Anlagen zum Jahresbericht 1996
Auszug aus
1.2 Deutschland und Europa
Da der Bundestag erst Ende 1994 seine Arbeit wieder aufgenommen hat, hat sich im vergangenen Jahr in der Bundesgesetzgebung wenig geändert. Lange angemahnte Gesetzgebungsvorhaben etwa im Bereich der Justiz und der Steuerverwaltung sind zwar diskutiert, aber kaum einen Schritt vorangebracht worden. Erneut sind große Debatten um die Einführung des "Großen Lauschangriffs" geführt worden; trotz der anhaltenden Forderungen auf die Zulassung dieser Maßnahme durch die Sicherheitsbehörden sowie des Ausgangs der FDP-Mitgliederbefragung halten wir mit fast allen anderen Datenschutzbeauftragten des Bundes und der Länder an der Auffassung fest, daß die Intensität des Eingriffs in das Grundrecht auf freie Kommunikation in keinem akzeptablen Verhältnis zu den erwartbaren Erträgen für die Strafverfolgung steht.
Von zentraler Bedeutung für die Fortentwicklung des Datenschutzes ist das Inkrafttreten der Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-Richtlinie)[12]. Die Richtlinie enthält eine Vielzahl von Bestimmungen, die interessante und weiterführende Aspekte aus den Datenschutzgesetzen der anderen Mitgliedsländer aufgreifen oder - wie zum Geltungsbereich der nationalen Gesetze in der Union oder zum Datenexport - zusätzliche europarechtliche Regelungen schaffen.
Die deutschen Gesetzgeber im Bund und in den Ländern sind aufgerufen, die Ansätze zur Verbesserung des Rechts auf informationelle Selbstbestimmung aufzugreifen und eine Rechtslage zu schaffen, die in der Tradition des wegbereitenden deutschen Datenschutzrechtes steht. Hierbei sollten auch bisher nicht gelöste und neu entstandene Probleme des Datenschutzes insbesondere im Hinblick auf die neuen technischen Entwicklungen aufgegriffen werden. Versuchen, in minimalistischer Weise nur die Bestimmungen der Richtlinie umzusetzen, die für die Harmonisierung unerläßlich sind, sollte entgegengewirkt werden.
Unter den änderungsbedürftigen Aspekten hervorzuheben ist die verstärkte Bedeutung des Schutzes sensibler Daten, die bereits von der Europaratskonvention [13] vorgegeben war; der deutsche Gesetzgeber hatte nur in sehr zurückhaltender Weise Sonderrregelungen für "personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosphische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben" (Art. 8 Abs. 1) geschaffen. Die Richtlinie fordert demgegenüber die Untersagung der Verarbeitung dieser Daten, wenn nicht relativ eng begrenzte Voraussetzungen vorliegen. Diese Voraussetzungen werden schwerlich im Bundesdatenschutzgesetz selbst Platz finden können; vielmehr wird die Umsetzung der Richtlinie auch neue gesetzliche Regelungen in bisher vernachlässigten Bereichen erzwingen, etwa in der Strafprozeßordnung, einem zum schaffenden Arbeitnehmerdatengesetz oder bundesrechtlichen Vorgaben zur Verarbeitung medizinischer Daten. Trotz des Widerstandes der Kirchen gegen ihre Einbeziehung in die Richtlinie, der von den deutschen Kirchen erheblich heftiger vorgebracht wurde als selbst von Kirchen mit Staatsreligionen wie Spanien oder Dänemark, wird man um grundsätzliche Erörterungen über die Verarbeitung von Daten über die Mitglieder von Religionsgemeinschaften in staatlichen und privaten Datensammlungen nicht herum können.
Ein dem im deutschen Recht jedenfalls als allgemeiner Grundsatz ungewohnter Gedanke ist das Widerspruchsrecht gegen rechtmäßige Datenverarbeitung (Art. 14), wenn er auch in einigen Rechtsmaterien schon verankert ist (vgl. §§ 28 Abs. 3 Bundesdatenschutzgesetz, 76 Abs. 2 Sozialgesetzbuch X, 10 Abs. 4 Post- und Telekommunikations-Regulierungsgesetz). Gleichwohl verkörpert er ein wesentliches Gegengewicht gegen die generalklauselartigen Befugnisnormen des Datenschutzrechtes. Das Widerspruchsrecht würde Betroffenen die Möglichkeit geben, aus sich aus ihrer besonderen Situation ergebenden Gründen Widerspruch gegen die Verarbeitung seiner Daten einzulegen. Dies hätte etwa Bedeutung im Rahmen von Arbeitsverhältnissen, wenn der Arbeitnehmer vom Arbeitgeber zwar zulässigerweise gespeicherte, gleichwohl aber für das Arbeitsverhältnis nicht unerläßliche Daten gelöscht haben will. Das Widerspruchsrecht sollte daher als eine neuartige, den individuellen Aspekt des informationellen Selbstbestimmungsrechts in besonderem Maße betonende betonende Regelung eingeführt werden.
Das Verbot, Entscheidungen (gegen Personen) nur auf Grund automatisierter Vorgänge zu treffen (Art. 15), ist in der informatikkritischen Literatur ein alter Topos, der bisher nur in das französische Recht Eingang gefunden hat. Im deutschen Recht konterkariert z.B. § 37 Abs. 4 Verwaltungsverfahrensgesetz diesen Gedanken zwar, gleichwohl findet sich eine der Richtlinie entsprechende Regelung in § 56 f Abs. 4 Beamtenrechtsrahmengesetz sowie den Folgevorschriften des Bundes und der Länder. Auch in der Rechtsprechung gibt es Tendenzen, dieses Prinzip anzuerkennen [13a]. Die Übernahme dieser Vorschrift erscheint daher nicht nur geboten, sondern sogar als einewesentliche Bestimmung zur Gewährleistung der informationellen Selbstbestimmung bei zunehmender Automatisierung.
Artikel 27, der entsprechend niederländischen Rechtsgedanken die Ausarbeitung und Verbindlichmachung von Codes of Conduct für einzelne Gesellschaftsbereiche zuläßt, ist dem deutschen Satzungsrecht vergleichbar (vgl. z.B. die Regelungen zur ärztlichen Schweigepflicht in den Ärztlichen Berufsordnungen). Die Übernahme der Vorschrift wird es weiten Bereichen gestatten, die allgemeinen gesetzlichen Bestimmungen durch selbstgestaltete Regelungen zu untersetzen.
Der künftigen Ausgestaltung der Kontrollinstanzen und ihrer Befugnisse kommt naturgemäß eine erhebliche Bedeutung zu. Das ursprünglich favorisierte Idealbild einer einheitlichen "Kontrollstelle" in jedem Mitgliedsstaat ist in föderal organisierten Staaten nicht zu realisieren. Gleichwohl ergibt sich aus dem Regelungskonzept des Artikel 28 der Richtlinie, die vor allem die Effektivität der Arbeit betont, daß eine Zersplitterung der Datenschutzkontrolle, wie sie derzeit in der Bundesrepublik besteht, nicht richtlinienkonform ist. Vielmehr muß Anliegen der Umsetzung sein, einen möglichst klar organisierten, schlanken Kontrollapparat zu schaffen. Insoweit ist die neue Berliner Regelung vorbildlich und wird von den zuständigen Stellen der Europäischen Kommission auch als nachahmenswert angepriesen.
Die Datenschutzkontrollbehörden müssen die ihnen zugewiesenen Aufgaben "in völliger Unabhängigkeit" wahrnehmen. Trotz aller Verhandlungskunst der deutschen Innenministerien bei der Vorbereitung der Richtlinie, die darauf abzielten, den deutschen status quo zu erhalten, besteht kein Zweifel, daß "völlige Unabhängigkeit" die Einbindung der Datenschutzkontrollinstanzen in ministerielle Weisungsstränge ausschließt. Die Aufrechterhaltung eines Zustandes, in dem die Aufsichtsbehörden der fachlichen Weisung durch übergeordnete Stellen unterliegen, ist gemeinschaftswidrig. Darüber hinaus wirft auch die organisatorische, dienstrechtliche oder rechtsaufsichtliche Einbindung die Frage auf, ob das Kriterium der "völligen Unabhängigkeit" erfüllt ist.
Den Kontrollinstanzen müssen auch ohne Anlaß umfassende Untersuchungs- und wirksame (im englischen und französischen Text deutlicher: effektive) Einwirkungsbefugnisse zur Verfügung stehen. Dies schließt die Begrenzung der Kontrolle im nichtöffentlichen Bereich auf die Anlaßkontrolle aus. Auf der anderen Seite sollten (auch im öffentlichen Bereich) die Befugnisse über die Empfehlungskompetenz hinaus auf konkrete Weisungsbefugnisse ausgedehnt werden.
2. Technische Rahmenbedingungen
2.1 Entwicklung der Informationstechnik
Die Entwicklung der Informationstechnik hat sich auch im Berichtsjahr an den schon in den Vorjahren beobachteten Trends orientiert:
- Das Preis-/Leistungsverhältnis hat sich für Hardware und für Standardsoftware weiter verbessert;
- der Trend zur Miniaturisierung hält weiter an;
- die "Datenautobahnen" werden weiter ausgebaut: Neue Online-Dienste werden eingerichtet, das Internet wirkt für immer mehr Teilnehmer anziehend [14];
- Bild- und Sprachverarbeitung werden weiter digitalisiert und somit für "Multimedia" erschlossen [15];
- Proprietäre (herstellerabhängige) Systeme werden im Rahmen von "Right"- oder "Downsizing" weiter von offenen Systemen zurückgedrängt. Allerdings ist die Tendenz erkennbar, sie zu den offenen Systemen hin zu öffnen, um so die Leistungsvorteile der meisten proprietären Systeme auch dort zugänglich zu machen, wo man sich ansonsten herstellerunabhängig ausstatten möchte;
- Rechnerleistung wird durch Client-Server-Systeme über lokale Netze an den Arbeitsplatz gebracht [16];
- durch Outsourcing wird komplexe Datenverarbeitung in spezialisierte Unternehmen ausgelagert [17];
- neue Chipkartenanwendungen werden konzipiert, vornehmlich mit Prozessorchipkarten, die multifunktional eingesetzt werden können [18].
Erkennbar sind bereits erste Tendenzen, die gegenüber den Entwicklungen der Vorjahre gegenläufig wirken:
Die "Demokratisierung" des Einsatzes von Informationstechnik, hervorgerufen durch die Ausbreitung preiswerter Personalcomputer, die für jeden erschwinglich und für jeden einfach benutzbar sind und so zur Informatisierung der Privathaushalte und kleinen Unternehmen führten, wird partiell durch komplexe Vernetzungen rückgängig gemacht. Obwohl sie große Verbreitung für professionelle Anwendungen finden, ist die Beherrschung von Client-Server-Netzen ohne detaillierten Sachverstand kaum noch möglich. Der Trend, auch in der Welt der kommerziellen oder administrativen Datenverarbeitung auf den Einsatz von DV-Profis verzichten zu können, wird dadurch gebrochen. Ohne die Vorhaltung eigener Fachleute oder Einschaltung von Beratungsfirmen sind moderne Bürosysteme kaum noch zu beherrschen, ein Zustand, der an die Zeiten vor dem PC erinnert.
Kein Trend, aber ein Ereignis, das weltweit große Medienbeachtung fand, ist die Markteinführung des neuen Microsoft-Betriebssystems WINDOWS 95 für Personalcomputer als Nachfolger des Betriebssystems MS-DOS. Für kaum ein anderes Produkt wurde ein vergleichbarer Werbeaufwand getrieben wie für diese Software.
WINDOWS 95 mag in vieler Beziehung wesentliche Vorteile gegenüber MS-DOS bieten, die in der besseren Auslastung der modernen Prozessoren, in einem wirkungsvolleren Multi-tasking (gleichzeitige Erfüllung mehrerer Aufgaben), in neuen und verbesserten Möglichkeiten des Mensch-Maschine-Dialogs, in der Befreiung von engen Namenskonventionen usw. liegen. Verbesserungen für Datenschutz und Datensicherheit sind dagegen nach ersten Erfahrungen nicht zu erkennen. Verfahren zur Benutzeridentifizierung und -authentifizierung sind ebensowenig Bestandteil von WINDOWS 95 wie die Sperrbarkeit des Bootens von der Diskette. Der Einsatz von speziellen Werkzeugen für die Speicher-, Benutzer- und Zugriffskontrolle bleibt daher auch beim PC-Einsatz unter WINDOWS 95 erforderlich, wenn personenbezogene Daten verarbeitet werden sollen.
Die Software für die Verbindung mit weltweiten Datennetzen ist in WINDOWS 95 bereits integriert, nämlich für die Nutzung des neuen Microsoft Networks MSN. Es bietet (zumindest bald) den vollen Zugriff auf das Internet und auf das World Wide Web sowie eine E-Mail-Adresse.
Aus datenschutzrechtlicher Sicht ist die Nutzung des MSN durch Systeme, die vertrauliche Daten verarbeiten, kritisch zu beobachten.
WINDOWS 95 verfügt über ein Agenten-Programm (Registration Wizard), mit dem die PC-Festplatte durchsucht wird und Daten zur Person des PC-Besitzers (Name, Adresse), die Seriennummer der Systemsoftware, Angaben zum Hardwareprofil und zu Softwarepaketen an Microsoft übertragen werden. Begründet wird dies mit der Rationalisierung der Kundenerfassung und dem gegenseitigen Interesse der PC-Benutzer und Microsoft an einer optimierten Hard- und Softwareaustattung, also der Beratung des Benutzers und dem Kundendienst einerseits, dem Microsoft-Marketing andererseits. Die Übermittlung der Daten erfolgt natürlich nur, wenn der Benutzer sich für die Nutzung des MSN bei Microsoft erstmalig angemeldet hat (dabei sind weitere Daten für das Gebühreninkasso - z.B. Kreditkartennummer- anzugeben). Alle weitere Datenübermittlungen erfolgen durch den "Registration Wizard" immer dann, wenn man sich für eine Sitzung am MSN anmeldet. Die Übermittlung durch den "Registration Wizard" kann abgeschaltet werden, ist jedoch standardmäßig aktiviert.
Die Ausforschung der Festplatten der Kundensysteme hat dazu geführt, daß Regierungen, die an der Erhaltung ihrer Staatsgeheimnisse interessiert sind, Bedenken gegen den Einsatz von WINDOWS 95 geäußert haben. In der Tat beruhen die Angaben über die Wirkungsweise auf den Informationen des Herstellers. Ob noch weitere Daten - zum Beispiel Anwendungsdaten aus dem PC oder Daten aus Systemen, die mit dem PC vernetzt sind, übertragen werden können, ist unseres Wissens noch nicht hinreichend untersucht worden.
2.2 Informations- und kommunikationstechnische Infrastruktur der Berliner Verwaltung
Der Aufbau umfassender Infrastrukturen für die Daten- und Sprachkommunikation stellt einen wesentlichen Aspekt der Modernisierung der Berliner Verwaltung dar. Aus diesem Grund sind in den letzten Jahren große Anstrengungen unternommen worden, ein neues Verwaltungsdatennetz in Form eines Metropolitan Area Network (MAN) aufzubauen und ein ISDN-Vernetzungskonzept für das Behördentelefonnetz zu entwickeln.
Das MAN ist die Voraussetzung für den Aufbau der großen Anwendungsverfahren im Personalwesen (IPV - Integrierte Personalverwaltung), Sozialwesen (BASIS - Berliner Automatisiertes Sozialhilfe Interaktionssystem), Haushaltswesen (AHW - Automatisiertes Haushaltswesen und der Stadtplanung (FIS - Fachübergreifendes Informationssystem). Es ermöglicht den dezentralen Zugriff auf zentrale Ressourcen über das Sicherheitsrechenzentrum des Landesamtes für Informationstechnik (SRZ) sowie die Unterstützung bei der Systemverwaltung lokaler Netze durch das zentrale und die lokalen Service- und Administrationszentren (SAZ/LAZ). Vorgesehen ist der Zugriff auf das Internet und internationale Online-Dienste sowie die Bereitstellung von Informationsangeboten im Internet. Wir haben uns auch in diesem Jahr intensiv an den Beratungen zu den Infrastrukturprojekten beteiligt, insbesondere bei der Begleitung der Risikoanalysen und der Erstellung der Sicherheitskonzepte.
Mit diesen ehrgeizigen Projekten werden die Weichen für die Zukunft des Einsatzss der Informationstechnik in der Berliner Verwaltung gestellt. Technische Perfektion einerseits und leere Kassen andererseits dürfen gleichwohl den Datenschutz und die Sicherheit der Informationstechnik nicht zu kurz kommen lassen.
Zentrale Systembetreuung für die Verwaltung - das Projekt SAZ/LAZ
Eine wesentliche Komponente des künftigen Berliner Verwaltungsnetzes sind das (im LIT angesiedelte) Service- und Administrationszentrum (SAZ) sowie die lokalen Administrationen (LAZ). Diese Struktur soll eine zentrale Systembetreuung für alle Berliner Verwaltungsstellen ermöglichen. Die dezentral installierten Rechnersysteme und -netze der einzelnen Standorte sollen durch zentrale Administrations-, Support- und Managementfunktionen unterstützt werden. Bereits im letzten Jahresbericht wiesen wir auf die zentrale Bedeutung dieses Projektes und die damit zusammenhängenden Risiken hin. Unsere Empfehlung, eine Risikoanalyse auf Basis des IT-Sicherheitshandbuchs des BSI und darauf aufbauend ein Datenschutz- und Datensicherheitskonzept zu erarbeiten, wurde realisiert.
Die erste Version betrachtete jedoch nur einen engen, das SAZ/LAZ-Projekt direkt betreffenden Rahmen, d.h., es wurde nur auf die Sicherheit der unmittelbar zugehörigen Infrastruktur (Hardware und Software) eingegangen. Nicht betrachtet wurden bisher die Gefahren und Risiken, die durch SAZ und LAZ für die administrierten Systeme, z.B. die lokalen Netze der Auftraggeber, entstehen. SAZ und LAZ können jedoch nicht separat betrachtet werden. Die zentrale Aufgabe des System- und Netzwerkmanagements steht in direktem Zusammenhang mit den administrierten Verfahren und den zugrundeliegenden Netzen einerseits, den Schnittstellen des SAZ nach "außen" (z.B. nicht durch das SAZ administrierte Rechner, Netzwerke oder Verfahren) andererseits.
Diese Aspekte wurden in die zweite Version der Risikoanalyse bereits teilweise eingearbeitet. Dazu zählt die Behebung von Fehlern in entfernten Systemen. Ein vollständiges zentrales Fehlermanagement ist nur unter Verwendung eines entfernten Einloggens, teilweise sogar unter einer Systemverwalterkennung ("root") möglich. Dies birgt jedoch erhebliche Gefahren für alle Rechner in den lokalen Netzen der Auftraggeber. Hier müssen technisch-organisatorische Maßnahmen definiert werden, die geeignet sind, Mißbräuche durch interne oder bei einer Öffnung zum Internet [19] auch externe Angreifer, zu verhindern. Auch die unterschiedlichen Arbeitsabläufe der verschiedenen Managementbereiche müssen auf Gefahren, die von ihnen ausgehen könnten, hin untersucht werden.
Der Risikoanalyse liegen die Sicherheitsmechanismen des Distributed Computing Environment (DCE) der Open Software Foundation zugrunde. Dabei handelt es sich um eine herstellerunabhängige Sammlung von Systemkomponenten, die eine Kommunikation offener Systeme in einer sicheren Umgebung ermöglicht. DCE wurde ausgewählt, um den hohen Sicherheitsanforderungen, die an ein Management-Projekt wie SAZ/LAZ zu stellen sind, gerecht zu werden. Die für die Sicherheit wesentlichen Dienste "Security Service" und "Distributed File System" (DFS) ermöglichen Zugriffsschutz, Authentisierung und Verschlüsselung der wesentlichen Komponenten.
ISDN-Vernetzungskonzept für die Berliner Verwaltung
Jedenfalls derzeit ist das Telefon für die tägliche Verwaltungsarbeit erheblich wichtiger als der Anschluß an Datenverarbeitungseinrichtungen. Der Neugestaltung des Behördentelefonnetzes im Rahmen des ISDN-Vernetzungskonzepts kommt daher erhebliche Bedeutung zu. Den Datenschutz- und Datensicherheitsproblemen wurde im vergangenen Jahr wesentlich mehr Bedeutung zugemessen als vorher. Die im letzten Jahresbericht geäußerte Kritik [21] ist also konstruktiv aufgenommen worden.
Eine externe Firma wurde beauftragt, eine von uns mehrfach geforderte umfassende Risikoanalyse zu erstellen. Alle wesentlichen Risiken wurden erkannt und bestimmt. Die Maßnahmen zur Verringerung und Minimierung der Risiken sind sinnvoll und der Tragweite des Konzeptes angemessen. Die Sicherheit des ISDN-Netzes der Berliner Verwaltung hängt jetzt von der vollständigen Umsetzung dieses Sicherheitskonzeptes ab. Eine Teilumsetzung wäre nicht ausreichend, da viele Maßnahmen gegenseitige Abhängigkeiten aufweisen und somit aus Sicherheitssicht ein nicht tragfähiges Grundgerüst entstehen würde.
Die nach der Definition von Sicherheitsmaßnahmen durchgeführte Restrisikoanalyse zeigt auf, daß auch bei Umsetzung aller empfohlenen Maßnahmen nicht alle Risiken beseitigt sind. Sie beruhen auf der Gefahr menschlichen Versagens bzw. mißbräuchlichen Handelns Berechtigter und können nur durch organisatorische Maßnahmen verringert werden. Dies birgt immer ein erhebliches Risiko; der Auswahl der mit der Wartung, Konfiguration und Administration beauftragten Personen kommt daher höchste Bedeutung zu.
Weiterhin ungelöst bleibt die Problematik der Unterdrückung der Zielnummern-Anzeige bei Telefonaten im Behördennetz. So existieren Aussagen der Telekom, daß diese derzeit nicht in der Lage sei, eine zielnummernbezogene Unterdrückung der Rufnummern-Anzeige zu realisieren, wenn hinter der Vermittlungsstelle der Telekom eine Nebenstellenanlage installiert ist. Demgegenüber enthält § 9 Abs. 1 Satz 3 der Telekom-Datenschutzverordnung (TDSV) eine Verpflichtung der Telekom, die Übermittlung der Rufnummer des anrufenden Anschlusses an den angerufenen Anschluß einer telefonischen Beratungsstelle in der Vermittlungsstelle dieses Anschlusses auszuschließen. Die im Datenschutzkonzept vorgeschlagene Maßnahme, die Übermittlung der Rufnummer des Anrufenden in der Software der Transitzentrale zu unterdrücken, kann somit nur als vorübergehende Hilfskonstruktion betrachtet werden. Diese Hilfskonstruktion kann für einen Übergangszeitraum akzeptiert werden, bis die flächendeckende Einführung des Euro-ISDN es dem Betroffenen ermöglicht, über die Übermittlung seiner Rufnummer selbst zu entscheiden. Sichergestellt werden muß gleichwohl, daß die Anschlüsse bei denen die Rufnummernanzeige nicht erfolgt, in öffentlichen Teilnehmerverzeichnissen als solche gekennzeichnet sind.
Infrastrukturprojekt BROSiA
Im letzten Jahresbericht wurde über das auf dem Projekt GIBES (Grundlagen der Ausstattung mit IT-Infrastruktur für die Bezirke und Senatsverwaltungen) aufbauende Projekt BROSiA (Berliner Rahmenkonzept für Organisation, Sicherheit und Anwendungsentwicklung beim IT-Einsatz) berichtet. Mit BROSiA sollte ein Gesamtwerk geschaffen werden, in dem grundlegende IT-Vorschriften zur Organisation der Datenverarbeitung in der Berliner Verwaltung, zur Berücksichtigung ihrer Sicherheit und zur Durchführung von IuK-Projekten definiert werden. Das Projekt sollte nach dem Vorbild anderer konzeptioneller Projekte durch Hinzuziehung von externem Sachverstand realisiert werden. Ergebnisse liegen nicht vor, da man sich vom Auftragnehmer trennte und das Projekt ruhen ließ.
Diese Denkpause fällt mit der Realiserungsphase mehrerer Großprojekte zusammen. Dies legt einen Vergleich zum Hausbau nahe: Während die Geschosse der Vollendung entgegen gehen, wurden die Planungen am "gemeinsamen Dach" vorerst eingestellt.
Ein aus Datenschutzsicht wichtiges Ziel von BROSiA war die Definition eines IT-Sicherheitsrahmenkonzeptes für die Berliner Verwaltung. Wegen des Wegfalls dieses Konzeptes existiert zur Zeit kein koordinierender Rahmen für die Sicherheit bei den unterschiedlichen Projekten. Sie realisieren vielmehr unterschiedliche Sicherheitsmechanismen.
Die Einführung einer modernen Kommunikationsinfrastruktur macht die Definition einer berlinweiten Sicherheitspolitik notwendig. Eine Koordination der verschiedenen Projekte und Bereiche der Berliner Verwaltung könnte z.B. durch eine generelle Nutzung des DCE realisiert werden.
3. Schwerpunkte im Berichtsjahr
3.1 BahnCard
Mit der Übernahme der Aufgaben der Aufsichtsbehörde am 1. August war die bislang ungeklärte Frage zu beantworten, welche Aufsichtsbehörde für die Deutsche Bahn AG zuständig sein sollte. Die Senatsverwaltung für Inneres hatte zuvor unter Hinweis auf die öffentlichen Aufgaben der Bahn den Bundesbeauftragten für die richtige Kontrollstelle gehalten, dieser seine Kompetenz für die privatisierten Teile der früheren Bundesbahn jedoch nicht für gegeben betrachtet. Um diesen leidigen Kompetenzkonflikt zu Lasten des Bürgers zu beenden, haben wir im Hinblick auf den Unternehmenssitz der Bahn AG in Berlin in Abstimmung mit den anderen Aufsichtsbehörden die Zuständigkeit übernommen.
Damit übernahmen wir ein Problem, das bereits Wochen zuvor die Öffentlichkeit intensiv beschäftigt hatte: die datenschutzrechtliche Bewertung der neuen BahnCard. Die neue Karte, die ebenfalls zum Kauf von Fahrkarten zum halben Preis berechtigt, unterscheidet sich von der alten dadurch, daß sie auf Wunsch des Kunden zusätzlich zum BahnCard-Teil eine Kreditkartenfunktion hat. Hinzu kam das Angebot einer Electron-Guthabenkarte, mit der man nur über ein vorher eingezahltes Guthaben verfügen kann. Hierfür hatte die Bahn AG einen Kooperationsvertrag mit der Citibank abgeschlossen, die ihrerseits Lizenznehmerin von VISA International ist. Die Abwicklung wurde einer Tochter der Citibank, der Citicorp Card Operations GmbH (CCO) übertragen; die Herstellung der Karten einschließlich der hierfür erforderlichen Datenverarbeitung erfolgt im wesentlichen in Rechenzentren der Citibank in den USA. Dieses Projekt sorgte aus verschiedenen Gründen für heftige öffentliche Diskussionen.
Auch wenn die Bahnkunden lediglich eine einfache BahnCard ohne Kreditkartenteil beantragen wollten, wurden sie anfangs aufgefordert, Formulare auszufüllen, bei denen eine Reihe privater Informationen des Kunden angegeben werden sollte. Gegen dieses Verfahren hatten sich andere Aufsichtshehörden von Anfang an gewandt. In einer Presseerklärung zeigten sie die Probleme auf und führten erste Verhandlungen mit der Deutschen Bahn AG. Dies führte zum Entwurf neuer Formulare, in denen vor allem für die drei BahnCard-Typen BahnCard pur, BahnCard mit VISA-Kreditkartenteil und Electron-Guthabenkarte drei optisch getrennte Bereiche vorgesehen waren.
Nachdem der Berliner Datenschutzbeauftragte für die private Datenverarbeitung in Berlin und damit auch für die Deutsche Bahn AG zuständig geworden war, wurde sofort das Gespräch mit der Deutschen Bahn AG, der Citibank NA, New York, der Citibank-Privatkunden AG und der CCO aufgenommen. Neben einigen weiteren Problemen des Formulars selbst wurden vor allem die auf der Rückseite des Formulars abgedruckten Geschäftsbedingungen und die Voraussetzungen geprüft, unter denen Citibank die Daten der BahnCard-Kunden in die USA übermitteln darf. Diese Verhandlungen führten zu weiteren Erfolgen. Nach einer zweiten Gesprächsrunde wurden auch für die ausstehenden Probleme Zusicherungen gemacht, so daß keine datenschutzrechtlichen Bedenken mehr gegen das Verfahren bestehen.
Gegen das BahnCard-Verfahren haben sich viele Bürgerinnen und Bürger schriftlich und telefonisch an mich gewandt. Viele Kunden sich darüber beschwert, daß die Bahn sich zur Herstellung der BahnCard der Citibank bedient und daß diese wiederum die Daten zur Herstellung der Karte in die USA übermittelt. Ich mußte sie darauf hinweisen, daß es nicht die Aufgabe der Aufsichtsbehörde ist, private Datenverarbeiter bei der Auswahl ihrer Kooperationspartner zu beschränken. Auch der Datenfluß über die Grenzen Deutschlands und Europas hinaus kann nicht von vornherein unterbunden werden, vielmehr kann die Aufsichtsbehörde lediglich die Datenübermittlung an Dritte und ins Ausland so mitzugestalten versuchen, daß kein deutsches Datenschutzrecht verletzt wird. Soweit die Daten in Länder wie die USA übermittelt werden, wo ein dem deutschen Datenschutzrecht entsprechendes Datenschutzniveau fehlt, ist diese Aufgabe besonders schwierig.
Auf dreierlei Weise wurde die datenschutzrechtliche Zulässigkeit des Verfahrens herbeigeführt:
- Die Betreiber des Verfahrens wurden veranlaßt, die Formulare mit ihren Fragen und Erklärungen datenschutzgerecht zu gestalten;
- die auf der Rückseite der Formulare abgedruckten allgemeinen Geschäftsbedingungen wurden verbessert;
- in Vereinbarungen zwischen der Deutschen Bahn AG und den beteiligten Citibank-Unternehmen in Deutschland und den USA wird ein umfassender Datenschutz der BahnCard-Kunden in den USA, aber auch in Deutschland gewährleistet.
Die wichtigste Veränderung bei den Formularen stellt die klare Wahlmöglichkeit zwischen der Visa-Kreditkarte, der Electron-Guthabenkarte und der BahnCard ohne jede Zahlungsfunktion dar. Soweit die Citibank durch die Erhebung nach dem alten Formular von Erwerbern der einfachen BahnCard unzulässig auch Daten zum Kreditkartenteil erhalten hatte, hat sich die Citibank verpflichtet, diese Daten so schnell wie möglich zu löschen. Überflüssige Fragen auf dem Formular sind gestrichen oder modifiziert und die Einteilung zwischen Angaben zur BahnCard und notwendigen Angaben zur Ausstellung der VISA-Kreditkartenfunktion deutlich durch rote Überschriften herausgestellt worden. Das gilt auch für den Teil des Formulars, wo auf die jeweiligen Datenschutzklauseln hingewiesen wird. Gegen die Gestaltung des Antragsformulars bestehen damit keine datenschutzrechtlichen Bedenken mehr. Allerdings wäre es kundenfreundlicher und übersichtlicher, wenn es für jede Version der Karte ein gesondertes Formular gäbe. Mißverständnisse könnten hierdurch vermieden werden.
Auf der Rückseite des Formulars sind unter anderem die Wesentlichen Bestimmungen der Bahn zum Gebrauch der BahnCard und die Nutzungsbedingungen für die VISA-Kreditkartenfunktion und Electron-Guthabenkartenfunktion der Citibank Privatkunden AG abgedruckt. Danach willigt der BahnCard-Kunde ein, daß die CCO die in dem Kartenantrag enthaltenen Daten zur Aufnahme und Abwicklung des BahnCard-Vertrages erhält, verarbeitet und speichert. Außerdem willigt er ein, daß seine Antragsdaten zur Aufstellung und Abwicklung der BahnCard an die Rechenzentren der Citibank in den USA übermittelt sowie dort verarbeitet und gespeichert werden. Bemerkenswert ist in beiden Klauseln, daß die Rechenzentren der Citibank in den USA sich verpflichten, die Daten auf einem dem Datenschutzgesetz vergleichbar hohen Schutzniveau zu verarbeiten. Die in diesen Klauseln vorgesehene Geltendmachung der Rechte der Bahnkunden ist nicht nur gegenüber der Citibank, sondern auch gegenüber der Deutschen Bahn AG möglich.Die Übermittlung der Kreditkartenabrechnungsdaten an die VISA-International-Association wurde transparent gemacht und ihre Zulässigkeit an die Einwilligung des BahnCard-Kunden geknüpft.
Die größte Bedeutung haben eine
- Datenschutzvereinbarung in Ergänzung zum Kooperationsvertrag zwischen Deutscher Bahn AG und der Citibank Privatkunden AG
sowie eine
- Vereinbarung zum gebietsübergreifenden Datenschutz zwischen den beteiligten deutschen und amerikanischen Citibank-Unternehmen.
Darin verpflichten sich die Vertragspartner,
- die Daten aller BahnCard-Kunden in den USA lediglich zur Herstellung der BahnCard - also nicht zu Marketingzwecken - zu nutzen.:
- die Daten der Kunden von reinen BahnCards ohne VISA-Teil auch in Deutschland nicht zu Marketingzwecken zu verwenden; die Deutsche Bahn AG darf mit diesen Daten lediglich für die sog. "bessere" BahnCard, also die BahnCard mit VISA-Kreditkartenteil werben;
- die Daten von Kunden von BahnCards mit Kreditkartenteil oder von Electron-Guthabenkarten nur für "financial services" in Deutschland zu nutzen; das bedeutet, daß die Citibank diese Daten innerhalb ihres Konzerns lediglich für Bank- und Versicherungsgeschäfte verwenden darf; weitere Angebote können derartigen Sendungen nur beigepackt werden;
- eingehende im Vertrag im einzelnen beschriebene Datensicherungsmaßnahmen - insbesondere auch in den USA - zu treffen.
Der BahnCard-Kunde kann seine Rechte auf Auskunft, Löschung, Sperrung oder Schadensersatz gegenüber der Deutschen Bahn AG oder der Citibank geltend machen, auch wenn der Schaden nicht in Deutschland, sondern in den USA entstanden ist. Schließlich kann der Berliner Datenschutzbeauftragte als für die Deutsche Bahn AG zuständige Datenschutzaufsichtsbehörde in den USA vor Ort selbst Datenschutzprüfungen vornehmen oder durch einen Beauftragten vornehmen lassen.
Im Hinblick auf die dargestellten Datenschutzmaßnahmen sind sowohl die Übermittlung der Daten von der Deutschen Bahn AG an die CCO als auch die Übermittlung der Daten an die Rechenzentren in den USA zulässig.
Diese grundsätzliche Bewertung des BahnCard-Verfahrens schließt natürlich nicht aus, daß es bei der konkreten Umsetzung des Verfahrens zu weiteren, z. B. technisch bedingtem Datenschutzproblemen kommt.
Die Bedeutung dieses Falles liegt vor allem darin, daß es gelungen ist, bei grenzüberschreitendem Datenverkehr mit den USA hinreichende Datenschutzregelungen zu treffen. Sie sind insoweit vorbildlich für die Umsetzung der EU-Datenschutzrichtlinie die einen Datenexport nur dann erlaubt, wenn ein angemessener Datenschutz im Empfängerland sichergestellt ist. Dessenungeachtet ist zu hoffen, daß auch der Gesetzgeber der USA sich des Datenschutzes im privaten Sektor annimmt.
Der Berliner Gesundheitspaß
Seit Anfang 1995 werden in der Senatsverwaltung für Gesundheit Überlegungen zu einem Berliner Gesundheitspaß angestellt. Erörterungen fanden in diversen thematisch unterschiedenen Arbeitsgruppen statt, an denen sich die an der Umsetzung der Gesundheitsreform beteiligten Institutionen, die gesetzlichen Krankenkassen, die kassen- und kassenzahnärztlichen Vereinigungen, die Zahnärzte- und Ärztekammern, die Berliner Krankenhausgesellschaft und die Senatsverwaltung für Gesundheit beteiligten. Wegen der unbestritten wichtigen datenschutzrechlichen Aspekte wurden auch wir frühzeitig an der Diskussion beteiligt.
Die gesundheitspolitischen Zielsetzungen wurden zu Beginn des Projektes von der Senatsverwaltung für Gesundheit vorgegeben:
- erhebliche Verbesserung der Information des Bürgers über seine Gesundheit, damit er in die Lage versetzt wird, sich aktiver um seine gesundheitlichen Belange zu kümmern und seine Interessen besser wahrzunehmen; dazu zählt auch der Schutz seiner persönlichen Daten, weil er sie selbst in Verwahrung hat;
- Optimierung der auf den Bürger orientierten Kommunikation zwischen den Gesundheitseinrichtungen, so daß Mehrfachuntersuchungen vermieden und Maßnahmen kostensparend besser abgestimmt werden können;
- Verbesserung der Transparenz der Leistungsangebote der Gesundheitseinrichtungen und damit Qualitätsverbesserung;
- Stärkung der Rolle des Hausarztes als lebenslanger "Gesundheitsbegleiter" des Bürgers;
- Verbesserung der Gesundheitsberichterstattung und damit der Entscheidungsgrundlagen der Entscheidungsträger.
Der Gesundheitspaß soll als Universal-Gesundheitspaß konzipiert werden, in dem lebenslang alle Informationen gesammelt werden sollen, die es dem Einzelnen ermöglichen, sich selbst kompetent um seine Gesundheit zu sorgen.
Unter den oben beschriebenen Kategorien der Projekte zu Gesundheitschipkarten reiht sich der Berliner Gesundheitspaß in die allumfassenden multifunktionalen, und deshalb datenschutzrechtlich kritischen Chipkarten ein, die einer allgemeinen politischen Zielsetzung folgen. Allerdings ist die Realisierungsform immer offen gelassen worden. Sie soll erst in einer späteren Phase des Projektes konkretisiert werden. Dies gilt auch für die sicherheitstechnischen Aspekte.
Wir haben bei den Erörterungen betont, daß es mit Chipkarten möglich ist, höchste Sicherheitsansprüche zu befriedigen, daß dieses jedoch auch für die Infrastruktur gelten muß, mit der die Chipkarten gelesen, ausgewertet und weiterverarbeitet werden. Diese können keinen ökonomischen Abwägungen ausgesetzt werden. Immerhin können versehentliche oder manipulative Datenveränderungen auf dem Chip lebensbedrohende Wirkung haben. Damit stellt die Sicherheit einen Kostenfaktor dar, der nicht wie bei der Krankenversicherungskarte der Kostenminimierung geopfert werden darf.
Neben diesen hohen finanziellen Hürden bestehen Zweifel, ob die angestrebten gesundheitspolitischen Ziele erreichbar sind. Hinzu kommen die Bedenken der beteiligten Organisationen. So fürchten die Ärztevertretungen intensivere Kontrollen und zusätzlichen Aufwand; die Kostenträger bezweifeln den Beitrag des Gesundheitspasses zur Kostensenkung und Erhöhung der Transparenz.
Angesichts dieser in den Arbeitsgruppen artikulierten Zweifel wurde von der Senatsverwaltung für Gesundheit von der schnellen probeweisen Einführung des Gesundheitspasses abgesehen und die Priorität dahin verlagert, zunächst wissenschaftlich alle als Probleme erkannte Sachverhalte zu untersuchen.
3.5 Parkraumbewirtschaftung
Seit dem 6. März 1995 läuft in Berlin eine zweijährige Testphase zur Parkraumbewirtschaftung. Als Parkraumbewirtschaftungszonen sind die Spandauer Altstadt, die westliche Innenstadt sowie Stadtmitte eingerichtet worden. Offensichtlich einmalig im Bundesgebiet übernehmen private Firmen in den drei Parkraumbewirtschaftungszonen nicht nur die Aufstellung und Unterhaltung der Parkscheinautomaten, sondern auch die Kontrolle der Parkberechtigungen im jeweiligen Bewirtschaftungsgebiet. Die Senatsverwaltung für Verkehr und Betriebe hat zu diesem Zweck für das Land Berlin mit verschiedenen Firmen einen Vertrag über die Bewirtschaftung von Anwohnerparkzonen in Berlin abgeschlossen.
Der Vertrag verpflichtet die Firmen zum einen zur Beschaffung, zum Aufbau und zur Unterhaltung der Parkscheinautomaten; zum anderen überträgt er den Firmen auch die Überwachung des ruhenden Verkehrs in Abstimmung mit der Polizei. Die privaten Firmen kontrollieren in den vertraglich vereinbarten Gebieten und zu vertraglich vereinbarten Zeiten den ruhenden Verkehr. Die Entscheidung, wo und wann kontrolliert wird, obliegt dem Polizeipräsidenten. Dieser kann den Mitarbeitern der privaten Firmen jederzeit Weisungen erteilen. Wenn die Privaten bei ihrer Kontrolltätigkeit einen Verstoß gegen das Halten und Parken feststellen, erfassen sie mittels Hand-Computer die Daten und übermitteln diese nach Ablauf eines Arbeitstages an die Bußgeldstelle. Am kontrollierten Fahrzeug hinterlassen die Kontrolleure einen Hinweiszettel, mit dem der Fahrzeuginhaber darauf hingewiesen wird, daß er sein Fahrzeug verkehrswidrig abgestellt habe und die weitere Bearbeitung unter Einsatz der automatischen Datenverarbeitung der Bußgeldbehörde beim Landespolizeiverwaltungsamt erfolgen werde.
Bei dem Einsatz privater Firmen zur Kontrolle des ruhenden Verkehrs stellt sich aus datenschutzrechtlicher Sicht die Frage, ob es sich hierbei um eine Funktionsübertragung oder um Auftragsdatenverarbeitung nach § 3 BlnDSG handelt. Besonders problematisch ist in diesem Zusammenhang die Frage, in welchem Umfang Private im Bereich der hoheitlichen Aufgabenerfüllung eingesetzt werden dürfen.
Die Polizei übernimmt die erhobenen Daten über Parkverstöße zunächst zwar ohne weitere Prüfung zum Erlaß von Verwarnungs- und Bußgeldbescheiden. Nach dem mit den privaten Firmen abgeschlossenen Vertrag sind dem Polizeipräsidenten aber die Entscheidungen über das Ob, Wo und die Dauer der Kontrollen und damit der Datenerhebungen durch die Privaten vorbehalten. Bei den Datenerhebungen steht den Privaten kein Ermessensspielraum zu, da sie bei ihrer Tätigkeit weisungsabhängig vom Polizeipräsidenten sind.
Wir sehen den Einsatz der Privaten gerade noch als Auftragsdatenverarbeitung an, weil die Privaten bei ihrer Aufgabenerfüllung in jeder Hinsicht von den Weisungen des Polizeipräsidenten abhängig sind. Ob der Verzicht der Polizei auf eine Ermessensausübung vor Ort verfassungsrechtlich zulässig ist, ist allerdings umstritten und liegt dem Verwaltungsgericht zur Entscheidung vor.
Der mit den privaten Firmen geschlossene Vertrag, in dem auch die Auftragsdatenverarbeitung geregelt ist, zitiert speziell zur Datenerfassung und -speicherung mit mobilen Datenerfassungsgeräten, zur Zusammenführung der erfaßten Daten auf einem Datenträger und zum Transport der Datenträger bzw. Übertragung der Daten zur Bußgeldstelle lediglich § 5 Abs. 3 BlnDSG. Eine Präzisierung dieser Maßnahmen zur Erfüllung der zitierten Kontrollanforderungen erfolgt ebensowenig wie eine durchgängige, präzise Darstellung der in Auftrag gegebenen Datenverarbeitungsschritte.
Gerade wegen der besonderen Risiken mobiler IuK-Technik hätten jedoch Mindestanforderungen an Maßnahmen zur Benutzer- und Speicherkontrolle bei den mobilen Datenerfassungsgeräten und zur Transportkontrolle beim Datenträgeraustausch bzw. Datenübertragung an die Bußgeldstelle formuliert werden müssen.
Auch die Umsetzung des Parkraumbewirtschaftungskonzeptes warf bereits vor Beginn der Testphase zahlreiche Probleme auf.
Nachdem uns die Senatsverwaltung für Verkehr und Betriebe Ende November 1994 durch Übersendung einer Mitteilung zur Kenntnisnahme für das Abgeordnetenhaus über ein Parkraumbewirtschaftungskonzept unterrichtet hatte, erfuhren wir Anfang des Jahres 1995 aus der Presse sowie durch zahlreiche Bürgerbeschwerden, daß bereits private Firmen mit der Parkraumbewirtschaftung beauftragt worden waren und die Ausgabe von Anwohnervignetten etwa Ende Januar 1995 beginnen sollte. Ein Datenschutzkonzept lag nicht vor. Erst nach einer Beanstandung und einem weiteren halben Jahr hat uns die Senatsverwaltung für Verkehr und Betriebe den zwischen dem Land Berlin und den privaten Firmen geschlossenen Vertrag zur Verfügung gestellt. Auch eine Meldung zum Dateienregister war mit Beginn der Testphase des Parkraumbewirtschaftungskonzeptes noch nicht erfolgt. Nach Auffassung der Senatsverwaltung für Verkehr und Betriebe handelt es sich bei dem Notieren des Kraftfahrzeugkennzeichens, des Kraftfahrzeugtypes sowie der Angaben, wie und wo falsch geparkt wurde, durch die Privaten nicht um eine Datenspeicherung. Nach § 4 Abs. 2 Nr. 2 BlnDSG bedeutet Speichern jedoch das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger. Diese Voraussetzungen liegen hier zweifelsfrei vor.
Die Mitarbeiter der privaten Firmen fertigen in Ausnahmefällen auch Fotos zu Beweiszwecken. Die Filme bleiben bei den Firmen und werden erst im Rahmen einer etwaigen Zeugenanhörung durch die Bußgeldbehörde entwickelt und dieser übersandt. Der Verbleib der Negative bei den privaten Firmen ist bedenklich. Die zu Beweiszwecken gefertigten Negative sind der Bußgeldbehörde zu übermitteln, denn auch bei den Fotos handelt es sich um personenbezogene Daten, die für das Ordnungswidrigkeitenverfahren erhoben wurden. Nach Erledigung des jeweiligen Bußgeldverfahrens sind die Negative der zu Beweiszwecken aufgenommenen Fotos zu vernichten.
Auch die Datenerhebung zur Erteilung eines Anwohnerparkausweises war problematisch. Aus den Informationsmaterialien zur Antragstellung ergab sich für den Bürger, daß dem Antrag eine Ablichtung des Personalausweises und in Einzelfällen eine Bescheinigung aus dem Melderegister sowie eine Ablichtung der Seite des Kraftfahrzeugscheines, aus der sich der Name und die Anschrift des Halters sowie das amtliche Kennzeichen des Fahrzeuges ergeben, beigefügt werden mußte. Die Erhebung personenbezogener Daten ist nur zulässig, wenn sie zur Erfüllung der durch Gesetz der datenverarbeitenden Stelle zugewiesenen Aufgaben und dem jeweils damit verbundenen Zweck erforderlich ist [31]. Wie die Senatsverwaltung für Verkehr und Betriebe eingeräumt hat, enthält eine Ablichtung des Personalausweises personenbezogene Daten, die für die Antragsbearbeitung nicht benötigt werden. Erforderlich sind lediglich der Name und die Anschrift des Antragstellers, nicht jedoch die Augenfarbe und die Größe oder das Foto. Auch von dem Kraftfahrzeugschein sind nach Angaben der Verkehrsverwaltung für die Antragsbearbeitung nur der Name und die Anschrift des Halters sowie das amtliche Kennzeichen für die Erteilung der Vignette erforderlich, nicht aber das Datum der nächsten Hauptuntersuchung.
Die meisten Antragsteller dürften ihrem Antrag komplette Kopien ihrer Ausweise und Fahrzeugscheine beigefügt haben. Von der ursprünglich von der Senatsverwaltung für Verkehr und Betriebe angekündigten Schwärzung der nicht erforderlichen Daten wurde wieder abgerückt. Nunmehr soll nur dann geschwärzt werden, wenn ein Vorgang anläßlich eines Änderungsantrages neu bearbeitet wird. Änderungsanträge dürften jedoch nur in wenigen Fällen gestellt werden, so daß in der Mehrzahl der Fälle auch weiterhin unzulässig personenbezogene Daten gespeichert bleiben werden und für die Bewohner der Parkraumbewirtschaftungsbereiche eine bedenkliche Personalausweissammlung bei der Polizei entstanden ist.
Ausnahmegenehmigungen für das Parken in einer Parkraumbewirtschaftungszone werden in Form eines Bescheides durch den Polizeipräsidenten in Berlin erteilt, der den Bereich der Ausnahmegenehmigung, den Zeitraum der Wirksamkeit der Ausnahmegenehmigung, das Kraftfahrzeug-Kennzeichen des Antragstellers sowie den Zweck der Ausnahmegenehmigung enthielt. Da der Bescheid immer in Briefform verfaßt wird, enthält er auch die vollständige Adresse des Antragstellers. In den Nebenbestimmungen zu der Ausnahmegenehmigung wurden die Bürger darauf hingewiesen, daß sie - sofern sie ihr Fahrzeug verlassen - die erste Seite der Ausnahmegenehmigung im Fahrzeuginnern nach außen hin lesbar anzubringen hätten. Diese erste Seite enthält die Adresse des Antragstellers, das Kraftfahrzeug-Kennzeichen sowie auch die Angabe des Zweckes für die Ausnahmegenehmigung.
Nach § 46 Abs. 3 Straßenverkehrsordnung (StVO) dürfen Ausnahmegenehmigungen und Erlaubnisse unter dem Vorbehalt des Widerrufes sowie mit Nebenbestimmungen erteilt werden. Die Vorschrift regelt auch, daß die Bescheide vom Betroffenen mitzuführen und auf Verlangen den zuständigen Personen auszuhändigen sind. Da bei einem Auslegen der ersten Seite des Bescheides im Kraftfahrzeug jedermann diese Daten lesen kann, dürfen nur die für die Aufgabenerfüllung tatsächlich erforderlichen Daten auf der Ausnahmegenehmigung auch für Dritte zu lesen sein. Dies ergibt sich aus dem Erforderlichkeitsgrundsatz des § 9 Abs. 1 BlnDSG. Nicht erforderlich ist danach die Angabe der vollständigen Adresse des Betroffenen. Dies hat auch der Polizeipräsident eingeräumt. Er hat uns mitgeteilt, daß in Zukunft der Genehmigungsinhaber beim Auslegen der Ausnahmegenehmigung im Fahrzeug nicht mehr sichtbar sein müsse.
Für nicht erforderlich halten wir auch das Auslegen des Zweckes der Ausnahmegenehmigung. Die Angabe des Zweckes der Ausnahmegenehmigung ermöglicht bei Abwesenheit des Fahrers nicht die Kontrolle, ob der angegebene Zweck tatsächlich in Anspruch genommen wird. Die in den Parkraumbewirtschaftungszonen tätigen privaten Firmen sind zudem nicht befugt, eigene Ermittlungen darüber anzustellen, ob der Fahrer des Fahrzeuges dem auf der Ausnahmegenehmigung angegebenen Zweck tatsächlich nachgeht. Da eine Kontrolle des Zweckes nach unserer Auffassung tatsächlich nicht möglich ist, halten wir die Angabe des Zweckes auf dem ausgelegten Teil des Bescheides für nicht erforderlich. Die Senatsverwaltung für Verkehr und Betriebe hat uns auf unsere Frage, warum der Zweck der erteilten Ausnahmegenehmigung sichtbar im Fahrzeug ausliegen müsse, keine befriedigende Antwort gegeben. Sie hat lediglich darauf hingewiesen, daß die Kontrollkräfte zweifelsfrei feststellen können müßten, daß zwar eine Ausnahmegenehmigung vorliege, diese jedoch zu anderen als den dort genannten Zwecken - und damit unzulässig - genutzt worden sei. Dies setze voraus, daß bei einer Verkehrsüberwachung der Zweck der Ausnahmegenehmigung ohne weiteres aus der im Fahrzeug ausgelegten Urkunde festgestellt werden könne. Dies ist unserer Auffassung nach jedoch gerade nicht möglich. Wir haben daher eine Beanstandung gegenüber der Senatsverwaltung für Verkehr und Betriebe wegen ihrer Forderung, auch den Zweck der Ausnahmegenehmigung für jedermann sichtbar durch Auslegen des Bescheides mitanzugeben, ausgesprochen.
Die Frage, wann eine Löschung der Antragsdaten erfolgen soll, ist nicht abschließend geklärt. Hier sind klare Löschungsfristen vorzusehen, die - wenn schon überflüssige Daten nicht geschwärzt werden - so bald wie möglich greifen sollten.
Da die Informationsmaterialien und Antragsunterlagen unzureichende Angaben über die zur Antragsbearbeitung erforderlichen Daten enthalten, ist eine Änderung dieser Unterlagen notwendig. Es müssen die erforderlichen datenschutzrechtlichen Hinweise - insbesondere auf die Schwärzungsmöglichkeit - gegeben werden. Eine Überarbeitung dieser Unterlagen soll "voraussichtlich" nicht erfolgen. Dies ist umso bedauerlicher, als die Testphase für das Parkraumbewirtschaftungskonzept noch nicht einmal zur Hälfte abgelaufen ist, Erweiterungen offenbar geplant sind und sicherlich noch weitere Ausnahmegenehmigungen beantragt werden. Bei künftig eingehenden Anträgen, die für die Antragsbearbeitung nicht erforderliche personenbezogene Daten enthalten, sind diese Daten durch die Mitarbeiter der Polizei gleich zu schwärzen.
Der Vertrag zwischen dem Land Berlin und den Parkraumbewirtschaftungsfirmen enthält auch Regelungen über den Einsatz von Mitarbeitern bei den Firmen. Danach soll der Polizeipräsident seine Zustimmung zum Einsatz der Kontrolleure erteilen. Das setzt eine Überprüfung der privaten Arbeitnehmer und Datenerhebungen durch die Polizei voraus. Eine solche Datenerhebung würde ohne Rechtsgrundlage erfolgen. Das Allgemeine Sicherheits- und Ordnungsgesetz (ASOG) sieht hierfür keine Befugnis vor, und die Regelung des § 13 BDSG für die Datenerhebung, auf die das Berliner Datenschutzgesetz verweist, ist nur für die Personaldatenverarbeitung durch den öffentlichen Arbeitgeber anwendbar. In dieser Funktion wird die Polizei aber nicht tätig. Auch die in dem Vertrag vorgesehen Möglichkeit des Auftraggebers (Land Berlin), in die Personalakten der bei dem Auftragnehmer (private Firmen) beschäftigten Überwachungskräfte Einsicht zu nehmen und zu diesem Zweck die Einverständniserklärung des Betroffenen einzuholen, ist nicht zulässig. Die Einwilligung der Mitarbeiter in die Einsichtnahme in ihre Personalakten erfolgt in diesen Fällen nicht freiwillig. Im übrigen wäre auch eine Einsichtnahme in die vollständige Personalakte unzulässig, weil sie gleichzeitig zur Offenbarung von Personalinformationen führen würde, die für eine Überprüfung nicht erforderlich sind. Für eine ebenfalls in dem Vertrag vorgesehene Einholung von "Gauck"-Auskünften bei Mitarbeitern aus dem Westteil Berlins fehlt es ebenfalls an einer Rechtsgrundlage [32].
Öffnung zum Internet - Gefahren für die öffentliche Verwaltung?
Auch Behörden haben zunehmend den Wunsch nach einem Zugang zu globalen Datennetzen, insbesondere dem Internet. Der Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Orientierungshilfe erarbeitet, die den für den Betrieb von Netzen der öffentlichen Verwaltung Verantwortlichen deutlich machen soll, mit welchen Risiken für die Sicherheit der Verwaltungsnetze bei einem Anschluß an das Internet zu rechnen ist und wie diese begrenzt werden können.
Der Anschluß an das Internet ist nur vertretbar, wenn zuvor eingehende Analysen und Bewertungen erfolgt sind und die Gefahren durch technische und organisatorische Maßnahmen beherrscht werden können. Eine hundertprozentige Sicherheit gegen Angriffe aus dem Internet kann jedoch auch bei Beachtung sämtlicher Maßnahmen nicht erzielt werden, da ständig neue unerwartete Sicherheitsprobleme endeckt werden. Die Problematik ist mit der der Virensuchprogramme vergleichbar. Es können im Normalfall nur bekannte Sicherheitsprobleme beachtet werden, zukünftige Probleme müssen umgehend nach Bekanntwerden durch geeignete Maßnahmen behoben werden.
Die Sicherheitsrisiken im Internet lassen sich grob in zwei Kategorien einteilen.
Zum einen hat jeder im Internet zur Verfügung stehende Dienst, wie z.B. Electronic Mail oder das World Wide Web (WWW), eigene dienstespezifische Sicherheitsrisiken; zum anderen beinhaltet die Nutzung der Kommunikationsprotokolle TCP/IP (Transmission Control Protocol / Internet Protocol) unabhängig vom genutzten Internet-Dienst bestimmte Risiken.
So werden bei den üblichen Diensten die Nutzerkennung und das Paßwort unverschlüsselt im Klartext übertragen. Mit Programmen, die unter dem Namen "Packet Sniffer" bekannt sind, kann der Datenverkehr im Netz bzw. auf den Netzknoten belauscht und nach interessanten Informationen durchsucht werden. Dadurch können diese Abhörprogramme zahlreiche Nutzerkennungen mit den dazugehörigen Paßworten ausspähen, mit deren Hilfe sich ein Angreifer einen unberechtigten Zugriff auf andere Rechner verschaffen kann. Datenpakete können jedoch nicht nur abgehört, sondern auch manipuliert werden. Ein Angreifer kann sich dies zunutze machen, indem er IP-Pakete mit gefälschten Absenderadressen an fremde Rechnersysteme schickt und sich so Zugang, unter Umständen sogar mit Administratorrechten, verschafft.
Um ein Netz vor Angriffen aus dem Internet zu schützen, werden in letzter Zeit in zunehmendem Maße Firewalls eingesetzt. Eine Firewall ist eine Schwelle zwischen zwei Netzen, die überwunden werden muß, um Systeme im jeweils anderen Netz zu erreichen. Eine Firewall stellt nach außen hin nur eine kleine Anzahl gut gesicherter und streng überwachter Dienste zur Verfügung. Jede Kommunikation zwischen dem zu schützenden Netz und dem unsicheren Netz (hier das Internet) wird durch die Firewall überwacht.
Eine Firewall kann durch verschiedene Grundkonzepte realisiert werden. Generell sollte es eine zentrale Firewall geben, über die die Anbindung vom Verwaltungsnetz zum Internet realisiert wird. Diese zentrale Firewall muß den Mindestschutz gewährleisten, der für den Großteil der angeschlossenen Teilnetze ausreichend ist. Teilnetze mit höheren Sicherheitsanforderungen sind durch eine eigene Firewall innerhalb des Verwaltungsnetzes abzuschotten, d.h., das Gesamtkonzept sollte durch das Zusammenwirken gestaffelter Firewalls realisiert werden. Das Konzept der gestaffelten Firewalls ist auch geeignet, der Gefährdung der informationellen Gewaltenteilung innerhalb des Verwaltungsnetzes entgegenzuwirken. Auch innerhalb des Verwaltungsnetzes muß natürlich eine Abschottung der Teilnetze gegeben sein.
Folgende Empfehlungen für den Anschluß von Netzen der öffentlichen Verwaltung an das Internet können aus Datenschutzsicht gegeben werden:
- Verwaltungsnetze sollten nur an das Internet angeschlossen werden, wenn dies unbedingt erforderlich ist. Die Kommunikationsmöglichkeiten müssen sich dabei am Kommunikationsbedarf orientieren. Dazu ist die Durchführung einer Kommunikationsanalyse notwendig.
- Voraussetzung für die Anbindung eines Verwaltungsnetzes an das Internet ist das Vorliegen eines schlüssigen Sicherheitskonzeptes und dessen konsequente Umsetzung. Die Internet-Anbindung darf nur erfolgen, wenn die Risiken durch technische und organisatorische Maßnahmen beherrscht werden können.
- Die Sicherheit des Verwaltungsnetzes ist durch geeignete Firewall-Systeme sicherzustellen. Diese müssen eine differenzierte Kommunikationssteuerung und Rechtevergabe unterstützen. Dabei müssen die Anforderungen, die von den Firewall-Komponenten zu erfüllen sind, im Sicherheitskonzept integriert sein.
- Um der Gefahr von Maskeraden und der Ausforschung der Netzstrukturen des Verwaltungsnetzes entgegenzuwirken, sollte eine gesonderte interne Adreßstruktur verwendet werden. Die internen Adressen müssen dann durch eine zentrale Firewall in externe Internet-Adressen umgesetzt werden.
- Der ausschließliche Einsatz einer zentralen Firewall-Lösung ist nur dann vertretbar, wenn eine Orientierung am höchsten Schutzbedarf erfolgt, auch wenn dies Nachteile für weniger sensible Bereiche mit sich bringt. Die Frage der Kontrolle interner Verbindungen bleibt jedoch bei einer solchen Lösung offen. Das Konzept der gestaffelten Firewalls kommt den Datenschutzanforderungen an Verwaltungsnetze entgegen, die aus einer Vielzahl verschiedener Teilnetze bestehen, in denen Daten unterschiedlicher Sensibilität von verschiedenen Stellen für unterschiedliche Aufgaben verarbeitet werden und in denen dementsprechend jeweils unterschiedliche Sicherheitsanforderungen bestehen.
- Der personelle und sachliche Aufwand für Firewall-Lösungen ist generell sehr hoch. Es ist dabei unverzichtbar, hochspezialisierte Kräfte einzusetzen, um gegen mindestens ebenso spezialisierte Angreifer gewappnet zu sein.
- Auch beim Einsatz von Firewalls bleiben Restrisiken bestehen, denen anwendungsbezogen begegnet werden muß. Es bleibt daher notwendig, personenbezogene Daten nur verschlüsselt zu übertragen, wobei hierzu auch Paßwörter und sonstige Authentifikationsdaten zu zählen sind.
- Bei einem unvertretbaren Restrisiko muß auf einen Anschluß an das Internet verzichtet werden. Der Zugriff auf Internet-Dienste muß in diesem Fall auf Systeme beschränkt werden die nicht in das Verwaltungsnetz eingebunden sind.
- Firewall-Konzepte entlasten die dezentralen Systemverwalter und Netzadministratoren nicht von ihrer Verantwortung zur Gewährleistung des Datenschutzes. Durch die Vernetzung erhöhen sich vielmehr die Anforderungen an die lokale Systemverwaltung, da Administrationsfehler ungleich schwerwiegendere Konsequenzen haben können.
Für die Anbindung des Berliner Verwaltungsnetzes MAN an das Internet wurden bereits erste Schritte unternommen. Die Notwendigkeit einer sicheren Abschottung gegenüber dem Internet wurde bereits sehr frühzeitig erkannt und die Konzeption eines Security Servers, der diese Funktionen übernehmen soll, in Auftrag gegeben. Hierbei wurde aufgrund der guten Erfahrungen bei der Erstellung der Risikoanalyse und dem darauf aufbauendem Datenschutz- und Datensicherheitskonzept für das MAN wiederum auf externen Sachverstand zurückgegriffen. Das Konzept enthält gute Ansätze für die technische Anbindung des MAN an das Internet. Problematisch erscheint die Tatsache, daß entgegen den oben erwähnten Empfehlungen nicht mit einer Kommunikationsanalyse begonnen wurde. Zur Zeit existiert im Land Berlin keine Planung für eine mögliche Nutzung des Internet bzw. der Dienste im Internet. Eine detaillierte Kommunikationsanalyse ist jedoch unbedingte Voraussetzung für die Festlegung, wer in welcher Art und Weise welche Internet-Dienste benutzen muß bzw. für den eine Nutzung sinnvoll erscheint. Ein Firewall-Konzept kann jedoch nicht nach Art und Weise eines Kochrezeptes erstellt werden, sondern muß sehr genau den Anforderungen und Gegebenheiten angepaßt werden, um die Risiken auf ein vertretbares Minimum zu reduzieren.
Um es noch einmal zu betonen: Auch ein gut durchdachtes Firewall-Konzept kann keine hundertprozentige Sicherheit gegen Angriffe aus dem Internet bieten. Es sollte daher sehr gut überlegt werden, ob eine Anbindung an das Internet für einen Großteil der Berliner Verwaltung wirklich notwendig ist oder ob es einfach nur die allgemeine Zeiterscheinung ist, auf den Modezug -Internet- unter allen Umständen aufzuspringen. Als sicherste Lösung bietet sich an, den Internet-Zugang über Systeme zu schaffen, die vom Verwaltungsnetz getrennt sind.
Pilotprojekt "Interaktive Videodienste Berlin"
Am 15. Februar 1995 hat das Multimedia-Pilotprojekt "Interaktive Videodienste Berlin" der Deutschen Telekom AG als bisher einziges von insgesamt sechs in Deutschland geplanten Pilotprojekten den Betrieb aufgenommen. Die angeschlossenen fünfzig Teilnehmer bestehen zur Hälfte aus Privathaushalten, die übrigen Terminals sind an öffentlich zugänglichen Plätzen (z.B. in Kaufhäusern) und in der öffentlichen Verwaltung installiert. Auch der Berliner Datenschutzbeauftragte nimmt am Pilotprojekt teil.
Die angebotenen Informationen sind auf einem von der Telekom betriebenen Video-Server gespeichert. Für die Übertragung an die Teilnehmer wird das Kabelnetz der Telekom benutzt. Dabei wird ein sonst nicht genutzter Frequenzbereich ("Hyperband") verwendet, der in fünfzig Kanäle aufgeteilt ist. Jeder Kanal ist eindeutig einem Teilnehmer zugeordnet. Bei den Teilnehmern ist eine "Set Top Box" installiert, die die über das Kabelnetz empfangenen Signale zur Wiedergabe auf dem Fernsehgerät dekodiert und dekomprimiert. Die SetTop Box ist durch eine Chipkarte gegen unbefugte Benutzung gesichert. Für den "Rückkanal" - d.h. die Übertragung von Signalen vom Teilnehmer zur Telekom - wird in Berlin das Telefonnetz genutzt. An anderen Standorten im Bundesgebiet sollen verschiedene andere Rückkanaltechniken wie das Breitbandkabelnetz oder sogar Glasfaserkabel eingesetzt werden. Der Benutzer kann das System durch eine Fernbedienung beeinflussen.
Zu den bisher angebotenen Diensten gehören:
- Video on Demand: Ermöglicht den jederzeitigen Abruf entgeltpflichtig angebotener Filme. Dabei kann der Film wie auf einem Videorecorder vor- und zurückgespult werden.
- Near Video on Demand: Auch hier kann der Benutzer unter einem bestimmten Angebot von Filmen auswählen, diese werden jedoch nur in bestimmten Zeitabständen (z.B. alle fünfzehn Minuten) gestartet. Hier sollen ebenfalls Gebühren für das Ansehen des einzelnen Films erhoben werden.
- Pay per Channel: Hier wird für einen bestimmten Zeitraum (z.B. für einen Monat) das Programm eines bestimmten Fernsehsender angemietet. Derartige Angebote sind bereits jetzt - wenn auch in einer anderen technischen Realisierung - verfügbar.
-
Home-Shopping: Ermöglicht den Einkauf verschiedener Waren bei
verschiedenen Anbietern "vom Wohnzimmersessel aus". Die Bestellungen werden
an die Versandhäuser weitergegeben und dort bearbeitet.
- Pay-Radio: Einzelne Radioprogramme werden für einen bestimmten Zeitraum gemietet.
Daneben besteht das Pilotprojekt aus zahlreichen Informationsangeboten, die so unterschiedliche Bereiche wie Öffnungszeiten von Stellen der Berliner Verwaltung bis hin zu Kleinanzeigen abdecken. An dem Pilotprojekt sind neben der Telekom öffentliche und private Rundfunksender und andere Unternehmen aus dem Medienbereich beteiligt.
Ziel des Pilotprojekts in der gegenwärtigen Phase ist in erster Linie die Erkundung verschiedener Möglichkeiten zur technischen Realisierung derartiger Dienste. Der Berliner Datenschutzbeauftragte hat sich entschlossen, an dem Pilotversuch teilzunehmen, um bereits bei der Entwicklung solcher Technologien auf eine Berücksichtigung des Datenschutzes zu dringen.
Die aus unserer Sicht zentrale Gestaltung der Abrechnungsverfahren ist bislang noch völlig offen. Das liegt vordergründig daran, daß im Berliner Pilotprojekt alle Angebote gebührenfrei sind. Aber auch der Umstand, daß jeder Tastendruck der einzelnen Teilnehmer an diesem Projekt anschlußbezogen registriert wird, ist allenfalls für die jetzt zu Ende gehende Versuchsphase, nicht aber für den späteren flächendeckenden Echtbetrieb akzeptabel. Notwendigkeit ist eine datenschutzfreundliche Gestaltung der Nutzung und Abrechnung derartiger Dienstleistungsangebote.
Unterdessen ist zwischen dem Datenschutzbeauftragten der Telekom, dem Bundesbeauftragten für den Datenschutz und den Landesdatenschutzbeauftragten derjenigen Länder, in denen Pilotprojekte der Telekom stattfinden, ein regelmäßiger Erfahrungsaustausch vereinbart worden.
Postreform III - Schlußstein der Liberalisierung im Telekommunikationsbereich
Obwohl die Arbeiten zur Umsetzung der Postreform II in einzelnen Bereichen noch nicht abgeschlossen sind [54], sind die Vorbereitungen für die nächste und letzte Stufe der Liberalisierung im Telekommunikationsbereich ("Postreform III") bereits in vollem Gange. Kern diese Reformabschnitts ist die Liberalisierung des Sprachtelefondienstes im Festnetz zum 1. Januar 1998, der bisher als letzter Monopoldienst ausschließlich der Deutschen Telekom AG vorbehalten ist. Gleichzeitig soll die Möglichkeit geschaffen werden, eine gleichmäßige Versorgung der Bevölkerung mit Basistelekommunikationsdiensten zu angemessenen Preisen durch die Verpflichtung aller oder bestimmter Wettbewerber zum Angebot eines "Universaldienstes" sicherzustellen.
Bereits im März 1995 hat das Bundesministerium für Post- und Telekommunikation sogenannte "Eckpunkte eines künftigen Regulierungsrahmens im Telekommunikationsbereich" [55] vorgelegt. Danach sollten sich die im Rahmen der Postreform III zu treffenden Regelungen zu Fernmeldegeheimnis und Datenschutz "... an den einschlägigen europarechtlichen Regelungen und darin festgelegten Mindestanforderungen orientieren." In meiner Stellungnahme als Vorsitzender des Arbeitskreises Telekommunikation und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder habe ich gegenüber dem Bundespostministerium darauf hingewiesen, daß das Datenschutzniveau für die Bürger bei der Liberalisierung des Telefondienstes auf keinen Fall weiter abgesenkt werden darf.
Schon in zurückliegenden Berichtsjahren hatten wir auf die Notwendigkeit der Erhaltung einer einheitlichen unabhängigen Datenschutzkontrolle für den Telekommunikationsbereich hingewiesen. Zwar sieht der Entwurf für ein Telekommunikationsgesetz die Übertragung der Kontrollkompetenz für den Bereich der Telekommunikation auf eine neu zu schaffende Regulierungsbehörde vor. Aufgrund ihrer voraussichtlichen organisatorischen Gestaltung kann jedoch nicht davon ausgegangen werden, daß diese Stelle eine dem Bundesbeauftragten für den Datenschutz vergleichbare Unabhängigkeit bei der Erfüllung ihrer Aufgaben besitzt. Darüber hinaus sind aufgrund einiger der zahlreichen weiteren Aufgaben, die dieser Stelle übertragen werden sollen (z.B. im Zusammenhang mit der technischen Umsetzung von Überwachungsmaßnahmen), Interessenkonflikte zu befürchten. Daher haben die Datenschutzbeauftragten des Bundes und der Länder auf ihrer 50. Konferenz in einer Entschließung gefordert, die zentrale Funktion des Bundesbeauftragten für den Datenschutz für die Kontrolle im Telekommunikationsbereich zu erhalten. Gleichzeitig bedürfen die Aufgaben, die die Landesbeauftragten für den Datenschutz und Aufsichtsbehörden im Rahmen ihrer Zuständigkeit zu erfüllen haben (etwa bei lokalen (Stadt-)Netzen und Nebenstellenanlagen), einer klaren gesetzlichen Regelung.
Bereits jetzt werden auch Überlegungen zur Ausgestaltung des Universaldienstes angestellt. Hierzu hat das Bundesministerium für Post und Telekommunikation den Entwurf einer Universaldienstleistungsverordnung vorgelegt. Dieser Entwurf enthält keinerlei Bestimmungen zum Datenschutz. Wir halten es allerdings für erforderlich, die entsprechenden Dienstleistungsunternehmen im Rahmen des Universaldienstes auch zum kostengünstigen Angebot entsprechender datenschutzfreundlicher Leistungsmerkmale zu verpflichten. Es darf nicht soweit kommen, daß die Betroffenen wegen zu hoher Kosten auf die Inanspruchnahme von Leistungsmerkmalen zum Schutz ihres informationellen Selbstbestimmungsrechts verzichten.
4.4 Zur Regulierung der Telekommunikation in Europa und den Vereinigten Staaten
Telekommunikation wird zunehmend ein weltweites Geschäft. Europäische Telekommunikationsorganisationen wie die Deutsche Telekom und France Télécom beteiligen sich an der amerikanischen Telefongesellschaft Sprint und wollen einen weltweiten Telekommunikationskonzern unter dem Namen "Global One" [62] bilden. Rechtliche Regelungen der Telekommunikation auf dem internationalen Markt können sich daher nicht auf die nationale Gesetzgebung beschränken, sondern müssen auf der europäischen und der internationalen Ebene getroffen werden. Umso wichtiger ist es, daß die vorhandenen Ansätze in der Europäischen Union und dem Europarat zügig weiter entwickelt werden.
Der Entwurf der ISDN-Richtlinie lag unter der französischen Ratspräsidentschaft in der Europäischen Union im ersten Halbjahr 1995 noch auf Eis, weil die Verabschiedung der allgemeinen Datenschutzrichtlinie abgewartet werden sollte. Die Konferenz der Europäischen Datenschutzbeauftragten kritisierte diese Verzögerung bei ihrer Sitzung in Lissabon [63] und setzte sich für eine zügige Verabschiedung bei gleichzeitiger Anhebung des Datenschutzniveaus ein. Außerdem kritisierte sie, daß der Entwurf der Richtlinie in der Ratsarbeitsgruppe "Telekommunikation" und nicht in der für die allgemeine Datenschutzrichtlinie zuständigen Ratsarbeitsgruppe behandelt werde. Nach der Verabschiedung der allgemeinen Datenschutzrichtlinie im Juli 1995 wurde die inhaltliche Diskussion der ISDN-Richtlinie in der Arbeitsgruppe des Ministerrats wieder aufgenommen und unter der spanischen Präsidentschaft beschleunigt. Um in dieser Phase noch Verbesserungen im gegenwärtigen Richtlinienentwurf zu erreichen, haben die Europäischen Datenschutzbeauftragten in einer zweiten gemeinsamen Erklärung detaillierte Verbesserungsvorschläge gemacht [64]. Seit Anfang 1996 führt Italien den Vorsitz im Ministerrat und dringt offensichtlich auf eine schnelle abschließende Beratung der ISDN- Richtlinie. Die italienische Ratspräsidentschaft hat die Anregung der Datenschutzbeauftragten aufgegriffen und die Erörterungen über den Entwurf wieder in die Arbeitsgruppe "Datenschutz" des Rates zurückverlagert. Es soll versucht werden, im ersten Halbjahr 1996 zu einem Gemeinsamen Standpunkt zu gelangen. Eine weitere Verzögerung der europäischen Rechtssetzung in diesem wichtigen Bereich wäre allerdings nicht länger hinnehmbar, zumal die technische Entwicklung und die Bildung neuer Unternehmensallianzen ständig fortschreitet.
Mit wesentlich höherer Priorität als den Datenschutz bei der Telekommunikation behandelt die Europäische Union die Liberalisierung und Deregulierung der Telekommunikationsmärkte. Das wird deutlich an der zügigen Beratung der Richtlinie über den offenen Netzzugang im Sprachtelefondienst [65], die gegen Ende des Berichtszeitraumes kurz vor der endgültigen Verabschiedung stand, obwohl sie jüngerem Datums als die ISDN-Richtlinie ist und bereits einmal am Widerstand des Europäischen Parlaments gescheitert war. An diesem Richtlinienvorschlag wurden auch keine datenschutzrechtlichen Verbesserungen vorgenommen, die wir stets gefordert hatten. Der Zug in Richtung "Liberalisierung" zum Stichtag 1. Januar 1998 ist so schnell, daß der Datenschutz droht, unter die Räder zu kommen, wenn nicht die ISDN-Richtlinie in verbesserter Form alsbald beschlossen wird.
Auch zum Grünbuch der Europäischen Kommission über die Liberalisierung der Telekommunikationsinfrastruktur und der Kabelfernsehnetze [66] hat die Europäischen Konferenz der Datenschutzbeauftragten auf unseren Vorschlag hin Stellung genommen [67]. Während die Europäische Kommission zu Recht die Notwendigkeit betont hat, eine Spaltung der Informationsgesellschaft in "Informationsbesitzer" und "Informationshabenichtse" zu verhindern, haben wir darauf hingewiesen, daß eine solche Spaltung auch in einem anderen Sinne verhindert werden muß: Es darf keinen Unterschied geben zwischen denen, die sich Datenschutz und Datensicherheit leisten können, und denen, die dies nicht können. Möglichkeiten des anonymen Netzzugangs und der Nutzung von Diensten ohne identifizierbare elektronische Spuren im Netz anzubieten, muß für alle Betreiber und Anbieter obligatorisch sein. Schließlich haben wir uns im Auftrag der Europäischen Datenschutzkonferenz auch an der Konsultation beteiligt, die die Europäische Kommission mit Mitgliedern des Europäischen Parlaments zu Fragen des Universaldienstes durchgeführt hat [68].
Während im Rahmen der Europäischen Union der Datenschutz bei der Telekommunikation noch ungeregelt ist, hat der Europarat inzwischen gehandelt: Am 7. Februar 1995 beschloß der Ministerausschuß eine Empfehlung über den Schutz personenbezogener Daten im Bereich der Telekommunikationsdienste unter besonderer Berücksichtigung des Telefondienstes [69]. Dieser Empfehlung, an deren Erarbeitung wir zeitweise als Sachverständige beteiligt waren, enthält wichtige Leitlinien etwa zum anonymen Zugang zu Telekommunikationsnetzen und -diensten, aber auch zu Risiken der Netzsicherheit und Möglichkeiten zu ihrer Begrenzung, die dem Kunden zur Verfügung gestellt werden sollten. Die Empfehlung hat zwar nicht wie die geplante ISDN-Richtlinie eine verpflichtende Wirkung auf die Mitgliedstaaten des Europarats (zu denen inzwischen auch Rußland zählt); dennoch ist die Empfehlung ein bedeutsamer Schritt zur Entwicklung des bereichsspezifischen Datenschutzes in der europäischen Telekommunikation.
Bedeutsam ist schließlich eine weitere Empfehlung des Europarats zu Problemen des Strafverfahrensrechts im Zusammenhang mit der Informationstechnik, die am 11. September 1995 beschlossen wurde [70]. Dieses Dokument enthält Richtlinien zur Beschlagnahme von Computern und Durchsuchungen von Datenbanken für strafprozessuale Zwecke ebenso wie Bestimmungen zur Überwachung des Fernmeldeverkehrs und zur Nutzung von Verschlüsselungstechniken.
Auch aus europäischer Sicht immer bedeutender wird die Entwicklung des Telekommunikationsrechts in den Vereinigten Staaten. Die von Präsident Clinton zur Begleitung der entstehenden National Information Infrastructure ("NII") gebildete Information Infrastructure Task Force setzte eine Arbeitsgruppe zum Datenschutz (Privacy Working Group) ein, die im Juni 1995 "Prinzipien für die Bereitstellung und für den Gebrauch personenbezogener Informationen" veröffentlichte. Diese Richtlinien sollen einen fairen Umgang mit personenbezogenen Informationen nicht nur im öffentlichen, sondern auch im privaten Bereich fördern. Sie sind auch vor dem Hintergrund der jetzt verabschiedeten Europäischen Datenschutzrichtlinie formuliert worden und könnten zu einem Baustein für ein neues Datenschutzrecht in den Vereinigten Staaten werden, auch wenn die Prinzipien sehr allgemein gehalten sind und eine öffentliche Instanz zur Überwachung ihrer Einhaltung bisher völlig fehlt. Bemerkenswert an diesen Prinzipien ist aber gleichwohl die Grundaussage, daß jeder, also auch der private Datenverarbeiter, in der modernen Informationsgesellschaft bestimmte Regeln einzuhalten hat, wenn er mit personenbezogenen Informationen umgeht. Dieser Ansatz ist auch von besonderer Bedeutung im Zusammenhang mit dem Internet und könnte dort die Diskussion über eine notwendige Netiquette positiv beeinflussen.
Gerade in den Vereinigten Staaten ist die Direkt-Marketing-Industrie fast allgegenwärtig. Sie hat insbesondere großes Interesse an einer Nutzung der massenhaft anfallenden Daten über das Kommunikationsverhalten von Telefonkunden. Aus diesem Grund hält es das US-Handelsministerium inzwischen für notwendig, daß private Netzbetreiber und die Diensteanbieter sich stärker als bisher auf den Schutz der Persönlichkeitsphäre ihrer Kunden verpflichten, diese über die Verarbeitung ihrer Daten informieren und ihre Einwilligung einholen. In seinem entsprechenden Weißbuch [71] sieht das Handelsministerium allerdings davon ab, neue bundesgesetzliche Regelungen vorzuschlagen. An den Anfang seiner Überlegungen stellt das Ministerium ein Zitat eines Mitglieds des Obersten Gerichtshofs der Vereinigten Staaten, das auch Europäern zu denken geben solllte:
"Die Nummern, die von einem privaten Telefonanschluß aus angewählt werden, - auch wenn sie sicherlich sehr viel prosaischer sind als der Inhalt des Telefongesprächs selbst - sind nicht ohne Inhalt. Die meisten privaten Telefonkunden werden ihre Nummern in einem Telefonbuch veröffentlichen lassen, aber ich bezweifele, daß irgend jemand einverstanden wäre, wenn eine Liste der von ihm angewählten Nummern weltweit abrufbar wäre. Dies liegt nicht daran, daß so eine Liste in irgendeiner Weise belastend wäre, sondern daran, daß mit ihrer Hilfe leicht die Identität der angerufenen Personen und Einrichtungen und damit höchst intime Details des persönlichen Lebens des Anrufers offengelegt werden können." [72]
Sicherheitsüberprüfungen - Rechtsgrundlage fehlt noch immer
Das Fehlen hinreichender Rechtsvorschriften für die Durchführung der Sicherheitsüberprüfung ist derzeit der bedeutendste Mangel der Berliner Gesetzgebung [78]. Es war deshalb zu begrüßen, daß gegen Ende der Legislaturperiode endlich der Entwurf eines "Gesetzes über den Geheim- und personellen Sabotageschutz im Land Berlin - Geheimschutzgesetz -" vorlag. Allerdings wies der Gesetzentwurf erhebliche datenschutzrechtliche Defizite auf, wobei die weitgehende Anlehnung an das Sicherheitsüberprüfungsgesetz des Bundes (SÜG-Bund) datenschutzfreundlichere Detailregelungen auf Landesebene nicht ausschließt.
So wird der von Sicherheitsüberprüfungen betroffene Personenkreis sehr weit gefaßt. Angesichts der sichernden Verfahrensregelungen beim Umgang mit Verschlußsachen sollten hiervon nicht Personen erfaßt werden, bei denen nur die Möglichkeit besteht, daß sie sich Zugang zu Verschlußsachen verschaffen können.
Soweit Sicherheitsüberprüfungen zum Schutz von "lebens- oder verteidigungswichtigen Einrichtungen" vorgesehen sind, dürfen sie nur Personen betreffen, die dort an "sicherheitsempfindlichen Stellen" tätig sind. Die Datenschutzkonferenz hat hierzu gefordert, daß Sicherheitsüberprüfungen auf die Bereiche beschränkt bleiben müssen, in denen einer erheblichen Bedrohung für das Leben zahlreicher Menschen vorgebeugt werden muß [79]. Es muß konkreter gefaßt werden, was "lebens- und verteidigungswichtige Einrichtungen" sind, und die betroffenen öffentlichen oder privaten Einrichtungen sollten in einer Rechtsverordnung bestimmt werden [80]. Nur so ist für die betroffenen Mitarbeiter erkennbar, unter welchen Voraussetzungen sie von diesen erheblich in ihr Persönlichkeitsrecht eingreifenden Maßnahmen betroffen werden können.
Es ist für den Betroffenen nicht hinreichend erkennbar, mit welcher Verarbeitung welcher Daten er im Zusammenhang mit der Sicherheitsüberprüfung konkret zu rechnen hat. Nach dem Wortlaut des Gesetzentwurfes wäre nicht ausgeschlossen, daß medizinische Daten, die Vermögensverhältnisse, sexuelles Verhalten und andere sensible Angaben aus seiner Privat- und Intimsphäre erfaßt werden. Es muß sichergestellt werden, daß die Erkenntnisgewinnung für die Sicherheitsüberprüfung nicht in die Kernbereiche des Rechtes auf informationelle Selbstbestimmung eingreift. Zu begrüßen ist, daß Informationen über persönliche, dienstliche und arbeitsrechtliche Verhältnisse der Betroffenen zur Sicherheitsakte nur zu nehmen sind, soweit sie für die sicherheitsmäßige Beurteilung erforderlich sind. Im Hinblick auf die Erfahrungen anderer Datenschutzbeauftragter, die eine "große Sammelwut der Landesämter für Verfassungsschutz" festgestellt haben, ist der Beachtung des Erforderlichkeitsgrundsatzes bei der Speicherung personenbezogener Daten besondere Bedeutung beizumessen.
Es sollte klargestellt werden, welcher Art die tatsächlichen Anhaltspunkte für ein Sicherheitsrisiko beim Ehegatten oder Lebenspartner sein müssen. Wie ursprünglich im Sicherheitsüberprüfungsgesetz des Bundes vorgesehen, sollte das Vorliegen eines Sicherheitsrisikos bei diesen Personen auf besondere Gefährdungen wegen Anbahnungs- oder Werbungsversuchen fremder Nachrichtendienste beschränkt werden.
Der Ehegatte, Lebenspartner oder Referenzpersonen sind vor Erteilung ihrer Einwilligung darüber aufzuklären, daß auch bei einfachen Sicherheitsüberprüfungen Datenabfragen zu ihrer Person bei anderen Landesämtern und dem Bundesamt für Verfassungsschutz erfolgen. Auch weitere Überprüfungsmaßnahmen des Ehegatten oder Lebenspartners dürfen nur mit ihrer Zustimmung erfolgen und wenn sich aus der Sicherheitserklärung oder aufgrund der Abfrage im nachrichtendienstlichen Informationssystem NADIS sicherheitserhebliche Erkenntnisse ergeben [81].
Die Befragung Dritter soll bereits möglich sein, wenn "die Erhebung beim Betroffenen nicht ausreicht". Durch diese großzügige Möglichkeit der Ausdehnung der Befragungen können die Grenzen zwischen den einzelnen Stufen der Sicherheitsüberprüfung zerfließen und die Dreiteiligkeit der Prüfungsstufen, mit der dem Grundsatz der Verhältnismäßigkeit Rechnung getragen werden soll, ins Leere laufen.
Die im Vorentwurf noch vorgesehene Zustimmung des Betroffenen zur der Befragung Dritter ist leider wieder entfallen. Damit büßt die Sicherheitsüberprüfung, die schließlich nur mit Kenntnis und Einwilligung des Betroffenen in alle zu ergreifenden Maßnahmen erfolgen soll, erheblich an Transparenz ein [82]. Für den Betroffenen bleibt unklar, welche Befragungen konkret bei "geeigneten Personen und Stellen" vorgenommen werden dürfen. Kriterien, nach denen diese Personen oder Stellen auszuwählen sind, fehlen.
Besonders bedenklich ist die Nutzung der im Rahmen der Sicherheitsüberprüfung erlangten Daten für fast alle Aufgaben des Verfassungsschutzes. Damit würde das Landesamt für Verfassungsschutz durch seine mitwirkende Tätigkeit bei der Sicherheitsüberprüfung in den Besitz von Daten gelangen, die es nach dem Verfassungsschutzgesetz in der Regel nicht hätte erheben dürfen.
Nicht nachvollziehbar ist auch, warum die Unterlagen über die Sicherheitsüberprüfung beim Landesamt für Verfassungsschutz doppelt so lange aufbewahrt werden sollen wie bei der Dienstbehörde. Beim Ausscheiden des Betroffenen aus der sicherheitsempfindlichen Tätigkeit bedeutet das eine Aufbewahrungsfrist von bis zu zehn Jahren beim Landesamt für Verfassungsschutz.
Auskunfts- und die Akteneinsichtsrechte des Betroffenen werden zu weitgehend eingeschränkt. Die Regelungen des Berliner Datenschutzgesetzes sollten uneingeschränkt Anwendung finden.
Wenn der Betroffene keine Auskunft erhält, muß zumindest ein uneingeschränktes Prüfungsrecht des Datenschutzbeauftragten bestehen. Wegen der für den Bürger bestehenden Undurchsichtigkeit der Speicherung und Verwendung seiner Daten unter den Bedingungen der automatisierten Datenverarbeitung und auch im Interesse eines vorgezogenen Rechtsschutzes ist die Beteiligung unabhängiger Datenschutzbeauftragter von erheblicher Bedeutung für einen effektiven Schutz des Rechtes auf informationelle Selbstbestimmung [83]. Nicht akzeptabel sind die vorgesehenen Einschränkungen der Kontrollbefugnis des Berliner Datenschutzbeauftragten. Die Möglichkeit, nur eine persönliche Kontrolle zuzulassen, ist auch im Sicherheitsüberprüfungsgesetz des Bundes nicht für notwendig erachtet worden. Die weitere Einschränkung des Kontrollrechtes durch Widersprüche der Betroffenen sollte entfallen. Sie hat sich in der Anwendung als völlig unpraktikabel erwiesen und erschwert die datenschutzrechtlichen Querschnittsprüfungen nicht unerheblich.
Bei Sicherheitsüberprüfungen von Mitarbeitern in Unternehmen oder anderen privaten Organisationen ist die Befugnis zur Speicherung personenbezogener Daten in automatisierten Dateien auf die Daten der Betroffenen zu beschränken (vgl. § 31 SÜG-Bund). Die für entsprechend anwendbar erklärten Aufbewahrungsfristen des öffentlichen Dienstes sind für Privatunternehmen zu lang. Es ist nicht ersichtlich, warum Unternehmen für Mitarbeiter, die dort lange nicht mehr tätig sind oder die keine sicherheitsrelevante Tätigkeit aufgenommen haben, die Sicherheitsakten aufbewahren sollen. Zu den datenschutzrechtlichen Anforderungen, die bei Sicherheitsüberprüfungen in Unternehmen zu beachten sind, hat die Datenschutzkonferenz Mindestanforderungen formuliert [84]. Der Gesetzentwurf entspricht diesen Anforderungen in wesentlichen Punkten nicht.
Bundeskriminalamt
Noch immer entbehrt die Verarbeitung von personenbezogenen Daten durch das Bundeskriminalamt (BKA) einer bereichsspezifischen Rechtsgrundlage, die dem rechtstaatlichen Gebot der Normenklarheit genügt. In einem Fall, in dem ein Kläger die Löschung der zu seiner Person beim BKA gespeicherten Daten begehrte, hat der Hessische Verwaltungsgerichtshof diese Auffassung mittlerweile bestätigt [107]. Die §§ 1 Abs. 1, 2 Abs. 1 Nr. 1 BKA-G [108]genügen nach Auffassung des Gerichtes den Anforderungen an eine bereichsspezifische Regelung nicht. Sie stellen lediglich eine Aufgabenzuweisung an das Bundeskriminalamt dar. Die Voraussetzungen für die Befugnis zur Datenspeicherung bzw. für die Verpflichtung zur Datenlöschung personenbezogener Daten sind darin nicht geregelt. Auch auf den sogenannten Übergangsbonus könne die Datenverarbeitung beim BKA nicht mehr gestützt werden, da seit dem Volkszählungsurteil im Jahr 1983 bereits 12 Jahre vergangen sind, ohne daß der Gesetzgeber die erforderlichen bereichsspezifischen Regelungen erlassen hat. Dies hat zur Folge, daß die Betroffenen Eingriffe in ihr Recht auf informationelle Selbstbestimmung seit 12 Jahren hinnehmen müssen, ohne daß dafür eine Ermächtigungsgrundlage existiert. Die dem Gesetzgeber zustehende Übergangszeit soll diesem ausreichend Zeit für Beratung und Erlaß der entsprechenden Regelungen geben. Sie dient - so führt das Gericht aus - nicht dem Zweck, eine rechtswidrige Praxis zu legitimieren. Der Entwurf eines BKA-Gesetzes [109] wird zur Zeit im Bundestag beraten. Wann mit einer Verabschiedung eines entsprechenden Gesetzes zu rechnen ist, ist derzeit noch nicht absehbar.
Am 17. November 1995 hat das BKA die Errichtungsanordnung für eine Arbeitsdatei PIOS-Osteuropäer (APOE) erlassen und die Innenressorts der Länder gebeten, die nach Nr. 10 Abs. 2 Dateienrichtlinie erforderliche Zustimmung für die Einrichtung der Verbunddatei zu erteilen.
Gegen die Einrichtung der APOE haben wir Bedenken geäußert und dabei insbesondere auf die Unbestimmtheit des Dateizweckes hingewiesen. Im Gegensatz zu den bereits eingerichteten PIOS-Dateien wird mit der APOE nicht die Verfolgung oder Vorbeugung von Straftaten in konkret bestimmten Kriminalitätsbereichen bezweckt. Als Abgrenzungskriterium wird vielmehr allein auf die geographische Herkunft der Täter (Osteuropa) abgestellt. Darüber hinaus ist bereits die Erforderlichkeit zu bezweifeln. Zur Bekämpfung der Bereiche "organisierte Kriminalität" und "Drogenkriminalität" existieren bereits die PIOS-Dateien APOK und APR, auf die auch im Zusammenhang mit der Bekämpfung osteuropäischer Tätergruppen zurückgegriffen werden kann. Demgegenüber hat die Senatsverwaltung für Inneres der Einrichtung von APOE durch Verstreichenlassen der Einwendungsfrist zugestimmt und dazu ausgeführt, es sei aus kriminalpolizeilicher Sicht unverzichtbar, "jedes Mittel zu nutzen, das zu einer besseren Bekämpfung der Kriminalität osteuropäischer Tätergruppierungen beitragen kann".
Datenerhebungen bei der Einbürgerung
Wenn ein Ausländer einen Antrag auf Einbürgerung stellt, werden viele Angaben von ihm verlangt und viele Überprüfung vorgenommen. Spezialgesetzliche Befugnisse, die diese Datenerhebungen erlauben, fehlen. Sie werden auf die Einwilligung des Betroffenen gestützt. Die Antragsteller sollen z.B. Fotokopien von Scheidungsurteilen vorlegen, obwohl das gesamte Urteil, das höchstpersönliche Angaben enthalten kann, für die Einbürgerungsentscheidung nicht erforderlich ist.
Es erfolgen weiterhin Anfragen beim Finanzamt, dem Sozialamt, beim Landesamt für Verfassungsschutz, bei der Ausländerbehörde, beim Landeskriminalamt, bei der Staatsanwaltschaft, beim Polizeilichen Staatsschutz und beim Bundeszentralregister.
Zur Überprüfung der wirtschaftlichen Verhältnisse werden neben Anfragen beim Finanzamt und Sozialamt auch "bei verschiedenen Stellen Ermittlungen durchgeführt und auch Akten eingesehen". In dieser pauschalen Form ist eine wirksame Einwilligung des Betroffenen die Datenerhebung nicht möglich. Bei Anspruchseinbürgerungen junger Ausländer dürfen derartige Ermittlungen zudem nicht erfolgen, da es hier auf die wirtschaftlichen Verhältnisse nicht ankommt. Auch insoweit soll nach Mitteilung der Senatsverwaltung für Inneres eine Änderung des Verfahrens erfolgen.
Anfragen beim Landeskriminalamt sind auf laufende Ermittlungsverfahren zu beschränken, da Verurteilungen sich bereits aus der Bundeszentralregisteranfrage ergeben. Die Erforderlichkeit der Anfrage beim polizeilichen Staatsschutz neben der Verfassungs- und ISVB-Anfrage ist zweifelhaft.
Bedenken bestehen auch gegen die Praxis, die gesamte Ausländerakte anzufordern, da nur bestimmte Angaben aus der Ausländerakte für die Entscheidung über die Einbürgerung relevant sind. Die relevanten Informationen können durch Auskünfte eingeholt werden.
Beim Landesamt für Verfassungsschutz wird bei Anspruchseinbürgerungen nur angefragt, wenn konkrete Hinweise auf eine politisch-extremistische Betätigung bestehen. Bei Einbürgerungen, in denen ein Ermessensspielraum besteht, erfolgt hingegen eine Regelanfrage. Voraussetzung für die Einbürgerung ist, daß keine Gefährdung für die freiheitliche demokratische Grundordnung oder die Sicherheit der Bundesrepublik Deutschland vorliegt. Dem kann hinreichend Rechnung getragen werden durch Anfragen im Einzelfall. Die Regelanfrage - unabhängig vom Einzelfall - ist unverhältnismäßig, da nicht bei jedem Antragsteller eine Erforderlichkeit für diese Datenerhebung unterstellt werden kann. Die Anfragen sind ohnehin seit 1990 überflüssig, da das Ausländergesetz auch den Verfassungsschutz verpflichtet, Daten, die eine Ausweisung rechtfertigen, an die Ausländerbehörde zu übermitteln. Wie in anderen Bundesländern sollte deshalb auf die Regelanfrage auch bei Ermessenseinbürgerungen verzichtet werden und Anfragen von den konkreten Umständen des Einzelfalls abhängig gemacht werden.
Straßenverkehrsgesetz
Das Bundesministerium für Verkehr hat einen Entwurf einer Änderung des Straßenverkehrsgesetzes und anderer Gesetze vorgelegt, der noch 1996 vom Bundestag verabschiedet werden soll. Der Gesetzentwurf wird allerdings den Vorgaben des Bundesverfassungsgerichtes, nach denen die Datenverarbeitungsbefugnisse normenklar und für den Bürger erkennbar geregelt werden müssen, an vielen Stellen nicht gerecht.
Der Entwurf enthält zahlreiche Bestimmungen über die verschiedensten Register, während die Aktenführung der örtlichen Fahrerlaubnisbehörden weiterhin ungeregelt bleibt, obwohl gerade hier für klare Regelungen ein dringendes Bedürfnis besteht. Die Verarbeitung personenbezogener Daten in Akten macht in der Praxis immer noch einen nicht unerheblichen Teil der Datenverarbeitung aus. Neben fehlenden datenschutzrechtlichen Regelungen, beispielsweise für ein Verwertungsverbot von im Verkehrszentralregister (VZR) getilgten Daten enthält der Gesetzentwurf sogar Verschlechterungen bereits bestehender Vorschriften. So sollen Regelungen, die bisher einen abschließenden normenklaren Katalog enthalten haben, durch Regelungen ersetzt werden, die einen geringeren Bestimmtheitsgrad haben.
Der Entwurf ist darüber hinaus an vielen Stellen unsystematisch und enthält zahlreiche unbestimmte Datenverarbeitungsregelungen. Es bleibt zu hoffen, daß die Länder sich im Bundesrat für eine Überarbeitung der datenschutzrechtlichen Vorschriften einsetzen werden. Bedauerlich ist deshalb, daß die Senatsverwaltung für Verkehr und Betriebe ihre Stellungnahme zu dem Gesetzentwurf so frühzeitig abgegeben hat, daß unsere Empfehlungen keine Berücksichtigung mehr finden konnten. Die Senatsverwaltung hat in ihrer Stellungnahme datenschutzrechtliche Gesichtspunkte leider auch nicht angesprochen, sondern vielmehr die Schaffung neuer Eingriffsbefugnisse im Fahrerlaubnisbereich angeregt, die von uns nicht für erforderlich gehalten werden.
Ermittlungen bei der Eignungsprüfung
Nach § 2 Abs. 1 Straßenverkehrsgesetz (StVG) ist die Fahrerlaubnis zu erteilen, wenn nicht Tatsachen vorliegen, die die Annahme rechtfertigen, daß der Antragsteller zum Führen von Kraftfahrzeugen ungeeignet ist. Zur Erforschung dieser Tatsachen normiert § 9 Straßenverkehrszulassungsordnung (StVZO) einen allgemeinen Ermittlungsauftrag. Die Führerscheinstelle erhält die Befugnis zu ermitteln, ob Bedenken gegen die Eignung des Antragstellers zum Führen von Kraftfahrzeugen vorliegen.
Welche konkreten Ermittlungen zur Erfüllung des Auftrags unternommen werden dürfen, ist in speziellen Befugnisnormen geregelt. So schreiben §§ 9 a und b StVZO den Nachweis des Sehvermögens vor, § 8 Abs. 3 StVZO berechtigt die Verwaltungsbehörde, ein Führungszeugnis über den Antragsteller zu verlangen, während § 13 c StVZO i.V.m. § 30 Abs. 1 Nr. 2 StVG die Befugnis enthält, beim Kraftfahrt-Bundesamt (Verkehrszentralregister) anzufragen, ob Nachteiliges über den Antragsteller bekannt ist. Auch darf die Behörde, wenn ihr Tatsachen bekannt werden, die Bedenken gegen die Eignung des Bewerbers begründen, die Beibringung eines medizinisch-psychologischen Gutachtens fordern (§ 12 Abs. 1 StVZO).
Darüber hinausgehende Befugnisse zu Ermittlungen bzw. Datenerhebungen (z.B. Anfragen bei der Polizei oder bei der Staatsanwaltschaft oder Heranziehung von Erkenntnissen aus Ermittlungs- bzw. Strafakten) sind in der StVZO nicht geregelt. Allerdings hat laut § 9 StVZO die Verwaltungsbehörde auch zu ermitteln, ob Bedenken gegen die Eignung des Antragstellers vorliegen, weil eine Neigung zum Trunk, zum Rauschgift oder zu Ausschreitungen besteht. Ob eine solche Neigung vorhanden ist, kann das LEA jedoch nicht aufgrund der in der StVZO konkret genannten Ermittlungs- (Datenerhebungs-) befugnisse feststellen. Der Verordnungsgeber hat also offenbar weitergehende Ermittlungsbefugnisse im Einzelfall für zulässig erachtet, ohne jedoch eine entsprechende Ermittlungsbefugnis zu normieren.
Soweit es um die Anforderung von Auskünften bzw. Akten durch das LEA bei dem Polizeipräsidenten in Berlin bzw. der Staatsanwaltschaft und den Gerichten geht, wäre aber eine solche konkrete, d.h. den Eingriffstatbestand und die -ermächtigung regelnde Befugnisnorm wegen der Schwere des Eingriffs erforderlich. Einvernehmlich mit der Senatsverwaltung für Verkehr und Betriebe halten wir es für notwendig, die Straßenverkehrszulassungsordnung um spezielle Datenerhebungsvorschriften zu ergänzen.
Bis dahin kann nur auf die allgemeinen Vorschriften des § 18 ASOG zurückgegriffen werden. Dabei ist jedoch zu beachten, daß gemäß § 18 Abs. 1 Satz 1, Abs. 2 ASOG die Datenerhebungen bzw. -ermittlungen grundsätzlich offen und nicht "hinter dem Rücken" des Betroffenen durchzuführen sind. Auch sind Datenerhebungen nur insoweit zulässig, als sie zur Aufgabenerfüllung i.S.d. § 9 StVZO erforderlich sind. Hieraus ergibt sich, daß die regelmäßige Datenerhebung durch die Führerscheinstelle nicht zulässig ist.
Weitere Ermittlungen, die über die in der StVZO genannten hinausgehen, sind nur dann erforderlich, wenn im Einzelfall Anlaß zu der Annahme besteht, es könnten Eignungsmängel vorhanden sein, die sich aus den sonstigen Unterlagen nicht ergeben oder die aufgrund dieser Unterlagen nicht oder nicht ausreichend beurteilt werden können. In diesem Rahmen ist es jedenfalls nicht erforderlich, daß die Führerscheinstelle die komplette Ermittlungs-/Strafakte anfordert und einsieht, zumal diese Akten auch Daten Dritter (z.B. des Opfers, des Anzeigeerstatters, von Zeugen und Mitverurteilten) enthalten.
Dem während der Ermittlungen durch das LEA zu beachtenden Grundsatz der Verhältnismäßigkeit der Mittel würde es entsprechen, die Ersuchen zunächst auf Auskünfte bzw. auf das Anfordern von kopierten Aktenauszügen zu beschränken. Dabei hat die übermittelnde Stelle darauf zu achten, daß die Daten Dritter auf den Kopien nicht zu erkennen sind.
Soweit sich Auskunfts- und Aktenübersendungsersuchen des Landeseinwohneramtes auf bestimmte Sachverhalte oder Informationen beschränkten, wurde ihnen von der Staatsanwaltschaft und den Strafgerichten auch nur insoweit entsprochen.
Bei uneingeschränkten Auskunftsersuchen wurden - jedenfalls soweit es die Staatsanwaltschaft betrifft - regelmäßig die kompletten Akten übersandt. Das geschah deshalb, weil die Staatsanwaltschaft sich nicht in der Lage sieht, die Überprüfung der Erforderlichkeit im Einzelfall schon aufgrund mangelnder Kenntnis von dem konkreten Anlaß der Anfrage durchzuführen. Eine auch von der Senatsverwaltung für Justiz begrüßte Beschränkung der Auskünfte aus Strafakten auf den für die Aufgabenerfüllung der Fahrerlaubnisbehörde erforderlichen Umfang setzt daher grundsätzlich ein beschränktes und präzisiertes Auskunftsersuchen des Landeseinwohneramtes voraus.
Aber auch pauschale Anfragen des Landeseinwohneramtes berechtigen nicht zur Übermittlung der kompletten Akte. Nach § 21 Abs. 5 AGGVG dürfen Verwaltungsbehörden Einsicht sowie Auskünfte aus Akten und Dateien der Staatsanwaltschaft nur erhalten, soweit dies zur Erfüllung der ihnen gesetzlich zugewiesenen Aufgaben erforderlich ist. Die Staatsanwaltschaft hat diese Übermittlungsvoraussetzungen zu prüfen, d.h., vor der Weitergabe der Daten ist im Einzelfall festzustellen, ob und ggf. welche Informationen für die Aufgabenerfüllung des Landeseinwohneramtes in bezug auf den Betroffenen erforderlich sind. Nur die Staatsanwaltschaft kann diese Prüfung vornehmen, da nur ihr der Inhalt der Akten bekannt ist. Dies kann in Einzelfällen auch bedeuten, daß vor der Auskunftserteilung - insbesondere bei nicht auf eine bestimmte Fragestellung eingeschränkten Anfragen - beim Landeseinwohneramt nachgefragt werden muß.
Eine im Einzelfall erforderliche Anfrage bei der Polizei ist nur hinsichtlich der laufenden Ermittlungsverfahren zulässig. Die Übersendung kompletter ISVB-Auszüge - also mit bereits abgeschlossenen Ermittlungsverfahren und Hinweisen auf andere Vorgänge - ist nicht erforderlich. Sollte eine Rückmeldung durch die Staatsanwaltschaft nicht erfolgt sein, hat die Polizei zuvor zu klären, welche im ISVB gespeicherten Ermittlungsverfahren abgeschlossen sind.
Die Führerscheinstelle darf nicht bei öffentlichen Stellen aller Art anfragen, um Eignungsmängel nach § 9 StVZO aufzudecken. Vielmehr sind bei der erforderlichen restriktiven Auslegung dieser konkretisierungsbedürftigen Vorschrift über die in der StVZO genannten Ermittlungsmaßnahmen hinaus nur solche Anfragen zulässig, die sich an das Strafgericht bzw. an die den strafrechtlich relevanten Sachverhalt ermittelnden Stellen richten, also an den Polizeipräsidenten in Berlin und die Staatsanwaltschaft. Das entspricht auch dem Regelungsgehalt des § 4 StVG, der im Entziehungsverfahren die Befugnis der Verwaltungsbehörde zu Anfragen bei den Ermittlungsbehörden und dem Strafgericht voraussetzt, um widersprüchliche Entscheidungen unterschiedlicher staatlicher Stellen zu vermeiden.
Beim Antrag auf Neuerteilung der Fahrerlaubnis hatte ein Bürger, der unter Bewährungsaufsicht steht, auch auf mehrfaches Nachfragen dem Landeseinwohneramt nicht die Gründe des Entzuges seiner Fahrerlaubnis durch die Volkspolizei genannt. Wegen der Vielzahl der Vorstrafen, die dem Führungszeugnis zu entnehmen waren, ist sein Bewährungshelfer gebeten worden, über den Verlauf der Bewährung zu berichten, um ggf. günstige Aussagen zur Verhaltensänderung und Rückfallwahrscheinlichkeit in die Eignungsbeurteilung einbeziehen zu können. Trotz einer günstigen und die Fahrerlaubnis befürwortenden Beurteilung des Bewährungshelfers hat das Landeseinwohneramt den Antrag auf Neuerteilung abgelehnt und anheimgestellt, den Antrag nach Ablauf der Bewährungszeit zu wiederholen.
Bis vor wenigen Jahren hat das Landeseinwohneramt regelmäßig bei den Bewährungshelfern eine Stellungnahme eingeholt. Nachdem die Richtlinien, die dies vorsahen, außer Kraft getreten sind, wurde diese Praxis weitgehend eingestellt. Wegen der Besonderheit des Falles sah sich das Landeseinwohneramt ausnahmsweise veranlaßt, an den Bewährungshelfer heranzutreten.
Die Anfrage war nicht mehr von § 9 StVZO gedeckt. Wegen der Zielsetzung des Bewährungshelfers sind seine Berichte vorrangig unter dem Gesichtspunkt der Resozialisierung abgefaßt und enthalten, wie das LEA selbst einräumt, nie Aussagen zur Rückfallwahrscheinlichkeit, die allein für die Fahreignungsbeurteilung nach dem Verkehrsrecht bedeutsam sind. Diese Datenerhebung ist somit nicht erforderlich, was auch der übersandte Bericht eindrucksvoll belegt hat. Er enthielt eine Fülle höchstpersönlicher Informationen aus dem Leben des Petenten, die für die Fahrerlaubnisbehörde unerheblich sind. Künftig werden deshalb keine Berichte von Bewährungshelfern mehr eingeholt werden.
Defizite der Normsetzung
Seit zwei Jahren ist die Frist abgelaufen, innerhalb derer die Senatsverwaltung für Jugend und Familie gesetzlich verpflichtet war, durch Rechtsverordnung die Datenverarbeitung bei der Berechnung der Kostenbeteiligung der Eltern an der Betreuung ihrer Kinder in städtischen Kindergartenstätten und in Tagespflege zu regeln [136]. Es ist nicht nachvollziehbar, weshalb inzwischen alle anderen betroffenen Senatsverwaltungen dazu in der Lage waren, die vom Parlament vorgegebene Fristsetzung zum Erlaß bereichsspezifischer Rechtsverordnungen zum Datenschutz einzuhalten, nur die Senatsverwaltung für Jugend und Familie nicht.
Zur Begründung wies diese Verwaltung immer wieder auf bevorstehende "Umstrukturierungen" im Kita-Bereich hin, die die Ausarbeitung einer Rechtsverordnung noch nicht zugelassen hätten. Damit war wohl in erster Linie die Umsetzung des bundesrechtlich vorgeschriebenen Anspruchs auf einen Kindergartenplatz gemeint.
Es hätte sich also angeboten, bei den dazu erforderlichen landesgesetzlichen Regelungen auch das Problem der Datenverarbeitung für die Errechnung der Kostenbeteiligung mitzuregeln. Auch wenn der Gesetzgeber die Regelung zunächst auf den Verordnungsgeber verlagert hat, ist es ihm unbenommen, die Materie in einem späteren Gesetz selbst zu regeln.
Diese Möglichkeit bot sich der Jugendverwaltung bei der Vorbereitung des Gesetzes zur Förderung und Betreuung von Kindern in Tageseinrichtungen und Tagespflege (Kita-Gesetz), mit dem der im Kinder und Jugendhilfegesetz garantierte (SGB VIII) Anspruch auf einen Kindergartenplatz landesrechtlich umgesetzt werden sollte. Die Chance wurde allerdings nicht genutzt. Ohne daß wir im Entwurfsstadium von der Verwaltung um Rat gefragt worden wären, wurde das Kita-Gesetz am 19. Oktober 1995 im Parlament verabschiedet und trat am 1. Januar 1996 in Kraft [137].
Prompt führte dieses Gesetz zu datenschutzrechtlichen Problemen, weil versäumt worden ist, die Datenverarbeitung bei der Feststellung des Bedarfs an Ganztagsplätzen mit der gebotenen Klarheit zu regeln. Der Bundesgesetzgeber hat jedem Kind vom vollendeten dritten Lebensjahr an einen Anspruch auf den Besuch eines Kindergartens zugestanden. Nur für Kinder im Alter bis zu drei Jahren und für schulpflichtige Kinder sind nach Bedarf Plätze in Tageseinrichtungen vorbehalten (§ 24 SGB VIII).Kinder unter drei Jahren sollten außerdem halbtags in den Kindergarten aufgenommen werden, wenn ihre Zurückweisung eine besondere Härte bedeuten würde. Um den generellen Anspruch für alle Kinder ab drei Jahren auf einen Halbtagsplatz im Kindergarten ab dem 1. August 1996 verwirklichen zu können, war die Senatsjugendverwaltung bestrebt, "herauszufinden", welche Eltern die Ganztagsplätze, die sie für ihre Kinder bisher in Anspruch nahmen, auch tatsächlich voll oder nur teilweise nutzen und in welchen Fällen eine besondere Härte vorliegt, wenn ein Kind unter drei Jahren nicht einmal halbtags in den Kindergarten aufgenommen wird.
Dazu wurde ein umfangreicher Fragebogen "Anmeldung zur Tagesbetreuung" entwickelt, den die Eltern ausgefüllt an die Jugendämter zurückgeben sollten. Er sorgte unter den Befragten für erhebliche Unruhe.
Die Erhebung personenbezogener Daten im Zusammenhang mit der Anmeldung eines Kindes im Kindergarten erfolgt grundsätzlich auf der Basis des Sozialgesetzbuchs Zehntes Buch (§ 67 a), denn die Aufnahme in den Kindergarten ist eine Sozialleistung. Wer eine Sozialleistung in Anspruch nehmen will, ist zur Mitwirkung insofern verpflichtet, als er die erforderlichen Sozialdaten offenbaren muß, die die Behörde benötigt, um seine Berechtigung zu überprüfen. Die Angaben unterliegen dem Sozialgeheimnis. Verweigert er seine Mitwirkung, kann die Sozialleistung - unter bestimmten Voraussetzungen - in letzter Konsequenz versagt werden. Abgesehen davon, daß es versäumt worden war, im Erhebungsbogen der Jugendverwaltung auf diese Folge einer Auskunftsverweigerung hinzuweisen, bedarf die Rechtsgrundlage für die gesamte Datenerhebung der Präzisierung durch den Landesgesetzgeber. Es ist nach Bundesrecht Sache der Länder festzulegen, wie der Bedarf an Ganztagsbetreuung und das Vorliegen einer besonderen Härte ermittelt werden soll. Damit ist auch durch Landesrecht näher zu regeln, welche personenbezogenen Daten zu diesem Zweck erforderlich sind. Das Berliner Kita-Gesetz enthält solche Regelungen nicht, obwohl es ohne weiteres möglich gewesen wäre, einen entsprechenden Kriterien- und Datenkatalog in das Gesetz aufzunehmen. Da dies versäumt worden ist, muß es unverzüglich im Rahmen der Rechtsverordnung nachgeholt werden, die aufgrund des Kita-Gesetzes zur Personalbemessung noch ergehen muß. Auch in diesem Rahmen ist der Bedarf der Kinder ein wesentlicher Anknüpfungspunkt.
Auch einzelne Fragen im Anmeldungsbogen lösten verständlicherweise Mißtrauen bei den befragten Eltern aus. So wurde nach Namen, Anschrift und Telefon der Arbeitsstätten des Vaters und der Mutter gefragt. Wenn Zweck dieser Frage allein gewesen wäre, den Eltern - wenn möglich - einen Kindergartenplatz für ihr Kind in der Nähe des Arbeitsplatzes zuzuweisen, so hätte es ausgereicht, nach der Straße und dem Bezirk zu fragen. So aber entstand zwangsläufig der Eindruck, die Jugendämter würden die Angaben der Eltern hinter deren Rücken beim Arbeitgeber überprüfen. Wir haben deutlich gemacht, daß dies als rechtswidrig zu beanstanden gewesen wäre und hinsichtlich der Gestaltung des letzten bis zum Redaktionsschluß dieses Berichts vorliegenden Anmeldungsformulars einen datenschutzrechtlichen Mangel festgestellt.
Justiz: Schlußlicht der Datenschutzgesetzgebung
Das letzte Mal hatten wir in unserem Jahresbericht 1993 über den Entwurf eines Justizmitteilungsgesetzes berichtet [140]. Der Entwurf eines Gesetzes über Mitteilungen der Justiz von Amts wegen in Zivil- und Strafsachen (JuMiG) [141] war jedoch vom letzten Deutschen Bundestag nicht mehr beraten worden, so daß auch heute noch gesetzliche Regelungen der Mitteilungen im Justizbereich fehlen. Das Bundesjustizministerium sieht die Schaffung gesetzlicher Regelungen inzwischen als eilbedürftig an und hat einen neuen Gesetzentwurf vorbereitet. Gegenüber dem vorangegangenen Entwurf sollen zwei datenschutzrechtlich wesentliche Punkte geändert werden:
- Dem Betroffenen ist nur auf Antrag Auskunft über den Inhalt und den Empfänger der übermittelten Daten zu erteilen. Eine Unterrichtung von Amts wegen ist nur in gesetzlich geregelten Fällen vorgesehen, die lediglich einen kleinen Teil der Datenübermittlungen ausmachen.
- Die Mitteilungsbefugnisse sollen in einer Rechtsverordnung durch das Bundesministerium der Justiz geregelt werden.
Eine Regelung, die die Unterrichtung des Betroffenen von Amts wegen zur Ausnahme macht und eine konkrete Benennung der Übermittlungspflichten durch Rechtsverordnung vorsieht, wird dem Volkszählungsurteil nicht gerecht, nach dem jeder Bürger wissen können muß, "wer was wann und bei welcher Gelegenheit über ihn weiß" [142]. Der Bürger muß im Einzelfall wissen, ob personenbezogene Daten von der Justiz und an welche Stellen sie übermittelt worden sind. Eine Regelung der Übermittlungspflichten durch Rechtsverordnung würde diesem Erfordernis nur dann gerecht werden können, wenn die Voraussetzungen für eine Datenübermittlung dort ohne Verwendung unbestimmter Rechtsbegriffe geregelt würden. Aber auch dann bleibt die Benachrichtigungspflicht die datenschutzfreundlichste Lösung, da nur sie gewährleistet, daß der Betroffene überhaupt von Übermittlungen erfährt. Die eilige Wiederaufnahme des Gesetzgebungsvorhabens darf nicht dazu führen, daß den datenschutzrechtlichen Belangen nicht ausreichend Rechnung getragen wird. Nachdem das Justizmitteilungsgesetz schon so lange erwartet wird, darf es jetzt nicht zu einem "datenschutzrechtlichen Schnellschuß" werden.
1994 hatten die Länder dem Bundesrat den Entwurf eines Strafverfahrensänderungsgesetzes 1994 [143], zugeleitet, der die notwendigen datenschutzrechtlichen Regelungen im Strafverfahrensrecht schaffen sollte, aber zu weitgehende Eingriffe in das Recht auf informationelle Selbstbestimmung zuließ. Dieser Gesetzentwurf hat offensichtlich keine Aussicht, vom Parlament verabschiedet zu werden, da die Bundesregierung auf eine Stellungnahme verzichtet und stattdessen einen eigenen Gesetzentwurf angekündigt hat, der noch immer nicht vorliegt. Wir hoffen sehr, in unserem nächsten Jahresbericht über einen Fortschritt dieses dringenden Gesetzgebungsvorhabens berichten zu können.
Integration von behinderten Kindern
Seit knapp zwanzig Jahren gibt es die Möglichkeit, behinderte und nichtbehinderte Kinder gemeinsam zu unterrichten. Den anfänglichen Schulversuchen folgte 1989 die Ergänzung des Schulgesetzes um eine Regelung zur Integration von Schülern mit sonderpädagogischem Förderbedarf (§ 10 a Schulgesetz). Nach dieser Rechtsvorschrift sind bis zum Schuljahr 1996/97 die Voraussetzungen für das uneingeschränkte Wahlrecht der Erziehungsberechtigten von Schülern mit festgestelltem sonderpädagogischem Förderbedarf zu schaffen. Die Eltern können zwischen einer allgemeinen Schule und einer Sonderschule wählen. Jährlich werden ungefähr fünfhundert behinderte Schüler in allgemeine Schulen aufgenommen.
Die Regelung zu den Schülern mit sonderpädagogischem Förderbedarf im Berliner Schulgesetz ermächtigt das für Schulwesen zuständige Mitglied des Senats, eine Rechtsverordnung für die konkrete Umsetzung zu schaffen. Eine solche Rechtsverordnung ist erforderlich, wie im vergangenen Jahr die Probleme einer zunehmenden Zahl von Schülern, die den Grundschulbereich verlassen und in den Sekundarbereich I übergehen, zeigten. Die Schuldatenverordnung gibt den Förderauschüssen eine Befugnis zur Verarbeitung personenbezogener Daten einschließlich des Verfahrens der Kind- Umfeld-Diagnostik, sowie zur Verarbeitung medizinischer und psychologischer Daten. Rechtlich noch nicht festgeschrieben hingegen sind die Aufgaben und die Zusammensetzung des Förderausschusses selbst.
Des weiteren wurde deutlich, daß die Tätigkeit der Förderausschüsse sowie die sonderpädagogische Förderarbeit eine Reihe von Datenerhebungen erforderlich machen, für die gegenwärtig keine Rechtsgrundlage besteht. So werden zwischen der Schule und der Schulaufsicht Daten übermittelt, denen man sicherlich eine Relevanz bezüglich der Förderarbeit nicht absprechen kann, die jedoch weit über den zulässigen Rahmen der Schuldatenverordnung hinausgehen. So wird beispielsweise erfragt, seit wann die Familie in Deutschland lebt, welche Besonderheiten das schulische Lernen beeinträchtigen oder welches die bevorzugte Sprache der Familie ist. Ein bloßer Hinweis auf die Vertraulichkeit dieser Angaben auf den Erhebungsbogen legitimiert jedoch nicht deren Erhebung. Gegenwärtig erfolgt die Feststellung des sonderpädagogischen Förderbedarfs auf Grundlage eines Rundschreibens, das Übergangsregelungen für das Schuljahr 1993/94 traf und erst mit Inkrafttreten der Rechtsverordnung nach § 10 a Schulgesetz aufgehoben werden soll.
Suche nach neuen Wegen
Für einige Aufgaben ist es notwendig, personenbezogene Daten in Registern vorzuhalten. Die Speicherung in Registern stellt jedoch einen der erheblichsten Eingriffe in das informationelle Selbstbestimmungsrecht dar. Register wecken vielfältige Begehrlichkeiten nach Zugang zu den dort gespeicherten Daten. Auch wenn diese Daten mit Einwilligung der Betroffenen gespeichert werden, sind zum einen strenge und klare Regelungen hinsichtlich der Nutzung dieser Angaben erforderlich, zum anderen sollte durch die Organisation die Möglichkeit für Mißbrauch oder vom Betroffenen bei seiner Einwilligung nicht überschaubaren Gebrauch der Daten erschwert werden.
So wird bei der Ärztekammer Berlin gegenwärtig ein Projekt zur Speicherung der Angaben von Dialysepatienten unter dem Namen QuaHSiNiere aufgebaut. Mit Einwilligung der Patienten sollen die Daten der Dialysebehandlungen hintereinander gespeichert werden. Dieses Register, das zunächst nicht Forschungszwecken dient, ist der Qualitätssicherung bei diesen sehr aufwendigen Behandlungen gewidmet. Auf eine Anregung des beteiligten Projektteams und des Berliner Datenschutzbeauftragten hin, wurde empfohlen, die Daten der Patienten nicht unmittelbar personenbezogenen im Register zu speichern, sondern den Personenbezug durch die Einrichtung einer Datentreuhänderstelle zu relativieren. Die Behandlungseinrichtungen liefern nach vorliegender Einwilligung der Patienten die Daten personenbezogen an den Datentreuhänder. Der Datentreuhänder trennt den Personenbezug und gibt die mit einer speziellen Codenummer versehenden Daten an das Register weiter. Im Register selbst werden dann die Daten der verschiedenen Behandlungen aneinander gefügt und die Auswertungen vorgenommen. Mit diesem Modell kann gesichert werden, daß beim Zugriff auf das Register die Herstellung des Personenbezuges faktisch unmöglich ist. Haben hingegen die Patienten den Wunsch, ihre Behandlungsdaten über einen längeren Zeitraum und bei verschiedenen Einrichtungen einzusehen, so kann dies über den Treuhänder geschehen, der dann den Datensatz einer bestimmten Codierung abfordert und dem Betroffenen übermittelt. Auch wenn dieses Modell zunächst kompliziert erscheint, erlauben eine Reihe der heute bestehenden technischen Möglichkeiten, dieses Verfahren zu nutzen.
Wertpapierhandelsgesetz
Das Wertpapierhandelsgesetz (WpHG) [178] ist am 1. Januar 1995 in Kraft getreten. Es enthält eine Bestimmung, deren datenschutzrechtliche Bedeutung offensichtlich unterschätzt worden war und die demnach zu erheblicher Unruhe auch bei Bürgern führte, denen der Datenschutz sonst nicht als persönliches Problem vertraut ist.
Nach diesem Gesetz ist ein "Wertpapierdienstleistungsunternehmen" unter anderem verpflichtet, den Kundenauftrag mit der erforderlichen Sachkenntnis, Sorgfalt und Gewissenhaftigkeit im Interesse seiner Kunden zu erbringen. Hierzu ist er verpflichtet, "von seinen Kunden Angaben über ihre Erfahrungen oder Kenntnisse in Geschäften, die Gegenstand von Wertpapierdienstleistungen sein sollen, über ihre mit den Geschäften verfolgten Ziele und über ihre finanziellen Verhältnisse zu verlangen" (§ 31 Abs. 2 Ziff. 1).
Die Banken nahmen diese neue Bestimmung zum Anlaß, mit Hilfe von Fragebogen umfangreiche Datenerhebungen über ihre Kunden vorzunehmen, wobei der Umfang und die Art und Weise der Erhebung von Bank zu Bank unterschiedlich war.
Unter anderem wurde gefragt:
- Welche weiteren Privatkonten haben Sie?
- Wie hoch ist Ihr Verfügungskredit?
- Welche Kreditkarten haben Sie?
- Sparen Sie regelmäßig?
- Planen Sie den Erwerb einer Immobilie?
- Welche Versicherungen haben Sie?
- Geschätztes Gesamtvermögen, differenziert nach Geld-, Substanz- und Sachwerten
- Einkommen aus selbständiger Tätigkeit, Gehalt, Rente, Miete, Zinsen
- Erbschaften
- Name des Steuerberaters
- Wie sind ihre bisherigen Anlageerfahrungen?
- Erfolge/Verluste?
Gefragt wurde in vielen Instituten offensichtlich jeder Geldanleger. Uns erreichten etwa Beschwerden einer über achtzigjährigen Frau, die lediglich völlig risikolose Papiere besitzt oder eines Mannes, der sein Vermögen seit Jahrzehnten von der Bank selbst verwalten läßt.
Wenn sich Kunden weigerten, den Fragebogen auszufüllen, haben einzelne Anlageberater es sogar abgelehnt, mit den Kunden Anlagegeschäfte zu tätigen. Fälschlicherweise wurde behauptet, das Bankinstitut sei aufgrund des Wertpapierhandelsgesetzes gesetzlich verpflichtet, die im Fragebogen enthaltenen Daten zu speichern. Vereinzelt mußten Anleger ihrem Bankberater bestätigen, daß eine anlage- und objektgerechte Beratung nicht möglich sei.
Bei der Beurteilung ist davon auszugehen, daß die Banken nur verpflichtet sind, den Auftrag, die hierzu erteilte Anweisung des Kunden, die Ausführung des Auftrags, den Namen des Angestellten, der den Auftrag des Kunden angenommen hat, sowie die Uhrzeit der Erteilung und Ausführung des Auftrags aufzuzeichnen (§ 34 WpHG). Weitergehende gesetzliche Aufzeichnungspflichten bestehen nicht, da das Bundesministerium der Finanzen von Verordnungsermächtigung nach § 34 Abs. 2 WpHG bisher nicht Gebrauch gemacht hat. § 31 Abs. 2 WpHG verpflichtet demgegenüber die Banken nur dazu, die Kunden zu befragen, nicht aber die Daten auch zu speichern.
Andererseits muß die Bank aber in der Lage sein, die Erfüllung ihrer Beratungspflicht nach § 31 Abs. 2 WpHG in bestimmtem Umfang zu dokumentieren. Dies ist nach § 28 Abs. 1 Nr. 1 und 2 BDSG zulässig, jedenfalls soweit dies die Zivilgerichte zur Haftungseinschränkung der Banken verlangen. Die hierdurch entstehenden Unklarheiten können nur durch klare Vorgaben der Wertpapieraufsicht beseitigt werden, die so bald wie möglich die erforderlichen Richtlinien erlassen sollte, die vor allem eine Unterscheidung produkt- und kundenbezogener Befragung berücksichtigen müssen.
Im Einzelfall gehen wir davon aus, daß die Befragung nur bei einem konkreten Anlagewunsch des Kunden durchgeführt werden sollte. Die Befragung von Kunden, die bereits ein Depot haben, aber weder jetzt noch in Zukunft beabsichtigen, Änderungen vorzunehmen, sind nicht zu befragen. Wünscht der Kunde eine Anlage, die völlig risikofrei ist, hat eine Befragung zu unterbleiben.
Auskunfteien, Detekteien
Drei Berliner Detekteien stehen in dem Verdacht, illegal personenbezogene Daten erhoben zu haben [179]. Die Mitarbeiter dieser Auskunfteien sollen bei zahlreichen Institutionen (z.B. Einwohnermeldeämter, Gerichte, Banken, Bundesversicherungsanstalt für Angestellte, Landesverwaltungsamt, Krankenkassen, Arbeitsämter, Polizeidienststellen, Interpol) angerufen und sich als Mitarbeiter von Behörden oder sonstigen Institutionen ausgegeben haben. Unter Angabe einer Legende sollen sie Auskünfte über praktisch alles erhalten haben, was sie erfahren wollten, z.B. aktuelle Anschriften, Geburtsdaten, Kontostände, Krankheiten, Kreditwürdigkeit, Arbeitgeber u.v.m. Die Auftraggeber waren insbesondere Unternehmen, die sich über die Bonität einer bestimmten Person informieren wollten - darunter bundesweit bekannte Großfirmen.
Auskunfteien dürfen zwar grundsätzlich auch ohne das Wissen der Betroffenen personenbezogene Daten erheben, dies muß aber nach Treu und Glauben und auf rechtmäßige Weise geschehen (§ § 29 Abs. 1 Satz 2, 28 Abs. 1 Satz 2 BDSG). Eine Datenerhebung mit Hilfe von Legenden ist nicht gestattet. Dies gilt insbesondere für Legenden, die den Straftatbestand der Amtsanmaßung und den Mißbrauch von Titeln (§ § 132, 132 a StGB) erfüllen. Nach dem Bundesdatenschutzgesetz selbst macht sich strafbar, wer die Übermittlung geschützter Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht (§ 43 Abs. 2 Ziff. 1).
Die strafrechtlichen Ermittlungen gegen die Mitarbeiter der Auskunfteien sind noch nicht abgeschlossen. Schon jetzt kann aber festgehalten werden, daß viele Behörden und private Institutionen (im gesamten Bundesgebiet) fahrlässig personenbezogene Daten telefonisch weitergegeben haben. Noch stärker als bisher müssen klare innerbehördliche und innerbetriebliche Regeln aufgestellt werden, damit sich ein derartiger Fall nicht wiederholt.
Unterstützung des Berliner Datenschutzbeauftragten
Nach § 38 BlnDSG sind alle Behörden verpflichtet, den Datenschutzbeauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Insbesondere ist ihnen Auskunft zu ihren Fragen zu gewähren. Leider müssen wir feststellen, daß mitunter dieser Verpflichtung nicht nachgegangen wird. Bei einigen Behörden, zu denen z.B. die Führerscheinstelle im Landeseinwohneramt gehört, gibt es fast keinen Vorgang, bei dem die Beantwortung nicht angemahnt werden muß. Diese Verhaltensweise wird dem Anspruch des Bürgers nicht gerecht, möglichst umgehend über die datenschutzrechtliche Bewertung seines Anliegens unterrichtet zu werden.
Da wir uns in erster Linie dem Bürger verpflichtet fühlen, müssen derartige Verwaltungen damit rechnen, daß von uns aufgrund des Sachverhaltsvortrags des Betroffenen eine Beanstandung erfolgt, ohne daß die Antwort abgewartet wird.
