des
Hessischen Datenschutzbeauftragten
Professor Dr. Rainer Hamm
vorgelegt zum 31. Dezember 1997
gemäß § 30 des Hessischen Datenschutzgesetzes
vom 11. November 1986
Inhaltsverzeichnis
1. Vorbemerkungen
2. Europa
Schengener Durchführungsübereinkommen
2.1 Kontrollbesuch beim CSIS in Straßburg
2.2 Aufbewahrung von Fahndungsunterlagen nach Erledigung der Ausschreibung
2.3 Praxis der Protokollierung
3. Anpassung des Hessischen Datenschutzgesetzes an die EG-Richtlinie zum Datenschutz
4. Beauftragte für den Datenschutz in Hessischen Dienststellen
4.1 Ergebnisse einer Umfrage bei Beauftragten für den Datenschutz in Hessischen Dienststellen.
4.1.1 Gründe für die Umfrage
4.1.2 Vorschriften im Hessischen Datenschutzgesetz zum Beauftragten für den Datenschutz
4.1.3 Inhalt der Umfrage
4.1.4 Ergebnisse
4.1.4.1 Bestellung der Beauftragten für den Datenschutz
4.1.4.2 Aufgaben und organisatorische Anbindung der Beauftragten für den Datenschutz
4.1.4.3 Freistellung von anderen Aufgaben und Arbeitszeitanteil .
4.1.4.4 Interessenkollisionen
4.1.4.5 Schulung der Beauftragten für den Datenschutz
4.1.4.6 Information der Beauftragten für den Datenschutz in ihrer Dienststelle
4.1.4.7 Anregungen und Kontakte zu meinem Haus
4.1.5 Fazit
4.2 Auskunftspflichten gegenüber dem Hessischen Datenschutzbeauftragten
5. Multimedia
Teledienstedatenschutzgesetz und Mediendienste-Staatsvertrag
5.1 Warum zwei Gesetze?
5.2 Grundsatz der Datenvermeidung
5.3 Nutzungsprofile
5.4 Einwilligung
5.5 Informationspflichten und Auskunftsrechte
5.6 Datenschutz-Audit
5.7 Datenübermittlung an Sicherheitsbehörden
6. Justiz
6.1 Datenbanken mit genetischen Merkmalen im Strafverfahren
6.2 Videoaufzeichnungen im Strafverfahren
6.2.1 Einsatzmöglichkeiten von Videoaufzeichnungen
6.2.2 Initiativen des Gesetzgebers
6.2.3 Datenschutzrechtliche Anforderungen an Videoaufzeichnungen
6.2.4 Verabschiedung eines Zeugenschutzgesetzes
6.3 Datenschutzrechtliche Fragen zum Täter-Opfer-Ausgleich
6.4 Grenzen meiner Kontrollzuständigkeit im Bereich der Gerichte
7. Gesundheit
7.1 Verarbeitung personenbezogener Daten im Krankenhaus
7.1.1 Rechtliche Vorgaben
7.1.2 Zugriffsbeschränkungen innerhalb des Krankenhauses
7.1.3 Datensicherheitsmaßnahmen
7.1.4 Auslagerung von Funktionsbereichen
7.1.5 Fernwartung
7.1.6 Kommunikation mittels Telefax
7.1.7 Kommunikation über Netze
7.2 Pilotprojekt Diabcard in Kassel
7.3 Überprüfung von Fehlbelegungen in Krankenhäusern durch den Medizinischen Dienst der Krankenversicherung
7.3.1 Verhältnis der Regelung des § 17a KHG zu den Regelungen des Sozialgesetzbuch V
7.3.2 "Gezielte" Einschaltung des Medizinischen Dienstes
7.3.3 Beachtung des Verhältnismäßigkeitsgrundsatzes
7.3.4 Rahmenvereinbarung der Hessischen Krankenhausgesellschaft und der Verbände der Krankenkassen in Hessen
7.4 Kassenübergreifende Konzentration der DV-Produktion
8. Banken
Aufzeichnung von Telefongesprächen im Bankenbereich
8.1 Prüfung der Aufzeichnungspraxis
8.2 Anlaß für die Gesprächsaufzeichnungen
8.3 Bundesdatenschutzgesetz und Hessisches Datenschutzgesetz
8.3.1 Keine Anwendbarkeit des Bundesdatenschutzgesetzes
8.3.2 Zulässigkeit nach dem Hessischen Datenschutzgesetz
8.4 Strafrechtlicher Schutz der Vertraulichkeit des Wortes
8.5 Privatgespräche
8.6 Gespräche mit Kunden
8.7 Alternativen
8.8 Aufbewahrungsfrist
8.9 Zusammenfassung
8.10 Datensicherheitsmängel
9. Entwicklungen im Bereich Technik
9.1 Hessen Corporate Network 2000
9.1.1 Ausgangslage
9.1.2 Der zeitliche Ablauf
9.1.3 Sicherheitskonzept
9.2 Prüfung der PC-Nutzung bei der Polizei
9.2.1 Ergebnisse
9.2.2 Fazit
9.3 Einsatz von Notebooks bei Außenprüfungen
9.4 Datenschutzfreundliche Technologien
9.4.1 Themen des Arbeitspapiers
9.4.2 Zusammenfassung und Handlungsempfehlung des Arbeitspapiers
9.5 Datenschutzfreundliche Technologien in der Telekommunikation
9.5.1 Themen des Arbeitspapiers
9.5.2 Beispiel T-Zähler
10. Kommunen
10.1 Auslagerung kommunaler Aufgaben
10.2 Einrichtung von Bürgerbüros
10.3 Bewerbung um eine Position in der Betriebskommission eines kommunalen Eigenbetriebs
10.4 Prüfung/Beratung hessischer Kommunen
10.5 Überwachung im Hallenbad
10.6 Mängel bei kommunalen Archiven
11. Personalwesen
11.1 Anrufung des Hessischen Datenschutzbeauftragten durch Bedienstete
11.2 Kein automatisiertes Abrufverfahren für den Landesrechnungshof
11.3 Die Bekanntgabe "unsolidarischer" Beamter
12. Soziales
12.1 Online-Zugriff auf Daten von Kraftfahrzeughaltern
12.2 Prüfung einer landwirtschaftlichen Berufsgenossenschaft
12.3 Gewährung von Sachleistungen
13. Ausländer
13.1 Verwaltungsvorschriften zum Ausländergesetz
13.2 Beschaffung von Rückreisedokumenten bei Asylbewerbern
13.3 Ausschreibung von Ausländern im Schengener Informationssystem
14. Verfassungsschutz
14.1 Prüfung der Aufbewahrungsdauer von personenbezogenen Daten beim Hessischen Landesamt für Verfassungsschutz
14.1.1 Die Rechtslage
14.1.2 Die Prüfung
14.1.2.1 Falsches EK-Datum
14.1.2.2 Zu lange Wiedervorlagefristen
14.1.2.3 Keine zeitnahe Prüfung der weiteren Speicherung oder Löschung
14.1.3 Konsequenzen
14.2 Untergesetzliche Vorschriften des Landesamtes für Verfassungsschutz
14.3 LARGO
15. Schulen
15.1 Änderungen im Schulgesetz
15.2 Befragungen in der Schule
15.2.1 Kontrolle durch Evaluation
15.2.2 Wissenschaftliche Begleitung eines Modellversuchs
15.3 Verwendung der Daten von Schülerinnen und Schülern zur Werbung
15.4 Gesundheitsdaten von Schülerinnen und Schülern
16. Hochschulen
16.1 Internet-Nutzung durch Studentinnen und Studenten
16.2 Leistungsscheine in der Bibliothek
16.3 Prüfung der Fachhochschule Fulda
16.3.1 Datenverarbeitung in der Bibliothek
16.3.2 Listen im Fachbereich
16.3.3 Listen beim Prüfungsausschuß
16.3.4 Ausgestaltung der Formulare
16.3.5 Kopien der Prüfungsunterlagen
16.3.6 Aufbewahrungsfrist für Akten
16.3.7 Aussonderung der Altakten
16.3.8 Zugang zum Internet
16.4 Der Inhalt des Studentenausweises
17. Hessische Aufbewahrungsbestimmungen
Überarbeitung der Allgemeinen Hessischen Aufbewahrungsbestimmungen
18. Melderecht
Entwicklung der Änderung des Hessischen Meldegesetzes
18.1 Adreßdaten auf CD-ROM
18.2 Löschen der Daten nach einer Wahl
18.3 Datenübermittlung zum Zwecke wissenschaftlicher Forschung
19. Straßenverkehr
19.1 Zweckwidrige Datenverwendung zugunsten der Verkehrssicherheit
19.2 Änderung der Daten von Kraftfahrzeughaltern durch die Meldeämter
20. Rundfunk
Prüfung der Rundfunkgebührenabteilung des Hessischen Rundfunks
20.1 Gegenstand der Prüfung
20.2 Vorgangsverwaltung
20.3 Personalakten der Rundfunkgebührenbeauftragten
20.4 Klageverfahren
20.5 Postsammelstelle, Sammeldrucker, Faxgerät
20.6 Gebäudesicherung
20.7 Externe Aktenaufbewahrung
20.8 Reaktion des Hessischen Rundfunks
21. Wahlrecht
Änderung des Landtagswahlgesetzes und des Kommunalwahlgesetzes
22. Gewerberecht
22.1 Unbeschränkte Auskünfte aus dem Bundeszentralregister im Verfahren der öffentlichen Bestellung von Sachverständigen
22.2 Datenübermittlung durch die Gewerbeanzeigenbehörde bei vermuteter Scheinselbständigkeit
22.3 Abgrenzung zwischen berechtigtem und rechtlichem Interesse bei der Gewerberegisterauskunft
23. Vermessungswesen
Konkurrenz zwischen Katasterämtern und Öffentlich bestellten Vermessungsingenieuren
24. Bilanz
24.1 MPU-Erlaß
(23. Tätigkeitsbericht, Ziff. 20; 25. Tätigkeitsbericht, Ziff. 15.2)
24.2 Prüfung im Universitätsklinikum Marburg
(25. Tätigkeitsbericht, Ziff.5.1)
24.3 Überprüfung sog. Scheinehen
(25. Tätigkeitsbericht, Ziff.13.2.2)
24.4 Smart-Card im Asylverfahren
(25. Tätigkeitsbericht Ziff.13.1)
24.5 Entwurf eines Gesetzes über die Voraussetzung und das Verfahren von Sicherheitsüberprüfungen des Landes Hessen
(25. Tätigkeitsbericht, Ziff.21.2)
25. Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
25.1 Beratungen zum StVÄG 1996
25.2 Genetische Informationen in Datenbanken der Polizei für erkennungsdienstliche Zwecke
25.3 Geplante Verpflichtung von Teledienstanbietern, Kundendaten an Sicherheitsbehörden zu übermitteln
25.4 Achtung der Menschenrechte in der Europäischen Union 1994
25.5 Sicherstellung des Schutzes medizinischer Datenbestände außerhalb von ärztlichen Behandlungseinrichtungen
25.6 Vorschläge der Arbeitsgruppe der ASMK "verbesserter Daten austausch bei Sozialleistungen"
25.7 Novellierung des Bundesdatenschutzgesetzes und Modernisierung des Datenschutzrechts
25.8 Informationelle Selbstbestimmung und Bild-Ton-Aufzeichnungen bei Vernehmungen im Straftverfahren
25.9 Erforderlichkeit datenschutzrechtlicher Technologien
26. Arbeitsgruppe Chipkarten des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Anforderung zur informationstechnischen Sicherheit bei Chipkarten
Organisationsplan des Hessischen Datenschutzbeauftragten
1. Um den zur Umsetzung der EG-Richtlinie gesetzten Termin (24. Oktober 1998) einzuhalten, muß die Novellierung des Hessischen Datenschutzgesetzes unabhängig von der Bundesgesetzgebung vorangetrieben werden. Die Vorbereitungen hierfür haben bereits begonnen ( Ziff.3).
2. Eine Umfrage bei 300 Dienststellen in Hessen ergab erhebliche Mängel bei der Umsetzung der Vorschriften des Hessischen Datenschutzgesetzes zur Bestellung eines Beauftragten für den Datenschutz. Um einen effektiven Einsatz der Beauftragten für den Datenschutz zu gewährleisten, sollten die Vorschriften des Hessischen Datenschutzgesetzes konkretisiert werden. Außerdem müssen die Dienststellen ihre Aufgabe, die Durchführung des Datenschutzes sicherzustellen, künftig auch durch gezielte Stärkung ihrer Beauftragten wahrnehmen ( Ziff.4.1).
3. Bund und Länder haben 1997 für die neuen elektronischen Informations- und Kommunikationsdienste (Multimedia-Dienste) einen neuen Rechtsrahmen geschaffen. Dabei wurden auch die besonderen Gefährdungen, die mit diesen Diensten für das Recht auf informationelle Selbstbestimmung der Nutzer verbunden sind, berücksichtigt ( Ziff.5).
4. Werden Video-Aufzeichnungen im Strafverfahren eingesetzt, so muß sichergestellt werden, daß die Rechte der Betroffenen gewahrt bleiben. Das 1997 vom Bundestag beschlossene Zeugenschutzgesetz regelt den Umgang mit Video-Aufzeichnungen nur unzureichend ( Ziff.6.2.1).
5. Anfang 1997 wurde von der Hessischen Landesregierung das Realisierungskonzept für das HCN (Hessen Corporate Network) 2000 beschlossen und die Hessische Zentrale für Datenverarbeitung mit der Erstellung und dem Betrieb des neuen landesweiten Kommunikationsnetzes beauftragt. Datensicherheit und Datenschutz werden auf der Grundlage einer Risikoanalyse und eines Sicherheitskonzepts, das bereits zum Teil umgesetzt wurde, ein hoher Stellenwert zugemessen ( Ziff.9.1).
6. Die Übertragung kommunaler Aufgaben ("Outsourcing") an eine GmbH darf nicht in der Weise erfolgen, daß der Bürgerin und dem Bürger nicht mehr erkennbar ist, wer für die Verarbeitung seiner personenbezogenen Daten veranwortlich ist ( Ziff.10.1).
7. Bei der Einrichtung von Bürgerbüros ist sicherzustellen, daß das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung nicht leerläuft. Insbesondere müssen die Betroffenen über die unterschiedlichen Verfahrensweisen und die besonderen datenschutzrechtlichen Risiken aufgeklärt und die Möglichkeit vertraulicher Gespräche muß gewährleistet werden ( Ziff.10.2).
8. Wer in eine öffentliche Einrichtung wie z.B. ein Hallenbad geht, muß nicht dulden, daß private Gespräche mitgehört werden können. Videoaufnahmen müssen strikt auf den im Einzelfall aus Sicherheitsgründen erforderlichen Umfang beschränkt werden ( Ziff.10.5).
9. Ein Bericht an den Kreisausschuß zur Frage, welche Bediensteten der Kreisverwaltung nicht freiwillig auf den ihnen zustehenden Erholungsurlaub verzichten, ist unzulässig ( Ziff.11.3).
10. Eine Kontrolle beim Hessischen Landesamt für Verfassungsschutz hat ergeben, daß die Vorschriften über die Fristen zur Aufbewahrung personenbezogener Daten nur mangelhaft beachtet wurden ( Ziff.14.1).
=>,