DREIUNDZWANZIGSTER TÄTIGKEITSBERICHT
des
Hessischen Datenschutzbeauftragten
Professor Dr. Winfried Hassemer
vorgelegt zum 31. Dezember 1994
gemäß § 30 des
Hessischen
Datenschutzgesetzes
vom 11. November 1986
Inhaltsverzeichnis
1. Vorwort
2. Europa
2.1 Schengener Durchführungsübereinkommen
2.1.1 Zum Inhalt des Schengener Durchführungsübereinkommen
2.1.2 Schengener Informationssystem
2.2 Europol
3. Justiz
3.1 Länderübergreifendes staatsanwaltschaftliches
Verfahrensregister
3.2 Benachrichtigung gemeinnütziger
Einrichtungen
bei Verfahrenseinstellungen nach § 153a StPO
3.3 Datenschutz bei den Grundbuchämtern
3.4 Schuldnerverzeichnisse
4. Finanzen
4.1 Datenschutz bei der Versendung von
Lohnsteuerkarten
4.2 Steuernummer im Adreßfeld
5. Gesundheit
5.1 Prüfung des Medizinischen Dienstes
der Krankenversicherung Hessen
5.1.1 Aufgaben und Befugnisse des Medizinischen
Dienstes der Krankenversicherung
5.1.2 Funktionelle Trennung zwischen Medizinischem
Dienst und Krankenkassen
5.1.3 Speicherung von Versichertendaten in Dateien
5.1.4 Verpflichtung zur Datenlöschung nach fünf
Jahren
5.1.5 Hinweis auf das Widerspruchsrecht der Versicherten
5.1.6 Speicherung medizinischer Daten bei externen Gutachtern
5.1.7 Überprüfung der Notwendigkeit und Dauer der
Krankenhausbehandlung durch den Medizinischen
Dienst
5.1.8 Datensicherheit in den Leit- und Beratungsstellen
5.1.9 Dienstanweisung des Medizinischen Dienstes
zum Datenschutz
5.1.10. Einführung von ISmed beim Medizinischen Dienst
5.1.10.1 Technische Rahmenbedingungen
5.1.10.2 Anwendungspezifische Datensicherungsmaßnahmen
5.1.10.2.1 Benutzerkontrolle/Aufruf von ISmed
5.1.10.2.2 Zugriffskontrolle
5.1.10.2.3 Protokollierung
5.1.10.2.4 Verschlüsselung
5.1.10.3 Installationsspezifische Defizite
5.1.10.3.1 Zugriffsrechte
5.1.10.3.2 Fernbetreuung
5.1.10.3.3 Organisatorische Maßnahmen
5.2 Verarbeitung von Beihilfedaten
5.2.1 Trennung der Beihilfeakten von den Personalakten
5.2.2 Abschottung der Beihilfebearbeitung von der allgemeinen Personalverwaltung
5.2.3 Aufbewahrungsfristen von Beihilfeunterlagen
5.2.4 Vorprüfung von Beihilfeanträgen
5.2.5 Datensicherungsmaßnahmen
5.3 Maschinenlesbare Patientenkarten -
Stand der Entwicklung und Diskussion
5.4 Behinderung der Einsicht in eine Patientenakte
im Universitätsklinikum Frankfurt
5.5 Umsetzung des Hessischen Archivgesetzes
im Universitätsklinikum Frankfurt
5.6 Einsichtsrecht in die Krankenakte bei
stationärer Psychotherapie
6. Personalverwaltung
6.1 Prüfung der Personalaktenführung
6.1.1 Durchführung der Prüfungen
6.1.2 Organisation der Personalverwaltungen
6.1.3 Inhalt der Personalakten
6.1.4 Konsequenzen der Prüfungen
6.2 Weitergabe von Mitarbeiterdaten
7. Soziales
7.1 Neuordnung des Sozialdatenschutzes
7.1.1 Die neuen gesetzlichen Regelungen
7.1.1.1 Gesetzgebungsverfahren
7.1.1.2 Erhebung beim Betroffenen und Zweckbindung
7.1.1.3 Übermittlung von Sozialdaten an Polizei und
Geheimdienste
7.1.1.4 Kontrollbefugnisse der Landesdatenschutzbeauftragten
7.1.2 Erste Anwendungserfahrungen im Bereich der Jugendämter
7.2 Datenverarbeitung beim Hessischen Amt
für Versorgung und Soziales in Wiesbaden
7.3 Verwendungsnachweise für private
Kinderbetreuungseinrichtungen
8. Schulen
8.1 Datenschutz in Schulen
8.1.1 Einsatz privater PC für schulische Zwecke
8.1.2 Fehlende Datensicherheit bei dienstlichen PC
8.1.3 Aufbewahrungsfristen und Archivierung bei schulischen Unterlagen
8.1.4 Unzulässige Klassenbucheintragungen
8.2 Klassenbücher im Müll
9. Forschung: Akteneinsicht in Strafakten zu Forschungszwecken
10. Archive
10.1 Aufbewahrung und Archivierung von
Personalakten des Justizministeriums
10.2 Neue Benutzungsordnung für Hessische
Staatsarchive
11. Kommunen
11.1 Prüfungen
11.1.1 Zugang und Sicherheit der Dienstgebäude und
Diensträume
11.1.2 Führung der Melde- und Wahlunterlagen sowie
der Personalakten
11.1.3 Archive
11.1.4 Probleme beim Einsatz von Novell-Netzen
11.2 Aufzeichnung von Vermittlungsgesprächen
in Telefonzentralen
11.3 Information über Grundstückskauf
11.4 Was macht die Ehefrau, wenn ihr Mann
an der Sitzung der Stadtverordnetenversammlung teilnimmt?
11.5 Behörde bringt Nachbarn gegeneinander
auf
11.6 Weitergabe einer Namensliste über
gewährte Zuschüsse zum Musikunterricht an einen städtischen Ausschuß
11.7 Anwesenheitslisten über Bürgerversammlungen
11.8 Fehlbelegungsabgabe
12. Melderecht
12.1 Online-Verbindung zwischen Polizei
und Meldebehörde - Programmfehler
12.2 Mangelhafte Aufklärung der Bürger
bei der Beantragung von Führungszeugnissen
12.3 Adreßlisten an Ausländerbeiträte
12.4 Bekanntgabe der Anschrift des Frauenhauses
durch ein Meldeamt
12.5 Auskünfte an Pächter eines
Bürgerhauses
13. Umwelt
13.1 Prüfungen bei Umweltämtern
13.2 Umweltinformationsgesetz des Bundes
14. Landwirtschaft
14.1 Datenübermittlung aus der Weinbaukartei
an eine private Firma im Rahmen einer EG-Prüfung
14.2 Datenübermittlung aus der Weinbaukartei
an das Amt für Regionalentwicklung, Landschaftspflege und Landwirtschaft
14.3 Ernährungssicherstellung und
Datenschutz
15. Behördliche Datenschutzbeauftragte
16. Ausländer
16.1 Einbürgerung von Ausländern
16.1.1 Zum Ablauf des Verfahrens
16.1.2 Mängel des Verfahrens
16.2 Ausländerzentralregistergesetz
16.2.1 Das Ausländerzentralregister beim Bundesverwaltungsamt
16.2.2 Aufgaben und Inhalt des Registers
16.2.3 Kommunikation mit dem Register
16.2.4 Rechte des Betroffenen
16.3 Aufenthaltsgestattung mit Polizeivermerk
17. Verfassungsschutz
17.1 Verbrechensbekämpfungsgesetz
17.2 Einbeziehung des Ehegatten in die
Sicherheitsüberprüfung
18. Polizei
18.1 Datenerhebung durch den Einsatz von
V-Personen, Verdeckten Ermittlern sowie technischer Mittel
18.1.1 V-Personen und Verdeckte Ermittler
18.1.2 Technische Mittel
18.1.3 Umgang der Ermittlungsbehörden mit den neuen
Befugnissen
18.2 Unterrichtung über polizeiliche
Datenspeicherung
18.3 Verwechslungsfälle
18.3.1 Der Zuhälter
18.3.2 Der Mörder
18.3.3 Maßnahmen
18.4 Fahndung nach Ausbrechern aus psychiatrischen
Krankenhäusern
18.5 Rahmendienstanweisung zum Datenschutz
bei Arbeitsplatzrechnern und anderen IT-Geräten
für die Hessische Vollzugspolizei
19. Ordnungswidrigkeiten
19.1 Lichtbildvergleich in Ordnungswidrigkeitenverfahren
19.2 Weitere Ermittlungsmaßnahmen
in Ordnungswidrigkeitenverfahren
20. Straßenverkehr: Inhalt einer Führerscheinakte für Zwecke der medizinisch-psychologischen Untersuchung
21. Sparkassen kopierten rechtswidrig Pässe und Personalausweise ihrer Kunden
22. Telekommunikation
22.1 Postreform II
22.1.1 Folgen der Privatisierung für den Grundrechtsschutz und die Datenschutzkontrolle
22.1.2 Auskunft an Strafverfolgungsbehörden über den
Fernmeldeverkehr
22.1.3 Anrufe bei Beratungseinrichtungen und Einzelgebührennachweis
22.2 EU-Richtlinie zum Datenschutz in
Telekommunikationsnetzen (ISDN-Richtlinie)
23. Statistik: Novellierung des Landesstatistikgesetzes
24. Presseerklärungen der Regierung
25. Datensicherheitskonzepte
25.1 Allgemeine Anmerkungen
25.1.1 Überblick
25.1.2 Sicherheit am PC-Arbeitsplatz
25.2 Einzelne Projekte
25.2.1 Das Hessische Ministerium für Umwelt und
Bundesangelegenheiten
25.2.2 Polizei
25.2.3 Staatskanzlei
26. Einsatz von Verschlüsselungsverfahren
26.1 Datenübertragung zwischen der
AOK Hessen und
Arbeitgebern
26.2 Umsetzung der Pflegeversicherung;
Einbeziehung externer Gutachter
27. Workshop Kryptografie
27.1 Verschlüsselungsverfahren
27.1.1 Sicherheit von Verschlüsselungsverfahren
27.1.2 DES
27.1.3 RSA
27.1.4 Neue Entwicklungen
27.2 Offenlegung von Verschlüsselungsverfahren
27.3 Neue Entwicklungen in der elektronischen
Kommunikation
27.3.1 Überwachung elektronischer Kommunikation
27.3.1.1 Situation in den USA
27.3.1.2 Situation in Deutschland
27.3.1.3 Situation in Frankreich
27.3.1.4 Weitere Ansätze
27.3.2 Neue Mechanismen
27.3.3 Ausblick auf soziale und politische Implikationen von Sicherheitsinfrastrukturen
27.3.4 Problem der Offenlegung geheimer Schlüssel
27.4 Probleme aus der Nutzung von Verschlüsselungsverfahren
28. Viren in der Datenverarbeitung
29. Autobahnmaut
29.1 Feldversuch auf der A555
29.1.1 Gebührenerhebung
29.1.2 Kontrolle
29.2 Datenschutzrechtliche Anforderungen
29.3 Präsentation des Feldversuchs
29.4 Weiteres Vorgehen
30. Bilanz
30.1 EU-Richtlinie zum Datenschutz
30.2 Entwurf eines Gesetzes über
die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen
des Landes Hessen
30.3 Datenschutz bei den Staatsanwaltschaften
30.4 Reform der Strafprozeßordnung
30.5 Einsicht in Vereinsregisterakten
30.6 Arbeitsgruppe Korruptionsbekämpfung
30.7 Neuer landeseinheitlicher Personalbogen
31. Materialien
31.1 Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 09./10. März 1994 in Potsdam zur Informationsverarbeitung im Strafverfahren
31.2 Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 09./10. März 1994 in Potsdam zu Chipkarten im Gesundheitswesen
31.3 Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 09./10. März 1994 in Potsdam zum Abbau des Sozialdatenschutzes
31.4 Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 09./10. März 1994 in Potsdam zum Ausländerzentralregistergesetz
31.5 Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 09./10. März 1994 in Potsdam zum Gesetzentwurf der Bundesregierung zur Neuordnung des Postwesens und der Telekommunikation (Postneuordnungsgesetz) und zu der dafür erforderlichen Änderung des Grundgesetzes
31.6 Beschluß der 48. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27. September 1994 in Potsdam zu den datenschutzrechtlichen Anforderungen an ein Übereinkommen der Mitgliedstaaten der Europäischen Union über die Errichtung eines europäischen Polizeiamtes (EUROPOL)
31.7 Beschluß der 48. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27. September 1994 in Postdam zu fehlenden bereichsspezifischen gesetzlichen Regelungen bei der Justiz
31.8 Beschluß der 48. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27. September 1994 in Postdam zu Art. 12 Verbrechensbekämpfungsgesetz zur Trennung von Polizei und Nachrichtendiensten
31.9 Beschluß der 48. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27. September 1994 in Potsdam über Vorschläge zur Überprüfung der Erforderlichkeit polizeilicher Befugnisse und deren Auswirkungen für die Rechte der Betroffenen
31.10 Beschluß der 48. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27. September 1994 in Potsdam zum geänderten Vorschlag für eine Europäische Richtlinie zum Datenschutz im ISDN und in Mobilfunknetzen.
31.11 Beschluß der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 25. August 1994 (Potsdam) zum Vorschlag der Kommission der Europäischen Union für eine Verordnung (EG) des Rates über die Tätigkeit der Gemeinschaft im Bereich der Statistik.......
Kernpunkte
1.
Die Strafprozeßordnung enthält jetzt
Regelungen, nach denen bundesweit sämtliche
Ermittlungsverfahren in ein
länderübergreifendes
staatsanwaltschaftliches Verfahrensregister
einzutragen sind. Aufzunehmen und damit
bundesweit abrufbar sind u. a. die
Personendaten und Identifikationsmerkmale
eines jeden Beschuldigten (Ziff. 3.1).
2.
Der Umstand, daß in Hessen im Gegensatz zu
anderen Bundesländern eine Einsichtnahme in
Grundbücher und Grundakten nicht
protokolliert wird, macht eine
datenschutzrechtliche Prüfung der
Grundbuchämter nahezu unmöglich (Ziff. 3.3).
3.
Der Einsatz von maschinenlesbaren
Patientenkarten darf nicht zu einem Zwang
zur pauschalen Angabe von Patientendaten
führen. Die Karten sind so zu gestalten, daß
der Betroffene von Fall zu Fall den Zugriff
auf bestimmte Daten beschränken kann
(Ziff. 5.3).
4.
Will ein Patient sein Recht auf Einsicht in
seine Krankenakte wahrnehmen, so braucht er
kein berechtigtes Interesse an der Einsicht
darlegen. Das Krankenhaus hat dem Patienten
die Akte unverzüglich und vollständig zur
Verfügung zu stellen (Ziff. 5.4).
5.
Die neuen Vorschriften des Hessischen
Beamtengesetzes über die Führung und
Aufbewahrung von Personalakten wurden von
den Verwaltungen bislang nur teilweise
umgesetzt (Ziff.6).
6.
Beim Datenschutz an den hessischen Schulen
gibt es erhebliche Defizite.
Datenschutzrechtliche Vorschriften werden
nicht beachtet beim Einsatz privater PC für
schulische Zwecke, beim Einsatz dienstlicher
PC und auch bei der Aufbewahrung und
Archivierung schulischer Unterlagen
(Ziff. 8).
7.
Eine hessische Kommune zeichnete in ihrer
zentralen Telefonvermittlungsstelle den
Inhalt sämtlicher ankommender
Telefongespräche automatisch und deshalb
rechtswidrig auf (Ziff. 11.2).
8.
Führungszeugnisse zur Vorlage bei Behörden
werden nicht den Antragstellern
ausgehändigt, sondern den jeweiligen
Behörden unmittelbar übersandt. Enthält das
Führungszeugnis Eintragungen, so hat der
Betroffene das Recht, das Führungszeugnis
vorher einzusehen. Häufig versäumen es die
Meldebehörden, die Antragsteller auf diese
Möglichkeit hinzuweisen (Ziff. 12.2).
9.
Mit dem neuen Umweltinformationsgesetz des
Bundes hat jeder Anspruch auf freien Zugang
zu Informationen über die Umwelt, die bei
einer Behörde vorhanden sind. Allerdings
bestehen bei der Anwendung dieses Gesetzes
vielfach Unsicherheiten bei den Behörden, da
durch die Herausgabe der geforderten
Umweltinformationen Vorschriften des
Datenschutzes oder des Schutzes von
Geschäftsgeheimnissen verletzt werden können
(Ziff. 13.2).
10.
Die hessische Polizei hält beim Einsatz von
V-Personen, verdeckten Ermittlern sowie
technischen Mitteln die gesetzlichen
Vorgaben strikt ein. Allerdings bestehen
Zweifel an der Effektivität der neuen
Methoden (Ziff. 18.1).
11.
Sparkassen kopierten rechtswidrig Pässe und
Personalausweise ihrer Kunden unter Berufung
auf das Geldwäschegesetz (Ziff. 21.).
12.
Zur Berechnung einer Autobahnmaut werden
z. Zt. verschiedene Systeme erprobt. Bei der
Entscheidung für ein bestimmtes Verfahren
wird darauf zu achten sein, daß erhobene
personenbezogene Daten zur Erstellung von
Bewegungsprofilen einzelner oder beliebig
vieler Bürger oder zur Fahrtroutenverfolgung
nicht genutzt werden können (Ziff. 29).