Entgegen der Rechtsprechung des Bundesverfassungsgerichts, das dem voraussetzungslosen Anspruch der Betroffenen auf Auskunft über ihre personenbezogenen Daten zentrale Bedeutung für den Grundrechtsschutz beimisst, hat das Bundesministerium der Finanzen die Finanzverwaltungen in einem Erlass angewiesen, Auskunftsansprüche Betroffener nur zu erfüllen, wenn diese ein berechtigtes Interesse nachweisen (Ziff. 3.2).
Bildaufnahmen werden zu vielfältigen Zwecken verwendet. Ihre Zulässigkeit hängt von den jeweiligen tatsächlichen und rechtlichen Gegebenheiten ab. Der verdeckte Einsatz von Minikameras anlässlich der Räumung des Camps von Flughafenausbaugegnern im Kelsterbacher Wald war danach unzulässig (Ziff. 4.1.1). Beim Einsatz von Videotechnik zu Planungszwecken und zur Verkehrsüberwachung sind besondere Anforderungen zu beachten (Ziff. 4.1.2 und Ziff. 4.1.3).
Nachdem das Bundesverfassungsgericht die Regelungen des HSOG zur Kennzeichenerfassung für nichtig erklärt und die Anforderungen an die Rasterfahndung beanstandet hatte, musste das Gesetz novelliert werden. Dabei war auch die Rechtsprechung zum Schutz des Kernbereichs privater Lebensgestaltung umzusetzen. Die im Dezember verabschiedete Novelle trägt den verfassungsrechtlichen Vorgaben nicht allen Punkten Rechnung (Ziff. 4.2.1).
Als Folge der Verabschiedung der neuen Verordnung zur Datenverarbeitung in Schulen (Ziff. 4.5.1) habe ich meine Schulbroschüre überarbeitet und den neuen Rechtsgrundlagen angepasst (Ziff. 4.5.3). Sie enthält die wesentlichen Informationen über die Datenverarbeitung in Schulen. Schulen müssen den Datenschutz auch bei Veröffentlichung von Informationen für Schülerinnen und Schüler, Lehrerinnen und Lehrer, sowie Eltern unter Nutzung sog. digitaler schwarzer Bretter oder der Schul-Homepage beachten (Ziff. 4.5.2).
Der Aufbau elektronischer Patientenakten in den Krankenhäusern erfordert eine differenzierte Ausgestaltung der Zugriffsmöglichkeiten durch das Personal. Patientinnen und Patienten rechnen nicht damit und müssen auch nicht damit rechnen, dass jede Mitarbeiterin und jeder Mitarbeiter im Krankenhaus ihre Krankendaten zur Kenntnis nehmen kann. Bei der Umsetzung der datenschutzrechtlichen Vorgaben sind in Hessen wie auch bundesweit Defizite bekannt geworden. Sowohl Krankenhäuser als auch Softwarehersteller sind gefordert, den Datenschutz zu verbessern (Ziff. 4.6.2).
Für das praktizierte heimliche Einschalten von Dritten zur Erhebung und Bewertung des Führungsverhaltens Beschäftigter ist eine Rechtsgrundlage nicht ersichtlich. Da für die Verarbeitung von Personaldaten jedoch eine Rechtsgrundlage erforderlich ist, liegt ein grober Datenschutzverstoß vor (Ziff. 4.8.1).
Der Einsatz von SAP R/3 HR in der Landesverwaltung ist nunmehr umgehend datenschutzgerecht zu gestalten. Dazu gehört die Umsetzung der gesetzlichen Löschfristen ebenso wie die technische Sicherstellung, dass nur im Umfang der erteilen Berechtigungen auf die Personaldaten zugegriffen werden kann und Zugriffe protokolliert werden (Ziff. 4.8.3, 4.8.4).
Die Aufgaben der Feuerwehr machen die Verarbeitung vielfältiger personenbezogener Daten erforderlich, die jeweils verschiedenen Akteuren an verschiedenen Orten zur Verfügung stehen müssen. Datenschutzrechtlich dürfen die Eingriffsbefugnisse gleichwohl nicht vermengt werden. Die IT-Unterstützung muss deshalb unterschiedlichste Anforderungen berücksichtigen, wie die exakte Abbildung der Zugriffsberechtigungen getrennt nach Akteuren und Funktionen, die besondere Behandlung der Daten von Feuerwehrvereinen sowie die Bedingungen für die Nutzung am heimischen PC (Ziff. 5.7.1 und 7.2.1.4). Gesundheitsdaten, die während Feuerwehrübungen erhoben werden, dürfen nicht über die Übung hinaus gespeichert werden (Ziff. 5.7.2).
Das Projekt HessenVoice verfolgt das Ziel, für die Hessische Landesverwaltung eine zukunftssichere zentrale Telekommunikationsstruktur mit der Technik „Voice over IP“ aufzubauen. Dabei sind Datenschutzaspekte zu berücksichtigen, die bei einem künftigen flächendeckenden Einsatz grundsätzlich auch eine Verschlüsselung erfordern (Ziff. 7.1).
Bei der Suche nach sicheren und kostengünstigen Lösungen der ortsungebundenen Datenverarbeitung sind vielfältige Szenarien zu betrachten. USB-Sticks können – richtig eingesetzt – dabei helfen, Datenschutzanforderungen umzusetzen (Ziff. 7.2).
Die datenschutzgerechte, für die Nutzenden transparente und rechtssichere elektronische Kommunikation erfordert die strikte Trennung der Funktionen der Authentisierung und der elektronischen Signatur. Auch in Normen und Standards (wie z.B. der Common PKI) muss die Trennung der Funktionen und eine zutreffende klare Bezeichnung in den Zertifikaten vorgeschrieben werden (Ziff. 7.3). Ausschließlich die qualifizierte, nicht aber eine hinter der qualifizierten zurückbleibende fortgeschrittene Signatur eignet sich als elektronisches Äquivalent zur Schriftform. Eine Dokumentsignatur muss wie die Unterschrift ab dem Zeitpunkt der Erstellung unbefristet gelten. Die Landesregierung ist aufgefordert sich dafür einzusetzen, diese Grundsätze auch für den im Aktionsplan der EU-Kommission geplanten europäischen Signaturstandard durchzusetzen (Ziff. 7.4).
