17. März 1999:

Der Berliner Datenschutzbeauftragte, Prof. Dr. Hansjürgen Garstka (rechts), stellte heute zusammen mit der Bereichsleiterin Recht, Claudia Schmid, und dem Bereichsleiter Informatik, Dipl. Informatiker Hanns-Wilhelm Heibey, seinen Tätigkeitsbericht für das Jahr 1998 vor.

Neben den Schwerpunktthemen

• Wer nicht löschen will, muss büßen - die langen Speicherungsfristen bei der Polizei,
• Trautes Heim - Job on-line,
• Die ungeahnten Folgen eines fehlenden Fahrscheines,
• Jagdfieber im Internet,
• Biometrie - Sesam öffne dich?,
• Der schwere Stand der behördlichen Datenschutzbeauftragten

enthält der Bericht 105 Beiträge zur Gesetzgebung, zu Verwaltungsvorschriften, Bürgerbeschwerden und Überprüfungen von Amts wegen in den einzelnen Geschäftsbereichen des Se-nats und bei Unternehmen.

Garstka forderte eine Modernisierung des Bundesdatenschutzgesetzes. Er kritisierte, dass die dreijährige Umsetzungsfrist für die Europäische Datenschutzrichtlinie versäumt wurde, die die Rechte der Bürger gegenüber öffentlichen Stellen und Unternehmen erweitert. Das bisherige Datenschutzrecht reicht nicht länger aus, um das Recht auf informationelle Selbstbestimmung in Zukunft zu schützen. Notwendig ist ein neuer Datenschutz für die moderne Informationswelt, der die neueren Informationstechnologien wie Chipkarten, Videoüberwachung und Internet berücksichtigt (S.12).

Die gesetzlich vorgesehene Unterrichtung von Personen, die länger als fünf Jahre bei der Polizei in automatisierten Dateien registriert sind, offenbarte, dass die Speicherungsfristen der Polizei zu lang sind (S.33). Nach zahlreichen Beschwerden betroffener Bürger und einer Grundsatzprüfung durch den Berliner Datenschutzbeauftragten hat die Polizei die Speicherungsfristen bei Anzeigenerstattern zumindest verkürzt. Ob auch ein Umdenken bei der Speicherung der Daten von Tatverdächtigen erfolgt, ist noch offen. Garstka: "Die Pläne, die Unterrichtungspflicht aus dem Gesetz zu streichen, werden jedenfalls die Bereitschaft der Polizei nicht fördern, die Dauer ihrer Datenspeicherungen kritisch zu überprüfen."

Trautes Heim - Job on-line (S.37): Die Heim- und Telearbeit nimmt immer mehr zu - und damit auch die datenschutzrechtlichen Probleme. Das Risiko, dass Personen in die mitgenommenen Unterlagen einsehen, ist im häuslichen Bereich höher als in der Dienststelle. Bei der Telearbeit ist die Verarbeitung personenbezogener Daten deshalb auf ein Minimum zu beschränken und sind Möglichkeiten wie die Pseudonymisierung zu nutzen. Bei sensiblen Daten wie medizinischen Daten hat eine Verarbeitung außerhalb der Dienststelle zu unterbleiben. Wenn die Verarbeitung personenbezogener Daten in Heimarbeit unvermeidbar ist, hat der Arbeitgeber die Informationstechnik und Software zur Verfügung zu stellen, die eine effiziente Zugriffskontrolle, eine Verschlüsselung der gespeicherten Daten sowie Authentifizierungsverfahren (z.B. PIN-Code, Chipkarte) ermöglicht. Die Kontrollierbarkeit der Datenverarbeitung durch den betrieblichen oder behördlichen Datenschutzbeauftragten und den Berliner Datenschutzbeauftragten müssen auch im häuslichen Bereich gewährleistet sein.

Die Speicherung in einer "Schwarzfahrer-Datei" ist nur eine der ungeahnten Folgen eines fehlenden Fahrscheines (S.44). Die Daten werden auch an Inkasso-Unternehmen zur Eintreibung des erhöhten Beförderungsentgeltes weitergegeben. Die "Schwarzfahrer-Dateien" der Deutschen Bahn AG, der S-Bahn GmbH und der BVG werden ebenfalls von den Inkasso-Unternehmen geführt und dienen der Feststellung von "Mehrfachtätern", da nur in diesen Fällen Strafanzeigen erstattet werden. Diese Datenverarbeitung ist nicht zu beanstanden. Allerdings ist die Weitergabe der Daten der "Kunden" der DB und der S-Bahn durch Inkasso-Unternehmen an eine Auskunftei - wenn der Betroffene das erhöhte Beförderungsentgelt nicht zahlt - problematisch. Allein die Tatsache der Nichtzahlung darf nicht weitergegeben werden, sondern nur "harte Negativ-Daten" wie z.B. eingeleitete Zwangsvollstreckungsmaßnahmen.

Dem Jagdfieber im Internet (S.51) sind datenschutzrechtliche Grenzen gesetzt. Ein Internet-Provider ist nicht verpflichtet, das Netz nach strafbaren Inhalten zu durchsuchen und unter Verstoß gegen das Fernmeldegeheimnis fremde E-Mails mitzulesen. Er kann aber verpflichtet werden, die Nutzung von bestimmten Inhalten zu sperren, wenn die Polizei ihn auf den strafbaren Inhalt hingewiesen hat. Auf die Öffentlichkeitsfahndung der Polizei im Internet sollte wegen rechtlicher und sicher-heitstechnischer Probleme derzeit verzichtet werden.

Biometrie - Sesam öffne dich? (S.55): Biometrische Verfahren, die z.B. durch Fingerabdruck oder Augenmerkmale Zugangsberechtigungen prüfen, sind wirksame Zugangskontrollen. Allerdings können die abgespeicherten Referenzdaten auch zu anderen Zwecken genutzt werden. Sie könnten ohne Wissen des Betroffenen zu Kontrollzwecken auf Vorrat gespeichert oder mit ande-ren Datenbeständen (z.B. der Polizei) abgeglichen werden. Deshalb ist auf die unbedingte Zweckbindung zu achten.

Eine Befragung von 42 behördlichen Datenschutzbeauftragten (S.59) offenbarte gravierende Mängel. Die meisten behördlichen Datenschutzbeauftragten haben keine Übersicht über die in ihrer Dienststelle geführten Dateien oder die eingesetzte Informationstechnik. Auch Datenschutzkonzepte fehlten in den meisten Fällen. In einigen Fällen wurde die Tatsache, dass ein behördlicher Datenschutzbeauftragter benannt wurde, den Mitarbeitern im Haus nicht bekannt gemacht. Einige behördliche Datenschutzbeauftragte werden - entgegen ihrer Aufgabenstellung - dafür eingesetzt, datenschutzrechtliche Mängel im eigenen Haus gegenüber dem Berliner Datenschutzbeauftragten zu rechtfertigen. In einer Behörde hat der behördliche Datenschutzbeauftragte nur eine Alibi-Funktion - seine Bestellung erfolgte nur als Formalie und nicht in der Absicht, den Datenschutz sicherzustellen. Ein Bezirksamt weigert sich seit Jahren, überhaupt einen behördlichen Datenschutzbeauftragten zu bestellen. Die meisten behördlichen Datenschutzbeauftragten können mangels ausreichender Fachkunde oder Zeit keine eigenen Kontrollen durchführen und können nicht einmal ihren unmittelbaren gesetzlichen Pflichten nachkommen. Mit der Anpassung des Berliner Datenschutzgesetzes an die EU-Datenschutzrichtlinie werden auf die behördlichen Datenschutzbeauftragten wesentlich mehr Aufgaben und auch mehr Verantwortung zukommen. Ihre Arbeitsbedingungen sind deshalb dringend zu verbessern.

Weitere Themen des Jahresberichtes:

Falsche Datenspeicherungen bei der Polizei wurden ohne weitere Überprüfung an eine Ordnungsbehörde übermittelt und führten zu Schwierigkeiten bei der Beantragung eines Waffenscheines (S.75).

Ermittlungen der Standesbeamten zur Feststellung von Scheinehen sind nur in begrenztem Umfang zulässig (S. 81).

Die Senatsverwaltung für Finanzen will das Berliner Datenschutzgesetz für die Finanzämter nicht gelten lassen (S.93). Daten von Betroffenen, die an die Informationszentrale für den Steuerfahndungsdienst (IZ-Steufa) weitergegeben werden, werden unter Missachtung des Berliner Datenschutzgesetzes - unabhängig vom Ausgang des Verfahrens - pauschal zehn Jahre gespeichert.

Routineanfragen des Arbeitgebers bei der SCHUFA (S.97) sind unzulässig. Die durch Gesetz oder Rechtsprechung entwickelten Informationssperren dürfen auch nicht durch "Einwilligungen" der Arbeitnehmer umgangen werden.

Ein Mitarbeiter eines Bezirksamtes, der an einer Suchttherapie in einem Krankenhaus teilnahm, verabschiedete sich entsetzt aus der Therapie, als der Leiter seiner Behörde und die Justitiarin seine Therapiegruppe als "Hospitanten" besuchten, um sich mit der Suchtproblematik vertraut zu machen (S.102). Die Zulassung dieser Personen ohne Kenntnis, vorherige Aufklärung und Einwilligung der Patienten war ein grober Verstoß gegen die ärztliche Schweigepflicht.

"Sozialamtsfalle" legalisiert (S.104). Die Sozialämter sollen nunmehr der Polizei den nächsten Vorsprachetermin von Hilfeempfängern mitteilen, damit sie dort die Ahnungslosen bequem verhaften kann. Den Sozialämtern wird damit zugemutet, ihren Klienten eine Falle zu stellen.

Säumige Mieter werden an den Pranger gestellt (S.116): Die Aufstellung der Namen und Anschriften von Mietern, deren Wohnungen wegen Mietrückständen geräumt bzw. die aus der Ge-nossenschaft ausgeschlossen werden sollen, in einem regelmäßig erscheinenden Informationsblatt einer Wohnungsgenossenschaft ist unzulässig.

Geldausgabeautomat und Bankgeheimnis (S.137): Ein Bürger vermutete eine Verletzung des Bankgeheimnisses, da er bei dem Versuch, vom Geldautomaten einer fremden Bank Geld abzuheben, die Mitteilung "Limit überschritten" erhielt. Diese Mitteilung ergibt sich allerdings ausschließlich aus der Umstellung aller Geldautomaten im Bankenverbund auf Online-Betrieb. Zu keinem Zeitpunkt werden Informationen über das bei der Hausbank geführte Konto weitergeleitet. Es wird lediglich ein Code durch den Bankrechner der Hausbank an den Geldautomaten der fremden Bank weitergegeben.

SCHUFA-Score (S.140): Die SCHUFA übermittelt neben der herkömmlichen Auskunft einen sog. Score-Wert, der in einem mathematisch-statistischen Verfahren aus vorhandenen Daten der SCHUFA gewonnen wird. Die Kunden sind über das Scoring, z.B. durch Ergänzung der SCHUFA-Klausel, zu informieren. Sie sollten auch Auskunft über ihren Score-Wert erhalten.

Mitarbeiter eines Unternehmens der Immobilienbranche erfragten telefonisch umfangreiche Daten von Bürgern, denen sie eine anonymisierte Meinungsumfrage vortäuschten (S.145). Diese Datenerhebung verstieß gegen Treu und Glauben.

Zur Übersicht der Presseerklärungen