FÜNFUNDZWANZIGSTER TÄTIGKEITSBERICHT
des
Hessischen Datenschutzbeauftragten
Professor Dr. Rainer Hamm
vorgelegt zum 31. Dezember 1996 gemäß § 30 des Hessischen Datenschutzgesetzes vom 11. November 1986
Beiträge zum Datenschutz
Herausgegeben vom Hessischen Datenschutzbeauftragten
Prof. Dr. Rainer Hamm,
Postfach 3163, 65021 Wiesbaden, Telefon (0611) 1408-0,
Telefax: (0611) 378579, E-Mail DSB-HESSEN@t-online.de
Inhaltsverzeichnis
2. Europa
2.1 Schengener Durchführungsübereinkommen
2.1.1 Probleme mit dem Auskunftsrecht
2.1.2 Mißbräuchliche Verwendung von Alias-Personalien
2.1.3 Kontrolle des zentralen Datenbestands (CSIS)
2.2 Europol
2.2.1 Ausführungsbestimmungen
2.2.2 Zuständigkeit des Europäischen Gerichtshofes
2.2.3 Ratifizierungsgesetz
3. Justiz
3.1 Heimarbeit in der Justiz
3.2 Dienstanweisungen zum Datenschutz
bei den Gerichten
3.2.1 Häusliche Arbeitsplätze
3.2.2 Richterarbeitsplätze
3.3 Auskünfte aus Strafverfahren
zu privaten Zwecken
3.3.1 Zwei neue Urteile
3.3.2 Zwei Einzelfälle, zwei Fehlentscheidungen
3.3.3 Datenschutz nicht als Selbstzweck
3.4 Novellierung des Strafvollzugsgesetzes
3.4.1 Vorlage des Referentenentwurfs
3.4.2 Überwachung des Schriftverkehrs
3.4.3 Bilder der Gefangenen
3.4.4 Gefangenenpersonalakten
4. Finanzen
Hundesteuerkontrolle durch Dritte
5. Gesundheit
5.1 Prüfung im Universitätsklinikum
Marburg
5.1.1 Prüfungsergebnisse
5.1.2 Einzelfeststellungen
5.1.2.1 Räumliche Sicherungsmaßnahmen (Zugangskontrolle)
5.1.2.2 Identifikation und Authentisierung,
Benutzerverwaltung
bei der Verarbeitung personenbezogener Daten
5.1.2.3 Zugriffskontrolle
5.1.2.4 Protokollierung
5.1.2.5 Organisatorische Maßnahmen
5.1.2.6 Netzkonzept und Administration
5.1.2.7 Heimarbeit
5.1.2.8 Fernwartung
5.1.2.9 Klinikumsübergreifende Kommunikation
5.2 Vergabe von Schreibarbeiten an private
Stellen
durch Krankenhäuse
r
5.3 Rechtliche Rahmenbedingungen für
maschinenlesbare
Patientenkarten
6. Soziales
6.1 Sozialdatenschutz kontra unberechtigter
Bezug von
Sozialhilfeleistungen
6.2 Übermittlung von Sozialdaten
an den
Petitionsausschuß
6.3 Datenschutz im Adoptionswesen
6.4 Stellung eines ehrenamtlichen
Behindertenbeauftragten
6.5 Vergabe von Kindergartenplätzen
6.6 Entwicklungsprofile von Hortkindern
7. Schulen
7.1 Archivierung schulischer Unterlagen
7.2 Schülerbetreuung bei Grundschulen
7.3 Das schulische Bibliotheksprogramm
Littera 2
8. Hochschulen
8.1 Klausurnoten am Schwarzen Brett
8.2 Matrikelnummer im Internet
8.3 Telefonverzeichnisse von Dienststelle
im Internet
9. Kommunen
9.1 Chipkarten im öffentlichen Nahverkehr
9.2 Kommunalrechtliche Einzelfälle
9.2.1 Grundstückseigentümer gehören nicht in das
Amtsblatt
9.2.2 Spender-Anonymität muß gewahrt bleiben
9.2.3 Stellenbewerbungen und Rückfragen bei bisherigen
Arbeitgeberinnen und Arbeitgebern
9.2.4 Weitergabe der Unterschriftsliste für ein
Bürgerbegehren
9.2.5 Datenerhebung für ein Bauvorhaben im Außenbereich
9.2.6 Grundstücksgeschäfte der Gemeinden und
Öffentlichkeit von Sitzungen
9.2.7 Zum Umfang der Kontrollrechte der Stadtverordneten
gegenüber der Verwaltung
10. Melderecht
10.1 Adreßdaten auf CD-ROM
10.2 Keine gesonderte Melderegister-Auskunft
über
EU-Bürger zu Wahlkampfzwecken
10.3 Eine Einwohnermeldedatei - Zugriff
für mehrere
Ämter
10.4 Geburtstagsgrüße vor
einer Bürgermeisterwahl
10.5 Auskunftssperren als Schutz vor
Bedrohungen durch
Ehegatten
11. Personenstandswesen
11.1 Ahnenforschung und Personenstandsbücher
11.2 Novelle zum Personenstandsgesetz
12. Umwelt
ALTIS / Erfahrungen mit der frühzeitigen
Beteiligung
des Hessischen Datenschutzbeauftragten
12.1 Zweck des Altlasteninformationssystems (ALTIS)
12.2 DV-technische Umsetzung
13. Ausländer
13.1 Smart-Card im Asylverfahren
13.2 Überprüfung sogenannter
Scheinehen
13.2.1 Verfahren bei den Standesämtern
13.2.2 Verfahren bei den Ausländerbehörden
13.2.2.1 Ausländeramt der Stadt Frankfurt
13.2.2.2 Andere Ausländerämter
14. Polizei- und Strafverfolgungsbehörden
14.1 Einsatz technischer Mittel bei der
Datenerhebung
durch die Polizei
14.1.1 Der rechtliche Rahmen für den Einsatz technischer
Mittel
14.1.2 Organisation im Landeskriminalamt
14.1.3 Fallzahlen und Beispiele
14.1.4 Ergebnisse
14.2 Staatliche Eingriffsbefugnisse in
der modernen
Informationsgesellschaft
14.3 Einsicht in Personalakten durch
die Polizei vor einer Zeugenvernehmung
14.4 Anonyme Hinweise auf Strafverfahren
an einen Journalisten
14.5 Ermittlungen im Jugendzentrum zur
Bekämpfung der Straßenkriminalität
14.6 Änderung der Prüffristenverordnung
15. Straßenverkehr
15.1 "Alles fließt" (panta
rhei) im Straßenverkehr - Gesetz zur Änderung des Straßenverkehrsgesetzes
und anderer Gesetze
15.2 Fortsetzung: Inhalt einer für
die medizinisch-psychologische Untersuchung verwendeten
Führerscheinakte
16. Kreditwesen
16.1 Korruptionsbekämpfung: Weitergabe
von Bußgeldbescheiden der Landeskartellbehörde
16.2 Angaben auf Kontoauszügen
17. Telekommunikation
Telekommunikationsgesetz
18. Statistik
Beratung des Statistischen Landesamtes
18.1 Vergabe von Erfassungsarbeiten durch das
Statistische Landesamt
18.2 Gemeinsame Prüfungen
18.3 Prüfungskriterien
18.4 Ergebnisse
19. Tierschutz
Probleme der Auskunftserteilung und Akteneinsicht
in Tierschutzsachen
19.1 Aktuelle Fälle
19.1.1 Mitteilungen im Rahmen von Ermittlungen bei Anzeige
von Verletzungen des Tierschutzes
19.1.2 Akteneinsichts- oder Auskunftsersuchen eines
Tierhalters mit dem Ziel, den Namen des
Anzeigenerstatters zu erfahren
19.2 Regelungen zu den Auskunfts- und
Akteneinsichtsrechten
19.2.1 Datenverarbeitungen bei der Sachverhaltsermittlung
19.2.3 Akteneinsichtsrecht im Bußgeldverfahren
19.2.4 Akteneinsichts- und Auskunftsrechte nach Abschluß
des Verwaltungsverfahrens
20. Entwicklungen im Bereich der Technik
20.1 Kryptokontroverse
20.1.1 Zur aktuellen Situation
20.1.2 Denkbare Handlungsalternativen
20.1.2.1 Konsequenzen
20.1.3 Durchsetzbarkeit einer Kryptoregulierung
20.1.3.1 Kontrollinfrastruktur, Wirtschaftlichkeit
20.1.3.2 Möglichkeiten, eine Überwachung zu unterlaufen
20.1.4 Weitere Probleme und Fragestellungen
20.1.4.1 Verschlüsselte Speicherung
20.1.4.2 Europaweite und internationale Kommunikation
20.1.4.3 Trennung zwischen digitaler Signatur und
vertraulicher Kommunikation
20.1.4.4 Technische Rahmenbedingungen
20.1.4.5 Normenklarheit und Beweislast
20.1.5 Ergebnis
20.2 Datensicherheit bei Client-Server-Systemen
20.2.1 Organisatorische Maßnahmen
20.2.1.1 Unternehmenspolitik bestimmen
20.2.1.2 Konzepte erstellen
20.2.1.3 Berechtigungen vergeben und dokumentieren
20.2.1.4 Dokumentationen
20.2.1.5 Richtlinien, Standards und Zuständigkeiten
festlegen, Dienstanweisungen erstellen
20.2.1.6 Protokollierung
20.2.2 Personalmaßnahmen
20.2.2.1 Ausreichende Anzahl Mitarbeiter
20.2.2.2 Qualifiziertes Personal
20.2.2.3 Schulung aller Mitarbeiter in Fragen des
Datenschutzes und der Datensicherheit
20.2.3 Zutrittsschutz
20.2.4 Netz
20.2.4.1 Festlegung zulässiger, erforderlicher
Kommunikations- beziehungen
20.2.4.2 Bildung von Subnetzen
20.2.4.3 Kontrollierte Netzübergänge
20.2.4.4 Netzadministration
20.2.4.5 Topologie
20.2.4.6 Technik
20.2.5 Clients
20.2.5.1 Identifikation und Authentisierung
20.2.5.2 Bildschirmschoner mit Paßwortabfrage
20.2.5.3 Kein Diskettenlaufwerk
20.2.5.4 Booten von der Festplatte oder dem Server
20.2.5.5 Kein Zugriff auf die Systemebene
20.2.5.6 Zugriffseinschränkungen auf lokale Daten
20.2.5.7 Datenschlüsselung
20.2.5.8 Physisches Löschen
20.2.5.9 Zentrale Systemverwaltung der Clients
20.2.6 Server
20.2.6.1 Identifikation und Authentisierung beim Server
(oder einem Authentication-Server)
20.2.6.2 Zugriffskontrolle durch den Server
20.2.6.3 Systemverwaltung
20.2.6.4 Verschlüsselung sensibler Daten
20.2.6.5 Systemverwaltung nur von speziellen Arbeitsplätzen
aus
20.2.6.6 Konsole in zutrittskontrollierten Räumen
20.3 Dienstanweisung für den Datenschutz
21. Bilanzbeiträge
21.1 Immer noch keine automatische Löschung
in REFAS
(22. Tätigkeitsbericht, Ziff. 7.1.3.3)
21.2 Entwurf eines Gesetzes über
die Voraussetzungen und
das Verfahren von Sicherheitsüberprüfungen des
Landes Hessen
(23. Tätigkeitsbericht, Ziff. 30.2)
21.3 Unzulässiges Formular für
die Rentenantragstellung
von HIV-infizierten Patientinnen und Patienten
(24. Tätigkeitsbericht, Ziff. 4.5)
21.4 Automatisierte Erfassung von Fernsprechdaten
(24. Tätigkeitsbericht, Ziff. 5.4)
21.5 Prüfung von Waffenbehörden
/Zuverlässigkeitsüberprüfungen
(24. Tätigkeitsbericht, Ziff. 8.3.1)
21.6 Ökologischer Landbau: Probleme
bei der Umsetzung
der EWG-Verordnung
(24. Tätigkeitsbericht Ziff. 10)
21.7 HEPOLAS
(24. Tätigkeitsbericht, Ziff. 12.2)
21.8 Internet
(24. Tätigkeitsbericht, Ziff. 17.2)
22. Orientierungshilfe der Datenschutzbeauftragten
des Bundes und der Länder
Datenschutzfragen des Anschlusses von Netzen der
Öffentlichen Verwaltung an das Internet
23. Thesenpapier der Datenschutzbeauftragten
des Bundes und der Länder
Staatliche Eingriffsbefugnisse in der modernen
Informationsgesellschaft
24. Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
24.1 Modernisierung und europäische Harmonisierung des Datenschutzrechts
24.2 Öffentliche Fahndung im Strafverfahren
24.3 Transplantationsgesetz
24.4 Eckpunkte für die datenschutzrechtliche Regelung von Mediendiensten
24.5 Sichere Übertragung elektronisch gespeicherter personenbezogener Daten
24.6 Datenschutz bei der Vermittlung und Abrechnung digitaler Fernsehsendungen
24.7 Eingriffsbefugnisse zur Strafverfolgung im Informations und Telekommunikationsbereich
24.8 Automatisierte Übermittlung von Abrechnungsdaten durch Kassenzahnärztliche Vereinigungen an gesetzliche Krankenkassen
25. Presseerklärung der Konferenz
der
Datenschutzbeauftragten des Bundes und der Länder
zu Datenschutz und Telefax
26. Rede von Prof. Dr. Winfried Hassemer anläßlich des Ausscheidens aus dem Amt des Hessischen Datenschutzbeauftragten am 30. Mai 1996
27. Rede von Prof. Dr. Rainer Hamm anläßlich der Wahl zum Hessischen Datenschutzbeauftragten am 30. Mai 1996
zum 25. Tätigkeitsbericht
Kernpunkte des 25. Tätigkeitsberichts
1. Die Gemeinsame Kontrollinstanz der Schengen-Vertragsstaaten hat u.a. ein Verfahren zur Verbesserung des Auskunftsrechts der Bürgerinnen und Bürger vorgeschlagen sowie Probleme aufgegriffen, die bei der mißbräuchlichen Verwendung von Alias-Personalien entstehen (Ziff. 2.1).
2. Wirksame Maßnahmen der Sozialämter zur Verhinderung des Leistungsmißbrauchs können mit dem Sozialdatenschutz in Einklang gebracht werden (Ziff. 6.1).
3. Die Veröffentlichung von kompletten dienstlichen Telefonverzeichnissen im Internet ohne Einwilligung der Betroffenen ist nicht zulässig. Sind jedoch Bedienstete betroffen, die als Amtswalter aufgrund ihrer dienstlichen Tätigkeit mit Name und Telefonnummer Außenstehenden bekannt sein sollen, so ist die Bekanntgabe ihrer Daten im Internet datenschutzrechtlich nicht zu beanstanden (Ziff. 8.3).
4. Werden im öffentlichen Nahverkehr herkömmliche Fahrkarten durch elektronisch lesbare Chipkarten ersetzt, muß es den Kundinnen und Kunden weiterhin möglich sein, den öffentlichen Nahverkehr zu benutzen, ohne eine "Datenspur" zu hinterlassen (Ziff. 9.1).
5. Die Weitergabe der Namen und Adressen derjenigen Bürgerinnen und Bürger, die ein Bürgerbegehren unterstützen, an die Stadtverordnetenversammlung ist nicht zulässig. Zur rechtlichen Prüfung bzw. zur politischen Entscheidung über das Bürgerbegehren sind diese Daten nicht erforderlich (Ziff. 9.2.4).
6. Eine Offenbarung personenbezogener Daten an Gemeindevertreter im Rahmen eines Akteneinsichtsausschusses ist nur zulässig, soweit der Untersuchungsauftrag des Ausschusses klar definiert ist und anhand des Untersuchungsauftrags konkret dargelegt wird, welche Daten bzw. Unterlagen aus welchem Grund benötigt werden (Ziff. 9.2.7).
7. Das Hessische Meldegesetz läßt unter bestimmten Voraussetzungen die Übermittlung von Adreßdaten an Verlage zur Herstellung einer CD-ROM zu. Angesichts der mit der neuen Technologie einhergehenden neuen Möglichkeiten, auf einer CD-ROM die bundesweiten Melderegisterdaten zu speichern, umfassend auszuwerten und mit anderen Datenbeständen abzugleichen oder zu verknüpfen, sollten die Bürgerinnen und Bürger umfassender über ihr Widerspruchsrecht unterrichtet werden (Ziff. 10.1).
8. Eine gesonderte Melderegisterauskunft über Bürger aus anderen EU-Nationen ist nicht zulässig. Mit den Daten von wahlberechtigten nicht deutschen EU-Bürgern darf nicht anders umgegangen werden als mit denen der deutschen Wahlberechtigten (Ziff. 10.2).
9. Die Prüfung des Einsatzes besonderer Erhebungsmethoden durch die Polizei ergab keinen Anlaß für Beanstandungen. Es fehlt jedoch an aussagekräftigen Unterlagen, die eine Erfolgskontrolle derartiger Maßnahmen ermöglichen (Ziff. 14.1).
10. Die Datenschutzbeauftragten des Bundes und der Länder haben Thesen zum Umfang der Eingriffsbefugnisse der Strafverfolgungsbehörden in der modernen Informationsgesellschaft erarbeitet: Die Entwicklung der Telekommunikation, der Informationstechnologie sowie der neuen Medien führt zu einem veränderten Kommunikationsverhalten der Bürgerinnen und Bürger. Ihre verfassungsrechtlich garantierten Freiräume müssen auch bei Nutzung der neuen Techniken erhalten bleiben (Ziff. 14.2 und Ziff. 23).
11. Das 1996 vom Bundestag verabschiedete Telekommunikationsgesetz bringt eine Reihe datenschutzrechtlicher Verbesserungen, insbesondere auch eine präzise Festlegung der Rechte der Bürgerinnen und Bürger, über die Verwendung ihrer Daten im öffentlichen Telefonbuch - gedruckt, elektronisch auf CD-ROM oder T-Online - sowie im Rahmen der "Komfortauskunft" zu entscheiden (Ziff. 17).
12. Eine staatliche Reglementierung des Einsatzes kryptographischer Verfahren bei der Übertragung und Speicherung von Daten ist zur Bekämpfung insbesondere der organisierten Kriminalität ungeeignet. Sie schränkt das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung, insbesondere auf sichere, vertrauliche und unbeobachtete Kommunikation, erheblich ein und gefährdet den notwendigen Schutz personenbezogener Daten. Daher sollte sie unterbleiben (Ziff. 20.1).