Pressemeldungen 2000 und älter


zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 15.08.2007

 
 

Das Internet ist kein datenschutzfreies Fahndungsnetz (30.11.2000)


Datenschutzbeauftragte lehnen Forderungen der Innenministerkonferenz ab

Die Innenminister des Bundes und der Länder haben auf ihrer Konferenz am 24.11.2000 gefordert, für Zwecke der Strafverfolgung "den Providern und Betreibern von Servern eine Protokollierungspflicht hinsichtlich der IP-Adresse und des Nutzungszeitraums sowie eine angemessene Aufbewahrungszeit der Daten" vorzuschreiben.

Nach Auffassung der Datenschutzbeauftragten von Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen-Anhalt und Schleswig-Holstein wäre eine solche Vorschrift verfassungswidrig. Das Bundesverfassungsgericht hat wiederholt festgestellt, dass die Speicherung personenbezogener Daten nicht zu einer Rundumbeobachtung der Bürger führen darf. Das wäre aber im Bereich der Internetnutzung mit der angestrebten Regelung der Fall. Dieses Verfahren würde den mit den Vorschriften über Tele- und Mediendienste gewährleisteten Datenschutz in unvertretbarer Weise abbauen. Es widerspräche auch dem von der Bundesregierung selbst vorgelegten Entwurf einer Novelle zum Bundesdatenschutzgesetz, das die Entwicklung und den Einsatz von technischen Verfahren vorsieht, die mit einem Minimum an personenbezogener Datenverarbeitung betrieben werden können.

Die Forderung der Innenministerkonferenz lässt sich vergleichen mit einer Verpflichtung der Post, sämtliche Absender- und Empfängerangaben im Briefverkehr für Zwecke einer möglichen späteren Strafverfolgung zu speichern und für den Zugriff der Sicherheitsbehörden bereitzuhalten. Die Datenschutzbeauftragten halten den Versuch der Innenminister, das Internet für Zwecke der Strafverfolgung in ein Fahndungsnetz zu verwandeln, für ungeeignet und unangemessen.

Die bestehenden Befugnisse der Strafverfolgungsbehörden gewährleisten schon jetzt eine effektive Strafverfolgung im Internet, denn es ist den Providern ohne weiteres technisch möglich, IP-Nummern ab dem Zeitpunkt des Vorliegens eines entsprechenden richterlichen Beschlusses, oder bei Gefahr im Verzug einer staatsanwaltlichen Anordnung, vorzuhalten.

Das Vorhaben der Innenministerkonferenz würde zu einem unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung von Millionen rechtstreuer Internetnutzer führen, die keineswegs alle potenzielle Straftäter sind. Das gesamte Vorhaben wäre zudem zur Verfolgung von schweren Straftaten untauglich, weil Straftäter ohne größere technische Schwierigkeiten auf Provider in anderen Ländern ausweichen könnten.

Die Datenschutzbeauftragten lehnen die Forderung der Innenminister nach einer solchen Protokollierungs- und Aufbewahrungspflicht bei der Internetnutzung ab. Allen Bürgerinnen und Bürgern muss auch zukünftig eine unbeobachtete Nutzung des Internet möglich sein.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 16.08.2007

 
 

Stand des Hessischen Datenschutzrechtes - Datenschutzbericht 1999 (23.11.2000)


Rede vor dem Hessischen Landtag am 23. November 2000
Debatte zum 28. Tätigkeitsberichts des Hessischen Datenschutzbeauftragten

Prof. Dr. Friedrich von Zezschwitz
Hessischer Datenschutzbeauftragter


Die knapp bemessene Zeit möchte ich für drei Punkte verwenden, die mir am wichtigsten erscheinen:

  1. auf die Umsetzung der Europäischen Richtlinie im hessischen Datenschutzrecht,
  2. auf die neu aufgetretenen Probleme bei der Umsetzung der öffentlichen Videoüberwachung und
  3. auf offene Streitfragen zum Datenschutzbericht für das Jahr 1999.

I. Umsetzung der Europäischen Richtlinie

1. Das Hessische Datenschutzgesetz
In der Vergangenheit hat sich der Anwendungsbereich des Hessischen Datenschutzgesetzes (HDSG) in drei bedeutsamen Punkten als zu eng erwiesen:

  • Zum ersten ist das Gesetz nur anwendbar, wenn Erhebungen stattfinden, bei denen die Absicht der Speicherung im Zeitpunkt der Datenerhebung bereits vorliegt. Das ist im Vorhinein oft nicht klar zu entscheiden. Die Frage, ob die Erhebung für die Aufgabenwahrnehmung überhaupt erforderlich ist, kann daher entweder nicht gestellt oder nicht vernünftig beantwortet werden. Besondere Abgrenzungsschwierigkeiten treten derzeit vor allem bei der Videobeobachtung über Monitore ohne gleichzeitige Aufzeichnung auf. Darauf werde ich zurück kommen.
  • Zum zweiten sieht das Gesetz keine Möglichkeit vor, für die anstehenden Verwaltungsreformen hinreichende Evaluierungen vorzunehmen, bei denen auch Bürgerdaten verwertet werden. Die Sonderermächtigungen für Datenübermittlungen für die Forschung und für verwaltungsinterne Kontrollen können auf Evaluierungen der skizzierten Art nicht angewandt werden. Insofern ist eine Ergänzung des Datenschutzgesetzes zweckmäßig.
  • Zum dritten ist bei der Anpassung unterlassen worden, eine zwingende Anhörung des Datenschutzbeauftragten vor dem Erlass von Rechtsverordnungen und Verwaltungsvorschriften vorzuschreiben. Das ist nach Art. 28 Abs. 2 der Richtlinie zwingend. Obwohl mir einige Ministerien Gelegenheit zur Stellungnahme auch ohne gesetzliche Pflicht einräumen, enthebt das nicht der Ergänzung des Gesetzes, zumal die Verwaltungspraxis sehr unterschiedlich verläuft und manche Ministerien zu Überraschungseffekten neigen.

2. Aufsicht über Unternehmen und sonstige nicht-öffentliche Stellen


Dringend notwendig ist auch die Anpassung der Aufsicht über nicht-öffentliche Stellen. Sie liegt derzeit aufgrund einer schlichten Verwaltungsanordnung des Innenministeriums vom 10. Januar 1978 bei den Regierungspräsidien. Die seit mehr als zwanzig Jahren unverändert gültige Anordnung genügt Art. 28 Abs. 1 EG-Richtlinie nicht. Europarechtlich ist eine "völlige Unabhängigkeit" der Überwachungsbehörden sicherzustellen. Diesem Gebot kann durch eine bloße Verwaltungsanordnung über die Zuständigkeit nicht genügt werden. Die Gewährleistung von Unabhängigkeit setzt einen Rechtsstatus der eingesetzten Bediensteten voraus, der denen mit richterlicher Funktion gleicht. Wo das deutsche Verfassungsrecht von Unabhängigkeit spricht, meint es vollständige Weisungsfreiheit und gestattet nicht einmal eine Rechtsaufsicht. Nicht anders kann die Europäische Richtlinie gedeutet werden. Die Schaffung eines ministerialfreien Raumes "völliger Unabhängigkeit" kann nur durch Gesetz geschaffen werden. Sollte eine parlamentarische Kontrollkommission eingesetzt werden, kann auch das nur durch Gesetz erfolgen. Der Landtag muss binnen kurzem tätig werden, da die Europäische Kommission bereits Erkundigungen über den Stand der Umsetzung der Richtlinie bei mir eingezogen hat.
Da sich mit der Aufhebung der Anlasskontrolle im Bundesdatenschutzgesetz eine erhebliche Ausweitung der Überwachungspflichten der Aufsichtsbehörden ergeben wird, sind auch verwaltungsorganisatorische Neuordnungen vorzunehmen, da die wenigen Bediensteten der Regierungspräsidien diese Zusatzleistungen kaum werden erbringen können..

II. Videoüberwachung des öffentlichen Raumes

1. Verwaltungsvorschrift zur Neuregelung des § 14 HSOG


Im Mai dieses Jahres hat der Landtag eine erste umfassende Regelung zur Videoüberwachung durch Verwaltungs- und Polizeibehörden verabschiedet. Ich habe mich trotz einiger Desiderate, die nicht Gesetz geworden sind, grundsätzlich positiv geäußert und halte daran auch heute fest. Inzwischen vollzieht sich jedoch eine gravierende Umwertung. Sie befindet sich im Entwurf der Verwaltungsvorschriften zum
HSOG: Das Ministerium plant, alle Einrichtungen zur Videoüberwachung voraussetzungslos zuzulassen, die nicht mit einer Aufzeichnungsmaschine verbunden sind. Ich habe dieser Absicht des Ministeriums mehrfach ohne Erfolg widersprochen. Derzeit sehe daher allein den Weg in das Plenum des Landtages, um dieser verhängnisvollen Interpretation der neu geschaffenen Ermächtigungen zu begegnen. Das Ministerium beruft sich darauf, dass die Neuregelungen nur die Aufzeichnungen beträfen. Es schließt daraus, dass der Gesetzgeber alle sonstigen Überwachungen ohne rechtliche Schranken frei zugelassen habe. Diese Sicht halte ich für falsch.


2. Auswirkungen und rechtliche Wertung

Die Verwaltungsvorschrift wäre hinsichtlich ihrer praktischen Auswirkungen verhängnisvoll. Die Gemeinden und die Polizeibehörden könnten, wenn die Deutung richtig wäre, alle Straßen und Plätze, alle öffentlichen Einrichtungen und Gebäude beliebig mit Videoüberwachungsanlagen "pflastern". Sie müssten nur unterlassen, Aufzeichnungsmaschinen anzukoppeln. Die Überwachung ganzer Innenstädte über Monitore wäre danach zulässig. Englische Verhältnisse wären die Folge.
Auch in rechtlicher Hinsicht ist die Interpretation nach meiner Einschätzung nicht haltbar. Das HSOG unterscheidet wie das Datenschutzrecht sehr genau zwischen Erhebung und Speicherung. Die Erhebungsregelung des § 13 HSOG muss daher auch auf Videoaufnahmen ohne Aufzeichnung angewandt werden. Zu welchem anderen Zweck als zur bewussten Wahrnehmung sollen Videosignale auf Monitore übertragen werden? Andere Länder begreifen Bildaufnahmen völlig selbstverständlich als Erhebung (z.B. Niedersachsen).

3. Ungenügen des geltenden Rechts (§ 13 HSOG)

Das geltende Recht ist auf Videoeinrichtungen unzureichend zugeschnitten: Es lässt zu, dass Erhebungen aus allgemein zugänglichen Quellen stattfinden (§ 13 Abs. 1 Nr. 2
HSOG). Diese Ermächtigung öffnet Videoaufnahmen Tür und Tor. Wie der Landtag im Mai zum Ausdruck gebracht hat, dürfen sie aber nur zugelassen werden, soweit das der Abwehr von Gefahren dient. Ich habe deswegen für die nächste Novelle vorgeschlagen, § 13 hinsichtlich der Videoaufnahmen in diesem Punkt einzuschränken und möchte den Landtag an dieser Stelle bitten, dem Vorschlag zu folgen.


III. Streitfragen zum Datenschutzbericht 1999

1. DNA – Analyse

Die Stellungnahme der Landesregierung zu den ohne gesetzliche Grundlage aufgrund von Einwilligungen vorgenommenen DNA-Analysen überzeugt nicht. Die Strafprozessordnung unterscheidet genau zwischen der Entnahme von Proben und deren späterer Untersuchung durch den Arzt. Nur für Probeentnahmen sieht die StPO in § 81a Abs. 1 Satz 2 vor, dass dies mit Einwilligung des Betroffenen geschehen könne. Für alle weiteren Maßnahmen ist eine richterliche Anordnung notwendig. Dass gerade bei Strafgefangenen von einer Freiwilligkeit der Einwilligung ausgegangen werden kann, ist höchst fragwürdig. Der Strafgefangene steht unter hohem sozialen Druck und wird sich in der Regel einer Einwilligung nicht entziehen können. Für eine richterliche Anordnung müsste zudem nachgewiesen sein, dass der Strafgefangene "wegen Art oder Ausführung der Tat, der Persönlichkeit des Beschuldigten oder sonstiger Erkenntnisse Grund zu der Annahme bietet, dass gegen ihn künftig erneut Strafverfahren ... zu führen" sein werden. Es ist kaum wahrscheinlich, dass irgend jemand eine solche Prognose über sich selbst freiwillig abgibt.
Ein Sonderproblem tritt auf, soweit DNA-Analysen gegen eine Vielzahl von Personen durchgeführt wird. Beispiele dieser Art haben bis zu 10.000 Personen erfasst. In diesen Fällen kann nicht jeder Einzelne als Beschuldigter geführt werden. Insoweit ist daher eine Sonderregelung erforderlich, die weder das DNA-Gesetz, noch § 81a StPO enthält.

2. Polizeiliche Speicherungen

Die Beibehaltung von HEPOLIS-Speicherungen ist problematisch, sofern Personen erfasst sind, die freigesprochen worden sind. Das HSOG sagt dazu nichts, sondern spricht von einem Verdacht, ohne zu sagen, wer ihn hegt. Eindeutig erscheint mir der Fall des Freispruchs wegen erwiesener Unschuld; hier ist immer zu tilgen. Weniger klar ist ein Freispruch aus Mangel an Beweisen. Hier kann ein Restverdacht fortbestehen; dennoch gilt auch hier: In dubio pro reo. Eine weitere Speicherung sollte daher unterbleiben. Nach Einstellung wegen Geringfügigkeit der Schuld müssen die Polizeibehörden stets prüfen, ob die  weitere Speicherung wirklich erforderlich ist. Dazu bedarf es allerdings lückenloser Mitteilungen an die Polizeibehörden, die nach meinen Erfahrungen nicht immer zuverlässig erfolgen.

3. Polizeiliche Datenübermittlungen an Unternehmen

Die Frankfurter Polizei liefert gegen Gebühr Daten über die erfasste Personen in HEPOLIS an die Lufthansa-Cargo. An sich ist hier ein Überprüfungsverfahren durch das Wirtschaftsministerium nach § 29d LuftVG vorgesehen. Dieses findet aber nur am Anfang der Tätigkeit statt. Man kann bereits darüber streiten, ob das LuftVG insofern nicht abschließend ist. Lässt man zusätzlich polizeiliche Übermittlungen zu, so müssen diese die engen Grenzen des § 23 HSOG beachten:

  • Übermittlung bei "erheblichen Nachteilen" für das Gemeinwohl oder
  • "schwerwiegender Beeinträchtigung der Rechte" des Empfängers.
Diese strengen Anforderungen lassen keine Regelauskünfte über alle Beschäftigten zu. Übermittlungen dürfen nur stattfinden, wenn bereits Taten begangen worden sind. Außerdem kann eine solche Regelabfrage sich nur auf Personen erstrecken, die in den durch Straftaten aufgefallenen Bereichen tätig sind.

4. Fußfessel – Modellversuch Frankfurt

Bislang sind zwar nur sehr wenige Fälle im Feldversuch Frankfurt (zwölf Personen). Dennoch müssen die rechtlichen Fragen sauber gestellt und beantwortet werden. Das Problem liegt darin, dass § 56c StGB den Kreis der richterlichen Weisungen genau umschreibt und die Fußfessel als solche nicht erwähnt. Die dauerhafte elektronische Verbindung mittels technischen Geräts ist mehr als die hin und wieder übliche Meldung bei Gericht oder Bewährungshelfer. - Erleichternd wirkt eine Fußfessel nur, wo sie an Stelle eines geschlossenen Vollzuges tritt. Das ist in Frankfurt nicht der Fall. Die dortige Handhabung wirkt verschärfend und bedürfte daher gesetzlicher Regelung. Die Rechtfertigung durch Einwilligung sieht das StGB nicht vor. Der Landtag sollte, wenn er den Feldversuch billigt, eine gesetzliche Ermächtigung dafür schaffen.

5. Technische Sicherheitsfragen

Insofern möchte ich mich auf Probleme beschränken, die auch bei Ihnen aufgetreten sind oder auftreten werden.

a) E-Mails
Besondere Probleme stellen sich immer wieder bei Anhängen zu E-Mails auf (zuletzt: I love you). Das Einschleusen von Makros oder Trojanischen Pferden ist nach neuesten Untersuchungen des LfD Hamburg sogar bei Firewalls möglich. Verschlüsselungsverfahren bieten insofern keine Abhilfe. - Besonders radikal, aber auch sicher ist die Lösung, die die Verwaltungsgerichtsbarkeit gefunden hat. Den Richtern wird ohne Ausnahme verboten, Anhänge von E-Mails am Arbeitsplatz zu öffnen. Da alle Formatierungen verloren gehen, wenn ein Dokument in Ascii-Fassung umgesetzt wird, ist die Verwendung von Anhängen besonders naheliegend. Gefahren werden sich nur vermeiden lassen, wenn derartige E-Mails nur auf einem Rechner geöffnet werden, der vom Netz abgehängt ist. Ich möchte auch dem Landtag empfehlen, entsprechend zu verfahren, soweit empfangene E-Mails nicht von bekannten und verlässlichen Absendern stammen.

b) Protokollierungen
Die Dokumentation von Zugriffen oder von Veränderungen an Dateien ist eine datenschutzrechtliche Grundforderung. An ihr ist festzuhalten. Problematisch ist, wenn die so entstehenden Speicherungen für Verhaltens- oder Leistungskontrollen oder sonstige Überwachungen genutzt werden. Teilweise ist das bereits ausdrücklich verboten (§ 34 Abs. 6 HDSG). Auch ansonsten entsteht jedoch eine Vielzahl von Problemen. So gehört es zum Telekommunikations-Standard, dass die Verbindungsdaten erfasst werden. Das betrifft auch Internet-Verbindungen. Darüber hinaus speichern die Rechner nach Belieben des Dienstherrn jeden Zugriff, jeden Verbindungspfad und sogar den Inhalt der abgerufenen Information. Über kurz oder lang bedarf es daher ergänzender gesetzlicher Regelungen, um Verwendungsbeschränkungen zu gewährleisten. Auch insofern ist Vertrauen gut, Kontrolle aber besser.

c) Auftragsdatenverarbeitung
Wegen der Schwierigkeiten, geeignetes EDV-Personal im öffentlichen Dienst zu gewinnen, werden zunehmend Verarbeitungsaufträge und Fernwartungen an private Unternehmen vergeben. Das Innenministerium hat sogar erwogen, einen Kernbereich staatlicher Tätigkeit auf Private zu übertragen: Wesentliche Teile der Datenverarbeitung des LKA. Ich möchte vor dieser Kapitulation vor dem Arbeitsmarkt warnen und dringend anraten, landeseigene Gesellschaften zu gründen, die die Aufgaben wahrnehmen, die mit den klassischen Mittel des öffentlichen Dienstes derzeit nicht bewältigt werden können. Das ist nicht nur aus Sicherheitserwägungen nötig, sondern auch, um in wichtigen Bereichen das Know-how zu behalten. Wandern die Verarbeitungskapazitäten in die Unternehmenswirtschaft, verliert der Staat seine Fähigkeit zu eigenständigen Entscheidungen. An diesen Punkt dürfen wir nicht kommen.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.08.2007

 
 

30 Jahre Datenschutz in Hessen (09.10.2000)


30 Jahre Datenschutz in Hessen

Rede des Hessischen Datenschutzbeauftragten Friedrich v. Zezschwitz anläßlich des Festaktes zum 30-jährigen Bestehen des Hessischen Datenschutzgesetzes am 9. Oktober 2000

Hessen war das erste Land, das vor nunmehr 30 Jahren die weit verbreitete Furcht vor dem "gläsernen Menschen" ernst nahm und das erste deutsche und sogar das erste europäische Datenschutzgesetz schuf. Die moderne Informationstechnologie hat seither eine rasante Entwicklung genommen, die eine beliebige Agglomeration von Daten mit einfachen technischen Verfahren erlaubt. Dadurch ist es möglich geworden, alle verfügbaren Erkenntnisse zusammenzutragen, und zwar nicht nur aus engen räumlichen Bereichen, sondern landesweit, seit neuestem sogar weltweit. Das Internet, das vor 10 Jahren nur ganz wenigen Insidern ein Begriff war, ist zur selbstverständlichen Kommunikationsform der Unternehmen, der staatlichen und kommunalen Dienststellen und der Bürger geworden.

Mit der informationellen Vernetzung sind auch die Gefahren gewachsen, die für alle Beteiligten entstanden sind. War es vor 30 Jahren vor allem die Furcht der Bürger und Unternehmen vor einem allmächtigen Staat, der als "Großer Bruder" die Privatsphäre durchdringt, so sind es heute alle Nutzer der elektronischen Medien, die  ungeahnten Gefahren ausgesetzt sind. Ungeachtet dieser neuen, revolutionär zu nennenden Entwicklung verharrt das Datenschutzrecht in weniger begreiflicher Weise bei der ursprünglichen Vorstellung,
dass es vor allem der Staat sei, der in die Schranken zu weisen sei. Ich denke, dass
das 30-jährige Jubiläum des Hessischen Datenschutzgesetzes Anlass bieten sollte, über die kommenden Gefahren ebenso nachzudenken wie über die Erfolge in der Vergangenheit.

Der Blick in die Zukunft kann mitnichten die großen Verdienste schmälern, die sich meine Amtsvorgänger bei der Bewahrung der bürgerlichen Freiheiten gegenüber dem staatlichen Informationsmonopol erworben haben. Herr Birkelbach hatte die vermutlich schwerste Aufgabe: Er
musste das neue Denken in eine Verwaltung implementieren, die sich gerade anschickte, die technischen Potentiale auszukosten, die die EDV-Technik ihr eröffnete. Unter Herrn Simitis fand dann eine beispiellose Konsolidierung statt, von der der hessische Datenschutz bis heute zehren kann. Der von ihnen und meinen unmittelbaren Amtsvorgängern Hassemer und Hamm gewährleistete Schutz der Bürgerinnen, der Bürger und auch der Unternehmen wird weiterhin eine wichtige Agende bleiben. Die zunehmende Vernetzung steigert auch in der Verwaltung die Versuchung, die Daten auszutauschen, die bei den verschiedenen Behörden, etwa bei den Meldeämtern, den Finanzämtern, bei der Polizei, den Gemeinden und ihren Betrieben, den Schulen, Krankenkassen bis hin zu Einträgen in Flensburg, entstanden sind.

Eine ungezügelte Zusammenführung würde dem Staat oder anderen öffentlichen Stellen ein unerhörtes Potential eröffnen. Er könnte die Vielfalt persönlicher Verhaltensweisen, Bewegungsabläufe und die Vermögensverhältnisse ebenso wie den Gesundheitszustand zu jeder Zeit abzurufen. Ich vermute,
dass die relativ hohe Akzeptanz des Datenschutzes aus dem Bewusstsein zu erklären ist,
dass der Verlust der Privatsphäre ein zu hoher Preis wäre – ein Preis, dem jedenfalls deutlich höheres Gewicht zukäme als die Rechtfertigungslasten und die institutionellen Vorkehrungen, die der Datenschutz gebietet. Die zahlreichen Beschwerden der Bürgerinnen, der Bürger und der Unternehmen zeigen das bis heute. Daß die daraus erwachsenden Kontrollen meist auf hohe Akzeptanz in der Verwaltung stoßen, ist ein positives Zeichen für die entstandene Rechtskultur.
Dass die rasante Entwicklung der modernen Informationstechnologie durch die grundrechtliche Abschirmung für die Bürgerinnen, Bürger und Unternehmen nicht behindert worden, verdient hervorgehoben zu werden. Im Gegenteil, das hohe Vertrauen in den Datenschutz fördert die Bereitschaft, die modernen Telekommunikationsformen aufzugreifen und an ihren Fortschritten teilzunehmen.

Wirft man den Blick in die Zukunft, so ist sind es zunächst die institutionellen Vorkehrungen, die den dahin darbenden Datenschutz über die privaten Sektoren reformieren müssen. Ihm
muss nicht nur volle Unabhängigkeit von der allgemeinen Staatsverwaltung gegeben werden – wie es das Europarecht befiehlt. Auch sein Gewicht
muss deutlich verstärkt werden, um der künftig stärker in den Vordergrund tretenden präventiven Überwachung der Unternehmen wirklich gerecht werden zu können. Die Unternehmen repräsentieren gemeinhin eine Konfliktfähigkeit, die deutlich über die der Organe der staatlichen Binnensphäre hinausreicht. Ihr
muss der Staat ein ebenbürtiges Potential gegenüber stellen. Die norddeutschen Länder und jüngst auch Nordrhein-Westfalen haben das klar erkannt, indem sie allzuständige Instanzen geschaffen haben. Die Befürchtung,
dass sich hier ein ministerialfreier Raum etablieren könnte, wird den Realitäten nicht gerecht. Die Parlamentskontrolle kann sich gegenüber den Institutionen des Datenschutzes gemeinhin wirksamer entfalten als gegenüber den politisch sehr stabilen Regierungskoalitionen. Zur Steigerung der parlamentarischen Einbindung könnte man auch an eine Konstruktion denken, wie sie Rheinland-Pfalz seit vielen Jahren erfolgreich praktiziert: die Einrichtung einer Landtagskommission, die die Arbeit des Datenschutzes ständig begleitet und unlösbare Konfliktfälle in das Parlament trägt.

Ein weiteres Problem birgt der schnell ansteigende Einsatz der Chipkartentechnik. Nachdem Plastikkarten vor allem im Bankensektor "hoffähig" gemacht worden sind, sind die ursprünglich ernsten Vorbehalte gegen die Verwendung deutlich geschwunden. Sollte die interaktive Nutzung des Internets für die Abwicklung von Verwaltungsgeschäften zum Standard moderner Verwaltung werden, ist eine Erweiterung des Einsatzbereichs zu erwarten: Die Authenzität der handelnden Personen wie auch die elektronische Signatur werden in
praktisch handhabbarer Form nur über einen Chipkarteneinsatz gesichert werden können. Derzeit laufen Vorbereitungen, den heute verfügbaren Bankkarten eine Zusatzfunktion beizufügen, die die elektronische Signatur gestattet. Beim Einsatz von Chipkarten mit hoher Speicherdichte können umfassende Dokumentationen auf der Karte untergebracht werden. Derartige Chipkarten sind vom Bundesinnenministerium für Asylsuchende vorgeschlagen worden; ferner sind in der gesetzlichen Krankenversorgung gesetzliche Ermächtigungen für weitreichende Speicherungen geschaffen worden.

Vielen unter uns dürfte die Vorstellung unsympathisch sein,
dass die Plastikkarte in der Brief- oder Handtasche künftig wesentliche Lebens- und Verwaltungsdaten abbilden wird. Wer sich des Widerstandes gegen eine numerische Personenkennzeichnung erinnert, der bei der Einführung des Plastik-Personalausweises entflammte, der ist erstaunt, wie stark wir uns an den Umgang mit Chipkarten gewöhnt haben. Diese Gewöhnung darf allerdings nicht in Arglosigkeit umschlagen. Um die Verfügbarkeit der so gespeicherten Daten wie bisher in Grenzen zu legen,
muss die für den Datenschutz unabdingbare Segmentierung der Speicherinhalte auch bei den Chipkarten von vornherein eingeplant werden. Der Abruf wie auch die Anpassung von Speicherungen an die Daten der zentralen EDV dürfen nur den Ämtern oder den Unternehmen gestattet werden, durch die der ursprüngliche Speicherinhalt geschaffen worden war. Weitere Abrufe sind doch besondere PINs zu sperren. Die Inhaber der Karten müssen hingegen instand gesetzt werden, sich über alle Speicherinhalte Kenntnis verschaffen zu können.  Zu diesem Zweck sind allgemein zugängliche Lesegeräte bereit zu halten. Nur so können die überkommenen Vorbehalte gegen die Plastikkarten in Grenzen gehalten werden.

Die Lösungsversuche für weitere reale Gefahren, die die Zukunft bringen wird, sind sehr viel komplexer. Eine Reihe von Problemen wird sich verfahrenstechnisch lösen lassen. So werden verdeckte oder offene Angriffe auf die eigenen Datenbestände, die mit subversiven Techniken von Dritten geführt werden, durch besondere Konfigurationen des eingesetzten Geräts und durch die Installation elektronischer Abschirmungen, insbesondere durch fire-walls abgewehrt werden können. Hinzu treten müssen die Verwendung von Verschlüsselungsverfahren hoher Dignität und elektronisch unterbrochene Kommunikationsstränge. Die so geschaffene Verfahrenssicherheit wird allerdings keine vollkommene Sicherheit erzeugen können, da die Verfahren der Abschirmung ihrer Natur nach nicht geheim sein können. Perfider Erfindungsreichtum entfaltet sich immer wieder beim Schreiben von Makros, trojanischen Pferden und anderen zerstörerischen Programmen. Das Märchen vom Wettlauf des Hasen und des Igels wird die elektronische Welt insofern auch künftig bestimmen.

Das eigentliche Problem stellt dabei nicht die traditionelle Gefahr unzulässiger Ausforschung der Datenbestände dar. Viel gefährlicher sind die von außen geführten Angriffe, die sich die unbefugte Veränderung der aufgebauten Datenbestände zum Ziel gesetzt haben. Diese Flanke öffnet sich mit der Einführung interaktiver Kommunikationsformen zwischen den öffentlichen Anbietern und den servicesuchenden Bürgern und Unternehmen viel stärker, als das bei den herkömmlichen Informationsangeboten der Fall ist. Die derzeit schnell vorwärts preschenden Techniken des e-government werden daher neue verfahrenstechnische, aber auch neue datenschutzrechtliche Anforderungen erzeugen. Ich habe mir
bewusst eine deutliche Verstärkung der technisch-informationellen Kapazitäten zum Ziel gesetzt, um den Hessischen Datenschutz für die Anforderungen der Zukunft zu wappnen. Ich bin dem Finanzministerium und dem Landtag sehr dankbar,
dass diese Neustrukturierung trotz knapper Kassen ein offenes Ohr gefunden hat.

Neben diese verfahrenstechnischen Abschirmungen treten neue Phänomene, die mit dem grenzüberschreitenden Aufbau des Internet einhergehen. Der Begehungsort von Straftaten ist nicht mehr mit dem Zielort identisch – wie die in den USA und Dänemark produzierten nationalsozialistischen Pamphlete im Internet deutlich zeigen. Sie entziehen sich dadurch der strafrechtlichen Sanktion, solange keine internationalen Vereinbarungen getroffen werden können, die einen weltweiten Verfolgungszwang schaffen. Das bei rechtswidrigen Veröffentlichungen häufig anonyme Auftreten – mag es sich um die unbefugte Publikation urheberrechtlich geschützter Werke oder Anleitungen zu rechtwidrigen Tun handeln – fordert hohe Kapazitäten, um die Übertragungswege trotz Verschleierungsabsicht nachvollziehen zu können. Die datenschutzrechtliche Kehrseite solcher Aufzeichnungen ist allerdings unverkennbar – erlauben die entstehenden Protokolldaten doch, alle Kommunikationswege nachzuzeichnen, die der jeweiligen Nutzer gegangen ist. Es wird nicht einfach sein, den Weg zwischen der Skylla sanktionsbewehrter Aufklärung und der Charybdis darnieder gehenden Datenschutzes zu finden. Die meisten der beschriebenen Herausforderungen für den Datenschutz waren vor wenigen Jahren noch unbekannt. Weitere treten hinzu – wie etwa die Videoüberwachung mit automatischen Erkennungssystemen, die elektronische Fußfessel als neue Strafe und die um Potenzen steigerbare Selektivität in der telekommunikativen Überwachung.

Auch wenn die technische Revolution eine überaus schnelle Gangart genommen hat, wäre es falsch zu resignieren. Im Gegenteil, ich bin sicher,
dass wir die neu aufflackernden Angriffe auf die Privatsphäre in der gleichen Weise werden meistern können wie die zahlreichen Probleme der Vergangenheit. Dazu bedarf es allerdings des
Bewusstseins, daß eine ständige Anpassung der gesetzlichen wie auch der institutionellen Instrumente notwendig ist und bleibt.

Ich hoffe und bin sicher, dass Hessen darin auch in Zukunft vorn bleiben wird!
 

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.08.2007

 
 

Rede von Herrn von Zezschwitz zu 30 Jahren Datenschutz in Hessen (09.10.2000)


30 Jahre Datenschutz in Hessen


Auf Einladung des Präsidenten des Hessischen Landtags Klaus PeterMöller und des Hessischen Ministerpräsidenten Roland Koch  wird heute  das dreißigjährige Jubiläum des Hessischen  Datenschutzgesetzes mit einem Festakt im Hessischen Landtag begangen.

Der amtierende Hessische Datenschutzbeauftragte, Professor Dr. Friedrich v. Zezschwitz und der langjährige frühere Hessische Datenschutzbeauftragte, Professor Dr. Spiros Simitis nehmen diese Feierstunde zum Anlass, eine aktuelle Bestandsaufnahme vorzunehmen und insbesondere zu hinterfragen, wie ein moderner Datenschutz ausgestaltet sein muss, um den neuen technischen Herausforderungen begegnen zu können.

Hessen war das erste Land, das die weit verbreitete Furcht vor dem "gläsernen Menschen" ernst nahm und vor nunmehr 30 Jahren ein Datenschutzgesetz schuf. Hessen war auch das erste Land, das die Europäische Richtlinie für den Datenschutz zeitgerecht in sein Recht eingearbeitet hat. Damit wurde es für ganz Deutschland zwei Mal zum Vorreiter für den Schutz der persönlichen Selbstbestimmung. Die Entwicklung der modernen Informationstechnologie hat es möglich gemacht, mit einfachen technischen Verfahren alle Erkenntnisse zusammenzutragen, die über jeden Einzelnen bei den verschiedenen Behörden, etwa beim Meldeamt, Finanzamt, bei der Polizei, der Gemeinde, den Gemeindebetrieben, der Schule, der Krankenkasse oder der Kraftfahrzeugzulassung bis hin zu Einträgen in Flensburg, entstehen. Eine ungezügelte Zusammenführung würde es dem Staat oder anderen öffentlichen Stellen erlauben, die persönlichen Verhaltensweisen, Bewegungsabläufe und Vermögensverhältnisse ebenso wie den Gesundheitszustand eines Jeden jederzeit abzurufen. Am Ende eines solchen Weges hätte der Verlust der Privatsphäre oder – wie es das Bundesverfassungsgericht ausdrückt – der Verlust des Grundrechts auf informationelle Selbstbestimmung gestanden.

Der latenten Neigung, die bei den verschiedenen Dienststellen vorhandenen Erkenntnisse für alle Zwecke verfügbar zu machen, ist das Hessische Datenschutzgesetz frühzeitig entgegen getreten. Es hat verboten, dass Daten beliebig von Behörde zu Behörde oder zu Dritten  wandern; es hat verboten, dass Daten erhoben und gespeichert werden, wenn das für die Verwaltungsaufgabe nicht zwingend erforderlich ist, und es hat die Bürger mit dem Anspruch auf Benachrichtigung über gespeicherte Daten und mit dem Anspruch auf Berichtigung falscher Daten oder auf Löschung unrechtmäßig erhobener oder überlang gespeicherter Daten
ausgestattet. Die Behörden des Landes und der Kommunen hat es verpflichtet, vor automatisch zu verarbeitenden Speicherungen in der EDV Verzeichnisse zu erstellen, in denen die wichtigsten datenschutzrechtlichen Mindestanforderungen aufgelistet und den behördeneigenen Datenschutzbeauftragten zur Kontrolle übergeben werden. Außerdem hat es mit dem Hessischen Datenschutzbeauftragten eine zentrale Landesbehörde geschaffen, die die strikte Einhaltung der gesetzlichen Anforderungen bei allen öffentlichen Dienststellen überwacht. Bürgerinnen, Bürgern und Unternehmen ist zudem das Recht eingeräumt worden, den Hessischen Datenschutzbeauftragten um Hilfe anzurufen, wann immer der Verdacht entstanden ist, dass Erkenntnisse zu Unrecht erhoben oder nicht mit der nötigen Geheimhaltung behandelt worden sind. Aus diesem Recht hat sich eine lebendige Kommunikation mit zahlreichen hessischen Bürgerinnen, Bürgern und Unternehmen entwickelt. Sie hat dazu geführt, dass heute alle Dienststellen des Landes ein hohes Bewusstsein für den Schutz des Persönlichkeitsrechts eines jeden Einzelnen pflegen. Dennoch ist die rasante Entwicklung der modernen Informationstechnologie nicht behindert worden. Im Gegenteil, das Vertrauen der Bürgerinnen, Bürger und Unternehmen in den Datenschutz fördert die Bereitschaft, die modernen Telekommunikationsformen aufzugreifen und an ihren Fortschritten teilzunehmen. Heute ist es vor allem die Förderung elektronischer Verfahrenssicherheit, die Abschirmung der Chipkartentechnik und die Kontrolle der Videoüberwachung, die zu den Hauptzielen des Datenschutzes zählt.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.08.2007

 
 

Presseerklärung: Forderung nach aussagefähigen Berichten zum großen Lauschangriff (27.06.2000)


Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert in einer Entschließung vom 26. Juni 2000 den ersten Bericht der Bundesregierung zum Einsatz technischer Mittel zur akustischen Überwachung von Wohnungen für Zwecke der Strafverfolgung im Jahre 1998 (sog. Großer Lauschangriff). "Der Bericht gewährleistet keine effektive parlamentarische Kontrolle. Wesentliche Informationen, die wertende Aussagen zur Effizienz der Maßnahmen und zur Intensität der damit verbundenen Grundrechtseingriffe ermöglichen, fehlen", sagte der Hessische Datenschutzbeauftragte, Professor Dr. Friedrich von Zezschwitz.

Artikel 13 Abs. 6 des Grundgesetzes schreibt vor, dass die Bundesregierung den Bundestag jährlich über den Einsatz technischer Abhörmittel zur Wohnraumüberwachung unterrichtet. Ein vom Bundestag gewähltes Gremium übt auf der Grundlage dieses Berichts die parlamentarische Kontrolle aus. Dabei prüft es nicht die Rechtmäßigkeit jeder einzelnen Überwachungsmaßnahme, sondern die Normeffizienz der gesetzlichen Regelungen. Diese ist vor allem an der Frage zu messen, ob die Überwachungsmaßnahmen die Strafverfolgung verbessern und die damit verbundenen Grundrechtseingriffe – gemessen an diesem Erfolg – verhältnismäßig erscheinen. Weiteres Kriterium ist, ob die gesetzgeberischen Maßnahmen zur Sicherung der Grundrechte ihre Wirkung entfalten.

Eine darauf gerichtete Analyse ist aber nur möglich, wenn der Bericht der Bundesregierung die Anzahl aller von einer Überwachungsmaßnahme erfassten Personen nennt. Jede Person, deren gesprochenes Wort in der Wohnung abgehört wird, wird in ihren Grundrechten beeinträchtigt, nicht lediglich der Wohnungsinhaber oder Beschuldigte, gegen den sich das Strafverfahren richtet. Der Bericht der Bundesregierung sollte nach Auffassung der Datenschutzbeauftragten außerdem Angaben enthalten zu der Anzahl der abgehörten Gespräche, zur Art der betroffenen Räume (Wohnung, Geschäfts- oder sonstige Räume), zur Zahl und Dauer der angeordneten Verlängerungen der Maßnahme sowie zur Zahl der Verhaftungen, Anklageerhebungen und Verurteilungen, zu denen die Maßnahme beigetragen hat.

Die Datenschutzbeauftragten fordern die Bundesregierung auf, die Berichte künftig zu ergänzen, um eine wirksame parlamentarische Kontrolle der besonders intensiven Eingriffe in die räumliche Schutzsphäre des Einzelnen zu gewährleisten.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.08.2007

 
 

Hessischer Datenschutzbeauftragter legt den 28. Tätigkeitsbericht vor (22.03.2000)


Der Hessische Datenschutzbeauftragte, Professor Dr. Friedrich v. Zezschwitz, hat den ersten Tätigkeitsbericht seiner Amtszeit für das Jahr 1999 vorgelegt.

Der Bericht dokumentiert wichtige Aktivitäten zu Gesetzesvorhaben mit datenschutzrechtlichem Bezug, Prüfungen zu Einzelfragen im Umgang mit personenbezogenen Daten der Bürgerinnen und Bürger durch die öffentlichen Stellen des Landes Hessen bis hin zu praktischen Hinweisen zur sicheren Nutzung moderner Informationstechnologien.

I. Gesetzgebung:

Novelle des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung

Das wichtigste Gesetzgebungsvorhaben im Berichtszeitraum war aus Sicht des Hessischen Datenschutzbeauftragten die Novelle zum Hessischen Gesetz über die öffentliche Sicherheit und Ordnung, mit der die Kontroll- und Überwachungsbefugnisse der Polizeibehörden erheblich ausgeweitet werden.

Kernpunkte der Novellierung sind:

  • Regelungen zur Videoüberwachung
  • Einführung von verdachts- und ereignisunabhängigen Kontrollen (Schleierfahndung)
  • Wegfall der Benachrichtigung über die längerfristige Speicherung in automatisierten Dateien

Nicht alle beabsichtigten Maßnahmen waren bzw. sind aus Sicht des Datenschutzes unbedenklich. So sah der Erstentwurf als einzige Voraussetzung für den Einsatz von Videoüberwachungsmaßnahmen vor, dass dies zur Erfüllung polizeilicher Aufgaben erfolge. Da Professor von Zezschwitz frühzeitig in die Beratungen mit einbezogen worden war, konnte er seine verfassungsrechtlichen Bedenken gegen eine so weite Ermächtigungsnorm geltend machen. Inzwischen sollen an öffentlichen Orten nur offene Bildaufzeichnungen durch die Polizei und nur zur Abwehr einer konkreten Gefahr oder wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass Straftaten drohen, möglich sein. Eine in der Zwischenzeit beabsichtigte Erweiterung dieser Befugnisse auch für die allgemeinen Gefahrenabwehrbehörden scheint nun nicht mehr zur Diskussion zu stehen. Vielmehr ist der Vorschlag von Prof. v. Zezschwitz aufgegriffen worden, den Ordnungsbehörden eine Ermächtigung für Bildaufzeichnungen nur dann zuzubilligen, wenn an einem Ort gehäuft Straftaten begangen wurden und tatsächliche Anhaltspunkte bestehen, dass weitere Straftaten begangen werden.

Insoweit sind die verfassungsrechtlichen Bedenken des Hessischen Datenschutzbeauftragten, was die Ermächtigung zur Videoüberwachung durch Polizeibehörden und andere Gefahrenabwehrbehörden anbelangt, im Wesentlichen ausgeräumt. Zur Praxis der Videoüberwachung in Hessen hat der Hessische Datenschutzbeauftragte im Spätherbst eine Umfrage bei den hessischen Gemeinden und den Polizeipräsidien veranstaltet, durch die rund 450 Überwachungsanlagen mit unterschiedlichster Zwecksetzung ermittelt worden sind (Rücklauf bislang 92 %).

Auf Kritik des Hessischen Datenschutzbeauftragten stieß die zunächst fast voraussetzungslose Einführung der Schleierfahndung. Ein Eingriff in die Freiheit, sich unüberwacht bewegen zu können, der noch dazu alle Bürgerinnen und Bürger treffen kann, verlangt besonders hohe Legitimationsanforderungen. Diese Anforderungen wurden allein mit der Aussage "zur vorbeugenden Bekämpfung der grenzüberschreitenden Kriminalität" keineswegs erfüllt. Professor von Zezschwitz hatte deshalb gefordert, dass nur wegen bestimmter schwerer Straftaten die Schleierfahndung überhaupt angeordnet werden dürfe und dass vor einer solchen Maßnahme stets eine Lagebeurteilung erfolgen müsse, deren Ergebnis schriftlich zu fixieren ist. Diese Anforderungen sollten sich eindeutig aus dem Gesetz ergeben. Der jüngste Gesetzentwurf sieht nun entsprechende Lagebeurteilungen vor; allerdings fehlt noch immer ein eindeutig formulierter Straftatenkatalog. Der Forderung, Durchsuchungen im Rahmen der Schleierfahndungen zu limitieren, wird dieser Entwurf ebenfalls gerecht.

Die beabsichtigte Streichung der Benachrichtigungspflicht bei längerfristiger Datenspeicherung in automatisierten Dateien erscheint aus Sicht des Hessischen Datenschutzbeauftragten nicht gerechtfertigt. Häufig wurde den Betroffenen erst durch die Benachrichtigung
bewusst, dass noch Daten über sie in polizeilichen Dateien gespeichert waren. In einer großen Anzahl von Fällen hat die Nachfrage der Betroffenen dann zu einer Löschung der Speicherung geführt. Die Verpflichtung zur Benachrichtigung bei einer Speicherdauer von mehr als drei Jahren zwingt die Polizeibehörden im übrigen zur Überprüfung, ob die Daten überhaupt noch benötigt werden. Darauf sollte keinesfalls verzichtet werden.

II. Verwaltung

Im Zuge der Privatisierung öffentlicher Aufgaben wirft die Vergabe von EDV-Dienstleistungen an Stellen außerhalb der Verwaltung besondere Probleme auf. Der Kreis der Mitwisser wird immer größer, die Geheimhaltung vertraulicher Daten immer schwieriger. Diese Feststellung hat den Hessischen Datenschutzbeauftragten veranlasst, einen Mustervertrag zu entwickeln, der den entstandenen Gefahren vorbeugen soll (abrufbar unter: www.datenschutz.hessen.de ).

 

III. Einzelfälle

Polizeiliche Datenspeicherung trotz Freispruch

Wie wichtig die Beibehaltung der oben angesprochenen Benachrichtigung über längerfristige Datenspeicherung bei der Polizei ist, konnte der Hessische Datenschutzbeauftragte ganz konkret erfahren. Informiert durch die Benachrichtigung beantragte ein Bürger die Löschung der zu seiner Person gespeicherten Daten. Nachdem dies zunächst erfolglos blieb, bat er den Hessischen Datenschutzbeauftragten um Hilfe. Es stellte sich heraus, dass gegen diesen Bürger zweimal ermittelt worden war. Im ersten Fall kam es zu einem Gerichtsverfahren, das wegen Ausräumung aller Verdachtsmomente mit einem Freispruch endete. Die Staatsanwaltschaft teilte dies der Polizei mit. Statt die Daten des Betroffenen zu löschen, nahm sie die Mitteilung über den Freispruch lediglich zur Akte. Bei Ausräumung jeglichen Tatverdachts war die Rechtsgrundlage zu einer weiteren personenbezogenen Datenspeicherung jedoch entfallen.

Im zweiten Fall wurde das Verfahren gegen den Betroffenen wegen Geringfügigkeit eingestellt. Da aber aus dem vorgenannten Verfahren noch Informationen im polizeilichen Informationssystem waren, ging die Polizei davon aus, dass der Betroffene weitere Straftaten begehen könnte und nahm entsprechende Informationen in das polizeiliche Informationssystem auf. Erst auf Grund der Benachrichtigung des Betroffenen kam es überhaupt zu einer Überprüfung der Datenspeicherung. Auf Intervention des Hessischen Datenschutzbeauftragten wurden sämtliche Daten gelöscht und die Kriminalakte vernichtet, da sämtliche Unterlagen für die Aufgabenerfüllung der Polizei nicht mehr erforderlich waren.


Smart-Card für Asylbewerber

Eine vom Bundesinnenministerium in Auftrag gegebene Studie sieht den obligatorischen Einsatz einer Smart-Card für Asylbewerber in einer Fülle von Anwendungsbereichen vor. Einzelne Bundesländer haben die Einführung dieser Karte bereits angekündigt. Der Hessische Datenschutzbeauftragte hat gegenüber dem Hessischen Minister des Innern eine ausführliche Stellungnahme abgegeben und dabei von einer Realisierung des Einsatzes einer Smart-Card mit umfassender Speicherung aller persönlichen und sozialen Daten dringend abgeraten.

Die mit einem Fingerabdruck ausgestattete Chipkarte soll nicht nur als Identitätsnachweis und Nachweis des Aufenthaltsstatus, sondern auch im Meldewesen, beim Zugang zum Arbeitsmarkt, bei der Gewährung und Kontrolle des Sozialleistungsbezugs und als Krankenschein eingesetzt werden. Die Polizeibehörden und der Bundesgrenzschutz sollen Zugriff auf die Karte erhalten. Dabei bleibt offen, welchen Verwaltungsbehörden zu welchen Zwecken, unter welchen Voraussetzungen und in welchem Umfang gerade in diesem sensiblen Bereich ein Zugriff eingeräumt werden soll.

Professor von Zezschwitz weist darauf hin, dass die Fülle der auf der Chipkarte zusammengefassten Informationen die Möglichkeit eröffnet, verfassungsrechtlich unzulässige Persönlichkeitsprofile zu erstellen. Angesichts des großen Kreises der eingebenden und abrufenden Behörden ist dringend erforderlich, dass technische Zugriffssicherungen vorgesehen werden.

Für keine andere Bevölkerungsgruppe bestehe die Verpflichtung, eine derart multifunktionale Chipkarte bei sich zu führen und zum Zugriff bereit zu halten. Über die schon existierenden Instrumente zur Kontrolle und Überwachung von Ausländern hinaus, wie sie mit dem Ausländerzentralregister oder dem automatisierten Fingerabdruckidentifizierungssystem beim Bundeskriminalamt bestehen, werde für die Gruppe der Asylbewerber ein weiterer einschneidender und mit dem Gleichheitssatz kaum vereinbarer Schritt unternommen.

 

Kampf gegen vermutete mangelhafte Meldemoral

Der Oberbürgermeister einer hessischen Universitätsstadt stellte durch Auswertung der Bevölkerungsstatistik fest, dass nicht alle in der Stadt wohnenden Einwohnerinnen und Einwohner im Melderegister erfasst sind. Er vermutete mangelhafte Meldemoral vor allem unter den Studierenden. In bestimmtem Wohngebieten war die Einwohnerzahl gesunken, ohne dass ein Wohnungsleerstand zu verzeichnen war. Ein städtischer Mitarbeiter wurde beauftragt, die an Brief- und Klingelanlagen vermerkten Namen aufzunehmen. Die erfassten Daten wurden dann mit denen des Melderegisters abgeglichen. Nichtgemeldete Personen wurden gebeten, sich mit der Meldestelle in Verbindung zu setzen.

Der Hessische Datenschutzbeauftragte hat die Datenerhebung für datenschutzrechtlich unzulässig erachtet, da das Meldegesetz einen derartigen Abgleich nicht gestattet. Nach Datenschutzrecht sind die Daten der Meldepflichtigen bei ihnen direkt zu erheben. Eine flächendeckende Erhebung personenbezogener Daten, ohne dass die Betroffenen davon Kenntnis haben, ist nach dem Hessischen Meldegesetz nicht zugelassen. Die Stadt wurde auf die rechtliche Möglichkeit verwiesen, die Vermieter zu befragen.

Auch wenn Professor von Zezschwitz durchaus Verständnis dafür äußerte, dass der Oberbürgermeister wegen zu erwartender Nachteile im Finanzausgleich den Wunsch nach einem vollständigen Melderegister hat, so wies er doch zugleich darauf hin, dass das Melderecht nicht das geeignete Instrumentarium dafür ist, Probleme des Finanzausgleichs zu regeln.

 

Auch Stadtverordnete genießen Grundrechtsschutz

In einer Stadtverordnetensitzung wurde über die schrittweise Abschaffung der Grundwasserabgabe in Hessen diskutiert. In diesem Zusammenhang kamen auch die Wassereinsparprojekte der Stadt kontrovers zur Sprache. Bürgerinnen und Bürgern sind seinerzeit Regenwassertonnen kostenlos zur Verfügung gestellt worden. Ein Kritiker des Konzepts aus den Reihen der Opposition
musste kurz darauf in zwei Zeitungen lesen, dass er - obwohl Kritiker des Konzepts - selbst Bezieher einer derartigen Tonne sei. Die Information stammte von der Bürgermeisterin der Stadt. Sie hatte dabei unzulässig internes Verwaltungswissen preisgegeben.

Nach Feststellung des Hessischen Datenschutzbeauftragten genießen die Stadtverordneten den gleichen Grundrechtsschutz wie andere Bürger, wenn sie als Bürger mit ihrer Verwaltung in Verbindung treten. Die Verwaltungsdaten stehen nicht zur Disposition in der politischen Auseinandersetzung, sondern müssen genauso zweckgebunden verarbeitet werden, wie das bei vergleichbaren Vorgängen innerhalb der Verwaltung zu geschehen hat.

 

IV. Hinweise zur sicheren Nutzung moderner Informationstechnologien

Fallstricke bei der Nutzung von E-Mail

Die Elektronische Post ist eine der meist genutzten Anwendungen neuer Kommunikationstechniken. Sie erlaubt es, schneller und komfortabler als mit den klassischen Verfahren, wie Briefpost oder Telefax, Nachrichten und andere Dokumente zu übermitteln und direkt am Arbeitsplatz ohne Medienbruch weiter zu verarbeiten. Diesen gern genutzten Vorteilen stehen jedoch auch nicht zu unterschätzende datenschutzrechtliche Risiken gegenüber. Nur schlagwortartig und exemplarisch seien an dieser Stelle einige dieser Risiken genannt:


  • Unbefugte Kenntnisnahme der E-Mail während der Übertragung oder der Speicherung auf den Servern
  • Verborgene Informationen in Dokumenten
  • Vortäuschen einer fremden Identität
  • Leugnen einer Kommunikationsbeziehung und fehlender Zugangsbeweis.

Zu diesen und weiteren Gefahren und den möglichen Gegenmaßnahmen nimmt der Hessische Datenschutzbeauftragte ausführlich unter Punkt 10.1 seines Tätigkeitsberichts Stellung und empfiehlt diesen Beitrag allen E-Mail-Nutzern zu deren eigenem Schutz zur intensiven Lektüre.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.02.2008

 
 

Presseerklärung zur Bundesratsentscheidung über Datenschutz im Strafverfahren (22.02.2000)


Der Hessische Datenschutzbeauftragte, Prof. Dr. Friedrich von Zezschwitz, erklärt gemeinsam mit seinen Kollegen aus Baden-Württemberg, Bayern, Berlin, Brandenburg, Mecklenburg-Vorpommern, Nordrhein-Westfalen, Saarland, Sachsen-Anhalt und Schleswig-Holstein:

"Weitere Verwässerung des Datenschutzes bei der Strafverfolgung ist unerträglich"

Jahrelang hat es der Gesetzgeber versäumt, für die hochsensiblen personenbezogenen Informationen in Strafverfahren Datenschutzregelungen zu verabschieden - ein nach Meinung aller Datenschutzbeauftragter unhaltbarer Zustand. Mehrere Entwürfe eines "Strafverfahrensänderungsgesetzes"
(StVÄG) sind am Widerstand der Länder gescheitert. Der von der Bundesregierung 1999 vorgelegte Gesetzesentwurf verschlechterte die inhaltlich ohnehin unzureichenden Regelungen der vorherigen Entwürfe aus grundrechtlicher Sicht sogar noch in wesentlichen Punkten. Die am 27. Januar 2000 im Bundestag verabschiedete Fassung enthält lediglich an wenigen Stellen Korrekturen zugunsten des Persönlichkeitsschutzes von Beschuldigten und Zeugen, beispielsweise bei der eingriffsintensiven Öffentlichkeitsfahndung. Geblieben sind gravierende datenschutzrechtliche Mängel:
  • Die Zweckbindung von Daten aus der Gefahrenabwehr und der Strafverfolgung wird nahezu vollständig aufgehoben,
  • Den Strafverfolgungsbehörden wird ein regelrechtes "Befugnis-Shopping" eröffnet. Verfahrensdaten sollen auch zur Verfolgung künftiger Straftaten in Dateien gespeichert werden dürfen, obwohl die Polizei solche Dateien auf landesrechtlicher Grundlage bereits seit langem besitzt.
  • Ein gemeinsamer Datenpool der Justizbehörden wird eingeführt, unabhängig davon, ob die Informationen für ihre konkreten Aufgaben wirklich erforderlich sind.
  • Die bestehenden landespolizeirechtlichen Regelungen zur Wahrung der Zweckbindung und damit die Kompetenzen des Landesgesetzgebers werden unterlaufen.
Das genügt einer Reihe von Ländern offenbar immer noch nicht. Sie wollen das Datenschutzniveau weiter absenken.

Am Freitag, den 25. Februar 2000, beschließt der Bundesrat über den Entwurf. Nach dem Vorstoß einiger Länder sollen nicht nur die wenigen Verbesserungen des Bundestagsbeschlusses rückgängig gemacht, sondern über die bereits völlig unzureichenden bisherigen Entwürfe hinaus weitere Verwässerungen des Persönlichkeitsschutzes bei der Strafverfolgung vorgenommen werden. Damit hätten die Strafverfolgungsbehörden unannehmbar weite Befugnisse, mit sensiblen Informationen aus schwerwiegenden Grundrechtseingriffen umzugehen.

Es kann nicht angehen, dass – wie einige Länder es wollen –
  • die Polizei bei der Öffentlichkeitsfahndung nicht einmal nachträglich von der Staatsanwaltschaft kontrolliert wird,
  • Zeugen selbst bei Bagatelldelikten per Öffentlichkeitsfahndung, auch über Fernsehen oder Internet, gesucht werden können,
  • das Erfordernis richterlicher Kontrolle als "bürokratischer Aufwand" abgetan wird,
  • Erkenntnisse aus präventiven Lauschangriffen generell zur Strafverfolgung genutzt werden dürfen, unabhängig von der Schwere des Delikts,
  • Observationen bis zu 7 Tagen ohne rechtliche Regelung möglich sein sollen,
  • nicht am Verfahren beteiligte Private schon bei "berechtigtem Interesse" Akteneinsicht in sensible Strafverfahrensakten bekommen,
  • die Zweckbindung für präventivpolizeiliche Daten völlig wegfällt,
  • sämtliche Informationen aus Strafverfahren durch die Polizei sogar zur Gefahrenvorsorge oder zum Schutz privater Rechte genutzt werden dürfen, und
  • öffentliche Stellen Informationen aus Strafverfahrensakten praktisch für alle Zwecke bekommen können.
Hierdurch würde die Intention des verfassungsrechtlich tragbaren Ausgleichs zwischen Persönlichkeitsschutz und den Interessen der Strafverfolgung vollständig verfehlt.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2007

 
 

Presseerklärung zur Smart-Card für Asylbewerber (14.09.1999)


Die Einführung einer Smart-Card für alle Asylbewerber stößt nach Auffassung des Hessischen Datenschutzbeauftragten, Prof. Dr. Friedrich von Zezschwitz, auf erhebliche rechtsstaatliche Bedenken. Eine vom Bundesministerium des Innern in Auftrag gegebene Studie sieht den obligatorischen Einsatz der Chipkarte in einer Fülle von Anwendungsbereichen vor. Das Land Hessen prüft derzeit, ob die Smart-Card realisiert werden soll.Die mit einem Fingerabdruck ausgestattete Chipkarte soll nicht nur als Identitätsnachweis und Nachweis des Aufenthaltsstatus, sondern auch im Meldewesen, beim Zugang zum Arbeitsmarkt, bei der Gewährung und Kontrolle des Sozialleistungsbezugs und als Krankenschein eingesetzt werden. Die Polizeibehörden und der Bundesgrenzschutz sollen Zugriff auf die Karte erhalten.
Der Hessische Datenschutzbeauftragte weist darauf hin, dass die Fülle der auf der Chipkarte zusammengefassten Informationen die Möglichkeit eröffnet, verfassungsrechtlich unzulässige Persönlichkeitsprofile zu erstellen. Angesichts des großen Kreises der eingebenden und abrufenden Behörden bestehe die Gefahr, dass technische Zugriffssicherungen versagen.
Für keine andere Bevölkerungsgruppe bestehe die Verpflichtung, eine derart multifunktionale Chipkarte bei sich zu führen und zum Zugriff bereit zu halten. Über die schon existierenden Instrumente zur Kontrolle und Überwachung von Ausländern hinaus, wie sie mit dem Ausländerzentralregister oder dem automatisierten Fingerabdruckidentifizierungssystem beim Bundeskriminalamt bestehen, werde für die Gruppe der Asylbewerber ein weiterer einschneidender und mit dem Gleichheitssatz kaum vereinbarer Schritt unternommen.
Der Hessische Datenschutzbeauftragte rät deshalb dringend von einer Realisierung des Einsatzes in dem von der Studie vorgesehenen Umfang ab.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2007

 
 

Presseerklärung zur Briefaktion der CDU gegen die Rentenpläne der Bundesregierung (12.07.1999)


Keine Meldedaten für die Briefaktion der CDU
gegen die Rentenpläne der Bundesregierung


Veranlasst durch zahlreiche Anfragen von Bürgerinnen und Bürgern sowie der Presse weist der Hessische Datenschutzbeauftragte, Professor Dr. Friedrich v. Zezschwitz, darauf hin, dass die Einwohnermeldeämter des Landes nicht berechtigt sind, Meldedaten für die Aktion der CDU gegen die Rentenpläne der Bundesregierung zu übermitteln.
Nach Hessischem Melderecht dürfen zwar für die Zwecke von Wahlen Melderegisterauskünfte an die Parteien gegeben werden, in denen eine Differenzierung nach dem Lebensalter der anzuschreibenden Personen ausgewiesen wird. Das schließt auch die Möglichkeit ein, Personen über 60 Jahren gesondert zu erfassen. Zu betonen ist jedoch, dass die so mitgeteilten Melderegisterdaten nicht für andere Zwecke als für Wahlen benutzt werden dürfen. Die dabei ausgegebenen Daten müssen spätestens einen Monat nach der jeweiligen Wahl gelöscht werden. Soweit sich das für Hessen auf die Europawahl bezieht, muss die Löschung also spätestens am 13. Juli 1999 erfolgen.
Da die von der CDU beabsichtigte Umfrage bzw. Information der älteren Bevölkerungsteile über die anstehende Rentenreform keine Wahlakte betrifft, dürfen vorhandene Anschriften aus dem Melderegister nicht mehr verwendet werden. Zwar ist nach hessischem Recht für Abstimmungen, Bürger- und Volksbegehren eine entsprechende Anwendung der genannten Vorschrift gegeben. Damit sind jedoch nur förmliche Abstimmungen, in Hessen etwa zur Änderung der Verfassung sowie Bürger- und Volksbegehren, wie sie nach der Hessischen Verfassung oder der Hessischen Gemeindeordnung auf Ortsebene zugelassen sind, gemeint. Eine Verwendung, die über die genannten staatsrechtlichen oder kommunalrechtlichen Abstimmungen hinaus geht, ist danach nicht zugelassen. Da eine von einer Partei veranstaltete Umfrage den Kriterien nicht genügt und Parteien dem gesellschaftlich-politischen Bereich zuzurechnen sind, vertritt der Hessische Datenschutzbeauftragte die Auffassung, dass eine Verwendung von Meldedaten durch die CDU mit Hessischem Melderecht nicht vereinbar wäre.
Anschriften und Lebensdaten aus dem Bereich der Sozialversicherungsträger sind durch das besondere Sozialgeheimnis des Sozialgesetzbuchs I geschützt. Zum Kreis möglicher Empfänger verfügbarer Sozialdaten gehören die politischen Parteien unter keinem
Gesichtspunkt.
Dass gegen das besonders geschützte Sozialgeheimnis verstoßen würde, kann von niemandem unterstellt werden. Es sind nicht einmal Andeutungen für Verstöße bekannt geworden. Es liegen bislang auch keine Erkenntnisse vor, dass gegen die melderechtlichen Vorschriften verstoßen worden ist. Gegenteilige Beschwerden sind bei der Behörde des Hessischen Datenschutzbeauftragten bislang nicht eingegangen.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2007

 
 

Rede des Hessischen Datenschutzbeauftragten Prof. Dr. Hamm zur Wahl seines Nachfolgers (29.06.1999)


Zu den wichtigsten Aufgabe eines Parlaments gehört es, durch Gesetze und durch Kontrolle der Regierung den Grundrechten der Menschen Geltung zu verschaffen. Das Grundrecht auf freie Entfaltung und Selbstbestimmung der Persönlichkeit  hat in unserer Verfassung einen so hohen Rang, dass der Hessische Landtag im Jahre 1970 gemeint hat, den Gefährdungen dieses Grundrechts durch die moderne Datenverarbeitung mit einem eigenen Gesetz und einer neuen Institution begegnen zu sollen: einem Amtsträger, der nicht zur Legislative, nicht zur Exekutive und nicht zur Judikative gehört und nicht einmal Beamter zu sein braucht.

Der Einzug der informationshungrigen EDV in die Verwaltung hatte damals einen Stand erreicht, der befürchten ließ, daß die Computer immer mündiger und die Bürger immer unmündiger werden. Die Vorsorge gegen eine solche Entwicklung wollte man aus guten Gründen nicht der Landesregierung und der ihr nachgeordneten Verwaltung überlassen. Da das Parlament diese Arbeit aber auch nicht selbst leisten kann, haben die Abgeordneten sich die Pflicht auferlegt, einen  Datenschutzbeauftragten zu wählen, der völlig unabhängig ist und dessen Auftrag lautet, die Interessen der Bürgerinnen und Bürger gegenüber allen datenverarbeitenden öffentlichen Stellen zu vertreten - also so etwas wie ein öffentlich bestellter Anwalt.

In den 29 Jahren seit dem Inkrafttreten des ersten Datenschutzgesetzes hat es in Hessen vier solche Landesbeauftragte gegeben. Im Durchschnitt waren wir sieben Jahre und drei Monate im Amt. Meine Amtszeit von 3 Jahren und einem Monat hat diesen Durchschnittswert so nach unten gedrückt wie die 16-jährige Amtszeit meines Vorvorgängers Simitis ihn erhöht hat. Im Interesse meines Nachfolgers mache ich nicht den heiklen Versuch, diesen Unterschied mit der gewagten Parallele zu erklären, dass heute ja auch die Computer sehr viel schneller veralten als zur Zeit von Herrn Simitis.

Ob ich in der relativ kurzen Amtszeit meinen Auftrag so ausgeführt habe, wie mein Auftraggeber - der hessische Landtag - ihn verstanden wissen wollte, weiß ich nicht. Überaus freundliche Worte von Mitgliedern der früheren und der jetzigen Landesregierung, von Mitgliedern des letzten und des jetzigen Landesparlaments lassen mich hoffen, dass man einigermaßen mit meiner Arbeit zufrieden war. Wenn das so wäre, dann gilt das Lob nicht nur mir. Denn ohne die sachkundige und engagierte Unterstützung durch die Mitarbeiterinnen und Mitarbeiter meiner Dienststelle, wäre ich - zumal als "Rechtsanwalt im Nebenamt" - nicht in der Lage gewesen, das zu leisten, was in drei umfangreichen Tätigkeitsberichten dokumentiert ist. Die gute Zusammenarbeit, für die ich mich auch an dieser Stelle bedanke, beruhte auf einem Grundkonsens über die Möglichkeiten und Grenzen unseres Handelns. Dass Datenschutz die Verwaltung nicht in ihrer jeweiligen Aufgabenerfüllung behindern darf, wohl aber in unnötiger und ungesetzlicher Verarbeitung personaler Informationen, brauchte ich den Bediensteten nicht zu sagen. Dass Datenschutz walten muss und nicht selbst verwaltet werden darf, war eine Art Leitmotiv in den regelmäßigen wöchentlichen Besprechung mit allen Mitarbeiterinnen und Mitarbeitern aber auch in den Einzelgesprächen mit Referenten und Sachbearbeitern. Und ich bin sicher, dass diese Grundeinstellung auch in den von uns kontrollierten Ämtern empfunden wurde.

Anders wäre es nicht zu erklären, dass die dienstlichen Begegnungen zwischen der hessischen Staatsverwaltung und dem Büro des hessischen Datenschutzbeauftragten weitgehend konfliktfrei, konstruktiv und kooperativ verlaufen sind und dass dabei doch meist am Ende die datenschutzfreundlichste aller praktikablen Lösungen erarbeitet wurde. Dies wiederum setzt voraus und beruht darauf, dass in den Ressorts der hessischen Landesregierung die oberste Landesbehörde hessischer Datenschutzbeauftragter trotz oder vielleicht sogar gerade wegen ihrer gleichsam schwebenden Existenz im ministerialfreien Raum stets als Gesprächspartner gesucht, akzeptiert und nach meinem Eindruck auch respektiert wird. Dafür gebührt Ihnen, meine Damen und Herren Mitglieder der hessischen Landesregierung, aber auch Ihren Amtsvorgängerinnen und Amtsvorgängern mein wie stets überparteilicher aber umso herzlicherer Dank.

Ihnen, Herr Präsident Möller, und Ihnen meine Damen und Herren Abgeordneten für die Art und Weise, in der Sie dem Thema Datenschutz Ihr Interesse und Ihre parlamentarische Aufmerksamkeit gewidmet haben.

Nach § 31 des Hessischen Datenschutzgesetzes ist dem Hessischen Datenschutzbeauftragten vom Präsidenten des Hessischen Landtages die zur Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen. In Zeiten, in denen die Datenströme immer schneller und breiter, die Geldströme aber kaum noch fließen, ist die Erfüllung dieser Pflicht keine leichte Aufgabe. Ich habe gelernt, dass überall dort, wo das Recht der öffentlichen Haushalte gilt, die "erforderlichen Mitteln" sich zu den "Mitteln für das Erforderliche" irgendwie anders verhalten als in der freien Wirtschaft und in einem Anwaltsbüro. In Gesprächen mit Ihnen, verehrter Herr Präsident Möller, musste ich manchmal einsehen, dass für das eigentlich benötigte zusätzliche Personal das Geld fehlt. Sie haben aber auch Verständnis dafür aufgebracht, wenn ich wenigstens einen Personalabbau verhindert sehen wollte, weil der Grundrechtsschutz keine Abstriche verträgt und durchaus bei genauerem Hinsehen sogar ein ökonomischer Zusammenhang zwischen unseren Erfolgen bei der Herstellung von "Datensparsamkeit" und den Geboten der Haushaltssparsamkeit wahrzunehmen ist. Dieser Zusammenhang wird manchen überraschen, der sich daran gewöhnt hat, dass Computer immer billiger werden und immer mehr können. Aber eine preiswerte EDV-Anlagen kann wertlos werden, wenn sich nachträglich herausstellt, dass sie eine verschwenderische und damit gesetzwidrige Verarbeitung personenbezogener Daten begünstigt. Können schon im Zuge der Vorabkontrolle Mitarbeiter des Datenschutzbeauftragten daran mitwirken, dass solche Fehlinvestitionen unterbleiben, nützt das dem Datenschutz und dem Fiskus gleichermaßen.

Ihnen, meine Damen und Herren Abgeordneten, danke ich für die stets sachliche Zusammenarbeit bei der parlamentarischen Bearbeitung unserer Tätigkeitsberichte im zuständigen Ausschuss und im Plenum, insbesondere aber auch dafür, dass wir es in der letzten Legislaturperiode geschafft haben, als erstes und einziges Bundesland die Europäische Datenschutzrichtlinie fristgerecht umzusetzen und ein neues, ihr entsprechendes Hessisches Datenschutzgesetz zu verabschieden.

Den mir erteilten Auftrag gebe ich Ihnen hiermit - dem Gesetz folgend - zurück und bitte Sie, ihn in die Hände eines Nachfolgers zu legen, der die Arbeit von Herrn Birkelbach, Herrn Simitis, Herrn Hassemer und mir im Interesse der Menschen fortführt, die Ihnen das Mandat gegeben haben, uns für die Dauer einer Wahlperiode zu wählen. Aber auch im Interesse derjenigen, die in Hessen zwar in Computern und Akten, nicht aber in den Wählerverzeichnissen erfasst sind.

Meinem Nachfolger wünsche ich, dass ihm die neue Aufgabe so viel Freude macht wie sie mir gemacht hat und dass er nach vier Jahren die Lust und Zeit hat, sich für eine Wiederwahl zur Verfügung zu stellen. An der Lust hätte es auch bei mir nicht gefehlt.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.08.2007

 
 

Presseerklärung zum Abschluss der 56. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 5. und 6. Oktober 1998 in Wiesbaden


Zum zweiten Mal in diesem Jahr haben sich die Datenschutzbeauftragten des Bundes und der Länder in Wiesbaden zu ihrer Konferenz getroffen. Zum Abschluss stellte der Hessische Datenschutzbeauftragte, Professor Dr. Rainer Hamm, der in diesem Jahr den Vorsitz der Konferenz hat, die Ergebnisse der Tagung der Presse vor. 
Die Tagesordnung enthielt ein breites Spektrum von Themen, wie etwa die Sicherstellung der unabhängigen Kontrolle von EUROPOL, die Prüfungskompetenzen der Datenschutzbeauftragten bei der Justiz, die Weitergabe von Meldedaten an politische Parteien und Adressbuchverlage und die Notwendigkeit der grundlegenden Reform der Datenschutzgesetzgebung durch Schaffung eines Informationsgesetzbuches. 
Herauszuheben sind insbesondere die folgenden Themen:

  • EUROPOL
Das Europäische Polizeiamt EUROPOL hat am 1.10.1998 nach einer vierjährigen vorläufigen Aufbauphase seine Tätigkeit auf der Grundlage des EUROPOL-Übereinkommens aufgenommen. EUROPOL kann nunmehr selbst Daten über Personen in eigenen Informations- und Analysedateien speichern, auswerten und an andere Stellen weitergeben. Eine wesentliche Voraussetzung für die Arbeitsaufnahme von EUROPOL ist mit der Einsetzung der Gemeinsamen Kontrollinstanz geschaffen worden. Sie überprüft, ob durch die Verarbeitung von Daten bei EUROPOL die Rechte von Personen verletzt werden. Ihr Beschwerdeausschuss entscheidet verbindlich über Beschwerden der Betroffenen im Zusammenhang mit der Auskunftserteilung, der Überprüfung gespeicherter Daten sowie deren Berichtigung und Löschung. 
Die deutschen Mitglieder in der Gemeinsamen Kontrollinstanz, der Bundesbeauftragte für den Datenschutz und der Landesbeauftragte von Sachsen-Anhalt, sowie die Bundesregierung haben sich dafür eingesetzt, dass die Mitglieder weitgehend unabhängig sind und ihr Amt unparteilich wahrnehmen. Wie diese Unabhängigkeit im Detail auszusehen hat, ist jedoch derzeit umstritten. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder unterstützt deshalb die deutsche Position bei den Beratungen zur Geschäftsordnung der Gemeinsamen Kontrollinstanz für EUROPOL in der Forderung nach der notwendigen Unabhängigkeit ihrer Mitglieder. Eine Abberufung von Mitgliedern darf nach Auffassung der Konferenz nur aufgrund einer generellen nationalen Rechtsvorschrift möglich sein, die diese Unabhängigkeit wahrt.
  • Fehlende bereichsspezifische Regelungen in der Justiz
Derzeit werden in allen Bereichen der Justiz – bei Staatsanwaltschaften, Gerichten und Gerichtsvollziehern – im Zuge von Modernisierungsvorhaben umfassende Systeme der automatisierten Datenverarbeitung eingeführt mit der Folge,
dass sensible personenbezogene Daten auch hier in viel stärkerem Maße verfügbar werden als bisher. Sogar die Beauftragung Privater mit der Verarbeitung sensibler Justizdaten wird erwogen. Grundlage der Tätigkeit der Justiz sind die zum größten Teil sehr alten Regelungen der Verfahrensordnungen. 
Ausgerechnet die Justiz stützt sich 15 Jahre nach dem Volkszählungsurteil immer noch auf den Übergangsbonus. Hier ist eine Novellierung dringend erforderlich, da Entscheidungen des Gesetzgebers und nicht technische Machbarkeit Maßstab für die Datenverarbeitung in der Justiz sein muss. 
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordern deshalb erneut eindringlich bereichsspezifische Datenschutzregelungen für die Justiz.
  • Entwicklungen im Sicherheitsbereich
Die Konferenz der Datenschutzbeauftragten stellt fest, dass die Sicherheitsbehörden in den vergangenen Jahren umfangreiche zusätzliche Eingriffsbefugnisse erhalten haben. Demgegenüber fehlen in weiten Teilen Erkenntnisse über die Wirksamkeit und Grundrechtsverträglichkeit der Anwendung dieser Instrumente, wie z.B. bei der Schleppnetzfahndung und der Ausweitung der Telefonüberwachung.
Die Datenschutzbeauftragten des Bundes und der Länder erwarten vom Bundesgesetzgeber und der Bundesregierung,
dass die Erforderlichkeit und die Wirksamkeit aller Eingriffsbefugnisse anhand objektiver Kriterien überprüft werden (Evaluierung).
  • Meldedatenweitergabe
Die Konferenz hat sich umfassend mit der Problematik der Auskünfte aus dem Melderegister befasst. Das Melderechtsrahmengesetz und die Meldegesetze der Länder erlauben den Meldebehörden, Daten aus dem Melderegister z.B. an Adressbuchverlage oder auch an politische Parteien zum Zwecke der Wahlwerbung zu übermitteln. Die Hessischen Meldebehörden können aufgrund dieser Regelung derzeit den zur Landtagswahl zugelassenen Parteien Meldedaten übermitteln. Bei den Datenschutzbeauftragten des Bundes und der Länder gehen viele Beschwerden ein, in denen deutlicher Unmut über veröffentlichte Daten in Adressbüchern und erhaltene Werbesendungen geäußert wird. Vor Wahlen nehmen die Beschwerden noch zu. Überrascht stellen Betroffene fest, daß sie persönlich adressierte Wahlwerbung der Parteien bekommen. Die Genannten erhalten auf Anforderung Daten aus den kommunalen Melderegistern. Den meisten Bürgerinnen und Bürgern ist nicht bekannt, dass sie der Weitergabe ihrer Daten gegenüber den Meldebehörden widersprechen können. Dieser Umgang mit Meldedaten ist nach Auffassung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder weder transparent noch angemessen. Sie tritt deshalb dafür ein, die Rechte der Bürgerinnen und Bürgern zu verbessern. Dass den Betroffenen ein Widerspruchsrecht zusteht, wissen sie häufig nicht. Die Datenschutzbeauftragten bevorzugen deshalb eine Einwilligungslösung. Sie würde das Grundrecht auf informationelle Selbstbestimmung konsequent umsetzen – erst fragen, dann handeln. Nach der Einwilligungslösung ist eine Erklärung informierter Bürgerinnen und Bürger gegenüber dem Meldeamt nötig., ob sie mit den Datenweitergaben an die genannten Empfänger einverstanden sind oder nicht. Die Konferenz empfiehlt deshalb den gesetzgebenden Körperschaften, künftig die Einwilligungslösung vorzusehen.
  • Neuordnung des Datenschutzrechts - Beschlüsse des 62. Deutschen Juristentages
    Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt und unterstützt grundsätzlich die vom des 62. Deutschen Juristentages im September 1998 in Bremen gefassten Beschlüsse zum Umgang mit Informationen einschließlich personenbezogener Daten. Von den gesetzgebenden Körperschaften erhofft sich die Konferenz die Berücksichtigung dieser Beschlüsse bei der nunmehr dringend erforderlichen Umsetzung der EG-Datenschutzrichtlinie in Bundes- und Landesrecht. 
    Insbesondere betont die Konferenz folgende Punkte:
    • Die materiellen Anforderungen des Datenschutzrechts sind angesichts der wachsenden Datenmacht in privater Hand auf hohem Niveau grundsätzlich einheitlich für den öffentlichen wie für den privaten Bereich zu gestalten.
    • Die anlassfreie Aufsicht für die Einhaltung des Datenschutzes im privaten Bereich muss in gleicher Weise unabhängig und weisungsfrei gestaltet werden wie die Datenschutzkontrolle bei öffentlichen Stellen.
    • Die Rechte der Bürgerinnen und Bürger sind zu stärken; als Voraussetzung für die Ausübung des Rechts auf informationelle Selbstbestimmung der Betroffenen sind die Verpflichtung zu ihrer Information, Aufklärung und ihren Wahlmöglichkeiten ohne faktische Zwänge auszuweiten.
    • Ein modernisiertes Datenschutzrecht hat die Grundsätze der Datenvermeidung, des Datenschutzes durch Technik, der Zweckbindung der Daten und ihres Verwendungszusammenhangs in den Mittelpunkt zu stellen.
    • Zur Sicherstellung vertraulicher und unverfälschter elektronischer Kommunikation ist die staatliche Förderung von Verschlüsselungsverfahren geboten, nicht eine Reglementierung der Kryptographie.
  • Verweigerung der Auskunft durch das Bundesamtes für Finanzen auf Anfragen Betroffener über ihre Freistellungsaufträge
Die Konferenz der Datenschutzbeauftragten hat sich auch mit der Wahrung der Informationsrechte der Bürgerinnen und Bürger bei der Finanzverwaltung auseinandergesetzt. Sie betont das Recht der Bürgerinnen und Bürger auf Auskunft über ihre Daten auch gegenüber der Finanzverwaltung. Sie haben daher Anspruch, vom Bundesamt für Finanzen Auskunft über Freistellungsaufträge zu erhalten, die sie ihrer Bank im Zusammenhang mit steuerlichem Abzug von Zinsen erteilt haben. 
Bitten Auftraggeber das Bundesamt um Auskunft über ihre dort gespeicherten Daten, wird sie ihnen gestützt auf einen Erlass des Bundesministeriums der Finanzen verweigert. Trotz förmlicher Beanstandung dieses Verfahrens durch den Bundesbeauftragten hat das Bundesministerium der Finanzen nicht eingelenkt. Für die Betroffenen ergibt sich hierdurch ein unhaltbarer Zustand. Ihnen wird die Auskunft zu Unrecht verweigert.Die Datenschutzbeauftragten der Länder unterstützen deshalb mit Nachdruck die Forderung des Bundesbeauftragten für den Datenschutz gegenüber dem Bundesministerium der Finanzen, seinen
Erlass an das Bundesamt der Finanzen aufzuheben und dieses anzuweisen, dem Auskunftsanspruch der Auftraggeber von Freistellungsaufträgen nachzukommen.
  • Orientierungshilfe Internet
Mit der zunehmenden Internetnutzung durch die öffentliche Verwaltung häufen sich auch die Fragestellungen nach einem datenschutzrechtlich vertretbaren Umgang mit diesem Medium. Der Arbeitskreis Technik und der Arbeitskreis Neue Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben sich dieses Themas angenommen und eine Orientierungshilfe für die Internetnutzung durch die Öffentliche Verwaltung erstellt, die bei allen Datenschutzbeauftragten bezogen werden kann.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.02.2008

 
 

Beschlüsse der Abteilung öffentliches Recht des 62. Deutschen Juristentages (30.09.1998)


Professor Dr. Rainer Hamm zu den Beschlüssen des

62. Deutschen Juristentages in Bremen

 

Der 62. Deutsche Juristentag hat sich in seiner öffentlichrechtlichen Abteilung vom 22. bis 25. September mit der Frage auseinandergesetzt, ob moderne Technologien und die europäische Integration Anlass geben, Notwendigkeit und Grenzen des Schutzes personenbezogener Daten neu zu bestimmen. Dabei bestand Einigkeit, dass die derzeit geltenden gesetzlichen Grundlagen angesichts der rasanten Entwicklung der Informationstechnologien nicht mehr zeitgemäß sind. Im Anschluss auf den Vorschlag des Gutachters Professor Dr. Kloepfer von der Humboldt-Universität in Berlin hat sich der Deutsche Juristentag für die Schaffung eines umfassenden Informationsgesetzbuches ausgesprochen, in dem sowohl der Zugang zu Informationen als auch der Umgang mit Informationen insbesondere im Hinblick auf den Schutz personenbezogener Daten umfassend geregelt werden. Professor Dr. Rainer Hamm hat in einem Referat u. a. für das neue Datenschutzrecht vorgeschlagen:

  • Ein grundsätzlich einheitliches Datenschutzrecht für den öffentlichen und den privaten Bereich;
  • Völlig unabhängige Datenschutzkontrollstellen (weisungsfrei und selbständig) auch für die private Datenverarbeitung und
  • Unbeschränkte Verwendbarkeit kryptographischer Verfahren bei elektronischer Kommunikation.
Allen drei Forderungen hat sich die öffentlichrechtliche Abteilung des Deutschen Juristentages mehrheitlich angeschlossen.
Die Vorträge und Thesen aller Referenten (Prof. Dr. Rainer
Pitschas, Rechtsanwalt Dr. Helmut Redeker und Prof. Dr. Rainer Hamm) sowie der gesamte Wortlaut der Diskussion und der
Beschlussfassung werden im C.H.-Beck-Verlag veröffentlicht. Das Gutachten von Professor Kloepfer ist bereits im Buchhandel erhältlich.

Die Beschlüsse der Abteilung Öffentliches Recht des 62. Deutschen Juristentages Bremen 1998

Thema: Geben moderne Technologien und die europäische Integration Anlass, Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen?

  1. Die Erfordernisse der modernen Informationstechnologien und Informationsdienste sowie die EG-Datenschutzrichtlinie mit ihren vereinheitlichenden Schutzstandards geben Anlass, Datenschutz und Informationsrecht gesetzlich neu zu regeln. Der Inhalt dieser Neuregelung wird maßgeblich durch die informationsfordernden, informationsermöglichenden und informationsbegrenzenden Gehalte des Grundgesetzes bestimmt.
  2. Bei der gebotenen Neuorientierung muss der Datenschutz als konstitutiver Teil einer umfassenden Informationsordnung begriffen werden, für die das - auf den Gedanken der Informationsgerechtigkeit ausgerichtete - Informationsrecht den rechtlichen Rahmen bildet. Geboten ist eine Informationsordnung, die u.a. den Zugang zu Informationen und den Umgang mit Informationen insbesondere im Hinblick auf den Schutz personenbezogener Daten regelt. Vergleichbar schutzbedürftige Informationen juristischer Personen (insbesondere Betriebs- und Geschäftsgeheimnisse) sind einzubeziehen. Das Datenrecht ist als Datenverkehrsordnung auszugestalten.
  3. Das künftige Informationsrecht sollte einheitliche Schutzstandards anstreben. Dies schließt Differenzierungen nach den Grundrechtspositionen der Informationshandelnden (z.B. Medienfreiheit, Wissenschaftsfreiheit, Glaubensfreiheit) bzw. nach spezifischen Sachstrukturen (z.B. Gesundheits- und Sozialrecht, Strafprozessrecht) ein.
  4. Die Reformschritte sind zu einem umfassenden Informationsgesetzbuch zusammenzuführen. Zur Vorbereitung soll unverzüglich eine Kommission eingerichtet werden.
  5. Es empfiehlt sich, ein grundsätzlich einheitliches materielles Datenschutzrecht für den öffentlichen und den privaten Bereich zu schaffen, dessen innere Differenzierungen sich nach den Unterschieden in der Schutzbedürftigkeit unter Beachtung der Selbstbestimmung (Freiwilligkeit) und des Gefahrenpotentials zu richten haben.
  6. Der Verbreitung strafbarer und jugendgefährdender Informationen ist - unter Beachtung des Zensurverbotes - insbesondere durch gesetzlich geregelte technische Vorkehrungen entgegenzuwirken.
  7. Ein Eckpfeiler der Neuregelung sind technischer Selbstschutz und Selbstregulierungen (z.B. Datenschutz-Audit, Codes of conduct). Voraussetzung ist die nachprüfbare Wirksamkeit derartiger Vorkehrungen. Dies setzt die Unabhängigkeit der Kontrollinstanzen, einschließlich der internen Datenschutzbeauftragten, voraus.
  8. Die Verschlüsselung personenbezogener Daten soll erlaubt bleiben, bei besonderen Gefährdungslagen geboten werden. Ein gesetzliches Hinterlegungsgebot ist nicht vorzusehen. Die Fortentwicklung der Informationsgesellschaft verlangt danach, Prinzipien des Datenschutzes und der Sicherheit in der Informationsverarbeitung zum integralen Bestandteil der Produkte, Dienstleistungen und Beratungen zu machen. Elektronischer Handel kann nur sicher funktionieren, wenn die freie Benutzung von kryptographischen Produkten und Dienstleistungen gewährleistet ist Eine Beschränkung des Gebrauchs von Verschlüsselungstechniken ist daher abzulehnen.
  9. Das künftige Informationsrecht soll sich wirkungsorientiert u.a. an folgenden Leitlinien ausrichten: Datenvermeidung und Datensparsamkeit, Zweckbindung der Daten, Systemdatenschutz, klare Verantwortlichkeiten im Datenumgang, Anonymisierung und Pseudonymisierung personenbezogener Daten, Datensicherheit durch technische und organisatorische Vorkehrungen, Folgenausgleich.
  10. Wirksame Kontrolle ist Voraussetzung eines erfolgreichen Datenschutzes. Eine wesentliche Bedeutung kommt hierbei den unabhängigen Datenschutzbeauftragten im öffentlichen und privaten Bereich zu. Die Datenschutzkontrolle durch öffentliche Stellen soll weisungsfrei und verselbständigt durchgeführt werden.
  11. Grenzüberschreitende Informationsflüsse und internationale Vernetzungen machen verstärkte internationale Zusammenarbeit und Regelungen unerlässlich.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2007

 
 

Presseerklärung zur Aushöhlung des Sozialgeheimnisses durch die geplante Änderung des SGB X (03.07.1998)


Die Landesbeauftragten für den Datenschutz der Länder Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Sachsen-Anhalt, und Schleswig-Holstein erklären:


Sozialgeheimnis wird zur Farce

 

Oder: Von Einem der auszog,

Medizinprodukte mit der Aushöhlung des Sozialgeheimnisses zu mixen

Unter dem irreführenden Titel "Änderung des Medizinproduktegesetzes" hat der Deutsche Bundestag am 18.06.1998 das Sozialgeheimnis weiter ausgehöhlt. In Abkehr vom Grundsatz des Schutzes der Sozialdaten
lässt der geänderte § 68 des Zehnten Sozialgesetzbuches weit gefasste Auskünfte an unterschiedlichste Behörden zu.    

Das bedeutet, dass beispielsweise Jugendämter, Arbeitsämter, Gesetzliche Krankenkassen, Berufsgenossenschaften, Versorgungsämter, Sozialämter den Behörden Auskunft über die momentane Anwesenheit oder über zukünftige Vorsprachetermine Ratsuchender ohne die sonst gesetzlich vorgeschriebene richterliche Anordnung geben müssen.

Damit werden die Bediensteten der Leistungsträger zu "Hilfsbeamten" von Strafverfolgungs- und Vollstreckungsbehörden. Das Vertrauensverhältnis von Sozialarbeiterinnen und Sozialarbeitern, Jugendämtern, Krankenkassen, Bafög-Ämtern, Versicherungsanstalten u.ä. zu ihren Klientinnen und Klienten wird gestört. Ratsuchende müssen damit rechnen, dass ihre Besuchstermine weitergegeben werden, z.B. an die Polizei, Staatsanwaltschaften und sogar an Behörden, die Ansprüche über 1000,-- DM durchsetzen wollen.

Diese Aufgabenveränderung der Sozialleistungsträger ist eine grundlegende Durchbrechung des Sozialgeheimnisses. Die gravierenden Verschlechterungen für die Betroffenen werden zudem als Schnellschuss unter dem Deckmantel des Medizinproduktegesetzes und ohne Beteiligung der sachlich betroffenen Ausschüsse für Arbeit und Sozialordnung sowie des Innen- und Rechtsausschusses des Deutschen Bundestages eingeführt.

Die Landesregierungen werden dringend gebeten, die Einschränkung des Sozialdatenschutzes am 10.07.1998 im Bundesrat zu verhindern.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2007

 
 

Der Hessische Datenschutzbeauftragte spricht sich gegen die Einführung der "Schleierfahndung" aus (29.04.1998)


Die Einführung der sogenannten Schleierfahndungbegegnet nach Auffassung des Hessischen Datenschutzbeauftragten, Professor Dr. Rainer Hamm, erheblichen rechtsstaatlichen Bedenken. Schleierfahndung bedeutet, dass alle Bürgerinnen und Bürger jederzeit damit rechnen müssen, in eine Ausweiskontrolle zu geraten, ohne dass die Polizei aufgrund bestimmter Verdachtsmomente tätig wird.

Die Zulassung dieser verdachtsunabhängigen Fahndung ist stets mit einem Eingriff in die Freiheitsrechte der Bürgerinnen und Bürger verbunden, der nicht nur - wie im Falle von Autobahnsperren zu diesem Zweck - zu erheblichen Beschränkungen der Bewegungsfreiheit führen kann, sondern auch das Recht auf informationelle Selbstbestimmung verletzt. Es gehört zu den Prinzipen eines Rechtsstaats,
dass sich seine Bürger, ohne von der Polizei behelligt zu werden, frei bewegen können. Die jederzeitige Kontrollmöglichkeit der Bürgerinnen und Bürger, gegen die nichts weiter vorliegt als
dass sie sich auf bestimmten Verkehrswegen aufhalten, kommt den lückenlosen Überwachungsmethoden von Polizeistaaten sehr nahe.

Allgemeine Personenkontrollstellen sind nur dann zu rechtfertigen, wenn besondere Gefahrenlagen bestehen. Professor Hamm wendet sich nicht gegen die Pläne, für diese Fälle die gesetzlichen Voraussetzungen für Kontrollstellen der Polizei den Erfordernissen einer zeitgemäßen Gefahrenabwehr anzupassen.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2007

 
 

Presseerklärung zur 55. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 19. und 20. März 1998 in Wiesbaden


Professor Dr. Rainer Hamm, der in diesem Jahr den Vorsitz der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat, stellte heute mit Abschluss der Konferenz die Ergebnisse der Tagung in Wiesbaden der Presse vor.

Die Themen der umfangreichen Tagesordnung reichten vom Stand der Novellierung der Datenschutzgesetze des Bundes und der Länder, über die Auswirkungen der Privatisierung öffentlicher Aufgaben auf die Datenschutzkontrolle, das Zeugnisverweigerungsrecht der Datenschutzbeauftragten und die Novellierung des Strafvollzugsgesetzes bis hin zu den datenschutzrechtlichen Fragen bei der Nutzung von Pay-TV und elektronischen Geldbörsen.

Herauszustellen sind insbesondere die folgenden Ergebnisse:

  • Datenschutzprobleme der Geldkarte
    Erneut haben sich die Datenschutzbeauftragten mit den datenschutzrechtlichen Risiken beim Einsatz elektronischer Geldbörsen befasst. Sie konstatieren, dass ihre Forderung nach einem anonymen elektronischen Zahlungsverkehr für Kleinbeträge nicht erfüllt wurde. Dies gilt insbesondere für die Geldkarte des deutschen Kreditwesens, bei der in kartenbezogenen "Schattenkonten" der Evidenzzentralen nicht nur der Kaufbetrag und ein identifizierbarer Händlerschlüssel, sondern auch der Kaufzeitpunkt gespeichert werden. Mit diesen Daten können sämtliche mit der Geldkarte getätigten Kaufvorgänge jahrelang nachvollzogen werden, wenn die Daten mit den persönlichen Kundendaten zusammengeführt werden. Derartige Daten können für eine Menge von Interessenten attraktiv sein, können aus ihnen doch für jeden Kartennutzer exakte Verhaltens- und Kaufprofile erstellt werden.

Über die Führung dieser "Schattenkonten" werden die Kundinnen und Kunden noch nicht einmal informiert. Die Datenschutzbeauftragten weisen deshalb darauf hin, dass die Herausgeber solcher Karten bzw. die Kreditinstitute die Pflicht haben, ihre Kundinnen und Kunden über Art und Umfang der im Hintergrund laufenden Verarbeitungsvorgänge zu informieren.

Aber wenn schon derartige "Schattenkonten" geführt werden, dann müssen die Daten jedenfalls nach
Abschluss der Verrechnung (Clearing) sowohl bei den Evidenzzentralen als auch bei den Händlern gelöscht oder zumindest anonymisiert werden.

Die Datenschutzbeauftragten fordern die Kartenherausgeber und die Kreditwirtschaft eindringlich dazu auf, vorzugsweise kartengestützte Zahlungssysteme ohne personenbezogene Daten - sog. White Cards - anzubieten, deren Anwendung so zu gestalten ist,
dass ein karten- und damit personenbezogenes Clearing nicht erfolgt. Den Gesetzgeber haben die Datenschutzbeauftragten dazu aufgerufen, gesetzlich sicherzustellen,
dass auch in Zukunft die Möglichkeit besteht, im wirtschaftlichen Leben im gleichen Umfang wie bisher bei Bargeldzahlung anonym zu bleiben.

  • Datenschutzregelungen für das digitale Fernsehen

Die Konferenz der Datenschutzbeauftragten hat auch die datenschutzrechtlichen Probleme, die bei der Nutzung des digitalen Fernsehens ("Free TV" und "Pay TV") entstehen, erörtert. Mit der Digitalisierung der Fernseh- und Hörfunkübertragung entsteht die technische Infrastruktur dafür, dass erstmals auch das individuelle Mediennutzungsverhalten registriert werden kann. Die Datenschutzbeauftragten fordern deshalb, dass auch bei der Vermittlung und Abrechnung digitaler Fernsehsendungen eine flächendeckende Registrierung des individuellen Fernsehkonsums vermieden wird. Auch im digitalen Fernsehen
muss die unbeobachtete Nutzung des Mediums ohne Nachteile möglich bleiben. Inzwischen von den Staats- und Senatskanzleien vorgelegte Vorschläge für die Änderung des Rundfunkstaatsvertrags sind nach Ansicht der Datenschutzbeauftragten geeignet, eine datenschutzgerechte Nutzung digitaler Fernsehangebote zu ermöglichen.

Besonders hervorzuheben sind folgende Punkte:

  • Die Gestaltung technischer Einrichtungen muss sich an dem Ziel ausrichten, dass so wenige personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden;
  • die Rundfunkveranstalter müssen die Nutzung und Bezahlung von Rundfunkangeboten anonym oder unter Pseudonym ermöglichen, soweit dies technisch möglich und zumutbar ist;
  • personenbezogene Daten über die Inanspruchnahme einzelner Sendungen dürfen für Abrechnungszwecke nur gespeichert werden, wenn ein Einzelnachweis verlangt wird;
  • wie bereits im Medienstaatsvertrag enthält auch der Entwurf des Rundfunkstaatsvertrags eine Vorschrift zum Datenschutzaudit, d.h. Veranstalter können ihr Datenschutzkonzept und ihre technischen Einrichtungen von unabhängigen Gutachtern prüfen und das Prüfungsergebnis veröffentlichen lassen.

Die technischen Möglichkeiten, diesen datenschutzrechtlichen Vorgaben zu entsprechen, sind gegeben. Davon konnten sich die Datenschutzbeauftragen bereits 1996 überzeugen.

Die Datenschutzbeauftragten bitten deshalb die Ministerpräsidenten der Länder an ihren datenschutzrechtlichen Regelungen des Entwurfs festzuhalten. Damit würden das bisherige Datenschutzniveau für den Fernsehzuschauer im digitalen Zeitalter abgesichert und zugleich die Vorschriften für den Bereich des Rundfunks und der Mediendienste harmonisiert.

Die Konferenz der Datenschutzbeauftragten fordert die Rundfunkveranstalter und Hersteller auf, den Datenschutz bei der Gestaltung von digitalen Angeboten schon jetzt zu berücksichtigen

  • Strafvollzugsgesetz

Zur Diskussion standen auch die Änderungsbegehren des Bundesrats zum Entwurf des Strafvollzugsgesetzes. Der Entwurf der Bundesregierung hatte fast ausschließlich das Ziel, datenschutzrechtliche Regelungen in das Strafvollzugsgesetz aufzunehmen. Die nunmehr vorgelegten Änderungsanträge des Bundesrates zu diesem Entwurf bedeuten aus Sicht des Datenschutzes in einigen wesentlichen Punkten eine Verschlechterung gegenüber dem Entwurf der Bundesregierung. Beispielsweise hat der Bundesrat gefordert, dass Lichtbilder und Personenbeschreibungen der Inhaftierten, die zum Zwecke des Strafvollzugs angefertigt wurden, entgegen dem bisher geltenden Grundsatz, dass diese nach Entlassung des Gefangenen aus der Haft zu vernichten sind, weiter aufbewahrt werden dürfen. Hierbei handelt es sich nach Auffassung der Konferenz um eine unzulässige Datenspeicherung auf Vorrat. Der Vorschlag des Bundesrats, die bisher vorgesehene Offenbarungsbefugnis von Ärzten oder Sozialarbeitern in eine Mitteilungspflicht gegenüber der Anstaltsleitung umzuwandeln, widerspricht nach Auffassung der Datenschutzbeauftragten der Ausgestaltung der besonderen Schweigerechte dieser Berufsgruppen. Die Datenschutzbeauftragten erkennen an, dass sich der Gesetzentwurf bemüht, die Eingriffe in das Recht auf informationelle Selbstbestimmung auf das im Rahmen des Strafvollzugs erforderliche Maß zu beschränken. Allerdings wird dieser Versuch durch das Begehren des Bundesrats nahezu konterkariert, indem die Übermittlung von Daten Inhaftierter zu vollzugsfremden Zwecken beinahe unbegrenzt erlaubt werden soll. In diesen Punkten halten die Datenschutzbeauftragten eine Korrektur für erforderlich; die Konferenz hat deshalb den Vorsitzenden gebeten, ihre Vorstellungen dem Bundesminister der Justiz mitzuteilen.

  • Outsourcing und Privatisierung In der Diskussion über die Auswirkungen der Privatisierung von staatlichen Aufgaben auf die Rechte der Betroffenen und auch die Datenschutzkontrolle heben die Datenschutzbeauftragten hervor,
    dass nur dann Aufgaben auf Private übertragen werden dürfen, wenn von Beginn an Datenschutz und Datensicherheit gewährleistet sind.
    Anlass der Diskussion war die Übertragung der Aufgaben der Zentralen Datenverarbeitungsstelle für das Saarland auf die Gesellschaft debis Systemhaus Saar. Die Konferenz betont: Es gibt staatliche Aufgaben, die überhaupt nicht auf Private übertragen werden dürfen - wie etwa der Polizeibereich. Wenn der Staat aus Kostengründen teilweise sensibelste Daten seiner Bürger nicht selbst, sondern von einem Privaten verarbeiten lassen will, muss er auch dort auf die strikte Beachtung gesetzlicher Schutzvorschriften achten.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.02.2008

 
 

Presseerklärung zu den vorgesehenen Gesetzesänderungen zur Zulassung einer akustischen Wohnraumüberwachung (14.01.1998)


Nachdem sich die Bonner Koalition und die SPD auf eine Änderung des Grundgesetzartikels 13, der den Schutz der Unverletzlichkeit der Wohnung zum Inhalt hat, geeinigt haben, müssen nun noch Bundestag und Bundesrat dieser Absprache zustimmen, wenn sie Gesetz werden soll. Zu dieser vorgesehenen Grundgesetzänderung ("Großer Lauschangriff") sehe ich mich zunächst  in meiner Funktion als Hessischer Datenschutzbeauftragter, aber auch als vorwiegend in Strafsachen tätiger Rechtsanwalt aufgerufen, Stellung zu beziehen und an die Abgeordneten zu appellieren, das Grundrecht auf Unverletzlichkeit der Wohnung nicht leichtfertig auf´s Spiel zu setzen.

  • Als Datenschützer bin ich nicht bereit, mich mit dem Eindringen des Staates in den Kernbereich der Privatheit durch heimliches Belauschen abzufinden. Wenn es überhaupt keinen Raum mehr gibt, in dem eine Person ganz alleine darüber entscheidet, was sie dort tut und mit wem sie was spricht, ist "Selbstbestimmung" nur noch ein hohles Wort. Da dieses Grundrecht aus meiner Sicht in keiner Weise zur Disposition steht, gibt es auch keine Verhandlungsmasse, über die sich ein sinnvoller Kompromiss erzielen ließe.
  • Befremdet bin ich über die Bereitschaft von Parlamentariern, zwar für sich selbst eine unantastbare Tabuzone anzuerkennen, aber das Vertrauensverhältnis zwischen Mandant und Rechtsanwalt durch heimliches Belauschen ihrer Gespräche grundsätzlich zuzulassen. Die mit einer Reihe von "Gummibegriffen" umschriebenen Abwägungsklauseln bedeuten im Ergebnis nicht anderes, als dass kein Mandant mehr sicher ist, unbelauscht sich dem Anwalt anvertrauen zu können. Dasselbe gilt für die Klienten von Ärzten, Psychiatern, Psychologen und Steuerberatern oder die Informanten von Journalisten.
  • Dass die Gespräche von Strafverteidigern mit den von ihnen verteidigten Beschuldigten nicht abgehört werden dürfen, ist nur scheinbar eine Ausnahmeregelung. Die meisten Strafverteidiger sind auch Rechtsanwälte, und die eigentlich problematischen, nämlich die mit einer Beichte vergleichbaren Mitteilungen erfolgen durchaus auch in Situationen, in denen der Mandant noch gar kein Beschuldigter ist oder es noch gar nicht weiß, daß er verdächtig ist, in denen also auch der Strafverteidiger nach außen noch nicht als solcher in Erscheinung treten kann, so daß diejenigen, die über den Lauschangriff zu entscheiden haben, von dem Vorhandensein des Abhörverbots noch gar nichts wissen können. Allein schon die Frage, ob das Anwaltsmandat ein Strafverteidigermandat ist oder nicht, unterliegt der strengen strafbewehrten Schweigepflicht des Anwalts und ist damit ein absolut gegen den Zugriff Außenstehender zu schützendes personenbezogenes Datum.
  • Auch die vorgesehene Verfassungsvorschrift, wonach grundsätzlich eine mit drei Berufsrichtern besetzte Kammer des Landgerichts über die akustische Wohnraumüberwachung zu entscheiden hat, ist nur in der Theorie eine Absicherung gegen bedenkliche Anwendungen und Umgehungen der vorgesehenen "relativen Verwertungsverbote", zumal diese Festlegung nur für den Lauschangriff zur Strafverfolgung und nicht für die Maßnahmen im präventiven Bereich gelten soll. Auch ein noch so verantwortungsbewusstes und qualifiziert besetztes Gericht, wird im Stadium vor der Maßnahme stets auf die Informationen über die Verdachtslage der Strafverfolgungsbehörden angewiesen sein. Das ist in der Praxis die Polizei, bei der Erfolgsdenken verständlicherweise stärker ausgeprägt ist als die Sorge um den Grundrechtsschutz der betroffenen und mitbetroffenen Menschen.
  • Auch bei der nachträglichen Entscheidung des Gerichts, ob die beim Abhören der dem Zeugnisverweigerungsrecht unterliegenden Berufsgruppen gewonnenen Informationen relevant sind, ist das Gericht auf die Darstellung der Polizeibeamten angewiesen. Nicht zuletzt erscheint es schwer vorstellbar, dass dieses Wissen bis zur Entscheidung des Gerichts das weitere Verhalten der Strafverfolgungsbehörden nicht beeinflusst.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 09.08.2007

 
 

Kryptographie im Geschäftsverkehr - die Anforderungen des Datenschutzes (05.11.1997)


Rede des Hessischen Datenschutzbeauftragten, Prof. Dr. Rainer Hamm,

auf der Fachtagung des Hessischen Landtags am 5. November 1997 "Elektronische Geschäftsprozesse in der öffentlichen Verwaltung"

Kryptographie im Geschäftsverkehr - die Anforderungen des Datenschutzes

Wir befinden uns hier in dem Raum, in dem Gesetze gemacht werden. Zum Beispiel das Hessische Datenschutzgesetz - es war weltweit das erste seiner Art - wurde hier im Jahre 1970 beschlossen. In diesem Raum wird auch bis zum Oktober des nächsten Jahres ein neues Hessisches Datenschutzgesetz zu beschließen sein, weil es eine europäische Richtlinie gibt, die allen Mitgliedstaaten diese Frist gesetzt hat, bis zu der die nationalen Datenschutzgesetze den Bestimmungen eben jener Richtlinie anzupassen sind.

Zu diesen Bestimmungen gehört auch Art. 17 Abs. 1 der Richtlinie, in der es heißt:

"Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen
muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang  - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form der unberechtigten Verarbeitung personenbezogener Daten erforderlich sind.

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist."

Mit den "Mitgliedstaaten" sind im Falle der föderativ aufgebauten Staaten wie Deutschland in erster Linie der Bund und erst danach die einzelnen Länder gemeint. Deshalb hatte ich eine Zeit lang sehr viel Sympathie für den Vorschlag einer Fraktion des Hessischen Landtags, die kurz nach meiner Wahl zum Datenschutzbeauftragten meinte, der hessische Gesetzgeber  solle beschließen, dass er erst tätig wird, wenn zuvor das Bundesdatenschutzgesetz an die Richtlinie angepasst sei. Dabei war freilich angenommen worden, der Bundesgesetzgeber werde damit fristgerecht fertig. Das sieht aber zur Zeit überhaupt nicht danach aus. Deshalb muss der in Sachen Datenschutz stets vorbildliche hessische Gesetzgeber die Frist für das HDSG wahren, ohne dass zuvor Bonn seine Hausaufgaben gemacht hat.

Für das neue BDSG gibt es noch nicht einmal einen Regierungsentwurf. Und da bekanntlich in Bonn auch schon der Wahlkampf begonnen hat, der erst kurz vor Fristablauf beendet sein wird, werden wir jetzt ein Jahr Zeugen des bemerkenswerten Vorgangs, dass ein Gesetzgeber selbst geltendes Recht bricht.

Dies verdient Kritik. Lob verdient der auch sonst zur Zeit mit Recht viel gescholtene Bonner Gesetzgeber dagegen für sein Verhalten im Zusammenhang mit dem mir gestellten Thema: "Kryptographie im Geschäftsverkehr - die Anforderungen des Datenschutzes."

Unter Kryptographie versteht man in unserem Zusammenhang zwei verschiedene Formen der Verschlüsselung von Schriftzeichen und Informationen:

  • Digitale Signatur. Mit Ihrer Hilfe wird besser noch als durch die bekanntlich fälschbare eigenhändige Unterschrift unter herkömmliche Briefe sichergestellt, dass elektronisch übermittelte Post von dem Absender stammt, der sie abgesendet und dass seitdem niemand etwas daran geändert hat.
  • Dokumentenverschlüsselung. Hierunter versteht man das Unkenntlichmachen von elektronisch gespeicherten oder übertragenen Informationen mit Hilfe von sog. mathematischen Algorithmen, die der berechtigte Empfänger kennen bzw. in technisch verkörperter Form (Chipkarten) besitzen muss, um die Information "exklusiv" wieder für ihn lesbar zu machen.

Die beiden Formen der Anwendung kryptographischer Verfahren muss man streng auseinanderhalten, weil sie ganz unterschiedlichen Zwecken dienen:

  • Die digitale Signatur erfüllt die Aufgaben, die im irgendwann wohl zu Ende gehenden Zeitalter der guten alten Papierpost durch mehrere Verfahrensschritte gelöst wurden: durch die eigenhändige Unterschrift, die notarielle Beglaubigung, durch den Siegellack und das Siegel.
  • Die Dokumentenverschlüsselung dient dazu, den Inhalt z.B. eines elektronisch über Internet verschickten Briefes für jeden Außenstehenden unlesbar zu machen.

Letzteres ist deshalb notwendig, weil das Internet ein offenes über den ganzen Erdball gespanntes Netz ist, mit unzähligen und unberechenbaren Möglichkeiten, solche Post mitzulesen, abzufangen, abzuspeichern, abzuändern, mit Viren zu infizieren und beliebig an weitere Unbefugte zu verbreiten. - Eine Horrorvorstellung für jeden, der auch nur in Ansätzen verstanden hat, wozu Datenschutz und Datensicherheit nötig sind.

Digitale Signatur und Dokumentenverschlüsselung auseinander zuhalten, ist auch und gerade dann wichtig, wenn sie gleichzeitig am gleichen Objekt angewendet werden, was einen optimalen Datenschutz bewirkt:

  • Die digitale Signatur bedient sich auch ihrerseits der Verschlüsselungstechnik (statt Unterschrift wird eine verschlüsselte Folge von Zeichen übermittelt), und zwar unabhängig davon, ob sie einem verschlüsselten oder einem unverschlüsselten Text "angeheftet" wird.
  • Die Dokumentenverschlüsselung ist andererseits auch ohne digitale Signatur von hohem Wert, weil sie geeignet sein kann, die völlige Datensicherheit auch dann herzustellen, wenn es nur um Datenspeicherung und nicht um Informationsübermittlung geht.

Ich kann auch mein höchstpersönliches Tagebuch, das niemanden außer mir etwas angeht, in meinem häuslichen PC verschlüsselt schreiben und abspeichern. Hätte Thomas Mann schon diese Möglichkeit gehabt, genutzt und den Schlüssel mit ins Grab genommen, hätten seine Tagebücher nicht in den schönen und immer wieder lesenswerten Bänden, die inzwischen selbst zur Weltliteratur gehören, veröffentlicht werden können. Das wäre im Falle dieser "öffentlichen Person" schade.

Anderer Auffassung kann man mit der Hälfte der Senatsmitglieder des Bundesverfassungsgerichts bei den strafrechtlich beschuldigten Menschen sein, die zu hohen Freiheitsstrafen verurteilt wurden, weil sie ihre intimen Aufzeichnungen in Schulhefte oder ledergebundene Bücher im Klartext gemacht hatten. Hätten sie stattdessen ihren Laptop und wirksame Verschlüsselungsverfahren benutzt, hätte die Staatsanwaltschaft bei ihrer Beweisführung so dagestanden wie in den vielen Fällen, in denen die Beschuldigten überhaupt kein Tagebuch geschrieben haben. Der Staat hat aber auch nun einmal wirklich keinen Anspruch darauf, dass seine Bürgerinnen und Bürger über alle ihre Erlebnisse, oder gar ihre Rechtsverletzungen selbst Protokoll führen. Erst recht hat der Staat keinen Anspruch darauf, dass sie alles in einer verständlichen Sprache und mit jederzeit entzifferbaren Schriftzeichen in Tagebüchern aufschreiben.

Nun aber endlich das Lob für den Gesetzgeber:

  • Gut ist, dass er die digitale Signatur bereits geregelt hat und dass er sich zu den Verschlüsselungen von gespeicherten oder über E-Mail verschickten Texten und sonstigen Informationsinhalten bisher ausschweigt.

Letzteres ist aber auch nur deshalb gut, weil von einer gesetzlichen Regelung bisher nur in dem Sinne die Rede war, als ein Verschlüsselungsverbot oder jedenfalls eine Einschränkung der bestehenden und inzwischen auch leicht zugänglichen Verschlüsselungsmöglichkeiten gefordert wurde.
Dass diesem Verlangen mancher Innenpolitiker der Gesetzgeber bisher widerstanden hat, kann als Erfolg der Informatiker gewertet werden, die beharrlich und nachhaltig - u.a. auf unserem 6. Wiesbadener Forum Datenschutz am 19. Juni 1997 in diesem Saal -  nachgewiesen haben, dass die Kryptographie nur dann etwas taugt, wenn sie immer gerade so gut ist, dass sie die Belastungsprobe durch die jeweils besten Entschlüsselungstechniken bestehen kann. Als Selbstschutzmittel verhält sie sich zu ihren Zwecken wie die gängigen Selbstschutzmittel gegen die Gefahr der Ansteckung mit AIDS-Viren und anderer unerwünschter Folgen intensiver sexueller Kommunikation: Wenn diese verbreiteten Utensilien nicht absolut lückenlos und dicht sind, braucht man sie überhaupt nicht erst anzuwenden.

Auch ein kryptographisches Verfahren, das einer perforierenden gesetzlichen Regelung gehorchen müsste, wonach auch für Dritte die Entschlüsselbarkeit sicherzustellen sei, wäre insgesamt nichts mehr wert. Mag das Gesetz dabei als einzig berechtigte Dritte die Polizei und den Verfassungsschutz definieren, so bliebe doch für den Anwender das Wissen um die Entschlüsselbarkeit überhaupt, so dass er entweder doch auf sichere Verschlüsselungstechniken (dann also illegale) zurückgreifen oder das Medium E-Mail meiden müsste. Kriminelle würden vermutlich den ersten Weg vorziehen, weil sie ja ohnehin die Gesetze brechen wollen und es dann darauf auch nicht mehr ankommt. Brave Bürger, die Vertrauliches mitzuteilen haben, und Firmen, die Betriebsspionage fürchten, würden den anderen Weg gehen und das neue Medium meiden oder in Kauf nehmen, dass sie über die Gefahren nichts wissen. Gewonnen wäre nichts. Verloren hätten alle, die den neuen Datenübermittlungstechniken mehr Geschwindigkeit, mehr Sicherheit und überhaupt einen praktischen Nutzen für den privaten und behördlichen Geschäftsverkehr abgewinnen möchten.

Das Lob an den Gesetzgeber für seine insoweit erfreuliche Untätigkeit bezieht sich aber nur auf die Diskussion über das Verlangen nach Beschränkung und Reglementierung in dieser Richtung.

Würde der Gesetzgeber die zitierte Regelung der EG-Richtlinie ernst nehmen, wonach die Mitgliedstaaten vorsehen müssen,
dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden müssen, die gegen jede Form der unberechtigten Verarbeitung personenbezogener Daten erforderlich sind, dann sollte es bis zum Oktober 1998 im Bund und in allen deutschen Ländern ganz andere Gesetze geben, als sie bisher als Kryptogesetze verlangt werden. Das Ziel sollte sein, für den elektronischen Briefverkehr zwischen Behörden aber auch für die innerhalb der Behörde elektronisch gespeicherten Daten mit ausreichend sicheren kryptographischen Verfahren " ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist."

Da die Richtlinie vorschreibt, dass dabei der Stand der Technik zu berücksichtigen ist, und weil die unentschlüsselbare Verschlüsselung dem heutigen Stand der Technik entspricht, müsste ein Kryptogesetz also genau das Gegenteil von dem vorschreiben, was nach Auffassung des Bundesinnenministers in einem solchen Gesetz stehen sollte: Nicht die Entschlüsselbarkeit (etwa im Wege der Schlüsselhinterlegung), sondern die Unentschlüsselbarkeit sollte für die Zwecke des Datenschutzes gesetzlich vorgeschrieben werden.

Gute Arbeit hat der Gesetzgeber auch mit dem am 1. August 1997 in Kraft getretenen Signaturgesetz geleistet. Es gilt für den öffentlichen wie für den privaten Geschäftsverkehr und regelt die Rahmenbedingungen, unter denen die digitale Signatur - wie gesagt - sowohl die Aufgabe einer Art "elektronischer Unterschrift" als auch die Funktion einer "elektronischen Verpackung und Versiegelung" für
E-Mails erfüllen kann. Als gesetzliche digitale Signatur wird das System des privaten und öffentlichen Schlüssels definiert, der durch eine behördlich lizenzierte und überwachte Zertifizierungsstelle verwaltet wird. Dabei ist hier erstmals gesetzlich sogar die Möglichkeit vorgesehen, unter Pseudonym aufzutreten. Der Schlüssel zum Prüfen der Signatur ist öffentlich und über allgemein zugängliche Verzeichnisse in Erfahrung zu bringen. Der Absender signiert die Nachricht, indem eine verschlüsselte Kurzfassung angehängt wird. Diese kann mit Hilfe des geheimen Schlüssels errechnet werden und bildet den Authentikator. Der Empfänger kann mit Hilfe der Zusatzinformationen aus der Signatur den öffentlichen Schlüssel des Absenders feststellen. Mit diesem öffentlichen Schlüssel wird der Authentikator entschlüsselt. Stimmen beide Ergebnisse überein, dann ist das digitale Dokument garantiert unverändert angekommen ( so auch für uns Juristen einigermaßen verständlich Ivo Geis in NJW 1997, 3000).

Was freilich noch aussteht, ist eine gesetzliche Regelung, welche Rechtsfolgen die Verwendung von digitalen Signaturen nach sich zieht. Wie schon gesagt, führt sie dazu, dass die Authentizität einer elektronisch übermittelten Willenserklärung sehr viel sicherer ist als bei einer herkömmlichen und eigenhändig unterschriebenen Urkunde. Aber weder die Verfahrensordnungen (ZPO, VwGO, StPO, VwVfG, FGG usw.) noch etwa das BGB haben bisher daraus die Konsequenz gezogen, die digital signierten Dokumente auch nur der privatschriftlichen Urkunde gleichzustellen. Wo immer also bisher noch zur Gültigkeit von Willenserklärungen wie Angebotsabgaben und -annahmen, Kündigungen, Anfechtungen, Rechtsmitteleinlegungen, aber auch Belehrungen und Zustimmungen die Schriftform vorgeschrieben ist, ist dieses Erfordernis nach der derzeitigen Rechtslage durch die digitale Signatur nicht erfüllt. Hier klafft also - wie es im allerneuesten Heft der NJW so treffend heißt - noch eine empfindliche Rechtslücke, weil die Medienwende in der postindustriellen Informationsgesellschaft eine Diskrepanz zwischen den innovativen technischen Entwicklungen und der an den Informationswegen des 19. Jahrhunderts verhafteten Gesetze aufgerissen hat (Geis NJW 1997, 3000).

Aber das muss den Siegeszug der elektronischen Informationsübermittlung nicht hemmen. Die Vorschriften über Formerfordernisse haben ja auch den Siegeszug des Telefonverkehrs nicht gehindert. Und dass im Privatleben, im wirtschaftlichen Geschäftsverkehr und im Informationsaustausch zwischen Behörden, aber auch zwischen Behörden und Bürgern heute mehr denn je telefoniert wird, kann als Zeichen dafür gewertet werden, dass sich technische Entwicklungen verbunden mit erhöhter Kommunikationsgeschwindigkeit und Bequemlichkeit durch rechtliche Defizite nicht aufhalten lassen.

Umso mehr müssen die subgesetzlichen rechtsgestaltenden Möglichkeiten der vertraglichen Vereinbarung für die Anwendung kryptographischer Verfahren und der Verhaltensregeln ausgeschöpft werden. Auch dafür gibt die EG-Richtlinie eine rechtliche Handhabe. In Art. 27 der Richtlinie wird ein Verfahren vorgesehen, durch das z. B. Berufsverbände internationale Standards - auch mit Drittstaaten vereinbaren, wonach beim Transport schutzwürdiger elektronisch gespeicherter Daten die digitale Signatur zur Pflicht und zur Voraussetzung für eine privat, behördlich und gerichtlich anzuerkennende Beweisqualität gemacht werden kann.

Auf diese Weise kann nicht nur die beschriebene Rechtslücke geschlossen werden. Wir können auch die uns häufig gestellte Frage, ob im Zeitalter des global offenen Internets Datenschutz überhaupt noch möglich ist, dann so beantworten: Mit Kryptographie und digitaler Signatur im Internet macht Datenschutz erst richtig Spaß.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.02.2008