Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Zentralisierungs- und Vereinheitlichungstendenzen im Land und darüber hinaus haben deutlich werden lassen, dass zum einen Vereinfachungsbedarf bei den Vorschriften des Hessischen Datenschutzgesetzes besteht, zum anderen die Vorschriften an neue Sachverhalte angepasst werden müssen.
5.1.1.1
Verantwortung bei Verfahren, über deren Einsatz bzw. Ausgestaltung zentral entschieden wird
5.1.1.1.1
Vorabkontrolle und Verfahrensverzeichnis
Bei der Novellierung des Hessischen Datenschutzgesetzes 1998 hatte man zwar vorhergesehen, dass über den Einsatz eines Verfahrens und dessen Modalitäten nicht die Daten verarbeitende Stelle, sondern eine übergeordnete Stelle entscheidet. Das ganze Ausmaß der Auswirkungen zentraler Entscheidungen über einzusetzende Verfahren, deren Technik und die Kompetenzkonzentration, wie es inzwischen anzutreffen ist, konnte aber seinerzeit noch nicht überblickt werden.
Deshalb sind im HDSG zwar z.B. die Pflichten zur Erstellung des Verfahrenverzeichnisses (§ 6 Abs. 1) sowie zur Durchführung der Vorabkontrolle (§ 7 Abs. 6) nicht mehr den Daten verarbeitenden Stellen, sondern denjenigen auferlegt, die für den Einsatz des Verfahrens zuständig sind.
In der EG-Datenschutzrichtlinie wird weder der Begriff „Daten verarbeitende“ noch der Begriff „zuständige“ Stelle verwendet. Hier ist vielmehr von dem „für die Verarbeitung Verantwortlichen“ die Rede. Die Richtlinie definiert diesen Begriff in Art. 2d) als „jede natürliche oder juristische Person oder Behörde, Einrichtung und jede andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ und lässt es zu, in Rechts- oder Verwaltungsvorschriften die Zwecke und Mittel festzulegen wie auch die Kriterien für die Bestimmung des Verantwortlichen. Nach der Begründung für die Formulierung ist verantwortlich diejenige Person resp. Stelle, die in letzter Instanz für die Entscheidungen über die Definition und die Durchführung der Verarbeitung verantwortlich ist und nicht um Personen, die die Verarbeitung gemäß den Weisungen des Verantwortlichen vornehmen. Der Begriff des für die Verarbeitung Verantwortlichen ist dabei bewusst prozessorientiert konzipiert (vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Kurzkommentar, Art. 2 Rdnr. 43 f.). Zu Recht weist auch Dammann darauf hin, dass der in der EG-Datenschutzrichtlinie verwendete Begriff bewusst funktional angelegt ist: Wenn unterschiedliche Stellen über die Zwecke und Mittel der Datenverarbeitung zu entscheiden haben, sind diese nebeneinander als Verantwortliche der Verarbeitung anzusehen (Dammann/Simitis, Art. 2 Rdnr. 13). Nach der tatsächlichen Verantwortungsverteilung treffen daher die datenschutzrechtlichen Verpflichtungen – wie diejenige zur Erstellung des Verfahrensverzeichnisses – nicht immer nur eine Person oder Stelle sondern mehrere jeweils für den von ihnen verantworteten Teil.
Die Formulierung der EG-Datenschutzrichtlinie ist besser für die neueren Entwicklungen geeignet als die „Daten verarbeitende Stelle“, der bis dahin nach den in Deutschland geltenden Datenschutzgesetzen generell die Pflichten nach den Datenschutzgesetzen auferlegt waren. Deshalb können auch Gesetzestexte nicht überzeugen, die wie im Bund, in Bremen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen-Anhalt und im Saarland zwar den Begriff der verantwortlichen Stelle aus der EG-Datenschutzrichtlinie übernehmen, diesen aber unter Bezug auf die Daten verarbeitende Stelle definieren (vgl. z.B. § 2 Abs. 3 Nr. 1 BDSG: „Im Sinne dieses Gesetzes ist verantwortliche Stelle jede der in § 1 Abs. 2 genannten Stellen, die personenbezogene Daten für sich selbst verarbeitet oder dies durch andere im Auftrag vornehmen lässt.“).
Obwohl in Hessen nicht der Begriff der verantwortlichen Stelle gewählt wurde, sondern auf die Zuständigkeit Bezug genommen wird, ist auch damit ein Ansatz gewählt, der einen funktionalen Hintergrund hat. Schon jetzt obliegt deshalb der Stelle, die über den Einsatz entscheidet oder diesen vorschreibt, die Erstellung von Vorabkontrolle und Verfahrensverzeichnis - soweit diese durch die Entscheidung vorbestimmt sind. Regelmäßig umfasst eine solche Entscheidung nicht alle Einzelheiten der Ausgestaltung in jeder Dienststelle, sondern es werden z.B. mit der Auswahl des Verfahrens oder in Einsatzkonzepten Bedingungen vorgegeben, von denen die einzelne Dienststelle gar nicht abweichen darf. Bei solcher Art verteilter Verantwortung ist jede Stelle für den ihrer Entscheidungskompetenz unterliegenden Bereich zuständig. Deshalb ist von jeder Stelle der Teil des Verfahrensverzeichnisses zu erstellen, der ihrer Entscheidungskompetenz entspricht. Ebenso ist die Vorabkontrolle auf Basis der zentralen Vorgaben zu erstellen. Beides ist so jedoch nicht vollständig, sondern nur in der Form eines Musters möglich, das von den Stellen vor Ort um die jeweiligen individuellen Angaben zu ergänzen ist. Ein Beispiel für eine solche Praxis ist das Verfahrensverzeichnis für das einheitlich in der Hessischen Landesverwaltung eingesetzte Verfahren zur Unterstützung der Personaladministration SAP R/3 HR. Hier sind die zentralen Vorgaben in ein Muster-Verfahrensverzeichnis eingesetzt, das um die von den Dienststellen vor Ort zu treffenden Angaben – wie z.B. die Vergabe der Berechtigungen in der Dienststelle – zu ergänzen ist. Bei der Vorabkontrolle ist ein Beispiel die für den Einsatz von DOMEA durchgeführte zentrale Vorabkontrolle, die ebenfalls um die Ausgestaltung vor Ort und das darauf basierende Votum ergänzt werden muss.
Gleichwohl wäre im Gesetzestext des HDSG eine Anpassung an die Begriffe und Definitionen der EG-Datenschutzrichtlinie wünschenswert, um Unsicherheiten bei der Interpretation zu beseitigen. Zwar entscheidet meist die für den Einsatz des Verfahrens zuständige Stelle (z.B. das Ressort für Verfahren im nachgeordneten Bereich) über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten und ist damit zugleich verantwortliche Stelle im Sinne der EG-Datenschutzrichtlinie. Es gibt inzwischen aber auch kompliziertere Strukturen, in denen zentrale Gremien wie ein Kabinettsausschuss oder die Gesamtprojektleitung entscheiden, wobei die Kosten des Einsatzes der Verfahren teilweise zentral finanziert werden, teilweise aber auch aus den Ressorthaushalten zu tragen sind. Bei diesen Entscheidungsstrukturen passen die gängigen Zuständigkeitsbegriffe nur schwer. Datenschutzrechtlich muss die entscheidende Stelle die Verantwortung soweit tragen wie die Entscheidung die Datenverarbeitung vorbestimmt. Da in den Begriffsbestimmungen in § 2 HDSG nach wie vor nur die Daten verarbeitende Stelle definiert ist, bietet es sich an, künftig hier auch den Begriff der verantwortlichen Stelle zu erläutern.
5.1.1.1.2
Auftragsdatenverarbeitung
Probleme bereiten die Fälle, in denen eine übergeordnete Stelle, z.B. das Ressort für die ihm nachgeordneten Stellen oder gar das Kabinett für die gesamte Landesverwaltung nicht nur die Entscheidung über den Einsatz eines Verfahrens getroffen hat, sondern die einzelnen Dienststellen auch zur Nutzung zentraler Stellen oder Auftragnehmer verpflichtet.
Adressat der Pflichten bei der Datenverarbeitung im Auftrag nach § 4 HDSG ist nämlich nicht die verantwortliche oder wie bei der Vorabkontrolle oder dem Verfahrensverzeichnis die zuständige, sondern nach wie vor die Daten verarbeitende Stelle. Nach § 2 Abs. 3 HDSG ist dies diejenige Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt, also die jeweilige Dienststelle, die ihre Aufgaben mit Hilfe dieser Verarbeitung erledigt.
|
§ 4 Abs. 1 und 2 HDSG
(1) Die Daten verarbeitende Stelle bleibt für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz sowie für die Erfüllung ihrer sich aus § 8 ergebenden Pflichten auch dann verantwortlich, wenn personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen; dabei sind der Gegenstand und der Umfang der Datenverarbeitung, die technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen. Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftraggeber hat zu prüfen, ob beim Auftragnehmer die nach § 10 erforderlichen Maßnahmen getroffen und die erhöhten Anforderungen bei der Verarbeitung von Daten, die besonderen Amts- oder Berufsgeheimnissen unterliegen sowie der in § 7 Abs. 4 genannten Daten eingehalten werden. An nicht-öffentliche Stellen darf ein Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. |
|
§ 1 Abs. 1 und 2 DV-VerbundG
(1) Die Hessische Zentrale für Datenverarbeitung ist zentraler Dienstleister für Informations- und Kommunikationstechnik für alle Behörden, Gerichte und sonstigen öffentlichen Stellen des Landes Hessen. Sie arbeitet mit den Kommunalen Gebietsrechenzentren zusammen.
(2) Die Hessische Zentrale für Datenverarbeitung kann durch die Landesregierung oder die jeweils zuständige Landesbehörde bei zentralen oder sonstigen gemeinsamen Verfahren beauftragt werden, verbindlich für alle beteiligten Stellen des Landes den Betrieb des Verfahrens zur automatisierten Datenverarbeitung als Auftragnehmerin im Sinne des § 4 des Hessischen Datenschutzgesetzes durchzuführen. |
Die amtliche Begründung zu § 1 Abs. 2 DV-VerbundG (LTDrucks. 16/6058, S. 7) führt aus:
„Bei landeseinheitlichen dienststellenübergreifenden IT-Verfahren (z.B. SAP, DOMEA), welche zentral konzipiert, entwickelt und gepflegt und in mehreren beteiligten Stellen eingesetzt werden, sind diese Stellen als Daten verarbeitende Stellen im Sinne des § 2 Abs. 3 des Hessischen Datenschutzgesetzes (HDSG) durch Organisationsanweisungen und Standardisierungsvorgaben der verantwortlichen Behörden zum Einsatz und zur Anwendung der entsprechenden Verfahren verpflichtet. Zur Gewährleistung eines einheitlichen und qualitätsgesicherten Verfahrenseinsatzes ist in der Regel der Betrieb der Verfahren durch einen für alle beteiligten Stellen tätigen Auftragnehmer vorzusehen. Durch die vorgeschlagene Regelung wird diese Aufgabe typischerweise der HZD als dem zentralen IT-Dienstleiter des Landes Hessen bei entsprechender Beauftragung durch die Landesregierung oder die jeweils zuständige Landesbehörde übertragen.“
Findet eine solche Beauftragung statt, so ist damit nicht mehr die einzelne Daten verarbeitende Stelle Auftraggeber, sondern der jeweilige zentrale Auftraggeber (Landesregierung oder zuständige Landesbehörde). Damit treffen die Pflichten (Auswahl des Auftragnehmers, Vertragsabschluss, Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer) nach § 4 HDSG diesen zentralen Auftraggeber. Er muss z.B. die Weisungen für die Datenverarbeitung erteilen und der Auftragnehmer hat Hinweise nach § 4 Abs. 1 Satz 3 HDSG an ihn zu richten. Durch den Wortlaut des § 4 Abs. 1 Satz 1 HDSG verbleibt gleichwohl die Verantwortung für die Einhaltung des Datenschutzes bei der Daten verarbeitenden Stelle, in deren Hand allerdings die Vereinbarungen mit dem Auftragnehmer nicht liegen. Auch hier wäre es sinnvoll, diese Pflicht der jeweils verantwortlichen Stelle aufzuerlegen.
Eine solche Änderung im HDSG würde auch die Fälle lösen, in denen nicht die HZD – nur dieser Fall konnte mit dem DV-Verbundgesetz geregelt werden –, sondern auch z.B. dem HCC zentrale Aufgaben wie bei Buchungen im SAP-System ohne Einflussmöglichkeiten der Daten verarbeitenden Stelle übertragen wurden.
Da die Landesregierung nur für ihr angehörende Behörden Entscheidungen treffen kann, sind mit den Regelungen im DV-VerbundG außerhalb stehende Daten verarbeitende Stellen wie der Hessischen Landtag, der Hessischen Rechnungshof, der Staatsgerichtshof und meine Behörde nicht einbezogen.
5.1.1.2
Verantwortung, Rollen und Kontrollrechte bei gemeinsamen Verfahren
Die Besonderheiten von Verfahren, die der Erledigung von Aufgaben verschiedener Stellen dienen, sind in § 15 HDSG geregelt. Gemeinsame Verfahren umfassen Verfahren mit einer (teilweise) gemeinsamen Datenbasis einschließlich Abrufverfahren. Für Außenstehende sind diese Verfahren nicht transparent, insbesondere im Hinblick auf die Verantwortungsbereiche für die einzelnen Datenverarbeitungen. Da auch beim Einsatz gemeinsamer Verfahren sichergestellt sein muss, dass nur die für die Aufgabenerledigung der Datenverarbeitenden Stelle jeweils erforderlichen Daten von dieser verarbeitet werden, sind solche Verfahren regelmäßig komplex. Es bedarf daher einer Vielzahl von Festlegungen. Wichtig ist dabei, dass die Verantwortungsbereiche geregelt und abgegrenzt sind und klar ist, wer die Federführung hat.
| § 15 Abs. 1 und 2 HDSG
(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren Daten verarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglicht, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Benutzung des Verfahrens ist im Einzelfall nur erlaubt, wenn hierfür die Zulässigkeit der Datenverarbeitung gegeben ist. Vor der Einrichtung oder Änderung eines gemeinsamen Verfahrens ist der Hessische Datenschutzbeauftragte zu hören. Ihm sind die Festlegungen nach Abs. 2 Satz 1, das Verfahrensverzeichnis nach § 6 Abs. 1 und das Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3 vorzulegen.
(2) Die beteiligten Stellen bestimmen eine Stelle, der die Planung, Einrichtung und Durchführung des gemeinsamen Verfahrens obliegt und legen schriftlich fest
|
§ 15 Abs. 2 HDSG geht dabei davon aus, dass die „beteiligten Stellen“ eine Stelle bestimmen, der die Planung, Einrichtung und Durchführung des Verfahrens obliegt (Federführer) und dass sie die Verantwortungsbereiche der einzelnen Stellen schriftlich festlegen. Aus der Gesetzesbegründung lässt sich herleiten, dass mit dem Begriff „beteiligte Stellen“ die Daten verarbeitenden Stellen gemeint sind, die dem Verfahren angeschlossen sind.
| Begründung zu § 15 Abs. 2 HDSG (LTDrucks. 14/3830, S. 23)
Abs. 2 legt fest, dass eine Stelle aus Gründen der Praktikabilität die Federführung für die Organisation des gemeinsamen Verfahrens übernehmen soll. Damit ist keinerlei Übertragung der rechtlichen Verantwortlichkeit verbunden, die bei den beteiligten Daten verarbeitenden Stellen verbleibt. |
In die Konzeption eines gemeinsamen Verfahrens fließen Anforderungen, Informationen und Erfahrungen der mit dem Verfahren unterstützten Aufgabenbereiche ein. Dies gilt sowohl für die fachlichen wie für die technischen Anforderungen. Häufig übernimmt eine Projektarbeitsgruppe die Planung und Einführung; die Durchführung kann wieder bei einer anderen Stelle liegen.
Über die Konzeption und den Einsatz gemeinsamer Verfahren wird regelmäßig nicht gemeinsam von den Stellen entschieden, bei denen die Datenverarbeitung später stattfindet, sondern wegen der Komplexität solcher Verfahren entscheiden auch hier übergeordnete Stellen. Müssten die beteiligten Stellen die Festlegung treffen, würde das bedeuten, dass z.B. beim Verfahren E-Einbürgerung alle Ausländerämter und die Regierungspräsidien eine schriftliche Vereinbarung über die nach § 15 Abs. 2 Nr. 1 und 2 erforderlichen Festlegungen treffen müssten. Auch hier wäre es hilfreich, den Begriff der „beteiligten Stellen“ durch die „verantwortlichen Stellen“ zu ersetzen.
5.1.1.2.2
Beteiligung von Stellen, die nicht dem HDSG unterliegen
Der Gesetzgeber hat bei der Konstruktion der Vorschrift bereits vorausgesehen, dass gemeinsame Verfahren auch mit Beteiligung von Stellen vorkommen können, die nicht dem HDSG unterliegen. Im Auge hatte er dabei in erster Linie nicht-öffentliche Stellen. Deshalb wurde eine Vorschrift geschaffen, die der Auftragsdatenverarbeitung nachgebildet ist (vgl. § 15 Abs. 3 und § 4 Abs. 3 Satz 1).
| § 15 Abs. 3 HDSG
Stellen, auf die dieses Gesetz keine Anwendung findet, können am gemeinsamen Verfahren beteiligt werden, wenn vertraglich sichergestellt ist, dass sie in diesem Verfahren die Bestimmungen dieses Gesetzes beachten und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen. |
| § 4 Abs. 3 Satz 1 HDSG
Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwirft. ... |
Wie sich in der Praxis herausstellt, ist die Sachlage aber nur partiell vergleichbar; auch diese Regelung bedarf deshalb der Überarbeitung. Zur Mitwirkung an dieser Aufgabe bin ich gerne bereit.
5.1.1.2.2.1
Nicht-öffentliche Stellen
Bei nicht-öffentlichen Stellen besteht regelmäßig schon aus Wettbewerbsgründen die Notwendigkeit, nicht nur einer Stelle die Teilnahme zu gewähren. Bei Verfahren mit beschränkten Benutzerkreisen müssen ohnehin die Anforderungen an den Anschluss sowie die Bedingungen der Nutzung festgelegt werden. Deshalb ist z.B. auch mit § 16a Hessisches Vermessungsgesetz für Datenabrufe aus dem Liegenschaftskataster im Wege des automatisierten Abrufs eine spezielle Vorschrift geschaffen worden, die an die Stelle des § 15 Abs. 3 HDSG tritt. Auch in gemeinsamen Verfahren, die für einen unbeschränkten Kreis von Teilnehmern konzipiert sind, wie z.B. das Stiftungsverzeichnis, kann die Vorgehensweise nach dem HDSG nicht praktikabel sein, weshalb § 17a Abs. 4 Hessisches Stiftungsgesetz auch die Anwendung des § 15 Abs. 3 HDSG ausschließt.
5.1.1.2.2.2
Öffentliche Stellen außerhalb Hessens
Sind z.B. Kommunen außerhalb Hessens, andere Bundesländer oder der Bund an gemeinsamen Verfahren beteiligt, so würde § 15 Abs. 3 bedingen, dass jede dieser Stellen sich der Anwendung des Hessischen Datenschutzgesetzes unterwerfen müsste. Regelmäßig sind diese Stellen aber verpflichtet, ein anderes Datenschutzgesetz, nämlich das jeweilige Landesdatenschutzgesetz bzw. für Bundesbehörden das Bundesdatenschutzgesetz anzuwenden. Da die Regelungen nicht immer deckungsgleich sind, kann das zu praktischen Problemen führen. Ähnliches gilt für die Zusage, sich der Kontrolle des Hessischen Datenschutzbeauftragten für das gemeinsame Verfahren zu unterwerfen. Kompetenzkonflikte sind bei dieser Regelung vorprogrammiert.
5.1.1.2.2.3
Öffentlich-rechtliche Religionsgesellschaften
Allen Religionsgesellschaften und den Vereinigungen, die sich die gemeinschaftliche Pflege einer Weltanschauung zur Aufgabe machen, ist durch Art. 140 GG i.V.m. Art. 137 Abs. 3 Weimarer Reichsverfassung das Recht garantiert, „ihre Angelegenheiten selbständig, innerhalb des für alle geltenden Gesetzes“ zu ordnen und zu verwalten (Kirchenautonomie). Dazu gehört die zur Gewährleistung der Religionsfreiheit unerlässliche Freiheit der Bestimmung über Organisation, Normsetzung und Verwaltung, die für innerkirchliche Maßnahmen jede staatliche Einmischung ausschließt und zwar unabhängig davon, ob es sich um öffentlich-rechtliche Körperschaften handelt oder nicht. Die beiden großen christlichen Religionsgesellschaften haben in dieser Tradition eigene Rechtswerke zum Datenschutz und eigene Datenschutzkontrollinstanzen geschaffen. Auch bei anderen Religionsgesellschaften, die dieses nicht haben, dürfen sich staatliche Instanzen aber nicht einmischen. Jedenfalls ist aus verfassungsrechtlichen Gründen eine Unterwerfung unter die Kontrolle des Hessischen Datenschutzbeauftragten bei Beteiligung solcher Stellen an einem gemeinsamen Verfahren ausgeschlossen.
Dass die Beteiligung von Religionsgesellschaften an gemeinsamen Verfahren durchaus konkret wird, zeigt die Entwicklung im Schulbereich, wo auch von Religionsgesellschaften getragene Schulen, die kirchlichem Datenschutzrecht unterliegen, an dem Verfahren LUSD und dem geplanten Kultus-Data-Warehouse teilnehmen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Das Internet wird immer mehr zur Bereitstellung von Informationen genutzt. Suchmaschinen bieten dabei eine bequeme Möglichkeit, Informationen zu finden. Wenn irrtümlich Dokumente in das Internet gestellt werden, sind sie ebenfalls über Suchmaschinen zu finden. Es bereitet jedoch Probleme, die Dokumente dann aus dem Zugriff zu entfernen. Damit sind auch die Datenschutzrechte auf Löschung oder Berichtigung nicht wirksam durchzusetzen.
5.1.2.1
Internetpannen
In diesem Jahr musste ich in mehreren Fällen feststellen, dass ungewollt, aber eben auch unbefugt, im Internet Daten von Bürgern oder anderen Personen durch hessische Behörden preisgegeben wurden. Bekannt wurden die Vorfälle in aller Regel dadurch, dass Suchmaschinen wie Google unter einem Stichwort den Verweis auf das entsprechende Dokument aufgelistet hatten. Die Ursache war nie Absicht, sondern meist eine Kombination von menschlichem Versagen und unerwarteten technischen Möglichkeiten.
5.1.2.1.1
Polizeipanne Darmstadt
Das Polizeipräsidium Darmstadt nutzt ein CMS (Content Management System) für das interne Netz und für die Website im Internet. Ob ein Dokument im internen Netz, im Internet oder in beiden zur Verfügung gestellt wurde, wurde ursprünglich nur durch Setzen eines Häkchens entschieden. Die entsprechenden Zugriffsrechte für beide Informationsangebote besaß ein Mitarbeiter, der als Redakteur tätig war.
Das Protokoll einer Verkehrskontrolle sollte in das interne Netz gestellt werden. In dem Protokoll wurden auch die Personalien mehrerer Personen aufgelistet und welche Erkenntnisse der Polizei vorlagen. Der Redakteur setzte aber irrtümlich nicht nur das Häkchen für „internes Netz“, sondern auch für „Internet“. Von seinem Arbeitsplatz, der sich im internen Netz befand, war das Bild, was er erhielt, wie gewünscht: das Protokoll stand zur Verfügung. Er hatte jedoch nicht erkannt, dass das Dokument auch im Internet stand.
5.1.2.1.2
Informationen zur Sitzungsvorbereitung von parlamentarischen Gremien
In zwei Fällen traten bei der Bereitstellung von Unterlagen zu Sitzungen im Internet Fehler auf, die auf menschliche Irrtümer oder mangelnde Sicherheitsvorkehrungen zurückzuführen waren.
In dem einen Fall werden als Bürgerservice auf der Internetseite des Parlaments Sitzungsinformationen zur Verfügung gestellt. Diese enthalten keine personenbezogenen Daten. Die berechtigten Sitzungsteilnehmer erhalten Unterlagen, in denen sich auch personenbezogene Daten befinden. Durch ein Versehen wurden jedoch die Sitzungsunterlagen mit Personenbezug in das Internetangebot für die Bürgerinnen und Bürger eingestellt.
In dem anderen Fall war im Internet für berechtigte Sitzungsteilnehmer die Möglichkeit geschaffen worden, sich wichtige Unterlagen herunterzuladen. Wenn man sich an dem Informationssystem mit Benutzerkennung und Passwort angemeldet hatte, wurden die entsprechenden Dokumente zum Download zur Verfügung gestellt. Die Dokumente befanden sich in einem eigenen Verzeichnis auf dem Webserver, das jedoch nicht gegen direkte Zugriffe aus dem Internet gesperrt war.
5.1.2.1.3
Neues Internetangebot
Eine hessische Behörde hatte im Internetangebot neue Unterlagen zur Verfügung gestellt. Die neuen Unterlagen wurden im Angebot verlinkt. Die alten Unterlagen wurden jedoch nicht gelöscht. Mit den alten Links konnte weiterhin auf die Unterlagen zugegriffen werden.
5.1.2.1.4
Dokumente mit geschwärzten Informationen
Eine Behörde wollte pdf-Dokumente im Internet zur Verfügung stellen, die auch Informationen zu Personen enthielten. Um die Rechte der Betroffenen zu wahren, „schwärzte“ man die entsprechenden Passagen, indem man eine schwarze Fläche darüber kopierte. Die eigentlichen personenbezogenen Daten blieben dabei jedoch erhalten. In dieser Form geänderte Dokumente wurden dann in das Internet gestellt.
In all diesen Beispielen wurde der Zugriff auf personenbezogene Daten durch Suchmaschinen möglich.
5.1.2.2
Suchmaschinen
Suchmaschinen sind Angebote im Internet, die zu Stichwörtern Treffer anzeigen in Form von Verweisen („Links“) auf Dokumente oder Seiten, die entweder das Stichwort selbst im Dokument haben oder das Stichwort als Metadatum in der Dokumentbeschreibung haben. Die Reihenfolge der angezeigten Dokumente wird durch ausgeklügelte Regeln bestimmt, sog. Ranking-Algorithmen. Die bekanntesten Suchmaschinen sind Google (Marktanteil in Deutschland fast 90%), Yahoo!search und MSN Search.
Suchmaschinen finden ihre Dokumente mit „webcrawlern“. Das sind Programme, die im Internet nach Informationsangeboten suchen und dann alle dort angegebenen Links aufrufen. Von diesen Seiten aus werden dann wieder alle Links aufgerufen usw. Webcrawler suchen aber manchmal auch Verzeichnisse die allgemein zugreifbar sind und durchsuchen diese nach Dateien und Dokumenten.
Als weiteres Angebot laden Suchmaschinen oft auch Dokumente herunter und konvertieren sie in das allgemein lesbare HTML-Format. Diese konvertierten Dokumente stellen die Suchmaschinen dann auf eigenen Rechner zur Verfügung. Dabei entscheidet die Menge der Zugriffe, ob ein Dokument konvertiert wird und wie lange es vorgehalten wird.
Natürlich kann ein Internetbenutzer ein Dokument herunterladen und es dann auf einem eigenen Server als Duplikat speichern und für den Zugriff bereit halten. In diesem Fall finden Suchmaschinen das Duplikat und stellen dafür ebenfalls einen Link ein. In aller Regel erkennt eine Suchmaschine, ob es das Dokument schon gibt und zeigt dies an. Da es aber nicht zwischen Original und Kopie unterscheiden kann, steht oft die Kopie vor dem Original in der Trefferliste. Daher führt die Löschung des Originaldokuments nicht automatisch dazu, dass das Dokument nicht mehr im Internet gefunden werden kann.
Es gibt auch weite Teile des Internets die den Suchmaschinen verborgen bleiben, das sog. „deep web“. Hierzu gehören insbesondere Informationsangebote, für deren Nutzung man sich mit Benutzerkennung und Passwort anmelden muss.
5.1.2.3
Konsequenzen
In den genannten Beispielen wurden die Dokumente von Webcrawlern gefunden, für die Recherche in der Suchmaschine aufbereitet und auch als HTML-Dokument aufbereitet und vorgehalten. Das hatte zum Teil gravierende Konsequenzen.
Im Fall der Polizeipanne hat die Polizei das Dokument sofort gegen Zugriffe gesperrt, als sie davon erfahren hat. Da es aber bereits eine Pressemitteilung zu dem Vorfall gegeben hatte, hatten viele Interessierte bereits über Google auf das Dokument zugegriffen. Das Dokument war im Ranking nach oben gerutscht und es gab eine HTML-Version. Selbst als der Zugriff auf das Original-Dokument nicht mehr möglich war, gab es noch die HTML-Version auf die zugegriffen werden konnte. Trotz erheblicher Anstrengungen des Suchmaschinenbetreibers hat es mehrere Tage gedauert, bis der direkte Verweis und die HTML-Version verschwunden waren. Es gab aber weiterhin noch Kopien auf anderen Rechnern. Die gleiche Lage war bei den versehentlich mit personenbezogenen Daten ins Internet eingestellten Sitzungsunterlagen eingetreten.
Auch im Fall der Bereitstellung von Sitzungsunterlagen in einem nicht gegen direkte Zugriffe gesicherten Verzeichnis sowie bei dem Belassen von alten Unterlagen im Internet wurden die Pannen durch Suchmaschinen aufgedeckt. Es gelang aber relativ schnell und ohne großes Aufsehen, die Zugriffe zu sperren bzw. die Dateien zu löschen.
Im letzten Fall ergab sich das Problem nur durch die HTML-Darstellung des Dokumentes. Während bei der Darstellung im Acrobat-Reader die geschwärzten Teile tatsächlich schwarz angezeigt wurden, erfasste die HTML-Darstellung den Text des eigentlichen Dokumentes. Da aber keine Daten gelöscht worden waren, konnte man im HTML-Text wieder alle Namen lesen.
Ob es weiterhin Kopien in den Teilen des Internets gibt, die den Suchmaschinen verborgen bleiben („deep web“) kann man nicht feststellen. In vielen Fällen muss man hiervon ausgehen.
5.1.2.4
Rechtliche Folgerungen
Die Veröffentlichung von personenbezogenen Daten im Internet stellt eine Datenübermittlung nach § 2 Abs. 2 Nr. 3 HDSG dar.
| § 2 Abs. 2 Nr. 3 HDSG
Datenverarbeitung ist jede Verwendung gespeicherter oder zur Speicherung vorgesehener Daten. Im Sinne der nachfolgenden Vorschriften ist |
Nach § 14 HDSG trägt dabei die übermittelnde Stelle die Verantwortung für die Zulässigkeit der Übermittlung.
Bei der Polizeipanne und bei der versehentlichen Einstellung vollständiger Sitzungsunterlagen in das Internet war die Einstellung der Daten ins Internet unzulässig; sie war auch nicht beabsichtigt, sondern in beiden Fällen die Folge eines menschlichen Fehlers.
In dem zweiten unter Ziff. 5.1.2.1.2 geschilderten Fall war die Art der Einstellung nicht sicher genug, um die Zugriffe auf den Kreis der Berechtigten einzugrenzen. Damit wurden auch unzulässige Datenabrufe möglich.
Alle genannten Fälle zeigten bei Maßnahmen zur Behebung der Fehler deutlich die Tücken des Internets: Aufgrund der Struktur des Internets und der Suchmaschinen können falsche oder rechtswidrig ins Internet eingestellte Informationen zwar korrigiert oder aus dem aktuellen Internetangebot herausgenommen werden. Damit sind aber die Rechte der Betroffenen nach §§ 8 Abs. 1 Nr. 4, 19 Abs. 1 und 4 in Verbindung mit § 2 Abs. 2 Nr. 5 HDSG nicht gewahrt.
| § 8 Abs. 1 Nr. 4 HDSG
Jeder hat nach Maßgabe des Gesetzes ein Recht auf
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
Datenverarbeitung ist jede Verwendung gespeicherter oder zur Speicherung vorgesehener Daten. Im Sinne der nachfolgenden Vorschriften ist |
Dies ist einer der Gründe, warum ich grundsätzlich gegen eine Einstellung personenbezogener Daten in das Internet plädiere, wenn diese nicht auf der ausdrücklichen und informierten Einwilligung der Betroffenen beruht oder ganz gewichtige Allgemeininteressen für diesen Veröffentlichungsweg sprechen, die die damit verbundene Beschneidung der Betroffenenrechte hinnehmbar erscheinen lassen.
So habe ich bei der Anhörung zum Zweiten Gesetz zur Änderung des Hessischen Stiftungsgesetzes ausdrücklich dafür plädiert, in § 17a von der Veröffentlichung im Internet die Daten der vertretungsberechtigten Personen auszunehmen, weil ich ein gewichtiges Allgemeininteresse für die Veröffentlichung dieser Daten in diesem Medium nicht erkennen konnte. Gleichwohl wurde das Gesetz unverändert verabschiedet (GVBl. I 2007, S. 546 f.)
| § 17a Abs. 2 und 3 HStiftG
(2) In das Stiftungsverzeichnis sind einzutragen:
(3) Das Stiftungsverzeichnis ist allgemein zugänglich. Es kann im Internet veröffentlicht werden. Eintragungen im Stiftungsverzeichnis begründen nicht die Vermutung der Richtigkeit. |
Ein Grund, warum nicht die Kommunikationsadressen von Stiftungen genügen, sondern auch die Namen der Vertretungsberechtigten erscheinen müssen, wurde im Gesetzgebungsverfahren nicht genannt. Die vorgebliche „Bürgerfreundlichkeit“ kann aber nicht die Einschränkung der Rechte von Betroffenen rechtfertigen, die damit auf Dauer mit irgendwann einmal ausgeübten Funktionen im Internet abrufbar werden.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Videoüberwachung scheint en vogue zu sein. Immer mehr Kommunen und andere öffentliche Stellen wollen Videoüberwachungskameras installieren. Nicht immer werden allerdings die gesetzlichen Voraussetzungen für die Zulässigkeit von derartigen Überwachungskameras ordnungsgemäß geprüft oder es fehlt an den nötigen Informationen für die betroffenen Bürger.
Im Berichtszeitraum gab es eine erhebliche Zunahme von Realisierungen und/oder Plänen hinsichtlich der Einrichtung von Videoüberwachungsanlagen. Es ist zu beobachten, dass Videoüberwachung in immer mehr Bereichen eine Rolle spielt. Zum einen nimmt die Überwachung öffentlicher Plätze deutlich zu, zum anderen spielt die Videoüberwachung auch zunehmend bei der Objektsicherung öffentlicher Einrichtungen eine größere Rolle.
In manchen Fällen werde ich vor der Installierung derartiger Systeme angefragt und kann beratend tätig werden. In manchen Fällen erfahre ich geplante Maßnahmen aus der Presse und überprüfe dann die entsprechenden Projekte. Über wieder andere Überwachungsmaßnahmen werde ich durch betroffene Bürger oder Bürgerinnen benachrichtigt, die sich häufig schlecht informiert fühlen. Da es für die Einrichtung von Videoüberwachungsanlagen keine Informationspflicht gegenüber meiner Behörde gibt, vermute ich, dass viele derartige Einrichtungen ohne eine ausreichende datenschutzrechtliche Prüfung installiert werden.
Nachfolgend möchte ich einige Beispielsfälle aufführen, mit denen ich mich im vergangenen Jahr auseinander zu setzen hatte.
| Dieses Becken wird durch die Badeaufsicht zu Ihrer Sicherheit videoüberwacht. |
Ich hatte bemängelt, dass der Überwachungsbereich zu groß bemessen ist und dass teilweise Fenster und Balkone in den Schwenkbereich der Kameras fallen. Wiederholt hatte ich das Polizeipräsidium Frankfurt aufgefordert, hier einen rechtmäßigen Zustand herzustellen, wurde aber immer wieder vertröstet, u. a. mit dem Hinweis darauf, dass man mit der Stadt über eine Übernahme der Anlage verhandle.
Am 11. Dezember 2007 erreichte mich vom Polizeipräsidium Frankfurt am Main die Nachricht, dass die Polizei die Finanzierung neuer Kameras übernehmen werde, mit denen die datenschutzrechtlichen Anforderungen technisch umgesetzt werden können. Künftige Kosten werden dann von der Stadt Frankfurt getragen. Die Anlage wird aber weiterhin von der Polizei betrieben.
Sobald die neuen Kameras installiert sind, werde ich eine Überprüfung vor Ort durchführen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Auch in Sachgebieten, in denen es nur wenige kompetente Fachleute gibt, ist bei der Auswahl von Sachverständigen im Rahmen des Ermittlungsverfahrens darauf zu achten, dass der Sachverständige nicht auch in anderer Funktion – etwa als Anzeigeerstatter – von dem Verfahren tangiert ist. Das kann auch für Interessenverbände gelten, die für ihre Mitglieder zum selben Sachverhalt Schadenersatz oder Unterlassungserklärungen einfordern.
Oft ist spezifischer Sachverstand notwendig, um zu erkennen, ob sich aus einem bestimmten Dokument Anhaltspunkte für strafrechtlich relevante Vorgänge ergeben. Dann benötigen die Ermittlungsbehörden Sachverständige zur Auswertung von Unterlagen.
5.2.1.1
Einbeziehung der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen in staatsanwaltschaftliche Ermittlungen
Verschiedene Staatanwaltschaften übergaben der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) in der Vergangenheit nicht nur DVDs und CDs, sondern auch ganze Festplatten und PC mit dem Namen des Beschuldigten. Dabei handelte es sich um Ermittlungen zu Urheberrechtsverletzungen im Zusammenhang mit Downloads aus dem Internet. Brachte die Auswertung der Unterlagen das Ergebnis, das Herunterladen bzw. das Verwenden dieser Software ist unter Verletzung von Lizenzen erfolgt und somit liegt ein Urheberrechtsverstoß vor, wurde dieses Wissen verwendet, um es den GVU-Mitgliedern weiterzugeben oder gar in deren Namen bei den Beschuldigten Schadenersatz oder Abmahnungsgebühren geltend zu machen.
Das datenschutzrechtliche Problem liegt in der möglichen Übermittlung von personenbezogenen (Überschuss-)Daten auf einem übergebenen Rechner und des Beschuldigtennamens zur Stellung eines Strafantrags.
Die Mitteilung des Beschuldigtennamens kann nicht auf § 406e StPO gestützt werden, weil zurzeit der Übergabe der Hardware der Verletzte noch gar nicht feststeht und die GVU kein Rechtsanwalt ist.
| § 406e StPO
(1) Für den Verletzten kann ein Rechtsanwalt die Akten, die dem Gericht vorliegen oder diesem im Falle der Erhebung der öffentlichen Klage vorzulegen wären, einsehen sowie amtlich verwahrte Beweisstücke besichtigen, soweit er hierfür ein berechtigtes Interesse darlegt. In den in § 395 genannten Fällen bedarf es der Darlegung eines berechtigten Interesses nicht. (2) Die Einsicht in die Akten ist zu versagen, soweit überwiegende schutzwürdige Interessen des Beschuldigten oder anderer Personen entgegenstehen. Sie kann versagt werden, soweit der Untersuchungszweck gefährdet erscheint oder durch sie das Verfahren erheblich verzögert würde. (3) Auf Antrag können dem Rechtsanwalt, soweit nicht wichtige Gründe entgegenstehen, die Akten mit Ausnahme der Beweisstücke in seine Geschäftsräume oder seine Wohnung mitgegeben werden. Die Entscheidung ist nicht anfechtbar.
(4) ... |
Als Konsequenz kann die GVU daher nur so in die Sachverhaltsermittlungen einbezogen werden, dass ihr dabei keine personenbezogenen Daten einschließlich der Beschuldigtennamen bekannt werden. Diese sind für die Klärung einer Urheberrechtsverletzung auch nicht erforderlich.
Es dürfen nur die verdächtigen Datenträger selbst, nicht ganze Rechner oder Festplatten übergeben werden, die möglicherweise personenbezogene Daten des Beschuldigten und Dritter enthalten.
5.2.1.2
Verdacht des Abrechnungsbetruges durch Pflegedienste
Bei der Bearbeitung von Ermittlungsverfahren gegen Pflegedienste wegen Abrechungsbetruges wurden teilweise von den Ermittlungsbehörden Krankenkassen, die mit ihrer Anzeige das Verfahren angestoßen hatten, bzw. deren Mitarbeiter als Sachverständige hinzugezogen.
Der Strafanzeige vorausgegangen war meist eine längere Auseinandersetzung, die sich u.a. an der Frage festmachte, ob die Kasse Einsicht in die Pflegedokumentation nehmen darf. Einsicht ist allerdings nur dem MDK und nicht der Krankenkasse direkt zu gewähren. Bei diesen Unterlagen handelt es sich um besonders sensitive Daten. Oft sind eine Vielzahl von Personen betroffen, bei denen keine Anhaltspunkte vorliegen, dass ihre Behandlung Gegenstand eines möglichen Ermittlungsverfahrens sein könnte.
In einem mir vorliegenden Fall ergab sich z.B. folgender Verfahrensablauf: Nach längeren Auseinandersetzungen im Vorfeld erstattete die Krankenkasse Strafanzeige. Als einer der ersten Ermittlungsschritte wurde ein Durchsuchungsbeschluss beantragt, auf Grund dessen verschiedene Unterlagen beschlagnahmt wurden. Bei der Durchsuchung, vor allem bei der Auswahl der zu beschlagnahmenden Unterlagen, waren Mitglieder der Kasse als „Sachverständige“ beteiligt. Durch die anschließende Überlassung dieser Unterlagen an die Sachverständigen, erhalten Mitarbeiter der Kasse Zugriff auf Unterlagen, die die Krankenkasse sonst nicht erhalten würde. Auf diese Weise besteht Gefahr, dass die strikten Regelungen des Sozialgesetzbuches zum Umgang mit Sozialdaten umgangen werden können.
Grundsätzlich gilt für alle Sachverständigen, dass sie die zur Verfügung gestellten Unterlagen und damit die darin enthaltenen Daten vertraulich zu behandeln haben und auch die strikte Zweckbindung zu beachten haben. Das gilt selbstverständlich auch für einzelne Mitarbeiter gegenüber ihrem Arbeitgeber, soweit sie als Person zum Sachverständigen bestimmt werden. Dazu gehört im Übrigen auch ein sorgfältiger Umgang mit möglichen Kopien. Für einen Sachverständigen, der auch aus anderem Grund mit einem Fall befasst ist, etwa auf Grund einer Aufgabenstellung in seiner eigentlichen Tätigkeit, ist es nicht immer einfach, diese Grundsätze einzuhalten. Es lässt sich auch im Einzelfall wohl nicht immer ausschließen, dass sich einzelne Mitarbeiter über die Gebote für Sachverständige hinwegsetzen.
Die Ermittlungsbehörden begründeten ihr Vorgehen damit, dass es bei komplexen Angelegenheiten Probleme gäbe, geeignete Sachverständige zu finden. Grundsätzlich ist mir das Problem bewusst. Andererseits sind mir auch Ermittlungsbehörden bekannt, die sich häufiger mit Ermittlungsverfahren im Gesundheitsbereich beschäftigen und eine andere Verfahrensweise wählen.
Ich habe das Problem mit dem Justizministerium erörtert. Als Ergebnis hat das Ministerium die Staatsanwaltschaften nochmals auf das Problem hingewiesen und sie gleichzeitig über andere mögliche Gutachter, insbesondere im Sozialversicherungsbereich, informiert.
Ich gehe daher davon aus, dass zukünftig bei der Auswahl von Sachverständigen sensibel vorgegangen wird – auch wenn dies im Einzelfall dazu führen kann, dass höhere Kosten entstehen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Nach etwa eineinhalbjährigem Betrieb der teilprivatisierten Justizvollzugsanstalt Hünfeld habe ich vor Ort eine Datenschutzkontrolle vorgenommen. Die Prüfung führte nicht zu Beanstandungen. Trotz der Teilprivatisierung des Gefängnisses ist die Datenschutzkontrolle gewährleistet.
Am 7. Dezember 2005 wurde die Justizvollzugsanstalt Hünfeld eröffnet. Das hessische Justizministerium hatte mich im Vorfeld über das Vorhaben, eine teilprivatisierte Justizvollzugsanstalt betreiben zu wollen, informiert und mich über die vorgesehene Beteiligung eines privaten Dienstleistungsunternehmens in Kenntnis gesetzt. Bei der Entscheidung, an den in einer Justizvollzugsanstalt anfallenden Aufgaben Private zu beteiligen, handelt es sich vorrangig nicht um eine datenschutzrechtliche, sondern um eine strafvollzugsrechtliche und politische Entscheidung. Andererseits folgen dieser Entscheidung datenschutzrechtlich relevante Konsequenzen.
Das Grundgesetz und das Strafvollzugsgesetz regeln:
| Art. 33 GG Abs. 4
Die Ausübung hoheitlicher Befugnisse ist als ständige Aufgabe in der Regel Angehörigen des öffentlichen Dienstes zu übertragen, die in einem öffentlich-rechtlichen Dienst- und Treueverhältnis stehen.
(1) Die Aufgaben der Justizvollzugsanstalten werden von Vollzugsbeamten wahrgenommen. Aus besonderen Gründen können sie auch anderen Bediensteten der Justizvollzugsanstalten sowie nebenamtlichen oder vertraglich verpflichteten Personen übertragen werden.
(2) Für jede Anstalt ist entsprechend ihrer Aufgabe die erforderliche Anzahl von Bediensteten der verschiedenen Berufsgruppen, namentlich des allgemeinen Vollzugsdienstes, des Verwaltungsdienstes und des Werkdienstes, sowie von Seelsorgern, Ärzten, Pädagogen, Psychologen und Sozialarbeitern vorzusehen. |
In der Literatur zum Strafvollzugsrecht (z.B. Callies/Müller-Dietz, Strafvollzugsgesetz, Einleitung Nr. 45 - mit vielen weiteren Fundstellen) wird das Thema der Rechtmäßigkeit einer Teilprivatisierung im Strafvollzug vorwiegend unter Anführen von verfassungs- und strafvollzugspolitischen Aspekten lebhaft diskutiert.
Unabhängig davon, welchen Standpunkt man zu diesem Thema einnimmt, müssen auch bei einem teilprivatisierten Strafvollzug die Datenschutzrechte der von der Datenverarbeitung Betroffenen ausreichend berücksichtigt sein. Denn egal, ob in der Küche, beim Reinigungsdienst oder der sozialen oder medizinischen Betreuung - nahezu jegliche Aufgabenwahrnehmung in einer Justizvollzugsanstalt verlangt zwingend die Verarbeitung personenbezogener Daten. Diesen Aspekten bin ich bei der Prüfung der Justizvollzugsanstalt Hünfeld nachgegangen.
5.2.2.1
Die Trennung zwischen hoheitlicher und nicht hoheitlicher Aufgabenwahrnehmung
Eine vom hessischen Justizministerium eingesetzte Arbeitsgruppe analysierte sehr genau, inwieweit eine Privatisierung im Strafvollzug rechtlich möglich ist. Die Ergebnisse sind veröffentlicht (s. www.hmdj.hessen.de).
Als Aufgaben, die nicht privatisiert werden können, wurden benannt:
Meine Zweifel an dem Ergebnis der Arbeitsgruppe, auch den Bereich der sozialen Dienste vollständig in die private Hand zu übertragen, wies das Justizministerium zurück. Sozialarbeiter leisten in der künftigen JVA Hünfeld – so der damalige Justizstaatssekretär – „Arbeit mit und am Gefangenen“, treffen hingegen keine Entscheidungen über den vollzuglichen Werdegang des Gefangenen. Sämtliche Arbeiten, die die sozialen Dienste insoweit verrichten, seien als Vorarbeiten zu verstehen (z.B. Mitarbeit bei der Erstellung der Vollzugspläne, Stellungnahmen zu Vollzugslockerungen etc.), die dem Entscheidungsträger (Anstalts- oder Vollzugsabteilungsleiter) lediglich als Entscheidungshilfe dienten.
Die Prüfung der Umsetzung der Trennung zwischen hoheitlicher und privatisierter Aufgabenerfüllung in der JVA Hünfeld ergab, dass die Trennlinie richtig gezogen ist.
Beispielsweise erfolgt die Überwachung der Monitore, mit der die Liegenschaft videoüberwacht wird, in der Sicherheitszentrale der Anstalt durch Beschäftigte des privaten Dienstleisters. Wird eine Unregelmäßigkeit beobachtet, informiert der Mitarbeiter des Dienstleisters einen Bediensteten der Anstalt. Der Justizvollzugsbeamte vollzieht die Beobachtung nach und löst ggf. Alarm aus. Auch die Pforte ist doppelt besetzt. Mit der Beobachtung des Umgebungsbereiches der Pforte ist ein Mitarbeiter des Dienstleisters beauftragt. Die Entscheidung über den Einlass oder Auslass und die Mitnahme von Gegenständen obliegt einem Vollzugsbediensteten. Mitarbeiter des Dienstleisters sind auch in der Telefonzentrale eingesetzt. Eine Überwachung der ausgehenden Telefonate der Gefängnisinsassen, die aus Gründen der Sicherheit der Anstalt stattfindet, darf aber nur durch Justizvollzugsbedienstete erfolgen.
Die Technik war konsequent getrennt. Es gab getrennte Netze für den hoheitlichen und den privaten Bereich. Da das Administrationspersonal nicht doppelt vorgehalten werden sollte, übernahm ein Mitarbeiter der Justizverwaltung auch die Administration des privaten Netzes.
5.2.2.2
Die Sicherstellung der Datenschutzkontrolle
Grundsätzlich müssen die Insassen von Justizvollzugsanstalten die Verarbeitung ihrer personenbezogenen Daten insoweit hinnehmen, als es für den Vollzug einer Freiheitsstrafe erforderlich ist (§ 179 Abs. 1 StVollzG). Der Vollzug einer Freiheitsstrafe bringt naturgemäß breit gefächerte und teilweise auch sehr intensive Einschränkungen des informationellen Selbstbestimmungsrechts mit sich. Dabei ist die Intensität des Eingriffes nicht erheblich unterschiedlich, ob der Eingriff durch einen Bediensteten der Anstalt oder durch einen privat verpflichteten Verwaltungshelfer erfolgt.
Trotzdem bleibt es bei dem Selbstverständnis wie ich es z.B. schon bei meinen Ausführungen zur Kontrollzuständigkeit bei der FRAPORT (s. Ziff. 2.1) oder bei sonstigen Wahrnehmungen öffentlicher Aufgaben durch Private einfordere: Wenn der Staat sich auf die Ebene des Privatrechts begibt und sich zur Erfüllung seiner Aufgaben Privater bedient, ändert das nichts an der Zugehörigkeit zum öffentlichen Bereich. Deshalb darf die Auslagerung der Wahrnehmung öffentlich-rechtlicher Aufgabenerfüllung an Private nicht zu einer Schmälerung des Datenschutzes und der Datenschutzkontrolle führen. Auch wenn das Strafvollzugsgesetz nach einigen bereichsspezifischen Regelungen in den §§ 179 ff. in § 187 zunächst auf das Bundesdatenschutzgesetz verweist, die Bestimmungen über die Kontrollbefugnisse des Landesdatenschutzbeauftragten bleiben unberührt (§ 187 StVollzG, letzter Satz). Das gilt auch für den Fall einer Teilprivatisierung. Dementsprechend hat sich der private Dienstleister der Justizvollzugsanstalt Hünfeld in einer vertraglichen Vereinbarung gegenüber dem Land Hessen verpflichtet, das Hessische Datenschutzgesetz anzuwenden. Er ist damit auch meiner Kontrolle und meinen Kontrollbefugnissen unterworfen. Für die Beschäftigten des privaten Dienstleisters gilt das Datengeheimnis nach § 5 BDSG. Verpflichtungserklärungen der privat Beschäftigten über das Datengeheimnis nach § 5 BDSG wurden mir vorgelegt.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die seit mehreren Jahren geplante Änderung des Gesetzes über das Landesamt für Verfassungsschutz ist in Kraft getreten. Ich habe zu den verschiedenen Gesetzentwürfen wie auch in der Anhörung im Hessischen Landtag Stellung genommen.
Wichtige Änderungen des Gesetzes vom 6. September 2007 (GVBl. I 2007, S. 542) sind folgende:
5.3.1.1
Einsatz des IMSI-Catchers
Vorgesehen ist nunmehr auch für den Verfassungsschutz der Einsatz des sog. IMSI-Catchers (International Mobile Subscriber Identity).
| § 5 Abs. 2 VerfSchG
Das Landesamt für Verfassungsschutz darf im Einzelfall zur Erfüllung seiner Aufgaben nach § 2 Abs. 2 unter den Voraussetzungen des Abs. 1 technische Mittel zur Ermittlung des Standortes eines aktiv geschalteten Mobilfunkgerätes und zur Ermittlung der Geräte- und Kartennummer einsetzen. Die Maßnahme ist nur zulässig, wenn ohne die Ermittlung die Erreichung des Zwecks der Überwachungsmaßnahme aussichtslos oder erheblich erschwert wäre. Personenbezogene Daten Dritter dürfen anlässlich solcher Maßnahmen nur erhoben werden, wenn dies aus technischen Gründen zur Erreichung des Zwecks nach Satz 1 unvermeidbar ist. Sie unterliegen einem absoluten Verwertungsverbot und sind nach Beendigung der Maßnahme unverzüglich zu löschen. |
Anders als auf Bundesebene ist der Einsatz des IMSI-Catchers in Hessen auch bei der Beobachtung verfassungsfeindlicher Bestrebungen und der Bekämpfung der organisierten Kriminalität zulässig. Ob der IMSI-Catcher im Rahmen gerade dieser Aufgabenbereiche überhaupt geeignet bzw. verhältnismäßig ist, muss sich erst noch erweisen.
5.3.1.2
Einsatz akustischer und optischer Überwachungsmittel in der Wohnung
Ziel der Gesetzesänderung war es weiterhin, die schon bestehenden Befugnisse zur akustischen und optischen Wohnraumüberwachung an die Vorgaben des BVerfG (Urteil vom 3. März 2004 – BVerfGE 109, 279) anzupassen. Danach gehört zur Unantastbarkeit der Menschenwürde gemäß Art. 1 Abs. 1 GG die Anerkennung eines absolut geschützten Kernbereichs privater Lebensgestaltung. In diesen Bereich darf die akustische (z.B. durch Wanzen) oder optische Überwachung zu Zwecken der Strafverfolgung – aber auch – wie im Fall des Tätigwerdens des Verfassungsschutzes – zu präventiven Zwecken nicht eingreifen.
Ich hatte vorgeschlagen, die vom BVerfG in den Leitsätzen aufgestellten verfahrensrechtlichen Sicherungen in den Gesetzestext aufzunehmen. Dem ist der hessische Gesetzgeber nur insoweit gefolgt, als formuliert wird:
| § 5a Abs. 4 Satz 2 VerfSchG
Die Behörde hat dafür Sorge zu tragen, dass in keinem Fall in den Kernbereich privater Lebensgestaltung eingegriffen wird. |
Diese Vorgabe wird erst in der Gesetzesbegründung konkretisiert. Danach ist, wenn Anhaltspunkte dafür vorliegen, dass der Kernbereich privater Lebensgestaltung berührt wird, das Abhören und Aufzeichnen zu unterbrechen. Eine Fortsetzung darf erst dann erfolgen, wenn eine Kernbereichsbetroffenheit nicht mehr zu besorgen ist. In der Begründung heißt es weiter, Aufzeichnungen von Äußerungen, bei denen zunächst keine Anhaltspunkte für eine Kernbereichsrelevanz vorgelegen haben, seien unverzüglich zu löschen, wenn sich nachträglich herausstellte, dass der Kernbereich berührt wird.
Ich empfehle dringend, diese in der Gesetzesbegründung enthaltenen Vorgaben in eine normkonkretisierende Verwaltungsvorschrift des HMDIS aufzunehmen.
Das nach dem Urteil des BVerfG (a.a.O.) erforderliche Verwertungsverbot für Erkenntnisse aus dem Kernbereich privater Lebensgestaltung findet sich im Gesetzestext.
| § 5 Abs. 4 Satz 3 VerfSchG
Erkenntnisse aus dem Kernbereich privater Lebensgestaltung unterliegen einem Verwertungsverbot. |
5.3.1.3
Schutz der Berufsgeheimnisträger
Nicht berücksichtigt wurden im Gesetz meine Vorschläge zum Schutz von Berufsgeheimnisträgern im Rahmen der Wohnraumüberwachung. Ich hatte angeregt, die in § 53 StPO im Rahmen des Zeugnisverweigerungsrechts genannten Personen (u.a. Verteidiger, Rechtsanwälte, bestimmte Beratungsstellen, Journalisten) insoweit zu privilegieren als eine Wohnraumüberwachung nur dann zulässig sein sollte, wenn bei diesen Personen die Voraussetzungen vorliegen, unter denen eine Wohnraumüberwachung beim Verdächtigen erfolgen darf.
Die Begründung des Gesetzentwurfs stellt darauf ab, dass sich für verschiedene Berufsgruppen ein Schutz unmittelbar aus der Verfassung ergebe und deshalb eine Überwachung „in der Regel“ nicht in Betracht käme. Aus meiner Sicht wäre gerade die Konkretisierung dieses sich aus verschiedenen verfassungsrechtlichen Vorschriften ableitenden Schutzes von Berufsgeheimnisträgern in einer normenklaren Regelung zur Vermeidung verfassungsrechtlicher Auseinandersetzungen in diesem Fall wichtig und dem Normenvollzug des Gesetzes dienlich. Leider konnte ich mich mit dieser Auffassung nicht durchsetzen.
5.3.1.4
Verwertungsverbot für zu löschende Daten in Sachakten
Auf meinen Vorschlag wurde eine Vorschrift zum Umgang mit Daten in Sachakten in das Gesetz aufgenommen. In Akten, die beispielsweise zu einer verfassungsfeindlichen Organisation geführt werden, befinden sich oftmals personenbezogene Angaben, die als solche z.B. wegen Fristablaufs zu löschen wären. Ich hatte vorgeschlagen, diese Informationen unkenntlich zu machen bzw. ein Verwertungsverbot festzuschreiben. Dem ist der Gesetzgeber jetzt durch die Festlegung eines Verwertungsverbots gefolgt.
| § 6 Abs. 6 Satz 3 VerfSchG
Enthalten Sachakten oder Akten zu anderen Personen personenbezogene Daten, die nach Satz 2 zu löschen sind, dürfen diese nicht mehr verwertet werden. |
5.3.1.5
Verfassungsschutzberichte im Internet
Auch die im Gesetz vorgesehene Befristung der Einstellung der Verfassungsschutzberichte in das Internet wurde von mir angeregt. Allerdings halte ich die vorgesehene Frist von fünf Jahren für zu lange.
| § 9 Abs. 3 Satz 3 VerfSchG
Der Bericht darf vom Landesamt für Verfassungsschutz höchstens fünf Jahre im Internet eingestellt werden. |
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Das Hessische Sicherheitsüberprüfungsgesetz ist im September 2007 in Kraft getreten. Ich habe zu den verschiedenen Fassungen des Gesetzentwurfs Stellung genommen. Meine Anregungen wurden weitgehend berücksichtigt.
Im Hessischen Sicherheitsüberprüfungsgesetz (GVBl. I 2007 S. 623) werden die Voraussetzungen und das Verfahren zur Überprüfung von Personen geregelt, die von einer Behörde oder einer anderen öffentlichen Stelle mit einer sicherheitsempfindlichen Aufgabe betraut werden. Je nach Grad der sicherheitsempfindlichen Tätigkeit wird entweder eine einfache Sicherheitsüberprüfung, eine erweiterte Sicherheitsüberprüfung oder eine erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen durchgeführt.
Im 35. Tätigkeitsbericht (Ziff. 5.3.1) hatte ich davon berichtet, dass ich in das Gesetzgebungsverfahren eingebunden wurde. In der Diskussion ist das Hessische Ministerium des Innern und für Sport in weiten Teilen meinen Vorschlägen gefolgt, an anderer Stelle konnte ich meine Bedenken zurückstellen.
Wichtig war mir Folgendes:
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die bei einer im Frühjahr 2006 durchgeführten Prüfung der Datenverarbeitung im Bereich der Beobachtung der organisierten Kriminalität getroffenen Feststellungen führten nach intensiven Gesprächen zur Vereinbarung einer Verfahrensweise, die den datenschutzgerechten Umgang mit den gesammelten Informationen besser unterstützt.
Das LFV hat seit Mai 2002 die zusätzliche Aufgabe der Beobachtung von Bestrebungen und Tätigkeiten der organisierten Kriminalität erhalten.
Im Frühjahr 2006 konnten meine Bediensteten die schon seit längerem geplante Prüfung in diesem neuen Bereich der Datenverarbeitung durchführen.
5.3.3.1
Ansatz der Prüfung
Ansatz für die Prüfung war zum Einen ein Ausdruck aus dem nachrichtendienstlichen Informationssystem (NADIS) von den mit dem entsprechenden Aktenzeichen eingestellten Personen und Organisationen. Zum Anderen wählte ich aus einer Liste des Verfassungsschutzes Arbeitsschwerpunkte aus und ließ mir zu diesen die entsprechenden Akten aushändigen.
5.3.3.2
Keine vollständige Aktenvorlage
Festzustellen ist, dass bei der Prüfung in mindestens einem Fall nicht die gesamte Akte vorgelegt wurde. Bei Durchsicht dieser Akte fiel auf, dass verschiedene Zusammenhänge aus der Abfolge der in der Akte gesammelten Informationen nicht erklärbar waren. Das LFV räumte am nächsten Tage ein, dass der Akte verschiedene Schriftstücke aus Geheimhaltungsgründen entnommen wurden.
Dieses Verfahren widerspricht dem in § 29 HDSG geregelten Auskunfts- und Einsichtsrecht des Datenschutzbeauftragten.
| § 29 Abs. 1 und 2 HDSG
(1) Alle Daten verarbeitenden Stellen und ihre Auftragnehmer sind verpflichtet, den Hessischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Ihm ist dabei insbesondere
(2) Die Rechte nach Abs. 1 dürfen nur vom Hessischen Datenschutzbeauftragten persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet. In diesem Fall müssen personenbezogene Daten eines Betroffenen, dem von der Daten verarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihm gegenüber nicht offenbart werden. |
In der Vergangenheit habe ich auch in den Fällen, in denen nicht die förmliche Feststellung des Ministeriums nach § 29 Abs. 2 Satz 1 HDSG vorlag, immer die Geheimhaltung von Informationen über vertrauliche Quellen respektiert. Daran hätte ich mich selbstverständlich bei der jetzigen Prüfung wieder gehalten.
Zwischen dem LFV und mir wurde in diesem Zusammenhang noch einmal klargestellt, dass für den Fall, dass Unterlagen wegen des Quellenschutzes aus einer Akte herausgenommen werden, zukünftig Fehlblätter in die Akte einzuheften sind, aus denen der Grund für die Entnahme für mich ersichtlich ist.
5.3.3.3
Tatsächliche Anhaltspunkte für Bestrebungen oder Tätigkeiten der organisierten Kriminalität
Vielen der eingesehenen Akten war gemeinsam, dass der Zeitpunkt für den Beginn der Informationssammlung sehr früh angesetzt ist. Es werden nicht nur allgemeine Informationen, sondern auch personenbezogene Daten bereits zu einem Zeitpunkt erhoben und gespeichert, in dem es oftmals zweifelhaft erscheint, ob tatsächliche Anhaltspunkte für Bestrebungen oder Tätigkeiten der organisierten Kriminalität vorliegen. Nach meinem Eindruck ist es für die Beobachtung der organisierten Kriminalität geradezu typisch, dass die Sammlung von Informationen – insbesondere auch von personenbezogenen Daten – zu einem Zeitpunkt erfolgt, in dem erst geprüft werden soll, ob Anhaltspunkte für Tätigkeiten in diesem Bereich vorliegen. Dies gilt in gleicher Weise für den Einsatz von nachrichtendienstlichen Mitteln, insbesondere von V-Männern oder auch Observationen, die zu einem sehr frühen Zeitpunkt erfolgen.
Diese Prüfungsfeststellungen und die rechtliche Einordnung waren u. a. Gegenstand längerer Erörterungen mit dem HMDIS und Vertretern des LFV, die sich bis zum Sommer hinzogen. Zwar sieht das Gesetz über das LFV in Hessen die Sammlung von Informationen im sog. Prüffall vor.
| § 4 Abs. 1 VerfSchG
Das Landesamt für Verfassungsschutz darf personenbezogene Daten aus allgemein zugänglichen Quellen erheben, um zu prüfen, ob tatsächliche Anhaltspunkte für Bestrebungen oder Tätigkeiten nach § 2 Abs. 2 vorliegen. |
Das LFV hat mir in diesem Zusammenhang zugesagt, wie folgt zu verfahren: Es wird in regelmäßigen Abständen von ca. drei Monaten geprüft, ob der ausgewählte Bearbeitungsschwerpunkt weiterverfolgt wird. Die Entscheidung, ob tatsächliche Anhaltspunkte für organisierte Kriminalität vorliegen, wird in den Vorgängen klar formuliert und dokumentiert. Sachverhalte, die einem derartigen Bearbeitungsschwerpunkt nicht zugeordnet werden können, werden nicht weiter verfolgt und die Dokumentation dazu wird vernichtet.
Ich werde demnächst prüfen, ob das Verfahren eingehalten wird.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Beim Landesamt für Verfassungsschutz ist ein aus datenschutzrechtlicher Sicht begrüßenswerter Wandel zu mehr Transparenz zu verzeichnen.
Bei allen hessischen Behörden haben Betroffene einen Anspruch auf Auskunft über die zur eigenen Person gespeicherten Daten. Im allgemeinen Datenschutzrecht ist dieses Element des informationellen Selbstbestimmungsrechtes, soweit es sich auf automatisierte Datenspeicherungen bezieht, als Recht auf gebührenfreie Auskunft u.a. über die zur eigenen Person gespeicherten Daten in § 18 Abs. 3 und, soweit es sich auf Datenspeicherungen in Akten bezieht, als Akteneinsichtsrecht in § 18 Abs. 5 HDSG normiert.
Für den Sicherheitsbereich ergibt sich das Informationsrecht aus bereichsspezifischen Regelungen, die den Belangen des jeweiligen Sachgebiets Rechnung tragen. Beispielsweise erkennt § 29 HSOG zwar ein Auskunftsrecht aber kein Akteneinsichtsrecht an. § 185 StVollzG enthält ebenso ein Auskunftsrecht, ein Akteneinsichtsrecht wird erst unter weiteren Bedingungen eingeräumt. Auch berücksichtigen alle Regelungen für den Sicherheitsbereich den Rechtsgedanken, dass durch eine Auskunftserteilung der eigentliche Zweck der Datenspeicherung nicht vereitelt werden darf. Schließlich ist klar, dass etwa ein Verdächtiger einer Straftat durch die Wahrnehmung des Auskunftsrechtes nicht auf eine bevorstehende Ermittlungsmaßnahme aufmerksam gemacht werden darf.
Auch im Bereich des Verfassungsschutzes gibt es das Recht auf Auskunft über Datenspeicherungen zur eigenen Person. § 18 VerfSchG regelt:
| § 18 VerfSchG
(1) Der betroffenen Person ist vom Landesamt für Verfassungsschutz auf Antrag gebührenfrei Auskunft über die zu ihrer Person gespeicherten Daten sowie den Zweck und die Rechtsgrundlage der Verarbeitung zu erteilen.
(2) Abs. 1 gilt nicht, soweit eine Abwägung ergibt, dass das Auskunftsrecht der betroffenen Person gegenüber dem öffentlichen Interesse an der Geheimhaltung der Tätigkeit des Landesamtes für Verfassungsschutz oder einem überwiegenden Geheimhaltungsinteresse Dritter zurücktreten muss. Ein Geheimhaltungsinteresse liegt dann vor, wenn
Die Entscheidung trifft der Behördenleiter oder ein von ihm besonders beauftragter Mitarbeiter.
(4) Die Ablehnung der Auskunftserteilung bedarf keiner Begründung, soweit dadurch der Zweck der Auskunftsverweigerung gefährdet würde. Die Gründe der Auskunftsverweigerung sind aktenkundig zu machen. Wird die Auskunftserteilung abgelehnt, ist die betroffene Person auf die Rechtsgrundlage für das Fehlen der Begründung und darauf hinzuweisen, dass sie sich an den Hessischen Datenschutzbeauftragten wenden kann. Mitteilungen des Hessischen Datenschutzbeauftragten dürfen keine Rückschlüsse auf den Erkenntnisstand des Landesamtes für Verfassungsschutz zulassen, sofern es nicht einer weitergehenden Auskunft zustimmt. |
Bei Inkrafttreten dieser Norm im Jahre 1990 bewertete mein damaliger Amtsvorgänger im 19. Tätigkeitsbericht (Ziff. 8.6) diese Regelung grundsätzlich positiv. Allerdings wurde damals ein differenziert ausgeprägtes Auskunftsrecht für wünschenswert gehalten: z.B. einmal für den Fall, dass Betroffene von Sicherheitsüberprüfungen Auskunft über eigene Daten verlangen und ein anderes Mal für den Fall, dass eine spionageverdächtige Person dasselbe geltend macht. Es wurde seitens meiner Behörde darauf hingewiesen, dass das Auskunftsrecht der sicherheitsüberprüften Person stärker sein müsse, als das des Spionageverdächtigen. Doch die Rechtslage war und blieb für beide Fälle identisch. Es stand lediglich fest, dass Abwägungen im Einzelfall Grundlage für eine Entscheidung über eine Auskunftserteilung oder -verweigerung darstellen müssen. Ein wenig skeptisch schloss die damalige Beurteilung der Auskunftsregelung mit der Feststellung, es bliebe abzuwarten, ob damit ein Stück mehr Transparenz für die Betroffenen erreicht werde.
In den Folgejahren und bis heute erreichen mich regelmäßig Eingaben von Betroffenen nach § 18 Abs. 4 VerfSchG. Die geheimhaltungsbedürftigen Aspekte der jeweiligen Einzelfälle gebieten es, auf eine nachvollziehbare Beschreibung der Einzelfallentscheidungen zu verzichten. Allerdings kann ein allgemeiner Wandel im Auskunftsverhalten des LFV festgestellt werden.
Beispielsweise wurde vor Inkrafttreten des Gesetzes nur in ganz besonders gelagerten Einzelfällen die Auskunft erteilt, dass eine Person der Behörde überhaupt nicht bekannt sei. Mit dem Argument, es könnte sich um einen Spion handeln, der nur einmal feststellen will, ob die Verfassungsschutzbehörde ihn bereits enttarnt habe, wurde oft ein Ausforschungsbemühen angenommen und die Auskunft, wonach der Anfrager der Behörde völlig unbekannt sei, verweigert. Nach Inkrafttreten des Gesetzes ergingen Einzelfallentscheidungen und an die Annahme eines Ausforschungsbemühens wurden nach und nach höhere Anforderungen gestellt. Heute, knapp zwanzig Jahre nach Inkrafttreten des Gesetzes, erfährt regelmäßig jeder Auskunftssuchende, falls dem so ist, dass er der Behörde nicht bekannt ist. Nur noch bei deutlichen Anhaltspunkten für einen Ausforschungsversuch wird das vorstehende Argument herangezogen. Ich kann jedoch feststellen, dass sich seit Jahren niemand mehr an mich gewandt hat, dem die Auskunft aus diesem Grunde verweigert wurde.
Aber auch für den Fall, dass der Behörde Informationen zur Person vorliegen, ist ein Wandel zu mehr Transparenz zu verzeichnen. Aufgrund der Regelung in § 18 Abs. 4 darf meine Mitteilung an den Betroffenen, der sich nach einer Auskunftsverweigerung an mich gewandt hat, keine Rückschlüsse auf den Erkenntnisstand der Behörde zulassen, wenn das LFV einer weitergehenden Auskunft nicht zustimmt. So konnte ich in früheren Jahren den Betroffenen nach datenschutzrechtlicher Prüfung oft nur mitteilen, die Prüfung habe ergeben, dass die datenschutzrechtlichen Belange des Anfragers nicht verletzt wurden. Bei jeder datenschutzrechtlichen Kontrolle eines Einzelfalles habe ich – soweit ich es für angebracht hielt – das LFV um Zustimmung zu einer etwas weitergehenden Auskunft gebeten. Auch wenn den Betroffenen selbst klar sein musste, dass Ihre Aktivitäten beispielsweise in einem bestimmten Extremismusbereich Anlass einer Datensammlung des LFV sein müsste, so ist es doch „ein Stück“ mehr an Transparenz, wenn die Behörde den Betroffenen dies ausdrücklich unter Bezeichnung des Extremismusbereiches bestätigt. Mittlerweile – dies entnehme ich den Unterlagen, die mir Petenten nach dem Hinweis des LFV nach § 18 Abs. 4 Satz 3 zuschicken – macht das LFV selbst solche Angaben. Auch die Frage von Petenten nach konkreten Angaben – z.B. zu den gespeicherten Informationen oder an welche Stellen möglicherweise gespeicherte Informationen weitergegeben wurden – werden punktuell und im Einzelfall beantwortet. Insgesamt ist damit ein aus datenschutzrechtlicher Sicht begrüßenswerter Wandel zu verstärkter Transparenz zu verzeichnen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Anlassunabhängig habe ich im Berichtszeitraum bei der Ausländerbehörde des Hochtaunuskreises in Bad Homburg und der Ausländerbehörde der Stadt Fulda eine Datenschutzprüfung vorgenommen. Gravierende Mängel wurden nicht festgestellt. Korrekturbedarf besteht offensichtlich bei der Anwendung des neuen Freizügigkeitsgesetzes. Die Unterbringung der Ausländerbehörde der Stadt Fulda ist dringend verbesserungsbedürftig.
5.4.1.1
Anwendung des Freizügigkeitsgesetzes
Als einer von mehreren Prüfungsansätzen wurden stichprobenartig Akten eingesehen in denen das seit 1. Januar 2005 in Kraft getretene Gesetz über die allgemeine Freizügigkeit von Unionsbürgern (FreizügG/EU) zur Anwendung kommt. Dieses Gesetz regelt die Einreise und den Aufenthalt von Staatsangehörigen anderer Mitgliedsstaaten der Europäischen Union (Unionsbürger) und ihrer Familienangehörigen. § 2 des Gesetzes regelt das Recht auf Einreise und Aufenthalt und bestimmt, wer gemeinschaftsrechtlich freizügigkeitsberechtigt ist.
| § 2 FreizügG/EU
(1) Dieses Gesetz regelt die Einreise und den Aufenthalt von Staatsangehörigen anderer Mitgliedstaaten der Europäischen Union (Unionsbürger) und ihrer Familienangehörigen.
(2) Gemeinschaftsrechtlich freizügigkeitsberechtigt sind |
Die vorläufigen Anwendungshinweise zum Freizügigkeitsgesetz legen abschließend fest, welche Dokumente für die Ausstellung der Freizügigkeitsbescheinigung vorzulegen sind.
| Nr. 5.3.1.1.2 VAH-FreizügG/EU
Falls im Einzelfall nicht auf eine Prüfung verzichtet werden kann, können von einem freizügigkeitberechtigten Unionsbürger nur folgende von der Freizügigkeitsrichtlinie abschließend vorgegebene Dokumente gefordert werden:
|
Für einen in Deutschland arbeitenden Unionsbürger sind also außer beispielsweise dem Nationalpass und dem Arbeitsvertrag keine sonstigen Unterlagen zu fordern. In den Akten der beiden Ausländerbehörden fanden sich aber regelmäßig weitere Dokumente, die zur Erteilung der von den Ausländerbehörden auszustellenden Freizügigkeitsbescheinigung nicht notwendig waren. Beispielsweise waren den Akten über den erforderlichen Nachweis der Erwerbstätigkeit hinaus Bescheinigungen über das Bestehen eines Kranken- oder Rentenversicherungsverhältnisses, Gesundheitserklärungen zu Krankenversicherungsanträgen, Abschriften aus Grundbüchern, Kopien von Mietverträgen und weitere Dokumente zu entnehmen. Solche Unterlagen entgegenzunehmen kann in besonders gelagerten Einzelfällen von Nichterwerbstätigen durchaus angebracht sein. Sie im Falle der Erwerbstätigkeit regelmäßig zur Akte zu nehmen war aber schlicht überflüssig, datenschutzrechtlich ausgedrückt "nicht erforderlich" und damit unzulässig.
Beide Ausländerbehörden sagten mir zu, ab sofort auf die überflüssige Datenerhebung zu verzichten. Eingereichte Unterlagen, bei denen offensichtlich ist, dass sie nicht zur konkreten Aufgabenerfüllung benötigt werden, sind nicht zu den Akten zu nehmen. Die Mitarbeiter der Ausländerbehörden wurden entsprechend informiert. Im Hochtaunuskreis wurden auch die kreisangehörigen Gemeinden informiert, weil diese alternativ die Antragsunterlagen entgegennehmen.
5.4.1.2
Weitere Prüfansätze
Weitere Kontrollansätze waren die Prüfung der Beachtung datenschutzrechtlicher Aspekte
5.4.1.3
Räumliche Situation der Ausländerbehörde der Stadt Fulda
In der Ausländerbehörde der Stadt Fulda findet der gesamte Publikumsverkehr in einem Raum statt. Dort sind drei Schreibtische nahezu unmittelbar nebeneinander angeordnet. Durch diese räumliche Nähe lässt es sich nicht vermeiden, dass alle an einem Arbeitsplatz geführten Gespräche an den beiden anderen Arbeitplätzen von den jeweils vorsprechenden Personen gewollt oder ungewollt mitgehört werden. Ich habe der Stadtverwaltung mehrere Vorschläge unterbreitet wie sie diese Situation verbessern kann. Letztendlich kann ich der Stadtverwaltung nicht vorschreiben, welche konkreten organisatorischen Maßnahmen zu treffen sind. Die Stadtverwaltung hat mir zugesagt, bei einer in Kürze anstehenden Umplanung der Anordnung der Arbeitsplätze in der Ausländerbehörde für Abhilfe zu sorgen. Die Umsetzung steht noch aus.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Auch in der Ausländerverwaltung hält E-Government Einzug. Im Aufenthalts- und Einbürgerungsverfahren werden Verfahrensabschnitte elektronisch ausgestaltet. eAufenthalt und eEinbürgerung verfolgen unterschiedliche Konzepte. Ich berate das federführende Hessische Ministerium des Innern und für Sport bei der Einführung der elektronischen Systeme.
5.4.2.1
eAufenthalt
Die hessischen Ausländerbehörden sind zuständig für das Aufenthaltsverfahren bzw. die Entscheidung über eine Aufenthaltserlaubnis für einen ausländischen Bürger. Zur Erfüllung dieser Aufgaben bedarf es eines umfangreichen Datenaustauschs mit anderen Behörden.
In einer Vielzahl der Aufenthaltserlaubnisverfahren ist eine Anfrage an das HLKA und an das LFV vorgesehen mit dem Ziel dort festzustellen, ob Erkenntnisse über den Antragsteller vorliegen. Falls diese Behörden über Informationen verfügen, kann dies für die Erteilung der Aufenthaltserlaubnis eine Rolle spielen.
| § 73 Abs. 2 und 3 AufenthG
(2) Die Ausländerbehörden können zur Feststellung von Versagungsgründen gemäß § 5 Abs. 4 oder zur Prüfung von Sicherheitsbedenken vor der Erteilung oder Verlängerung eines sonstigen Aufenthaltstitels, die bei ihr gespeicherten personenbezogenen Daten der Betroffenen Person an...das Landesamt für Verfassungsschutz und das Landeskriminalamt übermitteln...
(3) Die in den Absätzen 1 und 2 genannten Sicherheitsbehörden und Nachrichtendienste teilen der anfragenden Stelle unverzüglich mit, ob Versagungsgründe nach § 5 Abs. 4 oder Sicherheitsbedenken nach Absatz 2 vorliegen... |
Die gesetzliche Regelung wurde durch Erlass des HMDIS vom 10. Mai 2007 dahingehend konkretisiert, dass eine derartige Anfrage bei Personen zu erfolgen hat, die eine bestimmte in der Anlage 1 des Erlasses genannte Staatsangehörigkeit besitzen.
Nach Angaben des HMDIS erreichen die Anfragen bei dem HLKA und LFV einen jährlichen Umfang von Zehn- bis Zwanzigtausend. Aufgrund dieses erheblichen Arbeitsvolumens ist vorgesehen, zunächst den Austausch mit diesen beiden Behörden elektronisch auszugestalten. In einem nächsten Schritt sollen dann weitere beteiligte Behörden, wie andere Ausländerbehörden, Meldebehörden, die Staatsanwaltschaft in Hessen, Generalbundesanwalt – Bundeszentralregister, Bundesamt für Migration und Flüchtlinge angeschlossen werden.
Im Rahmen von eAufenthalt sollen die bisherigen Informations- und Kommunikationswege zwischen den beteiligten Stellen nicht geändert werden; nur in technischer Hinsicht wird die Kommunikation per Postweg durch die elektronische Kommunikation über eine EDV-gestützte Plattform ersetzt. Insgesamt verspricht man sich dadurch eine Beschleunigung des Verfahrens und eine Entlastung für die Verwaltung.
Die technische Realisierung soll mit einem BizTalk-Server erfolgen, der als Kommunikationsserver eingehende Nachrichten entgegennimmt, diese nach den technischen Schnittstellenanforderungen des Empfängers konvertiert und für den Empfänger in einem „Empfangsbriefkasten“ bereithält. Der Empfänger kann die Nachrichten dann nach seinen Erfordernissen abholen. Bei der Konvertierung werden nur Datenformate, bzw. das Schema für die Darstellung, angepasst. In der Nachricht selbst werden keine Daten verändert, gelöscht oder hinzugefügt. Jede Nachricht gelangt in genau einen Empfangsbriefkasten. Deshalb muss die Ausländerbehörde für jede Zielbehörde eine eigene Anfrage (automatisch) generieren.
Um unbefugte Zugriffe zu verhindern, wurden eine Reihe von Maßnahmen ergriffen:
Bei der Beteiligung des HLKA und des LFV geht es in einzelnen Fällen um sehr sensible Daten, beispielsweise um Ausführungen zu Straftaten oder Erkenntnisse über die Mitgliedschaft in verfassungsfeindlichen Organisationen. Wichtig war mir deshalb die Festlegung, dass vom LFV keine inhaltlichen Aussagen übermittelt werden, sondern nur die Feststellung „es liegt etwas vor“. Weitere Ausführungen zur Speicherung müssen deshalb – wie bisher auch – in Briefform erfolgen. Auf diese Weise wird zweierlei erreicht: Für den Betroffenen sensible Informationen werden nicht in das elektronische System eingestellt. Darüber hinaus ist sichergestellt, dass keine automatisierte Übernahme von Informationen erfolgen kann, sondern es immer der Zusammenstellung und Wertung durch einen Behördenmitarbeiter bedarf.
Beim HLKA werden im Rahmen von eAufenthalt zwar Informationen über die Art der Straftat übermittelt, z.B. Anzeige wegen zu schnellen Fahrens. Alles weitere – wie etwa Angaben zum Ausgang des jeweiligen Strafverfahrens – hat konventionell zu erfolgen. Es gibt allerdings Pläne, die Abfrage beim HLKA weiter zu automatisieren. An der Diskussion beteilige ich mich.
eAufenthalt soll bei der Ausländerbehörde der Stadt Frankfurt ab Dezember d.J. in Betrieb gehen, die weiteren Ausländerbehörden werden dann im Laufe des nächsten Jahres folgen.
5.4.2.2
eEinbürgerung
Auch am Einbürgerungsverfahren sind eine Vielzahl von Behörden beteiligt. Hinzu kommt, dass sich das Einbürgerungsverfahren über verschiedene Verwaltungsstufen erstreckt: Die unteren Verwaltungsbehörden (Gemeinden über 7.500 Einwohner ansonsten die Landkreise) nehmen die Einbürgerungsanträge entgegen, vervollständigen sie und führen beispielsweise auch den erforderlichen Test über ausreichende Deutschkenntnisse des Ausländers durch. Sie händigen ggf. auch die Einbürgerungsurkunde aus. Die Entscheidung über die Einbürgerung obliegt den Regierungspräsidien als Einbürgerungsbehörden. Vor der Entscheidung sind Stellungnahmen verschiedener Behörden über den Einbürgerungsbewerber einzuholen, beispielsweise von den Ausländerbehörden, die für den Betroffenen zuständig waren, vom LFV, vom HLKA, vom BZR. Dem HSL ist nach positiver Entscheidung über die Einbürgerung Mitteilung für die Einbürgerungsstatistik zu machen. Auf der dritten Stufe koordiniert das HMDIS den Verwaltungsvollzug und übt Aufsichtsbefugnisse aus.
Die Zahl der Einbürgerungsfälle in Hessen schwankt, pro Jahr sind es etwa 20.000. eEinbürgerung soll zum einen die Dauer des Verfahrens verkürzen und damit auch Anreize für die Einbürgerung schaffen, sowie die beteiligten Behörden entlasten.
Da es sich bei eEinbürgerung um ein sehr komplexes System handelt, wurde im Gesetzes zur Bestimmung der zuständigen Behörden in Staatsangehörigkeitsangelegenheiten vom 21. März 2005 (GVBl. I S. 229, 234) ein gemeinsames automatisiertes Verfahren gewählt.
| § 3 Abs. 2 Gesetz zur Bestimmung der zuständigen Behörden in Staatsangehörigkeitsangelegenheiten
Das für das Staatsangehörigkeitsrecht zuständige Ministerium kann ein gemeinsames automatisiertes Verfahren für die Bearbeitung von Einbürgerungsverfahren einrichten. Es kann die nach § 2 Abs. 1 zuständigen Behörden verpflichten, das gemeinsame automatisierte Verfahren zu nutzen. § 15 Abs. 1 Satz 2 - 4, Abs. 2 HDSG gilt entsprechend. |
Demgegenüber wird in dem Verfahren eEinbürgerung für jeden Antrag eine elektronische Akte angelegt, die der für die Einbürgerung zuständigen Behörde, dem Regierungspräsidium, zugeordnet ist. Andere Behörden wie beispielsweise Kommunen, Polizei oder Verfassungsschutz übermitteln Daten und Dokumente über einen Formularserver in die Akte. Sie haben lesenden Zugriff in den Akten auf die Dokumente, in deren Bearbeitung sie eingebunden sind. Es handelt sich daher um ein gemeinsames Verfahren nach § 15 HDSG.
Das Verfahren eEinbürgerung bedient sich für die Führung der elektronischen Akte des Dokumentenmanagement-Systems DOMEA. Beschäftigte verschiedener Behörden haben schreibenden oder lesenden Zugriff auf die elektronische Akte. Die Daten werden bis zur Löschung, also für lange Zeiträume, gespeichert. In dieser Zeit werden Datensicherungen vorgenommen und andere für den Betrieb des Verfahrens nötige Arbeiten durchgeführt. Die Daten können daher von den beteiligten Stellen und auch vom Personal des Betreibers, der HZD, zur Kenntnis genommen werden. Zugriffe unbefugter Personen müssen durch die Datensicherheitsmaßnahmen der HZD und die verfahrensspezifischen Sicherheitsvorkehrungen verhindert werden. Für die Übertragung ist eine Verschlüsselung mittels SSL vorgesehen, während für die Anwendung die Zugriffskontrolle des Dokumentenmanagementsystems greift. Die HZD verhindert mit räumlichen und technischen Maßnahmen auf Ebene des Servers unbefugte Zugriffe.
Die Vorteile für den Anwender liegen auf der Hand: Die beteiligten Behörden auf allen drei Verwaltungsstufen arbeiten mit derselben elektronischen Einbürgerungsakte und können sich also auch jederzeit über den Stand des Verfahrens informieren.
Auch hier habe ich Wert darauf gelegt, dass Informationen aus den Datenspeicherungen des LFV nicht in die elektronische Datei eingespeist, sondern konventionell verschickt und bearbeitet werden.
Das Verfahren wurde von den drei Regierungspräsidien, der Stadt Frankfurt, der Gemeinde Büttelborn, der Stadt Gießen und dem Schwalm-Eder-Kreis als Pilotprojekt getestet. In der Ausländerbehörde der Stadt Frankfurt läuft das Verfahren seit März 2007 im Echtbetrieb.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Auch für die Polizei sind Abrufe im automatisierten Verfahren aus dem Verkehrszentralregister nur im Rahmen der gesetzlichen Zweckbestimmung zulässig.
Ein Bürger bat mich, eine vermutete Datenschutzverletzung aufzuklären, die ihn sehr beunruhigte. Der Petent hatte während einer mehrtägigen Abwesenheit seinen Pkw in der Nähe seiner Wohnung auf einem ausgewiesenen öffentlichen Parkplatz abgestellt. Während dieser Zeit wurde sein Vermieter von einem ihm unbekannten Mann befragt, ob der Petent in seinem Haus wohne, da dessen Pkw vom Abstellort entfernt werden müsse. Er habe die Daten des Petenten bei der Polizei erfragt. Der Petent war im Nachhinein über diesen Vorfall sehr betroffen, da er und seine Lebensgefährtin in der Vergangenheit wiederholt Belästigungen eines sog. Stalkers ausgesetzt waren und nun erneute Zudringlichkeiten befürchteten. Für ihn war nicht nachvollziehbar, warum die Polizei Auskunft über seine Daten erteilt hatte.
Mit Hilfe von Protokolldateien konnte der Sachverhalt aufgeklärt werden. Die Auswertung der Protokollierungen des Zentralen Verkehrsinformationssystem (ZEVIS) beim Kraftfahrt-Bundesamt ergab, dass die Abfrage vom Mitarbeiter einer Polizei-Einsatzzentrale in Mittelhessen veranlasst wurde. Von dort erfolgte schließlich die Erklärung: Ein Nachbar hatte das parkende Fahrzeug des Petenten als angebliche Verkehrsbehinderung für seine Hofeinfahrt angezeigt. Da das Fahrzeug ordnungsgemäß geparkt war, konnte eine polizeiliche Maßnahme wie Abschleppen/Umsetzen nicht erfolgen. Eine Funkstreife, die den Sachverhalt vor Ort hätte aufklären können, war nicht verfügbar. Der Mitarbeiter veranlasste eine Abfrage beim Kraftfahrt-Bundesamt. Da der Halter in der Nähe des Nachbarn wohnsitzmäßig gemeldet war, bat der Mitarbeiter der Einsatzzentrale den Nachbarn, mit dem Halter selbst Kontakt aufzunehmen und gab ihm dafür die entsprechenden Daten bekannt. Der Nachbar traf jedoch nur den Vermieter an.
Gemäß §§ 35, 36 Abs. 1 Nr. 1b StVG kann die Polizei Halterabfragen aus ZEVIS tätigen, wenn es um die Verfolgung von Verkehrsordnungswidrigkeiten oder um die Abwendung von Gefahren für die öffentliche Sicherheit geht. Da das Fahrzeug des Petenten ordnungsgemäß geparkt war, lag weder ein Verstoß gegen die Straßenverkehrsordnung vor noch bestand eine öffentliche Gefährdung. Die Datenabfrage war nicht vom Gesetzeszweck gedeckt und daher unzulässig.
Zwar konnten die Folgen der Datenschutzverletzung nicht rückgängig gemacht werden. Mit der Aufklärung des Falles konnte der Petent aber zumindest von der Sorge einer befürchteten Belästigung durch den Stalker befreit werden. Darüber hinaus veranlasste die betroffene Behördenleitung eine innerdienstliche Aufklärung über die datenschutzrechtlichen Belange im Zusammenhang mit Abfragen aus dem Verkehrszentralregister. Ich gehe deshalb davon aus, dass dort zukünftig Verstöße nicht mehr vorkommen werden.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die GEZ hat keinen Anspruch auf Auskunft aus den Fahrzeugregistern, um säumige Gebührenzahler zu ermitteln. Auch bei der Suche nach nicht angemeldeten Autoradios fehlt der für eine Datenübermittlung notwendige Bezug zur Teilnahme am Straßenverkehr.
Im Berichtszeitraum erhielt ich eine Anfrage von einem hessischen Landesverband, ob die Übermittlung von Zulassungsdaten aus den Fahrzeugregistern an die GEZ zulässig sei. Ferner erging ein Rundschreiben des HMWVL an die hessischen Kfz-Zulassungsstellen zum gleichen Thema. Dies veranlasste mich, auch gegenüber dem Hessischen Rundfunk die Voraussetzungen klarzustellen, unter denen die Landesrundfunkanstalten bzw. die GEZ Auskünfte aus den örtlichen Fahrzeugregistern erhalten können. Danach gilt Folgendes:
Der HR hat zwischenzeitlich reagiert und seine Außendienstmitarbeiter angewiesen alle Anfragen an die Kfz-Zulassungsstellen in Hessen einzustellen. Er behielt sich jedoch vor, eine eigene Prüfung der Rechtslage durchzuführen, deren Ergebnis bei Redaktionsschluss jedoch noch nicht vorlag.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Einführung der zentralen Lehrer- und Schülerdatenbank (LUSD), eines der großen E-Government-Projekte der Hessischen Landesregierung, ist komplex und gestaltet sich schwierig; insbesondere gilt es neben technischen auch eine Vielzahl von datenschutzrechtlichen Problemen zu bewältigen. In die Problembewältigung bin ich frühzeitig eingebunden worden, so dass datenschutzrechtliche Beratung und antizipierende Kontrolle ineinander fließen.
Mit der Einführung der zentralen LUSD verfolgt das HKM die Ziele, die Verwaltungsarbeit an den Schulen zu vereinfachen, den Informationsfluss zwischen Schulen, Schulämtern, und Ministerium durch ein landesweites Schulnetz zu verbessern und durch stets aktuelle Daten die Planung der Unterrichtsabdeckung und der Schulentwicklung zu optimieren. In der Lehrer- und Schülerdatenbank sollen die Daten von rund 50.000 Lehrern und 660.000 Schülern an ca. 2.000 Schulen verwaltet werden.
5.6.1.1
Verfahren
5.6.1.1.1
Die alte LUSD
Bereits in meinem 24. Tätigkeitsbericht habe ich mich mit dem bis zur Umstellung im Schuljahr 2006/2007 eingesetzten dezentralen Verfahren LUSD beschäftigt. Vom Hessischen Institut für Bildungsplanung und Schulentwicklung wurde Mitte der 90er Jahre in Zusammenarbeit mit der HZD ein Nachfolgesystem zur „Schüler-Individual-Datei“ (SID) und dem Verwaltungsprogramm „Gymnasiale Oberstufe (GO)“ entwickelt. Dieses Programm LUSD war eine landesweit eingesetzte Schulverwaltungssoftware für hessische Schulen fast aller Schulformen. Es handelte sich um eine Datenbank, in der die Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und denjenigen, denen die Erziehung oder Pflege anvertraut ist, über die besuchten Unterrichtsveranstaltungen sowie den dort erzielten Leistungen (Noten) und den Unterrichtseinsatz der Lehrkräfte gespeichert und verarbeitet wurden. Das Produkt wurde ab dem Schuljahr 1995/96 an den Schulen eingesetzt und in den folgenden Jahren regelmäßig aktualisiert.
Seit 2002 liefern die Schulen ihre Statistik-Daten per Diskette über die jeweiligen Schulämter an die HZD. Die Daten sind anonymisiert und werden im Kultus-Data-Warehouse (KDW) für Planungs- und Entwicklungszwecke ausgewertet und dem HKM zur Verfügung gestellt. Weitere Daten erhält das Landesamt für Statistik für seine jährlichen Auswertungen.
5.6.1.1.2
Die neue LUSD
Mit der neuen Version der LUSD werden die gleichen Daten in einer operativen Datenbank zusammengeführt, die auf einem Server in der HZD angelegt ist und dort betreut wird. Die personenbezogenen Schülerindividualdatensätze werden von der Schule angelegt und gepflegt, die die Schülerinnen und Schüler jeweils besuchen. Auf diesen Datensatz hat grundsätzlich auch nur die Schule Zugriff, der die Schülerinnen bzw. die Schüler angehören. Bei einem geplanten Schulwechsel kann die zur Aufnahme vorgesehene Schule einen Blick auf die zur Aufnahmeentscheidung notwendigen Schülerdaten erhalten. Dies wird durch die Zuordnung eines Kandidatenstatus ermöglicht. Erst mit der endgültigen Aufnahmeentscheidung übergibt die abgebende Schule die Zugriffsberechtigung an die aufnehmende Schule.
Auswertungen und Berichte in der LUSD sind nur schulbezogen und nur von den berechtigten Mitarbeiterinnen und Mitarbeitern der Schulen erstellbar. Es handelt sich im Wesentlichen um Serienbriefe, Klassen- und Kurslisten.
5.6.1.1.3
Unterschiede alte LUSD/neue LUSD
Der wesentliche Unterschied der neuen zur alten LUSD-Anwendung liegt darin, dass alle Schulen – im Rahmen ihrer Zugriffsrechte – auf dieselbe Datenbank zugreifen. Die bisherige LUSD-Anwendung wurde an jeder Schule individuell installiert, hatte nur ihren eigenen Datenbestand und auch nur Zugriff auf diesen. Mit der übergreifenden Speicherung der Daten in einer zentralen Datenbank wurden auch nachfolgende Änderungen bzw. Erweiterungen vorgenommen:
Es handelt sich um nicht personenbezogene Daten (bisher als Katalogdaten bezeichnet), die für alle Schulen gleich sind, z.B. Listen von Orten, Schulämtern, Fächern, Schulformen, Stundentafeln oder Aufzählungen wie amtliche Bezeichnungen für Dienst, Lehramt, Funktion oder einfache Wertelisten für Anrede, Kursart, Kursoption.
Sie können wie in der alten LUSD pro Schule verwaltet werden. Sie sind in der neuen LUSD-Anwendung nur für die jeweilige Schule sichtbar. Dies betrifft im weitesten Sinn das schulische Umfeld von den Schulen der Umgebung bis zur Raumsituation der Schule.
Die Daten zu jedem Schüler werden nicht mehrfach (d.h. einmal pro besuchte Schule) vorgehalten. Zu jedem Schüler wird nur ein Datensatz schulübergreifend in der Datenbank gespeichert. Dabei gehört die Datenhoheit über die Daten eines Schülers immer jeweils der Schule, die er besucht.
Bei schulübergreifenden Unterrichtsformen (z.B. gemeinsame Leistungskurse benachbarter Gymnasien) werden Schülerdaten in beiden beteiligten Schulen genutzt. Der Schulleiter der Schule, an der der Unterricht stattfindet, benötigt für die Unterrichtsorganisation einen Teil der Daten der Schüler der Stammschule (z.B. für namentliche Klassenliste, Kontakt zu Schülern). Schreibenden Zugriff hat er nur auf die Unterrichts- und Leistungsdaten, für die seine Schule Verantwortung trägt. Die Gesamtverantwortung verbleibt bei der Stammschule.
Die Konzeption des Berechtigungskonzeptes folgt dem Grundsatz, dass den Anwendern der Zugriff ausschließlich auf diejenigen Daten eingeräumt wird, die ihnen elektronisch oder schriftlich bereits auch schon jetzt zur Erfüllung ihrer Aufgaben zur Verfügung stehen, und zwar ausschließlich im Rahmen der dienstlichen Erforderlichkeit. Über die Zugriffsrechte an der Schule entscheiden die Schulleiterinnen und Schulleiter. Das alte LUSD-Programm ließ die Profile „Schulleiter“ (Zugriff auf alle Daten) und „Sekretärin“ (nur Zugriff auf Schülerdaten) zu. Hinzu kam die Rolle des Administrators bzw. der Administratorin. In der neuen LUSD wurde das Konzept um die Rollen Abteilungsleiter/in und Schulzweigleiter/in sowie Lehrer bzw. Lehrerin erweitert. Die Zugriffsberechtigung bzw. Beschränkung ergibt sich aus den jeweiligen Zuständigkeiten. Soweit die Schulleitung Aufgaben delegiert, kann sie auch die entsprechende Rolle delegieren.
5.6.1.2
Einführungsstrategie in Stufen
Die Einführung der zentralen LUSD erfolgt in mehreren Stufen:
Mit der Implementierung der neuen Software wurde im Oktober 2006 begonnen. Die ersten Migrationen fanden ohne erkennbare, größere Probleme statt. Im Laufe des Schuljahres 2006/2007 wurden alle Daten aller Schulen auf die zentrale Datenbank übernommen. Die Situation eskalierte Ende des Schuljahres 2006/2007 und Anfang des Schuljahres 2007/2008, als besonders viele Datenbankzugriffe zugleich erfolgten. Die Sekretariate klagten zunehmend über Datenverluste und Leitungsprobleme. Im Laufe des Entwicklungsprojektes wurde Prozess- bzw. Business-Logik auf dem Datenbank-Server statt auf dem Application-Server abgebildet. Bei hoher Beanspruchung war die Datenbank überlastet, dies ergab Wartezeiten. Diese Wartezeiten führten zu einem Abbruch der Datenverarbeitung mit der Folge des Verlusts der eingegebenen Daten. Zur Problemlösung muss die gesamte Struktur der Datenbank überarbeitet werden. Mit einem neuen Programm ist erst Mitte 2008 zu rechnen.
5.6.1.2.2
Anbindung der LUSD an das Kultus-Data-Warehouse
Die Statistikdaten sollen direkt durch Datenabzug an das KDW elektronisch übermittelt und von dort an das Landesamt für Statistik weitergeleitet werden. Der bisher praktizierte Versand von Disketten entfällt. Bei Erstellung dieses Berichts waren allerdings die davon betroffenen Datenkataloge und die notwendigen Änderungen der diesbezüglichen Rechtsgrundlagen noch nicht derart konkretisiert, dass sie an dieser Stelle dargestellt werden könnten. Man kann festhalten, dass das Verfahren selbst eine Änderung erfahren wird, da bundesweit der Vergleich von Schülerkarrieren geplant ist. Hierfür wird eine eigene Vorabkontrolle erforderlich. Ob die bestehenden Rechtsgrundlagen ausreichen, wird zurzeit noch geprüft. Auch die technische Gestaltung ist noch nicht abschließend geklärt.
5.6.1.2.3
Daten aus den Meldeämtern
Zur Überprüfung der Erfüllung der Schulpflicht wurden bisher die Daten der einzuschulenden Kinder über die staatlichen Schulämter an die Schulen übermittelt. Die geplante Änderung der Meldedatenübermittlungsverordnung sieht hier eine Vereinfachung vor (s. auch Ziff. 5.6.2): Die Daten der betroffenen Kinder sollen aus den Meldeämtern direkt in die LUSD-Datenbank eingespeist werden. Folgende Daten werden übermittelt:
5.6.1.2.4
Anbindung der LUSD an SAP R/3 HR
Die Stammdaten von Lehrkräften und Daten über ihren Unterrichtseinsatz sollen gespeichert und verarbeitet werden. Es ist geplant, die schulrelevanten Stammdaten direkt über eine Schnittstelle aus dem Verfahren SAP R/3 HR zu importieren. Folgende Daten sind vorgesehen:
In einem späteren Release ist geplant, dass die staatlichen Schulämter, die Schulträger und das HKM Inforollen erhalten. Hierdurch soll ein Zugriff auf Berichte und Reports aus der LUSD ermöglicht werden.
5.6.1.3
Datenschutzrechtliche Bewertung
Die datenschutzrechtliche Bewertung bezieht sich nur auf die Stufe 1 der Einführungsstrategie, die weiteren Stufen sind noch nicht so weit konkretisiert, dass eine Bewertung möglich ist.
5.6.1.3.1
Gemeinsames Verfahren nach § 15 HDSG
Wenn mindestens zwei Daten verarbeitende Stellen gemeinsam und automatisiert auf dieselben Datenbestände oder Teile davon zugreifen können, bin ich nach § 15 Abs. 1 HDSG vor Einführung des Verfahrens anzuhören. Dabei sind mir die in Satz 4 erwähnten Angaben und Unterlagen zu überlassen.
Eine Besonderheit bei der Einführung der zentralen LUSD machte ein solches Beteiligungsverfahren notwendig.
| § 15 Abs. 1 HDSG
Die Einrichtung eines automatisierten Verfahrens, das mehreren Daten verarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglicht, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Benutzung des Verfahrens ist im Einzelfall nur erlaubt, wenn hierfür die Zulässigkeit der Datenverarbeitung gegeben ist. Vor der Einrichtung oder Änderung eines gemeinsamen Verfahrens ist der Hessische Datenschutzbeauftragte zu hören. Ihm sind die Festlegungen nach Abs. 2 Satz 1, das Verfahrensverzeichnis nach § 6 Abs. 1 und das Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3 vorzulegen. |
Wie oben unter Ziff. 2.3 dargestellt, können beim sog. Kandidatenverfahren mehrere Schulen auf bestimmte Schülerdaten zumindest lesend zugreifen. Neben der Stammschule sind dies die Schulen, bei denen sich die Schülerinnen bzw. Schüler vor einem beabsichtigten Schulwechsel als Interessent anmelden. Das Verfahren lässt nur den Zugriff auf diejenigen Schülerdaten zu, die die Schulleitung für ihre sachgerechte Entscheidung über die Übernahme der Schülerin bzw. des Schülers benötigt, also auf Schülerdaten, die für die anstehende Entscheidung erforderlich sind. Statt eines solchen Lesezugriffs wäre es zwar auch möglich gewesen, die relevanten Auskünfte bei den Betroffenen selber einzuholen oder sich die Schülerakte zusenden zu lassen und diese einzusehen. Der Online-Zugriff stellt demgegenüber die schnellere und – da nicht auf alle Daten zugegriffen werden kann – auch die datenschutzfreundlichere Variante dar. Die in § 15 Abs. 1 HDSG notwendige Abwägung mit den schutzwürdigen Interessen der Schülerinnen und Schüler ergab deshalb die Feststellung, dass das Verfahren datenschutzrechtlich angemessen ist. Ansonsten stand im Mittelpunkt der datenschutzrechtlichen Bewertung der Unterlagen die in § 15 Abs. 1 Satz 4 erwähnte Vorabkontrolle.
5.6.1.3.2
Die Vorabkontrolle (Stufe 1)
§ 7 Abs. 6 HDSG verlangt für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung eine gutachtliche Bewertung der einzelnen Gefahren für das informationelle Selbstbestimmungsrecht unter den Aspekten der rechtlichen Zulässigkeit sowie der technischen und organisatorischen Datensicherheit (Vorabkontrolle).
| § 7 Abs. 6 HDSG
Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten. |
Durchzuführen ist die Vorabkontrolle von demjenigen, der für den Einsatz oder die wesentliche Änderung des Verfahrens zuständig ist. Die LUSD soll in den Schulen landeseinheitlich eingeführt werden. Die Konzeption und die Gesamtsteuerung lagen und liegen beim HKM. Gleichwohl bleiben die Schulen aber für ihren Bereich die nach dem HDSG verantwortlichen Daten verarbeitenden Stellen. Bei der Konzeption der Vorabkontrolle in § 7 Abs. 6 HDSG waren solche Szenarien, wie sie bei landeseinheitlichen Verfahren anzutreffen sind, bereits absehbar. Deshalb trifft die Pflicht zur Erstellung der Vorabkontrolle denjenigen, der für den Einsatz zuständig ist. Insoweit das HKM zentrale Vorgaben für den Einsatz des Verfahrens macht, hat es folglich auch die Vorabkontrolle zu erstellen. Da es sich bei der LUSD um ein gemeinsames Verfahren nach § 15 HDSG handelt, trifft den Federführer hier die Pflicht, die Vorabkontrolle durchzuführen, sofern sie nicht durch IT-technische und organisatorische Detailvorgaben der jeweiligen Schulen für ihren Bereich ergänzt werden muss. Dies wurde mit der Erstellung eines Musters bewältigt, in dem die generellen Vorgaben behandelt und die von den Schulen zu ergänzenden Angaben gekennzeichnet sind, die jeweils in die Schlussbewertung einzubeziehen sind. Dieses Muster gibt den Rahmen für die einzelnen Schulen, überlässt es ihnen aber, die bei ihnen jeweils zu bewertenden Gefahren und die Gegenmaßnahmen detailliert im Rahmen ihrer eigenen Ergänzung zu beschreiben. Außerdem müssen die Schulen, soweit die einzelnen Vorgaben die dort vorhandene IT-Sicherheitsstruktur verändern, ihr eigenes nach § 10 Abs. 2 HDSG und entsprechend Nr. 5.2 der IT-Sicherheitsleitlinie notwendiges Sicherheitskonzept erstellen bzw. fortschreiben. Das Muster der Vorabkontrolle hat das HKM wegen der zahlreichen, teils neuen datenschutzrechtlichen Fragestellungen mit mir abgestimmt.
5.6.1.3.3
Umsetzung der Datenschutzmaßnahmen
Bereits im Oktober 2004 hat mich das HKM über die Planung der LUSD informiert, seit diesem Zeitpunkt begleite ich das Projekt datenschutzrechtlich.
Im Februar 2005 lag mir der erste Entwurf der Vorabkontrolle für die Migration der Schulen vor. Er war noch unzureichend und ich hatte folgende Forderungen formuliert:
Zu 1.
Erstellung von Sicherheitskonzepten für Schulen
Die Notwendigkeit „Muster-Sicherheitskonzepte“ zu erstellen und umzusetzen, ist seit langem unumstritten. Bisher mangelte es and den fachlichen und personellen Ressourcen. Im Rahmen der zentralen LUSD hat das HKM für diese Aufgabe ab dem 1. August 2007 für ein Jahr eine Kraft vom Schulamt abgeordnet. Diese wird eine Arbeitsgruppe leiten, die sich mit der Erstellung mit „Muster-Sicherheitskonzepten“ befasst. Mit diesen ist im Frühsommer 2008 zu rechnen.
Zu 2.
Präzisierung und Umsetzung der Sicherheitsmaßnahmen in den Sicherheitskonzepten „LUSD“ und „Netzanbindung“
Hierbei handelt es sich im Wesentlichen um organisatorische Maßnahmen. Deshalb sah die ursprüngliche Planung vor, diese Präzisierung und Umsetzung während des „Roll-Outs“ (Migration der Schulen) durchzuführen.
Aufgrund der schwerwiegenden technischen Probleme blieb hierfür leider keine Zeit. Hier muss im Zuge der Überarbeitung der LUSD erheblich nachgebessert werden.
Zu 3.
Fertigstellung der Entwürfe der Sicherheitskonzepte „E-Mail“ und „Internetzugang“
Die Sicherheitskonzepte sind fertig gestellt, liegen mir seit März 2007 vor und sind nicht zu beanstanden.
Wie in Ziff. 5.6.1.4.2 beschrieben, müssen die Schulen eine eigene Vorabkontrolle vornehmen. Das HKM hat im Dezember 2006 den Erlass „Einführung der neuen LUSD und Vorgaben zur Gewährleistung der IT-Sicherheit und Datenschutz an staatlichen hessischen Schulen“ vom 23. November 2006 I. 7-640.000.010-27 im Amtsblatt 12/06 veröffentlicht und darin angekündigt, dass die Schulen die Muster-Vorabkontrolle in Form einer CD erhalten, damit sie auf dieser Basis die abschließende Vorabkontrolle selbst vornehmen können.
Der Versand der Disketten erfolgte im Juni 2007. Die Vorabkontrolle durch die Schulen wurde, soweit ich ersehen konnte, bisher nicht durchgeführt.
5.6.1.4
Ergebnisse weiterer Prüfungen
Im Laufe des Jahres 2007 habe ich mehrere Prüfungen durchgeführt. Bei der Einführung kam es zu einigen datenschutzrechtlichen Pannen.
5.6.1.4.1
Umsetzung durch die Schulträger
Bei der Einführung der zentralen LUSD wurden die Schulträger vor die Aufgabe gestellt, die notwendige technische Infrastruktur bis zum ersten Router der Zentralanbindung zur Verfügung zu stellen und darauf zu achten, dass die lokalen Systemkonfigurationen keine Sicherheitslücken enthalten, die einen unbefugten Zugang zu den Daten der zentralen LUSD bzw. zu den Systemen erlauben würden.
Dabei haben sich die Schulträger, die die Sachmittelausstattung der Schulen bereit stellen, dieser Aufgabe landesweit auf sehr unterschiedliche Weise angenommen. Auf Grund ihrer unterschiedlichen strukturellen Voraussetzungen, zum Teil bereits bestehender Netze und dem auch noch nach Schultyp und Ausstattungszeitpunkt sehr differierenden heterogenen Gerätebestand ergaben sich verschiedenste Lösungen. Es wurden sowohl einzelne Arbeitsplätze, die nicht mit dem eigentlichen Schulverwaltungsnetz verbunden sind, für das Arbeiten mit der zentralen LUSD bereit gestellt, als auch komplette, bereits bestehende Schulverwaltungsnetze nach einigen Anpassungen insgesamt angebunden.
Drei Schulträger haben den Anschluss der Schulverwaltungsrechner zum Anlass genommen, gemeinsam alle Rechner ihres Zuständigkeitsbereichs auf ein einheitliches technisches Niveau zu bringen. Die einheitliche Ausstattung von Hard- und Software sollte insbesondere den in den kommenden Jahren zu leistenden Support-Aufwand minimieren und gewährleisten, dass die lokalen Systeme dauerhaft in einer sicheren Konstellation betrieben werden. Bei der Umsetzung wurde aber nicht berücksichtigt, dass die Schule Daten verarbeitende Stelle im Sinne des § 2 Abs. 3 HDSG ist und damit die Verantwortung für die Verarbeitung der Schüler- und Lehrerdaten auch über die LUSD hinaus bei der Schulleitung liegt.
| § 2 Abs. 3 HDSG
Daten verarbeitende Stelle ist jede der in § 3 Abs. 1 genannten Stellen, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt. |
Den Schulen wurde in den bereitgestellten Systemumgebungen alle Möglichkeiten zur Wahrnehmung ihrer Aufgaben entzogen. Sie hatten keinerlei Einsicht in die Systemprotokolle und konnten auch die System-Einstellungen von Betriebssystem und Anwendungen nicht überprüfen.
Grundsätzlich hat eine Behördenleitung sonst auch keine unmittelbaren Zugriffsrechte auf der beschriebenen Systemebene. Aber sie kann ständig eigenes Personal oder einen Auftragnehmer anweisen, die Systemzustände stichprobenhaft oder Anlass bezogen zu kontrollieren und die entsprechenden Systembereiche zur Kontrolle sogar unmittelbar zugänglich zu machen bzw. notwendige Änderungen sofort umzusetzen. In der hier gegebenen Konstellation – die Schulleitungen haben gegenüber dem Personal des Schulträgers keinerlei Weisungsbefugnis – war das nicht mehr möglich.
Ich habe die Schulträger aufgefordert, die Handlungsfähigkeit der Schulleitungen durch eine Änderung der Systemeinstellungen wieder herzustellen. Da sich die notwendigen Kontrollfunktionen nicht ohne weiteres mit den Berechtigungen eines normalen Systembenutzers verbinden lassen, wird den Schulen zunächst wieder ein Konto mit administrativen Rechten einzurichten sein. In einem weiteren Schritt kann ein Konzept zu einer aufgabengerechten Rechtezuweisung an die Schulleitungen erarbeitet werden.
Außer diesem grundsätzlichen Konzeptfehler zeigten sich neben weiteren Details noch zwei wichtige Problembereiche:
Um innerhalb einer Schule möglichst effizient die einzelnen Verwaltungsrechner administrieren zu können, hatten die erwähnten drei Schulträger mit der Neukonzeption der LUSD-Arbeitsplatzrechner die Verwendung einer Software zum Fernzugriff vorgesehen, bei der das Monitorbild eines entfernten Rechners über das interne Netzwerk an das lokale System übertragen wird und die lokalen Mausbewegungen und die Tastaturanschläge zur Steuerung des anderen Gerätes eingesetzt werden. Man kann dann mit wenigen Einschränkungen so arbeiten, wie an einem lokalen Gerät.
Die hier eingesetzte Variante der Software VNC (Virtual Network Computing) wurde allerdings nicht richtig konfiguriert. Remote Controle Software darf nur eingesetzt werden, wenn der Benutzer des fernadministrierten Rechners aktiv einer Abfrage zur Aufschaltung zugestimmt hat, und danach ständig durch einen entsprechenden optischen Hinweis auf die Aktivität des Programms aufmerksam gemacht wird. Er muss ferner jederzeit die Möglichkeit haben, die Verbindung zum administrierenden Rechner zu unterbrechen. Darüber hinaus sollten die Einstellungen und die anfallenden Anwendungsprotokolle der Software nach Möglichkeit in einem geschützten Bereich hinterlegt werden, der idealerweise nur nach dem Vier-Augen-Prinzip zugänglich ist. Insbesondere die Frage nach dem Schutz der Einstellungen und der Protokolle ist nur mit zusätzlichem Aufwand zu realisieren. Die Schulträger haben sich nach meiner Kritik dazu entschlossen, die Software komplett auf allen ausgelieferten Rechnern zu deinstallieren.
5.6.1.4.2
Unberechtigte Zugriffe auf die Daten der LUSD
Im August des vergangenen Jahres unterrichtete mich das HKM über einen Programmfehler im Modul „Passwortmanagement“. Bei Namensgleichheiten sei ein unberechtigter Zugriff auf die Datenbank möglich gewesen. Der Fehler sei erkannt und bereits behoben.
Im September wurde ich mit dem Problem abermals konfrontiert, als sich ein Schulleiter an mich wandte. Zwei Kollegen anderer Schulen hatten ihm mitgeteilt, dass es ihnen möglich wäre, von ihren Schulen auf die Daten seiner Schule zuzugreifen. Die Vorfälle seien unverzüglich dem zentralen LUSD-Support, den zuständigen staatlichen Schulämtern und dem HKM zur Kenntnis gegeben worden, aber noch nicht abgestellt. Ich wandte mich an das HKM und bat um sofortige Aufklärung. Es ergab sich folgender Sachverhalt:
Die zur Unterscheidung vom System ergänzte, laufende Ziffer verhindert nicht, dass es bei einer Fehleingabe relativ schnell zum Aufruf einer falschen Benutzerkennung kommt (z.B. wenn AMustermann11 versehentlich nur AMustermann1 eintippt).
Die Gewährung des Zugriffs auf fremde Datenbestände kam letztendlich zu Stande, weil ein Fehler im Ablauf der Passwort-Wechselroutinen beim Testen und Freigeben nicht aufgefallen war. Dadurch wurde bei einer Kennung, deren Passwort fristgemäß abgelaufen war, die Passwortwechselroutine ausgeführt, ohne dass der Benutzer durch das Altpasswort am System authentifiziert wurde. Der versehentliche Aufruf einer Benutzerkennung deren Passwort abgelaufen war, führte also mit dessen Neuvergabe zu einem umfassenden Zugriff.
Auch wenn mir bis Redaktionsschluss keine weiteren Fälle bekannt geworden sind, die auf dem geschilderten Programmfehler beruhen, werde ich bei der Fortentwicklung der Anwendung darauf hinwirken, dass in das Verfahren eine Plausibilitätskontrolle integriert wird, mit der die landesweite Verwendung der Anwenderkennungen eingeschränkt werden kann, und die zu einer auswertbaren Protokollierung im zentralen Verfahren führt.
Auffälligkeiten können dann schneller erkannt und hinterfragt werden.
5.6.1.4.3
Internet-Nutzung
Mit der Einführung der LUSD und dem Aufbau eines landesweiten Schulnetzes ist es allen Schulen möglich, den gesicherten Internetzugang über die HZD zu nutzen. In dem Sicherheitskonzept „Internetzugang“ ist den Schulnetzen ein weiterer ungesicherter Netzzugang untersagt. Bei meinen Prüfungen musste ich aber feststellen, dass diese Vorgabe nicht eingehalten wurde.
5.6.1.5
Ausblick
Die vorliegenden technischen Konzepte sind nicht zu beanstanden. Wenn alle dort beschriebenen Maßnahmen umgesetzt werden und die Ergebnisse und Forderungen meiner Prüfungen berücksichtigt werden, bestehen keine datenschutzrechtlichen Bedenken gegen den Einsatz der LUSD in der 1. Stufe.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Zur effektiven Kontrolle der rechtzeitigen Anmeldung schulpflichtig werdender Kinder durch die Schulen, soll der Datenaustausch zwischen den Meldeämtern und den Schulen in eine datenschutzrechtlich korrekte und überwiegend automatisierte Verfahrensweise überführt werden.
Das HMDIS beteiligte mich bei dem Entwurf zur Änderung des § 17 Abs. 1 der MeldDÜVO. Diese Vorschrift erlaubt die Datenübermittlung zwischen den Meldeämtern und den Schulen zur Überwachung der Schulanmeldung schulpflichtig gewordener Kinder durch die Schulen. Nach § 58 HSchulG tritt die Schulpflicht grundsätzlich mit Vollendung des sechsten Lebensjahres ein, und zwar zum 1. August des jeweiligen Jahres. Die Eltern haben entsprechend die Schulanmeldung vorzunehmen. Dies ergibt sich aus § 67 Abs. 1 HSchulG.
| § 67 Abs. 1 HSchulG
(1) Die Eltern sind dafür verantwortlich, dass die Schulpflichtigen am Unterricht und an den Unterrichtsveranstaltungen der Schule regelmäßig teilnehmen. Sie sind verpflichtet, die Schulpflichtigen bei der zuständigen Schule an- und abzumelden und sie für den Schulbesuch angemessen auszustatten. |
Soweit die Eltern diesen schulrechtlichen Pflichten nicht nachkommen, kann dies zu einem Bußgeldtatbestand führen nach § 181 Abs. 1 Nr. 2 HSchulG.
Die Erfüllung dieser Pflicht muss von der jeweils örtlich zuständigen Grundschule überwacht werden. Dies wurde bisher ermöglicht, indem die Meldeämter den zuständigen Schulen über die staatlichen Schulämter digitalisierte Datensätze zu den betroffenen Kindern überließen, die in das schulische Standardverwaltungsprogramm LUSD dort eingespielt wurden.
Im Zuge der generellen Aktualisierung der MeldDÜVO war beabsichtigt, den hier betroffenen § 17 Abs. 1 den neuen IT-Strukturen in der Schulverwaltung anzupassen.
Im Rahmen meiner Stellungnahme zum Entwurf nahm ich zugleich die Gelegenheit wahr, den Weg des Datentransfers datenschutzrechtlich zu korrigieren. Der letzte Satz des Abs. 1 sah bisher nämlich vor, dass die Datensätze über die jeweils zuständigen staatlichen Schulämter an die Schulen weitergeleitet wurden. Da das Schulgesetz im Zusammenhang mit der Überwachung der Erfüllung der Schulpflicht nur der örtlich jeweils zuständigen Grundschule, nicht aber den staatlichen Schulämtern Aufgaben zuweist, ist der Datenweg über diese Ämter datenschutzrechtlich nicht zulässig. Nach § 58 Abs. 1 sind schulpflichtige Kinder bei der örtlich zuständigen Grundschule, nicht beim Schulamt anzumelden. Die ursprünglich vom HKM in der Neufassung des § 17 Abs. 1 geforderte Variante, dass der Datenweg über das HKM gehen solle, habe ich aus diesem Grund abgelehnt.
Im Zuge der Neufassung des § 17 Abs. 1 prüfte ich auch die Frage der Erforderlichkeit der insgesamt sieben Einzeldaten zum betroffenen Kind:
Im Gegensatz zur bisherigen Regelung soll der neue § 17 Abs. 1 nicht mehr Weg und Technik der Datenübermittlung festlegen. Bei den Erörterungen erhielt ich die Auskunft, dass dieser Datentransfer künftig direkt erfolgen soll, über eine Einspielung der jeweiligen Datensätze pro Schule in die bei der HZD zentral verarbeiteten LUSD-Daten der Schulen (vgl. Ziff. 5.6.1). Die Meldeämter haben insoweit künftig eine entsprechende Lieferpflicht gegenüber der HZD, die allerdings noch programmtechnisch zu entwickeln ist. Den datenschutzrechtlichen Erfordernissen ist dadurch entsprochen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Das förmliche Verfahren zur Beantragung einer Pflichtstundenermäßigung für schwerbehinderte Lehrkräfte ist datenschutzrechtlich nicht zu beanstanden. Allerdings war das von einem Staatlichen Schulamt verwendete Formular einer Erklärung der Entbindung von der ärztlichen Schweigepflicht unpräzise bzw. missverständlich formuliert. Meinen Vorschlag zur Änderung der Erklärung hat das Schulamt übernommen.
5.6.3.1
Die Eingabe eines schwerbehinderten Lehrers
Ein schwerbehinderter Lehrer wandte sich an mich, weil er im Zusammenhang mit einer beantragten Stundenermäßigung vom Gesundheitsamt ein Formular zur Unterschrift vorgelegt bekommen hatte, wonach er seine Zustimmung zur Aufhebung der ärztlichen Schweigepflicht geben solle, um medizinische Informationen zu seiner Person an das RP Gießen übermitteln zu können. Der Betroffene verweigerte dies mit dem Hinweis, seinen Arbeitgeber bzw. das RP gingen diese Informationen nichts an. Mich bat er hierzu um eine datenschutzrechtliche Stellungnahme.
5.6.3.2
Das Verfahren zur Ermäßigung der Pflichtstundenzahl
Gemäß § 17 der Verordnung über die Pflichtstunden der Lehrkräfte, über die Anrechnung dienstlicher Tätigkeiten und über Pflichtstundenermäßigungen (Pflichtstundenverordnung) vom 20. Juli 2006 (ABl. Nr. 08/2006, S. 631) kann das Staatliche Schulamt auf Antrag eine Pflichtstundenermäßigung von zwei Wochenstunden gewähren, wenn die Notwendigkeit dieses Nachteilsausgleichs vom Gesundheitsamt bescheinigt wird.
| § 17 Verordnung über die Pflichtstunden der Lehrkräfte
Lehrkräften sowie Sozialpädagoginnen und Sozialpädagogen, die Schwerbehinderte nach § 2 Abs. 2 SGB IX sind, kann das Staatliche Schulamt auf Antrag eine Pflichtstundenermäßigung von zwei Wochenstunden gewähren, wenn die Notwendigkeit dieses Nachteilausgleichs vom Gesundheitsamt bescheinigt wird. Wenn das Gesundheitsamt eine höhere Pflichtstundenermäßigung empfiehlt und der Medizinaldienst des Regierungspräsidiums Gießen dieser Empfehlung zustimmt, kann eine weitere Ermäßigung von bis zu drei Wochenstunden gewährt werden. Die Pflichtstundenermäßigungen sind je nach Art der Behinderung zu befristen. Jede Änderung des Gesundheitszustandes oder der dienstlichen Voraussetzungen ist dem Staatlichen Schulamt zu melden; dieses kann seine Entscheidung jederzeit ändern oder aufheben. |
Die Beantragung durch den Betroffenen erfolgt formlos und gegenüber dem Schulamt. Dieses erteilt einen Untersuchungsauftrag beim Gesundheitsamt mit der Maßgabe, Mitteilung darüber zu machen, ob und in welchem Umfang eine Pflichtstundenermäßigung in Frage kommt. Wird vom Gesundheitsamt eine Reduzierung von mehr als zwei Stunden empfohlen, soll es den Betroffenen eine Erklärung zur Entbindung von der Schweigepflicht unterschreiben lassen, damit eine Weiterleitung der Unterlagen an die dann zuständige Medizinalaufsicht beim RP Gießen erfolgen kann.
Der Antragsteller erhält vom Schulamt vor dem Untersuchungstermin ein Schreiben, in dem auf die Einschaltung des Gesundheitsamtes hingewiesen wird. Auch wird ihm mitgeteilt, welche Unterlagen vom Gesundheitsamt benötigt werden. Außerdem wird auf die Schweigepflichtentbindungserklärung mit dem Hinweis verwiesen, diese zu unterschreiben, wenn die Ermäßigung drei Stunden betragen solle.
Ist dies nämlich der Fall, gehen die Unterlagen zusammen mit der Empfehlung des Gesundheitsamtes zur Medizinalaufsicht beim RP Gießen, die hessenweit zuständig ist. Dort wird im weiteren Verlauf des Verfahrens in der Regel nach Aktenlage entschieden. Zur Beurteilung des Sachverhaltes fordert die Medizinalaufsicht folgende Daten vom Betroffenen an, soweit sich diese nicht bereits in den vom Gesundheitsamt gelieferten Unterlagen befinden:
5.6.3.3
Die Schweigepflichtentbindung
Das Schulamt hatte ein Formular mit folgendem Inhalt konzipiert:
„Hiermit entbinde ich das Stadtgesundheitsamt von seiner Schweigepflicht gegenüber dem RP Gießen, was die medizinischen Unterlagen und Auskünfte zu meinem Antrag auf Reduzierung der Stundenzahl betrifft.“
Für die Antragsteller, das hatte auch die Beschwerde des Lehrers gezeigt, ist die Information darüber wesentlich, wer zu welchem Zeitpunkt bzw. Stadium des Antragverfahren welche Daten erhält. Es macht in der Tat einen Unterschied, ob bei einem Antrag gemäß § 17 der Pflichtstundenverordnung ausschließlich das Schulamt selbst sowie das zuständige Gesundheitsamt eingeschaltet sind oder darüber hinaus auch der Medizinaldienst eingeschaltet wird, soweit die vom Gesundheitsamt vorgeschlagene Reduzierung mehr als zwei Stunden wöchentlich umfasst.
An dieser Stelle setzte auch mein Verbesserungsvorschlag zur Präzisierung der Erklärung ein:
„Da die Gewährung von mehr als zwei Wochenstunden Pflichtstundenermäßigung gemäß § 17 Pflichtstundenverordnung die Zustimmung des Medizinaldienstes des RP Gießen erfordert, bin ich damit einverstanden, dass das Gesundheitsamt meine Antragsunterlagen an den Medizinaldienst weitergibt und erforderliche Auskünfte hierzu erteilt.“
Mit dieser Formulierung wird den Betroffenen deutlicher als bislang klargemacht, dass im Falle einer höheren Pflichtstundenermäßigung die Medizinalaufsicht einzuschalten ist und dies eine entsprechende Datenübermittlung zur Folge hat.
5.6.3.4
Reaktion des Schulamtes
Das Schulamt hat als Reaktion auf meinen Vorschlag hin zugesichert, künftig den von mir formulierten Text zu verwenden. Damit lassen sich Missverständnisse hinsichtlich einer geplanten bzw. erforderlichen Übermittlung medizinischer Daten vermeiden.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Das Fotografieren von Schülerinnen, Schülern und Lehrkräften in der Schule durch einen professionellen Fotografen und der Verkauf der Fotos hat lediglich in einer Rechtsbeziehung zwischen diesem und den Fotografierten zu erfolgen. Die Schulverwaltung stellt nur den organisatorischen Rahmen zur Verfügung.
Der Datenschutzbeauftragte einer Schule bat mich, zu einem Sachverhalt Stellung zu nehmen, der in zahlreichen Schulen immer wieder vorkommt:
Ein bundesweit tätiges Unternehmen bietet Schulen an, von Lehrkräften und Schülern, sowohl einzeln als auch in der Klassengemeinschaft, Fotos anzufertigen und den Betroffenen die Bilder dann zum Kauf anzubieten. Auch seine Schule habe dieses Angebot erhalten und sie sei gebeten worden, die notwendigen organisatorischen Vorbereitungen zu übernehmen. Insbesondere sollten die Schüler, Eltern und Lehrkräfte über dieses Angebot informiert werden. Die Schülerfotos sollten der Schule auf Wunsch auch zum Anfertigen von Schülerausweisen zur Verfügung gestellt werden.
Die Frage des schulischen Datenschutzbeauftragten war insbesondere, welche rechtliche Rolle die Schule in diesen Abläufen spielen sollte und welche datenschutzrechtliche Verantwortung sie dabei übernehmen würde.
Zu einer datenschutzrechtlich korrekten Gestaltung habe ich ihm die folgenden Hinweise zu den wichtigsten Aspekten gegeben.
Die Erstellung der Fotos ist eine Speicherung personenbezogener Daten nach § 2 Abs. 2 Nr. 2 HDSG.
|
§ 2 Abs. 2 Nr. 2 HDSG
... |
Für die Beantwortung der Frage, wer unter welchen Voraussetzungen diese Datenverarbeitung durchführen darf, sind die Daten verarbeitenden Stellen zu unterscheiden. Die Schule besitzt kein Recht am Bild der Schüler bzw. Schülerinnen und diese haben deshalb auch nicht die Pflicht, das Foto zu dulden. Bilder von Schülerinnen und Schülern gehören nicht zum Katalog der Schülerdaten, die die Schule für Schulverwaltungsaufgaben nach Anlage 1 Nr. 1 der „Verordnung über die Verarbeitung personenbezogener Daten in Schulen“ vom 30. November 1993 (ABl. Nr. 4/1994, S. 206) speichern darf. Lediglich Daten aus diesem Katalog darf die Schulverwaltung erheben und Schülerinnen und Schüler bzw. Eltern müssen nach § 83 Abs. 3 HSchulG die Datenerhebung unterstützen.
| § 83 Abs. 3 HSchulG
Schülerinnen und Schüler, deren Eltern und Lehrerinnen und Lehrer sind verpflichtet, die erforderlichen Angaben zu machen. |
| § 83 Abs. 1 Satz 1 HSchulG
Schulen dürfen personenbezogene Daten von Schülerinnen und Schülern, deren Eltern und Lehrerinnen und Lehrern verarbeiten, soweit dies zur rechtmäßigen Erfüllung des Bildungs- und Erziehungsauftrags der Schule und für einen jeweils damit verbunden Zweck oder zur Durchführung schulorganisatorischer Maßnahmen erforderlich ist. ... |
Selbst die Verwendung der Schülerfotos für die Erstellung eines Schülerausweises fällt nicht unter diese Vorschrift. Denn der Ausweis bescheinigt nur, dass die ihm im Bild erkennbare Person Schüler der Schule ist, die Vorlage des Bildes für den Ausweis ist Sache des Schülers und bleibt freiwillig. Die Schule und auch Lehrkräfte dürfen Bilder von Schülern und Schülerinnen auch nicht für weitere Zwecke verwahren und nutzen. So dürfen z.B. Lehrkräfte nicht von „ihren“ Schülern Fotos erstellen, um ihrem schlechten Namensgedächtnis nachhelfen zu können.
Aus diesen Erwägungen folgte meine Empfehlung, in den Informationen an die Schüler, Eltern und Lehrkräfte rechtlich klarzustellen, dass das Anfertigen der Fotos keinesfalls im Auftrag der Schule erfolge und die Schule für diese Zwecke nur die organisatorischen Hilfsdienste leiste. Die Schule wird auch nicht als Erfüllungsgehilfe für den Fotografen im Verhältnis zum Schüler tätig. Damit entfällt insgesamt eine datenschutzrechtliche Verantwortung der Schule.
Da der Fotograf keine öffentliche Stelle ist, wird der datenschutzrechtliche Rahmen durch die Vorschriften des Bundesdatenschutzgesetzes für nicht-öffentliche Stellen vorgegeben. Obwohl ich für die Kontrolle und Beratung dieses Rechtsbereiches sachlich nicht zuständig bin, sei hier Folgendes angemerkt:
Das Anfertigen der Fotos stellt auch nach § 3 Abs. 4 Nr. 1 BDSG eine Datenerhebung dar.
| § 3 Abs. 4 Nr. 1 BDSG
Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: |
Diese ist nach § 28 BDSG insbesondere zulässig im Rahmen eines Vertragsverhältnisses mit dem Betroffenen.
| § 28 Abs. 1 Nr. 1 BDSG
Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig |
Daraus folgt zwingend, dass Fotografen nur Fotos machen dürfen, wenn zwischen ihnen und den fotografierten Personen bzw. deren Erziehungsberechtigten ein Rechtsverhältnis besteht.
Auch wenn dies an sich nicht in meine Kontrollkompetenz fällt, hielt ich den Hinweis für sinnvoll, dass der Fotograf den Fotografierten zusagt, die Speichermedien nach Druck und Ausgabe der Fotos vollständig zu löschen, um eine Weiterverwendung der Fotos jedenfalls auszuschließen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Veröffentlichung von flurstücksbezogenen Standort-, Funktions- und Eigenschaftskarten im Internet ist nur auf einer besonderen gesetzlichen Grundlage oder mit Einwilligung der Grundstückseigentümer zulässig.
Das Hessische Landesamt für Umwelt und Geologie (HLUG) bat mich, die datenschutzrechtliche Zulässigkeit der Veröffentlichung von Standort-, Funktions- und Eigenschaftskarten zu überprüfen. Solche Karten stellen z.B. potenzielle Kompensationsflächen für Eingriffe in Natur und Landschaft oder Weinanbaugebiete mit ihren Bodeneigenschaften dar. Zur topographischen Orientierung sind in den großmaßstäbigen Fachkarten die Flurstücksgrenzen der automatisierten Liegenschaftskarte eingezeichnet.
Je nachdem, ob die Veröffentlichung von Standort-, Funktions- und Eigenschaftskarten als Druckwerk oder elektronisch im Internet erfolgt, gelten unterschiedliche rechtliche Anforderungen.
5.7.1.1
Veröffentlichung in gedruckter Form
Die Veröffentlichung der Standort-, Funktions- und Eigenschaftsdaten in Karten ist eine Übermittlung personenbezogener Daten an Personen und Stellen außerhalb des öffentlichen Bereichs. Das HDSG definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 2 Abs. 1 HDSG). Unter welchen Bedingungen Daten als anonymisiert angesehen werden können und damit keinen datenschutzrechtlichen Bestimmungen unterliegen, bestimmt das Gesetz nicht. Ein Maßstab hierfür lässt sich dem BDSG entnehmen. Gemäß § 3 Abs. 6 BDSG gelten personenbezogene Daten als anonymisiert, wenn sie derart verändert worden sind, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können. Mit Hilfe von Angaben aus dem Liegenschaftskataster, die jeder ohne großen Aufwand erlangen kann (§ 16 HVG), sind die Angaben aus den Standort-, Funktions- und Eigenschaftskarten einzelnen Grundstückseigentümern zuzuordnen und somit Einzelangaben über sachliche Verhältnisse einer bestimmbaren Person.
| § 16 Abs. 1 und 2 HVG
(1) Jede Person oder Stelle kann das Liegenschaftskataster und seine Unterlagen sowie die Ergebnisse der Landesvermessung einsehen, Auskunft und auf Antrag Auszüge daraus erhalten.
(2) Die Einsicht in die personenbezogenen Daten sowie das Erteilen von entsprechenden Auskünften und Auszügen ist nur zulässig, wenn der Nutzer ein berechtigtes Interesse an der Kenntnis dieser Daten glaubhaft macht. Personenbezogene Daten im Sinne dieses Gesetzes sind die Namen von natürlichen Personen, deren Geburtsdatum und deren Anschrift. |
Soweit die Angaben in den Karten natürliche Personen unter den Grundstückseigentümern betreffen, sind daher die Übermittlungsvorschriften des HDSG zu beachten. Selbst ohne Flurstücksgrenzen in den Karten lassen sich die Gebietsangaben einzelnen Grundstücken und über die Katasterangaben einzelnen Eigentümern zuordnen.
Die Veröffentlichung des Kartenmaterials ist nicht zur Aufgabenerfüllung des Hessischen Landesamtes für Umwelt und Geologie erforderlich, so dass § 11 Abs. 1 HDSG als Rechtsgrundlage für die Veröffentlichung ausscheidet.
| § 11 Abs. 1 HDSG
Die Verarbeitung personenbezogener Daten ist nach Maßgabe der nachfolgenden Vorschriften zulässig, wenn sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgaben und für den jeweils damit verbundenen Zweck erforderlich ist. Die Erforderlichkeit einer Datenübermittlung muss nur bei einer der beteiligten Stellen vorliegen. |
Die Veröffentlichung der Karten lässt sich auf § 16 Abs. 1 HDSG stützen, obgleich diese Vorschrift nicht gerade für Veröffentlichungen (d.h. Massenübermittlungen, die nicht auf Veranlassung eines bestimmten Empfängers erfolgen) konzipiert ist. Der Empfänger muss nach § 16 Abs. 1 HDSG ein berechtigtes Interesse glaubhaft machen und es dürfen keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange des Betroffenen beeinträchtigt werden können. Ein berechtigtes Interesse der Allgemeinheit an dem Kartenmaterial ist zu bejahen. An Standort-, Funktions- und Eigenschaftskarten besteht ein vielfältiges wirtschaftliches, wissenschaftliches und allgemeines Interesse. Liegt das berechtigte Interesse nach Überzeugung der Behörde vor, muss es nicht noch zusätzlich von einem Datenempfänger glaubhaft gemacht werden.
Die Abwägung zwischen berechtigtem Informationsinteresse der Datenempfänger und den schutzwürdigen Belangen der Betroffenen setzt zwar in der Regel eine Einzelfallprüfung voraus. Wenn kein Einzelfall denkbar ist, in dem schutzwürdige Belange eines Betroffenen beeinträchtigt werden können, ist jedoch auch eine pauschale Prüfung zulässig. Das ist hier der Fall. Grundstückseigentümer müssen generell hinnehmen, dass öffentliche oder private Stellen Daten über die geologische Beschaffenheit oder sonstige Eigenschaften oder die wirtschaftliche und sonstige Nutzung bestimmter Gebiete veröffentlichen, selbst wenn die Daten mittelbar auf ihr Grundstück beziehbar sind. Andernfalls dürften selbst Stadtpläne oder Landkarten nicht mehr veröffentlicht werden, da aus ihnen häufig auch Wert bestimmende Informationen für einzelne Grundstücke entnommen werden können. Möglicherweise haben einzelne Grundstückseigentümer ein Interesse, dass eine Veröffentlichung der Beschaffenheit ihres Grundstücks unterbleibt, das Interesse ist jedoch nicht schutzwürdig.
| § 16 Abs. 1 HDSG
Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb des öffentlichen Bereichs ist über §§ 11 und 13 hinaus zulässig, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange des Betroffenen beeinträchtigt werden können. |
5.7.1.2
Veröffentlichung im Internet
Eine Veröffentlichung im Internet ist eine Datenübermittlung an Personen und Stellen außerhalb des Geltungsbereichs der EG-Datenschutz-Richtlinie und damit auch an Empfänger, bei denen kein angemessener Datenschutz gewährleistet ist. Da die Übermittlung nicht ausschließlich im Interesse der Grundstückseigentümer erfolgt, ist sie nur unter den Bedingungen des § 17 Abs. 2 Satz 3 HDSG zulässig. Das Gesetz enthält vier Erlaubnistatbestände, von denen drei hier nicht erfüllbar sind. Die Übermittlung an Personen oder Stellen außerhalb des EU-Bereichs ist nicht für die Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich (Nr. 2). Sie erfolgt nicht zur Wahrung lebenswichtiger Interessen der Grundstückseigentümer (Nr. 3) und auch nicht aus einem öffentlichen Register (Nr. 4). Selbst wenn man in dem beim HLUG geführten Bodeninformationssystem, aus dessen Daten die Karten erstellt werden, ein für die Öffentlichkeit bestimmtes Register i.S.v. § 17 Abs. 2 Satz 3 Nr. 4 HDSG sehen würde, ließe sich die Veröffentlichung der Karten im Internet nicht auf diese Regelung stützen, da sie im Gegensatz zu § 16 Abs. 1 HDSG ausdrücklich nur auf Einzelübermittlungen und nicht auf Massenübermittlungen abstellt. Als Rechtsgrundlage für die Übermittlung bleibt daher nur die Einwilligung der Grundstückseigentümer (Nr. 1).
| § 17 Abs. 2 HDSG
Eine Übermittlung an Empfänger außerhalb des in Abs. 1 genannten Bereichs ist aufgrund dieses Gesetzes nur zulässig, wenn sie ausschließlich im Interesse des Betroffenen liegt oder beim Empfänger ein angemessener Datenschutz gewährleistet ist. Vor der Entscheidung über die Angemessenheit ist der Hessische Datenschutzbeauftragte zu hören. Sofern beim Empfänger kein angemessener Datenschutz gewährleistet ist, dürfen personenbezogene Daten übermittelt werden, wenn
Der Empfänger an den die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu Zwecken verarbeitet werden dürfen, die mit den Zwecken zu vereinbaren sind, zu deren Erfüllung sie ihm übermittelt werden. |
Eine Alternative zur Vermeidung dieser wenig praktikablen Konsequenz wäre, Zugriffe auf das Internetangebot des HLUG nur aus dem EU-Gebiet und aus Ländern, die ein von der EU-Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46 EG (EG-Datenschutzrichtlinie) festgestelltes angemessenes Schutzniveau aufweisen, zuzulassen. In diesem Fall gilt als Beurteilungsmaßstab für die Zulässigkeit der Veröffentlichung der Karten im Internet allein § 16 Abs. 1 HDSG.
Der andere Weg, den die Landesregierung auf mein Anraten auch beschritten hat, ist die Schaffung einer gesetzlichen Befugnis, die es erlaubt, Datenbestände aus dem Bodeninformationssystem im Internet zu veröffentlichen (vgl. § 10 Abs. 3 Gesetzentwurf der Landesregierung für ein Hessisches Gesetz zur Ausführung des Bundes-Bodenschutzgesetzes und zur Altlastensanierung vom 24. April 2007 – LTDrucks. 16/7240).
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Der Landtag hat das Hessische Gesetz über den öffentlichen Gesundheitsdienst verabschiedet. Das Gesetz enthält einige detaillierte Regelungen zur Verarbeitung personenbezogener Daten. Einige weitergehende Konkretisierungen wären wünschenswert gewesen. Ergänzend ist weiterhin das Hessische Datenschutzgesetz anzuwenden.
Am 28. September 2007 hat der Hessische Landtag ein Gesetz über den öffentlichen Gesundheitsdienst verabschiedet (HGöGD GVBl. I S. 659). Das Gesetz hat insbesondere auch das Ziel, die wesentlichen Aufgaben des öffentlichen Gesundheitsdienstes in einem Gesetz zusammenzufassen. Mit dem Gesetz werden u.a. das Gesetz über die Vereinheitlichung des Gesundheitswesens vom 3. Juli 1934 (VereinheitlichungsG 1934) und die dazu erlassenen drei Durchführungsverordnungen aufgehoben. Eine spezialgesetzliche Regelung des öffentlichen Gesundheitsdienstes liegt in anderen Bundesländern bereits seit längerer Zeit vor. Auch aus datenschutzrechtlicher Sicht war eine Aufhebung der drei Durchführungsverordnungen dringend erforderlich. Meine Dienststelle wurde von dem Hessischen Sozialministerium in die Diskussion des Vorentwurfs einbezogen. Im Rahmen einer schriftlichen Anhörung des Sozialpolitischen Ausschusses des Hessischen Landtags zu dem Gesetzentwurf (LTDrucks. 16/7236) hat meine Dienststelle Stellung genommen. Einige Vorschläge zur Regelung der Verarbeitung personenbezogener Daten wurden in das Gesetz aufgenommen, in einigen Punkten wäre jedoch aus datenschutzrechtlicher Sicht eine weitergehende Konkretisierung der Vorschriften wünschenswert gewesen.
5.8.1.1
Klarstellung der Unterscheidung zwischen Aufgabenzuweisungen und Befugnissen zur Verarbeitung personenbezogener Daten
In zahlreichen Vorschriften sind Aufgaben des öffentlichen Gesundheitsdienstes formuliert, z.B. in § l Abs. 3 (Zusammenarbeit mit anderen Behörden und Stellen), § 3 Abs. 5 (Zusammenarbeit der Behörden des öffentlichen Gesundheitsdienstes), § 6 Abs. 2 (u.a. Beobachtung und Bewertung der Impfsituation in der Bevölkerung), § 7 Abs. 4 (Beratung und Unterstützung anderer Stellen), § 7 Abs. 5 (Beitragung zur Versorgungsstruktur für ältere Menschen), § 13 (Beobachtung und Bewertung der gesundheitlichen Situation der Bevölkerung). Nicht thematisiert wird, ob und ggf. in welchem Umfang für diese Aufgaben auch personenbezogene (medizinische) Daten verarbeitet werden sollen. Hinzuweisen ist daher darauf, dass diese Aufgabenzuweisungen keine Befugnis zur Verarbeitung personenbezogener Daten enthalten und für die Frage der Befugnis zur Verarbeitung personenbezogener Daten die speziellen Regelungen zur Verarbeitung personenbezogener Daten im Hessischen Gesetz über den öffentlichen Gesundheitsdienst, insbesondere die Regelung zum Datenschutz in § 18, sowie ergänzend die Bestimmungen des HDSG maßgeblich und im Einzelfall zu prüfen sind.
5.8.1.2
Regelung zur Kinder- und Jugendgesundheit (§ 10)
In § 10 Abs. l ist die Durchführung der ärztlichen Einschulungsuntersuchungen durch die Gesundheitsämter geregelt und es sind konkrete Festlegungen zur Verarbeitung der Daten getroffen. Eine Verpflichtung der Kinder zur Teilnahme ergibt sich aus § 71 HSchulG.
| § 10 Abs. 1 HGöGD
Die Untersuchung hat den Zweck, gesundheitliche Einschränkungen der Schulfähigkeit oder die Teilnahme am Unterricht betreffende gesundheitliche Einschränkungen festzustellen. Die dabei erhobenen personenbezogenen Daten dürfen für die Zwecke nach Satz 3 verarbeitet werden. Sie dürfen in anonymisierter Form für Zwecke der Gesundheitsberichterstattung verwendet werden. Bei Übermittlungen an Stellen außerhalb des Gesundheitsamtes ist vorher eine Anonymisierung vorzunehmen. ... |
5.8.1.3
Regelung zum Datenschutz (§ 18)
In das Gesetz wurde – zusätzlich zu einigen speziellen Regelungen zur Datenverarbeitung – eine allgemeine Vorschrift zum Datenschutz aufgenommen (§ 18).
5.8.1.3.1
Verfahren bei der Erstellung von Gutachten (Abs. 1)
In § 18a der 1. DVO zum Gesetz über die Vereinheitlichung des Gesundheitswesens wurde vor einigen Jahren in Abstimmung mit meiner Dienststelle ein Stufenverfahren festgelegt, das aus meiner Sicht sachgerecht ist und sich bewährt hat. Nach der Übermittlung des Gesundheitszeugnisses in dem festgelegten (begrenzten) Umfang ist die Auftrag gebende Stelle bei konkreten Zweifeln an der Vollständigkeit oder Aussagefähigkeit des Gesundheitszeugnisses oder dem darin festgestellten Ergebnis der Beurteilung berechtigt, Aufklärung von dem untersuchenden Arzt zu verlangen, soweit sie dies unter Beachtung der Verhältnismäßigkeit für erforderlich hält. Das Gesundheitsamt ist in diesem Fällen verpflichtet, ihr die für das Gesundheitszeugnis maßgeblichen Einzeldaten zu übermitteln. Eine entsprechende Regelung wurde in § 18 Abs. 1 aufgenommen:
| § 18 Abs. 1 HGöGD
Bei ärztlichen Untersuchungen ist die zu untersuchende Person vor Beginn der Untersuchung auf deren Zweck und die Übermittlungsbefugnis hinzuweisen. Der die Untersuchung veranlassenden Stelle darf nur das Ergebnis der Untersuchung übermittelt oder weitergegeben werden. Abweichend von Satz 1 dürfen die Anamnese und einzelne Untersuchungsergebnisse übermittelt oder weitergegeben werden, soweit deren Kenntnis zur Entscheidung über die konkrete Maßnahme, zu deren Zweck die Untersuchung durchgeführt worden ist, erforderlich ist. |
Als Satz 3 hatte ich zusätzlich die folgende bisher ebenfalls in § 18a der l. DVO zum Gesetz über die Vereinheitlichung des Gesundheitswesens enthaltene spezielle Regelung für Bewerbungsverfahren vorschlagen, die sicherstellt, dass medizinische Daten über Bewerber nicht unnötig breit gestreut werden:
| Bei Untersuchungen anlässlich der Einstellung eines Bewerbers in den öffentlichen Dienst darf das Ergebnis der Untersuchung nur übermittelt werden, wenn der untersuchende Arzt oder die untersuchende Ärztin die untersuchte Person über Inhalt und Umfang der gutachterlichen Feststellungen aufgeklärt und diese sich mit der Übermittlung des Ergebnisses einverstanden erklärt hat. |
5.8.1.3.2
Pauschale Befugnis zur Erhebung der Meldedaten aller Neugeborenen (Abs. 2)
In Abs. 2 wurde folgende Erhebungsbefugnis aufgenommen:
| § 18 Abs. 2 HGöGD
Für die Aufgaben nach den §§ 10 und 11 erheben die Gesundheitsämter von den Meldebehörden Namen, Geburtstag, Anschrift und Staatsangehörigkeit aller Neugeborenen oder aller Kinder eines festzulegenden Jahrgangs. |
Aus der Gesetzesbegründung erschließt sich die Notwendigkeit dieser Regelung nicht. Dort heißt es nur:
| Abs. 2 regelt spezielle Erhebungsbefugnisse der Gesundheitsämter bei Maßnahmen der Kinder- und Jugendgesundheit und der Zahngesundheit. |
5.8.1.3.3
Gewährleistung der Geheimhaltungspflichten und der Zweckbindung der personenbezogenen Daten in den Gesundheitsbehörden
Abs. 3 thematisiert die innerbehördliche Organisation der Gesundheitsbehörden. Insbesondere für die Datenverarbeitung in den Gesundheitsämtern ist dies eine zentrale Frage:
Nach dem Entwurf haben die Gesundheitsämter umfassende Beratungsaufgaben, s. z.B. § 6 Abs. l, § 7 Abs. l bis 3, § 10 Abs. 3. Die Beratungen sollen wie bisher auf freiwilliger Basis wahrgenommen werden. Soweit personenbezogene Daten verarbeitet werden, ist es angesichts der vielfältigen Aufgaben der Gesundheitsämter für die Beratung Suchenden von zentraler Bedeutung, dass die Einhaltung der gesetzlich normierten Schweigepflichten, insbesondere der ärztlichen Schweigepflicht, und eine strikte Zweckbindung der Daten bei Beratungen in den Gesundheitsämtern gewährleistet werden. Ein Gesundheitsamt ist keine informationelle Einheit. Personenbezogene Daten unterliegen auch im Gesundheitsamt einer grundsätzlichen Zweckbindung. Insbesondere dürfen auch Daten, die Bürgerinnen und Bürger dem Gesundheitsamt zum Zwecke der freiwilligen Gesundheitsberatung anvertraut haben, grundsätzlich nur zweckgebunden für den von den Bürgerinnen und Bürgern intendierten Zweck verwendet und nicht darüber hinausgehend für die Ausübung von Überwachungs- und Zwangsmaßnahmen genutzt werden. Wer freiwillig Beratungshilfe in Anspruch nimmt, muss beim Gesundheitsamt die gleiche Vertraulichkeit erwarten können wie bei einem freien Träger. Er soll sich darauf verlassen können, dass ihm Angaben aus einem solchen Beratungsgespräch nicht im Verwaltungsvollzug entgegengehalten werden. Ausnahmen davon müssen eng begrenzt und klar festgelegt werden. Dies liegt auch im Interesse des Gesundheitsamtes selbst, dessen Beratungstätigkeit vom Vertrauen der Ratsuchenden in die Beratungstätigkeit getragen sein muss. Nur so können die Gesundheitsämter ihre Beratungstätigkeit auch effektiv wahrnehmen. Ein Bürger wird zögern, die Beratungsdienste in Anspruch zu nehmen, wenn er damit rechnen muss, dass die dem Gesundheitsamt in diesem Zusammenhang bekannt werdenden Daten unter Umständen zu einem späteren Zeitpunkt in ganz anderen Zusammenhängen und zu seinem Nachteil verwandt werden können.
In Abs. 3 wurde nunmehr folgende Regelung hierzu aufgenommen:
| Die innerbehördliche Organisation der Gesundheitsbehörden ist so zu gestalten, dass gesetzliche Geheimhaltungspflichten, insbesondere die ärztliche Schweigepflicht, gewahrt werden. |
Diese Regelung ist inhaltlich korrekt. Der Aspekt ist von zentraler Bedeutung. Eine weitergehende Konkretisierung wäre jedoch wünschenswert gewesen. Die Schweigepflichten, insbesondere die ärztliche Schweigepflicht, und der Grundsatz der Zweckbindung der Daten sind bereits bei der Aktenführung zu beachten, da sonst eine Einhaltung der rechtlichen Vorgaben in der Praxis sehr schwierig ist. Die Anlage einer umfassenden „Gesundheitsakte“ über eine Person, in der z.B. Vorgänge wie freiwillige Beratungen und die Durchführung von Überwachungs- und Zwangsmaßnahmen zusammen abgelegt sind, muss unterbleiben. Wenn z.B. ohne Rücksicht auf den konkreten Untersuchungsauftrag bzw. Kontext und den Abschluss der einzelnen Vorgänge alle Vorgänge in einer Akte über viele Jahre hinweg aufbewahrt werden, führt dies im Ergebnis regelmäßig dazu, dass bei einem neuen, dieselbe Person betreffenden Untersuchungsauftrag bzw. Vorgang, die gesamte Akte ohne fachliche Notwendigkeit dem mit dem neuen Vorgang befassten Bearbeiter zur Kenntnis gegeben wird. Ich hatte daher eine entsprechende klarstellende Konkretisierung im Gesetz vorgeschlagen. Die Regelung des Abs. 3 muss in dem dargelegten Sinn vor Ort entsprechend umgesetzt werden.
5.8.1.3.4
Vorgaben zur Dauer der Datenspeicherung
Leider ist entgegen meinen Vorschlägen in § 18 keine Regelung zur Datenlöschung aufgenommen worden. Bei stichprobenhaften Prüfungen der Datenverarbeitung in Gesundheitsämtern hat sich gezeigt, dass zum Teil erhebliche Unklarheiten bzgl. der Aufbewahrungsdauer von Unterlagen bestehen; Klärungsbedarf wird u.a. auch beim RP Darmstadt gesehen (s. Ziff. 5.8.4).
5.8.1.3.5
Verweis auf das Hessische Datenschutzgesetz (Abs. 4)
Für weitere Details der Datenverarbeitung wird auf das HDSG verwiesen. Dies ist ausreichend. Insbesondere ist eine Regelung zur Forschung wie sie in verschiedenen Gesundheitsdienstgesetzen anderer Bundesländer enthalten ist aus meiner Sicht entbehrlich, da § 33 HDSG hinreichend präzise Vorgaben auch für die Durchführung von Forschungsvorhaben mit medizinischen Daten enthält. Die Vorschrift findet gem. § 12 Abs. l HKHG i.V.m. § 33 HDSG auch für die Krankenhäuser Anwendung und hat sich auch insoweit in der Praxis als angemessen erwiesen. Entsprechendes gilt für die Datenverarbeitung im Auftrag. Auch im HKHG (§ 12 Abs. l) wird auf die Regelung über die Datenverarbeitung im Auftrag im HDSG verwiesen. Die Regelung schließt die Möglichkeit ein, hinsichtlich der Verarbeitung medizinischer Daten ein erhöhtes Schutzniveau zu fordern. Es kann daher auch für den öffentlichen Gesundheitsdienst auf das HDSG verwiesen werden.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Der Landtag hat ein Gesetz zur Verbesserung des Gesundheitsschutzes für Kinder beschlossen. Die Einführung einer Verbindlichkeit der Früherkennungsuntersuchungen und die Einrichtung eines Kindervorsorgezentrums bringt auch in erheblichem Umfang neue Verarbeitungen personenbezogener Daten der Kinder und Eltern mit sich. Meine Vorschläge zur Ausgestaltung des Datenschutzes wurden in das Gesetz übernommen.
Am 14. Dezember 2007 hat der Hessische Landtag das Kindergesundheitsschutz-Gesetz beschlossen (GVBl. I S. 856). Mit dem Gesetz wird eine Verbesserung des Gesundheitsschutzes von Kindern und ihres Schutzes vor Vernachlässigung, Misshandlung und Missbrauch angestrebt. Zentraler Bestandteil des Gesetzes ist die Einführung einer Verbindlichkeit der Früherkennungsuntersuchungen. Zum einen wird die Teilnahme an den Früherkennungsuntersuchungen U4 bis U9 (s. Richtlinien des Bundesausschusses der Ärzte und Krankenkassen über die Früherkennung von Krankheiten bei Kindern bis zur Vollendung des 6. Lebensjahres, sog. Kinder-Richtlinien, http://www.g-ba.de/informationen/richtlinien/15/) verbindlich (§ 1 Abs. 1). Zum anderen wird auch die Teilnahme an den Früherkennungsuntersuchungen auf behandelbare Stoffwechsel- und Hormonerkrankungen, das sog. Neugeborenen-Screening (s. Anlage 2 der o.a. Kinder-Richtlinien), verbindlich (§ 1 Abs. 2). Das Gesetz sieht vor, dass die Kinder, die nicht innerhalb der vorgesehenen Frist an den jeweiligen Früherkennungsuntersuchungen teilgenommen haben, durch Datenabgleiche herausgefunden werden, die Eltern (bzw. Personensorgeberechtigten) dieser Kinder über die erforderlichen Früherkennungsuntersuchungen informiert und an die Teilnahme erinnert werden und – sofern weiterhin keine Teilnahme gemeldet wird – das zuständige Jugendamt eingeschaltet wird, um den Hintergrund der Nichtteilnahme an den Früherkennungsuntersuchungen aufzuklären.
Darüber hinaus ist im Gesetz festgelegt, dass den Eltern auch weitere, zusätzliche Früherkennungsuntersuchungen angeboten werden können und die Daten über diese Untersuchungen auf der Basis einer Einwilligung der Eltern ebenfalls im Kindervorsorgezentrum verarbeitet werden.
5.8.2.1
Neue Verarbeitungen personenbezogener Daten der Kinder und Personensorgeberechtigten
Zur Kontrolle der Durchführung der nunmehr verbindlichen Früherkennungsuntersuchungen sind neue Datenübermittlungen sowie Datenspeicherungen und Datenabgleiche im neu zu errichtenden Kindervorsorgezentrum vorgesehen.
Früherkennungsuntersuchungen U4 bis U9
Bezüglich der in § 1 Abs. 1 des Gesetzes vorgeschriebenen Verpflichtung zur Teilnahme an den U4 bis U9 werden vorgesehen
Bezüglich der in § 1 Abs. 2 des Gesetzes vorgeschriebenen Verpflichtung zur Teilnahme an Früherkennungsuntersuchungen auf behandelbare Stoffwechsel- und Hormonerkrankungen werden vorgesehen
Darüber hinausgehend sieht das Gesetz in § 1 Abs. 4 vor, dass den Eltern über die in Anlage 2 der o.a. Kinder-Richtlinien genannten Früherkennungsuntersuchungen auf behandelbare Stoffwechsel- und Hormonerkrankungen weitere Früherkennungsuntersuchungen auf behandelbare Stoffwechsel- und Hormonerkrankungen auf freiwilliger Basis angeboten werden können. Eltern in Hessen wird bereits seit einiger Zeit über die in der Kinderrichtlinie genannten Untersuchungen hinaus ein erweitertes kostenfreies Screening ihrer Neugeborenen auf weitere behandelbare Erkrankungen angeboten, die in der Elterninformation konkret und abschließend genannt wurden. Bei diesen Erkrankungen wird angenommen, dass eine frühe Diagnose den Kindern eine bessere Lebensqualität ermöglicht. Die hierbei gewonnenen Daten und Restblutproben sollen nach Information und Einwilligung der Eltern ebenfalls im Kindervorsorgezentrum gespeichert bzw. aufbewahrt werden. Den Umfang dieser zusätzlichen Früherkennungsuntersuchungen auf behandelbare Stoffwechsel- und Hormonerkrankungen legt gem. § 3 Abs. 6 der Beirat des Kindervorsorgezentrums fest.
5.8.2.2
Datenschutzrechtliche Forderungen
Bei der Frage der Einführung einer Verpflichtung zur Teilnahme an Früherkennungsuntersuchungen handelt es sich um eine vom Hessischen Datenschutzbeauftragten nicht zu bewertende gesundheitspolitische Entscheidung.
Die umfangreiche neue Verarbeitung personenbezogener Daten muss jedoch aus datenschutzrechtlicher Sicht für die festgelegten Zwecke erforderlich und geeignet sein. Vor diesem Hintergrund war es mein zentrales Anliegen, dass
5.8.2.3
Datenschutzrechtliche Regelungen im Gesetz
Meine Dienststelle wurde von der Sozialministerin bereits bei der Erarbeitung des Entwurfs beteiligt. Das Gesetz enthält detaillierte Regelungen zur Datenverarbeitung, in die meine Vorschläge aufgenommen worden sind:
5.8.2.4
Weitere Schritte für 2008
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Zum digitalen Austausch von Patientendaten zwischen verschiedenen Behandlungseinrichtungen wird in Hessen ein Forschungsprojekt durchgeführt. Meine Dienststelle berät die Projektleitung. Eine Reihe datenschutzrechtlicher Fragen bedürfen noch der Klärung.
Von der Universität Gießen wird derzeit in Kooperation mit der Landesregierung Hessen, der Landesärztekammer Hessen, dem Ärzteverbund ANR, T-Systems und einigen Klinken das Forschungsprojekt CIMECS (Central Interdisciplinary Medicare System) durchgeführt. Gegenstand des Forschungsprojekts ist die einrichtungsübergreifende elektronische Fallakte, die einen schnellen, einfachen und sicheren Austausch von Patientendaten (Arztbriefe, Befunde, Laborergebnisse, CTs, MRTs etc. ) zwischen Haus- und Fachärzten sowie Kliniken ermöglichen soll. CIMECS ist eine internetbasierte Kommunikationsplattform, die über ein gesichertes Netzwerk (Branchennetzwerk Gesundheit von T-Systems) berechtigten Ärzten Patientendaten zur Verfügung stellen soll. Dabei soll jeder Behandler nach wie vor unverändert seine eigene nach Berufsrecht vorgeschriebene Dokumentation seiner Behandlung führen. Die elektronische Fallakte soll auf der Basis einer Einwilligung des Patienten eingerichtet und genutzt werden. Die Einwilligung des Patienten bezieht sich auf einen konkreten Behandlungsfall.
Mit der elektronischen einrichtungsübergreifenden Fallakte soll die Qualität der Behandlung verbessert werden. Auch aus datenschutzrechtlicher Sicht ist es allerdings von zentraler Bedeutung, dass zuvor verbindlich geklärt und festgelegt wird, welche Stelle für welche Aufgaben bzw. Inhalte verantwortlich ist.
Nach einer ersten allgemeinen Besprechung mit den Projektbeteiligten habe ich in einer schriftlichen Stellungnahme die aus datenschutzrechtlicher Sicht noch klärungsbedürftigen Punkte für die Projektbeteiligten zusammengestellt. Hierzu zählen insbesondere die folgenden Punkte
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Prüfung der Archive in fünf ausgewählten Gesundheitsämtern hat ergeben, dass die Lagerung der Akten, der Zugang zu den Unterlagen sowie die getroffenen Maßnahmen zur Vernichtung einzelner Aktenbestände im Wesentlichen den datenschutzrechtlichen Vorgaben entsprachen. In wenigen Einzelfällen waren die Speicherfristen einzelner Unterlagen nicht ausreichend berücksichtigt worden. Nach wie vor mangelt es jedoch an einem Gesamtkonzept für Speicherfristen von medizinischen Unterlagen im Gesundheitsamt.
5.8.4.1
Vorbemerkung
Im Jahr 2006 habe ich mit der Prüfung von Archiven in fünf ausgewählten Gesundheitsämtern begonnen, die im Jahr 2007 abgeschlossen wurde. Zum Zeitpunkt der Prüfung gab es das Gesetz über den öffentlichen Gesundheitsdienst (HGöGD) noch nicht. Die Vorgaben der seinerzeit gültigen Rechtsgrundlagen waren aber ähnlich (vgl. Ziff. 5.8.1). In dem Beitrag sind gleichwohl auch die Vorschriften des HGöGD zitiert, soweit diese statt bisheriger Rechtsgrundlagen künftig anzuwenden sind.
5.8.4.2
Art der in Gesundheitsämtern gelagerten Akten
Unterlagen, die in Gesundheitsämtern anfallen, sind in der Regel medizinischer Natur und zum größten Teil personenbezogen. Einem Kontakt mit dem Gesundheitsamt kann man sich kaum entziehen. Ob Schuleingangsuntersuchung, amtsärztliche Begutachtung im Zusammenhang mit der Einstellung in den öffentlichen Dienst oder bei privaten Arbeitgebern, dem Infektionsschutz, Beurteilung der Voraussetzung zur Erteilung von Waffenscheinen oder Sammlung der Leichenschauscheine, um nur einige Beispiele zu nennen. Die Rechtsgrundlagen für die Datenverarbeitung sind ebenso vielfältig: so ist z.B. für die Schuleingangsuntersuchung die Verordnung über die Zulassung und Ausgestaltung von Untersuchungen und Maßnahmen der Schulgesundheitspflege einschlägig, für Maßnahmen zum Infektionsschutz das Infektionsschutzgesetz, für ärztliche Untersuchungen das Gesetz über den öffentlichen Gesundheitsdienst (HGöGD) vom 28. September 2007 (GVBl. I S. 659).
In vielen Fällen ist das Gesundheitsamt selbst aktiv oder wird von anderen Stellen eingeschaltet. Kein Wunder also, dass hier eine Fülle papierner und elektronischer Daten anfallen, die zu einem bestimmten Zeitpunkt auch wieder vernichtet bzw. gelöscht werden müssen.
5.8.4.3
Rechtliche Grundlagen für die Speicherung
Die Aufbewahrungsvorschriften für medizinische Unterlagen sind in einigen Bereichen – wenn überhaupt – allenfalls rudimentär geregelt. In anderen speziellen Vorschriften wie z.B. der Verordnung über die Zulassung und Ausgestaltung von Untersuchungen und Maßnahmen der Schulgesundheitspflege (StAnz. 2000 S. 752, verlängert durch VO vom 9. August 2004, StAnz. 2004 S. 2852) hingegen gibt es klare Vorgaben für die Aufbewahrungsdauer der personenbezogenen Unterlagen der Schülerinnen und Schüler (hier: bis zur Vollendung des 23. Lebensjahres). Ein anderes Beispiel für eine eindeutige Speicherfrist ergab sich zum Prüfzeitpunkt für die Aufzeichnungen des amtsärztlichen Dienstes, die im Zusammenhang mit dienst- und arbeitsrechtlichen Angelegenheiten erstellt wurden. Nach § 18a der Zweiten Durchführungsverordnung zum Gesetz über die Vereinheitlichung des Gesundheitswesens waren diese bis zur Vollendung des 70. Lebensjahres der untersuchten Person, im Falle ihres Todes oder Ausscheidens vor Vollendung des 65. Lebensjahres noch fünf Jahre aufzubewahren. Dies entspricht im Wesentlichen den Fristen, die auch im Personalaktenrecht (§§ 107 ff. HBG) und im Hessischen Archivgesetz geregelt sind.
Die Aufbewahrung anderer personenbezogener Unterlagen ist nicht durch besondere Aufbewahrungsvorschriften geregelt. Dies betrifft insbesondere die Leichenschauscheine oder aber die Akten des sozialpsychiatrischen Dienstes, soweit er amtlich, also durch andere öffentliche Stellen beauftragt, tätig wird. Das Regelungsdefizit führt deshalb bei den betroffenen Stellen immer wieder zu Unsicherheiten. Leider sind die Aufbewahrungsfristen auch im neuen HGöGD nicht konkretisiert worden (s. Ziff. 5.8.1).
5.8.4.4
Zugang zu den Archiven
In allen Ämtern werden nicht mehr benötigte Unterlagen in Räumen eingelagert, die als Archiv dienen. Während im Gesundheitsamt des Schwalm-Eder-Kreises die Akten einzelner Bereiche in jeweils getrennten Räumen eingelagert wurden, sind bei den anderen Stellen einzelne, große Räume oder mehrere zusammenhängend begehbare Lagerstätten eingerichtet. Wesentliches Kriterium bei einer gemeinsamen Einlagerung ist, dass die Aktenbestände übersichtlich voneinander getrennt sind. Dies war in allen Fällen gewährleistet.
Der Zugang zu den verschlossenen Archiven erfolgt grundsätzlich über eine zentrale Stelle, welche in der Regel die Schlüsselabholung protokolliert. In einigen Stellen gibt es mehrere Schlüssel, über welche die für das Archiv zuständigen Mitarbeiterinnen und Mitarbeiter verfügen.
5.8.4.5
Aufbewahrung einzelner Unterlagen
5.8.4.5.1
Leichenschauscheine
Mit jedem Todesfall erhält das Gesundheitsamt eine Kopie der von einem Arzt ausgestellten Bescheinigung. In der Regel werden diese Unterlagen in den Ämtern über einen Zeitraum von 30 Jahren hinweg gespeichert. Dies ist keine gesetzlich festgelegte Frist, sondern eine von den Gesundheitsämtern vereinbarte Dauer, die in einem Arbeitspapier der Verwaltungsleiter fixiert ist. Bei einigen Stellen war dieser Zeitraum überschritten, zwei Ämter hatten noch nie derartige Unterlagen vernichtet, weil man sich nicht darüber im Klaren war, über welchen Zeitraum hinweg eine Aufbewahrung zu erfolgen hat.
5.8.4.5.2
Pockenschutzimpfungen
In fast allen Ämtern waren personenbezogene Unterlagen zu den Impfungen in Form von Listen vorhanden. Die Angaben zu den Betroffenen reichten bis in die fünfziger Jahre hinein. Seit 1970 werden keine Säuglinge mehr gegen Pocken geimpft, seit 1982 ist das Gesetz über die Verpflichtung zur Teilnahme an einer Pockenschutzimpfung außer Kraft gesetzt. In diesem Bereich gibt es keine rechtlichen Vorgaben zur Speicherdauer. Deshalb hat sich die Speicherdauer hier nach den allgemeinen Vorgaben des HDSG auszurichten. Nach § 19 Abs. 3 HDSG sind personenbezogen Daten unverzüglich zu löschen, sobald feststeht, dass ihre Speicherung nicht mehr erforderlich ist. Demzufolge sind diese Akten zu vernichten.
5.8.4.5.3
Aufzeichnungen des amtsärztlichen Dienstes
Diese Akten, die im Zusammenhang mit dienst- und arbeitsrechtlichen Angelegenheiten erstellt wurden, waren bislang nach § 18a der Zweiten Durchführungsverordnung zum Gesetz über die Vereinheitlichung des Gesundheitswesens bis zur Vollendung des 70. Lebensjahres der untersuchten Person, im Falle ihres Todes oder Ausscheidens vor Vollendung des 65. Lebensjahres noch fünf Jahre aufzubewahren. In den meisten Fällen wurde dieser Vorgabe Rechnung getragen. Mittlerweile ist jedoch diese Rechtsgrundlage entfallen, weil das Gesetz über die Vereinheitlichung des Gesundheitswesens aus dem Jahre 1934 und die darin genannten Durchführungsverordnungen durch das HGöGD ersetzt wurden. Konkrete Aufbewahrungsfristen sind im HGöGD nicht genannt. Allerdings habe ich gefordert, dass in absehbarer Zeit durch Erlass neben anderen Bereichen auch der des amtsärztlichen Dienstes hinsichtlich der Speicherfristen geregelt werden muss.
5.8.4.5.4
Unterlagen des sozialpsychiatrischen Dienstes
Die Aufbewahrungsdauer von Unterlagen, die „von Amts wegen“ – also durch die Beauftragung anderer öffentlicher Stellen – erstellt worden sind, sollte sich mangels spezialgesetzlicher Vorschriften an den Vorgaben des § 10 Abs. 3 der ärztlichen Berufsordnung orientieren. Darin ist festgelegt, dass ärztliche Aufzeichnungen zehn Jahre aufzubewahren sind. Nicht alle Stellen haben sich an dieser Frist orientiert. So kam es teilweise zu erheblichen zeitlichen Überschreitungen.
5.8.4.6
Zusammenfassung
Grundsätzlich sind die Archive der geprüften Gesundheitsämter in einem respektablen Zustand, was die Aufbewahrung personenbezogener Unterlagen anbelangt. Auch bedingt durch fehlende gesetzliche Regelungen wurden einige wenige Unterlagen nicht rechtzeitig gelöscht bzw. vernichtet. Die Löschung muss nach § 19 Abs. 3 HDSG erfolgen, sobald die Daten für die Aufgabenerfüllung nicht mehr erforderlich sind. In Bereichen mit klaren spezialgesetzlichen Normen – wie etwa den Schuluntersuchungen oder den Hepatitis C-Unterlagen aus dem Bereich des Infektionsschutzes – waren die Vorgaben umgesetzt. Mit dem neuen HGöGD ist jetzt eine rechtliche Grundlage geschaffen, um auf dem Erlassweg die Aufbewahrungsfristen festzulegen. Einen entsprechenden Hinweis habe ich gegenüber dem Sozialministerium abgegeben. Auch das Regierungspräsidium Darmstadt hat in einem Brief an das Ministerium auf die Erforderlichkeit von klaren Fristen für die Datenspeicherung hingewiesen.
5.8.4.7
Weitere Ergebnisse der Prüfung
5.8.4.7.1
Aktenführung
Kein Anlass zur Kritik in den geprüften Gesundheitsämtern ergab deren Aktenführung. Datenschutzbeauftragte anderer Bundesländer haben auch in der jüngeren Vergangenheit festgestellt, dass einzelne Ämter eine gemeinsame Akte zu Betroffenen führen. In einer solchen Akte werden Untersuchungsergebnisse, Gutachten u.a. verschiedener Fachbereiche zentral geführt. Dies ist jedoch nicht zulässig. Die datenschutzrechtliche Problematik besteht darin, dass bei einer zentralen Aktenführung sämtliche Kontakte eines Betroffenen mit dem Gesundheitsamt von allen Mitarbeiterinnen und Mitarbeitern eingesehen werden können. Von der Schuleingangsuntersuchung bis hin zum Leichenschauschein, also von der Wiege bis zur Bahre, würde zu dem Betroffenen eine einzige Akte geführt. Dies widerspricht den datenschutzrechtlichen Grundsätzen der Erforderlichkeit und der Zweckbindung im Hinblick auf Kenntnisnahme und Verarbeitung personenbezogener (medizinischer) Daten.
In den von mir aufgesuchten Gesundheitsämtern war der Grundsatz einer dezentralen, fachbereichsbezogenen Aktenführung gewährleistet: es gab eine getrennte Aktenführung durch die jeweils zuständigen Stellen.
Verbesserungsbedürftig ist aber fast durchweg die gezielte Kontrolle und Aussonderung von Akten. Nur im Bereich der Schuluntersuchungen, die jahrgangsweise abgelegt werden, ist eine schnelle und gezielte Aussonderung einfach durchführbar und die Aussonderung war deshalb auch vollzogen. In allen anderen Bereichen bereitet es Probleme, eine fristenorientierte Aussonderung vorzunehmen, da in der Vergangenheit keine Kennzeichnungen der Aktenbestände vorgenommen wurden. In verschiedenen Ämtern hat man jedoch angefangen, klare Strukturen hierfür zu schaffen.
5.8.4.7.2
Posteingang
Bis auf ein Gesundheitsamt wurde bei allen anderen die Post ungeöffnet und direkt dem Amt zugestellt. Teilweise treten die Ämter in der Öffentlichkeit als eigenständige Behörde auf, teilweise sind sie als Teil der Kreis- oder Stadtverwaltung klassifiziert. Unabhängig davon muss gewährleistet sein, dass die Kommunikation mit dem Gesundheitsamt, insbesondere der Schriftverkehr, weitgehend vertraulich bleibt.
Beim Gesundheitsamt der Kreises Bergstraße war dies nicht gewährleistet. Die für das Amt eindeutig adressierte Post, die u.a. ärztliche Gutachten oder Betreuungsangelegenheiten zum Inhalt haben kann, wurde in der zentralen Posteingangsstelle geöffnet und mit einem Eingangsstempel versehen. Die gleiche Prozedur wurde im Gesundheitsamt selbst vollzogen. Die geöffnete Post konnte im Bereich der zentralen Annahme in der Kreisverwaltung und auf dem Weg von dort zum Gesundheitsamt hin von Unbefugten eingesehen werden.
Meiner Forderung, diese Praxis einzustellen und die Post ungeöffnet dem Gesundheitsamt zu übermitteln, wurde unmittelbar nachgekommen.
5.8.4.7.3
Sozialpsychiatrischer Dienst
In den vergangenen Jahren gab es immer wieder Diskussionen darüber, in welcher Form der Sozialpsychiatrische Dienst (SpD) als Organisationseinheit in die Strukturen des Gesundheitsamtes einzubeziehen ist. Hintergrund dieser Fragestellung ist die heterogene Aufgabenstellung des Dienstes. Einerseits steht er Hilfesuchenden für freiwillige Beratungen zur Verfügung. Andererseits wird der SpD auch amtlich tätig, insbesondere dann, wenn er von einem anderen Amt beauftragt wird, mit vermeintlich oder tatsächlich auffällig gewordenen Personen Kontakt aufzunehmen. Bei dieser Fallkonstellation wird eine Akte angelegt, die in der Regel zehn Jahre aufbewahrt wird.
In allen Ämtern war Sorge getragen, dass freiwillige Beratungen nicht in die Aktenführung des Amtes Eingang finden und die amtlichen Akten nur mit Einwilligung der Betroffenen anderen Organisationseinheiten des Amtes zugänglich gemacht werden.
5.8.4.7.4
Betreuungsstelle
In welcher Behörde die Betreuungsstelle angesiedelt wird, obliegt grundsätzlich der kommunalen Organisationshoheit. In vielen Fällen erfolgt dies beim Gesundheitsamt. Dies ist dann unproblematisch, wenn eine sachliche und personelle Trennung zu anderen Bereichen innerhalb des Gesundheitsamts umgesetzt ist. Vor allem personelle Sachzwänge haben es in einzelnen Ämtern erforderlich gemacht, dass Mitarbeiter des SpD auch in der Betreuungsstelle tätig sind. Das kann die Konstellation zur Folge haben, dass ein Mitarbeiter zunächst im Wege einer psychologischen Beratung Kontakt zu einem oder einer Betroffenen erhält, um im Anschluss für dieselbe Person eine Betreuung einzuleiten. Hier verquicken sich unterschiedliche Aufgabenstellungen. Auch in diesen Fällen ist eine strikte Trennung der Aktenbestände zu gewährleisten. Es muss jederzeit erkennbar sein, in welchem Kontext ein Mitarbeiter oder eine Mitarbeiterin für den SpD tätig werden und wann dieselbe Person in der Funktion als Beschäftigte der Betreuungsstelle aufgetreten ist. Damit wird auch transparent, welche Daten für welche Aufgabenstellung verwendet werden und es ist nachvollziehbar, ob die vorgegebene Zweckbindung eingehalten wurde.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Auftragsdatenverarbeitung des MDK Sachsen-Anhalt für den MDK Hessen, welche die elektronische Aufbereitung von Akten des MDK Hessen über Begutachtungen im Krankenhaus beinhaltet, entspricht im Wesentlichen den Vorgaben des § 80 SGB X i.V.m. § 78a SGB. Allerdings fehlte es an den erforderlichen Verfahrensverzeichnissen.
Die fristgerechte Vernichtung von Akten aus einem anderen Auftragsdatenverarbeitungs-Verhältnis war nicht erfolgt.
5.8.5.1
Art und Umfang des Datenverarbeitungsauftrages
Seit einigen Jahren lässt der MDK Hessen personenbezogene Daten im Auftrag durch den MDK Sachsen-Anhalt bzw. dessen Tochterunternehmen MedFlex GmbH verarbeiten. Über die rechtlichen Rahmenbedingungen einer Auftrags-Datenverarbeitung sowie die inhaltlichen Aspekte der einzelnen Aufträge habe ich mich ausführlich geäußert (33. Tätigkeitsbericht, Ziff. 5.8.2 und 34. Tätigkeitsbericht, Ziff. 5.8.7). Wohl kaum eine andere öffentliche Stelle des Landes Hessen hat neben dem MDK Hessen in derartigem Umfang Datenverarbeitungsprozesse ausgelagert. Dies beinhaltet die Führung eines Papierarchivs und der elektronischen Aufbereitung von Akten daraus ebenso wie das Schreiben von Briefen und Berichten, die per E-Mail als Sprachdatei von hessischen Geschäftsstellen des MDK nach Sachsen-Anhalt zum dortigen MDK in Magdeburg verschickt werden.
Anfang 2007 kam ein weiterer Auftrag hinzu. Dabei handelt es sich um die fallabschließende Archivierung von Unterlagen der Krankenhausbegutachtungen des MDK Hessen sowie auf Anforderung durch hessische MDK-Geschäftsstellen deren digitale Aufbereitung. Der Umfang des Verarbeitungsauftrages beträgt schätzungsweise 80.000 Akten jährlich.
5.8.5.2
Transport und Verarbeitung der Akten
Der Datenschutzbeauftragte des MDK war in die Planungsphase des DV-Projekts eingeschaltet. Er wies an, die medizinischen Unterlagen für den Transport, der von einem Paketdienst durchgeführt wird, zu versiegeln. Hierfür wird ein Sicherheitsklebeband benutzt, um etwaige Öffnungsversuche am Paket auf dem Transportweg zu erkennen.
Die Pakete werden direkt in das Archiv des MDK Sachsen-Anhalt geliefert und dort geöffnet. Danach werden die Unterlagen sortiert. Schließlich werden diese, entsprechend dem Verfahren bei dem Auftrag „Pflegebegutachtungen“, auf Anforderung digitalisiert und über die vorhandene Standleitung von Magdeburg auf den Server des MDK Hessen in Oberursel weitergeleitet.
5.8.5.3
Ergebnis der Prüfung
Der Verfahrensablauf dieses Projektes war nach dem damaligen Kenntnisstand datenschutzrechtlich ohne erkennbare Mängel. Allerdings gab es sowohl zu diesem Datenverarbeitungs-Auftrag wie zu den anderen Projekten keine Verfahrensbeschreibungen bzw. Verfahrensverzeichnisse. Dieses Defizit habe ich ebenso bemängelt wie die Tatsache, dass die Aktenvernichtung aus dem Archivierungsauftrag für die Pflegegutachten zeitlich im Rückstand war. Akten aus dem Papierarchiv des Jahres 2001 waren noch nicht entsprechend der fünfjährigen Aufbewahrungsfrist des § 276 Abs. 2 SGB V vernichtet.
| § 276 Abs. 2 SGB V
Der Medizinische Dienst darf Sozialdaten nur erheben und speichern, soweit dies für die Prüfungen, Beratungen und gutachtlichen Stellungnahmen nach § 275 und für die Modellvorhaben nach § 275a erforderlich ist; haben die Krankenkassen nach § 275 Abs. 1 bis 3 eine gutachtliche Stellungnahme oder Prüfung durch den Medizinischen Dienst veranlasst, sind die Leistungserbringer verpflichtet, Sozialdaten auf Anforderung des Medizinischen Dienstes unmittelbar an diesen zu übermitteln, soweit dies für die gutachtliche Stellungnahme und Prüfung erforderlich ist. Die Sozialdaten sind nach fünf Jahren zu löschen. ... |
Der kommissarische Geschäftsführer des MDK Hessen hat mir nach Kenntnisnahme des Prüfberichtes zugesichert, die Defizite umgehend beheben zu lassen. Verfahrensverzeichnisse wurden gefertigt und dem Datenschutzbeauftragten des MDK Hessen vorgelegt. Die Vernichtung der vom Fristablauf betroffenen Akten des Papierarchivs wurde zugesagt und ist mittlerweile erfolgt.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Eine stichprobenartige Prüfung im Klinikum Fulda hat nur in einigen wenigen Einzelfragen Anlass zur Kritik gegeben. Allerdings sind in dem vom Krankenhaus verwendeten Formulartext des Behandlungsvertrags einige datenschutzrechtliche Aspekte nicht hinreichend beachtet.
Das Klinikum Fulda ist mit fast 1.000 Betten in 29 Kliniken und Instituten das größte Krankenhaus in Osthessen und gehört der höchsten Versorgungsstufe an. In einem Einzugsgebiet von etwa 500.000 Einwohnern versorgen 2.600 Mitarbeiterinnen und Mitarbeiter jährlich ca. 38.000 stationäre Patienten. In diesem Zusammenhang fallen zahlreiche personenbezogene, medizinische Daten an, die vom Krankenhaus vor dem unbefugten Zugriff Dritter angemessen geschützt werden müssen.
Die im Klinikum durchgeführte Prüfung war zeitlich und inhaltlich begrenzt; oft musste der erste Augenschein genügen. Dies vorausgeschickt, brachte die Prüfung die nachfolgend erläuterten Ergebnisse.
5.8.6.1
Rechtliche Aspekte
5.8.6.1.1
Formulartext des Behandlungsvertrags
Im Formulartext des Behandlungsvertrags sind einige datenschutzrechtliche Aspekte nicht hinreichend beachtet. Die Erhebung von sog. Pflichtangaben, die zur Durchführung der Behandlung erforderlich sind, und von freiwilligen Angaben, die nach Information über den Zweck der Datenerhebung und die Weiterverarbeitung der Daten zusätzlich vom Patienten erhoben werden können, ist nicht klar getrennt. Dadurch werden die rechtliche Grundlage und der Zweck der Datenerhebungen nicht ausreichend für die Patienten klar. Freiwillige Angaben sind insbesondere Angaben zum Familienstand, der Konfession, dem Beruf, dem Hausarzt und evtl. zu benachrichtigenden Angehörigen.
In dem Formular werden die freiwilligen Angaben zum Teil nicht als solche gekennzeichnet. Bei dem Datum Konfession steht die Erläuterung des Zwecks der Erhebung an einer anderen, späteren Stelle als das Datenfeld. Unklar ist insbesondere auch der Punkt Auskunft über den Aufenthalt: Im Formular ist der Satz enthalten „Darüber hinaus bin ich damit einverstanden, dass Privatpersonen, die mit mir in Verbindung treten wollen, Auskunft über meinen Aufenthalt im Klinikum Fulda erhalten“. Diese Formulierung erweckt den Eindruck, dass eine Einwilligung eingeholt wird, in dem Formular wird aber keine Möglichkeit gegeben, eine Auskunftserteilung abzulehnen. Der Patient muss den Behandlungsvertrag insgesamt einschließlich dieser Formulierung unterschreiben. Ein separates zusätzliches Formular zur Einrichtung einer Auskunftssperre wurde später offenbar entwickelt und wird den Patienten ausgehändigt. Damit liegen dann aber zwei sich widersprechende Erklärungen des Patienten vor.
5.8.6.1.2
Hinweise zur Datenverarbeitung im Behandlungsvertrag
Das Formular enthält einen Hinweis auf die Datenverarbeitung. Dieser Hinweis ist allerdings sehr pauschal formuliert und für Patienten schwer verständlich. Hinzu kommt, dass die Rechtslage bei den erwähnten Konstellationen sehr unterschiedlich ist und zum Teil eine Einwilligung des Patienten eingeholt werden muss. Für die Krankenhäuser in Hessen gilt gemäß § 12 HKHG ergänzend zur Regelung des § 12 das HDSG. Gemäß § 12 Abs. 4 HDSG ist der Patient in geeigneter Weise über den Zweck der Datenverarbeitung aufzuklären. Die Aufklärungspflicht umfasst bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Die Information sollte daher überarbeitet werden, wobei uns der Wunsch, den Patienten nicht mit zu vielen Informationen zu überfordern, durchaus nachvollziehbar ist. Ergänzend kann und sollte daher für Einzelfragen zum Datenschutz ein Ansprechpartner im Klinikum genannt werden.
5.8.6.1.3
Medizinisches Versorgungszentrum
Im Klinikum befindet sich als rechtlich selbständige Organisationseinheit ein Medizinisches Versorgungszentrum. Dies versorgt u.a. Patienten des Klinikums ambulant. Das Medizinische Versorgungszentrum und das Klinikum Fulda sind aus datenschutzrechtlicher Sicht zwei zu unterscheidende Daten verarbeitende Stellen. Hinsichtlich der wechselseitigen Nutzung der Datenbestände der beiden Stellen haben sich datenschutzrechtliche Fragen ergeben, die im nächsten Berichtszeitraum einer Klärung unterzogen werden müssen.
5.8.6.2
Technische und organisatorische Aspekte
Meine Prüfung hat hinsichtlich der Datensicherheit keinen Anlass zur Beanstandung gegeben. Die Aktenaufbewahrung garantierte in den geprüften Bereichen – dies waren einige Ambulanzen sowie eine Krankenstation – den Schutz vor unbefugter Kenntnisnahme bzw. Zugriff. Die Standorte der Telefaxgeräte waren sorgsam ausgewählt.
5.8.6.2.1
Pforte und Telefonzentrale
Ein Klinikum ist keine informationelle Einheit. Jeder Mitarbeiter darf nur die Patientendaten zur Kenntnis erhalten, die tatsächlich für die Aufgabenerfüllung benötigt werden. Der Datensatz, den die Pforte bzw. Telefonzentrale vom Patienten erhält, ist in seinen einzelnen Merkmalen hinreichend begrenzt.
5.8.6.2.2
Videoüberwachung
Bestimmte Zonen des Klinikums werden Videoüberwacht. Allerdings gab es nur einen allgemein gehaltenen Hinweis hierzu im Eingangsbereich. Eine konkrete Benennung eines hiervon betroffenen Bereiches fehlte.
5.8.6.2.3
Betriebsvereinbarung zur Nutzung von Internet und E-Mail
Die Regelungen in der Betriebsvereinbarung entsprechen den Anforderungen hinsichtlich der erforderlichen Transparenz gegenüber den Nutzern, wenn diese Nutzung für private Zwecke erfolgt.
5.8.6.2.4
Unzureichende Zugangskontrolle zum Technikraum
Zur EDV-Abteilung muss der Besucher einen davor gelagerten Raum passieren, in dem wesentliche Teile der Haustechnik untergebracht sind. Die Tür hierzu war offen und zudem ohne Schloss. Unbefugte hatten so die Möglichkeit, den Raum unbeobachtet zu betreten und möglichen Schaden anzurichten.
5.8.6.3
Fazit
Gravierende datenschutzrechtliche Defizite waren bei dieser stichprobenhaften Prüfung im Klinikum Fulda nicht festzustellen. Einzelne Unzulänglichkeiten hinsichtlich der Videoüberwachung oder des Zutritts in der Technik-/DV-Bereich sind abgestellt worden. Verbesserungswürdig ist das Patientenaufnahmeformular. Diesbezüglich gibt es weitere Kontakte mit dem Klinikum. Auch besteht noch weiterer Klärungsbedarf beim Medizinischen Versorgungszentrum.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Bei Anträgen auf Pflegeleistungen kann im Einzelfall eine Einsichtnahme in bereits vorhandene Pflegedokumentationen zur Entscheidung über die Leistungsberechtigung erforderlich sein. Hierfür muss eine rechtswirksame Einwilligung der Betroffenen eingeholt werden. Ein von mir bereits vor längerer Zeit beanstandetes unklares Einwilligungsformular wurde auch 2007 noch von verschiedenen AOK Geschäftsstellen verwendet.
Ebenso wie 2006 habe ich auch 2007 Beschwerden bezüglich eines von der AOK Hessen im Zusammenhang mit Anträgen auf Pflegeleistungen nach dem SGB XI (Soziale Pflegeversicherung) verwendetes Einwilligungsformular erhalten. Dieses Formular habe ich bereits vor längerer Zeit gegenüber der AOK Hessen beanstandet. Die AOK Hessen hat meine Rechtsauffassung geteilt und zugesagt, dass dieses Formular nicht mehr verwendet wird. Dessen ungeachtet ist das Formular in verschiedenen Geschäftsstellen der AOK weiterhin verwendet worden.
|
Name,Vorname:___________________________________________________________ Geburtsdatum:___________________________________________________________ KV-Nr.:_________________________________________________________________ Anschrift:______________________________________________________________
Hiermit erkläre ich mein Einverständnis, dass die AOK-Hessen/AOK-Hessen Pflegekasse zur Überprüfung der Qualität der Leistungserbringung in dem erforderlichen Umfang Einblick in meine Patientendokumentation des Pflegedienstes und Arztes nehmen und ggf. Fotokopien meiner Unterlagen anfertigen kann. Dies gilt auch für Dokumentationsunterlagen, die beim Pflegedienst oder Arzt aufbewahrt werden. Insoweit entbinde ich den Pflegedienst und den Arzt von seiner Schweigepflicht. __________________________________________________________________ Ort, Datum, Unterschrift
LPV053 – 01.06.2007 |
5.8.7.2
Defizite der Verfahrensweise der AOK
Diese rechtlichen Vorgaben werden mit der Verwendung dieses Formulars nicht eingehalten:
Die AOK Hessen habe ich um Überprüfung gebeten, wie es dazu kommt, dass dieses Formular, mit dem keine rechtswirksamen Einwilligungen eingeholt werden können, von den verschiedensten AOK-Geschäftsstellen nach wie vor verwendet wird. Die AOK Hessen hat mir nach Überprüfung geantwortet, dass nach dortiger Feststellung das Einwilligungsformular tatsächlich versehentlich weiterhin vom zuständigen Fachbereich versandt wurde. Passiert sei dies dadurch, dass innerhalb des Textsystems das Einwilligungsformular stets zusammen mit dem Antragsformular automatisch ausgedruckt wurde. Es wurde versäumt, das Einwilligungsformular aus dem Textsystem herauszunehmen. Aufgrund meines Schreibens seien zum einen alle Mitarbeiter informiert worden, dass das Formular nicht mehr verwendet werden darf. Zum anderen sei das Formular aus dem Textsystem gelöscht worden, sodass der Vordruck auch nicht mehr ausgedruckt werden könne.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Viele Krankenhäuser veröffentlichen inzwischen Bilder der bei ihnen geborenen Kinder im Internet. Zuvor müssen die Eltern über die Art und Weise und die Konsequenzen einer Veröffentlichung informiert und um Einwilligung gebeten werden. Zusätzlich zu dem Bild sollten keine personenbezogenen Daten über das Kind und/oder die Eltern im Internet zur Verfügung gestellt werden, die Dritten eine Identifizierung ermöglichen.
Immer mehr Krankenhäuser stellen auch in Hessen auf ihrer Homepage Bilder der Neugeborenen zur Verfügung. Für die Krankenhäuser ist dies eine Möglichkeit, mit einem positiven Anlass für ihr Haus zu werben, und gleichzeitig den Eltern einen Service anzubieten, der offenbar zumindest von einem Teil der Eltern sehr geschätzt wird. Für die Eltern ist dies eine Möglichkeit, Verwandten und Freunden – wo immer sie sich aufhalten – schnell und mit wenig Aufwand ein Bild ihres Neugeborenen zukommen zu lassen.
Nach meinen stichprobenartigen Feststellungen und Nachfragen ist die Art und Weise der Veröffentlichung sehr unterschiedlich. Die Krankenhäuser veröffentlichen die Babybilder in der Regel mit dem Geburtsdatum des Kindes, darüber hinaus zum Teil
Gegen eine Veröffentlichung eines Bildes des Neugeborenen auf der Homepage des Krankenhauses mit Einwilligung der Eltern bestehen keine grundsätzlichen Bedenken. Es sollten jedoch die datenschutzrechtlichen Rahmenbedingungen vor einer Veröffentlichung angemessen berücksichtigt und festgelegt werden:
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Aufgrund von Anfragen und Beschwerden bezüglich der Einsichtnahme in Pflegedokumentationen habe ich mich 2007 mit dem Verfahren der Feststellung der Pflegebedürftigkeit bei der Stadt Frankfurt befasst. Über die Verfahrensweise wurde Übereinstimmung zwischen der Stadt Frankfurt und mir erzielt. Das bisher von der Stadt Frankfurt verwendete Einwilligungsformular muss überarbeitet werden.
5.9.1.1
Einleitung
Zur Zulässigkeit der Einsichtnahme in Pflegedokumentationen erhalte ich immer wieder Anfragen und Beschwerden. Dies ist auch nicht verwunderlich, da die Pflegedokumentationen oft sehr detaillierte, persönliche und sensitive Daten enthalten. Pflegedokumentationen sind daher auch besonders schutzbedürftig. Sie werden für die Durchführung der Pflege erstellt und dürfen grundsätzlich nur für diesen Zweck verwendet werden. Bei den Anfragen und Diskussionen wird allerdings häufig nicht klar unterschieden zwischen der Frage der Verwendung von Pflegedokumentationen
In diesem Jahr habe ich mich u.a. detailliert mit dem Verfahren der Feststellung der Pflegebedürftigkeit im Rahmen von Anträgen nach SGB XII (Sozialhilfe) beim Jugend- und Sozialamt der Stadt Frankfurt befasst, insbesondere auch mit der Verwendung von Pflegedokumentationen im Rahmen der Antragsprüfung. Das Jugend- und Sozialamt der Stadt Frankfurt am Main ist u.a. zuständig für Leistungen, die sich aus dem SGB XII – Sozialhilfe – ergeben. In § 61 bis § 66 SGB XII ist die Hilfe zur Pflege normiert. Diese wird Pflegebedürftigen gewährt, die selbst nicht pflegeversichert im Sinne des SGB XI (Soziale Pflegeversicherung) sind. Das Gleiche gilt für Pflegebedürftige, bei denen die Leistungen der Pflegekassen (SGB XI) nicht ausreichen. Hier wird die Hilfe zur Pflege dann ergänzend geleistet, wenn die Betroffenen bzw. ihre Angehörigen den Pflegeaufwand aus eigener wirtschaftlicher Kraft nicht schaffen.
5.9.1.2
Datenschutzrechtliche Vorgaben
Bei der Prüfung der Verfahrensweise bin ich von folgenden datenschutzrechtlichen Vorgaben ausgegangen:
| § 60 Abs. 1 SGB I
Wer Sozialleistungen beantragt oder erhält, hat
1. alle Tatsachen anzugeben, die für die Leistung erheblich sind, und auf Verlangen des zuständigen Leistungsträgers der Erteilung der erforderlichen Auskünfte durch Dritte zuzustimmen, |
Im Rahmen der Antragsprüfung dürfen aber nur die für die Bearbeitung des Antrags tatsächlich erforderlichen Daten erhoben werden. Konkret bedeutet dies insbesondere, dass nicht routinemäßig Einsicht in evtl. bereits vorhandene Pflegedokumentation genommen werden darf bzw. nicht routinemäßig Pflegedokumentationen für die Antragsbearbeitung kopiert und verwendet werden dürfen, sondern nur im Einzelfall, in dem die Leistungsberechtigung anders nicht abschließend geklärt werden kann.
|
§ 65 Abs. 1 und 2 SGB I
(1) Die Mitwirkungspflichten nach 60 bis 64 bestehen nicht, soweit
(2) Behandlungen und Untersuchungen, |
5.9.1.3
Verfahrensweise bei der Stadt Frankfurt am Main
In mehreren Besprechungen des Jugend- und Sozialamts, des internen Datenschutzbeauftragten der Stadt Frankfurt und meiner Dienststelle wurde eine Klärung und ein Konsens erzielt über die Verfahrensweise bei der Antragsprüfung. Die künftige Verfahrensweise wurde von der Stadt Frankfurt wie folgt festgelegt:
Betroffene bzw. deren Angehörige stellen beim regional zuständigen Sozialrathaus des Jugend- und Sozialamts der Stadt Frankfurt am Main einen Antrag auf Hilfe zur Pflege. Die örtlich zuständigen Sozialdienste müssen neben der Hilfe zur Pflege auch sonstige Klärungen bzw. Vermittlung weitergehender psycho-sozialer Hilfe- und Unterstützungsangebote in Einzelfällen herbeiführen. Sie sind zudem die unmittelbaren Ansprechpartner der Klienten bzw. deren Angehöriger und für die Steuerung und Planung der notwendigen Hilfen verantwortlich. Nach Bekanntwerden des Hilfebedarfs (z.B. durch Anruf oder persönliche Vorsprache) erfolgt zunächst eine Beratung durch den Dienst für Alten- und Behindertenhilfe des örtlich zuständigen Sozialrathauses. Dabei werden Art und Umfang des Hilfebedarfs und Möglichkeiten der Hilfen erörtert. Durch die dezentralen Sozialdienste werden häufig auch andere Hilfen aus dem Sozialrecht in den Beratungen erörtert. Dieses erfolgt überwiegend in der häuslichen Umgebung der Antragsteller.
Der Sozialdienst stellt zunächst den akuten Bedarf an ambulanter Hilfe zur Pflege fest. Soweit ärztliche bzw. medizinische Befunde nicht bereits bei Antragstellung dem fallverantwortlichen Sozialdienst vorliegen (dies ist der Regelfall), wird noch ergänzend um die Vorlage entsprechender ärztlicher Stellungnahmen mit den pflegerelevanten Diagnosen gebeten. Dies sind z.B. Festlegungen durch den Medizinischen Dienst der Pflegekassen oder die ärztliche Stellungnahme des Haus- oder Facharztes.
Seitens der dezentralen Sozialdienste und der dezentralen Leistungsabteilung (wirtschaftliche Sozialhilfe) wird gemeinsam mit dem Betroffenen eine Akuthilfe verabredet und eine vorläufige Kostenzusage gegeben. Dies ist insbesondere bei Neuanträgen erforderlich. Hier muss die Sozialbehörde zeitnah reagieren. Der regional zuständige Sozialdienst übersendet die zur abschließenden Antragsbearbeitung eingereichten Unterlagen an den zentralen Fachdienst für ambulante Hilfen zur Pflege mit der Bitte um Begutachtung. Der Fachdienst für ambulante Pflege prüft ausschließlich die pflegerelevanten Sachverhalte, insbesondere mit der Zielsetzung einer fördernden bzw. aktivierenden Pflege für die zu Pflegenden. Seitens des regional zuständigen Sozialdienstes werden keine Kopien aus Pflegedokumentationen gefertigt. Vergleichbar sind die Abläufe in Fällen, bei denen eine Erhöhung des Pflegebedarfs (oder auch eine Reduzierung) beantragt wird.
Der zentrale Fachdienst für ambulante Hilfen entscheidet im Einzelfall, ob bereits alle leistungserheblichen, für den Pflegebedarf relevanten Informationen schlüssig vorliegen und nach Aktenlage über den Antrag entschieden werden kann oder ein Hausbesuch für erforderlich gehalten wird. Die Mitarbeiterinnen und Mitarbeiter des Fachdienstes haben eine pflegefachliche Ausbildung mit (entsprechender) Zusatzqualifikation und langjährige Pflegepraxis. Im Falle eines Hausbesuches wird von der Pflegefachkraft des zentralen Fachdienstesgeprüft, ob, soweit überhaupt schon vorhanden, eine Einsicht in die Pflegedokumentation im Einzelfall geboten ist, und ggf., ob eine Kopie von (Teilen) der Pflegedokumentation für die weitere Antragsbearbeitung erforderlich ist.
Vor der Einsichtnahme bzw. der Erstellung einer Kopie der Pflegedokumentation wird von der Pflegefachkraft des zentralen Fachdienstes die Einwilligung des Betroffenen bzw. der Betreuer eingeholt. In den Fällen, in denen Betroffene bzw. ihre Betreuer ihre Einwilligung nicht erteilen, erfolgt keine Einsichtnahme bzw. Kopienerstellung. Über die weitere Verfahrensweise wird nach den Umständen des Einzelfalls entschieden.
Nach der o.a. Überprüfung der Situation wird mit den Betroffenen, deren Angehörigen oder Betreuern und ggf. mit dem bereits tätigen Pflegedienst eine Optimierung der Hilfe erörtert. Dies ist insbesondere in den Fällen notwendig, bei denen aus Sicht des Fachdienstes seither tatsächlich falsche bzw. nicht geeignete Pflegemaßnahmen durchgeführt wurden oder der tatsächliche Bedarf des Betroffenen nicht gedeckt wird. Abschließend erstellt der Fachdienst sein Gutachten zum Bedarf an Hilfe zur Pflege und übermittelt dieses an das zuständige Sozialrathaus. Von dort werden die entsprechenden Leistungsbescheide erteilt.
Die von dem zentralen Fachdienst für ambulante Hilfe zur Pflege festgestellten Prüfungsergebnisse sind von den regional zuständigen Organisationseinheiten des Jugend- und Sozialamtes (Sozialrathäuser) verbindlich umzusetzen und münden in einen Leistungsbescheid, der durch den Bereich wirtschaftliche Hilfe in den zuständigen Sozialrathäusern verwaltungsrechtlich und technisch abgewickelt wird.
Organisatorisch wurde festgelegt, dass die medizinischen bzw. pflegerelevanten Dokumentationen wie z.B. die Fotokopien beim Prüfdienst verbleiben und nicht an den Sozialdienst bzw. an die wirtschaftliche Sozialhilfe (Leistungsabteilung) weitergegeben werden. Der Zeitraum der Aufbewahrung betrug bisher sieben Jahre. Es wird derzeit noch diskutiert, in welchem Umfang diese Frist verkürzt werden kann.
5.9.1.4
Abschließende Bewertung
Die unter Ziff. 5.9.1.2 dargelegten datenschutzrechtlichen Vorgaben werden von der Stadt Frankfurt bei der Antragsprüfung berücksichtigt:
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Sozialverwaltung ist nur in Ausnahmefällen befugt, Daten über den Leistungsempfänger bei Dritten (z.B. dem Vermieter) zu erheben.
Ein Empfänger von Arbeitslosengeld II hat bei mir angefragt, ob die Verwaltungsbehörde berechtigt sei, bei seinem Vermieter Erkundigungen einzuholen, um einen von der Behörde vermuteten Sozialleistungsbetrug aufzudecken.
Von Sozialbehörden wird regelmäßig der Hinweis gegeben, man habe, um Sozialleistungsmissbrauch zu verhindern, wegen des Untersuchungsgrundsatzes das Recht und auch die Pflicht, den Sachverhalt hinreichend aufzuklären. Dies reicht als Begründung nicht aus.
Zwar ist die Geltung des Untersuchungsgrundsatzes im Verwaltungsverfahren gesetzlich normiert (§ 20 SGB X), aber zugleich ist festgelegt, dass der Sozialdatenschutz im Verhältnis zum Untersuchungsgrundsatz vorrangig ist (§ 37 Satz 3 SGB I).
Diese Vorrangigkeit des Sozialdatenschutzes hat zur Konsequenz, dass die Behörde grundsätzlich nicht berechtigt ist, den Sachverhalt in der Weise aufzuklären, dass sie Auskünfte etwa beim Vermieter eines Sozialleistungsempfängers einholt. Denn im Sozialdatenschutzrecht gilt, nicht anders als im allgemeinen Datenschutzrecht auch, dass Daten grundsätzlich beim Betroffenen zu erheben sind.
Allerdings gilt der Grundsatz der Datenerhebung beim Betroffenen nicht uneingeschränkt. In Ausnahmefällen ist es nämlich nach § 67a SGB X zulässig, Erkundigungen auch bei anderen Personen einzuholen.
| § 67a SGB X
(1) Das Erheben von Sozialdaten...ist zulässig, wenn ihre Kenntnis zur Erfüllung einer Aufgabe der erhebenden Stelle ...erforderlich ist... |
Eine Aufgabe kann ihrer Art nach eine Erhebung bei anderen Personen erforderlich machen, wenn bspw. infolge falscher oder wenig glaubhafter Angaben des Betroffenen der relevante Sachverhalt schwierig oder nicht zu klären und deshalb eine zusätzliche Befragung Dritter notwendig ist (vergleiche auch Rombach in Hauck-Noftz, SGB X, § 67a, Rdnr. 98, Müller-Thele, Hartz IV-Kontrollmaßnahmen gegen Leistungsmissbrauch, RDV 2005, 257 (258)). Allerdings müssen die Erkundigungen seitens der Behörde so gestaltet werden, dass der Dritte über den Betroffenen nur diejenigen Informationen erhält, die zur Sachverhaltsermittlung notwendig sind. Von einer Befragung Dritter seitens der Behörde muss sogar gänzlich abgesehen werden, falls Anhaltspunkte dafür bestehen, dass dadurch überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden können (§ 67a Abs. 2 SGB X a. E.).
Den anfragenden Bürger habe ich über die eben beschriebene Rechtslage informiert.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Soweit ein Informant des Jugendamtes ein berechtigtes Interesse an der Geheimhaltung seiner Daten hat, darf das Jugendamt diese Daten anderen Personen oder Stellen grundsätzlich nicht bekannt geben. Werden diese Daten an das Familiengericht übermittelt, sollte das Jugendamt das Gericht auf die zugesicherte Vertraulichkeit hinweisen.
5.9.3.1
Der Fall
Der behördliche Datenschutzbeauftragte einer Kreisverwaltung trat mit der Frage an mich heran, ob personenbezogene Daten eines Informanten des Jugendamtes an das Familiengericht oder andere Dritte übermittelt werden dürfen.
Konkret ging es um einen Vater, der gegenüber der Behörde angezeigt hatte, dass die von ihm getrennt lebende (alkoholkranke) Ehefrau die beiden aus der Ehe hervorgegangenen Kinder, insbesondere die vier Monate alte Tochter, nicht ordnungsgemäß versorgen könne. Dem vorausgegangen war ein Hilferuf des 16-jährigen Sohnes des getrennt lebenden Paares. Der Vater bat in dem Telefonat mit dem Jugendamt ausdrücklich darum, die Informationen vertraulich zu behandeln, da ihm sonst möglicherweise Repressalien durch den drogenabhängigen Freund der Mutter drohten. Der Allgemeine Soziale Dienst des Landkreises fand die Mutter tatsächlich hilflos vor und übergab die Kinder der Pflege. Ein Vermerk des zuständigen Bearbeiters mit einem Hinweis auf den „Informanten“ (also den Vater) sowie Gesprächsprotokolle mit dem 16-jährigen Sohn wurden Bestandteil der Akte. Der Vorgang wurde im weiteren Verlauf samt der Akte an das Familiengericht weitergegeben. Dort wurde die Akte kopiert und der verfahrensbeteiligten Mutter zur Verfügung gestellt, wo durch die Akte auch dem drogenabhängigen Freund der Mutter zur Kenntnis gelangte. Damit wurde bekannt, wer das Verfahren in Gang gebracht und welche Aussagen der Sohn gemacht hatte.
5.9.3.2
Zulässigkeit der Datenübermittlung
5.9.3.2.1
Übermittlung an Dritte
Eine Übermittlung von Daten an andere Personen oder Stellen im Wege z.B. der Akteneinsicht oder der Übergabe von Kopien aus der Akte, z.B. an die Mutter, wäre unzulässig, trägt man den Kernsätzen des Urteil des BVerwG vom 4. September 2003 (BVerwG 5 C 48.02) Rechnung. Danach ist eine Behörde zur Gestattung der Akteneinsicht nicht verpflichtet, soweit die Vorgänge wegen der berechtigten Interessen der Beteiligten oder dritter Personen geheim gehalten werden müssen; jedenfalls bei entgegenstehenden berechtigten Geheimhaltungsinteressen dritter Personen ist sie nicht berechtigt, Akteneinsicht zu gewähren. Bei dem Namen eines Behördeninformanten handelt es sich gemäß § 35 Abs. 1 SGB I i.V.m. § 67 Abs. 1 SGB X um ein geschütztes Sozialdatum, dessen Offenbarung nur nach Maßgabe der gesetzlichen Bestimmungen des § 67d i.V.m. §§ 68 bis 77 SGB X oder einer anderen Rechtsvorschrift im SGB zulässig ist.
Auch eine Auskunftserteilung i.S.d. § 83 Abs. 1 S. 1 SGB X kommt nicht in Betracht, da dem die Regelung des § 83 Abs. 4 Nr. 3 SGB X entgegensteht. Eine Güterabwägung zwischen den in § 25 Abs. 3 bzw. § 83 Abs. 1 Nr. 1 SGB X genannten Auskunftsansprüchen der Mutter und den schutzwürdigen Belangen des Vaters muss dazu führen, die Schutzwürdigkeit höher einzustufen als den Auskunftsanspruch. Das Geheimhaltungsinteresse überwiegt insbesondere dann, wenn keine Anhaltspunkte dafür vorliegen, dass der Informant wider besseres Wissen oder leichtfertig falsche Behauptungen aufgestellt hat.
| § 25 Abs. 3 SGB X
Die Behörde ist zur Gestattung der Akteneinsicht nicht verpflichtet, soweit die Vorgänge wegen der berechtigten Interessen der Beteiligten oder dritter Personen geheim gehalten werden müssen.
(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Sozialdaten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
Die Auskunftserteilung unterbleibt, soweit |
Der Vater hatte die von ihm beanspruchte Vertraulichkeit mit möglichen Attacken gegen seine Person begründet, würde der Sachverhalt der Mutter und ihrem Freund zugänglich. In diesem Zusammenhang stellt sich auch die Frage, ob es zwingend war, in den Aktenvermerken den Namen des Informanten zu nennen. Der Umstand, dass ein Informant Vertraulichkeit einfordert, muss nicht zwangsläufig dazu führen, die Akte zu „anonymisieren“. Vor allem dann nicht, wenn dies Ausgangspunkt einer umfangreichen Aktion verschiedener Behörden (Jugendamt, Polizei, Familiengericht) ist. Im Gegenteil: Bestandteil einer ordnungsgemäßen Dokumentation ist auch der Initiator solcher Aktionen, vor allem wenn dies massive Eingriffe in die Persönlichkeitsrechte anderer Personen zur Folge hat.
5.9.3.2.2
Datenübermittlung an das Familiengericht
Eine Übermittlung von Sozialdaten ist nach §§ 64 Abs. 2 SGB VIII, 69 Abs. 1 Nr. 2 SGB X zulässig, soweit diese für die Durchführung eines gerichtlichen Verfahrens erforderlich ist.
| § 64 SGB VIII
(1) Sozialdaten dürfen zu dem Zweck übermittelt oder genutzt werden, zu dem sie erhoben worden sind.
Eine Übermittlung von Sozialdaten ist zulässig, soweit sie erforderlich ist |
Hält das Jugendamt zur Abwendung einer Gefährdung des Wohls des Kindes oder des Jugendlichen das Tätigwerden des Gerichts für erforderlich, so hat es gemäß § 8a Abs. 3 SGB VIII das Gericht anzurufen.
| § 8a Abs. 3 SGB VIII
Hält das Jugendamt das Tätigwerden des Familiengerichts für erforderlich, so hat es das Gericht anzurufen; dies gilt auch, wenn die Erziehungs- oder Personensorgeberechtigten nicht bereit oder in der Lage sind, bei der Abschätzung des Gefährdungsrisikos mitzuwirken. Besteht eine dringende Gefahr und kann die Entscheidung des Gerichts nicht abgewartet werden, so ist das Jugendamt verpflichtet, das Kind oder den Jugendlichen in Obhut zu nehmen. |
Die Übermittlung der im Jugendamt vorhandenen Akte ist demnach zulässig gewesen. Eine „Selektion“ der Akte vor deren Abgabe an das Familiengericht durch das Jugendamt war rechtlich nicht geboten. Dem Gericht durften sämtliche Inhalte der Akte bekannt gegeben werden. Die Beurteilung hinsichtlich der Prozessrelevanz bzw. die Entscheidung, ob und wenn ja welche Inhalte den Parteien nicht zur Kenntnis gegeben werden, obliegt ausschließlich dem Gericht bzw. dem Richter. Dabei sollten vom Gericht im Rahmen seines Ermessens schutzwürdige Belange Betroffener berücksichtigt werden.
5.9.3.3
Fazit
Die Übermittlung der Sozialdaten durch Übersendung der Akte des Jugendamts an das Familiengericht war zulässig. Weitere Übermittlungen hat das Jugendamt nicht vorgenommen. Dass das Gericht die gesamte Akte mit dem Namen des Informanten bzw. den Gesprächsaufzeichnungen mit dem Sohn weitergegeben hat, unterlag nicht meiner Bewertung, denn dies war ein Sachverhalt, der in den Bereich der richterlichen Unabhängigkeit fällt. Gerichte unterliegen meiner Kontrolle aber nur, soweit sie nicht in richterlicher Unabhängigkeit tätig werden (§ 24 Abs. 1 Satz 3 HDSG). Dem Datenschutzbeauftragten des Kreises habe ich jedoch den Hinweis gegeben, künftig vor Abgabe derartiger Akten das Gericht auf schutzwürdige Inhalte ausdrücklich aufmerksam zu machen.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Bei Trägern der freien Jugendhilfe ist nach Maßgabe des Bundesdatenschutzgesetzes ein Beauftragter für den Datenschutz zu bestellen.
Ein Träger der freien Jugendhilfe hat mir gegenüber angesprochen, dass mit Blick auf die datenschutzrechtlichen Vorschriften im Kinder- und Jugendhilferecht Unsicherheit besteht, ob ein Datenschutzbeauftragter zu bestellen ist.
Im Gegensatz zu Trägern der öffentlichen Jugendhilfe gehören Träger der freien Jugendhilfe nicht zum staatlichen Bereich (§§ 3, 75 SGB VIII – Kinder- und Jugendhilfe), so dass für sie nicht das HDSG (§ 3 HDSG), sondern grundsätzlich das BDSG maßgebend ist (§ 1 Abs. 2 Nr. 3 BDSG). Insoweit haben Träger der freien Jugendhilfe nach Maßgabe von § 4f BDSG einen Beauftragten für den Datenschutz zu bestellen.
Bei vordergründiger Betrachtung des SGB VIII ist dies allerdings infrage gestellt. Dies liegt daran, dass Träger der öffentlichen mit Trägern der freien Jugendhilfe zusammenarbeiten sollen (§§ 3, 4 SGB VIII) und dass in diesem Fall der öffentlich-rechtliche Sozialdatenschutz nicht nur für die Träger der öffentlichen, sondern auch die Träger der freien Jugendhilfe maßgebend ist (§§ 61 Abs. 1 und 3 SGB VIII).
Im Sozialdatenschutzrecht (§§ 67 ff. SGB X) ist auch das Thema Datenschutzbeauftragter bereichsspezifisch geregelt, nicht-öffentliche Stellen sind dort allerdings nicht genannt (§ 81 Abs. 4 SGB X).
Daraus nun in einer Art Umkehrschluss abzuleiten, Träger der freien Jugendhilfe seien zur Bestellung eines Datenschutzbeauftragten nicht verpflichtet, wäre allerdings fehlerhaft. Denn dies würde zu dem widersinnigen Ergebnis führen, dass im Bereich der freien Jugendhilfe zwar das im Verhältnis zum allgemeinen Datenschutzrecht (BDSG) strengere Sozialdatenschutzrecht (SGB) maßgebend wäre, diese materiell-rechtliche Verbesserung des Datenschutzes in der freien Jugendhilfe aber durch die Nichtbestellung eines Datenschutzbeauftragten institutionell wieder entwertet würde. Richtigerweise lässt sich die Vorschrift (§ 81 Abs. 4 SGB X) nur so verstehen, dass sie die Bestellung von Datenschutzbeauftragten in der öffentlichen Sozialverwaltung betrifft und dass bei nicht-öffentlichen Stellen insoweit das BDSG anzuwenden ist. Dies hat dann aber gerade zur Konsequenz, dass Träger der freien Jugendhilfe nach Maßgabe von § 4f BDSG einen Datenschutzbeauftragten zu bestellen verpflichtet sind.
Über diese Rechtslage habe ich den anfragenden Träger der freien Jugendhilfe informiert.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Innenrevision von Behörden ist berechtigt, Einsicht in Personalakten zu nehmen, soweit dies für die Aufgabenwahrnehmung der Innenrevision erforderlich ist.
Von Behörden bin ich mehrfach auf die Frage angesprochen worden, ob die Innenrevision befugt ist, in Personalakten Einsicht zu nehmen, falls dies zur Abarbeitung des Prüfauftrags notwendig ist.
Die Zulässigkeit, der Innenrevision Personalakten für Prüfzwecke zur Verfügung zu stellen, könnte deshalb bezweifelt werden, weil nach dem Wortlaut des § 107 Abs. 3 HBG, der gemäß § 34 Abs. 1 Satz 2 HDSG auch für Angestellte und Arbeiter gilt, Personalakten für die Innenrevision nicht zugänglich sind.
| § 107 Abs. 3 HBG
Zugang zur Personalakte dürfen nur Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind, und nur soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist; dies gilt auch für den Zugang im automatisierten Abrufverfahren. |
Allerdings wird die Bedeutung dieser Regelung dadurch relativiert, dass das Personalaktenrecht in erster Linie die Aufgabenwahrnehmung der Personalverwaltung im Blick und im Übrigen keinen abschließenden Charakter hat. Insoweit steht das Personalaktenrecht einer Einsicht durch die Innenrevision nicht von vornherein entgegen. Hinzu kommt, dass die Revisions- und Kontrollaufgabenwahrnehmung datenschutzrechtlich ausdrücklich privilegiert ist. So ist beispielsweise in § 13 HDSG, der das datenschutzrechtliche Gebot der Zweckbindung bei der Weiterverarbeitung personenbezogener Daten normiert, geregelt, dass die Wahrnehmung von Kontrollbefugnissen, zu denen auch Revisionstätigkeiten gehören (vgl. auch Nungesser, HDSG, § 13 Rdnr. 26), mit dem Zweckbindungsgebot vereinbar ist.
| § 13 Abs. 4 HDSG
Personenbezogene Daten, die für andere Zwecke erhoben worden sind, dürfen auch zur Ausübung von Aufsichts- und Kontrollbefugnissen ... in dem dafür erforderlichen Umfang verwendet werden. |
| § 67c Abs. 3 SGB X
Eine Speicherung, Veränderung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie für die Wahrnehmung von Aufsichts-, Kontroll- und Disziplinarbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle erforderlich ist. |
Gesteht man der Innenrevision den Zugang zu Personalakten, soweit dies zur Aufgabenerfüllung erforderlich ist, grundsätzlich zu, so bedeutet dies freilich nicht, dass Personalakteneinsicht schon dann zu gewähren ist, wenn die Innenrevision Informationen aus der Personalakte benötigt. Soweit nämlich eine Auskunft ausreicht, kommt eine Personalaktenvorlage nicht in Betracht (§ 107d Abs. 1 Satz 5 HBG).
| § 107d Abs. 1 Satz 5 HBG
Soweit eine Auskunft ausreicht, ist von einer Vorlage abzusehen.
|
Ich habe mit den anfragenden Dienststellen die Rechtslage wie eben beschrieben erörtert.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Von Bewerbern für den pädagogischen Vorbereitungsdienst dürfen nur die Personaldaten erhoben werden, die für die Einstellungsentscheidung erforderlich sind.
Der Ehemann einer Bewerberin für den pädagogischen Vorbereitungsdienst bat mich um datenschutzrechtliche Prüfung, ob Fragen nach dem Arbeitgeber bzw. der Nichtbeschäftigung des Ehegatten im Zulassungsantrag zum Vorbereitungsdienst für ein Lehramt zulässig sind.
Nach den datenschutzrechtlichen Vorschriften der §§ 107 Abs. 4 HBG, 34 Abs. 1 Satz 2 HDSG dürfen Personaldaten vom Dienstherrn oder Arbeitgeber nur erhoben werden, soweit dies zur Aufgabenwahrnehmung erforderlich ist.
| § 107 Abs. 4 HBG
Der Dienstherr darf personenbezogene Daten über Bewerber, Beamte und ehemalige Beamte nur erheben, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt. |
Auf meine Nachfrage hin erklärte mir das zuständige Amt für Lehrerbildung, dass die Frage nach der Beschäftigung des Ehepartners bei den gegenwärtig angewandten Kriterien zur Zuerkennung von eventuellen „Härtemerkmalen“ keine Bedeutung mehr hat und somit entbehrlich ist.
Nach Abschluss des laufenden Einstellungsverfahrens zum Schuljahresbeginn 2007/08 hat das Amt für Lehrerbildung den Zulassungsantrag zum pädagogischen Vorbereitungsdienst den tatsächlichen Erfordernissen und somit den datenschutzrechtlichen Vorgaben angepasst. Dieser Vorgang zeigt zugleich, dass Datenschutz im dienstlichen Alltag auch zur Verschlankung von Formularen beitragen kann.
Den Eingeber habe ich über diese Entwicklung informiert.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Wiederum war ein Schwerpunkt meiner Tätigkeit die Begleitung der Weiterentwicklung der Personalverwaltungssoftware SAP R/3 HR in der hessischen Landesverwaltung. Dabei spielte die Beurteilung von Zugriffsberechtigungen bei der Weiterentwicklung der Auswertungen der Personaldaten und der eingesetzten Verfahren eine zentrale Rolle.
Inzwischen wird die Tendenz deutlich, Zugriffe nicht mehr an Zweckbindung und Erforderlichkeit für die Personaldatenverarbeitung zu binden, sondern die Erforderlichkeit des Zugriffs mit der Ausnutzung der technischen Möglichkeiten zu begründen.
5.10.3.1
Download-Berechtigungen
Schon zu Beginn der SAP-Einführung habe ich gefordert, dass die Vergabe der Download-Berechtigungen restriktiv erfolgen muss.
Mit dieser Berechtigung ist es nämlich möglich, in SAP R/3 HR erstellte Auswertungen mit personenbezogenen Daten auf den jeweiligen Arbeitsplatz-PC herunterzuladen, dort in Excel zu speichern und weiterzuverarbeiten. Es ist auch möglich, mehrere Auswertungen zusammenzuführen und somit außerhalb der sog. „Standardauswertungen“ größere Datenbestände miteinander zu verknüpfen. Eine Kontrolle, ob nur erforderliche und zulässige Auswertungen durchgeführt werden, ist praktisch nicht mehr durchführbar.
Die in SAP R/3 HR hinterlegten Standardauswertungen sind demgegenüber konkret auf die jeweiligen Fragestellungen, die im Rahmen der Sachbearbeitung täglich zu beantworten sind, programmiert.
Jedem Benutzer des Systems werden die auf seine Aufgabenstellungen in der Personalverwaltung passenden Rollen zugeordnet. In diesen Rollen sind auch die Auswertungsmöglichkeiten hinterlegt, die der Nutzer im Rahmen seiner täglichen Arbeit konkret benötigt.
In bestimmten Einzelfällen kann es für Aufgabenstellungen erforderlich sein, Auswertungen zu erstellen, die mit den im Standard zur Verfügung stehenden Auswertungsmöglichkeiten nicht durchgeführt werden können, um ganz spezielle Fragen der jeweiligen Behörde zu beantworten. Dazu benötigen die Verwaltungen im Einzelfall die Download-Berechtigung.
Da dies im Regelfall aber nicht notwendig ist, wurde unter Ziff. 7.4.3 des Zugriffsberechtigungsrahmenkonzepts für das Land Hessen (Version 1.8) ausdrücklich geregelt,
| ... dass Legitimationsberechtigte und Anwendungsbetreuer (in Verbindung mit der Beantragung der SAP-Rollen) für die USER der betreffenden Behörden die Zuweisung der Download-Berechtigung beantragen müssen. Um eine unkontrollierte Verarbeitung von vertraulichen Daten des Landes Hessen auf lokalen Arbeitsplatzrechnern einzuschränken, werden diese Rollen restriktiv vergeben. Vierteljährlich erfolgt eine Überprüfung, ob der einzelne Benutzer die Möglichkeit zum Excel-Download auch tatsächlich nutzt. Anzumerken ist noch, dass Anwender, die aufgrund anderer Anwendungen neben SAP über eine WTS-up-download-Funktion verfügen, diese auch in SAP nutzen können. Hierüber können aus SAP heraus keine Nachweise oder Statistiken erstellt werden. |
Auf eine entsprechende Nachfrage wurde mir mitgeteilt:
Von 5.374 HR-Usern haben 2.718 ein Downloadkonto auf WTS. Von diesen 2.718 sind 1.679 aus SAP R/3 HR heraus berechtigt. Folglich haben 1.039 HR-User ein Downloadkonto auf WTS, sind aber nicht aus SAP R/3 HR heraus berechtigt. Von diesen 1.039 gehören 57 dem HCC/THCC und 445 der HBS an.
Die hohe Anzahl der 445 downloadberechtigten HBS-User entstand aufgrund eines Massentests im Jahr 2006. Derzeit läuft eine Abfrage bei der HBS, wer die Downloadberechtigung noch benötigt.
Es verbleiben 537 HR-User der personalverwaltenden Dienststellen, die ohne aus SAP R/3 HR heraus berechtigt zu sein, ein Downloadkonto auf WTS haben. Somit könnten auch diese User einen Excel-Download von SAP R/3 HR-Berichten durchführen.
Bei dieser hohen Anzahl kann von einer restriktiven Vergabe der Berechtigungen keine Rede mehr sein. Ich habe sofort eine Überprüfung dieser Angelegenheit gefordert.
Zwischenzeitlich wurde mir mitgeteilt, dass 400 Download-Berechtigungen der HBS-User kurzfristig gelöscht wurden.
Die Download-Berechtigungen der übrigen Landesverwaltung werden zurzeit überprüft.
Gerade dieses Beispiel zeigt, dass die einzelnen Verwaltungen alle Möglichkeiten nutzen, die das SAP-System bietet, ohne auf datenschutzrechtliche Belange der Beschäftigten Rücksicht zu nehmen. Es ist davon ausgehen, dass die Personaldaten, die aus dem HR-System heruntergeladen wurden, auf dem Arbeitsplatzrechner dauerhaft gespeichert werden. Damit steigt die Gefahr, dass Subsysteme aufgebaut werden, die nach Beschluss des Kabinetts nicht zulässig sind. Es wurde eindeutig festgelegt, dass das SAP R/3 HR-System das führende Personalverwaltungssystem ist. Die Gefahr, dass die Verwaltungen Personaldaten außerhalb des HR-Systems speichern, mit anderen Daten zusammenführen und im Laufe der Zeit mit veralteten Daten arbeiten, liegt auf der Hand und dies ist datenschutzrechtlich zu beanstanden.
Ebenso wird deutlich, dass die Festlegungen in den jeweiligen Konzepten, die von mir datenschutzrechtlich begleitet wurden, in der Praxis nicht eingehalten werden.
Ich werde diese Feststellungen zum Anlass nehmen, im nächsten Jahr konkrete Prüfungen auf den Arbeitsplatzrechnern „vor Ort“ durchzuführen. Zwischenzeitlich halte ich es für angezeigt, dass die behördlichen Datenschutzbeauftragten, die nach § 5 HDSG von jeder Daten verarbeitenden Dienststelle zu bestellen sind, eine interne Prüfung in dieser Angelegenheit vornehmen.
| § 5 HDSG
(1) Die Daten verarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muss der behördliche Datenschutzbeauftragte die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar der Leitung der Daten verarbeitenden Stelle zu unterstellen; in Gemeinden und Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten unterstellt werden. Der behördliche Datenschutzbeauftragte ist im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen Mitteln auszustatten. Die Beschäftigten der Daten verarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.
(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die Daten verarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere
Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und anzuhören. Wird er nicht rechtzeitig an einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme auszusetzen und die Beteiligung nachzuholen.
(3) Die Daten verarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere Daten verarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der Daten verarbeitenden Stelle angehören, sind dem Hessischen Datenschutzbeauftragten mitzuteilen. |
5.10.3.2
Löschung von Daten im SAP R/3 HR-System
Zum Thema „Löschen von Daten“ im SAP-System habe ich mich immer eindeutig geäußert, auf die Vorschriften der §§ 107f HBG, 19 Abs. 3 HDSG und § 34 Abs. 4 HDSG hingewiesen und deren Einhaltung gefordert.
| § 107f HBG
Personalakten sind nach ihrem Abschluss von der personalaktenführenden Behörde fünf Jahre aufzubewahren. Personalakten sind abgeschlossen,
(2) Unterlagen über Beihilfen, Heilfürsorge, Heilverfahren, Unterstützungen, Erholungsurlaub, Erkrankungen sind drei Jahre und über Umzugs- und Reisekosten sechs Jahre nach Ablauf des Jahres, in dem die Bearbeitung des einzelnen Vorgangs abgeschlossen wurde, aufzubewahren. Unterlagen, aus denen die Art einer Erkrankung ersichtlich ist, sind unverzüglich zurückzugeben oder zu vernichten, wenn sie für den Zweck, zu dem sie vorgelegt worden sind, nicht mehr benötigt werden. (3) Versorgungsakten sind fünf Jahre nach Ablauf des Jahres, in dem die letzte Versorgungszahlung geleistet worden ist, aufzubewahren; besteht die Möglichkeit eines Wiederauflebens des Anspruchs, sind die Akten dreißig Jahre aufzubewahren. (4) Die Personalakten werden nach Ablauf der Aufbewahrungsfrist vernichtet, sofern sie nicht vom zuständigen Staatsarchiv übernommen werden.
Personenbezogene Daten sind unverzüglich zu löschen, sobald feststeht, dass ihre Speicherung nicht mehr erforderlich ist, um die Zwecke zu erfüllen, für die sie erhoben worden sind oder für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen. Wenn bei der Speicherung nicht absehbar ist, wie lange die Daten benötigt werden, ist nach einer auf Grund der Erfahrung zu bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Satz 1 findet keine Anwendung, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden
Im Falle des § 19 Abs. 2 Satz 1 Nr. 2 sind die Daten der Beschäftigten zu löschen. Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden. |
Mir wurde durch die Projektleitung immer wieder versichert, dass die Löschung von Daten bei SAP thematisiert und spätestens drei Jahre nach der erstmaligen Speicherung von Daten (Zeitpunkt, an dem die Aufbewahrungsfrist für die Krankheits- und Urlaubsdaten endet und diese nach § 107f Abs. 2 HBG zu löschen sind) ein entsprechender Löschreport zur Verfügung stehen werde.
Dieser Zeitpunkt ist jetzt erreicht. Seit Einführung des Releases ERP 6.0 am 22. Juni 2007 steht nunmehr ein Standard-Report für die Löschung von Personalnummern und damit für vollständige Löschung von Datensätzen zur Verfügung, dessen Test bisher noch nicht abgeschlossen wurde.
Für das Löschen einzelner Infotypen wurde von SAP ein Beispielreport bereitgestellt, der jedoch die in den Abrechnungsclustern gespeicherten Daten nicht löscht. Somit entstehen im SAP R/3 HR-System Inkonsistenzen, die in Kauf genommen werden müssten. Nach Aussage des HCC ist eine Löschung einzelner Infotypen frühestens nach 36 Monaten möglich, um evtl. erforderliche Rückrechnungen nicht zu gefährden.
Bereits im Jahr 2005 habe ich ein vom Projektbüro des Hessischen Kultusministeriums beim Staatlichen Schulamt in Marburg gefertigtes Konzept für die Löschung von Bewerberdaten in SAP R/3 geprüft und eine Stellungnahme dazu abgegeben. Dieses Konzept sollte umgehend umgesetzt und damit sichergestellt werden, dass Bewerberdaten, die nicht mehr zur Aufgabenerfüllung notwendig sind, gelöscht werden.
Am 30. Oktober d.J. habe ich anlässlich eines Prüfungstermins in Marburg erfahren, dass dies bisher nicht geschehen ist. Mir wurde fest zugesagt, dass die Umsetzung sofort durch das HCC erfolgen soll.
Ich werde die Umsetzung der Löschkonzepte zeitnah und konkret überprüfen. Ein SAP-System, das die Daten, wie gesetzlich vorgeschrieben, nicht rechtzeitig und umfassend löscht, ist datenschutzrechtlich zu beanstanden. Da die Löschung eines der zentralen Datenschutzrechte ist, hätte bereits eine ordnungsgemäß durchgeführte Vorabkontrolle nach § 7 Abs. 6 HDSG das Ergebnis erbringen müssen, dass das Verfahren so nicht eingesetzt werden darf.
5.10.3.3
Konzept „Zentraler Zugriff“
Sowohl in meinem 34. Tätigkeitsbericht als auch im letzten Jahr hatte ich über die Problemstellung des Zugriffs der Ministerien auf die Personaldaten des nachgeordneten Bereichs berichtet.
In § 107 Abs. 3 HBG ist klar geregelt, wer Zugang zu den Personalakten und somit auch zu den im SAP-System gespeicherten Personalaktendaten haben darf.
| § 107 Abs. 3 HBG
Zugang zur Personalakte dürfen nur Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind, und nur soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist; dies gilt auch für den Zugang im automatisierten Abrufverfahren. |
Ebenso klar regelt der § 107d Abs. 1 HBG, unter welchen Bedingungen der obersten Dienstbehörde die Personalakten vorgelegt werden dürfen, mithin auch ein automatisierter Zugriff auf die im SAP-System gespeicherten personenbezogenen Daten zulässig ist.
Der letzte Satz des Abs. 1 regelt, dass immer dann von einer Vorlage, somit auch von einem vollständigen Zugriff abzusehen ist, wenn eine Auskunft ausreicht.
In Abs. 3 ist geregelt, dass Vorlage und Auskunft auf den jeweils erforderlichen Umfang zu beschränken sind.
| § 107d Abs. 1 und 3 HBG
(1) Ohne Einwilligung des Beamten ist es zulässig, die Personalakte für Zwecke der Personalverwaltung oder Personalwirtschaft der obersten Dienstbehörde oder einer im Rahmen der Dienstaufsicht weisungsbefugten Behörde vorzulegen. Das gleiche gilt für Behörden desselben Geschäftsbereichs, soweit die Vorlage zur Vorbereitung oder Durchführung einer Personalentscheidung notwendig ist, sowie für Behörden eines anderen Geschäftsbereichs desselben Dienstherrn, soweit diese an einer Personalentscheidung mitzuwirken haben. Ärzten, die im Auftrag der personalverwaltenden Behörde ein medizinisches Gutachten erstellen, darf die Personalakte ebenfalls ohne Einwilligung vorgelegt werden. Für Auskünfte aus der Personalakte gelten Satz 1 bis 3 entsprechend. Soweit eine Auskunft ausreicht, ist von einer Vorlage abzusehen.
(3) Vorlage und Auskunft sind auf den jeweils erforderlichen Umfang zu beschränken. |
Meine Rechtsauffassung zu diesem Problem habe ich gegenüber der Landesregierung deutlich dargelegt. Aufgrund meiner Argumentation und durch meine Mitarbeit wurde das sog. „Merkmal Z“ ausgeprägt und im SAP R/3 HR-System hinterlegt. Mit diesem Merkmal kann die Berechtigungssteuerung so erfolgen, dass die Ministerien auf die Personaldaten der Beschäftigten des nachgeordneten Bereichs zugreifen können, für die sie nach der Zuständigkeitsverordnung Personal führende Stelle sind.
In ihrer Stellungnahme zu meinem 35. Tätigkeitsbericht hat die Landesregierung zu diesem Thema ausgeführt, dass bei den Dienststellen der Umsetzungsstaffel 06/2006 das „Merkmal Z“ bereits im Umsetzungsprozess, d.h., zum frühestmöglichen Zeitpunkt implementiert wurde.
Das Ministerium der Finanzen hat mich über die pilotweise Einführung des „Merkmals Z“ bei zwei Finanzämtern informiert. Auf entsprechende Nachfrage wurde mir durch das Ministerium der Finanzen mitgeteilt, dass eine ressortweite Eingabe des „Merkmals Z“ nicht erfolgt ist und auch nicht erfolgen soll. Vielmehr wurde mir von Vertretern des Ministeriums der Finanzen ein Diskussionspapier zur Änderung des HBG vorgelegt, zu dem ich eine „erste Einschätzung“ abgeben sollte. Geändert werden soll der § 107 HBG. Ziel der Änderung soll sein, dass zukünftig umfassende Zugriffe auf die Personaldaten aller Bediensteten eines Ressorts rechtlich zulässig sein sollen.
Begründet wurde dies mit Argumenten, denen ich nicht folgen kann. In erster Linie wurde vorgetragen, dass man das SAP-System mit allen seinen Möglichkeiten effektiv nutzen wolle. Es wurde wie in fast allen Bereichen, in denen ich Forderungen nach einem möglichst umfassenden Zugriff durch vorgesetzte Dienststellen auf alle Bedienstetendaten des nachgeordneten Bereichs datenschutzrechtlich entgegentreten muss, argumentiert, dass die Ministerverantwortung und eine Verpflichtung zur Qualitätskontrolle dies notwendig machen.
Diese Argumente können mich nicht überzeugen. Der Gesetzgeber hat gerade durch die Regelungen des § 107 ff. HBG und durch die zusätzliche Regelungen des § 34 HDSG die besondere Sensibilität der Personaldaten deutlich gemacht. Nur die Tatsache, dass Personaldaten in einer zentralen Datenbank gespeichert sind und deshalb ein umfassender Zugriff möglich ist, reicht für die Begründung einer Gesetzesänderung nicht aus. Die Gefahr, dass das Recht der Technik angepasst werden soll, wird hier überdeutlich und ist verfassungsrechtlich sehr bedenklich, zumal die Erforderlichkeit für eine so tief in die Persönlichkeitsrechte der Bediensteten eingreifende Änderung des HBG nicht begründet werden kann.
Im Rahmen der Verwaltungsreform ist Verantwortung von oben nach unten übertragen worden. Die Daten der Bediensteten werden auf fast allen Ebenen der hessischen Landesverwaltung permanent qualitätsgeprüft. Die Eingabe der Daten wird natürlich durch den eingebenden Sachbearbeiter vor der Speicherung geprüft. Die zahlungsrelevanten Daten werden durch die Mitarbeiter der HBS geprüft. Es wird bei zahlungsrelevanten Eingaben über eine Schnittstelle eine statistische Kennzahl an das Controlling übermittelt, dort qualitätsgesichert, in das Rechnungswesen eingepflegt und die Personalkosten den jeweiligen Kostenstellen zugeordnet. Die Kostenstellenverantwortlichen prüfen wiederum, ob die verbuchten Kosten des Personals ihre Kostenstelle ordnungsgemäß belasten. Eine weitere Qualitätsprüfung erfolgt mit der Prüfung der Führungsberichte durch die Dienststellenleitungen. Weiterhin werden die den jeweiligen Planstellen zugeordneten Personen noch von den Stellenbewirtschaftern geprüft. Ein weiterer Prüfschritt erfolgt bei der Personalkostenhochrechnung in den Dienststellen, danach auf Buchungskreisebene und, wie zuvor beschrieben, in den Ressorts. Dort kann ich die Notwendigkeit der personenbezogenen Überprüfung der Hochrechnungsdaten allerdings auf keinen Fall erkennen und mittragen.
Die Thematik bezüglich der Notwendigkeit, auf personenbezogene Daten zugreifen zu müssen, um Qualitätssicherung zu betreiben, hat mich z.B. auch bei dem Verfahren zur Pensionsrückstellung beschäftigt.
Auf Grund meiner Argumentation wurde das grundsätzliche Problem der Qualitätssicherung und den damit verbundenen Zugriffen auf personenbezogene Daten durch vorgesetzte Dienststellen in der Gesamtprojektleitung besprochen und dort folgender Beschluss gefasst:
| Anlass für das Gespräch war die SAP-Mail des HCC vom 1. November 2007 zur Plausibilitätsprüfung bzgl. der für die Ermittlung der Pensions-Rückstellungen herangezogenen Daten.
Die Vertreter des Datenschutzbeauftragten räumten ein, dass in einer Übergangs- und qualitätssichernden Phase die bislang in der Verfahrensdokumentation zum 31. Dezember 2006 sowie der anstehenden Dokumentation zum 31. Dezember 2007 vorgesehene Beteiligung der Ressorts mit einer entsprechende Verprobung erforderlich ist und stattfindet; dies insbesondere vor dem Hintergrund, dass zunächst unterschiedliche Datenquellen (KIDICAP, HR) zu verwenden waren und die Fortentwicklung des Berechnungsprogramms zum 31. Dezember 2007 noch andauert. Es bestand zugleich Einvernehmen, dass kurzfristig im Rahmen einer sowohl ReWe als auch HR einbeziehenden Bestandsaufnahme der organisatorische Prozess hinsichtlich der Verwendung von personenbezogenen Daten beleuchtet und eindeutige Verantwortlichkeiten zu definieren sind, die eine unnötige Mehrfachprüfung derselben Daten erübrigen. Die Thematik ist bereits im Rahmen der letzten Rechnungshofsprüfungen hinsichtlich der Verprobung der erfolgswirksamen Personalaufwendungen im Rahmen der Bilanzierung der Buchungskreise aufgetreten. Im Hinblick auf die bereits existente Arbeitsgruppe HR-ReWe-Integration stand die Überlegung im Raum, diese mit entsprechenden Vorarbeiten und hoher Priorität zu beauftragen.
Die Vertreter des Hessischen Datenschutzbeauftragten sind bereits in einer frühen Phase bereit, die entsprechenden Arbeiten zu begleiten, sowie soweit erforderlich auch mit Vertretern des Hessischen Rechnungshofs zu erörtern. |
Ich fordere von der Landesregierung eine klare Aussage, auf welchen Ebenen die Verantwortung für die Qualität der in SAP R/3 HR gespeicherten Personaldaten angesiedelt ist und ab welcher Ebene Auswertungen als ausreichend qualitätsgesichert anzusehen sind. Nur dadurch kann ausgeschlossen werden, dass sich übergeordnete Stellen mit dem Argument, man könne den Daten verarbeiteten Stellen im nachgeordneten Bereich nicht „trauen“, entsprechende Zugriffsberechtigung im System eintragen lassen.
5.10.3.4
Personalkostenhochrechnung
Schon im letzten Jahr hatte ich über den Zugriff auf Einzelabrechnungsergebnisse im Rahmen der Personalkostenhochrechnung berichtet. Den Personalkostenhochrechnern von vorgesetzten Dienststellen werden nicht nur die „Hochrechnungsdaten“ für ihren Zuständigkeitsbereich übermittelt, sondern auch automatisch alle zugrundeliegenden Einzelabrechnungsergebnisse aller Mitarbeiter des nachgeordneten Bereichs zur Verfügung gestellt. Dies hatte ich moniert.
Daraufhin wurde das HCC beauftragt, durch eine Arbeitsgruppe (Team PKPL-Neu) ein neues Fachkonzept für die von SAP neu konzipierte Komponente „Personalkostenplanung (PKPL) im neuen Release ERP 6.0“ unter besonderer Berücksichtigung der Datenschutzanforderungen zu erstellen.
Da die Arbeit des „Teams PKPL-Neu“ noch nicht beendet ist – zurzeit wird ein Zwischenbericht erstellt –, werde ich mich weiterhin in die dort zu leistende Arbeit einbringen.
Ich war, ebenso wie Vertreter der Ressorts, von Anfang an in die Arbeit der Arbeitsgruppe eingebunden. Die im letzten Tätigkeitsbericht von mir aufgeworfenen Fragen der Erforderlichkeit für den Zugriff auf die Einzelabrechnungsergebnisse des Personals, insbesondere durch die Personalkostenhochrechner der vorgesetzten Dienststellen, wurden auch in diesem Gremium kontrovers diskutiert.
Es gibt in der hessischen Landesverwaltung keine einheitliche Vorgehensweise bei der Personalkostenhochrechnung. So wurde mir von Vertretern einzelner Ressorts ausdrücklich bestätigt, dass sie den Zugriff auf die Einzelabrechnungsergebnisse nicht nutzen und auch nicht benötigen.
Von den Vertretern des Kultusministeriums wurde diese Auffassung ausdrücklich nicht geteilt. Meine im letzten Tätigkeitsbericht aufgeworfenen Fragen zur Erforderlichkeit dieses Zugriffs konnten mir allerdings auch von dort nicht plausibel beantwortet werden. Der Zugriff auf mehr als 50.000 Einzelabrechnungsergebnisse, um – wie behauptet – Fehler bei der Dateneingabe vor Ort herausfiltern zu können, ist nicht nachvollziehbar, weil qualitätssichernde Maßnahmen auf mehreren Ebenen der Verwaltung stattfinden. Die bis zur Erstellung der Personalkostenhochrechnung durchgeführten qualitätssichernden Maßnahmen habe ich unter Ziff. 5.10.3.3 beschrieben.
Auf mein Argument, dass die Verantwortung für die Richtigkeit der Daten bei den jeweils Personal führenden Dienststellen liegt, wurde bisher nicht eingegangen. Immer wieder wurde betont, dass es eine Ministerverantwortung auch für den Einzelfall gäbe und deshalb der Zugriff notwendig sei. Auch meine Hinweise auf die faktische Unmöglichkeit, aus dieser Masse von Einzeldaten Abweichungen bei der Personalkotenhochrechnung analysieren zu können, konnten die Vertreter des Kultusministeriums nicht überzeugen.
Als weitere Begründung für die Zugriffe wurde mir folgender Sachverhalt geschildert:
Dem Land Hessen werden von der Europäischen Union Kosten für eine gewisse Anzahl von Lehrern erstattet, die in EU-Projekten in Hessen eingesetzt werden. Die vom Kultusministerium abzurechnenden Erstattungskosten müssen centgenau berechnet werden und werden direkt im Ministerium aus den über 50.000 Einzelabrechnungsergebnissen ermittelt.
Ich halte dies für nicht zulässig, da für die Berechnung der Bezüge der Bediensteten alleine die Hessische Bezügestelle zuständig ist und diese hierfür die Verantwortung trägt. Auf meine Forderung, die für die Erstattung notwendigen Daten durch die für die Abrechnung zuständige Stelle ermitteln zu lassen, wurde bisher nicht eingegangen.
Um den Anforderungen des Datenschutzes gerecht zu werden, wurden die Ressorts durch das Team PKPL-Neu angeschrieben und um eine entsprechende Stellungnahme gebeten. Der Rücklauf dieser Anfrage wird vom HMDIS zusammen mit den Ressorts und mir ausgewertet. Die Ergebnisse dieser Auswertung sollen gewichtet werden und in das weitere Verfahren einfließen.
Ein genereller Zugriff auf Einzeldaten des nachgeordneten Bereichs ist für den Zweck der Erstellung der Personalkostenhochrechnung nicht erforderlich und somit datenschutzrechtlich nicht zulässig.
Wenn bei der Erstellung der Personalkostenhochrechnung für das gesamte Ressort Klärungsbedarf entsteht, so können diese Fehler – wie in meinem 34. Tätigkeitsbericht beschrieben – nach meiner Überzeugung nur „vor Ort“ festgestellt, geklärt und bereinigt werden.
5.10.3.5
Business-Warehouse-HR (HEPISneu)
Die Landesregierung beabsichtigt ein Business-Warehouse-HR zu implementieren, mit dem Führungsberichte und Berichte als Grundlage für strategische Entscheidungen erstellt werden sollen.
Dieses System soll das bisher eingesetzte Verfahren HEPIS ersetzen, mit dem auf der Grundlage des § 120 HBG strategische Berichte erstellt wurden.
| § 120 HBG
Der Minister des Innern kann 1. Grundsätze des Personalwesens entwickeln; 2. Untersuchungen über das Personalwesen anstellen und der Landesregierung und der Landespersonalkommission berichten;
3. Dateien über die Beamten, Angestellten und Arbeiter des Landes sowie die Versorgungsempfänger führen. Die Dateien enthalten persönliche und dienstrechtliche Daten sowie Haushalts- und Organisationsdaten, die für Aufgaben der Nr. 1 und 2 erforderlich sind. Für diese Dateien dürfen die für Besoldungs-, Versorgungs-, Vergütungs- und Lohnzwecke gespeicherten Daten von den zuständigen Stellen an den Minister des Innern übermittelt werden. Die Daten dürfen für Verwaltungs- und Planungszwecke automatisiert verarbeitet werden. Tabellarische Auswertungen dürfen obersten Landesbehörden übermittelt werden, wenn sie zur Erfüllung ihrer Aufgaben erforderlich sind, Namenslisten nur für die Angehörigen ihres Geschäftsbereichs. Die für gesetzlich angeordnete Statistiken erforderlichen Daten dürfen an das Hessische Statistische Landesamt übermittelt werden. |
Zurzeit werden in einem Vorprojekt, in dessen Arbeit ich von Anfang an eingebunden war, die Auswertungsanforderungen der Landesverwaltung, die in einem Business-Warehouse-HR erstellt werden sollen, ermittelt und in einem Zwischenbericht zusammengestellt.
Ich habe immer wieder darauf hingewiesen, dass ich es zunächst für notwendig halte, die Aufgaben zu definieren, die mit einem Business-Warehouse-HR erfüllt werden sollen. Ich bin nach wie vor der Auffassung, dass in einem ersten Schritt festgelegt werden muss, welche Arten von Berichten erstellt werden sollen. Nur dann kann definiert werden, ob personenbezogene Daten in einem Business-Warehouse-HR gespeichert, also von SAP R/3 HR über eine Schnittstelle übertragen werden müssen. Nur wenn diese Fakten klar festgelegt sind, können Auswertungsanforderungen durch die Nutzer des Business-Warehouse-HR formuliert werden.
Leider gab es für dieses Vorprojekt keine eindeutigen inhaltlichen Vorgaben. Folglich haben die Ressorts Forderungen formuliert, die Auswertungen verlangen, die personenbezogene Daten bis auf die Ebene der einzelnen Bediensteten beinhalten.
Auch in diesem Fall käme die gleiche Problematik wie beim „Merkmal Z“ zum Tragen.
Die besonders zu schützenden Daten der Bediensteten der Polizei, des Landeskriminalamtes und des Landesamtes für Verfassungsschutz wären in einem Business-Warehouse-HR nicht in der gleichen Art und Weise „abgeschottet“, wie sie es im SAP R/3 HR-System sind.
Die Ressorts haben an das Vorprojekt ca. 400 Auswertungsanforderungen übermittelt. Diese Anforderungen wurden überarbeitet, teilweise zusammengeführt und mit mir besprochen. Ich habe eine erste Einschätzung abgegeben. Bei einer nicht geringen Anzahl von Auswertungsanforderungen habe ich Bedenken geltend gemacht.
Der zu erstellende Vorbericht wird mit meinen Bedenken der Gesamtprojektleitung zur Entscheidung über das weitere Vorgehen vorgelegt.
Ich werde weiterhin an diesem Projekt beratend mitarbeiten. Dies bedeutet allerdings nicht, dass das Verfahren datenschutzrechtlich unbedenklich entwickelt wird. Eine abschießende Beurteilung ist, wie bei der SAP-Einführung insgesamt, erst zu einem späteren Zeitpunkt möglich.
Zurück zur Übersicht Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht