möglichkeiten umgesetzt bzw. inAngriff genommen. Zur Zugriffssicherung beim vorhandenen Da-tenverarbeitungssystem wurden den Anforderungen zur Gestaltungdes Paßworts durch eine entsprechende Hausverfügung nachge-kommen. Alle erforderlichen Maßnahmen wurden ergriffen.

9.4 Kontrollen in der Finanzverwaltung

Im Berichtszeitraum wurden drei Finanzämter kontrolliert:Bei einem Finanzamt führte der Einsatz von automatisierten Verfah-ren in der Personalverwaltung ohne die erforderlichen datenschutz-rechtlichen Freigaben nach § 34 Abs. 2 ThürDSG und fehlendeMeldungen zum Datenschutzregister sowie die Personalnebenakten-führung zu datenschutzrechtlichen Beanstandungen. Die Freigabenzu den automatisierten Verfahren und die Meldungen zum Daten-schutzregister wurden zwischenzeitlich nachgereicht. Bezüglich derFührung von Personalnebenakten wurde unter Verweis auf den Er-laß des Thüringer Finanzministeriums (TFM) mitgeteilt, daß alleUnterlagen, die zur konkreten Aufgabenerfüllung nicht erforderlichsind, entnommen wurden. Zur Frage der Aufbewahrung von Lohn-steuerkarten des Statistikjahres 1992, die dem Finanzamt in keinererkennbaren Ordnung zurückgegeben worden waren, wurde festge-legt, daß diese fünf Jahre nach den entsprechenden Bestimmungenaufzubewahren sind.


110

Durch eine Mitteilung in der Presse erhielt ich Kenntnis davon, daßvon Seiten eines Thüringer Finanzamtes Steuerunterlagen einesBürgers einem offensichtlich falschem Empfänger zugestellt wordenwaren. Es handelte sich bei diesen Steuerunterlagen um personenbe-zogene Daten, die dem Steuergeheimnis gemäß § 30 AO unterlie-gen. Diese unzulässige Datenübermittlung wurde von mir im Ergeb-nis der durchgeführten Kontrolle gemäß § 39 Abs. 1 i. V. m. § 9Abs. 3 ThürDSG beanstandet. Das Finanzamt hat mir mitgeteilt, daßdie Mitarbeiter des Finanzamtes nach diesem Vorfall erneut ange-wiesen wurden, der Überwachung des Postausganges besondereAufmerksamkeit zu widmen und verstärkt darauf zu achten, daß Postan den richtigen Empfänger adressiert und abgesandt wird. VonSeiten der OFD wurde eine Verfügung zum Steuergeheimnis erlas-sen, die auf die Notwendigkeit der besonderen Sorgfalt beim Post-ausgang in den Finanzämtern hinweist, um zukünftig Verletzungendes Steuer- bzw. Datengeheimnisses in den Finanzämtern auszu-schließen. Ich sehe diese Maßnahmen als geeignet an, den Daten-schutz für die Zukunft zu gewährleisten.

Bei der Kontrolle eines weiteren Finanzamts wurden ebenfalls in derPersonalverwaltung mehrere automatisierte Verfahren zur Verar-beitung personenbezogener Daten vorgefunden, die weder daten-schutzrechtlich gemäß § 34 Abs. 2 ThürDSG freigegeben, noch zumDatenschutzregister gemeldet waren, was zur Beanstandung führte.Die erforderlichen Maßnahmen sind zwischenzeitlich realisiert wor-den. Diese Kontrolle hatte ich zum Anlaß genommen, drei zur Auf-gabenerfüllung der Besteuerung bei allen Thüringer Finanzämterneingesetzten automatisierten Verfahren näher zu beleuchten. Daten-schutzrechtliche Freigaben und Registermeldungen waren vor Ortnicht bekannt. Bezeichnend für diese Kontrolle war, daß die daten-schutzrechtliche Verantwortlichkeit beim Einsatz dieser drei zurAufgabenerfüllung eingesetzten automatisierten Verfahren den An-sprechpartnern nicht bekannt war. Mittels des automatisierten Ver-fahrens IABV (Integriertes Automatisiertes Besteuerungsverfahren)erfolgt die Steuererhebung und -festsetzung. Das Verfahren wirdzentral bei der OFD eingesetzt und verwaltet. Die Daten der Steuer-pflichtigen werden in den Finanzämtern mittels Datenerfassungsge-räten aufgenommen und täglich per Standleitung zur OFD transfe-


111

riert. Es wurden die Zugriffe und deren Protokollierung geprüft. Dieerforderlichen technischen und organisatorischen Maßnahmen ge-mäß § 9 ThürDSG in diesem Zusammenhang waren gegeben.Die Bewertung von Grundstücken zur Festsetzung der Grundsteuer,der Feststellung der Einheitswerte und der Berechnung der Ein-kommenssteuer erfolgt mittels des automatisierten Verfahrens ELF(Ersatzwirtschaftswerte für Land- und Forstwirtschaft). Zu den tech-nischen und organisatorischen Sicherheitsmaßnahmen nach § 9Abs. 2 ThürDSG wurden datenschutzrechtliche Forderungen aufge-macht, denen nachgekommen wurde.Zur Bewertung des Grundvermögens wird in den Finanzämtern dasautomatisierte Verfahren BBT (Bewertungsverfahren Branden-burg/Thüringen) eingesetzt. Das Verfahren wird seit 1994 in Thü-ringen genutzt. Die Betreuung des lokalen Netzes, auf dem das Ver-fahren abgearbeitet wird, obliegt der OFD. Ein Sicherheitskonzeptbzw. eine zusammenfassende Darstellung von den vorhandenentechnischen und organisatorischen Sicherheitsmaßnahmen konntenicht vorgelegt werden. Einzelne Festlegungen sind zwischenzeitlicherfolgt. Bezüglich der Log-in-Prozedur wird seitens der Finanzver-waltung noch geprüft, inwieweit die Anzahl der fehlerhaften Login-Versuche begrenzt und ein automatischer Paßwortwechsel nachvorgegebener Gültigkeitsdauer eingerichtet werden kann.Zu den Akten der Bodenschätzungen waren Kopien von Auszah-lungsanordnungen für die Entschädigung ehrenamtlicher Sachver-ständiger genommen worden, damit nachvollziehbar war, welcherSachverständige beteiligt war. Daß aber aus der Auszahlungsanord-nung auch die Kontonummer des Betroffenen und die Art und Weiseder durchgeführten Dienstreise zu entnehmen war, stieß auf daten-schutzrechtliche Bedenken wegen der Speicherung nicht erforderli-cher personenbezogener Daten. Nach dem entsprechenden Hinweiswurde zugesagt, künftig nur noch die erforderlichen Daten, nämlichName des Sachverständigen und Datum der Schätzung, in diesenAkten zu dokumentieren.Im Ergebnis der Kontrolle habe ich das Finanzamt aufgefordert, sichunverzüglich über die in seiner Verantwortlichkeit liegenden daten-schutzrechtlich relevanten Umstände zu informieren und die Ein-haltung der datenschutzrechtlichen Vorschriften sicherzustellen. ImNachgang wurde mit dem TFM und der OFD geklärt, daß, auch


112

wenn die Nutzung eines Verfahrens vorgeschrieben ist und das Ver-fahren zentral eingesetzt wird, die nutzenden Finanzämter als spei-chernde Stellen im Sinne des § 3 Abs. 5 ThürDSG nicht von ihrerdatenschutzrechtlichen Verantwortlichkeit befreit sind.

9.5 Verfolgung von “Steuersündern”

Im Wege der Beschwerde hatte sich ein Betroffener wegen der Ver-fahrensweise der Finanzbehörden, deren Verfolgung er sich ausge-setzt sah, an mich gewandt. Der Beschwerde lag folgender Sachver-halt zugrunde:Unter dem Namen des Beschwerdeführers war im Freistaat Thürin-gen ein Gewerbe angemeldet worden. Da der Betroffene unter derangegebenen Adresse nicht auffindbar war, hatte das zuständigeFinanzamt ein Adressenfeststellungsverfahren eingeleitet. Hierbeikam man auf den Betroffenen. Da Steuerschulden aufgelaufen wa-ren, wurden ihm mehrere Steuerfestsetzungen, Mahnungen bis hinzu Vollstreckungsbescheiden durch verschiedene Finanzämter, auchverschiedener Bundesländer, im Rahmen der Amtshilfe zugestellt.Der Beschwerdeführer machte jeweils geltend, es könne sich nichtum ihn handeln, er übe kein Gewerbe aus, sondern befinde sich seitJahren in einem festen Arbeitsverhältnis. Hierzu legte er eine an ihnadressierte Bescheinigung seines Arbeitgebers vor. Darüber hinausseien ihm in der Vergangenheit die Ausweispapiere gestohlen wor-den. Im steuerstrafrechtlichen Ermittlungsverfahren, das gegen denBetroffenen eingeleitet worden war, erfolgte kurzerhand zunächsteine telefonische Anfrage der zuständigen Bußgeld- und Strafsa-chenstelle eines Thüringer Finanzamts beim Arbeitgeber nach Fehl-zeiten. Dadurch erhoffte man sich Aufschluß darüber, ob Handlun-gen als Gewerbetreibender zu bestimmten Zeiten in anderen Bun-desländern möglich gewesen sein könnten. Per Telefax wurde unterdem Betreff “Strafverfahren gegen ...” unter Angabe des Aktenzei-chens sodann die begehrte Auskunft verlangt. Aus datenschutzrecht-licher Sicht war nichts dagegen einzuwenden, daß den Finanzämternauch über Landesgrenzen hinweg im Wege der Amtshilfeersuchendie personenbezogenen Daten des Betroffenen übermittelt wurden.Dies ist nach der Abgabenordnung möglich. Die Anfrage an denArbeitgeber jedoch begegnete aus datenschutzrechtlicher Sicht er-


113

heblichen Bedenken. Per Telefax wurde dem Arbeitgeber als unbe-teiligtem Dritten übermittelt, daß ein Strafverfahren gegen den Be-troffenen besteht. Hierbei handelt es sich um ein sensibles personen-bezogenes Datum, dessen Übermittlung mangels einer konkretenÜbermittlungsvorschrift an der Verhältnismäßigkeit zu messen ist.Danach muß die jeweilige Maßnahme unter Würdigung aller per-sönlichen und tatsächlichen Umstände des Einzelfalls zur Erreichungdes angestrebten Zwecks geeignet und erforderlich sein. Dies konntenicht schlüssig dargelegt werden. Allein die Vermutung, ein Be-schuldigter könnte nicht die Wahrheit sagen, weil er dazu auch nichtverpflichtet ist, reicht nicht aus. Auch gilt im steuerstrafrechtlichenErmittlungsverfahren die Unschuldsvermutung, bis eine Schuldnachgewiesen wird. Ein weniger eingriffsintensives Mittel wäregewesen, dem Beschuldigten aufzugeben, eine Bestätigung seinerAbwesenheitszeiten beizubringen. Hätten sich daraus Anhaltspunktefür Zweifel an der Richtigkeit ergeben, wäre eine Nachfrage zurÜberprüfung der Angaben zulässig gewesen. Eine zeitliche Abkür-zung, die direkte Anfrage beim Arbeitgeber vorzunehmen, rechtfer-tigt dieses Vorgehen jedoch nicht. Auch das Vorbringen, der Arbeit-geber sei als Zeuge zu sehen, der zu wahrheitsgemäßen Angabenverpflichtet sei, konnte nicht überzeugen. Eine erforderliche Beleh-rung, die eine Zeugenvernehmung voraussetzt, war im übrigen nichterkennbar. Ich habe die Übermittlung daher als Verstoß gegen diedatenschutzrechtlichen Vorschriften beanstandet. Darüber hinauswurde dem Arbeitgeber auch der Abschluß der Ermittlungen mitge-teilt. Auch dies begegnete erheblichen datenschutzrechtlichen Be-denken. Eine Zulässigkeit dieser erneuten Übermittlung von perso-nenbezogenen Daten des Betroffenen über den Verfahrensausganglag ebenfalls nicht vor. Es konnte nur davon ausgegangen werden,daß der Schaden, den der Betroffene durch die Anfrage beim Ar-beitgeber möglicherweise erlitten hatte, mit dieser erneuten Über-mittlung behoben werden sollte. Eine “Heilung” der ursprünglichunzulässigen Übermittlung konnte dadurch jedoch nicht eintreten.Seitens der Finanzverwaltung wird zwar nach wie vor in Abredegestellt, daß das Mittel unverhältnismäßig war. Sie beruft sich zumVorgehen auf die Anwendung der “Anweisung für das Straf- undBußgeldverfahren (Steuer) - AStBV (St)”, zu der zu bemerken ist,daß diese Anweisung nicht den Anforderungen an bereichsspezifi-


114

sche Regelungen in Gesetzesnormqualität genügt und daher keineRechtsgrundlage für Eingriffe in das informationelle Selbstbestim-mungsrecht darstellt. Meiner Forderung, durch geeignete Maßnah-men sicherzustellen, daß zukünftig unzulässige Datenübermittlungenunterbleiben, wurde seitens der Finanzverwaltung aber dergestaltnachgekommen, daß die Angelegenheit mit den Mitarbeitern erörtertund künftig eine behutsamere Formulierung bei der Nutzung dergesetzlichen Möglichkeiten im Strafverfahren zugesagt wurde.

9.6 Führung eines Fahrtenbuches durch Ärzte für steu-erliche Zwecke

Im Kreis der Datenschutzbeauftragten des Bundes und der Länderwurde im Berichtszeitraum die datenschutzrechtliche Problematikbei der Führung eines Fahrtenbuches für steuerliche Zwecke disku-tiert. Durch das Jahressteuergesetz 1996 wurde die ertragssteuerlicheBehandlung der privaten Kfz-Nutzung sowie die Pauschalierung derPrivat-PKW-Kosten für alle Einkunftsarten vereinheitlicht. Derprivate Nutzungsanteil eines zum Betriebsvermögen des Steuer-pflichtigen gehörenden Kraftfahrzeugs oder der private Nutzungs-anteil eines dem Arbeitnehmer vom Arbeitgeber zur Verfügunggestellten Kraftfahrzeuges ist danach monatlich mit 1 v. H. des in-ländischen Listenpreises anzusetzen. Diese Anwendung der Pau-schalregelung führt zwar zu einer erheblichen Steuervereinfachung,kann aber im Einzelfall zu einer deutlichen Steuermehrbelastungführen, denn eine Pauschalierung kann den Besonderheiten im Ein-zelfall nur unvollkommen Rechnung tragen. Als Ausnahme zu denFestlegungen des Jahressteuergesetzes 1996 kann der Steuerpflichti-ge daher die auf die Privatfahrten anfallenden tatsächlichen Kostenansetzen, wenn er die für das Fahrzeug entstehenden Aufwendungendurch Belege und das Verhältnis der privaten zu den übrigen Fahrtendurch ein Fahrtenbuch nachweist.Der BfD hat mitgeteilt, daß das BMF ab 01.01.1998 bei Führungeines Fahrtenbuches für steuerliche Zwecke dazu von Ärzten dieAngabe “des aufgesuchten Patienten - als “Geschäftspartner” - zu-sätzlich zu der Angabe “Patientenbesuch” - als “Reisezweck” - for-dert. Die im Rahmen einer Geschäfts- bzw. Dienstfahrt aufgesuchtenGesprächspartner haben aber ein durch § 203 StGB geschütztes


115

Interesse an der Verschwiegenheit des Fahrtenbuchführenden. Die-ses Interesse bezieht sich nicht nur auf den Inhalt des im Rahmendes Besuches geführten Gespräches, sondern kann bereits durch dieOffenbarung der Tatsache, daß ein Besuch stattgefunden hat, verletztwerden. Bereits die Kenntnis vom stattgefundenen Besuch kannunbefugt im Sinne des § 203 StGB sein - es sei denn, der Besuchen-de hätte in diese Offenbarung eingewilligt bzw. der Fahrtenbuchfüh-rer wäre aufgrund besonderer Gesetze zur Offenbarung verpflichtet.Da gesetzliche Regelungen, die diese Angaben für die ordnungsge-mäße Führung eines Fahrtenbuches festlegen, nicht vorliegen, habeich das TFM um Stellungnahme und Mitteilung zur Problematikgebeten.

9.7 Datenschutz bei der Ausstellung und Versendungvon Lohnsteuerkarten

Das bislang in Thüringen verwendete Merkblatt über die Ausstel-lung und Übermittlung der Lohnsteuerkarten durch die Gemeindenenthielt keine eindeutige Regelung hinsichtlich der Zustellung vonLohnsteuerkarten für Ehegatten. Wie im 1. TB (9.1.2) berichtet,hatte ich gebeten, auf dieses Problem bei der Zustellung hinzuweisenund damit die gemäß § 9 Abs. 1 ThürDSG erforderlichen techni-schen und organisatorischen Maßnahmen zu treffen. Das TFM hatmich darüber informiert, daß hinsichtlich der Ausstellung undÜbermittlung der Lohnsteuerkarten ein neuer Erlaß gefertigt wurde,in dem geregelt ist, die Lohnsteuerkarten von Ehegatten getrenntzuzustellen. In diesem Zusammenhang habe ich beim TFM weitereInformationen hinsichtlich der Handhabung der Ausstellung undÜbermittlung der Lohnsteuerkarten eingeholt. Es wurde mitgeteilt,daß die Gemeinden dafür in erheblichem Umfang private Ser-viceunternehmen nutzen. Soweit Auftragsverarbeitung durch Privateerfolgt, sind die Bestimmungen des § 8 ThürDSG zu beachten, d. h.,der Auftraggeber bleibt für die Einhaltung des ThürDSG verant-wortlich und hat mich darüber hinaus über diese Beauftragung zuunterrichten. Personenbezogene Daten auf der Lohnsteuerkarte sindnicht nur Name und Anschrift des Bürgers, sondern auch Steuerda-ten wie Familienstand, Steuerklasse und Konfession. Gegenwärtigwerden Gespräche mit dem TFM geführt, damit bis zur Vorberei-


116

tung des Druckes der Lohnsteuerkarten für 1999 (ab Mai 1998) alleMaßnahmen getroffen werden können, um sowohl den Datenschutzals auch das Steuergeheimnis gemäß § 30 AO zu gewährleisten.

9.8 Übermittlung von Fördermittelanträgen an Finanz-amt

Ein Landratsamt bat mich um eine datenschutzrechtliche Beurteilungzur Frage, ob Daten von Empfängern von Wohnungsbaufördermit-teln listenmäßig auf Anforderung an das Finanzamt zu übermittelnsind. Auf Anfrage bei der OFD hat diese mitgeteilt, daß gemäß § 93aAO die Bundesregierung durch Rechtsverordnung Behörden ver-pflichten kann, Verwaltungsakte, die die Versagung oder Einschrän-kung einer steuerlichen Vergünstigung zur Folge haben oder dieSubvention oder ähnliche Fördermaßnahmen darstellen, den Finanz-behörden mitzuteilen. Eine Benachrichtigungspflicht ergibt sich aus§ 4 Mitteilungsverordnung. Danach haben Behörden Verwaltungs-akte mitzuteilen, die den Wegfall oder die Einschränkung bei einersteuerlichen Vergünstigung zu Folge haben können. Da es sich beiden erlassenen Bewilligungsbescheiden um Verwaltungsakte han-delt, die einen Einfluß auf die Gewährung von steuerlichen Vergün-stigungen haben, habe ich mich der Meinung der OFD angeschlos-sen und dem Landratsamt mitgeteilt, daß sich aufgrund der beste-henden bereichsspezifischen Vorschriften keine datenschutzrechtli-chen Einwände gegen eine listenmäßige Übermittlung der Förder-mittelempfänger an das Finanzamt ergeben.

9.9 Einsichtsrecht des Rechnungshofs in Personalaktenvon Beamten

In meinem 1. TB (6.1.4) hatte ich die Diskussion im Kreise der Da-tenschutzbeauftragten von Bund und Ländern aufgegriffen, die Nut-zung von Personalaktendaten durch den Rechnungshof normenklarzu regeln.In der Stellungnahme der Landesregierung wurde dazu ausgeführt,daß § 95 der Landeshaushaltsordnung (LHO) eine ausreichendeRechtsgrundlage für die Vorlage der Akten im erforderlichen Um-


117

fang darstellt, soweit der Rechnungshof zum Vollzug seines gesetz-lichen Auftrags Einsicht in Personalakten nehmen muß.Es ist unbestritten, daß der Rechnungshof als selbständiges unab-hängiges Organ der Finanzkontrolle einen uneingeschränkten Prü-fungsauftrag der gesamten Haushalts- und Wirtschaftsführung desLandes hat. Dies schließt auch die Prüfung finanzwirksamer Vor-gänge in Personalakten ein. Soweit sich der Rechnungshof beimEinsichtsrecht in Personalakten auf das Unerläßliche und unbedingtNotwendige beschränkt, werden keine datenschutzrechtlichen Be-denken erhoben. Mir ist bisher auch kein Fall bekannt geworden, umKritik an der Prüfpraxis des Rechnungshofs zu üben. Gerade auchein Gespräch im Landesrechnungshof machte deutlich, daß beimUmgang mit personenbezogenen Daten der Verhältnismäßigkeits-grundsatz beachtet wird und Unterlagen vertraulicher Art, wie Ge-sundheitszeugnisse und Beurteilungen, nicht Gegenstand von Prü-fungsvorgängen sind.

10. Justiz

10.1 Justizmitteilungsgesetz

Das im 1. TB (10.1) als noch ausstehende bereichsspezifische Re-gelung genannte Justizmitteilungsgesetz (JuMiG) liegt zwischen-zeitlich vor (BGBl I 1997, S. 1430). Mit Inkrafttreten des JuMiG imJuni 1998 wird eine Lücke der bereichsspezifischen Regelungengeschlossen. Bis dahin sind auch die entsprechenden Verwaltungs-vorschriften -Mitteilungen in Strafsachen (MiStra) und Mitteilungenin Zivilsachen (MiZi)- anzupassen. Die Datenschutzbeauftragten desBundes und der Länder haben die Gelegenheit erhalten, zu den Ver-waltungsvorschriften Stellung zu nehmen. Neben den allgemeinendatenschutzrechtlichen Anliegen, wie verschiedene sensible Mittei-lungen von der Entscheidung durch hierfür qualifizierte Personen,nämlich Richtern und Staatsanwälten, abhängig zu machen und dieBetroffenen von den Mitteilungen in Kenntnis zu setzen, scheint esmir aus den praktischen Erfahrungen (vgl. 10.16) erforderlich, auchkonkrete Bestimmungen der Adressaten von Mitteilungen in Thü-ringen in den Verwaltungsvorschrift bereits zu berücksichtigen, um


118

sicherzustellen, daß nur die zur Kenntnisnahme Befugten auf direk-tem Weg die Mitteilungen erhalten.

10.2 Beratungen zum Strafverfahrensänderungsgesetz(StVÄG 1996)

Im 1. TB (10.1) waren fehlende bereichsspezifische Regelungen imBereich der Justiz dargestellt worden. Hierzu hatte die Landesregie-rung in ihrer Stellungnahme auf die Regelungskompetenz des Bun-des und die Notwendigkeit, den Verwaltungsaufwand gering zuhalten, hingewiesen. Eine Zuständigkeit des TMJE sei nur mittelbar,nämlich über die Mitwirkung im Bundesrat, gegeben. Ende 1996wurde von der Bundesregierung erneut ein Gesetzentwurf für einStVÄG 1996 vorgelegt. Er enthält Regelungen für die strafprozes-suale Ermittlungstätigkeit und die Verwendung personenbezogenerDaten, die in einem Strafverfahren erhoben sind, über die Öffent-lichkeitsfahndung und die Inanspruchnahme der Medien, über dieErteilung von Aktenauskünften und Akteneinsichten für Justizbe-hörden, andere öffentliche Stellen und Private sowie die Übermitt-lung von Erkenntnissen für Forschungszwecke und die Bestimmung,unter welchen Voraussetzungen die Polizeibehörden künftig perso-nenbezogene Informationen, die für Zwecke der Strafverfolgungerhoben worden sind, auch für präventiv-polizeiliche Zwecke ver-wendet werden dürfen. Die Erwartung der DSB des Bundes und derLänder, daß damit die Lücken von bereichsspezifischen Regelungenin zufriedenstellender Art und Weise geschlossen werden, habensich nicht vollständig erfüllt. Dies vor allem deshalb, weil der Ge-setzentwurf der Bundesregierung bereits in Teilbereichen den Vor-gaben des Bundesverfassungsgerichts nicht gerecht wird und teil-weise hinter den bereits erreichten Standard der allgemeinen Daten-schutzgesetze und anderer bereichsspezifischer Regelungen zurück-fällt, aber auch, weil er im Gesetzgebungsverfahren durch die Stel-lungnahme des Bundesrats noch weitergehende datenschutzrechtli-che Verschlechterungen erfahren hat. Die Datenschutzbeauftragtendes Bundes und der Länder haben sich auf der 53. Konferenz in derEntschließung zu “Beratungen zum StVÄG 1996” (Anlage 10) ge-gen die gravierenden datenschutzrechtlichen Verschlechterungengewandt und den Gesetzgeber aufgefordert, bei den anstehenden


119

weiteren Beratungen des Gesetzentwurfs die noch bestehenden da-tenschutzrechtlichen Mängel zu beseitigen.

10.3 Öffentliche Fahndung im Strafverfahren

Das Recht von Betroffenen auf informationelle Selbstbestimmungwird stets bei den an die Öffentlichkeit gerichteten Fahndungsmaß-nahmen nach Beschuldigten, Verurteilten, Strafgefangenen undZeugen eingeschränkt. Nach den Grundsätzen des Bundesverfas-sungsgerichts im Volkszählungsurteil bedarf es für alle Maßnahmender öffentlichen Fahndung nach Personen einer normenklaren unddem Grundsatz der Verhältnismäßigkeit entsprechenden gesetzlichenRegelung. Eine solche fehlt bisher. Fahndungsmaßnahmen sindgegenwärtig durch die bundeseinheitlichen Verwaltungsvorschriften“Richtlinien über die Inanspruchnahme von Publikationsorganen zurFahndung nach Personen bei der Strafverfolgung” geregelt. Im vor-liegenden Regierungsentwurf eines StVÄG 1996 finden sich zwar inden §§ 131 bis 131c StPO Regelungen, wobei jedoch Zweifel beste-hen, ob diese den verfassungsrechtlichen Anforderungen genügen.Die zur Problematik der öffentlichen Fahndung im Strafverfahrenaufgestellten Grundsätze und Forderungen wurden von der 51. Da-tenschutzkonferenz am 14./15. März 1996 zustimmend zur Kenntnisgenommen (Anlage 2). Das TMJE sah für seinen Geschäftsbereichjedoch im Hinblick auf die zu erwartende Gesetzesänderung und dieTatsache, daß die bisher angewandte Verwaltungsvorschrift desTMJE vom 29. April 1991 ohnehin auf die Beachtung des Verhält-nismäßigkeitsprinzips abstellt, keinen Anlaß, diese Grundsätze vorabumzusetzen.Die Öffentlichkeitsfahndung im Internet als besondere Form derÖffentlichkeitsfahndung ist aus datenschutzrechtlicher Sicht wegender weltweiten Abrufbarkeit für jedermann nicht unproblematisch.Bei einer Durchsicht der im Internet durch das Thüringer Landes-kriminalamt (LKA) eingestellten Fahndungen fand sich Ende desJahres 1996 eine Fahndung wegen versuchten Mordes, bei dem derletzte Wohnsitz des Betroffenen angegeben war. Dies war aus mei-ner Sicht geeignet, besonders auf das Umfeld eines Betroffenen(unbeteiligte Familienangehörige, Nachbarn) weltweit aufmerksamzu machen. Auf Anfrage hat das LKA mitgeteilt, daß es meine Auf-


120

fassung nach gesetzgeberischem Handlungsbedarf teilt. Die Einstel-lung der Fahndung im Internet erfolgt derzeit nach den “Richtlinienfür die Inanspruchnahme von Publikationsorganen zur Fahndung beiPersonen bei der Strafverfolgung” in Verbindung mit Richtlinien zurNutzung des Internet. Da der Wohnort des Betroffenen zwischen-zeitlich durch die Angabe einer größeren Stadt als letzter Aufent-haltsort ersetzt wurde, so daß auch Belange Dritter/Unbeteiligtergewahrt werden, habe ich keine weiteren Bedenken bezüglich derkonkret eingestellten Fahndung wegen versuchten Mordes alsschwerwiegende Tat geltend gemacht.In Anbetracht dessen, daß die Fahndungsdaten des LKA eines hohenSchutzes bezüglich ihrer Integrität bedürfen und somit möglicheRisiken für Manipulationen dieser Informationen weitgehend ausge-schlossen werden müssen, habe ich mich über die Einstellung derInformationen im Internet informiert. Es muß sichergestellt sein, daßlesende Zugriffe für alle Benutzer erlaubt ist, der schreibende Zu-griff aber nur autorisierten Personen zustehen darf. Hierzu sind tech-nische und organisatorische Maßnahmen gemäß § 9 Abs. 2ThürDSG erforderlich, deren Umsetzung erfolgt.

10.4 DNA-Analyse - “Genetischer Fingerabdruck”

Durch das Strafverfahrensänderungsgesetz - DNA-Analyse (“Gene-tischer Fingerabdruck”) - vom 17.03.1997 (BGBl I S. 534) wurdeeine spezielle Rechtsgrundlage für molekulargenetische Untersu-chungen an Blutproben oder sonstigen menschlichen Körperzellenim Strafverfahren geschaffen. Damit wurden die Voraussetzungenund Grenzen molekulargenetischer Untersuchungen in die StPOaufgenommen. Eine Festlegung, ob und in welchen Grenzen dieSpeicherung und Nutzung der durch eine DNA-Analyse gewonne-nen Untersuchungsergebnisse in Datenbanken der Polizei zu erken-nungsdienstlichen Zwecken zulässig ist, enthält dieses Gesetz jedochnicht. Für eine Nutzung der mittels DNA-Analyse gewonnenenDaten auch für andere Strafverfahren und deren Zugänglichmachungin abrufbaren Datenbanken haben die DSB mit der Entschließungder 53. Konferenz “Genetische Informationen in Datenbanken derPolizei für erkennungsdienstliche Zwecke” (Anlage 11) ergänzendeine spezielle gesetzliche Regelung in der StPO verlangt und kon-


121

krete Forderungen an die automatisierte Speicherung und Nutzungvon DNA-Idenditätsdaten aufgestellt.

10.5 Zentrales Staatsanwaltschaftliches Verfahrensregister

Zu dem im 1. TB (10.5) berichteten, nach den §§ 474 ff. StPO vor-gesehenen Zentralen Staatsanwaltschaftlichen Verfahrensregister(ZStV) liegen zwischenzeitlich die in der Errichtungsanordnungangekündigten organisatorisch-technischen Leitlinien in der zwi-schen den Justizressorts abgestimmten Fassung vor. Die nach § 476Abs. 5 StPO zu treffenden erforderlichen technischen und organisa-torischen Maßnahmen nach § 9 BDSG, die in der Errichtungsanord-nung zunächst nicht aufgenommen worden sind und den organisato-risch-technischen Leitlinien vorbehalten werden sollten, sind auch indiesen wiederum nicht enthalten. Vielmehr ist eine Bedrohungs- undRisikoanalyse angekündigt, die Grundlage für zu verwirklichendeSicherheitsmaßnahmen sein soll. Zu den organisatorisch-technischenLeitlinien habe ich gegenüber dem TMJE eine Stellungnahme abge-geben, die von dort aus an das BMJ und die übrigen Landesjustiz-verwaltungen zur Kenntnisnahme weitergeleitet wurde, davon aus-gehend, daß sie gebührende Beachtung finden wird. Bedenken habeich auch zu folgenden Punkten geäußert:Soweit über die in Ausnahmefällen wegen besonderer Eilbedürftig-keit möglichen Eilanfragen hinaus telefonische und fernschriftlicheAnfragen vorgesehen sind, besteht ein hohes Risiko, daß die anfra-gende Person nicht berechtigt sein könnte. Es fehlt deshalb eineerforderliche Berechtigungsprüfung. Die aus meiner Sicht zu unbe-stimmte Formulierung, daß für die Übertragung von Mitteilungenund Anfragen an das Verfahrensregister die “allgemein zugängli-chen Übertragungsdienste verwendet werden, wobei entsprechendeSicherheitsmaßnahmen vorgesehen werden”, müßten durch konkreteFestlegungen von Sicherheitsmaßnahmen ergänzt werden. Erfreuli-cherweise wird eine aus datenschutzrechtlicher Sicht erforderlicheVerschlüsselung der Daten auf dem Übertragungsweg im Rahmender Bedrohungs- und Risikoanalyse nicht von vornherein ausge-schlossen. Die weitere Prüfung wird zeigen, ob der besonderenSchutzbedürftigkeit der zu übermittelnden Daten hinreichend Rech-nung getragen wird. Jedenfalls soll das Zentrale Staatsanwaltschaft-


122

liche Verfahrensregister erst dann in Betrieb genommen werden,wenn alle erforderlichen Bestimmungen vorliegen.

10.6 Entwurf eines Vierten Gesetzes zur Änderung desBundeszentralregisters (4. BZRÄndG)

Im 1. TB (10.8) war dargestellt worden, daß die Eintragung derSchuldunfähigkeit in das Bundeszentralregister aus datenschutz-rechtlicher Sicht bedenklich ist, da nicht ersichtlich ist, ob es sich umeine dauernde oder nur vorübergehende Schuldunfähigkeit gehandelthat. Schuldunfähige sind damit gegenüber Schuldfähigen benachtei-ligt, weil für die Eintragungen bei Schuldunfähigen bislang keineentsprechenden Tilgungsfristen bestehen. Durch den nunmehr vor-liegenden Entwurf eines Vierten Gesetzes zur Änderung des Bun-deszentralregisters (Stand: 15.02.1997), zu dem ich gegenüber demTMJE Stellung genommen habe, wird diese Problematik einer Re-gelung zugeführt, die die datenschutzrechtlichen Bedenken weitge-hend ausräumt. Der Gesetzesentwurf enthält auch begrüßenswerteRegelungen zu Berichtigungs- und Nachberichtspflichten sowieBestimmungen zur Protokollierung der erteilten Auskünfte. MeineAnregung, den Kreis der Abrufberechtigten im automatisierten Ab-rufverfahren (§ 21 4. BZRÄndG) ausdrücklich auf bestimmte Stellenzu beschränken, wurde seitens des TMJE aufgegriffen. Der Fortgangdes Beratungsverfahrens wird weiterhin aus datenschutzrechtlicherSicht begleitet.

10.7 Informationelle Selbstbestimmung und Bild-Ton-Aufzeichnungen bei Vernehmungen im Strafverfah-ren/Videoaufzeichnungen von Zeugenvernehmungen

Überlegungen des Bundesgesetzgebers und eine begonnene öffentli-che Diskussion, moderne Technik, insbesondere in Form von Vi-deoaufnahmen zur Wahrheitsfindung und zum Zeugenschutz ingerichtlichen Verfahren, nun auch bei Gericht zuzulassen, werfenvielfältige datenschutzrechtliche Aspekte auf. In Anbetracht dessen,daß bisher der unmittelbare Eindruck von Zeugen bei seiner mündli-chen Aussage maßgeblich war und in möglicherweise folgendenVerfahren nur auf schriftliche Protokolle zurückgegriffen werden


123

konnte, liegt der Einsatz insbesondere auch von Videotechnologie ingerichtlichen Strafverfahren sowohl im Interesse der Wahrheitsfin-dung als auch im Interesse der betroffenen Zeugen, daß diese nichtjeweils erneut eventuell nach langer Zeit zum selben Gegenstandnochmals aussagen müssen. Als aus datenschutzrechtlicher Sichtwichtiges Kriterium für die Zulassung der Bild-Ton-Aufzeichnungbei Vernehmungen im Strafverfahren stellt sich auch der Aspekt derguten Dokumentation als besonderes Anliegen der Praxis dar. Nichtzu vergessen ist jedoch, daß die einmal gemachte Aussage sodannunbegrenzt oft in genau derselben Art und Weise immer wiederabgespielt werden kann. Die Beurteilung des Beweiswerts einerBild-Ton-Aufzeichnung wird jedoch deutlich verbessert. In einerEntschließung der 54. Konferenz der Datenschutzbeauftragten desBundes und der Länder haben die DSB (Anlage 16) in diesem Zu-sammenhang wirksame Vorkehrungen zum Schutz des Persönlich-keitsrechts gefordert.

10.8 “Großer Lauschangriff”

Unter der Bezeichnung “Großer Lauschangriff” wird schon seitgeraumer Zeit im Kreise der Datenschutzbeauftragten über das Vor-haben der Einführung der elektronischen Überwachung von Wohn-und Geschäftsräumen zum Zwecke der Beweismittelgewinnung inStrafverfahren diskutiert. Von der Mehrheit der Datenschutzbeauf-tragten wird die damit erforderliche Änderung des Artikel 13 GGmit den entsprechenden gesetzlichen begleitenden Regelungen derÄnderung der Strafprozeßordnung als erheblicher Eingriff in dasPersönlichkeitsrecht des einzelnen aus grundsätzlichen Erwägungenabgelehnt. Ich bin der Auffassung, daß der Staat zur Bekämpfungschwerer Kriminalität in die Lage versetzt werden muß, ggf. dasMittel der akustischen Überwachung einsetzen zu können. Bereits inder 52. Datenschutzkonferenz (Anlage 9) haben die Datenschutzbe-auftragten 10 Forderungen erhoben, die auch von mir unterstütztwerden:

1. Im Grundgesetz selbst ist festzulegen, daß− der Einsatz technischer Mittel zur Wohnraumüberwachung

nur zur Verfolgung schwerster Straftaten, die im Hinblick auf


124

ihre Begehungsform oder Folgen die Rechtsordnung nach-haltig gefährden und die im Gesetz einzeln bestimmt sind und

− nur auf Anordnung eines Kollegialgerichtserfolgen darf.

2. Die Maßnahme darf sich nur gegen den Beschuldigten richten.Erfolgt ein Lauschangriff in der Wohnung eines Dritten, müssenkonkrete Anhaltspunkte die Annahme rechtfertigen, daß sich derBeschuldigte in der Wohnung aufhält. In allen Fällen muß diedurch Tatsachen begründete Erwartung vorliegen, daß in derüberwachten Wohnung zur Strafverfolgung relevante Gesprächegeführt werden.

3. Das Mittel der Wohnungsüberwachung darf nur dann angewandtwerden, wenn andere Methoden zur Erforschung des Sachver-halts erschöpft oder untauglich sind. Bei einem Lauschangriff inWohnungen dritter Personen bedeutet dies auch, daß die Maß-nahme nur durchgeführt werden darf, wenn aufgrund bestimmterTatsachen anzunehmen ist, daß ihre Durchführung in der Woh-nung des Beschuldigten allein nicht zur Erforschung des Sach-verhalts oder zur Ermittlung des Aufenthaltsorts des Täters füh-ren wird.

4. Das Zeugnisverweigerungsrecht von Berufsgeheimnisträgernund Personen, die aus persönlichen Gründen zur Verweigerungdes Zeugnisses berechtigt sind, muß gewahrt werden.

5. Die Dauer der Maßnahme wird zeitlich eng begrenzt. Auch dieMöglichkeit der Verlängerung der Maßnahme ist zu befristen.

6. Eine anderweitige Verwendung der erhobenen Daten (Zweckän-derung) ist weder zu Beweiszwecken noch als Ermittlungsansatzfür andere als Katalogdaten zulässig.

Personenbezogene Erkenntnisse aus einem Lauschangriff dürfenzur Abwehr von konkreten Gefahren für gewichtige Rechtsgüterverwendet werden.

7. Wenn sich der ursprüngliche Verdacht nicht bestätigt, sind diedurch den Lauschangriff erhobenen Daten unverzüglich zu lö-schen.

8. Die Betroffenen müssen unverzüglich und vollständig über dieDurchführung der Maßnahme informiert werden, sobald dies oh-ne Gefährdung des Ermittlungsverfahrens möglich ist.


125

9. Eine Verfahrenssicherung durch den Zwang zur eingehendenBegründung und durch detaillierte jährliche Berichtspflichten derStaatsanwaltschaft für die Öffentlichkeit ähnlich den gerichtli-chen Wire-Tap-Reports in den USA einschließlich einer Erfolgs-kontrolle ist vorzusehen. Anhand der Berichte ist jeweils - wegender Schwere des Eingriffs - in entsprechenden Fristen zu über-prüfen, ob die gesetzliche Regelung weiterhin erforderlich ist.

10. Die effektive Kontrolle der Abhörmaßnahme und der Verarbei-tung und Nutzung der durch sie gewonnenen Erkenntnisse durchGerichte und Datenschutzbeauftragte ist sicherzustellen.

Zwischenzeitlich ist der Entwurf eines Gesetzes zur Änderung desGrundgesetzes (Artikel 13 GG) (Drucksache 13/8650) eingebracht.Problematisch hierbei ist, daß danach derartige technische Mittelschon eingesetzt werden dürfen, wenn nur die Vermutung besteht,daß sich der Beschuldigte in einer bestimmten Wohnung aufhält.

Zu Personen, wie Ärzten, Rechtsanwälten, Geistlichen, Abgeordne-ten und Journalisten besteht ein besonderes Vertrauensverhältnis, sodaß diese ein Zeugnisverweigerungsrecht haben. Räumlichkeiten, indenen diese in § 53 StPO genannten Personen ihren Beruf ausüben,müssen von vornherein abhörfrei bleiben.

10.9 Zentrale europäische Datenbanken, in denen ge-richtliche Streitfälle gesammelt werden

Zweifellos kann interessant sein, zu wissen, ob jemand irgendwo inEuropa wegen einer Streitfrage in einer Zivil- oder Handelssachenach dem Brüsseler Übereinkommen vom 27.09.1968 ein Gerichtangerufen hat. Nach einem Vorschlag, eine entsprechende Daten-bank für erhobene Klagen und die diesbezüglichen Entscheidungeneinzurichten, erhielt ich die Gelegenheit, zu den dafür beabsichtigtenÜbermittlungen von personenbezogenen Daten Stellung zu nehmen.Die Übermittlung personenbezogener Daten durch Thüringer Ge-richte an die Datenbankverwaltung müßte unter der Voraussetzungdes § 21 ThürDSG erfolgen. Danach ist die Übermittlung personen-bezogener Daten zulässig, wenn sie zur Erfüllung der in der Zustän-digkeit der übermittelnden Stelle oder des Empfängers liegenden


126

Aufgaben erforderlich ist und die Voraussetzungen vorliegen, dieeine Nutzung nach § 20 ThürDSG (Zweckänderung) zulassen wür-de. Diese Voraussetzungen wären gegeben, sobald eine entspre-chende Rechtsvorschrift vorliegt. Zu den vorgesehenen zu übermit-telnden Daten hatte ich jedoch nach der geltenden Rechtslage erheb-liche Bedenken. Was personenbezogenen Daten von verfahrensbe-teiligten Privatpersonen angeht, könnte sich für die Betroffenen dieSituation ergeben, daß sie Anfragen aus dem gesamten europäischenBereich ausgesetzt sein könnten, weil die Aufnahme der vollenAdresse in die Datenbank vorgesehen war. Eine Bereitstellung vonpersonenbezogenen Daten zum unbegrenzten Abruf für jedermannwäre aber ein erheblicher Eingriff in das informationelle Selbstbe-stimmungsrecht der Betroffenen, den der Zweck, Interessierten dieMöglichkeit einzuräumen, vergleichbare Verfahren feststellen zukönnen, nicht rechtfertigen kann. Die Einstellung in diese zentraleeuropäische Datenbank dürfte danach nur erfolgen, wenn eine kon-krete Einwilligung der Betroffenen vorliegt. Es ist mir nicht bekannt,ob die Überlegungen weiter verfolgt wurden.

10.10 Gesetz über das Versorgungswerk der Rechtsanwäl-te (ThürRAVG)

Schon frühzeitig erhielt ich die Gelegenheit, zum Referentenentwurfeines Gesetzes über das Versorgungswerk der Rechtsanwälte imFreistaat Thüringen aus datenschutzrechtlicher Sicht Stellung zunehmen. Ich hatte dazu verschiedene Änderungen vorgeschlagen.Diese betrafen insbesondere die Konkretisierung der für die Fest-stellung der Mitgliedschaft sowie Art und Umfang der Beitrags-pflicht oder der Versorgungsleistung erforderlichen Auskünfte unddie Erforderlichkeit der Erhebung der personenbezogenen Datenbeim Betroffenen selbst. Im parlamentarischen Verfahren erhielt ichnochmals die Gelegenheit, die datenschutzrechtlichen Aspekte vor-zutragen, die im ThürRAVG vom 31. Mai 1996 (GVBl S. 70) insge-samt Berücksichtigung fanden.


127

10.11 Einsatz automatisierter Verfahren im Justizbereich

Auch im Geschäftsbereich des TMJE hält die Automatisierung derGeschäftsstellen weiter Einzug.

10.11.1 MEGA

Für den Bereich der ordentlichen Gerichtsbarkeit kommt MEGA(Abkürzung für “Mehrländer-Gerichts-Anwendung”) zur Anwen-dung. MEGA ist ein von den Bundesländern Brandenburg, Schles-wig-Holstein und Thüringen gemeinsam neu entwickeltes EDV-Programm, das in der Justiz die vollständige Einbindung der Ar-beitsplätze von Richtern und Rechtspflegern, Aktenverwaltung undSchreibdienst verwirklicht. Auf meine Bitte um Beteiligung wurdenmir verschiedene Konzeptionsentwürfe zur Kenntnis gegeben, diejedoch für eine abschließende datenschutzrechtliche Bewertung nochnicht ausgereicht haben. Auch habe ich die Gelegenheit einer De-monstration der Anwendung vor Ort erhalten. Mittels dieses Verfah-rens, mit dem Verfahrensdaten und neu anfallende Daten (Wieder-vorlage, Termine oder Zeugen) verarbeitet werden, wird auch diegesamte Aktenregistratur übernommen. Der Kanzleibereich wirddurch automatisierte Bereitstellung von Mitteilungsformularen un-terstützt. Darüber hinaus ermöglicht es Verfahrensauskünfte, Verfü-gungsvorbereitungen sowie den Einsatz von spezieller juristischerSoftware. Das Verfahren werde ich weiterhin aus datenschutzrecht-licher Sicht begleiten, sobald mir weitere Unterlagen insbesondereauch zu den organisatorischen und technischen Maßnahmen vorlie-gen.Im 1. TB (10.12) wurde die datenschutzrechtliche Problematik vonEhescheidungsverbundurteilen und deren weitestgehende Lösungdurch entsprechende Hinweise der Personalstellen als anforderndeStellen dargelegt. Mit der Ausstattung der Thüringer Gerichte mitEDV (MEGA) wird nun auch seitens der Gerichte nochmals gegen-über der Betroffenen darauf hingewiesen, daß Ehescheidungsver-bundurteile auch als Auszüge oder Teilausfertigungen erteilt werden,was bereits bei den genutzten Computerprogrammen als Fußnotenautomatisch im entsprechenden Ausdruck Berücksichtigung findet.


128

10.11.2 SIJUS-Straf-StA

Der Einsatz des Verfahrens SIJUS-Straf-StA bei den Staatsanwalt-schaften des Landes wurde in den Grundzügen im Rahmen einerdurchgeführten Kontrolle bei einer Staatsanwaltschaft geprüft. Überdas dort bislang nur teilweise angewandte Verfahren werden dieAufgaben der Führung von staatsanwaltschaftlichen Registern,Strafverfolgungsstatistik sowie die Geschäftstellenverwaltung erle-digt. Das Verfahren bietet auch die bisher noch nicht genutzte Mög-lichkeit der Kommunikation mit externen anderen Registern undStellen, etwa mit dem Bundeszentralregister und Polizeidienststellen.Den im Ergebnis der Kontrolle festgestellten datenschutzrechtlichenMängeln, wie fehlende eigene Benutzerkennungen für jeden einzel-nen Nutzer und Protokollierung der fehlerhaften LOGIN-Versuche,wurde nachgekommen. Die noch offenen Fragen, vor allem derProtokollierungsmöglichkeit sämtlicher Zugriffe, der Verschlüsse-lung personenbezogener Daten bei der Datenübermittlung sowie dieMöglichkeit der Nutzung nicht näher bezeichneter Freifelder wirdweiterhin mit der Generalstaatsanwaltschaft und dem TMJE erörtert.Zu der gesamten Problematik haben die Datenschutzbeauftragtendes Bundes und der Länder auf der 53. Konferenz vom17./18.04.1997 eine Vorlage des Arbeitskreises Justiz zu “Daten-schutzrechtlichen Forderungen zum Einsatz von automatisiertenStaatsanwaltschaftlichen Informationssystemen” (Anlage 18) zu-stimmend zur Kenntnis genommen. Ich habe dieses Themenpapier,das eine gute Arbeitsgrundlage im Hinblick auch auf den Einsatz desVerfahrens SIJUS-Straf-StA darstellt, zu einem Meinungsaustauschzu den aufgeführten datenschutzrechtlichen Aspekten dem TMJEzugeleitet.

10.11.3 Geschäftsstellenlösung der Justizvollzugsanstalten

Im 1. TB (10.11.2) hatte ich die automatisierte Geschäftsstellenlö-sung für die Justizvollzugsanstalten angesprochen. Im Rahmen einerim Berichtszeitraum durchgeführten Kontrolle in einer Justizvoll-zugsanstalt konnte ich den Einsatz in der Praxis, obwohl dort erstseit 4 Wochen ein Probelauf stattfand, kontrollieren. Hinsichtlich desDateiinhalts ergaben sich keine Bedenken. Bei den in die angezeig-


129

ten Masken einzutragenden Daten handelte es sich im wesentlichenum die Angaben zu einem Gefangenen, die auch auf dem Wahrneh-mungsbogen als Kernstück der Gefangenpersonalakte einzutragensind. Bezüglich der Datensicherheit ergaben sich nach meinem der-zeitigen Erkenntnisstand ebenfalls keine Bedenken. Zu der Forde-rung einer Zugriffsbeschränkung für die einzelnen Bedienstetennach dem jeweiligen Aufgabengebiet wird die Prüfung und Diskus-sion im Hinblick darauf, daß aus datenschutzrechtlicher Sicht auchnur ein eingeschränkter Zugriff auf die Gefangenenpersonalaktenzulässig sein kann, fortgeführt.

10.12 Kontrollkompetenz des TLfD bei Gerichten

§ 37 Abs. 4 ThürDSG bestimmt, daß die Gerichte der Kontrolledurch den TLfD nur soweit unterliegen, als sie in Verwaltungsange-legenheiten tätig werden. Im Vorfeld einer angekündigten Kontrollebei einem Amtsgericht -Grundbuchamt- wurde seitens des TMJEgeltend gemacht, daß Bereiche der Rechtspflege, die von Rechts-pflegern in sachlicher Unabhängigkeit oder von Richtern wahrge-nommen werden, ebensowenig wie Tätigkeiten in Vorbereitungbzw. Vollziehung der rechtspflegerischen Entscheidungen derRichter und Rechtspfleger erfolgen, nicht kontrolliert werden kön-nen, was aus meiner Sicht unbestritten ist. Daß sich dies jedoch nachAuffassung des TMJE auch auf die gesamte zur Unterstützung die-ser rechtspflegerischen Tätigkeit eingesetzten EDV beziehen soll,kann ich nicht vorbehaltlos akzeptieren. Im Hinblick auf den Einsatzvon automatisierten Verfahren, mittels deren auch reine Verwal-tungstätigkeiten erledigt werden können, würde dies bedeuten, daßdiese auch bei Datensicherungsmaßnahmen gänzlich meiner Kon-trolle entzogen wären, sobald auch Rechtspflegern und RichternZugriffe gewährt werden oder mit diesen Verfahren auch irgendeinder Rechtspflegetätigkeit zuzuordnender Bereich zusätzlich erledigtwerden kann. Daß meinerseits datenschutzrechtliche Kontrollen nurin den Bereichen durchgeführt werden, die auch meiner Zuständig-keit unterliegen, versteht sich von selbst. Aus Gründen der Rechtssi-cherheit ist es aber auch für die zu kontrollierenden Stellen in derJustiz aus meiner Sicht dringend geboten, daß für zukünftige daten-schutzrechtliche Kontrollen ein Katalog darüber vorliegt, welche


130

konkreten Bereiche und Tätigkeiten entweder der Rechtspflege oderder Verwaltungstätigkeit zuzuordnen sind. Auch wenn nur die Ver-waltungsangelegenheiten der Gerichte der Kontrolle des TLfD un-terliegen, so sind die Gerichte dennoch nicht davon entbunden, ineigener Zuständigkeit auch in den der Rechtspflege unterfallendenAngelegenheiten die Einhaltung der datenschutzrechtlichen Vor-schriften sicherzustellen. Die Bestellung von behördeninternen Da-tenschutzbeauftragten erscheint mir daher unerläßlich. Um die ein-gangs genannte angekündigte Kontrolle bei dem Amtsgericht-Grundbuchamt durchführen zu können, habe ich mich daher auf dieunstreitigen der Verwaltungstätigkeit zuzuordnenden Bereiche be-schränkt.Im Nachgang zur Kontrolle wurde ein behördlicher Datenschutzbe-auftragter bestellt. Zu beanstanden war die Personalaktenführung, dadie vorhandenen Personalakten auch nicht erforderliche Bestandteileenthielten. Hierzu zählten z. B. Kopien alter Personalbögen, zah-lungsbegründende Unterlagen wie Geburtsurkunden von Kindern,Heiratsurkunden usw., die sich nur in Vergütungsakten befindensollten oder nach § 97 Abs. 5 ThürBG getrennt aufzubewahrendeFragebögen zur persönlichen Eignung. Eine entsprechende Überar-beitung ist erfolgt. Darüber hinaus ist den Personalakten ein Vorblattmit der Angabe der enthaltenen Unterlagen sowie ein Verzeichnisder Neben- und Teilakten, das den Betroffen Aufschluß darüber gibt,wo sich welche weiteren ihn betreffende Personalunterlagen befin-den, um ihnen die Ausübung des Einsichtsrechts in die vollständigePersonalakte nach § 100 Abs. 1 ThürBG zu erleichtern, vorgeheftetworden. Mit der Erarbeitung dieser Blätter war bereits vor der Kon-trolle begonnen worden. Die datenschutzrechtlichen Empfehlungenim Bereich der Personalverwaltung, insbesondere zur Arbeitszeiter-fassung und Telefongebührenerfassung wurden umgehend umge-setzt. Die nach § 9 Abs. 3 ThürDSG erforderlichen technischen undorganisatorischen Maßnahmen, die verhindern, daß Unbefugte auchbei der Aufbewahrung, dem Transport und der Vernichtung aufpersonenbezogene Daten zugreifen können, wurden getroffen. EineSicherung gegen unbefugtes Entfernen von Metallcontainern, indenen zur Vernichtung bestimmte Unterlagen aufbewahrt werden,wurde unverzüglich vorgenommen.


131

10.13 Telefonüberwachungsmaßnahmen

Der Katalog der Straftaten, die eine Telefonüberwachung nach§ 100a StPO erlauben, ist in der Vergangenheit mehrfach, zuletzt mitdem Verbrechensbekämpfungsgesetz, erweitert worden.So sehr Telefonüberwachungen für eine wirksame Verbrechensbe-kämpfung notwendig sein mögen, so notwendig erscheint es auch,den tatsächlichen Erfolg zu prüfen, um das Persönlichkeitsrecht imAusgleich hierfür zu stärken. Mit Erlaß des TMJE im Februar 1996wurde die Einführung von Berichtspflichten bei der Überwachungdes Fernmeldeverkehrs im Freistaat Thüringen umgesetzt. Danachsind jährlich von der Generalstaatsanwaltschaft die Anzahl der Ver-fahren und deren Zuordnung nach den in § 100a StPO aufgeführtenKatalogstraftaten zu berichten. Für 1996 ergaben sich insgesamt 22Verfahren. Presseveröffentlichungen in diesem Zusammenhang habeich zum Anlaß genommen, mich bei einer Staatsanwaltschaft imRahmen einer datenschutzrechtlichen Kontrolle vom Umgang mitUnterlagen zu Telefonüberwachungsmaßnahmen, insbesondere zurEinhaltung der Löschfristen nach § 100b Abs. 6 StPO, zu informie-ren. Dem TLfD wurden in diesem Zusammenhang Auskünfte zuallen Fragen erteilt. In einer entsprechenden Hausverfügung wurdendarüber hinaus klarstellende Hinweise im Geschäftsbereich gegeben.

10.14 Täter-Opfer-Ausgleich und Datenschutz

Auf der Grundlage der Richtlinie des TMJE zur Förderung des Tä-ter-Opfer-Ausgleichs in Thüringen (JMBl I 1994, S. 109) war sei-tens des TMJE beabsichtigt, im Rahmen eines Pilotprojektes denTäter-Opfer-Ausgleich (TOA) unter wissenschaftlicher Begleitungeiner Fachhochschule durchzuführen. Der TOA soll den Rechtsfrie-den, der durch eine Straftat gestört ist, wiederherstellen helfen. Vor-rangiges Ziel des TOA ist das Bemühen um einen Ausgleich mitdem Geschädigten. Zur sachgemäßen Vorbereitung der zu führendenGespräche zwischen Tätern und Opfern müssen daher den Schlich-tern personenbezogene Daten zur Verfügung gestellt werden. Vorder Durchführung dieses Pilotprojektes hat mich das TMJE umStellungnahme gebeten. Die Zulässigkeit der Übermittlung ist nachfolgenden Gesichtspunkten zu bewerten: Zunächst liegt eine Aufga-


132

benerfüllung der Staatsanwaltschaft als übermittelnde Stelle nach§ 22 Abs. 1 Nr. 1 ThürDSG vor. Nach Abwägung, daß kein über-wiegendes schutzwürdiges Interesse an dem Ausschluß der Über-mittlung des betroffenen Opfers nach § 22 Abs. 1 Nr. 2 ThürDSGanzunehmen ist, da die Durchführung des Täter-Opfer-Ausgleichsauch im Interesse des Opfers an einer Wiedergutmachung zu sehenist, kann auch dies als Zulässigkeitsgrund herangezogen werden. InAnbetracht dessen, daß der Bundesrat in seiner Stellungnahme zumEntwurf des StVÄG 96 die Prüfung einer Erforderlichkeit einerentsprechenden gesetzlichen Regelung angeregt hat, habe ich es biszum Vorliegen eines entsprechenden Ergebnisses für zulässig er-achtet, auch vorher schon Opferdaten an die zur Durchführung desTOA beauftragten privaten Stellen zu übermitteln. Der Umfang derDaten ist jedoch auf das zur Aufgabenerfüllung bei Einleitung derDurchführung des Täter-Opfer-Ausgleichs erforderliche Maß zubeschränken. Es darf sich daher nur um wenige Daten handeln, dienotwendig sind, die Einwilligung des betroffenen Opfers zur Teil-nahme zu erhalten.

10.15 Weitergabe personenbezogener Daten an gemeinnüt-zige Einrichtungen

Die datenschutzrechtliche Problematik der Datenübermittlung imZusammenhang mit der Entrichtung von Geldern an gemeinnützigeEinrichtungen durch Beschuldigte bzw. Angeklagte wurde bereits im1. TB (10.7) dargestellt. Die Landesregierung hatte in ihrer Stel-lungnahme hierzu die Bedenken grundsätzlich geteilt, man ver-schließe sich nicht grundsätzlich dem Vorschlag des TLfD. Aufmeine Nachfrage zum aktuellen Stand der Diskussion wurde in derFolge seitens des TMJE mitgeteilt, es erscheine weder erforderlichnoch unter praktischen Gesichtspunkten durchführbar, bei der Zu-weisung von Geldauflagen weiter zu anonymisieren. Nachdem ichmein Unverständnis hierzu geäußert hatte, wurde nach einer imSinne aller Beteiligten Lösung gesucht. Im Ergebnis der Prüfung derRealisierungsmöglichkeiten durch das TMJE im Hinblick auf die zuschaffenden Voraussetzungen bei den Gerichtskassen verständigteman sich darüber, daß vertretbar erscheint, dem Betroffenen nur dieWahlmöglichkeit einzuräumen, entweder an die Staatskasse zu deren


133

Gunsten oder verbunden mit der Einwilligung zur Übermittlung derpersonenbezogenen Daten an eine gemeinnützige Einrichtung zubezahlen. Aufgrund der Wahlmöglichkeit wird bei dieser Variantedem informationellen Selbstbestimmungsrecht weitgehend Rech-nung getragen.

10.16 Postsendungen von Staatsanwaltschaften und Ge-richten an kommunale Stellen

Im Berichtszeitraum wurde ich auch darauf aufmerksam gemacht,daß von Staatsanwaltschaften den kommunalen Behörden üblicher-weise verschiedene Vorgänge aus Strafverfahren gesammelt, ineinem Umschlag, allgemein adressiert, z. B. an die “Stadtverwal-tung” übersandt werden. Da die enthaltenen Vorgänge jedoch je-weils unterschiedliche Ämter innerhalb der Kommunalverwaltungbetrafen, mußte der Sammelumschlag in der zentralen Poststellegeöffnet werden, um die Vorgänge an die zuständigen Ämter zuleiten. Einerseits sind hier die empfangenden Behörden aufgerufen,sicherzustellen, daß nicht unbefugt personenbezogene Daten zurKenntnis genommen werden, andererseits bleibt den Mitarbeiternder Poststelle jedoch nichts anderes übrig, als die einzelnen Vorgän-ge jeweils zuzuordnen und damit zwangsläufig personenbezogeneDaten zur Kenntnis zu nehmen.Ein weiteres Problem besteht auch, wenn einer kommunalen Behör-de ein Gerichtsfach zur Verfügung steht. Auch hier sollte sicherge-stellt sein, daß die einzelnen Vorgänge ohne Möglichkeit der Kennt-nisnahme durch Unbefugte der zuständigen Stelle zugeleitet werdenkann.Das TMJE hat zwischenzeitlich den Geschäftsbereich gebeten, durchgeeignete Maßnahmen sicherzustellen, daß künftig Postsendungenmit personenbezogenen Daten an die jeweils zuständigen Ämter derVerwaltungsbehörden in gesonderten und verschlossenen Briefum-schlägen - ggf. aus Kostengründen nochmals in Sammelumschlägenan die jeweiligen Verwaltungsbehörden verpackt - versandt werden.Damit ist dem datenschutzrechtlichen Anliegen Rechnung getragen.


134

Mitteilung zum Wählerverzeichnis

Im 1. TB (5.2.6.2) hatte ich berichtet, daß Wahlämter im Zusam-menhang mit der Mitteilung von Wahlausschlußgründen zum Teilvollständige Beschlüsse des Vormundschaftsgerichts oder auchmehrseitige Urteilsschriften erhalten hatten. In diesem Berichtszeit-raum habe ich mich weiter über eingehende Mitteilungen von Wahl-rechtsausschlüssen informiert. Die Mitteilung von Wahlausschluß-gründen richtete sich nach Nr. 12a der Verwaltungsvorschrift Mit-teilungen in Strafsachen. Die dort enthaltenen Vorgaben waren je-doch seitens des mitteilenden Stellen nicht beachtet worden. Obwohlder zuständigen Verwaltungsbehörde lediglich die Tatsache derrechtskräftigen Verurteilung ohne Angaben der rechtlichen Bezeich-nung der Tat und ohne Angabe der angewendeten Strafvorschriftenmitzuteilen ist, wurden Kopien von vollständigen Urteilen mit un-zulässigen Daten, wie Namen von Zeugen und Opfern, aber mitunterohne die erforderlichen Daten, nämlich Rechtskraftsvermerk undAngabe des Endes des Verlustes der Amtsfähigkeit und Wählbarkeitübersandt. Darüber hinaus waren erhebliche Unsicherheiten bezüg-lich der Adressierung der Mitteilungen festzustellen. Das Meldeamtals funktional zuständige Stelle und zuständig für die Eintragung imMelderegister und Erstellung des Wählerverzeichnisses war in denwenigsten Fällen konkret genannt. Auf meine Anregung hin wurdeein Formblatt für Mitteilungen in Strafsachen erarbeitet, in dem nurnoch die erforderlichen und zulässigen Angaben für die kommuna-len Verwaltungsbehörden möglich sind. Meinen Anregungen istdamit in vollem Umfang nachgekommen worden.

10.17 Datenschutz im Strafvollzug

Im 1. TB (10.11) war auch darauf hingewiesen worden, daß es bis-lang immer noch an bereichsspezifischen Datenschutzregelungen fürden Strafvollzug fehlt. Zwischenzeitlich liegt ein Referentenentwurfeines Vierten Gesetzes zur Änderung des Strafvollzugsgesetzes vor.Der Referentenentwurf enthält einige datenschutzrechtliche Vor-schriften, in einzelnen Punkten reichen diese jedoch nicht aus. Ichhabe gegenüber dem TMJE insbesondere zu folgenden PunktenStellung genommen:


135

Die Einbeziehung des Datenschutzbeauftragten in den Kreis der vonder Überwachung des Schriftwechsels ausgenommenen Institutionenwurde ausdrücklich begrüßt, zumal vom Grundsatz her, wie in § 11ThürDSG niedergelegt, eine ungehinderte Kontaktaufnahme mitdem TLfD möglich sein sollte. Nicht berücksichtigt durch den Ent-wurf ist allerdings die Problematik der Antwortschreiben, was inanderem Zusammenhang seitens des TLfD aufgegriffen wurde.Die Problematik des Zugriffs der Strafvollzugsbediensteten auf dieGefangenenpersonalakte, die besonders sensible Daten über dieBetroffenen enthält, wird zwar an die Aufgabenerfüllung geknüpft,die Aufgabenerfüllung wird jedoch seitens der Justiz sehr globalgesehen. Hier ist zu befürchten, daß durch die Aufgabe der Verfol-gung des Strafvollzugsziels eine Allgemeinzuständigkeit eines jedenVollzugsbediensteten gesehen wird, so daß eine Beschränkung desZugriffs auf die Gefangenenpersonalakte nicht eindeutig geregeltwird. Seitens des TLfD wird die Auffassung vertreten, daß die Ein-sicht funktionsgebunden erfolgen kann. Dies darf nicht durch denVerweis auf eine Globalvorschrift (Vollzugsziel) relativiert werden.Um dies zu gewährleisten, erscheint es auch als besonders wichtig,daß nicht nur Gesundheitsakten und Krankenblätter getrennt vonanderen Unterlagen zu führen und besonders zu sichern sind. Auchbeispielsweise Unterlagen über psychologische, psychiatrische,psychotherapeutische und sozialtherapeutische Behandlungen solltenso behandelt werden. Eine Einsichtnahme muß sorgfältig dokumen-tiert werden, Möglichkeit der Nachprüfung der Zulässigkeit zu ge-währleisten.

Im Ergebnis der im 1. TB (10.11.1, 10.11.3) geschilderten Problemeim Justizvollzug konnten verschiedene datenschutzrechtliche Ver-besserungen erreicht werden:

− Die Einrichtung einer zentralen Auskunftsstelle, bei der eineSpeicherung der alten Gefangenenpersonalakten aus DDR-Zeitenzunächst seitens des TMJE angestrebt war, wird zwischenzeitlichaus Kosten- und Haushaltsgründen nicht mehr für vertretbar ge-halten. Jedoch werden die alten Akten, die nur für Auskünfteoder Bestätigungen für die Betroffenen benötigt werden, in ver-


136

schiedenen Justizvollzugsanstalten ausreichend gesichert gela-gert.

− Im Hinblick auf die erwartete Änderung des Strafvollzugsgeset-zes wird die Beschränkung der Einsichtnahme in die Gefange-nenpersonalakten weiterhin aus datenschutzrechtlicher Sicht ge-fordert. Zwischenzeitlich wird zur Überprüfung der Erforderlich-keit in den Justizvollzugsanstalten eine Protokollierung der Ein-sicht in Gefangenenpersonalakten vorgenommen.

− Hinsichtlich der Namensschilder an den Haftraumtüren ist dasTMJE den Forderungen des TLfD soweit entgegengekommen,daß, bis zur Ausstattung aller Justizvollzugsanstalten mit um-klappbaren Schildern, die Namensschilder an den Haftraumtürenbei Besuchen von Privatpersonen abzudecken sind.

− Die Problematik der Briefüberwachung von Schreiben des TLfDan Gefangene ist im Vorgriff auf die kommende Novelle geregeltworden.

− Das TMJE hatte an mich die Problematik der Erhebung undSpeicherung von Besucherdaten durch Justizvollzugsanstaltenherangetragen. In den Justizvollzugsanstalten des Freistaats Thü-ringen wurden Name, Vorname, Zeitpunkt des Besuches undteilweise auch die Anschrift von Besuchern auf einem Besuchs-schein oder einer Besuchskarte vermerkt. Die Besuchsscheinewurden nach Erledigung, die Besuchskarten nach Entlassungoder Verlegung des Gefangenen zu den Gefangenenpersonalak-ten genommen und 30 Jahre aufbewahrt. Diese Speicherdauerder Besucherdaten begegnete Bedenken. Zum Schutz des infor-mationellen Selbstbestimmungsrecht der betroffenen Besuchermüßten diese zumindest wissen, daß ihre Daten einer Speiche-rung unterliegen. Das TMJE hat meine Anregung, auf den Be-suchsscheinen einen Hinweis für die Besucher aufzunehmen, daßdie Daten gespeichert werden, aufgegriffen. Gleichzeitig wird einBesucher mittels eines an den Pforten der Justizvollzugsanstaltausgehängten Merkblatts mit konkreten Ausführungen zur Spei-cherung von Besucherdaten hingewiesen. Zur Abkürzung derSpeicherdauer erfolgt zwei bis drei Jahre nach Entlassung vonGefangenen eine Überprüfung der Gefangenenpersonalakten aufdie Erforderlichkeit des Inhalts von Besucherdaten und ggf. eineLöschung. Dieses Vorgehen ist aus meiner Sicht akzeptabel.


137

10.18 Kontrolle einer Staatsanwaltschaft Im Ergebnis einer durchgeführten Kontrolle bei einer Staatsanwalt-schaft wurde eine Beanstandung ausgesprochen wegen fehlenderdatenschutzrechtlicher Freigaben von automatisierten Verfahren,ungenügender Gebäudesicherung sowie Mängeln bei der Personal-aktenführung, weil sich in den Personalakten mitunter doppelte undnicht erforderliche Unterlagen befanden. Datenschutzforderungenund -empfehlungen ergaben sich vor allem im organisatorischen undtechnischen Bereich, wegen noch ausstehender Datenschutzregi-stermeldungen sowie zum Einsatz des Verfahrens SIJUS-Straf-StA(siehe 10.11.2). Besonders auffällig waren vor dem DienstgebäudeMetall-Container abgestellt, die deutlich sichtbar mit dem Hinweisauf den Inhalt versehen waren. Diese standen dort für die Entsor-gung von Aktenmaterial durch eine beauftragte Firma bereit. EineUnterbringung im Gebäude war aus baulichen Gründen nicht mög-lich. Die mit einem Einhängeschloß versehenen Container hättenjedoch problemlos von jedem Passanten weggerollt werden können.Von einer Beanstandung konnte abgesehen werden, weil umgehendeine Sicherung erfolgte. Auf zunächst keinerlei Verständnis stieß dieForderung zur Sicherung von genutzten Einzelplatz-PCs durch Paß-worte. Eine Dienstanweisung für die Benutzung von Personalcom-putern für dienstliche Zwecke im Geschäftsbereich des TMJE, be-reits aus dem Jahr 1995, regelt jedoch die Paßwortfrage. Erhebliche Mängel wurden in der Personalverwaltung festgestellt. Inden Personalakten befanden sich doppelte und nicht erforderlicheUnterlagen. Soweit Personalakten den Abteilungsleitern zur Erstel-lung von Beurteilungsentwürfen ausgehändigt wurden, stieß dies auferhebliche datenschutzrechtliche Bedenken, da die Abteilungsleiternicht zum Kreis der zugangsberechtigten Personen nach § 97 Abs. 3ThürBG zählen. Automatisierte Verfahren zur Verarbeitung der personenbezogenenDaten der Mitarbeiter waren nicht freigegeben. Insbesondere bezüg-lich der Telefondatenerfassung war keine Erforderlichkeit der daten-schutzrechtlichen Freigabe gesehen worden, da man Gesprächsdatennicht den personenbezogenen Daten zuzuordnen wußte. Die festge-stellten datenschutzrechtlichen Mängel sind zwischenzeitlich beho-ben.


138

10.19 Entsorgung “alter” Diktatkassetten einer Staatsan-waltschaft

Im Berichtszeitraum wurden mir Diktatkassetten übergeben, aufdenen sich u. a. Diktate von Anklageschriften, Vernehmungsproto-kollen und Einstellungsverfügungen befanden. In einem Gesprächbei der betreffenden Staatsanwaltschaft konnte nicht geklärt werden,wie, wann und durch wen eine Entsorgung alter Diktatkassetten derStaatsanwaltschaft erfolgt ist. Der Fund von bespielten, nicht ge-löschten Kassetten zeigte, daß keine oder unzureichende Maßnah-men getroffen worden waren, um zu verhindern, daß Unbefugte aufdie Tonträger Zugriff haben konnten, worin ein Verstoß nach § 9ThürDSG lag. Ich habe dies nach § 39 Abs. 1 ThürDSG beanstandetund die Staatsanwaltschaft aufgefordert, durch geeignete Maßnah-men sicherzustellen, daß künftig nur Diktatkassetten entsorgt wer-den, die zuvor gelöscht wurden. Auch habe ich die Anregung gege-ben, durch dienstliche Regelungen Festlegungen zum Umgang mitTonträgern, die personenbezogene Daten enthalten, zu treffen, umeinen Zugriff durch Unbefugte auszuschließen. Die betreffendeStaatsanwaltschaft hat durch eine interne Hausverfügung dieserForderung Rechnung getragen und veranlaßt, daß alle vorhandenenunter den Mitarbeitern ausgegebenen Diktatkassetten ihrer Zahl nacherfaßt wurden, um deren Bestand erforderlichenfalls überprüfen zukönnen. Das TMJE hat darüber hinaus eine Regelung für alleDienststellen der Justizverwaltung zur Aussonderung und Vernich-tung von Diktatkassetten getroffen. Durch die getroffenen organisa-torischen Maßnahmen sehe ich die Beanstandung als ausgeräumt an. 10.20 Datenschutz im Notariat Ein Bürger hatte sich mit der Bitte um Überprüfung folgenden Sach-verhalts an mich gewandt: Ihm war im Zuge des Kaufs eines Grund-stücks eine notarielle Urkunde zugesandt worden, in der eine Viel-zahl von Käufern mit Name, Geburtsdatum und Anschrift sowie desentsprechend festgesetzten Kaufpreises zur Gebührenberechnungangegeben war. Zwar waren die Kaufpreise mit Deckfarbe überpin-selt gewesen, jedoch hätte es keines großen Aufwandes bedurft, dieKaufpreise wieder sichtbar zu machen. Seitens des Notars wurde


139

eingeräumt, die Urkunde wäre auch ohne die Geburtsdaten der Käu-fer und ohne die Angaben der Kaufpreise zu beurkunden gewesen.Darüber hinaus hätte jedem einzelnen Käufer ein entsprechenderAuszug nur mit seinen personenbezogenen Daten gefertigt werdenkönnen. Die Übermittlung personenbezogener Daten der anderenKäufern an einen einzelnen Käufer war daher nicht erforderlich. Ichgehe davon aus, daß durch die Auswertung der Angelegenheit mitden Mitarbeitern des Notariats die geeigneten Maßnahmen getroffenwurden, so daß künftig solche datenschutzrechtlichen Verstößevermieden werden. 10.21 Datenübermittlungen der Notare an die Gemeinden Aus dem Kreis der Datenschutzbeauftragten der Länder wurde ichauf die Problematik von der Mitteilungspflicht nach § 28 Abs. 1 Satz1 Baugesetzbuch (BauGB) und anderer Rechtsvorschriften aufmerk-sam. Sinn und Zweck der Datenübermittlung ist, den Gemeinden diePrüfung des Bestehens oder Nichtbestehens eines Vorkaufsrechts zuermöglichen. Ein Vorkaufsrecht kommt dann u. a. in Betracht, wennsich das Grundstück in einem ausdrücklich durch Satzung bestimm-ten entsprechenden Gebiet liegt (§ 25 BauGB) oder in den Fällen des§ 24 BauGB, in denen Gebiete auf andere Art und Weise festgelegtsind. Dies erfordert jedoch nicht, daß der Gemeinde grundsätzlichsämtliche in einem Kaufvertrag über ein Grundstück enthaltenenRegelungen zur Kenntnis gelangen. In Betracht käme ein zweistufi-ges Verfahren, das auch von der Notarkammer Thüringen unterstütztwird. So sollten zunächst einer Gemeinde lediglich die Angaben ausdem Kaufvertrag mitgeteilt werden, die zur Prüfung über das Beste-hen oder Nichtbestehen des Vorkaufsrechts notwendig sind, nämlichdie Lage des Grundstücks, die Angabe der Beteiligten sowie derKaufpreis im Hinblick auf die hiervon abhängig zu erhebende Ge-bühr gemäß § 10 Thüringer Kommunalabgabengesetz für die auszu-stellende Bescheinigung, mit der der Verzicht auf die Ausübung desVorkaufsrechts seitens der Gemeinde erklärt wird. Erst wenn einVorkaufsrecht in Betracht kommt, sollte auf Anfrage der vollständi-ge Kaufvertrag übermittelt werden.


140

11. Gesundheits- und Sozialdatenschutz 11.1 Neues Transplantationsrecht Im Berichtszeitraum wurde nach längerer Diskussion im Transplan-tationsgesetz geregelt, unter welchen Voraussetzungen Organe Ver-storbener entnommen und verpflanzt werden dürfen. Außer derjuristischen und ethischen Frage, ab welchem Zeitpunkt ein Menschals tot anzusehen ist, war im Rahmen des Gesetzgebungsverfahrensbis zuletzt offen, ob materielle Voraussetzung für die Zulässigkeitder Organentnahme ausschließlich die ausdrückliche Zustimmungdes Betroffenen (enge Zustimmungslösung) sein soll oder aber beieiner fehlenden Äußerung des Betroffenen ersatzweise die Zustim-mung der nächsten Angehörigen bzw. einer Person, auf die die Ent-scheidung des Betroffenen zu Lebzeiten von diesem übertragenwurde (erweiterte Zustimmungslösung), ausreicht. Aus datenschutz-rechtlicher Sicht hätte die “enge Zustimmungslösung” - also dieausdrückliche Zustimmung des Organspenders - den geringstenEingriff in das Recht auf informationelle Selbstbestimmung bein-haltet, weil niemand gezwungen wird, seine ablehnende Haltungdokumentieren oder gar Dritten offenbaren zu müssen, wenn keineTransplantation gewünscht wird. Hierauf hat die Konferenz derDatenschutzbeauftragten des Bundes und der Länder in einer Ent-schließung vom 14./15. März 1996 (Anlage 1) hingewiesen. DerBundestag hat sich letztlich für die erweiterte Zustimmungslösungentschieden. Das Transplantationsgesetz vom 05.11.1997 (BGBl I S.2631) ist am 01.12.1997 in Kraft getreten. 11.2 Sozialhilfedatenabgleichsverordnung (SozhiDAV) Schon durch das Gesetz zur Umsetzung des Föderalen Konsolidie-rungsprogramms (FKPG) vom 23.06.1993 wurde in § 117 Bundes-sozialhilfegesetz (BSHG) die Rechtsgrundlage zum Erlaß einerRechtsverordnung geschaffen, wonach die Sozialhilfeträger unter-einander sowie die Sozialhilfeträger mit der Bundesanstalt für Arbeitund den Trägern der gesetzlichen Unfall- und Rentenversicherungenregelmäßig Daten über erbrachte Sozialleistungen abgleichen kön-nen. Die Aufnahme solcher umfangreichen Datenabgleichsmöglich-


141

keiten in das BSHG erfolgte unter kritischer Begleitung der Daten-schutzbeauftragten des Bundes und der Länder (1. TB, Anlage 3).Erst vier Jahre später wurde von der Bundesregierung ein Entwurfeiner Sozialhilfedatenabgleichsverordnung nach § 117 Abs. 1 und 2BSHG vorgelegt. Der Verordnungsentwurf sieht vor, daß alle Sozialämter sowie dieBundesanstalt für Arbeit und die Renten- und Unfallversicherungs-träger einen standardisierten Datensatz mit den Angaben über Name,Geburtsdatum, Geburtsort, Nationalität, Geschlecht, Anschrift undVersicherungsnummer an eine zentrale Vermittlungsstelle bei derDatenstelle der Rentenversicherungsträger (DSRV) regelmäßigübermitteln. Dort wird verglichen, ob Sozialleistungen auch vonanderen Sozialleistungsträgern bezüglich derselben Person im glei-chen Leistungszeitraum gezahlt worden sind. Ist das nicht der Fall,erfolgt eine Nullmeldung. Sofern auch Leistungen eines anderenSozialleistungsträgers im gleichen Zeitraum erbracht worden sind,wird dies den beteiligten Stellen in einer Rückmeldung mitgeteilt.Allerdings kann hieraus allein noch nicht ein unzulässiger Doppel-bezug von Sozialleistungen angenommen werden, da durchaus derBetroffene beispielsweise eine kleine Rente beziehen kann, die je-doch gegenüber dem Sozialamt angegeben worden ist und auf dieSozialhilfe angerechnet wird. Es muß also vom Sozialleistungsträgerin der Regel dann erst ermittelt werden, ob ein Leistungsmißbrauchvorliegt. Bei diesem Verfahren handelt es sich um einen nicht unerheblichenEingriff in das informationelle Selbstbestimmungsrecht, das amGrundsatz der Verhältnismäßigkeit zu messen ist. Daher hielte icheinen Totalabgleich aller aktuellen Leistungsbezieher nur dann fürverhältnismäßig, wenn konkrete Anhaltspunkte für einen erhebli-chen und flächendeckenden Sozialleistungsmißbrauch vorliegt undweniger einschneidende Möglichkeiten zu keinem Erfolg bei derBekämpfung des Sozialleistungsmißbrauchs geführt haben. Deshalbhabe ich gegenüber dem TMSG die Auffassung vertreten, daß in derVerordnung bei der Auswahl der Abgleichsfälle und des Abgleichs-zeitraums keine verbindliche Einbeziehung aller Sozialhilfelei-stungsempfänger, die aktuell Sozialhilfe erhalten, vorgeschrieben


142

werden sollte, sondern eine Ermessensregelung aufgenommen wird.Damit wäre sichergestellt, daß nur solche Personen in den Abgleicheinbezogen werden, bei denen Anhaltspunkte für einen Mißbrauchvorliegen. Die Datenschutzbeauftragten von Bund und Ländern sindsich einig, daß hier ein Nachweis, daß Sozialleistungsmißbrauch imgroßen Stil erfolgt, nicht erbracht worden ist. Dies beruht bishergrößtenteils auf Vermutungen. Daher habe ich zusätzlich empfohlen,in die Verordnung eine Regelung aufzunehmen, die es erlaubt nach-zuvollziehen, in wievielen Fällen und mit welchem finanziellenErgebnis die übermittelten Datensätze zur Reduzierung des Lei-stungsmißbrauches genutzt werden konnten. Ich wende mich nichtgegen eine notwendige Einschränkung des Datenschutzes von Sozi-alhilfeempfängern, wenn dies zur Verhinderung und Aufdeckungvon Sozialleistungsmißbrauch tatsächlich erforderlich ist. Allerdingsdarf eine solche einschneidende Maßnahme auch nicht ohne kon-krete Anhaltspunkte erfolgen und dabei pauschal einer ganzen Be-völkerungsgruppe undifferenziert die Vertrauenswürdigkeit abge-sprochen werden. Die Sozialhilfedatenabgleichsverordnung vom21.01.1998 (BGBl I S. 103) ist mit Wirkung vom 01. Januar 1998 inKraft getreten. Die von mir ggü. dem TMSG angeregte Ermessens-regelung zur Durchführung von Totalabgleichen nur bei entspre-chenden Anhaltspunkten wurde nicht aufgenommen. Eine Eingren-zung des Umfangs der Abgleiche erfolgt nur bei mangelnder techni-scher Ausstattung der Sozialhilfeträger. Eine Vorschrift für eineErfolgskontrolle wurde ebenfalls nicht aufgenommen. Allerdings istzwischenzeitlich auf Drängen des BfD vom Bundesministerium fürGesundheit ein wissenschaftliches Sozialforschungsinstitut mit dererfolgskontrollierenden Begleitung der Einführung des Sozialhilfe-datenabgleichs beauftragt worden. Parallel zu diesem konkreten Datenabgleichsverfahren hat eine Ar-beitsgruppe der Arbeits- und Sozialministerkonferenz von Bund undLändern Vorschläge erarbeitet, inwieweit ein zusätzlicher Daten-austausch bei Sozialleistungen zum effektiveren Mitteleinsatz undzur Verhinderung von Sozialleistungsmißbrauch eingeführt werdenkönnte. Die Datenschutzbeauftragten von Bund und Ländern habenin einer gemeinsamen Entschließung vom 20.10.1997 (Anlage 14)darauf hingewiesen, daß bei den gemachten Vorschlägen Einschrän-


143

kungen des Sozialdatenschutzes nur dann in Betracht kommen,wenn sie tatsächlich erforderlich und verhältnismäßig sind sowie dieDatenflüsse für den Bürger transparent bleiben. Die Arbeits- undSozialministerkonferenz hat diese Bedenken aufgegriffen und dieBundesregierung um Prüfung der Umsetzbarkeit der Vorschlägeunter Einbeziehung des Gesprächsangebots der Datenschutzbeauf-tragten gebeten. Die weitere Entwicklung wird abzuwarten sein. 11.3 Landesrechtliche Ausführungsvorschriften zum

Pflegeversicherungsgesetz und deren Anwendung Das am 01. Januar 1995 in Kraft getretene Pflegeversicherungsge-setz (PflegeVG) verpflichtet in Artikel 1, § 9 SGB XI die Länder zurVorhaltung einer leistungsfähigen, zahlenmäßig ausreichenden undwirtschaftlichen pflegerischen Infrastruktur. Das soll zum einendurch eine Landespflegeplanung geschehen. Zum anderen sollenbestimmte Investitionsaufwendungen öffentlich gefördert werden.Darüber hinaus wurde mit Artikel 52 PflegeVG ein Sonderinvestiti-onsprogramm für die neuen Länder aufgelegt. Zur Umsetzung dieserVorgaben bedurfte es landesrechtlicher Regelungen, an deren Erar-beitung ich im Vorfeld durch das TMSG beteiligt worden bin. DerEntwurf des Thüringer Ausführungsgesetzes zum Pflegeversiche-rungsgesetz (ThürAGPflegeVG) enthielt in § 14 Auskunftspflichtender Träger der Pflegeeinrichtungen, der Pflegeversicherung, derprivaten Versicherungsunternehmen sowie des Medizinischen Dien-stes an das TMSG zu Zwecken der Planung und Investitionsförde-rung. Hierzu habe ich u. a. gefordert, daß weder Daten von Pflege-bedürftigen noch Angaben von Angehörigen der Pflegebedürftigenund der ehrenamtlichen Helfer personenbezogen übermittelt werdendürfen. Für eine personenbezogene Übermittlung dieser mituntersensiblen Daten besteht im Rahmen der Pflegeplanung und Investiti-onsförderung keine Notwendigkeit. Außerdem habe ich angeregt,festzuschreiben, daß die personenbezogenen Daten über Pflegedien-ste und Einrichtungen bei den Landkreisen und kreisfreien Städtenausschließlich für Planungszwecke im Bereich der Pflegeversiche-rung verwendet werden. Meine Anregungen wurden übernommen.Das ThürAGPflegeVG vom 20.06.1996 (GVBl 1996, S. 97 ff.) istam 01.07.1996 in Kraft getreten. Auch bei der aufgrund des


144

ThürAGPflegeVG zu erlassenden Verordnung zur Durchführung desThüringer Gesetzes zur Ausführung des Pflegeversicherungsgesetzes(ThürAGPflegeVG-DVO) vom 12.12.1996 (GVBl. 1996, S. 62)wurde ich beteiligt. Bei der Umsetzung der Regelungen im Zusammenhang mit derErstellung des örtlichen Pflegeplanes nach § 3 Abs. 1 ThürAGPfle-geVG wandte sich ein Pflegedienst an mich mit der Frage, ob eszulässig sei, daß vom zuständigen Landratsamt die Qualifikations-nachweise und die Arbeitsverträge der Pflegekräfte angefordertwerden. Nach § 3 Abs. 2 Nr. 4 ThürAGPflegeVG-DVO sind für eineBewerbung im Rahmen des Teilnahmewettbewerbs zur Erstellungdes örtlichen Pflegeplanes der Nachweis über die Anzahl der be-schäftigten Kräfte, deren Qualifikation und vertragliche Wochenar-beitszeit sowie über die Anzahl der sozialversicherungspflichtigenBeschäftigungsverhältnisse vorzulegen. Die Vorlage derartiger Un-terlagen erscheint zur Entscheidung über die Aufnahme in den örtli-chen Pflegeplan und damit über die Gewährung von Landesmittelngrundsätzlich erforderlich, da die Länder nach § 9 SGB XI für dieVorhaltung einer leistungsfähigen, zahlenmäßig ausreichenden undwirtschaftlichen pflegerischen Versorgungsstruktur verantwortlichsind und eine entsprechende Überprüfung von Zahl und Qualifikati-on der tatsächlich eingesetzten Pflegekräfte möglich sein muß. Al-lerdings handelt es sich dabei um Personaldaten über die Beschäf-tigten der Anbieter, so daß ein entsprechender Schutz, insbesondereeine strenge Zweckbindung, zu beachten ist. Eine Erforderlichkeitzur Vorlage der Arbeitsverträge der Beschäftigten in vollem Umfangist § 3 Abs. 2 Nr. 4 ThürAGPflege-DVO nicht zu entnehmen. Hier-für ist es ausreichend, wenn Kopien der Arbeitsverträge vorgelegtwerden, bei denen die nicht erforderlichen personenbezogenen An-gaben geschwärzt sind. Zum Nachweis der Qualifikation reicht esaus, wenn die entsprechenden Nachweise beim Landratsamt vorge-legt werden und nach Sichtung und Prüfung dem Anbieter wiederzurückgegeben werden. Sofern im Einzelfall Zweifel am Vorliegender Voraussetzungen bestehen sollten, können diese Unterlagen imEinzelfall beim jeweiligen Arbeitgeber durch Mitarbeiter des Sozial-amts bzw. im Rahmen der Rechnungsprüfung durch Mitarbeiter derRechnungsprüfungsstellen eingesehen werden. Über meine rechtli-


145

che Bewertung habe ich das zuständige Landratsamt sowie dasTMSG informiert. Das Landratsamt hat mir mitgeteilt, daß im Rah-men des weiteren Teilnahmewettbewerbs nach meinen Hinweisenverfahren worden ist. Darüber hinaus hat das TMSG in einem Rund-schreiben die zuständigen Stellen entsprechend informiert und umzukünftige Beachtung gebeten. 11.4 Dritte Verordnung über die Pauschalförderung nach

dem Krankenhausgesetz Vom TMSG wurde mir der Entwurf einer Dritten Verordnung überdie Pauschalförderung nach dem Krankenhausgesetz (3. ThürKHG-PVO) zur Stellungnahme vorgelegt. Darin war u. a. vorgesehen, daßdie Jahrespauschalen nicht mehr wie bisher nach der Planbettenzahlsowie der Versorgungsstufe bestimmt werden sollen, sondern an-hand der Zahl der abgeschlossenen Behandlungsfälle. Damit lag esdurchaus nahe, daß im Rahmen der Beantragung und Ausreichungder Fördermittel sowie im Zuge der Kontrolle der gemachten Anga-ben personenbezogene Daten aus dem Krankenhausbereich demKrankenhausträger zur Vorlage gebracht werden müßten. In meinerZuständigkeit liegt nicht die Bewertung von Förderprinzipien aberder rechtmäßige Umgang mit personenbezogenen Daten. Aus die-sem Grunde habe ich angeregt, in die 3. ThürKHG-PVO ausdrück-lich aufzunehmen, daß zur Festsetzung und Überprüfung der Jahre-spauschale von den Krankenhäusern nur anonymisierte Daten über-mittelt werden dürfen. Dies fand in der 3. ThürKHG-PVO vom 09.Dezember 1997 (GVBl. S. 518) Berücksichtigung, womit die daten-schutzrechtlichen Bedenken ausgeräumt sind. 11.5 Kontrolle eines Universitätsklinikums Im Berichtszeitraum wurde eine Kontrolle in einem Universitätskli-nikum durchgeführt. Neben der Überprüfung der technisch-organisatorischen Maßnahmen zum Schutz der Patientendaten wur-den auch die Auswirkungen des Einsatzes eines automatisiertenPatientenverwaltungssystems aus datenschutzrechtlicher Sicht kon-trolliert. Obwohl keine Verstöße gegen datenschutzrechtliche Vor-schriften festgestellt wurden, habe ich eine Reihe von Empfehlungen


146

zur Verbesserung des Patientendatenschutzes abgegeben, die zwi-schenzeitlich im Rahmen des Möglichen umgesetzt worden sind. Das Klinikum hatte seit kurzem ein Patientenverwaltungssystemeingeführt. Damit erfolgt die Patientenaufnahme sowie die Abrech-nung automatisiert. In einigen Kliniken ist das System auch zurPatientenverwaltung auf den einzelnen Stationen eingesetzt. Wiebereits durch meine Kollegen in anderen Bundesländern, wurde auchin Thüringen bei der Überprüfung der Aufnahmeprozedur mit die-sem System festgestellt, daß systemseitig Daten vom Patienten abge-fragt werden, die zum Teil nicht erforderlich sind. So wurde z. B.nach dem Familienstand des Patienten gefragt. Für den Fall, daß imRahmen der Behandlung eine Einwilligungserklärung des Ehepart-ners erforderlich ist, reicht die Angabe verheiratet/nicht verheiratetaus. Die Tatsache, ob jemand verwitwet, geschieden oder getrenntlebend ist, ist in diesem Zusammenhang unerheblich. Im Formularwar auch routinemäßig die Tätigkeit und der Arbeitgeber des Haupt-versicherten einzutragen. Eine Erforderlichkeit hierfür ergibt sichjedoch nur dann, wenn die Krankenhausbehandlung aufgrund einesArbeitsunfalles erfolgt, um Kontakt mit der zuständigen Berufsge-nossenschaft zur Leistungsabrechnung aufnehmen zu können. EineNotwendigkeit der Abfragefelder “Pseudonym”, “VIP”, “Organ-spender” und “Konfession” war ebenfalls nicht erkennbar. Auchnach dem neuen Transplantationsgesetz (11.1) besteht keine Pflicht,die Eigenschaft als Organspender gegenüber dem behandelndenKrankenhaus zu offenbaren. Schließlich hat auch die Angabe derReligionszugehörigkeit keine Auswirkung auf die Behandlung. So-fern es um die Frage der Klinikseelsorge geht, wäre zu fragen, obeine solche gewünscht ist. Erst wenn dies zutrifft, wäre die Fragenach der Konfession des gewünschten Klinikseelsorgers als notwen-dig anzusehen. Das Klinikum hat aufgrund meiner Hinweise in einerDienstanweisung festgelegt, daß die betreffenden Datenfelder beider Aufnahme nicht benutzt werden bzw. die Angaben freiwilligsind (Konfession bzw. Personalien der Angehörigen) oder aber nurin bestimmten Konstellationen abgefragt werden (Arbeitgeber nurbei Unfällen). Dies sehe ich jedoch nur als eine Übergangslösung an,da die Gefahr besteht, daß diese Daten versehentlich abgefragt wer-den, obwohl keine Erforderlichkeit besteht. Dieses Beispiel zeigt


147

deutlich, daß beim Einsatz elektronischer Datenverarbeitung verar-beitende Stellen oftmals vorgefertigte Softwareprodukte einsetzen,die jedoch nicht den geltenden Vorschriften für die Einzelanwen-dung entsprechen. Schließlich waren die Zugriffsrechte der Mitarbeiter zum Zeitpunktder Kontrolle nicht auf das für die jeweilige Aufgabenerfüllungerforderliche Maß beschränkt. Nach meinen entsprechenden Hin-weisen wurde zwischenzeitlich in einer überarbeiteten Version dieseBeschränkung der Zugriffsrechte vorgenommen. 11.6 Krankenhäuser als Wettbewerbsunternehmen nach

§ 26 ThürDSG Aus Anfragen von Krankenhäusern habe ich entnommen, daß häufigUnsicherheiten bei der Frage bestehen, welche datenschutzrechtli-chen Vorschriften in Krankenhäusern zu beachten sind. Soweit esum die Patientendaten geht, haben alle Krankenhäuser unabhängigvon ihrer Trägerschaft (Land, Landkreis, Stadt, Private oder Kir-chen) die Vorschriften des Thüringer Krankenhausgesetzes(ThürKHG) zu beachten. Als öffentliche Stellen nach § 2 Abs. 1ThürDSG sind auch solche Krankenhäuser anzusehen, die in einerprivatrechtlichen Rechtsform betrieben werden und deren Mehr-heitsgesellschafter eine öffentliche Stelle ist. Soweit jedoch öffentli-che Stellen am Wettbewerb teilnehmen, sind auf sie nach § 26ThürDSG die materiellen Vorschriften des BDSG über nicht-öffentliche Stellen anzuwenden. Von den Vorschriften des ThürDSGsind lediglich diejenigen über die Kontrollbefugnisse des TLfDanwendbar. Von Bedeutung ist die Einordnung als Wettbewerbsun-ternehmen insbesondere deshalb, weil Wettbewerbsunternehmenkeine Meldungen zum Thüringer Datenschutzregister nach § 12ThürDSG an den TLfD abgeben müssen. Ich gehe bei Krankenhäusern, die öffentlichen Stellen des Landesgemäß § 2 Abs. 1 ThürDSG sind, grundsätzlich von einer Wettbe-werbssituation nach § 26 ThürDSG aus. Dies gilt auch für Universi-tätskliniken. Zwar erfüllen Universitätskliniken auch Funktionen, dievon anderen Krankenhäusern nicht erbracht werden. Neben den


148

Leistungen der Krankenversorgung haben sie Aufgaben der For-schung und Lehre zu erfüllen, die jedoch nicht die überwiegendeZweckbestimmung darstellen. Nach 26.1 VVThürDSG ist bei meh-reren Tätigkeitsfeldern die teilweise dem Wettbewerb unterfallenund teilweise nicht dem Wettbewerb unterfallen, auf die überwie-gende Zweckbestimmung abzustellen. Da bei einer Universitätskli-nik überwiegend Leistungen der Krankenversorgung erbracht wer-den, ist von einer Wettbewerbssituation auszugehen. Gleiches giltauch für die Landesfachkrankenhäuser für Psychiatrie und Neurolo-gie bei denen nur ein geringer Teil der Patienten zwangsweise ein-gewiesen wird und zum überwiegenden Teil die Patienten sich dieim Wettbewerb zueinander stehenden Krankenhäuser selbst aussu-chen können. Diese Auffassung vertritt auch das TMSG. 11.7 Bekenntnisfreiheit und Datenschutz im Kranken-haus Aufgrund meiner Ausführungen zur Übermittlung von Daten zurReligionszugehörigkeit von Patienten im Krankenhaus im 1. TB(11.3.4), wurde ich gebeten, die von mir “favorisierte negative Be-kenntnisfreiheit eines Patienten im Krankenhaus” nochmals zu über-denken. Es sollte danach dem Patienten freigestellt sein, ob er Anga-ben zu seiner Konfession machen will oder nicht. Um dies sicherzu-stellen, wurde angeregt, die Krankenhäuser zu verpflichten, entspre-chende Fragen an den Patienten zur Konfessionszugehörigkeit zustellen. Ich habe dazu mitgeteilt, daß keinesfalls eine Verfahrenswei-se favorisiert wurde, sondern ich lediglich auf die grundrechtlichgarantierte negative Bekenntnisfreiheit nach Artikel 4 Abs. 1Grundgesetz hingewiesen habe. Selbstverständlich bestehen keineBedenken gegen eine Erhebung der Religionszugehörigkeit zumZweck der Weitergabe an die Klinikseelsorge, sofern der Patientseine Einwilligung nach einer Information über die Freiwilligkeiterteilt hat. Davon zu unterscheiden ist jedoch die mögliche Verpflichtung desKrankenhauses, überhaupt die Krankenhausseelsorge einzuschaltenund hierzu entsprechende Erhebungen beim Patienten durchzufüh-ren. Das ist keine Frage des Datenschutzes und müßte beispielsweise


149

durch die Krankenhausträger erfolgen. Deshalb habe ich den betref-fenden Kirchenvertreter an das TMSG als oberste Rechtsaufsicht imKrankenhausbereich vermittelt. Wie mir bekannt ist, wird derzeitzwischen dem TMSG und dem TIM eine Mitteilung an die Kran-kenhäuser in öffentlicher Trägerschaft vorbereitet, die vorsehen soll,daß der Wunsch des Patienten bezüglich einer Krankenhausseelsor-ge sowohl im positiven wie im negativen Sinn zu respektieren ist. Ineiner solchen Mitteilung könnten auch die datenschutzrechtlicheFragen zusammenfassend dargestellt werden. Darin wäre u. a. klar-zustellen, daß die Erhebung der Konfessionszugehörigkeit nur mitEinwilligung des Patienten zulässig ist, wobei dieser auf die Frei-willigkeit seiner Angaben und die ausschließliche Zweckbestim-mung der Weiterleitung dieses Datums an den zuständigen Seelsor-ger informiert werden muß. Kann der Patient nicht befragt werdenund ist die Religionszugehörigkeit dem Krankenhaus bekannt, so istauf den mutmaßlichen Willen des Patienten abzustellen, der insbe-sondere auch durch Befragung von Angehörigen ermittelt werdenkann. Ich gehe davon aus, daß mit einer entsprechenden Mitteilungauch dem Anliegen der Kirchen an einer Ermöglichung ihrer Arbeitim Krankenhaus ausreichend Rechnung getragen werden kann. 11.8 Datensicherungsmaßnahmen beim Versand von

Gewebeproben Daß der Datenschutz nicht nur eine unzulässige Erhebung, Verar-beitung und Nutzung von Daten bzw. eine Kenntnisnahme perso-nenbezogener Daten durch unbefugte Personen verhindern soll,sondern auch dazu dient, personenbezogene Daten vor Verlust zuschützen, zeigt ein Fall, den ich der Presse entnommen habe. Dortwar unter der Überschrift “Verschlampte Krebs-Tests: Wenn mansich auf die Post verläßt ...” zu lesen, daß von einem Krankenhausbei mehreren entnommenen Gewebeproben von Patienten nach demVersand mit einfacher Postsendung auf dem Postweg verlorenge-gangen waren. Solche Gewebeproben sind Patientendaten i. S. v.§ 27 Abs. 2 Satz 2 ThürKHG, da es sich dabei um Einzelangabenüber die persönlichen Verhältnisse bestimmter Patienten aus demBereich der Krankenhäuser handelt. Selbst wenn, wie im Regelfall,die Gewebeproben nicht den Namen und sonstige personenbezogene


150

Angaben getragen haben, sondern mit einer Verweisnummer verse-hen wurden, handelt es sich um solche Informationen über den Pati-enten, die nach durchgeführter Analyse anhand der Verweisnummerim Krankenhaus wieder dem einzelnen Patienten zugeordnet wer-den. Kommt die Gewebeprobe abhanden, so sind auch diese perso-nenbezogenen Angaben verloren. Daher sind nach § 27 Abs. 10ThürKHG durch das Krankenhaus die technischen und organisatori-schen Maßnahmen zu treffen, die erforderlich und angemessen sind,um die Beachtung der in den Absätzen 1 bis 9 enthaltenen Bestim-mungen zu gewährleisten. Dazu gehört insbesondere auch der Erhaltder personenbezogenen Daten. Das betreffende Krankenhaus hat auf meine Anfrage hin mitgeteilt,daß die Gewebeproben in einer Spezialverpackung mit einfacherPostsendung an ein Labor versandt wurden. Diese Verfahrensweiseentsprach den genannten Anforderungen nicht, da mangels einerlückenlosen Dokumentation (Postausgangsbuch, Dokumentationüber den Verbleib bei der Post AG) eine Nachverfolgung der Probenerheblich erschwert bzw. ausgeschlossen wird. Aufgrund des Vor-falls hat das Krankenhaus sein Verfahren dahingehend geändert, daßdie Gewebeproben zukünftig durch einen Paketdienst transportiertwerden, bei dem sowohl die Übergabe als auch alle weiteren Zwi-schenstationen lückenlos aufgezeichnet werden. 11.9 Archivierung von Krankenakten Krankenhäuser haben die Akten ihrer Patienten auch nach Abschlußder Behandlung für eine bestimmte Zeit sicher aufzubewahren. Dieserfolgt sowohl im Interesse des Patienten als auch im Interesse desKrankenhauses und des behandelnden Arztes, der beispielsweise beimöglichen Haftungsprozessen die Möglichkeit haben muß, nachzu-weisen, welche Diagnosen er gestellt bzw. therapeutische Maßnah-men er auf welcher Wissensgrundlage angeordnet hat. Dementspre-chend legen die ärztlichen Berufsordnungen und spezialgesetzlicheRegelungen wie z. B. die Strahlenschutzverordnung Mindestzeitenfür die Aufbewahrung von Krankenunterlagen fest. In einer Dienst-anweisung hatte ein Krankenhaus in Anlehnung an die Verjährungs-frist des BGB eine Aufbewahrungsfrist von abgeschlossenen Kran-


151

kenakten auf dreißig Jahre festgelegt und gleichzeitig angeordnet,daß ältere Akten zu vernichten sind. Sofern im Einzelfall ein beson-deres Interesse für die Forschung und Lehre besteht, sollte von einerVernichtung abgesehen werden. Im Rahmen einer Kontrolle wurdefestgestellt, daß unter Hinweis auf die Notwendigkeit der Nutzungder Akten für Forschungszwecke generell noch alle Akten, die län-ger als dreißig Jahre abgeschlossen waren, im Krankenhaus aufbe-wahrt worden waren. Eine generelle Aufbewahrung aller Akten überdie vorgeschriebenen Aufbewahrungsfristen hinaus ist nach § 27Abs. 9 ThürKHG nicht zulässig. Die Akten wurden in erster Liniezum Zweck der Krankenbehandlung angelegt. Nach Abschluß derKrankenhausbehandlung und Ablauf einer angemessenen Frist be-steht keine Notwendigkeit mehr, daß ohne weiteres auf diese Unter-lagen im Rahmen des Krankenhausgesetzes zugegriffen werdenmuß. Sofern Unterlagen für Forschungszwecke benötigt werden,können in den Krankenhäusern vorhandene Unterlagen nach denGrundsätzen von § 27 Abs. 4 ThürKHG innerhalb des Krankenhau-ses (ggf. auch durch externe Forscher) genutzt werden. Diese For-schungsklausel, die u. a. die Pflicht zur frühestmöglichen Anonymi-sierung der Unterlagen enthält, gilt jedoch nur dann, wenn die Pati-entendaten noch nicht nach § 27 Abs. 9 ThürKHG zu löschen sind.Nach Ablauf der Aufbewahrungsfristen ergeben sich aus dem Ar-chivrecht die rechtlichen Rahmenbedingungen , um sowohl denInteressen der Forscher als auch den berechtigten Interessen derPatienten am ordnungsgemäßen Umgang mit ihren Gesundheitsda-ten gerecht zu werden. Die weitere Aufbewahrung von Krankenun-terlagen bedarf einer besonderen Betrachtung, wenn es sich um einewissenschaftliche Forschungseinrichtung handelt. Konkret stelltesich mir diese Frage bei einem Universitätsklinikum. Wegen dembesonderen Forschungsinteresse an den dort vorhanden Krankenun-terlagen und weil die potentiellen Nutzer überwiegend aus demKlinikum selbst kommen, beabsichtigt das Klinikum, ein eigenesKrankenaktenarchiv auf der Grundlage von § 5 Thüringer Archivge-setz (ThürArchivG) einzurichten. Hierzu muß von der Universitäteine eigene Archivsatzung erlassen werden. Dabei wird darauf zuachten sein, daß nur diejenigen Patientenakten dauerhaft archiviertwerden, die für die Forschung von Bedeutung sind. Weil es sich umbesonders sensible Akten handelt, muß dabei auch eine Begrenzung


152

des Personenkreises erfolgen, der mit diesen Akten umgehen darf,wobei sich der Kreis grundsätzlich nur auf die der Schweigepflichtunterliegenden Ärzte erstrecken sollte. Aus datenschutzrechtlicherSicht ist eine solche Archivierung ärztlicher Unterlagen im Klinikumgegenüber einer Aufbewahrung im Staatsarchiv zu bevorzugen, dadies insoweit unter dem Schutzbereich der ärztlichen Schweige-pflicht erfolgt. Das Klinikum hat mir zugesagt, mich bei diesenweiteren Verfahrensschritten zu beteiligen. 11.10 Externe Archivierung von Krankenhausakten/Mikro-

verfilmung Die gesetzlichen Aufbewahrungspflichten für Krankenakten sowiedie technische Möglichkeit, den Archivierungspflichten auch da-durch nachzukommen, daß ein platzsparender Mikrofilm erstelltwird und die eigentliche Akte vernichtet werden könnte, führensowohl bei Krankenhäusern als auch bei entsprechenden Dienstlei-stungsunternehmen zu Überlegungen, ob diese Datenverarbeitungs-vorgänge auch außerhalb von ärztlichen Behandlungseinrichtungendurchgeführt werden können. Da in Krankenakten sensible perso-nenbezogene Daten enthalten sind, die überdies durch die Vor-schriften des Strafgesetzbuches (§ 203) sowie der Landeskranken-hausgesetze geschützt sind, ist ein Umgang mit diesen Daten durchnicht zum Krankenhaus gehörendes Personal nur unter sehr einge-schränkten Voraussetzungen möglich. Die Datenschutzbeauftragtendes Bundes und der Länder haben sich zunehmend mit Anfragen zubeschäftigen, unter welchen Voraussetzungen Verarbeitungen au-ßerhalb der ärztlichen Behandlungseinrichtungen noch als zulässiganzusehen sind. Dabei sind die rechtlichen Rahmenbedingungen inden einzelnen Bundesländern aufgrund der unterschiedlichen Lan-deskrankenhausgesetze differenziert zu betrachten. Die Mikrover-filmung von Krankenhausakten durch ein Privatunternehmen istnach § 27 Abs. 5 Satz 2 ThürKHG erlaubt, wenn das Krankenhaussicherstellt, daß beim Auftragnehmer besondere technisch-organisatorische Schutzmaßnahmen eingehalten werden und solangekeine Anhaltspunkte dafür bestehen, daß durch die Art und Ausfüh-rung der Auftragsdatenverarbeitung schutzwürdige Belange vonPatienten beeinträchtigt werden. Bei dieser Vorschrift handelt es sich


153

um eine Befugnisnorm, die eine Offenbarung von Patientenaktenzum Zweck der Mikroverfilmung an Mitarbeiter des Unternehmenserlauben. Es gilt hier allerdings die Einschränkung, daß keine An-haltspunkte bestehen, daß schutzwürdige Belange von Patientenbeeinträchtigt werden. Sofern die Akten zum Zweck der Mikrover-filmung aus dem Krankenhaus gegeben werden, entfällt der Ge-wahrsam der Krankenanstalt nach § 97 Abs. 2 Satz 2 StPO. Das hatzur Folge, daß die Krankenakten den Beschlagnahmeschutz verlie-ren, den sie bei Aufbewahrung im Krankenhaus genießen. Deshalbwird in diesen Fällen regelmäßig ein entgegenstehendes Interessedes Patienten anzunehmen sein, so daß eine Mikroverfilmung durchDritte nur innerhalb des Krankenhauses als zulässig anzusehen ist.Nach Angaben der Landeskrankenhausgesellschaft, besteht derzeitbei den Thüringer Krankenhäusern kein Bedürfnis, diese Mikrover-filmung bzw. die Archivierung von Krankenunterlagen außerhalbder Krankenhäuser vorzunehmen. Für eine Archivierung von Krankenakten außerhalb der Kranken-häuser gibt es keine entsprechenden Regelungen im ThüringerKrankenhausgesetz. Die allgemeinen Vorschriften über die Daten-verarbeitung im Auftrag nach § 8 ThürDSG können jedoch eineOffenbarung von Unterlagen, die der ärztlichen Schweigepflichtunterliegen, nicht erlauben. Sofern eine Einwilligung der betroffenenPatienten nicht vorliegt, kommt für eine Aufbewahrung dieser Un-terlagen bei einem externen Archivierungsunternehmen lediglicheine sogenannte “Container-Lösung” (5.2.9) in Betracht, bei der esdem aufbewahrenden Unternehmer nicht möglich ist, Kenntnis vomInhalt der jeweiligen Akten zu nehmen. 11.11 Krankenakte im Krankenhaus verlegt Eine Patientin eines Thüringer Krankenhauses wandte sich mit derBitte an mich, ihr beim Auffinden ihrer Krankenakte behilflich zusein, da sie diese im Rahmen einer weiteren ärztlichen Behandlungbenötigte. Meine Überprüfung der Angelegenheit ergab, daß dieKrankenakte unter einem falschen Vornamen im Archiv des Kran-kenhauses abgelegt worden war. Dadurch bedingt erhielt die Patien-tin bei ihren Nachfragen die Auskunft, daß ihre Akte nicht vorliege.


154

Obwohl in diesem Fall keine Stellen außerhalb des KrankenhausesKenntnis vom Inhalt der Akte nehmen konnten, lag eine Beeinträch-tigung der Rechte der Patientin vor, da ein erforderlicher Zugriff aufdie Unterlagen über einen längeren Zeitraum nicht möglich war. Ichhabe daraufhin das Krankenhaus aufgefordert, die Unterlagen soaufzubewahren, daß jederzeit unter dem zutreffenden Namen auf siezugegriffen werden kann. 11.12 Einsichtsrecht des Patienten in Krankenhausakten Im Rahmen einer Eingabe hatte ich mich mit der Frage zu beschäfti-gen, unter welchen Voraussetzungen und in welchem Umfang Pati-enten Einsicht in die zu ihrer Behandlung angelegten Krankenaktenerhalten können. Der Petent war nach seinen Angaben Ende derfünfziger und Mitte der sechziger Jahre zwei Mal - nach seiner An-sicht zu Unrecht - zwangsweise in eine Nervenklinik eingewiesenworden. Zwischenzeitlich hatte er einen Antrag auf berufliche Reha-bilitierung gestellt und dabei erfahren, daß im betreffenden Kran-kenhaus eine Krankenakte über ihn existiert. Nachdem er schriftlicheinen Antrag auf Akteneinsicht gestellt hatte, fand ein Termin imKrankenhaus statt, bei dem ihm ein Arzt auszugsweise aus seinerKrankenakte vorgelesen hatte. Ein unmittelbarer Einblick in dieAkte wurde ihm aus Gründen des Datenschutzes verweigert. Die vonihm vermuteten Bescheinigungen über die Zwangseinweisungenbefanden sich nach Angaben des Arztes nicht in der Krankenakte.Nach § 27 Abs. 8 ThürKHG hat der Patient auf einen Antrag hinAnspruch auf kostenfreie Auskunft über die zu seiner Person gespei-cherten Daten. Daraus ist abzuleiten, daß der mündige Patientgrundsätzlich ein Recht darauf hat, zu erfahren, welche Aufzeich-nungen über ihn im Rahmen einer Krankenhausbehandlung erstelltworden sind. Nach § 27 Abs. 8 Satz 3 ThürKHG ist vorgesehen, daßdie Auskunft im Einzelfall durch einen Arzt vermittelt werden soll,soweit dies mit Rücksicht auf den Gesundheitszustand des Patientendringend geboten ist. Sinn dieser Regelung ist die Absicht, demeinsichtnehmenden Patienten, der in der Regel nicht über den medi-zinischen Sachverstand verfügt, die ärztliche Dokumentation in ihrervollen Tragweite zu erläutern. So könnte z. B. die Eintragung einerVerdachtsdiagnose, die sich jedoch nicht bestätigt hat, beim Patien-


155

ten zu falschen Schlüssen führen. Nach § 27 Abs. 8 Satz 3ThürKHG ist eine Beschränkung der Auskunft hinsichtlich ärztlicherBeurteilungen oder Wertungen zulässig. Hier ist durch den Arzt imEinzelfall eine Abwägung zwischen dem informationellen Selbstbe-stimmungsrecht und dem therapeutischen Interesse des Patientenvorzunehmen. Soweit Unterlagen aus den Krankenakten als Nach-weis in einem Rehabilitierungsverfahren benötigt werden, bestehtdie Möglichkeit, daß der Patient die Krankenhausärzte gegenüberder Rehabilitierungsbehörde von der ärztlichen Schweigepflichtentbindet und diese die erforderlichen Unterlagen in Kopie der Re-habilitierungsbehörde übergeben. Dabei wäre allerdings auch mög-lich, daß ärztliche Beurteilungen oder Wertungen, die die Vorausset-zungen nach § 27 Abs. 8 Satz 4 ThürKHG erfüllen, auf den Kopiengeschwärzt werden. Evtl. in den Akten vorhandene personenbezoge-ne Daten Dritter müssen geschwärzt werden, da sich der Auskunfts-anspruch nicht auf diese Daten erstreckt. Das Krankenhaus habe ichauf diese Rechtslage hingewiesen. Dieses hat mitgeteilt, daß gegeneine entsprechende Erstattung der Kosten für Kopien und Porto diegewünschten Kopien zur Verfügung gestellt werden. Den Petentenhabe ich ebenfalls über diese Verfahrensmöglichkeiten informiert,womit seinem Anliegen in angemessener Weise Rechnung getragensein dürfte. 11.13 Chipkarten im Gesundheitswesen Bereits in meinem 1. TB (11.10) habe ich die Aktivitäten im Bereichdes Gesundheitswesens zur Einführung von Chipkartenanwendun-gen sowie die hierzu von den Datenschutzbeauftragten des Bundesund der Länder geforderten Rahmenbedingungen dargestellt. Auchim Berichtszeitraum hat ein intensiver Meinungsaustausch zwischenden Datenschutzbeauftragten und der Arbeitsgemeinschaft “Kartenim Gesundheitswesen” stattgefunden. In der Arbeitsgemeinschaftsind bundesweit Verbände, Institutionen und Unternehmen vertreten,die eine gewisse Standardisierung der Technik bei den Kartenpro-jekten - auch auf europäischer Ebene - anstreben. Im Rahmen diesesMeinungsaustausches wurde in zahlreichen Punkten Übereinstim-mung bei der Beurteilung der Rahmenbedingungen für den Einsatzvon Chipkartenanwendungen erzielt. Dazu zählt u. a., daß die Ver-


156

wendung von Chipkarten im Gesundheitswesen (mit Ausnahme derKrankenversichertenkarte nach § 291 SGB V) ausschließlich auffreiwilliger Basis erfolgt und der Betroffene jederzeit die Möglich-keit haben muß, vom Inhalt der gespeicherten Daten Kenntnis zunehmen. Einvernehmen besteht auch bzgl. der Notwendigkeit zurSchaffung der technischen Voraussetzungen, um sicherzustellen, daßkeine unbefugten Dritten Einsicht in die auf der Karte gespeichertenDaten bekommen (vgl. hierzu die allgemeinen Anforderungen an dieDatensicherheit beim Einsatz von Chipkarten unter 15.9). Zwischen-zeitlich sind weitere Pilotprojekte, wie z. B. die medizinische Pati-entenkarte bei der Kassenärztlichen Vereinigung Koblenz gestartetworden, die den Vorgaben der Entschließungen der Datenschutzkon-ferenzen weitgehend entspricht (das Problem des sozialen Druckszur Verwendung der Karte stellt sich hier wegen der geringen Zahlder Teilnehmer nicht). Andere bereits begonnene Pilotprojekte wur-den nicht weiter verfolgt. Mittlerweile ist eine gewisse Tendenzdahingehend zu beobachten, daß die freiwilligen Patientenchipkartenlediglich einen eingeschränkten Datensatz wie z. B. Blutgruppe,Rhesusfaktor, Allergien, Impfungen usw. enthalten. Dies wird durchAbsprachen auf der Ebene der G7-Staaten unterstrichen, die sich aufeinen einheitlichen Patienten-Datensatz (Patient Data Set) geeinigthaben, der in allen Gesundheitskartensystemen als Mindestangabeenthalten sein sollte. Dieser Datensatz umfaßt neben reinen Notfal-langaben auch Angaben über Erkrankungen, Allergien und Medi-kamente, deren Kenntnis bei einer ärztlichen Behandlung notwendigsind, um das Eintreten eines Notfalls oder einer ernsten Komplikati-on möglichst zu vermeiden. Ergänzend soll eine sogenannte HealthProfessional Card (HPC) entwickelt werden, die Ärzten oder medi-zinischem Personal über elektronische Verfahren den Zugriff aufPatientendaten der Patientenchipkarten aber auch über Datennetzeauf Patientendaten in Arztpraxen und Krankenhäusern ermöglichensoll. Durch den Einsatz von geeigneter Sicherheitssoftware mußdabei sichergestellt werden, daß nur hierzu berechtigte Angehörigevon Heilberufen und deren Hilfspersonal (Health Professionals)Zugriff auf sensible medizinische Daten bekommen können. Auchim Zusammenhang mit der Nutzung von medizinischen Datennetzenund telemedizinischen Anwendungen (z. B. Übertragung von Ope-rationen über das ISDN-Netz) stellen sich ähnliche Fragen wie bei


157

Chipkartenanwendungen. So ergibt sich auch hier insbesondere dasProblem, welche technischen Vorkehrungen getroffen werden müs-sen, um auszuschließen, daß Unbefugte Zugriff auf die durch § 203StGB besonders geschützten medizinischen Daten bekommen kön-nen. 11.14 Vorlage eines polizeilichen Führungszeugnisses für

die Zulassung als Vertragsarzt Bereits in meinem 1. TB (11.11.2) hatte ich darüber berichtet, daßdas von der Kassenärztlichen Vereinigung Thüringen nach wie vorfür die Zulassung als Vertragsarzt geforderte Behördenführungs-zeugnis zur unmittelbaren Übersendung an die Behörde auf die der-zeit gültige Rechtsgrundlage des § 18 Abs. 2 b Ärzte-ZV nicht ge-stützt werden kann. Da von Fachseite ein Behördenführungszeugnisgemäß § 30 Abs. 5 BZRG aber weitgehend für erforderlich gehaltenwird, hat das BMG nunmehr den Entwurf einer fünften Verordnungzur Änderung der Zulassungsverordnung für Vertragsärzte vorge-legt, gegen den ich aus datenschutzrechtlicher Sicht keine Bedenkenmehr habe. 11.15 Umgang mit Kassenarztverzeichnis Im Berichtszeitraum wurde die Frage erörtert, welchen PersonenAngaben aus dem bei der Kassenärztlichen und Kassenzahnärztli-chen Vereinigungen (KV bzw. KZV) nach § 95 SGB V zu führen-den Arztregister zugänglich gemacht werden können. Als möglicheAdressaten kommen die übrigen Kassenärzte im Einzugsbereich derKV und KZV, die gesetzlichen Krankenkassen, die gesetzlich Kran-kenversicherten oder auch Rettungsleitstellen in Betracht. Die Be-kanntgabe der Namen, Anschriften, Facharztbezeichnung, Sprech-zeiten und Telefonnummern der Kassenärzte an die Krankenkassensowie auf Einzelanfrage an die gesetzlich Krankenversicherten halteich nach den Vorschriften des SGB V für zulässig. Ebenso ist dieBekanntgabe der Daten an diejenigen Rettungsleitstellen zu beurtei-len, die die Einsätze der am ärztlichen Notfalldienst teilnehmendenÄrzte koordinieren. Für eine Übermittlung an alle übrigen Kassen-ärzte oder gar Veröffentlichung der Angaben, besteht jedoch keine


158

gesetzliche Grundlage, weshalb dies nur mit Einwilligung der be-troffenen Ärzte zulässig wäre, falls eine Erforderlichkeit hierfürüberhaupt zu begründen wäre. Bei den personenbezogenen Datender Vertragsärzte wie z. B. Name, Anschrift, Facharztbezeichnung,Sprechzeiten oder Telefonnummer handelt es sich auch um Sozi-aldaten im Sinne von § 67 Abs. 1 SGB X, weil diese von der KV alseiner im SGB genannten öffentlich-rechtlichen Vereinigung (§ 35Abs. 1) im Hinblick auf die in § 95 SGB V vorgesehene Pflicht zurFührung des Arztregisters erhoben wurden. Das ergibt sich im übri-gen auch aus § 285 SGB V. Da die Krankenkassen an der Erfüllungdes Sicherstellungsauftrages mitwirken, haben sie einen Anspruch,zu erfahren, ob in ihrem Bereich die vertragsärztliche Versorgungtatsächlich sichergestellt ist. Deshalb ist eine Übermittlung der Ärz-teliste an die Krankenkassen nach § 69 Abs. 1 Nr. 1 SGB X und§ 285 Abs. 3 i. V. m. Abs. 1 Satz 1 Nr. 2 SGB V zulässig. Auch eineÜbermittlung im Einzelfall auf Anfrage von Versicherten durch dieKrankenkassen ist zur Aufgabenerfüllung der Krankenkassen nach§ 69 Abs. 1 Nr. 1 SGB X erforderlich, da diese nach § 17 SGB I diePflicht haben, darauf hinzuwirken, daß jeder Berechtigte die ihmzustehenden Sozialleistungen in zeitgemäßer Weise, umfassend undschnell erhält sowie der Zugang zu den Sozialleistungen möglichsteinfach gestaltet wird. Eine Rechtsgrundlage für die Übermittlungdieser Liste durch die KV an die übrigen Vertragsärzte ist jedochweder dem Sozialgesetzbuch zu entnehmen, da die Vertragsärztenicht als Leistungsträger anzusehen sind, noch aus § 59 Bundes-mantelvertrag-Ärzte ersichtlich, da dort lediglich geregelt ist, daß dieKV den Krankenkassen ein Verzeichnis zur Verfügung stellt, jedochnicht die Vertragsärzte als Empfänger nennt. Es besteht allenfalls dieMöglichkeit, die Vertragsärzte in eine entsprechende Datenüber-mittlung einwilligen zu lassen, wobei diese vorher auf den Zweckund die Freiwilligkeit der Übermittlung hingewiesen werden müs-sen. Demgegenüber ist die Übermittlung der Daten an eine Ret-tungsleitstelle, die die Einsätze des ärztlichen Notfalldienstes koor-diniert, zur Erfüllung des Sicherstellungsauftrages nach § 75 SGB Verforderlich. Deshalb ergibt sich die Zulässigkeit der Datenüber-mittlung aus § 285 Abs. 3 i. V. m. Abs. 1 Satz 1 Nr. 2 SGB V. EineErforderlichkeit der Übermittlung von Vertragsarztdaten an Ret-


159

tungsleitstellen, in deren Bereich der betreffende Arzt nicht nieder-gelassen ist, ist aber nicht ersichtlich. 11.16 Meldebögen der Landestierärztekammer Thüringen In einer Anfrage wurde ich auf die von der LandestierärztekammerThüringen verwendeten Meldebögen zur Anmeldung bei der Tier-ärztekammer aufmerksam gemacht. Darin werden außer den Anga-ben zur Person, Praxisanschrift, tierärztlichen Prüfung, Approbationund Fachgebietsbezeichnungen auch Angaben über die Mitglied-schaft beim Versorgungswerk, die Höhe der bisherigen Kammerbei-träge, die Versandanschrift für das Deutsche Tierärzteblatt sowie ineinem weiteren Erhebungsbogen detaillierte Angaben zur Haupt-und Nebentätigkeit der Ärzte angefordert. Dabei werden u. a. dieNamen von Mitinhabern einer Gemeinschafts- bzw. Gruppenpraxisoder des Arztes, bei dem der Meldende als Assistent tätig ist sowiedie Beschäftigungsverhältnisse mit Kliniken oder Instituten erfragt.Auf Nachfrage zur Erforderlichkeit dieser Angaben teilte die Lande-stierärztekammer mit, daß dies zur Ermittlung des Fort- und Weiter-bildungsbedarfs sowie zur Ermittlung geeigneter Gutachter notwen-dig sei. In der aufgrund des Thüringer Heilberufegesetzes (Heil-berG) erlassenen Satzung der Landestierärztekammer Thüringenwird der Tierarzt nach § 3 verpflichtet, Angaben über Personalien,Ort und Art seiner Tätigkeit sowie Nachweise über seine Qualifika-tion einzureichen, wobei der von der Landestierärztekammer vorge-gebene Meldebogen verwendet werden soll. Von dieser Meldepflichtsind jedoch die detaillierten Angaben im Meldebogen nicht erfaßt.Solange keine Pflichten zur detaillierten Meldung in der Satzung derLandestierärztekammer bzw. dem HeilberG aufgenommen sind,können diese Angaben von den Kammermitgliedern nur mit derenEinwilligung erhoben und gespeichert werden, wobei die Betroffe-nen hierauf hinzuweisen sind. Die Landestierärztekammer hat zwi-schenzeitlich im Meldebogen diejenigen Angaben, die von den Mit-gliedern freiwillig erhoben werden, als solche gekennzeichnet undeine entsprechende Einwilligungserklärung am Ende des Formularsaufgenommen. Einem der nächsten Rundbriefe soll eine Erklärungbeigelegt werden, mit der die Kammermitglieder ihre nachträglicheEinwilligung zur Erhebung und weiteren Verarbeitung der im Mel-


160

debogen erhobenen Daten erteilen können. Darin werden sie auf denZweck der Erhebung und Speicherung sowie auf die Freiwilligkeitund die Möglichkeit des jederzeitigen Widerrufs hingewiesen.Gleichzeitig beabsichtigt die Kammer sich darum zu bemühen, ineiner Novellierung des HeilberG sowie der Satzung auf eine nor-menklare Konkretisierung derjenigen Daten zu drängen, zu derenAngabe die Kammermitglieder verpflichtet sind. 11.17 Automatisierte Datenverarbeitung bei der AOK Im Berichtszeitraum habe ich die automatisierte Datenverarbeitungbei der AOK-Thüringen überprüft. Die Datenverarbeitung erfolgtdergestalt, daß die jeweiligen Geschäftsstellen mit einem zentralenRechenzentrum über Datenleitungen verbunden sind. Im Rechen-zentrum habe ich eine datenschutzrechtliche Kontrolle durchgeführt,um mich über die technischen und organisatorischen Maßnahmenzum Schutz der Sozialdaten zu informieren. Dabei habe ich entspre-chend der Sensibilität der verarbeiteten Daten insgesamt ausreichen-de technische und organisatorische Schutzmaßnahmen vorgefunden.Ich konnte darüber hinaus den einen oder anderen Hinweis zur Ver-besserung der Schutzmaßnahmen geben, was zwischenzeitlich auchumgesetzt wurde. So fehlte zum Zeitpunkt der Kontrolle z. B. einKonzept über Maßnahmen im Katastrophenfall, d. h. eine Möglich-keit im Falle eines Brandes oder des sonstigen Ausfalls des zentralenRechners innerhalb kürzester Zeit mit den aufbewahrten Siche-rungskopien einen Notbetrieb zu gewährleisten. Dies wurde eben-falls umgesetzt. Zum Zeitpunkt der Kontrolle war ein privatisierter Rechenbetriebmit der Datenverarbeitung beauftragt. Nach § 80 Abs. 5 SGB X istdas dann möglich, wenn beim Auftraggeber ansonsten Störungen imBetriebsablauf auftreten oder die Aufgaben beim Auftragnehmererheblich kostengünstiger besorgt werden können. Nach dem In-krafttreten des Zweiten SGB-Änderungsgesetzes wurde als zusätzli-che Voraussetzung in § 80 Abs. 5 SGB X festgelegt, daß nicht dergesamte Datenbestand des Auftraggebers beim Auftragnehmer ge-speichert werden darf. Zwischen der AOK, dem TMSG und demTLfD haben Gespräche zu den Möglichkeiten der Umsetzung dieser


161

zusätzlichen Voraussetzung stattgefunden. Im Ergebnis wurde zwi-schenzeitlich das Rechenzentrum in die Organisation der AOK-Thüringen eingegliedert, so daß die Vorschriften der Auftragsdaten-verarbeitung nicht mehr zur Anwendung kommen. 11.18 Automatisierte Abrechnung durch die Krankenkassen Im Berichtszeitraum wurden zahlreiche datenschutzrechtliche Fra-gen im Zusammenhang mit der im Gesundheitsreformgesetz undGesundheitsstrukturgesetz festgelegten automatisierten Abrechnungder gesetzlichen Krankenkassen mit den Leistungserbringern erör-tert. In § 295 SGB V werden die Kassenzahnärzte und Kassenärzteverpflichtet, die Abrechnungsunterlagen maschinenlesbar an ihreKassenärztliche bzw. Kassenzahnärztliche Vereinigung zu übermit-teln, die diese ebenfalls maschinenlesbar den Krankenkassen zuAbrechnungszwecken zu übermitteln haben. Entsprechende Pflich-ten zur maschinenlesbaren Übermittlung von Abrechnungsdaten andie Krankenkassen treffen nach § 300 SGB V die Apotheken, § 301SGB V die Krankenhäuser und nach § 302 SGB V die sonstigenLeistungserbringer (z. B. Optiker, Rettungsdienste etc.). Die gesetz-lichen Vorschriften sehen jeweils vor, daß die Einzelheiten zumDatenträgeraustausch zwischen den Spitzenverbänden der Kassenund der Leistungserbringer einvernehmlich durch Vereinbarungenbzw. gemeinsam erstellte Richtlinien geregelt werden. Diese Ver-einbarungen wurden zwischenzeitlich alle getroffen bzw. ersatzwei-se durch das Bundesschiedsamt festgelegt. Bis Ende 1997 war derautomatisierte Datenträgeraustausch größtenteils noch nicht angelau-fen, was u. a. mit technischen Schwierigkeiten begründet wird. Nachdessen Einführung werde ich mich über die Einhaltung der hierzugeltenden datenschutzrechtlichen Vorschriften informieren. 11.18.1 Datenträgeraustausch zwischen Krankenkassen und

Zahnärzten Der Gesetzgeber hat in § 295 Abs. 2 SGB V festgelegt, daß die Kas-senärztlichen Vereinigungen den Krankenkassen die für die Abrech-nung erforderlichen Angaben fallbezogen nicht jedoch versicherten-bezogen auf maschinell verwertbaren Datenträgern übermitteln sol-


162

len. Damit wurde der Tatsache Rechnung getragen, daß es sich beiden Arztabrechnungen um einen sehr sensiblen Datenbestand han-delt, der beim Normalfall einer Abrechnung nicht beliebig und sy-stematisch durch die Krankenkassen ausgewertet werden soll. DieEinzelheiten sollten nach § 275 Abs. 3 SGB V von den Spitzenver-bänden der Krankenkassen und den Kassenärztlichen Bundesverei-nigungen in einer Vereinbarung geregelt werden. Zwischen derKassenzahnärztlichen Bundesvereinigung und den Spitzenverbändender Krankenkassen kam keine einvernehmliche Vereinbarung zu-stande. Daraufhin wurde vom zuständigen Bundesschiedsamt eineVereinbarung durch Schiedsspruch festgelegt. Dieser Schiedsspruchberücksichtigte jedoch nicht in ausreichendem Maße die Vorgabendes § 295 Abs. 2 SGB V. Die Identität des einzelnen Versichertenwar den Abrechnungsdaten mit relativ geringem Aufwand aus einemVergleich der Leistungs- mit den Versichertendatensätzen zu ent-nehmen, weil beide Datensätze identische Angaben enthalten. Dashätte eine versichertenbezogene Abrechnung bedeutet, was abernach § 295 Abs. 2 SGB V gerade unzulässig ist. Nachdem sich dieDatenschutzbeauftragten des Bundes und der Länder für eine Redu-zierung der zu übermittelnden Angaben sowohl im Versichertenda-tensatz wie auch im fallbezogenen Leistungsdatensatz ausgespro-chen haben, haben die gesetzlichen Krankenkassen dies in entspre-chenden Protokollnotizen umgesetzt und so die Möglichkeit derZusammenführung beider Datensätze erheblich verringert. Lediglichder Verband der Angestelltenkrankenkassen verhielt sich zunächstabwartend. Nach einer entsprechenden Aufforderung durch die Kon-ferenz der Datenschutzbeauftragten des Bundes und der Länder(Anlage 6) hat auch dieser die Vereinbarung unterzeichnet. Aufgrund der im Zusammenhang mit der Datenträgeraus-tauschvereinbarung zwischen Kassen und KassenzahnärztlicherBundesvereinigung erörterten Probleme haben auch Gespräche aufBundesebene zwischen den Datenschutzbeauftragten einerseits undKassen und Kassenärztlicher Bundesvereinigung andererseits be-gonnen, um die Datenträgeraustauschvereinbarung im Arztbereich inentsprechender Weise zu verändern. Die Gespräche dazu sind nochnicht abgeschlossen.


163

11.18.2 ICD-10-Code zur Abrechnung ungeeignet Sowohl bei der Abrechnung zwischen den Krankenkassen und denÄrzten nach § 295 SGB V wie auch bei der Abrechnung zwischenden Krankenkassen und den Krankenhäusern nach § 301 SGB V istvorgesehen, daß den Krankenkassen die Diagnosen nach dem soge-nannte ICD-10-Code mitgeteilt werden. Dabei handelt es sich nichtum eine Verschlüsselung, die dem Leser die Kenntnisnahme derDiagnose unmöglich macht, weil die Krankheiten, die sich hinterden einzelnen Diagnoseschlüsseln verbergen, jedermann über ent-sprechende Verzeichnisse zugänglich sind. Zweck der Regelungsollte vielmehr sein, das Abrechnungsgeschehen durch vereinheit-lichte Merkmale transparent aber auch auswertbar zu machen. Dabeihat sich bei der praktischen Umsetzung gezeigt, daß der ICD-10-Code, der ursprünglich von der Weltgesundheitsorganisation zustatistischen Zwecken entwickelt wurde, für Abrechnungszwecke inseiner bestehenden Form ungeeignet ist. Hauptkritikpunkte aus da-tenschutzrechtlicher Sicht waren, daß für bestimmte, häufig vor-kommende Diagnosen teilweise zu wenig Aufschlüsselungen exi-stierten und andererseits seltene, beispielsweise nur in tropischenGegenden vorkommende Krankheiten (z. B. W 58 Krokodilbiß) sehrdetailliert dargestellt werden. Vielfach enthielten die Schlüssel zu-dem keine Diagnosen im engeren Sinne, sondern Rückschlüsse aufbestimmte Verhaltens- und Lebensweisen als Ursache von Krank-heiten (z. B. W 39 - Verletzung beim Abrennen von Feuerwerkskör-pern oder V 86 - Verletzung bei Benutzung eines geländegängigenSpezialfahrzeugs). Durch die bindende Verpflichtung der Benutzungdieses Diagnoseschlüssels bestand die Gefahr, daß ein verfälschtesBild vom Patienten gezeichnet wird bzw. über die Diagnose hinausnicht erforderliche Angaben über den Patienten gespeichert werden.Aufgrund der hierzu geführten öffentlichen Diskussion haben dieKassenärztliche Bundesvereinigung sowie die Spitzenverbände derKrankenkassen und die Deutsche Krankenhausgesellschaft verein-bart, die Pflicht zur Verwendung des ICD-10-Codes für zwei Jahreauszusetzen und den Katalog umfassend zu überarbeiten. Dies istnoch nicht abgeschlossen.


164

11.18.3 Technisch-organisatorische Anforderungen an die Da-tenübermittlung

Da die Abrechnungsunterlagen zukünftig von den Leistungserbrin-gern den Krankenkassen aufgrund der Vereinbarungen nach den§§ 295 Abs. 3, 300 Abs. 3, 301 Abs. 3 und 302 Abs. 2 SGB V inmaschinenlesbarer Form zur Verfügung gestellt werden sollen, ha-ben sich die Krankenkassen entschlossen, für den Transport dieserdann in elektronischer Form vorliegenden Abrechnungsunterlagensich u. a. der bestehenden Telekommunikationsinfrastruktur zu be-dienen. Da sich jeder Versicherte aufgrund der freien Arztwahlgrundsätzlich im gesamten Bundesgebiet ärztlich behandeln lassenkann, ist hierbei zu berücksichtigen, daß die gesetzlichen Kranken-kassen mit allen Abrechnungsstellen der Leistungserbringer kom-munizieren können müßten. Zu diesem Zweck sollen sogenannteDatenannahme- und -verteilstellen eingerichtet werden, die die Da-tensätze nach den jeweiligen Datenträgeraustauschvereinbarungenan die zuständige Krankenkasse weiterleiten. Diese Funktion derDatenannahme und -verteilstellen soll in Thüringen für die AOKThüringen deren Rechenzentrum übernehmen. Von anderen Kran-kenkassen war geplant, mit dieser Aufgabe ein Privatunternehmenzu beauftragen. Angesichts der Sensibilität und dem großen Umfangder zu übermittelnden Daten sind bei der Übermittlung besondereAnforderungen an die Datensicherheit nach § 78a SGB X zu stellen.Sofern die Daten über öffentliche Leitungen übertragen werden, sinddiese mit einem geeigneten kryptographischen Verfahren zu ver-schlüsseln (vgl. hierzu Entschließung der Konferenz der Daten-schutzbeauftragten des Bundes und der Länder vom 09. Mai 1996;Anlage 4). Hierüber habe ich die meiner Kontrolle unterliegendenKrankenkassen hingewiesen. Die AOK Thüringen beabsichtigt beiEinführung des automatisierten Abrechnungsverfahrens die Datenkryptographisch zu verschlüsseln sowie mit einer digitalen Signaturversehen, so daß der Absender eindeutig identifiziert und die Inte-grität der übermittelten Daten festgestellt werden kann.


165

11.18.4 Löschung der Abrechnungsdaten Mit der Einführung des automatisierten Abrechnungsverfahrenswurden auch die gesetzlichen Aufbewahrungsfristen dieser Daten in§ 304 SGB V neu geregelt. Danach sind die Abrechnungsdaten spä-testens nach zwei Jahren zu löschen, wobei die Frist mit dem Endedes Geschäftsjahres beginnt, in dem Leistungen gewährt oder abge-rechnet wurden. Auf Anfrage bei der Kassenärztlichen VereinigungThüringen (KVT) nach der Einhaltung dieser Fristen wurde mitge-teilt, daß in einer Vielzahl von Fällen diese Zweijahresfrist über-schritten wurde. Dies betreffe insbesondere die Fälle, die im Rahmenvon Wirtschaftlichkeitsprüfungen als Vergleichsfälle zu noch beiden Sozialgerichten anhängigen Streitfällen benötigt würden. Ichhabe daraufhin gegenüber der KVT klargestellt, daß die gerichtlicheÜberprüfung einzelner Abrechnungsfälle nicht dazu führen kann,daß der gesamte Abrechnungsdatenbestand bis zum rechtskräftigemAbschluß aller Verfahren entgegen den kurzen Löschungsfristen von§ 304 SGB V aufbewahrt wird. Sofern im Rahmen der Wirtschaft-lichkeitsprüfung nach § 106 SGB V Vergleichsgruppen gebildetwerden müssen, sollte geprüft werden, ob eine Nutzung anonymi-sierter Daten ausreichend ist. Die KVT hat mir mitgeteilt, daß nurjeweils diejenigen versichertenbezogenen Daten herangezogen wer-den, welche zur Durchführung von Verfahren der Wirtschaftlich-keitsprüfung benötigt werden. Dabei sind diese Daten nur nach Mit-gliedern, Familienversicherten und Rentnern aufgeschlüsselt. Damitsoll eine ausreichende Anonymisierung erreicht sein. 11.19 Falsch verstandene Auftragsdatenverarbeitung durch

die AOK Durch eine Eingabe wurde ich darauf aufmerksam gemacht, daßEnde 1994 durch die AOK Thüringen Adreßdaten einer größerenAnzahl von Versicherten an ein Privatunternehmen übermittelt wor-den sein sollen, ohne daß es hierfür eine Rechtsgrundlage gibt. Mei-ne Überprüfung der Angelegenheit bei der AOK Thüringen ergab,daß zum Jahresende 1994 ein AOK-interner Club für “Junge Leute”aufgelöst wurde. Zweck dieses Clubs war es u. a. Gutscheine fürPräventionsangebote nach § 20 SGB V auszugeben. Zum Zeitpunkt


166

der Auflösung des Clubs existierte auf Bundesebene ein Privatunter-nehmen, das ähnliche Angebote für AOK-Mitglieder bereithielt. DieAOK Thüringen beabsichtigte, den Mitgliedern des bisherigenAOK-Clubs die Möglichkeit aufzuzeigen, dem neuen Club beizu-treten. Allerdings hat sie aus Kostengründen nicht ihre Clubmitglie-der selbst angeschrieben und auf die Möglichkeit einer Mitglied-schaft beim neuen Club hingewiesen. Vielmehr beauftragte die AOKdas Unternehmen, das den “Nachfolgeclub” betrieb mit der Infor-mation der Clubmitglieder über diese Möglichkeit. Die AOK gingdabei davon aus, daß es sich hierbei um eine Auftragsdatenverar-beitung handelt. Solche Datenverarbeitungen im Auftrag sind nachdem Sozialgesetzbuch unter der Voraussetzung zulässig, daß ohneeinen solchen Auftrag bei der AOK Störungen im Betriebsablaufauftreten können oder die übertragenen Arbeiten beim Auftragneh-mer erheblich kostengünstiger besorgt werden. Letzteres mag zwardurchaus der Fall gewesen sein, doch lagen bereits die Grundvoraus-setzungen für eine Auftragsdatenverarbeitung nicht vor. Eine solchekommt nur dann in Betracht, wenn es sich um eine technische Ab-wicklung von Datenverarbeitungsvorgängen handelt, ohne daß demAuftragnehmer eine eigene Aufgabe mit Entscheidungsbefugnissenübertragen wird. Nur in diesem Fall wird vom Gesetz der Auftrag-nehmer nicht als Dritter und damit die Weitergabe der Daten nichtals Übermittlung angesehen. Im konkreten Fall enthielt die Verein-barung außer dem allgemeinen Hinweis, daß Adreßdaten verarbeitetwerden sollen, keinerlei Ausführungen zum Zweck und Gegenstanddes Auftragsverhältnisses. Eine diesbezügliche Vereinbarung konntevon der AOK Thüringen nicht vorgelegt werden. Es war daher da-von auszugehen, daß die Adreßdaten dem Privatunternehmen ohnedie Auferlegung einer Zweckbindung, beispielsweise zur einmaligenInformation über die Möglichkeit zum Beitritt in den neu gegründe-ten Club, übermittelt wurden. Schriftliche Weisungen der AOK zurAbwicklung des Auftrags konnten ebenfalls nicht vorgelegt werden,so daß auch insoweit davon ausgegangen werden mußte, daß solcheWeisungen überhaupt nicht ergangen sind und die Adreßdaten vomneuen Club für eigene Zwecke genutzt oder weiterübermittelt wer-den konnten. Ich mußte daher feststellen, daß die Sozialdaten durchdie AOK ohne eine Rechtsgrundlage an ein Privatunternehmenübermittelt wurden. Diesen Verstoß gegen die datenschutzrechtli-


167

chen Vorschriften des Sozialgesetzbuches habe ich formell bean-standet und die AOK aufgefordert, zukünftig die Beachtung daten-schutzrechtlicher Vorschriften in diesem Bereich sicherzustellen.Die AOK teilte mit, daß hier die Belange des Datenschutzes nicht imausreichendem Maße berücksichtigt wurden und daher die Mitar-beiter nochmals über die Einhaltung der Sozialdatenschutzvor-schriften aufgeklärt worden sind. 11.20 Zweckfremde Nutzung von Sozialdaten? Im Spätsommer 1996 war Presseberichten zu entnehmen, daß Mitar-beiter der AOK Thüringen solchen Taxiunternehmern, die ihre Mit-gliedschaft bei der AOK Thüringen aufkündigten mit einem Aus-schluß aus der Teilnahme an der Versorgung mit Krankentransport-leistungen nach § 133 SGB V gedroht haben sollen. Diese Vermu-tungen legten den Schluß nahe, daß die AOK Thüringen Sozialdatender bei ihr versicherten Taxiunternehmer zweckwidrig genutzt habenkönnte. Eine Nachfrage bei der AOK Thüringen hat ergeben, daßregelmäßig bei Kündigungen Mitarbeiter der AOK versuchen, dieMitglieder zum Verbleib in der AOK zu bewegen. Diese Mitglieder-haltearbeit sei zufällig in zeitlichem Zusammenhang mit den Ver-handlungen mit den Taxiunternehmern gefallen. Allerdings seienhierbei Mitarbeiter anderer Abteilungen der AOK tätig gewesen. Beiden Betroffenen hätte daher der Eindruck entstehen können, es be-stehe ein kausaler Zusammenhang zwischen der weiteren Mitglied-schaft in der AOK und dem Abschluß von Verträgen zur Durchfüh-rung von Krankentransportleistungen. Das von mir in dieser Sacheals oberste Rechtsaufsichtsbehörde einbezogene TMSG hat denVorgang durch den Landesprüfdienst der Sozialversicherung geprüftund die Angaben der AOK Thüringen bestätigt. Ich habe danachkeinen Anlaß zu weiteren Maßnahmen gesehen, da eine zweckwid-rige Nutzung von Versichertendaten der Taxiunternehmer nichtnachweisbar war. Zum generellen Problem der Schaffung einer Befugnis für die Ge-setzlichen Krankenkassen zur Erhebung und Speicherung personen-bezogener Daten zu Werbezwecken habe ich bereits im 1. TB(11.2.1) ausgeführt, daß die Datenschutzbeauftragten des Bundes


168

und der Länder gegenüber dem zuständigen Bundesministerium fürGesundheit die Forderung erhoben haben, § 284 Abs. 1 SGB V umeine Datenerhebungsbefugnis zur personenbezogenen Werbung zuergänzen. Obwohl zwischenzeitlich einige Änderungen am SGB Verfolgt sind, ist eine solche Datenerhebungsbefugnis nicht aufge-nommen worden. Damit wurden die Möglichkeiten nicht genutzt,die nach wie vor bestehende Unsicherheiten über die Zulässigkeitder Erhebung und Speicherung personenbezogener Daten zur Wer-bung neuer Versicherter zu beseitigen. 11.21 Zu großer Verteiler beim Notarzteinsatzprotokoll Im Berichtszeitraum wurde ich darüber informiert, daß von Mitar-beitern einer Krankenkasse Durchschläge von Notarzteinsatzproto-kollen im Zusammenhang mit der Abrechnung von Rettungs-diensteinsätzen verlangt werden, bei denen der Verunglückte nochan der Unfallstelle bzw. auf dem Transport in das Krankenhausverstirbt. In diesem Fall erfolgt eine Einweisung in ein Krankenhausund die damit verbundene Übergabe einer Durchschrift des Notarz-teinsatzprotokolls an den behandelnden Arzt nicht. Neben dem Na-men und den Adreßdaten des Betroffenen erfolgen auf dem Notarz-teinsatzprotokoll Aufzeichnungen zu Erstbefund und zu Verletzun-gen. Als Begründung für diese Verfahrensweise hat die Krankenkas-se auf Nachfrage mitgeteilt, daß eine Leistungspflicht der Kranken-kasse für einen derartigen Einsatz nur dann besteht, wenn der Patientnoch lebend an der Unfallstelle vom Notarzt angetroffen wird. An-sonsten handele es sich um einen Fehleinsatz, dessen Kosten nichtvon der Krankenkasse erstattet werden. Weil es diesbezüglich in derVergangenheit Schwierigkeiten gegeben habe, den genauen Todes-zeitpunkt festzustellen, sollte die Vorlage der Kopie des Notarztein-satzprotokolls zur Feststellung einer möglichen Leistungspflicht derKrankenkasse herangezogen werden. Da im NotarzteinsatzprotokollAngaben enthaltenen sind, die der ärztlichen Schweigepflicht unter-liegen und eine Rechtsgrundlage, die die Übermittlung an einennicht-ärztlichen Mitarbeiter der Krankenkasse erlaubt, nicht besteht,ist diese Verfahrensweise unzulässig. Die Krankenkasse hat darauf-hin auf die Anforderung derartiger Notarzteinsatzprotokolle ver-zichtet.


169

In diesem Zusammenhang teilte die Krankenkasse mit, daß derartigeNotarzteinsatzprotokolle in nicht-anonymisierter Form bei der Deut-schen Rettungsflugwacht (DRF) vorliegen und regelmäßig zu Ab-rechnungszwecken verwendet werden (1. TB, 11.7). Auch insoweitgibt es keine Rechtsgrundlage für eine Durchbrechung der ärztlichenSchweigepflicht. Insbesondere nach § 302 Abs. 2 SGB V und derhierzu erlassenen Richtlinie ist nur die Weitergabe der ärztlichenVerordnung einer Krankenbeförderung zulässig, nicht jedoch dieMitteilung von Diagnosen oder Gesundheitsdaten des Patienten andie Krankenkasse. Ich habe das TIM als Aufgabenträger der Luf-trettung darauf hingewiesen, die Verfahrensweise bei der Luftrettungdahingehend umzustellen, daß der DRF als Leistungserbringer vomNotarzt lediglich ein anonymisierter Durchschlag des Notarztein-satzprotokolls zu Qualitätssicherungszwecken übermittelt wird. DasTIM hat daraufhin umgehend mit der DRF vereinbart, daß neben derärztlichen Verordnung überhaupt kein Durchschlag des Notarztein-satzprotokolls mehr der DRF übergeben werden soll. 11.22 Prüfung einer Beratungsstelle des MDK Der Medizinische Dienst der Krankenversicherung (MDK) hat nachden §§ 275 ff. SGB V die Aufgabe, für die gesetzlichen Kranken-kassen gutachterliche Stellungnahmen in bestimmten Einzelfällendurchzuführen. Da der MDK im Regelfall mit Daten umgeht, die derärztlichen Schweigepflicht unterfallen, bedarf es beim Umgang mitdiesen Daten besonderer Sorgfalt. Anläßlich einer Kontrolle in einerBeratungsstelle des MDK Thüringen habe ich die Praxis der Vorlagevon ärztlichen Unterlagen und Auskünften durch die beauftragendenKassen beim MDK überprüft. Danach wird nach Erteilung des Gut-achtenauftrags der Leistungserbringer (Arzt oder Krankenhaus) vonder Krankenkasse angeschrieben und die Beauftragung des MDKmitgeteilt. Gleichzeitig erfolgt die Aufforderung zur Übersendungder Unterlagen direkt an den MDK. Dies entspricht der Regelungdes § 276 Abs. 2 SGB V, wonach die Leistungserbringer verpflichtetsind, Sozialdaten im Rahmen eines Gutachtenauftrags unmittelbar,d.h. ohne Kenntnisnahme durch die Krankenkasse zu übermitteln.Daß die Krankenkasse nach § 276 Abs. 1 SGB V dem MDK alle zurBegutachtung erforderlichen Unterlagen vorzulegen hat, steht der


170

Verpflichtung des Leistungserbringers zur unmittelbaren Übermitt-lung der Unterlagen an den MDK nicht entgegen. Sobald der Gut-achtenauftrag erteilt ist, gilt nämlich § 276 Abs. 2 SGB V, d.h. diePflicht der Krankenkasse zur Vorlage der Unterlagen bezieht sichnur auf die zum Zeitpunkt der Auftragserteilung bei der Kasse vor-handenen Unterlagen. Die Krankenkasse darf jedoch nicht nachAuftragserteilung die Vorlage weiterer medizinischer Unterlagenvom Leistungserbringer zur Weiterleitung an den MDK verlangen,wenn sie Kenntnis vom Inhalt nehmen kann. Hierfür besteht auchkeinerlei Erforderlichkeit. Wie bereits im 1. TB (11.2.4) angekün-digt, habe ich auch den Umfang der Datenerhebungen bei gutachtli-chen Stellungnahmen nach § 275 SGB V sowie den Umfang derErgebnisübermittlung an die auftraggebende Krankenkasse über-prüft. So habe ich beispielsweise im Rahmen eines Arbeitsunfähig-keitsgutachtens festgestellt, daß bei der Berufsanamnese die Tatsa-che des Schulabschlusses nach der 8. Klasse erfaßt war. Im weiterenGutachten wurde jedoch auf diese Feststellung in keiner Weise mehreingegangen. Vom MDK wurde erklärt, daß dieses Datum zu einerüblichen Berufsanamnese gehöre. Das vollständige Gutachten ist indiesem Fall an die Krankenkasse auf der Grundlage nach § 277 SGBV übermittelt worden. Allerdings ist in § 277 SGB V lediglich be-stimmt, daß der MDK der Krankenkasse das Ergebnis der Begut-achtung und die erforderlichen Angaben über den Befund mitzutei-len hat. Ob im o. g. Beispiel der Schulabschluß im Rahmen der Be-rufs-anamnese aus medizinischer Sicht tatsächlich eine Auswirkungauf die medizinische Begutachtung (es ging um ein Magengeschwürund eine Bronchitis) haben kann, ist aus rein datenschutzrechtlicherSicht möglicherweise schwer zu beurteilen. Gerade deshalb wäre zuüberlegen, ob bestimmte Angaben, die für den Gesamteindruck desArztes erforderlich sind, aber zu einer Ergebnismitteilung an dieKasse nicht gebraucht werden, lediglich beim MDK gespeichertwerden. Nach der bisherigen Verfahrensweise wäre das jedoch nurmit einem erheblichen manuellen Aufwand möglich. Das vom Me-dizinischen Dienst der Spitzenverbände (MDS) zur Verfügung ge-stellte Datenverarbeitungssystem “ISmed” läßt bisher nur den voll-ständigen Ausdruck des Gutachtens zu. Im Rahmen einer Überar-beitung dieses Systems wurde dem MDS von Datenschutzseite na-hegelegt, eine solche differenzierte Gutachtenspeicherung bzw.


171

- ausgabe zu integrieren. Den MDK Thüringen habe ich aufgefor-dert, sich im Rahmen von innerbetrieblichen datenschutzrechtlichenSchulungen die ärztlichen Gutachter regelmäßig mit dem Abgren-zungsproblem zu befassen, welche Angaben über den Befund nocherforderlich im Sinne von § 277 SGB V sind und welche Angabenhiervon nicht mehr gedeckt werden. Damit soll sichergestellt wer-den, daß keine unzulässige Datenübermittlung an die Kassen erfolgt. 11.23 Einsicht des MDK in Krankenhausakten Im Berichtszeitraum wurde ich mit der Frage beschäftigt, unter wel-chen Voraussetzungen die Krankenhäuser befugt bzw. verpflichtetsind, den Krankenkassen bzw. dem MDK Krankenunterlagen zuPrüfzwecken zur Verfügung zu stellen. Abbau der Fehlbelegung Am 01.01.1995 ist § 17a Krankenhausfinanzierungsgesetz (KHG) inKraft getreten. Darin wird bestimmt, daß die Krankenkassen insbe-sondere durch gezielte Einschaltung des MDK daraufhin hinwirken,daß Fehlbelegungen (Patienten liegen unnötig oder unnötig lange imKrankenhaus) vermieden und bestehende Fehlbelegungen zügigabgebaut werden. Zu diesem Zweck darf der MDK Einsicht in dieKrankenunterlagen nehmen. Nicht von § 17a KHG gedeckt sindsogenannte “Stichtagserhebungen”, bei denen an einem bestimmtenTag durch Mitarbeiter des MDK landesweit in allen Krankenhäuserndie Krankenakten von sämtlichen Patienten geprüft werden, die aneinem bestimmten Tag stationär behandelt worden waren. Das KHGenthält außer der Verpflichtung zur gezielten Einschaltung des MDKkeine näheren Bestimmungen, unter welchen Bedingungen derMDK Krankenunterlagen einsehen bzw. anfordern kann. SolcheRegelungen sind in den §§ 275 ff. SGB V enthalten. Bereits aus derFormulierung “gezielte Einschaltung des MDK” in § 17a Abs. 2KHG ist zu entnehmen, daß keine flächendeckende allgemeine Prü-fung von Krankenunterlagen durch den MDK möglich ist, sondernin Anlehnung an die Regelungen der §§ 275, 276 SGB V und unterBeachtung des Verhältnismäßigkeitsgrundsatzes nur eine fallbezo-


172

gene Prüfung in begründeten Einzelfällen vorgenommen werdendarf. Die Landeskrankenhausgesellschaft übergab mir Mitte 1997 denEntwurf einer Vereinbarung zwischen den Verbänden der Kranken-kassen und der Landeskrankenhausgesellschaft nach § 112 Abs. 1SGB V zur Prüfung. Darin sollte ein Verfahren zur Konkretisierungder gezielten Einschaltung des MDK nach § 17a KHG festgelegtwerden. Da es sich bei den Krankenunterlagen um solche Datenhandelt, die der ärztlichen Schweigepflicht (§ 2 Berufsordnung derLandesärztekammer Thüringen/§ 203 StGB) unterliegen, bedarf dieEinsichtnahme und Weitergabe dieser Daten einer gesetzlichenGrundlage. Der Landeskrankenhausgesellschaft habe ich mitgeteilt,daß eine Vereinbarung nach § 112 SGB V keinen Gesetzesrang hatund damit keine Befugnis zur Offenbarung von Patientendaten anden MDK darstellen kann. Maßstab hierfür können die §§ 275 und276 SGB V sein. Allerdings ist eine solche Vereinbarung geeignet,Kriterien aufzustellen, bei welchen Konstellationen im Einzelfallanlaßbezogen Einsicht in Krankenunterlagen durch den MDK ge-nommen werden soll. Sofern die Prüfergebnisse im Rahmen derPflegesatzverhandlungen für zukünftige Zeiträume von Bedeutungsind, dürfen diese Angaben ausschließlich in anonymisierter Formverwendet werden. Die Landeskrankenhausgesellschaft hat meineAnregungen weitgehend übernommen. Allerdings bestand von denKassen zunächst keine Bereitschaft, eine derartige Vereinbarungabzuschließen. Vielmehr wurde der MDK von den Kassen beauf-tragt, in einigen Thüringer Krankenhäusern Fehlbelegungsprüfungendurchzuführen. Die Prüfungen wurden zwischenzeitlich ausgesetzt.Zwischen den Kassen und der Landeskrankenhausgesellschaft wirdderzeit über den Abschluß einer Rahmenempfehlung verhandelt, diedas Verfahren zur Prüfung der Erforderlichkeit von stationärer Be-handlung in Thüringer Krankenhäusern festlegen soll. Überprüfung im Rahmen der Abrechnung Im Rahmen der Abrechnung der Krankenhausleistungen mit denKrankenkassen ist derzeit häufig streitig, ob die abgerechnete Lei-stung tatsächlich erforderlich war bzw. in der entsprechenden Form


173

erbracht worden ist. In diesen Fällen beauftragen die Krankenkassenden MDK , eine gutachterliche Stellungnahme abzugeben. Die Kas-sen fordern das Krankenhaus auf, z. B. Operations- und Kranken-hausentlassungsberichte in den jeweiligen Fällen dem MDK zurBegutachtung zu übersenden. Von einem Thüringer Krankenhauswurde diese Praxis als nicht rechtmäßig angesehen. MDK und Kran-kenhaus haben mich um eine Stellungnahme zur Auslegung des§ 275 Abs. 1 Satz 1 Nr. 1 SGB V gebeten. In dieser Vorschrift wirdbestimmt, daß die Krankenkassen verpflichtet sind, “wenn es nachArt, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach demKrankheitsverlauf erforderlich ist, bei Erbringung von Leistungen,insbesondere zur Prüfung von Voraussetzung, Art und Umfang derLeistung eine gutachtliche Stellungnahme des Medizinischen Dien-stes der Krankenversicherung” einzuholen. Ist der MDK von derKrankenkasse beauftragt, so sind die Leistungserbringer und damitauch die Krankenhäuser nach § 276 Abs. 2 Satz 1 SGB V verpflich-tet, “Sozialdaten” auf Anforderung des Medizinischen Dienstesunmittelbar an diesen zu übermitteln, soweit dies für die gutachtlicheStellungnahme und Prüfung erforderlich ist. Das Krankenhaus ar-gumentierte, daß die Voraussetzungen des § 275 Abs. 1 Satz 1 Nr. 1SGB V “bei Erbringung von Leistungen” keinesfalls eine Rech-nungsprüfung nach Abschluß der Behandlung beinhalten könne.Damit entfalle die Rechtsgrundlage für die Übermittlung von Pati-entendaten und einer Übermittlung der Unterlagen stehe die ärztlicheSchweigepflicht entgegen. Dies hat in dem betreffenden Fall dazugeführt, daß aufgrund der Verweigerung der geforderten Unterlagendie Krankenkasse ihrerseits die Zahlung verweigert hat und die An-gelegenheit jetzt dem zuständigen Sozialgericht zur Entscheidungvorliegt. Aus dem Wortlaut des § 275 Abs. 1 Satz 1 Nr. 1 SGB V istjedoch nicht abzuleiten, daß eine Beauftragung des MDK nur biszum Abschluß der Behandlung im Krankenhaus möglich ist. An-dernfalls hätte dies im Gesetz einschränkend formuliert werdenmüssen. Aber auch aus dem Sinn und Zweck der Vorschrift ergibtsich kein anderes Ergebnis. Die Krankenkassen sollen durch denmedizinischen Sachverstand des MDK in die Lage versetzt werden,die Erforderlichkeit und den Umfang von im Krankenhaus erbrach-ten medizinischen Leistungen beurteilen zu können. Häufig ergebensich für die Krankenkassen erst im Rahmen der Abrechnung An-


174

haltspunkte dafür, daß eine medizinische Leistung nicht oder nichtim erbrachten Umfang erforderlich war. Würde man eine Überprü-fung durch den MDK nur vor Abschluß der Krankenhausbehandlungzulassen, so würde diese Kontrollmöglichkeit in vielen Fällen leer-laufen. Die Formulierung “bei Erbringung” umfaßt daher auch nocheinen Zeitraum nach Abschluß der Behandlung in dem die Abrech-nung stattfindet. Nicht mehr vom Wortlaut erfaßt sind jedoch nach-trägliche Rechnungsprüfungen, wenn eine Abrechnung bereits er-folgt ist (z. B. um Material für Budgetverhandlungen zu sammeln). Wie bereits erwähnt, bedarf es zur Einschaltung des MDK konkreterAnhaltspunkte durch die Krankenkassen im jeweiligen Einzelfall.Liegen die Voraussetzungen vor, so ist das Krankenhaus als Lei-stungserbringer nach § 276 Abs. 2 Satz 1 SGB V verpflichtet, dieKrankenunterlagen im erforderlichen Umfang unmittelbar an denMDK zu übermitteln. Obwohl in § 276 Abs. 2 Satz 1 SGB V gere-gelt ist, daß die Leistungserbringer “Sozialdaten” an den MDKübermitteln, sind hier Patientendaten gemeint, da erst mit der Erhe-bung der Daten durch den MDK diesen der Status von Sozialdatenzufällt. Hier liegt ein redaktionelles Versehen des Gesetzgebers vor.§ 276 SGB V setzt jedoch voraus, daß nur solche Unterlagen vomKrankenhaus an den MDK übermittelt werden dürfen und müssen,soweit dies für die gutachtliche Stellungnahme und Prüfung erfor-derlich ist. Daher sind im Anforderungsschreiben der Krankenkas-sen bzw. des MDK nähere Angaben über den Gegenstand und Um-fang der Begutachtung zu machen, um den Leistungserbringer in dieLage zu versetzen, auch nur die erforderlichen Unterlagen zu über-senden. Diese Auffassung wurde auch vom TMSG geteilt, das ich indieser Frage um eine Stellungnahme gebeten habe. 11.24 Gemeinsame Nutzung von Daten durch Kranken-

kasse und Pflegekasse Durch das PflegeVG wurde bestimmt, daß bei jeder Krankenkasseeine Pflegekasse errichtet wird, die nach § 46 Abs. 2 SGB XI eineeigene rechtsfähige Körperschaft des öffentlichen Rechts mit Selbst-verwaltung ist. Damit sind zwei rechtlich selbständige Institutionenerrichtet worden, zwischen denen kein beliebiger Austausch der


175

Sozialdaten erfolgen darf. Der Tatsache, daß für die Aufgabenerfül-lung sowohl der Krankenkasse als auch der Pflegekasse in vielenFällen dieselben Daten erforderlich sind, hat die Vorschrift des § 96Abs. 1 SGB XI Rechnung getragen. Danach können die Spitzenver-bände der Pflegekassen und der Krankenkassen gemeinsam undeinheitlich festlegen, daß die verbundenen Pflege- und Krankenkas-sen bestimmte Daten gemeinsam verarbeiten und nutzen können.Die Festlegung dieses gemeinsamen Datenkatalogs soll unter Betei-ligung des BfD und des Bundesministeriums für Arbeit und Sozial-ordnung erfolgen. Am Verfahren zur Erarbeitung des Katalogs wur-den vom BfD die Landesbeauftragten für den Datenschutz (LfD)einbezogen. Als schwierig hat sich dabei erwiesen, daß anstatt dereigentlich wünschenswerten abschließenden Festlegung der Daten-arten, die sowohl die Krankenkasse wie auch die bei ihr errichtetePflegekasse für ihre Aufgaben benötigen, wegen der vielfältigenFallgestaltungen und der bundesweit unterschiedlichen Datenverar-beitungsverfahren oft nur zusammengefaßte Oberbegriffe (wie z. B.“Beitragsdaten”) allgemeingültig festgelegt werden können. Es wur-de daher eine erste Version für eine Übergangszeit bis Ende 1998festgelegt. Eine zumindest teilweise Präzisierung der Datenartensollte nach Auffassung der Datenschutzbeauftragten in einer überar-beiteten Fassung angestrebt werden. Die Tatsache der Aufnahme derDatenarten in den Katalog führt aber nicht automatisch dazu, daßEinzeldaten von der jeweils anderen Kasse genutzt werden dürfen,ohne daß eine Erforderlichkeit zur Aufgabenerfüllung besteht. So-fern die Pflegekasse beispielsweise auf die Grunddaten eines 20-jährigen im Rahmen der gemeinsamen Verarbeitung und Nutzungzugreifen könnte, darf sie es dennoch erst dann, wenn es zum Voll-zug des Pflegeversicherungsgesetzes im konkreten Fall (z. B. Antragauf Pflegeleistungen 50 Jahre später) erforderlich ist. Unabhängigvon dem nach § 96 Abs. 1 SGB XI festzulegenden Datenkatalog giltnach § 96 Abs. 2 SGB XI bei der Übermittlung von Daten, die denKrankenkassen oder Pflegekassen von einem Arzt oder sonstigenSchweigeverpflichteten zugänglich gemacht worden sind, daß solcheder ärztlichen Schweigepflicht unterliegenden Daten nur unter denVoraussetzungen des § 76 SGB X ausgetauscht werden dürfen.Sofern demnach keine ausdrücklich gesetzliche Erlaubnis hierfürbesteht, bedarf es zu diesem Datenaustausch der ausdrücklichen


176

Einwilligung des Versicherten. Bevor der Datenkatalog festgelegtworden war, erhielt ich von einem Pflegedienst eine Anfrage, auf-grund welcher Rechtsgrundlagen eine Datenübermittlung zwischenKrankenkasse und Pflegekasse zulässig sei. Dem Pflegedienst ge-genüber habe ich die Auffassung vertreten, daß aufgrund von § 93SGB XI die Datenschutzvorschriften der §§ 67 SGB X gelten. Nach§ 69 Abs. 1 Nr. 1 SGB X hielt ich einen Datenaustausch zwischender Krankenkasse und der Pflegekasse für zulässig, soweit dies fürdie Erfüllung einer gesetzlichen Aufgabe des jeweils anderen Sozi-alleistungsträgers erforderlich ist. 11.25 Kontrolle eines Versorgungsamtes In der Versorgungsverwaltung des Landes werden eine Vielzahl vonSozial- und Gesundheitsdaten von Versorgungsempfängern undSchwerbehinderten erhoben und verarbeitet. Daher führte ich eineKontrolle durch, um mir ein Bild darüber zu verschaffen, wie dortmit diesen sensiblen Angaben umgegangen wird. Obwohl keinedatenschutzrechtlichen Verstöße festgestellt wurden, die Anlaß füreine Beanstandung gegeben hätten, wurden eine Reihe von Forde-rungen zur Verbesserung der Datensicherheit erhoben, die alle nachder Prüfung durch die Versorgungsverwaltung umgesetzt wurden.Hierzu zählen insbesondere die Verbesserung der EDV-Sicherheitdurch Anbringen von Diskettenschlössern an Einzel-PC sowie dieEinschränkung der Zugangsberechtigung zu dem in einem besondersgesicherten Raum untergebrachten Zentralrechner. Da die Akten inden einzelnen Büros nicht in Schränke weggeschlossen werden,richtete sich mein Augenmerk darauf, den Zugang Dritter zu denRäumen und damit die Möglichkeit der Kenntnisnahme vom Inhaltder Unterlagen auszuschließen. In diesem Zusammenhang wurdenbei der Ausgabe der Büroschlüssel durch den Pförtner an die Mitar-beiter Schlüsselkarten eingeführt, um auszuschließen, daß Unbefugtesich einen entsprechenden Schlüssel geben lassen. Außerdem wurdedie Reinigung der Räume in die Arbeitszeit verlegt. Bei der Durchsicht der verwendeten Antragsformulare fiel auf, daßdiese in vielen Fällen noch nicht den geänderten sozialdatenschutz-rechtlichen Vorschriften angepaßt waren. Insbesondere fehlten die


177

Hinweise, aufgrund welcher Rechtsgrundlage und zu welchem kon-kreten Zweck die Datenerhebung erfolgt. Bei einem Großteil der imVersorgungsamt gestellten Anträge, wird vom Antragsteller dieEinwilligung verlangt, daß das Versorgungsamt Auskünfte bei sei-nen behandelnden Ärzten einholt. Diese Schweigepflichtsentbin-dungserklärungen waren teilweise so abgefaßt, daß die Versor-gungsverwaltung bei allen Ärzten anfragen konnte, die im Zusam-menhang mit der beantragten Leistung den Antragsteller behandelthaben. Dem Antragsteller war es dabei nicht möglich, Einschrän-kungen bezüglich einzelner Ärzte oder Krankheiten vorzunehmen,um beispielsweise zu verhindern, daß dem Versorgungsamt Befundeüber eine psychische Erkrankung mitgeteilt werden, die für die An-erkennung als Schwerbehinderten überhaupt nicht erforderlich sind(vgl. auch 11.26). Die Vordrucke wurden entsprechend meinenHinweisen überarbeitet. Im Rahmen der Kontrolle ist auch zutage getreten, daß keine klareRegelung der Zuständigkeitsverteilung zwischen dem Landesversor-gungsamt und den drei Versorgungsämtern existiert. Dies hat auchAuswirkungen auf datenschutzrechtliche Sachverhalte. Nur eine fürdie Erledigung der Verwaltungsaufgabe zuständige Stelle darf dieerforderlichen personenbezogenen Daten erheben. Hierbei besteheninsbesondere nach der am 01.07.1994 in Kraft getretenen Kreisge-bietsreform hinsichtlich der örtlichen Zuständigkeit einige Unsicher-heiten. Als Grundlage für die Arbeit des Landesversorgungsamtessowie der Ämter für Soziales und Familie (Versorgungsämter) dientdie Anordnung über die Errichtung, den Sitz und den Zuständig-keitsbereich des Landesamtes für Soziales und Familie (Landesver-sorgungsamt) sowie der Ämter für Soziales und Familie (Versor-gungsämter) vom 13.05.1991 (GVBl. S. 102). Im dortigen § 4 istbestimmt, daß die Aufgabenverteilung zwischen dem Landesamt fürSoziales und Familie und den Ämtern für Soziales und Familie nochgesondert geregelt wird. Das ist aber nur durch einen vorläufigenOrganisationsplan geschehen. Darin werden keinerlei Aussagen zurörtlichen Zuständigkeit gemacht. Auf Nachfrage hat das TMSGmitgeteilt, daß der Entwurf einer Thüringer Verordnung über dieZuständigkeiten der Versorgungsverwaltung und der Hauptfürsorge-stelle gegenwärtig zwischen den Ministerien abgestimmt wird. Da


178

dies schon über ein Jahr zurückliegt, erwarte ich eine baldige Rege-lung der Zuständigkeiten. Auch zum Schutz der Daten der Mitarbeiter waren einige Hinweisezu geben. So wurde beispielsweise in einem Arbeitsbereich festge-stellt, daß zwar die Abrechnung für die geführten privaten Telefon-gespräche um die letzten drei Ziffern verkürzt aufgezeichnet unddem Mitarbeiter übergeben wurden. Allerdings wurde in dieser Or-ganisationseinheit so verfahren, daß ein Mitarbeiter die Begleichungder Rechnung mit der Abrechnungsstelle für die Kollegen über-nahm. Dieser gab sie jedoch dann nicht, wie zu vermuten wäre, denjeweiligen Mitarbeitern zurück, sondern heftete sie in einem allenKollegen zugänglichen Ordner ab. So entstand eine umfangreicheSammlung der Telefongespräche des jeweiligen Mitarbeiters, bei derzwar nicht erkennbar war, wen der Betreffende jeweils angerufenhat, aus dem jedoch ablesbar war, an welchen Tagen wie oft und wielange der jeweilige Kollege telefoniert hatte. Man wußte offenbarnicht, was mit den Abrechnungsbelegen nach Zahlung des Betrageszu tun ist und heftete sie in ordentlicher Behördenmanier ab. Ichhabe die Stelle aufgefordert, die Abrechnung den jeweiligen Mitar-beitern zurückzugeben oder falls diese sie nicht mehr benötigen, zuvernichten. Das Versorgungsamt hat daraufhin die Verfahrensweiseentsprechend umgestellt. 11.26 Nachweis einer Schweigepflichtsentbindung durch

die Versorgungsverwaltung Von Thüringer Krankenhäusern wurde ich im Berichtszeitraum mitder Frage konfrontiert, ob bei der Anforderung von Patientenunter-lagen durch die die Versorgungsverwaltung die vom Patienten abge-gebene Schweigepflichtsent-bindungserklärungen im Original bzw.in Kopie vorgelegt werden müssen. Bei den Vertretern der Kranken-häusern bestand Unsicherheit darüber, ob nicht ohne einen entspre-chenden Nachweis die Gefahr besteht, daß eine Offenbarung vonGesundheitsdaten möglicherweise in unzulässigem Umfang erfolgt.Eine häufige Fallkonstellation ist der beim Versorgungsamt gestellteAntrag auf Anerkennung einer Schwerbehinderung. In derartigenFällen stellt der Patient einen Antrag auf Gewährung einer Soziallei-


179

stung, für dessen Entscheidung es maßgeblich auf die Beurteilungmedizinischer Sachverhalte ankommt. Mit der Antragstellung wirdin aller Regel vom Betroffenen eine Einwilligungserklärung zurBeiziehung von über ihn bei Ärzten vorhandenen medizinischenUnterlagen verlangt, soweit es zur Bearbeitung des Antrags erfor-derlich ist. In diesem Zusammenhang ist festzuhalten, daß der Arztletztlich entscheiden muß, ob eine Entbindung von der Schweige-pflicht bezüglich einzelner zu übermittelnder Angaben vorliegt. Jekonkreter die Anforderung erfolgt, desto einfacher dürfte es demArzt fallen, dem Ersuchen nachzukommen, wobei bei Vorliegeneiner konkreten Anforderung im Regelfall auf die Versicherung desVersorgungsamts vertraut werden darf, eine entsprechende Schwei-gepflichtsentbindung liege vor. Ausgangspunkt für die Zulässigkeit derartiger Datenübermittlungenvon den Krankenhäusern an die Versorgungsverwaltung ist diedurch § 203 StGB geschützte ärztliche Schweigepflicht. Eine Offen-barung ist außer in gesetzlich ausdrücklich geregelten Fällen nurdann zulässig, wenn der Betroffene wirksam hierin eingewilligt hat.Ob diese Voraussetzung erfüllt ist, hat grundsätzlich der um Aus-kunft gebetene Arzt zu prüfen. Zu differenzieren ist danach, ob dieSchweigepflichtsentbindungserklärung hinreichend konkret erfolgt,um dem Arzt eine Einschätzung zu ermöglichen, welche Angabengegenüber dem Versorgungsamt ohne Verletzung der Schweige-pflicht gemacht werden dürfen. Andererseits ist danach zu fragen, inwelcher Form der Nachweis der Entbindungserklärung zu erfolgenhat. Beide Aspekte stehen in einem direkten inneren Zusammen-hang. Je konkreter die Entbindungserklärung hinsichtlich bestimmterErkrankungen und Behinderungen und die darauf bezugnehmendeAnforderung von Auskünften ist, desto eher kann der Arzt beurtei-len, ob die Übermittlung bestimmter Unterlagen von der Entbin-dungserklärung gedeckt ist. Damit fällt es ihm auch leichter, sich aufdie Versicherung der öffentlichen Stelle zu verlassen, die entspre-chende Entbindungserklärung liege tatsächlich vor. In dem Anforde-rungsschreiben sind deshalb so genau wie möglich diejenigen Anga-ben zu benennen, die für die Antragsbearbeitung erforderlich sind.Zwar ist für das Versorgungsamt vielfach aus den Angaben desBetroffenen im Antrag nicht erkennbar, über welche Unterlagen der


180

jeweilige Arzt verfügt. Deshalb sollte dem Arzt beispielsweise durchdie Angabe der dem Antrag zugrunde liegenden Behinderung dieBeurteilung ermöglicht werden, ob einzelne seiner Unterlagen fürdie behördliche Entscheidung von Bedeutung sind. Sofern es sichum ein Massenverfahren handelt, sollte dem Anforderungsschreibenregelmäßig der Text der vorformulierten Schweigepflichtsentbin-dungserklärung, den der Betroffene unterschrieben hat, beigefügtwerden. Da bei solchen Einwilligungserklärungen außerdem dieMöglichkeit bestehen muß, die Schweigepflichtsentbindung nur aufbestimmte Erkrankungen bzw. auf einzelne Ärzte zu beschränken,ist auch diese Information für den mit dem Auskunftsersuchen kon-frontierten Arzt zur Einschätzung seiner Befugnis von Bedeutung.Außerdem ist die Einwilligungserklärung so zu formulieren (z. B.durch Bezugnahme auf die im Antrag angegebenen Ärzte), daß klarerkennbar wird, bei welchen Ärzten durch das Versorgungsamtnachgefragt werden darf. Sofern von den so ermächtigten Ärztenauch dort vorliegende Befunde anderer Ärzte im erforderlichenUmfang übermittelt werden sollen, ist dies ebenfalls ausdrücklich indie Einwilligungserklärung aufzunehmen. Sind diese Anforderungenerfüllt, kann sich der Arzt im Regelfall auf die Versicherung durchdas Versorgungsamt verlassen, ohne damit den Rahmen der durchdie Einwilligungsklärung des Patienten geschaffenen Befugnis zurOffenbarung ärztlicher Daten zu überschreiten. Hat der Arzt jedochaufgrund besonderer Anhaltspunkte begründete Zweifel, daß derPatient eine derartige Entbindungserklärung gegenüber dem Versor-gungsamt erteilt hat bzw. hegt er Zweifel am Umfang der Entbin-dungserklärung, könnte im Einzelfall auch eine Kopie der unter-schriebenen Entbindungserklärung verlangt werden. Als Absiche-rung der Ärzte wäre auch denkbar, daß im Rahmen einer weiterenBehandlung der Patient selbst befragt wird, ob er mit der Übersen-dung der entsprechenden Unterlagen an das Versorgungsamt einver-standen ist. Diese Fälle dürften jedoch die Ausnahme bilden, daaußerhalb von besonderen Konstellationen sich der Arzt auf dieVersicherung der öffentlichen Stelle verlassen darf. Eine gewisseAbsicherung für den Arzt stellt auch der Umstand dar, daß Mitar-beiter der Versorgungsämter für den Fall, daß sie die Übermittlungvon Krankenunterlagen durch den Arzt mit der unwahren Behaup-tung erschleichen, eine entsprechende Schweigepflichtsentbindung


181

liege vor, nach § 85 Abs. 2 Nr. 1 SGB X mit einer Freiheitsstrafevon bis zu einem Jahr oder Geldstrafe bestraft werden können. DieseAuffassung habe ich dem TMSG sowie der Landeskrankenhausge-sellschaft mitgeteilt. 11.27 Zuverlässigkeitsprüfung von Heimträgern und

Heimleitern Anfang 1997 ist das Zweite Gesetz zur Änderung des Heimgesetzes(HeimG) in Kraft getreten. Darin wurde die Anzeigepflicht zumBetreiben von Heimen, in denen alte Menschen sowie Pflegebedürf-tige oder behinderte Volljährige aufgenommen werden auch aufsogenannte Kurzzeitpflegeheime erstreckt. Aus diesem Anlaß hat diezuständige Versorgungsverwaltung neue Anzeigeformulare entwik-kelt. Darin wird eine Vielzahl von Angaben über die wirtschaftlicheSituation des Heimträgers sowie über die Qualifikation und die Zu-verlässigkeit des leitenden Personals abgefragt. Ein Wohlfahrtsver-band hat mir diese Anzeigeformulare vorgelegt und dabei Zweifel ander datenschutzrechtlichen Zulässigkeit einzelner Angaben geäußert.Insbesondere erschienen ihm die Fragen im Rahmen einer Selbst-auskunft über den Stand der Darlehens- und Hypothekenkonten desHeimträgers sowie den Stand sonstiger Konten und die Angabe desGeburtsnamens der Mutter ungerechtfertigt zu sein. Die Angabenzur wirtschaftlichen Situation des Heimträgers haben jedoch in § 7Abs. 1 HeimG, wonach die Unterlagen zur Finanzierung der Inve-stitionskosten vorzulegen sind, eine gesetzliche Grundlage. Außer-dem ist durch § 6 Nr. 1 HeimG geregelt, daß der Heimträger dienotwendige Zuverlässigkeit, insbesondere wirtschaftliche Leistungs-fähigkeit zum Betrieb des Heims, besitzen muß. Darüber hinaus istder Heimträger nach § 9 HeimG zur Auskunft über diese Angabenverpflichtet. Meine Nachfrage beim Landesversorgungsamt zurErforderlichkeit der Angabe des Geburtsnamens der Mutter ergaberstaunliches. Gestützt auf § 6 HeimG i. V. m. § 2 Heimpersonal-verordnung, der die Eignungsvoraussetzung des Heimleiters be-stimmt, wurde die Auffassung vertreten, daß zur Überprüfung derZuverlässigkeit des Heimträgers in persönlicher Hinsicht eine unbe-schränkte Auskunft aus dem Bundeszentralregister nach § 41 BZRGangefordert wird, zu deren Beantragung die Angabe des Geburtsna-


182

mens der Mutter erforderlich sei. Richtig ist zwar, daß für eine Aus-kunft aus dem Bundeszentralregister das Geburtsdatum der Mutterzur eindeutigen Identifizierung erforderlich sein kann. Allerdingsstellt die Anforderung einer unbeschränkten Auskunft nach § 41 eineunverhältnismäßige Maßnahme dar. Da mit der Erteilung einer un-beschränkten Auskunft, die den gesamten Inhalt des Registers zueiner Person enthält, ein nicht unerheblicher Eingriff in das informa-tionelle Selbstbestimmungsrecht des Betroffenen verbunden ist, sindin § 41 Abs. 1 BZRG diejenigen Behörden abschließend aufgezählt,denen im überwiegenden öffentlichen Interesse diese umfassendenAuskünfte zur Kenntnis gebracht werden dürfen. Die Versorgungs-ämter sind in diesem abschließenden Katalog nicht genannt. Eskommt hier lediglich die Vorlage eines Führungszeugnisses nach§ 31 BZRG in Betracht. Wie sich aus 3.1 der 2. BZRGVwV ergibt,ist bei einem Verfahren auf Antrag oder im Interesse des Betroffe-nen regelmäßig kein Führungszeugnis nach § 31 BZRG durch dieBehörde einzuholen, sondern dem Betroffenen aufzugeben, ein Füh-rungszeugnis zur Vorlage bei einer Behörde nach § 30 Abs. 5 BZRGzu beantragen. Bei dem Anzeigeverfahren nach § 7 HeimG liegt einVerfahren vor, das im Interesse des Betroffenen erfolgt. Daher istder Antragsteller vom Versorgungsamt aufzufordern, ein Führungs-zeugnis zunächst selbst beim Meldeamt zur Vorlage bei der Hei-maufsicht zu beantragen. Erst wenn diese Aufforderung erfolglosgeblieben ist, liegen die Voraussetzungen vor, unter denen das Ver-sorgungsamt selbst ein Führungszeugnis nach § 31 BZRG beantra-gen kann. Mit dem Landesversorgungsamt und dem TMSG konnteEinvernehmen erzielt werden, daß diese gestufte Verfahrensweiseauch Niederschlag in den Anzeigeformularen findet. 11.28 Antragsgestaltung für die Gewährung von Einglie-

derungshilfen In einer Eingabe wurde ich gebeten, zu prüfen, inwieweit die Ver-fahrensweise zur Erhebung, Bearbeitung und Gewährung von Ein-gliederungshilfen gemäß §§ 39, 40 BSHG, insbesondere hinsichtlichder genutzten Vordrucke und Erläuterungen den datenschutzrechtli-chen Anforderungen genügen. Im konkreten Fall handelte es sichum die Antragstellung auf Eingliederungshilfe zur Berechnung der


183

Höhe der sogenannten häuslichen Ersparnis für die Ganztagsbetreu-ung eines schulpflichtigen Kindes beim Besuch einer Spezialschulefür Körperbehinderte. Geregelt wird das Verfahren dazu im BSHG.Im Rahmen der “erweiterten Hilfe” nach § 43 BSHG ist den Elterneines Behinderten, der das 21. Lebensjahr noch nicht vollendet hatund dem eine Hilfe zu einer angemessenen Schulbildung (z. B. Be-such einer besonderen Förderschule) gewährt wird, lediglich eineBeteiligung in Höhe der für die Sicherstellung des Lebensunterhaltesin der Einrichtung entstehenden Kosten zuzumuten. Die Nachfragebeim zuständigen Landesamt für Soziales und Familie ergab, daß dieBerechnung der Höhe des Kostenbeitrages, wie vom Gesetzgebervorgegeben (§ 43 Abs. 2 S. 2 BSHG), auf der Grundlage der Erspar-nis vom Lebensunterhalt unter Berücksichtigung der Einkommens-und Vermögensverhältnisse, der Dauer der Unterbringung und derArt und Höhe der Leistung, die die Familie regelmäßig für denHilfsempfänger zu erbringen haben, erfolgt. Grundlage ist eine beimLandessozialamt vorliegende Kostentabelle, in der nach Gegenüber-stellung des Einkommens des Hilfeempfängers und der unterhalts-pflichtigen Personen mit dem geltenden Bedarfssatz für Hilfeemp-fänger die berechneten monatlichen Einsparungen in Abhängigkeitvom Betreuungszeitraum ausgewiesen werden. Übersteigt das berei-nigte Einkommen den Bedarfsatz eines entsprechenden Sozialhil-feempfängers um mehr als 100 % ist in jedem Fall der Höchstbetrag(z. B. 100 % des maßgeblichen Sozialhilferegelsatz bei der ganzjäh-rigen Unterbringung und Versorgung in der Einrichtung) von denEltern als monatliche Ersparnis zu zahlen. Zur Berechnung des be-reinigten Einkommens hat gegenwärtig der Hilfeempfänger bzw.dessen Sorgeberechtigter einen allgemeinen Sozialhilfeantrag, indem die persönlichen Verhältnisse des Kindes und der Eltern, dieFamilien-, Einkommens-, Vermögens- und Wohnverhältnisse allerim Haushalt lebenden Personen sowie Daten von allen unterhalts-pflichtiger Angehöriger zu offenbaren sind, beim Landessozialamtabzugeben. Dies ist aus datenschutzrechtlicher Sicht in den Fällenunverhältnismäßig, wenn bereits aufgrund entsprechend hoher Ein-künfte der Eltern erkennbar ist, daß die Einkünfte unter Berücksich-tigung der im Sozialbereich abzugsfähigen Beträge weit über denSozialhilfesätzen liegen. Ich habe daraufhin das Landessozialamtgebeten, die bisherigen Regelungen und Vordrucke dahingehend zu


184

ändern, daß bei einer erkennbaren Überschreitung der entsprechen-den Einkommensgrenze nur noch die tatsächlich erforderlichenDaten von den Antragstellern abgefordert werden. Neben daten-schutzrechtlichen Gründen hätte dies auch eine Entlastung der Ver-waltung und eine Reduzierung des Aufwandes und der Nachweis-führung ihrer Einkommens- und Vermögensverhältnisse durch dieBetroffenen zur Folge. Das Landesamt für Soziales und Familie hatmeine Empfehlungen aufgegriffen und beabsichtigt das Antragsfor-mular für Hilfen nach §§ 39, 40 und 43 BSHG entsprechend zuändern. Daneben soll den Unterhaltspflichtigen künftig zunächst nurder zu zahlende Höchstbetrag mitgeteilt werden mit dem Hinweis,unter welchen Voraussetzungen eine Reduzierungen des Elternbei-trages möglich ist und, daß in diesen Fällen eine Offenbarung allerEinkommens- und Vermögensverhältnisse des Antragstellers sowieder Unterhaltsverpflichteten erforderlich wird. Diese Änderungsvor-schläge wurden zwischenzeitlich dem TMSG zur Bestätigung vor-gelegt. 11.29 Gegenseitige Beauftragung der Träger der gesetzli-

chen Rentenversicherung mit der Versichertenbe-treuung

Die gesetzlichen Rentenversicherungsträger (z. B. BfA und LVAen)sind eigenständige Sozialleistungsträger, die nur über die bei ihnenversicherten Personen Sozialdaten gespeichert haben. Sofern daherder Versicherte Auskünfte zu seinem Versicherungskonto benötigt,mußte er sich bisher an den zuständigen Rentenversicherungsträgerwenden. Da oftmals Versicherte in den Zuständigkeitsbereich einesanderen Rentenversicherungsträgers umziehen oder an unterschied-lichen Orten leben und arbeiten, entstand das Bedürfnis, den Versi-cherten die Möglichkeit einzuräumen, auch bei den eigentlich nichtzuständigen Rentenversicherungsträgern Auskünfte über das Versi-chertenkonto zu erhalten und diese erläutert zu bekommen. Hierzuhaben die Landesversicherungsanstalten und die Bundesversiche-rungsanstalt für Angestellte (BfA) Vereinbarungen über “die gegen-seitige Beauftragung nach § 88 SGB X mit der Erstellung, Anforde-rung, Aushändigung und Erläuterung von Versicherungsverläufen,Rentenauskünften, Lückenauskünften und Auskünften über Bei-


185

tragserstattungen sowie über die dafür erforderliche Bearbeitung undNutzung von Sozialdaten im Auftrag nach § 80 SGB X” abgeschlos-sen. Danach wird allen Rentenversicherungsträgern technisch dieMöglichkeit eingeräumt, auf die Versichertenkonten der jeweilsunzuständigen Rentenversicherungsträger zum Zweck der Beaus-kunftung und Erläuterung bei Anfragen des Versicherten zuzugrei-fen. Die Einrichtung eines derartigen Abrufverfahrens ist rechtlichzulässig. Es stellte sich lediglich die Frage, ob es sich um ein auto-matisiertes Abrufverfahren nach § 79 SGB X handelt oder ob es alsDatenverarbeitung im Auftrag anzusehen ist. Ich habe gegenüber derLVA Thüringen die Auffassung vertreten, daß ich die reine Aus-kunftserteilung sowie die allgemeine Erläuterung als Auftragsdaten-verarbeitung nach § 80 i. V. m. § 88 SGB X ansehe. Sowohl beieiner Einordnung des Verfahrens als Auftragsdatenverarbeitung wieals automatisiertes Abrufverfahren kommt angesichts der Zugriffs-möglichkeiten auf eine sehr große Anzahl der Rentendaten von Ver-sicherten der Umsetzung von technisch-organisatorischen Maßnah-men nach § 78a SGB X zum Schutz dieser Daten eine zentrale Be-deutung zu. Gegenüber der LVA Thüringen habe ich es als notwen-dig angesehen, daß folgende Maßnahmen vorgesehen werden: − Begrenzung der Anzahl der zur Dialognutzung zugelassenen

Mitarbeiter auf das erforderliche Maß,− technische Beschränkung der Zugriffsmöglichkeiten der zugelas-

senen Mitarbeiter auf das zu ihrer Aufgabenerfüllung erforderli-che Maß,

− Unterweisung und datenschutzrechtliche Sensibilisierung derzugelassenen Mitarbeiter,

− Identitätsprüfung des Antragstellers anhand eines Lichtbildaus-weises,

− Schriftlichkeit des Antrags (formularmäßig),− sichere Identifizierung und Authentisierung,− Protokollierung der EDV-Zugriffe sowohl beim zuständigen als

auch beim anfordernden Rentenversicherungsträger und− stichprobenmäßige Kontrolle, daß für protokollierte Zugriffe ein

Antrag vorliegt sowie auf Gleichlauf der beiden Protokolle.


186

Die LVA Thüringen hat daraufhin eine Dienstanweisung zu denorganisatorischen Vorkehrungen zum Schutz der Sozialdaten bei derDialogisierung des Datenaustausches innerhalb der gesetzlichenRentenversicherung vorgelegt, die im wesentlichen die formuliertenAnforderungen regelt. So werden die Zugriffsrechte auf bestimmteMitarbeiter beschränkt, wobei die Vergabe der Zugriffsrechte nurmit Zustimmung des behördeninternen Datenschutzbeauftragtenmöglich ist. Darüber hinaus ist vorgesehen, daß sich der Auskunfts-suchende bei der Vorsprache ausweisen muß und sein Auskunftser-suchen durch Unterschrift dokumentiert wird. Schließlich sind so-wohl beim anfragenden wie auch beim angefragten Rentenversiche-rungsträger die einzelnen Abrufe zu protokollieren. Die Zugriffewerden vom behördeninternen Datenschutzbeauftragten überprüft,um ggf. mißbräuchliche Abfragen (z. B. ohne Auskunftsersuchendes Versicherten) feststellen zu können. 12. Statistik 12.1 Einführung einer Strafverfolgungsstatistik im Frei-

staat Thüringen Die Strafverfolgungsstatistik stellt zweifellos ein wichtiges Instru-ment für die Bewältigung der den Landesjustizverwaltungen, Staats-anwaltschaften und Gerichten gestellten Aufgaben im strafrechtli-chen Bereich dar. Mit Hilfe der veröffentlichten Tabellen der Straf-verfolgungsstatistik lassen sich Fragen bezüglich der Sanktionsent-wicklung nach Kategorien beantworten und bewerten. Sie ermögli-chen anhand der erfaßten Delikte und ausgesprochenen Sanktionenexakte Vorgaben für die zukünftig notwendige Gesetzesentwick-lung. Obwohl die Strafverfolgungsbehörden diese Übersichten zurÜberprüfung, ob bestehende Verfahrens- oder Sanktionsarten sichals tauglich erwiesen haben bzw. von der gerichtlichen und staats-anwaltschaftlichen Praxis akzeptiert werden, benötigen, gibt es bis-her keine entsprechende konkrete Rechtsgrundlage. Wie schon im 1.TB (12.) ausgeführt, vertrete ich die Ansicht, daß über 13 Jahre nachdem Volkszählungsurteil der sogenannte Übergangsbonus für dieNeueinführung von Erhebungen nicht mehr in Anspruch genommenwerden kann. Um dennoch bis zur Verabschiedung einer einheitli-


187

chen bundesgesetzlichen Regelung die notwendigen statistischenAussagen zu erhalten, wurde auf der Grundlage des Thüringer Stati-stikgesetzes (ThürStatG) nach einer den Forderungen des Daten-schutzes und der Statistik gerecht werdenden Übergangslösung ge-sucht. Diese bot sich darin, daß künftig die Staatsanwaltschaftenverpflichtet werden, in ihrem Geschäftsbereich, auf der Grundlageder vorliegenden Daten, eine Geschäftsstatistik zu erstellen. In derentsprechenden Verwaltungsvorschrift mußte daher ausdrücklichaufgenommen werden, daß es sich um eine Sekundärstatistik handeltund eine Übermittlung von Einzeldaten an andere Stellen unzulässigist. Die einzelnen Staatsanwaltschaften bleiben daher für diese Da-ten, die in die Statistik einfließen, als Auftraggeber speicherndeStellen. Das Thüringer Landesamt für Statistik (TLS) bereitet ledig-lich aus wirtschaftlichen Gründen sowie zur Vereinfachung derArbeiten und Entlastung der Staatsanwaltschaften die Daten alsAuftragnehmer der jeweiligen Staatsanwaltschaften statistisch auf.Andere Stellen können deshalb nur anonymisierte Daten erhalten.Das TMJE hat die datenschutzrechtlichen Hinweise übernommen.Gegen die nunmehr vorliegende Fassung einer Verwaltungsvor-schrift zur Anordnung der Strafverfolgungsstatistik bestehen ausdatenschutzrechtlicher Sicht keinerlei Bedenken. 12.2 Führung “Zentraler Register” In den Kommunen nehmen die Bestrebungen zu, für statistische oderPlanungszwecke die in den Verwaltungen vorliegenden verschieden-sten Datenbestände zum Aufbau von fachübergreifenden zentralenRegistern zu nutzen. Um die Auswertung der Daten jederzeit aktuellnach den unterschiedlichsten Kriterien, insbesondere für kleinräumi-ge Gliederungen, zu ermöglichen, ist der Aufbau entsprechenderRegister (z. B. Grundstücks- oder Gebäudedateien) beabsichtigt, indenen eine objektkonkrete Fortschreibung der Merkmale erfolgensoll. Aus datenschutzrechtlichen Gründen ist diese Verfahrensweise äu-ßerst bedenklich, weil durch die Verknüpfung und Vorratshaltungder personenbezogenen Daten solche Stellen Zugang zu Verwal-tungsdaten erhalten, die sie entsprechend der Zweckbestimmung derDaten (überwiegend für Verwaltungsverfahren) nicht bekommen


188

dürften. Nicht unerheblich sind dabei die ständig wachsenden Be-dürfnisse nach immer fundierterem und umfassenderem Datenmate-rial unter den Bedingungen der raschen Entwicklung der technischenMöglichkeiten, die zwangsläufig dazu führen, die Datenbeständedurch weitere Verknüpfungen mit allen möglichen - adreßbezogenen- Verwaltungsdaten ständig zu vervollständigen. Im Ergebnis wür-den “gläserne Grundstücke” mit allen “grundstücksbezogenen” (imEinzelfall somit personenbezogenen) Daten entstehen, aus denenDaten zur Infrastruktur (wie Wasser- und Abwasseranschluß, Gas,Fernwärme, Abfallentsorgung), Daten zur Eigentumsform und Be-wertungsdaten (wie Sanierungsstand, Bodenwerte, Kaufpreis), zurNutzung, Größe und Ausstattung bis hin zu detaillierten Daten überdie Bewohner (wie Bevölkerungsdaten, Angaben zur sozialen Zu-sammensetzung, zur Belegungsbindung) oder zur gewerblichenNutzung (Art und Größe des Gewerbebetriebes) entnommen werdenkönnen. Da bei einer Vielzahl der Daten durch entsprechendes “Zu-satzwissen” oder auch durch Aufnahme weiterer Merkmale (z. B.einer Wohnungsnummer) eine Zuordnung und damit Bestimmbar-keit von Personen gegeben sein dürfte, bestehen aufgrund der ge-genwärtig geltenden Rechtsvorschriften auf dem Gebiet des Daten-schutzes und der Statistik begründete Zweifel an der Zulässigkeit derZusammenführung und objektkonkreten Fortschreibung von Ver-waltungsdaten aus den verschiedensten Bereichen der öffentlichenVerwaltung innerhalb einer Behörde. Diese Form der zentralen Da-tenspeicher dürfte nach meiner Auffassung dem vom Bundesverfas-sungsgericht aufgestellten Grundsatz der informationellen Gewal-tenteilung, wonach aus der Einheit der Kommunalverwaltung auf-grund der Zweckbindung der Daten keine informationelle Einheitabgeleitet werden kann, widersprechen. Gemäß § 23 ThürStatG können Kommunen zur Wahrnehmung ihrerSelbstverwaltungsaufgaben Statistiken durch Satzung anordnen.Dabei sind die in § 25 i. V. m. § 9 Abs. 2 und § 15 Abs. 3 ThürStatGan eine amtliche Statistik gestellten Anforderungen zu beachten.Danach sind zur Durchführung einer Statistik nähere Bestimmungenzu treffen über die Art der Erhebung, den Kreis der zu Befragenden,die sonstigen Auskunftsstellen, die durch Erhebungsmerkmale zuerfassenden Sachverhalte, die Hilfsmerkmale, den Berichtszeitraum,


189

den Berichtszeitpunkt, die Häufigkeit der Erhebung sowie die Artund den Umfang der Auskunftspflicht. Da für den Aufbau und diePflege obiger Register regelmäßig alle möglichen Sachdaten ausdem Verwaltungsvollzug genutzt werden sollen, fehlt die vom Bun-desverfassungsgericht im Volkszählungsurteil geforderte Normen-klarheit als Voraussetzung für die Einschränkung des informatio-nellen Selbstbestimmungsrechts der Bürger. Im Gegensatz zu denherkömmlichen Statistiken, bei denen Hilfsmerkmale (Ordnungs-und Adreßdaten) dazu dienen, die Zuordnung der Daten bis zumAbschluß der Prüfung auf Schlüssigkeit und Vollständigkeit zuerhalten und diese anschließend gemäß § 15 Abs. 3 ThürStatG zulöschen, soll gerade bei einer objektkonkreten Fortschreibung vonDaten, z. B. in einem Gebäuderegister, dieser Bezug erhalten blei-ben. Diese weitere Speicherung ist nach den Statistikgesetzen nurbei wiederkehrenden statistischen Erhebungen möglich, soweit dieHilfsmerkmale künftig zur Bestimmung des Kreises der zu Befra-genden benötigt werden, nicht jedoch zur Aktualisierung vorhande-ner Einzeldatensätze. In Anlehnung an § 10 Abs. 3 Bundesstatistikgesetz (BStatG) stelltdas ThürStatG in § 15 Abs. 4 als kleinste territoriale Einheit, auf diesich dauerhaft Einzeldatensätze beziehen dürfen und somit als tiefsteAggregationsstufe für regional gegliederte statistische Einzeldaten-sätze auf die Ebene von Blockseiten (z. B. Straßenzüge) ab. Es istdeshalb davon auszugehen, daß für die Führung von objektbezoge-nen Registern das ThürStatG keine entsprechende Rechtsgrundlagebildet. Soweit keine spezialgesetzlichen Regelungen anwendbarsind, gilt aber für die Speicherung, Veränderung und Nutzung vonDaten innerhalb der Verwaltung § 20 ThürDSG. Danach ist dasSpeichern, Verändern oder Nutzen personenbezogener Daten, zudenen auch Gebäudedaten zählen können, zulässig, wenn es zurErfüllung der in der Zuständigkeit der speichernden Stelle liegendenAufgabe erforderlich ist und es für Zwecke erfolgt, für die die Datenerhoben sind. Unabhängig davon, daß gemäß § 24 ThürStatG Stati-stikstellen nicht mit der gleichzeitigen Wahrnehmung nicht-statistischer Aufgaben des Verwaltungsvollzugs betraut werdendürfen, wozu auch Planungsaufgaben zählen, ist zu beachten, daßsich die Dauer der Speicherung von Verwaltungsdaten aus ihrerErforderlichkeit für die Aufgabenerfüllung ergibt, für die sie erho-


190

ben wurden. Eine unbestimmte “Datenvorratshaltung” ist unzulässig,ebenso wie eine weitere Speicherung für Planungs- oder statistischeZwecke, da sie für diese Zwecke regelmäßig nicht erhoben wurden(Zweckbindung). Eine Verarbeitung für andere Zwecke liegt nurdann nicht vor, wenn die Daten - solange sie für die Verwaltungs-aufgaben, für die sie erhoben wurden, noch benötigt werden - zurErstellung von Geschäftsstatistiken innerhalb der speicherndenStelle genutzt werden. Die Führung von Registern (wie Grund-stücks- oder Gebäuderegister) bei den Statistikstellen der Kommu-nen ist aber keine Geschäftsstatistik im Sinne des ThürStatG. EineZusammenführung von objektkonkreten Einzeldaten aus den ver-schiedensten Verwaltungsbereichen und deren dauerhafte Speiche-rung und Aktualisierung für einen noch nicht näher bestimmtenstatistischen Zweck widerspricht dem statistischen Gebot einermöglichst frühzeitigen Anononymisierung statistischer Einzelanga-ben. Aufgrund der geltenden Rechtsvorschriften erscheint es deshalbmit den Bestimmungen des ThürStatG sowie dem ThürDSG unver-einbar, für Planungs- oder statistische Zwecke, objektkonkret Datenaus den verschiedensten Verwaltungsbereichen auf Dauer an einerStelle innerhalb der Verwaltung zusammenzuführen und fortzu-schreiben. Da mir zwischenzeitlich von einer Kommune eine Sat-zung zur Führung einer sogenannten “statistischen Gebäudedatei”vorliegt, habe ich mich zur Frage der Zulässigkeit der Führung ob-jektkonkreter zentraler kommunaler Register mit den Datenschutz-beauftragten des Bundes und der Länder ausgetauscht. Dabei wur-den von diesen, wie auch vom zuständigen TIM die von mir geäu-ßerten Bedenken geteilt. Ich habe deshalb die Rechtsaufsichtbehördegebeten, die Satzung nochmals hinsichtlich ihrer Vereinbarkeit mitdatenschutzrechtlichen Bestimmungen zu überprüfen. Darüber hin-aus habe ich auch der Kommune meine Auffassung zum Aufbaueines zentralen Datenspeichers mitgeteilt. Da sich bei der gleichzei-tig durchgeführten Kontrolle ergab, daß die Umsetzung der Satzungbisher nicht erfolgte, besteht gegenwärtig meinerseits noch keinunmittelbarer weiterer Handlungsbedarf. Wegen ihrer grundsätzli-chen Bedeutung werde ich diese Problematik im Hinblick auf dieEinhaltung datenschutzrechtlicher Bestimmungen weiterverfolgen.


191

13. Bildung, Wissenschaft und Forschung 13.1 Datenerhebung im Rahmen der Schulgesundheits-

pflege In meinem 1. TB (13.1.3) hatte ich auf die noch ausstehende Rechts-verordnung des Ministers für Soziales und Gesundheit im Einver-nehmen mit dem Kultusminister zur Schulgesundheitspflege gemäß§ 55 Thüringer Schulgesetz (ThürSchulG) hingewiesen. In der Stel-lungnahme der Landesregierung war ausgeführt worden, daß dieseRechtsverordnung voraussichtlich 1996 erlassen werden sollte. Wiemir bekannt ist, liegt im TMSG aber bislang nur ein Referentenvor-entwurf vor. Im Interesse aller Beteiligten wäre es wünschenswert,wenn der Erlaß der Verordnung in absehbarer Zeit erfolgen würde. 13.2 Schulpflichtüberwachung durch Schulamt? Aufgrund eines Hinweises hatte ich davon erfahren, daß ein Schul-amt sich am Schuljahresende von allen Schulen im Zuständigkeits-bereich die Schülerdaten von allen Schulabgängern auf Disketteübermitteln ließ, die ihre Vollzeitschulpflicht noch nicht erfüllt hat-ten. Zusätzlich wurden zu Beginn des nächsten Schuljahres die Be-rufsschulen im Zuständigkeitsbereich aufgefordert, die Schülerdatenvon allen Anfangsklassen auf Diskette an das Schulamt zu übermit-teln. Im Schulamt erfolgte dann ein Datenabgleich zwischen beidenDateien. Die Eltern derjenigen Schüler, die im Ergebnis des Abglei-ches nicht in der aktuellen Berufsschuldatei enthalten waren, wurdenvom Schulamt unter Hinweis auf die noch bestehende Berufsschul-pflicht aufgefordert, gegenüber dem Schulamt nachzuweisen, daßentweder eine Schule außerhalb des Zuständigkeitsbereichs besuchtwird oder aber die Berufsschulpflicht aus den in § 22 ThürSchulGgenannten Gründen ruht. Wenn daraufhin der Nachweis nicht er-folgte, wurde der Vorgang an das Landratsamt als untere staatlicheVerwaltungsbehörde übergeben. Ich hatte mich in der Sache an dasTKM gewandt und darauf hingewiesen, daß die Kenntnis der o. g.Schülerdaten zur Erfüllung der in der Zuständigkeit des Schulamtesliegenden Aufgaben im Regelfall nicht erforderlich ist. Die mir vomSchulamt zuvor genannte Auffassung, wonach das Schulamt gemäß


192

§§ 17 ff. ThürSchulG die Erfüllung der Schulpflicht überwacht,konnte ich nicht teilen. Vielmehr ist die Erfüllung der Schulpflichtgemäß § 17 Abs. 6 ThürSchulG vom Schulleiter und den Lehrern zuüberwachen. Weiterhin haben nach § 23 Abs. 3 ThürSchulG dieEltern und die mit der Erziehung und Pflege Schulpflichtiger beauf-tragten Personen für die Einhaltung der Berufsschulpflicht zu sor-gen. Gemäß § 23 Abs. 4 ThürSchulG haben darüber hinaus Ausbil-dende und Arbeitgeber sowie die von ihnen Beauftragten auf dieSchulpflicht der Berufsschulpflichtigen hinzuwirken. Der Schulleitertrifft nach § 24 Abs. 2 ThürSchulG im Einvernehmen mit dem zu-ständigen Schulamt die Entscheidung über die zwangsweise Schul-zuführung und beantragt die Durchführung beim örtlich zuständigenLandkreis oder der örtlich zuständigen kreisfreien Stadt. Eine Betei-ligung an der Schulpflichtüberwachung besteht für das Schulamtausdrücklich nur insoweit, als es gemäß § 18 Abs. 2 Satz 3ThürSchulG auf Antrag beurlauben und nach § 22 Abs. 2ThürSchulG bei Vorliegen der dort genannten Voraussetzungen denSchulpflichtigen im Einzelfall von der Berufsschulpflicht befreienkann. In beiden Fällen handelt es sich aber ausschließlich um Be-scheide auf Antrag. Das ThürSchulG trifft also hier konkrete Aussa-gen zur Verantwortlichkeit des Schülers, der Eltern, des Lehrers, desSchulleiters und des Auszubildenden zur Überwachung der Schul-pflicht. Da im Ergebnis die Schulpflichtüberwachung nicht Aufgabedes Schulamtes ist und eine regelmäßige Datenübermittlung derSchulen an das Schulamt in Anwendung des § 57 Abs. 1 und 4ThürSchulG unzulässig ist, bat ich das TKM, zu veranlassen, sichfür die Einstellung dieses Verfahrens einzusetzen. Der Sachverhaltwurde daraufhin vom TKM überprüft und eine Einstellung dieserVerfahrensweise veranlaßt. 13.3 Datenerhebungen der Kirchen zur Planung des Reli-

gionsunterrichts Nach Artikel 7 Abs. 3 Satz 2 GG wird der Religionsunterricht inÜbereinstimmung mit den Grundsätzen der Religionsgemeinschafterteilt. Zur Planung des Einsatzes von Religionslehrern benötigendie Kirchen daher Angaben über die Zahl der jeweils an den Schulenfür das Fach Religionsunterricht eingesetzten Lehrer sowie der je-


193

weils daran teilnehmenden Schüler. In diesem Zusammenhang wur-de die Frage erörtert, unter welchen Voraussetzungen und in wel-chem Umfang die staatlichen Schulen für die Kirchen personenbe-zogene Daten erheben und übermitteln dürfen. Dabei wurde mir einErhebungsbogen zur anonymen Erfassung der am Religionsunter-richt teilnehmenden Schüler vorgelegt, der gleichzeitig namentlichdie Religionslehrer ausweist, die an der betreffenden Schule Religi-onsunterricht erteilen. Da es keine spezialgesetzliche Rechtsgrundla-ge zur Übermittlung der Personaldaten der Lehrer durch die Schulenan die Kirchen gibt und auch hier der Grundsatz der Erhebung beimBetroffenen gilt, wurden im Ergebnis der Gespräche zwischen demTKM und den Kirchen die Erhebungsbögen getrennt. Sofern es umdie Erfassung der Religionsunterricht erteilenden Lehrer geht, wur-den eigene Personalbögen entworfen, die die Kirchen den Schulenzur Weiterleitung an die Lehrer übergeben. Dabei ist es den Lehrernfreigestellt, entsprechende Angaben zu machen und über die Schulean die jeweilige Kirche zurückzugeben. Bezüglich des Schülererhe-bungsbogens konnte ich einige Hinweise geben, um die Vorschriftendes Statistikgeheimnisses einzuhalten. Hierzu gehört insbesondere,daß eine Übermittlung der gewonnenen Daten durch die Statistik-stelle des TKM in zusammengefaßter Form erfolgt, so daß keineRückschlüsse auf einzelne Schüler möglich sind. 13.4 Hochschuleinrichtung - öffentlich-rechtliches Wett-

bewerbsunternehmen? Im Rahmen der Klärung einer Eingabe wurde von einer Hochschu-leinrichtung die Auffassung vertreten, aufgrund ihrer Forschungstä-tigkeit als öffentlich-rechtliches Wettbewerbsunternehmen zu geltenmit der Konsequenz, daß bei der datenschutzrechtlichen Bewertungnicht die Bestimmungen des ThürDSG zum Umgang mit personen-bezogenen Daten anzuwenden sind, sondern das Bundesdaten-schutzgesetz. Begründet wurde dies insbesondere damit, daß imBereich der Forschung die Hochschule als Wettbewerber auf dem“Forschungsmarkt” auftritt, da wissenschaftliche Institute auch au-ßerhalb der Hochschulen gegen Honorar damit befaßt sind, For-schungsaufträge wie den vorliegenden zu erledigen. Private undHochschulen ständen folglich in einem Konkurrenzverhältnis auf


194

dem “Wissenschaftsmarkt”. Diese Auffassung kann ich nicht teilen.Aus den einschlägigen Kommentierungen zum Bundesdatenschutz-gesetz ist zu entnehmen, daß die besonderen Vorschriften für öffent-lich-rechtliche Wettbewerbsunternehmen ausschließlich zur Ver-meidung von Wettbewerbsverzerrung im Hinblick auf eine wirt-schaftliche Benachteiligung aufgenommen wurden. Allein die Tatsa-che, daß wissenschaftliche Institute für Dritte tätig werden, ist keinKriterium für die Einordnung als öffentlich-rechtliches Wettbe-werbsunternehmen im datenschutzrechtlichen Sinn. Entscheidend istder wirtschaftliche Aspekt und nicht allein die Tatsache des Wett-bewerbes und der Möglichkeit, daß die Aufgaben auch von nicht-öffentlichen Stellen wahrgenommen werden können. Als öffentlicheUnternehmen sind solche staatlichen Einheiten zu betrachten, diesich wirtschaftlich betätigen. Demgegenüber ist es erklärte Zielstel-lung der wissenschaftlichen Forschungstätigkeit an Hochschulen,zusammen mit der Lehre und dem Studium die Wissenschaften undKünste zu pflegen und zu entwickeln (§ 4 ThürHG). Dabei ist esunerheblich, ob dies von Dritten finanziert oder unterstützt wird. Imübrigen kann davon ausgegangen werden, daß wissenschaftlicheArbeiten an Hochschulen regelmäßig nicht im Rahmen eines unterwirtschaftlichen Gesichtspunkten durchgeführten Ausschreibungs-verfahren, an dem sich uneingeschränkt öffentliche und nicht-öffentliche Stellen beteiligen können, vergeben werden. Aus o. g.Gründen sind, soweit nicht an Hochschulen spezialgesetzliche Da-tenschutzregelungen gelten, die Bestimmungen des ThürDSG ein-schlägig. 13.5 Kontrolle einer Hochschule Im Berichtszeitraum erfolgte eine datenschutzrechtliche Kontrolle ineiner Hochschule im Bereich Studentenverwaltung. Dabei wurdevon mir beanstandet, daß sowohl für die zur Anwendung kommendeStudentenverwaltungsdatei als auch für das Telefondatenerfassungs-system keine schriftlichen Verfahrensfreigaben gemäß § 34 Abs. 2ThürDSG vorgelegt werden konnten. Ebenso wurden beide Verfah-ren nicht in einem Anlagen- und Verfahrensverzeichnis nach § 10ThürDSG dokumentiert. Die Hochschule hat zwischenzeitlich dasErforderliche zur Beseitigung der datenschutzrechtlichen Mängel


195

veranlaßt. Weiterhin ist auf dem Gelände der Hochschule an Punk-ten, für die eine konkrete Gefahrenlage besteht, eine Videoanlagezur Geländeüberwachung installiert. Da die Kameras nicht unmittel-bar erkennbar sind, vertrat ich gegenüber der Hochschule die Auf-fassung, daß auf die Videoüberwachung hinzuweisen ist. Entspre-chende Hinweisschilder wurden inzwischen am Haupteingang undan anderen wegweisenden Stellen des Geländes angebracht.Schließlich wurde die von der Hochschule geforderte Beifügungeines Lebenslaufes zum Antrag auf Einschreibung kritisiert. Wedergibt es hierzu eine spezialgesetzliche Grundlage noch konnte eineallgemeine Erforderlichkeit zur Aufgabenerfüllung der Hochschulebegründet werden. Zukünftig wird deshalb kein Lebenslauf mehrverlangt, sondern ausschließlich die für die Aufnahme des Studiumserforderlichen Informationen zum Bildungsgang erfragt. 13.6 Von Schimmelpilzen der Gattung Rhizopus, Mucor,

Aspergillus fumigatus und flavus, Penicilium, Epi-coccum sowie Modadium befallene Akten

In der Eingabe eines Bürgers beschwerte sich dieser darüber, daßseiner Bitte um Akteneinsicht in seine Hochschulunterlagen ausfrüherer DDR-Zeit aus Restaurierungsgründen von Seiten der Hoch-schule vorläufig nicht entsprochen wurde. Grundsätzlich bestimmtArt. 6 Abs. 4 ThürVerf, daß nach Maßgabe der Gesetze jedem nebendem Aktenauskunftsrecht auch ein Einsichtsrecht in die ihn betref-fenden Akten zusteht. Deshalb hatte ich mich an die Hochschullei-tung gewandt und um Erläuterung gebeten, welche Restaurierungs-gründe gegen die Einsicht des Beschwerdeführers in seine Unterla-gen sprechen. Im Ergebnis wurde mir mitgeteilt, daß aufgrund vonungünstigen Lagerbedingungen im Hochschularchivraum ein Teildes Aktenbestands von Schimmelpilzen befallen war. Da der Bürgeraber auf seinem Einsichtsrecht bestand, konnte ich erreichen, daß dieBenutzungssperre der von Schimmelpilzen befallenen Aktenbestän-de für ihn auf eigene Verantwortung aufgehoben wurde. Ich wurdeaber von der Hochschule gebeten, den Beschwerdeführer auf diegesundheitlichen Risiken während der Benutzungsdauer hinzuwei-sen. Inzwischen sind die Schimmelpilze vernichtet und die Akten inandere Räume umgelagert worden, so daß jedenfalls aus gesund-


196

heitlichen Gründen nichts mehr gegen die Einsichtnahme in dieAkten spricht. 13.7 Nutzung von Jugendgerichtshilfeakten zu For-

schungszwecken Im Zusammenhang mit einem vom TMJE in Zusammenarbeit mitdem TMSG in Auftrag gegebenen Forschungsprojekt zur “Praxis derUntersuchungshaftvermeidung nach den §§ 71 und 72 Jugendge-richtsgesetz (JGG)” waren datenschutzrechtliche Fragen beim Um-gang mit Jugendgerichtshilfeakten erörtert worden. Im Rahmen desForschungsprojekts sollen durch Mitarbeiter der mit der Durchfüh-rung des Forschungsprojekts beauftragten Hochschule sowohl Ge-spräche mit Richtern, Staatsanwälten, Jugendgerichtshelfern, Voll-zugsbeamten sowie Mitarbeitern sozialer Dienste geführt werden alsauch ausgewählte Akten der Jugendgerichtshilfe der Thüringer Ju-gendämter ausgewertet und bestimmte Angaben auf anonymisierteListen übertragen werden. Die Interviews mit Richtern, Staatsan-wälten usw. erfolgen ohne namentliche Nennung der Jugendlichen.Darüber hinaus war beabsichtigt, die Auswertungen der Jugendge-richtshilfeakten in anonymisierter Form zu speichern und zu nutzen,so daß sich insoweit keine datenschutzrechtlichen Probleme stellten.Allerdings werden durch die Einsichtnahme in die Jugendgerichts-hilfeakten den Mitarbeitern der Hochschule personenbezogene Da-ten übermittelt. Eine Anwendung der datenschutzrechtlichen Vor-schriften des Sozialgesetzbuches ist bezüglich der Unterlagen derJugendgerichtshilfe aufgrund von § 61 Abs. 3 SGB VIII nicht mög-lich, da insoweit ein abschließender Verweis auf die Vorschriftendes JGG vorliegt. Im JGG sind aber keine datenschutzrechtlichenVorschriften enthalten. Daher findet für die Jugendämter, soweit siedie Aufgaben der Jugendgerichtshilfe wahrnehmen, das ThürDSGAnwendung. Nach § 21 Abs. 1 i. V. m. § 20 Abs. 2 Satz 1 Nr. 9ThürDSG ist eine Übermittlung an die Mitarbeiter der Hochschulemöglich, soweit es zur Durchführung einer wissenschaftlichen For-schung erforderlich ist und das wissenschaftliche Interesse an derDurchführung des Forschungsvorhabens das Interesse des Betroffe-nen an dem Ausschluß der Zweckänderung erheblich überwiegt undder Zweck der Forschung auf andere Weise nicht oder nur mit un-


197

verhältnismäßigem Aufwand erreicht werden kann. Einer Übermitt-lung steht auch nicht § 24 ThürDSG entgegen, da grundsätzlichdavon auszugehen ist, daß der Jugendgerichtshelfer - anders als derMitarbeiter im Bereich der Jugendhilfe - nicht als besonderer Be-rufsgeheimnisträger nach § 203 StGB anzusehen ist. Das ergibt sichbereits aus seiner Funktion im Jugendgerichtsverfahren, wonach erdie Persönlichkeit, Entwicklung sowie die Umwelt des Jugendlichenzu erforschen und darüber dem Gericht zu berichten hat. Bei derPrüfung, ob der Forschungszweck nicht auf andere Weise erreichtwerden kann, sind aber zur Minimierung des Eingriffs in das Per-sönlichkeitsrecht der Jugendlichen auch weniger einschneidendeVerfahrensmöglichkeiten zu prüfen. In Betracht kommt dabei zu-nächst, daß die Jugendlichen bzw. deren Erziehungsberechtigte ihreEinwilligung für die Teilnahme an dem entsprechenden Projekterteilen. Als weitere Möglichkeit kommt in Betracht, daß die Mitar-beiter des Jugendamtes im Auftrag und auf Kosten des Forschungs-trägers die Anonymisierung der Akten nach dessen Kriterien vor-nehmen. Schließlich wäre auch zu prüfen, ob ein zuvor besondersverpflichteter Mitarbeiter des Forschungsträgers die Anonymisie-rungsarbeiten mit den Akten durchführt und anschließend aus demProjekt ausscheidet. Damit könnte sichergestellt werden, daß auf-grund der Aktenkenntnis auch anonymisierte Datensätze im weiterenForschungsvorhaben nicht “wiedererkannt” werden. 13.8 Staatsvertrag über ein gemeinsames Krebsregister

der neuen Bundesländer und Berlins Das Krebsregistergesetz (KRG) des Bundes sieht vor, daß bis zum01.01.1999 in allen Bundesländern bevölkerungsbezogene Krebsre-gister eingeführt werden, sofern dort noch keine solchen existieren.Hierzu sind in den Bundesländern Ausführungsgesetze zu erlassen.Wie bereits im 1. TB (13.3.2) berichtet, wird in den neuen Bundes-ländern und Berlin das zentrale Krebsregister der ehemaligen DDRaufgrund eines Verwaltungsabkommens vom 23.12.1994 fortge-führt. Es ist erfreulich, daß sich zwischenzeitlich die beteiligtenLändern auf den Entwurf eines Staatsvertrages über das Gemeinsa-me Krebsregister der Länder Berlin, Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und


198

Thüringen (GKR) geeinigt und auf den Erlaß gleichlautender Aus-führungsgesetze verzichtet haben. Damit ist sichergestellt, daß ver-bindliche, für alle beteiligten Länder gleichermaßen geltende Rah-menbedingungen zur Fortführung des GKR geschaffen werden. ImRahmen der Erarbeitung des Staatsvertragsentwurfs wurden dieDatenschutzbeauftragten der beteiligten Länder jeweils einbezogenund konnten ihre Vorstellungen aus datenschutzrechtlicher Sichteinbringen. Der Staatsvertrag wurde Ende November 1997 unter-zeichnet. Mit der Verabschiedung der jeweiligen Zustimmungsge-setze dürfte innerhalb des ersten Halbjahres 1998 zu rechnen sein, sodaß die gesetzliche Verpflichtung zur Schaffung von landesrechtli-chen Grundlagen zum 01.01.1999 eingehalten werden dürfte. 13.9 Bestandsaufnahme der Asbestsituation in Thüringen Im Rahmen eines Forschungsvorhabens “Bestandsaufnahme derAsbestsituation in Thüringen” war zum Zweck der wissenschaftli-chen Forschung auf dem Gebiet der Feststellung des vorhandenenGefährdungspotentials sowie zur Ableitung langfristiger Aufgabenzur Sanierung der bebauten Umwelt und der sicheren Endverbrin-gung des Gefahrenstoffes beabsichtigt, zunächst in ausgewähltenGemeinden landesweit bauwerks- und baustoffspezifische Daten zuerheben. Zielstellung war dabei die Aufstellung einer landesweitenGefahrenstoffdatenbank als Basismaterial für die wissenschaftlicheArbeit und die Anfertigung kartographischer und tabellarischer Ge-fahrstoffdokumentationen. Um den datenschutzrechtlichen Belangenbei der Erhebung, Verarbeitung und Nutzung der Daten Rechnungzu tragen, wurde ich von der Forschungsstelle frühzeitig in das Ver-fahren einbezogen. Aufgrund einer fehlenden Rechtsgrundlage fürdie Erhebung der erforderlichen Daten wurde die Form und derUmfang der Erhebung sowie die möglichen Auswertungsverfahrenunter dem Aspekt der Nutzung von Daten aus öffentlichen Quellenund der freiwilligen Mitwirkung von Haus- und Grundstückseigen-tümer erarbeitet. Es wurde Einvernehmen darüber erzielt, daß für dienotwendigen Planungs- und Forschungsaufgaben eine Bestandsauf-nahme der Asbestsituation auf der Grundlage einer nicht objektkon-kreten sondern straßenzug- bzw. quartierbezogenen Datenmengeausreicht. Damit wurde ein Kompromiß gefunden, um einerseits


199

dem Planungs- und Forschungsvorhaben die notwendige Erhebung,Verarbeitung und Nutzung einer breiten Datenbasis zu ermöglichen,ohne andererseits die Persönlichkeitsrechte der Eigentümer in un-verhältnismäßiger Weise zu beeinträchtigten. Gleichzeitig stelltdiese Verfahrensweise sicher, daß ein Mißbrauch der Daten auf-grund der faktischen Anonymisierung der Einzelangaben ausge-schlossen werden kann. 13.10 Anwendung des ThürDSG in Archiven In meine Kontrolltätigkeit wurden im Berichtszeitraum auch Archiveeinbezogen. Ich konnte dabei feststellen, daß dort im Hinblick aufdie Einhaltung datenschutzrechtlicher Bestimmungen bei der Ver-wahrung und Benutzung von Archivgut verantwortungsbewußt mitallen Unterlagen, die personenbezogene Daten enthalten, umgegan-gen wird. Bemerkenswerte datenschutzrechtliche Mängel wurden inkeinem Fall festgestellt. Als spezialgesetzliche Regelung findet fürden Umgang mit Archivgut das ThürArchivG Anwendung. AlsArchivgut gelten dabei Unterlagen, die für Verwaltungsaufgabennicht mehr benötigt werden, deren Archivwürdigkeit nach § 12ThürArchivG festgestellt wurde und die vom zuständigen öffentli-chen Archiv übernommen wurden. Im Rahmen von Kontrollen habeich allerdings in Einzelfällen bei Kommunalarchiven festgestellt,daß bereits bei der Aufbewahrung von Zwischenarchivgut der Ver-waltung gemäß § 14 Abs. 3 ThürArchivG hinsichtlich der weiterenNutzung dieser Unterlagen nach archivrechtlichen Bestimmungenverfahren wird. Dort wurde vernachlässigt, daß die Aufbewahrungausschließlich im Auftrag der abgebenden Stelle erfolgt, die aberweiterhin die volle Verantwortung über die Benutzung der Unterla-gen behält. Ich habe in diesen Fällen die betreffenden Stellen auf dieRechtslage hingewiesen. Bei der Prüfung eines Landesarchivs stelltesich heraus, daß für archivarische Zwecke automatisierte Such- undFinddateien mit teilweise sehr detaillierten personenbezogenen An-gaben zum Inhalt des Archivgutes angelegt worden waren. Anläß-lich einer gemeinsamen Beratung von Archivaren bei der oberstenAufsichtsbehörde war die Auffassung vertreten worden, daß diestaatlichen Archive nicht als speichernde öffentliche Stellen im Sin-ne der ThürDSGRegVO betrachtet werden könnten. Daten in Ar-


200

chivbeständen würden von den Archiven weder selbst erhoben, nochverändert oder inhaltlich verarbeitet werden. Da die Daten lediglichfür innerdienstliche, insbesondere für arbeitsorganisatorische undstatistische Zwecke genutzt werden und im übrigen die Nutzung vonpersonenbezogenen Daten in Archiven nach dem ThürArchivGgeregelt sei, war man davon ausgegangen, daß eine Meldung gegen-über dem Datenschutzregister unterbleiben könnte. Dies nahm ichzum Anlaß, mit der zuständigen obersten Landesbehörde Fragen desUmfangs von Finddateien sowie zur Abgabe von Datenschutzregi-stermeldungen zu erörtern. Im Ergebnis wurde vom TMWK dieErforderlichkeit der Führung teilweise sehr detaillierter Finddateienmit personenbezogenen Daten aufgrund der Aufgabenstellung derArchive zur Erschließung und Bereitstellung des Archivgutes für dieweitere Benutzung bestätigt. Gleichzeitig wurde festgestellt, daß fürstaatliche oder kommunale Archive die Bestimmungen desThürDSG gelten, soweit nicht hinsichtlich des Umgangs mit Ar-chivgut spezialgesetzliche Regelungen des ThürArchivG vorgehen.Das betreffende Archiv wurde aufgefordert, kurzfristig alle automa-tisierten Datei mit personenbezogenen Daten dem TLfD zum Daten-schutzregister gemäß § 3 ThürDSRegVO zu melden, was zwischen-zeitlich erfolgte.


201

14. Wirtschaft, Verkehr, Wohnungswesen,Umwelt

14.1 Gesetz zur Änderung des Rechts der Architektenund Ingenieure

Vom TMWI wurde mir der Entwurf eines Thüringer Gesetzes zurÄnderung des Rechts der Architekten und Ingenieure zur Stellung-nahme aus datenschutzrechtlicher Sicht zugesandt. Darin war u. a.vorgesehen, in einem neuen Architektengesetz Regelungen zur Füh-rung einer Architektenliste und die Beauskunftung hieraus aufzu-nehmen. Dabei sollten inhaltlich die Vorschriften des bestehendenIngenieurkammergesetzes zur Liste der Beratenden Ingenieure über-nommen werden. Zu begrüßen war, daß in den Regelungen ab-schließend diejenigen Daten genannt werden, die in die Architekten-liste bzw. die Liste der Beratenden Ingenieure eingetragen werden.Auskunft aus der Liste soll jedermann erhalten, ohne daß ein be-rechtigtes Interesse geltend gemacht werden muß. Das hielt ich an-gesichts des eingeschränkten Datensatzes für vertretbar. Sofern je-doch Auskunft über eine Vielzahl nicht namentlich bezeichneterArchitekten bzw. beratender Ingenieure begehrt wird oder eine Ver-öffentlichung der Liste beabsichtigt ist, soll dies nur zulässig sein,sofern der Betroffene nicht widersprochen hat. Da Widerspruchs-rechte in der Regel dann leerlaufen, wenn auf solche Rechte nichthingewiesen wird, habe ich gefordert, eine Regelung aufzunehmen,wonach die Betroffenen auf dieses Widerspruchsrecht hingewiesenwerden müssen. Schließlich habe ich angeregt, eine normenklareRechtsgrundlage zur Übermittlung von Daten von der Architekten-kammer bzw. der Ingenieurkammer an das zuständige Versor-gungswerk aufzunehmen. Meine Änderungsvorschläge wurden vomTMWI aufgegriffen und sind im Thüringer Gesetz zur Änderung desRechts der Architekten und Ingenieure vom 13.06.1997 (GVBl. 97,210 ff) berücksichtigt worden, das am 14.06.1997 in Kraft getretenist.


202

14.2 Thüringer Verordnung über den Gebrauchtwaren-,Edelmetall- und Altmetallhandel, über Auskunfteien,Detekteien, Reisebüros und die Vermittlung von Un-terkünften

Zur dem in der Überschrift genannten Verordnungsentwurf bat michdas TMWI um eine datenschutzrechtliche Stellungnahme. Nachdieser Verordnung hat u. a. der Gebrauchtwaren-, Edelmetall- undAltmetallhandel die Pflicht zur Führung eines Geschäftsbuchs, indem verschiedene Angaben über die An- und Verkäufe von gehan-delten Gegenständen sowie über Käufer und Verkäufer einzutragensind. Nach Prüfung der Verordnung teilte ich dem Ministerium mit,daß für die Aufzeichnung der Ausweisnummer des Käufers und desVerkäufers im Geschäftsbuch keine Erforderlichkeit gegeben ist unddeshalb darauf verzichtet werden sollte. Mein Hinweis wurde ent-sprechend berücksichtigt. 14.3 Verwaltungsvorschrift zu § 34a GewO und der Be-

wachungsverordnung Das TMWI bat mich um eine datenschutzrechtliche Stellungnahmezum Entwurf einer Verwaltungsvorschrift zu § 34 a GewO und zurBewachungsverordnung. In der Verwaltungsvorschrift wird näherfestgelegt, welche Voraussetzungen ein Bewachungsgewerbetrei-bender und seine Beschäftigten erfüllen müssen, um von der zustän-digen Behörde eine Gewerbeerlaubnis zu erhalten. So hatte ich dasTMWI neben einigen begrifflichen Klarstellungen u. a. darauf hin-gewiesen, daß dem Betroffenen ein Anhörungsrecht gemäß § 28Abs. 1 ThürVwVfG zusteht und dieses Recht nicht einer Ermessens-entscheidung der prüfenden unteren Gewerbebehörde unterliegt.Dies sollte auch ausdrücklich in die Verwaltungsvorschrift aufge-nommen werden. Alle von mir vorgebrachten Konkretisierungs- undÄnderungsvorschläge wurden vom TMWI umgesetzt. 14.4 Bewerberliste der Bezirksschornsteinfeger Der Zentralverband der Deutschen Schornsteinfeger e. V. bat michum Beantwortung der Frage, ob datenschutzrechtliche Bedenken


203

bestehen, wenn an alle Schornsteinfeger des jeweiligen Gebieteseine Liste mit Vornamen, Namen und Rangstichtag derjenigen Be-werber, die sich als Bezirksschornsteinfeger bestellen lassen wollen,versendet wird. Nach § 22 Abs. 1 Nr. 1 erster Halbsatz ThürDSG istdie Übermittlung an eine nicht-öffentliche Stelle u. a. zulässig, wennsie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelleliegenden Aufgaben erforderlich ist. Diese Erforderlichkeit ergibtsich aber weder aus dem Schornsteinfegergesetz noch aus der Ver-ordnung über das Schornsteinfegerwesen. Weiterhin ist zwar eineÜbermittlung nach § 22 Abs. 1 Nr. 2 ThürDSG zulässig, wenn derEmpfänger ein berechtigtes Interesse an der Kenntnis der zu über-mittelnden Daten darlegt, allerdings darf der Betroffene keinschutzwürdiges Interesse an dem Ausschluß der Übermittlung ha-ben. Solange bei einer listenmäßigen Übermittlung nicht ausge-schlossen werden kann, daß diese Übermittlung schutzwürdigenInteressen einzelner Betroffener entgegenstehen, ist diese ebenfallsnicht zulässig. Das TLVwA bestätigte meine Einschätzung, daß eineÜbermittlung der Bewerberlisten nicht erforderlich ist. Die Listenwürden sowohl vom Vorstand als auch vom Gesellenausschuß derSchornsteinfegerinnung überwacht. Außerdem könne bei berechtig-tem Interesse der Bewerber jederzeit Einsicht in die Liste genommenwerden. Im übrigen stünden einem Bewerber, der geltend macht, inseinen Rechten verletzt zu sein, der Klageweg offen. Der Zentral-verband wurde von mir über das Ergebnis unterrichtet. 14.5 Veröffentlichungen von Handelsregisterdaten im

Internet Von verschiedenen Industrie- und Handelskammern (IHK) wargeplant, aus Gründen einer Erweiterung ihres Serviceangebots, Han-delsregisterdaten in das Internet einzustellen. Dies widerspricht derRegelung des § 125 Abs. 1 FGG i. V. m. § 9 Abs. 1 HGB, wonachzwar jedem die Einsicht in das Handelsregister gestattet ist, die Re-gister aber bewußt dezentral im Zuständigkeitsbereich des jeweiligenAmtsgerichts geführt werden. Ich habe deshalb die Thüringer IHKdarauf aufmerksam gemacht, daß bei einer Veröffentlichung derörtlichen Register im Internet nicht mehr zu kontrollieren wäre, werauf die Daten zugreift und wie diese weiter verarbeitet oder genutzt


204

werden. Technisch wäre es ohne Probleme möglich, auf diese Weiseein bundesweites Handelsregister zu erstellen. In einem Beschlußdes BGH zur Frage, ob eine Mikroverfilmung des gesamten Han-delsregisterbestands zulässig ist, wird ausgeführt, daß diese “Über-mittlung personenbezogener Daten das informationelle Selbstbe-stimmungsrecht der Betroffenen in einem wesentlich größeren Aus-maß als die bisher mögliche Einsicht in das Handelsregister berührt”und “deshalb einer hinreichenden Rechtsgrundlage” bedarf. Nachmeiner Auffassung wäre bei einer Einstellung der Handelsregister-daten in das Internet das informationelle Selbstbestimmungsrecht ineinem noch stärkeren Maße tangiert. Gegen die Veröffentlichung derMitteilungen des Amtsgerichts über Neueintragungen, Verände-rungs- und Löschungsmeldungen der IHK in das Internet bestehenaber keine datenschutzrechtlichen Bedenken. Ich gehe davon aus,daß alle Handelsregisterdaten, die gemäß § 10 Abs. 1 HGB in denBekanntmachungsblättern veröffentlicht werden, auch in das Inter-net eingestellt werden können. 14.6 Übermittlung von Gewerbeanzeigen an die AOK Gemäß § 14 Abs. 5 Nr. 7 GewO darf die zuständige Behörde regel-mäßig Daten der Gewerbeanzeigen “an die allgemeine Ortskranken-kasse für den Einzug der Sozialversicherungsbeiträge und für dieWeiterleitung an die anderen in ihrem Zuständigkeitsbereich tätigenKrankenkassen” übermitteln (§§ 28 h und 28 i SGB IV). Aufgrunddes seit 01.01.1996 herrschenden Krankenkassenwahlrechts beste-hen aus datenschutzrechtlicher Sicht gegen diese ÜbermittlungenBedenken. Ich halte es mit dem informationellen Selbstbestim-mungsrecht des Gewerbetreibenden nicht für vereinbar, die Datenaus der Gewerbeanzeige an eine Stelle zu übermitteln, von der zu-nächst nicht bekannt ist, ob sie diese Daten zur Erfüllung ihrer Auf-gaben überhaupt benötigt. Außerdem verschafft sich die AOK ge-genüber den anderen Krankenkassen damit einen zeitlichen Infor-mationssprung, indem etwa frühzeitig Kontakte mit dem Gewerbe-betrieb aufgenommen und gezielte Mitgliederwerbung betriebenwerden kann. Den anderen Krankenkassen gehen die entsprechen-den Informationen dann erst später zu. Eine mögliche Lösung wäredie Übermittlung an eine neutrale Stelle (z. B. die Gewerbeanzeige-


205

behörden selbst), die die Gewerbeanzeigen an die Kassen weiterlei-tet. In jedem Fall ist eine Änderung des § 14 Abs. 5 Nr. 7 GewOerforderlich. Auf meine diesbezügliche Anfrage hin hat das TMSGmeine Bedenken geteilt, aber darauf hingewiesen, daß ein kostenre-levanter Datenaustausch zu vermeiden sei. Soweit mir bekannt ist,soll zwischen dem Bundesministerium für Gesundheit und demBundesministerium für Wirtschaft eine diesbezügliche Ressortab-stimmung mit dem Ziel einer Gesetzesänderung eingeleitet wordensein. 14.7 Änderung straßenverkehrsrechtlicher Vorschriften Obwohl die Mitgliedstaaten verpflichtet waren, der Umsetzung der2. EG-Führerscheinrichtlinie sowie anderer notwendiger Neurege-lungen im Straßenverkehrsbereich bis spätestens ab 1. Juli 1996nachzukommen, wird nunmehr mit dem Inkrafttreten des Gesetzeszur Änderung des Straßenverkehrsgesetzes (StVG) und andererGesetze erst zum 01.07.1998 gerechnet. Die datenschutzrechtlichenBedenken gegen die Einführung eines zentralen Fahrerlaubnisregi-sters mit fast 50 Millionen Datensätzen wurden im Gesetzgebungs-verfahren nicht aufgegriffen. Lediglich in einigen Detailfragen ent-hält der zuletzt eingebrachte Gesetzentwurf der Bundesregierungdatenschutzrechtliche Verbesserungen. Selbst wenn das Gesetz zum01.07.1998 in Kraft tritt, so bedeutet dies ein Nebeneinander derörtlichen- und des zentralen Fahrerlaubnisregisters von bis zu achtJahren. Datenschutzrechtlich zu begrüßen ist aber der Umstand, daßauf die zunächst geplante Doppelspeicherung der Führerscheininha-ber in beiden Registern zwischenzeitlich verzichtet wird. Positiv andem bestehenden Änderungsentwurf hervorzuheben ist auch die nungetroffene Regelung, daß bei der Wiedererteilung oder der Entzie-hung der Fahrerlaubnis die bisher nach § 52 Abs. 2 BZRG gegebeneMöglichkeit des zeitlich unbegrenzten Zugriffs der Fahrerlaubnisbe-hörden auf strafrechtliche Verurteilungen, die im BZR und im VZRgelöscht sind (1. TB, 14.2.3), jetzt zufriedenstellend korrigiert wur-de. Insgesamt bin ich aber nach wie vor von der Notwendigkeit eineszentralen Fahrerlaubnisregisters im Sinne eines überwiegenden All-gemeininteresses nicht überzeugt. Mit der Errichtung eines zentralenRegisters besteht jederzeit die Möglichkeit, ein umfassendes elek-


206

tronisches Überwachungssystem, nicht nur für den Verkehrsbereich,zu schaffen. In Zukunft werden Abgleiche mit dem bereits vorhan-denen Verkehrszentralregister sowie dem zentralen Fahrzeugregisterdurch die mit diesem Zentralregister über automatisierte Abrufver-fahren verbundenen öffentlichen Stellen möglich sein. Darüberhinaus erhalten mit Inkrafttreten der Änderung des StVG die hierfürzuständigen öffentlichen Stellen der EU-Mitgliedstaaten Zugriff aufdas zentrale Fahrerlaubnisregister. Die Schaffung eines europäischenVerkehrszentralregisters, das der Kontrolle durch die Landesdaten-schutzbeauftragten entzogen wäre, könnte dann am Ende dieserEntwicklung stehen. 14.8 Kontrolle einer Führerscheinstelle Im Berichtszeitraum wurde eine Führerscheinstelle der datenschutz-rechtlichen Prüfung unterzogen. Dabei wurde neben allgemeinentechnischen und organisatorischen Mängeln festgestellt, daß dieFührerscheinakten ohne belastenden Inhalt in verschließbarenSchränken aufbewahrt wurden, während aus Platzgründen die Aktenmit belastendem Inhalt in offenen Regalen gelagert waren. In denAkten mit belastendem Inhalt sind u. a. ausführliche medizinisch-psychologische Gutachten (MPU-Gutachten), die meistens hochsen-sible medizinische und psychologische Daten (Anamnesen, Labor-daten etc.) über den Betroffenen enthalten. Ich hatte der Führer-scheinstelle dringend empfohlen, diese Führerscheinakten in ver-schließbaren Schränken aufzubewahren, zumal die MPU-Gutachtenden Akten nicht in verschlossenen Umschlägen beigefügt waren. DieFührerscheinstelle sah zunächst die Erforderlichkeit für die zu tref-fenden Maßnahmen nicht, ist jedoch zwischenzeitlich meiner Emp-fehlung gefolgt und bewahrt die Akten in verschließbaren Schränkenauf, wobei die MPU-Gutachten in verschlossenen Umschlägen bei-gefügt werden. Außerdem hatte ich die im Landratsamt getroffene Anweisung fürden Umgang mit eingehender Post beanstandet. Darin war geregelt,daß alle Posteingänge von der zuständigen Poststelle geöffnet, regi-striert und nach den jeweiligen Zuständigkeitsbereichen über dieAmtsleiter an die Sachbearbeiter weitergeleitet werden. Die Post


207

wurde dann per Boten unverschlossen zwischen den mehrere Kilo-meter voneinander getrennten Gebäuden transportiert. Da die für dieFührerscheinstelle eingehende Post auch besonders sensible Daten(MPU-Gutachten, BZR- und VZR-Auskünfte) enthält, verletzt diePostverteilung insoweit die Vorschriften des § 9 Abs. 3 ThürDSG.Danach sind von der Stelle Maßnahmen zu treffen, die verhindern,daß Unbefugte bei der Bearbeitung, dem Transport und der Ver-nichtung auf Daten zugreifen können. In der Verwaltungsvorschriftzum Vollzug des ThürDSG wird unter 9.3 näher ausgeführt, daßeingehende Schreiben an Stellen, die besonders sensible Daten ver-arbeiten, ungeöffnet an den Adressaten weiterzuleiten sind. Entspre-chendes gilt auch für den Postverkehr innerhalb einer Behörde. DieDienst- und Geschäftsanweisung wurde in dieses Punkten entspre-chend geändert. Für die Weiterleitung der Post werden zwischenPost- und Führerscheinstelle jetzt verschlossene Transportbehälterbenutzt. Zusätzlich hatte ich die Führerscheinstelle darauf hingewiesen, daßdie auf den aus der DDR stammenden Karteikarten von Fahrerlaub-nisinhabern gespeicherte Personenkennzahl, nach der Übernahmevon erforderlichen Daten gemäß § 16 Abs. 1 Nr. 2 ThürDSG zulöschen ist. Dies wurde zugesichert. 14.9 Kein “Wiederholungstäterregister” von Parksün-dern Im 1. TB (14.2.2) habe ich berichtet, daß ich eine regelmäßige Spei-cherung von Wiederholungsfällen bei Verstößen im ruhenden Stra-ßenverkehr mangels einer Rechtsgrundlage für unzulässig halte.Eine seinerzeit durchgeführte Nachfrage bei verschiedenen Ord-nungsämtern ergab, daß Daten aus Ordnungswidrigkeitenverfahrenausschließlich zu Rechnungsprüfungszwecken aufbewahrt werden,jedoch nicht zur Mehrfachtäterahndung herangezogen werden. ImBerichtszeitraum habe ich erfahren, daß in einer kreisfreien StadtFahrzeughalter aufgrund von wiederholten Parkverstößen aufgefor-dert worden sein sollen, ein MPU-Gutachten zu ihrer Fahreignungbeizubringen. Daraufhin habe ich mir die Verfahrensweise im Um-gang mit Daten von Parksündern im betreffenden Ordnungsamt


208

genauer angesehen. Zur Abwicklung der Verkehrsordnungswidrig-keiten im ruhenden Verkehr wird ein EDV-Verfahren eingesetzt.Nach Feststellen des Parkverstoßes durch die Außendienstmitarbei-ter wird das Kfz-Kennzeichen, die Tatzeit, der Tatort sowie derTatbestand in ein tragbares Erfassungsgerät eingegeben und dieDaten nach Rückkehr im Ordnungsamt auf eine Feststation desZentralrechners überspielt. Von dort aus werden in regelmäßigenAbständen Disketten an das Kraftfahrtbundesamt nach Flensburggeschickt, um den Namen und die Anschrift des Halters zu erfragen.Da es bei den Verkehrsordnungswidrigkeiten relativ kurze Verjäh-rungsfristen gibt (in der Regel 3 Monate), habe ich diese Verfah-rensweise akzeptiert, obwohl eine Halterabfrage für die Fälle nichtnotwendig wäre, in denen die Halter ihr Verwarnungsgeld zeitnahbezahlen. Nach Auskunft des Ordnungsamtes würden aber auchbereits getätigte Überweisungen kurz vor Ablauf der Verjährungs-frist widerrufen, um nach Eintritt der Verjährung das Verwarnungs-geld letztlich nicht bezahlen zu müssen. Würde erst zu diesem Zeit-punkt eine Halterabfrage erfolgen, käme das Ergebnis möglicher-weise zu spät. Erfolgt also die Zahlung innerhalb von drei Wochennach der Tat, werden die Daten aus dem Computer gelöscht. Wirdnicht bezahlt, erfolgt eine schriftliche Verwarnung an den zwischen-zeitlich über das Kraftfahrtbundesamt ermittelten Halter, wobei einAnhörungsbogen vom Halter auszufüllen und an das Ordnungsamtzurückzusenden ist. Die Gestaltung dieses Anhörungsbogens wurdeauf meine Forderung hin zwischenzeitlich vom Ordnungsamt umge-staltet. Insbesondere sind diejenigen Angaben, die freiwillig erfol-gen, als solche nunmehr ausdrücklich gekennzeichnet, um beimBetroffenen nicht den Eindruck zu erwecken, er sei zu diesen Anga-ben verpflichtet. Kommt es zu einer schriftlichen Verwarnung, wirdim Ordnungsamt ein schriftlicher Vorgang angelegt. Die Ablagedieser Vorgänge erfolgt nicht nach Namen, sondern nach fortlaufen-den Nummern, so daß bei der Vielzahl der Vorgänge eine systemati-sche Auswertung in Papierform mit vertretbarem Aufwand nichtmöglich ist. Bis zum rechtskräftigen Abschluß des Verfahrens kön-nen jedoch über das EDV-Programm bei Eingabe des Namens alleVerwarnungen oder Bußgelder, die noch nicht bezahlt worden sind,aufgerufen werden. Sofern es zu einem rechtskräftigen Bußgeldbe-scheid kommt, das Bußgeld aber wiederum nicht vom Betroffenen


209

bezahlt wird, bleiben die zugehörigen Angaben ggf. bis zum Ablaufder Vollstreckungsverjährung (nach drei Jahren) andernfalls bis zurVollstreckung des Bußgeldes in diesem Verfahren abrufbar. Be-gründet wurde das vom Ordnungsamt mit der Notwendigkeit, denEingang von Zahlungen bei der Stadtkasse den einzelnen Verfahrenzuordnen zu können. Zusammengefaßt heißt das: Wer ein “Knöll-chen” bekommen hat und das Verwarnungsgeld innerhalb von dreiWochen an die Stadt zahlt, wird nur vorübergehend in einem EDV-Verfahren gespeichert. Dagegen erfolgt eine längere und zusam-mengefaßte Speicherung bei denjenigen, die ihre Verwarnungsgel-der und später Bußgelder trotz Feststellung der Rechtmäßigkeit derForderung nicht bezahlen. Von dem Ordnungsamt werden mehrfache Verstöße gegen Vor-schriften des ruhenden Verkehrs nicht zu einer möglichen Erhöhungeines Verwarnungsgeldes in einem Wiederholungsfall herangezo-gen. Dies wäre auch nicht zulässig, da das Verwarnungsverfahrenein summarisch vereinfachtes Verfahren darstellt, bei dem Schuldoder Unschuld des Betroffenen nicht geprüft wird. Nach der Recht-sprechung des Bundesverwaltungsgerichts können allerdings hart-näckige und wiederholte Verstöße gegen Vorschriften im ruhendenVerkehr Zweifel an der Eignung zum Führen von Kraftfahrzeugenbegründen. Hierzu wird vom Ordnungsamt bei Vorliegen gehäufterVerstöße gegen die Parkvorschriften eine Mitteilung an die Führer-scheinstelle im selben Amt gegeben, daß Zweifel an der Eignung desBetroffenen zum Führen von Kraftfahrzeugen bestehen. Dabei wirdausschließlich auf nicht vollstreckte rechtskräftige Bußgeldbescheidezurückgegriffen. Fälle nicht bezahlter Verwarnungsgelder bzw. nochnicht rechtskräftig abgeschlossene Bußgeldverfahren bleiben hierbeiunberücksichtigt. Weil es sich bei den Bußgeldern im Zusammen-hang mit Verstößen gegen Vorschriften des ruhenden Verkehrs umVerfehlungen handelt, die nicht ins Verkehrszentralregister einge-tragen werden, erscheint es fraglich, ob Eignungsbedenken systema-tisch aus einem EDV-Verfahren genutzt werden dürfen, das ledig-lich noch zur Abwicklung von nicht vollstreckten Bußgeldbeschei-den diese Angaben enthält. Da es sich hierbei wohl nur um Ausnah-mefälle handeln dürfte, habe ich insoweit gegenüber dem Ordnungs-amt meine Bedenken zurückgestellt, wenn sichergestellt ist, daß eine


210

Mitteilung an die Führerscheinstelle nur bei gehäuften, durch rechts-kräftige Bußgeldbescheide geahndete Parkverstöße erfolgt. 14.10 Der “Kuckuck” mit der Schuldnerkralle Wie aus einem Presseartikel zu erfahren war, haben einige Gemein-den und Städte in der Bundesrepublik Deutschland, und so auch inThüringen, “das Auto” zum Eintreiben von Schulden entdeckt. Beider “Schuldnerkralle” handelt es sich um eine aus Metall bestehendeVorrichtung, die um den Reifen eines Kfz montiert wird und jedeWeiterfahrt verhindert. Um Schäden an dem Fahrzeug bei einemWegfahrversuch zu vermeiden, wird in der Regel ein deutlich sicht-barer Aufkleber und/oder ein Pfandsiegel auf die Scheibe der Fah-rertür angebracht. Ich habe gegenüber dem TIM vertreten, daß durchdie Pfändung eines im öffentlichen Straßenraum abgestellten Kfzdiese Vollstreckungsmaßnahme gegen den Halter des Fahrzeugsdurch das sichtbare Anlegen der “Schuldnerkralle” sowie das An-bringen des Pfandsiegels insoweit öffentlich gemacht wird, als die-jenigen Personen, die das Fahrzeug und dessen Halter kennen,Kenntnis von dieser Vollstreckungsmaßnahme erhalten können.Diese Maßnahme ist deshalb geeignet, das Ansehen der Person her-abzusetzen und stellt durch die sogenannte “Prangerwirkung” einenEingriff in das Persönlichkeitsrecht dar. Eine solche Maßnahmehalte ich jedoch nur dann für gerechtfertigt, wenn sie auf gesetzli-cher Grundlage (§ 286 Abs. 2 AO i. V. m. § 38 ThürVwZVG) er-folgt und verhältnismäßig ist. Mit anderen Worten, wenn nicht mitKanonen auf Spatzen geschossen wird. Sind demnach andere demWert der Forderung entsprechende Vermögensgegenstände vorhan-den, stellt der Einsatz der Schuldnerkralle wegen einer geringfügi-gen Forderung eine unzulässige Überpfändung dar, die auch diedamit verbundene Einschränkung des Persönlichkeitsrechts nichtrechtfertigt und aus datenschutzrechtlicher Sicht unzulässig wäre.Der Verhältnismäßigkeitsgrundsatz gebietet es ebenfalls, daß imRahmen der Ermessensausübung durch den Vollstreckungsbeamtendie für das informationelle Selbstbestimmungsrecht des Schuldnersmildeste Vollstreckungsart gewählt wird, d. h. der Einsatz derSchuldnerkralle mit der damit verbundenen Bloßstellung nur dannerfolgen darf, wenn auf keine Gegenstände zugegriffen werden


211

kann, die sich nicht im öffentlichen Raum befinden. Das TIM hatmir mitgeteilt, daß es meine datenschutzrechtliche Bewertung be-züglich des Einsatzes der Schuldnerkralle teilt. 14.11 Fahrgastbefragung zur Ermittlung der Reiseweite

im Ausbildungsverkehr Ich wurde durch einen Presseartikel auf den Fragebogen eines Ver-kehrsbetriebs aufmerksam, der im Zusammenhang mit der Beantra-gung von ermäßigten Monatskarten im Ausbildungsverkehr ausge-teilt wurde. Weder dem Fragebogen noch anderen Informations-quellen in den Ausgabestellen war zu entnehmen, ob es sich um einefreiwillige oder zwangsweise Erhebung handelt und welche Rechts-vorschriften diese erlaubt oder anordnet. Hintergrund für die Erhe-bung ist die Tatsache, daß ein Verkehrsunternehmen eine erhöhteAusgleichszahlung vom Land erhält, wenn es nachweisen kann, daßder zugrundeliegende Durchschnittswert der Beförderungsweite ummehr als 25 % nach oben abweicht. Gemäß § 45a Personenbeförde-rungsgesetz (PBefG) - in der Fassung der Bekanntmachung vom 8.August 1990 (BGBl I, S. 1690) hat ein Verkehrsunternehmen einenAnspruch auf Ausgleich, wenn ihm durch den Verkauf von ermä-ßigten Zeitkarten im Ausbildungsverkehr ein Verlust entsteht. NachAngaben des Verkehrsbetriebes wurde der vorliegende Erhebungs-bogen vom TMWI überprüft und genehmigt. Das TMWI ging davonaus, daß die Fahrgastbefragung zum Nachweis der Abweichung vonder mittleren Reiseweite gemäß § 3 Abs. 5 Personenbeförderungs-ausgleichsverordnung (PBerfAusglV) - vom 2. August 1977 (BGBlI, S. 1460) erforderlich sei. Da sich aus den o. g. Rechtsgrundlagenunmittelbar keine Erhebungsbefugnis ergibt und auch die Vorausset-zungen des § 28 BDSG (Erhebung nach Treu und Glauben) als Auf-fangvorschrift nicht vorlagen, weil kein Hinweis auf die Freiwillig-keit angebracht war, wurde die Durchführung der Fahrgastbefragungvon mir beanstandet. Der Verkehrsbetrieb stellte daraufhin die Fra-gebogenaktion unmittelbar ein und ich stimmte zu, daß die bisherbereits ausgefüllten Fragebogen bis zu einer endgültigen rechtlichenKlärung verschlossen aufbewahrt wurden. Es wurde vorgeschlagen,den Namen, die Anschrift und die Unterschrift von den Daten überdie Ein- und Ausstiegshaltestelle zu trennen und die Teile mit einer


212

Codenummer zu versehen, damit ein nachträgliches Zusammenfüh-ren und eine Prüfung im Einzelfall jederzeit möglich wäre, die ei-gentlich benötigte Streckenlänge zwischen der Ein- und Ausstiegs-haltestelle aber ohne Personenbezug ausgewertet werden kann. Zur Durchführung einer zukünftigen Fahrgastbefragung hat derVerkehrsbetrieb den Entwurf des neugestalteten Antragsformularszur datenschutzrechtlichen Prüfung übersandt. Ich habe gefordert,den Betroffenen Hinweise zum Ausfüllen des Erhebungsbogens zugeben, insbesondere, daß die Daten nicht für andere Zwecke verar-beitet oder genutzt werden dürfen. Außerdem habe ich verlangt, indie Tarifbestimmungen eine entsprechende Verpflichtung mit aufzu-nehmen, wonach die Antragsteller von Monatskarten im Ausbil-dungsverkehr die Angaben auf dem Fragebogen auszufüllen haben.Die Anregungen werden bei der nächsten Fragebogenauflage be-rücksichtigt. 14.12 Datenübermittlung zwischen Wohnungsgesellschaft

und Sozialamt Im 1. TB (14.3.6) hatte ich für die Datenübermittlung zwischen einerWohnungsgesellschaft und dem Sozialamt bei Mietschuldnern ge-fordert, daß der Mieter auf die Möglichkeit eines Widerspruchsgegen die Übermittlung seiner personenbezogenen Daten an dasSozialamt hingewiesen wird. Zwischenzeitlich werden alle Miet-schuldner der Wohnungsgesellschaft, die sich in einem größerenMietrückstand befinden, über § 28 BDSG als Rechtsgrundlage fürdie bevorstehende Datenübermittlung an das Sozialamt unterrichtet.Gleichzeitig wird diesen Mietern eine 14-tägige Frist eingeräumt,dieser Datenübermittlung zu widersprechen. Ich habe die Woh-nungsgesellschaft darüber hinaus nochmals darauf hingewiesen, daßvorab zu prüfen ist, ob überhaupt Anhaltspunkte für eine Hilfsbe-dürftigkeit des Mieters vorliegen.


213

14.13 Aushang einer Hausordnung in einem Familien-übergangshaus

Mir lag eine Eingabe vor, wonach sich der Mieter eines Hausesdagegen wehrte, daß in seinem Haus eine Hausordnung ausgehängtwurde, aufgrund deren Inhalt die Bewohner als Sozialhilfeempfän-ger offenbart wurden. Problematisch war es deshalb, weil es sich umein Familienübergangshaus handelt, in dem die Bewohner nur einevorübergehende Wohnberechtigung erhalten und somit keine dauer-haften Mietverhältnisse bestehen, jedoch aufgrund der teilweiselangen Aufenthaltsdauer (z. T. über Jahre) am Gebäude bzw. an denWohnungen die Briefkästen- und Klingelschilder die Namen derBewohner tragen. Da es sich um ein Gebäude einer kommunalenWohnungsgesellschaft handelte, zahlte das Sozialamt dem Eigentü-mer entsprechende Nutzungsentgelte für den Wohnraum und dieBetriebskosten. Nach Prüfung der im Hausflur angebrachten undsomit im beschränkten Maß öffentlich zugänglichen Hausordnungfand ich die Angaben des Petenten zum Inhalt bestätigt. Ich habedaraufhin der Stadtverwaltung mitgeteilt, daß nach meiner Auffas-sung der Inhalt und das öffentliche Aushängen der Hausordnungdurchaus geeignet sind, Dritten gegenüber Daten unbefugt zu offen-baren. Die Hausordnung enthielt Einzelangaben über persönlicheund sachliche Verhältnisse der Bewohner in der Form, daß unmiß-verständlich darüber informiert wurde, daß es sich bei den Bewoh-nern um Personen handelt, die obdachlos sind und deshalb vomOrdnungsamt in dieses Familienübergangshaus eingewiesen wurden.Im Gegensatz zu üblichen Obdachloseneinrichtungen, in denen dieBenutzer ständig wechseln und sich im Regelfall nur stundenweisedarin aufhalten, wohnen im Übergangshaus die eingewiesenen Per-sonen als Nutzer von Übergangswohnungen für einen unbestimmtenZeitraum. Dementsprechend werden die Bewohner ordnungsgemäßmelderechtlich erfaßt sowie postalisch, in Einzelfällen sogar telefo-nisch, dieser Anschrift zugeordnet. Daneben werden die Namen derBewohner auf den Briefkästen, Klingeln oder Wohnungstüren do-kumentiert. Dies führt dazu, daß die Hausordnung aufgrund ihresInhaltes personenbezogene Daten offenbart. Da sie in dem Gebäudeöffentlich ausgehängt wird, so daß jeder Besucher Kenntnis von demdarin enthaltenen Daten nehmen kann, stellt die Bekanntmachung


214

eine Datenübermittlung im Sinne des ThürDSG dar. Allein aus demInhalt der Hausordnung ergibt sich aufgrund der Bezeichnung undZuordnung des Gebäudes und der darin enthaltenen Regelungen, daßes sich um Bewohner handelt, die Sozialleistungen nach den Be-stimmungen des Sozialgesetzbuches zur Sicherung eines menschen-würdigen Daseins sowie zum Ausgleich besonderer Belastung desLebens empfangen. Eine Übermittlung dieser Daten ist nur im Rah-men der gesetzlichen Bestimmungen unter Beachtung der Erforder-lichkeit zulässig. Ich habe deshalb empfohlen, künftig nur noch denHausbewohnern persönlich die Hausordnung zu übergeben. Soweitman es darüber hinaus für erforderlich hielt, sollte man darüberhinaus einen Auszug der Hausordnung im Gebäude anbringen unterder Maßgabe, daß darin Informationen, aus denen sich der sozialeStatus der Hausbewohner ergeben könnte, nicht enthalten sind. Mei-ner Empfehlung entsprechend wurde von der Stadtverwaltung fest-gelegt, daß die bisherige Hausordnung nicht mehr zum Aushanggelangt. 14.14 Führung von Wohnungskarteikarten Bis Ende 1989 führten die Gemeinden zum Zweck der Wohnraum-lenkung und der Wohnungsbestandsfortschreibung Wohnraumkar-teien. In den Kreisen bildeten diese die Grundlage für den Daten-speicher Wohnungspolitik. In meinem 1. TB (14.3.1) hatte ich be-reits darauf hingewiesen, daß ich den weiteren Umgang mit diesenUnterlagen in der Folgezeit überprüfen werde. Die nunmehr durch-geführten Kontrollen in kleineren Städten und Gemeinden ergab,daß dort aufgrund fehlender weiterer Aufgaben die Karteien zwi-schenzeitlich, soweit keine Archivierung erfolgte, vernichtet wur-den. In einer kreisfreien Stadt waren demgegenüber nur die Unterla-gen, die dem privaten Bereich betrafen 1991/1992 ausgesondert unddem Kommunalarchiv übergeben worden. Die übrigen Wohnungs-karteikarten des ehemaligen Datenspeichers Wohnungspolitik wur-den zur Nachweisführung über den belegungsgebundenen Wohn-raum zur Umsetzung des Thüringer Gesetzes über die Gewährlei-stung von Belegungsrechten im kommunalen Wohnungsbau weiter-hin genutzt. Nicht mehr erforderliche Daten, insbesondere hinsicht-lich der Angaben früherer Mieter und weiterer Hinweise zur Woh-


215

nungsvergabe waren zwar gestrichen (gesperrt) jedoch nicht ge-löscht worden. Da aufgrund des Thüringer Belegungsrechtegesetzes(ThürBelRechtG) vom 8. Dezember 1995 (GVBl S. 360) ohnehinder Umfang der belegungsgebundenen Wohnungen ab 1996 wesent-lich reduziert werden sollte, hatte man bisher von einer weiterenAussonderung der nicht mehr benötigten Karteikarten abgesehen.Zum Zeitpunkt der Kontrolle stand der Beschluß des Stadtrates zurkonkreten Benennung der künftigen belegungsgebundenen Woh-nungen gemäß § 3 ThürBelRechtG noch aus. Im Ergebnis meinerPrüfung wurde deshalb festgelegt, daß unmittelbar nach der Be-schlußfassung die Aussonderung der Kartei (was zwischenzeitlichbereits erfolgt ist) dahingehend vorgenommen wird, daß künftigdarin nur noch Karteikarten für den belegungsgebundenen Wohn-raum zur gesetzlich vorgeschriebenen Nachweisführung enthaltensind. Die nicht mehr benötigten Unterlagen sollten dem Archivübergeben werden. Gleichzeitig wurde gefordert, die alten Kartei-karten durch neue, ohne Übernahme der gesperrten Daten, zu erset-zen. 14.15 Erarbeitung von Mietspiegeln In Vorbereitung der Erstellung von Mietspiegeln in Thüringen hattemich das TMWI gebeten, hierzu aus datenschutzrechtlicher SichtStellung zu nehmen. Ich habe die Verantwortlichen der Landkreiseund der größeren Kommunen darauf hingewiesen, daß die Erarbei-tung und Veröffentlichung eines sogenannte einvernehmlich festge-stellten Mietspiegels als Ergebnis einer Verhandlung von Interessen-vertretern der Vermieter und Mieter mit und ohne Beteiligung derGemeinde datenschutzrechtlich unproblematisch ist, solange aus-schließlich aggregierte und nicht mehr einer einzelnen konkretenWohnung zuordenbare Daten genutzt werden. Verständigen sich dieInteressenvertreter auf der Grundlage des ihnen jeweils vorliegendeneigenen Datenmaterials bei bestimmten Wohnungsgruppen auf “von- bis Spannen” zur Miethöhe, werden personenbezogene Daten nichtoffenbart und das Recht auf informationelle Selbstbestimmung derMieter als auch der Vermieter nicht beeinträchtigt. Da nur Durch-schnittswerte veröffentlicht werden und sogenannte “Ausreißer-mieten” unberücksichtigt bleiben, können aus diesen Angaben im


216

Einzelfall für einen speziellen Vermieter oder Mieter nicht der Miet-preis oder bestimmte Vermögensverhältnisse abgeleitet werden.Datenschutzrechtlich relevant ist demgegenüber die Erstellung einessogenannten repräsentativen Mietspiegels. Das ergibt sich daraus,daß nicht auf bereits aggregierte Daten von Wohnungsgesellschaftenzurückgegriffen wird, sondern zur Wahrung der Repräsentativität injedem Fall zusätzliche Erhebungen bei sonstigen privaten Vermie-tern erforderlich werden. Werden personenbezogene Einzelangabenvon Mietern oder Vermietern an Dritte übermittelt oder durch Dritteerhoben, verarbeitet oder genutzt, sind die einschlägigen daten-schutzrechtlichen Bestimmungen zu beachten. Eine Rechtsgrundlagefür eine zwangsweise Erhebung dieser Daten existiert nicht. Aus denAuffangvorschriften zum Datenschutz ergibt sich, daß ohne eineentsprechende Rechtsnorm die Erhebung, Verarbeitung und Nutzungder Daten nur auf freiwilliger Grundlage erfolgen kann. Da derMieter im Regelfall eine schutzwürdiges Interesse am Ausschluß derÜbermittlungen haben wird, wäre eine Übermittlung der Daten vonSeiten des Vermieters ohne Einwilligung des Mieters nicht zulässig.Gemäß § 22 ThürStatG können unter bestimmten Bedingungen dieGemeinden für die Wahrnehmung ihrer Aufgaben im Rahmen ihrerZuständigkeiten und Befugnisse Statistiken durchführen. Hierfürsind auf Gemeindeebene zur Erstellung repräsentativer Mietspiegelentsprechende Satzungen zu beschließen, so daß auch eine Aus-kunftspflicht der Mieter bzw. der Vermieter angeordnet werdenkann. Dadurch wird auch für die Erhebung der Daten dem rechts-staatlichen Gebot der Normenklarheit Rechnung getragen. Zu be-achten ist, daß die einzelnen Datensätze der statistischen Geheim-haltung unterliegen und dementsprechend nur in anonymisiertem,aggregiertem Zustand des Mietspiegel veröffentlicht werden dürfen.Eine Nutzung der Einzeldaten zur Fortschreibung sowie zur Benen-nung von Vergleichswohnungen ist selbstverständlich unzulässig.Gleichfalls verbietet sich ohne Zustimmung der betroffenen Mieterund Vermieter die Führung von objektkonkreten Datenbanken, dahierzu keine entsprechende Rechtsvorschrift besteht.


217

14.16 Datenübermittlung für Vermessungszwecke Ein Thüringer Bürger hat im Berichtszeitraum die Frage an michherangetragen, ob es datenschutzrechtlich zulässig sei, zur Durch-führung des Einmessungsverfahrens die Anzeige der abschließendenFertigstellung nach § 79 Abs. 1 ThürBO mit personenbezogenenDaten des Bauherrn von der unteren Bauaufsichtsbehörde an dasKatasteramt zu übermitteln. Da keine Spezialvorschrift existiert, dieeine Verpflichtung der unteren Bauaufsichtsbehörde enthält, wiebeschrieben zu verfahren, beurteilt sich die Angelegenheit nach den§§ 21 Abs. 1, 20 Abs. 2 Ziffer 3 ThürDSG. Die Übermittlung warhier zur Erfüllung der Aufgaben des Katasteramtes erforderlich, dadie Führung des Liegenschaftskatasters Aufgabe des Katasteramtesist und die Errichtung eines Bauwerkes die Notwendigkeit der Auf-nahme dieses Bauwerkes in das Kataster mit sich bringt. MeinesErachtens wird man gemäß § 20 Abs. 2 Ziffer 3 ThürDSG davonausgehen können, daß es offensichtlich ist, daß dies im Interesse desBetroffenen liegt und kein Grund zu der Annahme besteht, daß er inKenntnis der anderen Zwecke seine Einwilligung verweigern würde.Auf diese Weise kann sichergestellt werden, daß er von seiner Ver-pflichtung nach § 11 Abs. 2 ThürKatG Kenntnis erhält, als Gebäu-deeigentümer dem Katasteramt die für die Führung des Liegen-schaftskatasters erforderlichen Angaben zu machen und die entspre-chenden, in seinem Besitz befindlichen Unterlagen vorzulegen. Ichhabe dem Anfragenden deshalb mitgeteilt, daß dieses Verfahrenkeinen datenschutzrechtlichen Bedenken unterliegt. 14.17 Erhebungen von personenbezogenen Daten bei

Zweckverbänden Zahlreiche Eingaben von Bürgern erreichten mich im Zusammen-hang mit den von den Zweckverbänden, und hier insbesondere denWasser- und Abwasserzweckverbänden, erhobenen personenbezo-genen Daten zur Berechnung von Beiträgen und Gebühren. In derRegel werden die betroffenen Eigentümer von den Zweckverbändenangeschrieben und um das Ausfüllen der beigefügten Erhebungsbö-gen, sogenannte Selbstauskunftsbögen, gebeten. VerschiedeneZweckverbände fordern vom Eigentümer zusätzlich noch die Beifü-


218

gung von Kopien des Grundbuchauszuges sowie den Lageplan desGrundstücks. Einige Zweckverbände weisen vorsorglich darauf hin,daß die vom Bürger erteilten Auskünfte stichprobenartig durch Ab-gleiche mit dem Liegenschaftskataster auf ihren wahrheitsgemäßenInhalt überprüft werden. Bei der datenschutzrechtlichen Prüfung vonFragebögen stellte ich häufig fest, daß der Betroffene entgegen denBestimmungen des § 19 Abs. 3 ThürDSG nicht auf die Rechtsvor-schriften hingewiesen wird, die ihn zur Auskunft verpflichten. Wenndiese Aufklärungspflicht von Seiten des Zweckverbandes unterblie-ben ist, muß ein solcher Hinweis nachgeholt werden. WeitergehendeRechtsfolgen lassen sich aber hieraus nicht ableiten. Insbesonderewird die Zulässigkeit der Erhebung sowie die nachfolgende Verar-beitung der personenbezogenen Daten damit nicht beeinträchtigt,wenn die Angaben aufgrund einer Rechtsgrundlage erhoben wurden,die zur Auskunft verpflichtet. Eine detaillierte Überprüfung derAngaben auf verschiedenen Fragebögen hat teilweise ergeben, daßaus den erlassenen Satzungen der Erhebungsgrund verschiedenerpersonenbezogener Daten nicht hervorgeht. Wenn die Erforderlich-keit der Erhebung eines bestimmten Datums nicht gegeben ist, kannder Betroffene deshalb nicht verpflichtet werden, diese Auskunft zuerteilen. Hat in diesem Falle der Zweckverband nicht auf die Frei-willigkeit der Angaben hingewiesen bzw. muß der Betroffene davonausgehen, daß er zur Angabe dieser Daten verpflichtet ist, so war dieErhebung dieses Datums unzulässig und muß gemäß § 16 Abs. 1 Nr.1 ThürDSG gelöscht oder gemäß § 15 Abs. 1 Nr. 2 ThürDSG ge-sperrt werden. Als Rechtsgrundlage für die Erhebung der personenbezogenen Da-ten zur Berechnung von Beiträgen und Gebühren sind § 2 und §§ 7ff. Thüringer Kommunalabgabengesetz (ThürKAG) in Verbindungmit der jeweiligen vom Zweckverband erlassenen Satzung maßgeb-lich. Die Forderung einiger Zweckverbände nach Beifügung vonweiteren Kopien, wie des Grundbuchauszuges oder des Lageplanes,ist in § 7 Abs. 14 ThürKAG geregelt. Die Grundstückseigentümerwerden hierin “dazu verpflichtet, auf Verlagen der beitragsberech-tigten Körperschaft die für die Berechnung der Vorauszahlung, Vor-schüsse und Beiträge erheblichen Tatsachen vollständig und wahr-heitsgemäß offenzulegen und die ihnen bekannten Beweismittel


219

anzugeben.” Die Mitwirkungspflicht des Betroffenen wird in § 15Abs. 1 Nr. 3a ThürKAG in Verbindung mit § 97 Abs. 2 Abgaben-ordnung (AO) konkretisiert. Entsprechend § 97 Abs. 1 AO kann derZweckverband von den Betroffenen die Vorlage von Büchern, Auf-zeichnungen und anderen Urkunden verlangen. Dieses soll aber nachAbs. 2 nur verlangt werden, wenn der Vorlagepflichtige eine Aus-kunft nicht erteilt hat, wenn die Auskunft unzureichend ist oderBedenken gegen ihre Richtigkeit bestehen. Ich habe deshalb gegen-über den betroffenen Zweckverbänden vertreten, daß nur in Fällen,in denen begründete Zweifel an der Richtigkeit der im Erhebungs-bogen gemachten Angaben bestehen, Kopien, z. B. des Grund-buchauszuges und des Lageplanes, verlangt werden können und derAuskunftspflichtige die dabei entstehenden Kosten tragen muß. Eineprinzipielle Erforderlichkeit regelmäßig Grundbuchauszüge u. ä. aufeigene Kosten vorlegen zu müssen, sehe ich nicht. Klärungsbedarf bestand auch zu der Frage, ob die Einsichtnahme indas entsprechende Liegenschaftskataster durch den Zweckverband,ohne daß der Betroffene hiervon Kenntnis erlangt hat, zulässig ist.Hierzu ist auszuführen, daß jeder, der ein berechtigtes Interessedarlegt, das Liegenschaftskataster und seine Unterlagen gemäß § 9Abs. 1 Thüringer Katastergesetz (ThürKatG) einsehen sowie Aus-kunft daraus erhalten kann. Weiterhin können gemäß § 10 Abs. 1ThürKatG Daten aus dem Liegenschaftskataster regelmäßig an Be-hörden und sonstige öffentliche Stellen übermittelt werden, soweitdies zur Erfüllung ihrer Aufgaben erforderlich ist. 14.18 Datenerhebung bei der Abfallentsorgung Entsorgungspflichtige Körperschaften im Sinne des § 3 Abs. 2 Ab-fallgesetz (AbfG) sind gemäß § 2 Abs. 1 Thüringer Abfallwirt-schafts- und Altlastengesetz (ThAbfAG) die Landkreise und kreis-freien Städte. Sie können durch Satzung gemäß § 4 ThAbfAG fest-legen, wie ihnen die Abfälle zu überlassen sind und erheben alsGegenleistung für die Inanspruchnahme ihrer öffentlichen Einrich-tung Benutzungsgebühren nach den Vorschriften des ThüringerKommunalabgabengesetzes. Im Bestreben, eine immer gleichmäßi-gere und gerechtere Lastenverteilung bei der Müllentsorgung zu


220

erreichen, werden immer neue Verfahren entwickelt, die gleichfallsVeränderungen bei der Erhebung und Verarbeitung von Daten derAnschluß- bzw. Benutzungspflichtigen bei der Abfallentsorgungnach sich ziehen. In der letzten Zeit ist deshalb eine Zunahme vonAnfragen und Eingaben betroffener Bürger zu Fragen der Datener-hebung und -verarbeitung im Rahmen der Umsetzung von Abfall-satzungen und Abfallgebührensatzungen festzustellen. Als Ursachenstellen sich insbesondere mißverständliche bzw. nicht normenklareRegelungen oder fehlende Definitionen in den Satzungen ebenso wienicht rechtzeitige oder mangelhafte Information der Betroffenenheraus. Darüber hinaus werden mitunter in Satzungen Bestimmun-gen, Verfahren oder Vordrucke aufgenommen, bei denen sich man-gels einer vorherigen Prüfung erst später bei der praktischen Umset-zung datenschutzrechtliche Probleme ergeben. Nicht selten zeigtsich auch bei der Bearbeitung entsprechender Anfragen und Be-schwerden, daß der jeweilige behördeninterne Datenschutzbeauf-tragte bis zu diesem Zeitpunkt nicht oder nur unzureichend über dasjeweilige Verfahren in Kenntnis gesetzt wurde und mit der automati-sierten Verarbeitung personenbezogener Daten die datenschutz-rechtliche Freigabe gemäß § 34 Abs. 2 ThürDSG und die Daten-schutzregistermeldung, nach § 3 Abs. 1 ThürDSRegVO teilweisenoch ausstehen. Überwiegend werden in den Abfall- und Abfallgebührensatzungenals Adressaten und Auskunftspflichtige die Grundstückseigentümerbestimmt und zur Berechnung der Gebühren die Anzahl der auf denGrundstücken gemeldeten Einwohner zugrunde gelegt. Mitunterfordern deshalb die in den Landkreisen für die Abfallgebührenbe-rechnung zuständigen Stellen von den Meldeämtern der Gemeindenregelmäßig aus den Melderegistern Einzeldaten aller Einwohner ab.Dies würde jedoch der Führung eines zweiten Melderegisters ent-sprechen, obwohl regelmäßig die Abfallbehörde nur die Einzeldatender Gebührenzahler (z. B. Eigentümer) benötigt. Darüber hinauswürde die regelmäßige Datenübermittlung von den Meldebehördender Gemeinden an die Abfallbehörden der Landkreise gegen § 29Abs. 5 ThürMeldeG verstoßen, wonach regelmäßige Datenüber-mittlungen an andere Behörden oder sonstige öffentliche Stellen nurzulässig sind, sofern dies durch Bundes- oder Landesrecht unter


221

Festlegung des Anlasses und des Zwecks der Übermittlung, derDatenempfänger und der zu übermittelnden Daten bestimmt ist.Soweit ich dies in der Praxis festgestellt habe, wurde gefordert, dieregelmäßige personenbezogene Datenübermittlung von den Melde-ämtern einzustellen und statt dessen den Gebührenstellen nur nochdie Anzahl der jeweils unter dieser Anschrift gemeldeten Personenmitzuteilen. Aufgrund des im Kreislaufwirtschafts- und Abfallgesetz verwende-ten Begriffes “private Haushaltungen”, der dort in unterschiedlichenRegelungen bei der Entsorgung als Unterscheidungskriterium für dieHerkunft des Abfalls und nicht zur Definition konkreter Personen-gruppen (Haushalte) verwendet wird, stellen einige Satzungen beider Berechnung von Vorhaltemengen und Gebühren z. B. statt aufden Eigentümer/Mieter auf “Haushalte” ab. Es fehlt aber jeweilseine für die Betroffenen nachvollziehbare eindeutige Definition fürden Begriff des “Haushaltes”. Dies stellt sich aber häufig erst in derPraxis heraus, wenn widersprüchliche Aussagen von Eigentümern(oder Gleichgestellten) /Pächtern oder Mietern vorliegen. Durchzusätzliche Befragungen sollen dann die fehlenden Daten erhobenwerden. Dies kann letztlich, wie in einem Fall bekannt wurde, dazuführen, daß in einer Gemeinde nur die im Melderegister gespeicher-ten “Kernfamilien” (Ehepaare und deren unter gleicher Anschriftgemeldeten Kinder bis zum 27. Lebensjahr) als “Haushalte” be-trachtet und bei der Gebührenberechnung zugrunde gelegt wurden,was z. B. bei nichtehelichen Lebensgemeinschaften zu einer Viel-zahl von Einsprüchen führte, weil diese im Melderegister nicht er-faßt sind. Datenschutzrechtlich bedenklich ist insbesondere die mangelndeNormenklarheit, d.h. wenn in Abfall- und Abfallgebührensatzungender Umfang und die Auskunftspflicht der Anschluß-, Benutzungs-und Gebührenpflichtigen nicht eindeutig festgelegt wird. Dies ver-unsichert die Betroffenen hinsichtlich ihrer Pflichten und führt imErgebnis häufig zu einer Mehrfacherhebung von Daten, weil z. B.Mieter und Eigentümer teilweise sogar sich widersprechende Anga-ben machen. Desweiteren kann diese Verfahrensweise eine über dasErfordernis hinausgehende Datenerhebung und eine Datenvorrats-


222

haltung zur Folge haben. In Einzelfällen erhalten diese Daten auchmehrere Stellen gleichzeitig (z. B. Landratsamt, Eigenbetrieb derAbfallwirtschaft, privater Entsorgungsbetrieb), ohne daß derenKenntnis dort in jedem Fall zur Aufgabenerfüllung erforderlichwäre. Soweit ich dies festgestellt habe, wurde von den entsprechen-den Stellen die Einhaltung der datenschutzrechtlichen Bestimmun-gen gefordert. Zunehmend kommen im Freistaat Thüringen computergestützteMüllerfassungssysteme zur Anwendung. Als Vorteil dieser Systemewerden insbesondere die höhere Kostengerechtigkeit für den einzel-nen Bürger sowie die Einschränkung von Verwaltungskosten ge-nannt. Nicht unerwähnt bleiben darf aber, daß soweit die Benutzungder Spezialmüllcontainer nicht durch eine “anonyme” Gebühren-zahlung durch den Einwurf von Gebührenmarken oder der Abbu-chung eines Guthabens von einer Chipkarte erfolgt, bei diesen Ver-fahren zusätzliche Daten wie Entsorgungszeitpunkt, Müllmenge undEntsorger (z. B. Nummer der Chipkarte) im Identifikationsgerät desMüllcontainers gespeichert werden. Soweit diese Daten ausschließ-lich und zweckgebunden der Müllgebührenberechnungsstelle über-geben werden und die Entsorgungsfirma aus den Daten nicht kon-kret entnehmen kann, wer der Benutzungspflichtige (Chipkarten-besitzer) ist, bestehen gegen dieses Verfahren grundsätzlich keineBedenken. Selbstverständlich sind diese Einzeldaten spätestens nachRechnungslegung und Ablauf der Einspruchsfrist zu löschen. Injedem Fall ist eine Zuordnung des Abfalls zu einem Benutzungs-pflichtigen nach Abgabe an den Entsorgungsbetrieb etwa durchKennzeichnung oder Registrierung der Abfallbehältnisse (z. B.Müllsack) unverhältnismäßig und deshalb auszuschließen. 14.19 Datenübermittlung aus dem Emissionskataster an

eine Stadtverwaltung Aufgrund einer Anfrage hatte ich mich mit der Zulässigkeit vonDatenübermittlungen aus dem bei der Thüringer Landesanstalt fürUmwelt geführten Emissionskataster an eine Kommune zum Zwek-ke der Erstellung eines Energiekonzepts zu beschäftigen. Das Emis-sionskataster enthält Einzelangaben über Art, Menge, räumliche und


223

zeitliche Verteilung und die Austrittsbedingungen von Luftverunrei-nigungen bestimmter Anlagen und Fahrzeuge und wird insbesondereauch für Planungsaufgaben geführt. Hinsichtlich der Datenüber-mittlung aus dem Kataster an andere Stellen gibt es keine spezialge-setzlichen Regelungen. Nach der allgemeinen Verwaltungsvorschriftzum Bundes-Imissionsschutzgesetz (BImSchG) - in der Fassung derBekanntmachung vom 14. Mai 1990 (BGBl I, S. 880) können fürUntersuchungen in belasteten Schwerpunktbereichen gemäß 4.1 derVorschrift auch Darstellungen (tabellarisch bzw. kartographisch) mithöherer (als 1 km mal 1 km) räumlicher Auflösung erforderlich sein,so daß die Übermittlung von Einzeldaten an andere Stellen zur Auf-gabenerfüllung im Rahmen der Zweckbestimmung der Daten (alsGrundlage für Planungsaufgaben) mangels einer speziellen Rechts-vorschrift in Anwendung der Bestimmungen des § 21 Abs. 1ThürDSG zulässig ist. Entsprechend dem Grundsatz der Verhältnis-mäßigkeit ist jedoch vor der Übermittlung von Einzeldaten zu prü-fen, inwieweit Daten bzw. Karten mit einem entsprechend kleinemRaster zur Aufgabenerfüllung bereits ausreichen. Sollten sich dabeidie Notwendigkeit der Übermittlung von Einzeldaten ergeben, istvon der Kommune zu gewährleisten, daß eine Verarbeitung oderNutzung dieser Daten gemäß § 21 Abs. 3 ThürDSG ausschließlichfür den konkreten Zweck erfolgt, für den die Daten übermittelt wur-den und die Einzelangaben gelöscht werden, sobald es der Zweckerlaubt. Selbstverständlich darf in den Planungsunterlagen (z. B.Konzeptionen) selbst oder gar in Veröffentlichungen kein Rückbe-zug auf personenbezogene Daten möglich sein. Soweit eine Verar-beitung und Nutzung der Daten durch einen Dritten im Auftrag derKommune vorgesehen wird, sind die Regelungen des § 8 ThürDSGzu beachten. 14.20 Dorfbiotopkartierung in Thüringen In einer Eingabe wurde ich darauf aufmerksam gemacht, daß bis1999 alle Dörfer und Kleinstädte im Freistaat Thüringen aus Grün-den der Landschaftsplanung sowie des Arten- und Biotopenschutzeskartiert werden sollen. Da von dieser Kartierung auch Privatgrund-stücke betroffen sind, bestehen bei einigen GrundstückseigentümernBedenken und Rechtsunsicherheiten hinsichtlich der Zulässigkeit


224

des Betretens und Erfassens dieser Grundstücke durch die hierfürzuständigen Stellen. Ich hatte dem Beschwerdeführer mitgeteilt, daßgegen das Betreten der Grundstücke zunächst keine Bedenken be-stehen, da diese Duldungspflicht in § 47 Vorläufiges ThüringerNaturschutzgesetz (VorlThürNatG) geregelt ist. Gleichwohl hatte ichmich an das TMLNU gewandt und um Auskunft gebeten, welchepersonenbezogene Daten von den Grundstückseigentümern erhobenwerden und auf welcher rechtlichen Grundlage dies geschieht. Inseiner Stellungnahme hat das TMLNU ausgeführt, daß der gesetzli-che Auftrag zur Biotopkartierung sich unmittelbar aus § 18 Abs. 2VorlThürNatG ergibt. Nach der Rechtsprechung begründen Biotop-kartierungen mangels unmittelbarer Rechtswirkung nach außengegenüber den Grundstückseigentümern kein Rechtsverhältnis. Mitanderen Worten ergeben sich für die Eigentümer keine unmittelba-ren Rechtsfolgen, insbesondere werden keine Eigentümerrechtebeeinträchtigt. Das Erheben von Grundstücksdaten zum Zweckeeiner allgemeinen Biotopkartierung sei deshalb zulässig. Aus daten-schutzrechtlicher Sicht gehe ich davon aus, daß die erhobenen Datensich zwar auf einzelne Personen beziehen, diese jedoch nicht ohneweiteres identifizierbar sind. Aus der Kartieranleitung geht nichthervor, daß Namen und Anschriften von Grundstückseigentümernerfaßt werden, sondern die Lage der Biotope lediglich anhand vontopographischen- und Katasterkarten sowie mit Hilfe von Luftbild-aufnahmen durch die Vergabe von Flächennummern verzeichnetwird. Selbst wenn nicht auszuschließen ist, daß die Lage von Bioto-pen einzelnen Eigentümern zuzuordnen ist, werden die Kartierungenaufgrund § 18 Abs. 2 VorlThürNatG und mit Kenntnis des Betroffe-nen erhoben. Da die in § 19 Abs. 1-3 ThürDSG geforderten Voraus-setzungen für eine Erhebung erfüllt sind, bestehen gegen die Biotop-kartierungen meinerseits keine Bedenken. 14.21 Kontrolle des ökologischen Landbaus durch private

Stellen Landwirtschaftliche Betriebe, die ökologischen Landbau betreiben,müssen sich nach der Verordnung (EWG) Nr. 2092/91 einem Kon-trollverfahren unterwerfen, um ihre Erzeugnisse in der Kennzeich-


225

nung oder Werbung als ökologisch beim Verbraucher anbieten zudürfen. Der Freistaat Thüringen bedient sich dabei, wie dies auch in anderenBundesländern der Fall ist, privater Kontrollstellen. Dafür sind inThüringen zur Zeit 11 private Kontrollstellen tätig. Zugelassen undüberwacht werden die Kontrollstellen von der Thüringer Landesan-stalt für Landwirtschaft (TLL). Für die Kontrollstellen gelten dieVorschriften des 3. Abschnitts des BDSG sowie die in der Verord-nung (EWG) Nr. 2092/91 genannten datenschutzrechtlichen Be-stimmungen, wonach keinen anderen Personen als den für denlandwirtschaftlichen Betrieb verantwortlichen und den zuständigenstaatlichen Stellen Einblick in die Informationen und Daten, vondenen sie bei ihrer Kontrolltätigkeit Kenntnis erlangen, gegebenwerden darf. Ich habe gegenüber dem TMLNU die Auffassung ver-treten, daß die von den privaten Kontrollstellen erhobenen und ge-speicherten personenbezogenen Daten der geprüften Betriebe in dergleichen Weise zu schützen sind, wie dies bei einer öffentlichenStelle der Fall wäre (Aufsicht, Kontrolle, strafrechtliche Folgen beieiner Pflichtverletzung, usw.). Ich halte es deshalb für geboten, allePersonen, die für die jeweilige private Kontrollstelle tätig werden,nach dem Verpflichtungsgesetz zu verpflichten. Die so verpflichte-ten Mitarbeiter machen sich dann bei einer Verletzung der Ver-schwiegenheitspflicht in der gleichen Weise wie Amtsträger strafbar.Die nach dem Verpflichtungsgesetz zuständige Behörde hat jedenMitarbeiter einzeln zu verpflichten. Die Verpflichtung des Kontroll-stellenleiter reicht allein nicht aus, da dieser für das Verhalten seinerihm nachgeordneten Mitarbeiter nicht verantwortlich gemacht wer-den kann. Die Thüringer Landesanstalt für Landwirtschaft hat mirmitgeteilt, daß zwischenzeitlich die Kontrollstellenleiter gemäß einervom TMLNU erlassenen Anordnung des TMLNU (ThürStAnz Nr.46/1997 S. 2186) durch das TMLNU nach § 1 VerpflichtungsGverpflichtet werden. Die übrigen Mitarbeiter der privaten Kontroll-stellen werden auf der Grundlage der “Thüringer Verordnung überdie Zuständigkeit für die Verpflichtung von nichtbeamteten Perso-nen nach dem Verpflichtungsgesetz vom 30. August 1996” (GVBl.Nr. 14 S. 167) durch das TLL verpflichtet. Zur Niederschrift überdie förmliche Verpflichtung der Kontrolleure kommt ein vomTMLNU erstelltes Formblatt zur Anwendung.


226

15. Technischer und organisatorischer Datenschutz 15.1 Entwicklungen und Tendenzen der Informations-

und Kommunikationstechnik Die Informations- und Kommunikationstechnik (IuK) bestimmtwesentlich die Arbeitswelt aber zunehmend auch die Privatsphäre.Der Umgang mit Computern ist zu einem Allgemeingut gewordenund nicht mehr auf nur wenige Experten beschränkt. Die Ausstattung der Arbeitsplätze und privater Haushalte mit eige-ner Computerintelligenz sowie integrierter Netzanbindung und dieAusweitung von Online-Anwendungen unter Einbindung des Inter-net prägen die heutige IuK-Infrastruktur. Anfang dieses Jahrzehnts etablierten sich in der Verwaltung und derWirtschaft zunehmend Client-Server-Systeme. Mitarbeiter vonFachbereichen konnten an ihrem Arbeitsplatz sowohl auf ihren PCwie auch auf einen zentralen Server zugreifen. Das Rechenzentrum in seiner bisherigen Form, als abgeschlosseneEinheit, scheint überholt zu sein. Viele der einst so starren zentralenRechenzentren sind zwischenzeitlich durch viele kleine Zentralen anlokalen Standorten abgelöst worden. Mit dieser Entwicklung vollzogsich zwangsläufig auch eine weitgehende Dezentralisierung derzuvor zentral vorgehaltenen Daten. Sowohl in der Verwaltung alsauch in der Wirtschaft müssen die benötigten Informationen jeder-zeit am gewünschten Ort zur Verfügung stehen. Um diese Anforde-rungen zu realisieren, werden verstärkt Großrechner als leistungs-starke Server in heterogene Netzwerke eingebunden. Hiermit ver-sucht man die Vorteile einer zentralen Verwaltung mit der Flexibili-tät von Client-Server-Systemen zu verbinden, wobei zwei sich er-gänzende Konzepte zur Verfügung stehen. Zum einen handelt essich um die als Informations-Sharing bezeichnete gemeinsame Nut-zung von Informationen über mehrere Rechner hinweg und zumanderen um die direkte Integration von Speichersystemen in dasNetzwerk. Verstärkt setzt sich der Trend zur Auftragsdatenverarbeitung, zumOutsourcing und zur Fernwartung (15.10) fort. Inwieweit sich gegenüber der bisherigen PC-Technik die neuensogenannten Netzcomputer (NC) durchsetzen, wird sich zukünftig


227

zeigen. Diese einfachen Rechner haben einen Internet-Anschluß undbeziehen sowohl ihre Software als auch ihre Daten direkt über dasInternet. Diese sehr starke Bindung an das Netz soll mittels preis-werter und bedienerfreundlicher Geräte durchgesetzt werden. An-wendungen wie beispielsweise eine Textverarbeitung holt sich derNC über das Netz. Auf einem zentralen Speicher im Netz legt erauch seine Daten wieder ab. Hier können datenschutzrechtlicheGesichtspunkte unmittelbar berührt sein. Das Ablegen personenbe-zogener Daten auf der Festplatte eines Internetservers ist daten-schutzrechtlich nicht unbedenklich. Hier muß u. a. genau der Zu-griffsmodus analysiert werden. Ein wesentliches Merkmal unserer Informationsgesellschaft zeigtsich in ihrer grenzenlosen Kommunikation. An offene Netze kannsich jeder anschließen. Insbesondere die mobile Datenkommunikati-on wird nach Einschätzung vieler Experten massiv zunehmen. Dieheutigen GSM-Netze (Global Standard for Mobile Communikation)werden bisher noch zu 95 bis 98 Prozent nur für reine Sprachkom-munikation genutzt. Prognosen besagen, daß bis zum Jahre 2000 25Prozent der Kommunikation in den Netzen reiner Datenverkehr seinwerden. Der Zugriff auf Datennetze über Handy wird sich zuneh-mend durchsetzen, insbesondere für Geschäftsreisende und Außen-dienstmitarbeiter. Mit einem datenfähigen GSM-Handy, einem mo-bilen PC sowie einer PC-Card, welche den Computer mit dem Han-dy verbindet, kann heute schon der mobile Online-Zugriff auf Daten,die im Behörden-, Firmen-, Homerechner oder in internationalenNetzen zur Verfügung stehen, erfolgen. Mittels Telefax (15.12), E-Mail, WWW kann man somit an jeden beliebigen Ort der Erde, obim Auto, im Zug oder beim Kunden, online gehen. Das Internet ist zum Medium für alle geworden. Dieser Freiheit deseinzelnen steht allerdings ein nur begrenzter Schutz seiner persönli-chen Daten gegenüber. Zum einen fehlen weiterhin noch internatio-nal wirksame rechtlich bindende Regeln in der virtuellen Welt. Zumanderen bestehen aufgrund unzureichender technischer und organi-satorischer Sicherheitsmaßnahmen Gefahren insbesondere durchAbhör- und Manipulationsrisiken sowohl bei stationärer als auch beimobiler Kommunikation. Hier gilt noch immer das Prinzip, jederBenutzer muß seine Daten selbst vor Angriffen schützen. DieserSchutz muß sich sowohl auf die übermittelten Daten als auch auf die


228

auf dem lokalen Rechner, der am Internet angeschlossen ist, gespei-cherten Daten erstrecken. Schlagzeilen machen neue Technologien,welche beim Aufruf von Web-Seiten durch die Benutzer das auto-matische Laden von aktiven Programmkomponenten auf derenEDV-System ermöglichen. Die Codeausführung bleibt dem Benut-zer zumeist verborgen. Neben vielen nützlichen Aspekten könnensich aber durch den gezielten Einsatz bösartiger Programme aucherhebliche Gefahren für Datenschutz und Datensicherheit ergeben(15.13). Der PC als Kommunikationszentrale forciert das Zusammenwachsenvon Informationstechnologie und Unterhaltungselektronik. DerBegriff “Tele” wird zunehmend zur Vorsilbe für Arbeit, Einkaufen,Banking, Medizin und weitere Aktivitäten. Täglich werden digitaleComputersysteme mit immer kleineren, leistungsfähigeren undpreiswerteren elektronischen Bausteinen für neue Anwendungeneingesetzt. Parallel zu dieser Entwicklung steigt die Abhängigkeitder Gesellschaft, der Wirtschaft und auch des einzelnen Bürgers vonder Funktionsfähigkeit und Sicherheit dieser Technik. Angesichtsdieser Entwicklung stellt sich verschärft die Frage, ob die hiermitverbundenen Gefahren für das Recht auf informationelle Selbstbe-stimmung des einzelnen noch beherrschbar sind. Das sich mit derdigitalen Technik auch in zunehmenden Maße Chancen zum Schutzder Privatsphäre des einzelnen ergeben, zeigen Veröffentlichungender Datenschutzbeauftragten des Bundes und der Länder zum Ein-satz “Datenschutzfreundlicher Technologien” (15.6). Gemeint sindTechnologien, die einen umfassenden Datenschutz der Anwenderdurch ein weitgehend anonymes Nutzen der IuK ermöglichen, umsomit der Gefahr des Mißbrauchs personenbezogener Daten zu be-gegnen. Es geht um die Durchsetzung des Prinzips der Datenver-meidung zumindest der Datensparsamkeit sowie um die Anonymi-sierung und Pseudonymisierung bei der Erhebung und Verarbeitungpersonenbezogener Daten, einschließlich deren Nutzung. Auch der Einsatz von modernen Sicherheitsmechanismen führt zueinem wesentlich verbesserten Schutz der Privatsphäre und erhöhterDatensicherheit. Die Verschlüsselung von Daten (15.7.2), das digi-tale Signieren von elektronischen Dokumenten (15.7.3, 15.8), derverstärkte Einsatz von intelligenten Chipkarten (15.9) zur Realisie-rung von Sicherheitsfunktionen können hierfür beispielhaft genannt


229

werden. Das Einbeziehen solcher sicherheitsrelevanter Schlüssel-technologien in vorhandene und zukünftige Verfahren der IuK kön-nen die Quellen für neue, innovative Anwendungslösungen sein, indenen datenschutzrechtliche Erfordernisse und Forderungen quasiautomatisch von vornherein schon einbezogen sind. Mit dem neuen Signaturgesetz (15.8) wurde auch aus rechtlicherSicht eine grundlegende Basis für die Verbindlichkeit digitaler Wil-lensäußerungen und Online-Transaktionen mittels sicherer digitalerSignaturen geschaffen. 15.2 Corporate Network (CN) der Landesverwaltung 15.2.1 Einführung Der Aufbau eines CN für die Verwaltungseinrichtungen des Frei-staats Thüringen am Standort Erfurt u. a. unter Einbeziehung desLandesverwaltungsamtes erfolgt auf der Grundlage eines entspre-chenden Beschlusses der Landesregierung aus dem Jahre 1996. DieRealisierung und der Betrieb des CN obliegt dem TIM. Unter einem CN versteht man ein eigenständiges, geschlossenesKommunikationsnetz, in dem Sprach-, Daten- und Bildübertragungüber dafür gemeinsam genutzte Übertragungswege realisiert werden.Die bisher unterschiedlichen Kommunikationsnetze und die Tren-nung von Sprach- und Datenübertragung werden damit aufgehoben.Letztendlich wird eine weitestgehende Unabhängigkeit von öffentli-chen kommerziellen Netzbetreibern erzielt. Schon in meinem 1. TB (15.5.1) habe ich zum CN Stellung bezogenund auf hiermit verbundene mögliche Gefahren aus der Sicht desDatenschutzes hingewiesen sowie Empfehlungen für die Einhaltungdatenschutzrechtlicher Vorschriften gegeben. Der gesetzliche Auf-trag in § 1 ThürDSG, den einzelnen davor zu schützen, daß er durchden Umgang mit seinen personenbezogenen Daten in seinem Per-sönlichkeitsrecht beeinträchtigt wird, ist auch beim CN grundsätz-lich zu beachten und in alle Überlegungen einzubeziehen. CN unterliegen dem Telekommunikationsgesetz (TKG). Diesesverpflichtet gemäß § 87 den Betreiber von Telekommunikationsan-lagen, die dem geschäftsmäßigen Erbringen von Telekommunikati-


230

onsdiensten dienen, angemessene technische Vorkehrungen odersonstige Maßnahmen zum Schutze− des Fernmeldegeheimnisses und personenbezogener Daten,− der programmgesteuerten Systeme gegen unerlaubte Zugriffe,− gegen Störungen, die zu erheblichen Beeinträchtigungen von

Telekommunikationsnetzen führen und− gegen äußere Angriffe und Einwirkungen von Katastrophenzu treffen. Dabei ist der Stand der technischen Entwicklung zu be-rücksichtigen. Erfaßt werden alle zum Erbringen der Telekommuni-kationsdienste betriebenen Telekommunikations- und Datenverar-beitungssysteme.Am 01.04.1997 wurden die TK-Anlagen der Ressorts und des Lan-desverwaltungsamtes im Verbund Erfurt-Weimar (Stadtnetz) zu-sammengeschaltet. Damit wurde in der ersten Ausbaustufe des CNdie Sprachkommunikation im Stadtnetz realisiert. Im III. Quartal1997 erfolgte der infrastrukturelle Ausbau des CN, mit dem Ziel, dietechnischen Voraussetzungen für die Datenkommunikation zu schaf-fen. Die in den Ressorts hierfür installierten technischen Kompo-nenten (Sprach-Datenmultiplexoren) ermöglichen jetzt, neben derSprach-, auch die Datenkommunikation über die gleichen Festver-bindungen zu realisieren. Parallel zum Ausbau des Stadtnetzes, er-folgt der weitere Ausbau des bisherigen Landesdatennetzes zu einemWeitverkehrsnetz (WAN) im CN, mit dem Ziel, auch die hier vor-handenen Festverbindungen sowohl zur Daten- als auch zur Sprach-kommunikation zu nutzen. Die Anbindung des Stadtnetzes an dasWAN erfolgt über den Datennetzknoten im TMSG. Desweiterenwird über diesen Knoten eine zentrale und abgesicherte Verbindungzwischen CN und Internet eingerichtet.Parallel zur Weiterentwicklung des CN werden auf seiner GrundlageDienste bereitgestellt, wie beispielsweise der elektronische Post-dienst (E-Mail). Die Landesverwaltung bildet hierfür einen privatenX.400 - Verwaltungsbereich (PRMD) (1. TB, 15.5.2). Die Daten-kommunikation innerhalb des PRMD erfolgt über das CN der Lan-desverwaltung. Für diese elektronische Nachrichtenkommunikationwurde im TLRZ eine X.400 - Landeskopfstelle auf der Basis derKommunikationssoftware Microsoft-Exchange-Server eingerichtet.Die Landeskopfstelle fungiert als Zentralpostamt, indem sie denressortübergreifenden und den von außerhalb des PRMD eingehen-


231

den externen Nachrichtenverkehr an die entsprechenden Mail-Serverder einzelnen Ressorts vermittelt sowie die aus den PRMD abgehen-den Nachrichten weiterleitet. In den angeschlossenen Ressorts sindhierfür eigenständige MS-Exchange-Server installiert, welche in derRegel sachgebiets- und benutzerorientierte Postfächer enthalten, aufdie entsprechend ihrer Befugnisse die jeweiligen Benutzer mit ihremPC (Client) Zugriff besitzen und somit Nachrichten empfangen,versenden und bearbeiten können.Weitere Dienste werden über das CN im Rahmen des Intranet derLandesverwaltung angeboten. Unter einem Intranet versteht man einbehörden- oder unternehmensinternes Netzwerk (privates CorporateNetwork) das Internetprodukte und -technologien nutzt, aber imGegensatz zum Internet gegenüber der Außenwelt vor unbefugtemZugriff weitestgehend abgeschottet ist. Kennzeichnend ist der Ein-satz von sogenannten Web-Servern zur Bereitstellung von Informa-tionen sowie der lokale Einsatz entsprechender Browser-Softwarefür den Zugriff auf diesen Servern. Somit ist es möglich, Informa-tionen und Anwendungen bereitzustellen, auf die über die am CNangeschlossenen Rechner die Benutzer mittels eines lokalen Web-Browsers zugreifen können, unabhängig davon, unter welchem Be-triebssystem der Rechner läuft. Computer unterschiedlichster Größe- von Mainfraime über PC bis zum Notebook - können in einemsolchen Kommunikationsnetz eingebunden werden.Im Rahmen der Intranetfunktionalität werden derzeit Informationenfür die Dienste eines elektronischen Telefonbuchs, Meldungen derDeutschen Presseagentur (DPA) und die Parlamentsdokumentationdes Thüringer Landtages bereitgestellt.

15.2.2 Sprachkommunikation im CN

Die TK-Anlagen der Ressorts einschließlich des Thüringer Landes-verwaltungsamtes sind über eine zentrale Telekommunikationsanla-ge (zTK-Anlage) zu einem TK-Anlagenverbund zusammengeschal-tet. Standort der zTK-Anlage ist das TMSG.TK-Anlagen sind technische Einrichtungen, mit denen auch perso-nenbezogene Daten automatisiert verarbeitet und das Verhaltensowie die Leistung der Mitarbeiter kontrolliert werden können. Diedatenschutzrechtlichen Aspekte, welche beim Einsatz von TK-


232

Anlagen zu beachten sind, habe ich schon in meinem 1. TB (15.7)dargelegt und auch hierzu über festgestellte Mängel beim Betriebeiner TK-Anlage berichtet (1. TB, 15.14.4). Aus datenschutzrechtli-cher Sicht sind nicht nur die Beachtung des Schutzes des nicht öf-fentlich gesprochenen Wortes und die aktivierten einzelnen Lei-stungsmerkmale relevant, sondern auch welche Daten von der zen-tralen TK-Anlage erfaßt und verarbeitet werden und welche Funk-tionen - auch ungenutzte - diese TK-Anlage bietet. Die für den Be-trieb solcher Anlagen erforderlichen Regelungen und Sicherheits-maßnahmen müssen auch möglichen Manipulationen Rechnungtragen, welche aufgrund der eingesetzten Digitaltechnik durch logi-sche Zugriffe auf Verbindungen oder Endeinrichtung gegeben seinkönnen.Über die zTK-Anlage werden alle Gespräche geleitet, die von au-ßerhalb in das CN eingehen sowie die innerhalb des CN zwischenden angeschlossenen Einrichtungen geführt werden. Nach Aussagedes TIM führt die zTK-Anlage derzeit nur Vermittlungsfunktionenaus. Eine Erhebung und Verarbeitung personen- und verbindungsbe-zogener Daten wäre jedoch auf Anforderung der Ressorts (bei-spielsweise zur Gebührenermittlung) problemlos realisierbar.Bereits in einer grundsätzlichen Stellungnahme zum von einer Ar-beitsgruppe des Interministeriellen Ausschusses für Information-stechnik (IMA-IT) im Juni 1995 vorgelegten Konzept zum Aufbaueines CN wurden die mit einer Sprachkommunikation im CN ver-bundenen Gefährdungen und datenschutzrechtlichen Erfordernissedargelegt (1. TB, 15.5.1).

Der TLfD hat rechtzeitig mit dem TIM, als verantwortlichem Be-treiber des CN, Kontakt aufgenommen, um hinreichende Detailin-formationen zu den vorgesehenen TK-Leistungsmerkmalen undSicherheitsmaßnahmen zu erhalten.Für den Betrieb einer CN-Sprachkommunikation sind nachfolgendedatenschutzrechtliche Gesichtspunkte aus meiner Sicht bedeutsamund zu beachten:

1. Für die ressortübergreifende Sprachkommunikation ist eine Be-triebsordnung erforderlich, welche den technologischen, verfah-renstechnischen und organisatorischen Ablauf regelt und die


233

Transparenz des TK-Verfahrens gewährleisten soll. Desweiterenist ein Sicherheitskonzept unverzichtbar.

2. Die zTK-Anlage ist vor unbefugtem Zugriff und vor einer mögli-chen Manipulation ihrer Konfigurationsparameter zu schützen,um Beeinträchtigungen des Persönlichkeitsrechts der Mitarbeiterals auch externer Gesprächsteilnehmer auszuschließen.

3. Weitergehende datenschutzrechtliche Erfordernisse sind zu be-achten, wenn Ressorts eine zentrale Gebührenabrechnung für ih-re bisher dezentral erfaßten Verbindungsdaten und ermitteltenGebühren wünschen. In diesem Fall müssen zusätzliche Maß-nahmen zum Schutz der Daten vor unberechtigtem Zugriff undmißbräuchlicher Nutzung ergriffen sowie die Mitbestimmung derPersonalräte der betroffenen Stellen beachtet werden.

4. Aus datenschutzrechtlicher Sicht sind bei ressortübergreifendenLeistungsmerkmalen die Leistungsmerkmale -Aufschalten- inbestehende Verbindungen und - Rufumleitung - eines ankom-menden Gesprächs auf eine andere Nebenstelle nicht unbedenk-lich. Diese Merkmale sind nur vertretbar, wenn nachfolgendeEinschränkungen beachtet werden. Ein Aufschalten in aktive Ge-spräche darf nur durch die zentrale Vermittlung möglich sein undnur, um externe Anrufe anzukündigen, deren Entgegennahmekeinen Aufschub duldet. Das Aufschalten muß durch einenzwangsläufig erzeugten, nicht unterdrückbaren Signalton denTeilnehmern angezeigt werden. Es ist dafür Sorge zu tragen, daßder nicht betroffene Teilnehmer des Gesprächs keine Informatio-nen über den externen Anrufer und den Anlaß des Gespräches er-fährt, es sei denn, der Betroffene erteilt hierzu seine Einwilli-gung. Das Leistungsmerkmal Rufumleitung darf ausschließlichdurch den betroffenen Teilnehmer geschaltet und aktiviert wer-den.

5. Für die Betreuung der zentralen TK-Anlage muß ein fachlichkompetenter Techniker zur Verfügung stehen, unter dessen fach-licher Betreuung die Anlage betrieben und administriert wird undder sich auch für die Einhaltung sicherheitstechnischer Belangeverantwortlich zeichnet.

6. Die vorgesehene Fernwartung ist auf das unumgängliche Maß zubeschränken. Im Sicherheitskonzept sind die hierfür erforderli-chen konkreten Sicherheitsmaßnahmen auszuweisen. Insbeson-


234

dere sind hierfür eine sichere Identifikation und Authentifikationdes Wartungspersonals und eine entsprechende Protokollierungder durchgeführten Aktivitäten notwendig (15.10).

Das TIM sicherte die Realisierung meiner Forderungen zu. DasSicherheitskonzept sollte nach ersten Aussagen im April 1997 vor-liegen. Der Entwurf für eine Betriebsordnung wurde mir zur Stel-lungnahme zugeleitet. Meine hierzu gegebenen Hinweise wurden indem überarbeiteten Entwurf berücksichtigt bzw. sollen anderweitigsichergestellt werden.Das bisher noch ausstehende Sicherheitskonzept soll nach Angabendes TIM in das zu erarbeitende Gesamtsicherheitskonzept des CNeinbezogen werden. Ich erachte eine kurzfristige Umsetzung fürgeboten.Für die bisherige jeweilige dezentrale Vermittlung vor Ort wurdevom TIM eine zentrale Auskunfts- und Telefonvermittlung für alleangeschlossenen Einrichtungen auf der Basis eines rechnergestütztenTelefonverzeichnisses eingerichtet. Zugriff auf das automatisierteTelefonverzeichnis besitzen nur befugte Mitarbeiter. Die Aktualisie-rung der hierzu vorgehaltenen personenbezogenen Daten erfolgtentsprechend der belegbaren Anforderungen der Ressorts. Desweite-ren wurde ein elektronisches Telefonbuch (ETB) aufgebaut, das aufeinem WEB-Server im TLRZ vorgehalten wird und auf das die Be-nutzer der CN-Datenkommunikation im Rahmen der bereitgestelltenIntranetfunktionalität lesend zugreifen können und somit auch lokalhiervon Kopien ausdrucken oder elektronisch auf externe Datenträ-ger speichern können. Das ETB enthält ausgewählte Datenfelder deszentralen Telefonverzeichnisses und wird ausgehend von diesenaktualisiert. Die Aktualisierung des zentralen Telefonverzeichnissesund des ETB erfolgt nur durch befugte Mitarbeiter (Adminis-tratoren). Hinsichtlich des vorgesehen Datenumfangs für das ETBbat ich das TIM um nähere Erläuterungen für die Erforderlichkeitzur Speicherung und Übermittlung des Vornamens und der Amtsbe-zeichnung. Gemäß § 19 Abs. 1 ThürDSG ist das Erheben personen-bezogener Daten zulässig, wenn ihre Kenntnis zur Erfüllung derAufgaben erforderlich ist. Eine diesbezügliche Erforderlichkeit zurSpeicherung des Vornamens und der Amtsbezeichnung der Bedien-steten im ETB kann ich nicht erkennen.


235

Desweiteren regte ich an, eine entsprechende Richtlinie für eineeinheitliche inhaltliche Verfahrensweise zur Darstellung der Res-sorts im ETB zu erlassen.Eine abschließende Stellungnahme des TIM bezüglich meiner o. g.Empfehlungen steht noch aus.

15.2.3 Datenkommunikation im CN

Gemäß § 9 ThürDSG haben öffentliche Stellen, die im Rahmen desThürDSG personenbezogene Daten verarbeiten, die technischen undorganisatorischen Datensicherungsmaßnahmen zu treffen, um dieAusführungen der Vorschriften des ThürDSG zu gewährleisten. Ausdatenschutzrechtlicher Sicht ist es somit erforderlich, daß jede Stellevor Anschluß und Nutzung des CN grundlegend klären muß:1. ob und unter welchen Bedingungen das CN für die Übermittlung

personenbezogener Daten genutzt werden darf,2. inwieweit das Internet einbezogen werden soll,3. welche Maßnahmen zu ergreifen sind, um die im internen Be-

reich in automatisierter Form vorgehaltenen personenbezogeneDaten vor externen Angriffen über das CN bzw. aus dem Internetzu schützen.

Als Maßstab für die Schutzwürdigkeit der personenbezogenen Datenist deren Sensibilität ausschlaggebend. Hierbei sollte sich an demvon mir empfohlenen Schutzstufenkonzept (1. TB, 15.3) orientiertwerden.Das Thüringer Datenschutzgesetz schreibt in § 20 vor, daß perso-nenbezogene Daten nur für die Zwecke genutzt werden dürfen, fürdie sie erhoben worden sind. Bei der komplexen Vernetzung derLandesverwaltung ist deshalb zu beachten, daß die sachliche undörtliche Zuordnung der automatisiert vorgehaltenen Datenbeständeder angeschlossenen Stellen weiterhin transparent nachvollziehbarsein muß. Eine Nutzung der CN-Infrastruktur, um auf Datenbestän-de anderer öffentlicher Stellen zuzugreifen, darf nur im Ausnahme-fall erfolgen, wenn eine entsprechende Rechtsvorschrift dies erlaubt.Grundsätzlich ist also ein solcher Zugriff auszuschließen und stehtunter Erlaubnisvorbehalt.Die Vertraulichkeit und die Integrität der über das Kommunikati-onsnetz übertragenen Daten sowie der in den vernetzten Systemen


236

gespeicherten Daten wird dadurch gefährdet, daß durch unbefugteZugriffe die Möglichkeit besteht, Daten unbemerkt zur Kenntnis zunehmen, abzuziehen und ggf. auch zu manipulieren. Daraus leitensich folgende grundlegenden Forderungen zur Gewährleistung desDatenschutzes ab:1. Die Möglichkeiten zur Nutzung des CN sind nach dem Grund-

satz der Erforderlichkeit festzulegen. Hierzu ist eine Analyse desKommunikationsbedarfs der anzuschließenden Stelle erforder-lich, wobei auch geprüft werden sollte, ob der angestrebte Zwecknicht schon durch den Anschluß eines isolierten Rechners er-reicht werden kann.

2. Verbindungswünsche sind auf ihre Zulässigkeit zu prüfen. Essollte der Grundsatz gelten, daß alle Datenverbindungen, dienicht explizit erlaubt wurden, verboten sind.

3. Verbindungen und Dienste, die sich nicht aus dem Aufgabenpro-fil der Stelle begründen lassen, sind, sofern möglich, durch tech-nische Maßnahmen zu unterbinden. Nutzungsverbote allein wer-den regelmäßig hierfür nicht ausreichen.

4. Zur Abwehr unbefugter Zugriffe bzw. von Angriffen sind ent-sprechend dem Stand der Technik angemessene technische undorganisatorische Maßnahmen zur Informationssicherheit zu reali-sieren.

Ich verweise weiter hierfür auf die “Orientierungshilfe zu Daten-schutzfragen des Anschlusses von Netzen der öffentlichen Verwal-tung an das Internet” (1. TB, Anlage 30) sowie auf entsprechendeEmpfehlungen im BSI-Grundschutzhandbuch.Die Komplexität des CN und die voraussichtliche Vielzahl ange-schlossener lokaler Netze bzw. interner Rechner erfordert sowohleinen besonders gesicherten Übergang zwischen den ressortinternenBereichen und dem CN sowie zwischen diesem und dem Internet. Esist insbesondere darauf zu achten, daß außer solchen gesichertenÜbergängen/Anschlüssen keine weiteren Verbindungen von Rech-nern interner Netze, die am CN angeschlossen sind, beispielsweiseüber Modem oder ISDN, zu öffentlichen Netzen bestehen bzw. sol-che auf Ausnahmen beschränkt sind. Ausnahmen dürfen nur in be-gründeten Einzelfällen und nach entsprechender Prüfung, ob auchdie hiermit verbundenen Gefahren (Bedrohungen) beherrschbar sind,genehmigt werden.


237

Um Gefährdungen für den Schutz personenbezogener Daten wei-testgehend auszuschließen, sind Sicherheitskonzepte erforderlich,die auch Anforderungen des Datenschutzes angemessen berücksich-tigen. Neben einem ressortübergreifenden zentralen Sicherheitskon-zept für das zukünftige CN-Kommunikationsnetz, einschließlich desvorgesehenen Übergangs zum Internet, sind ressortbezogene Sicher-heitskonzepte seitens der angeschlossenen Stellen erforderlich. Hier-bei sind ausgehend von organisatorischen Festlegungen die techni-schen Sicherheitsmaßnahmen zu treffen. Grundsätzlich ist zu be-achten, daß bei einer Verarbeitung von personenbezogenen Datenunterschiedlicher Sensibilität, die im Sicherheitskonzept aufgeführ-ten Maßnahmen sich an den Daten mit dem höchsten Schutzbedarforientieren müssen. Aus datenschutzrechtlicher Sicht ist ein An-schluß von Stellen an das CN ohne angemessene organisatorischeund technische Sicherheitsmaßnahmen nicht zulässig. Bereiche, diebesonders sensible Daten verarbeiten, müssen besonders abgeschot-tet werden. In der Regel sollten hier nur separate Netze eingesetztwerden. Das Risiko eines möglichen Schadens, der auch erheblichematerielle und nicht abschätzbare immaterielle Schäden zur Folgehaben könnte, muß auf ein verantwortbares Maß verringert werden.Der Einsatz von Firewall-Systemen kann nur ein Teil, wenn auchwesentlicher Bestandteil umfassender Sicherheitsmaßnahmen zumZugangs- und Zugriffsschutz sein. Der alleinige Einsatz von Fire-wall-Systemen gewährleistet noch keine hinreichende Sicherheit. Sokann z. B. mit einer Firewall nicht der Schutz der Integrität oder derVertraulichkeit der Daten gewährleistet werden.Die Erfahrungen auf dem Gebiet der IT-Sicherheit besagen, daß mittechnischen Maßnahmen allein sich nicht alle Sicherheits- und Risi-koaspekte hinreichend berücksichtigen und somit abdecken lassen.Sicherheitslösungen sind keine starren Systeme, sie müssen dyna-misch dem Stand der Technik angepaßt werden. Analytische Unter-suchungen zeigen, daß die eigenen Mitarbeiter bzw. die Benutzer einwesentlicher Faktor für die Sicherheit des zu schützenden Systemsdarstellen. Die mit den vergebenen Zugriffsrechten “eingeschränkteHandlungsfreiheit” stößt nicht immer auf eine positive Resonanz.Wichtig ist es deshalb, die Benutzer als aktive und sicherheitsbe-wußte Mitarbeiter in die Sicherheitskonzepte einzubeziehen und ihreVerantwortung für die Sicherheit des Gesamtsystems zu verdeutli-


238

chen. Neben den aus dem CN bzw. aus dem Internet auftretendenGefährdungen sollten sie auch aufgeklärt werden über möglicheFolgen aus ihrem Fehlverhalten bei Sicherheitsverletzungen. Insbe-sondere mit der Nutzung des CN bzw. von Online-Aktivitäten imInternet muß eine klare Entscheidung zu Gunsten einer bedarfsge-rechten Rechtevergabe erfolgen, die für die Mitarbeiter verständlichund transparent ist. Die Herausgabe von Benutzerrichtlinien stellthierfür eine wertvolle Hilfe dar.Das TIM als Betreiber des CN arbeitet an einem zentralen Sicher-heitskonzept. Nach meinem Kenntnisstand soll entsprechend dergetroffenen Aussagen des IMA-IT der Netzbetreiber die notwendi-gen Maßnahmen zur Absicherung des zentralen Internetzugangs, zurAbsicherung der zentralen Intranetkomponenten und zur Absiche-rung der Schnittstellen zwischen dem CN und den ressortinternenNetzen treffen und die entsprechenden Komponenten administrativverwalten. Die Schnittstellen zwischen den Ressortnetzen und demCN werden demzufolge vom Netzbetreiber kontrolliert, wobei denRessorts gesicherte LAN-Schnittstellen zur Verfügung gestellt wer-den. Für die Absicherung des Zugangs zum Internet ist entsprechendden Empfehlungen des BSI eine mehrstufige Firewallanordnungvorgesehen. Die sicherheitsrelevante Bewertung der ressortbezoge-nen Anwendungen liegt in der Verantwortung der am CN ange-schlossenen Stellen. Aus datenschutzrechtlicher Sicht ist dieser kon-zeptionelle Sicherheitsansatz zu begrüßen.

15.3 IT-Richtlinien in der Thüringer Landesverwaltung

Vom IMA-IT wurde eine Überarbeitung der Richtlinien für denEinsatz der Informationstechnik mit dem Ziel angeregt, diese denaktuellen Entwicklungen anzupassen. Auch ich habe aus daten-schutzrechtlicher Sicht entsprechende Empfehlungen zu Ergänzun-gen bzw. zu Änderungen für eine Überarbeitung der IT-Richtlinienvorgeschlagen. Damit soll den gesetzlichen Anforderungen desDatenschutzes besser entsprochen werden.Mit Rundschreiben des TIM im Jahr 1993 (veröffentlicht im Staats-anzeiger Nr. 19/1993) sind verbindliche Richtlinien für den Einsatzvon Informationstechnik (IT-Richtlinien) in den obersten Landesbe-hörden und ihren nachgeordneten Behörden und Dienststellen erlas-


239

sen worden. Danach ist beim Einsatz von IT von Anfang an dafürSorge zu tragen, daß die rechtlichen Rahmenbedingungen beachtetwerden. Ausdrücklich wird in diesem Zusammenhang auch aufDatenschutzvorschriften verwiesen. Die Richtlinien verpflichten dieobersten Landesbehörden einen IT-Ressortplan zu führen, der dieIT-Vorhaben und -Verfahren beginnend mit dem jeweiligen Haus-haltsjahr, für einen Zeitraum von drei Jahren enthält. Weiterhin istfestgelegt, daß diese Ressortpläne für die ausgewiesenen IT-Vorhaben und -Verfahren auch Angaben zu Sicherungsmaßnahmenenthalten müssen.Für den Aufbau der IT-Ressortpläne erließ das TIM im Jahre 1994(veröffentlicht im Staatsanzeiger Nr. 30/1994) verbindliche Rege-lungen. Diese Regelungen enthalten auch grundlegende Ausführun-gen zu Konzepten und Maßnahmen zur Sicherheit beim Einsatz derIT, wobei auch datenschutzrechtliche Anforderungen hervorgehobenund berücksichtigt werden. So soll jede Behörde die Angemessen-heit der getroffenen bzw. geplanten Sicherheitsmaßnahmen anhandeines IT-Sicherheitskonzeptes, welches auf einer Risikoanalyseaufbaut, nachweisen. Ausgehend von den Gefährdungen bei derVerarbeitung personenbezogener Daten, sind die technischen undorganisatorischen Maßnahmen nach § 9 ThürDSG zu realisieren, dieerforderlich sind, um den Datenschutz sicherzustellen. Das Datensi-cherungskonzept hat abgestufte Maßnahmen zu enthalten, die vonder Klassifizierung der Daten nach schutzwürdigen Belangen abzu-leiten sind. Für jedes IT-Verfahren und -Vorhaben sind entsprechen-de Maßnahmen zur IT-Sicherheit und zum Datenschutz vorzuneh-men.Sowohl für die Tätigkeit des behördeninternen Datenschutzbeauf-tragten als auch im Rahmen meiner Beratungs- und Kontrollfunktionsind diese Pläne eine wichtige Orientierungshilfe, indem sie notwen-dige Informationen aufzeigen, welche für eine datenschutzrechtlicheEinschätzung insbesondere der IT-Vorhaben wichtig sind. Ich habedem IMA-IT vorgeschlagen, daß die verantwortlichen Stellen denRessortplänen zu jedem IT-Verfahren und -Vorhaben eine kurzeCheckliste als Anlage beifügen. Diese Checkliste enthält kategori-sierte Aussagen, die entsprechend den datenschutzrechtlichen Vor-schriften für jedes IT-Verfahren und IT-Vorhaben vor der Inbetrieb-nahme geklärt sein müssen. Beispielsweise sind für jedes IT-


240

Verfahren aus datenschutzrechtlicher Sicht u. a. Aussagen zu fol-genden Aspekten relevant:• Werden personenbezogene Daten verarbeitet?• Ist der behördeninterne Datenschutzbeauftragte informiert?• Ist das Verfahren nach § 34 Abs. 2 ThürDSG freigegeben?• Ist das Verfahren gemäß § 10 ThürDSG in das Verfahrensver-

zeichnis aufgenommen?• Liegt Auftragsdatenverarbeitung nach § 8 ThürDSG vor?• Ist es ein Abrufverfahren nach § 7 ThürDSG?• Ist die Meldung zum Datenschutzregister erfolgt?• Liegt das IT-Sicherheitskonzept vor? Die Checklisten sollen dem Leiter der verantwortlichen Stelle, dembDSB, dem IT-Verantwortlichen als auch Mitarbeitern meinerDienststelle bei Kontrollen als eine Art Richtschnur bezüglich derEinhaltung und Erfüllung wesentlicher datenschutzrechtlicher Erfor-dernisse dienen. Auch zu den vom IMA-IT im Jahre 1993 verabschiedeten verbindli-chen Regelungen zur Durchführung von Maßnahmen im Bereich derInformationstechnik (IT-Maßnahmenregelung, Staatsanzeiger Nr.22/1993) habe ich dem IMA-IT aus datenschutzrechtlicher Sichtinhaltliche Empfehlungen für eine Überarbeitung vorgeschlagen. IT-Maßnahmen im Sinne dieser Regelung dienen der Erledigung vonAufgaben mit Hilfe der Informationstechnik, wie die Entwicklungund Einführung neuer Verfahren bzw. die Änderung bestehenderoder Übernahme anderenorts laufender Verfahren, die einen Ge-samtaufwand von mehr als 100.000,- DM erfordern. In der IT-Maßnahmenregelung wird auf datenschutzrechtliche Er-fordernisse nicht ausdrücklich Bezug genommen. So sind bei derErläuterung zur Zuständigkeit der auftraggebenden Stelle die Ein-haltung auch datenschutzrechtlicher Vorschriften nicht aufgeführtund in den Vorgaben für den Auftrag für eine IT-Maßnahme diedatenschutzrechtlichen Erfordernisse nicht explizit erwähnt. Meine Vorschläge zur Überarbeitung der IT-Maßnahmenregelunghabe ich dem IMA-IT mitgeteilt. Diese sehen im wesentlichen vor,daß die datenverarbeitende Stelle bei der Erarbeitung einer Lösung,auch die datenschutzrechtlichen Vorgaben zu berücksichtigen hat.


241

Laut IT-Maßnahmenregelung soll die Durchführung eines Projektesin den Abschnitten Voruntersuchung, Hauptuntersuchung und Aus-führung ausgeführt werden. Gemäß der derzeitig vorliegenden Regelung ist der Zweck der Vor-untersuchung, festzustellen, ob die Automatisierung der Aufgabezweckmäßig und wirtschaftlich durchführbar ist. Hier fehlt meinerAuffassung nach ein Verweis darauf, in diesem Zusammenhang zuprüfen, ob die Automatisierung der Aufgabe unter Einhaltung derdatenschutzrechtlichen Vorschriften durchführbar ist. Es ist wichtig,schon in diesem frühen Stadium datenschutzrechtliche Erfordernissezu beachten, um im Ergebnis der Versuchsplanung Lösungsvor-schläge zu präsentieren, welche auch den datenschutzrechtlichenVorschriften Rechnung tragen. Zweck der Voruntersuchung muß esdeshalb auch sein, festzustellen, ob die vorgesehene Maßnahme aufdem Gebiet der Informationstechnik auch unter Einhaltung daten-schutzrechtlicher Vorschriften durchführbar ist. Darauf ist bei derZweckbestimmung der Voruntersuchung hinzuweisen. Der in derRegelung geforderte Bericht über die Voruntersuchung muß demzu-folge auch die Empfehlung einer bestimmten Lösungsalternativeunter Beachtung datenschutzrechtlicher Aspekte beinhalten. Zubeachten ist insbesondere, daß nach § 34 Abs. 2 ThürDSG der erst-malige Einsatz von automatisierten Verfahren, mit denen personen-bezogene Daten verarbeitet werden, hinsichtlich der Datenarten undder regelmäßigen Datenübermittlungen der vorherigen schriftlichenFreigabe durch die Stelle bedarf, die den Datenschutz sicherzustellenhat. Diese gesetzliche Regelung schon in die Voruntersuchung ein-zubeziehen, stellt auch unter wirtschaftlichen Gesichtspunkten eineelementare Voraussetzung dar, um die erforderliche datenschutz-rechtliche Freigabe des Verfahrens vor seinem erstmaligen Einsatzzu gewährleisten. Somit können insbesondere zeitliche Verzögerun-gen durch z. T. mit erheblichen Aufwand verbundene Verfahrensän-derungen vermieden werden. Liegen datenschutzrechtliche Beden-ken zu Vorschlägen von Verfahrenslösungen vor, sind diese nochvor dem Stadium der Hauptuntersuchung auszuräumen bzw. wenndies nicht möglich ist, hierfür neue Vorschläge zu erarbeiten. Die in der IT-Maßnahmeregelung enthaltenen Ausführungen zurHauptuntersuchung enthalten keine Aussagen zur IT-Sicherheit.Laut Regelung beschränkt sich der Zweck der Hauptuntersuchung


242

darauf, die fachlichen Anforderungen an das IT-Verfahren im ein-zelnen festzulegen, ein zweckmäßiges Soll-Konzept auszuarbeitenund dessen Wirtschaftlichkeit eingehend darzulegen. Sicher-heitsüberlegungen müssen jedoch parallel zur Verfahrens-entwicklung ausgeführt werden und sind somit ein integraler undunverzichtbarer Bestandteil der Hauptuntersuchung. Zweck derHauptuntersuchung muß somit auch sein, Anforderungen an die IT-Sicherheit zu definieren. Dies sollte ergänzend zum Ausdruck ge-bracht werden. Schutzbedarfsfeststellung, Risikoanalyse und eineKonzeption für notwendige technische und organisatorische Sicher-heitsmaßnahmen sind hierzu in der Regel erforderlich. Die inhaltli-chen Vorgaben zum Bericht über die Hauptuntersuchung sollten indiesem Sinne erweitert werden. Auch die in der Regelung enthalte-nen inhaltlichen Vorgaben zur Dokumentation der Detailorganisati-on des Verfahrens sollten auf Festlegungen zum Datenschutz undzur Datensicherheit hinweisen. Bezüglich der Verfahrensfreigabe ist zu beachten, daß bei einerVerarbeitung personenbezogener Daten die Freigabe des Verfahrensauch die datenschutzrechtliche Freigabe nach § 34 Abs. 2 ThürDSGeinschließen muß. Ein entsprechender Hinweis ist hier einzufügen. Inwieweit die laut vorliegender Regelung in der Verfahrensdoku-mentation aufzunehmenden Sicherheitsmaßnahmen den angestrebtenSchutzeffekt gewährleisten, offenbart u. a. die Praxis beim Einsatzdes Verfahrens. In angemessenen Zeitabständen ist somit unter Be-achtung des Standes der Technik abzuprüfen, ob mit den ergriffenenSicherheitsmaßnahmen das o. g. Ziel erreicht wird. Eine solche peri-odische Überprüfung von Maßnahmen zur Datensicherheit sollte inder Verfahrensdokumentation zusätzlich aufgenommen werden. 15.4 Kontrolltätigkeit in öffentlichen Stellen In dem vorliegenden Berichtszeitraum wurde schwerpunktmäßig derEinsatz von Einzelplatz-PC, lokalen Netzwerken, Großrechnern,Telefonanlagen und Zutrittskontrollsystemen in bezug auf die Ein-haltung der nach § 9 ThürDSG vorgeschriebenen technischen undorganisatorischen Maßnahmen kontrolliert. Grundsätzlich ist festzu-stellen, daß die öffentlichen Stellen bemüht sind, den Datenschutz-


243

belangen Rechnung zu tragen und die Hinweise und Empfehlungenmeinerseits entsprechend zu beachten und umzusetzen. Wegen unzureichenden Datensicherheitsmaßnahmen wurde in dreiFällen eine Beanstandung gemäß § 9 ThürDSG ausgesprochen: Das betraf in einer Stelle den Mangel, daß der Raum, in dem sichder zentrale Rechner befand, nicht ausreichend gegen unbefugtenZutritt von außen gesichert war. In einem anderen Fall mußte ich in einer öffentlichen Stelle feststel-len, daß den erforderlichen technischen und organisatorischen Maß-nahmen gemäß § 9 ThürDSG nicht im ausreichenden Maß entspro-chen wurde, was auf Grund der Anzahl der hier eingesetzten auto-matisierten Verfahren zu einer Beanstandung führte. Insbesonderefehlten verbindliche Regelungen sowohl für ein sicheres Betreibender einzelnen Verfahren, als auch bereichsübergreifende Richtlinienin Form eines IT-Sicherheitskonzeptes. Beim Einsatz eines automatisierten Zutrittskontrollsystems wurdebei einer anderen Stelle beanstandet, daß keine ausreichenden Si-cherheitsmaßnahmen für den Betrieb des Systems vorhanden waren.U. a. war die Zutritts-, Zugangs- und Zugriffskontrolle mangelhaft(kein Boot-/Setup-Paßwörter, unzureichende LOGIN-Prozedur, undPaßworthandhabung, fehlende Protokollierung vergebener Zutritts-rechte etc.). Datensicherungen wurden nicht durchgeführt. Nachfolgend möchte ich weiter auf wichtige Feststellungen, Hinwei-se und Empfehlungen meinerseits im Ergebnis der durchgeführtenKontrolltätigkeit eingehen: Zugangs- und Zugriffskontrolle: Zur Gewährleistung, daß

Unbefugte nicht auf gespeicherte personenbezogene Daten zu-greifen können, ist unter anderem gemäß § 9 ThürDSG der unbe-rechtigte Zugang zu Datenverarbeitungsanlagen und der Zugriffauf personenbezogene Daten zu verhindern. Vorhandene Sicher-heitsmechanismen waren nicht immer aktiviert. So waren bei-spielsweise keine Boot-Paßwörter eingerichtet, die Anzahl feh-lerhafter Login-Versuche nicht eingeschränkt, kein erzwungenerPaßwortwechsel nach einer vorgegebenen Gültigkeitsdauer undkeine Vergabe einer Mindestpaßwortlänge festgelegt.


244

In einer medizinischen Einrichtung und in einem Meldeamtmußte ich z. B. eingerichtete Zugriffsrechte bemängeln, die fürdie jeweilige Aufgabenerfüllung nicht erforderlich waren. Zutrittskontrolle: Überprüfbare Regelungen für eine Zutritts-kontrolle waren beispielsweise für den Vermieter, das Reini-gungs-, das Wartungs- oder das Wachpersonal nicht vorhanden.Gerade für den Zutritt zu Gebäuden und Räumlichkeiten, in de-nen schutzwürdige Daten aufbewahrt werden, sehe ich solcheRegelungen, wer, wann, wo und wie zutrittsberechtigt ist, als un-erläßlich an. Diese organisatorischen Regelungen sind durch ge-eignete technische Maßnahmen zu ergänzen, um eine ausrei-chende Zutrittskontrolle zu erreichen. Entsorgung von Datenträgern (DT): Nicht alle kontrolliertenBehörden, die ihre DT-Entsorgung durch nicht-öffentliche Stel-len ausführen lassen, beachten, daß es sich hierbei um eine Auf-tragsdatenverarbeitung im Sinne des § 8 ThürDSG handelt. Sofehlten in den entsprechenden Verträgen Angaben über einge-gangene Unterauftragsverhältnisse, sowie Vereinbarungen, daßsich der Auftragnehmer meiner Kontrolle unterwirft. Desweite-ren wurde ich nicht immer gemäß § 8 Abs. 6 ThürDSG über dieerfolgte Beauftragung unterrichtet. Auch bei der Bereitstellung und beim Transport von Akten oderanderer Datenträger, die entsorgt werden sollen, ist das unbe-fugte Lesen und Kopieren der Daten gemäß § 9 Abs. 2 Ziffer 9ThürDSG (Transportkontrolle) zu verhindern. Die besten Sicherheitsvorkehrungen nützen jedoch nichts, wennbei der Entsorgung leichtfertig mit den Daten umgegangen wird. So habe ich bei einer Kontrolle in einer Behörde vor einer ver-schlossenen Tür einen Karton mit alten Lohnabrechnungen undBescheiden vorgefunden die der Vernichtung zugeführt werdensollten. Eine Entnahme von Unterlagen war für jedermann ohneweiteres möglich. Dieser Verstoß gegen die Transportkontrolleführte deshalb nicht zur Beanstandung, weil der Karton sofort si-chergestellt und mir die Auswertung des Vorfalls zugesichertwurde.

Anlagen- und Verfahrensverzeichnis: Das gemäß § 10ThürDSG zu führende Verzeichnis der eingesetzten Datenverar-beitungsanlagen und automatisierten Verfahren, mit denen per-


245

sonenbezogene Daten verarbeitet werden, entsprach nicht immerdem aktuellen Stand. Es zeigte sich, daß sowohl Verfahren ver-sehentlich nicht erfaßt wurden, aber auch, wie im Falle derSprachkommunikation (Telefon), Zutrittskontrolle und Zeit-erfassung, sich die Verantwortlichen nicht immer bewußt waren,daß auch diese automatisierten Verfahren, wie alle Verfahren, diepersonenbezogene Daten verarbeiten, dem § 10 ThürDSG unter-fallen.

Das Anlagen- und Verfahrensverzeichnis ist in erster Linie einwichtiges Instrument zur Eigenkontrolle der Behörde aber auchfür meine Kontrolltätigkeit.

Hier zeigt sich wiederholt die Notwendigkeit, den bDSB in alledatenschutzrechtlichen Fragen mit einzubeziehen. So könntenauch fehlende datenschutzrechtliche Freigaben der Verfahren(§ 34 Abs. 2 ThürDSG) bzw. nicht erfolgte Datenschutzregister-meldungen an meine Behörde vermieden werden (1.2). IT-Sicherheitskonzepte: Schwachstellen- bzw. Risikoanalysenund darauf aufbauende IT-Sicherheitskonzepte lagen mitunternicht bzw. nicht in der erforderlichen Ausprägung vor. Meineentsprechenden Forderungen hierzu wurden von den betroffenenStellen aufgenommen und werden derzeit realisiert.

15.5 Einsatz von Zutrittskontrollsystemen 15.5.1 Begriffsbestimmung In den öffentlichen Stellen Thüringens werden Zutrittskontrollsy-steme, welche teilweise mit einem Zeiterfassungssystem gekoppeltsind, zunehmend eingesetzt. Diese Zutrittskontrollsysteme sind inder Regel sehr komplexe Systeme und erfordern für ihre Installationund Betreuung besonders ausgebildetes Personal. Die Praxis zeigt, daß es bei den Begriffen Zutrittskontrolle, Zu-gangskontrolle und Zugriffskontrolle immer wieder Unsicherheitengibt. Hierbei geht es darum, insbesondere Maßnahmen zu treffen,die geeignet sind:

− Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mitdenen personenbezogene Daten verarbeitet oder genutztwerden, zu verwehren (Zutrittskontrolle).


246

− Zu verhindern, daß Datenverarbeitungssysteme von Un-befugten genutzt werden können (Zugangskontrolle).

− Zu gewährleisten, daß die zur Benutzung eines Datenver-arbeitungssystems Berechtigten ausschließlich auf die ih-rer Zugriffsberechtigung unterliegenden Daten zugreifenkönnen, und daß personenbezogene Daten bei der Verar-beitung, Nutzung und nach der Speicherung nicht unbe-fugt gelesen, kopiert, verändert oder entfernt werden kön-nen (Zugriffskontrolle).

15.5.2 Funktionsweise eines Zutrittskontrollsystems Mit einem Zutrittskontrollsystem wird der Zutritt zu einem Geländeoder zu einem Gebäude bzw. innerhalb des Gebäudes zu Diensträu-men geregelt. Hierzu können entsprechend dem Schutzbedarf unter-schiedliche Sicherheitszonen definiert werden. Zunehmend kommen dabei rechnergestützte Zutrittskontrollsystemezum Einsatz. Die Verwaltung der Zutrittsberechtigungen erfolgtdabei mit spezieller Software zentral auf einem Rechner. Für jedeberechtigte Person kann eine räumliche und zeitlich eingeschränkteZutrittsberechtigung je Sicherheitszone festgelegt werden. Der Zutritt zu den jeweiligen Sicherheitszonen wird über sogenannteTerminals (bzw. Kartenleser) ermöglicht. Diese übernehmen inZusammenarbeit mit dem PC die Kontrolle des Zutritts. Personen,die das Zutrittskontrollsystem passieren wollen, müssen sich gegen-über dem jeweiligen Terminal identifizieren. Dies kann z. B. mittelsMagnet- oder Chipkarte erfolgen. Bei biometrischen Verfahren, diezunehmend in Hochsicherheitsbereichen eingesetzt werden, erfolgtdie Identifizierung eines Zutrittswilligen anhand charakteristischerpersönlicher Merkmale (z. B. Augenhintergrund, Gesicht oder Fin-gerabdruck). 15.5.3 Datenschutzrechtliche Anforderungen an Zutrittskon-

trollsysteme Das ThürDSG schreibt keine konkreten Datensicherungsmaßnahmenzur Absicherung des Zutritts vor. Es überläßt somit der speicherndenStelle, die geeigneten technischen und organisatorischen Maßnah-


247

men entsprechend den Gegebenheiten so auszuwählen und aufein-ander abzustimmen, daß die gesetzlichen Forderungen erfüllt wer-den. Eine Möglichkeit, diesen Forderungen nachzukommen, kann durchden Einsatz eines rechnergestützten Zutrittskontrollsystems gewähr-leistet werden. Der Anschaffung solcher Systeme sollten aus datenschutzrechtlicherSicht folgende grundlegenden Überlegungen vorausgehen:

− Welche Bereiche einer Einrichtung sollen wie abgesichertwerden?

− Wie sind die Bereiche entsprechend dem Schutzbedarf zuklassifizieren und dementsprechend in welche Sicherheitszo-nen einzubeziehen?

− Sind zeitliche Zutritts-Einschränkungen erforderlich?− Wer soll zu welcher Sicherheitszone wann Zutritt erhalten?− In welcher Form soll das System auf unberechtigte Zutritts-

versuche reagieren (akustische Meldung, Protokollierung)?− Wie werden die Besucher in das Kontrollsystem einbezogen?− Welche Daten sollen erfaßt und wie lange gespeichert wer-

den?− Welche Daten sollen von wem auswertbar sein?

Sollen mit dem Zutrittskontrollsystem personenbezogene Datenautomatisiert erfaßt werden, so ist vor dem erstmaligen Einsatz diedatenschutzrechtliche Freigabe gemäß § 34 Abs. 2 ThürDSG erfor-derlich. Da Zutrittskontrollsysteme ermöglichen, das Verhalten oder dieLeistungen der Beschäftigten zu überwachen, unterliegen sie derMitbestimmung des Personalrates gemäß § 74 ThürPersVG. Für die Speicherungsdauer der erfaßten Daten sind Fristen festzule-gen (z. B. 3 Monate bzw. gemäß Regelung in der Dienstvereinba-rung mit dem Personalrat). Installierte Zutrittskontrollsysteme können ein hohes Maß an Zu-trittssicherung gewährleisten, wenn sie ordnungsgemäß eingerichtetsind. Kontrollen vor Ort zeigten jedoch auch, daß mitunter vorhan-dener Zugangs- und Zugriffsschutz zum Schutz des Systems selbstunzureichend war (15.4). Bei der Planung des Einsatzes eines Zu-


248

trittskontrollsystems sind deshalb auch hierfür technische und orga-nisatorische Maßnahmen vorzusehen. Unter anderem sollten hierbeifolgende Anforderungen an die eingesetzte Hard- und Softwarebeachtet werden:

− Zugangssicherung der Hardware (z. B. durch Boot-/Setup-Paßwort, Chipkarte)

− Zugangs- und Zutrittssicherung der Software durch: Aufgabenbezogene Benutzerkennungen/Zugriffsberechti-gungen (z. B. Systemverwaltung, Zutrittsverwaltung)

• sichere Identifikation und Authentifikation der Zugriffs-berechtigten (z. B. durch Paßwörter (1. TB, 15.6), Chip-karte)

• Begrenzung und Protokollierung fehlerhafter Anmeldun-gen

• Unterbindung unbefugter Zugriffe auf die Betriebssyste-mebene.

Das vorgesehene Zutrittskontrollsystem sollte neben einer über-sichtlichen und sicheren Bedienerführung über Möglichkeiten derProtokollierung vergebener Zutrittsrechte und unbefugter Zutritts-versuche verfügen. Gemäß § 9 Abs. 2 Ziff. 10 ThürDSG ist die innerbehördliche undinnerbetriebliche Organisation so zu gestalten, daß sie den besonde-ren Anforderungen des Datenschutzes gerecht wird (Organisations-kontrolle). Beispiele für organisatorische Maßnahmen beim Einsatzvon Zutrittskontrollsystemen sind: • Die Administration des Gesamtsystems muß von kompetenten

Mitarbeitern der öffentlichen Stelle wahrgenommen werden.Externen Firmen sind die Rechte des Systemverwalters (System-hauptbenutzer) zu entziehen bzw. nur bei erforderlichen War-tungsarbeiten zuzuweisen. Danach sind vom Systemverwalterder Behörde diese Paßwörter neu zu definieren.

• Um die ordnungsgemäße Einrichtung des Zutrittskontrollsystems

und anderer damit in Verbindung stehender Systeme nicht zu ge-fährden, sollten nach Möglichkeit auf diesem Rechner keine


249

weiteren Anwendungen zum Einsatz kommen. Nicht genutzteDateien sind ggf. zu löschen.

• Der unbefugte Zutritt zum Rechner ist entsprechend § 9

ThürDSG zu verwehren. • Die Datensicherung und die Protokollierung muß aktiviert wer-

den. Die Protokolldatei ist regelmäßig auszuwerten. • Die Schnittstellen der Hard- und Software müssen vor unbefug-

tem Zugang geschützt werden. • Zum Einsatz des Zutrittskontrollsystems sind Regelungen in

schriftlicher Form zu treffen. Zutrittskontrollsysteme und Zeiterfassungssysteme Zeiterfassungssysteme dienen in der Regel zur Ermittlung der Ar-beitszeit der Mitarbeiter. Bei den kombinierten Zutrittskontroll- undZeiterfassungssystemen wird bei der Anmeldung am Erfassungster-minal zusätzlich zur Prüfung der entsprechenden Zutrittsberechti-gung eine Speicherung der Kommt- bzw. Geht-Zeit des Mitarbeitersdurchgeführt. Auch hier ist die o. g. datenschutzrechtliche Freigabe des Verfahrensund die Mitbestimmung des Personalrates erforderlich. Es ist daraufzu achten, daß jedes System über eine separate Zugangskontrolleverfügt und daß die Funktion des Zutrittskontrollsystems aus-schließlich der Überprüfung unberechtigter Zutritte und die Funktionder Zeiterfassung ausschließlich der Erfassung der Arbeitszeit dient.Liegt die Auswertung der Daten in unterschiedlichen Zuständig-keitsbereichen (z. B. Zutrittskontrolle beim Sicherheitsbeauftragtender Behörde und Zeiterfassungskontrolle bei der Personalabteilung),so ist sicherzustellen, daß auch die erforderlichen Auswertungenvoneinander getrennt erfolgen. 15.6 Datenschutzfreundliche Technologien Immer mehr Bürger nutzen die moderne Informations- und Kom-munikationstechnik. Die derzeit hier zum Einsatz kommenden Ver-


250

fahren und Technologien berücksichtigen allerdings nicht immer inausreichendem Maße datenschutzrechtliche Erfordernisse. DerSchutz persönlicher Daten erfolgt zumeist durch herkömmlicheSicherheitsfunktionen, wie Zugangs-, Zutritts- und Zugriffskontrolle,soweit überhaupt entsprechende Sicherheitsmechanismen für derenRealisierung vorgesehen sind. Der Schutz der Privatsphäre des ein-zelnen hängt somit lediglich von der Wirksamkeit der ergriffenentechnischen und organisatorischen Maßnahmen und der Gewissen-haftigkeit ab, mit der diese durchgeführt werden. Andererseits wer-den beim Benutzen solcher Systeme eine Vielzahl persönlicher Da-ten des Nutzers elektronisch erfaßt und gespeichert, ohne daß diesfür die Zweckerfüllung immer notwendig ist. So fallen beispielswei-se beim Bezahlen mit Scheck- oder Kreditkarten und durch Teil-nahme an Online-Diensten eine Vielzahl von Einzeldaten über denBenutzer an. Wer z. B. mit Kreditkarte beim Einkaufen bezahlt,hinterläßt personenbezogene Datenspuren insofern, als seine Konto-nummer, eventuell der Name, Betrag, Geschäft etc. in digitaler Formerfaßt und der Bank übermittelt werden. Solche Daten ermöglichender Bank tiefe Einblicke in das individuelle Kaufverhalten des Kun-den. Auch beim Surfen im nicht auf nationale Grenzen beschränktenInternet hinterläßt der PC-Benutzer seine digitalen Spuren. BeimAufruf von Web-Seiten (Informations- und Kaufangebote) wirdhäufig jeder Zugriff mit Rechneradresse, Datum, Zeitpunkt, Aktionund Zugriffsobjekt protokolliert. Vielfach hat der Benutzer über Art,Umfang, Speicherort, Speicherdauer und Verwendungszweck derüber ihn gespeicherten Daten weder Kenntnis noch Kontrolle. EinMißbrauch dieser teils auch sensiblen digitalen Datenspuren entge-gen den Interessen des Benutzers ist unschwer möglich. Insbesonde-re die Vernetzung der Informationstechnik bietet qualitativ neueMöglichkeiten, die teilweise an unterschiedlichen Orten gespeicher-ten Daten mühelos zusammenzuführen, das Verhalten des Nutzerszu registrieren und zu kontrollieren und detaillierte Persönlichkeits-profile zu erstellen. Eine Arbeitsgruppe “Datenschutzfreundliche Technologien” desArbeitskreises “Technische und organisatorische Datenschutzfra-gen” der Konferenz der Datenschutzbeauftragten des Bundes undder Länder hat sich mit diesen Gefährdungen auseinandergesetzt undnach Lösungsmöglichkeiten für einen verbesserten Datenschutz


251

durch den Einsatz von datenschutzfreundlichen Technologien ge-sucht. Im Mittelpunkt dieser Bestrebungen steht der Ansatz, bei derVerarbeitung personenbezogener Daten Verfahren und Technologi-en einzusetzen, die durch Datensparsamkeit, vorzugsweise durchDatenvermeidung, einen verbesserten Datenschutz gewährleisten.Datensparsamkeit heißt, daß so wenig wie möglich personenbezoge-ne Daten mit dem eingesetzten Verfahren erhoben, gespeichert undverarbeitet werden müssen. Die anzustrebende Form der Datenspar-samkeit ist die Datenvermeidung, d. h. die Nutzung der IuK mittelsVerfahren, die zur Erfüllung ihres Zwecks auch ohne personenbezo-gene Daten auskommen. Allein mit den bisherigen datenschutz-rechtlichen Restriktionen der Erforderlichkeit und der Zweckbin-dung personenbezogener Daten kann dies nicht erreicht werden.Insbesondere durch die Nutzung neuer Ergebnisse und Möglichkei-ten von Wissenschaft und Technik ist es beim Einsatz von IuKmöglich, den Umgang mit personenbezogenen Daten zu reduzierenoder vollständig zu vermeiden. Ein einfaches Beispiel für eine be-kannte datenvermeidende und somit datenschutzfreundliche Tech-nologie stellt die im voraus bezahlte Telefonkarte dar. Mit ihr kannder Benutzer anonym seine Telefongespräche bezahlen. Ein Erhebenund Verarbeiten personenbezogener Daten selbst für Abrechnungs-zwecke ist hier nicht erforderlich. Neben Risiken bietet die Techniksomit auch Möglichkeiten für einen effektiven Datenschutz. Der Grundsatz der Datenvermeidung ist sowohl im IuKDG (4.3) alsauch im MDStV (4.4) enthalten. Danach haben Anbieter von Tele-bzw. Mediendiensten den Nutzern die Inanspruchnahme und Zah-lung einer Leistung entweder vollständig anonym oder unter Ver-wendung eines Pseudonyms zu ermöglichen, soweit es technischmöglich und zumutbar ist. Die Anonymisierung sowie Pseudonymisierung personenbezogenerDaten spielen bei der Durchsetzung des Prinzips der Datensparsam-keit eine wesentliche Rolle. Anonymisieren ist eine Veränderung personenbezogener Datenderart, daß die Einzelangaben über persönliche oder sachliche Ver-hältnisse nicht mehr oder nur mit einem unverhältnismäßig großenAufwand einer bestimmten oder bestimmbaren natürlichen Personzugeordnet werden können. Ein Höchstmaß an Anonymität wirderreicht, wenn das eingesetzte Verfahren, z. B. die Abrechnung einer


252

Leistung für einen Betroffenen keine personenbezogenen Datenerfordert, wie bei der erwähnten Telefonkarte oder bei Guthaben-karten. Das Ziel datenschutzfreundlicher Verfahren sollte u. a. sein,Daten ohne Personenbezug zu erheben oder erhobene personenbe-zogene Daten so bald wie möglich zu anonymisieren. Pseudonyme werden anstelle personenbezogener Identifikationsda-ten, wie beispielsweise Name, Anschrift, Geburtsdatum verwendet.Diese Daten werden mit einer Zuordnungsvorschrift so verändert,daß nur mit Kenntnis und Nutzung dieser Vorschrift der Personen-bezug wieder möglich ist. Pseudonymisierung sollte insbesonderedort eingesetzt werden, wo eine Anonymisierung nicht möglich ist,beispielsweise in Fällen, wo ein Personenbezug unter bestimmtenVoraussetzungen wieder erforderlich ist, wie bei der Bearbeitungvon Reklamationen oder der Aufdeckung eines Mißbrauchs. Bereits heute ist eine Reihe von Technologien und Hilfsmitteln zurErreichung von verbessertem Datenschutz durch Technik verfügbar.An Industrie und Dienstleistungsanbieter wird deshalb appelliert,datenschutzfreundliche Technologien verstärkt in ihre Anwendungs-systeme einzubauen und für den Benutzer mehr Transparenz bezüg-lich seiner Daten zu schaffen. Die Ergebnisse der o. g. Arbeitsgrup-pe sind in einem Arbeitspapier “Datenschutz-freundliche Technolo-gien” zusammengefaßt und können von meiner Behörde angefordertwerden. Anhand konkreter Beispiele werden die derzeitigen Ansätzeund Bemühungen zur Verwendung datenschutzfreundlicher Tech-nologien in unterschiedlichen Bereichen aufgezeigt und Empfehlun-gen in allgemeiner Form gegeben. Zu der Notwendigkeit von Datensparsamkeit durch moderne Infor-mationstechnik haben die Datenschutzbeauftragten des Bundes undder Länder auf ihrer 52. Konferenz im Oktober 1996 in einem Kurz-bericht hingewiesen (Anlage 19). In Anbetracht der hohen Relevanzdieser Thematik verabschiedeten die Datenschutzbeauftragten aufihrer 54. Konferenz im Oktober 1997 eine Entschließung zur Erfor-derlichkeit datenschutzfreundlicher Technolo-gien (Anlage 17).


253

15.7 Sicherheit mit -Kryptographischen Verfahren- 15.7.1 Einführung Einen wirksamen Schutz für die Übertragung und Speicherung vonDaten bieten kryptographische Verfahren. So stellt die Verschlüsse-lung der Daten eine wirksame Lösung dar, um die Vertraulichkeitder Informationen zu gewährleisten. Sie verhindert auch eine ge-zielte inhaltliche Manipulation der Daten. Mit der digitalen Signaturkönnen zusätzlich die Integrität und Authentizität der Daten sicher-gestellt werden. Sicherheit in offenen Netzen wird in Zukunft ohne die Verwendungkryptographischer Verfahren nicht zu gewährleisten sein. Das tech-nologische Know how sowie hardware- und softwarebasierendeVerfahren zum Schutz der Vertraulichkeit, der Integrität und derZuordenbarkeit von über Netze zu übermittelnden Nachrichten undzu speichernden Daten ist vorhanden. In der Telekommunikationkann sowohl Verschlüsselungstechnik von den Betreibern der Dien-ste eingesetzt werden, wie beispielsweise im Mobilfunknetz, oderdie Teilnehmer schützen ihre zu übermittelnden Informationenselbst, indem sie entsprechende Verschlüsselungs- und Signatur-techniken einsetzen. Durch den Einsatz kryptographischer Verfahren können somit we-sentliche datenschutzrechtliche Forderungen zum Schutz elektro-nisch gespeicherter oder zu übermittelnder personenbezogener Datenangemessen realisiert werden. Der Einsatz kryptographischer Verfahren in den öffentlichen Stellendes Landes ist derzeit noch auf Ausnahmen beschränkt. Im Hinblickauf die zunehmende elektronische Datenkommunikation dieserStellen untereinander sowie mit anderen Stellen ist einer daten-schutzgerechten Übertragung personenbezogener Daten erhöhteAufmerksamkeit zu widmen. Gemäß § 9 Abs. 2 Nr. 9 ThürDSG sinddie öffentlichen Stellen verpflichtet zu verhindern, daß u. a. bei derÜbertragung personenbezogener Daten diese unbefugt gelesen, ko-piert, verändert oder gelöscht werden können (Transportkontrolle).Der große Stellenwert, der seitens des Datenschutzes einer sicherenÜbertragung elektronisch gespeicherter personenbezogener Datenbeigemessen wird, spiegelt sich auch darin wider, daß die Daten-


254

schutzbeauftragten des Bundes und der Länder hierzu eine Ent-schließung mit entsprechenden Forderungen (Anlage 4) verabschie-det haben. In dieser Entschließung wird ausdrücklich darauf hinge-wiesen, daß kryptographische Verfahren besonders geeignet sind,um Verletzungen des Datenschutzes beim Transport schutzwürdigerelektronisch gespeicherter Daten zu verhindern. Es wird weiterhinhervorgehoben, daß derartige Verfahren heute Stand der Techniksind und in vielen Anwendungsfällen mit vertretbaren Aufwandeingesetzt werden können. Die Datenschutzbeauftragten forderndeshalb, sichere kryptographische Verfahren beim Transport elek-tronisch gespeicherter Daten, unter Berücksichtigung ihrerSchutzwürdigkeit anzuwenden. Bezüglich des in meinem 1. TB (15.3) empfohlenen Schutzstufen-konzeptes sollten alle personenbezogenen Daten, die der Stufe 2(hoher Schutzbedarf) zuordenbar sind, zum Schutz ihrer Vertrau-lichkeit verschlüsselt übertragen werden. Um Manipulationen undÜbertragungsfehler nachweislich festzustellen, sollte auch das Ver-fahren der digitalen Signatur eingesetzt werden. Mit diesem kannauch der Urheber eines elektronischen Dokuments eindeutig authen-tifiziert werden. Anfragen bei meiner Dienststelle und auch bisher vor Ort gesam-melte Erfahrungen lassen die Schlußfolgerung zu, daß eine Vielzahlder Anwender keine oder nur geringe Kenntnisse über die Ziele undMöglichkeiten des Einsatzes kryptographischer Verfahren besitzenund vielfach nicht wissen, daß ihre Handhabung relativ einfach ist.In Anbetracht der Bedeutung solcher Verfahren für die Realisierungund Gewährleistung grundlegender Sicherheitsfunktionen im Sinnevon technischen und organisatorischen Maßnahmen zum Daten-schutz und zur Datensicherheit sollen im folgenden hierzu einigewesentliche Aspekte und grundlegende Zusammenhänge dieserTechnologien aufgezeigt werden. Ich wende mich dabei insbesonde-re an die Benutzer, welche schutzwürdige Daten verarbeiten. Siesollten die mit einem Einsatz solcher Verfahren verbundenen Vor-teile erkennen und davon überzeugt, diese auch nutzen, womit sol-che wichtigen Sicherheitsfunktionen wie Vertraulichkeit, Dateninte-grität, Zuordenbarkeit des Datenurhebers, Authentisierung vonKommunikationspartnern sowie Zutritts- und Zugriffskontrolleneffektiv und wirksam realisiert werden.


255

15.7.2 Verschlüsselung Die Verschlüsselung von elektronisch gespeicherten und zu über-mittelnden Daten stellt einen wirksamen Sicherheitsmechanismusdar, diese vor Einsichtnahme Unbefugter zu schützen. Die wissenschaftliche Disziplin, die sich mit dem sicheren Übermit-teln von Nachrichten beschäftigt, ist die Kryptologie, die sich in dieKryptographie, die Kryptoanalyse und in die Steganographie glie-dert. Die Kryptographie beschäftigt sich mit der Absicherung vonNachrichten, welche ein Sender an einen Empfänger übermittelt. Inder Regel haben sowohl der Sender als auch der Empfänger einInteresse daran, daß die Nachricht sicher übermittelt wird (unver-fälscht), von keinem Dritten gelesen werden kann (vertraulich) unddaß die Nachricht von dem vorgegebenen Absender auch stammt(authentisch, verbindlich). Mittels Kryptographie wird eine Nach-richt (Klartext) durch Verschlüsseln in ein Chiffrat (Kryptogramm)transformiert. Dabei wird die Nachricht mit einem bestimmten ma-thematischen Verfahren und einem Schlüssel in eine scheinbarsinnlose Zeichenfolge umgewandelt. Das befugte Umwandeln dieserZeichenfolge in den ursprünglichen Klartext wird als Entschlüsselnbezeichnet. Die Kryptoanalyse wird für das (unbefugte) Brechen vonverschlüsselten Texten und Verschlüsselungsalgorithmen eingesetzt.Sie wird aber auch zunehmend für eine systematische Qualitätsbe-urteilung und Entwicklung von Kryptoalgorithmen verwendet. Die mathematische Funktion, die zur Ver- oder Entschlüsselungeingesetzt wird, wird als kryptographischer Algorithmus bezeichnet.Im allgemeinen werden zwei verwandte Funktionen benutzt, einezur Ver- und eine zur Entschlüsselung. Moderne Kryptoverfahrenlegen ihren Algorithmus offen. Ihre Sicherheit basiert ausschließlichauf dem Einsatz von Schlüsseln. Ohne Kenntnis der Schlüssel kannein Dritter die Nachricht nicht lesen. Je nach Algorithmus könnenzur Ver- und Entschlüsselung der gleiche oder unterschiedlicheSchlüssel verwendet werden. Ein Algorithmus einschließlich allermöglichen Klartexte, Chiffretexte und Schlüssel wird als Kryptosy-stem bezeichnet. Die Steganographie beschäftigt sich mit dem Verbergen von Nach-richten, beispielsweise als Bitfolge in digitalen Signalen, versteckt in


256

Audio- oder Bildschirminformationen. Es handelt sich um keineVerschlüsselung im Sinne der Kryptographie. Insbesondere durch die rasante Entwicklung der Telekommunikati-onstechnik, der Integration von Nachrichtenübertragung und Daten-verarbeitung, werden immer mehr Daten, auch vertrauliche undpersonenbezogene, über zumeist öffentliche Kommunikationsnetzetransportiert. Über die hiermit verbundenen grundsätzlichen Bedro-hungen für einen sicheren Datenverkehr habe ich schon ausführlichin meinem 1. TB (15.6) berichtet. Nachrichten, die über Netze übermittelt werden, passieren auf ihremWeg vom Sender zum Empfänger in der Regel eine Vielzahl vonVermittlungsrechnern (Netzknoten), auf deren Auswahl der Absen-der in der Regel keinen Einfluß besitzt. Es kann nicht ausgeschlos-sen werden, daß auf diesen (unbekannten) Netzknoten deren Verfü-gungsberechtigte (beispielsweise Systemverwalter) lesend auf dieNachrichten zugreifen und auch gezielt Inhalts- und Adreßmanipu-lationen vornehmen können. Der mögliche Einsatz von Program-men, die den Datenverkehr abhören und ihn nach bestimmtenTextpassagen durchsuchen können, erhöhen das Sicherheitsrisiko. Um der Gefahr des unbefugten Informationsgewinnes durch Drittewirksam zu begegnen und somit einen Verlust der Vertraulichkeitvon Informationen sowie deren gezielte Manipulation zu verhindern,bietet sich derzeit als effiziente Schutzmaßnahme nur eine Ver-schlüsselung der Daten an. Dies gilt auch für alle mittels Telefonoder Telefax (15.12) übertragenen vertraulichen Nachrichten. Mitder zunehmenden Datenkommunikation wird somit eine Verschlüs-selung von Daten für eine sichere Übertragung immer wichtiger. Eine Verschlüsselung von Daten zum Schutz ihrer Vertraulichkeitund zur Abwehr gezielter inhaltlicher Manipulationen bietet sichauch für die Speicherung schutzwürdiger Daten an. Somit könnenauch langfristig elektronisch archivierte Daten oder durch Verlustbzw. Diebstahl von Computern in den Besitz von Dritten gerateneDaten wirksam vor unbefugter Kenntnisnahme geschützt werden. Zentral oder lokal elektronisch gespeicherte Daten sind im her-kömmlichen Sinne zumeist durch Paßworte in Verbindung mit logi-schen Zugriffsrechten gesichert. Diese Maßnahmen sind jedoch, wiedie Praxis zeigt, nicht immer ausreichend, um schutzwürdige Datenwirksam abzusichern. In allen Fällen, in denen die Möglichkeit be-


257

steht, einen physikalischen Zugriff auf die Daten vorzunehmen, sinddiese Sicherheitsmechanismen unzureichend. So ist z. B. ein Zu-griffsschutz, der nur auf der Anwendungsebene implementiert ist,insofern lückenhaft, als über die Betriebssystemebene ein physikali-scher Zugriff auf die Daten möglich ist. Selbst wenn unbefugtenBenutzern dieser Zugriff verwehrt ist, besteht die Gefahr, daß derInhalt externer Speicher (Magnetplatte, Magnetbänder, Disketten)zweckentfremdet, beispielsweise durch Diebstahl oder Wartung(15.10), auf anderen Rechnern gelesen werden kann. Aber auchSystemverwalter können auf Dateien zugreifen. Somit kann nurdurch die Verschlüsselung der Daten deren Vertraulichkeit sicherge-stellt werden und zwar völlig unabhängig davon, ob auf diese Datenauch Unbefugte zugreifen können. Insbesondere bietet sich aucheine Verschlüsselung für schutzwürdige Daten an, die im Auftragverarbeitet werden. Ebenso aber auch zur Sicherung von sensiblenDaten auf mobilen PC (1. TB, 15.8) oder Chipkarten (15.9 u. 1. TB,15.10.3). Daten können sowohl mittels Hard- als auch Software verschlüsseltwerden. Verschlüsselungsgeräte für eine sichere Datenübertragungwerden in zahlreichen Varianten angeboten. Problemlos ist bei-spielsweise die Verschlüsselung von Telefongesprächen, Fax- oderDatenübertragungen und Videokonferenzen heute technisch mög-lich. Ein besonders wirkungsvoller Schutz wird durch eine soge-nannte Ende-zu-Ende-Verschlüsselung ermöglicht. Sie umfaßt dengesamten Übertragungsweg vom Absender zum Empfänger. DieVer- und Entschlüsselung erfolgt hier unmittelbar am jeweiligenEndgerät (Arbeitsplatz-PC, Telefon, Faxgerät). Im Gegensatz dazuwird bei einer sogenannten Bündel-Verschlüsselung nur der Über-tragungsweg zwischen den zentralen Kommunikationssystemen(Telekommunikationsanlage, Kommunikationsserver) abgesichert.Hier verläuft die Datenübertragung zwischen den zentralen lokalenNetzkomponenten und dem Endgerät unverschlüsselt. Letztendlichmuß der Anwender entsprechend dem Schutzbedürfnis der zu über-mittelnden Daten entscheiden, ob eine Ende-zu-Ende-Verschlüsselung, Bündel-Verschlüsselung oder eine Kombinationbeider Methoden erforderlich ist. Man unterscheidet grundsätzlich zwei Arten von Verfahren zur Ver-schlüsselung, die symmetrischen und die asymmetrischen Verfahren.


258

In der Praxis werden zur Verschlüsselung umfangreicher Nachrich-ten auch beide Verfahren vorteilhaft kombiniert eingesetzt. DieNachrichten werden mit einem symmetrischen Verfahren und derhierfür eingesetzte Schlüssel mit einem asymmetrischen Verfahrenverschlüsselt mitübertragen. Damit nutzt man das vorteilhafteSchlüsselmanagement der asymmetrischen Verfahren als auch diehohe Verschlüsselungsrate der symmetrischen Verfahren. Die Sicherheit kryptographischer Verfahren hängt zum einen vondem zugrundeliegenden mathematischen Verfahren ab, zum anderenvon der Schlüssellänge. Ähnlich wie bei einem Tresor mit Num-mernschloß kann ein Angreifer durch systematisches Ausprobierenaller Schlüsselvarianten (brute force attack) den Text entschlüsseln.Auf diese Weise wurde in den USA im Jahr 1997 der 56 Bit DES-Schlüssel, der ca. 72 Billiarden mögliche Schlüssel umfaßt, ge-knackt, allerdings mit der geballten Kraft von 14.000 über das Inter-net zusammengeschlossenen Computern, mit denen in jeder Sekunde7 Milliarden Schlüssel ausprobiert werden konnten. 15.7.3 Symmetrische Verfahren In der Regel wird zur Ver- und Entschlüsselung bei symmetrischenVerfahren ein geheimer Schlüssel verwendet, den Sender und Emp-fänger vorher vereinbaren müssen bzw. der Sender dem Empfängerauf einem sicheren Weg mitteilen muß. Die verschlüsselte Nachrichtkann dann auf offenem Wege vom Sender zum Empfänger gelan-gen. Die Schlüsselabsprache kann auf unterschiedlichen Wegen undmit unterschiedlicher Sicherheit erfolgen. Ein Austausch des Schlüs-sels auf einem unsicheren Weg kann die Vertraulichkeit der gesam-ten Kommunikation gefährden. Eine sichere Übermittlung des Schlüssels ist durch den zusätzlichenEinsatz eines asymmetrischen Verschlüsselungsverfahrens möglich,indem der vom Sender beliebig festgelegte symmetrische Schlüsselmit dem öffentlichen Schlüssel des Empfängers kryptiert und derNachricht beigefügt wird. Der Empfänger dechiffriert wieder denSchlüssel mit seinem privaten Schlüssel. Symmetrische Verfahren eignen sich besonders für die Verschlüs-selung umfangreicher Nachrichten, da sie eine sehr schnelle Chif-frierung (hohe Verschlüsselungsrate) ermöglichen. Ein Nachteil der


259

symmetrischen Verfahren kann in der großen Anzahl der zu verein-barenden und zu verwaltenden Schlüssel bestehen, wenn ein Sendermit mehreren Teilnehmern kommuniziert. Für jedes Teilnehmerpaarwird genau ein Schlüssel benötigt. Kommuniziert ein Teilnehmermit 100 Teilnehmern, so benötigt er hierfür 100 unterschiedlicheSchlüssel. Kommunizieren alle Teilnehmer untereinander, erhöhtsich diese Zahl schon auf 4950 Schlüssel. Ungünstig ist auch der voreiner erstmaligen Kommunikation notwendige Schlüsselaustausch.Weiterhin kann der Empfänger anhand der übermittelten Informa-tionen nicht überprüfen, ob die Nachricht unversehrt übermitteltwurde und von dem ausgewiesenen Absender tatsächlich stammt. Ein bekannter Vertreter der symmetrischen Verfahren ist der DES(Data Encryption Standard). DES stellt seit 20 Jahren einen welt-weiten Standard dar. Die Daten werden in Blöcken von je 64 BitLänge verschlüsselt. Der Algorithmus erhält als Eingabe einen Blockvon 64 Bit Klartext und liefert als Ausgabe 64 Bit Chiffretext. So-wohl bei der Ver- als auch bei Entschlüsselung kommt der gleicheAlgorithmus zur Anwendung. Wegen der geringen Schlüssellängevon nur 56 Bit wird der DES von Experten als nicht sicher einge-schätzt. Bessere Sicherheit bietet der sogenannte Triple-DES miteiner Schlüssellänge von 112 Bit. Ein weiterhin weit verbreitetes symmetrisches Verfahren ist IDEA(International Data Encryption Algorithm). Der 1990 veröffentlichteAlgorithmus arbeitet mit Klartextblöcken in einer Länge von 64 Bit.Der Schlüssel ist 128 Bit lang. Auch hier dient der gleiche Algo-rithmus sowohl zur Ver- als auch zur Entschlüsselung. Er beruht aufeinem sehr überzeugenden theoretischen Fundament und wird vonden z. Z. öffentlich verfügbaren symmetrischen Verfahren als derzeitsicherster Algorithmus angesehen. Das Verfahren ist patentiert undmuß für kommerzielle Anwendung lizensiert werden. Der Algorith-mus ist in der öffentlich zugänglichen Verschlüsselungs-SoftwarePGP (Pretty Good Privacy) implementiert und kommt dadurchweltweit zum Einsatz.


260

15.7.4 Asymmetrische Verfahren Bei asymmetrischen Verschlüsselungsverfahren (Public-Key-Verfahren) verfügt jeder Teilnehmer über genau ein Paar von zweiSchlüsseln. Der eine Schlüssel ist der geheimzuhaltende sogenannteprivate Schlüssel (Private Key) des Besitzers. Dieser darf nur vonihm verwendet und keiner weiteren Person mitgeteilt werden. Derzweite Schlüssel ist der sogenannte öffentliche Schlüssel (PublicKey) des Besitzers, der für alle Kommunikationspartner analogeinem Telefonbuch, öffentlich zur Verfügung gestellt werden kann.Der öffentliche und der private Schlüssel sind invers zueinander, d.h. wird mit einem Schlüssel die Nachricht kryptiert, so kann mit demzugehörigen anderen Schlüssel diese Nachricht wieder entschlüsseltwerden. Aus der Kenntnis nur eines Schlüssels kann der andereSchlüssel nach derzeitigem Erkenntnisstand praktisch nicht ermitteltwerden. Eine solche Ermittlung beispielsweise des privaten Schlüs-sels aus dem verfügbaren öffentlichen Schlüssel hängt entscheidendvon der gewählten Schlüssellänge ab. Bisher galt eine Schlüssellän-ge von 512 Bit (155 Dezimalstellen) als unüberwindbar. Die Ent-wicklung immer leistungsfähigerer Rechentechnik zwingt aber imInteresse der Sicherheit der asymmetrischen Verfahren, eine höhereSchlüssellänge zu fordern. Je länger der eingesetzte Schlüssel ist, umso größer ist der zu betreibende Aufwand, systematisch den Schlüs-sel zu bestimmen. Der Nachrichtenaustausch mit einem asymmetrischen Verfahrenerfolgt, indem der Absender seine Nachricht mit dem öffentlichenSchlüssel (Chiffrierschlüssel) des Empfängers verschlüsselt. Denzum Entschlüsseln notwendigen privaten Schlüssel (Dechiffrier-Schlüssel) besitzt nur der Empfänger. Ist dieser Schlüssel nicht of-fenbart worden, kann somit nur der Empfänger die Nachricht imKlartext zur Kenntnis nehmen. Damit ist selbst der Absender nichtin der Lage aus der chiffrierten Nachricht wieder den ursprünglichenText herzustellen. Asymmetrische Verschlüsselungsverfahren werden auch eingesetzt,um die Authentizität der Kommunikationspartner, die Datenintegri-tät und die Nicht-Abstreitbarkeit des Ursprungs der Nachricht si-cherzustellen (Digitale Signatur).


261

Ein wesentlicher Vorteil asymmetrischer Verfahren gegenübersymmetrischer Verfahren besteht darin, daß kein Schlüsselaustauschzwischen den Teilnehmern erforderlich ist. Gesichert sein muß aller-dings, daß der in einem allgemein zugänglichen Verzeichnis gespei-cherte öffentliche Schlüssel auch wirklich zu dem ausgewiesenenInhaber (Besitzer) gehört. Diese Zuordnung kann durch eine persön-liche Überprüfung sichergestellt oder viel effektiver durch vertrau-enswürdige Dritte (Zertifizierungsstellen) gewährleistet werden(15.8). Im Gegensatz zu den symmetrischen Verfahren weisenasymmetrische Verfahren eine vergleichsweise geringere Verschlüs-selungsrate bedingt durch ihre große Komplexität auf. Das bekann-teste asymmetrische Verfahren ist der nach seinen Erfindern Rivest,Schamier und Adleman benannte RSA-Algorithmus. 15.7.5 Digitale Signatur Die verstärkte Nutzung auch öffentlicher Netze für die elektronischeKommunikation auch im Sinne der Rechtsverbindlichkeit fordertneben der Wahrung der Vertraulichkeit auch die Sicherung der Inte-grität der Daten und ihre Authentizität. Die Verschlüsselung ge-währleistet “nur” die Vertraulichkeit der Daten. Dies ist in vielenFällen kein umfassender Schutz. Insbesondere muß auch die Unver-sehrtheit der Daten (Datenintegrität) gewährleistet werden. DerEmpfänger von Daten muß aber auch sicher sein, daß diese demAbsender eindeutig zuordenbar sind. Die asymmetrische Verschlüsselung wird nicht nur zur Gewährlei-stung der Vertraulichkeit einer Nachricht eingesetzt. Auch die Au-thentizität des Senders und die Integrität der Nachricht kann damitabgesichert werden. Der erste vollständige asymmetrische Algorith-mus, der sich sowohl für Verschlüsselung als auch für den Nachweisder Authentizität und der Integrität einer Nachricht eignet, ist RSA. Will der Sender beweisen, daß die Nachricht von ihm stammt, ver-schlüsselt er die Nachricht mit seinem privaten Schlüssel und schicktdie so verschlüsselte Nachricht mit dem Klartext zusammen an denEmpfänger. Dieser entschlüsselt mit dem öffentlichen Schlüssel desvermutlichen Absenders die verschlüsselte Nachricht und vergleichtsie mit dem ebenfalls übermittelten offenen Text. Wird hierbei keineAbweichung festgestellt, ist sowohl von der Integrität der Nachricht,


262

als auch der Authentizität des Absenders auszugehen. Um diesesVerfahren effektiver zu gestalten, wird mittels eines mathematischenVerfahrens (Hash-Verfahren) ein Komprimat (Hash-Wert) von derbeliebig langen Nachricht erzeugt. Der Hash-Wert stellt eine Prüf-summe (häufig 128 Bit lang) dar, welche eindeutig die Nachrichtidentifiziert. Man spricht hier auch von einem digitalen Fingerab-druck, genannt MAC (Message Authentication Code). In der Regelwerden hier sichere Hash-Funktionen eingesetzt, die verhindern, daßunterschiedliche Nachrichten den gleichen Hash-Wert ergeben unddaß aus einem Hash-Wert die ursprüngliche Nachricht abgeleitetwerden kann. Man bezeichnet solche Funktionen auch als Einweg-funktionen. Sie erlauben nur in einer Richtung, nämlich für einevorgegebene Nachricht, einen eindeutigen Prüfwert zu ermitteln.Umgekehrt kann aus diesem Wert nicht wieder die ursprünglicheNachricht erzeugt werden. Der Sender erzeugt also zuerst automati-siert aus seiner Nachricht einen Hash-Wert, der anschließend mitseinem privaten Schlüssel kryptiert wird. Dieser jetzt verschlüsseltekomprimierte Hash-Wert wird als digitale Signatur bezeichnet. Diedigitale Signatur wird zusammen mit der Nachricht übermittelt. DerEmpfänger überprüft die Integrität der übermittelten Nachricht unddie Authentizität des vermutlichen Absenders, indem er nach demgleichen Verfahren des Senders aus der übermittelten Nachricht denHash-Wert erzeugt sowie den vom Absender übermittelten Hash-Wert mit dessen öffentlichen Schlüssel dechiffriert und beide Hash-Werte auf Übereinstimmung prüft. Liegt diese vor, ist sowohl dieUnversehrtheit der Nachricht als auch die Authentizität des vermut-lichen Absenders bewiesen. Bei der Bildung der digitalen Signatur wird, im Gegensatz zur her-kömmlichen Signatur, in Form der manuellen Unterschrift des Ab-senders, jedes einzelne Zeichen des Textes einbezogen. Bei Abwei-chen auch nur eines Bits der übermittelten Nachricht stimmen somitder mitgelieferte Hash-Wert und der vom Empfänger erzeugte nichtüberein. Wird zusätzlich die Vertraulichkeit der übermittelten Nachrichtgefordert, wird auf der Absenderseite die Nachricht zuerst mit demeigenen geheimen Schlüssel signiert und anschließend mit dem öf-fentlichen Schlüssel des Empfängers verschlüsselt. Auf der Empfän-gerseite wird die Nachricht mit dem privaten Schlüssel entschlüsselt


263

und anschließend, wie beschrieben, die digitale Signatur auf Echtheitgeprüft. 15.7.6 Kryptokontroverse In der Vergangenheit war der Einsatz kryptographischer Verfahrenzur Nachrichtenverschlüsselung vorwiegend auf den militärischenund geheimdienstlichen Bereich beschränkt. Der stark zunehmendeKommunikationsverkehr in allen gesellschaftlichen Bereichen be-wirkt zunehmend nun auch folgerichtig im privaten und geschäftli-chen Bereich den Einsatz dieser Verfahren. Entsprechende Ver-schlüsselungsverfahren (15.7.3, 15.7.4) stehen zur Verfügung undmit dem Signaturgesetz (15.8) werden die Voraussetzungen für eineöffentliche Schlüsselverwaltung vorgegeben. Somit kann jeder Bür-ger das Recht auf informationelle Selbstbestimmung seiner Datenwahrnehmen, aber auch die Wirtschaft ihre Interessen auf Vertrau-lichkeit wahren. Der Einsatz von Verschlüsselungsverfahren erreichtsomit eine neue Dimension. Daß sich auch kriminelle Täter, insbe-sondere das organisierte Verbrechen, solcher Verfahren bedienenwird, ist naheliegend. Entsprechende Überlegungen, inwieweit hier-durch ihre Aufgaben zur Bekämpfung von Straftaten beeinträchtigtwerden, müssen zwangsläufig auch die Sicherheitsbehörden anstel-len. Den berechtigten Schutzinteressen von Bürgern und der Wirt-schaft nach absoluter Vertraulichkeit ihrer Daten steht die Notwen-digkeit gegenüber, die Bürger vor Verbrechen und staatsgefährden-den Aktionen zu schützen. Dieser Interessenkonflikt wird in derÖffentlichkeit unter dem Thema Kryptokontroverse heftig diskutiert.Hiermit verbunden sind eine Reihe grundlegender Fragen. InDeutschland ist bisher der Einsatz von Verschlüsselungsverfahrenohne Einschränkungen möglich. Jeder Bürger kann somit wirksamenDatenschutz in eigener Regie betreiben. Für mögliche Regulierun-gen staatlicher Stellen beim Einsatz kryptographischer Verfahren,um unter bestimmten Voraussetzungen auch verschlüsselte Datendurch Einsatz bestimmter Verfahren wieder zu entschlüsseln, wärendrei Arten von Krypto-Reglementierungen denkbar:− Der Einsatz von Verschlüsselungsverfahren wird generell ver-

boten oder einem Genehmigungsvorbehalt unterstellt.


264

− Es werden nur Algorithmen und Verfahren zur Verschlüsselungzugelassen, welche den Sicherheitsbehörden bekannte Schwach-stellen aufweisen.

− Eine Verschlüsselung wird erlaubt, wenn die verwendetenSchlüssel oder Teile dieser an bestimmten Stellen hinterlegt wer-den, auf die im Falle einer Strafverfolgung die Sicherheitsbehör-den Zugriff besitzen.

Jede der aufgezeigten Reglementierungen erfordert eine Überwa-chung durch eine entsprechende Kontrollinstanz. In Fachkreisenherrscht Übereinstimmung dahingehend, daß diese Überwachungjederzeit unterlaufen werden kann. So steht beispielsweise mit derSteganographie (15.7.2) eine Technik zur Verfügung, mit der Nach-richten zumeist unbemerkt für Ermittler oder Dritte versteckt über-mittelt werden können. Entsprechende Programme stehen hierfür zurVerfügung. Aber auch mit zwischen den Kommunikations-teilnehmern vereinbarten sprachlichen Codes können die Reglemen-tierungen ausgehebelt werden. Ein erlaubter Einsatz von Verschlüs-selung mit o. g. Schwachstellen kann unterlaufen werden, indem dieNachricht vor einer Verschlüsselung in dem erlaubten Rahmen miteinem nicht reglementierten Verfahren chiffriert wird. Diese Dop-pelverschlüsselung festzustellen, erfordert eine gezielte Überwa-chung, im Ergebnis dessen die Nachricht weiterhin geheim bleibt. Auch die zwangsweise Hinterlegung von Schlüsseln birgt insofernRisiken, als derzeit keine Technik bekannt ist, hinterlegte Schlüsselsicher aufzubewahren. Auswirkungen hätte dies unmittelbar auf einedann zweifelhafte rechtsverbindliche Kommunikation mittels digi-taler Signatur entsprechend dem Signaturgesetz (15.8). Denn die hierverwendeten Schlüsselpaare bieten sich optimal auch für eine Ver-schlüsselung an. Die Datenschutzbeauftragten des Bundes und der Länder wendensich in einer Entschließung (Anlage 8) nachhaltig dagegen, daß denNutzern die Verschlüsselung des Inhalts ihrer Nachrichten verbotenwird. Die Möglichkeit für den Bürger, seine Kommunikation durch geeig-nete Maßnahmen vor unberechtigten Zugriffen zu schützen, ist eintraditionelles verfassungsrechtlich verankertes Recht. Eine Regle-mentierung der Verschlüsselung erscheint aus derzeitiger techni-scher Sicht kaum durchsetzbar, da entsprechende staatliche Maß-


265

nahmen - insbesondere im weltweiten Datenverkehr - ohnehin leichtzu umgehen und kaum kontrollierbar wären. 15.8 Das Signaturgesetz und die Signaturverordnung - ein

wichtiger Schritt zum elektronischen Rechtsverkehrelektronischer Dokumente

Die weltweite Nutzung moderner Informations- und Kommunikati-onssysteme bewirkt auch eine zunehmende Erstellung, Verarbeitung,Kommunikation und Nutzung von Dokumenten auf der Basis digi-taler Daten. Vermehrt werden beispielsweise E-Mail und Doku-mentenmanagement (Workflow)-Systeme zur Übermittlung undVerwaltung solcher elektronischer Dokumente eingesetzt. Im Ge-gensatz zu Daten in Papierform sind elektronische Daten, die alsBitfolgen vorliegen, ohne sicherheitstechnische Vorkehrungen je-derzeit ohne Nachweis von Spuren veränderbar und somit auchleicht fälschbar. Ihre Integrität ist somit nicht ausreichend sicherge-stellt. Auch die Authentizität des Urhebers elektronischer Datenkann nicht sicher nachgewiesen werden. Ohne den Nachweis derIntegrität und Authentizität besitzen elektronische Dokumente kei-nen Beweiswert und damit auch keine rechtliche Verbindlichkeit. Von einem Gericht anerkannte Dokumente (Verträge, Willenserklä-rungen, Briefe) waren somit bisher dem Datenträger Papier vorbe-halten, deren handschriftliche Unterzeichnung eine ausschlaggeben-de Rolle spielt. Ungeachtet der technischen Möglichkeiten sind Me-dienbrüche somit zwangsläufig erforderlich, um zu BeweiszweckenDokumente auf Papier auszudrucken und handschriftlich zu unter-schreiben. Dies wirft insbesondere für den zunehmenden elektroni-schen Geschäftsverkehr (Bestellungen, Auftragsvergaben, Zahlungs-anweisungen etc.) Probleme auf, zumal auch die technischen Mög-lichkeiten vorhanden sind, elektronische Dokumente auf Echtheitund Unversehrtheit zu prüfen. Um die elektronische Kommunikation und Speicherung von Nach-richten beweissicher zu realisieren, ist Voraussetzung, daß digitaleDokumente bezüglich ihres Inhaltes und ihres Urhebers fälschungs-sicher sein müssen. Inhaltliche Manipulationen müssen eindeutigfeststellbar sein und auch der Urheber eines Dokumentes muß ein-deutig bestimmbar sein, so daß die Urheberschaft nicht mit Erfolg


266

geleugnet werden kann. Kryptographische Verfahren ermöglichensolche Lösungen unter Einsatz von digitalen Signaturen (15.7.5), mitwelchen diese Forderungen erfüllt werden. Bisher fehlte es jedochan entsprechenden gesetzlichen Rahmenbedingungen, um die Ver-bindlichkeit von Willensäußerungen in digitaler Form auf breiterEbene anzuerkennen. Als einen ersten und wesentlichen Schritt indieser Richtung verabschiedete der Bundesgesetzgeber mit demSignaturgesetz (SigG) als Art. 3 zum Informations- und Kommuni-kationsdienste-Gesetz (IuKDG) vom 22.07.1997 jetzt verbindlicheRahmenbedingungen für eine sichere digitale Signatur. Hiermitbetrat der Gesetzgeber Neuland. Das Ziel ist, jedermann zu ermögli-chen, den Inhaber eines Signaturschlüssels sowie die Unverfälscht-heit von digitalen Daten festzustellen und auch gegenüber Drittenbeweisen zu können. Regelungen darüber, wann digitale Signaturennach dem SigG anzuwenden sind und welcher Beweiswert ihnenzukommt, bleiben allerdings den speziellen Rechtsvorschriften (z. B.Prozeßordnungen) vorbehalten, die hierzu angepaßt werden müssen.Eine digitale Signatur im Sinne des Gesetzes ist ein mit Hilfe einesprivaten (geheimen) Signaturschlüssel erzeugtes Siegel zu digitalenDaten, welches unter Einbeziehung des zu signierenden Datenbe-standes automatisiert erzeugt und diesen angehangen wird. In derRegel werden nicht die digitalen Daten selbst signiert, sondern einaus diesen mit einer mathematischen Funktion (Hash-Algorithmus)ermittelter verdichteter Wert, der diese Daten unumkehrbar reprä-sentiert. Für den Aufbau einer erforderlichen bundesweiten Sicherheitsinfra-struktur sowie für die Wahrung der berechtigten Interessen der Si-gnaturschlüssel-Inhaber schafft das SigG grundlegende Bedingun-gen. Der Aufbau der Sicherheitsinfrastruktur und die Dienstleistungder Zertifizierung, d. h. Zuordnung von Signaturschlüsseln zu natür-lichen Personen, soll durch die Wirtschaft im freien Wettbewerberfolgen. Der staatliche Beitrag ist auf die Lizenzvergabe und dieKontrolle lizensierter vertrauenswürdiger Zertifizierungsstellendurch die am 01.01.1998 zu errichtende Regulierungsbehörde fürPost und Telekommunikation (nach § 66 des Telekommunikations-gesetzes) begrenzt. Voraussetzung für die Erteilung einer Lizenz ist,daß die Zertifizierungsstelle u. a. über die erforderliche Zuverlässig-keit, Fachkunde und ein Sicherheitskonzept verfügen muß.


267

Das SigG verlangt eine hohe Fälschungssicherheit digitaler Signatu-ren. Es läßt hierfür Raum für unterschiedliche technische Lösungen,die allerdings durch von der Regulierungsbehörde anerkannte Stel-len (z. B. TÜV) geprüft und bestätigt werden müssen. Auch die fürdas Verfahren eingesetzten technischen Komponenten müssen nachdem Stand der Technik hinreichend geprüft sein. Für die Erzeugungund Prüfung digitaler Signaturen wird ausschließlich die Verwen-dung eines Public-Key-Verfahrens (15.7.4) gefordert, d. h. Ver-schlüsselungsverfahren, die mit einem privaten (geheimen) undeinem öffentlichen Schlüssel arbeiten. Spezielle Algorithmen zurSchlüsselgenerierung, zur Hash-Funktion und zum Signaturmecha-nismus werden nicht vorgeschrieben. Die Signaturschlüssel (und damit digitale Signaturen) werden annatürliche Personen gebunden. Nach dem SigG benötigt jeder Be-nutzer des Verfahrens der digitalen Signatur ein Schlüsselpaar, be-stehend aus einem privaten und öffentlichen Schlüssel sowie einelektronisches Zertifikat, das die Zuordnung zum Signaturinhaberbestätigt. Ein solches Zertifikat, das auch digital erstellt werdenkann, weist im einfachsten Fall die von einer Zertifizierungsstellebestätigte Zuordnung zwischen öffentlichen Schlüssel und Namendes regulären Schlüsselinhabers aus. Es kann weitere Erkennungs-merkmale des Benutzers sowie die Gültigkeitsdauer des Zertifikatsumfassen. Um die Authentizität des Urhebers einer digitalen Signa-tur sicherzustellen, setzt ein solches Zertifikat eine zuverlässigeIdentifikation des Signaturschlüssel-Inhabers, z. B. gegen Vorlagedes Personalausweises, durch die Zertifizierungsstelle voraus. Ohneeine solche vertrauenswürdige Vergabe von Zertifikaten wäre diemit dem Verfahren der digitalen Signatur angestrebte Fälschungssi-cherheit von elektronischen Dokumenten nicht gewährleistet. JederBenutzer könnte sich sonst eine beliebige Anzahl von öffentlichenSchlüsseln und damit an digitalen Identitäten zulegen. Desweiterenwäre ein Signieren unter dem Namen eines anderen Benutzers mög-lich. Die Zertifizierungsinstanz stellt nach Abschluß eines Dienstlei-stungsvertrages das Zertifikat und das Schlüsselpaar dem Antrag-steller, z. B. auf einer Chipkarte bereit, wobei dessen privaterSchlüssel weder der Zertifizierungsstelle noch dem Inhaber offen-bart werden darf. Soweit der Antragsteller das Schlüsselpaar selbst


268

generierte, muß die Zertifizierungsstelle sich davon überzeugen, daßhierfür ein Verfahren eingesetzt wurde, daß eine Offenbarung desprivaten Schlüssels hinreichend ausschließt. Die Zertifizierungsstelle muß weiterhin die Voraussetzungen dafürschaffen, daß vergebene Zertifikate auf ihre Echtheit und Gültigkeitüberprüft werden können. Hierzu führt sie ein Verzeichnis übergültige und gesperrte Zertifikate. Mit Zustimmung des jeweiligenInhabers werden die Zertifikate veröffentlicht und stehen onlineabrufbar zur Verfügung. Liegt der öffentliche Signaturschlüssel des Absenders eines Doku-mentes dem Empfänger nicht vor, so kann ersterer sein Zertifikatdem signierten Dokument anhängen, um somit letzterem die Prüfungseiner Signatur zu ermöglichen. Jede Zertifizierungsstelle erhält wiederum ein von der Regulierungs-behörde, als oberste nationale Zertifizierungsstelle, ausgestelltesSignaturschlüssel-Zertifikat. Diese Zertifikate sind für den Anwen-der öffentlich zugänglich, damit dieser anhand des öffentlichenSchlüssels der Zertifizierungsinstanz deren erteilte Zertifikate aufihre Echtheit überprüfen kann. Ein Vor- oder Rückdatieren von digitalen Daten kann mittels einemZeitstempel verhindert werden. Ein solcher Zeitstempel kann vonder Zertifizierungsstelle online abgerufen werden. Der Zeitstempelverkörpert eine digital signierte elektronische Bescheinigung, daßbestimmte Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Gemäß § 16 SigG wurde zur Durchführung der erforderlichenRechtsvorschriften eine Verordnung zur digitalen Signatur (SigV)vom 22.10.1997 erlassen. Diese Verordnung enthält u. a. nähereAnforderungen an das Verfahren und die technischen Komponenten.Eine wesentliche Forderung ist unter anderem der notwendige Ein-satz von Hardware zur sicheren Speicherung des privaten Schlüsselsnach dem Prinzip Besitz (z. B. Chipkarte) und Wissen (PIN). Die Sicherheit der eingesetzten kryptographischen Verfahren fürdigitale Signaturen wird regelmäßig durch einen Kreis führenderExperten neu geprüft. Zeichnet sich ab, daß ein mathematischesVerfahren an Sicherheitswert verliert, so wird die Eignungsfeststel-lung nicht mehr verlängert. Die signierten Daten sind dann mit einererneuten digitalen Signatur zu versehen, welche auf der Basis eines


269

sicheren technischen Verfahrens erzeugt wurde. Die alte Signaturwird dabei mit eingeschlossen. Der Benutzer, welcher das Verfahren der digitalen Signatur einsetzt,muß über einen PC verfügen, der eine Signaturkomponente und einChipkartenlesegerät besitzt. Auf der PIN-geschützten Chipkartebefindet sich die gesamte manipulationsgeschützte Signiertechnik,das Zertifikat sowie der private Schlüssel und die PIN. Nach Ein-stecken der Chipkarte und Eingabe der PIN zu seiner Authentifizie-rung kann der Benutzer per Mausklick Dokumente signieren bzw.signierte Dokumente auf Authentizität und Integrität prüfen lassen.Der Benutzer wählt dazu nur die Dokumente und einen von beidenModi aus. Jedes mit dem privaten Schlüssel signierte Dokumententhält außer seinem Inhalt die digitale Signatur und wenn nötig, dasZertifikat des Signierenden. Der Empfänger kann aus diesem Zerti-fikat den öffentlichen Schlüssel des Absenders entnehmen, fallsdieser ihm nicht bekannt ist, um damit die Signatur zu prüfen. Mit-tels einer Online-Abfrage im Zertifikatverzeichnis der betreffendenZertifizierungsinstanz kann der Empfänger feststellen, ob das Zerti-fikat gültig ist. Von entscheidender Bedeutung für die Integritäteines elektronischen Dokumentes ist allerdings auch, daß der indigitalisierter Form gespeicherte Dokumenteninhalt dem Benutzervisuell korrekt auf seinem Bildschirm angezeigt wird. Hier erfolgteManipulationen (z. B. durch spezielle Viren) führen dazu, daß derBenutzer ein Dokument im sicheren Glauben signiert, welches inWirklichkeit vom gewollten und gezeichneten Inhalt wesentlichabweichen kann. Neben dem Signaturverfahren ergibt sich somit dieErforderlichkeit, daß ein solches Verfahren in einer gesichertenInfrastruktur (Hardwarebetriebssystem, Anwendungssoftware) nurzum Einsatz kommen darf bzw. eine solche voraussetzt. Die gesetz-lichen Regelungen verlangen eine solche Beschaffenheit der einge-setzten technischen Komponenten, die eine Preisgabe von Identifi-kationsdaten oder eine Speicherung an anderer Stelle als auf denDatenträger des privaten Signaturschlüssels ausschließt. Entspre-chend den gesetzlichen Vorgaben müssen die technischen Kompo-nenten das räumliche Verändern von zum Signieren aufgerufenenDaten und das Signieren von anderen als auf dem Bildschirm ange-zeigten Daten verhindern.


270

Nach § 12 Abs. 1 SigG darf die Zertifizierungsstelle personenbezo-gene Daten nur unmittelbar beim Betroffenen selbst und nur inso-weit erheben, als dies für Zwecke eines Zertifikats erforderlich ist.Eine Datenerhebung bei Dritten ist nur mit Einwilligung des Betrof-fenen zulässig. Zwei wichtige Grundsätze des Datenschutzes, derGrundsatz der Erforderlichkeit und der Grundsatz der Zweckbin-dung werden damit verbindlich geregelt. Diese Regelungen existie-ren allerdings schon im allgemeinen Datenschutzrecht. Nach § 5SigG hat die Zertifizierungsstelle auf Verlangen eines Antragstellersim Zertifikat anstelle seines Namens, ein Pseudonym aufzuführen.Damit wird einer datenschutzrechtlichen Forderung entsprochen.Der mögliche Einsatz von Pseudonymen ist ein wichtiger Aspekt,der datenschutzfreundliche Technologien (15.6) kennzeichnet. Nach § 12 Abs. 2 SigG hat die Zertifizierungsstelle die Daten überdie Identität eines Signaturschlüsselinhabers auf Ersuchen an diezuständigen Stellen zu übermitteln, soweit dies für die Verfolgungvon Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefah-ren für die öffentliche Sicherheit oder Ordnung oder für die Erfül-lung der gesetzlichen Aufgaben der Verfassungsschutzbehörden desBundes und der Länder, des Bundesnachrichtendienstes, des militä-rischen Abschirmdienstes oder des Zollkriminalamtes erforderlichist. Die Auskünfte sind zu dokumentieren. Die ersuchende Behördehat den Signaturschlüssel-Inhaber über die Aufdeckung des Pseud-onyms zu unterrichten, sobald dadurch die Wahrnehmung der ge-setzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn dasInteresse des Signaturschlüssel-Inhabers an der Unterrichtung über-wiegt. Hervorzuheben ist, daß nach § 12 Abs. 3 SigG die Aufsichtsbehördeeine Überprüfung der Zertifizierungsstelle auch vornehmen kann,wenn keine Anhaltspunkte für eine Verletzung von Datenschutzvor-schriften vorliegen. Das Signaturgesetz ist ein wesentlicher Schritt im Hinblick darauf,eine mit einer digitalen Signatur verbundene elektronische Willens-erklärung als beweiskräftig und rechtsverbindlich anzuerkennen.Elementaren datenschutzrechtlichen Forderungen nach Integrität undAuthentizität von übermittelten und gespeicherten Daten wird damitentsprochen. Desweiteren wird die Basis für den breiten Einsatz vonVerschlüsselungsverfahren zur Gewährleistung der Vertraulichkeit


271

schutzwürdiger Daten geschaffen. Die entsprechenden Gesetze,welche an eine bestimmte Form gebundene Willenserklärungenfordern, müßten, um der Beweiskraft eines mit einer digitalen Si-gnatur unterzeichneten elektronischen Dokumentes Rechnung zutragen, allerdings diesbezüglich angepaßt werden. 15.9 Anforderungen zur informationstechnischen Sicher-

heit bei Chipkarten Bereits in meinem 1. TB (15.10) habe ich, ausgehend von dem zu-nehmenden Einsatz von Chipkarten in vielen Bereichen, deren tech-nische und datenschutzrechtliche Aspekte dargelegt. Tendenziellwerden sich künftig neue Chipkarten-Anwendungen der Prozessor-chipkartentechnologie bedienen. Das bedeutet, Chipkarten werdenzunehmend durch den Einsatz von Prozessorchips zu kleinen mi-niaturisierten Computern. Die wichtigsten Funktionalitäten der Chipkarten sind dabei:− Chipkarten als Speicher von Daten,− Chipkarten als Mittel zur Authentisierung ihres Trägers,− Chipkarten als Mittel zur Signatur von Dokumenten,− Chipkarten als Träger elektronischer Geldbörsen. Aus datenschutzrechtlicher Sicht ist hier eine konsequente und über-zeugende Sicherheitstechnologie erforderlich. Die Arbeitsgruppe “Chipkarten” des Arbeitskreises Technik derKonferenz der Datenschutzbeauftragten des Bundes und der Länderhat deshalb in einem Arbeitspapier die derzeitigen Anforderungenzur informationstechnischen Sicherheit bei Chipkarten (Anlage 21)zusammengefaßt. Ausgehend von den Gefahren der:− unbefugten Preisgabe von Informationen (Verlust der Vertrau-

lichkeit),− unbefugten Veränderung von Informationen (Verlust der Inte-

grität),− unbefugten Vorenthaltung von Informationen oder Betriebsmittel

(Verlust der Verfügbarkeit),


272

− unbefugten Änderung identifizierender Angaben (Verlust derAuthentität),

werden in dem Arbeitspapier Empfehlungen zum Einsatz von Chip-karten gegeben, ihre technischen Grundlagen dargestellt und aufdaraus resultierende sicherheitstechnische Gestaltungsspielräumeund Anforderungen eingegangen. Danach sind folgende Grundschutzmaßnahmen beispielsweise er-forderlich:− Ausstattung des Kartenkörpers mit fälschungssicheren Authenti-

sierungsmaßnahmen, wie z. B. durch Unterschrift, Foto, Holo-gramme,

− Steuerung der Zugriffs- und Nutzungsberechtigungen durch dieChipkarte selbst,

− Verhinderung unbefugter Einsichtnahme von Daten, die auf derChipkarte gespeichert sind,

− Sicherung der Kommunikation zwischen der Chipkarte, demKartenterminal und den ggf. im Hintergrund wirkenden Syste-men.

Darüber hinaus sollten u. a. folgende Maßnahmen berücksichtigtwerden:− Die Chipkartennutzung sollte möglichst anonym erfolgen.− Der Chipkarteninhaber sollte die Möglichkeit erhalten, die Da-

teninhalte und die Funktionalitäten seiner Chipkarte zu überprü-fen.

In der Regel befinden sich die Chipkarten und die Kartenterminals inunterschiedlicher Verfügungsgewalt. Wird die Chipkarte in einKartenterminal eingeführt, gibt der Inhaber der Karte die Verfü-gungsgewalt über die Software auf der Karte und die ihn betreffen-den Datenbestände unter Umständen auf. Der Karteninhaber solltedaher nicht nur die Möglichkeit haben, sich den Inhalt der gespei-cherten Daten anzeigen zu lassen, sondern auch die Möglichkeitbesitzen, die tatsächlichen Funktionen, z. B. auf neutralen Karten-terminals, testen zu können.


273

Es sind daher auch Sicherheitsanforderungen an Kartenterminals zustellen, z. B.:− Die Kartenterminals müssen über mechanisch gesicherte Gehäu-

se verfügen, damit eine Hardware-Manipulation verhindert odererschwert bzw. erkennbar wird.

− Die Sicherheitsmodule, die der vertraulichen Kommunikationzwischen der Chipkarte und dem Kartenterminal dienen, müssengegen Angriffe besonders abgesichert sein.

− Hohen Anforderungen an die Schutzwürdigkeit der Kommuni-kation zwischen der Chipkarte und dem Kartenterminal kannman durch den Einsatz kryptographischer Verfahren gegen Ab-hören und Manipulationen oder durch mechanische Maßnahmengerecht werden.

15.10 Wartung von Informations- und Kommunikations-

technik Grundsätzliches Eine fachmännische Wartung ist eine grundlegende Voraussetzung,um die Verfügbarkeit von IuK-Systemen zu gewährleisten. In denletzten Jahren ist ein zunehmender Trend zu verzeichnen, die War-tung von Informationstechnischen Systemen (IT-Systeme/Groß-rechneranlagen, Workstation, PC, TK-Anlagen, vernetzte Systeme)durch Fremdfirmen ausführen zu lassen. Auch öffentliche Stellenbedienen sich zunehmend eines solchen Services. Als wesentlicheGründe werden hierfür wirtschaftliche Erwägungen genannt. NachDIN 31051 wird unter Wartung “die zur Betriebsbereitschaft not-wendige Instandhaltung und Instandsetzung einer Anlage” verstan-den. Instandhaltung sind dabei alle vorbeugenden zur Aufrechter-haltung der Betriebsbereitschaft der Anlage erforderlichen Leistun-gen. Seitens der Wartung erfolgt hier der Zugriff auf das (noch) normalfunktionsfähige System, um seinen Zustand zu überprüfen, indemtechnische Zustandsdaten abgefragt und analysiert werden (Diagno-se). Instandsetzung bedeutet die Beseitigung der Störung an derAnlage oder den Geräten durch Reparatur und Ersatz. Hier erfolgtder Zugriff nur im Falle eines Fehlers.


274

Im Kern zielt die o. g. Definition auf die eingesetzte Hardware. Inder Praxis bezieht Wartung im erweiterten Sinne auch die installierteSystem- und Anwendungssoftware ein. Bezüglich der eingesetztenSoftware soll unter Wartung deren Pflege, die Analyse auftretenderFehler und deren Beseitigung sowie das Vorhalten einer optimalenSystemkonfiguration verstanden werden. Der zunehmende Einsatz von gekaufter Software führt in der Regeldazu, daß der Anwender eine Programmpflege und Fehlerbehebun-gen nicht mehr selbst oder nur beschränkt ausführen kann und inFolge dessen, kompetenter externer Hilfe bedarf. Hiermit verbundenist oftmals nicht nur eine Zugangsberechtigung für das externeWartungspersonal, sondern auch eine Zugriffsberechtigung auf dievisuell lesbaren Daten, um eine effektive Fehleranalyse und erfolg-reiche Fehlerbehebung zu ermöglichen. Die Wartung der Hard- und Software kann sowohl direkt vor Ortoder auch mittels sogenannter Fernwartung/Fernbetreuung ausge-führt werden. Der Trend zur Fernwartung ist unverkennbar. Für siesprechen Kostenargumente als auch die zeitnahe Betreuung durchverfügbare Spezialisten. Jede Wartung ist aber mit datenschutz-rechtlichen Risiken verbunden, wobei diese Risiken für die auf demIT-System vorgehaltenen Daten bei einer Fernwartung erheblichgrößer sind. Unabhängig davon, ob die Wartung vor Ort oder mittelsDatenfernübertragung vorgenommen wird, ob sie durch Fremdfir-men (Externe) oder durch eigenes Personal erfolgt, sind technischeund organisatorische Sicherheitsmaßnahmen zum Schutz der aufdem IT-System gespeicherten Daten erforderlich. Für personenbe-zogene Daten sind hierfür die gemäß § 9 Abs. 2 ThürDSG gefor-derten Sicherheitsmaßnahmen zu beachten und entsprechend umzu-setzen. Insbesondere die Beauftragung von Fremdfirmen zur Durch-führung der Wartungsarbeiten unter Einbeziehung der Fernwartungerfordern umfangreiche Sicherheitsvorkehrungen.

Datenschutzrechtliche Einstufung

Grundsätzlich kann nicht ausgeschlossen werden, daß im Rahmender Wartung auch auf personenbezogene oder schutzwürdige Datenzugegriffen werden muß. Ein solcher Zugriff kann in bestimmtenKonstellationen zwingend erforderlich sein, um eine Wartung er-


275

folgreich durchzuführen. So kann z. B. bei technischen Defektenexterner Speichermedien (Magnetplatte) das Kopieren der hier ge-speicherten Daten mittels spezieller Hard- und Softwarekomponen-ten unumgänglich sein, um einen Hardwarefehler zu beheben. Aberauch zur Behebung von Softwarefehlern können Aktionen mit ech-ten Daten nicht zwingend ausgeschlossen werden. Ebenso zeigt diePraxis, daß die im konkreten Fall zu ergreifenden Wartungsmecha-nismen für eine erfolgreiche Fehlerbehebung sowohl bezüglich ihrerAuswahl als auch ihrer kombinierten Ablauffolge nicht detailliertvorhergesagt werden können. Ein grundsätzliches Verbot, bei War-tungsarbeiten auf Daten zuzugreifen, ist somit in dieser Abstraktheitnicht möglich. Sofern von vornherein nicht ausgeschlossen werdenkann, daß Mitarbeiter von (externen) Wartungsfirmen Zugriff aufpersonenbezogene Daten erhalten, ist bei einer Vergabe der War-tungsarbeiten an Dritte von einer Auftragsdatenverarbeitung nach§ 8 ThürDSG auszugehen. Die Regelungen gemäß § 8 ThürDSGsind somit bei einer Wartungsmaßnahme in einer öffentlichen Stellezu beachten und in den Wartungsvertrag einzubeziehen. Zu beachtenist aber insoweit, daß eine Auftragsdatenverarbeitung, die in denallgemeinen Datenschutzgesetzen (ThürDSG/BDSG) geregelt ist,keine Befugnis zur Offenbarung von Daten, die unter den Schutzbe-reich des § 203 StGB (z. B. ärztliche Schweigepflicht) fallen, ent-halten. Sofern eine Einwilligung der Betroffenen nicht vorliegt, sinddie speziellen, für diese Amts- und Berufsgeheimnisse erlassenenVorschriften über die Zulässigkeit der Auftragsdatenverarbeitung zubeachten (z. B. § 27 Abs. 10 ThürKHG für Krankenhausdaten; § 80SGB X für Sozialdaten).

Datenschutzrechtliche Risiken Ziel der Wartung ist es, die Funktionsweise des IT-Systems so zugewährleisten, daß es die vorgegebenen Anforderungen auch hin-sichtlich von Maßnahmen zur Datensicherheit erfüllt. Der Benutzermuß sich auf die Korrektheit und Verfügbarkeit der Funktionen desSystems und der mit Hilfe dieser Funktionen gewonnenen Ergebnis-se verlassen können (Verläßlichkeit von IT-Systemen). Datenschutz-rechtliche Risiken bestehen somit nicht nur in einem Verlust derVertraulichkeit und der Integrität der auf dem System vorgehaltenen


276

Daten, sondern auch in Folge einer nicht ordnungsgemäßen Wartungdurch den Verlust der Verfügbarkeit des gesamten IT-Systems bzw.einzelner seiner Funktionen. Eine Beeinträchtigung oder der totale Verlust der Verfügbarkeitkann durch eine bewußte unbefugte Veränderung der Funktionalitätdes Systems oder durch unzureichend qualifiziertes Wartungsperso-nal verursacht werden. Das Wartungspersonal besitzt im Hinblickauf die Gewährleistung der Verfügbarkeit des IT-Systems eineSchlüsselstellung. Die Durchführung von Korrekturen zur Behebung der Störungenerfordert oftmals Befugnisse, die dem Status von System- undNetzwerkverwaltern entsprechen. Das Wartungspersonal ist insofernprivilegiert, als es über geräte- und programmtechnische Mittel ver-fügt, welche Datenübertragungen aufzeichnen, Datenbestände nachunterschiedlichsten Kriterien durchsuchen sowie mittels TransferDaten abziehen können. Ein Fehlverhalten des Wartungspersonals kann gravierende Auswir-kungen auf den gesamten IT-Betrieb haben. Wird technischenFunktionsstörungen nicht vorgebeugt oder werden aufgetreteneFunktionsausfälle nicht rechtzeitig erkannt und behoben, besteht dieGefahr, daß die zu verarbeitenden Daten bezüglich ihrer Integrität(Unversehrtheit) gefährdet sind. Eine wesentliche Schwachstelle aus datenschutzrechtlicher Sichtergibt sich insbesondere bei der Betreuung von Anwendungssoft-ware, da hier häufig Zugriffsrechte vergeben werden müssen, dieüber die Autorisierung der Anwender-Nutzer hinausgeht. Dies kanneinen unbefugten Informationsgewinn (Beeinträchtigung oder Ver-lust der Vertraulichkeit) seitens des Wartungspersonals zur Folgehaben. Aber auch die Gefahr einer unbefugten Modifikation vonDaten (Beeinträchtigung oder Verlust der Integrität) kann hiermitverbunden sein. Eine ordnungsgemäße Datenverarbeitung, welche eine elementareVoraussetzung für die Sicherheit der Daten bildet, erfordert aucheine korrekte Generierung der Anwendungsprogramme ebenso wieder vorhandenen Systemsoftware. Hierbei ist von ausschlaggebenderBedeutung, daß nur die Funktionen implementiert werden, die füreinen einwandfreien Ablauf der Datenverarbeitung notwendig sind.Bei der Generierung werden häufig auch die erforderlichen Sicher-


277

heitsmechanismen installiert. Wird nun in einer umfassenden War-tung des IT-Systems auch die Pflege dieser Software und in derFolge davon sogar ihre erneute Generierung oder Teile davon einbe-zogen, können sich im Zuge dieser Arbeiten unmittelbar Auswir-kungen gravierend auf die Gesamtfunktionalität und die Sicherheitder IT-Anwendungen ergeben. Betriebsstörungen können auch Sicherheitsfunktionen außer Kraftsetzen oder zeitweise einschränken. Hier ergeben sich Schwachstel-len bezüglich möglicher Manipulationen seitens der Wartung. Insbe-sondere wenn nicht nachvollziehbar ist, welche Aktionen von ihrausgelöst werden. Sowohl die Hardware- als auch Softwarediagnose erfordern Sonder-schnittstellen. Nicht immer ist es möglich, daß diese Schnittstellenvom IT-System bewußt eingeschaltet und auch von diesen kontrol-liert werden können. Insbesondere für die Hardwarediagnose gibt es,zusätzliche, nicht eingeschaltete Schnittstellen, die durch den physi-schen Zugang gegeben sind. Aber auch Schnittstellen für die Soft-warediagnose sind trotz einer bewußten Einschaltung durch dasSystem nur schwer im Detail zu kontrollieren. Zusätzliche Gefahren sind mit einer Fernwartung verbunden. DieseForm der Wartung erfolgt im allgemeinen unter Nutzung öffentli-cher Netze. Hiermit verbundene Risiken sind im 1. TB (15.6) aufge-zeigt. Der mit der Fernwartung existierende physische Zugang zumIT-System oder sogar auf vernetzte Systeme kann mit erheblichenGefahren für die Sicherheit des gesamten IT-Systems verbundensein, wenn es Unbefugten gelingt, in das zu wartende System einzu-dringen. Die übertragenen Daten und Kennwörter sind bezüglichihrer Vertraulichkeit und Integrität durch mögliche Zugriffe auf dieNetzknoten bzw. öffentlich zugänglichen Leitungswege gefährdet.Aber auch die technischen und organisatorischen Sicherheitsvorkeh-rungen seitens der fernwartenden externen Stelle können zusätzlicheSicherheitsprobleme aufwerfen. Datenschutzrechtliche Forderungen Aus datenschutzrechtlicher Sicht ergeben sich für eine Wartung vorOrt, die mit eigenem Personal durchgeführt wird, die geringstenRisiken. Werden auf dem IT-System personenbezogene Daten mit


278

einem hohen Schutzbedarf verarbeitet (1. TB, 15.3) sollte dieseForm der Wartung angestrebt werden. Für eine andere Form derWartung ist deren Erforderlichkeit eingehend zu prüfen. Steht keineigenes Fachpersonal zur Verfügung, ist der Auftragnehmer unterbesonderer Berücksichtigung seiner Eignung für die technischen undorganisatorischen Maßnahmen sorgfältig auszuwählen. Soweit mög-lich, ist eine Wartung vor Ort durchzuführen. Eine Fernwartungdurch externe Stellen ist auf das unumgängliche Maß zu begrenzen. Die mit einer Wartung verbundenen datenschutzrechtlichen Risikenmüssen durch gezielte technische und organisatorische Maßnahmenweitestgehend vermieden werden. Eine Wartung durch externe Stellen ist vertraglich zu vereinbaren.Hier sind Art und Umfang der Wartung sowie die Befugnisse desWartungspersonals hinreichend festzulegen. Ein Zugriff auf perso-nenbezogene Daten im Rahmen einer Wartung sollte generell nur imerforderlichen Fall und nur im notwendigen Rahmen erfolgen. EineVerarbeitung oder Nutzung der personenbezogenen Daten für andereZwecke ist vertraglich auszuschließen. Für das Wartungspersonal istgrundsätzlich das Datengeheimnis gemäß § 6 ThürDSG bzw. § 5BDSG zu beachten. Für eine Fremdwartung sind insbesondere spe-zialgesetzliche Vorgaben zu beachten. Sind beispielsweise die per-sonenbezogenen Daten durch ein Berufs- oder besonderen Amtsge-heimnis geschützt, wobei deren unbefugte Offenbarung nach § 203StGB bestraft werden kann, ist die Wartung vor Ort durchzuführen.Sollte sich im konkreten Fall nach einer sorgfältigen Abwägung vondatenschutzrechtlichen Erfordernissen mit dem berechtigten Interes-se nach einer qualifizierten Wartung ergeben, daß eine erfolgreicheWartung nur seitens der Fremdfirma möglich ist, sollte das externeWartungspersonal zusätzlich nach dem Verpflichtungsgesetz vom 2.März 1974 (BGBl. I S. 469, 545) verpflichtet werden. Auch für eine Wartung durch externe Stellen gilt, daß die speichern-de Stelle (“Herr der Daten”) als Auftraggeber für alle Daten undVerfahren verantwortlich ist. Die speichernde Stelle hat die technischen und organisatorischenMaßnahmen zu veranlassen, die erforderlich sind, Datenschutz undDatensicherheit zu gewährleisten. Wartungs- bzw. Betreuungsfirmendürfen nur auf konkrete Weisung der speichernden Stellen tätigwerden. Wird die Wartung durch nicht-öffentliche Stellen ausge-


279

führt, ist der öffentliche Auftraggeber verpflichtet, vertraglich si-cherzustellen, daß der Auftragnehmer die Bestimmungen desThürDSG befolgt und sich der Kontrolle durch den TLfD unterwirft.Der Auftraggeber hat den Landesbeauftragten für den Datenschutzüber die Beauftragung zu unterrichten. Ein Fernwartungszugang ist besonders abzusichern und zu überwa-chen. Hierfür werden intelligente Technologien auf dem Markt an-geboten. Erst nach Durchlaufen eines sicheren Authentifikationsver-fahrens und dessen positives Ergebnis sollte der angewählte War-tungsport durchgeschaltet werden. In der Regel muß der Aufbaueiner Fernwartungsverbindung von der speichernden Stellen ausge-hen. Es werden Verfahren angeboten, die nach dem derzeitigenKenntnisstand eine sichere und auch gegenseitige Authentifikationrealisieren (Challenge-Response-Prinzip). Technische und organisatorische Sicherheitsmaßnahmen Für eine Wartung/Fernwartung sind gemäß § 9 Abs. 2 ThürDSGMaßnahmen insbesondere zur Zugangs-, Speicher-, Datenträger-,Zugriffs-, Transport- und Organisationskontrolle festzulegen. Die speichernde Stelle sollte bei einer Wartung sicherstellen, daß:− diese nur mit ihrem Einverständnis und im Einzelfall erfolgen

kann,− sie kontrollieren kann, was bei ihrer Durchführung im einzelnen

geschieht,− der Kreis des autorisierten Wartungspersonals festgelegt ist,− eine Fernwartungsverbindung nur von der zu wartenden Stelle

aufgebaut wird, welche diese jederzeit abbrechen kann,− das Wartungspersonal nur Zugriff nach einer positiven Identifi-

kation und Authentifikation gegenüber dem System erhält,− der Zeitpunkt und die Zeitdauer der Wartungsarbeit und alle

wesentlichen Wartungsaktivitäten protokolliert werden,− ein Zugriff auf personenbezogene Daten nur nach einer Einzel-

fallprüfung erfolgen kann,− keine Datenträger den Bereich der speichernden Stelle unkon-

trolliert verlassen können,− kein unzulässiger Datentransfer erfolgen kann,


280

− alle offenbarten Paßworte nach der Wartung unverzüglich geän-dert werden,

− auf dem IT-System gespeicherte Test- und Wartungsprogrammemit einer gesonderten Kennung vor unbefugtem Zugriff abzusi-chern sind,

− geprüft wird, inwieweit diese Daten vor einem unumgänglichenZugriff ausgelagert werden können,

− das Wartungspersonal auf das Datengeheimnis verpflichtet istund ausdrücklich eine Nutzung evtl. offenbarter personenbezo-gener Daten für anderweitige Zwecke strikt verboten ist.

Im Wartungsvertrag sind diese grundlegenden Forderungen entspre-chend den konkreten Anforderungen und Erfordernissen vor Ortspezifiziert festzulegen sowie gegebenenfalls um weitere Sicher-heitsmaßnahmen zu ergänzen, die sich beispielsweise aufgrund be-triebsspezifischer Gegebenheiten ergeben können. Dieser Vertragmuß klare Regelungen zur Art und zum Umfang der Wartung sowiezur Abgrenzung der Kompetenzen und Pflichten zwischen War-tungspersonal und Personal der speichernden Stelle enthalten. 15.11 Virenschutz Ein Computervirus ist eine Programmroutine, die sich selbst repro-duziert und absichtliche Manipulationen an Programmen und Datenverursachen kann. Der Begriff Virus ist entsprechend seiner Repro-duzierbarkeit dem biologischen Abbild entliehen. Eine Übertragungvon Viren kann beispielsweise von einer Diskette oder CD-ROM,aus dem Internet oder über E-Mail erfolgen. Veröffentlichte Untersuchungen zeigen, daß mit der zunehmendenVernetzung der Informations- und Kommunikationstechnik, trotzergriffener Schutzmaßnahmen, die Infizierung mit einem Computer-Virus nicht immer vermeidbar ist. Unter Umständen ist deshalb derEinsatz von mehreren Anti-Viren-Programmen sinnvoll. Im Februar1997 wurde die Zahl der bekannten Computerviren vom Virentest-center der Universität Hamburg auf rund 13.000 beziffert und jedenTag kommen neue Viren dazu. Viren bedrohen nicht nur die Ver-fügbarkeit von IT-Systemen und Programmen, sondern auch die zuverarbeitenden Daten.


281

Wichtig ist, das man das Virus erkennt, sein Vorhandensein nichtvertuscht und sofortige Maßnahmen zu seiner Bekämpfung ergreift.Nur so läßt sich seine Verbreitung einschränken und das Virus wirk-sam bekämpfen. Ein wirksamer Schutz ist nur möglich, wenn dieBenutzer hierüber hinreichend informiert werden. Meine Kontrollen zeigten, daß viele öffentliche Stellen Anti-Viren-Programme im Einsatz haben, aber nicht in jedem Fall auch entspre-chende Richtlinien zur Verhaltensweise beim Auftreten von Com-puter-Viren zur Verfügung stehen. Zum aktiven Schutz gegen Computerviren gibt es diverse Anti-Viren-Programme. Die Vielzahl auftretender Viren erfordert, solcheProgramme einzusetzen, die mit hoher Wahrscheinlichkeit erkennen,daß ein Virus als solches vorliegt, dieses konkret identifizieren undverlustarm auf Wunsch auch beseitigen können. Zahlreiche Anti-Viren-Programme setzen deshalb nicht nur normale Scanner-Verfahren ein, die im herkömmlichen Sinne die Dateien abtestenund mit bereits bekannten Viren vergleichen, sondern auch soge-nannte heuristische- und Prüfsummenverfahren. Heuristische Verfahren werden für die Suche nach bisher nochnicht bekannten Viren, die oft durch charakteristische Befehlsfolgenerkennbar sind, eingesetzt. Mit Hilfe von Prüfsummenverfahren wird, um zusätzlich ein hohesMaß an Sicherheit zu gewährleisten, mittels eines Integritätstestsgeprüft, ob an bestimmten Programmen Änderungen seit deren In-stallation auf dem Computer vorgenommen wurden, also z. B. nichtsüberschrieben oder angehangen wurde. Es gibt typische Arten von Computerviren, die teilweise auch unter-schiedliche Prüfverfahren erfordern. Programm-Viren kopieren sich an das Ende von Programmdateienund manipulieren diese, so daß der Virus vor dem infizierten Pro-gramm ausgeführt wird. Beim Laden des Betriebssystems (Booten) werden z. B. Programm-teile ausgeführt, die in nicht sichtbaren Sektoren des jeweiligenDatenträgers gespeichert sind. Boot-Viren verlagern diesen Inhalt an eine andere Stelle und nistensich selbst in diese Sektoren ein. Beim erneuten Hochfahren des PCgelangt dann der Boot-Virus vor dem Laden des Betriebssystemsunbemerkt in den Arbeitsspeicher und kann so beispielsweise auch


282

nicht schreibgeschützte Datenträger infizieren. Boot-Viren lassensich durch Prüfprogramme aufspüren. Stealth-Viren sind intelligentere Programm-Viren, die auf alle Le-sezugriffe auf infizierte Dateien den Originaltext (einschließlichOriginallänge) zurückgibt. Dadurch wird der vom Virus erzeugteDateiunterschied nicht erkennbar. Anti-Viren-Programme können diese intelligenten Programm-Virenmittels heuristischer Verfahren an ihrer charakteristischen Befehl-folge erkennen. Polymorphe Viren verändern ihre Befehlsabfolge oder verschlüs-seln diese, um das Entdecken ihrer charakteristischen Befehlsfolgenzu verhindern. Zusätzlich zu heuristischen Verfahren, die nach virentypischenMerkmalen und Verfahren suchen, ist hier der Einsatz von Prüf-summen-Verfahren zu empfehlen. Makro-Viren werden in Dokumenten verborgen, bei denen eineMakro-Sprache zum Einsatz kommt, wie z. B. bei den Anwendun-gen Word für Windows oder Excel. So kann z. B. durch das Ver-knüpfen einer Winword-Dokumentenvorlage mit einer entsprechen-den Folge von Befehlen (Makro-Befehle) der Ablauf des Programmsin vielfältigster Weise beeinflußt werden. Dieser in den letzten Jah-ren verbreitete Virus, von dem z. Z. ca. 50 verschiedene bekanntsind, unterscheidet sich maßgeblich von den bisherigen Virenarten,welche nur Programmdateien und keine Datendateien infizieren.Durch die Möglichkeit, auch in Datendateien umfangreiche Steuer-informationen für Layout, Ton oder Programmteile (sogenannteMakros) einzubetten, besteht nunmehr die Gefahr, daß keine saubereTrennung zwischen Datendateien und Programmdateien mehr mög-lich ist. Somit kann z. B. jede übermittelte Nachricht oder ihre ange-hängte Mitteilung mit Viren infiziert sein. Die Tatsache, daß Makro-viren häufig auf unterschiedlichen Rechner-Plattformen lauffähigsind, erhöht die Gefahr der Virenübertragung zwischen verschiede-nen Systemplattformen. Die Verbreitung von Makro-Viren kann eingeschränkt werden, in-dem z. B. die elektronischen Dokumente und Tabellenkalkulations-dateien, die keine gewollten Makros enthalten, in Formate, die keineMakros abspeichern (z. B. RTF und DIF), abgelegt werden.


283

Durch die Vielzahl der im Handel erhältlichen Anti-Viren-Programme ist es unumgänglich, vorher zu spezifizieren, welcheSysteme zu schützen sind (Server, Workstations, Stand-alone-PCsusw.) und über welche eingesetzten Medien Viren auf die zu si-chernden Systeme gelangen können (per Datenträger oder über dasInternet, per E-Mail usw.). Dementsprechend sollten Anti-Viren-Programme ausgewählt wer-den, die u. a. folgende Anforderungen erfüllen:− Das Anti-Viren-Programm sollte nicht nur in der Lage sein, viele

Viren zu finden, sondern es muß sie auch identifizieren und be-seitigen können.

− Um die neusten Viren bekämpfen zu können, müssen ständigaktuelle Programmversionen vom Hersteller zur Verfügung ge-stellt werden.

− Bei der Wahl der Anti-Viren-Programme sollte nach Möglichkeitauf das Vorhandensein eines Hintergrundscanners geachtet wer-den, der automatisch für alle Laufwerke einen permanenten Vi-renschutz bietet.

− Bei einem Einsatz im Netzwerk sollte der Hintergrundscannersowohl auf dem Server als auch auf angeschlossenen Rechnerninstallierbar sein.

− Anti-Viren-Programme für E-Mails sollten alle ankommendenund auch ausgehenden Mails und deren Anlagen auf Viren über-prüfen.

Eine Orientierungshilfe über die Qualität gängiger Anti-Viren-Programme stellen die in zahlreichen Fachzeitschriften regelmäßigveröffentlichten Testergebnisse dar. Um Computer-Viren wirksam begegnen zu können sind, neben einersorgfältigen Auswahl der geeigneten Anti-Viren-Programme, zu-sätzliche organisatorische Maßnahmen zu treffen, wie:− Durchführen regelmäßiger Datensicherungen als eine wichtige

Maßnahme zum ordnungsgemäßen Erhalt von Daten.− Einsetzen der aktuellen Version der Anti-Viren-Programme, um

auch neue Viren zu erkennen.− Erstellen einer Notfall-Diskette, um ein virenfreies Hochfahren

des Rechners (Booten), trotz eingetretenem Virenbefall, zu er-möglichen.


284

− Grundsätzlich überprüfen, inwieweit die Übernahme fremderDateien erforderlich ist.

15.12 Datenschutz beim Telefaxen

Der Telefaxdienst wird heute routinemäßig eingesetzt, um Nach-richten an einen Empfänger zu senden. Dokumente jeglicher Art(Texte, Zeichnungen, Grafiken, Urkunden etc.) lassen sich innerhalbvon Minuten als Kopie des auf der Absenderseite verbleibendenOriginals übermitteln. Der ursprünglich nur als ein Sonderdienst imRahmen der Bürokommunikation im Jahre 1979 in Deutschlandeingeführte Telefaxdienst hat sich neben dem Telefondienst zumwichtigsten Kommunikationsmittel etabliert. Telefax gehört nichtnur zur selbstverständlichen Ausstattung von Firmen, auch vieleprivate Haushalte verfügen heute über Faxgeräte. Meine Kontrollenund auch zahlreiche Anfragen ergaben, daß viele Benutzer des Tele-faxdienstes sich nicht der Risiken und Gefahren bewußt sind, welchemit einer Übermittlung personenbezogener Daten mittels Fax ver-bunden sein können. Die Datenschutzbeauftragten des Bundes undder Länder haben zur Thematik -Datenschutz und Telefax- eineEmpfehlung veröffentlicht, die vom Arbeitskreis für technische undorganisatorische Fragen der Datenschutzbeauftragten erarbeitetwurde (Anlage 20). Die Entschließung weist auf datenschutzrechtli-che Risiken hin, die bei der Übermittlung schutzwürdiger Datenmittels Telefax bestehen und enthält entsprechende Hinweise, dieseRisiken auszuschalten bzw. zu vermeiden. Meine nachfolgendenAusführungen enthalten hierzu noch einige grundlegende und zu-sammenhängende Erläuterungen sowie Ergänzungen zum Tele-faxdienst und sind insbesondere für die zahlreichen Nutzer gedacht,welche mit den Details dieser Technik nicht so vertraut sind.Ein Telefax kann sowohl mit konventionellen Faxgeräten als auchmit speziell hierfür ausgerüsteten PCs versendet oder empfangenwerden. Notwendig hierfür ist eine entsprechende Fax-Softwaresowie ein sogenanntes Faxmodem. Der PC-gestützte Faxversandbietet einige Vorteile gegenüber herkömmlichen Faxgeräten. DaDokumente fast ausschließlich nur noch mittels PC erstellt werden,kann der zu versendende Text ohne Medienbruch (Ausdruck aufPapier) direkt aus der laufenden Anwendung auf dem PC an den


285

Empfänger abgesandt werden. Dokumente müssen nicht mehr aus-gedruckt werden, um anschließend ins Faxgerät wieder eingescanntund verschickt zu werden. Zeit- und Arbeitsaufwand können hier-durch eingespart werden. Beachtet werden muß aber, daß in Papier-form vorliegende Dokumente zuvor gescannt werden müssen. DerEmpfang von Telefaxen am PC hat ebenfalls Vorteile. EmpfangeneTelefaxe können auf beliebigen Drucker und somit auf normalemPapier ausgegeben werden. Die Qualität des Ausdrucks ist gegen-über herkömmlichen Faxgeräten qualitativ besser. Desweiteren kanneine so übermittelte Nachricht auch auf dem Bildschirm dargestelltwerden und muß somit nur noch bei Erforderlichkeit ausgedrucktwerden.Telefonanschlüsse, an denen ein PC über ein Faxmodem ange-schlossen ist, werden jetzt auch in das amtliche Telefaxverzeichnisder Telekom aufgenommen.Auch moderne herkömmliche Telefaxgeräte sind nichts anderes alsspezielle Computer, deren Funktionen über eine sogenannte “Firm-ware” (Mikroprogramm) gesteuert wird. Über optische Verfahrenwird der Inhalt der eingelegten Vorlage zeilenweise gescannt. Dabeiwird der vorliegende Text bzw. Grafik durch einzelne Punkte, denenGraucodierungen zugewiesen sind, zerlegt. Diese digitalen Wertewerden komprimiert und mittels Modem als analoge Signale überdie Telefonleitung zum Faxgerät des Empfängers übertragen undhier mit Modem wieder digitalisiert und ausgedruckt.Der Telefaxdienst hat bisher mehrere Entwicklungsstufen (Gruppen)durchlaufen. Die Einteilung in Gruppen erfolgt im wesentlichennach der Bildauflösung und der Übertragungsgeschwindigkeit. Stan-dard sind derzeit Faxgeräte der Gruppe 3. Es handelt sich um analo-ge Faxgeräte. Diese lassen sich mit sogenannten a/b-Terminal-Adaptern allerdings auch an digitalen Anschlüssen (ISDN) betrei-ben. Diese Adapter dienen als Dolmetscher zwischen der analogenund der digitalen ISDN-Welt. Sie übernehmen die Umwandlung derverschiedenen Protokolle sowie die Anpassung der im Vergleichlangsamen analogen Übertragungsgeschwindigkeiten an die wesent-lich höhere ISDN-Geschwindigkeit.Faxgeräte der Gruppe 4 verfügen über Leistungsmerkmale, die sichnur im digitalen Netz (z. B. ISDN) realisieren lassen. Kennzeich-nend ist hier eine wesentlich höhere Übertragungsgeschwindigkeit


286

und Bildauflösung, welche die Qualität von Laserdruckern erreicht.Faxgeräte dieser Gruppe sind nicht immer kompatibel zu den welt-weit verbreiteten Faxgeräten der Gruppe 3.Im Gegensatz zur normalen Datenübertragung findet der Faxversandim Halbduplex-Betrieb statt. Zu einem bestimmten Zeitpunkt kön-nen Daten nur in einer Richtung übertragen werden, was allerdingsfür die einseitige Form der Kommunikation mittels Fax ausreichendist.Ohne zusätzliche Sicherheitsmaßnahmen ist beim Telefax die Ver-traulichkeit und die Integrität der Daten und die Authentizität desAbsenders nicht gewährleistet. Die Datenübermittlung erfolgt überdas öffentliche Telefonnetz, so daß Telefaxen ebenso wie Telefonie-ren abhörbar ist. Darüber hinaus kann ein Verlust der Vertraulichkeiteinerseits durch fehlerhafte Adressierungen, andererseits durch or-ganisatorische Schwächen beim Faxempfänger verursacht werden.Die tägliche Praxis zeigt, daß falsch adressierte Faxe keine Einzel-fälle sind. Fehladressierungen können darauf beruhen, daß der Ab-sender nach Eingabe einer Empfängernummer oder nach Auswahleiner Nummer aus den Nummernspeichern diese vor Absenden desFax nicht noch einmal einer Kontrolle unterzieht. Auslöser hierfürsind nicht selten kurzfristig umprogrammierte Zielwahltasten desFaxgerätes, welche für häufig gewählte Empfänger eingesetzt wer-den. Mit der erheblichen Zunahme von Telefaxanschlüssen in allengesellschaftlichen Bereichen, insbesondere auch in den privatenHaushalten, hat sich auch die Wahrscheinlichkeit erhöht, bei einerversehentlich falsch eingegebenen Fax-Nummer unter dieser Num-mer statt einem Fernsprechanschluß, wo eine Anzeige einer Fehl-meldung und keine Fax-Übertragung erfolgt, einen anderen Fax-Teilnehmer zu erreichen, welcher dann auch die zu übermittelndenNachrichten empfängt. Vertrauliche Informationen können somitsowohl seitens des Sendenden als auch des eigentlichen Empfängers,ungewollt in unbefugte Hände geraten. Deshalb sollte die Eingabeder Fax-Nummer mit größter Sorgfalt erfolgen.Fax-Irrläufer treten aber auch auf, wenn der Empfänger seinen Fax-Anschluß aus beliebigen Gründen gekündigt hat und den Absenderhierüber nicht informierte. Um diesem Risiko zu begegnen, solltesich der Absender im Zweifelsfall vor dem Versand durch einen


287

Anruf vergewissern, daß der richtige Adressat unter der gewähltenNummer auch erreicht werden kann.Die Vertraulichkeit beim Faxempfänger ist in der Regel dadurchgefährdet, daß Faxgeräte möglicherweise nicht vor unbefugtemZugriff geschützt sind und somit die Möglichkeit besteht, eingegan-gene Faxe zu lesen, zu kopieren bzw. zu entwenden. Da Faxgeräterund um die Uhr betriebsbereit sind, sind damit entstehende Gefähr-dungen zu berücksichtigen. Bei Thermotransfer-Faxgeräten ist dieVertraulichkeit insofern gefährdet, daß hier aufgrund des Druckver-fahrens die Faxinhalte zunächst auf ein wachsbeschichtetes Farb-band geschrieben werden, dessen Inhalt mittels Hitze anschließendauf Papier übertragen wird. Das Farbband, welches das negativeAbbild der Faxausdrücke enthält, kann mehrere hundert Faxseitenumfassen und stellt somit bezüglich der Vertraulichkeit eine Gefähr-dung dar.Zum Schutz der Vertraulichkeit, der mittels eines Faxgerätes überdas Telefonnetz übermittelten Nachrichten, werden Verschlüsse-lungssysteme angeboten. In der Regel wird zum Ver- und Entschlüs-seln der DES-Algorithmus (15.7.3) eingesetzt. Zu Beginn der Kom-munikation erfolgt der Schlüsseltransfer zwischen den Kommunika-tionspartnern mit Hilfe des RSA-Verfahrens (15.7.4). Die hierfürnotwendigen Sicherheitseinrichtungen werden zumeist zwischen derTelefondose und dem Endgerät plaziert. Diese Sicherheitseinrich-tung kann mittels Chipkarte durch eine authentisierte Person akti-viert werden. Die Chipkarte enthält die Chiffrierprogramme undführt online die Ver- bzw. Entschlüsselung durch. Mit Hilfe derChipkarten können auch Benutzergruppen festgelegt werden undBerechtigungsebenen analysiert werden. Somit kann sichergestelltwerden, daß am Faxgerät ein berechtigter Empfänger die Nachrichtentgegennimmt.Beim Einsatz eines Fax-PC müssen, wie auch bei jedem anderen PC,auf dem schutzwürdige Daten gespeichert werden, ausgehend vonder Sensibilität der zu sendenden bzw. empfangenen personenbezo-genen Daten, technische Sicherheitsmaßnahmen ergriffen werden.Erfolgt der Einsatz von Fax-PCs in einem Rechnernetz, so sind diehiermit zusätzlich verbundenen Sicherheitsrisiken abzuschätzen, umden Gefährdungen vorzubeugen. Insbesondere die Zugriffsrechte füreingesetzte Faxserver sind befugnisorientiert festzulegen und nach-


288

vollziehbar zu verwalten. Je nach eingesetzter Betriebs- und Netz-software muß entschieden werden, inwieweit zusätzliche Daten-schutzsoftware zum Einsatz kommt. Mögliche technische Sicher-heitsmaßnahmen, die auch für den Einsatz von Fax-PCs in Netzenzutreffen, habe ich in meinem 1. TB (15.6) aufgeführt.PC-Faxe werden oft mit gescannten Unterschriften gekennzeichnet,wodurch sie persönlicher und verbindlicher wirken. Hier ist zu be-achten, daß solche eingescannten handschriftlichen Unterschriften,Siegel- oder Stempelabdrücke nicht die Authentizität des Absendersbeweisen. Jedermann kann solche Signaturen aus Dokumenten miteinem Scanner einlesen und in ein Faxdokument einfügen. Hier istMißbrauch jederzeit seitens des Absenders möglich, aber auch derEmpfänger kann eine echte Unterschrift des Absenders zu dessenSchaden weiter verwenden. Wo es darum geht, nachweislich dieAuthentizität des Absenders und inhaltliche Integrität von PC-Faxensicherzustellen, sollte deshalb die digitale Signatur (15.7.5) einge-setzt werden.

15.13 Datenspuren beim Zugriff auf Web-Server

Mit der Einführung des World Wide Web (WWW) trat das Internetseinen Siegeszug als Massenmedium an. Dieser Dienst ermöglichtmittels der Seitenbeschreibungssprache HTML (Hypertext MarkupLanguage), Datenbestände im Internet in strukturierter und präsen-tativer Form auf Web-Servern bereitzustellen. Die so präsentiertenInformationen werden als Hypertextdokumente bezeichnet, da sieneben Text, Grafiken und Audioabschnitte auch Referenzen enthal-ten können, die auf weitere HTML-Dokumente verweisen, so daßzwischen den Informationsquellen hin- und hergesprungen werdenkann. Der Internet-Nutzer kommuniziert über HTML mit Hilfe einesauf seinem Rechner (Client) ablaufenden Dienstprogrammes, ge-nannt Browser, mit dem jeweiligen Web-Server. Ein solcher Web-Browser ermöglicht die Navigation durch das WWW und stellt dievom Benutzer ausgewählten Web-Seiten auf dessen Client zur Ver-fügung. Für den jeweiligen Benutzer nicht immer erkennbar, werdenin der Regel beim Zugriff auf Web-Seiten Daten des Benutzers auf-gezeichnet, beispielsweise die Internet-Adresse des Abrufers, derverwendete Browser und die aufgerufene Web-Seite. Insbesondere


289

sind Online-Anbieter von Waren oder elektronischen Dienstleistun-gen an Benutzerdaten interessiert, welche das Kaufverhalten, Inter-essen und Neigungen von Kunden offenbaren. Die Anbieter wollenim Regelfall aber auch wissen, auf welche Angebote bzw. Web-Seiten ihres jeweiligen Gesamtangebotes der Benutzer schon zuge-griffen hat. Um solche benutzerbezogenen Aktionen u. a. nachvoll-ziehbar aufzuzeichnen, werden von vielen Anbietern sogenannte“Cookies” hierzu eingesetzt.Ein Cookie ist eine kleine Textdatei, in welcher der Online-Anbieterautomatisiert persönliche Daten des Benutzers sammelt. So kann derText beispielsweise Informationen über vom Benutzer abgerufeneWeb-Seiten, seine hier durchgeführten Aktivitäten, dessen E-Mail-Adresse aber auch von diesem in Online-Formularen des Anbieterseingegebene Paßwörter und Kreditkartennummern beinhalten. Beimerstmaligen Zugriff auf ein Web-Angebot wird an den Browser desClient das Cookie übermittelt. Der Browser registriert die Herkunftdieser Daten und speichert sie auf der lokalen Festplatte des Benut-zers ab. Bei einem erneuten Zugriff des Client auf das Web-Angebotübermittelt der Browser automatisch diesen gespeicherten Text anden Server zurück. Auf diese Daten greift der Online-Anbieter zu,um u. a. Rückschlüsse über das Kundenverhalten zu erhalten und umneue Informationen einzutragen.Wie eine Vielzahl anderer Technologien bieten auch Cookies nützli-che Funktionen für den Benutzer. Cookies werden z. B. eingesetzt,damit ein Kunde sich einen Warenkorb über alle Web-Seiten desAnbieters zusammenstellen kann, um diese abschließend nur ineinem Vorgang zu verrechnen. Desweiteren werden Cookies zu-nehmend genutzt, um Interessenten gezielt Angebote anzuzeigen.Das Nutzen dieser Technologien entgegen datenschutzrechtlicherVorschriften (§§ 4 ff. TDDSG) kann jedoch nicht ausgeschlossenwerden. Eine Information der Benutzer über die o. g. Zusammen-hänge sowie welche Daten und in welchem Umfang automatischerhoben werden, ist noch die Ausnahme. Gefahren können sich fürden Schutz der personenbezogenen Daten des Benutzers ergeben, sodaß dieser in seinem Persönlichkeitsrecht beeinträchtigt werdenkann. Ein Mißbrauch dieser Daten im weltweiten Internet ist nichtausgeschlossen.


290

Das Erstellen von Cookies wird erst durch die Dienstleistung vonWeb-Browsern ermöglicht. Aktuelle Browser ermöglichen aller-dings durch gezielte Einstellungen ihrer Optionen, den Einsatz vonCookies zu verhindern bzw. den Benutzer vor der Annahme vonCookies zu warnen. Um sich vor Cookies zu schützen, müssen dieseOptionen vom Nutzer erst aktiviert werden, denn standardmäßigwerden Cookies vom Browser übernommen. Es wird empfohlen,zumindestens die Warnmeldung zu aktivieren. Wem diese Meldun-gen zu hinderlich sind und wer Cookies grundsätzlich verhindernmöchte, sollte in dem entsprechenden Konfigurationsverzeichnis desBrowsers eventuell schon gespeicherte Cookie-Eintragungen lö-schen, eine leere Cookie-Datei anlegen und diese mit einem Schreib-schutz versehen. Nach dem derzeitigen Erkenntnisstand ist somit dasSpeichern von Cookies nicht möglich.Jeder Benutzer, der netzweite Dienste nutzt, sollte sich der aufge-zeigten Risiken beim Zugriff auf Web-Seiten insbesondere im Inter-net bewußt sein, zumal die nicht mehr überschaubare Anzahl solcherAngebote auch von unseriösen Quellen stammen können.Grundsätzlich sollten in öffentlichen Stellen Sicherheitsmaßnahmenzur Nutzung der neuen Technologien festgelegt werden.


291

Anlage 1

Entschließungder 51. Konferenz der Datenschutzbeauftragten des Bundes und der

Länderam 14./15. März 1996 in Hamburg

zum

Transplantationsgesetz

Bei der anstehenden gesetzlichen Regelung, unter welchen Voraus-setzungen die Entnahme von Organen zur Transplantation zulässigsein soll, werden untrennbar mit der Ausformung des Rechts aufSelbstbestimmung auch Bedingungen des Rechts auf informationelleSelbstbestimmung festgelegt.

Die Konferenz der Datenschutzbeauftragten des Bundes und derLänder betont hierzu, daß von den im Gesetzgebungsverfahren dis-kutierten Modellen die “enge Zustimmungslösung” - also eine aus-drückliche Zustimmung des Organspenders - den geringsten Eingriffin das Recht auf informationelle Selbstbestimmung beinhaltet. Siezwingt niemanden, eine Ablehnung zu dokumentieren. Sie setzt auchkein Organspenderegister voraus.

Mit einer engen Zustimmungslösung ist auch vereinbar, daß derOrganspender seine Entscheidung z. B. einem nahen Angehörigenüberträgt.


292

Anlage 2



zu

Grundsätze für die Öffentliche Fahndung im Strafverfahren

Bei den an die Öffentlichkeit gerichteten Fahndungsmaßnahmennach Personen (Beschuldigten, Verurteilten, Strafgefangenen undZeugen) wird stets das Recht des Betroffenen auf informationelleSelbstbestimmung eingeschränkt. Es bedarf daher nach den Grund-sätzen des Bundesverfassungsgerichts im Volkszählungsurteil vom15.12.1983 für alle Maßnahmen der öffentlichen Fahndung nachPersonen einer normenklaren und dem Grundsatz der Verhältnismä-ßigkeit entsprechenden gesetzlichen Regelung, die bisher fehlt.

1. Der Gesetzgeber hat zunächst die Voraussetzungen der öffentli-chen Fahndung zu regeln und dabei einen sachgerechten Aus-gleich zwischen dem öffentlichen Strafverfolgungsinteresse unddem Recht auf informationelle Selbstbestimmung des Betroffe-nen zu treffen.

Die öffentliche Fahndung sollte nur bei Verfahren wegen Verlet-

zung bestimmter vom Gesetzgeber zu bezeichnender Straftatbe-stände und bei Straftaten, die aufgrund der Art der Begehungoder des verursachten Schadens ein vergleichbares Gewicht ha-ben, zugelassen werden.

Sie soll nur stattfinden, wenn weniger intensive Fahndungsmaß-

nahmen keinen hinreichenden Erfolg versprechen. Der Grundsatz der Erforderlichkeit mit der gebotenen Beschrän-

kung zu berücksichtigen.


293

2. Bei der öffentlichen Fahndung nach unbekannten Tatverdächti-gen, Beschuldigten, Angeschuldigten, Angeklagten einerseitsund Zeugen andererseits erscheint es geboten, die Entscheidung,ob und in welcher Weise gefahndet werden darf, grundsätzlichdem Richter vorzubehalten; dies gilt nicht bei der öffentlichenFahndung zum Zwecke der Straf- oder Maßregelvollstreckunggegenüber Erwachsenen.

Bei Gefahr in Verzug kann eine Eilkompetenz der Staatsanwalt-

schaft vorgesehen werden, dies gilt nicht bei der öffentlichenFahndung nach Zeugen. In diesem Falle ist unverzüglich dierichterliche Bestätigung der Maßnahme einzuholen.

Die öffentliche Fahndung nach Beschuldigten setzt voraus, daß

ein Haftbefehl oder Unterbringungsbefehl vorliegt, bzw. dessenErlaß nicht ohne Gefährdung des Fahndungserfolges abgewartetwerden kann.

3. Eine besonders eingehende Prüfung der Verhältnismäßigkeit hat

bei der Fahndung nach Zeugen stattzufinden. Eine öffentliche Fahndung nach Zeugen darf nach Art und Um-

fang nicht außer Verhältnis zur Bedeutung der Zeugenaussagefür die Aufklärung der Straftat stehen. Hat ein Zeuge bei frühererVernehmung bereits von seinem gesetzlichen Zeugnis- oderAuskunftsverweigerungsrecht Gebrauch gemacht, so soll vonMaßnahmen der öffentlichen Fahndung abgesehen werden.

4. In Unterbringungssachen darf eine öffentliche Fahndung mit

Rücksicht auf den Grundsatz der Verhältnismäßigkeit nur unterangemessener Berücksichtigung des gesetzlichen Zwecks derfreiheitsentziehenden Maßregel, insbesondere der Therapieaus-sichten und des Schutzes der Allgemeinheit angeordnet werden.

5. Die öffentliche Fahndung zur Sicherung der Strafvollstreckung

sollte zur Voraussetzung haben, daß


294

− eine Verurteilung wegen einer Straftat von erheblicher Be-deutung vorliegt und

− der Verurteilte, der sich der Strafvollstreckung entzieht,

(noch) eine Restfreiheitsstrafe von in der Regel mindestenseinem Jahr zu verbüßen hat, oder ein besonderes öffentlichesInteresse, etwa tatsächliche Anhaltspunkte für die Begehungweiterer Straftaten von erheblicher Bedeutung, an der alsbal-digen Ergreifung des Verurteilten besteht.

6. Besondere Zurückhaltung ist bei internationaler öffentlicherFahndung geboten. Dies gilt sowohl für Ersuchen deutscherStellen um Fahndung im Ausland als auch für Fahndung auf Er-suchen ausländischer Stellen im Inland.

7. Öffentliche Fahndung unter Beteiligung der Medien sollte in den

Katalog anderer entschädigungspflichtiger Strafverfolgungsmaß-nahmen des § 2 Abs. 2 StrEG aufgenommen werden.

Durch Ergänzung des § 7 StrEG sollte in solchen Fällen auch derimmaterielle Schaden als entschädigungspflichtig anerkanntwerden.

Der Gesetzgeber sollte vorsehen, daß auf Antrag des Betroffenendie Entscheidung über die Entschädigungspflicht öffentlich be-kanntzumachen ist.


295

Anlage 3



zur

Modernisierung und europäische Harmonisierungdes Datenschutzrechts

Die Datenschutzrichtlinie der Europäischen Union vom Oktober1995 verpflichtet alle Mitgliedstaaten, ihr Datenschutzrecht binnendrei Jahren auf europäischer Ebene zu harmonisieren. Die Richtliniegeht zu Recht von einem hohen Datenschutzniveau aus und stelltfest: “Die Datenverarbeitungssysteme stehen im Dienste des Men-schen”.

Die Datenschutzbeauftragten begrüßen diesen wichtigen Schritt zueinem auch international wirksamen Datenschutz. Sie appellieren anden Gesetzgeber in Bund und Ländern, die Umsetzung der Richtlinienicht nur als Beitrag zur europäischen Integration zu verstehen,sondern als Aufforderung und Chance, den Datenschutz fortzuent-wickeln. Die Datenschutzbeauftragten sprechen sich für eine umfas-sende Modernisierung des deutschen Datenschutzrechts aus, damitder einzelne in der sich rapide verändernden Welt der Datenverar-beitung, der Medien und der Telekommunikation über den Umlaufund die Verwendung seiner persönlichen Daten soweit wie möglichselbst bestimmen kann.

Die wichtigsten Ziele sind:

1. Weitgehende Vereinheitlichung der Vorschriften für den öffent-lichen und privaten Bereich mit dem Ziel eines hohen, gleich-wertigen Schutzes der Betroffenen, beispielsweise bei der Da-tenerhebung und bei der Zweckbindung bis hin zur Verarbeitungin Akten


296

2. Erweiterung der Rechte der Betroffenen auf Information durchdie datenverarbeitenden Stellen über die Verwendung der Daten,auf Auskunft, auf Widerspruch und im Bereich der Einwilligung

3. Verpflichtung zu Risikoanalyse, Vorabkontrolle, Technikfolgen-abschätzung und zur Beteiligung der Datenschutzbeauftragtenbei der Vorbereitung von Regelungen mit Auswirkungen auf denDatenschutz

4. Verbesserung der Organisation und Stärkung der Befugnisse derDatenschutzkontrolle unter den Gesichtspunkten der Unabhän-gigkeit und der Effektivität

5. Einrichtung und effiziente Ausgestaltung des Amtes eines inter-nen Datenschutzbeauftragten in öffentlichen Stellen

6. Weiterentwicklung der Vorschriften zur Datensicherheit, insbe-sondere im Hinblick auf Miniaturisierung und Vernetzung

Darüber hinaus machen die Datenschutzbeauftragten folgende Vor-schläge:

7. Erweiterung des Schutzbereichs bei Bild- und Tonaufzeichnun-gen und Regelung der Video-Überwachung

8. Stärkere Einbeziehung von Presse und Rundfunk in den Daten-schutz; Aufrechterhaltung von Sonderregelungen nur, soweit diesfür die Sicherung der Meinungsfreiheit notwendig ist

9. Sonderregelungen für besonders empfindliche Bereiche, wie denUmgang mit Arbeitnehmerdaten, Gesundheitsdaten und Infor-mationen aus gerichtlichen Verfahren

10. Sicherstellung der informationellen Selbstbestimmung bei Mul-timedia-Diensten und anderen elektronischen Dienstleistungendurch die Pflicht, auch anonyme Nutzungs- und Zahlungsformenanzubieten, durch den Schutz vor übereilter Einwilligung, z. B.durch ein Widerrufsrecht, und durch strenge Zweckbindung fürdie bei Verbindung, Aufbau und Nutzung anfallenden Daten

11. Besondere Regelungen für Chipkarten-Anwendungen, um diedatenschutzrechtliche Verantwortung aller Beteiligten festzule-gen und den einzelnen vor unfreiwilliger Preisgabe seiner Datenzu schützen


297

12. Schutz bei Persönlichkeitsbewertungen durch den Computer,insbesondere durch Beteiligung des Betroffenen und Nachvoll-ziehbarkeit der Computerentscheidung

13. Verstärkung des Schutzes gegenüber Adressenhandel und Di-rektmarketing

14. Verbesserung des Datenschutzes bei grenzüberschreitender Da-tenverarbeitung; Datenübermittlung ins Ausland nur bei ange-messenem Datenschutzniveau


298

Anlage 4

Entschließungder Datenschutzbeauftragten des Bundes und der Länder

vom 09. Mai 1996

zu

Forderungen zur sicheren Übertragung elektronisch gespeicher-ter personenbezogener Daten

Der Schutz personenbezogener Daten ist während der Übertragungoder anderer Formen des Transportes nicht immer gewährleistet.Elektronisch gespeicherte, personenbezogene Daten können sowohlauf leitungsgebundenen oder drahtlosen Übertragungswegen alsauch auf maschinell lesbaren Datenträgern weitergegeben werden.Oft sind die Eigenschaften des Transportweges dem Absender unddem Empfänger weder bekannt noch durch sie beeinflußbar. Vorallem die Vertraulichkeit, die Integrität (Unversehrtheit) und dieZurechenbarkeit der Daten (Authentizität) sind nicht sichergestellt,solange Manipulationen, unbefugte Kenntnisnahme und Fehler wäh-rend des Transportes nicht ausgeschlossen werden können. DieVerletzung der Vertraulichkeit ist möglich, ohne daß Spuren hinter-lassen werden.

Zahlreiche Rechtsvorschriften gebieten, das Grundrecht des Bürgersauf informationelle Selbstbestimmung auch während der automati-sierten Verarbeitung personenbezogener Daten zu sichern (z. B.§ 78a SGB X mit Anlage, § 10 Abs. 8 Btx-Staatsvertrag, § 9 BDSGnebst Anlage und entsprechende landesgesetzliche Regelungen).

Kryptographische Verfahren (z. B. symmetrische und asymmetri-sche Verschlüsselung, digitale Signatur) sind besonders geeignet,um Verletzungen des Datenschutzes beim Transport schutzwürdigerelektronisch gespeicherter Daten zu verhindern. Mit ihrer Hilfe las-sen sich Manipulationen und Übertragungsfehler nachweisen unddie unberechtigte Kenntnisnahme verhindern. Derartige Verfahren


299

sind heute Stand der Technik und können in vielen Anwendungsfäl-len mit vertretbarem Aufwand eingesetzt werden.

Angesichts der beschriebenen Situation und der vorhandenen techni-schen Möglichkeiten fordern die Datenschutzbeauftragten des Bun-des und der Länder, geeignete, sichere kryptographische Verfahrenbeim Transport elektronisch gespeicherter personenbezogener Datenunter Berücksichtigung ihrer Schutzwürdigkeit anzuwenden.


300

Anlage 5


vom 29. April 1996

zu

Eckpunkte für die datenschutzrechtliche Regelung von Medien-diensten

In letzter Zeit finden Online-Dienste und Multimedia-Anwendungenzunehmend Verbreitung. Mit den - häufig multimedialen - Angebo-ten, auf die interaktiv über Telekommunikationsnetze zugegriffenwerden kann, sind besondere Risiken für das Recht auf informatio-nelle Selbstbestimmung der Teilnehmer verbunden; hinzuweisen istinsbesondere auf die Gefahr, daß das Nutzerverhalten unbemerktregistriert und zu Verhaltensprofilen zusammengeführt wird. Dasallgemeine Datenschutzrecht reicht nicht aus, die mit den neuentechnischen Möglichkeiten und Nutzungsformen verbundenen Risi-ken wirkungsvoll zu beherrschen.

Die Datenschutzbeauftragten des Bundes und der Länder halten esfür dringend erforderlich, durch bereichsspezifische Regelungentechnische und rechtliche Gestaltungsanforderungen für die elektro-nischen Dienste zu formulieren, die den Datenschutz sicherstellen.Leitlinie sollte hierbei der Grundsatz der Datenvermeidung bzw. -minimierung sein. Die Datenschutzbeauftragten haben dazu in einerEntschließung vom 14./15. März 1996 zur Modernisierung und zureuropäischen Harmonisierung des Datenschutzrechts vorgeschlagen,daß die informationelle Selbstbestimmung bei Multimediadienstenund anderen elektronischen Dienstleistungen durch die Pflicht, auchanonyme Nutzungs- und Zahlungsverfahren anzubieten, durch denSchutz vor übereilter Einwilligung, z. B. durch ein Widerspruchs-recht, und durch strenge Zweckbindung für die bei der Verbindung,Nutzung und Abrechnung anfallenden Daten sichergestellt wird.


301

Die Datenschutzbeauftragten weisen darauf hin, daß auch mit In-halten, die durch Mediendienste verbreitet werden, datenschutz-rechtliche Probleme verbunden sein können. Auf diese Problemewird im folgenden jedoch - ebenso wie auf die Datenschutzaspekteder Telekommunikation - nicht näher eingegangen. Bei den daten-schutzrechtlichen Eckpunkten wird ferner bewußt darauf verzichtet,den Regelungsort - etwa einen Länder-Staatsvertrag oder ein Bun-desgesetz - anzugeben. Die Datenschutzbeauftragten appellieren andie Gesetzgeber in Bund und Ländern, eine angemessene daten-schutzgerechte Regulierung der neuen Dienste nicht an Kompetenz-streitigkeiten scheitern zu lassen.

1. Anonyme bzw. datensparsame Nutzung: Die Dienste und Mul-timedia-Einrichtungen sollten so gestaltet werden, daß keine odermöglichst wenige personenbezogene Daten erhoben, verarbeitet undgenutzt werden; deshalb sind auch anonyme Nutzungs- und Zah-lungsformen anzubieten. Auch zur Aufrechterhaltung und zu be-darfsgerechten Gestaltung von Diensten und Dienstleistungen (Sy-stempflege) sind soweit wie möglich anonymisierte Daten zu ver-wenden. Soweit eine vollständig anonyme Nutzung nicht realisiertwerden kann, muß jeweils geprüft werden, ob durch andere Verfah-ren, z. B. die Verwendung von Pseudonymen, ein unmittelbarerPersonenbezug vermieden werden kann. Die Herstellung des Perso-nenbezugs sollte bei diesen Nutzungsformen nur dann erfolgen,wenn hieran ein begründetes rechtliches Interesse besteht.

2. Bestandsdaten: Bestandsdaten dürfen nur in dem Maße erhoben,verarbeitet und genutzt werden, soweit sie für die Begründung undAbwicklung eines Vertragsverhältnisses sowie für die Systempflegeerforderlich sind. Die Bestandsdaten dürfen nur zur bedarfsgerechtenGestaltung von Diensten und Dienstleistungen sowie zur Werbungund Marktforschung genutzt werden, soweit der Betroffene demnicht widersprochen hat. Für die Werbung und Marktforschungdurch Dritte dürfen Bestandsdaten nur mit der ausdrücklichen Ein-willigung des Betroffenen verarbeitet werden.


302

3. Verbindungs- und Abrechnungsdaten: Verbindungs- und Ab-rechnungsdaten dürfen nur für Zwecke der Vermittlung von Abge-boten und für Abrechnungszwecke erhoben, gespeichert und genutztwerden. Sie sind zu löschen, wenn sie für die Erbringung derDienstleistung oder für Abrechnungszwecke nicht mehr erforderlichsind. Soweit Verbindungsdaten ausschließlich zur Vermittlung einerDienstleistung gespeichert werden, sind sie spätestens nach Beendi-gung der Verbindung zu löschen. Die Speicherung der Abrech-nungsdaten darf den Zeitpunkt, die Dauer, die Art, den Inhalt unddie Häufigkeit bestimmter von den einzelnen Teilnehmern in An-spruch genommener Angebote nicht erkennen lassen, es sei denn,der Teilnehmer beantragt eine dahingehende Speicherung. Verbin-dungs- und Abrechnungsdaten sind einer strikten Zweckbindung zuunterwerfen. Sie dürfen über den hier genannten Umfang hinaus nurmit der ausdrücklichen Einwilligung des Betroffenen erhoben, ver-arbeitet und genutzt werden. Unberührt hiervon bleibt die Speiche-rung von Daten von Verantwortlichen für Angebote im Zusammen-hang mit Impressumspflichten.

4. Interaktionsdaten: Werden im Rahmen von interaktiven Dienst-leistungen darüber hinaus personenbezogene Daten erhoben, dienachweisen, welche Eingaben der Teilnehmer während der Nutzungdes Angebots zur Beeinflussung des Ablaufs vorgenommen hat(Interaktionsdaten; hierzu gehören z. B. Daten, die bei lexikalischenAbfragen, in interaktive Suchsysteme - etwa elektronische Fahrpläneund Telefonverzeichnisse - und bei Online-Spielen eingegeben wer-den), darf dies nur in Kenntnis und mit ausdrücklicher Einwilligungdes Betroffenen geschehen. Interaktionsdaten dürfen nur unter Be-achtung einer strikten Zweckbindung verarbeitet und genutzt wer-den. Sie sind grundsätzlich zu löschen, wenn der Zweck, zu dem sieerhoben wurden, erreicht wurde (so müssen Daten über die interak-tive Suche von Angeboten unmittelbar nach Beendigung des Such-prozesses gelöscht werden). Eine weitergehende Verarbeitung dieserDaten ist nur auf Grundlage einer ausdrücklichen Einwilligung desBetroffenen zulässig.


303

5. Einwilligung: Der Abschluß oder die Erfüllung eines Vertrags-verhältnisses dürfen nicht davon abhängig gemacht werden, daß derBetroffene in die Verarbeitung oder Nutzung seiner Daten außerhalbder zulässigen Zweckbestimmung eingewilligt hat. Soweit Daten aufGrund einer Einwilligung erhoben werden, muß diese jederzeit wi-derrufen werden können. Für die Form und Dokumentation elektro-nisch abgegebener Einwilligungen und sonstiger Willenserklärungenist ein Mindeststandard zu definieren, der einen fälschungssicherenNachweis über die Tatsache, den Zeitpunkt und den Gegenstandgewährleistet. Dabei ist sicherzustellen, daß der Teilnehmer bereitsvor der Einwilligung soweit wie möglich über den Inhalt und dieFolgen seiner Einwilligung und über sein Widerrufsrecht informiertist. Deshalb müssen die Betroffenen sowohl vor als auch nach Ein-gabe der Erklärung die Möglichkeit haben, auf Einwilligungen,Verträge und sonstige Informationen über die Bedingungen derNutzung von Diensten, Multimedia-Einrichtungen und Dienstlei-stungen zuzugreifen und diese auch in schriftlicher Form zu erhal-ten. Da Verträge oder andere rechtswirksame Erklärungen, die ineiner Fremdsprache verfaßt sind, unter Umständen juristische Fach-begriffe enthalten, die nur vor dem Hintergrund der jeweiligenRechtsordnung zu verstehen sind, sollten zumindest diejenigenDienste, die eine deutschsprachige Benutzeroberfläche anbieten,derartige Unterlagen auch in deutscher Sprache bereitstellen.

6. Transparenz der Dienst und Steuerung der Datenübertragungdurch die Teilnehmer: Die automatischer Übermittlung von Datendurch die beim Betroffenen eingesetzte Datenverarbeitungsanlage istauf das technisch für die Vertragsabwicklung notwendige Maß zubeschränken. Eine darüber hinausgehende Übermittlung ist nur aufGrund einer besonderen Einwilligung zulässig. Im Hinblick darauf,daß die Teilnehmer bei der eingesetzten Technik nicht erkennenkönnen, in welchen Dienst sie sich befinden und welche Daten beider Nutzung von elektronischen Diensten bzw. bei der Erbringungvon Dienstleistungen automatisiert übertragen und gespeichert wer-den, ist sicherzustellen, daß die Teilnehmer vor Beginn der Daten-übertragung hierüber informiert werden und die Möglichkeit haben,den Prozeß jederzeit abzubrechen. Die zur Nutzung vom Anbieteroder Netzbetreiber bereitgestellte Software muß eine vom Nutzer


304

aktivierbare Möglichkeit enthalten, den gesamten Strom der ein- undausgehenden Daten vollständig zu protokollieren. Bei einer Durch-schaltung zu einem anderen Dienst bzw. zu einer anderen Multime-dia-Einrichtung müssen die Teilnehmer über die Durchschaltungund damit mögliche Datenübertragungen informiert werden. Dien-steanbieter haben zu gewährleisten, daß sie keine erkennbar unsiche-ren Netze für die Übertragung personenbezogener Daten nutzenbzw. den Schutz dieser Daten durch angemessene Maßnahmen si-cherstellen. Entsprechend dem Stand der Technik sind geeignete(z. B. kryptographische) Verfahren anzuwenden, um die Vertrau-lichkeit und Integrität der übertragenen Daten sowie eine sichereIdentifizierung und Authentifikation zwischen Teilnehmern undAnbieten zu gewährleisten.

7. Rechte von Betroffenen: Die Rechte von Betroffenen auf Aus-kunft, Sperrung, Berichtigung und Löschung sind auch bei multime-dialen und sonstigen elektronischen Diensten zu gewährleisten.Soweit personenbezogene Daten im Rahmen eines elektronischenDienstes veröffentlicht wurden, der dem Medienprivileg unterliegt,ist das Gegendarstellungsrecht der von der Veröffentlichung Betrof-fenen sicherzustellen.

8. Datenschutzkontrolle: Eine effektive, unabhängige und nichtanlaßgebundene Datenschutzaufsicht ist zu gewährleisten. Den fürdie Kontrolle des Datenschutzes zuständigen Behörden ist ein jeder-zeitiger kostenfreier elektronischer Zugriff auf die Dienste undDienstleistungen und der Zugang zu den eingesetzten technischenEinrichtungen zu ermöglichen. Bei elektronischen Diensten, für dasMedienprivileg gilt, ist die externe Datenschutzkontrolle entspre-chend zu beschränken.

9. Geltungsbereich: Der Geltungsbereich der jeweiligen Regelun-gen ist eindeutig festzulegen. Es ist sicherzustellen, daß die Daten-schutzbestimmungen auch gelten, sofern personenbezogene Datennicht in Dateien verarbeitet werden.


305

10. Internationale Datenschutzregelung: Im Hinblick auf diezunehmende Bedeutung grenzüberschreitender elektronischer Dien-ste und Dienstleistungen ist eine Fortentwicklung der europäischenund internationalen Rechtsordnung dringend erforderlich, die auchbei ausländischen Diensten, Dienstleistungen und Multimedia-Angeboten ein angemessenes Datenschutzniveau gewährleistet. DieVerabschiedung der sog. ISDN-Datenschutzrichtlinie mit einemeuropaweiten hohen Schutzstandard ist überfällig. Kurzfristig ist esnotwendig, den Betroffenen angemessene Mittel zur Durchsetzungihrer Datenschutzrechte gegenüber ausländischen Betreibern undDienstleistern in die Hand zu geben. Die in Deutschland aktivenDienste aus Nicht-EG-Staaten haben im Sinne der EG-Datenschutzrichtlinie (95/46/EG) vom 24.10.1995 einen verant-wortlichen inländischen Vertreter zu benennen.


306

Anlage 6


Länderam 22./23. Oktober 1996 in Hamburg

zur

Automatisierte Übermittlung von Abrechnungsdaten durchKassenzahnärztliche Vereinigungen an gesetzliche Krankenkas-

sen

Der in dem Schiedsspruch vom 20. Februar 1995 für die Abrech-nung festgelegte Umfang der Datenübermittlung zwischen Kassen-zahnärztlichen Vereinigungen und gesetzlichen Krankenkassenerfüllt nicht die Anforderungen des Sozialgesetzbuches an diesenDatenaustausch. § 295 SGB V fordert, daß Daten nur im erforderli-chen Umfang und nicht versichertenbezogen übermittelt werdendürfen.Die Datenschutzbeauftragten begrüßen es deshalb, daß der größteTeil der gesetzlichen Krankenkassen in “Protokollnotizen” - Stand22. März 1996 - den Umfang der zu übermittelnden Daten reduzierthat. Das Risiko der Identifizierbarkeit des Versicherten wurde da-durch deutlich verringert. Zum letztlich erforderlichen Umfang ha-ben die Spitzenverbände der gesetzlichen Krankenkassen erklärt,daß genauere Begründungen für die Erforderlichkeit der Daten erstgegeben werden könnten, wenn das DV-Projekt für das Abrech-nungsverfahren auf Kassenseite weit genug entwickelt sei.

Der Verband der Angestellten-Ersatzkassen (VDAK) hat bisher alseinziger Spitzenverband der gesetzlichen Krankenkassen diese Da-tenreduzierungen nicht mitgetragen. Die Datenschutzbeauftragtenfordern den VDAK auf, sich für die Frage der Datenübermittlungzwischen Kassenzahnärztlichen Vereinigungen und gesetzlichenKrankenkassen der einheitlichen Linie anzuschließen. Dies liegt imgesetzlich geschützten Interesse der Versicherten.


307

Die besonderen Vorgaben des Sozialgesetzbuches für die Prüfungder Wirtschaftlichkeit der ärztlichen Abrechnung werden dadurchnicht berührt.


308

Anlage 7



zum

Datenschutz bei der Vermittlung und Abrechnungdigitaler Fernsehsendungen

Mit der Markteinführung des digitalen Fernsehens eröffnen sich fürdie Anbieter - neben einem deutlich ausgeweiteten Programmvolu-men - neue Möglichkeiten für die Vermittlung und Abrechnung vonSendungen. Hinzuweisen ist in erster Linie auf Systeme, bei denendie Kunden für die einzelnen empfangenen Sendungen bezahlenmüssen. Dort entsteht die Gefahr, daß die individuellen Vorlieben,Interessen und Sehgewohnheiten registriert und damit Mediennut-zungsprofile einzelner Zuschauer erstellt werden. Die zur Vermitt-lung und zur Abrechnung verfügbaren technischen Verfahren kön-nen die Privatsphäre des Zuschauers in unterschiedlicher Weisebeeinträchtigen.

Die Datenschutzbeauftragten des Bundes und der Länder fordern dieAnbieter und Programmlieferanten auf, den Nutzern zumindestalternativ auch solche Lösungen anzubieten, bei denen die Nutzungder einzelnen Programmangebote nicht personenbezogen registriertwerden kann wie es der Entwurf des Mediendienste-Staatsvertragesbereits vorsieht. Die technischen Voraussetzungen für derartigeLösungen sind gegeben.

Die technischen Verfahren sind so zu gestalten, daß möglichst keinepersonenbezogenen Daten erhoben, gespeichert und verarbeitetwerden (Prinzip der Datensparsamkeit). Verfahren, die im vorausbezahlte Wertkarten - Chipkarten - nutzen, um die mit entsprechen-den Entgeltinformationen ausgestrahlten Sendungen zu empfangenund zu entschlüsseln, entsprechen weitgehend dieser Forderung.


309

Allerdings setzt eine anonyme Nutzung voraus, daß beim Zuschauergespeicherte Informationen über die gesehenen Sendungen nichtdurch den Anbieter abgerufen werden können.

Die Datenschutzbeauftragten sprechen sich außerdem dafür aus, daßfür die Verfahren auf europäischer Ebene Vorgaben für eine einheit-liche Architektur mit gleichwertigen Datenschutzvorkehrungenentwickelt werden.


310

Anlage 8



zu

Eingriffsbefugnisse zur Strafverfolgung im Informations- undTelekommunikationsbereich

Die Entwicklung moderner Informations- und Telekommunikations-techniken führt zu einem grundlegend veränderten Kommunikati-onsverhalten der Bürger.

Die Privatisierung der Netze und die weite Verbreitung des Mobil-funks geht einher mit einer weitreichenden Digitalisierung derKommunikation. Mailboxen und das Internet prägen die Informati-onsgewinnung und -verbreitung von Privatleuten, von Unternehmenund öffentlichen Institutionen gleichermaßen.

Neue Dienste wie Tele-Working, Tele-Banking, Tele-Shopping,digitale Videodienste und Rundfunk im Internet sind einfach über-wachbar, weil personenbezogene Daten der Nutzer in digitaler Formvorliegen. Die herkömmlichen Befugnisse zur Überwachung desFermneldeverkehrs erhalten eine neue Dimension, weil immer mehrpersonenbezogene Daten elektronisch übertragen und gespeichertwerden, können sie mit geringem Aufwand kontrolliert und ausge-wertet werden. Demgegenüber stehen jedoch auch Gefahren durchdie Nutzung der neuen Technik zu kriminellen Zwecken. Die Daten-schutzbeauftragten erkennen an, daß die Strafverfolgungsbehördenin die Lage versetzt werden müssen, solchen mißbräuchlichen Nut-zungen der neuen Techniken zu kriminellen Zwecken wirksam zubegegnen.

Sie betonen jedoch, daß die herkömmlichen weitreichenden Ein-griffsbefugnisse auch unter wesentlich veränderten Bedingungen


311

nicht einfach auf die neuen Formen der Individual- und Massen-kommunikation übertragen werden können. Die zum Schutz derPersönlichkeitsrechte des einzelnen gezogenen Grenzen müssenauch unter den geänderten tatsächlichen Bedingungen der Verwen-dung der modernen Informationstechnologien aufrechterhalten undgewährleistet werden. Eine Wahrheitsfindung um jeden Preis darf esauch insoweit nicht geben. Die Konferenz der Datenschutzbeauf-tragten des Bundes und der Länder hat daher Thesen zur Bewälti-gung dieses Spannungsverhältnisses entwickelt.

Sie hebt insbesondere den Grundsatz der spurenlosen Kommunikati-on hervor. Kommunikationssysteme müssen mit personenbezogenenDaten möglichst sparsam umgehen. Daher verdienen solche Systemeund Technologien Vorrang, die keine oder möglichst wenige Datenzum Betrieb benötigen. Ein positives Beispiel ist die Telefonkarte,deren Nutzung keine personenbezogenen Daten hinterläßt und diedeshalb für andere Bereiche als Vorbild angesehen werden kann.Daten allein zu dem Zweck einer künftig denkbaren Strafverfolgungbereitzuhalten ist unzulässig.

Bei digitalen Kommunikationsformen läßt sich anhand der Be-stands- und Verbindungsdaten nachvollziehen, wer wann mit wemkommuniziert hat, wer welches Medium genutzt hat und damit werwelchen weltanschaulichen, religiösen und sonstigen persönlichenInteressen und Neigungen nachgeht. Eine staatliche Überwachungdieser Vorgänge greift tief in das Persönlichkeitsrecht der Betroffe-nen ein und berührt auf empfindliche Weise die Informationsfreiheitund den Schutz besonderer Vertrauensverhältnisse (z. B. Arztge-heimnis, anwaltliches Vertrauensverhältnis). Die Datenschutzbeauf-tragten fordern daher, daß der Gesetzgeber diesen GesichtspunktenRechnung trägt.

Die Datenschutzbeauftragten wenden sich nachhaltig dagegen, daßden Nutzern die Verschlüsselung des Inhalts ihrer Nachrichten ver-boten wird. Die Möglichkeit für den Bürger, seine Kommunikationdurch geeignete Maßnahmen vor unberechtigten Zugriffen zu schüt-zen, ist ein traditionelles verfassungsrechtlich verbürgtes Recht.


312

Aus Sicht des Datenschutzes besteht andererseits durchaus Ver-ständnis für das Interesse der Sicherheits- und Strafverfolgungsbe-hörden, sich rechtlich zulässige Zugriffsmöglichkeiten nicht dadurchversperren zu lassen, daß Verschlüsselungen verwandt werden, zudenen sie keinen Zugriff haben. Eine Reglementierung der Ver-schlüsselung, z. B. durch Schlüsselhinterlegung, erscheint aber ausderzeitiger technischer Sicht kaum durchsetzbar, da entsprechendestaatliche Maßnahmen - insbesondere im weltweiten Datenverkehr -ohnehin leicht zu umgehen und kaum kontrollierbar wären.


313

Anlage 9

Forderungen der Datenschutzbeauftragten des Bundes und derLänder

anläßlich der 52. Konferenz am 22./23. 10.1996 in Hamburg

zu

Maßnahmen zur Sicherung der Privatsphäre für den Fall derEinführung der akustischen Raumüberwachung

1. Im Grundgesetz selbst ist festzulegen,

- daß der Einsatz technischer Mittel zur Wohnraumüberwa-chung nur zur Verfolgung schwerster Straftaten, die im Hin-blick auf ihre Begehungsform oder Folgen die Rechtsordnungnachhaltig gefährden und die im Gesetz einzeln bestimmtsind

- und nur auf Anordnung eines Kollegialgerichts

erfolgen darf.

2. Die Maßnahme darf sich nur gegen den Beschuldigten richten.Erfolgt ein Lauschangriff in der Wohnung eines Dritten, müs-sen konkrete Anhaltspunkte die Annahme rechtfertigen, daßsich der Beschuldigte in der Wohnung aufhält. In allen Fällenmuß die durch Tatsachen begründete Erwartung vorliegen, daßin der überwachten Wohnung zur Strafverfolgung relevanteGespräche geführt werden.

3. Das Mittel der Wohnungsüberwachung darf nur dann ange-wandt werden, wenn andere Methoden zur Erforschung desSachverhalts erschöpft oder untauglich sind. Bei einemLauschangriff in Wohnungen dritter Personen bedeutet diesauch, daß die Maßnahme nur durchgeführt werden darf, wennaufgrund bestimmter Tatsachen anzunehmen ist, daß ihre


314

Durchführung in der Wohnung des Beschuldigten allein nichtzur Erforschung des Sachverhalts oder zur Ermittlung des Auf-enthaltsorts des Täters führen wird.

4. Das Zeugnisverweigerungsrecht von Berufsgeheimnisträgernund Personen, die aus persönlichen Gründen zur Verweigerungdes Zeugnisses berechtigt sind, muß gewahrt werden.

5. Die Dauer der Maßnahme wird zeitlich eng begrenzt. Auch dieMöglichkeit der Verlängerung der Maßnahme ist zu befristen.

6. Eine anderweitige Verwendung der erhobenen Daten (Zweck-änderung) ist weder zu Beweiszwecken noch als Ermittlungs-ansatz für andere als Katalogtaten zulässig.Personenbezogene Erkenntnisse aus einem Lauschangriff dür-fen zur Abwehr von konkreten Gefahren für gewichtigeRechtsgüter verwendet werden.

7. Wenn sich der ursprüngliche Verdacht nicht bestätigt, sind diedurch den Lauschangriff erhobenen Daten unverzüglich zu lö-schen.

8. Die Betroffenen müssen unverzüglich und vollständig über dieDurchführung der Maßnahme informiert werden, sobald diesohne Gefährdung des Ermittlungsverfahrens möglich ist.

9. Eine Verfahrenssicherung durch den Zwang zur eingehendenBegründung und durch detaillierte jährliche Berichtspflichtender Staatsanwaltschaft für die Öffentlichkeit ähnlich den ge-richtlichen Wire-Tap-Reports in den USA einschließlich einerErfolgskontrolle ist vorzusehen. Anhand der Berichte ist je-weils - wegen der Schwere des Eingriffs - in entsprechendenFristen zu überprüfen, ob die gesetzliche Regelung weiterhinerforderlich ist.

10. Die effektive Kontrolle der Abhörmaßnahme und der Verar-beitung und Nutzung der durch sie gewonnenen Erkenntnissedurch Gerichte und Datenschutzbeauftragte ist sicherzustellen


315

Anlage 10


Länderam 17./18. April 1997 in München

zu

Beratungen zum StVÄG 1996

Die Datenschutzbeauftragten des Bundes und der Länder wendensich entschieden gegen die Entwicklung, im Gesetzgebungsverfah-ren zu einem Strafverfahrensänderungsgesetz 1996, die Gewährlei-stung der informationellen Selbstbestimmung im Strafverfahrennicht nur nicht zu verbessern, sondern vielmehr bestehende Rechtesogar noch zu beschränken. Dies gilt insbesondere für den Beschlußdes Bundesrates, der gravierende datenschutzrechtliche Verschlech-terungen vorsieht.

Bereits der Gesetzentwurf der Bundesregierung wird in Teilberei-chen den Vorgaben des Bundesverfassungsgerichts nicht gerechtund fällt teilweise hinter den bereits erreichten Standard der allge-meinen Datenschutzgesetze und anderer bereichsspezifischer Rege-lungen (wie z. B. dem Bundeszentralregistergesetz und den Polizei-gesetzen der Länder) zurück.

Kritik erheben die Datenschutzbeauftragten des Bundes und derLänder insbesondere an folgenden Punkten:

− Die Voraussetzungen für Maßnahmen der Öffentlichkeitsfahn-dung sind nicht hinreichend bestimmt. So wird z. B. nicht ange-messen zwischen Beschuldigten und Zeugen differenziert.

− Für Privatpersonen und Stellen, die nicht Verfahrensbeteiligte

sind, wird als Voraussetzung zur Auskunfts- und Akteneinsichtlediglich ein vages “berechtigtes”' statt eines rechtlichen Interes-ses gefordert.


316

Die Regelungen über Inhalt, Ausmaß und Umfang von Dateienund Informationssystemen mit personenbezogenen Daten beiStaatsanwaltschaften sind unzureichend. Das hat zur Folge, daßnahezu unbeschränkt Zentraldateien oder gemeinsame Dateieneingerichtet und Daten ohne Berücksichtigung der Begehungs-weise und Schwere von Straftaten gespeichert werden können.Die Zugriffsmöglichkeiten der Strafverfolgungs- und Strafjustiz-behörden auf diese Daten gehen zu weit. Darüber hinaus werdenStandardmaßnahmen des technischen und organisatorischen Da-tenschutzes (z. B. Protokollierung, interne Zugriffsbeschränkun-gen etc.) weitgehend abgeschwächt.

Die Bedenken und Empfehlungen der Datenschutzbeauftragten desBundes und der Länder fanden in den ersten Beratungen des Bun-desrates zum Gesetzentwurf nahezu keinen Niederschlag. Darüber hinaus hat der Bundesrat in seiner Stellungnahme weiterge-hende datenschutzrechtliche Verschlechterungen beschlossen, dievor allem die Entfernung mehrerer im Gesetzentwurf noch vorhan-dener Beschränkungen und verfahrensrechtlicher Sicherungen zumSchutz des Persönlichkeitsrechts und des Rechtes auf informatio-nelle Selbstbestimmung der Betroffenen zum Inhalt haben. Beispiele hierfür sind: − Der Richtervorbehalt für die Anordnung der Öffentlichkeitsfahn-

dung und der längerfristigen Observation soll gestrichen werden. − Die Verwendungsbeschränkungen bei Daten, die mit besonderen

Erhebungsmethoden nach dem Polizeirecht gewonnen wurden,sollen herausgenommen werden.

− Das Auskunfts- und Akteneinsichtsrecht auch für öffentliche

Stellen soll erheblich erweitert werden. − Detaillierte Regelungen für Fälle, in denen personenbezogene

Daten von Amts wegen durch Strafverfolgungs- und Strafjustiz-


317

behörden an andere Stellen übermittelt werden dürfen, die imweitesten Sinne mit der Strafrechtspflege zu tun haben, sollengestrichen werden.

− Das Verbot soll gestrichen werden, über die Grunddaten hinaus-

gehende weitere Angaben nach Freispruch, endgültiger Verfah-renseinstellung oder unanfechtbarer Ablehnung der Eröffnungdes Hauptverfahrens Daten in Dateien zu speichern.

− Speicherungs- und Löschungsfristen für personenbezogene Da-

ten in Dateien sollen ersatzlos gestrichen werden. − Kontrollverfahren für automatisierte Abrufverfahren sollen auf-

gehoben werden und die Verwendungsbeschränkungen für Pro-tokolldaten sollen entfallen.

Die Datenschutzbeauftragten des Bundes und der Länder fordern dieBundesregierung und den Deutschen Bundestag auf, bei den anste-henden weiteren Beratungen des Gesetzentwurfes die vom Bundes-rat empfohlenen datenschutzrechtlichen Verschlechterungen nicht zuübernehmen und die noch bestehenden datenschutzrechtlichen Män-gel zu beseitigen.

Hingegen sollten Vorschläge des Bundesrates für Regelungen fürden Einsatz von Lichtbildvorlagen und für die Datenverarbeitung zurDurchführung des Täter-Opfer-Ausgleichs aufgegriffen werden.


318

Anlage 11



zu

Genetische Informationen in Datenbanken der Polizei fürerkennungsdienstliche Zwecke

Immer häufiger wird bei der Verfolgung von Straftaten am Tatortoder beim Opfer festgestelltes, sog. biologisches Material als Spu-renmaterial durch die Polizei sichergestellt, mittels DNA-Analyseuntersucht und mit anderen DNA-Materialien verglichen. Die DNA-Analyse ist zur Standardmethode geworden, um die Herkunft vonSpurenmaterial von bestimmten bekannten Personen (Verdächtigen,Opfern, unbeteiligten Dritten) oder die Identität mit anderem Spu-renmaterial unbekannter Personen feststellen zu können.

Der Gesetzgeber hat zwar vor kurzem im Strafverfahrensänderungs-gesetz - DNA-Analyse (“Genetischer Fingerabdruck”) - die Voraus-setzungen und Grenzen genetischer Untersuchungen im Strafverfah-ren geregelt. Eine Festlegung, ob und in welchen Grenzen die Spei-cherung und Nutzung der durch eine DNA-Analyse gewonnenenUntersuchungsergebnisse in Datenbanken der Polizei zu erken-nungsdienstlichen Zwecken zulässig ist, enthält dieses Gesetz jedochnicht.

Bezüglich des Aussagegehalts der gespeicherten Daten der Analy-seergebnisse ist ein grundsätzlich neuer Aspekt zu berücksichtigen:

Die automatisiert gespeicherten Informationen aus DNA-Merkmalen, die zum Zweck der Identitätsfeststellung erstellt wordensind, ermöglichen derzeit tatsächlich zwar keine über die Identifizie-rung hinausgehenden Aussagen zur jeweiligen Person oder derenErbgut. In Einzelfällen können die analysierten nicht codierenden


319

persönlichkeitsneutralen DNA-Merkmale jedoch mit codierendenMerkmalen korrespondieren. In Anbetracht der weltweiten intensi-ven Forschung im Bereich der Genom-Analyse ist es nicht ausge-schlossen, daß künftig auch auf der Basis der Untersuchung vonbisher als nicht codierend angesehenen Merkmalen konkrete Aussa-gen über genetische Dispositionen der betroffenen Personen mitinhaltlichem Informationswert getroffen werden können. DiesesRisiko ist deshalb nicht zu vernachlässigen, weil gegenwärtig welt-weit mit erheblichem Aufwand die Entschlüsselung des gesamtenmenschlichen Genoms vorangetrieben wird.

Dieser Gefährdung kann dadurch begegnet werden, daß bei Be-kanntwerden von Überschußinformationen durch die bisherigenUntersuchungsmethoden andere Untersuchungsmethoden (Analyseeines anderen Genomabschnitts) verwendet werden, die keine In-formationen über die genetische Disposition liefern. Derartige Aus-weichstrategien können jedoch zur Folge haben, daß die mit anderenMethoden erlangten Untersuchungsergebnisse nicht mit bereits vor-liegenden vergleichbar sind. Datenspeicherungen über verformelteUntersuchungsergebnisse könnten daher dazu führen, daß einmalverwendete Untersuchungsformen im Interesse der Vergleichbarkeitbeibehalten werden, obwohl sie sich als problematisch herausgestellthaben und unproblematische Alternativen zur Verfügung stehen,z. B. durch Verschlüsselung problematischer Informationen.

In Anbetracht dieser Situation und angesichts der Tendenz, mittelsder DNA-Analyse gewonnene Daten nicht nur in einem bestimmtenStrafverfahren zu verwenden, sondern diese Daten in abrufbarenDatenbanken auch für andere Strafverfahren zugänglich zu machen,fordern die Datenschutzbeauftragten des Bundes und der Länderergänzend zu §§ 81 e und f StPO für die automatisierte Speicherungund Nutzung von DNA-Identitätsdaten eine spezielle gesetzlicheRegelung in der Strafprozeßordnung, um das Persönlichkeitsrechtder Betroffenen zu schützen:

1. Es muß ein grundsätzliches Verbot der Verformelung und Spei-cherung solcher Analyseergebnisse statuiert werden, die inhaltli-che Aussagen über Erbanlagen ermöglichen.


320

Im Hinblick auf die nicht auszuschließende Möglichkeit künfti-

ger Rückschlüsse auf genetische Dispositionen ist bereits jetztein striktes Nutzungsverbot für persönlichkeitsrelevante Er-kenntnisse zu statuieren, die aus den gespeicherten Verformelun-gen der DNA resultieren.

2. Wenn zum Zweck des Abgleichs mit Daten aus anderen Verfah-

ren (also zu erkennungsdienstlichen Zwecken) DNA-Informationen automatisiert gespeichert werden sollen (DNA-Datenbank mit der Funktion, die bei Fingerabdrücken die AFIS-Datenbank des BKA besitzt), müssen darüber hinaus folgendeRegelungen geschaffen werden:

− Nicht jede DNA-Analyse, die zum Zweck der Aufklärung ei-ner konkreten Straftat erfolgt ist, darf in diese Datei aufge-nommen werden. Die Speicherung von Verformelungen derDNA-Struktur in eine Datenbank darf nur dann erfolgen,wenn tatsächliche Anhaltspunkte dafür vorliegen, daß der Be-schuldigte künftig strafrechtlich in Erscheinung treten wirdund daß die Speicherung aufgrund einer Prognose unter Zu-grundelegung des bisherigen Täterverhaltens die künftigeStrafverfolgung fördern kann.

− Eine Speicherung kommt insbesondere dann nicht in Be-

tracht, wenn der Tatverdacht gegen den Beschuldigten ausge-räumt wurde. Bereits erfolgte Speicherungen sind zu löschen.Gleiches gilt für den Fall, daß die Anordnung der DNA-Untersuchung oder die Art und Weise ihrer Durchführungunzulässig war.

− Die Aufbewahrungsdauer von Verformelungen der DNA-

Struktur ist konkret festzulegen (z. B. gestaffelt nach derSchwere des Tatvorwurfs).

3. Voraussetzung für Gen-Analysen muß in jedem Fall mindestensdie richterliche Anordnung sein, unabhängig davon, ob die Datenin einem anhängigen Strafverfahren zum Zweck der Straftaten-


321

aufklärung, wie in § 81 f Absatz 1 Satz 1 StPO normiert, oder obsie zum Zweck der künftigen Strafverfolgung (also zu Zweckendes Erkennungsdienstes) benötigt werden.

4. Ein DNA-Screening von Personengruppen, deren Zusammenset-

zung nach abstrakt festgelegten Kriterien ohne konkreten Tatver-dacht gegenüber einzelnen erfolgt, führt im Regelfall zur Erhe-bung von DNA-Daten zahlreicher, völlig unbeteiligter und un-schuldiger Bürger. Die Daten dieser Personen sind unmittelbardann zu löschen, wenn sie für das Anlaßstrafverfahren nichtmehr erforderlich sind. Sie dürfen nicht in verfahrensübergrei-fenden DNA-Dateien gespeichert werden und auch nicht mit sol-chen Datenbeständen abgeglichen werden.


322

Anlage 12



zu

Geplante Verpflichtung von Telediensteanbietern,Kundendaten an Sicherheitsbehörden zu übermitteln

Der Entwurf der Bundesregierung für ein Teledienstedatenschutzge-setz (Artikel 2 (§ 5 Absatz 3) des Informations- und Kommunikati-onsdienste-Gesetzes vom 20.12.1996 - BR-Drs. 966/96) sieht vor,daß die Anbieter von Telediensten (z. B. Home-Banking, Home-Shopping) dazu verpflichtet werden sollen, insbesondere der Polizeiund den Nachrichtendiensten Auskunft über Daten zur Begründung,inhaltlichen Ausgestaltung oder Änderung der Vertragsverhältnissemit ihren Kunden (sog. Bestandsdaten) zu erteilen.

Die Datenschutzbeauftragten des Bundes und der Länder wendensich entschieden gegen die Aufnahme einer solchen Übermittlungs-vorschrift in das Teledienstedatenschutzgesetz des Bundes. EineFolge dieser Vorschrift wäre, daß Anbieter von elektronischen In-formationsdiensten (z. B. Diskussionsforen) offenlegen müßten,welche ihrer Kunden welche Dienste z. B. mit einer bestimmtenpolitischen Tendenz in Anspruch nehmen. Darin läge ein massiverEingriff nicht nur in das Recht auf informationelle Selbstbestim-mung, sondern auch in die Informations- und Meinungsfreiheit desEinzelnen. Das geltende Recht, insbesondere die Strafprozeßord-nung und das Polizeirecht enthalten hinreichende Möglichkeiten, umstrafbaren und gefährlichen Handlungen auch im Bereich der Tele-dienste zu begegnen. Über die bisherige Rechtslage hinaus würdebei Verabschiedung der geplanten Regelung zudem den Nachrich-tendiensten ein nichtöffentlicher Datenbestand offenstehen. In kei-nem anderen Wirtschaftsbereich sind vergleichbare Übermittlungs-


323

pflichten der Anbieter von Gütern und Dienstleistungen hinsichtlichihrer Kunden bekannt.

Mit guten Gründen haben deshalb die Länder davon abgesehen, inden inzwischen von den Ministerpräsidenten unterzeichneten Staats-vertrag über Mediendienste eine vergleichbare Vorschrift aufzuneh-men. In der Praxis werden sich aber für Bürger und Online-Dienstanbieter schwierige Fragen der Abgrenzung zwischen denGeltungsbereichen des Mediendienste-Staatsvertrags und des Tele-dienstedatenschutzgesetzes ergeben. Auch aus diesem Grund haltendie Datenschutzbeauftragten eine Streichung der Vorschrift des § 5Absatz 3 aus dem Entwurf für ein Teledienstedatenschutzgesetz fürgeboten.


324

Anlage 13



zu

Achtung der Menschenrechte in derEuropäischen Union

Die DSB-Konferenz ist gemeinsam der Überzeugung, daß hinsicht-lich nicht Verdächtiger und hinsichtlich nicht kriminalitätsbezogenerDaten die Forderung des Europäischen Parlaments vom 17.09.1996zu den Dateien von Europol unterstützt werden soll.

Das Europäische Parlament hat in seiner Entschließung zur Achtungder Menschenrechte gefordert, “alle Informationen persönlichenCharakters, wie Angaben zur Religionszugehörigkeit, zu philosophi-schen oder religiösen Überzeugungen, Rasse, Gesundheit und sexu-ellen Gewohnheiten, von der Erfassung in Datenbanken vonEUROPOL auszuschließen.”


325

Anlage 14


vom 20.10.1997zu den Vorschlägen der

Arbeitsgruppe der ASMK

Verbesserter Datenaustausch bei Sozialleistungen

Mit dem von der ASMK-Arbeitsgruppe vorgeschlagenen erweitertenDatenaustausch bei Sozialleistungen wird die Bekämpfung vonLeistungsmißbräuchen angestrebt. Soweit dieses Ziel der Arbeits-gruppe mit einer Veränderung der Strukturen der Verarbeitung per-sonenbezogener Daten im Sozialleistungsbereich - insbesondere mitveränderten Verfahren der Datenerhebung - erreicht werden soll,muß der verfassungsrechtlich gewährleistete Grundsatz der Verhält-nismäßigkeit beachtet werden.

Die gegenwärtigen Regelungen der Datenerhebung im Soziallei-stungsbereich sehen unterschiedliche Verfahren der Datenerhebungvor, vor allem

− Datenerhebungen beim Betroffenen selbst − Datenerhebungen bei Dritten mit Mitwirkung des Betroffenen − Datenerhebungen bei Dritten ohne Mitwirkung des Betroffenen

aus konkretem Anlaß − Datenerhebungen bei Dritten ohne Mitwirkung des Betroffenen

ohne konkreten Anlaß (Stichproben/Datenabgleich)

Diese Verfahren der Datenerhebung sind mit jeweils unterschiedlichschwerwiegenden Eingriffen in das Persönlichkeitsrecht der Betrof-fenen verbunden. So weiß z. B. bei einer Datenerhebung beim Be-troffenen dieser, wer wann welche Daten zu welchem Zweck über


326

ihn erhebt und Dritte erhalten keine Kenntnis von diesen Datenerhe-bungen.Im Gegensatz dazu wird bei einer Datenerhebung bei Dritten ohneMitwirkung des Betroffenen dieser darüber im unklaren gelassen,wer wann welche Daten zu welchem Zweck über ihn erhebt undDritten werden Daten über den Betroffenen zur Kenntnis gegeben(z. B. der Bank die Tatsache, daß der Betroffene Sozialhilfeempfän-ger ist).

Dieses System der Differenzierung des Verfahrens der Datenerhe-bung entspricht dem Grundsatz der Verhältnismäßigkeit. Ferner istzu differenzieren, ob Daten aus dem Bereich der Sozialleistungsträ-ger oder Daten außerhalb dieses Bereichs erhoben werden.

In dem Bericht der Arbeitsgruppe wird dieses System zum Teil auf-gegeben. Es werden Verfahren der Datenerhebung vorgesehen, dieschwerwiegend in die Rechte der Betroffenen eingreifen, ohne daßhinreichend geprüft und dargelegt wird, ob minder schwere Eingriffein das Persönlichkeitsrecht zum Erfolg führen können. Die Daten-schutzbeauftragten wenden sich nicht um jeden Preis gegen Erweite-rungen des Datenaustauschs, gehen aber davon aus, daß pauschaleund undifferenzierte Änderungen des gegenwärtigen Systems unter-bleiben.

Datenabgleichsverfahren sollen nur in Frage kommen bei Anhalts-punkten für Mißbrauchsfälle in nennenswertem Umfang. Deshalbmüssen etwaige neue Datenabgleichsverfahren hinsichtlich ihrerWirkungen bewertet werden. Daher ist parallel zu ihrer Einführungdie Implementierung einer Erfolgskontrolle für das jeweilige Ab-gleichsverfahren vorzusehen, die auch präventive Wirkungen erfaßt.Dies ermöglicht, Aufwand und Nutzen zueinander in das verfas-sungsmäßig gebotene Verhältnis zu setzen.

Soweit unter Beachtung dieser Prinzipien neue Kontrollinstrumentegegen den Leistungsmißbrauch tatsächlich erforderlich sind, muß fürden Bürger die Transparenz der Datenflüsse sichergestellt werden.Diese Transparenz soll gewährleisten, daß der Bürger nicht zumbloßen Objekt von Datenerhebungen wird.


327

Bezugnehmend auf die bisherigen Äußerungen des BfD und vonLfD bestehen gegen folgende Vorschläge im Bericht gravierendeBedenken:

1. Mitwirkung bei der Ahndung des Mißbrauchs (für alle Lei-stungsträger) und Verbesserungen für die Leistungsempfän-ger (zu D.II.10.1 und B.I)

Die vorgeschlagenen Möglichkeiten von anlaßunabhängigen

Mißbrauchskontrollen beinhalten keine Klarstellung der gegebe-nen Rechtslage, sondern stellen erhebliche Änderungen des bis-herigen abgestuften Systems der Datenerhebung dar.

Die mit der Datenerhebung verbundene Offenlegung des Kon-

taktes bzw. einer Leistungsbeziehung zu einem Sozialleistungs-träger stellt einen erheblichen Eingriff für den Betroffenen dar,u. a. da sie geeignet ist, seine Stellung in der Öffentlichkeit, z. B.seine Kreditwürdigkeit, wesentlich zu beeinträchtigen. Anfragenbei Dritten ohne Kenntnis des Betroffenen lassen diesen im un-klaren, welche Daten wann an wen übermittelt wurden.

Derartige Datenerhebungen werden vom geltenden Recht des-

halb mit Rücksicht auf das verfassungsrechtliche Verhältnismä-ßigkeitsprinzip nur in begrenzten und konkretisierten Ausnahme-fällen zugelassen. Von dieser verfassungsrechtlich gebotenen Sy-stematik würde die Neuregelung grundlegend abweichen. DieDatenschutzbeauftragten betonen bei dieser Gelegenheit den all-gemeinen Grundsatz, daß Datenerhebungen, die sowohl pauschalund undifferenziert sind, als auch ohne Anlaß erfolgen, abzuleh-nen sind.

Die Datenschutzbeauftragten weisen schließlich darauf hin, daß

gegen eine Ausnutzung der technischen Datenverarbeitungs-möglichkeiten zugunsten des Betroffenen (B.I des Berichts)nichts spricht, solange die Betroffenen davon informiert sind undsoweit sie dem Verfahren zugestimmt haben.


328

2. Nachfrage beim Wohnsitzfinanzamt des Hilfesuchenden zuSchenkungen und Erbschaften (zu D.I.1.1)

Die Datenschutzbeauftragten teilen nicht die Auffassung, daß

Stichproben nach der geltenden Rechtslage zu § 21 Abs. 4SGB X möglich sind. § 21 Abs. 4 SGB X ist eine Auskunftsvor-schrift für die Finanzbehörden, die über die Datenerhebungsbe-fugnis der Sozialleistungsträger nichts aussagt. Die Leistungsträ-ger dürfen diese Auskünfte bei den Finanzbehörden als Drittennur nach Maßgabe des § 67a SGB X einholen, soweit das erfor-derlich ist: Diese Erforderlichkeit setzt Anhaltspunkte für Lei-stungsmißbrauch im Einzelfall voraus.

3. Auskunftspflicht der Banken und Lebensversicherungen (zu

D.II.1.6) Die Datenerhebung im Sozialbereich ist von einer möglichst

weitgehenden Einbeziehung des Betroffenen gekennzeichnet.Der Vorschlag zur Einführung einer Auskunftspflicht geht aufdieses undifferenzierte System der Datenerhebungen im Sozial-bereich überhaupt nicht ein.

Die Annahme in der Begründung des Vorschlags, ohne eine

derartige Auskunftspflicht bestünden keine sachgerechten Er-mittlungsmöglichkeiten, trifft nicht zu. Der Betroffene ist ver-pflichtet, Nachweise zu erbringen; dazu können auch Bankaus-künfte gehören. Allerdings ist dem Betroffenen vorrangig Gele-genheit zu geben, solche Auskünfte selbst und ohne Angabe ih-res Verwendungszwecks beizubringen. Nur soweit dennoch er-forderlich, ist der Betroffene im Rahmen seiner Mitwirkungs-pflicht gehalten, sein Einverständnis in die Erteilung von Bank-auskünften zu geben.

Die vorgeschlagene pauschale Auskunftsverpflichtung birgt

deshalb die Gefahr in sich, daß dann generell ohne Mitwirkungdes Betroffenen und ohne sein Einverständnis sofort an dieBank/Lebensversicherung herangetreten wird mit der Wirkung,daß der Betroffene desavouiert wird.


329

Die Datenschutzbeauftragten halten deshalb eine Klarstellung fürdringend erforderlich, daß derartige unmittelbare Anfragen undAuskünfte erst in Betracht kommen, wenn die Ermittlungen unterMitwirkung des Betroffenen zu keinem ausreichenden Ergebnisführen und Anhaltspunkte dafür bestehen, daß bei der fraglichenBank/Lebensversicherung nicht angegebenes Vermögen vorhan-den ist.

4. Akzeptanz des Datenaustausches (zu E.IV)

Datenabgleiche beinhalten eine Verarbeitung personenbezogenerDaten, die nicht beliebig durchgeführt werden darf und aner-kanntermaßen einer gesetzlichen Grundlage bedarf. Die im Pa-pier der Arbeitsgruppe unter E.IV vertretene These, daß anla-ßunabhängige Datenabgleiche keiner speziellen Grundlage be-dürften, trifft deshalb nicht zu.

Die Datenschutzbeauftragten wenden sich nicht gegen einzelneVeränderungen der Datenverarbeitung im Sozialleistungsbereich,soweit sie tatsächlich erforderlich und verhältnismäßig sind und diezuvor aufgezeigten Grundsätze beachtet werden. Die Datenschutz-beauftragten sind dazu gesprächsbereit.


330

Anlage 15


Länderam 23./24. Oktober 1997 in Bamberg

zur

Novellierung des Bundesdatenschutzgesetzesund Modernisierung des Datenschutzrechts

Die fristgerechte Harmonisierung des Datenschutzes entsprechendden Vorgaben der europäischen Datenschutzrichtlinie vom 24. Ok-tober 1995 droht zu scheitern. Die von dieser Richtlinie gesetzteDreijahresfrist wird heute in einem Jahr ablaufen. Eine gründlicheBeratung im Deutschen Bundestag wird durch den baldigen Ablaufder Legislaturperiode in Frage gestellt.

Noch immer gibt es keinen Kabinettsbeschluß; die Bundesregierunghat bisher noch nicht einmal einen abgestimmten Referentenentwurfvorgelegt. Sie gefährdet dadurch die rechtzeitige Umsetzung derRichtlinie und riskiert ein Vertragsverletzungsverfahren vor demEuropäischen Gerichtshof.

Für die Entwicklung des Datenschutzes ist diese Lage höchst nach-teilig:

− Verbesserungen des Datenschutzes der Bürger, z. B. durch ge-nauere Information über die Verarbeitung ihrer Daten, verzögernsich;

− dem Datenschutzrecht droht Zersplitterung, weil den Ländern

eine Orientierung für die Anpassung der Landesdatenschutzge-setze fehlt.


331

Die Datenschutzbeauftragten des Bundes und der Länder appellierendaher an die Bundesregierung, für eine fristgerechte Umsetzung derRichtlinie Sorge zu tragen. Zur Harmonisierung des europäischen Datenschutzrechts empfehlendie Datenschutzbeauftragten der Bundesregierung und dem Gesetz-geber folgende Grundsatzentscheidungen: − weitgehende Gleichbehandlung des öffentlichen und des privaten

Bereichs bei gleichzeitiger Verbesserung der Datenschutzkon-trolle, insbesondere durch generell anlaßunabhängige Kontrolleund durch die ausdrückliche Festlegung der völligen Unabhän-gigkeit der Aufsichtsbehörden und die Erweiterung ihrer Ein-griffsbefugnisse;

− Bestellung weisungsfreier Datenschutzbeauftragter auch bei

öffentlichen Stellen mit dem Recht, sich jederzeit an den Bundes-oder Landesbeauftragten für den Datenschutz zu wenden;

− Bürgerfreundlichkeit durch einfache und verständliche Formulie-

rung des BDSG, z. B. durch einen einheitlichen Begriff der Ver-arbeitung personenbezogener Daten entsprechend der Richtlinie;

− Gewährleistung eines einheitlichen, hohen Datenschutzniveaus

durch Beibehaltung der Funktion des BDSG und der Landesda-tenschutzgesetze als Querschnittsgesetze sowie durch Vermei-dung eines Gefälles zwischen den Bereichen, die der EG-Datenschutzrichtlinie unterfallen, und den übrigen Gebieten, de-ren Datenschutzregelungen nicht verschlechtert werden dürfen;

− Sonderregelungen für Presse und Rundfunk nur, soweit zur Si-

cherung der Meinungsfreiheit notwendig. Als ebenso vordringlich betrachten die Datenschutzbeauftragten eineAnpassung der noch von der Großrechnertechnologie der siebzigerJahre bestimmten gesetzlichen Regelungen an die heutige Informati-onstechnologie und an die Verhältnisse der modernen Informations-gesellschaft. Dazu gehören insbesondere folgende Punkte:


332

− Verbindliche Grundsätze für die datenschutzfreundliche Gestal-

tung von Informationssystemen und -techniken, so zur Daten-sparsamkeit, zur Anonymisierung und Pseudonymisierung, zurVerschlüsselung und zur Risikoanalyse;

− mehr Transparenz für die Verbraucher und mehr Eigenständig-

keit für die Anbieter durch Einführung eines Datenschutzaudits; − Erweiterung des Schutzbereichs bei Bild- und Tonaufzeichnun-

gen, Regelung der Video-Überwachung; − Sonderregelungen für besonders empfindliche Bereiche, wie den

Umgang mit Arbeitnehmerdaten, Gesundheitsdaten und Infor-mationen aus gerichtlichen Verfahren;

− Einführung einer Vorabkontrolle für besonders risikoreiche Da-

tenverarbeitung, namentlich bei Verarbeitung sensitiver Daten; − Regelungen für Chipkarten-Anwendungen; − Verstärkung des Schutzes gegenüber Adressenhandel und Di-

rektmarketing, unter anderem auch mindestens durch die Festle-gung von Hinweispflichten hinsichtlich der Möglichkeit des Wi-derspruchs; vorzuziehen ist in jedem Fall eine Einwilligungsre-gelung;

− Verstärkung des Schutzes gegenüber der Einholung von Selbst-

auskünften vor Abschluß vor Miet-, Arbeits- und ähnlich exis-tenzwichtigen Verträgen;

− Datenexport nach Inlandsgrundsätzen nur bei angemessenem

Schutzniveau im Empfängerstaat; Festlegung, unter welchenVoraussetzungen ein Mitgliedstaat Daten, die er im Anwen-dungsbereich der Richtlinie (also nach Inlandsgrundsätzen) er-halten hat, außerhalb ihres Anwendungsbereichs verwenden darf;


333

− möglichst weitgehende Ersetzung der Anmeldung von Dateienbei der Aufsichtsbehörde durch Bestellung weisungsfreier Da-tenschutzbeauftragter; Beibehaltung des internen Datenschutzbe-auftragten auch bei Sicherheitsbehörden;

− Stärkung der Kontrollrechte des Bundesbeauftragten und der

Landesbeauftragten für den Datenschutz durch uneingeschränkteKontrollbefugnis bei der Verarbeitung personenbezogener Datenin Akten einschließlich solcher über Sicherheitsüberprüfungen.

Die Konferenz weist ferner auf die Rechtspflicht der Länder hin, ihrDatenschutzrecht ebenfalls der EG-Richtlinie fristgerecht anzupas-sen.


334

Anlage 16



zu

Informationelle Selbstbestimmung und Bild-Ton-Aufzeichnungen

bei Vernehmungen im Strafverfahren

Überlegungen des Gesetzgebers und eine beginnende öffentlicheDiskussion, moderne Dokumentationstechnik der Wahrheitsfindungund dem Zeugenschutz in gerichtlichen Verfahren nutzbar zu ma-chen, liegen auch im Interesse des Datenschutzes. Dabei ist aller-dings zu beachten, daß Bild-Ton-Aufzeichnungen von Vernehmun-gen im Strafverfahren einen erheblichen Eingriff in das Persönlich-keitsrecht darstellen. Sie spiegeln die unmittelbare Betroffenheit derBeschuldigten oder Zeugen in Mimik und Gestik umfassend wider.Zweck und Erforderlichkeit dieses Eingriffs bedürfen einer sorgfäl-tigen Begründung durch den Gesetzgeber. Sie bildet den Maßstab,der über Möglichkeiten, Grenzen und Verfahren der Videotechnolo-gie im Strafprozeß entscheidet. Erkennbar und nachvollziehbar solltesein, daß der Gesetzgeber die Risiken des Einsatzes dieser Techno-logie, insbesondere die Verfügbarkeit der Aufzeichnungen nach denallgemeinen Vorschriften über die Beweisaufnahme bedacht undbewertet hat. Ferner sollte erkennbar und nachvollziehbar sein, daßAlternativen zur Videotechnologie, namentlich die Verwendung vonTonaufzeichnungen, in die Erwägungen des Gesetzgebers aufge-nommen wurden.

Nach Auffassung der Datenschutzbeauftragten des Bundes und derLänder sollten die vorliegenden Gesetzentwürfe des Bundesrates(BT-Drs. 13/4983 vom 19.06.1996) sowie der Fraktionen derCDU/CSU und F.D.P. (BT-Drs. 13/7165 vom 11.03.1997) in einemumfassenderen Bedeutungs- und Funktionszusammenhang diskutiert


335

werden. Zunehmend tritt das Anliegen der Praxis hervor, Bild-Ton-Aufzeichnungen auch mit anderer Zielsetzung zu verwerten:

Bild-Ton-Aufzeichnungen ermöglichen eine vollständige und au-thentische Dokumentation nicht nur des Inhalts, sondern auch derEntstehung und Begleitumstände einer Aussage. Die Beurteilungihres Beweiswerts wird dadurch deutlich verbessert. Zugleich dienteine nur einmalige Vernehmung, die möglichst zeitnah zum Tatge-schehen durchgeführt und aufgezeichnet wird, der Wahrheitsfindungund erhöht die Qualität der gerichtsverwertbaren Daten (“Vermei-dung kognitiver Dissonanzen”). Ausgehend von diesen Überlegun-gen, hat der Gesetzgeber unter Einbeziehung von Erkenntnissen derVernehmungspsychologie zu prüfen, ob und inwieweit eine wortge-treue Abfassung von Vernehmungsniederschriften ausreicht undeine Aufzeichnung der Aussage nur im Wort auf Tonband für dieZwecke des Strafverfahrens in ihrer Beweisqualität der Videotech-nologie sogar überlegen ist.

Für Videoaufzeichnungen des Betroffenen, die zu seinem Schutzgefertigt werden sollen, ist dessen Einwilligung unverzichtbare Vor-aussetzung für die Zulässigkeit einer Bild-Ton-Aufzeichnung imStrafverfahren. Sofern der Betroffene nicht in der Lage ist, die Be-deutung und Tragweite einer Bild-Ton-Aufzeichnung und ihrerVerwendungsmöglichkeiten hinreichend zu beurteilen, hat der Ge-setzgeber festzulegen, wer anstelle des Betroffenen die Einwilligungerteilen darf. Vor Abgabe der Einwilligungserklärung ist der Betrof-fene umfassend aufzuklären, insbesondere auch über alle zulässigenArten der weiteren Verwertung und über die Möglichkeit des Wider-rufs der Einwilligung für die Zukunft. Die Aufklärung ist zuverläs-sig zu dokumentieren. Entsprechendes gilt für die Herausgabe vonVideoaufzeichnungen.

Die Datenschutzbeauftragten des Bundes und der Länder fordernwirksame Vorkehrungen zum Schutz des Persönlichkeitsrechts beiVerwendung von Bild-Ton-Aufzeichnungen im Strafverfahren.Unabhängig von der Frage, welche Zielsetzung mit Bild-Ton-Aufzeichnungen im Strafverfahren verfolgt werden soll, sind hierbeiinsbesondere folgende Gesichtspunkte von Bedeutung:


336

1. Es ist sicherzustellen, daß der Eindruck des Aussagegeschehensz. B. durch Zeitlupe, Zeitraffer, Einzelbildabfolge, Standbild undZoom nicht gezielt verfremdet oder verzerrt wird.

2. Einsatz und Verwertung von Bild-Ton-Aufzeichnungen sind sozu regeln, daß gesetzliche Zeugnisverweigerungsrechte gewahrtbleiben. Insbesondere ist eine weitere Nutzung der Aufnahme,auch zum Zwecke des Vorhalts, ausgeschlossen, wenn sich einZeuge auf sein Zeugnisverweigerungsrecht beruft.

3. Vorbehaltlich des o. g. Einwilligungserfordernisses darf eineÜbermittlung von Videoaufzeichnungen an Stellen außerhalb derJustiz, wenn überhaupt, nur in Ausnahmefällen erlaubt sein, danur so ein wirksamer Schutz vor Mißbrauch, etwa durch kom-merzielle Verwertung, gewährleistet werden kann. Soweit derGesetzgeber aus Gründen eines fairen, rechtsstaatlichen Strafver-fahrens die Weitergabe von Videokopien an Verfahrensbeteiligtezuläßt, müssen jedenfalls wirksame Vorkehrungen gegen Miß-brauch gewährleistet sein, z. B. sichtbare Signierung und straf-bewehrte Regelungen über Zweckbindungen und Löschungsfri-sten.

4. Eine Verwertung der Aufzeichnungen im Rahmen eines anderenStrafverfahrens ist nur zulässig, soweit sie auch für die Zweckedieses anderen Verfahrens hätten angefertigt werden dürfen.

5. Soweit eine Verwertung in einem anderen gerichtlichen Verfah-ren - etwa zur Vermeidung erneuter Anhörung kindlicher Zeugenvor dem Familien- oder Vormundschaftsgericht - zugelassenwerden sollte, sind in entsprechenden Ausnahmeregelungen prä-zise Voraussetzungen hierfür abschließend zu bestimmen undenge Verwendungsregelungen zu treffen.

6. Spätestens mit dem rechtskräftigen Abschluß des Strafverfahrenssind grundsätzlich die Aufzeichnungen unter Aufsicht der Staats-anwaltschaft zu vernichten. Der Betroffene ist davon zu benach-richtigen. Soweit der Gesetzgeber ausnahmsweise zur Wahrungvorrangiger Rechtsgüter eine längere Aufbewahrung der Auf-zeichnungen zuläßt, müssen Voraussetzungen, Umfang und Fri-sten der weiteren Aufbewahrung klar und eng geregelt werden.


337

Anlage 17



zur

Erforderlichkeit datenschutzfreundlicher Technologien

Moderne Informations- und Telekommunikationstechnik (IuK-Technik) gewinnt in allen Lebensbereichen zunehmende Bedeutung.Die Nutzer wenden diese Technik z. B. in Computernetzen, Chip-kartensystemen oder elektronischen Medien in vielfältiger Weise anund hinterlassen dabei zumeist umfangreiche elektronische Spuren.Dabei fällt in der Regel eine Fülle von Einzeldaten an, die geeignetsind, persönliche Verhaltensprofile zu bilden.

Den Erfordernissen des Datenschutzes wird nicht in ausreichendemMaße Rechnung getragen, wenn sich der Schutz der Privatheit deseinzelnen lediglich auf eine Beschränkung des Zugangs zu bereitserhobenen, gespeicherten und verarbeiteten personenbezogenenDaten reduziert. Daher ist es erforderlich, bereits vor der Erhebungund Speicherung die zu speichernde Datenmenge wesentlich zureduzieren.

Datensparsamkeit bis hin zur Datenvermeidung, z. B. durch Nutzungvon Anonymisierung und Pseudonymisierung personenbezogenerDaten, spielen in den unterschiedlichen Anwendungsbereichen derIuK-Technik, wie elektronischen Zahlungsverfahren, Gesundheits-oder Verkehrswesen, bisher noch eine untergeordnete Rolle. Einedatenschutzfreundliche Technologie läßt sich aber nur dann wirksamrealisieren, wenn das Bemühen um Datensparsamkeit die Entwick-lung und den Betrieb von IuK-Systemen ebenso stark beeinflußt wiedie Forderung nach Datensicherheit.


338

Die Datenschutzbeauftragten des Bundes und der Länder wollen inZusammenarbeit mit Herstellern und Anbietern auf datenschutzge-rechte Lösungen hinarbeiten. Die dafür erforderlichen Technikenstehen weitgehend schon zur Verfügung. Moderne kryptographischeVerfahren zur Verschlüsselung und Signatur ermöglichen die An-onymisierung oder Pseudonymisierung in vielen Fällen, ohne daßdie Verbindlichkeit und Ordnungsmäßigkeit der Datenverarbeitungbeeinträchtigt werden. Diese Möglichkeiten der modernen Daten-schutztechnologie, die mit dem Begriff “Privacy enhancing techno-logy (PET)” eine Philosophie der Datensparsamkeit beschreibt undein ganzes System technischer Maßnahmen umfaßt, sollten genutztwerden.

Vom Gesetzgeber erwarten die Datenschutzbeauftragten des Bundesund der Länder, daß er die Verwendung datenschutzfreundlicherTechnologien durch Schaffung rechtlicher Rahmenbedingungenforciert. Sie begrüßen, daß sowohl der Mediendienste-Staatsvertragder Länder als auch das Teledienstedatenschutzgesetz des Bundesbereits den Grundsatz der Datenvermeidung normieren. Der in denDatenschutzgesetzen des Bundes und der Länder festgeschriebeneGrundsatz der Erforderlichkeit läßt sich in Zukunft insbesonderedurch Berücksichtigung des Prinzips der Datensparsamkeit und derVerpflichtung zur Bereitstellung anonymer Nutzungsformen ver-wirklichen. Die Datenschutzbeauftragten des Bundes und der Länderbitten darüber hinaus die Bundesregierung, sich im europäischenBereich dafür einzusetzen, daß die Förderung datenschutzfreundli-cher Technologien entsprechend dem Vorschlag der Kommission indas 5. Rahmenprogramm “Forschung und Entwicklung” aufgenom-men wird.

Neben Anbietern von Tele- und Mediendiensten sollten auch dieHersteller und Anbieter von IuK-Technik bei der Ausgestaltung undAuswahl technischer Einrichtungen dafür gewonnen werden, sicham Grundsatz der Datenvermeidung zu orientieren und auf einekonsequente Minimierung gespeicherter personenbezogener Datenachten.


339

Anlage 18

Datenschutzrechtliche Forderungen zum Einsatz vonautomatisierten staatsanwaltschaftlichen Informationssystemen

(Vorschlag des AK Justiz, zustimmende Kenntnisnahmeder 53. Konferenz der Datenschutzbeauftragten des Bundes und der

Länderam 17./18. April 1997 in München)

In strafrechtlichen Ermittlungsverfahren werden eine Vielzahlhöchst sensibler personenbezogener Daten nicht nur von Beschul-digten, sondern auch von Zeugen, Opfern, Hinweisgebern, Anzeige-erstattern und Dritten verarbeitet. Diese Daten bedürfen eines be-sonderen Schutzes. Sie wurden früher nur in Akten und Karteien beider jeweils zuständigen Staatsanwaltschaft gespeichert. Ende dersiebziger Jahre wurde damit begonnen, Grunddaten aus den Straf-verfahren (z.°B.: Name des Täters, Aktenzeichen, Straftat und Aus-gang des Verfahrens) bei den einzelnen Staatsanwaltschaften inautomatisierten Systemen zentral zu speichern.

Heute gestaltet sich die Anwendung von Informationstechnik bei derStaatsanwaltschaft anders. Durch den Einsatz von Netzwerken undleistungsfähigen Computern ist bereits jetzt bei vielen Staatsanwalt-schaften die Menge der jeweils zu einem Strafverfahren automati-siert gespeicherten Daten um ein Vielfaches gestiegen. Zudem sindauch die technischen Zugriffsmöglichkeiten der bei den Staatsan-waltschaften Beschäftigten vermehrt worden. Für die Zukunft istauch nicht auszuschließen, daß darüber hinaus in staatsanwaltschaft-lichen Informationssystemen gespeicherte Daten nicht nur verschie-denen Staatsanwaltschaften, Polizei und Gerichten, sondern bei-spielsweise auch Bewährungshelfern und der Gerichtshilfe onlineabrufbar zur Verfügung gestellt werden. Durch die Speicherung vonErmittlungsdaten in modernen automatisierten staatsanwaltschaftli-chen Informationssystemen für die Bearbeitung von Strafverfahrenund für die Vorgangsverwaltung sind somit die Zweckbindung unddie Wahrung der Vertraulichkeit der Daten durch eine Vielzahl vonZugriffs- und Nutzungsmöglichkeiten in besonderem Maße gefähr-det.


340

Der Einsatz staatsanwaltschaftlicher automatisierter Informationssy-steme begegnet zwar keinen grundsätzlichen datenschutzrechtlichenBedenken, es sind aber neben den in den meisten Ländern immernoch fehlenden bereichsspezifischen gesetzlichen Grundlagen ge-eignete und angemessene Maßnahmen und Beschränkungen derDatenverarbeitung erforderlich, die sicherstellen, daß das Grund-recht auf informationelle Selbstbestimmung in erforderlichem Maßegeschützt wird.

Im Hinblick auf die Sensibilität der verarbeiteten Daten sind bereitszum Zeitpunkt der Planung aber auch während des Betriebes geeig-nete Schutzmaßnahmen zu treffen. Diese beinhalten die Erstellungund Fortschreibung eines auf das jeweilige Verfahren und dessenUmfeld ausgerichtetes Datenschutz- und IT-Sicherheitskonzeptes.Nur auf der Basis solcher Konzepte kann beurteilt werden, ob dieausgewählten Maßnahmen geeignet und angemessen sind. Hierbeiist auch eine funktionsfähige interne Kontrolle mit entsprechendemBerichtswesen vorzusehen.

Die Konferenz der Datenschutzbeauftragten sieht es daher - jeden-falls unter der gegenwärtig geltenden Rechtslage - für notwendig an,daß beim Betrieb staatsanwaltschaftlicher Informationssysteme ins-besondere die im folgenden aufgezählten Datenschutzvorkehrungengetroffen werden. Sie stellen gleichzeitig eine geeignete Beratungs-und Beurteilungsgrundlage der gegenwärtig in den Ländern einge-setzten Informationssysteme der Staatsanwaltschaften dar.

1. Speicherungsumfang: In staatsanwaltschaftlichen Informationssystemen dürfen nur

Daten gespeichert werden, die für die jeweilige Aufgabenerfül-lung der Staatsanwaltschaft erforderlich sind. Die Datenfeldersind festzulegen. Darüber hinaus sollte der jeweils gespeicherteDatenbestand stets entsprechend dem Verfahrensstand aktuali-siert bzw. reduziert werden. Soweit Freitextfelder überhaupt er-forderlich sind, sind die darin zulässigen Einträge abschließendfestzulegen. Soweit Freitextfelder der Aufnahme von Bemerkun-


341

gen, Notizen und ähnlichem dienen, sind diese nicht recherchier-bar auszugestalten.

2. Löschungsfristen: Konkrete Löschungsfristen müssen vorgesehen werden. Diese

haben sich am jeweiligen Zweck der Speicherung zu orientieren(laufende Strafverfahren, Strafvollstreckung, künftige Strafver-fahren, Vorgangsverwaltung). Für Zwecke der Vorgangsver-waltung dürfen die Löschungsfristen keinesfalls länger sein, alsdie entsprechenden Aufbewahrungsfristen für die zugehörigenAkten bzw. Aktenteile.

Die Daten von Nebenbeteiligten (z. B. Zeugen, Geschädigten

und Anzeigeerstattern) in Js-Verfahren sind spätestens bei Weg-legung der Akte zu löschen. Sobald die Daten von Hauptbetei-ligten (z. B. Mitbeschuldigten) für das Strafverfahren nicht mehrbenötigt werden, ist eine Teillöschung der Daten vorzunehmen.Dabei ist der Zeitpunkt der Teillöschung für jeden Hauptbetei-ligten individuell zu bestimmen.

Die automatisierten staatsanwaltschaftlichen Informationssyste-

me sind zur Kontrolle der Löschfristen und Aktenvernichtungeinzusetzen.

3. Zugriffsbeschränkungen und Datensperren:

Werden Daten eines Ermittlungsverfahrens in automatisiertenstaatsanwaltschaftlichen Informationssystemen für andere Stellenabrufbar bei der bearbeitenden Staatsanwaltschaft gespeichert, istder Zugriff auf diese Daten auf das für die jeweilige Aufgabener-füllung der abrufenden Stelle erforderliche Maß zu beschränken.

Eine geeignete Maßnahme zur Beschränkung des Zugriffs ist dieVergabe differenzierter Zugriffsrechte. Sie muß systemseitig er-möglicht werden. Zur besseren Handhabbarkeit können, soweitdie jeweiligen Arbeitsabläufe dies zulassen, verschiedene Benut-zergruppen mit jeweils gleichen Rechten eingerichtet werden.


342

Über die genaue Vergabe von Zugriffsrechten kann keine allge-meingültige Aussage getroffen werden, da die jeweiligen Orga-nisationsformen der Staatsanwaltschaften berücksichtigt werdenmüssen. Zugriffsbeschränkungen können z. B. einsetzen beimdatenverändernden Zugriff, beim lesenden Zugriff sowie beimKreis der Zugriffsberechtigten in Abhängigkeit vom Verfahrens-stand und von der Art der Daten. Vor allem der Zugriff auf dieDaten der Nebenbeteiligten (wie Zeugen und Opfer) ist eng zubegrenzen. Der Kreis der zugriffsberechtigten Personen solltedarüber hinaus entsprechend dem Zweck der Speicherung (z. B.Sachberarbeitung, Vorgangsverwaltung) eingeschränkt werden.

Eine weitere Möglichkeit der Zugriffsbeschränkung liegt in derSperrung von Daten. Eine Sperrung von Daten kommt aus daten-schutzrechtlicher Sicht, insbesondere in folgenden Fällen in Be-tracht:

− bei Eintragungen von Vorgängen gegen Strafunmündige, − bei Verfahrenseinstellungen, bei denen der Betroffene eine

Mitteilung gemäß Nr. 88 Satz 2 RiStBV erhalten hat, − wenn der Angeklagte rechtskräftig freigesprochen oder die

Eröffnung des Hauptverfahrens unanfechtbar abgelehnt wur-de oder der Tatverdacht entfallen ist,

− bei Opferdaten von Sexualstraftaten, − bei gefährdeten Personen gemäß § 68 StPO, − bei Suizid oder Suizidversuch.

4. Vergabe und Dokumentation von Zugriffsrechten: Die Vergabe von Zugriffs- und Bearbeitungsrechten sowie deren

Änderung, Sperrung oder Löschung ist revisionsfähig zu doku-mentieren. Im Datenschutzkonzept der Anwender ist festzulegen,auf welche Art und Weise und durch wen die Vergabe und die


343

Dokumentation dieser Rechte erfolgt. Als softwaretechnischeHilfsmittel haben sich Rechteverwaltungstabellen oder Verfahrender objektorientierten Rechtevergabe bewährt.

5. Protokollierung: Das Ändern, Sperren und Löschen der Daten ist in jedem Fall zu

protokollieren. Auch der lesende Zugriff sollte regelmäßig pro-tokolliert werden. Dies um so wichtiger, je weniger detailliertund eng Zugriffsbeschränkungen innerhalb der datenverarbeiten-den Stelle (Staatsanwaltschaften) realisiert worden sind. EineProtokollierung der Abfrage muß im Interesse einer effektivenDatenschutzkontrolle den Abfragegrund wie z. B. die Eingabedes Aktenzeichens des staatsanwaltschaftlichen Vorgangs, fürdessen Bearbeitung die Abfrage erfolgt, umfassen.

Die Aufbewahrung der Protokolldaten sollte über einen ange-

messenen Zeitraum hinweg erfolgen. Nicht ausreichend ist dieProtokollierung lediglich des jeweils letzten Zugriffs auf einenDatensatz. Die Nutzung der Protokolldaten z. B. für Zwecke derDatenschutzkontrolle oder zur Sicherung eines ordnungsgemä-ßen Betriebes der DV-Anlage ist vorher festzulegen. Dabei isteine enge Zweckbindung sicherzustellen. Um eine verbotswidri-ge Auswertung der Protokolldaten zu vermeiden, ist das “Vier-Augen-Prinzip“ zu gewährleisten.

Alle Aktivitäten, die der Systemverwaltung dienen, müssen revi-

sionssicher aufgezeichnet werden. 6. Datenaustausch mit anderen Stellen: Bei der Einführung landesweiter staatsanwaltschaftlicher Infor-

mationssysteme ist zu prüfen, ob überhaupt, ggf. welche zusätz-lichen Daten, die nicht im ZStV abgerufen werden können, zurAufgabenerfüllung bei den einzelnen Staatsanwaltschaften benö-tigt werden. Der Datenaustausch (Übermittlung und Abruf) mitZStV, BZR und anderen speichernden Stellen wie z. B. Gerich-ten, Strafvollzug und Polizei sollte grundsätzlich nur im Rahmen


344

von Verfahren eingesetzt und abgewickelt werden, die durchEinsatz geeigneter kryptographischer Verfahren (z. B. Ver-schlüsselung, digitale Signatur) die Vertraulichkeit, Integrität undZurechenbarkeit der Daten sicherstellen. Kommen Abrufverfah-ren zum Einsatz, so sind sowohl auf den Übertragungswegen alsauch bei den abrufenden Stellen Vorkehrungen zu treffen, diedas interne Sicherheitsniveau der staatsanwaltschaftlichen Sy-steme nicht senken.

Die staatsanwaltschaftlichen Informationssysteme sollten darüber

hinaus gewährleisten, daß die Polizei sowohl über die Berichti-gung des Tatvorwurfs wie auch über den Ausgang des Verfah-rens möglichst umgehend informiert wird, soweit sie mit der An-gelegenheit befaßt waren.

7. Weitere technische Datenschutzvorkehrungen:

Der Zugang zu den staatsanwaltschaftlichen Informationssyste-men ist durch geeignete technische und organisatorische Maß-nahmen wie beispielsweise Zugangskontrolle mittels Chipkarten-system oder Sicherheitssoftware mit Paßwort zu schützen. Dar-über hinaus kann nach mehrmaligen fehlerhaften Anmeldeversu-chen in ununterbrochener Reihenfolge eine Sperrung des Endge-rätes oder der Benutzerkennung (oder Setzen eines Timeout-Parameters) erfolgen. Die Entsperrung darf nur durch die Sy-stemverwaltung bzw. durch eine dazu bestimmte Person vorge-nommen werden.

Ein ausreichender Schutz vor dem unbefugten Einsatz fremderProgramme sowie von Manipulationen der eingesetzten Softwareoder vor Eigenprogrammierungen ist vorzusehen. Die Betriebs-systemebene (Shell-Ebene) sollte für den Anwender gesperrtsein. Die Datenbankabfragesprache (SQL) sollte nicht nutzbarsein.

Der Einsatz von PC stellt eine besondere Gefährdung in staats-anwaltschaftlichen Informationssystemen dar. Es sind daherMaßnahmen zu treffen, die einen Im- und Export von Daten über


345

ungesicherte Schnittstellen und Laufwerke, eine unerlaubteWeiterverarbeitung mittels Standardsoftware, z. B. Office-Produkte und einen wirkungsvollen Schutz vor dem Zugriff aufdie Systemebene beinhalten. Soweit bei den PC die Disketten-laufwerke nicht gesperrt werden können, sind besondere Sicher-heitsmaßnahmen wie z. B. die verschlüsselte Speicherung vorzu-sehen. Sonstige nicht benötigte Schnittstellen sind zu sperren.

Die Konferenz der Datenschutzbeauftragten macht im übrigendarauf aufmerksam, daß sie sich bereits mehrfach in Entschlie-ßungen zu den Bedingungen geäußert hat, unter denen ein daten-schutzgerechter Einsatz staatsanwaltschaftlicher Informationssy-steme erfolgen kann. In diesem Zusammenhang ist auf die fol-genden Entschließungen der Konferenz hinzuweisen:

− “Überlegungen zu Regelungen der Informationsverarbeitungim Strafverfahren” vom 24./25. 11.1986,

− Stellungnahme zum StVÄG 88 vom 05./06.04.1989, − Rückmeldung über den Ausgang des Verfahrens an die Poli-

zei vom 04./05.05.1987, − Zur Informationsverarbeitung im Strafverfahren vom

09./10.03.1994, − Aufbewahrungsbestimmungen und Dateiregelungen im Ju-

stizbereich vom 09./10.03.1995, − Datenschutz bei elektronischen Mitteilungssystemen vom

09./10.03.1995 und − Forderungen zur sicheren Übertragung elektronisch gespei-

cherter personenbezogener Daten vom 09.05.1996. Die Konferenz der Datenschutzbeauftragten nimmt die Vorlage desAK Justiz grundsätzlich zustimmend zur Kenntnis.


346

Anlage 19

Datensparsamkeit durch moderne Informationstechnik - Datenvermeidung, Anonymisierung und Pseudonymisierung -

(Kurzbericht der AK Technik, zustimmende Kenntnisnahme der 52. Konferenz der Datenschutzbeauftragten des Bundes und der

Länder am 22./23. Oktober 1996 in Hamburg) Die zunehmende Verbreitung, Nutzung und Verknüpfbarkeit vonInformations- und Kommunikationstechnik bringt mit sich, daß jederBenutzer immer mehr elektronische Spuren hinterläßt. Das wirddazu führen, daß er über Art, Umfang, Speicherort, Speicherdauerund Verwendungszweck der vielen über ihn gespeicherten Datenkeine Kontrolle mehr hat, so daß die Gefahr des Mißbrauchs und derZusammenführung zu komplexen Persönlichkeitsprofilen ständigzunimmt. Dieser Gefahr kann dann begegnet werden, wenn in Zukunft dieFrage nach der Erforderlichkeit personenbezogener Daten im Vor-dergrund steht, wobei Datensparsamkeit bis hin zur Datenvermei-dung angestrebt werden muß. Durch die Nutzung neuer Möglich-keiten der modernen Informations- und Kommunikationstechnik(IuK-Technik) ist es in vielen Anwendungsfällen möglich, den Um-gang mit personenbezogenen Daten zu reduzieren bis hin zur voll-ständigen Vermeidung. Auf diese Weise kann das Prinzip “Daten-schutz durch Technik” umgesetzt werden. Datensparsamkeit undDatenvermeidung werden sich dabei auch zunehmend als Wettbe-werbsvorteil erweisen. Ausgehend von einer Untersuchung des niederländischen Daten-schutzbeauftragten und des Datenschutzbeauftragten von Onta-rio/Kanada zum sogenannten Identity Protector beschäftigen sichderzeit die Datenschutzbeauftragten des Bundes und der Länderintensiv mit der Formulierung von Anforderungen zur datenschutz-freundlichen Ausgestaltung von IuK-Technik. Schon die Sommera-kademie in Kiel zeigte unter dem Motto “Datenschutz durch Technik- Technik im Dienste der Grundrechte” Wege zur Wahrung derPersönlichkeitsrechte der Bürger auf. Einige datenvermeidende


347

Technologien wie die anonyme, vorausbezahlte Telefonkarte, sindbereits seit längerer Zeit allgemein akzeptiert. Erste Ansätze derDatenvermeidung auf gesetzgeberischer Ebene sind im Entwurf zumTeledienstegesetz und zum Mediendienstestaatsvertrag enthalten. Der Arbeitskreis “Technische und organisatorische Datenschutzfra-gen” erarbeitet im Auftrag der Konferenz der Datenschutzbeauf-tragten des Bundes und der Länder einen Bericht mit Vorschlägenund Empfehlungen, wie unter Nutzung der modernen Datenschutz-technik das Prinzip der Datenvermeidung umgesetzt werden kann.Neben der Entwicklung entsprechender Hard- und Software werdenAnonymisierung und Pseudonymisierung eine zentrale Rolle spie-len. Bei der Erarbeitung des Berichtes werden Experten aus Wissen-schaft und Forschung hinzugezogen, um die technische Entwicklungberücksichtigen zu können. Auch Vertreter der Wirtschaft als Ent-wickler und Anwender werden einbezogen, damit die Umsetzungder Vorschläge der Datenschutzbeauftragten als zukünftiger Wett-bewerbsvorteil erkannt wird.


348

Anlage 20

Datenschutz und Telefax (Empfehlungen des AK Technik, zustimmende Kenntnisnahme

durch die Datenschutzbeauftragten des Bundes und der Länder

im Dezember 1996)

I. Konventionelle Telefaxgeräte Telefaxgeräte sind datenverarbeitende Geräte, mit denen auch per-sonenbezogene Daten automatisiert übertragen werden können. Siewerden eingesetzt, um bei einfacher Handhabung schnell Informa-tionen zu übermitteln. Das Telefax ist nach dem Telefon inzwischenzum wichtigsten Kommunikationsverfahren geworden. Nicht alleNutzer von Telefaxgeräten sind sich darüber im klaren, welche Risi-ken für die Vertraulichkeit der per Telefax übermittelten Informatio-nen bestehen. Die besonderen Gefahren sind:

− Die Informationen werden grundsätzlich “offen” (unver-schlüsselt) übertragen, und der Empfänger erhält sie - ver-gleichbar mit einer Postkarte - in unverschlossener Form.

− Der Telefaxverkehr ist wie ein Telefongespräch abhörbar. − Die Adressierung erfolgt durch eine Zahlenfolge (Telefax-

nummer) und nicht durch eine mehrgliedrige Anschrift. Da-durch sind Adressierungsfehler wahrscheinlicher, und Über-tragungen an den falschen Adressaten werden nicht oder erstnachträglich bemerkt.

− Bei Telefaxgeräten neueren Typs kann der Hersteller Fern-wartungen durchführen, ohne daß der Besitzer diesen Zugriffwahrnimmt. Unter bestimmten Umständen kann er dabei aufdie im Telefaxgerät gespeicherten Daten zugreifen (z. B. Le-


349

sen der Seitenspeicher sowie Lesen und Beschreiben derRufnummern- und Parameterspeicher).

Diese Gefahren werden von Anbietern der Telekommunikationsnet-ze und -dienste nicht abgefangen. Deshalb ist insbesondere die ab-sendende Stelle für die ordnungsgemäße Übertragung und die richti-ge Einstellung der technischen Parameter am Telefaxgerät verant-wortlich.

Die Datenschutzbeauftragten des Bundes und der Länder habe sichmit den Risiken vertraulicher Kommunikation beim Einsatz vonTelefaxgeräten befaßt. Sie geben die folgenden Empfehlungen, umden datenschutzgerechten Umgang mit Telefaxgeräten weitgehendzu gewährleisten:

1. Aufgrund der gegebenen Gefährdungen darf die Übertragungsensibler personenbezogener Daten per Telefax nicht zum Regel-fall werden, sondern darf nur im Ausnahmefall unter Einhaltungzusätzlicher Sicherheitsvorkehrungen erfolgen.

2. Was am Telefon aus Gründen der Geheimhaltung nicht gesagtwird, darf auch nicht ohne besondere Sicherheitsvorkehrungen(z. B. Verschlüsselungsgeräte) gefaxt werden. Das gilt insbeson-dere für sensible personenbezogene Daten, beispielsweise solche,die einem besonderen Berufs- oder Amtsgeheimnis unterliegen(Sozial-, Steuer-, Personal- und medizinische Daten).

3. Bei der Übertragung sensibler personenbezogener Daten ist zu-sätzlich zu hier genannten Maßnahmen mit dem Empfänger einSendezeitpunkt abzustimmen, damit Unbefugte keinen Einblicknehmen können. So kann auch eine Fehlleitung durch z. B. ver-altete Anschlußnummern oder beim Empfänger aktivierte Anru-fumleitungen bzw. -weiterleitungen vermieden werden.

4. Telefaxgeräte sollten nur auf der Grundlage schriftlicherDienstanweisungen eingesetzt werden. Die Bedienung darf nurdurch eingewiesenes Personal erfolgen.


350

5. Das Telefaxgerät ist so aufzustellen, daß Unbefugte keineKenntnis vom Inhalt eingehender oder übertragener Schreibenerhalten können.

6. Alle vom Gerät angebotenen Sicherheitsmaßnahmen (z. B. An-zeige der störungsfreien Übertragung, gesicherte Zwischenspei-cherung, Abruf nach Paßwort, Fernwartungsmöglichkeit sperren)sollten genutzt werden.

7. Die vom Gerät auf Gegenseite vor dem eigentlichen Sendevor-gang abgegebene Kennung ist sofort zu überprüfen, damit beieventuellen Wählfehlern die Übertragung unverzüglich abgebro-chen werden kann.

8. Bei Telefaxgeräten, die an Nebenstellenanlagen angeschlossensind, ist das Risiko einer Fehladressierung besonders groß, da vorder Nummer des Teilnehmers zusätzlich Zeichen zur Steuerungder Anlage eingegeben werden müssen. Beim Umgang mit der-artigen Geräten ist deshalb besondere Sorgfalt geboten.

9. Die Dokumentationspflichten müssen eingehalten werden (z. B.Vorblatt oder entsprechend aussagekräftige Aufkleber verwen-den, Zahl der Seiten angeben, Protokolle aufbewahren). Sende-und Empfangsprotokolle sind vertraulich abzulegen, da sie demFernmeldegeheimnis unterliegen.

10. Vor Verkauf, Weitergabe oder Aussortieren von Telefaxgeräten

ist zu beachten, daß alle im Gerät gespeicherten Daten (Textin-halte, Verbindungsdaten, Kurzwahlziele usw.) gelöscht werden.

11. Die am Telefaxgerät eingestellten technischen Parameter undSpeicherinhalte sind regelmäßig zu überprüfen, damit beispiels-weise Manipulationsversuche frühzeitig erkannt und verhindertwerden können.


351

12. Verfügt das Telefaxgerät über eine Fernwartungsfunktion, solltesie grundsätzlich durch den Nutzer aktiviert werden. Nur fürnotwendige Wartungsarbeiten ist diese Funktionen freizugeben.Nach Abschluß der Wartungsarbeiten sollten die eingestelltenParameter und Speicherinhalte kontrolliert werden.

II. Telefax in Bürokommunikationslösungen

Rechner mit Standard- oder Bürokommunikationssoftware könnenum Hard- und Softwarekomponenten erweitert werden, mit derenHilfe Telefaxe gesendet und empfangen werden können (integrierteTelefaxlösungen). Lösungen für den Faxbetrieb werden sowohl fürEinplatzrechner als auch für Rechnernetze angeboten.

Der Betrieb (Installation, Konfiguration, Bedienung und Wartung)integrierter Telefaxlösungen birgt gegenüber dem konventionellenTelefaxgerät zusätzliche Gefahren, da beispielsweise die verwende-ten Faxmodems bzw. - karten oft nicht nur für Telefaxsendung und -empfang geeignet sind, sondern auch andere Formen der Daten-übertragung und des Zugriffes ermöglichen.

Daher sollten die folgenden Empfehlungen beim Umgang mit inte-grierten Telefaxlösungen zusätzlich zu den bereits genannten be-achtet werden.

1. Das verwendete Rechnersystem muß sorgfältig konfiguriert undgesichert sein. Die IT-Sicherheit des verwendeten Rechners bzw.Netzes ist Voraussetzung für einen datenschutzgerechten Betriebder Faxlösung. Dazu gehört unter anderem, daß kein UnbefugterZugang oder Zugriff zu den benutzten Rechnern und Netzwerkenhat.

2. Beim Absenden ist auf die korrekte Angabe der Empfänger zuachten. Dazu sind die durch die Faxsoftware bereitgestelltenHilfsmittel wie Faxanschlußlisten, in denen Empfänger undVerteiler mit aussagekräftigen Bezeichnungen versehen werdenkönnen, zu benutzen.


352

3. Die vielfältigen Nutzungsmöglichkeiten integrierter Faxlösungenerfordern die regelmäßige und besonders sorgfältige Überprü-fung der in der Faxsoftware gespeicherten technischen Parame-ter, Anschlußlisten und Protokolle.

4. Der Einsatz kryptographischer Verfahren ist bei integriertenFaxlösungen unkompliziert und kostengünstig möglich, sofernbeide Seiten kompatible Produkte einsetzen. Deshalb sollten per-sonenbezogene Daten immer verschlüsselt und digital signiertübertragen werden, um das Abhören zu verhindern und um denAbsender sicher ermitteln und Manipulationen erkennen zu kön-nen.

5. Schon bei der Beschaffung integrierter Telefaxlösungen solltedarauf geachtet werden, daß ausreichende Konfigurationsmög-lichkeiten vorhanden sind, um die dringend notwendige Anpas-sung an die datenschutzrechtlichen Erfordernisse des Nutzers zugewährleisten.


353

Anlage 21

Anforderungen zur informationstechnischen Sicherheit beiChipkarten1

(Arbeitspapier des AK Technik, Stand: 02.12.1996)

I. Einleitung

Chipkarten sind miniaturisierte IT-Komponenten, meist in der ge-normten Größe einer Kreditkarte. Sie haben Eingang ins täglicheLeben gefunden, gewinnen zunehmend an gesellschaftlicher Be-deutung und bedürfen aus der Sicht des Datenschutzes zur Wahrungder informationellen Selbstbestimmung und der informationstechni-schen Sicherheit größter Aufmerksamkeit.

Die derzeit bekannteste Chipkarten-Anwendung ist die Telefonkarte,die ein Guthaben enthält, das beim Gebrauch der Chipkarte in einemKartentelefon reduziert wird, bis das Konto erschöpft ist und dieChipkarte unbrauchbar wird. Ebenfalls allgemein bekannt ist dieKrankenversicherungskarte (KVK), die lediglich einen gesetzlichvorgegebenen Inhalt hat und zur Identifizierung des Patienten sowiezur Abrechnung ärztlicher Leistungen verwendet wird. Sie ist einBeispiel für eine Chipkarte, die lediglich die dem Versicherten er-kennbare Oberfläche einer umfassenden IT-Infrastruktur ist. Wasunterhalb dieser Oberfläche geschieht, ist für die Betroffenen nichttransparent.

1 Die hiermit vorgelegte Ausarbeitung ist in der Version vom 02. Dezember 1996. Derschnelle Fortschritt bei der Entwicklung der Chipkartentechnologien macht im Prinzipeine ständige Anpassung oder Fortschreibung erforderlich. Die Arbeitskreisgruppe hatjedoch beschlossen, zunächst ein fertiges Papier mit festgelegtem Aktualitätsstandvorzulegen, da sonst die Gefahr besteht, nie zu einem Abschluß zu kommen. Jedoch istes geeignet, in weiteren Arbeitsschritten fortgeschrieben zu werden.


354

Weitere neue Anwendungsbereiche von Chipkarten sind derzeit inder Diskussion bzw. in der Erprobung, z. B.:

− die Chipkarte im bargeldlosen Zahlungsverkehr− Gesundheits- oder Patientenchipkarten zur Speicherung und

Übermittlung medizinischer Daten. Von der Technik her sind reine Speicherchipkarten zur Aufnahmevon Daten (meist in Halbleiter-Technologie oder optischer Spei-chertechnik) von solchen Karten zu unterscheiden, in die Mikropro-zessoren und speichernde Bauteile integriert sind. Solche Prozessor-chipkarten sind als Kleinstcomputer ohne Mensch-Maschine-Schnittstelle anzusehen. Ihre Verwendung bedarf also zusätzlichertechnischer Systeme zum Lesen der gespeicherten Daten, zum Akti-vieren der Funktionen der Mikroprozessoren und zum Beschreibender Speicher. Systeme zur Erschließung der Funktionen von Chipkarten werdenim folgenden Chipkartenbasierte Dienstleistungssysteme (CDLS)genannt. Beispiele für solche Systeme sind: − Öffentliches Telefon-Kartenterminal− Funktelefon (Handy)− PC mit externem Kartenterminal oder integriertem Kartenleser− Laptop mit PCMCIA-Kartenleser− Geldausgabeautomat− Point-of-Sale-Kartenterminal (POS-Kartenterminal)− Versicherten-Kartenterminal in seiner Stand-alone-Ausführung

(ohne PC-Anschluß)− Kontoauszugsdrucker− Airline-Checkin-Terminal− Customer-Service-Terminal− Fahrschein-/Parkticket-Terminal Sicherheitsbetrachtungen zum Einsatz von Chipkarten müssen des-halb auch die Sicherheit dieser Infrastrukturen einbeziehen.


355

Wichtige Funktionalitäten der Chipkarten sind: − Chipkarten als Speicher von Daten, die hinsichtlich ihrer Ver-

traulichkeit und/oder Integrität hohen Schutzbedarf aufweisen(z. B. Kontodaten, medizinische lndividualdaten, Personalaus-weisdaten, Führerscheindaten);

− Chipkarten als Mittel zur Authentisierung ihres Trägers für dieGewährung des Zugriffs auf sicherheitsrelevante Daten undFunktionen (Kontoverfügungen, Änderung medizinischer lndivi-dualdaten);

− Chipkarten als Mittel zur Signatur von Dokumenten (Verträge,Willenserklärungen, Befunde etc.);

− Chipkarten als Träger elektronischer Geldbörsen. Die weiteren Ausführungen dieses Papiers beschränken sich auf diefür die Sicherheit der Informationstechnik relevanten Merkmale undAnforderungen an Chipkarten, sowohl in ihrer Funktion als Instru-mente zur Herstellung von Sicherheit als auch als sicherheitsbedürf-tige IT-Komponenten. Obwohl - wie die Krankenversicherungskarte zeigt - auch Speicher-chipkarten datenschutzrechtlich relevant sind, beschränken sich dieweiteren Ausführungen auf Prozessorchipkarten. Diese haben inZukunft sowohl hinsichtlich ihrer Verbreitung und Anwendungenals auch in Hinblick auf datenschutzrechtliche Chancen und Risikeneine größere datenschutzrechtliche Bedeutung. II. Empfehlungen zum Einsatz von Chipkarten Für den datenschutzgerechten Einsatz von Chipkarten ist eine kon-sequente und überzeugende Sicherungstechnologie erforderlich.Datensicherungsmaßnahmen müssen in ihrer Gesamtheit einen hin-reichenden Schutz der Daten vor Mißbrauch gewährleisten. Dabei istvon folgenden Gefahren auszugehen: − unbefugte Preisgabe von Informationen (Verlust der Vertrau-

lichkeit);


356

− unbefugte Veränderung von Informationen (Verlust der Integri-tät);

− unbefugte Vorenthaltung von Informationen oder Betriebsmittel(Verlust der Verfügbarkeit);

− unbefugte Änderung identifizierender Angaben (Verlust derAuthentität).

Diese Gefahren sind sowohl dann zu betrachten, wenn die Daten aufder Chipkarte gespeichert werden, als auch dann, wenn sie in einerexternen Datenbank gespeichert werden, die durch Chipkarten er-schlossen wird. Vor der Entscheidung über den sicherheitsrelevanten Einsatz vonChipkarten-Anwendungen sollte eine projektbezogene Technikfol-genabschätzung durchgeführt werden, so wie dies Art. 20 der EU-Datenschutzrichtlinie als Vorabkontrolle fordert. Zur Auswahl ge-eigneter und angemessener Sicherungsmaßnahmen ist eine systema-tische Einschätzung der Gefahren für das informationelle Selbstbe-stimmungsrecht und das Recht auf kommunikative Selbstbestim-mung vorzunehmen und sind Lösungsvorschläge für eine Siche-rungstechnologie zu erarbeiten. Die Auseinandersetzung mit dem Phänomen “Chipkarte” zwingt zurDifferenzierung zwischen den technischen Systemen und den Appli-kationen, die sich dieser Systeme bedienen, und der Chipkarte selbst.Genausowenig wie es “die” Chipkarte gibt, genausowenig kann manvon “der” Chipkartenanwendung sprechen. Würde man datenschutz-rechtliche und sicherheitstechnische Schlußfolgerungen ausschließ-lich aus einer der vielen Kombinationsmöglichkeiten ziehen, wäreeine Allgemeinverbindlichkeit der Aussagen bzw. Anforderungennicht zu erreichen. Konkrete Rechtsprobleme und Risiken lassensich nur mit einem Bezug zu bestimmten inhaltlichen und techni-schen Rahmenbedingungen aufzeigen. Die geplanten Gesundheits-und Patientenchipkartensysteme sind insoweit geeignete Beispiele. Notwendig erscheint auch eine dauernde Bereitschaft, die schnellfortschreitende technologische Weiterentwicklung aufmerksam zubegleiten und bei Bedarf steuernd einzugreifen, denn die daten-


357

schutztechnischen Fragestellungen werden umso komplexer, jeweiter sich die Chipkartentechnologie entwickelt. Künftige neue Anwendungen werden sich tendenziell der Prozessor-chipkartentechnologie bedienen. Prozessorchipkarten sind miniaturi-sierte Computer, die allerdings nicht über eigene Mensch-Maschine-Schnittstellen verfügen. Diese werden über CDLS realisiert. Daten-schutzrechtliche Anforderungen erstrecken sich hier neben denCDLS auch auf die Rahmenbedingungen bei der Herstellung, bei derInitialisierung, beim Versand und bei der Ersatzbeschaffung vonChipkarten in Fällen des Verlustes oder der Zerstörung einschließ-lich des “Ungültigkeitsmanagements”. Die Hersteller bieten Chip-karten an, deren Leistungsfähigkeit und Funktionsweise diesbezüg-lich zum Teil sehr unterschiedlich ist. Eine Standardisierung wäreauch aus datenschutzrechtlicher Sicht in diesem Bereich dringend zuempfehlen. Das Sicherungskonzept für Chipkarten sollte folgende Mindest-anforderungen erfüllen, wenn Schutzbedarf besteht: 1. Grundschutzmaßnahmen

− Ausstattung des Kartenkörpers mit fälschungssicherenAuthentifizierungsmerkmalen wie z. B. Unterschrift, Fo-to, Hologramme.

− Steuerung der Zugriffs- und Nutzungsberechtigungendurch die Chipkarte selbst.

− Realisierung aktiver und passiver Sicherheitsmechanis-men gegen eine unbefugte Analyse der Chip-Inhalte so-wie der chipintegrierten Sicherheitsfunktionen.

− Benutzung allgemein anerkannter, veröffentlichter Algo-rithmen für Verschlüsselungs- und Signaturfunktionensowie zur Generierung von Zufallszahlen.

− Sicherung der Kommunikation zwischen der Chipkarte,dem Kartenterminal CDLS und dem ggf. im Hintergrundwirkenden System durch kryptographische Maßnahmen.

− Sicherung unterschiedlicher Chipkartenanwendungen aufeiner Chipkarte durch gegenseitige Abschottung.


358

− Durchführung einer gegenseitigen Authentisierung vonChipkarte und CDLS mit dem Challenge-Response-Verfahren.

2. Erweiterte Sicherungsmaßnahmen

− Realisierung weiterer “aktiver” Sicherheitsfunktionen desBetriebssystems wie “Secure Messaging”, I/O-Kontrollealler Schnittstellen, lnterferenzfreiheit der einzelnen An-wendungen, Verzicht auf Trace- und Debug-Funktionenund dergleichen. Zur Sicherung von Transaktionen oderzur Rekonstruktion nicht korrekt abgelaufener Transak-tionen kann ein Logging vorhanden sein.

− Auslagerung von Teilen der Sicherheitsfunktionen desBetriebssystems in dynamisch bei der Initialisierung bzw.Personalisierung zuladbare Tabellen, damit der Chipkar-tenhersteller nicht über ein “Gesamtwissen” verfügt.

3. Grundsätzlich sollte zunächst die Möglichkeit in Betracht ge-

zogen werden, daß bei der Chipkartenbenutzung Anonymitätgewahrt bleiben kann. Ist dies nicht möglich, sollten Wahl-möglichkeiten anonymer Alternativen geschaffen werden.

4. Der Chipkarteninhaber bzw. die Betroffenen sollten die Mög-

lichkeit, erhalten, auf neutralen, zertifizierten Systemumgebun-gen die Dateninhalte und Funktionalitäten ihrer Chipkarteneinzusehen (Gebot der Transparenz).

5. Die gesamte Infrastruktur ist zu dokumentieren und die Pro-

duktion, die Initialisierung und der Versand der Chipkarten zuüberwachen.

6. Für die gesamte Infrastruktur ist ein Mindestschutzniveau vor-

zuschreiben, das bei unbefugten Handlungen das Strafrechtanwendbar macht.

7. Alle Systemkomponenten datenschutzrelevanter Chipkarten-

anwendungen sind auf der Basis der Grundsätze ordnungsge-mäßer Datenverarbeitung zu evaluieren.


359

8. Für die Informationsstrukturen sind zu Echtheits- und Gültig-keitsüberprüfungen (z. B. Abgleich gegen Sperr- und Gültig-keitsdateien) Kontrollmöglichkeiten zu schaffen.

9. Sicherheitsrelevante Karten (z. B. Bankkarten) sollten über den

gesamten Lebenszyklus der Karte kryptographisch gesichertsein.

III. Technische Grundlagen III.1 Hardware der Chipkarten Chipkarten gibt es in vielfältigen Bauformen, Funktionsweisen undFunktionsspektren. Man unterscheidet Chipkarten hinsichtlich der − Art der Datenübertragung bei der Interaktion mit der Außenwelt:

=> kontaktbehaftet oder => kontaktlos über elektromagnetische Felder (bestimmte

kontaktlose Karten können auch über eine Entfernung vonmehreren Metern von einem CDLS gelesen werden);

− Art der in der Karte bereitgestellten IT-Ressourcen:

=> reine Speicherchipkarten mit nicht flüchtigem Speicher(z. B. Identifikationskarten),

=> intelligente Speicherchipkarten mit EPROM (z. B. Telefon-karte) oder EEPROM (z. B. Krankenversichertenkarten),

=> Prozessorchipkarten mit EEPROM, RAM, ROM und CPU => Prozessorchipkarten mit Coprozessoren für die Abwicklung

kryptografischer Verfahren (Krypto-Coprozessor).

− Art der Anwendung: => elektronischer Zahlungsverkehr (Elektronische Geldbörse), => Wegwerfkarten (Telefonkarte), => wiederaufladbare Karten (z. B. Chipkarten im öffentlichen

Personennahverkehr), => multifunktionale wiederaufladbare Chipkarten (z. B. unter-

schiedliche Geldbörsen auf einer Chipkarte)


360

=> Berechtigungskarten (z. B. Mobiltelefone, Betriebsaus-weise)

Der Mikroprozessor einer Chipkarte leistet derzeit ca. 1 MillionBefehle pro Sekunde. Direktzugriffsspeicher (RAM) erreichen eineKapazität von 512 Byte, Festwertspeicher (ROM) für das Betriebs-system erreichen derzeit eine Kapazität von 16 KB, der elektrischlöschbare, programmierbare Festwertspeicher (EEPROM) mit derKapazität von 16 KB erlaubt die Installation einer kleinen Daten-bank. Im Vergleich dazu leisten Mikroprozessoren heute üblicher-weise eingesetzter PCs ca. 100 - 150 Millionen Befehle pro Sekundeund arbeiten mit RAM-Speichern von 8 - 32 MB. III. 2 Chipkarten-Betriebssysteme Prozessorchipkarten verfügen über einen nicht überschreibbarenSpeicherbereich, der keine Änderungen und somit auch keine Mani-pulationen ermöglicht. In diesem “Read-Only-Memory” (ROM) befindet sich das Betriebs-system einer Chipkarte. Für Chipkarten-Betriebssysteme existiertu. a. die Normen aus der Serie ISO/IEC 7816-4, in der die Befehlesolcher Systeme beschrieben werden. Die Chipkarten-Betriebssysteme nutzen diese Befehle in unterschiedlicher Weise,d. h. nicht jedes Betriebssystem unterstützt jedes Kommando oderjede Option eines Kommandos. Auch weisen fast alle Chipkarten-Betriebssysteme zusätzliche herstellerspezifische Kommandos auf.Die Chipkarten-Betriebssysteme ermöglichen die multifunktionaleNutzung von Chipkarten, können also mehrere unterschiedlicheAnwendungen unterstützen.


361

Die folgende Darstellung wird an den internationalen Standard an-gelehnt: III.2.1 Filesystem Die Dateien des Betriebssystems sind hierarchisch organisiert. DenUrsprung des Dateisystems bildet das Master File (MF). Auf derMF-Ebene können Daten vorhanden sein, die von allen Anwendun-gen der Chipkarte gemeinsam genutzt werden (z. B. Daten über denKarteninhaber, Seriennummer, Schlüssel). Sie sind in der Regel inElementary Files (EF) abgelegt. Daneben gibt es auch sog. Dedicated Files (DF), die mit ihren unter-geordneten EFs und ihren Funktionen die Anwendungen einer Karterepräsentieren. Für jedes DF können separate Sicherheitsfunktionendefiniert werden. Die DFs einer Chipkarte sind physikalisch undlogisch voneinander getrennt, können aber auf die Daten auf derMF-Ebene zugreifen. EFs können dem Betriebssystem zugeordnet sein und damit Datenenthalten, die das Betriebssystem nutzt, z. B. anwendungsbezogenePaßwörter, Schlüssel und andere Zugriffsattribute zu Nutzdaten. Eindirekter Zugriff mittels des CDLS ist nicht möglich. Sie können aber auch die Nutzdaten einer Anwendung enthalten, dieggf. erst nach einer Authentisierung unter Berücksichtigung vonSicherheitsattributen gelesen und/oder verändert werden. Es gibtunterschiedliche Dateistrukturen für EFs: Sie können Records mitfester (linear fixed) oder variabler (linear variable) Länge enthalten,können eine Ringstruktur mit fester Länge (cyclic) haben, könnenjedoch auch eine amorphe, d.h. vom Benutzer frei wählbare Struktur(transparent) aufweisen, auf denen auf Daten byte- oder blockweisezugegriffen werden kann. III.2.2 Authentisierung Die Authentisierungstechniken zwischen Chipkarte und einer exter-nen Einheit werden in der Norm ISO/IEC 9798-2 beschrieben. Es


362

wird dabei zwischen interner Authentisierung, bei der sich die Chip-karte gegenüber der externen Einheit authentisiert und externer Au-thentisierung, bei der sich die externe Einheit gegenüber der Chip-karte authentisiert unterschieden. Die gegenseitige Authentisierungist in Vorbereitung. Neben diversen Befehlen zum Lesen, Schreiben und Löschen (je-weils nach der Authentisierung) von Files sowie zur Auswahl von zubearbeitenden Files definiert ISO 7816-4 einige Kommandos, die fürdie lmplementation von Sicherheitsfunktionalitäten bedeutsam sind: − VERIFY zur Benutzerauthentisierung mit einer PIN. Dies kann

eine auf MF-Ebene gespeicherte globale PIN oder eine DF-spezifische anwendungsbezogene PIN sein. Der Befehl überträgtdie vom Nutzer eingegebene PIN und - falls erforderlich - dieNummer der zu überprüfenden PIN an die Karte. Diese ver-gleicht die eingegebene PIN mit dem gespeicherten Referenz-wert. Ein Erfolg wird durch Senden des Status “OK” angezeigt,ansonsten ein interner Fehlversuchszähler dekrementiert und alsStatus “nicht OK” übertragen. Bei Zählerstand 0 wird die An-wendung der Applikation, die die PIN benutzt, blockiert. Bei ei-nigen Betriebssystemen kann die Blockierung durch Eingabe ei-nes Personal Unblocking Key (PUK) aufgehoben werden, derebenfalls durch einen Fehlerzähler geschützt ist.

− INTERNAL AUTHENTICATE löst eine interne Authentisierungaus. Dazu erhält die Chipkarte den Schlüsselbezeichner des aus-gewählten EF und Authentisierungsdaten (Zufallszahl). DieChipkarte verschlüsselt dann die Zufallszahlen mit dem Schlüs-sel des ausgewählten EF und sendet das Chiffrat zurück. Die prü-fende Einheit (z. B. das CDLS oder eine Patientenkarte) ent-schlüsselt und prüft die Übereinstimmung der Zufallszahlen.

− EXTERNAL AUTHENTICATE löst die externe Authentisierungaus. Dazu wird mit dem Befehl GET CHALLENGE eine Zu-fallszahl von der Chipkarte gefordert, die an die zu authentisie-rende Instanz übergeben wird. Diese verschlüsselt sie und sendetdas Ergebnis zusammen mit der Nummer des zu verwendendenSchlüssels an die Karte zurück. Dann entschlüsselt die Karte dieZufallszahl mit dem Schlüssel der angegebenen Schlüsselnum-


363

mer. Bei Übereinstimmung wird die zu authentisierende Instanzals authentisch anerkannt.

Weitere Sicherheitsfunktionen sind derzeit in ISO 7816-8 spezifi-ziert. Von besonderer Bedeutung ist hierbei das KommandoPERFORM SECURITY OPERATION, mit dem folgende Sicher-heitsoperationen ausgeführt werden können: − COMPUTE DIGITAL SIGNATURE− VERIFY DIGITAL SIGNATURE− VERIFY CERTIFICATE− HASH− COMPUTE CRYPTOGRAPHIC CHECKSUM− VERIFY CRYPTOGRAPHIC CHECKSUM− ENCIPHER− DECIPHER. In ISO 7816-7 sind außerdem spezielle Sicherheitsfunktionen be-schrieben, die sich auf Chipkarten mit einer sog. SCQL-Datenbank(Structured Card Query Language) beziehen. III.3 Chipkartenbasierte Dienstleistungssysteme (CDLS) Wie in der Einleitung kurz dargestellt, sind Chipkarten nicht alsisolierte Träger von Risiken zu betrachten, wenn es um Fragen ihrerIT-Sicherheit geht. Aufwendige sicherheitstechnische Maßnahmenan und in der Chipkarte können durch unsichere Systemumgebungenbei der weiteren Verwendung der Daten konterkariert werden. Wenn zum Beispiel das System eines zugriffsberechtigten Arztesnicht den erforderlichen Schutz bietet, können die Schutzmaßnah-men der Karte umgangen werden. Der Schutz der Chipkarte gegenunbefugte Manipulationen ist weitgehend wertlos, wenn beim elek-tronischen Zahlungsverkehr das POS-Terminal leicht manipuliertwerden kann. Jedoch sieht ISO/IEC 7816 Schutzmechanismen vor,die bei richtiger Anwendung mit vertretbarem Aufwand nicht um-gangen werden können.


364

Hier sollen jedoch nur für solche Komponenten Sicherheitsbetrach-tungen angestellt werden, die chipkartenspezifisch sind. Solange dieChipkarten keine eigenen Mensch-Maschine-Schnittstellen enthal-ten, sind für die Erschließung der Chipkarteninhalte und -funktionenSysteme notwendig, mit denen die Chipkarten gelesen und beschrie-ben werden können. Auch wenn es einmal möglich sein wird, direktmit der Chipkarte zu kommunizieren, z. B. über Sensorfelder, wer-den CDLS kaum entbehrlich sein, denn sie stellen zumindest dieSchnittstelle zu jenen Nutzern dar, die mit dem Inhaber der Kartenicht identisch sind. CDLS können eigene Verarbeitungskapazitätenbieten und auch die Verbindung zu anderen Systemteilen herstellen. Bisher sind für alle Chipkarten-Anwendungen (Telefonkarten,Krankenversicherungskarten, Sicherungskarten für Mobiltelefoneusw.) spezielle CDLS entwickelt und eingesetzt worden. Soweiterkennbar werden universell einsetzbare CDLS bisher nicht auf demMarkt angeboten. Im Gesundheitswesen werden derzeit CDLS ein-gesetzt, deren Verwendung auf die Kommunikation mit der Kran-kenversichertenkarte eingeschränkt wurde. Da sich weitergehendeAnwendungen abzeichnen, wurde eine Spezifikation für multifunk-tionale CDLS angefertigt, die von einem Arbeitskreis der Arbeits-gemeinschaft “Karten im Gesundheitswesen” und der Gesellschaftfür Mathematik und Datenverarbeitung (GMD) herausgegeben wor-den ist. Dieser Spezifikation liegt folgende Konzeption zugrunde: − Die CDLS sind transparent für jeden Dialog zwischen einem

Anwendungsprogramm und einer Chipkarte, sofern dieser Dia-log über eine genormte Schnittstelle geführt wird. Damit ist ihreAnwendung außerhalb des Gesundheitswesens möglich.

− Allerdings ist die Option, ein universell einsetzbares CDLS zuschaffen, aus pragmatischen Erwägungen heraus relativiert wor-den. Von den nach ISO 7816-3 zulässigen Optionen für dieÜbertragungsparameter wird nur ein Teil als obligatorisch gefor-dert. Dies entspricht der Politik des Kreditkartensektors, die zu-lässigen Lösungen enger zu fassen als das Spektrum der Optio-nen. Der Spezifikation entsprechende CDLS können sowohl mit


365

synchronen Chipkarten wie die Krankenversicherungskarte alsauch mit Prozessorchipkarten kommunizieren, die ein standardi-siertes Übertragungsprotokoll unterstützen.

− Es können anwendungsspezifische Funktionen im CDLS reali-siert werden, die dann nicht dem Anwendungsprogramm über-lassen werden, solange nicht andere Vorkehrungen zum Schutzder Karte vor unbefugten oder durch Fehlfunktionen ausgelöstenschreibenden Zugriffen getroffen sind. So ist z. B. ein Modul zurVerarbeitung der Versichertenkarte gem. § 291 SGB V für Ge-sundheitskarten-Terminal spezifiziert worden.

− Es können je nach Anwendung weitere anwendungsspezifischeModule definiert werden, die periphere Geräte steuern. So wurdefür die Gesundheitschipkarten ein Modul definiert, das einenDrucker steuert, damit Ärzte ohne IT-Einsatz die Kartensystemezumindest für die Übertragung des Inhalts der Versichertenkarteauf die Belege der vertragsärztlichen Versorgung nutzen können.Das Druckmodul mit der parallelen Schnittstelle ist optional zurealisieren.

− Eine Download-Funktion erlaubt die Behebung von Software-fehlern und ggf. im gewissen Umfang eine Upgrade von Lei-stungen.

− Die Spezifikation gilt für kontaktbehaftete Chipkarten nach ISO7816 in 5-Volt-Technologie. Kontaktlose Chipkarten und kon-taktbehaftete Chipkarten in 3-Volt-Technologie sollen einbezo-gen werden, wenn die Normung Klarheit geschaffen hat. Dasgleiche gilt für eine Erweiterung von Standards für die Nutzungder Kontakte und für höhere als derzeit spezifizierte Übertra-gungsraten.

− Das Anwendungssystem in einem PC wird auf eine anwen-dungsunabhängige Schnittstelle für die Integration der Chipkar-tentechnik aufgesetzt.

− CDLS als separate Endgeräte können zusätzlich mit folgendenOptionen ausgestattet sein: * Display und/oder Tastatur,

* mehrere Kontaktiereinheiten für eine Chipkarte im Normal- format gem. ISO-IEC 7816-2 oder im Plug-in-Format.


366

IV. Sicherheitstechnische Gestaltungsspielräume Für die Entwicklung sicherer Chipkartenanwendungen gibt es eineVielzahl von Ansatzpunkten, die je nach den in einer anwendungs-spezifischen Sicherheitspolitik definierten Anforderungen zur Ver-besserung der Sicherheit mit gewissen Spielräumen ausgenutzt wer-den können. In diesem abschließenden Kapitel geht es einerseitsdarum, diese sicherheitstechnischen Gestaltungsspielräume darzu-stellen und andererseits die Empfehlungen der Datenschutzbeauf-tragten zur Ausschöpfung dieser Spielräume hervorzuheben. IV.l. Allgemeine Anforderungen Wie bereits einleitend dargestellt sind Chipkarten als miniaturisierteComputer anzusehen, die (noch) nicht über eigene Mensch-Maschine-Schnittstellen verfügen. Daraus ergeben sich folgendeKonsequenzen: − Chipkarten sind leicht transportable Rechner. Die besonderen

Bedrohungen der IT-Sicherheit, die z. B. bei anderen transporta-blen Rechnern (Laptops, Notebooks,... ) berücksichtigten werdenmüssen, existieren in ähnlicher Weise auch für Chipkarten.

− Die Interaktion zwischen Mensch und Chipkarte bedarf zwi-schengeschalteter technischer Systeme (CDLS), die ebenfalls be-sonders zu sichern sind. Eine Chipkarte bildet zusammen mitdem CDLS ein vollständiges Rechnersystem mit Ein- und Aus-gabekomponente. Die Evaluation der richtigen Funktionsweisesetzt voraus, daß dabei alle Systemkomponenten einbezogensind.

− Speicher- und Prozessorkapazitäten bilden Schranken für Sicher-heitsfunktionen. Die technische Entwicklung dürfte diese Eng-pässe bald beseitigen. Heutige Betrachtungen müssen sie jedochnoch berücksichtigen.


367

Allgemein sind an die Sicherheitsfunktionen folgende Anforderun-gen zu stellen: − Zugriffs- und Nutzungsberechtigungen sollten soweit möglich

von der Chipkarte selbst geprüft und gesteuert werden.− In Anwendungen sollten sich alle beteiligten Rechner (incl.

Chipkarten) gegenseitig authentifizieren. Die Authentifizierungdes Benutzers hat gegenüber der Chipkarte zu erfolgen, wobeifür die Zukunft angestrebt werden sollte, daß dies in sichererUmgebung oder ohne zwischengeschaltete Systeme erfolgenkann. Dies würde eine autonome Stromversorgung der Chipkarteund geeignete Mensch-Maschine-Schnittstellen voraussetzen(z. B. Sensorfelder für biometrische Merkmale).

− Es muß grundsätzlich ein Mindestschutz vorhanden sein, mitdem die in § 202a Abs. 1 StGB geforderte “besondere Sicherunggegen unberechtigten Zugang” realisiert wird, um bei unbefugterNutzung einer Chipkarte das Strafrecht anwendbar zu machen.

IV.2. Hardwarebezogene Maßnahmen zur IT-Sicherheit bei

Chipkarten IV.2.1 Herstellung, Initialisierung und Versand von Chipkarten Sicherheitserwägungen greifen bereits bei der Herstellung, Initiali-sierung und dem Versand von Chipkarten. Dabei müssen − die Produktion der Prozessoren und Chipkarten,− die Produktion und das Laden von Software,− das Erzeugen der Schlüssel,− das Laden der Schlüssel in die Sicherheitsmodule (Internal Ele-

metary Files),− das Laden von Hersteller- und Transportschlüssel für die spätere

Initialisierung und− der Versand der Chipkarten und Transportschlüssel an den Emp-

fänger durch entsprechende technische und organisatorische Maßnahmenabgesichert werden.


368

IV.2.2 Sicherheitsmerkmale des Kartenkörpers Zur Unterstützung der Authentifizierung des Karteninhabers gegen-über der Chipkarte und damit des Nachweises, daß die Chipkarte − zur jeweiligen Anwendung gehört und− die die Karte vorlegende Person die Karte rechtmäßig nutzt, sollte der Kartenkörper mit Sicherheitsmerkmalen ausgestattet sein,die der Sensibilität angemessen sind: − Aufdruck− Hologramm− Unterschrift des Besitzers (nur bei nicht anonymen Anwendun-

gen)− Foto des Besitzers (nur bei nicht anonymen Anwendungen)− aufgebrachtes Echtheitsmerkmal− Multiple Laser Image (durch Lasergravur auf der Chipkarte auf-

gebrachte hologrammähnliches Kippbild mit kartenindividuellenInformationen).

Dabei ist allerdings zu berücksichtigen, daß es Sicherheitsmerkmalegibt, die z. B. bei anonymen Chipkartenanwendungen (z. B. anony-me Zahlungsverfahren) die Anonymität aufheben würden und daherdabei nicht verwendet werden können IV.2.3 Sicherheitsmechanismen der Chip-Hardware Sicherheitsmechanismen der Chip-Hardware richten sich vor allemgegen die Analyse der Chip-Inhalte und -Sicherheitssysteme mitHilfe von Spezialgeräten, z. B. durch Abtragen dünner Chipschich-ten. Dabei kann unterschieden werden zwischen passiven Mecha-nismen, bei denen eine bestimmte Bauweise des Chips die Schutz-funktionen ergibt, und aktiven Mechanismen, die auf äußere Eingrif-fe passend reagieren und ggf. den Chip zerstören.


369

Passive Mechanismen: − Es gibt von außen keine direkte Verbindung zu den Funktions-

einheiten. Ein Testmodus, der eventuell später nicht mehr er-laubte Zugriffe auf den Speicher ermöglicht, muß irreversibel aufden Benutzermodus geschaltet werden können.

− Interne Busse werden nicht nach außen geführt.− Der Datenfluß auf den Bussen wird mit Scrambling geschützt.− Der ROM befindet sich in den unteren Halbleiterschichten, um

eine optische Analyse zu verhindern.− Gegen das Abtasten von Ladungspotentialen erfolgt eine Metalli-

sierung des gesamten Chips.− Die Chipnummern werden eindeutig vergeben (werden u. U. von

den Anwendungen benötigt). Aktive Mechanismen: − Es wird eine Passivierungsschicht aufgebracht, deren Entfernen

einen Interrupt auslöst, der die Ausführung der Software unter-bindet, sowie Schlüssel und andere sicherheitsrelevante Datenlöscht.

− Es erfolgt eine Spannungsüberwachung. Wenn der Spannungs-wert den zulässigen Bereich über- oder unterschreitet, wird dieweitere Ausführung von Prozessorbefehlen unterbunden.

− Den gleichen Zweck verfolgt die Taktüberwachung. Es werdendamit Angriffe erschwert, mit denen die Abarbeitung einzelnerBefehle analysiert werden soll.

− Es erfolgt eine Power-On-Erkennung, um bei Reset einen defi-nierten Zustand herzustellen.

IV.3. Softwarebezogene Maßnahmen zur IT-Sicherheit bei

Chipkarten IV.3.1 Basisalgorithmen für Schutzfunktionen der Software Die Schutzfunktionen der Chipkarten-Software basieren auf denbekannten und teilweise standardisierten Algorithmen zur Ver-schlüsselung, Signatur und Generierung von Zufallszahlen.


370

Dazu gehören symmetrische Verschlüsselungsalgorithmen wie DES,Triple-DES, IDEA und SC85 und asymmetrische Verfahren wieRSA, Signieralgorithmen wie DSS und RSA mit MD160, Einweg-funktionen zur Berechnung des MAC und für das Hashing wie SHAund MD16+0 sowie Zufallszahlengeneratoren. IV.3.2 Schutzfunktionalitäten und -mechanismen des Betriebssystems Zunächst sollte sichergestellt sein, daß sich nicht alle Teile des Be-triebssystems im ROM befinden, damit der Chiphersteller nicht überdas ganze Wissen über die Sicherung der Chipkarte verfügt. We-sentliche Teile des Betriebssystems können bei der späteren Initiali-sierung über entsprechend authentisierte CDLS dynamisch aus Ta-bellen geladen werden. Darüber hinaus sollte das Betriebssystem in folgender Weise Sicher-heit “erzeugen”: a) Die Identifizierung und Authentifizierung des Benutzers erfolgt

mittels PIN oder mit biometrischen Verfahren. Üblicherweise erfolgt die Prüfung einer PIN. Zwar können dienormale Forderungen zur Paßwortverwaltung bei Rechnernnicht voll auf Chipkarten übertragen werden, jedoch sollte diePIN-Länge je nach Sensibilität mindestens 4 oder mehr Stellenbetragen, die Anzahl der Fehlversuche begrenzt sein, die Mög-lichkeit bestehen, die PIN zu ändern und eine Freischaltung derKarte auch mittels Personal Unblocking Key (PUK) in Abhän-gigkeit von der Anwendung ermöglicht werden. Biometrische Verfahren erfassen Fingerabdrücke, Augenhin-tergründe, Handgeometrien, Sprachmerkmale oder Unter-schriftsdynamiken, verformeln sie und übertragen das Ergebniszur Überprüfung auf die Chipkarte.

b) Es erfolgt eine Zugriffskontrolle mit einer Rechteverwaltung,wobei die Zugriffsrechte an die einzelnen Dateien geknüpftwerden. Den Dateien sind Sicherheitsattribute zugeordnet, mitdenen festgelegt wird, ob die Dateien (Daten) gelesen, kopiert,beschrieben, gelöscht, gesperrt oder freigegeben werden dür-fen.


371

a) Wenn anderen Personen als dem Karteninhaber Zugriffsmög-lichkeiten auf die Chipkarte gewährt werden sollen, erfolgt diesim Rahmen einer Programm-Programm-Kommunikation miteinem anderen Rechner oder einer anderen Karte (z. B. mit ei-ner Professional Card). Der Rechner bzw. die andere Kartemuß authentifiziert werden. Die Rechnerauthentifizierung wird meist nach einem auf DESbasierenden Challenge-Response-Verfahren vorgenommen. Nach dem gleichen Schema verläuft die gegenseitige Authenti-fizierung von Chipkarte und Professional Card. Beide Benutzermüssen ihre Chipkarte aktivieren. Dann erfolgt die Authentifi-zierung zwischen den beiden Karten, wobei das KT die Datentransparent weiterleitet.

b) Zum Schutz gegen Ausforschung und Manipulation erfolgteine sichere Datenübertragung zwischen Chipkarte und CDLS(“Secure Messaging”).

c) Auf Opto-Hybridkarten können die Daten auf der optischenFläche verschlüsselt abgelegt werden. Die Entschlüsselungkann mit Hilfe des Prozessors erfolgen, der die Schlüssel ver-waltet.

d) Das Betriebssystem führt eine I/O-Kontrolle aller Schnittstellengegen unerlaubte Zugriffe durch.

e) Die Interferenzfreiheit der einzelnen Anwendungen wird ge-währleistet, d.h. eine gegenseitige unerwünschte Beeinflussungder Anwendungen wird ausgeschlossen.

f) Trace- und Debugfunktionen sind nicht verfügbar.g) Beim Initialisieren des Betriebssystems werden RAM und

EEPROM geprüft.h) Fehleingaben werden abgefangen.i) Der Befehlsumfang wird auf die notwendigen Befehle redu-

ziert. Funktionalitäten, die nicht zugelassen werden sollen,werden vom Betriebssystem unterbunden.

j) Die Dateiorganisation, Header und Speicherbereiche imEEPROM werden durch Prüfsummen abgesichert.


372

k) Das Betriebssystem sieht die Möglichkeit vor, die Chipkartedurch Löschung zu deaktivieren (etwa nach Ablauf einer Gül-tigkeitsdauer), jedoch verhindert es die mißbräuchliche Deakti-vierung.

IV.3.3 Die Sicherheit der Anwendung Die Betrachtung der Sicherheit bei der Anwendung von Chipkartensetzt die ganzheitliche Betrachtung der Kommunikation zwischenChipkarten, CDLS und im Hintergrund wirkenden Systemen voraus.Die Kommunikation zwischen den einzelnen Systemen und System-bestandteilen ist ebenfalls mit kryptographischen Methoden zu si-chern: − Zur Unterstützung der Sicherheit der Kommunikation dienen

Funktionen des Chipkarten-Betriebssystems zur gegenseitigemAuthentifizierung von Chipkarten und Rechnern, zur sicherenDatenübertragung und zum Signieren und Verschlüsseln (sieheIV.3.2. c), d)).

− Gegen die unberechtigte Nutzung der Daten auf der Chipkartemuß eine Zugriffskontrolle erfolgen, die auf einer sicheren Iden-tifikation und Authentifizierung der Benutzer beruht (sieheIV.3.2 a), b)).

Darüber hinaus sind die folgenden für die Sicherheit der Anwendungbedeutsamen Maßnahmen zu berücksichtigen: − Den Dateien auf der Chipkarte sind Befehle zuzuordnen, die mit

ihnen ausgeführt werden können. Die Ausführung anderer Be-fehle ist zu unterbinden.

− Zugriffe auf geschützte Datenbereiche und Veränderungen derDaten sollten protokolliert werden - vorzugsweise auf der Chip-karte. Die Anwendung muß die Auswertung der Protokolldatenunterstützen.

− Bedarfsweise sollten Überprüfungen durch Abgleich mit Hinter-grundsystemen erfolgen, z. B. die Erkennung gesperrter Kartendurch Abgleich mit Sperrdateien, Feststellung von Betragslimitsim chipkartengestützten Zahlungsverkehr.


373

− Die eindeutige Nummer des Chips schützt vor der Erstellung vonDubletten.

Bei den letzten beiden Spiegelstrichen muß allerdings berücksichtigtwerden, daß mit solchen Maßnahmen bei anonymen Systemen unterUmständen die Anonymität gefährdet sein kann. Es kann nicht im-mer ausgeschlossen werden, daß anonyme Chipkarten einzelnenNutzern zugeordnet werden, wenn die Identifizierung der Kartemöglich ist. IV.4. Risiken und Anforderungen bei Chipkartenbasierten

Dienstleistungssystemen (CDLS) Zwar bilden - wie oben festgestellt - Chipkarten und CDLS erstzusammen ein vollwertiges Rechensystem, jedoch befinden sichbeide Komponenten in der Regel in unterschiedlicher Verfügungs-gewalt, die Karte in der des Inhabers und das CDLS in der von An-wendern. Denkbar ist auch, daß bei Inhabern und Anwendern unter-schiedliche Vorstellungen und Interessen mit der Nutzung verbun-den werden. Wesentliche Teile der unabdingbaren Sicherheitsme-chanismen der Karte können daher konterkariert werden, indem dieSteuerungssoftware des CDLS verändert oder die Hardware desCDLS manipuliert wird. Eine Zertifizierung von CDLS kann sichdaher nur auf unveränderliche Teile beziehen. Wenn eine Chipkarte in ein CDLS eingeführt wird, gibt der Inhaberdie Verfügungsgewalt über die Software auf der Karte und die ihnbetreffenden Datenbestände auf. Eine unbefugte Veränderung derSoftware muß daher technisch verhindert werden. Allerdings sind die Datenbestände grundsätzlich variabel. Sie kön-nen daher benutzt werden, über das CDLS Daten abzulegen, die fürden Karteninhaber verdeckt sind und nur mit bestimmten Codesgelesen werden können (verdeckte Kanäle). Dies eröffnet Möglich-keiten für unbefugtes oder gar kriminelles Handeln. Der Karteninhaber sollte daher nicht nur die Möglichkeit haben, sichden Inhalt der gespeicherten Daten anzeigen zu lassen, sondern die


374

tatsächlichen Funktionen z. B. auf neutralen CDLS testen zu können.Wegen der u. U. unterschiedlichen Interessenlagen (z. B. in wirt-schaftlichen Beziehungen) ist die Prüfung der korrekten Funktionder Software sowie umgekehrt des Ausschlusses ungewollter Funk-tionen im realisierbaren Rahmen zu ermöglichen. Manipulationen an der Hardware und der Eingabesteuerungssoft-ware der CDLS können auch dazu führen, daß die geheimen oderunverfälschbaren Authentifizierungsmerkmale (PIN, biometrischeMerkmale), die bei der Authentifizierung des Kartenbesitzers in dasCDLS übertragen werden und so Dritten bekannt werden. Es sind daher folgende Sicherheitsanforderungen an CDLS zu stel-len: − Die CDLS müssen über mechanisch gesicherte Gehäuse verfü-

gen, damit eine Hardware-Manipulation verhindert oder er-schwert bzw. erkennbar wird.

− Sicherheitsmodule, die die für die vertrauliche Kommunikationmit Chipkarten und die gegenseitigen Authentifizierungen erfor-derlichen Hauptschlüssel enthalten, sind mechanisch (zum Bei-spiel durch Vergießung in Epoxidharz) und elektrisch gegen viel-fältige Angriffsformen besonders abzusichern. Jeder Angriff aufdas Sicherheitsmodul muß zum Löschen aller Schlüssel im Si-cherheitsmodul führen. Dies setzt auch voraus, daß das Sicher-heitsmodul weitgehend von der Stromversorgung des CDLS au-tark sein muß.

− Die CDLS müssen alle automatisch prüfbaren Sicherheitsmerk-male des Kartenkörpers prüfen können, müssen demzufolge alsoüber die entsprechenden Sensoren verfügen (siehe IV.2.2).

− Sofern die Kommunikation zwischen Chipkarte und CDLS nichtdurch kryptographische Verfahren gegen Abhören und Manipu-lation gesichert wird, ist das Abhören der Kommunikation durchmechanische Maßnahmen (sog. Shutter zum Abschneiden allermanipulativ mit der Karte in das CDLS eingebrachten Drähte) zuverhindern.


375

Als besonders angriffsgefährdet sind CDLS vom Typ “PC mit Kar-tenterminal” anzusehen, sofern sie nicht in manipulationsgeschütztenUmgebungen eingesetzt werden. Erhöhte Schutzfunktionen werdenhier als notwendig angesehen. Die bisherigen Spezifikationen für dieCDLS lassen nicht erkennen, daß Maßnahmen gegen Penetrations-versuche aus der IT-Umgebung der Chipkartenanwendung im CDLSergriffen werden können. Es fehlt daher an einem schlüssigen Si-cherheitskonzept für das Zusammenspiel zwischen dem Betriebssy-stem und den Applikationen der (übergeordneten) IT-Umgebungund dem Betriebssystem und den Applikationen des Systems Chip-karte/CDLS.


376

Anlage 22

Entschließungder Europäischen Konferenz der Datenschutzbeauftragten

zum

Entwurf einer Richtlinie über die Verarbeitung personenbezo-gener Daten und den Schutz der Privatsphäre im Bereich derTelekommunikation, insbesondere im diensteintegrierenden

digitalen Telekommunikationsnetz (ISDN) und in digitalen Mo-bilfunknetzen

vom 19.09.1997- Übersetzung -

Die Europäischen Datenschutzbeauftragten haben bei ihrer Konfe-renz in Brüssel am 19. September 1997 den gegenwärtigen Standdes Vermittlungsverfahrens zum Entwurf einer Richtlinie über dieVerarbeitung personenbezogener Daten und den Schutz der Privats-phäre im Bereich der Telekommunikation, insbesondere imdiensteintegrierenden digitalen Telekommunikationsnetz (ISDN)und in digitalen Mobilfunknetzen erörtert.

Die Datenschutzbeauftragten stellen mit Besorgnis fest, daß dasVermittlungsverfahren aufgrund von Kontroversen hinsichtlichgewisser Detailfragen (z. B. Fernmeldegeheimnis; Schutz juristi-scher Personen; kostenloser Nichteintrag in öffentlichen Teilneh-merverzeichnissen) noch immer nicht abgeschlossen worden ist.

Die Europäischen Datenschutzbeauftragten vertreten mit Nachdruckdie Auffassung, daß die Annahme des Richtlinienentwurfs einenotwendige bereichsspezifische Maßnahme für den Datenschutz imBinnenmarkt ist. Mit der vollen Liberalisierung des Telekommuni-kationsmarktes im Januar 1998 ist ein spezieller Mindeststandarddes Datenschutzes in diesem Bereich von entscheidender Bedeutung.


377

Nach Auffassung der Datenschutzbeauftragten ist die Vertraulichkeitvon Daten, die aus der Kommunikation stammen, für den Schutz derPrivatsphäre wesentlich, wie dies im Gemeinsamen Standpunkt mitden Änderungen des Europäischen Parlaments zum Ausdruck ge-kommen ist.

Es ist in höchstem Maße wünschenswert, daß die Richtlinie unterBerücksichtigung dieser Gesichtspunkte in naher Zukunft verab-schiedet wird, da die Umsetzungsfrist im Oktober 1998 abläuft. Jedeweitere Verzögerung würde die Möglichkeiten einer rechtzeitigenUmsetzung in das Recht der Mitgliedstaaten reduzieren.


378

Anlage 23

Erklärung der Europäischen Konferenz gegenüber dem Vorsit-zenden des Ministerrats für Justiz und Innere Angelegenheiten

zu

EUROPOL

Die Europäische Datenschutzkonferenz in Manchester am 24./25.April 1996 erörterte die EUROPOL-Konvention.

Bei verschiedenen Gelegenheiten in vergangenen Jahren haben dieDatenschutzbeauftragten der Mitgliedstaaten der Europäischen Uni-on die Notwendigkeit betont, ein zusammenhängendes System vonDatenschutzregelungen in die EUROPOL-Konvention einzufügen.In einer gemeinsamen Erklärung vom April 1995 haben die Daten-schutzbeauftragten ihre Auffassung zum Konventionsentwurf dar-gelegt, insbesondere hinsichtlich der Rechte des Betroffenen.

Die Datenschutzbeauftragten haben mit Befriedigung festgestellt,daß die Konvention dem Datenschutz erhebliche Bedeutung beimißt.Sie haben auch festgestellt, daß Artikel 24 eine gemeinsame Kon-trollinstanz vorsieht, die aus Vertretern der nationalen Kontrollin-stanzen bestehen soll.

Vertreter der Datenschutzbeauftragten haben auf der Basis des Mini-sterübereinkommens von Kopenhagen, erweitert durch die Mitglied-staaten im März 1995, die EUROPOL-Drogeneinheit (EDU) mehr-fach aufgesucht, um sich über die Aktivitäten ihrer nationalen Ver-bindungsbeamten bei EDU/EUROPOL zu informieren.

Die Datenschutzbeauftragten sind überzeugt, daß der Zeitraum zwi-schen der gegenwärtigen EUROPOL-Drogeneinheit auf der Grund-lage des Ministerübereinkommens von Kopenhagen in der erweiter-ten Fassung und EUROPOL auf der Grundlage der Konvention vonerheblicher Bedeutung für die praktische Umsetzung des Daten-schutzstandards der EUROPOL-Konvention sein wird.


379

In diesem Zeitraum - bevor die Konvention in Kraft tritt - wird einEUROPOL-Informationssystem entwickelt werden, und Entschei-dungen übe die Informationsarchitektur von EUROPOL und dieRegeln für die Verarbeitung von Analysedateien werden getroffen.Diese Entscheidungen werden von wesentlicher Bedeutung für diepraktische Anwendung der Konvention sein. Deshalb betonen dieDatenschutzbeauftragten die Notwendigkeit, die gemeinsame Kon-trollinstanz nach Artikel 24 der Konvention möglichst frühzeitigeinzurichten. Es sollte dringend geprüft werden, ob eine vorläufigegemeinsame Kontrollinstanz eingerichtet werden kann, die das In-krafttreten der Konvention vorbereiten sollte und zur Entwicklungdes EUROPOL-Informationssystems beitragen könnte.

In der Zwischenzeit würden die Datenschutzbeauftragten eine recht-zeitige Information über die Entwicklung des EUROPOL-Informationssystems begrüßen, insbesondere über die Erfordernisseund funktionalen Spezifikationen des zu entwickelnden Systems, sodaß sie bereits vorab feststellen können, ob Datenschutzgrundsätzein bezug auf die EUROPOL-Konvention angemessen berücksichtigtwerden.

Sie würden es außerdem begrüßen, wenn sie bei der Beratung vonFragen der praktischen Umsetzung der Datenschutzprinzipien imZusammenhang mit der Entwicklung des EUROPOL-Informationssystems beteiligt würden. Zu diesem Zweck steht dieArbeitsgruppe Polizei der Datenschutzbeauftragten zur Verfügungund ist bereit, Vertreter zu Diskussionen mit dem Projektausschußund dem Projektteam zu entsenden.


380

Anlage 24

Erklärung der Europäischen Konferenz vom 24./25. April 1996

zum

Geänderten Vorschlag für eine ISDN-Richtlinie

Die Europäische Konferenz der Datenschutzbeauftragten in Man-chester am 24./25. April 1996 stellt mit Befriedigung fest, daß dieRatsarbeitsgruppe ihre Beratung des geänderten Vorschlags für eineISDN-Richtlinie (KOM (94) 128 endg.-COD 288) abgeschlossenhat. Die Europäischen Datenschutzbeauftragten stellen außerdemfest, daß die gegenwärtige Fassung des Entwurfs den Datenschutzberücksichtigt. Dennoch sind einige grundlegende Datenschutzbe-stimmungen, die die europäischen Datenschutzbeauftragten in ihrenbeiden gemeinsamen Stellungnahmen vom Dezember 1994 und1995 vorgeschlagen hatten, nicht angenommen worden. In der wei-teren Beratung sollten auch andere Verbesserungen geprüft werden,insbesondere sollte der Zweckbindungsgrundsatz ausdrücklich in derRichtlinie erwähnt werden.


381

Anlage 25

Stellungnahme der Europäischen Datenschutzbeauftragtenvom Dezember 1996

zum

Grünbuch der Europäischen Kommission “Leben und Arbeitenin der Informationsgesellschaft - Im Vordergrund der Mensch”

(KOM (96) 389)

- Übersetzung -

Es besteht ein rechtlicher Rahmen hinsichtlich des Datenschutzes,der die Grundrechte der Einzelnen schützen soll. Dieser Rahmen istinsbesondere in der Europäischen Datenschutzrichtlinie (95/46/EG),dem Gemeinsamen Standpunkt zum Entwurf der Richtlinie zumDatenschutz im Telekommunikationsbereich und in der Daten-schutzkonvention des Europarats Nr. 108 von 1981 zu sehen. Indiesem Zusammenhang bekunden die Europäischen Datenschutzbe-auftragten ein besonderes Interesse an diesem Grünbuch, das auf derTatsache beruht, daß die entstehende Informationsgesellschaft neueHerausforderungen für Datenschutzbeauftragte mit sich bringt. Auchim Bangemann-Bericht wurde festgestellt, daß “die Anforderungenan den Datenschutz in dem Maße zunehmen werden, wie das Poten-tial der neuen Technologien, detaillierte Informationen über Privat-personen aus Daten, Sprache und Bildquellen zu gewinnen und zumanipulieren, genutzt wird.” Wenngleich wir die Entwicklung neuerTechnologien, die das Sammeln und Übermitteln von Informationenerleichtern, in vollem Umfang unterstützen, wollen wir auf die Kon-sequenzen für den Datenschutz aufmerksam machen, die der Einsatzdieser Technologien in der Informationsgesellschaft haben wird.

Da sich das Grünbuch auf eine Verbesserung des Lebensstandardsder Bürger konzentriert, hätten wir Hinweise auf die Risiken erwar-tet, die die Informationsgesellschaft bezüglich des Datenschutzesund des Umgangs mit personenbezogenen Daten mit sich bringt. DasDokument erwähnt zu Recht das Problem der Gewährleistung glei-


382

chen Zugangs zu Online-Diensten. Die Verbreitung rassistischenund pornographischen Materials im Internet wird ebenso als negati-ve Aspekte der Informationsgesellschaft erörtert. Es gibt andereRisiken, die bekannt werden sollten, damit Grundrechte und- freiheiten der Bürger wie auch die Rechte der Nutzer und Ver-braucher in der Informationsgesellschaft geschützt werden können.

Elektronische Verwaltung

Die Initiative für eine elektronische Verwaltung (Electronic Go-vernment) hat einige wirkliche Vorteile für den Einzelnen. Wir be-grüßen die Tatsache, daß öffentliche Dienstleistungen 24 Stundenam Tag zur Verfügung stehen und daß es eine Möglichkeit gibt, umsich anonym an die Verwaltung zu wenden. Zugang zu Informatio-nen ohne Identifizierung kann durch den Einsatz datenschutzfreund-licher Technologien wie Verschlüsselung, Pseudonyme oder digitaleUnterschriften erreicht werden.

Datenschutzprobleme entstehen, wenn die Inanspruchnahme derelektronischen Verwaltung durch den Einzelnen registriert und ge-speichert werden soll. Die Person, die Daten über sich offenbart,sollte über die Zwecke informiert werden, zu denen ihre Daten erho-ben und weiterverwendet werden sollen.

Internet

Es wäre hilfreich, die in hohem Maße unsichere Struktur des Internetzu berücksichtigen. Bürger sollten über die Risiken informiert wer-den, die bei der Offenbarung persönlicher oder vertraulicher Datenentstehen, und über die Tatsache, daß Details des Nutzungsverhal-tens von Diensteanbietern gespeichert werden können. Wir hätteneinige Anmerkungen zu der Notwendigkeit erwartet, das Bewußtseinfür Datenschutzüberlegungen in diesem Bereich zu erhöhen.

Arbeit

Wir halten eine Erwähnung der Datenschutzprobleme bei der Tele-arbeit (Heimarbeit) für wünschenswert. Es sollte betont werden, daß


383

Daten aus dem persönlichen Bereich und Daten, die sich auf dasArbeitsverhältnis beziehen, getrennt gespeichert werden müssen unddaß weder der Arbeitgeber Zugang zu den persönlichen Daten desArbeitnehmers noch dessen Familie Zugang zu Daten aus dem Be-schäftigungsverhältnis haben dürfen.

Neue Technologien haben Auswirkungen am Arbeitsplatz. Die Ent-wicklung der Anwendung von Multimedia-Arbeitsräumen nimmteinen Kulturwandel vorweg. Sind die Bürger der Europäischen Uni-on innerlich auf einen solchen Wandel vorbereitet, oder sind sie sichüberhaupt der Entwicklungen bewußt? Können Techniken entwik-kelt werden, um sicherzustellen, daß Systeme in einer Weise einge-setzt werden, die die natürlichen sozialen Verhaltensregeln wider-spiegeln, durch die die Privatsphäre am Arbeitsplatz gegenwärtiggeschützt wird?

Neue Technologien im Einzelhandel

Neue Technologien im Einzelhandel wie Supermarkt-Kundenkartensysteme ermöglichen die Erhebung von personenbe-zogenen Daten, die Erzeugung von Profilen des Einzelnen und dieNutzung dieser Daten für Zwecke der Direktwerbung. Der Einsatzdieser neuen Technologien darf nicht zu einer Situation führen, inder der Kunde die Zwecke nicht kennt, zu denen seine personenbe-zogenen Daten erhoben und weiterverwendet werden.

Zusätzlich zu diesen Anmerkungen ist es vielleicht nützlich, denUmstand zur Kenntnis zu nehmen, daß eine große Anzahl von Uni-onsbürgern nicht auf die Informationsgesellschaft vorbereitet oderüber sie informiert sind und deshalb möglicherweise nicht erkennen,wie ihre personenbezogenen Daten in Zukunft behandelt werdenkönnen. Es sollte deshalb betont werden, daß alle Erziehungspro-gramme oder Aktionspläne, die die Europäische Kommission be-züglich der Informationsgesellschaft beschließt, Informationen überdie jeweiligen Datenschutzprobleme enthalten sollte.


384

Anlage 26

Bericht und Empfehlungen der Internationalen Arbeitsgruppevom 19. November 1996

zu

Datenschutz und Privatsphäre im Internet (Budapest-BerlinMemorandum)

- Übersetzung -

Zusammenfassung

Es steht außer Zweifel, daß der gesetzliche und technische Daten-schutz von Benutzern des Internet gegenwärtig unzureichend ist.

In diesem Dokument werden zehn Prinzipien zur Verbesserung desDatenschutzes im Internet beschrieben:

1. Die Diensteanbieter sollten jeden Benutzer des Internet unaufge-fordert über die Risiken für seine Privatsphäre informieren. DerBenutzer wird dann diese Risiken gegen die erwarteten Vorteileabwägen müssen.

2. In vielen Fällen ist die Entscheidung, am Internet teilzunehmen

und wie es zu benutzen ist, durch nationales Datenschutzrechtgeregelt. Dies bedeutet z. B. daß personenbezogene Daten nurauf eine nachvollziehbare Art und Weise gespeichert werdendürfen. Medizinische und besonders sensible personenbezogeneDaten sollten nur in verschlüsselter Form über das Internet über-tragen oder auf den an das Internet angeschlossenen Computerngespeichert werden. Polizeiliche Steckbriefe und Fahndungsauf-rufe sollten nicht im Internet veröffentlicht werden.


385

3. Initiativen für eine engere internationale Zusammenarbeit, jasogar für eine internationale Konvention, die den Datenschutz imZusammenhang mit grenzüberschreitenden Computernetzen undDiensten regelt, sollten unterstützt werden.

4. Es sollte ein internationaler Kontrollmechanismus geschaffen

werden, der auf bereits existierenden Strukturen wie der InternetSociety und anderer Einrichtungen aufbauen könnte. Die Ver-antwortung für den Schutz personenbezogener Daten muß in ei-nem gewissen Ausmaß institutionalisiert werden.

5. Nationale und internationale Gesetze sollten unmißverständlich

regeln, daß auch der Vorgang der Übermittlung (z. B. durchelektronische Post) vom Post- und Fernmeldegeheimnis ge-schützt wird.

6. Darüber hinaus ist es notwendig, technische Mittel zur Verbesse-

rung des Datenschutzes der Benutzer auf dem Netz zu entwik-keln. Es ist zwingend, Entwurfskriterien für Informations- undKommunikationstechnologie und Multimedia-Hard- und Soft-ware zu entwickeln, den Benutzer befähigen, die Verwendungseiner personenbezogenen Daten selbst zu kontrollieren. Generellsollten die Benutzer jedenfalls in den Fällen die Möglichkeit ha-ben, auf das Internet ohne Offenlegung ihrer Identität zuzugrei-fen, in denen personenbezogene Daten nicht erforderlich sind,um eine bestimmte Dienstleistung zu erbringen.

7. Auch für den Schutz der Vertraulichkeit sollten technische Mittel

entwickelt werden. Insbesondere die Nutzung sicherer Ver-schlüsselungsmethoden muß eine rechtmäßige Möglichkeit fürjeden Benutzer des Internet werden und bleiben.

8. Die Arbeitsgruppe würde eine Studie über die Machbarkeit eines

neuen Zertifizierungsverfahrens durch die Ausgabe von “Quali-tätsstempeln” für Dienstanbieter und Produkte im Hinblick aufihre Datenschutzfreundlichkeit unterstützen. Diese könnten zueiner verbesserten Transparenz für die Benutzer der Datenauto-bahn führen.


386

9. Anonymität ist ein wichtiges zusätzliches Gut für den Daten-

schutz im Internet. Einschränkungen des Prinzips der Anonymi-tät sollten strikt auf das begrenzt werden, was in einer demokrati-schen Gesellschaft notwendig ist, ohne jedoch das Prinzip alssolches in Frage zu stellen.

10. Schließlich wird es entscheidend sein, herauszufinden, wie

Selbstregulierungen im Wege einer erweiterten “Netiquette” unddatenschutzfreundliche Technologie die Implementierung natio-naler und internationaler Regelung über den Datenschutz ergän-zen und verbessern können. Es wird nicht ausreichen, sich aufeine dieser Handlungsmöglichkeiten zu beschränken: Sie müsseneffektiv kombiniert werden, um zu einer globalen Informations-Infrastruktur zu gelangen, die das Menschenrecht auf Daten-schutz und unbeobachtete Kommunikation respektiert.

Bericht

Das Internet ist gegenwärtig das größte internationale Computernetzder Welt. In mehr als 140 Ländern gibt es “Auffahrten” zu dieser“Datenautobahn”. Das Internet besteht aus mehr als vier Millionenangeschlossenen Rechnern (“hosts”); mehr als 40 Millionen Benut-zer aus aller Welt können wenigstens einen der verschiedenen Inter-net-Dienste nutzen und haben die Möglichkeit, miteinander durchelektronische Post zu kommunizieren. Die Benutzer haben Zugriffauf einen immensen Informationsbestand, der an verschiedene Ortenin aller Welt gespeichert wird. Das Internet kann als erste Stufe dersich entwickelnden Globalen Informations-Infrastruktur (GII) be-zeichnet werden. Das World Wide Web bildet als die modernsteBenutzeroberfläche im Internet eine Basis für neue interaktive Mul-timedia-Dienste. Die Internet-Protokolle werden zunehmend auchfür die Kommunikation innerhalb großer Unternehmen genutzt(“Intranet”).


387

Die Teilnehmer am Internet haben unterschiedliche Aufgaben, Inter-essen und Möglichkeiten:• Die Software-, Computer- und Telekommunikationsindustrien

erstellen die Kommunikationsnetze und die angebotenen Dienste.• Telekommunikationsorganisationen wie die nationalen Tele-

kommunikationsunternehmen stellen die Basisnetze für die Da-tenübertragung zur Verfügung (Punkt-zu-Punkt- oder Punkt-zu-Mehrpunkt-Verbindungen).

• Dienstleistungsunternehmen stellen Basisdienste für die Speiche-rung, Übertragung und Darstellung von Daten zur Verfügung.Sie sind für den Datentransport im Internet verantwortlich (rou-ting, delivery) und verarbeiten Verbindungsdaten.

• Informationsanbieter stellen den Benutzern in Dateien und Da-tenbanken gespeicherte Informationen zur Verfügung.

• Die Benutzer greifen auf die verschiedenen Internet-Dienste(elektronische Post, news, Informationsdienste) zu und nutzendas Netz sowohl zur Unterhaltung als auch für Teleshopping,Telearbeit, Fernunterricht und Telemedizin.

I. Probleme und Risiken Anders als bei der traditionellen Verarbeitung personenbezogenerDaten, bei der normalerweise eine einzelne Behörde oder ein Unter-nehmen für den Schutz der personenbezogenen Daten ihrer Kundenverantwortlich ist, ist im Internet eine solche Gesamtverantwortungkeiner bestimmten Einrichtung zugewiesen. Darüber hinaus gibt eskeinen internationalen Kontrollmechanismus zur Erzwingung derEinhaltung gesetzlicher Verpflichtungen, soweit diese existieren.Der Benutzer muß daher Vertrauen in die Sicherheit des gesamtenNetzes, unabhängig davon, wo dieser angesiedelt ist oder von wemer verwaltet wird. Die Vertrauenswürdigkeit des Netzes wird durchdie Einführung neuer Software, bei deren Nutzung Programme ausdem Netz geladen werden und die mit einer Verschlechterung derKontrolle der auf dem Rechner des Benutzers gespeicherten perso-nenbezogenen Daten verbunden ist, sogar noch wichtiger werden.


388

Die schnelle Ausbreitung des Internet und seine zunehmende Nut-zung für kommerzielle und private Zwecke führen zur Entstehungschwerwiegender Datenschutzprobleme: • Das Internet ermöglicht die schnelle Übertragung großer Infor-

mationsmengen auf beliebige andere an das Netzwerk ange-schlossene Computersysteme. Sensible personenbezogene Datenkönnen in Länder übertragen werden, die nicht über ein ange-messenes Datenschutzniveau verfügen.

Informationsanbieter könnten personenbezogene Daten aufRechnern in Ländern ohne jegliche Datenschutzgesetzgebunganbieten, auf die aus aller Welt durch einen einfachen Mausklickzugegriffen werden kann.

• Personenbezogene Daten können über Länder ohne jegliche oderohne hinreichende Datenschutzgesetzgebung geleitet werden. ImInternet, das ursprünglich für akademische Zwecke eingerichtetwurde, ist die Vertraulichkeit der Kommunikation nicht sicherge-stellt.

Es gibt keine zentrale Vermittlungsstelle oder sonstige verant-wortliche Einrichtung, die das gesamte Netz kontrolliert. Damitist die Verantwortung für Datenschutz und Datensicherheit aufMillionen von Anbietern verteilt. Eine übertragene Nachrichtkönnte an jedem Computersystem, das sie passiert, abgehört undzurückverfolgt, verändert, gefälscht, unterdrückt oder verzögertwerden. Trotzdem nimmt die Nutzung des Internet für Ge-schäftszwecke exponentiell zu, und personenbezogene und ande-re sensible Daten (Kreditkarten-Informationen und Gesundheits-daten) werden über das Internet übertragen.

• Bei der Nutzung von Internet-Diensten wird weder eine ange-messene Anonymität noch eine angemessene Authentifizierungsichergestellt. Computernetzwerk-Protokolle und viele Internet-Dienste arbeiten in der Regel mit dedizierten (Punkt-zu-Punkt-)Verbindungen. Zusätzlich zu den Inhaltsdaten wird dabei dieIdentität von Sender und Empfänger übertragen. Jeder elektroni-sche Brief enthält einen “header” mit Informationen über Senderund Empfänger (Name und Internet-Protocol-Nummer, Namedes Rechners, Zeitpunkt der Übertragung). Der “header” enthältweitere Informationen über den Übertragungsweg und den Inhalt


389

der Nachricht. Er kann auch Hinweise auf Publikationen andererAutoren enthalten. Die Benutzer sind gezwungen, eine elektroni-sche Spur zu hinterlassen, die zur Erstellung eines Benutzerpro-fils über persönliche Interessen und Vorlieben verwendet werdenkann. Obwohl es keinen zentralen Abrechnungsmechanismus fürZugriffe auf news oder das World Wide Web gibt, kann das In-formationsgebaren von Sendern und Empfängern zumindest vondem Dienstleistungsunternehmen, an das der Benutzer ange-schlossen ist, verfolgt und überwacht werden.

• Andererseits sind die unzureichenden Identifizierungs- und Au-thentifizierungsprozeduren im Internet bereits dazu benutzt wor-den, in unzureichend geschützte Computersysteme einzudringen,auf dort gespeicherte Informationen zuzugreifen und diese zuverändern oder zu löschen. Das Fehlen einer sicheren Authentifi-kation könnte auch genutzt werden, um auf kommerzielle Dien-ste auf Kosten eines anderen Benutzers zuzugreifen.

• Es gibt im Internet Tausende von speziellen news-groups, vondenen die meisten jedem Nutzer offenstehen. Die Artikel könnenpersonenbezogene Daten von Dritten enthalten, die gleichzeitigauf vielen tausend Computersystemen gespeichert werden, ohnedaß der Einzelne die Möglichkeit hat, dagegen vorzugehen.

Die Teilnehmer am Internet haben ein gemeinsames Interesse an derIntegrität und Vertraulichkeit der übertragenen Information: DieBenutzer sind an verläßlichen Diensten interessiert und erwarten,daß ihre personenbezogenen Daten geschützt werden. In bestimmtenFällen können sie ein Interesse daran haben, Dienste ohne Identifi-zierung benutzen zu können. Den Benutzern ist es normalerweisenicht bewußt, daß sie beim “Surfen” im Netz einen globalen Markt-platz betreten und daß jeder einzelne Schritt dort überwacht werdenkann. Andererseits sind viele Diensteanbieter an der Identifizierung undAuthentifizierung von Benutzern interessiert: Sie benötigen perso-nenbezogene Daten für die Abrechnung, könnten diese Daten aberauch für andere Zwecke nutzen. Je mehr das Internet für kommer-zielle Zwecke genutzt wird, desto interessanter wird es für Dienste-anbieter und andere Einrichtungen sein, so viele Verbindungsdaten


390

über das Nutzerverhalten im Netz wie möglich zu speichern unddamit das Risiko für den Datenschutz der Kunden zu verstärken.Unternehmen bieten in zunehmendem Maße freien Zugang zumInternet an, um sicherzustellen, daß die Kunden ihre Werbeanzeigenlesen, die zu einer der hauptsächlichen Finanzierungsquellen desgesamten Internets werden. Die Unternehmen wollen nachvollziehenkönnen, in welchem Ausmaß, von wem und wie oft ihre Werbean-zeigen gelesen werden. Im Hinblick auf die erwähnten Risiken kommt den Einrichtungen,die das Netz auf internationaler, regionaler und nationaler Ebeneverwalten, insbesondere bei der Entwicklung der Protokolle undStandards für das Internet, bei der Festlegung der Regeln für dieIdentifikation der angeschlossenen Server und schließlich bei derIdentifikation der Benutzer, eine wichtige Funktion zu. II. Vorhandene Regelungen und Empfehlungen Obwohl verschiedene nationale Regierungen und internationaleOrganisationen (z. B. die Europäische Union) Programme gestartethaben, um die Entwicklung von Computernetzen und -diensten zuerleichtern und zu intensivieren, sind dabei nur sehr geringe An-strengungen unternommen worden, um für ausreichende Daten-schutz- und Datensicherheitsregelungen zu sorgen. Einige nationaleDatenschutzbehörden haben bereits Empfehlungen für die techni-sche Sicherheit von an das Internet angeschlossenen Computernet-zen und über Datenschutzrisiken für die einzelnen Benutzer vonInternet-Diensten herauszugeben. Solche Empfehlungen sind z. B. inFrankreich, Großbritannien (vgl. den 11. Jahresbericht des DataProtection Registrar, Anhang 6) und in Deutschland erarbeitet wor-den. Die wesentlichen Punkte können wie folgt zusammengefaßtwerden: • Das Anbieten von Informationen auf dem Internet fällt in den

Regelungsbereich der nationalen Datenschutzgesetze und-regelungen. In dieser Hinsicht ist das Internet nicht so ungere-gelt, wie oft behauptet wird. Es ist, um nur ein Beispiel zu nen-nen, einem deutschen Anbieter eines WorldWideWebServers


391

verboten, ohne Wissen des Benutzers die vollständigen Angabenüber den auf ihr Angebot zugreifenden Rechner, die abgerufenenSeiten und heruntergeladene Dateien zu speichern (wie es imNetz allgemein praktiziert wird). Nationale Regelungen könneneine Verpflichtung für Informationsanbieter enthalten, sich beieiner nationalen Datenschutzbehörde anzumelden. Nationale Ge-setze enthalten darüber hinaus spezielle Regelungen im Hinblickauf internationales Straf-, Privat- und Verwaltungsrecht (Kollisi-onsrecht), die unter bestimmten Umständen Lösungen bereit-stellen können.

• Bevor ein lokales Computernetz - z. B. das einer Behörde - andas Internet angeschlossen wird, müssen die Risiken für das lo-kale Netzwerk und die darauf gespeicherten Daten im Einklangmit dem nationalen Recht abgeschätzt werden. Dazu kann dieErarbeitung eines Sicherheitskonzepts und einer Abschätzung, obes erforderlich ist, das gesamte Netz oder nur Teile davon an dasInternet anzuschließen, gehören. Abhängig von dem verfolgtenZweck kann es sogar ausreichend sein, nur ein Einzelplatzsysteman das Netz anzuschließen. Es sollten technische Maßnahmengetroffen werden, um sicherzustellen, daß auf dem Internet nurauf Daten, die veröffentlicht werden könnten, zugegriffen wer-den kann, z. B. durch Einrichtung eines Firewall-Systems, dasdas lokale Netzwerk vom Internet trennt. Es muß jedoch festge-stellt werden, daß der Anschluß eines Computernetzwerks an dasInternet eine Erhöhung des Sicherheitsrisikos auch dann bedeu-tet, wenn solche technischen Maßnahmen getroffen worden sind.

• Falls personenbezogene Daten von Nutzern eines bestimmtenDienstes gespeichert werden, muß für die Benutzer klar sein, werdiese Daten nutzen wird und zu welchen Zwecken die Daten ge-nutzt oder übermittelt werden sollen. Dies bedeutet eine Infor-mation am Bildschirm vor der Übermittlung und die Schaffungeiner Möglichkeit, die Übermittlung zu unterbinden. Der Benut-zer sollte in der Lage sein, diese Unterrichtung und aller übrigenBedingungen, die durch den Diensteanbieter gestellt werden,auszudrucken.

• Wenn der Zugang zu personenbezogenen Daten auf einem Com-putersystem bereitgestellt wird - z. B. durch die Veröffentlichungbiographischer Angaben über Mitarbeiter in einem Verzeichnis -


392

muß der Informationsanbieter sicherstellen, daß diese Personensich der globalen Natur des Zugriffs bewußt sind. Am sicherstenist es, die Daten nur mit der informierten Einwilligung der be-troffenen Person zu veröffentlichen.

Darüber hinaus gibt es eine Reihe von internationalen gesetzlichenBestimmungen und Konventionen, die u. a. auch auf das Internetanwendbar sind:− Empfehlungen des Rates über Leitlinien für den Schutz des Per-

sönlichkeitsbereichs und den grenzüberschreitenden Verkehrpersonenbezogener Daten, verabschiedet vom Rat der Organisa-tion für wirtschaftliche Zusammenarbeit und Entwicklung(OECD) am 23. September 1980

− Übereinkommen des Europarates zum Schutz des Menschen beider automatischen Verarbeitung personenbezogener Daten vom28. Januar 1981

− Richtlinien betreffend personenbezogene Daten in automatisier-ten Dateien, von der Generalversammlung der Vereinten Natio-nen verabschiedet am 4. Dezember 1990

− Richtlinie des Rates der Europäischen Gemeinschaften90/387/EWG vom 28. Juni 1990 zur Verwirklichung des Bin-nenmarktes für Telekommunikationsdienste durch Einführungeines offenen Netzzugangs (Open Network Provision - ONP) (inder Datenschutz als “grundlegende Anforderung” definiert wird)

− Richtlinie 95/46/EG des Europäischen Parlaments und des Ratesvom 24. Oktober 1995 zum Schutz natürlicher Personen bei derVerarbeitung personenbezogener Daten und zum freien Daten-verkehr (EU-Datenschutzrichtlinie)

− Allgemeines Abkommen über Handel und Dienstleistungen(GATS) (das in Artikel XIV regelt, daß die Mitgliedstaaten durchdas weltweite Abkommen nicht daran gehindert werden, Rege-lungen über den Datenschutz von Einzelpersonen im Zusam-menhang mit der Verarbeitung und Verbreitung von personenbe-zogenen Daten und dem Schutz der Vertraulichkeit von Aktenund Aufzeichnungen über Einzelpersonen zu erlassen oderdurchzusetzen).


393

Die Richtlinie der Europäischen Union enthält als erstes supranatio-nales Gesetzeswerk eine wichtige Neudefinition des Begriffs “fürdie Verarbeitung Verantwortlicher”, die im Zusammenhang mit demInternet von Bedeutung ist. Artikel 2 Buchstabe c) definiert den “fürdie Verarbeitung Verantwortlichen” als die natürliche oder juristi-sche Person, Behörde, Einrichtung oder jede andere Stelle, die alleinoder gemeinsam mit anderen über die Zwecke und Mittel der Verar-beitung von personenbezogenen Daten entscheidet. Wenn man dieseDefinition auf die Nutzung des Internet für die Zwecke der Über-mittlung elektronischer Post anwendet, muß der Absender einerelektronischen Nachricht als “für die Verarbeitung Verantwortli-cher” dieser Nachricht angesehen werden, wenn er eine Datei mitpersonenbezogenen Daten absendet, da er die Zwecke und Mittel derVerarbeitung und Übermittlung dieser Daten bestimmt. Andererseitsbestimmt der Anbieter eines Mailbox-Dienstes selbst die Zweckeund Mittel der Verarbeitung von personenbezogenen Daten im Zu-sammenhang mit dem Betrieb des Mailbox-Dienstes und hat damitwenigstens eine Mitverantwortung für die Einhaltung der anwendba-ren Regelungen über den Datenschutz. Kürzlich hat die Europäische Kommission zwei Dokumente veröf-fentlicht, die zu einer europäischen Gesetzgebung führen könntenund in diesem Fall beträchtliche Auswirkungen auf den Datenschutzim Internet haben werden: − Mitteilung an das Europäische Parlament, den Rat, den Wirt-

schafts- und Sozialausschuß und den Ausschuß der Regionenüber illegale und schädigende Inhalte im Internet (KOM (96)487)

und − Grünbuch über den Jugendschutz und den Schutz der Men-

schenwürde in den audiovisuellen und Informationsdiensten(KOM (96) 483).


394

Obwohl auch diese nicht rechtlich bindend und eher auf einer natio-nalen denn auf einer internationalen Ebene verabschiedet wordensind, sollten die − Grundsätze für die Bereitstellung und Nutzung personenbezoge-

ner Daten “Privacy und die nationale Informations-Infrastruktur”verabschiedet von der Privacy Working Groupdes Information Policy Committeeinnerhalb der Information Infrastructure Task Force (IITF) am6. Juni 1995

genannt werden, da sie einen Einfluß auf die internationalen Daten-flüsse haben werden. Sie sind intensiv und fruchtbar mit der Inter-nationalen Arbeitsgruppe zum Datenschutz in der Telekommunika-tion bei einem gemeinsamen Treffen in Washington D. C. am 28.April 1995 diskutiert worden.

In der Praxis werden einige wichtige und effektive Regeln zurSelbstregulierung von der Netzgemeinde selbst aufgestellt (z. B.“Netiquette”). Solche Maßnahmen dürfen im Hinblick auf die Rolle,die sie gegenwärtig und zukünftig für den Datenschutz des einzelnenBenutzers spielen können, nicht unterschätzt werden. Sie tragenmindestens dazu bei, die nötige Aufmerksamkeit unter den Benut-zers dafür zu schaffen, daß Vertraulichkeit als eine Grundanforde-rung auf dem Netz nicht existiert (“Sende oder speichere niemalsetwas in Deiner Mailbox, das Du nicht in den Abendnachrichtensehen möchtest”). Die EU-Datenschutzrichtlinie wiederum fordertVerhaltensregeln (Artikel 27), die von den Mitgliedstaaten und derKommission gefördert werden sollen.

III. Empfehlungen

Es steht außer Zweifel, daß der gesetzliche und technische Daten-schutz im Internet im Augenblick unzureichend ist.

Das Recht des Einzelnen, die Datenautobahn zu benutzen, ohneüberwacht und identifiziert zu werden, sollte garantiert werden.Andererseits muß es im Hinblick auf die Nutzung personenbezoge-


395

ner Daten auf der Datenautobahn (z. B. von Dritten) Grenzen geben(“Leitplanken”).

Eine Lösung für dieses Grunddilemma muß auf folgenden Ebenengefunden werden:

1. Die Diensteanbieter sollten jeden potentiellen Nutzer des Internetunaufgefordert über die Risiken für seine Privatsphäre informie-ren. Der Benutzer wird dann diese Risiken gegen die erwartetenVorteile abwägen müssen.

2. Da “sowohl die einzelnen Teile der Netzwerk-Infrastruktur als

auch die Benutzer jeder einen physikalischen Standort haben,können Staaten einen bestimmten Grad von Verläßlichkeit in be-zug auf die Netze und ihre Teilnehmer verhängen und durchset-zen” (Joel Reidenberg). In vielen Fällen ist die Entscheidung, amInternet teilzunehmen und wie es zu benutzen ist, durch nationaleDatenschutzgesetze geregelt.

Personenbezogene Daten dürfen nur in einer nachvollziehbaren

Art und Weise gespeichert werden. Medizinische und anderesensible personenbezogene Daten sollten nur in verschlüsselterForm über das Internet übertragen oder auf den am Internet an-geschlossenen Computern gespeichert werden.

Es spricht viel dafür, die Nutzung des Internet für die Veröffent-

lichung von Steckbriefen und Fahndungsaufrufen durch die Poli-zei zu verbieten (das amerikanische Federal Bureau of Investiga-tions veröffentlicht seit einiger Zeit eine Liste von gesuchtenVerdächtigen im Internet). Die beschriebenen Defizite der Au-thentifizierungsprozeduren und die Manipulierbarkeit von Bil-dern im Cyberspace scheinen die Nutzung des Internet für diesenZweck auszuschließen.

3. Verschiedene nationale Regierungen haben internationale Über-

einkommen über die globale Informations-Infrastruktur angeregt.Initiativen für eine engere internationale Zusammenarbeit, ja so-gar eine internationale Konvention, die den Datenschutz im Hin-


396

blick auf grenzüberschreitende Netze und Dienste regelt, solltenunterstützt werden.

4. Es sollte ein internationaler Kontrollmechanismus geschaffen

werden, der auf bereits existierenden Strukturen wie der InternetSociety und anderer Einrichtungen aufbauen könnte. Die Ver-antwortung für den Schutz personenbezogener Daten muß in ei-nem gewissen Ausmaß institutionalisiert werden.

5. Nationale und internationale Gesetze sollten unmißverständlich

regeln, daß auch der Vorgang der Übermittlung (z. B. durchelektronische Post) vom Post- und Fernmeldegeheimnis ge-schützt wird.

6. Darüber hinaus ist es notwendig, technische Mittel zur Verbesse-

rung des Datenschutzes der Benutzer auf dem Netz zu entwik-keln. Es ist zwingend, Entwurfskriterien für Informations- undKommunikationstechnologie und Multimedia-Hard- und Soft-ware zu entwickeln, die den Benutzer befähigen, die Verwen-dung seiner personenbezogenen Daten selbst zu kontrollieren.Generell sollten die Benutzer jedenfalls in den Fällen die Mög-lichkeit haben, auf das Internet ohne Offenlegung ihrer Identitätzuzugreifen, in denen personenbezogene Daten nicht erforderlichsind, um eine bestimmte Dienstleistung zu erbringen. Konzeptefür solche Maßnahmen sind bereits entwickelt und veröffentlichtworden. Beispiele sind das “Identity-Protector”-Konzept, das in“Privacy-enhancing technologies: The path to anonymity” vonder niederländischen Registratiekammer und dem Datenschutz-beauftragten von Ontario/Kanada enthalten ist (vorgestellt aufder 17. Internationalen Konferenz der Datenschutzbeauftragtenin Kopenhagen (1995)) und das “User Agent-Konzept”, das aufder gemeinsamen Sitzung der Internationalen Arbeitsgruppe zumDatenschutz in der Telekommunikation und der Privacy WorkingGroup der Information Infrastructure Task Force vorgestelltwurde (April 1995).

7. Auch für den Schutz der Vertraulichkeit sollten technische Mittel

entwickelt werden.


397

Die Möglichkeit sicherer Verschlüsselungsmethoden muß einerechtmäßige Möglichkeit für jeden Benutzer des Internet werdenund bleiben.

Die Arbeitsgruppe unterstützt neue Entwicklungen im Internet-

Protokoll (z. B. IP v6), die die Vertraulichkeit durch Verschlüs-selung, Klassifizierung von Nachrichten und bessere Authentifi-zierungsprozeduren verbessern. Die Hersteller von Softwaresollten den Sicherheitsstandard des neuen Internet-Protokolls inihre Produkte aufnehmen, und Diensteanbieter sollten die Nut-zung dieser Produkte so schnell wie möglich unterstützen.

8. Die Arbeitsgruppe würde eine Studie über die Machbarkeit eines

neuen Zertifizierungsverfahrens durch die Ausgabe von “Quali-tätsstempeln” für Diensteanbieter und Produkte im Hinblick aufihre Datenschutzfreundlichkeit unterstützen. Diese könnten zueiner verbesserten Transparenz für die Benutzer der Datenauto-bahn führen.

9. Anonymität ist ein wichtiges zusätzliches Gut für den Daten-

schutz im Internet. Einschränkungen des Prinzips der Anonymi-tät sollten strikt auf das begrenzt werden, was in einer demokrati-schen Gesellschaft notwendig ist, ohne jedoch das Prinzip alssolches in Frage zu stellen.

10. Schließlich wird es entscheidend sein, herauszufinden, wie

Selbstregulierung im Wege einer erweiterten “Netiquette” unddatenschutzfreundliche Technologie die Implementierung natio-naler und internationaler Regelung über den Datenschutz ergän-zen und verbessern können. Es wird nicht ausreichen, sich aufeine dieser Handlungsmöglichkeiten zu beschränken: Sie müsseneffektiv kombiniert werden, um zu einer globalen Informations-Infrastruktur zu gelangen, die das Menschenrecht auf Daten-schutz und unbeobachtete Kommunikation respektiert.

Die Internationale Arbeitsgruppe zum Datenschutz in der Tele-kommunikation wird die weitere Entwicklung in diesem Bereichgenau beobachten, Anregungen aus der Netzgemeinde berück-sichtigen und weitere, detailliertere Vorschläge entwickeln.


398

Anlage 27

Rundschreiben

Meldungen zum Thüringer Datenschutzregister (DSR)gemäß § 2 ThürDSRegVO

Beigefügt übersende ich Ihnen ein in meinem Auftrag vom TLRZerstelltes Programm, welches die rechnergestützte Erfassung undden Druck der Formblätter für die Meldung zum Datenschutzregistergemäß § 40 Abs. 7 i. V. m. § 12 ThürDSG ermöglicht. Ich empfehle,soweit die technischen Möglichkeiten vorhanden sind, dieses Pro-gramm für zukünftige Meldungen an meine Dienststelle einzusetzen.Das Programm eröffnet auch die Möglichkeit, die Registermeldungfür das nach § 10 ThürDSG von der öffentlichen Stelle zu führendeVerzeichnis der eingesetzten Datenverarbeitungsanlagen und auto-matisierten Verfahren zu verwenden, indem es auf Wunsch hierfürein zusätzliches Ergänzungsblatt erstellt.Bei dem Ausfüllen der elektronischen Formulare werden umfangrei-che Hilfestellungen angeboten. Das Programm ist lediglich eineHilfe zur Erstellung von papiergebundenen Datenschutzregistermel-dungen. Es ersetzt diese nicht!

Das DSR-Programm ist lauffähig unter Winword 2.0 bzw. Winword6.0. Empfohlen wird aufgrund der umfangreicheren Funktionalitätein Einsatz unter Winword 6.0.Auf der Diskette befinden sich die Verzeichnisse Winword2 undWinword6. Ich empfehle vor der Installation des Programmes dieDatei liesmich.doc aus dem entsprechenden Verzeichnis zu lesen. Indieser Datei sind alle notwendigen Hinweise zur Installation und zurHandhabung des Programms beschrieben.

Sollte es Probleme oder Fragen beim praktischen Einsatz geben,wäre ich für eine Rückinformation dankbar.Einer entsprechenden Weiterleitung des DSR-Programms im Ge-schäfts- und Verantwortungsbereich steht nichts entgegen.


399

Anlage 28

Thüringer Landesbeauftragter für den Datenschutz (TLfD)

Landesbeauftragte für den Datenschutz

Grundsatzangelegenheiten einschließlich

Datenschutzregisterführung Personalangelegenheiten Geschäftszimmer

Schriftgutverwaltung Europäischer und Internationaler Datenschutz

Silvia Liebaug

Referat 1 - Referat 2 - Referat 3 - Rechtsangelegenheiten Rechtsangelegenheiten Technik

Landtag, Staatskanzlei, Soziales/Gesundheit Technischer Datenschutz, Inneres (mit Ausnahme Statistik Landwirtschaft/Forsten/Umwelt Beratung und Kontrolle in und Meldewesen), Wissenschaft/Forschung allen Geschäftsbereichen, Justiz, Schulen, Hochschulen, techn.-organisatorische Finanzen (ohne Sparkasse), Wirtschaft Grundsatzfragen, Personalwesen, Inneres (Statistik und Meldewesen) neue Kommunikationstech- Medien/Telekommunikation (soweit Kommunale Angelegenheiten, niken und -technologien nicht LfD oder Ref. 3) Archivwesen Zentrale Angelegenheiten Religionsgemeinschaften/Kammern

Anschrift PostanschriftAm Hügel 10a PF 94199084 Erfurt 99019 Erfurt

Tel. 0361/590 26-0Fax 0361/590 2620E-Mail:[email protected]


400

Sachregister

Abgabenordnung 1/9.1.8; 2/9.1, 9.8Abgeordneter 2/3.3Abgleich von Fingerabdrücken 2/7.6Abrufdienst 2/4.4Abrufverfahren 1/5.2.3, 5.3.1, 10.5,

11.1.1; 2/4.1, 5.2.2, 11.29Adreßbücher 1/5.2.4.7, 15.3; 2/5.2.4Adreßdaten 2/11.19Adressenfeststellungsverfahren 2/9.5Akteneinsicht 1/8.1,10.4; 2/9.2Aktenzeichen 2/7.9Akustische Wohnraumüberwachung 2/10.8Altdaten 1/2.3, 5.2.2, 6.1.6, 6.1.9,

6.1.10, 7.2, 10.2, 10.3,10.11.1, 11.3.1, 11.3.2;2/5.2.3, 5.2.9, 14.14

Amtsarzt 1/11.3.3; 2/5.2.11Analyse 2/7.3Anhörungsbogen 1/7.5.1; 2/7.10, 14.9Anlagen- und Verfahrensverzeichnis 2/15.4Anonymisierung 1/7.3, 11.3.5, 11.5, 11.6,

12.3, 12.5, 13.1.2, 13.1.7,13.3.1, 15.15.1; 2/11.4,13.9, 15.6

Antragsformular 1/11.9.3, 14.1.2, 14.3.2,14.3.5; 2/5.2.6

Antragsverfahren 2/11.28Anweisung für das Straf- und Bußgeld-verfahren (Steuer)

2/9.5

Arbeitsdatei 2/7.3Architektenliste 2/14.1Archivierung 1/7.2, 10.11.1, 13.4,

13.4.2, 13.4.3; 2/5.2.9,11.9, 11.10, 13.6, 13.10

Asylbewerber 2/5.1.6


401

Asylcard 1/5.3.2; 2/5.1.1Asymmetrische Verschlüsselung 2/15.7Aufbewahrungsfrist 1/6.1.9, 11.3.1, 11.3.2;

2/5.1.8, 5.2.9, 10.17, 11.9Aufenthaltserlaubnis 2/5.1.5Aufnahmeformular 2/11.5Auftragsdatenverarbeitung 1/ 2.5, 5.2.3, 6.1.10, 9.2.7,

14.4.2, 15.9, 15.4.5;2/5.2.8, 11.10, 11.17,11.19, 11.29

Ausbildungsverkehr 2/14.11Auskunftserteilung 1/1.1.6, 6.3.2, 9.1.6, 9.2.3;

2/5.1.8Auskunftspflicht 2/11.3Ausländer 2/5.1.2Ausländerbehörde 1/5.3.1; 2/5.1.6, 5.2.7Ausländergesetz 2/5.1.2, 5.1.7Ausländerzentralregister 1/1.2.3, 5.3.1; 2/5.1.2, 7.6automatisierte Verfahren 2/9.4, 10.11, 10.11.3,

10.12

Beanstandung 1/1.1.3, 2.1, 2.3, 2.4,5.1.2, 5.1.3.1, 5.2.2,5.2.4.5, 6.1.10, 6.1.11;2/1., 1.1, 1.2, 5.1.9, 5.2.3,5.2.4, 5.2.9, 5.2.12,5.2.16, 5.2.18, 6.4, 6.5,7.6, 7.8, 8.1, 9.3, 9.4 9.5,10.12, 10.18, 10.19,11.19, 14.11, 15.4

Bedrohungs- und Risikoanalyse 2/10.5behördeninterner Datenschutzbeauf-tragter

2/5.1.9

Bekenntnisfreiheit 1/11.3.4; 2/11.7belegungsgebundener Wohnraum 2/14.14Beschlagnahmeschutz 2/5.2.9Besucherdaten 2/10.17


402

Betretungsverbot 2/7.8Bild-Ton-Aufzeichnung 2/7.12, 10.7Biotopkartierung 2/14.20Bodenbewertungsverfahren 2/9.4Browser 2/15.13Bundeskriminalamt, -Gesetz 1/1.2.3, 7.6; 2/7.3, 7.5Bundeszentralregister 1/5.2.6.2, 10.5, 10.8, 10.9,

13.2.2, 14.1.5, 14.2.3;2/10.6, 11.14, 11.27

Bürgerkriegsflüchtlinge 2/5.1.3

CD-ROM 1/5.2.4.7, 15.11, 15.14.5;2/4.1

Chipkarte 1/5.3.2, 11.10, 15.1,15.10, 2/11.13, 14.18,15.9

Container-Lösung 2/5.2.9, 11.10Cookies 2/15.13Corporate Network 1/15.5.1; 2/4.1, 4.2, 15.2

Datenaustausch 2/11.2, 15.4Datenerhebung 1/6.1.2, 11.5, 11.9.3, 12.5,

12.6, 2/8.2Datennetze 2/11.13Datenschutz-Audit 2/4.4, 4.5Datenschutzfreundliche Technologien 2/15.6Datenschutzklausel 2/11.25Datenschutzregistermeldung 1/1.1.6, 2.1, 2.3, 10.16,

15.2; 2/1.2, 9.3, 9.4, 13.10Datensicherheit 1/7.7, 10.5, 15.2, 15.3;

2/4.4Datensparsamkeit 2/4.3, 15.6Datenspeicher Wohnungspolitik 2/14.14Datenträgeraustauschvereinbarung 2/11.18Datenträgerentsorgung 2/15.4


403

Datenübermittlung 1/4.3, 5.2.3, 5.2.4.2, 5.3.3,6.1.15, 7.4, 8.3, 9.1.3,9.2.1, 9.2.2, 10.1, 10.7,13.2.1, 14.3.6; 2/5.1.3,5.1.4, 9.5, 10.9, 10.10,10.14, 10.15, 10.16,10.20, 10.21, 14.16

Datenvermeidung 2/15.6Diensteanbieter 2/4.3Digitale Signatur 2/15.7, 15.8, 15.12DNA-Analyse 2/10.4

EG-Datenschutzrichtlinie 1/4.1; 2/2.EG-Führerscheinrichtlinie 1/14.2.1; 2/14.7Ehescheidungsverbundurteile 1/10.12; 2/10.11Eingliederungshilfe 2/11.28Einkommensnachweis 2/5.2.14Einmessungsverfahren 2/14.16Einsichtsrecht 1/1., 6.1.4, 8.4, 9.1.6,

10.11.1, 13.2.2, 14.1.3;2/9.9, 10.17, 10.18, 11.12

Einwilligung 1/6.1.5, 6.1.7, 10.11.3,11.2.6, 11.10, 13.3,13.3.1, 14.1.2, 14.1.4,14.3.5, 14.3.6; 2/5.1.4,5.2.4, 5.2.12, 10.9, 10.14,10.15, 11.15, 11.16, 11.26

Einzelangaben 2/12.2Emissionskataster 2/14.19Erhebungsbogen 2/5.2.12, 13.3, 14.17Errichtungsanordnung 1/1.2.5, 7.1, 7.4, 7.6, 10.5;

2/7.6, 10.5Europäische Datenbank über gerichtli-che Verfahren

2/10.9

Europäischer Datenschutz 2/2.Europol 1/7.9; 2/7.3


404

Fahndung 1/4.3; 2/7.6, 10.3Fahrerfoto 2/7.10Fahrtenbuch 2/9.6Fax-PC 2/15.12Fehlbelegung in Krankenhäusern 2/11.23Fernmeldegeheimnis 2/4.1Fernwartung 2/15.10Finddateien 2/13.10Fingerabdruck 2/7.5Forschung 1/1.1.5, 5.2.4.8, 13.1.2,

13.3.1, 13.3.3; 2/11.9,13.4, 13.7, 13.9

Freigabe automatisierter Verfahren 1/6.1.11, 7.7, 15.7.3;2/1.2, 9.3, 9.4, 10.18

Führerscheinstelle 1/14.2.4; 2/14.8, 14.9Führungszeugnis 2/11.14

Gebäuderegister 2/12.2Gebrauchtwarenhandel 2/14.2Geburtsurkunde 2/5.2.5Gefahrenabwehr 2/7.1, 7.12Gefahrstoffdatenbank 2/13.9Geldauflagen 2/10.15Gemeinderat 2/5.2.16, 5.2.17Gemeinsame Kontrollinstanz 2/7.4Generierung 2/15.10Genetischer Fingerabdruck 2/10.4Gesundheitsamt 2/5.2.11Gewerbeanzeige 2/14.6Gewerbebehörde 2/14.3Großer Lauschangriff 2/10.8Grundbuchamt 1/10.13; 2/10.12Grundstücksdaten 2/5.2.17GSM-Netze 2/15.1Gutachten 2/11.22


405

Handelsregisterdaten 2/14.5Hausordnungen 2/14.13Health Professional Card 2/11.13Hochschule 2/7.12, 13.4, 13.5, 13.6

ICD-10-Code 2/11.18Immunität 2/3.3Industrie- und Handelskammer 1/14.1.2, 14.1.3, 14.1.4;

2/14.5Informations- und Kommunikations-dienste-Gesetz

2/4.3, 15.8

Informationsanspruch des Abgeordne-ten

2/3.2

Informationssystem der Thüringer Poli-zei

2/7.6

Ingenieurliste 2/14.1INPOL 2/7.6, 7.7Integrationsverfahren Thüringen-Grundstufe

2/7.6

Integriertes Automatisches Besteue-rungsverfahren

2/9.4

International Data Encryption Algo-rithm

2/15.7

Internationaler Datenschutz 2/2.Internet 1/15.1, 15.13, 2/14.5Intranet 2/15.2IT-Maßnahmenregelung 2/15.3IT-Ressortplan 1/15.4; 2/15.3IT-Richtlinien 2/15.3IT-Sicherheitskonzept 2/5.1.9, 7.6, 15.3, 15.4

Jugendamt 2/5.2.12, 5.2.13Jugendgerichtshilfe 2/13.7Jugendgesundheitsdienst 2/5.2.10Justizmitteilungsgesetz 1/10.1; 2/10.1Justizvollzugsanstalt 1/6.1.12, 10.11, 11.3.2;

2/10.11.3, 10.17


406

Kartierung 2/14.20Kassenärztliche Bundesvereinigung 2/11.18Kassenärztliche Vereinigung 2/11.14, 11.15Kassenarztverzeichnis 2/11.15Katasteramt 2/14.16Kindertageseinrichtungen 1/5.1.3.3, 5.2.4.2, 11.9.3,

2/5.2.15Kindertagesstättenbeitrag 2/5.2.14Kommunalstatistik 2/12.2Kontrollkompetenz 1/5.1.2, 5.4.1, 7.9, 9.3,

11.1.1; 2/10.12Kontrollstellen, private 2/14.21Kostenübernahme 2/5.1.7Krankenakte 2/11.10, 11.11, 11.12Krankenhaus 1/1.1.5, 11.2.5, 11.3.4,

13.3.1; 2/11.5, 11.6, 11.7,11.9, 11.22, 11.23

Krankenkasse 1/11.2, 11.2.4, 11.2.5,2/5.2.12, 11.17, 11.20,11.22, 11.24, 14.6

Krebsregistergesetz 1/1.2.2, 13.3.2; 2/13.8Kriminalaktennachweis 2/7.6Kriminalpolizeiliche Angelegenheiten 2/7.1Kriminalstatistik 2/7.6Kryptographie 2/15.7, 15.8Kurbeitrag 2/5.2.1

Landesaufnahmestelle für Aussiedler(LAST)

2/5.1.8

Landesbank Hessen-Thüringen 1/5.4.1; 2/5.3Landeshaushaltsordnung 2/9.9Landestierärztekammer 2/11.16Landwirtschaft, ökologische 2/14.21Lebenslauf 2/13.5Leistungsmißbrauch 2/11.2Lichtbilddatei 2/7.11


407

Liegenschaftskataster 2/14.17Lohnsteuerkarte 1/9.1.1, 9.1.2, 2/9.7Löschung 1/14.2.3, 15.2, 15.9,

15.11, 15.14.2; 2/7.7,11.18

Machbarkeitsstudie 2/5.1.1Mediendienste 2/4.4, 4.6Medienforschung 2/4.5Medizinischer Dienst 1/11.2.4, 11.2.6; 2/11.22,

11.23Mehrländer-Gerichts-Anwendung(MEGA)

2/10.11

Meldebehörden 1/1.1.1, 1.2.1, 5.2, 9.1.2,9.1.4, 2/5.2.3

Meldebogen 2/11.16Meldedaten 1/5.2; 2/5.2.1, 5.2.2,

5.2.4, 14.18Meldekarteien 1/5.2.2; 2/5.2.3Mietschuldner 2/14.12Mietspiegel 2/14.15Mikroverfilmung 2/11.10Mitgliederwerbung 1/11.2.1; 2/11.20Mitgliedstaat 2/7.3Mitnutzer 2/4.5Mitteilungen:

- in Strafsachen- in Zivilsachen- zum Wählerverzeichnis

2/10.1, 10.162/10.12/10.16

Mitteilungsverordnung 2/9.8MPU-Gutachten 1/14.2.5, 2/14.9Müllgebühren 2/14.18

Namenslisten 2/5.2.15Namensschilder an Haftraumtüren 2/10.17Naturschutz 2/14.20Netzcomputer 2/15.1nicht-öffentliche Sitzung 2/3.1, 5.2.16, 5.2.17


408

Notarielle Urkunde 2/10.20Notarzteinsatzprotokoll 1/11.7, 2/11.21Nutzungsprofil 2/4.3

Öffentlichkeitsarbeit 2/1.1Online-Zugriff 2/5.2.2Ordnungswidrigkeitsverfahren 1/7.5, 14.2.2; 2/14.9Organisierte Kriminalität 2/10.8Orientierungshilfen 2/1.3

Parlament 2/3., 3.1, 3.3Paßwort 1/15.14, 2/9.4, 10.18Patientendaten 1/1.1.5, 11.2.4, 11.2.5,

11.3, 11.10, 2/9.6, 11.8Patientenverwaltungssystem 2/11.5Pauschalförderung von Krankenhäusern2/11.4Personalakten 1/6.1.1, 6.1.10, 6.1.11,

6.1.12, 8.4, 2/9.3, 9.9,10.12, 10.18

Personalnebenakten 1/6.1.10, 6.1.11, 6.1.12,6.1.16, 9.1.7, 2/9.4

Personenbeförderung 2/14.11Petitionsausschuß 2/3.1Pfändung 2/14.10Pflegedienst 2/11.3Pflegekassen 2/11.24Pflegeplanung 2/11.3Pflegeversicherung 1/11.2.6, 2/11.3, 11.24Pflichtuntersuchungen 1/13.1.3; 2/5.2.10Planungsaufgaben 2/14.19Poliklinikakten 1/11.3.1; 2/5.2.9Polizeidirektion 1/7.7; 2/7.6polizeiliche automatisierte Verfahren 2/7.6Polizeiliches Auskunftssystem 2/7.11Polizeiliches Informationssystem 2/7.1Polizeipräsidium Thüringen 1/6.1.11, 2/7.6Prozessor 2/15.9


409

Pseudonym 2/4.3Pseudonymität 2/15.6Public-Key-Verfahren 2/15.7

Rechenzentrum 2/11.17

Rechnungshof 1/6.1.4, 9.3; 2/9.9

Rechnungsprüfung 2/11.3

Referenzperson 2/8.1

Regulierungsbehörde 2/15.8

Religionsunterricht 2/13.3

Rentenversicherungsträger 2/11.29

Rettungsdienst 1/1.1.4, 11.7; 2/11.21

Risikoanalyse 1/15.3; 2/15.3

RSA 2/15.7, 15.12

ruhender Verkehr 1/14.2.2, 2/14.9

Rundfunkgebühren 1/11.9.1, 2/4.7

Scheinehe 2/5.1.5Schengener Durchführungsüberein-kommen

2/7.4

Schengener Informationssystem 1/4.3, 2/7.4Schuldnerkralle 2/14.10Schuldunfähigkeit 2/10.6Schulgesundheitspflege 1/13.1.3; 2/5.2.10, 13.1Schulpflichtüberwachung 2/13.2Schuluntersuchungen 2/13.1Schweigepflicht, ärztliche 1/11.3, 11.10.2, 13.3.3,

2/11.12, 11.21, 11.24,11.25, 11.26

Sekundärstatistik 1/12.4, 13.1.1; 2/12.1Sicherheitskonzept 1/15.3; 2/9.4Sicherheitsüberprüfung 1/6.3.2, 8.1, 8.2, 8.4;

2/8.1, 8.2Signaturgesetz 2/4.3, 15.8Signaturschlüssel 2/15.8Signaturverordnung 2/15.8


410

Sozialamt 1/9.2.2, 11.9.1, 12.4,14.3.6, 2/4.7, 5.2.6, 5.2.7

Sozialdaten 1/11.; 2/3.1, 5.2.7, 5.2.8,14.13

Sozialhilfe- datenabgleich- empfänger- statistik- träger

1/14.3.6; 2/11.2, 11.282/11.22/14.131/12.4; 2/5.2.62/11.2

Staatsanwaltschaft 2/10.11, 10.14, 10.18Staatsanwaltschaftliche Register 2/10.11Standesamt 1/5.1.6, 5.1.7; 2/5.2.5Statistik

- geheimnis1/4.2, 11.3.5, 12., 13.1.1,2/5.2.6, 12.1, 14.151/4.2, 12.5, 14.1.1; 2/13.3

Steganographie 2/15.7Steuererhebung 2/9.4Steuergeheimnis 1/9.1.3, 9.1.8; 2/9.1Stichtagserhebungen 2/11.23Strafprozeßordnung 2/5.1.2Strafverfahrensänderungsgesetz(StVÄG)

1/10.4; 2/10.2, 10.4,10.14

Strafverfolgung 2/7.1Strafverfolgungsstatistik 2/12.1Strafvollzugsänderungsgesetz 1/ 10.1, 10.11; 2/10.17Straßenverkehrsgesetz 1/14.2.1, 14.2.4; 2/14.7Symmetrische Verschlüsselung 2/15.7

Täter-Opfer-Ausgleich 2/10.14technisch-organisatorische Leitlinien 2/10.5technisch-organisatorische Mängel 2/10.18,technisch-organisatorische Maßnahmen1/6.3.1, 14.4.2, 15.2;

2/7.6, 9.4, 10.12, 10.19,11.8, 11.18, 11.29, 14.8

Teledienste 2/4.3, 4.4Telefax 2/15.12Telefon

- gebührenabrechnung


411

- gespräch- gesprächslisten- überwachung- verzeichnis

2/11.251/15.7, 2/5.32/10.182/10.132/4.1

Telekommunikation 1/15.7, 15.14.4, 2/4.1, 4.2,4.3

Tierschutzkommission 2/3.2Tilgungsfristen 1/10.8, 2/10.6Transplantation 2/11.1

Übergangsbonus 1/10.1; 2/12.1Unterhaltsfestsetzung 1/9.1.6, 2/5.2.13Unterstützungspflicht 2/5.2.18Untersuchungshaftvermeidung 2/13.7Urkundenstelle 2/5.2.5

Verbrechensbekämpfung 1/ 1.2.3, 1.2.5, 10.5;2/10.13

Verkehrsbetrieb 1/ 14.2.8; 2/14.11Verkehrsordnungswidrigkeiten 1/7.5, 2/7.10Verkehrsüberwachung 2/7.12Vermögensfragen 2/9.2Verpflichtung, förmliche 1/13.3.1; 2/14.21Verschlüsselung 1/15.6, 15.10; 2/15.7,

15.8, 15.12Versorgungsamt 2/11.25, 11.26, 11.27Video 2/7.12, 10.7, 13.5Viren 2/15.11Vollstreckung 2/14.10Vorkaufsrecht der Gemeinde 2/10.21Vorlage von Grundstückskaufverträgen2/10.21Vorsorgeuntersuchungen 2/5.2.10

Wahlausschlußgründe 1/5.2.6.2; 2/10.16Warndatei 2/5.1.2Wartung 2/15.10


412

Wasser-/Abwasserzweckverbände 1/14.4.2; 2/14.17Werbung 2/5.2.1Wettbewerbsunternehmen 2/11.6Widerspruch 1/1.2.1, 5.2.4.5, 5.2.4.6,

5.2.4.7, 8.4, 9.2.5, 13.1.6,13.2.1, 13.3.3, 14.1.2,14.1.6, 14.3.6; 2/5.2.4, 8.1

Wohnungsdateien 1/14.3.1, 2/14.14Wohnungsgesellschaft 1/14.3.3, 14.3.6; 2/14.12,

14.15

X.400 1/15.5.2, 15.14.2; 2/15.2

Zentrale Anlaufstelle für Asylbewerber(ZAST) 2/5.1.8Zentrale TK-Anlage 2/15.2Zentrales Fahrerlaubnisregister 1/14.2.1; 2/14.7Zentrales Staatsanwaltschaftliches Ver-fahrensregister

1/1.2.5, 10.5; 2/10.5

Zertifizierungsstellen 2/15.8Zeugenschutz 2/10.7Zeugenvernehmung 2/10.7Zeugnisverweigerungsrecht 2/4.1, 10.8Zugangskontrolle 2/15.4, 15.5Zugriff, externer 2/15.4Zugriffe 2/9.4Zugriffsbeschränkung 2/10.11.3, 11.5, 11.29Zugriffskontrolle 1/15.14; 2/15.5Zugriffsrechte 1/15.14; 2/11.5Zugriffsschutz 2/15.4Zulassungsausschuß für Vertragsärzte1/11.11.2, 2/11.14

Zutrittskontrolle 2/5.1.9, 15.5

Zutrittskontrollsystem 2/15.4, 15.5

zweckfremde Nutzung 2/11.20

Documents

Vorwort - Thüringer Landesbeauftragter für den ... · nelle Selbstbestimmung als festen Bestandteil unserer ... CD-ROM Compact Disk ... CN Corporate Network CPU Central Processing