Kommunen haben ihre Datenverarbeitung sehr unterschiedlich strukturiert. Zwischen den Positionen eines autonomen DV-Betriebs und einer kompletten Auslagerung auf einen externen Dienstleister findet man alle Ausprägungen. Ich habe im Berichtszeitraum sowohl Kommunen geprüft, die ihre Datenverarbeitung weitgehend selbständig organisieren als auch solche, die sich der Hilfe externer Dienstleister bedienen, um festzustellen, ob es typische Problemstellungen gibt.
6.1.1
Ausgangslage
Nicht zuletzt aufgrund ihrer Größe haben Kommunen ihre EDV unterschiedlich organisiert. Während es für große Kommunen möglich ist, die EDV mit eigenem Personal zu betreiben, können gerade kleinere Gemeinden diese Aufgabe nicht oder nur zum Teil selbst bewältigen. Durch eine Eingabe wurde ich mit einem Fall konfrontiert, in dem es zwischen dem Bürgermeister und dem IT-Bereich der Verwaltung zu Streit kam. Es wurden Externe eingeschaltet, und nach kurzer Zeit eskalierte das Geschehen derartig, dass ein ordnungsgemäßer IT-Betrieb nicht mehr möglich war. Als ich eingeschaltet wurde, war die Lage so verworren, dass ich nur noch eine Schadensbegrenzung erreichen konnte. Beim Versuch, das Zusammenspiel zwischen Mitarbeitern der Verwaltung, externem Personal und politischen Gremien zu entwirren, zeigte sich, dass Verträge, Konzepte, die Dokumentation und Dienstanweisungen nicht oder nur rudimentär vorhanden waren. Bei der IT-Sicherheit gab es ebenfalls Defizite.
In der Zwischenzeit hat sich die Kommune von dem alten externen Dienstleister getrennt. Die Datenverarbeitung soll nun auch wieder mit Hilfe externen Sachverstands neu strukturiert werden. Ich habe gefordert, dass mir die Konzepte und Unterlagen, aus denen sich die zukünftige IT-Architektur und die Verantwortlichkeiten zwischen Auftraggeber (Kommune) und Auftragnehmer ergeben, zur Prüfung vorgelegt werden.
Für mich stellte sich die Frage, ob es sich um einen Einzelfall handelt oder ob vergleichbare Vorkommnisse auch in anderen Kommunen vorkommen könnten. Ich habe mich daher entschlossen, den IT-Einsatz von Kommunen mit dem Schwerpunkt auf vertragliche Regelungen mit externen Dienstleistern und organisatorische Regelungen zu prüfen. Weiterhin sollte festgestellt werden, ob es bei der Technik und den Sicherheitskonzepten Defizite gibt.
6.1.2
Prüfungen
Im Folgenden werde ich wesentliche Ergebnisse der Prüfungen skizzieren und meine Schlussfolgerungen darlegen.
6.1.2.1
IT-Betrieb mit eigenem Personal
Technischer und personeller Rahmen
Die systemtechnische Betreuung nahmen vier Personen der IT-Abteilung vor. Es waren zwei Administratoren für die Infrastruktur (Netz, Betriebssystem) und zwei Mitarbeiter für die Betreuung der Hardware zuständig. Für die als Fachverfahren eingesetzte Software gab es jeweils eigene Administratoren und Betreuer. Lediglich der Internetauftritt und die Firewall wurden durch einen externen Dienstleister betreut.
Der Firewallrechner war im Serverraum der Kommune untergebracht. Er wurde ausschließlich von der externen Firma betreut. Erforderliche Anpassungen wurden von autorisierten Mitarbeitern der IT-Abteilung per E-Mail bzw. über ein Webinterface beim Dienstleister veranlasst, der dann die erfolgte Anpassung meldete. Mitarbeiter der Kommune, auch der IT-Abteilung, hatten weder schreibende noch lesende Zugriffsrechte auf dem System. Zur internen Kontrolle erfassten sie daher die in Auftrag gegebenen Änderungen in einer Tabelle. Da die Firewall ausschließlich für die Kommune betrieben wurde, habe ich gefordert, den mit dem Netzbetrieb betrauten und verantwortlichen Mitarbeitern der Kommune einen Lesezugriff auf das Regelwerk einzurichten, um die erforderliche Kontrolle und den Abgleich mit o. g. Tabelle zu ermöglichen. Bei Sicherheitsvorkommnissen sollte in der Kommune auch die IT-Abteilung informiert werden.
Ein Netzwerk auf Basis des Betriebssystems Windows besitzt ein Verzeichnis aller im Netz vorhandenen Ressourcen (wie Domänen, Organisationseinheiten, Benutzer oder Computer) mit deren Eigenschaften. In diesem sog. Active Directory (AD) werden auch die Sicherheitsoptionen festgelegt. Auf die Informationen können Netzwerkanwendungen oder andere Dienste zugreifen. Das AD ist das Nervenzentrum des Netzwerkes. Es wurde von Mitarbeitern der Kommune administriert. Die Abbildung der Organisationsstruktur der Verwaltung im AD erfolgt über Organisationseinheiten (OU).
Die Sicherheitseinstellungen im AD orientieren sich im Wesentlichen an den Windows-Standardeinstellungen. Diese lagen in einigen wenigen Punkten unter den Anforderungen des Grundschutzhandbuchs des BSI. Da die Vorgaben des Grundschutzhandbuchs bei personenbezogenen Daten das Mindestniveau beschreiben, habe ich eine Anpassung gefordert.
Beim Versuch, im Netz auf fremde Verzeichnisse zuzugreifen, konnte ich feststellen, dass in einigen wenigen Fällen unberechtigte Zugriffe möglich waren. Dies betraf vor allem Fachverfahren, bei denen es nicht möglich war, die Zugriffsmöglichkeiten über die Systemebene zu unterbinden. Um unzulässige Zugriffe zu erschweren, habe ich vorgeschlagen, über eine Gruppenrichtlinie das Netzwerk für den Benutzer an seinem Arbeitsplatz auszublenden. Mittels eines Skripts können dann die benötigten Laufwerke zugeordnet werden. Diese Option sollte insbesondere in Betracht gezogen werden, wenn Unbefugten die Zugriffsrechte wegen entgegenstehender Softwareanforderungen nicht entzogen werden können.
Die E-Mail-Nutzung war nur für dienstliche Zwecke zulässig. Der Posteingang wurde durch mehrere Virenscanner geprüft, verdächtige bzw. infizierte E-Mails wurden in Quarantäneverzeichnisse gestellt, die von den Administratoren geprüft wurden. Es erfolgte weiterhin eine Kennzeichnung von erkannten Spam-Mails. Diese wurden im Betreff gekennzeichnet und den Benutzern zugestellt.
Generell war der Gesichtspunkt der Revision und Nachvollziehbarkeit noch nicht ausreichend berücksichtigt. Es gab keine Vorgabe, was zu protokollieren ist, wer Auswertungen vorzunehmen hat und wem die Ergebnisse vorzulegen sind. Um die Revision der IT-Sicherheit möglich zu machen, habe ich angeregt, einen Sicherheitsprozess zu initiieren. Nachdem das zu erreichende Sicherheitsniveau definiert ist, können dann die Umsetzung und anschließend die permanente Kontrolle (i. S. v. Revision) festgelegt werden. Dazu müssen die Verantwortlichkeit und die Maßnahmen geregelt sein. Dies hat auch Konsequenzen für die Auftragskontrolle.
Vertragliche Regelungen
Der Dienstleister betrieb nicht nur den Internetauftritt, sondern administrierte auch die eingesetzte Firewall für den Internetzugang durch die Kommune. Im Rahmen der Administration der Firewall erhielt der Dienstleister auch Zugang zu personenbezogenen Mitarbeiterdaten. Das bedeutet, bei dem Dienstleistungsverhältnis handelte es sich um ein Vertragsverhältnis i. S. d. § 4 HDSG. Dies hatte zur Folge, dass die rechtlichen Rahmenbedingungen von § 4 HDSG einzuhalten waren und bedeutete insbesondere, dass sich aus den vertraglichen Regelungen ergeben muss, welche Rechte und Pflichten der Auftragnehmer im Einzelnen hat. Das war von besonderer Bedeutung für die Auswertung etwaiger Bedienstetendaten im Zusammenhang mit der Nutzung von E-Mail und Internet. Bei einem Vertrag zur Auftragsdatenverarbeitung ist es zudem erforderlich, dass sich der Auftragnehmer verpflichtet, die Vorschriften des HDSG einzuhalten und sich der Kontrolle durch den Hessischen Datenschutzbeauftragten unterwirft (§ 4 Abs. 3 HDSG). Der abgeschlossene Vertrag enthielt diesbezüglich keine Regelungen. Insoweit musste er ergänzt werden. Als Problem stellte sich heraus, dass der Auftraggeber zwar grundsätzlich die rechtliche Verantwortung für die Verarbeitung der Daten behält, aber nicht die Möglichkeit hatte nachzuvollziehen, was der Auftragnehmer im Zusammenhang mit den Protokolldaten der Firewall macht. Die Kommune hatte keinen Zugriff.
Organisatorische Regelungen zur Telearbeit sowie E-Mail- und Internetnutzung
Die Dienstanweisung zur Telearbeit musste an wenigen Stellen angepasst werden. Die Einbeziehung des behördlichen Datenschutzbeauftragten war nicht klar geregelt. Ferner gab es eine Nebenabrede über die alternierende Telearbeit in der es hieß: "Die Arbeitnehmerin gestattet zu diesem Zwecke den berechtigten Mitarbeitern des Arbeitgebers den Zutritt zum häuslichen Tele-Arbeitsbereich." Hierzu habe ich angemerkt, dass auch alle anderen erwachsenen Mitbewohner ihr Einverständnis zum Zutritt zur Wohnung erklären müssen, da sie nur persönlich dem Grundrechtseingriff zustimmen können.
In der Dienstanweisung zur E-Mail- und Internetnutzung war die private Nutzung von E-Mail und Internet untersagt. Es gab jedoch eine Diskussion, inwieweit eine E-Mail-Filterung vorgenommen werden darf. (Eine ausführliche Beschreibung der rechtlichen und technischen Problemstellung findet sich in Ziff. 8.2.) Der Diskussion lag zugrunde, dass die Zusendung privater E-Mails nicht komplett zu unterbinden ist. Gleichwohl fallen Informationen in diesen E-Mails selbstverständlich unter das Fernmeldegeheimnis. Der Außenstehende weiß u. U. von dem Verbot nichts. Um das Problem weitgehend in den Griff zu bekommen, habe ich angeregt, in der Dienstanweisung einen Hinweis aufzunehmen, dass die Mitarbeiter verpflichtet sind, den Absender einer privaten E-Mail unverzüglich auf das Verbot hinzuweisen. Weiterhin wurde angesprochen, ob E-Mails, die aufgrund eines Spamfilters als solche gekennzeichnet werden, vorab gelöscht werden können (dies sollte auch für erkennbar private E-Mails gelten). Eine solche Lösung halte ich sowohl rechtlich für unzulässig als auch faktisch für äußerst problematisch. Durch Spamfilter werden u. U. E-Mails als Spam-Mails gekennzeichnet, die ordnungsgemäßer Posteingang sind. Als bedenklich betrachte ich daher den Einsatz von ORDB (Open Relay Database): E-Mails von E-Mail-Domänen, die in die ORDB eingetragen waren, wurden direkt gelöscht. Bei der zunehmenden Bedeutung des elektronischen (Rechts-)Verkehrs ist dies insoweit bedenklich, da Provider, über deren Server viele Spam-Mails versandt werden (ohne dass sie selbst direkt beteiligt sind) sehr schnell in die ORDB-Listen eingetragen werden. Das Entfernen aus dieser Datenbank ist aufwändig (zuzüglich der Zeit, bis dies vom Betroffenen erkannt worden ist), sodass hierbei nicht auszuschließen ist, dass E-Mails von Bürgern, die zufällig diesen Provider benutzen, ungelesen gelöscht würden.
Da elektronische Nachrichten grundsätzlich rechtserheblich sind, würden u. U. solche rechtserheblichen Nachrichten praktisch automatisiert aus dem Posteingang gelöscht. Außerdem stellt das Löschen eine strafbewehrte Datenunterdrückung gemäß § 303a StGB dar, gleichgültig, ob nur dienstliche oder auch private E-Mail-Kommunikation über die IT-Systeme der Kommune zulässig ist. Eine rechtlich zulässige Lösung ist es, die Nachricht dem Empfänger nicht direkt zuzustellen, sondern in einen separaten Quarantänebereich zu verschieben, aus dem sie nach Ablauf einer per Dienstvereinbarung festgelegten Frist gelöscht wird. Hier hat der Empfänger die Möglichkeit, die eingehenden E-Mails zu überprüfen. Für den Bereich "ORDB-Listen" habe ich ebenfalls eine Quarantäne- bzw. Markierungslösung gefordert.
6.1.2.2
IT-Betrieb durch einen Dienstleister
Eine andere Kommune hat einen anderen Ansatz verwirklicht. Die IT der Stadtverwaltung wurde vollständig durch einen externen Dienstleister betreut. Sämtliche IT-Systeme, bis auf das Internetangebot, befanden sich in den Räumen der Kommune. Das Personal des Dienstleisters arbeitete in den Räumen und an Geräten der Kommune. Um auf die Anforderungen der Kommune schnell reagieren zu können, stellte die mit der Organisation der IT betraute Firma einen Mitarbeiter nur für die Kommune ab, der sämtliche DV-Komponenten betreute. Erforderliche Maßnahmen wurden mit dem Leiter des Hauptamts abgesprochen. Eine schriftliche Dokumentation der Anforderung von Maßnahmen gab es allerdings nicht.
Die Sicherheitseinstellungen im AD orientierten sich an den Windows-Standardeinstellungen. Gruppenrichtlinen wurden für sehr wenige Einstellungen (u. a. Internet Explorer) angewendet.
Die Arbeitsplätze wurden nach einer Standardvorgabe eingerichtet. Die Benutzer hatten im Wesentlichen Hauptbenutzer-Rechte, bei einigen Anwendungen waren lokale Administratorrechte erforderlich. Durch Ausblenden der Netzwerkumgebung war sichergestellt, dass die Benutzer nur die ihnen per Anmeldeskript zugeordneten Netzlaufwerke erreichen konnten.
Die Nutzung des Internetzugangs war nur für dienstliche Zwecke zulässig. Dies war in einer Dienstanweisung geregelt. Eine Protokollierung des Internetzugangs fand statt. Die Protokolle wurden täglich ausgewertet. Der Auftragnehmer informierte das Hauptamt bei besonderen Vorkommnissen. Ergänzend habe ich einen regelmäßigen, monatlichen Bericht angeregt. Die E-Mail-Nutzung war ebenfalls nur für dienstliche Zwecke zulässig. Jeder Mitarbeiter konnte E-Mails von seinem Arbeitsplatz aus versenden. Der E-Mail-Eingang erfolgte zentral über das Hauptamt. Die eingehenden E-Mails wurden nach Sichtung durch die Mitarbeiterinnen im Sekretariat des Hauptamts an die Mitarbeiter weitergeleitet.
Als Spam erkannte E-Mails wurden nach Markierung an ein zentrales Postfach umgeleitet, das vom IT-Dienstleister überwacht wurde.
Die Einzelaufträge an den Dienstleister wurden in der Regel telefonisch oder in Quartalsgesprächen mündlich erteilt. Dies galt beispielsweise auch für das Anlegen von Benutzerkennungen und die Zuordnung von Zugriffsrechten. Eine schriftliche Dokumentation der Aufträge, z. B. auch in Form eines Protokolls der Gespräche gab es nicht. Hier habe ich gefordert, die Aufträge schriftlich zu erteilen oder zu bestätigen, so dass sie mit der Konfiguration der Systeme und der Dokumentation abgeglichen werden können.
Organisatorische Regelungen
Die vorgelegten Unterlagen (Sicherheitsrichtlinien, Dienstanweisungen) waren vorbildlich in Vollständigkeit, Umfang und Verständlichkeit. Sie gaben während der Durchsicht nur an wenigen Stellen Grund zu Nachfragen oder Ergänzungen. Offensichtliche Abweichungen zwischen Richtlinien und der technischen Implementierung wurden nicht gefunden. Bei der Ausgestaltung der Verträge und der organisatorischen Abläufe waren noch Anpassungen nötig.
Vertragliche Regelungen
Die private Firma war mit der Erbringung sämtlicher IT-Dienstleistungen der Kommune beauftragt. Der Dienstleister administrierte das gesamte Netz der Kommune und hatte damit auch Zugang zu personenbezogenen Daten. Grundsätzlich kann eine Kommune zur Erfüllung ihrer Aufgaben auch die Hilfe eines externen Dienstleisters in Anspruch nehmen. Sie kann im Wege der Auftragsdatenverarbeitung insoweit externes Know-how nutzen. Die datenschutzrechtlichen Voraussetzungen unter denen dies geschehen kann, ergeben sich aus § 4 HDSG.
Erteilt die Kommune einer privaten Firma einen derartigen Datenverarbeitungsauftrag, so bleibt sie jedoch für die Einhaltung der Vorschriften des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich, soweit personenbezogene Daten verarbeitet werden. Der Auftragnehmer ist insoweit an die Weisungen seines Auftraggebers gebunden. Der Auftraggeber hat diese Weisungsbefugnis auch auszuüben. Hierzu ist in einem Vertrag genau festzulegen, welche Rechte und Pflichten jeweils Auftraggeber und Auftragnehmer im Einzelnen haben.
Dem Auftraggeber muss es auch möglich sein nachzuvollziehen, was der Auftragnehmer für ihn tut. Da im vorliegenden Fall das gesamte technische Know-how auf Seiten des Auftragnehmers lag, ist es besonders wichtig, dass die Festlegungen des Administrators dokumentiert werden. An eine derartige Dokumentation sind hohe Qualitätsanforderungen zu stellen; denn sollte – aus welchen Gründen auch immer – der private Dienstleister nicht mehr zur Verfügung stehen, muss die Verwaltung in der Lage sein, Ihren Betrieb fortzuführen. Die detaillierte Dokumentation dient dazu, dass die Kommune auch in einem solchen Fall (u. U. unter Zuhilfenahme eines sachverständigen Dritten) die getroffenen Festlegungen nachvollziehen kann. Auch dies ist vertraglich sicherzustellen.
An einer entsprechenden vertraglichen Regelung, aus der sich klar die Rechte und Pflichten von Auftraggeber und Auftragnehmer ergeben, fehlte es. Es gab lediglich eine Auftragserteilung für die DV-Dienstleistungen und die Verpflichtungserklärung, bekannt gewordene Daten nicht preiszugeben.
Ein zusätzliches Problem ergab sich daraus, dass der Auftragnehmer grundsätzlich die Möglichkeit hatte, auf Daten zuzugreifen, die dem Steuergeheimnis unterliegen (z. B. Hundesteuerdaten): Wenn man unterstellt, dass die Tätigkeit des privaten Auftragnehmers im weitesten Sinn der Veranlagung i. S. v. § 30 Abs. 4 Nr. 1 AO dienlich ist, muss er hinsichtlich der Wahrung des Steuergeheimnisses und unter Hinweis auf die strafrechtlichen Folgen einer Pflichtverletzung besonders verpflichtet werden.
Schließt eine öffentliche Stelle mit einer privaten Firma einen Vertrag zur Auftragsdatenverarbeitung ab, so gilt für die Firma im Regelfall das Bundesdatenschutzgesetz. Damit aber für die Daten verarbeitende Stelle Kommune und ihren Auftragnehmer gleiche Rechtsbedingungen herrschen, schreibt § 4 Abs. 3 HDSG für diesen Fall vor, dass sich der Vertragspartner, für den das Hessische Datenschutzgesetz nicht gilt, vertraglich verpflichten muss, diese Vorschriften einzuhalten. Zudem muss sich die private Firma, ebenfalls schriftlich, der Kontrolle durch den Hessischen Datenschutzbeauftragten unterwerfen. Auch an derartigen Regelungen fehlte es.
Die entsprechenden vertraglichen Regelungen werden zurzeit so überarbeitet, dass sie den o. g. Anforderungen genügen.
6.1.2.3
Schlussfolgerung
Um eine belastbare Aussage über die Verhältnisse in hessischen Kommunen treffen zu können, reichen die Prüfungen nicht aus, sie werden deshalb auch im kommenden Jahr fortgesetzt. Die gemachten Prüfungen ergaben als Bild:
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis
Der Gemeindevorstand prüft die Wahlberechtigung von Personen, die einen nicht etablierten Wahlvorschlag unterstützen. Den Tatbestand der Unterschriftsleistung darf die Gemeinde personenbezogen speichern.
Zum wiederholten Mal ist im vergangenen Berichtszeitraum die Frage an mich herangetragen worden, ob die Gemeinden bei der Überprüfung der Wahlberechtigung eines Bürgers, der einen neuen Wahlvorschlag unterstützt, diesen Umstand speichern dürfen. Ein Bürger hatte sich gegen eine derartige Speicherung gewandt und argumentiert, dass damit oppositionelle Bürger diskriminiert würden. Dies trifft jedoch nicht zu.
Grundsätzlich müssen Wahlvorschläge für nicht etablierte Gruppierungen oder Parteien von mindestens zweimal so vielen Wahlberechtigten persönlich und handschriftlich unterzeichnet sein, wie Vertreter zu wählen sind. Dies ist zwingende Voraussetzung für die Zulassung eines Wahlvorschlags zur Wahl.
|
§ 11 Abs. 4 Satz 1 KWG Wahlvorschläge von Parteien oder Wählergruppen, die während der vor dem Wahltag laufenden Wahlzeit nicht ununterbrochen mit mindestens einem Abgeordneten oder Vertreter in der zu wählenden Vertretungskörperschaft oder im Landtag oder aufgrund eines Wahlvorschlags aus dem Lande im Bundestag vertreten waren, müssen außerdem von mindestens zweimal so vielen Wahlberechtigten persönlich und handschriftlich unterzeichnet sein, wie Vertreter zu wählen sind. |
Die Unterzeichner eines derartigen Wahlvorschlags müssen im Zeitpunkt der Unterschriftsleistung wahlberechtigt sein. Die Wahlberechtigung ist nachzuweisen (§ 11 Abs. 4 Satz 2 KWG). Die Bescheinigung der Wahlberechtigung erteilt der Gemeindevorstand (§ 13 Abs. 2 Nr. 3 KWG).
Außerdem darf jeder Wahlberechtigte nur einen Wahlvorschlag mit seiner Unterschrift unterstützen (§ 11 Abs. 4 Satz 3 KWG). Der Gemeindevorstand darf also pro Person nur eine Wahlrechtsbescheinigung erteilen.
Es fällt somit in die Prüfungskompetenz der Gemeinde, ob ein Unterschriftsleistender wahlberechtigt ist und ob er tatsächlich nur einen Wahlvorschlag für die anstehende Wahl unterschrieben hat. Um dies ordnungsgemäß tun zu können, muss sie den Tatbestand der Unterschriftsleistung speichern. Allerdings ist die Gemeinde nicht berechtigt, festzuhalten, zur Unterstützung welchen Wahlvorschlags sie dem Wahlberechtigten die Bescheinigung erteilt hat.
|
§ 23 Abs. 5 Satz 2 KWO Der Gemeindevorstand darf bei einer Wahl für jeden Wahlberechtigten die Bescheinigung des Wahlrechts nur einmal zu einem Wahlvorschlag erteilen; dabei darf er nicht festhalten, für welchen Wahlvorschlag die erteilte Bescheinigung bestimmt ist. |
Zu den Aufgaben der Stadtverordnetenversammlung gehören u. a. die Beschlussfassung über die Angelegenheiten der Kommune sowie die Überwachung der gesamten Verwaltung und der Geschäftsführung des Magistrats. Trotzdem dürfen den Stadtverordneten nur die personenbezogenen Daten übermittelt werden, die zur Durchführung ihrer Aufgaben erforderlich sind, alle übrigen Daten sind vor der Weitergabe unkenntlich zu machen.
Die Fraktion einer hessischen Stadt bat um datenschutzrechtliche Prüfung einer Drucksache. In den Anlagen zu dieser Drucksache wurden die Konditionen einer Kreditfinanzierung sowie der Notarvertrag zum Erbbaurecht für ein großes Bauprojekt den Stadtverordneten übersandt. Hierbei wurden Geburtsdaten der Betroffenen und die Beträge des zu zahlenden Erbbauzinses allen Stadtverordneten und den Magistratsmitgliedern bekannt gegeben. Die Stadtverwaltung hielt die Weitergabe dieser Informationen an die Stadtverordneten für rechtmäßig. Der für das Bauvorhaben geschlossene städtebauliche Vertrag sieht als Vertragsbestandteile zum Nachweis der Realisierungsfähigkeit des Vorhabens ausdrücklich die Vorlage der Finanzierungszusage der Bank sowie eine beglaubigte Abschrift des Erbbaurechtsvertrages vor.
Die Stadtverordneten müssen nach § 50 HGO über Angelegenheiten der Kommune beschließen bzw. die gesamte Verwaltung und die Geschäftsführung des Magistrats überwachen.
| § 50 Abs. 1 und 2 HGO (1) Die Gemeindevertretung beschließt über die Angelegenheiten der Gemeinde, soweit sich aus diesem Gesetz nichts anderes ergibt. Sie kann die Beschlussfassung über bestimmte Angelegenheiten oder bestimmte Arten von Angelegenheiten auf den Gemeindevorstand oder einen Ausschuss übertragen. Dies gilt jedoch nicht für die in § 51 aufgeführten Angelegenheiten. Die Übertragung bestimmter Arten von Angelegenheiten auf den Gemeindevorstand kann in der Hauptsatzung niedergelegt werden. Die Gemeindevertretung kann Angelegenheiten, deren Beschlussfassung sie auf andere Gemeindeorgane übertragen hat, jederzeit an sich ziehen. Ist die Übertragung in der Hauptsatzung niedergelegt, ist die Vorschrift des § 6 Abs. 2 zu beachten. (2) Die Gemeindevertretung überwacht die gesamte Verwaltung der Gemeinde und die Geschäftsführung des Gemeindevorstands, insbesondere die Verwendung der Gemeindeeinnahmen. Sie kann zu diesem Zweck in bestimmten Angelegenheiten vom Gemeindevorstand in dessen Amtsräumen Einsicht in die Akten durch einen von ihr gebildeten oder bestimmten Ausschuss fordern; der Ausschuss ist zu bilden oder zu bestimmen, wenn es ein Viertel der Gemeindevertreter oder eine Fraktion verlangt. Gemeindevertreter, die von der Beratung oder Entscheidung einer Angelegenheit ausgeschlossen sind (§ 25), haben kein Akteneinsichtsrecht. Die Überwachung erfolgt unbeschadet von Satz 2 durch Ausübung des Fragerechts zu den Tagesordnungspunkten in den Sitzungen der Gemeindevertretung, durch schriftliche Anfragen und auf Grund eines Beschlusses der Gemeindevertretung durch Übersendung von Ergebnisniederschriften der Sitzungen des Gemeindevorstands an den Vorsitzenden der Gemeindevertretung und die Vorsitzenden der Fraktionen. Der Gemeindevorstand ist verpflichtet, Anfragen der Gemeindevertreter zu beantworten. |
Ohne Zweifel gehört hierzu auch der Beschluss zum Abschluss eines Durchführungsvertrags für ein umfangreiches Bauvorhaben und die Erstellung eines Bebauungsplanes für dieses Bauvorhaben. Die Stadtverordneten benötigen daher als Entscheidungsgrundlage über das Bauvorhaben auch den im Durchführungsvertrag aufgeführten Erbbaurechtsvertrag. Allerdings dürfen nach § 11 Abs. 1 HDSG personenbezogene Daten nur dann übermittelt werden, wenn dies für den jeweils damit verbundenen Zweck erforderlich ist.
|
§ 11 Abs. 1 HDSG Die Verarbeitung personenbezogener Daten ist nach Maßgabe der nachfolgenden Vorschriften zulässig, wenn sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgaben und für den jeweils damit verbundenen Zweck erforderlich ist. Die Erforderlichkeit einer Datenübermittlung muss nur bei einer der beteiligten Stellen vorliegen. |
Dies gilt unabhängig davon, ob Empfänger der Daten die Öffentlichkeit oder die Stadtverordneten sind. Für die Entscheidungsfindung der Stadtverordneten sind die Geburtsdaten der Betroffenen sowie die Höhe des zu zahlenden Erbbauzinses irrelevant. Vor der Weitergabe des Erbbaurechtsvertrages hätten diese Daten daher unkenntlich gemacht werden müssen.
Ich habe die Stadt aufgefordert, künftig vor der Übermittlung von personenbezogenen Daten an die Stadtverordnetenversammlung zu prüfen, welche Daten für eine Entscheidungsfindung tatsächlich relevant sind.
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis
Die Stadt Wiesbaden bietet eine Möglichkeit, mit dem Handy einen Parkschein zu lösen. Ich habe das System rechtlich und technisch geprüft.
6.4.1
Ausgangslage
Als Autofahrer erlebt man es immer wieder. Man ist nicht mit Absicht Falschparker, sondern man hat entweder kein passendes Kleingeld oder sich beim Lösen des Parkscheins bei der Parkdauer verschätzt. Plötzlich steht man ohne gültigen Parkschein da. Die Stadt Wiesbaden bietet seit diesem Jahr das sog. Handyparken an, das für die Nutzer diese Fälle ausschließen soll. Anders als beim Ziehen eines Parkscheins am Automaten erfolgt hier die Abrechnung minutengenau. Die Landeshauptstadt Wiesbaden hat mich bei der Einführung dieses Systems um datenschutzrechtliche Beratung gebeten.
6.4.2
Der Ablauf
6.4.2.1
Technische Vorbereitung
Die Stadt Wiesbaden musste mit dem Betreiber, einer Privatfirma, die das System speziell für die Belange von Kommunen entwickelt hat, viele Vorarbeiten erledigen. Zur Konfiguration des Systems gehörten u. a. die Bewirtschaftungszeiten der Parkzonen und ihrer Tarife, der Text der Benachrichtigungs-SMS an die Teilnehmer und nicht zuletzt eine eins zu eins Zuordnung der einzelnen Parkzone zu einer Telefonnummer. Natürlich mussten auch an den Parkzonen die Hinweisschilder mit den zugehörigen Telefonnummern aufgestellt werden. Außerdem wurden Benutzerkennungen angelegt. Zu Abrechungszwecken können Mitarbeiter der Stadt Wiesbaden auf die Abrechnungsdaten, d. h. die je Parkzone angefallenen Summen der Parkvorgänge, des Betreibers zugreifen. Zur Kontrolle von Parkvorgängen können sich die Überwachungskräfte je Parkzone die Parkvorgänge des Tages anzeigen lassen.
6.4.2.2
Registrierung
Um am Handyparken teilnehmen zu können, muss man registriert sein. Dies kann im Vorhinein über das Internet geschehen oder beim ersten Anruf, wenn der Parker einen Parkschein "lösen" will. Bei jedem Anruf prüft das System, ob die Handynummer bekannt ist. Wenn nicht, kann sich der Parker mit einem Call-Center verbinden lassen, das dann die Registrierung vornimmt. In beiden Fällen werden als Stammdaten
erfasst. Ein Teilnehmer kann bis zu zwei Handys und vier Kennzeichen registrieren lassen. Um später auf die Rechnungen zugreifen zu können, erhält der Teilnehmer noch eine Benutzerkennung und ein Passwort. Das Passwort muss bei der ersten Anmeldung geändert werden.
6.4.2.3
Der Parkvorgang
Zum "Lösen" des Parkscheins, ruft der Parker die auf den Schildern für die Parkzone angegebene Telefonnummer an. Dort wird die Handynummer erkannt. Bei mehreren registrierten Kfz muss der Parker noch das richtige Kennzeichen auswählen. Es werden gespeichert:
Es wird dann eine Bestätigungs-SMS generiert, in der die Daten mitgeteilt werden.
Der Parkvorgang endet, wenn der Parker die Telefonnummer erneut anruft oder die Höchstparkdauer überschritten ist. Das Parkende und die Parkdauer werden – minutengenau – gespeichert sowie die Parkgebühr berechnet und gespeichert. In einer SMS wird insbesondere die Parkgebühr mitgeteilt.
Für jeden Teilnehmer wird am Monatsende eine Abrechnung über die für ihn angefallenen Parkvorgänge und den resultierenden Gesamtbetrag erstellt. Die Abrechnung ist im Internet für ihn abrufbar. Der Betrag wird abgebucht, wenn ein Lastschriftverfahren vorliegt. Bei einem Prepaidkonto sind die Beträge bereits abgezogen, so dass die Abrechnung zur Kontrolle genutzt werden kann.
6.4.2.4
Die Kontrolle der Parkberechtigung
Die Kontrolle der Parkberechtigung erfolgt durch Mitarbeiter des städtischen Ordnungsamtes. Die Mitarbeiter rufen mit einem Handy den Betreiber an, melden sich am System an und erhalten für die ausgewählte Parkzone eine Übersicht der Kfz-Kennzeichen mit gültigem Parkschein und solche mit an diesem Tag beendeten Parkvorgängen. Mit dieser Übersicht kann für ein parkendes Fahrzeug ohne Papierparkschein erkannt werden, ob ein gültiger Handyparkschein vorliegt, ein mittlerweile abgelaufener Handyparkschein vorlag oder ohne Parkschein geparkt wird. Wenn kein gültiger Parkschein vorhanden ist, wird die entsprechende Verwarnung vorgenommen.
6.4.2.5
Die Speicherfristen
Nach den Verträgen werden die mit der Registrierung verbundenen Stammdaten über das Ende der Registrierung hinaus noch sechs Monate gespeichert. Die Parkvorgänge werden über die Abrechnung hinaus 50 Tage vorgehalten, und die Abrechnungen selbst werden nach zwölf Monaten gelöscht.
6.4.2.6
Rechtliche Bewertung
Die rechtlichen Voraussetzungen für eine elektronische Abrechnungslösung beim Parken im öffentlichen Raum hat der Bundesminister für Verkehr, Bau- und Wohnungswesen durch die 11. Ausnahmeverordnung zur StVO vom 28. Januar 2005 geschaffen (BGBl. I, S. 229).
|
§ 1 der 11. Ausnahmeverordnung zur StVO Abweichend von § 13 Abs. 1 und 2 der Straßenverkehrsordnung darf ohne Betätigung der dort genannten Einrichtungen zur Überwachung der Parkzeit für die Dauer der zulässigen Parkzeit halten, wer die für die Entrichtung der Parkgebühren und für die Überwachung der Parkzeit durch zusätzlich vorhandene elektronische Vorrichtungen oder Einrichtungen, insbesondere durch Taschenparkuhren oder Mobiltelefone, notwendigen Vorkehrungen getroffen hat. Satz 1 findet keine Anwendung, soweit eine dort genannte elektronische Vorrichtung oder Einrichtung nicht funktionsfähig ist. |
Damit wollte der Verordnungsgeber die Erprobung neuer Möglichkeiten der Parkraumbewirtschaftung fördern. Allerdings ist die Regelung bis zum 31. Dezember 2007 befristet. Insoweit ist derzeit das Wiesbadener Handyparkverfahren auch als Pilotprojekt zu sehen. Nähere Vorgaben für die Umsetzung eines derartigen Projekts ergeben sich aus der Verordnung nicht.
Da die Landeshauptstadt Wiesbaden sich zur Realisierung dieses Projekts – wie oben beschrieben – mit einem privaten Dienstleister zusammengeschlossen hat, der für die technische Realisierung und Abwicklung des Zahlungsverkehrs sorgt, stellte sich die Frage nach der rechtlichen Einordnung dieses Lösungsansatzes.
Grundsätzlich tritt der Parker – gleichgültig ob der Bezahlvorgang per Handy oder am Parkscheinautomat abgewickelt wird – in eine Rechtsbeziehung mit der Stadt. Die Stadt hat im Rahmen dieser Aufgabenerfüllung allerdings die Möglichkeit, gemäß § 4 HDSG sich der Hilfe eines privaten Dienstleisters zu bedienen. Der private Anbieter ist insoweit als unselbständiger Verwaltungshelfer anzusehen, der keine eigenen Entscheidungsbefugnisse besitzt. Verantwortlich für die ordnungsgemäße Verarbeitung der Daten bleibt die Stadt. Die Stadt hat auf Grund dieser rechtlichen Bewertung einen Vertrag über eine Datenverarbeitung im Auftrag gemäß § 4 HDSG mit dem privaten Anbieter geschlossen, in dem im Einzelnen die Rechte und Pflichten von Auftraggeber und Auftragnehmer geregelt sind. Des Weiteren hat sich der Auftragnehmer vertraglich meiner Kontrolle unterworfen. Von diesem Kontrollrecht habe ich im Berichtszeitraum auch Gebrauch gemacht (s. u. Ziff. 6.4.2.7).
Darüber hinaus habe ich gefordert, dass der Auftragnehmer in seinen allgemeinen Geschäftsbedingungen umfassend über die Datenverarbeitungsabläufe im Zusammenhang mit der Abrechnung informiert, damit die Nutzer des Systems nachvollziehen können, was mit ihren Daten geschieht. Im Übrigen bleibt es selbstverständlich die freie Entscheidung der Parkplatznutzer weiterhin zu parken, ohne personenbezogene Daten zu offenbaren, indem ein Parkschein am Automaten gelöst wird.
6.4.2.7
Prüfung
Ich habe zusammen mit der Stadt Wiesbaden das Verfahren beim Betreiber geprüft. Von den vertraglichen Regelungen waren die Löschfristen nicht umgesetzt. Der private Dienstleister hat mir zugesichert, dass er die erforderlichen Anpassungen innerhalb kurzer Zeit vornehmen wird, sodass das Verfahren dann vertragsgemäß ablaufen wird.
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis
Die Software eines Wohnungsamtes sieht vor, dass Wohnungssuchende für Wohnungen mit Belegungsrechten der Stadt neben der Telefonnummer auch die genauen Adressdaten des Eigentümers erhalten, unabhängig davon, ob ein Mietvertrag zustande kommt oder nicht. Besonders gravierend wirkt sich dies für Personen aus, die in der Einwohnermeldedatei eine Auskunftssperre wegen Gefährdung ihres Lebens eingetragen haben.
Eine Beschwerdeführerin kaufte eine Wohnung und erfuhr erst später, dass die Stadt noch ein Belegungsrecht für diese Wohnung hat. Da die Wohnung neu zu vermieten war, hatte das Wohnungsamt die Adresse der Eigentümerin an fünf berechtigte Interessenten weitergegeben. Die Beschwerdeführerin hat aufgrund besonderer Gefährdungsgründe im Einwohnermelderegister eine Auskunftssperre nach § 34 Abs. 5 HMG eingetragen, sie fühlte sich durch diese freigiebige Streuung ihrer Adresse besonders gefährdet. Nicht jeder der Interessenten würde einen Mietvertrag erhalten und damit ihre persönliche Adresse benötigen. Sie bat daher um datenschutzrechtliche Prüfung, ob der Umgang des Wohnungsamtes mit ihrer Adresse rechtmäßig ist.
Meine Recherchen ergaben, dass die vom Wohnungsamt eingesetzte Software allen Interessenten einer zu belegenden Wohnung die komplette Adresse und die Telefonnummer der Wohnungseigentümer übermittelt. Der Erforderlichkeitsgrundsatz des § 11 HDSG lässt eine Verarbeitung personenbezogener Daten nur dann zu, wenn es für die Erfüllung der jeweiligen Aufgabe und für den damit verbundenen Zweck erforderlich ist. Wohnungsinteressenten benötigen für die Vereinbarung eines Besichtungstermins ausschließlich die Adresse der zu vermietenden Wohnung sowie die Telefonnummer des Vermieters zur Kontaktaufnahme. Die regelmäßige Übermittlung der Adressdaten des Vermieters durch das Wohnungsamt ist daher unzulässig.
Das Wohnungsamt hat für den im Jahr 2007 geplanten Softwarewechsel die Beschränkung der zu übermittelnden Vermieterdaten auf die Telefonnummer aufgenommen.
Um der Beschwerdeführerin kurzfristig zu helfen, wurde darüber hinaus mit dem Wohnungsamt vereinbart, dass Anfragen zu dieser Wohnung ab sofort manuell ohne Einsatz der Datenverarbeitung behandelt werden und künftig nur noch die Telefonnummer zur Kontaktaufnahme übermittelt wird. Im Übrigen hat die Beschwerdeführerin hierauf nach § 7 Abs. 5 HDSG einen Anspruch, da der Verarbeitung ihrer Daten schutzwürdige, sich aus ihrer besonderen persönlichen Lage ergebende Gründe entgegenstehen.
|
§ 7 Abs. 5 HDSG Wenn der Betroffene schriftlich begründet, dass der rechtmäßigen Verarbeitung seiner Daten auf Grund dieses Gesetzes schutzwürdige, sich aus seiner besonderen persönlichen Lage ergebende Gründe entgegenstehen, ist die Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall ergeben hat, dass seine Gründe hinter dem öffentlichen Interesse der Verarbeitung zurückstehen müssen. Dem Betroffenen ist das Ergebnis mit Begründung schriftlich mitzuteilen. |
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis
Auch eine inaktive Kamera kann menschliches Verhalten beeinflussen. Im Übrigen muss Videoüberwachung für die betroffenen Personen erkennbar sein. Es müssen deshalb Schilder auf eine Überwachung hinweisen.
6.6.1
Kamera im Magistratszimmer
In einer Eingabe wurde ich darüber informiert, dass an der Decke des Magistratssitzungszimmers der Stadt Fulda eine Kamera angebracht sei. Da der Sitzungssaal nicht nur vom Magistrat, sondern auch von anderen Institutionen als Tagungsort genutzt wird, sah ich mich veranlasst, eine sofortige Prüfung vor Ort durch meine Mitarbeiter durchführen zu lassen.
Der Hinweis erwies sich insoweit als korrekt, als tatsächlich unter der Decke eine Kamera angebracht war, die nach den Feststellungen meiner Mitarbeiter an Strom angeschlossen war. Die Informationen vor Ort ergaben folgendes Bild:
Da im Magistrat des Öfteren größere Papiervorlagen (z. B. Bebauungspläne) erörtert würden, sei eine Anlage installiert worden, die mit Hilfe der Kamera an der Decke Papiervorlagen auf dem darunter stehenden Tisch erfassen und mit Hilfe eines Projektors an eine Leinwand vergrößern sollte. Um flexibel auf die Vorlagen reagieren zu können, sei die Kamera mit einer Steuerung verbunden worden, die eine beliebige Ausrichtung des Aufnahmebereiches zugelassen habe. Da die Steuerung hinter der Projektionswand lag, konnte der steuernde Mitarbeiter die Kameraaufnahme anhand eines Monitors verfolgen.
Die Anlage brachte nicht den gewünschten Erfolg. Sie wird nun nicht mehr verwendet.
Die Begehung des Saals ergab, dass das Steuerungspult nicht mehr angeschlossen war. Gleichwohl konnten meine Mitarbeiter feststellen, dass die Kamera nach wie vor in Betrieb war, wie es der Beschwerdeführer beschrieben hatte. Es war deutlich zu erkennen, dass sich die Kamera unter der Rauchglaskuppel ständig drehte. Die Erklärung eines städtischen Mitarbeiters, dies sei auf die Verbindung der Kamera mit dem Projektor zurückzuführen, konnte nicht verifiziert werden. Auch nach Ausschalten des Projektors drehte sich die Kamera weiter. Zudem war der Erfassungsbereich offensichtlich nicht auf den darunter stehenden Tisch, sondern schräg in den Raum gerichtet, so dass es ohne weiteres möglich gewesen wäre, durch die Drehung der Kamera den kompletten Raum zu überwachen.
Obwohl mit dieser Kamera offensichtlich keinerlei Aufnahmen oder Aufzeichnungen mehr gefertigt wurden, habe ich darauf hingewiesen, dass eine Kamera, die sich erkennbar ständig bewegt, geeignet ist, das Verhalten der Nutzer eines solchen Sitzungssaales zu beeinflussen. Wer sich unter ständiger Überwachung sieht, wird sich nicht mehr natürlich verhalten. Im Übrigen wurde uns auch von Seiten des anwesenden städtischen Mitarbeiters bestätigt, dass diese Kamera schon verschiedentlich zu Irritationen und damit verbunden zu Nachfragen geführt habe.
Da das System für die ursprünglich geplante Nutzung nicht mehr in Betrieb war, habe ich gegenüber dem Oberbürgermeister nachdrücklich empfohlen, das System so außer Betrieb zu setzen, dass keine Missverständnisse über vorgebliche Überwachungen mehr auftreten können. Aufgrund meiner Intervention ist die Kamera inzwischen demontiert worden.
6.6.2
Videoüberwachung der historischen Räume des Stadtschlosses
Meine Mitarbeiter haben während ihres Besuches auch die in den historischen Räumen des Stadtschlosses installierten Videokameras in Augenschein genommen. Nach Angaben der städtischen Mitarbeiter erfolgte die Anbringung dieser Kameras zur Sicherung der historischen Räume und der musealen Gegenstände.
Grundsätzlich ist es gemäß § 14 Abs. 4 Satz 1 Nr. 2 HSOG rechtlich zulässig, zum Schutz besonders gefährdeter öffentlicher Einrichtungen Videokameras zu installieren. Allerdings hat eine derartige Überwachung stets offen zu erfolgen. D. h., die Daten verarbeitende Stelle ist verpflichtet, Besucher auf den Umstand der Videoüberwachung hinzuweisen. Des Weiteren muss die Möglichkeit bestehen, sich über die näheren Einzelheiten der Überwachung informieren zu können.
Hinweise auf eine Videoüberwachung fehlten völlig. Die Mitarbeiter der Stadtverwaltung, die an den Überwachungsmonitoren saßen, konnten über nähere Details keine Auskunft geben, da sie offensichtlich nur unzureichend mit dem neuen System vertraut gemacht worden waren.
Ich habe deshalb gegenüber der Stadt die Erstellung eines Sicherheitskonzepts gefordert, in dem Zugriffsregeln, Speicherdauer (max. zwei Monate gemäß § 14 Abs. 1 Satz 2 HSOG) und Verwendungszweck geregelt sind. Auch sollten alle mit dem Umgang des Systems betrauten Bediensteten ausführlich geschult werden, damit Bürger auf Nachfrage sachgerecht über die stattfindende Videoüberwachung informiert werden können. Die Mitarbeiter, die an den Monitoren sitzen, sollten auch Fragen zur Speicherdauer beantworten können.
Die Stadt hat in der Zwischenzeit ein Sicherheitskonzept erstellt, in dem die nötigen Festlegungen getroffen wurden. Die erforderlichen Hinweisschilder wurden ebenfalls angebracht. Das Aufsichts- und Kassenpersonal des historischen Stadtschlosses ist mit den Funktionalitäten der Videoüberwachung vertraut gemacht worden. Zur Information der Bürger ist es darüber unterrichtet worden, dass
zurück zur Kapitelübersicht
zurück zum Inhaltsverzeichnis