Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Wie im letzten Jahr habe ich rechtliche und technische Ausprägungen des Einsatzes der Informationstechnik in Kommunen geprüft. Die Erfahrungen haben sich weitgehend bestätigt. Es gab aber auch neue Ergebnisse, die für viele Kommunen von Bedeutung sein können. Die wesentlichen klärungsbedürftigen Sachverhalte sind in einen Katalog, der Fragestellungen und Regelungsbedarf auflistet, und in ein Merkblatt für ehrenamtlich Tätige eingeflossen.
6.1.1
Prüfumfang
Wie im Jahr 2006 habe ich den Status der IT-Sicherheit und den Umfang von Datenverarbeitungen im Auftrag sowie deren vertragliche Regelungen bei hessischen Kommunen geprüft. In diesem Jahr hatte die Mehrzahl der geprüften Kommunen weniger als 25 Mitarbeiter. Diese Kommunen haben sich für den IT-Betrieb weitgehend auf die Dienstleistung Externer verlassen. Bei den größeren Kommunen gab es in jedem Fall eigenes Personal, für das die Dienstleister eher unterstützend tätig waren.
Auf Basis der Prüfungen habe ich einen Fragenkatalog erarbeitet, der die wesentlichen von mir gefundenen Problemstellungen aufgreift. Da in einem exemplarischen Fall die Einbindung von ehrenamtlich Tätigen nicht korrekt erfolgte, habe ich für diesen Personenkreis ein Merkblatt entworfen, das die zu erfüllenden Anforderungen beschreibt.
6.1.2
Einzelne Feststellungen
Bei den Prüfungen hat sich gezeigt, dass viele der Schwachstellen, die ich im letzten Jahr vorgefunden habe, wieder aufgetreten sind. Ich möchte im Folgenden nur charakteristische Ergebnisse erneut darstellen und ansonsten auf neue Sachverhalte genauer eingehen.
6.1.2.1
Organisatorische und rechtliche Sachverhalte
6.1.2.1.1
E-Mail und Internet
Ein Dauerbrenner waren Regelungen zur Nutzung von E-Mail und Internet. Hier habe ich bei den meisten Kommunen keine oder unzureichende, d.h. nicht eindeutige, Vorgaben vorgefunden. Gerade die private Nutzung wurde oft ohne schriftliche Regelungen geduldet. Die damit verbundenen Konsequenzen hatte ich bereits dargestellt (vgl. 35. Tätigkeitsbericht, Ziff. 6.1.2.1). Ähnliche Defizite gab es bei allgemeinen Dienstanweisungen zum Umgang mit der IT. Es müssen gerade der Umgang mit Passwörtern, die Nutzung von USB-Geräten – soweit nicht technisch kontrolliert – oder die Installation privater Software geklärt sein.
Insbesondere bei kleineren Kommunen konnte ich feststellen, dass eingehende E-Mails analog normalen Briefen über eine Stelle gehen. Oft ist es das Bürgermeisterbüro. Gegen dieses Konzept habe ich keine Einwände.
In einem Fall musste ich feststellen, dass E-Mails, die sich an ehrenamtlich Tätige richteten, auch an unberechtigte Empfänger resp. E-Mail-Postfächer geschickt wurden. Neben Mitarbeitern der Kommune und ehrenamtlich Tätigen war auch ein Journalist aufgelistet, der nicht zu den berechtigten Empfängern gehörte. Von den E-Mail-Postfächern waren einige nicht den ehrenamtlich Tätigen, den eigentlichen Empfängern, sondern Familienangehörigen zugeordnet. Es gab auch Fälle in denen dienstliche E-Mail-Postfächer aufgelistet waren; beispielsweise bei vertraulichen Unterlagen der Gemeindevertretung zu Grundstücksgeschäften kann aber das E-Mail-Postfach einer Bank auf keinen Fall akzeptiert werden. Ich habe daher gefordert, dass der Versand von Unterlagen per E-Mail an ehrenamtlich Tätige umgehend so zu gestalten ist, dass die rechtlichen Erfordernisse eingehalten werden. Die Anforderungen an die ehrenamtlich Tätigen habe ich in einem Merkblatt zusammengefasst (vgl. Ziff. 6.1.5).
6.1.2.1.2
Umsetzung des HDSG
Selbst klare Anforderungen des HDSG waren nicht immer erfüllt. In einem Fall waren weder ein behördlicher Datenschutzbeauftragter noch ein Vertreter bestellt. Dieser Mangel musste schnell behoben werden.
Die Verträge zur Datenverarbeitung im Auftrag waren auch oft verbesserungswürdig. Sehr häufig fehlte eine Unterwerfungsklausel unter die Kontrolle durch den HDSB, wie sie § 4 HDSG zwingend vorschreibt. In einem Fall fehlte für den Dienstleister, der die gesamte IT betreute, jegliche schriftliche Vereinbarung; es gab folglich keine Übersicht, welche Aufgaben überhaupt vergeben waren.
Besonders in größeren Kommunen sollte in Anlehnung an die vom BSI vorgeschlagene Vorgehensweise ein IT-Sicherheitsprozess eingerichtet werden. Die dazu nötigen organisatorischen Maßnahmen sind in aller Regel nicht getroffen. Da nicht überall das erforderliche Know-how vorhanden ist, muss fallweise der Dienstleister beratend das Thema IT-Sicherheit begleiten.
6.1.2.2
Technische Sachverhalte
Immer wieder habe ich viel zu kurze Passwörter vorgefunden. Selbst bei den Administratorkennungen war eine Passwortlänge von fünf Stellen keine Ausnahme. Dies genügt den Anforderungen aus dem Maßnahmenkatalog des BSI nicht.
Bei mehreren Kommunen musste ich feststellen, dass zwar die Benutzerkennungen als Domänenkonten angelegt waren, gleichzeitig waren die Kennungen aber auf ihren Arbeitsstationen als lokale Administratoren eingerichtet. Die Administratorrechte beinhalten umfassende Zugriffsrechte, die dazu führen, dass irrtümlich oder absichtlich
Dies wurde insbesondere deshalb zum Problem, weil sowohl E-Mail als auch Internet für die Arbeit direkt am Arbeitsplatz eingerichtet waren. Schadcode (E-Mail-Anhänge oder Internetseiten mit Viren, Trojanern u.Ä.) würde daher mit den Administratorrechten des Benutzers ausgeführt. Begründet wurde die Art der Konfiguration damit, dass die Benutzer kaum Hilfestellung durch die Administration benötigen, weil sie fast alle Einstellungen selbst vornehmen können. Das ist zwar einleuchtend, wenn man wenig Rückfragen im täglichen Betrieb erreichen möchte, führt jedoch zu erheblichen Risiken, wenn beispielsweise mit Trojanern Daten kopiert werden oder die Rechner nicht mehr funktionieren, weil Konfigurationen verändert oder Daten unkontrolliert gelöscht wurden. Ich habe daher empfohlen, die Benutzer nicht als lokale Administratoren einzurichten. Sofern die lokalen Administratorrechte beibehalten werden sollen, sollten zumindest die Anwendungen E-Mail und Internet mit eingeschränkten Rechten ausgeführt werden. Eine der Lösungsmöglichkeiten wäre hierfür das von Microsoft selbst entwickelte „DropMyRights“ (http://msdn2.microsoft.com/en-us/library/ms972827.aspx), das die administrativen Rechte des Benutzers für die aufgerufene Anwendung beschränkt.
In einem Fall waren die Server sowie die zentralen Netzwerkkomponenten aufgrund räumlicher Umstände zusammen mit einem Kopierer untergebracht, der allen Mitarbeitern zur Verfügung stand. Alle Mitarbeiter hatten somit Zutritt zu dem Server. Zudem befand sich der Raum direkt neben der Besuchertoilette. Die Zutrittskontrolle nach § 10 Abs. 2 HDSG war nicht erfüllt.
Ein weiterer Schwachpunkt war die Kontrolle der USB-Schnittstellen von Rechnern. Wegen der damit verbundenen Risiken reicht es nicht, mit Dienstanweisungen Nutzungseinschränkungen vorzugeben. Ich halte eine technische Kontrolle für erforderlich (vgl. 32. Tätigkeitsbericht, Ziff. 18.4).
Hinsichtlich der Löschung von Protokolldaten fehlten oft Regelungen. In diesem Zusammenhang habe ich folgende Löschfristen im Grundsatz empfohlen:
6.1.3
Bewertung
Auch dieses Jahr hat sich bestätigt, dass die Umsetzung der Anforderungen des Datenschutzes keine Selbstverständlichkeit ist. Ich werde auch im nächsten Jahr Prüfungen vornehmen. Dabei geht es nicht nur darum, Schwachstellen festzustellen und zu beheben, sondern ich will auch die Anforderungen an die Kommunen präziser auf deren Verhältnisse ausgerichtet formulieren können.
6.1.4
Katalog zu wichtigen Fragestellungen und Regelungsbedarf
Ausgehend von den bei meinen Prüfungen vorgefundenen Gegebenheiten habe ich die wesentlichen Fragestellungen sowie allgemeine Hinweise zum Regelungsbedarf in dem unten abgedruckten Katalog aufgeführt.
DER HESSISCHE DATENSCHUTZBEAUFTRAGTE
REGELUNGEN ZU DATENSCHUTZ UND DATENSICHERUNG/DATENSICHERHEIT
Wichtige Fragestellung und Regelungsbedarf
(Stand 1. Dezember 2007)
Mit diesem Fragenkatalog sollen Themen angesprochen werden, die sich bei Prüfungen und Beratungen immer wieder als klärungsbedürftig gezeigt haben. Nicht alle Fragen müssen zu organisatorischen, technischen oder anderen Maßnahmen und Regelungen führen. Aber ein Verzicht darauf sollte bewusst erfolgen.
1. Konzeptionelle Vorgaben
1.1 Regelungsbedarf
Es gibt eine Reihe von Konzepten, Dienstanweisungen, Regelungen zum IT-Betrieb oder andere Festlegungen wie (Haus-)Standards, die datenschutzrelevant werden können. Die Vorgaben müssen erstellt, verabschiedet und umgesetzt werden.
Wer ist verantwortlich für die Erstellung der konzeptionellen Vorgaben?
Wer ist verantwortlich für die Verabschiedung der konzeptionellen Vorgaben?
Wer ist verantwortlich für die Umsetzung der konzeptionellen Vorgaben?
1.2 Erläuterungen zu IT-Konzepten (Beispiele)
1.2.1 IT-Rahmenkonzept
Das IT-Rahmenkonzept geht auf die Frage ein, „wohin soll die Reise gehen?“.
Es geht auch auf Fragen der Finanzierung ein und legt fest, zu welchen Bereichen welche Gremien Entscheidungen vorbereiten, beschließen und umsetzen. Beispiele für Bereiche sind die IT-Architektur, IT-Sicherheit, (Haus-)Standards.
1.2.2 IT-Gesamtkonzept
Das IT-Gesamtkonzept beschreibt den Soll-Zustand der IT aufbauend auf den Ist-Zustand.
1.2.3 Datenschutzkonzepte
Datenschutzkonzepte gibt es insbesondere für die Fachverfahren. Bei der Infrastruktur geht es vorrangig auf die mitarbeiterbezogenen Daten ein, die besonders bei der Protokollierung auftreten; dies gilt speziell für eine Internet-Nutzung. Die Datenschutzkonzepte der Fachverfahren beinhalten meist ein IT-Sicherheitskonzept oder werden dadurch ergänzt.
1.2.4 IT-Sicherheitskonzept
Das IT-Sicherheitskonzept sollte die
Die Festlegung von (Haus-)Standards hat zum Ziel, das Zusammenspiel der verschiedenen Komponenten und Programme sicherzustellen. Soweit es Schnittstellen nach außen gibt, beispielsweise die Kommunikation zwischen Meldebehörden, sind bereits oft Standards definiert (XMELD-Datensatz und OSCI als Transportprotokoll) und einzuhalten. Standards für Hardware und Software dienen auch dazu, die Betreuung und Beschaffung zu vereinfachen. Folgende Bereiche bieten sich an, um Festlegungen zu treffen:
2. IT-Betrieb
2.1 Festlegung von Zuständigkeiten
Wer ist für welche Teilbereiche des täglichen IT-Betriebs zuständig?
Es wird in aller Regel Personen geben, die bei mehreren der unten aufgeführten Aufgaben eingebunden sind. Meist ergeben sich daraus keine Komplikationen. Bestimmte Interessenskonflikte müssen jedoch in jedem Fall vermieden werden. Dies gilt insbesondere für die Datenschutzkontrolle und damit für den behördlichen Datenschutzbeauftragten.
Falls bei der Festlegung und Durchsetzung von Hausstandards nicht sorgfältig gearbeitet wird, ergeben sich häufig Kompetenzkonflikte. Dürfen beispielsweise Fachabteilungen Software auswählen, ohne vorgegebene Standards zu berücksichtigen, muss anschließend die für den Betrieb zuständige IT-Abteilung Probleme beheben, die sie nicht zu verantworten hat. In den folgenden Punkten geht es überwiegend darum, die konzeptionellen Vorgaben umzusetzen. Teilbereiche des alltäglichen IT-Betriebs sind insbesondere:
2.2 Teilbereiche des IT-Betriebs
2.2.1 Auswahl und Beschaffung von Hardware, Software, Komponenten der Netzinfrastruktur
Bei der Softwareauswahl sind eine Reihe von Anforderungen zu erfüllen. Soweit es den Datenschutz betrifft, muss eine Vorabkontrolle durchgeführt werden (§ 7 Abs. 6 HDSG). Wenn die Entscheidung für ein Verfahren gefallen ist, muss bei der Verarbeitung personenbezogener Daten ein Verfahrensverzeichnis erstellt werden (§ 6 HDSG). Während die fachlichen und rechtlichen Angaben durch das Fachamt beizusteuern sind, beantwortet die IT-Abteilung die technischen Fragestellungen. Der behördliche Datenschutzbeauftragte prüft das Verfahrensverzeichnis und hält es zur Einsicht bereit.
2.2.2 Installationen und Wartung von Hardware, Software, Komponenten der Netzinfrastruktur
Wenn die Aufgabe durch externes Personal durchgeführt wird, handelt es sich eventuell um eine Datenverarbeitung im Auftrag. Dies ist zu prüfen. Wenn ja, so muss ein Vertrag nach § 4 HDSG geschlossen werden.
2.2.3 Betrieb der Informationsverarbeitung und Kommunikationstechnik
In Rechenzentren und großen Verwaltungen mit einer entsprechenden Personalanzahl sollten die Aufgaben Installation und Betrieb personell getrennt sein.
2.2.4 Programmierung
Die meisten Verwaltungen werden keine größeren Anwendungen programmieren. Eine Programmierung wird eher durch einzelne Mitarbeiter auf Basis von Office-Produkten für einzelne Arbeitsplätze erfolgen. Auch diese Anwendungen müssen dokumentiert werden. Werden personenbezogene Daten verarbeitet, ist eine Vorabkontrolle erforderlich.
2.2.5 Test von Software
Eine neue Software ist zu testen. Je nach Umfang der Tests muss eine eigene Projekt-Organisation dafür aufgebaut werden.
2.2.6 Freigabe von Software
Eine Software muss fachlich aber auch technisch freigegeben werden.
2.2.7 Dokumentation von Hardware, Software/Verfahren
In § 6 HDSG werden Verfahrensverzeichnisse gefordert.
Es gibt eventuell noch weitere Vorschriften und Vorgaben, die eine Dokumentation fordern. Für die Hessische Landesverwaltung ist beispielsweise eine interne Dokumentationsrichtlinie für IT-Projekte 2007 erlassen worden.
2.2.8 Datensicherung (Backup)
Je nach Konzept werden Daten zentral oder auch am Arbeitsplatz gesichert. Es muss klar sein, wer für die ordnungsgemäßen Abläufe verantwortlich ist. Wo die Sicherungsmedien gelagert werden bzw. wo sich die Sicherungsgeräte befinden, ist im Sicherheitskonzept zu regeln.
2.2.9 Datensicherheit
Bei der Umsetzung von Datensicherheitsmaßnahmen gibt es oft Konflikte oder Unklarheiten, wer wofür verantwortlich ist.
Dies betrifft beispielsweise die Vergabe von Zugangsrechten zu Räumen, die Vergabe von Benutzerkennungen, die Festlegung von Zugriffsrechten und die Administration der Sicherheitskomponenten insgesamt. Während die Administration zentral erfolgen kann, können Zugriffsrechte in einer Anwendung sinnvollerweise nur von der zuständigen Fachabteilung festgelegt werden; die Zugriffsrechte können dann zentral eingetragen werden.
Es muss klar sein, wer über Zugriffsrechte zu entscheiden hat und wer die Verantwortung dafür trägt, dass die gespeicherten Daten korrekt sind.
2.2.10 Datenschutz
Gerade bei Verträgen mit Dienstleistern, die im Auftrag der Behörde personenbezogene Daten verarbeiten, gibt es oft Defizite weil die Anforderungen von § 4 HDSG nicht oder nur zum Teil erfüllt sind. Wird ein Dritter mit Datenverarbeitungs- oder Wartungsaufgaben betraut, so muss ein Vertrag nach § 4 HDSG abgeschlossen werden. Sofern das HDSG auf den Auftragnehmer keine Anwendung findet, muss sich der Auftragnehmer vertraglich verpflichten, die Bestimmungen des HDSG zu beachten und sich der Kontrolle durch den Hessischen Datenschutzbeauftragten unterwerfen (Musterverträge sind unter www.datenschutz.hessen.de zu finden.).
Der behördliche Datenschutzbeauftragte, der die Behördenleitung unterstützt, sollte in die betrieblichen Abläufe eingebunden sein.
2.2.11 Auskunft an Betroffene (§ 18 HDSG)
Die Abläufe bei Auskunftsersuchen sind festzulegen.
3.1 Sind die Ziele der Dienstanweisung beschrieben?
3.2 Ist der Geltungsbereich der Dienstanweisung beschrieben?
3.3 Sind die Begriffe, insbesondere die der Datenschutzgesetze, soweit erforderlich, erklärt?
3.4 Sind die allgemeinen Datenschutzmaßnahmen beschrieben?
3.5 Sind die technischen und organisatorischen Datenschutzmaßnahmen beschrieben, die der Benutzer beachten muss?
Welche Voraussetzungen sind zu beachten?
Wer darf welche Änderungen vornehmen?
Ist die Schulung an neuen Geräten/Programmen gewährleistet?
3.7 Dürfen private PC bzw. private Software zu dienstlichen Zwecken genutzt werden?
(Für Heimarbeitsplätze sind eine eigene Dienstvereinbarung und eine spezielle Dienstanweisung sinnvoll.)
Wenn ja, wie ist zu verfahren?
3.8 Dürfen dienstliche PC´s bzw. dienstliche Software zu privaten Zwecken genutzt werden?
Wenn ja, wie ist zu verfahren?
Ist beschrieben, wie mit ein- und ausgehenden E-Mails zu verfahren ist?
Gibt es Festlegungen, unter welchen Bedingungen E-Mail wie zu nutzen ist? (Verschlüsselung, Signatur, Rechtsfolgen, ...)
Ist beschrieben, welche Protokolldaten anfallen und unter welchen Bedingungen diese wie ausgewertet werden?
Gibt es funktionsbezogene E-Mail-Adressen und/oder persönliche E-Mail-Adressen?
Zentrale Adressen, je Amt, je Funktion (Personalrat, Datenschutzbeauftragter, ...)
Gibt es Vorgaben, wer auf welche Postfächer zugreifen darf?
Hier spielt es eine Rolle, ob funktionsbezogene oder persönliche Postfächer existieren. Auf Grundlage dieser Vorgaben werden Zugriffseinschränkungen vorgenommen.
Wie ist sichergestellt, dass bei (längerer) Abwesenheit auf dienstliche E-Mails zugegriffen werden kann?
Ist eine private Nutzung erlaubt?
Wenn ja, wie ist sichergestellt, dass auf dienstliche E-Mails bei Abwesenheit durch die Dienststelle zugegriffen werden kann? Gibt es eine schriftliche Einwilligung, dass ein Vertreter oder der Administrator bei dienstlichem Erfordernis auch private E-Mails zur Kenntnis nehmen darf?
Wie sind die Abläufe für das Anlegen von Postfächern?
Antrag, schriftliche Einwilligung in Einschränkung des Fernmelde-/Briefgeheimnisses, Genehmigung, Kontrollbefugnisse, Rechtsfolgen, ...
3.10 Ist die Internet-Nutzung geregelt?
Ist beschrieben, welche Einschränkungen es bei der Internet-Nutzung gibt?
Ist beschrieben, für welche Zwecke das Internet zu nutzen ist oder genutzt werden darf?
Ist festgelegt, welche der anfallenden Protokolldaten unter welchen Bedingungen wie ausgewertet werden dürfen?
Durch meine Unterschrift bestätige ich die Kenntnisnahme der beiliegenden Dienstvereinbarung zur E-Mail-, Internet und Intranet-Nutzung vom ............ Die beigefügten, zusätzlichen Richtlinien – (Anmerkung: hier die weiteren relevanten Richtlinien eintragen) – nehme ich zur Kenntnis.
Einwilligung bei privater Nutzung
Wenn Sie (auch weiterhin) den E-Mail-Dienst, das Intranet sowie das Internet in geringfügigem Umfang für private Zwecke nutzen wollen, ist hierfür die Voraussetzung, dass sich die durch diese Dienstvereinbarung festgelegten Zugriffsrechte und Kontrollmechanismen auch auf Daten beziehen, welche infolge privater Benutzung der elektronischen Kommunikationsmittel erzeugt werden. Diese Einwilligung ist freiwillig und kann von Ihnen jederzeit mit Wirkung für die Zukunft widerrufen werden mit der Folge, dass ab dem Widerruf E-Mail, Internet und Intranet nicht mehr privat genutzt werden dürfen. Wenn Sie diese Einwilligung von vornherein nicht abgeben, ist die private Nutzung ebenfalls verboten. Die Einhaltung dieses Verbotes kann kontrolliert werden.
Bitte genau eine Auswahl ankreuzen
0 Ja, ich möchte E-Mail, Internet und Intranet privat nutzen und willige ein, dass sich die durch diese Dienstvereinbarung festgelegten Zugriffsrechte und Kontrollmechanismen auch auf Daten beziehen, welche infolge meiner privaten Benutzung der elektronischen Kommunikationsmittel erzeugt werden.
0 Nein, ich erteile die Einwilligung nicht. Ich nehme zur Kenntnis, dass mir ohne diese Einwilligung jegliche private Nutzung untersagt ist.
Vornamen/Nachname........................................
Geburtsdatum ..........................................
Ort/Datum ..........................................
Unterschrift ..........................................
Die unterzeichnete Erklärung ist zu senden an:
(Anmerkung: Hier die Stelle eintragen, die die Personalakte führt)
zur Übernahme in die Personalakte
6.1.5
Merkblatt
Auf Grund der Prüfungserfahrungen habe ich für ehrenamtlich Tätige das folgende Merkblatt entwickelt.
HINWEISE FÜR EHRENAMTLICH TÄTIGE IN KOMMUNEN
Weitere Informationen finden Sie beispielsweise unter www.bsi-fuer.buerger.de.
Es darf kein Postfach sein, das andere Personen ebenfalls benutzen, z.B. Familienangehörige. Nur Sie dürfen das Passwort kennen, mit dem auf das Postfach zugegriffen werden kann.
Es darf kein Postfach Ihres Arbeitsgebers sein, da der dortige IT-Betreuer oder ein Vertreter von Ihnen im Prinzip Zugriff auf die Daten erhalten könnte.
Sie müssen den Datenträger sicher verwahren.
Um eine solche „physische“ Datenlöschung zu erreichen, müssen Sie die Daten überschreiben. Hierfür gibt es Hilfsprogramme. Wenn Sie einen Datenträger nicht mehr benötigen, können Sie ihn auch zerstören. Bevor Sie Ihren Rechner verkaufen oder verschenken, löschen Sie unbedingt die Daten; falls Sie Software nicht weitergeben wollen, muss auch diese gelöscht werden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Gemeinden dürfen die Daten der Mitglieder von Wahlvorständen für künftige Wahlen nur speichern, wenn die Betroffenen der Speicherung nicht widersprochen haben. Auf das Widerspruchsrecht sind die Mitglieder des Wahlvorstandes hinzuweisen. Nicht alle Kommunen kennen und befolgen diese Regel.
In einer Eingabe beschwerte sich ein Bürger darüber, dass er nach der Bundestagswahl jetzt auch für die Landtagswahl zum Mitglied in einen Wahlvorstand berufen worden ist. In keinem Fall habe er sich bei der Gemeinde freiwillig gemeldet. Er wollte deshalb wissen, wie seine Daten in die Wahlhelferdatei gelangt sind und wünschte nähere Auskünfte zu den Berufungsmodalitäten.
Die Nachfrage bei der Stadt ergab Folgendes: Für die Bundestagswahl hatte ihn sein Dienstherr bei der Gemeinde gemeldet. Die Kommune hatte daraufhin seinen Namen in die sog. Wahlhelferdatei aufgenommen. Aus dieser Datei hat sie sich für die Bildung der Wahlvorstände für die kommende Landtagswahl bedient.
Die Benennung durch den Dienstherrn zur Bundestagswahl ist durch § 9 Abs. 5 Bundeswahlgesetz gedeckt.
| § 9 Abs. 5 BWG
Auf Ersuchen der Gemeindebehörden sind zur Sicherstellung der Wahldurchführung die Behörden des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, der Länder, der Gemeinden, der Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts verpflichtet, aus dem Kreis ihrer Bediensteten unter Angabe von Name, Vorname, Geburtsdatum und Anschrift zum Zweck der Berufung als Mitglieder der Wahlvorstände Personen zu benennen, die im Gebiet der ersuchenden Gemeinde wohnen. Die ersuchte Stelle hat den Betroffenen über die übermittelten Daten und den Empfänger zu benachrichtigen. |
Die Gemeinde jedoch hat bei ihrer Aufnahme des Datensatzes in die Wahlhelferdatei für die Landtagswahl im Januar 2008 eine wichtige rechtliche Voraussetzung nicht erfüllt. Zwar sind die Gemeinden sowohl nach dem Landtagswahlgesetz als auch nach dem Kommunalwahlgesetz berechtigt, Daten von Mitgliedern der Wahlvorstände auch für zukünftige Wahlen zu speichern. Dies gilt allerdings nur, wenn die davon betroffenen Personen gegen die weitere Speicherung keinen Widerspruch eingelegt haben. Die Gemeinden sind deshalb verpflichtet, die Mitglieder der Wahlvorstände darauf hinzuweisen, dass sie beabsichtigen, diese Daten für weitere Wahlen zu speichern, wenn der Betroffene dagegen keinen Widerspruch einlegt. Das heißt, sie müssen diesen Personenkreis eindeutig auf dieses bestehende Widerspruchsrecht hinweisen.
| § 15 Abs. 4 LWG
Die Gemeindebehörden sind befugt, personenbezogene Daten von Wahlberechtigten zum Zweck ihrer Berufung zu Mitgliedern von Wahlvorständen zu erheben und zu verarbeiten. Zu diesem Zweck dürfen personenbezogene Daten von Wahlberechtigten, die zur Tätigkeit in Wahlvorständen geeignet sind, auch für künftige Wahlen verarbeitet werden, sofern der Betroffene der Verarbeitung nicht widersprochen hat. Der Betroffene ist über das Widerspruchsrecht zu unterrichten. |
An dieser Unterrichtung hat es im vorliegenden Fall gefehlt. Die Überprüfung bei der betroffenen Verwaltung ergab, dass es keinen formularmäßig vorbereiteten Brief an die Wahlhelfer gab, in dem ein Hinweis auf das Widerspruchsrecht enthalten war. Ganz offensichtlich war diese Verpflichtung nicht bekannt. Die Stadt hat zugesichert, das Verfahren umgehend zu ändern.
Eine stichprobenartige Nachfrage bei weiteren hessischen Kommunen ergab, dass die Regelung des § 15 Abs. 4 LWG und § 6 Abs. 4 KWG nur teilweise ordnungsgemäß umgesetzt ist. Aus einigen Kommunen wurde bekannt, dass dort schon seit Jahrzehnten sogenannte Wahlhelferlisten fortgeschrieben werden. Ich habe insoweit die Umsetzung der o.g. Normen gefordert.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Erforderlichkeit setzt der Erhebung personenbezogener Daten aller Vereinsmitglieder in einer Kommune im Zusammenhang mit Vereinsförderungen Grenzen. Entsprechende Regelungen in den Richtlinien zur Vereinsförderung müssen geändert werden.
Vereine aus verschiedenen Kommunen fragten an, ob es datenschutzrechtlich unbedenklich sei, den Kommunen mit ihren Anträgen auf Vereinsförderung auch eine aktuelle Liste aller Vereinsmitglieder zu übersenden.
Meine Recherchen bei einigen Kommunen ergaben, dass die jeweiligen Richtlinien zur Vereinsförderung vorsehen, dass alle geförderten Vereine jährlich eine Liste mit personenbezogenen Daten aller Vereinsmitglieder zusammen mit dem Förderungsantrag einreichen müssen. Ohne dass ich an der bisherigen ordnungsgemäßen Behandlung der Vereinsmitgliederdaten durch die Kommunen zweifele, gehört es zu meinen Aufgaben als Hessischer Datenschutzbeauftragter, die Speicherung von personenbezogenen Daten auf das erforderliche Maß zu begrenzen. Zur Berechnung der jedem Verein zustehenden Zuschussbeträge ist die generelle Übersendung aktueller Mitgliederlisten nicht erforderlich. Für die Berechnung und Auszahlung von Förderbeträgen genügen Informationen zur Mitgliederzahl, zur Altersstruktur sowie zum Wohnort der Vereinsmitglieder.
Selbstverständlich habe ich keine datenschutzrechtlichen Bedenken, wenn jährlich zur Überprüfung der Richtigkeit der Vereinsangaben einige geförderte Vereine aufgefordert werden, durch Übersendung einer aktuellen Mitgliederliste die Angaben zur Mitgliederstruktur nachzuweisen. Werden die stichprobenartig angeforderten Mitgliederlisten gründlich geprüft und führen fehlerhafte Angaben, z.B. zu einem Ausschluss vom Förderprogramm, kann man sich wirkungsvoll vor falschen Angaben schützen.
Die anfragenden Vereine und die jeweils betroffenen Kommunen habe ich entsprechend informiert
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Polizei darf Gesundheitsdaten, die anlässlich einer polizeiärztlichen Untersuchung nach einem Unfall angefallen sind nicht dem Einwohnermeldeamt übermitteln. Durch klare Anweisungen ist sicherzustellen, dass in ein Freitextfeld des Einwohnermeldedatensatzes nur zulässige Inhalte eingetragen werden.
Ein Einwohner einer hessischen Stadt fragte mich, ob es rechtens sei, dass das Bürgerbüro seiner Stadt über seine Hepatitis-Infektion informiert sei. Zwar habe er vor kurzem der Polizei bei einer polizeiärztlichen Untersuchung gesagt, dass er an Hepatitis C erkrankt sei, doch habe er nicht damit gerechnet, einige Monate später bei einer Stelle der Stadtverwaltung dieser Information wieder zu begegnen. Als er einen Reisepass beantragte, habe er auf dem Bildschirm gesehen, dass nach dem Aufrufen des zu seiner Person gespeicherten Einwohnerdatensatzes ein gelb leuchtendes Feld aufblinkte. Darin sei unter Angabe seiner Hepatitis C-Infektion vor ihm gewarnt worden. Er fragte mich, ob er diese Datenspeicherung hinnehmen müsse und ob die vorangegangene Datenübermittlung der Polizei an die Stadtverwaltung rechtmäßig gewesen sei.
Beim Bürgerbüro seiner Stadtverwaltung, welches u.a. die Aufgaben der Einwohnermeldebehörde und der Passstelle wahrnimmt, sah ich den zu seiner Person gespeicherten Einwohnerdatensatz ein. Dort kommt das in Hessen von den Stadt- und Gemeindeverwaltungen oft angewendete DV-Verfahren für das Einwohnerwesen PAMELA (Plattformunabhängiges Melde-, Lohnsteuer und Ausweiswesen) zur Anwendung. Das Verfahren bietet die Möglichkeit - neben den formatierten und vom Meldegesetz vorgegebenen Datenfeldern - in einem Freitextfeld weitere Informationen zu speichern. Dieses „Sachbearbeiterinfo“ genannte Datenfeld wird durch Anklicken eines mit „I“ gekennzeichneten Button geöffnet. Hat das Datenfeld einen Inhalt, so ist das ansonsten blassblaue „I“ leuchtend rot. Im Datensatz der betroffenen Person leuchtete unverkennbar das rote „I“. Nach dem Anklicken öffnete sich das leuchtend gelbe Info-Feld. Es enthielt die Angabe: „lt. Auskunft der Polizei, hat Herr XY Hepatitis C ! Bitte Vorsicht !“.
Der Fall macht in besonderem Maße die Problematik der Verwendung sog. Freitextfelder deutlich. Selbstverständlich hat ein derartiger Hinweis nichts im Einwohnermelde-Datensatz zu suchen. Die Leiterin des Bürgerbüros hat deshalb auch sofort die Löschung dieser Eintragung vorgenommen.
Andere Einwohnermeldeverfahren kommen auch ohne derartige Freitextfelder aus. Datenschutzrechtlich ist die Verwendung solcher Felder stets kritisch, weil – wie der dargestellte Fall zeigt – auch unzulässige Inhalte gespeichert werden können. Wenn man auf die Verwendung von Freitextfeldern nicht verzichten will, ist organisatorisch sicherzustellen, dass sie keine unzulässigen Inhalte enthalten. Aus diesem Grund bedarf es klarer Hinweise an die Mitarbeiter, was in diese Felder eingetragen werden darf. Derartige Hinweise gab es nicht. Ich habe deshalb gefordert, dass ein Leitfaden erstellt wird, aus dem sich für die Mitarbeiter klare Handlungsanweisungen zum Ausfüllen dieser Felder ergeben. Dieser wird derzeit unter Mitarbeit der behördlichen Datenschutzbeauftragten erarbeitet. In einer vorläufigen Anweisung wird darauf hingewiesen, dass die Sachbearbeiter-Info nur für wichtige, dienstliche Belange zu verwenden ist.
Beispiele:
Danach galt es noch festzustellen, ob die Information auch tatsächlich wie von dem Betroffenen angenommen von der Polizei übermittelt worden war und ob die Datenerhebung bei der Polizei registriert und was genau dort dokumentiert ist.
Die von dem Betroffenen erwähnte polizeiärztliche Untersuchung konnte zeitlich und örtlich genau bestimmt werden. Ich suchte also die zuständige Polizeibehörde auf, bat um Vorlage der Unterlagen zu der in Rede stehenden Unfallaufnahme und sah die in diesem Zusammenhang angefallene Blattsammlung ein. Tatsächlich war die Hepatitis C Infektion im ärztlichen Untersuchungsbericht angeführt. Eine Speicherung der Information in den ansonsten zur Person des Betroffenen vorhandenen automatisiert geführten polizeilichen Informationssammlungen lag nicht vor. Auch eine Dokumentation der Übermittlung der Information an die Stadtverwaltung war nicht zu finden. Es blieb mir lediglich festzustellen: Die Information über die Erkrankung ist nach dem Unfallaufnahmebogen an einem späten Freitagabend bei der Polizei registriert und nach dem Protokoll des DV-Verfahrens der Stadtverwaltung am darauffolgenden Montag bei der Meldebehörde eingespeichert worden.
Das zuständige Polizeipräsidium Südosthessen bat ich um eine Stellungnahme zu dem Geschehen. Denn aufgrund des zeitlichen und sachlichen Zusammenhangs bin ich von einer Datenübermittlung der Polizei ausgegangen. Ich fragte, welche Stellen der betreffende Bedienstete noch über die Erkrankung des Betroffenen informiert hat, warum er die Datenübermittlung nicht dokumentiert hat und – falls Fürsorgeüberlegungen sein Handeln bestimmt haben sollten – warum er die Information nicht in den polizeilichen Informationssammlungen hinterlegt hat.
Die Polizei antwortete, der Betroffene habe sich bereits nach seiner Ankunft auf der Polizeistation völlig unangemessen gegenüber den Beamten verhalten. So habe er einen Schreibtisch mit Blut und anderen Körpersekreten benetzt und dabei erwähnt, an Hepatitis C erkrankt zu sein. Die näheren Umstände der Datenübermittlung konnten allerdings nicht geklärt werden. Insbesondere konnte die verantwortliche Person nicht zweifelsfrei ermittelt werden. Die Polizei teilte aber meine Überzeugung, dass sie die Datenübermittlung zu verantworten hat. Als Motiv des unbekannten Polizeibeamten sei anzunehmen, dass er die Mitarbeiter der Stadtverwaltung, die im Rahmen der Überprüfung der Meldedaten mit dem Betroffenen in Kontakt kommen müssten aufgrund seines Verhaltens auf der Polizeistation zu deren Schutz warnen wollte. Als Rechtsgrundlage hierfür führte die Polizei § 22 Abs. 2 Nr. 2 HSOG an. Danach können Polizeibehörden personenbezogene Daten an Behörden übermitteln, soweit dies zur Abwehr einer Gefahr für die empfangende Stelle erforderlich ist. Zwar sei die Gefahr nicht sonderlich konkret und die Wahrscheinlichkeit des Schadeneintritts eher gering gewesen, doch seien daran umso geringere Anforderungen zu stellen, je größer und folgenschwerer der möglicherweise entstehende Schaden ist. Zwar sei die für diesen Fall nach § 21 Abs. 1 HSOG gebotene Dokumentation der Datenübermittlung unterblieben. Auch sei der Umgang mit der Information nicht stringent gewesen, weil die polizeiinternen Datenspeicherungen der Polizei nicht um die Warnung angereichert worden ist. Die als Einzelfall bewertete Angelegenheit sei auch intern aufbereitet und entsprechend kommuniziert worden, grundsätzlich könne aber die Datenübermittlung auf § 22 Abs. 2 Nr. 2 HSOG gestützt werden.
Diese Darstellung überzeugt mich im Ergebnis nicht. Weder aus dem Bericht des Arztes noch aus dem des bearbeitenden Polizeibeamten gehen Anhaltspunkte für ein besonderes Vorkommnis oder ein unangemessenes Verhalten hervor. Diesen Unterlagen lässt sich eher das Gegenteil entnehmen. Nachteilig wirkt sich hier die fehlende Dokumentation der Datenübermittlung aus. Der Darstellung, dass es sich um einen Einzelfall gehandelt hat, kann allerdings nicht widersprochen werden. Zu hoffen bleibt, dass mit der internen Aufbereitung und entsprechenden Kommunikation Wiederholungsfällen begegnet ist. Ich habe den Betroffenen darüber informiert, dass die unzulässige Datenspeicherung in der Meldebehörde gelöscht wurde. Ebenso habe ich dargelegt, dass meiner Ansicht nach die Datenübermittlung durch die Polizei unzulässig war.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die dauerhafte Speicherung von Konsumationsdaten auf der Zugangskarte zu einem Thermalbad ist datenschutzrechtlich unzulässig. Ich habe deshalb die Neuprogrammierung des Systems gefordert.
Bereits in meinem 33. Tätigkeitsbericht hatte ich über das Zugangssystem zu einem Thermalbad berichtet (Ziff 6.7), bei dem die Dauerkarte als Chiparmband herausgegeben wurde. Dabei hatte ich zum damaligen Zeitpunkt das System nicht beanstandet, da die Speicherung personenbezogener Daten auf dem Chip nur mit Einwilligung der betroffenen Badegäste erfolgte. Es gab auch die Möglichkeit eine anonyme Dauerkarte in Form eines Chiparmbandes zu erwerben.
Inzwischen gab es erneut Beschwerden über das Zugangssystem. Nicht alle vorgetragenen Vorwürfe erwiesen sich bei der Überprüfung als korrekt. Der anonyme Erwerb einer Dauerkarte war trotz gegenteiliger Behauptung möglich. Allerdings stellte sich bei der Überprüfung heraus, dass die Datenspeicherungen auf der Chipkarte sehr viel umfangreicher waren, als zunächst angenommen. Der besondere Service des Systems ist es, dass Badegäste mit Chipkarte im Schwimmbad kein Bargeld benötigen. Will der Badegast zwischenzeitlich im Schwimmbadrestaurant etwas essen oder trinken oder auch die Sauna besuchen, so kann er diese Leistungen über seinen Chip verbuchen lassen. Diese Informationen werden dann auf dem Server des Betreibers gespeichert. Verlässt der Badegast das Schwimmbad, wird an der Schranke deutlich, ob noch solche Zusatzleistungen abzurechnen sind. Diese Zusatzkonsumationen werden dann an der Kasse des Bades bar oder per EC-Karte beglichen. Das Chipband dient hier nur der Identifikation des Gastes und der Kontrolle der Eintritte.
Man sollte meinen, dass damit für den Badegast der Zahlungsvorgang abgeschlossen ist. Die Überprüfung ergab aber, dass sämtliche Konsumationsvorgänge zu jeder Karte dauerhaft gespeichert werden. Das Schwimmbad konnte auch nach einem Jahr noch genau nachlesen, zu welcher Karte welche Zusatzleistungen abgerechnet wurden. Kein Kunde dürfte davon ausgegangen sein, dass diese Daten nach Verlassen des Schwimmbades weiter gespeichert werden. Die Kundeninformationen erhielten dazu keinerlei Hinweis. Ich halte die Speicherung dieser Daten für datenschutzrechtlich unzulässig, unabhängig davon, ob es sich um eine namensgebundene oder namensungebundene Zugangskarte handelt. Die Abrechnungsdaten für Zusatzkonsumationen sind unmittelbar nach dem Bezahlvorgang durch den Schwimmbadbesucher von den Kartendaten zu trennen. Sicher werden sie noch zu Abrechnungszwecken mit dem Pächter des Lokals benötigt, aber nicht kartenbezogen im System des Thermalbades. Ich habe deshalb gefordert, dass das System umgehend umprogrammiert wird.
Dieser Mangel wiegt noch aus einem weiteren Grund schwer. Die zunächst zur Verfügung stehenden Chipkartenlesegeräte für die Kunden, haben diese Information nicht angezeigt. Der Kunde konnte auch durch das eigene Auslesen die zusätzliche Datenspeicherung gar nicht erkennen. Die Anzeige gab ihm lediglich die Information, wie viele Schwimmbadbesuche noch auf der Karte gespeichert waren.
Wegen technischer Schwierigkeiten liegt das Ergebnis der Umprogrammierung noch nicht vor.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht
Die Meldebehörde hat für die Richtigkeit des Melderegisters Sorge zu tragen. Sie darf zu diesem Zweck nachprüfen, ob die Zuordnung von Haupt- und Nebenwohnsitz zutreffend ist. Ledige Studierende, die am Studienort einen Nebenwohnsitz begründen und ihren Hauptwohnsitz am entfernten Heimatort beibehalten, sind zur Vorlage von schriftlichen Nachweisen verpflichtet. Diese Nachweispflicht endet jedoch an dem Recht der Meldepflichtigen auf Schutz ihrer Privatsphäre.
Durch zwei Datenschutzbeschwerden wurde ich darauf aufmerksam, dass die Meldebehörde der Universitätsstadt Gießen bei ledigen Studierenden, deren Heimatort mehr als 100 km entfernt ist, überprüft, ob der Status des gemeldeten Nebenwohnsitzes auch tatsächlich zutrifft.
In den Beschwerdefällen forderte die Meldebehörde die Betroffenen auf, detaillierte Angaben zu den Aufenthaltszeiten am Studienort und am Heimatort (zeitliche Gegenüberstellung) zu machen, ihren Studienplan vorzulegen, die Heimfahrten zu belegen und, für den Fall, dass keine eindeutige Aussage getroffen werden kann, bereits vorsorglich eine Angabe zum Lebensmittelpunkt zu machen. Sie kündigte weiterhin an, andernfalls von einer – angeblich durch Rechtsprechung begründeten – Regelvermutung Gebrauch zu machen, nach der bei ledigen Studierenden, deren Heimatort mehr als 100 km vom Studienort entfernt ist, der überwiegende Aufenthalt am Studienort und dieser damit Hauptwohnsitz sei. Das Melderegister sei insoweit von Amts wegen zu berichtigen.
Nach § 16 Abs. 2 HMG ist bei mehreren Wohnungen diejenige die Hauptwohnung, die objektiv häufiger benutzt wird. Bei ledigen Volljährigen ist nach § 16 Abs. 2 Satz 6 im Zweifel der Lebensmittelpunkt maßgeblich.
| § 16 Abs. 2 Satz 1 und 6 HMG
Hauptwohnung ist die überwiegend benutzte Wohnung der Einwohnerin oder des Einwohners. ....
In Zweifelsfällen ist die überwiegend benutzte Wohnung dort, wo der Schwerpunkt der Lebensbeziehungen der Einwohnerin oder des Einwohners liegt. ... |
Die Meldebehörde darf dies nachprüfen, weil sie für die Richtigkeit des Melderegisters Sorge zu tragen hat und an den Wohnungsstatus unterschiedliche Behördenzuständigkeiten sowie Rechte und Pflichten der Einwohner anknüpfen. Es gibt verschiedene Gerichtsurteile (z.B. BVerwG – 1C 24.90 vom 1. Oktober 1991; HessVGH – 11 UE 4950/88 vom 13. November 1990), die sich mit dem Umfang dieser Nachprüfung beschäftigen. Daraus ergibt sich, dass die Beurteilung in einem Stufenverfahren durchzuführen ist:
Weiterhin gibt es keine gerichtlich begründete Regelvermutung des Inhalts, dass unverheiratete Studierende während ihres Studiums ihre Wohnung vorwiegend am Studienort benutzen. Dieses Argument darf daher auch nicht dazu benutzt werden, um Betroffene zu Auskünften aus ihrer Privatsphäre anzuhalten.
Ich habe die Stadt Gießen darauf hingewiesen, dass die Ermittlungen der Meldebehörden zur Bestimmung der Hauptwohnung ihre Grenzen an dem Recht der Meldepflichtigen auf Schutz ihrer Privatsphäre finden. Die schutzwürdigen Belange von Betroffenen sind gegen das Interesse der Meldebehörde an der Richtigkeit und Fortschreibung des Melderegisters abzuwägen. Die Frage, ob eine Einwohnerin oder ein Einwohner mit Haupt- oder Nebenwohnung in der Gemeinde registriert ist, hat aus Sicht der melderechtlichen Interessenslage der Gemeinde eine untergeordnete Bedeutung. Auswirkungen in andere kommunale Bereiche, bei denen es mittelbar auf die Anzahl der mit Hauptwohnsitz registrierten Einwohner ankommt, wie z.B. beim kommunalen Finanzausgleich oder der Bürgermeisterbesoldung, sind für die Interessensabwägung zulasten der Betroffenen ohne Belang. Die Aufforderung, höchstpersönliche Daten offen zu legen, darf daher nur in der letzten Stufe der Nachforschungen und im Hinblick auf die vorgenannte Interessensabwägung mit Zurückhaltung und Augenmaß erfolgen.
Aus einer weiteren Eingabe habe ich entnommen, dass der Hinweis auf die angebliche Regelvermutung im Anschreiben an die Betroffenen offensichtlich nicht mehr aufgeführt ist. Bezüglich der Aufforderung zur vorsorglichen Bekanntgabe persönlicher Daten zum Lebensmittelpunkt stand eine Reaktion bei Redaktionsschluss noch aus.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 36. Tätigkeitsbericht