VIERUNDZWANZIGSTER TÄTIGKEITSBERICHT
des Hessischen Datenschutzbeauftragten Professor Dr. Winfried Hassemer
vorgelegt zum 31. Dezember 1995 gemäß § 30 des Hessischen Datenschutzgesetzes vom 11. November 1986
Beiträge zum Datenschutz
Herausgegeben vom Hessischen Datenschutzbeauftragten Prof. Dr. W. Hassemer
Postfach 3163, 65021 Wiesbaden, Telefon (0611) 1408-0
Telefax: (0611) 378579
INHALTSVERZEICHNIS
2. Europa
2.1 Europol
2.1.1 Zuständigkeiten und Kontrollmöglichkeit
2.1.2 Die von Europol zu führenden Dateien
2.2 Schengener Durchführungsübereinkommen
2.3 EU-Richtlinie
3. Justiz
3.1 Justizvollzug
3.1.1 Kontrollbesuch in einer Justizvollzugsanstalt
3.1.2 Lichtbilder von Gefangenen
3.1.2.1 Umfang der Anfertigung von Lichtbildern
3.1.2.2 Vernichtung der Lichtbilder
3.1.3 Überprüfung der besuchten Personen bei Haftbeurlaubungen
3.1.3.1 Das Verfahren
3.1.3.2 Fehlende Einwilligung
3.1.3.3 Umfang der Überprüfung
3.1.3.4 Der neue Erlaß
3.1.4 Student der Zahnmedizin im offenen Vollzug
3.2 Überlassung von Urteilsabschriften an im
Gerichtsverfahren beteiligte Gutachter
3.3 Aussonderung von Karteikarten der "Zentralen
Namenskarteien" bei den Staatsanwaltschaften
3.4 Ressortübergreifender Meinungsaustausch über
die Notwendigkeit geschlossener Unterbringungsmöglichkeiten für
Jugendliche
4. Gesundheit
4.1 Maschinenlesbare Patientenkarten - aktueller
Diskussionsstand
4.2 Datenverarbeitung im Gesundheitsamt
4.3 Prüfung des Gesundheitsamts
Rheingau-Taunus-Kreis
4.3.1 Rechtliche Vorgaben für die Gesundheitsämter
4.3.2 Prüfungsergebnisse
4.4 Prüfung des Zentralarchivs der
Landesversicherungsanstalt Hessen
4.4.1 Prüfungsergebnisse
4.4.1.1 Zugang zum Archiv
4.5 Unzulässiges Formular für die
Rentenantragstellung von HIV-infizierten Patientinnen und Patienten
4.6 Verarbeitung von medizinischen Daten durch ein
privates Schreibbüro
5. Personalverwaltung
5.1 Personalaktenbereinigung
5.2 Personalaktenbereinigung ohne Einsichtnahme
5.3 Ermittlung gegen Bedienstete
5.4 Automatisierte Erfassung von Fernsprechdaten
6. Soziales
6.1 Fragebogen an Sozialhilfeempfänger
6.2 Überprüfung der Einkommensverhältnisse
durch die Hessische Versorgungsverwaltung
6.3 Aktenübersendung zwischen Sozialämtern
6.3.1 Problemfälle
6.3.2 Vorrangig Datenerhebung bei den Betroffenen
6.3.3 Beschränkung auf den erforderlichen Umfang
6.4 Bescheinigung der Arbeitsgemeinschaft zur
Rehabilitation Suchtkranker
6.5 Heimverzeichnis des Landesjugendamts Hessen
6.6 Zahlungsmodus bei Sozialleistungen
6.7 Datenaustausch zwischen Tageseinrichtungen und
Schulen
7. Schulen
7.1 Zuschußgewährung zu Klassenfahrten
7.2 Schuldaten ausländischer Kinder
7.3 Das Schulverwaltungsprogramm LUSD
7.4 Betriebspraktikum der Schülerinnen und Schüler
7.5 Die neue Broschüre zum Datenschutz in Schulen
7.6 Prüfungen in Schulen
7.6.1 Fehlende Datensicherungsmaßnahmen
7.6.2 Genehmigung für den Einsatz des Privat-PC
8. Kommunen
8.1 Initiative für ein Volksbegehren zur Wiedereinführung
des Buß- und Bettags
8.2 Kommunalrechtliche Einzelfälle
8.2.1 Veröffentlichung von Anschriften in der Presse im Zusammenhang
mit einer Prüfung über Zweckentfremdung von Wohnraum
8.2.2 Weitergabe einer Liste aller Grundstückseigentümerinnen
und -eigentümer für Werbezwecke
8.2.3 Übermittlung der Daten von Patientinnen und Patienten zur
Berechnung von Kurbeiträgen
8.2.4 Einführung gestaffelter Kindergartengebühren und
Einkommensermittlung
8.3 Prüfung von Waffenbehörden
8.3.1 Zuverlässigkeitsüberprüfung
8.3.2 Einzelprobleme bei der Aktenführung
8.4 Novellierung der Gewerbeordnung und der
Verwaltungsvorschrift zur Gewerbeordnung
8.4.1 Datenschutzregelungen in der Gewerbeordnung
8.4.2 Verwaltungsvorschrift zum Vollzug der §§ 14, 15 und 55c
GewO
8.5 Unterschriftslisten für ein Bürgerbegehren
9. Melderecht
9.1 Unzulässige Übermittlung der Daten von
wahlberechtigten Bürgerinnen und Bürgern der Kommunen Hanau und Großkrotzenburg
9.2 Private Forschung und Laienforschung über die
nationalsozialistische Zeit
10. Landwirtschaft Ökologischer Landbau: Probleme bei der Umsetzung der EWG-Verordnung
11. Ausländer
11.1 Keine Übermittlung des Grundes für die
Inanspruchnahme von Sozialhilfe an die Ausländerbehörde
11.2 Aufenthaltsgestattung mit Polizeivermerk
11.3 Falsche Datenspeicherung mit weitreichenden Folgen
11.4 Verfassungsbeschwerde gegen das Ausländerzentralregistergesetz
12. Polizei
12.1 Bewegungsbilder durch die Überwachung von
Mobiltelefonen
12.2 Die Entwicklung von HEPOLAS (Hessisches
Polizeiarbeitsplatzsystem)
12.2.1 Der bisherige Projektablauf
12.2.2 Die Ausgestaltung der Vorgangsbearbeitung
12.2.3 Neue technische Rahmenbedingungen bei HEPOLAS
13. Straßenverkehr
13.1 Videoverkehrszählung durch Private
13.2 Unzulässige Informationsverwertung bei der
Erteilung von Personenbeförderungsscheinen
14. Kreditwesen
14.1 Prüfung des Rechenzentrums der Hessischen
Sparkassenorganisation
14.1.1 Ergebnisse
14.1.1.1 Positive Feststellungen
14.1.1.1.1 Maßnahmen zur Gewährleistung der Verfügbarkeit
der Daten
14.1.1.1.2 Trennung von Test und Produktion
14.1.1.1.3 Automation der Abläufe
14.1.1.1.4 Aktivierung der RACF-Schnittstellen von Subsystemen
14.1.1.1.5 Sicherheitskonzept
14.1.1.1.6 Revision der Abläufe
14.1.1.2 Schwachstellen
14.1.1.2.1 Datenträgeraustausch
14.1.1.2.2 Implementierung von RACF
14.1.1.2.2.1 Paßwortverwaltung
14.1.1.2.2.2 Kontrolle von RACF
14.1.1.2.2.3 Unberechtigter Zugriff auf Banddateien
14.1.1.2.3 Revision von MVS
14.1.2 Fazit
14.2 Weitergabe von Versichertendaten durch die
Brandversicherungsanstalten
14.3 Mitarbeitergeschäfte
14.3.1 Die Leitsätze des Bundesaufsichtsamts
14.3.2 Personaldatenverarbeitung
14.3.3 Vollmachten - Verarbeitung personenbezogener Daten Dritter
14.3.4 Zweckbindung und Geheimhaltungspflicht
15. Rundfunk
GEZ-Prüfung
16. Statistik
Nutzung von InVeKoS-Daten für Zwecke der amtlichen Statistik
17. Entwicklungen im Bereich der Technik
17.1 Digitale Signatur
17.1.1 Zum Einsatz digitaler Signaturverfahren
17.1.2 Elektronische Unterschrift
17.1.3 Rechtssicherheit
17.1.4 Haftungsverteilung
17.1.5 Zuordnung Benutzer-Schlüsselpaar
17.1.5.1 Unsicherwerden geheimer Schlüssel
17.1.5.2 Informationelle Gewaltenteilung
17.1.5.3 Unverwechselbarer Teilnehmername
17.1.6 Weitere Probleme
17.1.7 Weiteres Vorgehen
17.2 Internet
17.2.1 Situation in Hessen
17.2.2 Technische Einzelheiten
17.3 Sicherheit bei Chipkarten-Anwendungen
17.3.1 Ausgangslage
17.3.2 Allgemeine Ansätze bei Betrachtungen zur Sicherheit
17.3.2.1 Grundannahmen
17.3.2.2 Folgerungen für Chipkarten-Anwendungen
17.3.3 Sicherheitsmaßnahmen bei Chipkartenanwendungen
17.3.3.1 Herstellung, Initialisierung und Versand der Chipkarten
17.3.3.2 Sicherheitsmerkmale der Kartenkörpers
17.3.3.3 Vorkehrungen bei der Hard- und Software des Chips
17.3.3.3.1 Hardware
17.3.3.3.2 Algorithmen als Basis für Schutzfunktionen
17.3.3.3.3 Schutzfunktionalitäten und Schutzmechanismen des
Kartenbetriebssystems
17.3.3.4 Nutzung der Vorkehrungen bei der Anwendungssicherheit
17.3.4 Ausführungen zu einzelnen Funktionalitäten und
Mechanismen
17.3.4.1 Benutzeridentifizierung/-authentifikation
17.3.4.2 Zugriffskontrolle mit Rechteverwaltung
17.3.4.3 Rechnerauthentisierung
17.3.4.4 Verschlüsselung
17.3.4.5 Elektronische Signatur
17.3.4.6 Sicherungsinfrastruktur
17.3.4.7 Protokollierung
17.4 Fernwartung
17.4.1 Ausgangslage
17.4.2 Rechtliche Einordnung
17.4.3 Vorgehen bei der Implementierung einer Fernwartung
17.4.3.1 Grundätzliche Überlegungen
17.4.3.2 Umsetzung
18. Bilanz
18.1 Prüfung des Medizinischen Dienstes der
Krankenversicherung Hessen (23. Tätigkeitsbericht,
Ziff. 5.1)
18.2 Verarbeitung von Beihilfedaten (23. Tätigkeitsbericht,
Ziff. 5.2)
18.3 Behinderung der Einsicht in eine Patientenakte im
Universitätsklinikum Frankfurt am Main (23. Tätigkeitsbericht,
Ziff. 5.4)
18.4 Mangelhafte Aufklärung der Bürgerinnen
und Bürger bei der Beantragung von Führungszeugnissen (23. Tätigkeitsbericht,
Ziff. 12.2)
18.5 Verbrechensbekämpfungsgesetz (23. Tätigkeitsbericht,
Ziff. 17.1)
18.6 Autobahnmaut (23. Tätigkeitsbericht,
Ziff. 29)
18.7 Sicherheit am PC-Arbeitsplatz (23. Tätigkeitsbericht,
Ziff. 25.1.2)
19. Orientierungshilfen der Datenschutzbeauftragten
des Bundes und der Länder
19.1 Datenschutzrechtliche Protokollierung beim Betrieb
informationstechnischer Systeme
19.2 Maßnahmen zur Sicherung der Fernwartung
20. Entschließungen der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder
20.1 Entwurf eines Gesetzes über das
Bundeskriminalamt (BKA-Gesetz)
20.2 Maßhalten beim vorbeugenden personellen
Sabotageschutz
20.3 Datenschutz bei elektronischen Mitteilungssystemen
20.4 Automatische Erhebung vonStraßenbenutzungsgebühren
20.5 Anforderungen an den Persönlichkeitsschutz im
Medienbereich
20.6 Sozialgesetzbuch VII
20.7 Eingeschränkter Zugriff auf Versichertendaten
bei landesweiten oder überregionalen gesetzlichen Krankenkassen
20.8 Aufbewahrungsbestimmungen und Dateiregelungen im
Justizbereich
20.9 Datenschutz bei Wahlen
20.10 Entwurf einer Telekommunikations- und
Informationsdienstunternehmen Datenschutzverordnung (TIDSV) des
Bundesministeriums für Post und Telekommunikation
20.11 Datenschutz bei elektronischen Geldbörsen
und anderen kartengestützten Zahlungssystemen
20.12 Weiterentwicklung des Datenschutzes in der Europäischen
Union
20.13 Planung eines Korruptionsbekämpfungsgesetzes
20.14 Forderungen an den Gesetzgeber zur Regelung der Übermittlung
personenbezogener Daten durch die Ermittlungsbehörden an die Medien
20.15 Datenschutzrechtliche Anforderungen an den
Einsatz von Chipkarten im Gesundheitswesen
20.16 Datenschutz bei der Neugestaltung der
Telekommunikation (Postreform III)
Kernpunkte
1. Für das zu erwartende Europäische Polizeiamt Europol ist keine parlamentarische und nur eine unzureichende Rechtskontrolle vorgesehen. Die Europol zugestandenen Befugnisse zum Aufbau von Dateien mit personenbezogenen Daten greifen sehr weit in das Recht auf informationelle Selbstbestimmung ein. Eine ausreichende datenschutzrechtliche Kontrolle ist bis her nicht sichergestellt (Ziff. 2.1).
2. Die EU-Richtlinie zum Datenschutz ist verabschiedet worden und im Dezember 1995 in Kraft getreten. Sie stellt einen wichtigen Beitrag für eine Verbesserung des Datenschutzniveaus in den Mitgliedstaaten der Europäischen Union dar. Die neuen positiven Impulse der Richtlinie sollten aufgegriffen und rechtliche Konsequenzen für das Hessische Datenschutzgesetz zur Diskussion gestellt werden (Ziff. 2.3).
3. Die Weitergabe von Personaldaten der Gefangenen innerhalb der Justizvollzugsanstalten muß sich am Grundsatz der Erforderlichkeit orientieren. Eine Prüfung in einer größeren Anstalt ergab, daß dies nicht ausreichend sichergestellt ist (Ziff. 3.1.1).
4. Die Entwicklung maschinenlesbarer Patientenkarten nimmt zu, sie bleibt jedoch infolge zahlreicher bisher ungelöster Probleme umstritten. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat Gefahren der Entwicklung aufgezeigt und Kriterien für die datenschutzrechtliche Beurteilung von Kartenprojekten aufgestellt (Ziff. 4.1).
5. Prüfbesuche bei einer Reihe hessischer Schulen haben gezeigt, daß die neuen datenschutzrechtlichen Regelungen für den Schulbereich nur zögerlich umgesetzt werden (Ziff. 7.6).
6. Wollen die Veranstalter eines Volksbegehrens von den Unterschriftsleistenden Wahlrechtsbescheinigungen einholen, so ist die Einwilligung der Betroffenen erforderlich (Ziff. 8.1).
7. Die im Bereich des Polizeipräsidiums Darmstadt praktizierte Verfahrensweise, Asylbewerbern beim Antreffen an bestimmten Orten Vermerke in ihre Ausweispapiere einzutragen, war rechtswidrig und wurde abgestellt (Ziff. 11.2).
8. Für das Aufzeichnen oder Auswerten sog. Aktivmeldungen von Mobiltelefonen durch die Strafverfolgungsbehörden gibt es keine Rechtsgrundlage. Die Aktivmeldungen der Geräte sind kein Fernmeldeverkehr i.S.v. § 100a StPO. Für die Einführung derartiger zusätzlicher Verfolgungsrechte besteht auch kein Bedürfnis (Ziff. 12.1).
9. Eine Prüfung des Rechenzentrums der Hessischen Sparkassenorganisation (RHSO) ergab, daß die dort getroffenen Datensicherungsmaßnahmen einem hohen Niveau entsprechen (Ziff. 14.1).
10. Das Internet gewinnt für die hessische Verwaltung immer mehr an Bedeutung. Es hat neben vielen Chancen auch Risiken (Ziff. 17.2).
weiter,