Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Wie in den beiden letzten Jahren habe ich rechtliche und technische Ausprägungen des Einsatzes der Informationstechnik in Kommunen geprüft. Die teils negativen Erfahrungen der vergangenen Jahre haben sich weitgehend bestätigt. Es gab aber auch neue Ergebnisse, die für viele Kommunen von Bedeutung sein können. Überraschenderweise musste ich feststellen, dass es noch immer Kommunen gibt, die keinen behördlichen Datenschutzbeauftragten bestellt haben.
5.1.1
Prüfumfang
Wie zuvor habe ich den Status der IT-Sicherheit und den Umfang von Datenverarbeitungen im Auftrag sowie deren vertragliche Regelungen bei hessischen Kommunen geprüft. In diesem Jahr war die gesamte Palette von der Großstadt, über Städte mittlerer Größe bis zu kleinen Kommunen vertreten. Kleine Kommunen verlassen sich dabei verständlicherweise in stärkerem Maße auf die Unterstützung Externer beim IT-Betrieb. Bei den größeren Kommunen gab es in jedem Fall eigenes Personal das nur für den IT-Betrieb zuständig war und durch den Dienstleister lediglich unterstützt wurde.
5.1.2
Einzelne Feststellungen
Bei den Prüfungen hat sich wieder gezeigt, dass viele der Schwachstellen, die ich in den letzten Jahren vorgefunden habe, erneut vorzufinden waren. Ich möchte im Folgenden nur charakteristische Ergebnisse erneut darstellen und ansonsten auf neue Sachverhalte genauer eingehen.
5.1.2.1
Organisatorische und rechtliche Sachverhalte
5.1.2.1.1
E-Mail und Internet
Ein Dauerbrenner waren Regelungen zur Nutzung von E-Mail und Internet. Hier habe ich bei den meisten Kommunen keine oder unzureichende, d.h. nicht eindeutige, Vorgaben vorgefunden. Gerade die private Nutzung wurde oft ohne schriftliche Regelungen geduldet. Die damit verbundenen Konsequenzen hatte ich bereits dargestellt (vgl. 35. Tätigkeitsbericht, Ziff. 6.1.2.1).
Eine Besonderheit ist jedoch in zwei Fällen aufgetreten. Der Administrator resp. ein Amtsleiter, der zu dem Zeitpunkt, an dem das System aufgesetzt wurde, Administrator war, hatten für alle E-Mail-Postfächer eine Leseberechtigung. Dieser Umstand war umso bedenklicher, da in beiden Fällen die private Nutzung geduldet wurde. Sie erklärten diesen Umstand durch Installationsabläufe, bei denen eine Administratorkennung als leseberechtigt eingetragen werden musste. Diese Einträge wurden aber nie zurückgenommen und die Kennung wurde auch nicht deaktiviert. Ich habe eine sofortige Änderung dieser Berechtigungen gefordert.
5.1.2.1.2
Umsetzung des HDSG
Selbst klare Anforderungen des HDSG waren nicht immer erfüllt. In zwei Fällen waren weder ein behördlicher Datenschutzbeauftragter noch ein Vertreter bestellt. In einem anderen Fall gab es keinen Vertreter. Gegenüber den betroffenen Kommunen habe ich hervorgehoben, dass die Bestellung der behördlichen Datenschutzbeauftragten kein Selbstzweck ist. Vielmehr sind gerade die Datenschutzbeauftragten vor Ort für die Erfüllung der Verpflichtungen nach dem HDSG besonders wichtig. Dieser Mangel musste deshalb schnell behoben werden.
Wenn es sie überhaupt gab, so waren die Verträge zur Datenverarbeitung im Auftrag sehr oft verbesserungswürdig. Sehr häufig fehlte eine Unterwerfungsklausel unter die Kontrolle durch den Hessischen Datenschutzbeauftragten, wie sie § 4 HDSG zwingend vorschreibt. In einem Fall fehlte für den Dienstleister, der die gesamte IT betreute, jegliche schriftliche Vereinbarung. Es gab folglich noch nicht einmal eine Übersicht, welche Aufgaben überhaupt vergeben waren.
Bei den Verfahrensverzeichnissen war das Bild uneinheitlich. Eine Kommune hatte die Verfahrensverzeichnisse in vorbildlicher Weise geführt. Sie waren nicht nur vollständig, sondern es war durch organisatorische Maßnahmen sichergestellt, dass jede Änderung an einem Verfahren kurzfristig in das Verzeichnis übernommen wurde. Während die Verfahrensverzeichnisse ansonsten meist einige kleine Lücken besaßen, fehlten bei zwei Kommunen Verfahrensverzeichnisse völlig.
Besonders in größeren Kommunen sollte in Anlehnung an die vom BSI vorgeschlagene Vorgehensweise ein IT-Sicherheitsprozess eingerichtet werden. Die dazu nötigen organisatorischen Maßnahmen sind in aller Regel nicht getroffen. Da nicht überall das erforderliche Know-how vorhanden ist, muss fallweise der Dienstleister beratend das Thema IT-Sicherheit begleiten.
5.1.2.2
Räumliche Sicherungsmaßnahmen
In einer geprüften Gemeinde gab es ganz offensichtlich keinerlei Anweisungen zur Abschottung verschiedener Abteilungen. Auch jeder zufällig vorbeikommende Bürger hatte vielfältige Möglichkeiten, ein ungestörtes Aktenstudium zwischengelagerter Unterlagen vorzunehmen oder sich am PC an einem verlassenen Arbeitsplatz in Dateien der Verwaltung über dies und das zu informieren. Es gab hier weder abgeschlossene Türen nach außen noch verschlossene Räume im Innern, noch passwortgeschützte Bildschirmschoner für PC.
In einem anderen Fall ließ die Unterbringung und Einrichtung der Beihilfestelle zu wünschen übrig. Hier war es dem Reinigungspersonal der Behörde ohne Weiteres möglich, Beihilfeakten zur Kenntnis zu nehmen.
Auch die Handhabung von Schließanlagen gab Anlass zur Kritik. So hatten in einer Kommune alle Magistratsmitglieder einen Generalschlüssel für alle Räumlichkeiten einschließlich des Serverraums.
In allen Fällen habe ich umgehende Abhilfe gefordert. Ich werde die Umsetzung der geforderten Maßnahmen alsbald überprüfen.
5.1.2.3
Technische Sachverhalte
Defizite gab es ebenfalls bei allgemeinen Dienstanweisungen zum Umgang mit der IT. Sie waren oft nicht vorhanden oder nur rudimentär. Es müssen aber gerade der Umgang mit Passwörtern, die Nutzung von USB-Geräten – soweit nicht technisch kontrolliert – oder die Installation privater Software geklärt sein.
Immer wieder habe ich viel zu kurze Passwörter vorgefunden. Selbst bei den Administratorkennungen war eine Passwortlänge von fünf Stellen keine Ausnahme. Die Vergabe von Passwörtern stellte sich häufig als Problem heraus. So wurden Passwörter teilweise durch die Administratoren vergeben und nur alle sechs Monate gewechselt. Dies genügt den Anforderungen aus dem Maßnahmenkatalog des BSI nicht.
Wie im letzten Jahr waren oft ungesicherte USB-Schnittstellen anzutreffen und das BIOS war in den seltensten Fällen durch ein Passwort geschützt. Fehlen solche Sicherungsmaßnahmen, ist ein Booten von USB-Sticks oder CDs mit einem eigenen Betriebssystem und damit ein unkontrollierter Zugriff auf Dateien möglich. Wegen der damit verbundenen Risiken reicht es nicht, mit Dienstanweisungen Nutzungseinschränkungen vorzugeben. Ich halte eine technische Kontrolle für erforderlich (vgl. 32. Tätigkeitsbericht, Ziff. 18.4).
Wie oben geschildert, hatten in zwei Kommunen die Administratoren standardmäßig Zugriffsrechte auf jedes E-Mail-Postfach. Es war daher anhand von Protokollen nicht nachvollziehbar, wenn ein Administrator sich auf ein Postfach schaltet.
5.1.3
Bewertung
Auch dieses Jahr hat sich bestätigt, dass die Umsetzung der Anforderungen des Datenschutzes keine Selbstverständlichkeit ist. Ich werde auch im nächsten Jahr Prüfungen vornehmen. Dabei geht es nicht nur darum, Schwachstellen festzustellen und zu beheben, sondern ich will auch die Anforderungen an die Kommunen präziser auf deren Verhältnisse ausgerichtet formulieren können.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Die Überprüfung mehrerer Passbehörden hat gezeigt, dass die Umsetzung des neuen Passgesetzes, das nunmehr die Aufnahme von Fingerabdrücken in Pässe vorschreibt, aus datenschutzrechtlicher Sicht noch unbefriedigend abläuft. Hinsichtlich der Auskunftserteilung, der Löschung der Fingerabdrücke bei den Passbehörden sowie des Einsatzes der elektronischen Signaturen bei der Übertragung der Antragsdaten an die Bundesdruckerei müssen die Abläufe noch nachgebessert werden.
5.2.1
Die Einführung des ePass
Nach den Anschlägen vom 11. September 2001 hat es weltweit viele Aktivitäten gegeben, um auch den Reiseverkehr zu kontrollieren. Eine Maßnahme seitens der EU war die Aufnahme biometrischer Merkmale in Pässe, Visa und Aufenthaltstitel, auf die sich die Mitgliedsstaaten der EU verständigten. Die Festlegung erfolgte in der EG-Verordnung 2252/2004 vom 13. Dezember 2004 (ABlEG 2004 L 385/1 vom 29. Dez. 2004) über „Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedsstaaten ausgestellten Pässen und Reisedokumenten“. Auf Basis von dieser Verordnung wurden das Passgesetz geändert und eine Reihe technischer Rahmen gesetzt (BSI TR-3104 mit Anhängen). Im Ergebnis wurde 2005 der elektronische Reisepass (ePass) der ersten Generation eingeführt; auf ihm war als biometrisches Merkmal das Passfoto gespeichert. Seit dem 1. November 2007 wird der ePass der zweiten Generation ausgegeben, auf dem zusätzlich zwei Fingerabdrücke gespeichert sind.
Die Datenschutzbeauftragten haben die Aufnahme von Fingerabdrücken in Reisedokumente stets kritisch gesehen. Insbesondere sollte verhindert werden, dass die Fingerabdrücke von Antragstellern über die Antragstellung hinaus gespeichert werden. Dem trägt das Passgesetz Rechnung. In § 4 Abs. 3 Satz 3 wird eine bundesweite Datenbank explizit ausgeschlossen, in § 16 Abs. 3 ist festgelegt, dass der Passhersteller die Daten nach der Herstellung zu löschen hat und in § 16 Abs. 2 ist festgelegt, dass die Daten in der Passbehörde nach der Aushändigung zu löschen sind.
|
§ 4 Abs. 3 PassG
Eine bundesweite Datenbank der biometrischen Daten nach Satz 1 wird nicht errichtet...
(2) Beantragung, Ausstellung und Ausgabe von Pässen dürfen nicht zum Anlass genommen werden, die dafür erforderlichen Angaben und die biometrischen Merkmale außer bei den zuständigen Passbehörden zu speichern. Entsprechendes gilt für die zur Ausstellung des Passes erforderlichen Antragsunterlagen sowie für personenbezogene fotografische Datenträger (Mikrofilme). Die bei der Passbehörde gespeicherten Fingerabdrücke sind spätestens nach Aushändigung des Passes an den Passbewerber zu löschen.
(3) Eine zentrale, alle Seriennummern umfassende Speicherung darf nur bei dem Passhersteller und ausschließlich zum Nachweis des Verbleibs der Pässe erfolgen. Die Speicherung der übrigen in § 4 Abs. 1 genannten Angaben und der in § 4 Abs. 3 genannten biometrischen Daten bei dem Passhersteller ist unzulässig, soweit sie nicht ausschließlich und vorübergehend der Herstellung des Passes dient; die Angaben sind anschließend zu löschen. |
Unabhängig von diesen Aktivitäten auf Bundesebene habe ich Passämter in Hessen dahingehend geprüft, wie sich die Abläufe bei der Antragstellung gestalten und ob die Daten entsprechend den o.g. Vorgaben gespeichert und gelöscht werden.
5.2.2
Wesentliche Ergebnisse der Prüfung in Passämtern
5.2.2.1
Abläufe
Obwohl es Abweichungen im Detail gab, waren die Abläufe in den Kommunen vergleichbar:
Die Antragsdaten, evtl. von mehreren Bürgern, werden auf den Rechnern im Passamt gespeichert. Für die Übertragung zum Passhersteller Bundesdruckerei werden sie signiert und so verschlüsselt, dass nur die Bundesdruckerei die Daten lesen kann. Dazu wird das Verfahren „digant“ genutzt. Die Bundesdruckerei bestätigt den Empfang der Daten. Wenn keine Bestätigung der Bundesdruckerei über den korrekten Empfang eingeht, wird die Übertragung wiederholt.
Mit Ausnahme der Fingerabdrücke stehen die Antragsdaten den Sachbearbeitern der Passbehörden für Auskünfte aus dem Passregister zur Verfügung. Die kompletten Antragsdaten, inklusive der Fingerabdrücke, sind noch gespeichert, damit bei Diskrepanzen zwischen den Antragsdaten und einem ausgestellten Pass der Antrag erneut an die Bundesdruckerei übertragen werden kann.
Die Bundesdruckerei stellt den Pass her und löscht anschließend die Antragsdaten, insbesondere die Fingerabdruckdaten (§ 16 Abs. 3 PassG; Ziff. 16.3 Allgemeine Verwaltungsvorschriften zur Durchführung des Passgesetzes).
|
PassVwV zu § 16 PassG
16.3 Die bei der Bundesdruckerei GmbH ausschließlich zum Zwecke der Passherstellung vorübergehend gespeicherten Daten des Passbewerbers sind unverzüglich nach Versand des Passes an die Passbehörde zu löschen. Die zum Nachweis des Verbleibs der Pässe gespeicherten Seriennummern oder Lieferscheine sind nach Ablauf von 30 Jahren nach Versand des Passes an die zuständige Passbehörde zu löschen. 16.3.1 Die Bundesdruckerei GmbH darf auf Ersuchen Passbehörden und anderen Behörden im Geltungsbereich des Passgesetzes mitteilen, welche Passbehörde den Pass mit der von der anfragenden Stelle bezeichneten Seriennummer erhalten hat.
16.3.2 Auskünfte an Private oder ausländische Stellen (z.B. Botschaften) sind nicht zulässig. |
Der Antragsteller/die Antragstellerin wird informiert, dass sein/ihr Pass bereit liegt. Dies kann per Brief oder auf andere Art geschehen.
Wenn der Pass abholt wird, sind einige Dinge zu beachten:
Erst jetzt werden die Fingerabdrücke in den geprüften Anwendungen gelöscht.
5.2.2.2
Problempunkte und Lösungsansätze
5.2.2.2.1
Anspruch auf Löschung auch bei Datensicherungen
Nach § 16 Abs. 2 PassG sind die Fingerabdrücke nach Aushändigung des Passes zu löschen. Löschen bedeutet dabei nach der Definition des § 2 Abs. 2 Nr. 5 HDSG das Unkenntlichmachen gespeicherter Daten. In der Praxis ergeben sich Probleme mit den Datensicherungen.
Die Antragsdaten werden nicht nur auf den Rechnern der Passämter und deren Dienstleistern gespeichert, sondern auch auf Sicherungskopien, die Wochen und Monate aufbewahrt werden.
Die Fingerabdrücke werden nach der Abholung im Verfahren logisch gelöscht. Sie befinden sich jedoch noch für kurze Zeit in der Datenbank und infolge von Datensicherungen deshalb für lange Zeit noch auf Sicherungsbändern. Insoweit sind die gesetzlichen Vorgaben aus § 16 Abs. 2 PassG faktisch nicht umgesetzt. Die Passämter können eine sinnvolle Lösung allerdings nicht allein umsetzen.
Nach meiner Einschätzung kann das Problem nur durch Änderungen der Software und der Organisation gelöst werden. Die Verfügbarkeit der Daten muss weiterhin sichergestellt sein. Deshalb kann auf Datensicherungen nicht verzichtet werden und diese Sicherungen müssen auch alle Daten umfassen. Der nachfolgende Vorschlag berücksichtigt sowohl die Sicherheitsproblematik als auch die Vorgaben des Gesetzgebers zur Löschung der Fingerabdrücke.
Der Vorschlag geht von folgenden Annahmen aus:
Mein Lösungsvorschlag umfasst drei Punkte:
Die Datensicherungen beinhalten dadurch ein vollständiges, konsistentes Abbild der Daten und – fast – immer sind die Fingerabdrücke nach der Aushändigung nicht mehr auf Sicherungsmedien gespeichert. Damit wären die Anforderungen bezüglich der Verfügbarkeit erfüllt und die rechtliche Vorgabe weitgehend umgesetzt.
5.2.2.2.2
Signatur
Die Antragsdaten werden vor der Übertragung signiert und verschlüsselt. Ich musste bei meiner Prüfung aber feststellen, dass die Signatur durch den Empfänger, also den Passhersteller Bundesdruckerei, nicht geprüft wurde. So war in einem Passamt die Signaturkarte beschädigt. Auf die Frage, wann eine Ersatzkarte zugestellt werden könne, wurde dem Passamt gesagt: „Nehmen Sie die Ersatzkarte einer Nachbarkommune und signieren Sie damit.“ Der Leiter des Passamts war zwar irritiert, aber er folgte dem Vorschlag und besorgte sich, für eine kurze Zeit, die Karte einer anderen Kommune. Damit signierte der die Anträge. Rückfragen oder Probleme ergeben sich daraus nicht.
Die logische Konsequenz für mich ist, dass die Bundesdruckerei nicht prüft, ob die Anträge von der signierenden Kommune stammen. Damit wäre die Signatur aber auf die Funktion reduziert, Übertragungsfehler zu erkennen. Es wäre keine Analogie zu einer Unterschrift, mit der Passämter als Absender Anträge bestätigen und weiterleiten.
Seitens des BMI wurde dies damit begründet, dass Clearingstellen in die Übertragung eingeschaltet sind und die Bundesdruckerei die Signatur der Clearingstellen und nicht der Kommunen prüfe. Die Signatur wird aber immer durch die Kommune vorgenommen. Die Clearingstellen nehmen keine Signatur vor und prüfen keine, denn die Daten sind für die Bundesdruckerei verschlüsselt und können durch Clearingstellen nicht gelesen werden. Insofern kann ich der Argumentation nicht folgen.
Die Signatur der übertragenen Anträge macht nur Sinn, wenn überprüft wird, ob die Anträge von der signierenden Kommune stammen. Abweichungen muss nachgegangen werden. Diese Forderung richtet sich an den Verordnungsgeber und den Passhersteller.
5.2.2.2.3
Datenprüfung bei der Ausgabe
Die Abläufe in den Passämtern sehen vor, dass den Passempfängern bzw. -empfängerinnen, wenn sie das wollen, vor der Aushändigung an einem dafür vorgesehenen Lesegerät die gespeicherten Daten angezeigt werden. Damit wird insbesondere dem § 16 Abs. 6 PassG Genüge getan.
|
§ 16 Abs. 6 PassG
Auf Verlangen hat die Passbehörde dem Passinhaber Einsicht in die im Chip gespeicherten Daten zu gewähren. |
Wenn Passinhaber es wollen, muss eine Prüfung auf Echtheit erfolgen. Es muss ein Abgleich der gespeicherten gegen ihre mit einem Fingerabdruckscanner erfassten Fingerabdrücke vorgenommen werden. Dazu muss die von der Bundesdruckerei bereitgestellte Technik geändert werden.
5.2.2.3
Ergebnisse
Die Abläufe in den Passämtern waren einheitlich. Die Software unterstützte die Abläufe unabhängig vom Hersteller. Nach der Antragstellung waren die Antragsdaten bis auf die Fingerabdrücke für Sachbearbeiter im Passregister noch einsehbar. Vor der Passaushändigung wurden alle Antragsdaten, auch die Fingerabdrücke, noch in Datenbanken gespeichert. Danach wurden zwar die Fingerabdrücke aus den Datenbanken gelöscht, sie waren jedoch weiterhin für längere Zeit auf Sicherungsmedien gespeichert. Sowohl bei diesem Punkt als auch bei den Problempunkten Signatur und Anzeige samt Prüfung von Abdrücken können die Kommunen keine eigene Lösung finden. Es sind die Anbieter und der Verordnungsgeber gefordert.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Das HMDIS hat den Meldeämtern empfohlen, vor der Übermittlung von einfachen Melderegisterauskünften an Adresshandelsfirmen deren Versicherung einzuholen, dass die übermittelten Daten nur an den jeweiligen Auftraggeber weitergegeben und nur zu abrechnungstechnischen Zwecken/Reklamationszwecken für einen erforderlichen Zeitraum gespeichert werden. Besser wäre es jedoch, eine eindeutige gesetzliche Grundlage eigens für Datenübermittlung zu Werbezwecken zu schaffen, um Betroffenen mindestens ein Widerspruchsrecht gegen die Datenweitergabe zu Direktwerbezwecken zu garantieren, Adresshändler zur Zweckangabe und Zweckbindung zu verpflichten und die Aufklärbarkeit bei etwaigen Missbrauchsfällen zu ermöglichen.
Gemäß § 34 Abs. 1 HMG darf die Meldebehörde Einzelauskünfte über einzelne bezeichnete Einwohner und Einwohnerinnen und Sammelauskünfte über eine Vielzahl bezeichneter Einwohner und Einwohnerinnen übermitteln. Die Auskunft beinhaltet Vor- und Familiennamen, Doktorgrad und Anschriften. Besondere Voraussetzungen müssen nicht dargelegt werden, eine Zweckangabe oder Zweckbindung bzgl. der Verwendung der Daten sieht das Gesetz ebenfalls nicht vor. Jedoch ist § 7 HMG zu beachten. Danach dürfen schutzwürdige Belange Betroffener nicht beeinträchtigt werden.
Aus dem systematischen Zusammenhang der Bestimmungen folgt kein Regel-Ausnahme-Verhältnis. Die Verweigerung der Auskunft beschränkt nicht die Freiheitssphäre der Auskunftsbegehrenden, sondern erweitert deren Rechtsstellung zulasten derjenigen, über deren Daten Auskunft begehrt wird. Üblicherweise geht man gleichwohl davon aus, dass deren Belange in der Regel nur dann erkennbar sind, wenn für die betroffene Person im Melderegister eine Auskunftssperre oder ein Widerspruch gegen eine Datenübermittlung eingetragen ist. In allen anderen Fällen soll zunächst nichts gegen eine Auskunftserteilung sprechen. Es entspricht damit der ständigen Praxis der Meldebehörden, die einfache Melderegisterauskunft – ob einzeln oder in der Vielzahl – gegen Zahlung einer entsprechenden Gebühr zu erteilen. Die Betroffenen erhalten von den Datenübermittlungen keine Kenntnis.
Diese Verfahrensweise gilt auch für Auskünfte an Adresshändler, die im Auftrag Dritter (z.B. Versicherungen) Einzelauskünfte oder umfangreiche Sammelauskünfte über eine Vielzahl bezeichneter Einwohner begehren.
Neben dem eigentlichen Zweck, die Daten an den jeweiligen Auftraggeber weiterzugeben, unterhalten die Adressfirmen häufig interne Datenbanken, in denen sie die abgefragten Daten aus den Melderegistern sammeln, abgleichen, mit anderen Daten und Informationen verbinden und bei Bedarf erneut an Dritte gegen Entgelt weitergeben können.
Eine angemessene Ermessensentscheidung, ob schutzwürdige Belange bei der Datenübermittlung an Adresshändler beeinträchtigt werden, kann die Meldebehörde nach gängigem Verständnis mangels hinreichender Anhaltspunkte nicht treffen. Wird z.B. eine Anfrage aus dem internen Datenpool einer Adresshändlerfirma beantwortet, kann eine zwischenzeitlich im Melderegister eingetragene Auskunftssperre nicht berücksichtigt werden. Der durch die Sperren im amtlichen Melderegister gewährte Schutz wird unterlaufen.
Nach meinem Verständnis ist bereits de lege lata eine restriktive Handhabung des § 34 Abs. 1 HMG geboten.
Die in der letzten Zeit aufgedeckten Datenmissbrauchsfälle haben gezeigt, dass die Verwendung der Meldedaten auch für illegale Zwecke nicht ausgeschlossen werden kann. Diese Gefahr vergrößert sich entsprechend bei der Abfrage von Sammelauskünften, die für dritte Auftraggeber eingeholt und zusätzlich im internen Datenpool eines Adresshändlers verarbeitet werden. Auch das Bundesverwaltungsgericht hat mit Urteil vom 21. Juni 2006 (Az. 6 C 05/05) festgestellt, dass die Meldebehörde eine einfache Melderegisterauskunft nicht erteilen darf, wenn diese erkennbar für Zwecke der Direktwerbung begehrt wird und der Betroffene der Übermittlung seiner Daten zu Werbezwecken widersprochen hat. Der Widerspruch geht aber ins Leere, wenn der Werbezweck nicht erkennbar ist. Der Meldebehörde ist nicht zuzumuten, generell eigene Ermittlungen darüber anzustellen, welche Zwecke die Auskunftsersuchenden im Einzelfall verfolgen. Sobald aber Indizien für Missbrauch vorliegen, reduziert sich das Ermessen der Meldebehörde auf Null. Sie muss die Auskunft verweigern.
Das HMDIS hat daher den Meldebehörden empfohlen, vor Datenübermittlungen an gewerbsmäßige Adresshändler von ihnen eine Erklärung zu fordern, dass die übermittelten Daten nur an einen Auftraggeber weitergegeben werden und nicht länger als 30 Tage (zu Abrechnungs- und Reklamationszwecken) aufbewahrt werden. Die Maßnahme geht sicherlich in die richtige Richtung, ob sie aber in der Praxis die erhoffte Wirkung zeigen kann, erscheint fraglich. So können die Mitarbeiter einer Meldebehörde nicht ohne weiteres erkennen, ob es sich bei einem Antragsteller um einen Adresshändler handelt und die Erklärung gefordert werden sollte. Hinzu kommt, dass bei automatisierten Melderegisterauskünften über Internet oder Portale (§ 34a HMG) eine solche Versicherung im Einzelfall nicht vorgesehen ist. Eine grundsätzliche Erklärung gegenüber dem Portalbetreiber, am automatisierten Verfahren nur teilzunehmen, wenn keine zweckwidrige Verwendung der Daten erfolgt, wird in der Praxis ebenfalls nicht nachprüfbar sein.
Es sollte daher eine rechtliche Grundlage speziell für Einzelauskünfte zu Direktmarketingzwecken und für Sammelauskünfte jeder Art (ähnlich den besonderen Melderegisterauskünften des § 35 HMG) geschaffen werden. Betroffene sollten mindestens ein Widerspruchsrecht erhalten, über das die Meldebehörde zu informieren hat. Auskunft suchende Adresshändler sollten angeben müssen, für welche abschließenden Zwecke (Auftrag und Abrechnung) und ggf. für welche Auftraggeber das Ersuchen gestellt wird. Damit wäre der Werbezweck für die Meldebehörde eindeutig erkennbar und die Zweckangabe bzw. Zweckbindung für die Adresshändler verpflichtend. Die Verarbeitung der Daten im eigenen Pool wäre danach kein erlaubter Zweck. Etwaige Widersprüche Betroffener könnten auch im automatisierten Verfahren beachtet werden und etwaige Missbrauchsfälle wären eher nachweisbar. Um das unzulässige Erwirken von Melderegisterauskünften zu Eigenzwecken sowie die vorsätzliche oder zweckwidrige Verwendung im internen Datenpool eines Adresshändlers zu sanktionieren, sollte die neue Regelung auch als Ordnungswidrigkeitstatbestand in § 39 HMG aufgenommen werden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Eine an ein Mitglied des Stadtrats persönlich gerichtete E-Mail darf nur an die beteiligten Fachämter und die zuständige Ortsverwaltung weitergeleitet werden, wenn und soweit dies sachlich erforderlich ist. Mitglieder des Ortsbeirats haben über ihnen in ihrer amtlichen Funktion bekannt gewordenen Angelegenheiten die Verschwiegenheitspflichten nach § 24 Abs. 1 HGO zu beachten.
Nachdem eine hessische Kommune nach langjährigem Streit die Nutzungsverordnung für eine öffentliche Fläche erlassen hatte, äußerte ein Bürger Unmut hierüber in einer Mail gegenüber der zuständigen Stadträtin. Kurz darauf wurde er von seinem Arbeitgeber auf diese Kritik angesprochen. Er bat mich um datenschutzrechtliche Prüfung, ob seine persönliche Mail an eine Stadträtin an Mitglieder politischer Gremien dieser Stadtverwaltung weitergegeben und dann seinem Arbeitgeber übermittelt werden durfte.
Recherchen ergaben, dass die Stadträtin die an sie gerichtete Mail beantwortet hatte, sie gleichzeitig aber an die beteiligten Fachämter und die zuständige Ortsverwaltung weiterleitete. Da die Mail vom Büro-PC verschickt und das automatisch generierte Impressum nicht gelöscht worden war, nutzten Mitglieder des Ortsbeirats diese Information, um sich an den Arbeitgeber des Bürgers zu wenden.
Da die Mail an die Stadträtin aber keinerlei Anträge oder Fragen enthielt, sondern lediglich Unmutsäußerungen zu einer politischen Entscheidung, konnte ich den Argumenten, dass es sich bei der Weiterleitung der Mail um eine verwaltungsinterne sowie verwaltungsübliche und damit zulässige Datenübermittlung handelte, nicht folgen. Zum einen war die Weiterleitung der Mail an die zuständige Ortsverwaltung nicht erforderlich, da keine weiteren Aktivitäten erwartet wurden, zum anderen war sie auch nicht verwaltungsintern, da einer Stadträtin bekannt sein muss, dass die Ortsverwaltung als Geschäftsstelle des Ortsbeirats immer auch die Ortsbeiratsmitglieder informiert.
Die personenbezogene Weitergabe der Mail war nicht erforderlich und damit nach § 11 HDSG auch unzulässig. Ich habe neben der betroffenen Stadträtin auch den Datenschutzbeauftragten der Kommune aufgefordert, alle Mitarbeiter nochmals auf die erforderliche Sorgfalt bei der Nutzung der Weiterleitungsfunktion des E-Mail-Systems hinzuweisen. Bevor eine Mail an andere Stellen weitergeleitet wird, muss grundsätzlich in jedem Einzelfall geprüft werden, ob dies in personenbezogener Form tatsächlich erforderlich ist.
Sehr viel kritischer ist hier allerdings die weitere Nutzung dieser Mail durch Mitglieder des Ortsbeirats zu bewerten. Mit der Information des Arbeitsgebers des Betroffenen haben diese nicht nur den Datenschutz verletzt, sondern auch gegen ihre Verschwiegenheitspflichten aus § 24 Abs. 1 HGO verstoßen. Dies wurde den Beteiligten eingehend vor Augen geführt.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Die Standesämter können bei der Anmeldung der Eheschließung geschiedener Personen nicht die Vorlage eines kompletten Scheidungsurteils verlangen. Vielmehr ist die Vorlage des Tenors der Entscheidung ausreichend.
Durch eine Eingabe wurde ich darauf aufmerksam gemacht, dass die Standesämter bei der Anmeldung einer Eheschließung von geschiedenen Personen die Vorlage eines oder ggf. mehrerer kompletter Scheidungsurteile verlangen, um zu prüfen, ob der Eheschließung ein Ehehindernis entgegensteht. Die Standesämter stützen dieses Begehren auf § 5 Abs. 2 PStG i.V.m. § 159 Abs. 2 Nr. 2 der Dienstanweisung für Standesbeamte.
|
§ 5 Abs. 1 und 2 PStG
(1) Die Verlobten haben bei der Anmeldung der Eheschließung dem Standesbeamten ihre Abstammungsurkunden, beglaubigte Abschriften des Familienbuchs oder Auszüge aus diesem vorzulegen. (2) Der Standesbeamte hat zu prüfen, ob der Eheschließung ein Ehehindernis entgegensteht. Reichen die nach Abs. 1 vorgelegten Urkunden nicht aus, so hat der Standesbeamte weitere Urkunden zu fordern.
§ 159 Abs. 2 Nr. 2 der Dienstanweisung für Standesbeamte
Wer verheiratet war oder eine Lebenspartnerschaft begründet hatte, hat alle früheren Ehen und Lebenspartnerschaften und die Art der Auflösung anzugeben. Die Auflösung der letzten Ehe oder Lebenspartnerschaft muss er nachweisen, bevor er eine neue Ehe eingehen kann. Dies gilt auch, wenn das Nichtbestehen einer Ehe oder Lebenspartnerschaft gerichtlich festgestellt ist. Als Nachweis dienen
2. eine mit dem Zeugnis der Rechtskraft versehene Ausfertigung der Entscheidung eines deutschen Gerichts über die Scheidung, die Aufhebung, die Nichtigerklärung oder das Nichtbestehen der Ehe oder die Aufhebung der Lebenspartnerschaft. |
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht