ZWEIUNDZWANZIGSTER TÄTIGKEITSBERICHT
des
Hessischen Datenschutzbeauftragten
Professor Dr. Winfried Hassemer
vorgelegt zum 31. Dezember 1993 gemäß § 30 des Hessischen Datenschutzgesetzes vom 11. November 1986
INHALTSVERZEICHNIS
2. Verfassungsschutz: Entwurf eines Gesetzes über Sicherheitsüberprüfungen von Angehörigen des öffentlichen Dienstes
3. Ausländerrecht
3.1 Automatisierte Datenverarbeitung bei
den Ausländerbehörden (LADIVA)
3.2 Verwaltungsvorschriften zu §§
75 bis 77 Ausländergesetz
3.3 Höhere Kontrolldichte für
Ausländer
3.3.1 Zusammenschluß von Ausländern in Vereinen
3.3.2 Zulassung von Kraftfahrzeugen durch Ausländer
4. Polizei
4.1 Datenverarbeitung bei der Polizei;
das Projekt HEPOLAS
4.1.1 Der bisherige Projektablauf von HEPOLAS
4.1.2 Konzeption des Grundausbaus HEPOLAS
4.1.3 Einbeziehung des Hessischen Datenschutzbeauftragten in das
Projekt HEPOLAS
4.2 Novellierung des Hessischen Gesetzes
über die öffentliche Sicherheit und Ordnung
4.2.1 Positive Ansätze
4.2.2 Kritische Punkte
4.3 Neue Richtlinien für kriminalpolizeiliche
personenbezogene Sammlungen
4.3.1 Aufnahme von Daten im Hessischen Polizeiinformationssystem
(HEPOLIS)
4.3.2 Datenübermittlungen aus kriminalpolizeilichen Sammlungen
4.3.3 Aussonderung von Datenspeicherungen
4.4 Neukonzeption des bundesweiten Informationssystems
der Polizei (INPOL)
4.5 Datenübermittlung der Polizei
an die Führerscheinstelle
4.6 Prüfung der DV-Nutzung einer Polizeidienststelle
4 . 6.1 Prüfergebnisse
4 . 6.2 Anforderungen an einen datenschutzgerechten Einsatz privater
PC's
am dienstlichen Arbeitsplatz
4.6.3 Ausblick
5. Ordnungswidrigkeiten: Zeugenangabe im Bußgeldbescheid
6. Verkehrswesen
6.1 Zuverlässigkeitsprüfung bei
der Ausgabe "roter Kfz-Kennzeichen zur wiederkehrenden
Verwendung"
6.2 Unzulässige Verwertung von Informationen
bei der Erteilung von
Fahrgastbeförderungsscheinen
7. Justiz
7.1 Datenschutz bei den Staatsanwaltschaften
7.1.1 Zugang und Sicherung der Dienstgebäude und Diensträume
7.1.2 Manuelle Datenverarbeitung
7.1.3 Automatisierte Datenverarbeitung
7.1.4 Telefax-Geräte
7.2 Reform der Strafprozeßordnung
7.2.1 Auskünfte aus Akten und Akteneinsichtsrecht
7.2.2 Dateienregelungen
7.3 Datenschutz im Zusammenhang mit der
Eintragung in das Vereinsregister
8. Finanzwesen
8.1 Änderung der Abgabenordnung
8.2 Telefonkosten als Werbungskosten
8.3 Versendung von Kontrollmitteilungen
9. Gesundheit
9.1 Maschinenlesbare Patientenkarten mit
medizinischen Daten
9.1.1 Notfallkarten, Karten für besondere Patientengruppen,
Karten für alle Patienten
9.1.2 Freiwilligkeit bei Verwendung der Karte durch den Patienten
9.1.3 Mehr Transparenz und Selbstbestimmung für den Patienten?
9.1.4 Fazit
9.2 Prüfung Universitätsklinikum
Frankfurt
9 . 2 . 1 Patientenaufnahme
9 . 2 . 2 Umsetzung des Gesundheitsstrukturgesetzes
9 . 2 . 3 Abschottung der Fachabteilungen untereinander
9 . 2 .4 Verarbeitung von Patientendaten in der Abteilung Thorax-,
Herz- und
Gefäßchirurgie des Zentrums der Chirurgie
9.2.5 Verarbeitung von Patientendaten im Zentrum der Radiologie
9.3 Probleme mit der Entbindung von der
ärztlichen Schweigepflicht
9.4 "Rechtfertigender Notstand"
als Rechtsgrundlage für die Weitergabe von Sozialdaten
9.5 "Liste der fragwürdigen Patienten"
im Krankenhaus
9.6 Datenerhebung des Ordnungsamts Wiesbaden
im Rahmen des Heilpraktikergesetzes
9.7 Aufgaben des Medizinischen Dienstes
der gesetzlichen Krankenversicherung bei der
Durchführung von "ambulanter Psychotherapie" im
Erstattungsverfahren
9.7.1 Rechtliche Einordnung des Erstattungsverfahrens
9.7.2 Gesundheitliche Versorgung und Qualitätssicherung
9.7.3 Qualifikationsanforderungen an Psychotherapeuten im Erstattungsverfahren
9.7.4 Transparenz der Datenverarbeitung
9.8 Aufnahmeformulare der Krankenhäuser
10. Personalwesen
10.1 Neuregelung des Personalaktenrechts
10.1.1 Neuordnung des Hessischen Beamtengesetzes
10.1.2 Auswirkungen der Neuregelung auf die Praxis der Personalverwaltung
10.1.3 Hessisches Personalinformationssystem (HEPIS)
10.2 Zugang der Frauenbeauftragten zu
Personalakten
10.3 Zugang des Personalrats zu Personalverwaltungssystemen
11. Sozialwesen
11.1 Mißbrauchskontrolle beim Sozialhilfebezug
11.1.1 Das neue Gesetz zur Umsetzung des Förderalen Konsolidierungsprogramms
11.1.2 Erste Anwendungserfahrungen mit der Neuregelung
11.2 Ermittlung zur Gestaltung der Haushaltsführung
von Wohngeldantragstellern
durch die Wohngeldstelle
11.3 Verdienstanfrage des Sozialamts bei
dem Arbeitgeber eines Unterhaltsverpflichteten
12. Schulen
12.1 Neue Rechtsverordnung für den
Datenschutz in Schulen
12.1.1 Einsatz privater PC's
12.1.2 Klassenbuch
12.1.3 Schulischer Datenschutzbeauftragter
12.1.4 Datensicherheitsmaßnahmen
12.2 Automatisierung von Verwaltungs-
und Planungsaufgaben im Schulbereich
12.2.1 Planungsziele
12.2.2 Fragestellungen
12.3 Übermittlung schulischer Daten
italienischer Grundschüler an das Italienische
Generalkonsulat Frankfurt
12.3.1 Probleme der ausreichenden Aufklärung
12.3.2 Zusagen des Generalkonsulats
12.4 Bescheid unter Verwendung eines Briefes
an einen Dritten
12.5 Die Beschwerde nach § 28 Hessisches
Datenschutzgesetz und der Dienstweg
12.6 Weitergabe von Abiturientennamen
an die Presse
12.7 Die Umfrage an Europaschulen
12.7.1 Bestimmbarkeit der befragten Lehrkräfte
12.7.2 Die Aufklärung nach § 7 Abs. 2 Hessisches Datenschutzgesetz
12.7.3 Geltung des § 33 Abs. 1 S. 3 Hessisches Datenschutzgesetz
13. Hochschulen und Forschung
13.1 Inhalt des amtsärztlichen Attestes
bei Prüfungsunfähigkeit
13.1.1 Die Selbständigkeit des Amtsarztes
13.1.2 Die Anpassung des § 17 Abs. 7 Juristenausbildungsgesetz
13.2 Forschung und Datenschutz
13.3 Teilnahmebescheinigungen für
Lehrveranstaltungen an Hochschulen
14. Kommunen
14.1 INTEBS/PARLIS - Parlamentsinformationssystem
14.2 Bürokommunikation
14.2.1 Umfang des Einsatzes von Bürokommunikationsmitteln
14.2.2 Beabsichtigte Vernetzung verschiedener Ämter
14.2.3 Weitere datenschutzrechtliche Anforderungen
14.3 Fragwürdige Zusammenarbeit zwischen
Fremdenverkehrsamt und Arbeitsamt
14.4 Information des Dienstherrn statt
Einleitung eines Ordnungswidrigkeitenverfahrens?
14.5 Kindergartengesetz
14.6 Datenschutz im Planfeststellungsverfahren
15. Meldewesen
15.1 Gesetz zur Änderung des Hessischen
Meldegesetzes
15.1.1 Ziel des Gesetzentwurfs
15.1.2 Positive Aspekte der Gesetzgebung
15.1.3 Unberücksichtigte Anregungen
15.2 Einzelfälle aus dem Meldewesen
15.2.1 Mietverträge in den Akten des Einwohnermeldeamts
15.2.2 Überflüssige Datenerhebung bei getrennt lebenden
Ehegatten
16. Rundfunk: PC-Verfahren Rundfunkgebührenbefreiung
16.1 Rechtsgrundlagen für die Datenverarbeitung
16.2 Zuviel erfragte Merkmale
16.3 Probleme des Zugriffsschutzes
16.4 Lösungsansätze
17. Sparkassen, Banken
17.1 Prüfung des Schufa-Online-Verfahrens
(SCADA) für die hessischen Sparkassen
17 . 1.1 Die Schufa Datenbank
17 . 1.2 Direktzugriff auf die Datenbank
17 . 1.3 Anlaß und Verfahren der Prüfung
17 . 1.4 Datensicherungsmaßnahmen im Eschborner Rechenzentrum
der
Debis-Systemhaus MGI GmbH
17.1.5 Pilotinstallation bei der Stadt- und Kreissparkasse Kassel
17.1.6 Dienstanweisung
17.2 Der verlorene Scheck
18. Umwelt
18.1 Entwurf eines Hessischen Umweltinformationsgesetzes
18.2 Erfassung der Lagerorte privater
Heizöltanks
19. Landwirtschaft (InVeKoS)
19.1 Probleme bei der Umsetzung der EG-Verordnungen
zu InVeKoS
19.2 Probleme bei der Einführung
der für InVeKoS notwendigen DV-Programme
19.2.1 Die Einführung von einheitlichen Netzwerken in den
Ämtern für Regionalentwicklung,
Landschaftspflege und Landwirtschaft
19.2.2 Das Technik-Konzept und der Datenschutz
19.2.3 Abweichung vom Soll
20. Arbeitsgruppe Korruptionsbekämpfung
21. Datensicherheit
21.1 Aspekte der Datensicherheit in Netzen
21.1.1 Ausgangslage
21.1.2 Betrachtungen zur Datensicherheit
21.1.3 Anmerkungen zu einigen Klassen von Sicherheitsmechanismen
21.1.4 Beispiele für heute verfügbare Lösungen
zu speziellen Problemen
21.2 Prüfungen von Novell-Netzwerken
21.2.1 Prüfungsfeststellungen
21.2.2 Gespräche mit dem KGRZ Kassel
21.3 Heimarbeit im Bereich der Produktionssteuerung
von Rechenzentren
21.4 Einsatz von Software zur Fernsteuerung
in PC-Netzen
22. Bilanz
22.1 Anträge der Polizei an Gesundheitsaufsicht und Gesundheitsamt mit dem Ziel "lästige Anzeigeerstatter" zu überprüfen (21. Tätigkeitsbericht, Ziff. 4.2)
22.2 Justizprüfungsamt (21. Tätigkeitsbericht, Ziff. 5.
22.3 Verordnung über den automatisierten Abruf von Daten aus dem Liegenschaftskataster (21. Tätigkeitsbericht, Ziff. 14.2)
22.4 BOS-Funk, schnurlose Telefone (21.
Tätigkeitsbericht, Ziff. 16.3)
22.4.1 BOS-Funk
22.4.2 Funktelefone und schnurlose Telefone
23. Materialien
23.1. Entschließung der 45. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 16./17. Februar 1993 in Berlin
zur
Richtlinie des Rates vom
7. Juni 1990 über den freien Zugang zu Informationen über
die Umwelt (30/313/EWG)
23.2 Entschließung der 45. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 16./17. Februar 1993 in Berlin
zum
geänderten
Vorschlag der EG-Kommission für eine Datenschutzrichtlinie (KOM 92/422 endg.)
23.3 Entschließung der 45. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 16./17. Februar 1993 in Berlin
zum
Grundrecht auf Datenschutz
23.4 Entschließung der 46. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 26./27. Oktober 1993 in Berlin
zum
Datenschutz bei der Privatisierung
der Deutschen Bundespost Telekom und bei der europaweiten Liberalisierung
des Telefonnetzes und anderer Telekommunikationsdienste
23.5 Entschließung der 46. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 26./27. Oktober 1993 in Berlin
zur
Gewährleistung des Datenschutzes
bei der Mobilkommunikation
23.6 Entschließung der 46. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 26./27. Oktober 1993 in Berlin
zur
Gefährdung der Vertraulichkeit der
Funkkommunikation von Sicherheitsbehörden und Rettungsdiensten
23.7 Entschließung der 46. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 26./27. Oktober 1993 in Berlin
zu
kartengestützten Zahlungssystemen
im öffentlichen Nahverkehr
23.8 Entschließung der 46. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 26./27. Oktober 1993 in Berlin
zum
Integrierten Verwaltungs- und
Kontrollsystem (InVeKoS) (Verordnungen der EWG Nrn. 3508/92 und
3887/92)
23.9 Entschließung der 46. Konferenz
der Datenschutzbeauftragten des Bundes und der
Länder vom 26./27. Oktober 1993 in Berlin
zu
regelmäßigen Datenübermittlungen
an die öffentlich-rechtlichen Rundfunkanstalten und die Gebühreneinzugszentrale
(GEZ)
Kernpunkte des 22. Tätigkeitsberichts
1. Der vom Hessischen Ministerium des Innern und für Europaangelegenheiten erarbeitete Entwurf eines Gesetzes über Sicherheitsüberprüfungen von Angehörigen des öffentlichen Dienstes (HSÜG, Stand 21. September 1993) enthält gegenüber dem Entwurf der Bundesregierung unter datenschutzrechtlichen Gesichtspunkten eine Reihe von Verbesserungen (Ziff. 2).
2. Der Gesetzentwurf der Landesregierung für ein Gesetz zur Änderung des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) nimmt die rechtsstaatlich gebotene Eingrenzung der Befugnis der Polizei zur Erhebung personenbezogener Daten durch Observation und den Einsatz technischer Mittel sowie durch den Einsatz von V-Personen und verdeckt ermittelnden Personen vor (Ziff. 4.2).
3. Der Fall eines Darmstädter Taxifahrers, der sich vergeblich um die Verlängerung seines Fahrgastbeförderungsscheins bemühte, ist ein typisches Beispiel dafür, daß Verwaltungen gesetzliche Verwertungsverbote mißachten (Ziff. 6.2)
4. Bei der Prüfung der Staatsanwaltschaften wurden Mängel festgestellt, die auch bei strukturellen Kontrollen anderer Verwaltungen immer wieder auffallen (Ziff. 7.1).
5. Bei der Prüfung des Universitätsklinikums Frankfurt wurde festgestellt, daß die Patienten entsprechend der Neuregelung im Krankenhausgesetz bei ihrer Aufnahme gefragt werden, ob an der Pforte Auskunft über ihren Aufenthalt im Krankenhaus gegeben werden soll. Die im Gesetz vorgeschriebene Abschottung der Datenbestände der Fachabteilungen untereinander wird umgesetzt. Einige Mängel bei den technischen und organisatorischen Datensicherungsmaßnahmen müssen beseitigt werden (Ziff. 9.2).
6. Erklärungen der Patienten zur Entbindung von der ärztlichen Schweigepflicht sind nur rechtswirksam, wenn die Patienten vorher korrekt und konkret über die vorgesehene Verwendung ihrer Daten informiert wurden. Entbinden dann die Patienten ihren Arzt aufgrund der ihnen gegebenen Informationen von der Schweigepflicht, so dürfen die Daten nicht später auf andere Weise verwendet werden (Ziff. 9.3).
7. In das Hessische Beamtengesetz (HBG) wurden in Anpassung an das Beamtenrechtsrahmengesetz (BRRG) gesetzliche Regelungen zum Umgang mit Personalakten aufgenommen, deren Umsetzung in der Praxis noch Probleme bereitet (Ziff. 10.1).
8. Das Gesetz zur Umsetzung des Föderalen Konsolidierungsprogramms (FKPG) ermöglicht den Sozialhilfeträgern umfangreiche Datenabgleiche. Dadurch entsteht für die Mehrzahl der gesetzestreuen Bürger die Gefahr, zum "gläsernen Leistungsbezieher" zu werden (Ziff. 11.1).
9. Das Hessische Kultusministerium hat den Entwurf einer Rechtsverordnung zum Schulgesetz vorgelegt, die den Umfang und die Einzelheiten personenbezogener Datenverarbeitung im Schulbereich regelt (Ziff. 12.1).
10. Der Einsatz von Bürokommunikationsmitteln in den Verwaltungen nimmt ständig zu. Es sind Wege zu suchen, die das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger wahren, ohne den Fortschritt der Kommunikationstechnologie zu hindern (Ziff. 14.2).
11. Auch bei Staffelung der Beiträge oder Gebühren für die Kindergartenbenutzung nach dem Einkommen darf die Kommune nicht die Vorlage des vollständigen Einkommensteuerbescheids verlangen (Ziff. 14.5).
12. Der von der Landesregierung vorgelegte Entwurf für ein Hessisches Umweltinformationsgesetz (HUIG) verspricht Informationsfreiheit und ein Recht auf Akteneinsicht, ohne das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger zu verletzen (Ziff. 18.1).
13. Das durch EG-Verordnungen eingeführte integrierte Verwaltungs- und Kontrollsystem (InVeKoS) führt zu einer lückenlosen Erfassung der Landwirte zum Zweck der Kontrolle im Bereich landwirtschaftlicher Förderungsmaßnahmen und verstößt mit seinem Sammeln personenbezogener Daten auf Vorrat und zu unbestimmten bzw. noch nicht bestimmbaren Zwecken gegen den Grundsatz der Verhältnismäßigkeit (Ziff. 19).
14. Aus der zunehmenden Vernetzung von Rechnern ergeben sich erhebliche Risiken für die Datensicherheit (Ziff. 21.1).