3. Datenschutz im öffentlichen Bereich


zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 25.03.2014

 
 

3.1 Europa

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 25.03.2014

 
 

3.1.1 Geplante EU-Datenschutz-Grundverordnung und EU-Richtlinie für Polizei- und Justizbehörden


Die Entwürfe wurden im Berichtszeitraum in den zuständigen Gremien im Europäischen Parlament und im Rat der Europäischen Union diskutiert. Der Beitrag stellt die wichtigsten Entwicklungen dar.

Im 41. Tätigkeitsbericht, Ziff. 1.2 habe ich auf die Entwürfe für eine „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (Datenschutz-Grundverordnung – KOM[2012]11 endg.; hier abgekürzt: GVE) sowie für eine „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ (KOM[2012]10 endg.; hier abgekürzt: RLE) hingewiesen und einige mir wichtige Fragen aufgeworfen. Diese Entwürfe sollen die aus dem Jahr 1995 stammende „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995, ABl. Nr. L281 vom 23. November 1995 S. 31 - 50) ersetzen. Während die Grundverordnung direkt in den Mitgliedstaaten gilt, muss die Richtlinie erst durch nationale Rechtsakte umgesetzt werden.

Im Berichtszeitraum erreichten meine Mitarbeiterinnen viele Anfragen zum Stand des Reformvorhabens und den zu erwartenden Änderungen in der Rechtspraxis gegenüber der bisherigen Rechtslage.


3.1.1.1
EU-Datenschutz-Grundverordnung

3.1.1.1.1
Die inhaltliche Diskussion seit Veröffentlichung des Berichterstatter-Entwurfs

Am 10. Januar 2013 hat der zuständige Berichterstatter Jan Philipp Albrecht im Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) den Entwurf eines Berichts zu dem Verordnungsvorschlag veröffentlicht (COM[2012]0011 – C7-0025/2012 – 2012/0011[COD]). Der Vorlageentwurf ist datenschutzfreundlicher als der Kommissionsentwurf, insbesondere in folgenden Punkten:

  • Einfluss der Kommission: Die starke Stellung der Kommission soll zurückgedrängt werden. Zum Beispiel hat die Kommission nicht mehr das Recht, Maßnahmen von Aufsichtsbehörden auszusetzen,
  • ausdrückliche Einwilligung: Um Nutzer darüber zu informieren, was mit ihren Daten geschieht, müssen einfache verständliche Informationen (z.B. Icons) verwendet werden. Nur bei ausdrücklicher Einwilligung darf dann eine Datenverarbeitung erfolgen,
  • Profiling: An das Sammeln von Informationen, um ein Nutzerprofil zu erstellen (Profiling), sollen strengere Anforderungen gestellt werden. Durch technische Standards (z.B. Do Not Track) sollen Nutzer über die Privatsphäre-Einstellungen ihres Browsers einer Webseite automatisch signalisieren können, ob sie etwa dem Erstellen von Nutzungsprofilen zustimmen,
  • Betroffenenrechte: Die Rechte der Betroffenen sollen dadurch gestärkt werden, dass Ausnahmetatbestände, die die Rechte verkürzen, reduziert werden. Insbesondere sollen die Auskunftsrechte der Nutzer gegenüber den Anbietern gestärkt werden,
  • datenschutzfreundliches Design: Nicht nur die Datenverarbeiter, sondern auch die Hersteller von IT-Systemen sollen sich künftig an datenschutzfreundliches Design halten müssen,
  • weniger Bürokratie: Ein betrieblicher Datenschutzbeauftragter soll künftig auch unabhängig von der Unternehmensgröße ernannt werden, wenn besonders sensible Daten verarbeitet werden. Andererseits sollen viele der ursprünglich vorgesehenen Vorabgenehmigungen und Audits durch die Datenschutzbehörden entfallen,
  • einheitliche Rechtsdurchsetzung: Der geplante europäische Datenschutz-Ausschuss – der Zusammenschluss der nationalen Datenschutzaufsichtsbehörden – soll gestärkt werden. Für eine einheitliche Auslegung und Durchsetzung des Datenschutzrechts soll er europaweit bindende Entscheidungen treffen können, auch über die Höhe von Bußgeldern.

Zu dem Vorlageentwurf des Berichterstatters gingen im Frühjahr 2013 rund 3000 Änderungsanträge der anderen EU-Abgeordneten ein.

Im Oktober 2013 einigten sich die EU-Parlamentarier auf einen parteiübergreifenden Kompromisstext, der unter anderem Folgendes beinhaltet:

  • Höchststrafe für Verstöße: 100 Millionen Euro oder fünf Prozent des Jahresumsatzes,
  • betriebliche und behördliche Datenschutzbeauftragte:
    Wer Daten verarbeitet, die sensibel sind oder sich auf 5.000 Betroffene pro Jahr beziehen, muss u.a. einen betrieblichen bzw. behördlichen Datenschutzbeauftragten benennen sowie eine Risikoanalyse und eine Folgenabschätzung durchführen,
  • Profiling:
    Jeder hat das Recht, der Profilbildung zu widersprechen,
  • „Recht auf Vergessenwerden“:
    Jeder Bürger hat das Recht, ihn betreffende Daten löschen zu lassen; das weitergehende „Recht auf Vergessen“ hat sich nicht durchgesetzt,
  • „One-Stop-Shop“-Ansatz: Bürger können Beschwerden über private Unternehmen unabhängig vom Ort des Sitzes des Unternehmens an die Datenschutzbehörde in ihrem Mitgliedstaat richten. Für ein Unternehmen, das in mehreren Mitgliedstaaten Niederlassungen hat, ist zunächst die Datenschutzaufsichtsbehörde des Mitgliedstaats zuständig, in dem das Unternehmen seine Hauptniederlassung hat.
  • Übermittlungen an (Sicherheits-)Behörden in Drittstaaten:
    Telekommunikations- und Internetkonzerne dürfen Daten von EU-Bürgern nur aufgrund eindeutiger Rechtsgrundlage (z.B. EU-Verordnungen, Verträge, Rechtshilfeabkommen) an Behörden in Drittstaaten übermitteln.
    Wird ein Unternehmen von einem Drittstaat ersucht, Daten offenzulegen, die in der EU verarbeitet wurden, so hat das Unternehmen vor der Übermittlung die Zustimmung der nationalen Aufsichtsbehörde einzuholen und die betroffene Person über den Datentransfer zu informieren.
    Die Verschärfung der Übermittlungsregelungen an Behörden in Drittstaaten ist eine Folge der „Überwachungsaffäre“ des Jahres 2013, d.h. der Überwachung der weltweiten Kommunikation durch Geheimdienste.

Zeitgleich wurde der GVE in der Arbeitsgruppe „Informationsaustausch und Datenschutz“ (DAPIX) des Rates der EU, die für den Datenschutz verantwortlich zeichnet, diskutiert. Die Diskussionen in den Gremien wurden von intensiven Lobby-Aktivitäten begleitet, insbesondere aus den USA.


3.1.1.1.2
Zeitlicher Rahmen

Auf der Grundlage des Kompromisstextes sollte der Trilog mit dem Europäischen Rat und der Kommission beginnen. Der Zeitplan ist jedoch bereits nachhaltig in Verzug gekommen. Der Rat ließ anlässlich seiner Sitzung am 24./25. Oktober 2013 erkennen, dass er das Projekt bis 2015 verschieben möchte (Übermittlungsvermerk vom 25. Oktober 2013 [EUCO 169/13]). Um noch in dieser Legislaturperiode des Parlaments verabschiedet werden zu können, müsste eine Einigung zwischen Kommission, Parlament und Rat bis zum Frühjahr 2014 erfolgen. Allerdings gibt es auf europäischer Ebene nicht das Prinzip der Diskontinuität, das heißt der Entwurf könnte, wenn es nicht mehr zu einer Einigung kommt, in einem neu zusammengesetzten Parlament weiter verhandelt werden. Dies hätte jedoch eine deutliche Verzögerung zur Folge: Die konstituierende Sitzung des neuen Parlaments findet am 1. Juli 2014 statt, und die neue Kommission wird erst am 1. November 2014 die Tätigkeit aufnehmen. Dann wäre sogar das Inkrafttreten der Verordnung im Jahr 2015 ein ehrgeiziges Ziel.


3.1.1.2
EU-Richtlinie für Datenschutz bei Polizei- und Justizbehörden

3.1.1.2.1
Inhaltliche Diskussion seit Veröffentlichung des Berichterstatter-Entwurfs

Der für den RLE zuständige Berichterstatter Dimitrios Droutsas hat gleichfalls im Januar 2013 einen Entwurf vorgestellt (COM[2012]0010 – C7-0024/2012 – 2012/0010[COD]). Aus datenschutzrechtlicher Sicht zu kritisieren war vor allem das gegenüber dem GVE niedrigere Datenschutzniveau des RLE. Während im GVE die Rechte des Bürgers – Recht auf Information, auf Datenzugang und auf Richtigstellung oder Löschung – recht weit gefasst sind, werden diese Rechte beim RLE stark eingeschränkt. Diesen und weiteren Punkten trägt der Entwurf von Droutsas Rechnung. Insbesondere versucht er, das Schutzniveau an das des GVE anzugleichen.

Die Artikel 29-Datenschutzgruppe hat im Februar 2013 auf europäischer Ebene zu dem RLE und dem Berichterstatterentwurf eine Stellungnahme verfasst (Stellungnahme 01/2013 (00379/13/DE) vom 26. Februar 2013). In dieser Stellungnahme werden vier wichtige Aspekte angesprochen:

  • Hinsichtlich der Daten unverdächtiger Personen sollte der RLE sicherstellen, dass solche Daten nur verarbeitet werden dürfen, wenn bestimmte Voraussetzungen erfüllt sind und ein zusätzlicher Schutz bei der Verarbeitung dieser Daten geschaffen wird.
  • Rechte von Personen, die von der Datenverarbeitung betroffen sind (z.B. Recht auf Information, Berichtigung oder Löschung), sind im RLE stark eingeschränkt. So kann zum Beispiel das Recht des Bürgers auf Information darüber, dass personenbezogene Daten erhoben wurden, ohne besondere Anforderungen weitgehend beschnitten werden. Hier sollte stets die Möglichkeit einer Einzelfallentscheidung verbleiben.
  • Da bereits im GVE Datenschutz-Folgeabschätzungen vorgeschrieben werden sollen, um die mit neuen Datenverarbeitungsvorgängen verbundenen Risiken zu bewerten, sind diese Folgeabschätzungen auch in einem datenverarbeitungsintensiven Sektor wie dem Strafverfolgungsbereich vorzusehen.
  • Schließlich muss im RLE auch der Notwendigkeit Rechnung getragen werden, den Aufsichtsbehörden europaweit einheitlich Zugang zu den Räumlichkeiten der Strafverfolgungsstellen zu gewähren. Zudem sollte der RLE sicherstellen, dass die Datenschutzbehörden auf alle Informationen zugreifen dürfen, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Auch zur Richtlinie gab es im Oktober 2013 einen Kompromisstext des Europäischen Parlaments; auch hier hat das Europäische Parlament dem Berichterstatter Droutsas das Mandat erteilt, in den Trilog zu gehen.


3.1.1.2.2
Zeitlicher Rahmen

Es erscheint insgesamt am Ende des Berichtszeitraums nicht sicher, dass eine Einigung über den RLE noch in dieser Legislaturperiode des Europäischen Parlaments erfolgen kann. Europäisches Parlament und Europäische Kommission fordern, dass der GVE inhaltlich konsistent und zeitgleich mit dem RLE verabschiedet wird („Paketlösung“), während die Meinungen im Rat der EU zu dieser Frage auseinandergehen: Offensichtlich wollen einige Mitgliedstaaten sowohl die Grundprinzipien des GVE abschwächen als auch an der „Paketlösung“ rütteln.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 25.03.2014

 
 

3.1.2 Defizite einer EU-Verordnung über elektronische Identifizierung und Vertrauensdienste


Im Anschluss an meinen Beitrag im vorangegangenen Tätigkeitsbericht zur geplanten EU-Verordnung über elektronische Identifizierung und Vertrauensdienste ist als weiterer Kritikpunkt festzustellen, dass der Verordnungsentwurf keinerlei Regelung zur Vertraulichkeit enthält.

In meinem 41. Tätigkeitsbericht (Ziff. 2.1.1) hatte ich bereits verschiedene Schwachpunkte des Vorschlags der Europäischen Kommission für eine Verordnung des europäischen Parlaments und des Rates über die elektronischen Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (COM [2012] 238 final) dargelegt. Darüber hinaus ist festzustellen, dass die für Datenschutz und IT-Sicherheit wichtige Vertraulichkeit dort nicht umgesetzt ist.

Zwar ist mehrfach der für eine Rechtsvorschrift ungewöhnliche Begriff „Vertrauen“ erwähnt: So sollen Signaturen und Siegel „mit einem hohen Maß an Vertrauen“ erstellt werden, und es ist von den „vertrauenden Beteiligten“ (relying parties) die Rede. Statt Signaturen und Siegel „mit einem hohen Maß an Vertrauen“ zu erstellen, sollte besser ein hohes Maß an IT-Sicherheit bei der Erstellung gewährleistet werden. Die „vertrauenden Beteiligten“ (relying parties) sollten über Prüfmöglichkeiten und technisch sichere Verfahren verfügen, damit sie nicht nur auf das mit einem „hohen Maß an Vertrauen“ Erstellte wiederum „vertrauen“ müssen.

Umgekehrt sieht der VO-Entwurf keinen einzigen Vertrauensdienst vor, der die Vertraulichkeit der Kommunikation unterstützt, weder für E-Mail noch für das Internet. Das ist für die Wahrung der Privatsphäre und die Gewährleistung des Datenschutzes ein zentraler Punkt, der europaweit interoperabel geregelt werden sollte. In Zeiten von PRISM, TEMPORA, XKeyScore und anderen von Geheimdiensten in Europa und außerhalb Europas genutzten umfassenden, flächendeckenden Spähprogrammen ist ein laxer Umgang mit personenbezogenen Daten – und mit Geschäftsgeheimnissen – nicht mehr zu verantworten.

Für E-Mail würde die Vertraulichkeit dem verschlossenen Umschlag bei der herkömmlichen Briefpost entsprechen. Die De-Mail entspricht lediglich der offenen Postkarte: während des Transports ist der Postsack zu – die De-Mail verschlüsselt – in den Sortier- und Verteilzentren ist der Sack offen – die De-Mail liegt auf allen Servern im Klartext vor – und die Postkarte bzw. De-Mail kann gelesen werden.

Eine Ende zu Ende Verschlüsselung wäre für E-Mail einfach zu realisieren: Jeder E-Mail-Provider braucht dafür nur zu der jeweiligen E-Mail-Adresse einer Bürgerin oder eines Bürgers den öffentlichen Schlüssel in einer (Zertifikats-)Liste zum Abruf bereitzuhalten. Dann könnte sogar weltweit jeder dieser Person – vorausgesetzt er kennt ihre E-Mail-Adresse – eine verschlüsselte E-Mail quasi „per Knopfdruck“ senden. Auch De-Mail wäre dafür nicht erforderlich: De-Mail bietet für den Versand keine Ende zu Ende Verschlüsselung der Nachricht selbst an, sondern erlaubt – wie E-Mail auch – lediglich den Versand verschlüsselter Dokumente als Anhang. Das ist zum einen keine Transportverschlüsselung und zum anderen im Einzelfall wesentlich aufwendiger.

In jedem Fall ist darauf zu achten, dass die Schlüssel wirklich vertrauenswürdig sind. Es darf also keine Hinterlegung von Schlüsseln (Key Escrow) oder von Schlüsselteilen oder von Parametern zur Schlüsselerzeugung stattfinden. Dazu gehört aber auch, dass alle Schlüssel unter Verwendung von echten Zufallszahlen und ohne Einschränkung des Werteraumes erzeugt werden. Diese Forderung ist deshalb derzeit besonders schwer zu erfüllen, weil die NSA den Standardisierungsprozess des amerikanischen National Institute of Standards and Technology (NIST) gezielt unterwandert hat. Das NIST lässt nun entsprechende Standards erneut öffentlich auf weitere Hintertüren (Backdoors) prüfen. Wobei die dafür gewährte Verlängerung gemessen an der Komplexität des Themas wohl erheblich zu kurz ist.

Wer mit kompromittierten Schlüsseln, Verfahren oder Standards arbeitet, gibt die Vertraulichkeit preis, bevor sie begonnen hat. Vor dem Hintergrund der klaren Ansage von NIST-Chef Gallagher, dass das Institut allerdings auch weiterhin zwingend mit der NSA zusammenarbeiten wird, werden die amerikanischen NIST-Standards wohl in der Zukunft international neu bewertet werden und dann hoffentlich keine so dominierende Rolle mehr spielen.

Für das Internet ist unbedingt zu beachten, dass Perfect Forward Secrecy wirklich aktiv genutzt – und nicht beispielsweise vom Zielserver abgelehnt – wird.
Diese „Folgenlosigkeit“ (englisch perfect forward secrecy; auf deutsch etwa perfekte vorwärts gerichtete Geheimhaltung) bedeutet in der Kryptographie die Eigenschaft von Schlüsselaustauschprotokollen, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel (Session Key) eines Kommunikationskanals geschlossen werden kann.

Dazu ist wichtig, dass der Session Key zwischen den Kommunikationspartnern ausgehandelt wird, ohne dass er zwischen ihnen übertragen oder im Log gespeichert wird. Dies kann beispielsweise mit Hilfe des Diffie-Hellmann-Schlüsselaustauschs geschehen. So kann verhindert werden, dass die mitgeschnittene/abgehörte Kommunikation nachträglich allzu einfach entschlüsselt werden kann.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.1.3 Gemeinsame Kontrollinstanz für das Schengener Informationssystem


Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat dem Hessischen Datenschutzbeauftragten die Wahrung der Interessen der Landesdatenschutzbeauftragten in der Europäischen Kontrollinstanz des Schengener Informationssystems übertragen. Meine Mitarbeiterin hat im Berichtszeitraum an zwei Sitzungen in Brüssel teilgenommen. Der Beitrag stellt die Arbeitsschwerpunkte im Jahr 2013 dar.


3.1.3.1
Schengener Informationssystem der zweiten Generation (SIS II)

3.1.3.1.1
Inbetriebnahme des SIS II

Der zuletzt im 41. Tätigkeitsbericht (Ziff. 3.1.1.1) genannte Zeitpunkt für den immer wieder verschobenen Start des SIS II wurde eingehalten: Am 9. März 2013 ging das SIS II mit großer Verspätung in Betrieb. Erste Planungen für ein neues SIS II gehen auf das Jahr 2002 zurück. Ursprünglich sollte es 2006, dann 2010 an den Start gehen, dazu kam es jedoch nicht, da die notwendigen technischen Tests mehrmals misslangen.

Das SIS II wird auf einem Zentralrechner (C-SIS) in Straßburg betrieben, der durch die IT-Agentur der EU in Tallinn gemanagt wird und an den in jedem Schengen-Mitgliedsland ein System (N-SIS) – zurzeit insgesamt 28 Systeme – angeschlossen ist. Dateneingaben werden vom N-SIS an das C-SIS übermittelt, sodass die Daten bereits Sekunden nach der Eingabe gleichzeitig allen Vertragspartnern zur Verfügung stehen. Die bisher angefallenen Kosten sollen sich auf 160 Millionen EUR belaufen. Ursprünglich waren für die gesamte Entwicklung 20 Millionen EUR geplant.


3.1.3.1.2
Rechtsgrundlagen

Rechtsgrundlagen für das SIS II sind die Verordnung 1987/2006 vom 20. Dezember 2006 (ABl. L381, S. 4), die Verordnung 1986/2006 vom 20. Dezember 2006 (ABl. L381, S. 1) sowie der Beschluss 2007/533 vom 12. Juni 2007 (ABl. L 205, S. 63). Diese Regelungen treten an die Stelle der Art. 92 bis 119 des Schengener Durchführungsübereinkommens (SDÜ). Die unterschiedliche Rechtsnatur der Rechtsakte (Verordnung / Beschluss) ist der Tatsache geschuldet, dass ihr Erlass auf unterschiedliche Kompetenznormen im Primärrecht zu stützen war. Erst mit Inkrafttreten des Vertrags über die Arbeitsweise der Europäischen Union (AEUV i.d.F. der Bekanntmachung vom 9. Mai 2008 , ABl. C115, S. 47) am 1. Dezember 2009 ist die Trennung in verschiedene Säulen weggefallen, sodass jetzt ein einheitlicher Rechtsakt möglich wäre.

Wesentliche Änderungen des materiellen Rechts sind:

  • Es können jetzt auch biometrische Merkmale (Fingerabdrücke u. Lichtbilder) gespeichert werden
  • Verschiedene Ausschreibungen können miteinander verknüpft werden, z.B. eine Personenausschreibung mit einer Fahrzeugausschreibung.

Während mit Hilfe des bisherigen SIS ausschließlich nach bestimmten Personen oder Gegenständen gefahndet werden konnte (hit/no hit), entwickelt sich das neue SIS II durch die zahlreichen Verknüpfungsmöglichkeiten zu einem Recherchesystem.


3.1.3.1.3
Von der GKI zur koordinierten Kontrollgruppe für SIS II

Mit Inbetriebnahme des SIS II am 9. März 2013 ist die Kontrolle von der Gemeinsamen Kontrollinstanz auf den Europäischen Datenschutzbeauftragten (EDPS) übergegangen, der in koordinierter Weise mit den Aufsichtsbehörden der Mitgliedstaaten zusammenzuarbeiten hat.

Art. 62 Beschluss über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II)

(1) Die nationalen Kontrollinstanzen und der Europäische Datenschutzbeauftragte arbeiten im Rahmen ihrer jeweiligen Zuständigkeiten aktiv zusammen und gewährleisten eine koordinierte Überwachung des SIS II.

(2) Im Rahmen ihrer jeweiligen Zuständigkeiten tauschen sie einschlägige Informationen aus, unterstützen sich gegenseitig bei Überprüfungen und Inspektionen, prüfen Schwierigkeiten bei der Auslegung oder Anwendung dieses Beschlusses, gehen Problemen bei der Wahrnehmung der unabhängigen Überwachung oder der Ausübung der Rechte betroffener Personen nach, arbeiten harmonisierte Vorschläge im Hinblick auf gemeinsame Lösungen für etwaige Probleme aus und fördern erforderlichenfalls die Sensibilisierung für die Datenschutzrechte.

(3) Die nationalen Kontrollinstanzen und der Europäische Datenschutzbeauftragte treffen zu diesem Zweck mindestens zweimal jährlich zusammen. Die Kosten und die Ausrichtung dieser Sitzungen gehen zu Lasten des Europäischen Datenschutzbeauftragten. In der ersten Sitzung wird eine Geschäftsordnung angenommen. Weitere Arbeitsverfahren werden je nach Bedarf gemeinsam festgelegt. Ein gemeinsamer Tätigkeitsbericht wird dem Europäischen Parlament, dem Rat, der Kommission und der Verwaltungsbehörde alle zwei Jahre übermittelt.

Die koordinierte Kontrollgruppe trat erstmals am 11. Juni 2013 zusammen. Die deutsche Delegation setzt sich aus einem Vertreter des BfDI und einem Vertreter der Landesdatenschutzbeauftragten zusammen. Auch die Vertretung der LfD in diesem neuen Gremium nimmt meine Mitarbeiterin derzeit wahr. Zur Vorsitzenden der koordinierten Kontrollgruppe wurde die portugiesische Kollegin Clara Guerra und als Vertreter David Cauchi aus Malta gewählt.


3.1.3.2
Gemeinsame Überprüfungen der Ausschreibungen zur Festnahme im Schengener Informationssystem

Die im 41. Tätigkeitsbericht, Ziff. 3.1.1.1.2 erwähnte in allen Schengen-Staaten gemeinsam durchgeführte Überprüfung von Ausschreibungen nach Art. 95 SDÜ (jetzt Art. 29 des Beschlusses 2007/533/JI über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II)) ist beendet und der entsprechende Prüfbericht verabschiedet. Es ging dabei um die Ausschreibung im SIS von Personen, die wegen einer Straftat mit Haftbefehl zur Verfolgung oder zur Vollstreckung gesucht werden. In Deutschland liegen der Ausschreibung im SIS ein durch den Richter ausgestellter Haftbefehl sowie ein von der Staatsanwaltschaft erlassener europäischer Haftbefehl (European Arrest Warrant, EAW) zugrunde.

Die deutsche Delegation hatte im Rahmen der Überprüfung festgestellt, dass vor der Ausschreibung im SIS in Deutschland nicht alle erforderlichen Kontrollen getätigt wurden. So wurde von den deutschen ausschreibenden Behörden nicht – wie in Art. 95 Abs. 2 SDÜ vorgesehen – in allen Fällen geprüft, ob die Festnahme des Betroffenen nach dem Recht der ersuchten Staaten zulässig ist. Man wies dabei darauf hin, dass es z.B. kaum möglich sei, vor der Ausschreibung zu prüfen, ob die der Ausschreibung zugrundeliegende Straftat in allen Schengen-Staaten strafbar sei. Es wurde weiter darauf verwiesen, dass in jedem Fall im Rahmen der Stellung des Antrags auf Auslieferung eine derartige Prüfung erfolge und damit die Interessen des Betroffenen gewahrt seien.

Das Problem hat sich jetzt insoweit entschärft, als nach der nunmehr einschlägigen Vorschrift des SIS II-Beschlusses eine derartige der Ausschreibung vorangehende Prüfung nicht mehr vorgesehen ist. Vieles spricht dafür, dass in Art. 26 des Beschlusses für SIS II diese Pflicht zur Prüfung aus Praktikabilitätsgründen nicht mehr aufgenommen wurde.


3.1.3.3
Probleme bei der Ausschreibung von Kraftfahrzeugen im Schengener Informationssystem

Wenn auch die Ausschreibung von Personen, insbesondere von Drittausländern. den größten Teil der Datenbank ausmacht, so kann im SIS auch nach Sachen gefahndet werden, die zur Sicherstellung oder Beweissicherung im Strafverfahren gesucht werden. Derartige Sachen können insbesondere Kraftfahrzeuge sein, die dem Eigentümer u.a. gestohlen wurden oder die Gegenstand eines Versicherungsbetrugs sind.

Art. 38 Beschluss 2007/533/JI über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II)

Ausschreibungsziele und –bedingungen

(1) Daten in Bezug auf Sachen, die zur Sicherstellung oder Beweissicherung in Strafverfahren gesucht werden, werden in das SIS II eingegeben.

(2) Es werden folgende Kategorien von leicht identifizierbaren Sachen einbezogen:
a) Kraftfahrzeuge


Der ausschreibende Mitgliedstaat ist dabei für die Richtigkeit und Aktualität der Daten verantwortlich (Art. 49).

Probleme treten auf, wenn ein – möglicherweise im Fall des vorausgehenden Versicherungsbetrugs gutgläubiger – Käufer ein von einem anderen Schengen-Staat im SIS ausgeschriebenes Kraftfahrzeug erwirbt. Derartige Fälle sind z.Z. beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) aktenkundig. Auch ein hessischer Bürger, der von der Problematik betroffen ist, hat sich an mich gewandt, um Hilfe bei der Rechtsdurchsetzung zu erhalten.

Die Käufer eines derartigen Kraftfahrzeugs haben regelmäßig folgende Probleme: Sobald der Betroffene das Fahrzeug zulassen möchte, erhält er von der Zulassungsstelle die Auskunft, dass eine SIS-Ausschreibung besteht. Das Fahrzeug wird dann i.d.R. polizeilich sichergestellt (§ 94 Abs. 1 StPO). Die zuständigen Polizeibehörden nehmen mit der ausschreibenden Behörde des anderen Schengenstaats Kontakt auf, um die Gründe für die Ausschreibung zu erfahren. Wenn von dort keine Reaktion erfolgt und der Erwerber mit dem Kauf des Fahrzeugs keinen Straftatbestand (z.B. Hehlerei) erfüllt hat bzw. ihm dies nicht nachgewiesen wird, wird ihm das Fahrzeug in der Regel zurückgegeben. Die SIS-Ausschreibung bleibt jedoch weiter bestehen. Deshalb kann der Erwerber das Fahrzeug nur mit Schwierigkeiten weiterveräußern, da bei jeder erneuten Zulassung die Ausschreibung im SIS erscheint. Auch jeder Grenzübertritt kann für den Erwerber zum Problem werden, da er Gefahr läuft, mit der Ausschreibung im SIS konfrontiert zu werden.

Der SIS II-Beschluss sieht für den Betroffenen sowohl einen Auskunfts- als auch einen Berichtigungs- und Löschungsanspruch vor.

Art. 58 Beschluss 2007/533/JI über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II)

Recht auf Auskunft Berichtigung unrichtiger Daten und Löschung unrechtmäßig gespeicherter Daten

(1) Das Recht jeder Person, über die gemäß diesem Beschluss zu ihrer Person in das SIS II gespeicherten Daten Auskunft zu erhalten, richtet sich nach dem Recht des Mitgliedstaats, in dessen Hoheitsgebiet das Auskunftsrecht beansprucht wird.
...
(5) Jeder hat das Recht, auf seine Person bezogene unrichtige Daten berichtigen oder unrechtmäßig gespeicherte Daten löschen zu lassen.

Die Realisierung dieser Ansprüche scheitert aber in den vorliegenden Fällen häufig schon daran, dass die Rückfragen deutscher Behörden bei der Behörde des Schengen-Staates, die für die Ausschreibung zuständig ist, ergebnislos bleiben.

Auf Wunsch der deutschen Delegation wurde das Thema von der koordinierten Kontrollgruppe in der Oktobersitzung d.J. aufgegriffen. Ein Ergebnis liegt bisher nicht vor.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.1.4 Gemeinsame Kontrollinstanz für EUROPOL


Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat dem Hessischen Datenschutzbeauftragten die Wahrnehmung der Interessen der Landesdatenschutzbeauftragten in der Europäischen Kontrollinstanz für EUROPOL übertragen. Der Beitrag stellt die Arbeitsschwerpunkte der Sitzungen der Kontrollinstanz im Berichtszeitraum dar.


3.1.4.1
EUROPOL als Dienstleister (Serviceprovider) für die Mitgliedstaaten

Neben der klassischen Zielsetzung, eine europäische Polizeibehörde zu sein, die die Bekämpfung von bestimmten schweren Straftaten und Terrorismus durch die zuständigen Behörden der Mitgliedstaaten unterstützt, strebt es EUROPOL an, als reiner Dienstleister (Serviceprovider) für die Mitgliedstaaten zu fungieren. Für diese Entwicklung von EUROPOL hatte sich der Europäische Rat im Stockholmer Programm (ABl. C 115 vom 4. Mai 2010, S. 1) ausgesprochen. Ein Beispiel hierfür ist die geplante Ausweitung der Kommunikation im Rahmen des bestehenden Informationsaustauschnetzwerks [Secure Information Exchange Network Application (SIENA)]. Bisher wurden über SIENA die Informationen zwischen EUROPOL und den Mitgliedstaaten ausgetauscht. Nunmehr kam EUROPOL mit Plänen auf die Gemeinsame Kontrollinstanz (GKI) zu, die beinhalten, dass SIENA als sicheres Netz auch für ganz andere Situationen des Informationsaustauschs zur Verfügung gestellt werden soll. Danach sollen u.a. Informationen zwischen einem Mitgliedstaat und einem Drittstaat, für den EUROPOL gar nicht zuständig ist, über SIENA ausgetauscht werden.

Die GKI hat hierzu eine Stellungnahme verfasst und klargestellt, dass es für diese Dienstleistung keine gesetzliche Grundlage im EUROPOL-Beschluss gibt. Der Zielsetzung von EUROPOL, die national zuständigen Polizeibehörden zu unterstützen, kann nicht entnommen werden, dass darunter auch die von den Aufgaben von EUROPOL losgelöste Bereitstellung eines Informationsaustauschnetzes fällt.


3.1.4.2
Vereinbarungen zwischen EUROPOL und Drittstaaten

EUROPOL kann zu Drittstaaten Kooperationsbeziehungen herstellen und zu diesem Zweck Abkommen mit anderen Staaten über den Austausch operativer oder strategischer Informationen abschließen (Art. 23 EUROPOL-Beschluss). Sofern diese Abkommen personenbezogene Daten betreffen, ist die Stellungnahme der GKI einzuholen. EUROPOL hat bereits eine Reihe dieser Abkommen abgeschlossen. Im Berichtszeitraum ging es um Abkommen mit der Russischen Föderation, Serbien, Albanien, Bosnien, Herzegowina und Montenegro. Das Verfahren läuft regelmäßig folgendermaßen ab: Beabsichtigt EUROPOL die Aufnahme von Vertragsverhandlungen, so muss vorher festgestellt werden, ob der Drittstaat ein angemessenes Datenschutzniveau gewährleistet. In dem von EUROPOL zu erstellenden Bericht werden der Rechtsrahmen und die Verwaltungspraxis im Bereich des Datenschutzes evaluiert. Insbesondere wird auch festgestellt, ob eine unabhängige Aufsichtsbehörde für die Überwachung von Datenschutzangelegenheiten besteht. Die GKI nimmt dann zu diesem Bericht Stellung und kann weitere Informationen anfordern, was in vielen Fällen geschieht. Gibt die GKI „grünes Licht“, kann EUROPOL Vertragsverhandlungen aufnehmen. Der Vertragsentwurf ist dann wiederum der GKI vorzulegen.

Insbesondere im Fall der Russischen Föderation ist die GKI der Auffassung, dass kein ausreichendes Datenschutzniveau besteht. Grundlegende Zweifel bestehen an der Unabhängigkeit der Aufsichtsbehörde sowie daran, dass das russische Datenschutzrecht für alle vorgesehenen Übermittlungssituationen anwendbar ist.


3.1.4.3
Neue Rechtsgrundlage für EUROPOL

Im 41. Tätigkeitsbericht, Ziff. 3.1.2.3, hatte ich berichtet, dass es in der ersten Hälfte des Jahres 2013 eine neue Rechtsgrundlage für EUROPOL geben soll. Die Kommission hat nunmehr am 27. März 2013 einen Entwurf für eine entsprechende Verordnung vorgelegt [Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Agentur der EU für die Zusammenarbeit und die Ausbildung auf dem Gebiet der Strafverfolgung (EUROPOL) und zur Aufhebung der Beschlüsse 2009/371/JI und 2005/681/JI des Rates, COM (2013/173 endg.)].

Die GKI hat im Juni eine auf das Wesentliche beschränkte und im Oktober d.J. eine ausführliche Stellungnahme zu den einzelnen Rechtsvorschriften des Entwurfs abgegeben. Insgesamt ist sie der Auffassung, dass der vorliegende Entwurf ein deutlich schlechteres Datenschutzniveau vorsieht als der bestehende EUROPOL-Beschluss.

Die wesentlichen Punkte sind folgende:

  • Die bestehende Datenverarbeitungsstruktur wird vollständig neu gestaltet. Die bei EUROPOL eingehenden Informationen werden nicht mehr wie bisher in bestimmte Dateistrukturen (Informationssystem, Analysedateien, Index-System) eingegeben, sondern werden alle in einer Datenbank gespeichert. Abgestellt wird nur noch auf den Zweck der Datenverarbeitung: Kreuzproben (cross-matching), strategische oder sonstige Analysen allgemeiner Art sowie operative Analysen in spezifischen Fällen. Unter dem Stichwort größere Flexibilität soll EUROPOL einfacher Zusammenhänge zwischen den vorliegenden Daten erkennen und analysieren können.

    Es soll EUROPOL überlassen werden, die effizienteste IT-Struktur selbst auszuwählen. Diese soll dann nach Maßgabe des „eingebauten Datenschutzes“ (Privacy by Design) entwickelt werden.

    Mit der Wahl dieses Konzepts entfallen auf die jeweilige Verarbeitungssituation abstellende datenschutzrechtliche Vorkehrungen wie das Prinzip der Erforderlichkeit, der Zweckbegrenzung, der bereichsspezifischen Löschungsvorschriften oder der Beschränkung der zu verarbeitenden Datenkategorien. Der Begriff Privacy by Design wird nicht konkretisiert.

    Nach Ansicht der GKI räumen die bisherigen Änderungen des materiellen Rechts (z.B. die Einführung einer Norm, die die Einführung neuer Datensysteme zulässt) und der Praxis EUROPOL schon jetzt eine weitgehende Flexibilität ein.

  • Andererseits sind im Entwurf bestimmte Aufgaben von EUROPOL nicht geregelt, die bereits praktiziert oder die weiter entwickelt werden sollen. Dies trifft für das angestrebte Ziel von EUROPOL zu, als Dienstleister für die Mitgliedstaaten zu fungieren und das Informationsaustauschnetzwerk SIENA (s. Ziff. 3.1.4.1) auszuweiten.

    Es fehlt auch an einer Rechtsgrundlage für die Aufgabe, die EUROPOL im Rahmen des Terrorist Finance Tracking Programme (TFTP), einem Abkommen zwischen der EU und den Vereinigten Staaten (s. 41. Tätigkeitsbericht, Ziff. 3.1.2.2), zugewiesen bekam. EUROPOL hat nach diesem Abkommen die Aufgabe, Ersuchen amerikanischer Behörden um Übermittlung von Zahlungsverkehrsdaten an den Dienstleister SWIFT auf ihre Konformität mit dem TFTP-Abkommen zu überprüfen. Diese Aufgabe ist nicht von den Zielsetzungen für EUROPOL des jetzt vorliegenden Entwurfs gedeckt.

    Nicht geregelt ist weiterhin – anders als im EUROPOL-Beschluss – die Befugnis für EUROPOL, die von den Mitgliedstaaten übersandten Informationen kurzfristig zu speichern, um zu prüfen, ob sie in den Zuständigkeitsbereich von EUROPOL fallen.

  • Der Entwurf sieht vor, dass die datenschutzrechtliche Kontrolle von EUROPOL nicht mehr durch die GKI, sondern vom Europäischen Datenschutzbeauftragten (EDPS) vorgenommen wird. Lediglich nach Bedarf sollen sich die nationalen Datenschutzbehörden und der EDPS treffen.

    Diese Regelung wird von der GKI kritisiert, da es bei den von EUROPOL verarbeiteten Daten zum größten Teil um solche der Mitgliedstaaten geht und deshalb deren Einbeziehung erforderlich scheint. Die GKI spricht sich für ein unabhängiges Kontrollgremium aus, in dem die nationalen Kontrollbehörden und der EDPS gleichwertig vertreten sind. Dieses Gremium könnte an den Datenschutzausschuss, wie er im Entwurf für eine Datenschutzgrundverordnung vorgesehen ist (s. Ziff. 3.1.1), angebunden sein.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.1.5 „Smart Borders“ – Intelligente Grenzen im Europäischen Raum


Im Februar dieses Jahres hat die Europäische Kommission unter dem Stichwort „Smart Borders“ drei Verordnungsvorschläge zur Erfassung von Reisenden vorgestellt. Im Mittelpunkt des Reformpakets steht eine neue Datenbank, in der alle Reisen von Drittstaatsangehörigen in und aus dem Schengenraum erfasst werden sollen mit dem vorrangigen Ziel, die illegale Migration zu bekämpfen. Daneben soll es auch ein Vorzugsprogramm für Vielreisende geben.


3.1.5.1
Intelligente Grenzen – Einreise-/Ausreisesystem und Vorzugsprogramm für Vielreisende

Die Art. 29 Arbeitsgruppe, bestehend aus den europäischen Datenschutzbeauftragten, hat im Juni dieses Jahres eine umfassende Stellungnahme zu dem Vorhaben der Kommission vorgelegt. Vorbereitet wurde dieses Dokument von der Unterarbeitsgruppe „Border, Travel and Law Enforcement“ (BTLE), in der meine Mitarbeiterin als Vertreterin der Landesdatenschutzbehörden mitarbeitet. Die Entwürfe der EU-Kommission beinhalten Verordnungsvorschläge über ein Einreise-/Ausreisesystem zur Erfassung der Einreise- und Ausreisedaten von Drittstaatsangehörigen an den Außengrenzen der EU [KOM(2013) 95 endg.], über ein Registrierungsprogramm für Reisende [KOM(2013) 97 endg.]. und über eine entsprechende Anpassung des Schengener Grenzkodexes [KOM(2013) 96 endg.]. Die Gesamtkonzeption ist erläutert in der Pressemitteilung „“Intelligente Grenzen“: Mehr Mobilität und Sicherheit“ der Europäischen Kommission vom 28. Februar 2013. Die Vorschläge sind Bestandteil der in der Mitteilung zur Migration vom 4. Mai 2011 (IP/11/532 und MEMO/11/273) angekündigten Initiative zur Stärkung der allgemeinen Verwaltung des Schengen-Raums.

Das Einreise- und Ausreisesystem (EES) und das Registrierungsprogramm für Reisende (RTP) sollen die Kontrolle des Personenreiseverkehrs an den EU-Außengrenzen verbessern. Laut der zuständigen EU-Kommissarin Malmström wird durch den Einsatz der neuen Technologien „Bürgerinnen und Bürgern aus Drittländern, die in die EU einreisen wollen, ein reibungsloserer und rascherer Grenzübertritt ermöglicht. Außerdem wird die Modernisierung unserer Systeme für mehr Sicherheit sorgen, da irreguläre Grenzübertritte verhindert und Überschreitungen der zulässigen Aufenthaltsdauer aufgedeckt werden.“

Im Rahmen des Vorzugs- bzw. Registrierungsprogramms für vielreisende Drittstaatsangehörige (z.B. Zeitarbeitskräfte, Wissenschaftler, Studierende) sollen an wichtigen Grenzübergängen automatische, biometriegestützte Grenzkontrollsysteme (Schleusen) eingesetzt werden, um registrierte Reisende schneller abfertigen zu können. Da dieses Vorhaben datenschutzrechtlich weniger kritisch ist, beschäftigt sich der Beitrag im Weiteren mit dem EES.


3.1.5.2
Die Ausgestaltung des Einreise-/Ausreisesystems

Die Kontrolle von Drittstaatsangehörigen an den Außengrenzen der EU erfolgt heute hauptsächlich aufgrund der im Reisedokument enthaltenen Stempel. Mit dem System EES sollen nunmehr Zeitpunkt und Ort der Einreise und Ausreise von Drittstaatsangehörigen erfasst werden. Drittausländer müssen sich außerdem mit allen zehn Fingern bei der Einreise in die EU von der Grenzkontrolle registrieren lassen. Anstelle des heutigen manuellen Verfahrens soll das neue elektronische System die zulässige Dauer eines Kurzaufenthalts automatisch berechnen. Sofern der eingereiste Drittstaatsangehörige bis zum Ablauf der Aufenthaltsdauer nicht ausgereist ist, wird ein Warnhinweis an die nationalen Behörden generiert.

Interessant ist, dass schon jetzt an eine Einbeziehung der Sicherheitsbehörden gedacht wird. So sieht Erwägungsgrund 11 des Verordnungsvorschlags vor, dass für den Fall, dass die Verordnung später den Datenzugang zu Strafverfolgungszwecken erlaubt, eine solche Zugangsmöglichkeit bei der technischen Entwicklung des Systems bereits vorgesehen werden sollte. Ob ein solcher Datenzugang gewährt wird, soll vom Ergebnis einer Evaluierung abhängen, die zwei Jahre nach Inbetriebnahme des EES erfolgen soll. Angesichts der immensen Kosten für das EES (1,1 Mrd. Euro für EES und RTP) ist zu erwarten, dass die Datenbank im Fall ihrer Realisierung auch möglichst umfassend genutzt werden soll.


3.1.5.3
Datenschutzrechtliche Bedenken

Das gesetzgeberische Vorhaben der Europäischen Kommission zur Einführung des EES ist kritisch zu sehen.

Zum einen ist es fraglich, ob es neben dem Schengener Informationssystem, dem Visa-Informationssystem und EURODAC (Datenbank zur Speicherung von Fingerabdrücken) einer weiteren Datenbank auf europäischer Ebene bedarf. Der Europäische Datenschutzbeauftragte weist in einer Stellungnahme darauf hin, dass es bislang noch nicht einmal eine klare politische Linie im Umgang mit Visa-Inhabern gebe, die eingetragene Fristen bewusst überziehen [Opinion of the European Data Protection Supervisor on the Proposals for a Regulation establishing an Entry/Exit System (EES) and a Regulation establishing a Registered Traveller Programme (RTP), 18. Juli 2013]. Daher sei eine weitere Datenbank unverhältnismäßig, da Auslaufdaten von Aufenthaltsgenehmigungen bereits in dem seit 2011 laufenden Visa-Informationssystem aufbewahrt würden.

Zum anderen ist vollkommen unsicher, ob das Hauptziel, die Verhinderung der Überschreitung der zulässigen Aufenthaltsdauer, überhaupt erreicht wird. Drittstaatsangehörige, die ihre zulässige Aufenthaltsdauer überziehen („Overstayer“), werden zwar erfasst, eine Rückführung in den Heimatstaat ist damit aber noch nicht gewährleistet. Das EES kann für sich genommen die Überziehung der zulässigen Aufenthaltsdauer nicht unterbinden, es können allenfalls statistische Aussagen u.a. über „ Overstayer“ getroffen werden. Die Effizienz des EES hängt deshalb wesentlich davon ab, ob und wieweit die nationalen zuständigen Behörden eine Rückführung der betroffenen Drittausländer tatsächlich realisieren. Zudem besteht das Risiko, dass Drittstaatsangehörige unverschuldet als „Overstayer“ erkannt werden, sei es aufgrund unvorhersehbarer Zwischenfälle (z.B. Erkrankung) oder aufgrund technischer Schwierigkeiten.

Problematisch ist auch der bereits heute schon in Aussicht gestellte Zugang für die Strafverfolgungsbehörden. Die Berichterstatterin im LIBE (Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres), Renate Sommer, unterstützte bei einer ersten Diskussion im September 2013 das Vorhaben, das System zur Bekämpfung terroristischer und anderer schwerer Straftaten zu nutzen. Aus datenschutzrechtlicher Sicht ist allerdings nicht ohne Weiteres nachvollziehbar, dass Strafverfolgungsbehörden routinemäßig Zugriff zu einer Verwaltungsdatenbank erhalten sollten, die zu ganz anderen Zwecken, nämlich insbesondere der Aufdeckung von „Overstayern“ eingerichtet wurde.

Die Datenbanken EES und RTP sollen nach dem Willen der Kommission 2017 bzw. 2018 in Betrieb gehen. Es wird sich zeigen, ob die oben genannten Bedenken in den Verhandlungen mit dem Europäischen Parlament und dem Rat Berücksichtigung finden. Wie schwierig die technische Umsetzung solcher Vorhaben sein kann, zeigte sich bereits bei der Einführung des neuen SIS II-Systems, die jahrelang aufgrund technischer Probleme immer wieder verschoben werden musste (vgl. Ziff. 3.1.3.1.1).


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.2 Bund

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.2.1 E-Government-Gesetz des Bundes in Kraft getreten


Der Bundesgesetzgeber hat mit der Verabschiedung des E-Government-Gesetzes die Chancen für einen besseren Datenschutz und mehr Transparenz ungenutzt gelassen.

Am 1. August 2013 ist das Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (E-Government-Gesetz) in Kraft getreten. Der Auftrag für die Erarbeitung eines derartigen Gesetzes stammte aus dem zwischen CDU, CSU und FDP geschlossenen Koalitionsvertrag „Wachstum. Bildung. Zusammenhalt“ der 17. Legislaturperiode. Das Gesetz trägt zur Umsetzung der nationalen E-Government-Strategie bei.

Auch die neue Koalition von CDU, CSU und SPD knüpft in ihrer Koalitionsvereinbarung an diese Strategie an. So ist vereinbart, dass Bürgerinnen und Bürger auf Wunsch die Möglichkeit haben sollen, einen einheitlichen Stammdaten-Account, ein sogenanntes Bürgerkonto zu verwenden, um die Kommunikation mit der Verwaltung zusätzlich zu vereinfachen. Zur Identifizierung soll der neue elektronische Personalausweis genutzt werden.

Ziel des E-Government-Gesetzes ist es, durch den Abbau bundesrechtlicher Hindernisse die elektronische Kommunikation mit der Verwaltung zu erleichtern. Das Gesetz soll dadurch über die föderalen Ebenen hinweg Wirkung entfalten und Bund, Ländern und Kommunen ermöglichen, einfachere, nutzerfreundlichere und effizientere Verwaltungsdienste anzubieten.

Jede Verwaltung ist mit Wirkung zum 1. Juli 2014 verpflichtet, einen elektronischen Zugang zur Verwaltung zu schaffen. Die Bürger können zwar nicht gezwungen werden, elektronisch mit der Verwaltung zu kommunizieren, die Verwaltung selbst muss aber in Zukunft offen sein für diesen Dialogweg.

Die Kommunikation soll auch dadurch erleichtert werden, indem das Schriftformerfordernis neben der qualifizierten elektronischen Signatur durch weitere – als sicher eingestufte – Verfahren ersetzt werden kann. Das erste Verfahren betrifft die Bereitstellung von Formularen durch die Verwaltung im Internet. Hier soll die qualifizierte elektronische Signatur ersetzt werden können, wenn ein Identitätsnachweis nach § 18 PAuswG oder nach § 78 Abs. 5 des AufenthG erfolgt. Beim zweiten Verfahren werden Anträge und Anzeigen mittels De-Mail an die Behörde versandt. Auch soll durch sonstige sichere Verfahren, die durch Rechtsverordnung festgelegt werden sollen, die qualifizierte Elektronische Signatur ebenfalls ersetzt werden können.

§ 3a Abs. 2 VwVfG

Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. Der elektronischen Form genügt ein elektronisches Dokument, das mit einer qualifizierten elektronischen Signatur nach Signaturgesetz versehen ist. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht unmittelbar durch die Behörde ermöglicht, ist nicht zulässig. Die Schriftform kann auch ersetzt werden

1. durch unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird;

2. bei Anträgen oder Anzeigen durch Versendung eines elektronischen Dokuments an die Behörde mit der Versandart nach § 5 Absatz 5 des De-Mail-Gesetzes;

3. bei elektronischen Verwaltungsakten oder sonstigen elektronischen Dokumenten der Behörden durch Versendung einer De-Mail-Nachricht nach § 5 Absatz 5 des De-Mail-Gesetzes, bei der die Bestätigung des akkreditierten Diensteanbieters die erlassende Behörde als Nutzer des De-Mail-Kontos erkennen lässt;

4. durch sonstige sichere Verfahren, die durch Rechtsverordnung der Bundesregierung mit Zustimmung des Bundesrats festgelegt werden, welche den Datenübermittler (Absender der Daten) authentifizieren und die Integrität des elektronisch übermittelten Datensatzes sowie die Barrierefreiheit gewährleisten; der IT-Planungsrat gibt Empfehlungen zu geeigneten Verfahren ab.

In den Fällen des Satzes 4 Nummer 1 muss bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes erfolgen.

Das HMDIS hat mir Gelegenheit zur Stellungnahme zu dem Gesetzentwurf gegeben, die ich gerne wahrgenommen habe. Insbesondere die nachfolgenden Aspekte erschienen mir erörterungsbedürftig.

Sowohl die Formularserver-Lösung als auch die De-Mail-Lösung unterscheiden sich in einem wichtigen Punkt von der qualifizierten elektronischen Signatur (qeS). Bei einer qeS wird ein Dokument signiert. Der Empfänger kann für die Dauer von 30 Jahren prüfen, ob das Dokument unversehrt ist und von wem es signiert wurde. Der Absender kann sicher sein, dass jede nachträgliche Änderung am Dokument zu einer Fehlermeldung führt. Das entspricht weitgehend den Prüfmöglichkeiten bei Papierdokumenten.

Im Fall der Bereitstellung von Formularen und Nutzung des elektronischen Identitätsnachweises durch den Absender kann der Empfänger sicher sein, dass das Formular von der richtigen Person ausgefüllt wurde. Nachdem das Formular ausgefüllt abgelegt wurde, müssen aber die technischen Sicherheitsmaßnahmen des Empfängers Änderungen verhindern und die Urheberschaft dokumentieren. Der Absender muss folglich darauf vertrauen, dass der Empfänger alle erforderlichen Maßnahmen ergriffen hat, um nachträgliche Änderungen zu verhindern.

Im Fall der De-Mail Nutzung gilt, dass der De-Mail-Anbieter die Identität des Absenders prüft, ein angehängtes Dokument auf Schadsoftware prüft und dann signiert. Der Empfänger bekommt die Bestätigung, dass ein Dokument / eine E-Mail eines sicher identifizierten Absenders vorliegt. Hier wäre es technisch möglich, dass der De-Mail Anbieter Änderungen vornimmt. Allerdings ist nach der Übertragung eine Änderung wie bei einer qeS nicht mehr möglich. Ich habe aber Zweifel, dass die Signatur selbst mit einer qeS vergleichbar ist. Mit einer qeS drückt eine Person ihren Willen aus. Um ein Dokument mit einer qeS zu versehen, gibt daher eine Person ihre PIN ein, und daraufhin wird die Signatur erzeugt. Im Fall des De-Mail-Anbieters wird die Signatur aber ohne Zutun einer Person automatisch erzeugt. Es ist daher nur eine technische Signatur, die der Integritätssicherung dient.

Man kann also feststellen, dass drei Verfahren als gleichwertig definiert werden, die durchaus unterschiedliche Qualität haben. Vor diesem Hintergrund hatte ich angeregt, dass die Fälle mit einem Schriftformerfordernis sinnvoll reduziert werden sollen, statt die Anforderungen an eine technische Umsetzung zu verändern. Dort wo ein Schriftformerfordernis nach wie vor bestehen soll, sollte dann auch mit einer qeS signiert werden.

Nicht jedes Formular mit einem Unterschriftenfeld steht für einen Vorgang mit dem Erfordernis einer Schriftform. Dies wird auch in § 13 EGovG festgestellt. Allerdings ist es kaum nachvollziehbar, wenn bei elektronischer Versendung keine Unterschrift verlangt wird, diese aber auf dem Papierformular noch erwartet wird.

§ 13 EGovG

Ist durch Rechtsvorschrift die Verwendung eines bestimmten Formulars vorgeschrieben, das ein Unterschriftsfeld vorsieht, wird allein dadurch nicht die Anordnung der Schriftform bewirkt. Bei einer für die elektronische Versendung an die Behörde bestimmten Fassung des Formulars entfällt das Unterschriftsfeld.


Ich hatte auch angemerkt, dass die Regelung des § 11 EGovG zu gemeinsamen Verfahren sinnvollerweise in das BDSG hätte aufgenommen werden sollen, da es hier explizit um datenschutzrechtliche Fragestellungen geht.

§ 11 Abs. 1 EGovG

Gemeinsame Verfahren sind automatisierte Verfahren, die mehreren verantwortlichen Stellen im Sinne des Bundesdatenschutzgesetzes die Verarbeitung personenbezogener Daten in oder aus einem Datenbestand ermöglichen. Soweit gemeinsame Verfahren auch Abrufe anderer Stellen ermöglichen sollen, gilt insoweit für die Abrufverfahren § 10 Bundesdatenschutzgesetz.


Auch die Vorschrift zur Georeferenzierung in § 14 EGovG habe ich kritisch gesehen.

§ 14 Abs. 1 EGovG

Wird ein elektronisches Register, welches Angaben mit Bezug zu inländischen Grundstücken enthält, neu aufgebaut oder überarbeitet, hat die Behörde in das Register eine bundesweit einheitlich festgelegte direkte Georeferenzierung (Koordinate) zu dem jeweiligen Flurstück, dem Gebäude oder zu einem in einer Rechtsvorschrift definierten Gebiet aufzunehmen, auf welches sich die Angaben beziehen.


Die Datenerhebung ist zu zulässigen Zwecken nicht erforderlich und birgt stattdessen die Gefahr einer unzulässigen Zusammenführung von Daten mittels dieser Referenzierung. Gleichwohl wurde die Vorschrift nicht geändert.

Die ausschließliche Publikation von amtlichen Mitteilungs- und Verkündungsblättern durch eine elektronische Ausgabe, wie sie § 15 EGovG vorsieht, habe ich abgelehnt.

Eine generelle Einführung der Veröffentlichung via Internet bei personenbezogenen Daten ist deshalb problematisch, weil sie weder dem datenschutzrechtlichen Erforderlichkeitsgrundsatz entspricht (die weltweite dauerhafte Veröffentlichung ist nicht erforderlich) noch die Rechte der Betroffenen und deren schutzwürdige Interessen berücksichtigt.

§ 15 Abs. 1 EGovG

Eine durch Rechtsvorschrift des Bundes bestimmte Pflicht zur Publikation in einem amtlichen Mitteilungs- oder Verkündungsblatt des Bundes, eines Landes oder einer Gemeinde kann unbeschadet des Artikels 82 Absatz 1 des Grundgesetzes zusätzlich oder ausschließlich durch eine elektronische Ausgabe erfüllt werden, wenn diese über öffentlich zugängliche Netze angeboten wird.

Ferner ist durch die Änderungen in Artikel 6 und 7 des Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften, dessen Artikel 1 das EGovG ist, festgestellt worden, dass bei der De-Mail die kurzzeitige Entschlüsselung, Prüfung und dann Signatur der Dokumente keine unbefugte Übermittlung bzw. Kenntnisnahme im Sinne des SGB X oder der Abgabenordnung darstellt (Änderung in § 67 Abs. 6 S. 2 Nr. 3 SGB X, § 30 Abs. 7 AO, § 87a Abs. 1 AO). So sinnvoll diese Feststellung sein mag, um die elektronische Verwaltung zu fördern, so wäre es doch besser gewesen, den Bürgern eine Ende-zu-Ende-Verschlüsselung zur Verfügung zu stellen. Nur durch eine Ende-zu-Ende-Verschlüsselung ist sichergestellt, dass eine Kenntnisnahme während der Datenübertragung nicht möglich ist.

Das Hessische Innenministerium hat zwar einige meiner Kritikpunkte geteilt (u.a. die Kritik an der fehlenden Ende-zu-Ende-Verschlüsselung), wertete jedoch den Gesetzentwurf insgesamt als tragfähige Grundlage für die Förderung der elektronischen Verwaltung und hat deswegen den Gesetzentwurf im Bundesrat nicht abgelehnt.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3. Hessen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.1 Querschnitt

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.1.1 Die behördlichen Datenschutzbeauftragten als interne und externe Ansprechpartner


Behördliche Datenschutzbeauftragte sind nicht nur interne Ansprechpartner für Behördenleitung und Mitarbeiter, sondern auch Anlaufstelle für Außenstehende und den Hessischen Datenschutzbeauftragten. Insofern ist es wichtig, dass nach innen und außen transparent gemacht wird, wer behördliche Datenschutzbeauftragte bzw. behördlicher Datenschutzbeauftragter ist.

Zu diesem Thema hatte ich bereits im 39. Tätigkeitsbericht, Ziff. 4.1.1. grundsätzliche Ausführungen gemacht und darauf hingewiesen, dass behördlich bestellte Datenschutzbeauftragte intern und extern namentlich bekannt sein müssen. Um dies zu gewährleisten habe ich gefordert, dass die Behörde dafür Sorge zu tragen hat, dass sowohl die Beschäftigten als auch insbesondere die Telefonzentrale wissen muss, wer die oder der behördliche Datenschutzbeauftragte ist. Darüber hinaus hielt ich eine entsprechende Veröffentlichung auf der Homepage und im Organisationsplan der Behörde für erforderlich.

In einem Beschwerdefall eines Mitarbeiters einer großen Mittelbehörde gegen die personalverwaltende Stelle beabsichtigte ich, zur Beurteilung des Sachverhaltes die Unterstützung der bzw. des behördlichen Datenschutzbeauftragten einzuholen.

Meine Recherche auf der Homepage der Behörde, welche Person diese Funktion ausübt, lief zunächst ins Leere, da dies weder aus dem Organisationsplan hervorging, noch an anderer Stelle auf der Homepage ein Hinweis zu finden war.

Eine mündliche Anfrage über die Telefonzentrale hatte zur Folge, dass die Mitarbeiterin erst im Organisationsdezernat nachfragen musste, wer bestellt ist, um mir dann Auskunft geben zu können.

Ganz im Sinne meiner Ausführungen zu diesem Thema im 39. Tätigkeitsbericht, Ziff. 4.1.1, forderte ich den behördlichen Datenschutzbeauftragten auf, zu veranlassen, dass er namentlich und der Behördenleitung unmittelbar zugeordnet im Organisationsplan – als Stabsstelle – aufgeführt wird.

Dies lehnte die Behörde mit folgenden Argumenten ab:
Der Organisationsplan solle informativ, übersichtlich und als Ausdruck auf einer DIN A4-Seite lesbar sein. Man könne daher nicht alle Sonderfunktionen und Beauftragten einer Behörde im Organisationsplan aufführen. Im Übrigen würde im Organisationsplan beim Dezernat Justiziariat als Zusatz das Wort „Datenschutz“ aufgeführt, dies sei Hinweis genug.

Darüber hinaus hätte der Datenschutzbeauftragte in erster Linie hausinterne Zuständigkeiten und die Mitarbeiter der Behörde seien über Person und Aufgaben des Datenschutzbeauftragten ausreichend durch den Geschäftsverteilungsplan und das Intranet informiert. Außerdem könne dann im Rahmen der Gleichbehandlung jeder andere Beauftragte auch verlangen, im Organisationsplan genannt zu werden, und dies sei aus den genannten Gründen nicht machbar.

Diese Argumente überzeugten mich nicht. Anders als z.B. Personalrat, Frauenbeauftragte, Vertrauensperson der Schwerbehinderten, Arbeitssicherheitsbeauftragter ist der oder die behördliche Datenschutzbeauftragte nicht nur Anlaufstelle für Beschäftigte, sondern auch für Außenstehende. Dies ist Ausfluss des Transparenzgrundsatzes, der wichtige Säule des europäischen Datenschutzrechts ist, wie ich bereits im 39. Tätigkeitsbericht ausführlich dargelegt habe. Zur Transparenz nach außen gehört – ergänzend zu meinen bereits im 39. Tätigkeitsbericht formulierten Forderungen – auch, dass behördliche Datenschutzbeauftragte im Organisationsplan von Behörden namentlich und entsprechend § 5 Abs. 1 Satz 3 HDSG der Behördenleitung unmittelbar zugeordnet – als Stabsstelle – aufzuführen sind.

Erfreulicherweise haben meine Hinweise bei der Behördenleitung schließlich doch noch gefruchtet. Inzwischen ist der behördliche Datenschutzbeauftragte im Organisationsplan der Behörde als Stabsstelle dargestellt und namentlich benannt.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.1.2 Löschen im Dokumentenmanagementsystem der hessischen Landesverwaltung


In der hessischen Landesverwaltung müssen die elektronischen Dokumente aus dem eingesetzten Dokumentenmanagementsystem am Ende der Aufbewahrungsfristen dem Hessischen Staatsarchiv angeboten werden. Von diesem als nicht archivwürdig eingestufte Dokumente müssen gelöscht werden. Dies ist derzeit noch nicht möglich, da die technischen Voraussetzungen hierzu fehlen. Es muss zeitnah Abhilfe geschaffen werden.


3.3.1.2.1
Sachstand des Einsatzes des Dokumentenmanagementsystems

Die Einführung eines Dokumentenmanagementsystems (HeDok) ist eines der Ziele der eGovernment-Strategie des Landes Hessen.

Nach der Auswahl des Systems DOMEA wurde das Ziel bisher in drei abgeschlossenen Teilprojekten umgesetzt: In den Jahren 2003 bis 2005 erfolgte die Umstellung der Poststellen und Registraturen (Phase 1), mit der ich mich ausführlich im 34. Tätigkeitsbericht (Ziff. 8.2) befasst habe. Als weiterer Baustein wurde im Jahr 2006 die Sachbearbeitung im Dokumentenmanagementsystem (Phase 2) eingeführt. Darüber habe ich im 35. Tätigkeitsbericht (Ziff. 8.3) berichtet. Das Projekt eArchiv (Phase 3), das im 39. Tätigkeitsbericht (Ziff. 4.4.1) beschrieben ist, stellte im Jahr 2009 den Abschluss dieses Gesamtprojektes dar. Dabei ging es – entgegen dem Eindruck, den die Bezeichnung weckt, – nicht um die Überführung der Dokumente in das Archiv, sondern um die längerfristige Aufbewahrung in der aktenführenden Stelle.

Nach einer Einführungs- und Erprobungsphase wechseln seit 2010 mehr und mehr oberste Landesbehörden zu einer führenden eAkte in HeDok: in Papierform eingehende Dokumente werden in HeDok überführt und anschließend vernichtet; die Akten sind dort nur noch elektronisch vorhanden.

Ein weiterer Schritt, nämlich Dokumente dem Staatsarchiv elektronisch anbieten oder endgültig löschen zu können, steht noch aus. Hierfür müssen die technischen Voraussetzungen geschaffen werden: die Aussonderungsschnittstelle für HeDok muss programmiert werden.


3.3.1.2.2
Sachstand DIMAG und Aussonderungsschnittstelle für HeDok

Das Hessische Staatsarchiv selbst verwendet als Archivierungssystem DIMAG. Dieses System soll die aus HeDok ausgesonderten eAkten aufnehmen. Dabei handelt es sich um eine Eigenentwicklung des Landesarchivs Baden-Württemberg, die seit Januar 2011 in Hessen eingesetzt wird. Diese Software wird in einer Entwicklungspartnerschaft zwischen den staatlichen Archiven verschiedener Bundesländer (Baden-Württemberg, Hessen und Bayern) gepflegt und weiterentwickelt.

Ziel dieses gemeinsamen Projekts ist es, ein einheitliches Aussonderungsverfahren aus dem eingesetzten Dokumentenmanagementsystem zu definieren und so einerseits einen standardisierten Prozess zu schaffen, andererseits aber natürlich auch Kosten zu sparen. Das gemeinsame Anforderungskonzept wurde bereits im Frühjahr 2011 fertig gestellt. Nach anfänglicher Skepsis beteiligte sich die Herstellerfirma des Dokumentenmanagementsystems sehr engagiert und zielstrebig an diesem Projekt, sodass sie im Juni 2011 ein erstes Umsetzungskonzept vorlegen konnte. Einzig offener Punkt war zu diesem Zeitpunkt noch die Spezifikation der Metadaten-Dateien, die in Absprache und Zusammenarbeit zwischen den Anwendern und der Herstellerfirma bis Mai 2012 abgeschlossen werden konnte.

Seit Ende des Jahres 2012 liegt den Bundesländern, die die Anforderungen an die Aussonderung aus dem eingesetzten Dokumentenmanagementsystem gemeinsam definiert haben, ein Angebot der Herstellerfirma zur Umsetzung vor. Nach Erteilung des Programmierauftrags hätte das Aussonderungsverfahren im folgenden Jahr umgesetzt und in Betrieb genommen werden sollen.


3.3.1.2.3
Rechtslage

Die Hessische Landesverwaltung verarbeitet innerhalb ihres breiten Aufgabenspektrums vielerlei Daten – auch solche, die personenbezogen sind.

Nach dem Hessischen Datenschutzgesetz sind personenbezogene Daten zu löschen, wenn sie für die mit ihnen erfüllten Zwecke nicht mehr erforderlich sind (§ 19 Abs. 3 HDSG).

§ 19 Abs. 3 HDSG

Personenbezogene Daten sind unverzüglich zu löschen, sobald feststeht, daß ihre Speicherung nicht mehr erforderlich ist, um die Zwecke zu erfüllen, für die sie erhoben worden sind oder für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen. Wenn bei der Speicherung nicht absehbar ist, wie lange die Daten benötigt werden, ist nach einer auf Grund der Erfahrung zu bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Satz 1 findet keine Anwendung, wenn Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.


Akten sind zur Aufgabenerfüllung nicht mehr erforderlich, wenn die Bearbeitung abgeschlossen ist und entweder spezialgesetzlich geregelte oder die für Schriftgut des Landes Hessen festgelegten Aufbewahrungsfristen abgelaufen sind. In den Anhängen zum Erlass der Landesregierung zur Aktenführung in den Dienststellen des Landes Hessen (Aktenführungserlass – AfE) vom 14. Dezember 2012 (StAnz. 2013 S. 3 ff.) sind einige allgemeine und besondere Aufbewahrungsfristen aufgeführt. Die Regelaufbewahrungsfrist beträgt für die federführende Stelle fünf Jahre (s. Anlage B zum AfE). Die meisten Dokumente werden dieser Aufbewahrungsfrist unterliegen.

Mit Ablauf der Aufbewahrungsfristen sind Akten auszusondern und dem zuständigen Archiv anzubieten, das innerhalb von sechs Monaten über die Archivwürdigkeit der angebotenen Unterlagen zu entscheiden hat (§ 8 Abs. 1 Satz 1 und 3 HArchivG).

§ 8 Abs. 1 Satz 1 und 3 HArchivG

Die in § 2 Abs. 3 und 6 genannten Stellen sind verpflichtet, alle Unterlagen, die zur Erfüllung ihrer Aufgaben nicht mehr benötigt werden und deren Aufbewahrungsfrist abgelaufen ist, unverzüglich auszusondern und dem zuständigen Archiv zur Archivierung anzubieten. … Das zuständige Archiv hat binnen sechs Monaten über die Archivwürdigkeit angebotener Unterlagen zu entscheiden.


Akten, die nicht archivwürdig sind, sind zu vernichten. Bei elektronischen Dokumenten bedeutet dies, dass sie zu löschen sind. Derzeit behilft sich die Landesverwaltung damit, dass die elektronischen Akten bestenfalls in die Langzeitarchivierung in HeDok übernommen werden. Damit sind sie jedoch immer noch im Zugriff der jeweiligen Behörde und weder ausgesondert noch gelöscht. Bei personenbezogenen Daten, die in der Mehrzahl der Akten der Landesverwaltung enthalten sind, bedeutet dies einen Verstoß gegen das Hessische Datenschutzgesetz.


3.3.1.2.4
Forderungen

Zur Umsetzung der eGovernment-Strategie des Landes Hessen gehört es auch, die für die Aussonderungsschnittstelle erforderlichen finanziellen Mittel zur Verfügung zu stellen.

Bei einer schnellen Weiterführung des Projektes kann im günstigsten Fall aus heutiger Sicht im Jahr 2015 mit der Anbietung und Aussonderung elektronischer Akten begonnen werden. Schon jetzt ist die Regelaufbewahrungsfrist weit überschritten. Bis zur Umsetzung der Schnittstelle zur Archivierung nimmt die Landesregierung das weitere Anwachsen von Datenschutzverstößen durch nicht rechtzeitiges Löschen nicht mehr erforderlicher personenbezogener Daten in Kauf.

Dies werde ich beanstanden müssen, wenn nicht zeitnah Aktivitäten zur Beendigung dieses Zustandes ergriffen werden.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.2 Justiz, Strafvollzug und Ordnungswidrigkeiten

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.2.1 Umsetzung der Neuregelungen des Telekommunikationsgesetzes zur Bestandsdatenauskunft in Landesrecht


Der Landesgesetzgeber hat umfassend von seiner Kompetenz Gebrauch gemacht, den Sicherheitsbehörden einen Zugriff auf Bestandsdaten der Telekommunikationsanbieter zu ermöglichen.

Das Bundesverfassungsgericht hatte im Januar 2012 entschieden (1 BvR 1299/05, BVerwGE 130, 151), dass eine qualifizierte Rechtsgrundlage notwendig sei, um den Sicherheitsbehörden einen Auskunftsanspruch gegenüber den Telekommunikationsunternehmen, bezogen auf Bestandsdaten im Sinne des § 111 Telekommunikationsgesetz (TKG), einzuräumen.

§ 111 Absatz 1 TKG

Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebene Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 112 und 113

  1. die Rufnummern und anderen Anschlusskennungen,
  2. den Namen und die Anschrift des Anschlussinhabers,
  3. bei natürlichen Personen deren Geburtsdatum,
  4. bei Festnetzanschlüssen auch die Anschrift des Anschlusses,
  5. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie
  6. das Datum des Vertragsbeginns

vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind; das Datum des Vertragsendes ist bei Bekanntwerden ebenfalls zu speichern. Satz 1 gilt auch, soweit die Daten nicht in Teilnehmerverzeichnisse (§ 104) eingetragen werden. Die Verpflichtung zur unverzüglichen Speicherung nach Satz 1 gilt hinsichtlich der Daten nach Satz 1 Nr. 1 und 2 entsprechend für denjenigen, der geschäftsmäßig einen öffentlich zugänglichen Dienst der elektronischen Post erbringt und dabei Daten nach Satz 1 Nr. 1 und 2 erhebt, wobei an die Stelle der Daten nach Satz 1 Nr. 1 die Kennungen der elektronischen Postfächer und an die Stelle des Anschlussinhabers nach Satz 1 Nr. 2 der Inhaber des elektronischen Postfachs tritt. Wird dem Verpflichteten nach Satz 1 oder Satz 3 eine Änderung bekannt, hat er die Daten unverzüglich zu berichtigen; in diesem Zusammenhang hat der nach Satz 1 Verpflichtete bisher noch nicht erhobene Daten zu erheben und zu speichern, sofern ihm eine Erhebung der Daten ohne besonderen Aufwand möglich ist. Für das Auskunftsverfahren nach § 113 ist die Form der Datenspeicherung freigestellt.

In seiner Entscheidung hatte das BVerfG das „Doppeltürmodell“ entwickelt. Danach ist zum einen eine konkrete Norm erforderlich, die die Übermittlung gestattet (erste Tür) sowie eine weitere Norm für die Rahmenbedingungen des Abrufs (zweite Tür). Weiterhin wurde entschieden, dass auch für die Nutzung dynamischer IP-Adressen in diesem Zusammenhang eine normenklare Regelung erforderlich ist, die den besonderen Anforderungen des Eingriffs in das Telekommunikationsgeheimnis des Art. 10 Abs. 1 GG gerecht wird.

Die Ausgestaltung der ersten Tür hat der Bundesgesetzgeber mit dem Gesetz zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft vom 20. Juni 2013 (BGBl. I, S. 16029) geschaffen.
Die Verpflichtung der Telekommunikationsunternehmen zur Auskunftserteilung ergibt sich nunmehr aus § 113 TKG.

§ 113 TKG

(1) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, darf nach Maßgabe des Absatzes 2 die nach den §§ 95 und 111 erhobenen Daten nach Maßgabe dieser Vorschrift zur Erfüllung von Auskunftspflichten gegenüber den in Absatz 3 genannten Stellen verwenden. Dies gilt auch für Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird. Die in eine Auskunft aufzunehmenden Daten dürfen auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden; hierfür dürfen Verkehrsdaten auch automatisiert ausgewertet werden. Für die Auskunftserteilung nach Satz 3 sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen.
(2) Die Auskunft darf nur erteilt werden, soweit eine in Absatz 3 genannte Stelle dies in Textform im Einzelfall zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der in Absatz 3 Nummer 3 genannten Stellen unter Angabe einer gesetzlichen Bestimmung verlangt, die ihr eine Erhebung der in Absatz 1 in Bezug genommenen Daten erlaubt; an andere öffentliche und nichtöffentliche Stellen dürfen Daten nach Absatz 1 nicht übermittelt werden. Bei Gefahr im Verzug darf die Auskunft auch erteilt werden, wenn das Verlangen in anderer Form gestellt wird. In diesem Fall ist das Verlangen unverzüglich nachträglich in Textform zu bestätigen. Die Verantwortung für die Zulässigkeit des Auskunftsverlangens tragen die in Absatz 3 genannten Stellen.
(3) Stellen im Sinne des Absatzes 1 sind

  1. die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden;
  2. die für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständigen Behörden;
  3. die Verfassungsschutzbehörden des Bundes und der Länder, der Militärische Abschirmdienst und der Bundesnachrichtendienst.
(4) Derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, hat die zu beauskunftenden Daten unverzüglich und vollständig zu übermitteln. Über das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenüber den Betroffenen sowie Dritten Stillschweigen zu wahren.
(5) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, hat die in seinem Verantwortungsbereich für die Auskunftserteilung erforderlichen Vorkehrungen auf seine Kosten zu treffen. Wer mehr als 100 000 Kunden hat, hat für die Entgegennahme der Auskunftsverlangen sowie für die Erteilung der zugehörigen Auskünfte eine gesicherte elektronische Schnittstelle nach Maßgabe der Technischen Richtlinie nach § 110 Absatz 3 bereitzuhalten, durch die auch die gegen die Kenntnisnahme der Daten durch Unbefugte gesicherte Übertragung gewährleistet ist. Dabei ist dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird.

Für die Regelungen, die den Sicherheitsbehörden des Landes die zweite Tür öffnen, liegt die Gesetzgebungskompetenz beim Hessischen Landtag. Er hatte auch darüber zu entscheiden, in welchem Umfang von dieser Kompetenz Gebrauch gemacht werden sollte.

Ausgehend von der Rechtsprechung des BVerfG waren zur Zulässigkeit von Auskunftsbegehren drei Gruppen von Daten zu beurteilen:

  • die Bestandsdaten gem. §§ 95 und 111 TKG,
  • die sogenannten Zugangssicherungscodes gem. § 113 Absatz 1 Satz 2 TKG. Dabei handelt es sich um Daten, mittels derer der Zugriff auf Endgeräte oder in diesen oder auch hiervon räumlich getrennten Speichereinrichtungen geschützt wird. Dazu gehören z.B. PIN und PUK (Personal Identification Number and Personal Unblocking Key),
  • die Dynamischen IP-Adressen, d.h. die zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adressen. Diese Daten sind nur durch eine Verknüpfung mit Verkehrsdaten einem bestimmten Nutzer zuzuordnen. Daher hatte das BVerfG dafür eine ausdrückliche gesetzliche Regelung verlangt, die den Anforderungen an einen Eingriff in das Telekommunikationsgeheimnis aus Art. 10 Abs. 1 GG gerecht wird.

Das Gesetzgebungsverfahren im Landtag wurde durch einen gemeinsamen Gesetzentwurf der Fraktionen der CDU und der FDP für ein Gesetz zur Änderung des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung und des Gesetzes über das Landesamt für Verfassungsschutz vom 12. März 2013 eingeleitet (LTDrs. 18/7137). Dieser Entwurf war zeitlich vor den entscheidenden Beratungen im Bundestag vorgelegt worden. Er sollte den hessischen Sicherheitsbehörden einen umfassenden Zugriff auf diese Daten ermöglichen. In der vorgelegten Form wurde der Entwurf den verfassungsrechtlichen Anforderungen an einen Eingriff in das Recht auf informationelle Selbstbestimmung sowie das Telekommunikationsgeheimnis gem. Art. 10 GG jedoch nicht gerecht.

In einer Anhörung im Innenausschuss des Landtages hatte ich Gelegenheit, die Defizite des Gesetzesvorschlages aufzuzeigen.

Insbesondere für die Daten gem. § 113 Abs. 1 S. 2 TKG habe ich eine differenziertere Regelung gefordert. Zugangssicherungscodes (wie etwa Passwörter, PIN und PUK) selbst sind zwar Bestandsdaten im Sinne des TKG, sie haben jedoch einen höheren Schutzbedarf als die herkömmlichen Bestandsdaten, da mit ihrer Hilfe nicht nur der Umfang, sondern auch der Inhalt einer Kommunikationsbeziehung erschlossen werden kann. Insoweit entspricht der Eingriffsgehalt bei Auskünften solcher Daten eher dem einer Auskunft zu einer dynamischen IP-Adresse als zu sonstigen Bestandsdaten. Da in aller Regel solche Daten deshalb nur dann erforderlich sein können, wenn auch auf die durch sie erschließbaren Inhaltsdaten zugegriffen werden soll, war eine Beschränkung der Auskunftsmöglichkeiten erforderlich. So hatte auch der Bundesgesetzgeber – soweit er für die Sicherheitsbehörden des Bundes die Regelungen zur zweiten Tür gestaltet hat – eine zusätzliche Anforderung formuliert. Danach ist eine solche Datenerhebung nur zulässig, wenn auch die gesetzlichen Voraussetzungen für die Daten vorliegen, auf die mittels dieser Bestandsdaten zugegriffen werden kann. Dies entspricht auch der Rechtsprechung des BVerfG. Zugangssicherungscodes erfordern mit anderen Worten einen vorverlagerten Datenschutz.

Aus dem erhöhten Schutzbedarf der Zugangssicherungscodes folgt meines Erachtens zudem, dass diese Daten nicht – wie im Gesetzentwurf vorgesehen – von der Notwendigkeit einer richterlichen Anordnung ausgenommen werden können. Schließlich halte ich für diese Daten auch eine Benachrichtigung der Betroffenen für erforderlich.

Für die dynamischen IP-Adressen war nur im HSOG, nicht aber im LfV-Gesetz, eine differenzierte Regelung vorgesehen. Auch dies wurde den verfassungsrechtlichen Anforderungen insbesondere wegen des Eignriffs in das Telekommunikationsgeheimnis nicht gerecht.

Im Anschluss an die Anhörung im Innenausschuss des Hessischen Landtages erfolgte eine Überarbeitung des Gesetzentwurfes, die zumindest teilweise den – nicht nur von mir – geäußerten Bedenken Rechnung getragen hat.

Für die Tätigkeit der Polizei im Rahmen der Gefahrenabwehr wird nunmehr differenziert zwischen der Abfrage von reinen Bestandsdaten und den Zugangssicherungscodes. Diese dürfen nur erhoben werden, wenn auch die gesetzlichen Voraussetzungen für die Nutzung der Daten, die mit ihrer Hilfe erschließbar sind, vorliegen. Auch die notwendigen verfahrenssichernden Maßnahmen wurden getroffen.

§ 15a Absatz 2 HSOG

Unter den Voraussetzungen des Abs. 1 können die Polizeibehörden auch Auskunft über Verkehrsdaten nach § 96 Abs. 1 des Telekommunikationsgesetzes vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch Gesetz vom 20. Juni 2013 (BGBl. I S. 1602), in einem zurückliegenden oder einem zukünftigen Zeitraum sowie über Inhalte verlangen, die innerhalb des Telekommunikationsnetzes in Speichereinrichtungen abgelegt sind. Erfolgt die Erhebung von Verkehrsdaten nicht beim Telekommunikationsdiensteanbieter, bestimmt sie sich nach Abschluss des Kommunikationsvorgangs nach den allgemeinen Vorschriften. Auskunft über Bestandsdaten nach den §§ 95 und 111 des Telekommunikationsgesetzes können die Polizeibehörden von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, unter den Voraussetzungen des § 12 Abs. 1 Satz 1, Abs. 3 und 4 verlangen (§ 113 Abs. 1 Satz 1 und 3 des Telekommunikationsgesetzes). Bezieht sich das Auskunftsverlangen nach Satz 3 auf Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird (§ 113 Abs. 1 Satz 2 des Telekommunikationsgesetzes), darf die Auskunft nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen. Die Auskunft über Bestandsdaten anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse darf nur zur Abwehr einer gegenwärtigen erheblichen Gefahr verlangt werden. § 29 Abs. 6 gilt für Satz 4 und 5 entsprechend.


Im LfV-Gesetz wurden die Befugnisse differenzierter ausgestaltet.

§ 4a LfV-Gesetz
.....
(3) Das Landesamt für Verfassungsschutz darf, soweit dies zur Erfüllung seiner Aufgaben nach § 2 Abs. 2 erforderlich ist, von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, Auskunft über die nach den §§ 95 und 111 des Telekommunikationsgesetzes vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch Gesetz vom 20. Juni 2013 (BGBl. I S. 1602), erhobenen Daten verlangen (§ 113 Abs. 1 Satz 1 und 3 des Telekommunikationsgesetzes); dies gilt auch für Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird (§ 113 Abs. 1 Satz 2 des Telekommunikationsgesetzes). Die Auskunft darf auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 113 Abs. 1 Satz 3 des Telekommunikationsgesetzes). Die Auskunft darf nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen.
.....
(5) Auskünfte nach Abs. 3, soweit Daten nach § 113 Abs. 1 Satz 2 und 3 des Telekommunikationsgesetzes betroffen sind, und Auskünfte nach Abs. 4 dürfen nur auf Anordnung des für den Verfassungsschutz zuständigen Ministeriums eingeholt werden. Die Anordnung ist durch die Leiterin oder den Leiter des Landesamts für Verfassungsschutz oder seine Vertreterin oder seinen Vertreter schriftlich zu beantragen. Der Antrag ist zu begründen. Das Ministerium unterrichtet unverzüglich die G10-Kommission (§ 2 Abs. 1 des Hessischen Ausführungsgesetzes zum Artikel 10-Gesetz vom 16. Dezember 1969 [GVBl. I S. 303], zuletzt geändert durch Gesetz vom 27. September 2012 [GVBl. S. 290]) über die Anordnung vor deren Vollzug. Bei Gefahr im Verzug kann das Ministerium den Vollzug der Anordnung auch bereits vor Unterrichtung der Kommission anordnen. Die G10-Kommission prüft von Amts wegen oder aufgrund von Beschwerden die Zulässigkeit und Notwendigkeit der Einholung von Auskünften. § 15 Abs. 5 des Artikel 10-Gesetzes ist entsprechend anzuwenden. Anordnungen, die die G10-Kommission für unzulässig oder nicht notwendig erklärt, hat das Ministerium unverzüglich aufzuheben. Für die Verarbeitung der erhobenen Daten nach Abs. 3, soweit Daten nach § 113 Abs. 1 Satz 2 und 3 des Telekommunikationsgesetzes betroffen sind, und für die Verarbeitung der nach Abs. 4 Nr. 1 bis 3 erhobenen Daten ist § 4 des Artikel 10-Gesetzes entsprechend anzuwenden. § 12 Abs. 1 und 3 des Artikel 10-Gesetzes findet entsprechende Anwendung.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.2.2 Prüfung der Hessischen Zentrale für Datenverarbeitung (HZD) Hünfeld


In diesem Jahr habe ich geprüft, ob die HZD Hünfeld als Dienstleister der Hessischen Justiz Anforderungen erfüllt, die seitens der Justiz an sie gerichtet wurden. Trotz einiger Bereiche, in denen Anpassungen erforderlich sind, ergab sich ein positiver Gesamteindruck.

Mitte des Jahres habe ich die Umsetzung von Sicherheitsbelangen geprüft, die im Rahmen der von der HZD für die Hessische Justiz erbrachten Leistungen zu erfüllen sind. Gegenstand der Prüfung war neben räumlichen Sicherheitsmaßnahmen insbesondere die Umsetzung von Vorgaben aus einem Netzkonzept hinsichtlich der Fernbetreuung von Nutzern sowie administrativer Zugriffe auf Benutzerverzeichnisse und E-Mail-Konten.

Die Anforderungen wurden bei den räumlichen Sicherungsmaßnahmen und bei der Fernbetreuung von Nutzern voll erfüllt.

Es gab aber einige Punkte, die geändert werden mussten:

  • Es gab zu viele Personen mit (Domänen-) Administratorrechten.

    Durch diese weitgehenden Zugriffsrechte hatten Mitarbeiter potentiell die Möglichkeit, auf Daten zuzugreifen, auch wenn es nicht immer für ihre Aufgaben erforderlich war.

    Der HZD war dieser Umstand bewusst. Im Rahmen einer Neukonzeption soll die Anzahl der Personen mit Administratorrechten reduziert werden. Das Ziel ist es, die Anzahl auf weniger als ein Drittel zu senken.

  • Die Tätigkeit von Administratoren der E-Mail-Plattform war nur eingeschränkt nachvollziehbar.

    Die Administration der E-Mail-Plattform der Justiz wird weitgehend durch die HZD Hünfeld durchgeführt. Zentrale Aufgaben, um die technische Infrastruktur lauffähig zu halten, werden auch durch die HZD in Wiesbaden durchgeführt. Eine Aufgabe von Administratoren ist die Vergabe von Zugriffsrechten auf Postfächer. Sie können potentiell jedem Nutzer der Plattform, auch sich selbst, den Zugriff auf ein beliebiges Postfach einräumen. Es ist festgelegt, dass ein Auftrag vorliegen muss, damit Zugriffsrechte geändert werden. Die entsprechenden Aufträge werden dokumentiert. Zum Zeitpunkt der Prüfung gab es aber kein Auswerteprogramm, mit dem die systemseitigen Protokolldaten daraufhin kontrolliert werden, ob ein Administrator der E-Mail-Plattform Zugriffsrechte auf ein Postfach geändert hat. Es würde daher nur zufällig erkannt, wenn ein Administrator sich oder anderen Nutzern ohne Auftrag Zugriff auf ein Postfach verschafft.

    Der HZD war der Umstand bekannt, und es war daher schon eine entsprechende Kontrollsoftware beschafft. Diese soll ab Anfang 2014 eingerichtet werden und den mit der Kontrolle beauftragten Mitarbeitern zur Verfügung stehen.

  • Es war für einen Systemrevisor praktisch nicht möglich, eine Besitzübernahme durch Administratoren auf gesperrte persönliche Verzeichnisse, bspw. von Richtern, zu erkennen.

    Nach dem Netzkonzept der Hessischen Justiz gibt es u.a. bei Gerichten die Funktion des Systemrevisors. Systemrevisoren sollen Systemprotokolle auswerten, um Auffälligkeiten festzustellen. Ein auffälliges Ereignis liegt bspw. vor, wenn sich ein Administrator Zugriffsrechte auf das persönliche Verzeichnis eines Richters einräumt. Dazu muss man folgendes wissen: Nach den vergebenen Zugriffsrechten haben Systemadministratoren der HZD kein Zugriffsrecht auf das persönliche Verzeichnis eines Richters. D.h. der Administrator kann bspw. keine Dateien lesen oder verändern. Allerdings könnte er sich Zugriffsrechte verschaffen. Als ersten Schritt müsste er eine sog. Besitzübernahme bei dem Verzeichnis vornehmen, um anschließend die Zugriffsrechte ändern zu können. Dann könnte er für sich oder andere Benutzer Lese- und Schreibrechte vergeben. Der Vorgang einer Besitzübernahme wird protokolliert und kann durch den Systemrevisor festgestellt werden.

    Bedingt durch einen Softwarewechsel haben sich unerwartete Probleme ergeben. Es wurde entsprechend dem Netzkonzept der Zugriff auf Verzeichnisse protokolliert. Durch die neue Softwareversion wurden aber neben den Besitzübernahmen durch Administratoren auch systemseitige Zugriffe auf Verzeichnisse, bspw. im Rahmen der Datensicherung, unter identischen Ereignisnummern protokolliert. Durch die große Zahl von Protokolleinträgen war es damit einem Systemrevisor praktisch nicht mehr möglich, unberechtigte Besitzübernahmen zu erkennen.

    Auch dieser Umstand wurde durch die HZD als änderungsbedürftig angesehen. Um die Anforderungen erfüllen zu können, wird nach einer besseren Software zur Protokollauswertung gesucht. Das Ergebnis stand bei Redaktionsschluss dieses Tätigkeitsberichts noch nicht fest.

  • Es war nach Fertigstellung eines Auftrags nicht möglich, an Hand der Einträge im Ticketsystem zu erkennen, welcher Mitarbeiter den Auftrag ausgeführt hat.

    Die HZD nutzt ein Ticketsystem, um Aufträge und deren Abarbeitung zu dokumentieren. Dazu wird bei Eingang eines Auftrages bzw. einer Fehlermeldung durch einen Mitarbeiter ein neuer Auftrag angelegt und der Fehler bzw. der Auftrag dokumentiert. Anschließend wird er an die zuständigen Bearbeiter weitergeleitet. Diese dokumentieren im Ticketsystem ihre Tätigkeit. Wenn mehrere Mitarbeiter an einem Auftrag arbeiten, beschreibt jeder seine Tätigkeiten. Nach Abschluss des Auftrags wird dieser im System als beendet gekennzeichnet.

    Bei der HZD gibt es eine Anpassung, durch die bei Beendigung des Auftrags die Namen der beteiligten Mitarbeiter gelöscht werden. Es bleibt zwar die Beschreibung des Auftrags resp. des Fehlers und seine Bearbeitung als eine Art Wissensdatenbank erhalten, jedoch ist nicht mehr nachvollziehbar, wer was veranlasst hat.

    Für die Nachvollziehbarkeit der Tätigkeit von Administratoren ist dies ein Problem. Nach § 10 Abs. 2 Ziff. 6 HDSG ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle). Durch das frühzeitige Löschen von Ticket-Ersteller und -bearbeiter ist schon ab Abschluss des Tickets nicht mehr nachvollziehbar, wer wie agiert hat. Da das Remedy-System Teil der Dokumentation ist, erfolgt die Anonymisierung zu früh.

    Zu diesem Punkt steht eine Reaktion der HZD noch aus.


Die gefundenen Defizite betrafen vor allem die Nachvollziehbarkeit der Tätigkeit von Administratoren. Für den Nachweis, dass entsprechend den Vorgaben des Auftraggebers gearbeitet wurde und die Anforderungen von § 10 Abs. 2 Ziff. 6 HDSG (Auftragskontrolle) erfüllt sind, ist die Nachvollziehbarkeit unerlässlich.

Es zeigt sich, dass sich die HZD der Defizite in weiten Teilen bewusst war. Nicht in allen Bereichen ist es jedoch gelungen, zeitnah eine Abhilfe zu schaffen.

Ich habe das Justizministerium zeitgleich mit der HZD über die Ergebnisse meiner Prüfung in Kenntnis gesetzt. Nach meiner Einschätzung muss auch das Justizministerium die eigenen Maßnahmen zur Auftragskontrolle hinterfragen. In diesem Zusammenhang spielt die IT-Kontrollkommission der Justiz eine wesentliche Rolle, die nach § 3 des Gesetzes zur Errichtung der Informationstechnik-Stelle der hessischen Justiz (IT-Stelle) und zur Regelung justizorganisatorischer Angelegenheiten vom 16. Dezember 2011 eingerichtet wurde. Die IT-Kontrollkommission prüft insbesondere die HZD in Hünfeld und hat im Rahmen ihrer Tätigkeit erste Ergebnisse erzielt. Ich gehe davon aus, dass die Qualität der Dienstleistung der HZD durch deren regelmäßige Überprüfungen verbessert wird.

§ 3 JITStG

(1) Soweit im Rahmen der Fachaufsicht nach § 2 Satz 2 Überprüfungen zum Schutz vor unbefugten Zugriffen durch Mitarbeiterinnen und Mitarbeiter der Hessischen Zentrale für Datenverarbeitung erfolgen sollen, wirkt eine einzurichtende IT-Kontrollkommission mit.

(2) Die IT-Kontrollkommission besteht aus
1. je einer Vertreterin oder einem Vertreter
a) der IT-Stelle,
b) jedes Bezirksrichterrats und des Richterrats des Hessischen Finanzgerichts zum Schutz der richterlichen Unabhängigkeit,
c) des Bezirksstaatsanwaltsrats zum Schutz des Legalitätsprinzips,

2. einer vom Hauptpersonalrat der Justiz zu benennenden Person, bei der oder dem es sich um eine Rechtspflegerin oder einen Rechtspfleger handeln muss, zum Schutz der sachlichen Unabhängigkeit der Rechtspflegerinnen und Rechtspfleger.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.2.3 Akteneinsicht im Justizvollzug


Zur Verfolgung von Ansprüchen ist es oftmals notwendig, Einsicht in Akten zu erhalten. Dieses Recht gilt jedoch nicht uneingeschränkt. Im Justizvollzug scheitert die Durchsetzung in vielen Fällen an einer unvollständigen Begründung des Antrages.

Es haben sich Eingaben gehäuft, bei denen sich Inhaftierte bei mir beschwert haben, dass sie keine oder nur unzureichende Einsicht in ihre Akten bei der jeweiligen Justizvollzugsanstalt erhalten haben. Dies betraf zum einen die Einsicht in die Gefangenenpersonalakte, zum anderen auch die Einsicht in die Gesundheitsakten der inhaftierten Personen.

In der Gefangenenpersonalakte befinden sich personenbezogene Daten, die für und während der Durchführung des Strafvollzugs über den Gefangenen erhoben werden. Informationen über ärztliche Behandlungen und Daten über den Gesundheitsstatus werden in der Gesundheitsakte gespeichert.

Jeder Gefangene hat gem. § 64 S. 1 des Hessischen Strafvollzugsgesetzes (HStVollzG) i.V.m. § 18 Abs. 3 bis 6 HDSG das Recht auf Aktenauskunft oder, soweit dies zur Wahrnehmung rechtlicher Interessen erforderlich ist, auch Einsicht in seine Gefangenpersonalakte und seine Gesundheitsakte.

§ 64 HStVollzG

Die Betroffenen erhalten nach Maßgabe des § 18 Abs. 3 bis 6 des Hessischen Datenschutzgesetzes Auskunft oder, soweit dies zur Wahrnehmung rechtlicher Interessen erforderlich ist, Akteneinsicht hinsichtlich der zu ihrer Person gespeicherten Daten. Eine Pflicht zur Benachrichtigung nach § 18 Abs. 1 des Hessischen Datenschutzgesetzes besteht nicht.


In einem Einzelfall, den ich hier stellvertretend für einige andere erläutern will, begehrte ein Strafgefangener Einsicht in die Einweisungsdokumentation als Bestandteil der Gefangenenpersonalakte und entsprechende Kopien aus der Akte. Er gab als Begründung hierfür an, er verfolge zivilrechtliche Interessen und brauche zum Zwecke der Schadensabwendung genaue Informationen über das sog. Einweisungsverfahren. Aus seinem Recht auf informationelle Selbstbestimmung erwachse auch ohne Begründung ein Recht auf vollständige Akteneinsicht.

Diesem Wunsch auf Akteneinsicht wurde jedoch seitens der Justizvollzugsanstalt nicht nachgekommen. Begründet wurde dies damit, das Einsichtsverlangen sei zu unbestimmt, ohne weitere Begründung könnten weder Einsicht in die Akten noch Kopien daraus gewährt werden.

Wer als Gefangener Einsicht in seine Akten haben möchte, muss die Gründe hierfür konkret bezeichnen. Es ist gem. § 64 HStVollzG erforderlich, dass dargelegt und begründet wird, dass der Betroffene zur Wahrnehmung der rechtlichen Interessen auf die Einsichtnahme in die Akte angewiesen ist. Zur Geltendmachung des Rechts sind die Teile bzw. Angaben näher zu bezeichnen, auf die es zur Wahrung der Rechte ankommt. Die pauschale Begründung, man müsse Einsicht in alle Akten zur Verfolgung von Ansprüchen bekommen, genügt nicht. Es ist genauer darzulegen, welche Ansprüche verfolgt und welche Aktenteile hierfür gebraucht werden. Ansonsten ist der Antrag zu unspezifisch und kann abgelehnt werden. Oftmals scheitert das Auskunftsbegehren an dieser formalen Hürde, da nur formelhaft „Akteneinsicht“ verlangt wird.

Ich habe dem Petenten geraten, seinen Antrag zu spezifizieren und genau darzulegen, welche Aktenbestandteile er zu welchem Zweck benötige. Im vorliegenden Fall hat der Strafgefangene sich jedoch geweigert, sein Anliegen gegenüber der Justizvollzugsanstalt zu spezifizieren. Deshalb hat diese den Antrag zu Recht abgelehnt.

Auch in einem anderen Fall kam ich zu dem Ergebnis, dass die Einsicht in die Gesundheitsakte des Gefangenen zu Recht verweigert wurde. Der Strafgefangene beantragte pauschal Einsicht in ca. 14 Aktenordner und eine dicke Krankenakte mit vielen verschiedenen Gutachten zu seinem Gesundheitszustand. Als Begründung führte er lediglich an, er brauche alle Unterlagen zur Verfolgung rechtlicher Schritte. Damit hat er aber nicht dargelegt, weshalb er über die Auskunftserteilung hinaus auf die Einsichtnahme in alle Aktenbestandteile angewiesen ist bzw. in welche Aktenteile die Einsicht erforderlich ist, um seine genauer bezeichneten rechtlichen Interessen wahrzunehmen. Nötig wäre also eine genauere Begründung und damit einhergehend eine Präzisierung der gewünschten Aktenbestandteile. Da der Strafgefangene dieses nicht wollte, wurde auch hier zu Recht ein Anspruch auf Akteneinsicht abgelehnt.

Mein Fazit ist, dass es in den meisten Fällen an genaueren Begründungen und Angaben über die gewünschten Aktenteile fehlt. Ich habe die Betroffenen darüber aufgeklärt, dass das Recht auf Akteneinsicht nicht uneingeschränkt besteht und auch hierfür bestimmte Voraussetzungen erfüllt sein müssen. Es ist auch nicht meine Aufgabe, anstelle des Gefangenen Einsicht in die kompletten Unterlagen zu nehmen und dann anstelle der Justizvollzugsanstalt die Auskunft zu erteilen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.2.4 OWi21 - Neue Komponenten


Die ekom21 GmbH hat für das Verfahren OWi21 neue Komponenten entwickelt. Es handelt sich um ein Programm für Smartphones zur Erfassung von Ordnungswidrigkeiten (OWi21ToGo) sowie die Möglichkeit einer Online-Anhörung zum Ausfüllen des Anhörungsbogens über das Internet. Während die Komponente OWi21ToGo von der hessischen Polizei bereits genutzt wird, müssen bei der Online-Anhörung noch Fragen geklärt werden.


3.3.2.4.1
OWi21 – Allgemein

Für die Abwicklung von Ordnungswidrigkeitenverfahren hat die ekom21 GmbH das Verfahren OWi21 entwickelt. Mit diesem Verfahren wird die Durchführung von Ordnungswidrigkeitenverfahren als Workflow unterstützt. Bei Überlegungen zu einer technischen Weiterentwicklung hat man zwei Bereiche ins Auge gefasst. Zum einen die Erfassung der Ordnungswidrigkeit vor Ort und zum anderen die Äußerung des Angeschriebenen.


3.3.2.4.2
OWi21ToGo

3.3.2.4.2.1
Das Konzept

Die Erfassung von Tatbeständen vor Ort – insbesondere im Bereich der Verkehrsordnungswidrigkeiten – wurde von den beteiligten Stellen als aufwändig bzw. zu teuer empfunden. Da Smartphones technisch betrachtet geeignet sind, die Beamten vor Ort zu unterstützen, und günstiger sind als Spezialgeräte, hat die hessische Polizei zusammen mit der ekom21 GmbH Überlegungen angestellt, wie ein sinnvoller, rechtlich zulässiger Einsatz von Smartphones aussehen kann. In diesen Prozess war ich eingebunden.

Das Konzept sieht vor, dass mit einem Smartphone Fotos gemacht werden und dann die weiteren Daten zu einer Ordnungswidrigkeit erfasst werden. Diese Daten werden über das Internet an einen Server übertragen, der von der ekom21 GmbH betrieben wird. Hierzu hat die ekom21 GmbH eine App (s.u.) programmiert, mit der die rechtlich zulässigen Daten erfasst werden können. Die Herausforderung bestand darin, eine Lösung zu entwickeln, die eine ausreichende Datensicherheit gewährleistet.


3.3.2.4.2.2
Datensicherheit

Es gab drei Elemente, die betrachtet wurden: der Server, die Übertragung und das Smartphone selbst.


3.3.2.4.2.2.1
Der Server

Der Server wird analog zu den anderen Webangeboten der ekom21 GmbH in einer DMZ betrieben. Sobald die Daten an den Server übertragen sind, werden sie automatisch vom Server heruntergeladen und der Fachanwendung zur Verfügung gestellt. Ist dieser Download erfolgreich verlaufen, werden die Daten auf dem Server gelöscht.


3.3.2.4.2.2.2
Die Übertragung

Die Daten werden verschlüsselt übertragen. Dabei wird seitens des Servers geprüft, ob die Datei von einem zugelassenen Gerät stammt. Die eingesetzten Algorithmen erfüllen die aktuellen Anforderungen.


3.3.2.4.2.2.3
Das Smartphone

Ein Smartphone bietet sehr viel mehr technische Möglichkeiten, als zu dem vorgesehenen Zweck benötigt werden. Es galt daher neben organisatorischen Vorgaben auf zwei Gebieten technische Sicherungen einzubauen.


Dienstanweisung
Die Polizei hat eine Dienstanweisung erlassen, die den Umgang mit dem Gerät reglementiert. Eine private Nutzung ist untersagt, und es dürfen außer der installierten App keine weiteren Apps geladen werden. Diese Vorgabe wird auch technisch kontrolliert.

App und Daten
Die App wurde für das Betriebssystem Android programmiert. Die ekom21 GmbH garantiert dabei die Funktionsfähigkeit für bestimmte Endgeräte. Die App selbst hat eine Benutzerverwaltung, und man kann sie nur starten, wenn eine Benutzerkennung und ein Passwort eingegeben sind. Die Passwortvorgaben richten sich nach den üblichen Anforderungen aus den Grundschutzkatalogen des BSI.

App (engl. Abk. für Application Software)

Bezieht sich auf jegliche Art von Anwendungssoftware. Wird im deutschen Sprachraum meist mit Anwendungen für Smartphones und Tablet-Computer gleichgesetzt.


Sobald die Daten erfasst sind, werden sie übertragen und nach erfolgreicher Übertragung gelöscht. Das sollte in der Regel nach wenigen Sekunden geschehen sein. Falls jedoch keine Verbindung zum Server der ekom21 GmbH besteht, müssen die Daten zwischengespeichert werden. Dies erfolgt immer verschlüsselt. Sobald die Verbindung wieder hergestellt ist, erfolgt die Übertragung mit anschließender Löschung. Auf dem Smartphone sollten sich daher im Normalfall keine Daten befinden, auf die zugegriffen werden könnte.

Konfiguration
Wie ich bereits in meinem 41. Tätigkeitsbericht, Ziff. 2.3.1 und einer Handreichung dargelegt habe, muss die Dienststelle die Kontrolle über das Endgerät haben. Zu diesem Zweck wird ein Mobile Device Management (MDM) eingesetzt. Durch entsprechende Einträge im MDM wird erzwungen, dass nur bestimmte Apps installiert werden können. Außerdem werden restriktive Vorgaben zu Schnittstellen, zur Ortung und zu Gerätepasswörtern umgesetzt. Ganz wichtig ist aber, dass bei Verlust das Gerät aus der Ferne gelöscht werden kann.


3.3.2.4.2.2.4
Fazit

Unter diesen Voraussetzungen habe ich keine Vorbehalte gegen den Einsatz. Das gilt sowohl für den Einsatz durch die Polizei als auch durch kommunale Ordnungsbehörden.


3.3.2.4.3
Online-Anhörung

Mit der Online-Anhörung soll Bürgern die Möglichkeit eröffnet werden, ohne großen Aufwand über das Internet einen Anhörungsbogenbogen auszufüllen.

Auch hier befindet sich der Server wieder in einer DMZ. Alle Datenübertragungen erfolgen verschlüsselt.

Ein Bürger kann sich auf den Server unter Eingabe des Aktenzeichens anmelden. Sobald er den Fragebogen ausgefüllt hat und den Inhalt bestätigt, werden die Daten für die weitere Bearbeitung oder Einsicht gesperrt. Die Daten werden dann automatisch heruntergeladen, dem Fachverfahren zur Verfügung gestellt und auf dem Server gelöscht.

Die Abläufe sind – technisch betrachtet – klar strukturiert und bieten wenig Anlass zu Kritik, wenn die Datensicherheit des Servers gegeben ist.

Vor der Umsetzung sind allerdings noch rechtliche Rahmenbedingungen zu regeln. Eine Online-Anhörung ist grundsätzlich im Rahmen der elektronischen Aktenführung gem. § 110b OWiG möglich.

§ 110b OWiG

(1) Die Verfahrensakten können elektronisch geführt werden. Die Bundesregierung und die Landesregierungen bestimmen für ihren Bereich durch Rechtsverordnung den Zeitpunkt, von dem an die Akten elektronisch geführt werden oder im behördlichen Verfahren geführt werden können sowie die hierfür geltenden organisatorisch-technischen Rahmenbedingungen für die Bildung, Führung und Aufbewahrung der elektronisch geführten Akten. Die Bundesregierung und die Landesregierungen können die Ermächtigung durch Rechtsverordnung auf die zuständigen Bundes- oder Landesministerien übertragen. Die Zulassung der elektronischen Aktenführung kann auf einzelne Behörden, Gerichte oder Verfahren beschränkt werden.

(2) Zu den elektronisch geführten Akten eingereichte und für eine Übertragung geeignete Schriftstücke und Gegenstände des Augenscheins (Urschriften) sind zur Ersetzung der Urschrift in ein elektronisches Dokument zu übertragen, soweit die Rechtsverordnung nach Absatz 1 nichts anderes bestimmt. Das elektronische Dokument muss den Vermerk enthalten, wann und durch wen die Urschrift übertragen worden ist. Die Urschriften sind bis zum Abschluss des Verfahrens so aufzubewahren, dass sie auf Anforderung innerhalb von einer Woche vorgelegt werden können.

(3) Elektronische Dokumente, die nach Absatz 2 hergestellt wurden, sind für das Verfahren zugrunde zu legen, soweit kein Anlass besteht, an der Übereinstimmung mit der Urschrift zu zweifeln.

(4) Enthält das nach Absatz 2 hergestellte elektronische Dokument zusätzlich zu dem Vermerk nach Absatz 2 Satz 2 einen mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen Vermerk darüber,

1. dass die Wiedergabe auf dem Bildschirm mit der Urschrift inhaltlich und bildlich übereinstimmt sowie
2. ob die Urschrift bei der Übertragung als Original oder in Abschrift vorgelegen hat,

kann die Urschrift bereits vor Abschluss des Verfahrens vernichtet werden. Dies gilt nicht für in Verwahrung zu nehmende oder in anderer Weise sicherzustellende Urschriften, die als Beweismittel von Bedeutung sind oder der Einziehung oder dem Verfall unterliegen (§§ 22 bis 29a, 46 dieses Gesetzes in Verbindung mit §§ 94, 111b bis 111n der Strafprozessordnung). Verfahrensinterne Erklärungen des Betroffenen und Dritter sowie ihnen beigefügte einfache Abschriften können unter den Voraussetzungen von Satz 1 vernichtet werden. In der Rechtsverordnung nach Absatz 1 kann abweichend von den Sätzen 1 und 3 bestimmt werden, dass die Urschriften weiter aufzubewahren sind.


Details dazu sind in einer Rechtsverordnung festzulegen. Die derzeit gültige Verordnung über die elektronische Aktenführung bei Verwaltungsbehörden in Bußgeldverfahren vom 23. Juli 2010 (GVBl. I S. 254) regelt zwar grundsätzlich, dass die Bußgeldakten elektronisch geführt werden können und welcher technische Standard einzuhalten ist, wenn zwischen Verwaltungsbehörden und mit der Staatsanwaltschaft Akten auszutauschen sind. Es gibt jedoch noch keine Regelungen zur Ausgestaltung der elektronischen Einreichung von Dokumenten durch Betroffene.

Dabei ist auch § 110a OWiG zu berücksichtigen. Danach gilt grundsätzlich, dass Dokumente, die ausdrücklich schriftlich einzureichen sind, qualifiziert zu signieren oder in einem andern sicheren Verfahren, das die Authentizität und die Integrität des übermittelten Dokuments sicherstellt, zu übertragen sind. Zwar gehört der Anhörungsbogen nicht zu den Dokumenten, für die das OWiG zwingend die schriftliche Einreichung verlangt. Dies ändert jedoch nichts daran, dass für diese neue Art der Kommunikation in Bußgeldverfahren technische Rahmenbedingungen zu definieren sind, vergleichbar der Möglichkeit des elektronischen Rechtsverkehrs mit den Gerichten.

Mir wurde zugesagt, dass ein Entwurf für eine entsprechende Rechtsverordnung vorgelegt wird. Derzeit ist er mir noch nicht bekannt.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.3 Verfassungsschutz

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.3.1 Neuordnung der parlamentarischen Kontrolle des Verfassungsschutzes


Die Ereignisse um die Morde der rechtsextremistischen Terrorzelle NSU haben auch in Hessen zu ausführlichen Diskussionen über den Verfassungsschutz – insbesondere zur parlamentarischen Kontrolle – geführt. Zu einer umfassenden Neugestaltung der gesetzlichen Grundlagen ist es jedoch nicht gekommen.

Schon im vergangenen Jahr hatte der Landtag über mehrere Gesetzentwürfe zu beraten, die alle an die Diskussion der Ereignisse rund um die NSU-Morde anknüpften. Schwerpunkt dabei war u.a. die Verstärkung der parlamentarischen Kontrolle.

Beraten wurden gleichzeitig drei alternative Vorschläge:

  • Gesetzentwurf der Fraktionen der CDU und der FDP für ein Gesetz über das Landesamt für Verfassungsschutz (LTDrucks. 18/6193):

    Dieser hatte im Wesentlichen nur die Arbeit der parlamentarischen Kontrollkommission zum Gegenstand.

  • Dringlicher Gesetzentwurf der Fraktion der SPD für ein Gesetz zur Stärkung der Parlamentarischen Kontrolle gegenüber der Tätigkeit des Landesamtes für den Verfassungsschutz (LTDrucks. 18/5061):

    Dieser bestand aus einem Vorschlag mit Änderungen im Bereich der Befugnisse des Landesamtes für Verfassungsschutz sowie einem separaten Gesetz zur Arbeit der parlamentarischen Kontrollkommission.

  • Gesetzentwurf der Fraktion DIE LINKE für ein Hessisches Gesetz zur Neuordnung der Aufgaben zum Schutz der Verfassung und zur Auflösung des Landesamtes für Verfassungsschutz (LTDrucks. 18/6179):

    Gegenstand dieses Gesetzentwurfs war, das Landesamt für Verfassungsschutz und damit verbunden auch die Informationsbeschaffung durch nachrichtendienstliche Mittel abzuschaffen. Anstelle dessen sollte eine neue Institution geschaffen werden, die schwerpunktmäßig der Dokumentation und Information über neonazistische und andere gegen die Grundsätze der Verfassung gerichtete Aktivitäten dienen sollte. Daneben sollte diese für die Aufgaben zuständig sein, die durch Vorgaben des Bundesverfassungsschutzgesetzes (BVerfSchG) zwingend durch die Länder wahrzunehmen sind.


Alle drei Entwürfe waren auch Gegenstand einer Anhörung im Innenausschuss des Landtages, an der ich teilgenommen habe.

Das Ziel der genannten Gesetzentwürfe - die Vorschriften zur Kontrolle der Tätigkeit des Landesamtes für Verfassungsschutz durch das Parlamentarische Kontrollgremium in Abwägung der notwendigen Vertraulichkeitsregelungen und des informationellen Selbstbestimmungsrecht der Betroffenen zu überarbeiten – trage ich mit. Dabei möchte ich insbesondere drei Aspekte hervorheben.


3.3.3.1.1
Zugang zu den erforderlichen Unterlagen – Wahrung der Vertraulichkeit

Eine sinnvolle Kontrolltätigkeit, die dem verfassungsrechtlichen Auftrag der parlamentarischen Kontrolle der Exekutive und der Stellung der Abgeordneten gerecht wird, setzt voraus, dass die Abgeordneten Zugang zu den Unterlagen bekommen, die aus ihrer Sicht zur Erfüllung ihres Kontrollauftrags erforderlich sind.

Datenschutzrechtliche Grundsätze stehen einer Regelung nicht entgegen, wonach dem Kontrollgremium auch Unterlagen direkt zur Verfügung gestellt werden und nicht nur eine Einsicht in den Räumen des Landesamtes erfolgen kann. Die Richtlinien für den Umgang mit Verschlusssachen des Hessischen Landtages sehen grundsätzlich schon Möglichkeiten zum Umgang mit sensiblen Unterlagen vor. Ausgehend von den dortigen Regelungen zur Behandlung von Angelegenheiten, die als „Streng geheim“ eingestuft sind, ist auch eine Geschäftsordnungsvorgabe für die Parlamentarische Kontrollkommission möglich. Der Landesregierung muss allerdings die Möglichkeit verbleiben, in begründeten Fällen „nur“ ein Einsichtsrecht in den Räumen des Landesamtes zu gewähren.

Neben dem Schutz der Vertraulichkeit der Unterlagen ist selbstverständlich auch die Vertraulichkeit der Sitzungen sicherzustellen. Dazu ist es nicht nötig, die Nutzung jeglicher Geräte der Informationstechnik während der Sitzung zu untersagen. Bei allem Verständnis für ein Unbehagen bezogen auf die Abschöpfungsmöglichkeiten von Handys und ähnlichen Geräten halte ich es doch für zu weit gehend, jegliche Nutzung von elektronischen Geräten während der Sitzung zu untersagen, wie es der CDU/FDP-Entwurf vorsah. Sinnvoller erscheint es mir, für einen Sitzungsraum zu sorgen, der entsprechend technisch abhörsicher ausgestattet ist. Die Mehrheit des Landtages hat sich in diesem Punkt jedoch dem restriktiven Vorschlag des CDU/FDP-Entwurfes angeschlossen.


3.3.3.1.2
Dokumentation der Beratungen

Eine effektive Kontrolltätigkeit erfordert, dass der Gegenstand der Erörterung in der Parlamentarischen Kontrollkommission nachträglich eindeutig bestimmt werden kann und dass zu einem späteren Zeitpunkt die Möglichkeit besteht, zu prüfen, ob Konsequenzen aus der Beratung gezogen worden sind.

Die Frage, ob die Landesregierung ihre Unterrichtungspflicht im notwendigen Maße zum jeweiligen Zeitpunkt erfüllt hat, erfordert ein Protokoll, das mehr als die Benennung des Beratungsgegenstandes zum Inhalt hat, was der CDU/FDP-Entwurf vorsah.

Sollen sich die Mitglieder der Parlamentarischen Kontrollkommission ernsthaft mit ihrer Kontrollaufgabe auseinandersetzen, muss es ihnen zudem auch möglich sein, Notizen zum Gebrauch über die jeweilige Sitzung hinaus zu fertigen. Daher wäre es ein Eingriff in die freie Mandatsausübung der Abgeordneten, wenn Notizen zum Ende einer Sitzung eingesammelt und dann vernichtet würden.

Seit der Erfindung der Schrift ist es überholt, sich allein auf das Gedächtnis zu verlassen. Zur Wahrung der Vertraulichkeit der Beratungsgegenstände ist eine Regelung denkbar, wie sie für die Behandlung der Verschlusssachen gilt: Die Aufbewahrung im verschlossenen Umschlag und Zugang lediglich in den Räumen der für Verschlusssachen zuständigen Stelle des Landtages. So kann die Arbeit der Abgeordneten sinnvoll unterstützt werden und gleichzeitig die Vertraulichkeit solcher Notizen gewahrt werden. Meinem Vorschlag zum Umgang mit solchen Notizen wurde dann letztlich auch gefolgt.


3.3.3.1.3
Fachliche Unterstützung

Dem parlamentarischen Kontrollgremium und auch den einzelnen Mitgliedern sollte zudem eine sachkundige Unterstützung möglich sein.

Für komplexere Fragestellungen ist die Unterstützung durch eigene Mitarbeiter nicht nur möglich, sondern geboten. Hierfür sollten Regelungen sowohl zu den Voraussetzungen als auch zur Sicherstellung der Vertraulichkeit für derartige Tätigkeiten geschaffen werden, wie es sie auf Bundesebene und in anderen Bundesländern gibt. Eine solche Regelung fand leider keine Mehrheit im Parlament.

Auch die Unterstützung durch Sachverständige halte ich grundsätzlich für zulässig. Es versteht sich von selbst, dass die Anforderungen an die Vertraulichkeit auch in diesem Zusammenhang zu wahren sind. Folglich bedarf es einer Regelung, welche Informationen Sachverständigen zugänglich sind, wie die Informationen zugänglich gemacht werden, in welcher Form der Sachverständigenbericht abzufassen ist und schließlich wie die Parlamentarische Kontrollkommission bzw. ihre Mitglieder mit dem vorgelegten Bericht umzugehen haben. Die dazu nunmehr realisierte Regelung bleibt in ihrem Gehalt leider deutlich dahinter zurück.

Begrüßt habe ich, dass schon in den Entwürfen vorgesehen war, dem Kontrollgremium die Möglichkeit zu eröffnen, auch den Hessischen Datenschutzbeauftragten um Stellungnahmen zu bitten. Die nunmehr gefundene Regelung ist allerdings nicht sehr konkret.


3.3.3.1.4
Ergebnis der parlamentarischen Beratung

Da das Gesetz in der vorherigen Fassung bis zum 31. Dezember 2012 befristet war, bestand die Notwendigkeit, rechtzeitig eine Novellierung zu beschließen. Daher blieb die Diskussion über eine Neuausrichtung der Arbeit des Verfassungsschutzes insgesamt im Wesentlichen aus. Es wurden zu den genannten Punkten durch die Mehrheit des Landtages auch nur wenige Änderungen vorgenommen. Das Gesetz zur Änderung des Gesetzes über das Landesamt für Verfassungsschutz wurde am 12. Dezember 2012 (GVBl. 2012 S. 578 bis 580) verkündet. Neben den Ergänzungen zur Tätigkeit der Parlamentarischen Kontrollkommission gab es Änderungen durch eine Neustrukturierung der Befugnisse des Landesamtes für Verfassungsschutz zu den besonderen Auskunftsersuchen.


3.3.3.1.5
Erneutes Novellierungsvorhaben

Im laufenden Jahr wurde durch die SPD-Fraktion ein weiterer Gesetzentwurf zur Neuausrichtung des Verfassungsschutzes in Hessen und zur Stärkung der parlamentarischen Kontrolle (LTDrucks. 18/7352) eingebracht. Zielsetzung dieses Gesetzentwurfs war erneut zum einen eine Erweiterung der Befugnisse der Kontrollkommission ergänzt um die Möglichkeit für die Kommissionsmitglieder, sich durch Zuarbeit von Beschäftigten unterstützen zu lassen. Zum anderen sollten bestimmte Sachverhalte auch parlamentsöffentlich diskutiert werden können. Gleichzeitig sollten die Aufgaben und Arbeitsweisen des Landesamtes für Verfassungsschutz neu strukturiert werden. Die Kritik aus dem vorangegangenen Gesetzgebungsverfahren war in diesem Entwurf größtenteils berücksichtigt worden.

Ausdrücklich zu begrüßen in diesem Zusammenhang war das Anliegen, im Gesetz die Anwendungsmöglichkeiten für nachrichtendienstliche Mittel näher zu präzisieren. Darüber hinaus sollten im Interesse der Zusammenarbeit mit den Verfassungsschutzbehörden des Bundes und der Länder auch die Regelungen zum Informationsaustausch konkretisiert werden.

Zu diesem Gesetzentwurf fand zwar ebenfalls eine Anhörung durch den Innenausschuss statt. Eine Auswertung dieser Anhörung und eine Entscheidung des Parlaments hat es in der abgelaufenen Legislatur jedoch nicht mehr gegeben.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.4 Ausländerwesen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.4.1 Ausschreibung im Schengener Informationssystem zur Einreiseverweigerung und Befristung der Wirkung der Ausweisung


Eine nach deutschem Recht unbefristete Ausweisungsverfügung steht der Löschung einer Ausschreibung im Schengener Informationssystem entgegen. Nach neuer Rechtsprechung hat jedoch ein Ausländer oder eine Ausländerin aus einem Drittstaat einen grundsätzlichen Anspruch auf eine Befristung der Sperrwirkung, was sich auf die Dauer dieser Ausschreibung auswirkt.

3.3.4.1.1
Sachverhalt

Ein Drittausländer wurde durch die Ausländerbehörde eines hessischen Landkreises im Jahr 1994 aufgrund besonderer Gefährlichkeit ausgewiesen und abgeschoben. Seitdem reiste er erneut mehrfach illegal in das Bundesgebiet ein und beging während dieser Zeit erneut Straftaten. 2010 wurde er letztmalig abgeschoben. Zudem erfolgte eine Ausschreibung im Schengener Informationssystem (SIS). Der Betroffene hat im April 2013 die nachträgliche Befristung der Wirkung der Abschiebung beantragt.

Die Ausländerbehörde teilte auf Nachfrage mit, dass regelmäßig geprüft werde, ob die SIS-Ausschreibung des Ausländers gelöscht werden könne. Bisher habe sie jedoch an der SIS-Ausschreibung festhalten müssen, da die Wirkung der Ausweisung noch nicht befristet wurde. Der betroffene Drittausländer wandte sich an mich, da nach seiner Auffassung eine Verlängerung der SIS-Ausschreibung nicht rechtmäßig sei.


3.3.4.1.2
Rechtliche Beurteilung

Gemäß § 11 Abs. 1 Satz 1 AufenthG darf ein Ausländer, der ausgewiesen, zurückgeschoben oder abgeschoben worden ist, nicht erneut in das Bundesgebiet einreisen und sich darin aufhalten (gesetzliche Sperrwirkung). Zugleich führt der Vollzug dieser Maßnahmen i.d.R. dazu, dass der Ausländer im SIS gem. Art. 24 Abs. 3 der Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) zur Einreiseverweigerung ausgeschrieben wird mit der Folge, dass dieses Einreiseverbot für das gesamte Schengen-Gebiet gilt.

Art. 24 Abs. 1 und 3 SIS II-Verordnung

(1) Die Daten zu Drittstaatsangehörigen, die zur Einreise oder Aufenthaltsverweigerung ausgeschrieben sind, werden aufgrund einer nationalen Ausschreibung eingegeben, die auf einer Entscheidung der zuständigen Verwaltungsbehörden oder Gerichte beruht, wobei die Verfahrensregeln des nationalen Rechts zu beachten sind; diese Entscheidung darf nur auf der Grundlage einer individuellen Bewertung ergehen. Rechtsbehelfe gegen diese Entscheidungen richten sich nach den nationalen Rechtsvorschriften.

(3) Eine Ausschreibung kann auch eingegeben werden, wenn die Entscheidung nach Absatz 1 darauf beruht, dass der Drittstaatsangehörige ausgewiesen, zurückgewiesen oder abgeschoben worden ist, wobei die Maßnahme nicht aufgehoben oder ausgesetzt worden sein darf, ein Verbot der Einreise oder gegebenenfalls ein Verbot des Aufenthalts enthalten oder davon begleitet sein muss und auf der Nichtbeachtung der nationalen Rechtsvorschriften über die Einreise oder den Aufenthalt von Drittstaatsangehörigen beruhen muss.


Die gesetzliche Sperrwirkung, d.h. das unbefristete Einreise- und Aufenthaltsverbot des § 11 Abs. 1 AufenthG, trat bei dem betroffenen Drittstaatsangehörigen ein, da die Abschiebung tatsächlich vollzogen worden war. Der Vollzug hat zudem bewirkt, dass er im SIS zur Einreiseverweigerung ausgeschrieben wurde. Artikel 29 der SIS II-Verordnung regelt, wie lange eine Ausschreibung im SIS erfolgt.

Artikel 29 Abs. 1, 2 und 4 SIS II-Verordnung

(1) Die gemäß dieser Verordnung in das SIS II eingegebenen Ausschreibungen werden nicht länger als für den verfolgten Zweck erforderlich gespeichert.

(2) Der ausschreibende Mitgliedstaat prüft innerhalb von drei Jahren nach Eingabe einer solchen Ausschreibung in das SIS II die Erforderlichkeit der weiteren Speicherung.

(4) Innerhalb der Prüffrist kann der ausschreibende Mitgliedstaat nach einer umfassenden individuellen Bewertung, die zu protokollieren ist, beschließen, die Ausschreibung noch beizubehalten, wenn dies für den der Ausschreibung zugrunde liegenden Zweck erforderlich ist. In diesem Fall gilt Abs. 2 auch für die Verlängerung.


Nach geltender Rechtslage ist also alle drei Jahre zu prüfen, ob die Ausschreibung noch erforderlich ist. Solange jedoch die Sperrwirkung des § 11 Abs. 1 AufenthG besteht, ist die Ausschreibung noch als erforderlich im Sinne des Artikels 29 Abs. 1, 2 und 4 der SIS II-Verordnung anzusehen. Die in dieser Vorschrift genannten Überprüfungsfristen haben keinen Einfluss auf die Sperrwirkung des § 11 Abs. 1 AufenthG. Vielmehr richtet sich die Dauer der SIS-Ausschreibung danach, wie lange die Sperrwirkung besteht.

Daher ist zunächst die Sperrwirkung zu befristen, wenn sich der Betroffene gegen die fortgesetzte SIS-Ausschreibung wenden möchte. Eine solche Befristung ermöglicht ihm § 11 Abs. 1 Satz 3 AufenthG.

§ 11 Abs. 1 Satz 1 bis 3 AufenthG

Ein Ausländer, der ausgewiesen, zurückgeschoben oder abgeschoben worden ist, darf nicht erneut in das Bundesgebiet einreisen und sich darin aufhalten. Ihm wird auch bei Vorliegen der Voraussetzungen eines Anspruchs nach diesem Gesetz kein Aufenthaltstitel erteilt. Die in den Sätzen 1 und 2 bezeichneten Wirkungen werden auf Antrag befristet.


Der Drittausländer hat vorliegend einen solchen Antrag auf Befristung der Wirkungen der Ausweisung gestellt, über den allerdings noch nicht entschieden wurde.

In der Zukunft könnte sich an der dargestellten Rechtslage etwas ändern durch eine Entscheidung des Bundesverwaltungsgerichts aus dem Jahr 2012 (BVerwG, 1C 19/11, NVwZ 2013, 365). Das höchste Verwaltungsgericht hat entschieden, dass Ausländer grundsätzlich einen Anspruch darauf haben, dass die Ausländerbehörde mit der Ausweisung zugleich die Sperrwirkung, also das daran geknüpfte Einreise- und Aufenthaltsverbot, befristet. Bei der Bemessung der Frist sollen zukünftig die individuellen Umstände des Einzelfalls maßgebend sein. Eine von vorneherein befristete Ausweisungsverfügung hat dann auch Auswirkungen auf die Dauer der SIS-Ausschreibung.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.4.2 Einverständniserklärung im Einbürgerungsverfahren – Anforderungen an Verständlichkeit und Vollständigkeit


Die Einverständniserklärung von Personen, die sich um eine Einbürgerung bewerben, mit der die Einbürgerungsbehörde Informationen bei öffentlichen Leistungsträgern (z.B. Jobcentern) einholt, muss für Betroffene verständlich sein und sie vollständig über den Zweck und den Umfang der Datenerhebung unterrichten.

Im Rahmen des Einbürgerungsverfahrens holen die Regierungspräsidien als zuständige Einbürgerungsbehörden eine Reihe von Informationen über Personen, die sich um die Einbürgerung bewerben, bei verschiedenen öffentlichen Stellen ein. Rechtsgrundlage hierfür sind die nach unterschiedlichen Arten der Einbürgerung differenzierenden Vorschriften des Staatsangehörigkeitsgesetzes (StAG). Regelmäßig ist auch die Auskunft über die finanzielle Situation einer Person, die sich um die Einbürgerung bewirbt, vorgesehen:

§ 10 Abs. 1 Nr. 3 StAG

Ein Ausländer, der seit acht Jahren rechtmäßig seinen gewöhnlichen Aufenthalt im Inland hat und handlungsfähig nach Maßgabe des § 80 des Aufenthaltsgesetzes oder gesetzlich vertreten ist, ist auf Antrag einzubürgern, wenn er
...
3. den Lebensunterhalt für sich und seine unterhaltsberechtigten Familienangehörigen ohne Inanspruchnahme von Leistungen nach dem Zweiten oder Zwölften Buch Sozialgesetzbuch bestreiten kann oder deren Inanspruchnahme nicht zu vertreten hat.


Daraus folgt, dass die Person, die sich um die Einbürgerung bewirbt, in bestimmten Fällen einen Nachweis zu erbringen hat, dass sie unverschuldet öffentliche Leistungen empfängt. In der Praxis sieht das Verfahren so aus, dass die Person schriftlich ihr Einverständnis erklärt, dass die Einbürgerungsbehörde Auskünfte beim zuständigen Leistungsträger einholen kann.

Für diese Einverständniserklärung haben die Behörden ein Formular verwendet, das von Einbürgerungswilligen auszufüllen war.

Die Formulierung dieser Erklärung wurde von einigen Leistungsträgern kritisiert. Das Regierungspräsidium Darmstadt bat insofern um meine Einschätzung. Eine Übermittlung von Sozialdaten bestimmt sich nach § 35 Abs. 2 SGB I i.V.m. § 67b SGB X.

§ 35 Abs. 2 SGB I

Eine Erhebung, Verarbeitung und Nutzung von Sozialdaten ist nur unter den Voraussetzungen des Zweiten Kapitels des Zehnten Buches zulässig.


§ 67b SGB X

(1) Die Verarbeitung von Sozialdaten und deren Nutzung sind nur zulässig, soweit die nachfolgenden Vorschriften oder eine andere Rechtsvorschrift in diesem Gesetzbuch es erlauben oder anordnen oder soweit der Betroffene eingewilligt hat.

(2) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der vorgesehenen Verarbeitung oder Nutzung sowie auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Die Einwilligung und der Hinweis bedürfen der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.


Nach ihrem Wortlaut beinhaltete die von den Behörden verwandte Einverständniserklärung lediglich, dass zur Prüfung der wirtschaftlichen Voraussetzungen Auskünfte über den Bezug von Leistungen nach dem SGB II bei der Agentur für Arbeit bzw. den für die Leistungserteilung zuständigen kommunalen Trägern eingeholt werden.

Für Personen, die sich um die Einbürgerung bewerben, ist aus dieser vorformulierten Einverständniserklärung nicht ersichtlich, dass mit den erhobenen Informationen geklärt werden soll, ob sie die Hilfebedürftigkeit zu vertreten haben (Klärung der Verschuldensfrage). Daher ist eine Datenübermittlung nicht von der Einverständniserklärung gedeckt.

Die Regierungspräsidien haben daher den Vordruck für die Einverständniserklärung überarbeitet. Aus dem neuen Formular geht ausdrücklich hervor, dass die Informationen bei den Leistungsträgern zur Klärung der Verschuldensfrage erhoben werden. Zusätzlich wird Personen, die sich um die Einbürgerung bewerben, die Möglichkeit gegeben, den Fragebogen, den die Einbürgerungsbehörde an den Leistungsträger übersendet, vor Unterzeichnung der Einverständniserklärung einzusehen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.4.3 Übermittlung von Lichtbildern durch Ausländerbehörden an Bußgeldstellen


Die Zulässigkeit der Übermittlung von Lichtbildern bzw. Ablichtungen von Ausweisdokumenten durch Ausländerbehörden an Bußgeldstellen kann nicht generell, sondern nur im Einzelfall beurteilt werden.

Verkehrsordnungswidrigkeiten werden in vielen Fällen durch stationäre Rotlichtüberwachungen bzw. Radarmessgeräte festgestellt, wobei ein Lichtbild des Fahrers oder der Fahrerin erzeugt wird. Sofern sich Betroffene im Bußgeldverfahren nicht zur Sache einlassen oder die Tat bestreiten, kann die Feststellung der Identität des Fahrer bzw. der Fahrerin durch einen Lichtbildabgleich erfolgen. Dazu fordert die Bußgeldstelle eine Ablichtung des Personalausweises oder Passes von den zuständigen Behörden an. Während für deutsche Staatsbürger das Passgesetz bzw. Personalausweisgesetz eindeutige Übermittlungsvorschriften für diese Fälle bereit hält, stellt sich die Situation für ausländische Staatsangehörige komplizierter dar. Die Ausländerbehörde einer hessischen Stadt trat an mich heran, um die einschlägigen Rechtsgrundlagen für die Übermittlung von Ausweisdokumenten zu erörtern.

Im konkreten Fall bat eine Bußgeldstelle in Baden-Württemberg die Ausländerbehörde um Übersendung eines Lichtbildes des Vaters des ermittelten Halters. Die Bußgeldstelle verwies als Rechtsgrundlage auf die Vorschriften der §§ 161 Abs. 1 StPO i.V.m. § 46 Abs. 1 OWiG.

§ 46 Abs. 1 OWiG

Für das Bußgeldverfahren gelten, soweit dieses Gesetz nichts anderes bestimmt, sinngemäß die Vorschriften der allgemeinen Gesetze über das Strafverfahren, namentlich der Strafprozessordnung, des Gerichtsverfassungsgesetzes und des Jugendgerichtsgesetzes.


§ 161 Abs. 1 S. 1 StPO

Zu dem in § 160 Abs. 1 bis 3 bezeichneten Zweck ist die Staatsanwaltschaft befugt, von allen Behörden Auskunft zu verlangen und Ermittlungen jeder Art entweder selbst vorzunehmen oder durch die Behörden und Beamten des Polizeidienstes vornehmen zu lassen, soweit nicht andere gesetzliche Vorschriften ihre Befugnisse besonders regeln.


Das in diesen Vorschriften verankerte Auskunftsrecht der Bußgeldstellen steht der eingeschränkten Befugnis zur Übermittlung personenbezogener Daten der Ausländerbehörde, bei der Lichtbilder hinterlegt sind, entgegen. Eine Übermittlungsbefugnis bzw. -verpflichtung kann zwar nicht auf bereichsspezifische Übermittlungsregelungen des Aufenthaltsgesetzes (§§ 90 ff.) gestützt werden, da sie nicht einschlägig sind. Herangezogen werden können aber die allgemeinen Datenübermittlungsvorschriften nach §§ 11 ff. HDSG. Nach § 13 Abs. 2 i.V.m. § 12 Abs. 2 Nr. 4 HDSG können Daten (Lichtbilder) unter Änderung des Zwecks der ursprünglichen Datenerhebung verarbeitet (übermittelt) werden, wenn sich bei der übermittelnden Behörde Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben.

§ 13 Abs. 2 HDSG

Sollen personenbezogene Daten zu Zwecken verarbeitet werden, für die sie nicht erhoben oder gespeichert worden sind, dann ist dies nur aus den in § 12 Abs. 2 und 3 genannten Gründen zulässig. Besondere Amts- oder Berufsgeheimnisse bleiben unberührt.


§ 12 Abs. 2 Nr. 4 HDSG

Bei öffentlichen Stellen dürfen Daten im Einzelfall ohne seine Kenntnis nur erhoben werden, wenn
...
4. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben oder
...


Die Ausländerbehörde als übermittelnde Stelle hat dabei gemäß § 14 HDSG die Zuständigkeit des Empfängers und die Schlüssigkeit der Anfrage zu überprüfen. Bei Rotlichtverstößen oder Geschwindigkeitsüberschreitungen ist die Bußgeldstelle zumeist nur durch einen Lichtbildabgleich in der Lage, den Täter zu identifizieren, sodass die Schlüssigkeit zu bejahen ist. Bei dem bloßen Hinweis auf das Vorliegen einer nicht näher bezeichneten Ordnungswidrigkeit kann die Ausländerbehörde die Schlüssigkeit der Datenübermittlung jedoch nicht überprüfen. Gleiches gilt für das Anfordern von Lichtbildern von Personen, die nicht mit dem Halter übereinstimmen. Sofern nicht nachvollziehbar ist, weshalb ein Lichtbild angefordert wird, verbietet sich eine Datenübermittlung. Hier muss die Ausländerbehörde zunächst weitere Informationen einholen. So muss sie zum Beispiel klären, um welche Ordnungswidrigkeit es sich handelt oder in welchem Verhältnis eine Person, die an der Ordnungswidrigkeit nicht unmittelbar beteiligt ist, deren Lichtbild aber angefordert wird, zu dem Täter steht. Erst durch eine Überprüfung der Einzelfallumstände kann die Zulässigkeit der Datenübermittlung beurteilt werden.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.5 Schulen, Schulverwaltung, Hochschulen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.5.1 Online-Bewerbungsverfahren für Wohnraum des Studentenwerks Darmstadt


Bislang wurde das Verfahren, mit dem sich an den Universitäten und Hochschulen in Darmstadt Studierende für vom Studentenwerk Darmstadt zu vermietenden Wohnraum bewerben konnten, in Papierform abgewickelt. Im Berichtsjahr wurde dieses Verfahren durch ein Online-Verfahren ersetzt. Bei der datenschutzgerechten Gestaltung des Verfahrens habe ich das Studentenwerk beraten.

3.3.5.1.1
Funktion des Verfahrens

Das Studentenwerk in Darmstadt verwaltet und vermietet einen umfangreichen Bestand an Wohnungen und Zimmern für die an den Universitäten und Hochschulen in Darmstadt Studierenden. Potenzielle Interessenten für eine Wohnung oder ein Zimmer können auf der Internetseite des Studentenwerks eine Seite aufrufen, die zu einem Online-Bewerbungsportal führt. Dort ist ein Aufnahmeantrag hinterlegt, welcher von der Bewerberin oder dem Bewerber ausgefüllt und abgeschickt werden muss. Der Online-Antrag wird auf einem vom Studentenwerk betriebenen Web-Server abgelegt. Erfolgt die Bewerbung nicht korrekt, erhält der bzw. die Betroffene einen Hinweis und hat die Möglichkeit, den Antrag erneut auszufüllen oder zu korrigieren. Ist der Antrag korrekt ausgefüllt, erhält der Bewerber bzw. die Bewerberin automatisch eine E-Mail zugesandt, welche er bzw. sie über einen Link bestätigen muss. Wird die E-Mail nicht bestätigt, so wird die Bewerbung nicht aktiv. Im anderen Fall wird die E-Mail-Adresse aktiviert und die Bewerbung mit den im Online-Antrag hinterlegten Daten vom Web-Server auf einen Datenbankserver des Studentenwerks übernommen. Alle auf dem Datenbankserver hinterlegten Bewerberanträge werden von den hierfür zuständigen Beschäftigten des Studentenwerks abgerufen, um eine Überprüfung der Bewerbung auf Vollständigkeit und inhaltlicher Plausibilität durchzuführen. Ergibt diese, dass die Bewerbung durch die Sachbearbeitung inhaltlich nicht weiter bearbeitet werden kann, so erfolgt zum einen eine Absage an den Bewerber bzw. die Bewerberin, zum anderen die Löschung der Bewerbung aus dem System, denn der Antrag ist ggf. neu oder in korrigierter Form zu stellen und wird dann neu eingespeist. Erfolgt die Übernahme der Bewerbung, so wird diese in eine Warteschlange weitergeleitet, welche alle vorgeprüften Bewerbungen in einem Rhythmus von 15 Minuten zu einem zweiten Server überträgt. Aus diesem werden die Daten entnommen und die gewünschte Wohnung mit dem bestehenden Angebot abgeglichen.

Systemseitig werden der Antragssachbearbeitung alle freien Wohnobjekte angezeigt. In einem weiteren Lauf wird deren Verfügbarkeit überprüft. Danach werden die Bewerbergruppen den von diesen nachgefragten Objekten zugeordnet. Im Anschluss daran wird eine Sortierung nach dem zeitlichen Eingang der Bewerbung vorgenommen. Dem Bewerber bzw. der Bewerberin wird im weiteren Verfahrensablauf eine E-Mail mit einem Mietvertragsangebot übermittelt. Der oder die Betroffene bestätigt das Mietvertragsangebot durch die Überweisung der Kaution. Wird der Mietvertrag nicht bestätigt, geht die Bewerbung zurück in die Bewerbergruppe und wird zunächst an den letzten Platz gesetzt, um zu einem späteren Zeitpunkt erneut bearbeitet zu werden.


3.3.5.1.2
Technische Verarbeitung und Sicherheitsmaßnahmen

Ursprünglich wollte das Studentenwerk Darmstadt einen externen Dienstleister im Wege einer Auftragsdatenverarbeitung nach § 4 HDSG mit der technischen Gestaltung und Abwicklung des Verfahrens betrauen. Schließlich entschied man sich aber für eine interne Lösung. Die Webseite für die Online-Bewerbung liegt jetzt auf einem Webserver im Serverraum des Studentenwerks Darmstadt. Der Server ist durch eine Firewall gesichert. Der Zugriff von außen ist nur auf einen bestimmten Port (https) erlaubt. Das hat zur Konsequenz, dass ausschließlich eine verschlüsselte Kommunikation zwischen Bewerber bzw. Bewerberin und dem Studentenwerk stattfindet. Hierfür wird ein Domänen-Zertifikat der Firma Globalsign mit 2048 Bit verwendet. Der Datenbankserver, auf den die Bewerberdaten übernommen werden, ist durch zwei Firewalls gesichert.


3.3.5.1.3
Datenschutzrechtliche Problempunkte

Das Studentenwerk hatte mich bei der Entwicklung des Online-Verfahrens um Beratung gebeten. Erste Fragestellungen betrafen die inhaltlichen Daten, welche die Bewerber in dem Online-Fragebogen eintragen sollten. Richtig ist, dass die zuständigen Stellen des Studentenwerks alle Daten an die Hand bekommen sollen, die benötigt werden, um das Vergabeverfahren nach den tatsächlichen Bedürfnissen der Studierenden ausgerichtet zu steuern. Fragen nach der gewünschten Wohnform, der Hochschule, der Mietobergrenze oder den klassischen Personendaten wie Name, Vorname, Geschlecht, Familienstand, Anzahl der Kinder oder Telefonnummer sind da selbstverständlich. Allerdings gab es in der Bewerber-Warteschlange, also nach Annahme des Antrags, einen Vorgang, bei dem die Sachbearbeiter eine „Prüfung der Bewerber auf Gründe für eine besondere Aufnahme (Behinderung)“ vornehmen sollten. Dabei handelt es sich um ein Datum nach § 7 Abs. 4 HDSG.

§ 7 Abs. 4 HDSG

Soweit nicht eine Rechtsvorschrift die Verarbeitung personenbezogener Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben vorsieht oder zwingend voraussetzt, darf eine Verarbeitung nur nach §§ 33 bis 35 und 39 erfolgen. Im Übrigen ist eine Verarbeitung aufgrund dieses Gesetzes nur zulässig, wenn sie ausschließlich im Interesse des Betroffenen liegt und der Hessische Datenschutzbeauftragte vorab gehört worden ist.


Bei derartigen Daten handelt es sich nachvollziehbar um besonders sensible Personendaten, deren Verarbeitung grundsätzlich untersagt ist, soweit nicht eine Rechtsvorschrift dies vorsieht oder aber zwingend voraussetzt. Eine derartige Fallkonstellation ist jedoch offensichtlich nicht gegeben. Das Studentenwerk hat in der Folge auf die Erhebung derartiger Merkmale verzichtet.

Wesentliche Punkte zum technischen und organisatorischen Datenschutz nach § 10 Abs. 2 HDSG waren nicht oder nicht hinreichend beschrieben.

§ 10 Abs. 2 HDSG

Werden personenbezogene Daten automatisiert verarbeitet, ist das Verfahren auszuwählen oder zu entwickeln, welches geeignet ist, so wenig personenbezogene Daten zu verarbeiten, wie zur Erreichung des angestrebten Zwecks erforderlich ist. Außerdem sind Maßnahmen schriftlich anzuordnen, die nach dem jeweiligen Stand der Technik und der Art des eingesetzten Verfahrens erforderlich sind, um zu gewährleisten, dass

  1. Unbefugte an der Benutzung von Datenverarbeitungsanlagen und -verfahren gehindert werden (Benutzerkontrolle),
  2. die zur Benutzung eines Datenverarbeitungsverfahrens Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
  3. personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),
  4. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),
  5. personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  6. durch eine Dokumentation aller wesentlichen Verarbeitungsschritte die Überprüfbarkeit der Datenverarbeitungsanlage und des -verfahrens möglich ist (Dokumentationskontrolle),
  7. die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Informationen über die Zutritts-, Benutzer-, Zugriffs-, Datenverarbeitungs-, Verantwortlichkeits- und Auftragskontrolle mussten vom Studentenwerk konkretisiert werden. Danach wurde deutlich, dass der Zutritt zum Serverraum reglementiert und bis auf einige wenige Funktionsträger beschränkt ist.

Die konkretisierten Angaben zur Benutzerkontrolle machten deutlich, dass mit Benutzer-ID und einem achtstelligen Passwort (Groß-/Kleinbuchstabe, Zahl und Sonderzeichen) drei von vier möglichen Kriterien nach dem BSI-Standard entsprochen war.

In punkto Rollenkonzept lieferte die IT-Abteilung des Studentenwerks eine dezidierte Beschreibung der Vergabe von Rechten an einzelne Funktionsträger. Damit ist sichergestellt, dass nur Personen entsprechend ihrer Funktion lesenden, schreibenden oder gar Zugriffe erhalten, die ein Verändern der Daten oder deren Löschung ermöglichen.

Schließlich musste das Thema Löschung der personenbezogenen Daten eingehend erörtert werden.

§ 19 Abs. 3 HDSG

Personenbezogene Daten sind unverzüglich zu löschen, sobald feststeht, daß ihre Speicherung nicht mehr erforderlich ist, um die Zwecke zu erfüllen, für die sie erhoben worden sind oder für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen. Wenn bei der Speicherung nicht absehbar ist, wie lange die Daten benötigt werden, ist nach einer auf Grund der Erfahrung zu bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Satz 1 findet keine Anwendung, wenn Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.


Da eine bereichsspezifische Regelung für die Löschung der personenbezogenen Daten fehlt, muss sich die Daten verarbeitende Stelle an den hierzu im HDSG getroffenen festgelegten Maßstäben orientieren. Die Löschung der Personendaten hat nach § 19 Abs. 3 HDSG unverzüglich zu erfolgen, soweit diese zur Aufgabenerfüllung des Datenverarbeiters nicht mehr erforderlich sind. In das Löschkonzept des Studentenwerks wurde mit meiner Hilfe ein abgestuftes Verfahren implementiert, welches sowohl den Belangen der Bewerber selbst als auch denen des Studentenwerks Rechnung trägt. Die Daten auf dem Webserver, also das ausgefüllte Online-Formular, werden nach der E-Mail-Bestätigung des Bewerbers gelöscht. Die Daten, die auf den Datenbankserver übertragen wurden (vollständig und korrekt ausgefüllte Bewerbung), werden nach Ablauf von sechs Monaten gelöscht, wenn kein Mietvertrag zustande kommt. Daten der Mieter, die auf dem Datenbankserver hinterlegt sind, werden nach dem Ablauf von 36 Monaten nach Beendigung des Mietverhältnisses gelöscht.


3.3.5.1.4
Fazit

Für das Online-Bewerbungsverfahren des Studentenwerks Darmstadt konnte eine allgemein akzeptierte und datenschutzgerechte Verfahrensweise erarbeitet werden. Hilfreich war vor allem, dass der Betreiber des Verfahrens vor der Inbetriebnahme des Systems den Kontakt zu den zuständigen Mitarbeiterinnen und Mitarbeitern meines Hauses gesucht hat. Dadurch war es möglich, datenschutzrechtliche Disparitäten im Vorfeld zu erkennen, zu diskutieren und im Nachgang die Schwachstellen zu beseitigen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.5.2 Videoüberwachung an Schulen bleibt ein Dauerthema


Das Thema Videoüberwachung an Schulen hat sich zu einem Dauerbrenner entwickelt. Auch im abgelaufenen Berichtsjahr ist es zu einer nicht unerheblichen Anzahl von Anfragen gekommen. Breiten Raum nahm die Diskussion um die Überwachung an Schulen im Landkreis Hersfeld-Rotenburg ein.

Der Einsatz von Videokameras ist nichts anderes als eine automatisierte Form der Verarbeitung personenbezogener (Bild)-Daten. Eine spezifische rechtliche Grundlage für deren Einsatz in Schulen etwa im Schulgesetz oder in den einschlägigen Verordnungen zur Datenverarbeitung in Schulen gibt es nicht. Auch das Hessische Datenschutzgesetz hilft in diesem Fall nicht weiter. So bleibt bis auf Weiteres einzig das Hessische Gesetz über die Sicherheit und Ordnung (HSOG) vom 14. Januar 2005 (GVBl. I S. 14), um hilfsweise den Betrieb einer Überwachungsanlage in Schulen rechtfertigen zu können.

§ 14 Abs. 1, 3 und 4 HSOG

(1) Die Polizeibehörden können personenbezogene Daten auch über andere als die in den §§ 6 und 7 genannten Personen bei oder im Zusammenhang mit öffentlichen Veranstaltungen oder Ansammlungen erheben, wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass bei oder im Zusammenhang mit der Veranstaltung oder Ansammlung Straftaten oder nicht geringfügige Ordnungswidrigkeiten drohen. Die Unterlagen sind spätestens zwei Monate nach Beendigung der Veranstaltung oder Ansammlung zu vernichten, soweit sie nicht zur Abwehr einer Gefahr, zur Verfolgung einer Straftat oder Ordnungswidrigkeit oder zur Strafvollstreckung benötigt werden. Eine Verarbeitung für andere Zwecke ist unzulässig. § 20 Abs. 7 bleibt unberührt.

(3) Die Polizeibehörden können zur Abwehr einer Gefahr oder wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass Straftaten drohen, öffentlich zugängliche Orte mittels Bildübertragung offen beobachten und aufzeichnen. Der Umstand der Überwachung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. Fest installierte Anlagen dürfen unabhängig davon, ob die Voraussetzungen für ihre Errichtung nach Satz 1 noch vorliegen, zwei Jahre lang betrieben werden; die Frist verlängert sich entsprechend, wenn die Voraussetzungen weiterhin vorliegen. Abs. 1 Satz 2 und 3 sowie 15 des Hessischen Datenschutzgesetzes gelten entsprechend.

(4) Die Gefahrenabwehrbehörden können mittels Bildübertragung offen beobachten und aufzeichnen

  1. zur Sicherung öffentlicher Straßen und Plätze, auf denen wiederholt Straftaten begangen worden sind, sofern tatsächliche Anhaltspunkte für weitere Straftaten bestehen,
  2. zum Schutz besonders gefährdeter öffentlicher Einrichtungen,
  3. zur Steuerung von Anlagen zur Lenkung oder Regelung des Straßenverkehrs, soweit Bestimmungen des Straßenverkehrsrechts nicht entgegenstehen.

Gefahrenabwehrbehörde im Sinne der Nr. 2 ist auch der Inhaber des Hausrechts. Abs. 1 Satz 2 und 3, Abs. 3 Satz 2 und 3 sowie § 15 Hessisches Datenschutzgesetz gelten entsprechend.

3.3.5.2.1
Videoüberwachung an Schulen im Landkreis-Hersfeld-Rotenburg

Bereits im Zusammenhang mit der Vorstellung meines 41. Tätigkeitsberichts im Frühjahr vergangenen Jahres hatte das Thema Videoüberwachung an Schulen breiten Raum eingenommen, obwohl ich keine Einzelfälle geschildert, sondern nur unter der Ziff. 3.3.3.3 ausführliche Erläuterungen zu den rechtlichen Rahmenbedingungen für derartige Maßnahmen abgegeben hatte. Zu diesem Zeitpunkt hatte mich gerade die Anfrage der Ersten Kreisbeigeordneten und Schuldezernentin des Landkreises Hersfeld-Rotenburg hinsichtlich der datenschutzrechtlichen Zulässigkeit des Einsatzes von Videotechnik an fünf Schulen erreicht, die eine umfangreiche Diskussion auslöste, an der sich auch Presse, Rundfunk und Fernsehen intensiv beteiligten.


3.3.5.2.1.1
Umfang der an den Schulen eingesetzten Videotechnik

Die auf die Anfrage hin eingeleiteten Recherchen meines Mitarbeiters förderten Erstaunliches zu Tage. Von den 49 Schulen im Landkreis Hersfeld-Rotenburg waren an fünf Schulen Kameras installiert. Bemerkenswert war dabei nicht nur der Umstand, dass es sich um vermeintlich kleine und überschaubare Einrichtungen, wie z.B. eine Grundschule mit 160 Kindern, handelte. Gleichermaßen auffällig war die unterschiedliche Ausgestaltung hinsichtlich der Anzahl der installierten Kameras sowie der überwachten Räume und Eingänge bzw. des Außengeländes.


3.3.5.2.1.1.1
Gesamtschule Schenklengsfeld

In der Gesamtschule Schenklengsfeld mit ihren 500 Schülerinnen und Schülern sind seit dem Jahr 2010 etwa 22 Kameras installiert, welche die Eingangstüren sowie die ebenerdigen Fensterfronten (mit Ausnahme des Lehrerzimmers) überwachen. Im Innenbereich werden alle Flure in beiden Etagen (Erdgeschoss und Obergeschoss) sowie das Foyer und der Aufenthaltsbereich der Schüler erfasst. Ebenfalls je eine Kamera ist in allen Schülertoiletten installiert. Diese zeichnen die Aktivitäten im Vorraum (Waschraum) der eigentlichen Toilettenanlage auf.


3.3.5.2.1.1.2
Gesamtschule Niederaula

In der Gesamtschule Niederaula (600 Schülerinnen und Schüler) wurden Kameras nach der Sanierung des Gebäudes installiert. Dabei handelt es sich um 16 Kameras sowie drei Attrappen. Diese sind im Außenbereich an den Eingängen installiert bzw. decken den Bereich des Schulhofs sowie die Außenwände ab. Im Innenbereich werden die Flure aller drei Etagen sowie das Foyer abgedeckt. Die Toilettenvorräume werden ebenfalls überwacht.


3.3.5.2.1.1.3
Gesamtschule Bebra

Hier zählt die Schülerzahl ca. 360 Köpfe. Im Jahr 2004, also vor fast zehn Jahren(!) wurde eine Videoanlage mit vier Einheiten installiert. Die Toilettenräume, der Aufenthaltsraum und der Haupteingang sind im Aufnahmefeld. Mit Kameraattrappen wird der Eindruck erweckt, als würde auch die hintere, dem Haupteingang gegenüber liegende Seite überwacht.


Konrad-Duden-Schule Bad Hersfeld

Die von 600 Schülerinnen und Schülern besuchte Gesamtschule hat ausschließlich im Außenbereich Kameras installiert. Überwacht werden der Schulhof sowie Vorder- und Hintereingang. Die Maßnahme wurde im Jahr 2012 realisiert.


3.3.5.2.1.1.5
Grundschule „An der Sommerseite“ Bad Hersfeld

Etwa 130 Kinder besuchen diese Schule. Nur der Außenbereich wird von fünf Kameras überwacht. Hierzu zählen u.a. die Treppe zum Haupteingang, der Eingang selbst sowie die vordere Fassade eines Neubaues. Hinzu kommt der Schulhof.


3.3.5.2.1.2
Technische Maßnahmen zur Umsetzung der Videoüberwachung

Die vorgenommenen technischen Maßnahmen sind in fast allen Fällen ähnlich realisiert. Es werden keine durchlaufenden Bilder erzeugt. Vielmehr findet eine Speicherung der Bilddaten statt. Das Aufzeichnungsgerät steht in der Regel in einem Raum, der vom Hausmeister der Schule genutzt wird. Bis zum Zeitpunkt der Anfrage an mein Haus war der Zugriff auf die Aufzeichnungen dem Hausmeister, der Schulleitung und in einigen Fällen bestimmten Lehrern möglich. Im weiteren Verlauf wurde der Zugriff auf dem Rekorder passwortgeschützt. Hausmeister und Schulleitung hatten je einen Teil des Passwortes, sodass ein Vier-Augen-Prinzip realisiert war. In einigen Fällen waren die Kameras mit einem Bewegungsmelder verbunden, zeichneten also nur dann auf, wenn über den Melder der Eintritt einer Person in eine bestimmte Zone angezeigt wurde. Hinweise über die Videoüberwachung wurden in allen Schulen angebracht. Die Überwachung ist zeitlich nicht begrenzt und fand bis in den September vergangenen Jahres rund um die Uhr, also auch während des laufenden Schulbetriebs statt.


3.3.5.2.1.3
Motive für die Videoüberwachung

Bekanntermaßen sind insbesondere Schulen immer wieder das Ziel von Einbrüchen, sehen sich aber auch mit den unterschiedlichsten Formen von Vandalismus konfrontiert. Im Fall der in Rede stehenden Schulen kam es in der Vergangenheit auch immer wieder zu gravierenden Beschädigungen der Toilettenanlagen. Aber auch Außenwände wurden wiederholt in Mitleidenschaft gezogen, sodass sowohl der Schulträger, also der Landkreis Hersfeld-Rotenburg, als auch in der Mehrzahl die Schulleiterinnen oder Schulleiter es als ebenso probates wie legitimes Mittel ansahen, das Problem durch die Installierung von Kameras auch und insbesondere im Toilettenbereich in den Griff zu bekommen. Der Erfolg gab den Initiatoren vermeintlich Recht. Die Verschmutzung bzw. Beschädigung der Toilettenanlagen ging drastisch zurück, vermeintliche oder tatsächliche Verursacher wurden unter Zuhilfenahme der aufgezeichneten Bilder zur Verantwortung gezogen. Vom Ergebnis her kann der Schulträger eine nicht unbeträchtliche Summe von Renovierungskosten einsparen, die Reinigungskräfte sind nicht mehr mit teilweise übelster Form von Verunreinigung konfrontiert und Kinder sowie Jugendliche können saubere Toiletten benutzen.


3.3.5.2.1.4
Rechtliche und tatsächliche Gründe gegen die Videoüberwachung

Um es vorweg zu nehmen: Selbstverständlich will der Datenschutz nicht die Bemühungen derjenigen konterkarieren, die sich für saubere Schultoiletten und eine möglichst vandalismusfreie Schule exponieren. Auch ist es nicht hinnehmbar, wenn Kinder in der Schulzeit den Gang auf verschmutzte Toiletten meiden und deshalb z.B. die Einnahme von Flüssigkeit unterlassen. Dass es sich bei Vandalismus um kein Kavaliersdelikt handelt, ist klar. Dennoch müssen sich Schulträger und Schulleitungen an bestehendes Recht und Gesetz halten. So ist schon die Installation einer Videoüberwachung (nicht nur) an Schulen an Bedingungen geknüpft. In Ermangelung einer allgemeinen Rechtsgrundlage im HDSG kann in diesen Fällen die Videoüberwachung nur auf die engen Voraussetzungen des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) gestützt werden. So ist nach § 14 Abs. 4 Nr. 2 HSOG die Videoüberwachung nur zum Schutz einer besonders gefährdeten öffentlichen Einrichtung erlaubt. Schulen sind nicht von vorneherein besonders gefährdete öffentliche Einrichtungen im Sinne des HSOG. Kriterien für die besondere Gefährdung sind die Eintrittswahrscheinlichkeit und die Größe des Schadens. Es reicht also nicht aus, wenn es einmal zu einem Vandalismusschaden gekommen ist. Ebenso sind verschmutzte oder beschädigte Toilettenanlagen unabhängig von dem Ärgernis kein Kriterium, welches die Installation von Videokameras rechtfertigen könnte. Vielmehr müssen derart schwerwiegende Beeinträchtigungen vorliegen, dass der Einsatz von Videotechnik zum Schutz der Einrichtung oder von Personen erforderlich ist und in Abwägung mit dem Rechtseingriff bei den Personen, deren Verhalten aufgezeichnet wird, verhältnismäßig erscheint.

Konkret bedeutet das die Möglichkeit zum Einsatz der Technik dann, wenn schwere Sachbeschädigungen in dem zur Überwachung vorgeschriebenen Bereich aufgetreten sind oder aber gehäuft tätliche Angriffe gegen Dritte zu verzeichnen sind. Ebenso kann man damit besonders schweren oder häufigen Straftaten (z.B. Drogenkriminalität) entgegenwirken. Das Bundesverwaltungsgericht hat in seinem Urteil vom 25. Januar 2012 (BVerwGE 141, 329) hierfür Kriterien entwickelt. Für die Beurteilung der Verhältnismäßigkeit spielt die Tiefe des Eingriffs in das Persönlichkeitsrecht der Betroffenen eine entscheidende Rolle. Der Rechtseingriff ist relativ gering, wenn z.B. die Kameras mit einer Einbruchmeldeanlage gekoppelt sind und eine Scharfschaltung außerhalb des Schulbetriebs erfolgt, in den Ferien oder aber nur nachts in Betrieb genommen wird.

Wie schwierig es ist, mit den aktuellen rechtlichen Instrumenten die Videoüberwachung im Schulbereich zu rechtfertigen, ergibt sich auch aus der Regelung des § 14 Abs. 4 HSOG. Danach ist der Videoeinsatz den Gefahrenabwehrbehörden vorbehalten. Nach Satz 2 zählt dazu auch der Inhaber des Hausrechts, in diesem Fall also der Schulträger. Ob dieser das Hausrecht für die Unterrichtszeit an den Schulleiter abtreten kann, ist strittig. Hinsichtlich der Frage der Zulässigkeit ist dies jedoch unerheblich. Unter dem Strich handelt es sich jedenfalls um eine Hilfskonstruktion, die meine Dienststelle für besondere Ausnahmefälle akzeptiert hat.

So muss am Ende der rechtlichen Bewertung der mit Videoüberwachungstechnik ausgestatteten Schulen im Landkreis Hersfeld-Rotenburg das Fazit gezogen werden, dass der Technikeinsatz unter den angetroffenen Verhältnissen so nicht zulässig ist. Die Nutzung der Kameras während des laufenden Schulbetriebs ist ausgeschlossen. Völlig inakzeptabel ist die Überwachungsmaßnahme im Bereich der Toiletten. Hier wurde dem Grundsatz der Verhältnismäßigkeit keinerlei Beachtung geschenkt, der Zweck heiligte offensichtlich die Mittel. Um es an dieser Stelle zu wiederholen: verstopfte oder verschmierte Sanitäranlagen sowie Vandalismus sind unakzeptabel. Auch die Kosten für die Beseitigung mutwillig verursachter Schäden haben i.d.R. beträchtliche Ausmaße. Dass man den Verursachern auf die Spur zu kommen versucht, um sie für die Schäden haftbar zu machen, ist nachvollziehbar und begrüßenswert. Dies jedoch mit Mitteln zu realisieren, welche der Gefahrenabwehr vorbehalten sind, verstößt gegen das Übermaßverbot.

Im Gegenteil stellt sich die Frage, warum das Fehlverhalten einer verschwindend geringen Minderheit dazu führt, die große Mehrheit derer, die sich innerhalb des Wertesystems korrekt verhalten, einem repressiv angelegten Überwachungsinstrumentarium auszusetzen. Nicht zuletzt steht dem auch der pädagogische Ansatz entgegen. Neben dem Bildungsauftrag als einer der Kernkompetenzen der Schule steht der erzieherische Aspekt zu aufgeklärten, mündigen und kritischen Schülerinnen und Schülern im Blickpunkt schulischen Handelns. Die dauerhafte Überwachung während der Schulzeit kommt einer Misstrauenserklärung gegenüber Schülerinnen und Schülern gleich. Eine Steigerung erfährt das Ganze durch die Überwachung der Toiletten. Hier wird der Intimbereich der Betroffenen berührt, die sich bei nächster Gelegenheit vielleicht noch vorhalten lassen müssten, nach dem Toilettengang nicht die Hände gereinigt zu haben.


3.3.5.2.1.5
Ergebnis der Prüfung und Bewertung

Die zuständigen Stellen innerhalb der Kreisverwaltung haben sich im Rahmen meiner Überprüfungen kooperativ und konstruktiv gezeigt. Das schließt einen Dissens im Rahmen meiner Bewertung natürlich nicht aus. Über die Tatsache der Überwachungsmaßnahmen selbst hinaus hatte der Kreis einige formale und inhaltliche Erfordernisse für eine Überwachung nicht beachtet:

  • Zugriffs- bzw. Auswertungsregelungen auf das Bildmaterial waren nicht festgelegt,
  • Einheitliche Regelungen für die Speicherung der Bilddaten fehlten,
  • Die erforderlichen Verfahrensverzeichnisse nach § 28 HSOG fehlten,
  • Eine Überprüfung auf die Erforderlichkeit der getroffenen Maßnahmen (also die Notwendigkeit des weiteren Betriebs der Kameras gem. § 14 Abs. 4 Satz 3 i.V.m. Abs. 3 Satz 3) erfolgte nicht. Dies hat alle zwei Jahre zu erfolgen und ist schriftlich zu dokumentieren.

In einem Brief an den Landrat des Kreises Hersfeld-Rotenburg habe ich meine Rechtsposition dargelegt und zunächst die Abschaltung der Kameras während des Schulbetriebs gefordert. Die Kameras in den Toiletten müssen abgebaut werden. Mittlerweile hat mir der Kreis versichert, dass während der Schulzeit die Kameras abgeschaltet sind.


3.3.5.2.2
Weitere Fälle der Videoüberwachung in Schulen

Der Landkreis Hersfeld-Rotenburg ist kein Einzelfall, aber in den geschilderten Auswüchsen nach meinem derzeitigen Kenntnisstand mit einem Alleinstellungsmerkmal versehen. Dennoch suchen einzelne Schulen, aber auch die Schulträger selbst nach Möglichkeiten, Vandalismus und Einbruch zu bekämpfen. Hier taucht immer wieder als Lösungsansatz der Einsatz von Videotechnik auf. So strebte der Schwalm-Eder-Kreis die Überwachung von zwei Schulen an. In diesem Fall zog man aber frühzeitig meine Behörde hinzu und ließ sich ebenfalls von der örtlichen Kriminalpolizei beraten. Das Ergebnis war, die Überwachung an einer Schule an neuralgischen Stellen zuzulassen, wenn die Kameras nur außerhalb der Schulzeit und mit einer Einbruchmeldeanlage gekoppelt betrieben werden. In dem anderen Fall konnte der Schulleiter überzeugt werden, auf das Instrument zu verzichten und stattdessen das konkrete Problem (Einnahme von Alkohol auf dem offen zugänglichen Schulgelände und daraus resultierende Verunreinigungen) in Zusammenarbeit mit der örtlichen Polizei in den Griff zu bekommen.

Weitere Anfragen erreichen mich in regelmäßigen Abständen und müssen dem konkreten Einzellfall geschuldet unterschiedlich entschieden werden.


3.3.5.2.3
Notwendigkeit einer Regelung der Videoüberwachung im HDSG

Die Erfahrungen der letzten Jahre haben gezeigt, dass immer mehr Schulträger wie auch Schulleiter zu der Überzeugung gelangen, mit Hilfe der Videotechnik Einbrüche und Sachbeschädigungen eindämmen zu können. Aus dem Blick gerät hierbei jedoch, dass es für derartige Maßnahmen an einer Regelung fehlt. Die Mängel der derzeitigen Regelung habe ich in diesem Beitrag aufgezeigt. Es sollte deshalb im HDSG eine Vorschrift geschaffen werden, die die Voraussetzungen und Schranken der Videoüberwachung durch öffentliche Stellen regelt. Damit sollte öffentlichen Stellen eine Videoüberwachung in engen Grenzen auch außerhalb der reinen Gefahrenabwehr eröffnet werden. Gerne bin ich bereit, bei der Gesetzesformulierung zu beraten. Mein Anliegen ist dabei, an einer interessengerechten und die Grundrechte wahrenden Regelung mitzuwirken mit dem Ziel, die Videoüberwachung nur ausnahmsweise einzusetzen und sie nicht zur Regel werden zu lassen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.5.3 Einführung von elektronischen Klassenbüchern in Schulen


Die beabsichtigte Einführung von elektronischen Klassenbüchern in hessischen Schulen war im Berichtsjahr ein zentrales Thema im Zusammenhang mit der Automatisierung von Verwaltungsprozessen in diesem Bereich. Bundesweit sind einige Projekte hierzu angestoßen worden. Auch in Hessen laufen derzeit einige Pilotprojekte, welche im Anschluss an die Erprobungsphase einer Evaluierung bedürfen. Auch datenschutzrechtliche Fragestellungen sind noch nicht endgültig geklärt.


3.3.5.3.1
Was enthält ein Klassenbuch?

Das Klassenbuch ist ein schulisches Dokument, in dem der behandelte Unterrichtsstoff, die Fehlstunden eines Schülers/einer Schülerin, die Hausaufgaben, auffälliges Verhalten und weitere wichtige Daten festgehalten werden. In einem Klassenbuch sind außerdem ein Schülerverzeichnis, Stundenpläne, Lehrerübersichten u.a. enthalten. In Hessen sind die Inhalte von Klassenbüchern in Anlage 1 Buchstabe A Ziff. 5 der Verordnung über die Verarbeitung personenbezogener Daten und statistische Erhebungen an Schulen vom 4. Februar 2009 (ABl. 2009, S. 131) geregelt.


3.3.5.3.2
Wie wird ein Klassenbuch im Schulalltag geführt?

Der sog. Klassenbuchführer ist i.d.R. für die Führung, den Zustand und die Aufbewahrung des Klassenbuchs verantwortlich. Er beschriftet z.B. zu Anfang des Schuljahres das Buch und trägt den Stundenplan ein. Kommt es zu Änderungen im Stundenplan, muss dies ebenso eingetragen werden. Hinzu kommt die Verantwortung über die Verfügbarkeit des Buches. Außerdem werden darin die gestellten Aufgaben und das Datum, zu welchem Zeitpunkt diese erfüllt sein müssen, vermerkt. Der Lehrer trägt die fehlenden Schüler/Schülerinnen ebenso ins Klassenbuch ein wie jene, die zu spät zum Unterricht kommen. Die Richtigkeit der Eintragungen wird mit einem Handzeichen des Lehrers bestätigt. Notwendige Maßnahmen z.B. in Form von Briefen an die Eltern, weil der Schüler zu häufig fehlt oder sich verspätet, müssen daraus herausgelesen werden.


3.3.5.3.3
Neue Möglichkeiten durch den Einsatz automatisierter Datenverarbeitung

Der Einsatz sog. elektronischer Klassenbücher soll in der Zukunft die Verwaltungsarbeit der Lehrer erleichtern und die Kommunikation mit den Eltern verbessern. Das, was bislang im Klassenbuch in Papierform abgebildet und für die Eltern grundsätzlich nicht einsehbar war, soll in Zukunft als Information für die Betroffenen jederzeit zugänglich sein. Eltern oder bei Berufsschülern der Arbeitgeber können sich taggenau darüber informieren, ob ihr Kind in der Schule bzw. der Auszubildende in der Berufsschule war oder ob die Betroffenen zu spät gekommen sind. Auch können sich Schüler über Unterrichtsinhalte informieren und Hausaufgaben zur Kenntnis nehmen. In Testversuchen anderer Bundesländer werden SMS an die Eltern verschickt, wenn das Kind nicht am Unterricht teilnimmt. In welcher Form und in welchem Umfang dieses in Softwareprodukten auch als „Fehlzeitenmanagement“ bezeichnete Verfahren dann tatsächlich zum Einsatz kommt, hängt von dem Produkt selbst bzw. der Leistungsanforderung des Anwenders, also der Schule, ab. Der Zugriff auf die Datenbank erfolgt online. Dienstleister sind in vielen Fällen private Anbieter, die sich dritter Unternehmen bedienen, welche die technischen Ressourcen eines Rechenzentrums zur Verfügung stellen. Datenschutzrechtliche Problemstellungen ergeben sich in der rechtlichen und technischen Bewertung der Prozesse. So ist eine Online-Nutzung von Schulverwaltungsdaten weder im Schulgesetz noch in den Rechtsverordnungen und Erlassen hierzu geregelt. Auch ergibt sich eine neue Qualität im Datenverarbeitungsprozess, der nicht mehr lokal in der Schule selbst oder beim Schulträger über ggf. geschützte Netze stattfindet. Vielmehr werden personenbezogene Verwaltungsdaten über das offene Netz transportiert und von einer Vielzahl externer Nutzer zur Kenntnis genommen. Hier stellen sich Fragen wie die Sicherstellung eines autorisierten Zugriffs hierzu berechtigter Personen, die Verschlüsselung der Inhalte sowie Sicherstellung der Segmentierung der Datenbestände für die unterschiedlichen Nutzer in Form eines Rollenkonzepts. Schließlich sollen am Ende Schulleitung, Lehrer, Schüler, Eltern und Arbeitgeber ein solches System nutzen und die einschlägigen Informationen daraus erhalten.


3.3.5.3.4
Weitere Nutzungsmöglichkeiten

Die Verwaltung von Fehlzeiten ist aber nur eine von vielen weiteren Nutzungsmöglichkeiten. Notenverwaltung, Stundenplangestaltung, Lehrervertretung u.a. können mit einem derartigen Instrument abgedeckt werden und die Verwaltungsarbeit der Lehrer erleichtern, die Kommunikation zwischen den betroffenen Stellen optimieren und erhebliche Zeitersparnis ermöglichen. Doch die Gefahr eines „gläsernen Schülers“ ist hierbei nur eine mögliche Gefahrenquelle für das Persönlichkeitsrecht der Betroffenen. So ist durch das Kultusministerium und das Landesschulamt die rechtliche Frage zu klären, ob Verwaltungsdaten außerhalb der Schule selbst verarbeitet werden dürfen. Nach meiner Einschätzung gibt dies die derzeitige Rechtslage ebenso wenig her wie die Frage zu stellen ist, wie sichergestellt wird, dass die hessenweit für alle öffentlichen Schulen maßgebliche Lehrer- und Schülerdatenbank (LUSD) auch dann hinsichtlich ihrer Datenbestände aktuell bleibt, wenn zumindest nicht unwesentliche Bereiche der Schulverwaltung über private Dienstleister administriert werden.


3.3.5.3.5
Erste Aktivitäten zur Begleitung derartiger Anwendungen

Der Einsatz von Verwaltungsplattformen im Schulbereich eröffnet eine Fülle von Funktionalitäten, die über jene des Klassenbuchs herkömmlicher Prägung deutlich hinaus gehen. Bereits das Modul „Fehlzeitenmanagement” für sich genommen beinhaltet durch den Online-Zugriff unterschiedlicher Nutzergruppen eine neue Qualität der Datenverarbeitung und Kommunikation. Es ist deshalb zwingend erforderlich, einen rechtlichen und technischen Rahmen unter Berücksichtigung der Art der verarbeiteten Daten zu schaffen. Hierzu erstellen meine Mitarbeiter derzeit ein Papier, welches mit dem Kultusministerium und dem Landesschulamt abgestimmt werden soll und in einen Erlass münden könnte, der allgemeinverbindlich den Einsatz dieser Produkte regelt. Die Nutzungsmöglichkeiten erscheinen aus Sicht der Anwender zunächst attraktiv und hinsichtlich des bisher erforderlichen Aufwandes wünschenswert zu sein. Auf der anderen Seite steht die Verarbeitung personenbezogener, teilweise sensibler Daten von Schülern und Lehrern, die externe Dienstleister über das Internet anbieten. Diese Daten werden angreifbar, könnten durch unbefugte Dritte abgeschöpft oder verfälscht werden. Deshalb muss die Kommunikation nach den derzeitigen technischen Standards sicher gemacht werden; ggf. können bestimmte Datenarten in dieser Form grundsätzlich nicht verarbeitet werden. Erste Pilotanwendungen verschiedener Produkte an wenigen, ausgesuchten hessischen Schulen sollen bis zum nächsten Bericht evaluiert und datenschutzrechtlich bewertet werden.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.5.4 Änderung des Kandidatenverfahrens der LUSD


Das bisher bei einem Schulwechsel vorgesehene sog. Kandidatenverfahren, mit dem der aufnehmenden Schule die Übernahme der für die Schuljahresplanung erforderlichen Schülerdaten aus der zentralen Lehrer- und Schülerdatenbank LUSD ermöglicht wurde, hat sich in der Praxis in Fällen eines zwischenzeitlichen Umzugs des Schülers oder der Schülerin als untauglich erwiesen. Die Projektzuständigen im Hessischen Kultusministerium habe ich bei der Erarbeitung einer besser praxistauglichen, aber gleichwohl datenschutzgerechten Lösung beraten.

Einige hessische Schulen sind mit der Bitte an mich herangetreten zu prüfen, ob eine Änderung des sogenannten Kandidatenverfahrens in der landesweiten, zentralen Lehrer- und Schülerdatenbank LUSD unter Wahrung datenschutzrechtlicher Belange möglich sei.

Bei der Einführung der LUSD wurde darauf Wert gelegt, dass alle im Verfahren anfallenden Daten durch das Rollen- und Berechtigungskonzept nur im Zugriff der jeweils Daten verarbeitenden Schule liegen. An der datenschutzrechtlichen Einordnung sollte sich in diesem Punkt mit der Zentralisierung gegenüber dem Altverfahren mit dezentralen Dateien nichts ändern.

Andererseits war es ein naheliegendes Ziel des landesweiten Modells, eine Übergabe der Daten für einen Schulwechsel zu ermöglichen. Dafür wurde ein gesondert berechtigtes Modul, das „Kandidatenverfahren“, programmiert, das bei Eingabe des richtigen Namens, Vornamens und Geburtstages alle Schüler in Hessen auflistet, auf die die Suchkriterien zutreffen. Um im Verfahren zum nächsten Schritt zu kommen, ist bisher die Eingabe des Straßennamens der im System LUSD hinterlegten Wohnadresse erforderlich. Erst danach werden der aufnehmenden Schule weitere Informationen zu der Person zugänglich, und die Daten der ausgewählten Schülerin oder des ausgewählten Schülers können für die Übernahme im System markiert werden. Ab diesem Zeitpunkt stehen der aufnehmenden Schule wenige Eckdaten zur Verfügung, die aber z.B. für die Planung des nächsten Schuljahres unbedingt gebraucht werden.

Mit diesem aufwändigen Verfahren sollte ausgeschlossen werden, dass über eine unbefugte Suche hessenweit der Aufenthaltsort bzw. die besuchte Schule zu einer beliebigen Person ermittelt werden kann. Nur wer den Straßennamen aus der im System hinterlegten Adresse bereits kennt, erhält Zugriff auf die Daten, erfährt in den folgenden Schritten des Verfahrens aber keine wesentlichen Zusatzinformationen über die ausgewählten Schüler bzw. Schülerinnen.

Die noch zuständige Schule bekommt danach den Hinweis, dass ein Schüler bzw. eine Schülerin für die Übernahme durch eine andere Schule markiert ist, und gibt die Daten der die Schule wechselnden Person nach einer Plausibilitätsprüfung für die aufnehmende Schule frei.

Das Kandidatenverfahren setzt also voraus, dass die aufnehmende Schule die aus Systemsicht „richtigen“ Adressangaben für die Suche verwendet. Meldet sich z.B. ein Schüler oder eine Schülerin nach einem Umzug an einer neuen Schule mit der neuen Adresse an, kann das Kandidatenverfahren nicht greifen. Insbesondere die Berufs- und Oberstufenschulen beklagen, dass die Zahl dieser Fälle und der damit verbundene Rechercheaufwand zum Schuljahreswechsel erhebliche Probleme machen.

Unter anderen hat mich eine Berufsschule mit dem konkreten Vorschlag angeschrieben, zu prüfen, ob an der Stelle des Straßennamens ein anderes Suchkriterium wie der Geburtsort verwendet werden könne. Bei einem Gespräch in der Schule haben meine Mitarbeiter den gesamten Sachzusammenhang noch einmal hinterfragt. Es wurde dabei die Idee entwickelt, den Zugriff auf die Schülerdaten auch bei einer unvollständigeren Suche zu gewähren, dabei aber die zugänglichen Daten gezielt einzuschränken, um eine Aufenthaltsbestimmung unmöglich bzw. die aktuell besuchte Schule nicht kenntlich zu machen. Auch dieser Datensatz kann durch die aufnehmende Schule für die Schuljahresplanung verwendet werden, und wird im Weiteren mit der Freigabe durch die abgebende Schule vervollständigt.

Nach diesem Vor-Ort-Besuch habe ich den dort entwickelten Vorschlag aufgegriffen und mit den Projektzuständigen im Hessischen Kultusministerium über die grundsätzlichen Möglichkeiten und Rahmenbedingungen für eine arbeitserleichternde Änderung gesprochen. Fachleute und Verantwortliche werden prüfen, inwieweit mit der auch aus anderen Gründen anstehenden Neuprogrammierung dieses Moduls der LUSD eine datenschutzkonforme Umsetzung der Gesprächsergebnisse möglich ist. Das Kultusministerium will die Überlegungen in die Spezifikation für eine Ausschreibung zur Neuprogrammierung des Kandidatenverfahrens aufnehmen.

Wünschenswert ist, dass die Änderung des Verfahrens möglichst bald in einer der nächsten LUSD-Versionen zu einer Erleichterung des Verwaltungsalltags der Schulen beiträgt. Der ganze Vorgang ist ein gelungenes Beispiel für eine konstruktive Lösungssuche aller Beteiligten, bei der die datenschutzrechtlichen Anforderungen sichergestellt bleiben.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.6 Gesundheitswesen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.6.1 Aufbau klinischer Krebsregister in Hessen


2013 hat der Deutsche Bundestag das Krebsfrüherkennungs- und -registergesetz verabschiedet. Entsprechend den Empfehlungen des Nationalen Krebsplans sieht das Bundesgesetz vor, dass die Länder klinische Krebsregister einrichten. Die notwendigen (datenschutz-)rechtlichen Regelungen für die konkrete Einrichtung und den Betrieb der klinischen Krebsregister bleiben landesrechtlicher Regelung vorbehalten und wurden von der Landesregierung mit meiner Dienststelle abgestimmt.


3.3.6.1.1
Ziel und Regelungsumfang des Bundesgesetzes

In Übereinstimmung mit dem Nationalen Krebsplan, der insbesondere auch den flächendeckenden Aufbau von klinischen Krebsregistern unter einheitlichen Rahmenbedingungen empfohlen hat (http://www.bmg.bund.de/praevention/nationaler-krebsplan/der-nationale-krebsplan-stellt-sich-vor.html), sieht das Krebsfrüherkennungs- und -registergesetz (KFRG) Regelungen zur Weiterentwicklung der Krebsfrüherkennung und zum flächendeckenden Aufbau klinischer Krebsregister vor. Hierfür wurden das Sozialgesetzbuch (SGB) V, das Krankenhausfinanzierungsgesetz (KHG) und das Krankenhausentgeltgesetz (KHEntgG) geändert. In § 65 c Abs. 1 SGB V ist normiert, dass die Länder zur Verbesserung der Qualität der onkologischen Versorgung klinische Krebsregister einrichten und die Aufgaben der klinischen Krebsregister sind detailliert festgelegt.

§ 65 c Abs. 1 SGB V

(1) Zur Verbesserung der Qualität der onkologischen Versorgung richten die Länder klinische Krebsregister ein. Die klinischen Krebsregister haben insbesondere folgende Aufgaben:

  1. die personenbezogene Erfassung der Daten aller in einem regional festgelegten Einzugsgebiet stationär und ambulant versorgten Patientinnen und Patienten über das Auftreten, die Behandlung und den Verlauf von bösartigen Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren des zentralen Nervensystems nach Kapitel II der Internationalen statistischen Klassifikation der Krankheiten und verwandter Gesundheitsprobleme (ICD) mit Ausnahme der Daten von Erkrankungsfällen, die an das Deutsche Kinderkrebsregister zu melden sind,
  2. die Auswertung der erfassten klinischen Daten und die Rückmeldung der Auswertungsergebnisse an die einzelnen Leistungserbringer,
  3. den Datenaustausch mit anderen regionalen klinischen Krebsregistern bei solchen Patientinnen und Patienten, bei denen Hauptwohnsitz und Behandlungsort in verschiedenen Einzugsgebieten liegen, sowie mit Auswertungsstellen der klinischen Krebsregistrierung auf Landesebene,
  4. die Förderung der interdisziplinären, direkt patientenbezogenen Zusammenarbeit bei der Krebsbehandlung,
  5. die Beteiligung an der einrichtungs- und sektorenübergreifenden Qualitätssicherung des Gemeinsamen Bundesausschusses nach § 137 Absatz 1 Nummer 1 in Verbindung mit § 135a Absatz 2 Nummer 1,
  6. die Erfassung von Daten für die epidemiologischen Krebsregister,
  7. die Bereitstellung notwendiger Daten zur Herstellung von Versorgungstransparenz und zu Zwecken der Versorgungsforschung.

Die klinische Krebsregistrierung erfolgt auf der Grundlage des bundesweit einheitlichen Datensatzes der Arbeitsgemeinschaft Deutscher Tumorzentren und der Gesellschaft der epidemiologischen Krebsregister in Deutschland zur Basisdokumentation für Tumorkranke und ihn ergänzender Module flächendeckend sowie möglichst vollzählig. Die Daten sind jährlich landesbezogen auszuwerten. Eine flächendeckende klinische Krebsregistrierung kann auch länderübergreifend erfolgen. Die für die Einrichtung und den Betrieb der klinischen Krebsregister nach Satz 2 notwendigen Bestimmungen einschließlich datenschutzrechtlicher Regelungen bleiben dem Landesrecht vorbehalten.

Gem. § 65c Abs. 1 SGB V bleiben die für die Einrichtung und den Betrieb der klinischen Krebsregister notwendigen Bestimmungen einschließlich datenschutzrechtlicher Regelungen dem Landesrecht vorbehalten. Vom Landesgesetzgeber ist daher insbesondere zu regeln:

  • die Struktur der Krebsregistrierung, insbesondere die Art und Weise der Verzahnung von klinischen und epidemiologischen Krebsregistern,
  • die Betreiber der klinischen Krebsregister,
  • ob für die meldenden Leistungserbringer ein Melderecht oder eine Meldepflicht besteht und
  • welche Rechte die Patienten haben (Notwendigkeit der Einwilligung des Patienten oder Widerspruchsrecht).

3.3.6.1.2
Ausgestaltung der klinischen Krebsregister in Hessen

Derzeit existiert in Hessen lediglich das epidemiologische Hessische Krebsregister. Dieses Register hat die Aufgabe, bevölkerungsbezogene Auswertungen von Krebserkrankungen zu ermöglichen. Es besteht aus zwei organisatorisch und räumlich getrennten Einheiten, der Vertrauensstelle und der Registerstelle (Treuhandstelle).


Die Vertrauensstelle ist bei der Landesärztekammer in Frankfurt angesiedelt. Ärztinnen und Ärzte bzw. Zahnärztinnen und Zahnärzte melden für jeden Krebskranken einerseits Angaben zur Person (Identitätsdaten, wie Name, Geschlecht, Anschrift), andererseits kurze Angaben zur Erkrankung (Diagnose, Therapie) an diese Stelle. Nach Entgegennahme der Meldungen nimmt die Vertrauensstelle Plausibilitätsprüfungen und Verschlüsselungen der medizinischen Daten vor. Dann werden die Identitätsdaten der Patienten vor der Weitergabe an die Registerstelle, die die epidemiologischen Auswertungen vornimmt, so verschlüsselt, dass die Registerstelle die Personen nicht identifizieren kann, deren Krankheitsdaten sie erhalten hat. Der Personenbezug kann nur mit Hilfe eines beim Hessischen Datenschutzbeauftragten hinterlegten Programms rückgängig gemacht werden. Nach Übermittlung an die Registerstelle werden in der Vertrauensstelle die Meldeunterlagen vernichtet und die Klartextdaten gelöscht (http://laekh.de/krebsregister/hessisches-krebsregister).

Die Aufgaben und die für die Erfüllung der Aufgaben benötigten Daten von epidemiologischen und von klinischen Krebsregistern überschneiden sich teilweise, sodass künftig eine Koordination bzw. Zusammenführung der verschiedenen Aufgaben der beiden Register denkbar ist. Aus datenschutzrechtlicher Sicht ist es in jedem Fall für die Ausgestaltung des klinischen Krebsregisters von zentraler Bedeutung, dass nur für diejenigen Aufgaben, die tatsächlich eine Verarbeitung personenbezogener Daten erfordern, auch personenbezogene Daten zur Verfügung stehen.

Dies könnte z.B. die Weitergabe von Patientendaten an Leistungserbringer sein, wenn und soweit dies die interdisziplinäre, direkt patientenbezogene Zusammenarbeit bei der Krebsbehandlung fördert. Alle anderen Aufgaben müssen mit pseudonymisierten oder anonymisierten Daten durchgeführt werden, z.B. die in § 65c Abs. 1 Nr. 5 SGB V normierte Beteiligung an der einrichtungs- und sektorenübergreifenden Qualitätssicherung des Gemeinsamen Bundesausschusses nach § 137 Abs. 1 Nr. 1 i.V.m. § 135a Abs. 2 Nr. 1 SGB V.

§ 137 Abs. 1 Satz 1 SGB V
(1) Der Gemeinsame Bundesausschuss bestimmt für die vertragsärztliche Versorgung und für zugelassene Krankenhäuser grundsätzlich einheitlich für alle Patienten durch Richtlinien nach § 92 Abs. 1 Satz 2 Nr. 13 insbesondere
1. die verpflichtenden Maßnahmen der Qualitätssicherung nach § 135a Abs. 2, § 115b Abs. 1 Satz 3 und § 116b Absatz 3 Satz 3 unter Beachtung der Ergebnisse nach § 137a Abs. 2 Nr. 1 und 2 sowie die grundsätzlichen Anforderungen an ein einrichtungsinternes Qualitätsmanagement.


§ 135a Abs. 1 und 2 Nr. 1 SGB V
(1) Die Leistungserbringer sind zur Sicherung und Weiterentwicklung der Qualität der von ihnen erbrachten Leistungen verpflichtet. Die Leistungen müssen dem jeweiligen Stand der wissenschaftlichen Erkenntnisse entsprechen und in der fachlich gebotenen Qualität erbracht werden.

(2) Vertragsärzte, medizinische Versorgungszentren, zugelassene Krankenhäuser, Erbringer von Vorsorgeleistungen oder Rehabilitationsmaßnahmen und Einrichtungen, mit denen ein Versorgungsvertrag nach § 111a besteht, sind nach Maßgabe der §§ 137 und 137d verpflichtet,
1. sich an einrichtungsübergreifenden Maßnahmen der Qualitätssicherung zu beteiligen, die insbesondere zum Ziel haben, die Ergebnisqualität zu verbessern.


Im Detail gibt es noch offene Fragen, welche Stelle welche Aufgaben auf welche Weise erfüllen soll und wie die Zusammenarbeit der klinischen Krebsregister untereinander bundesweit und mit den epidemiologischen Krebsregistern ausgestaltet werden kann.

Das Hessische Sozialministerium hat einen wissenschaftlichen Krebsbeirat eingerichtet, der die Fragen der künftigen Ausgestaltung des klinischen Krebsregisters diskutiert, und meine Dienststelle zu den Sitzungen eingeladen. Ich habe die Teilnahme zugesagt, um zur datenschutzkonformen Umsetzung der Ziele des Bundesgesetzes beizutragen. Ein Gesetzentwurf wird voraussichtlich im ersten Halbjahr 2014 erarbeitet werden.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.6.2 Notwendigkeit der Eingrenzung der Datenübermittlungen vom Medizinischen Dienst der Krankenversicherung an die Krankenkasse


Nicht alle Informationen, die in einem Gutachten des Medizinischen Dienstes der Krankenversicherung enthalten sind, dürfen an die Krankenkasse weitergeleitet werden.


3.3.6.2.1
Anlass

Mir lag eine Eingabe eines Petenten zum Umfang und Inhalt der in einem Gutachten des Medizinischen Dienstes der Krankenversicherung (MDK) enthaltenen Informationen vor. Im vorliegenden Fall hatte eine gesetzliche Krankenkasse den MDK beauftragt, ein Gutachten zur voraussichtlichen Dauer der Arbeitsunfähigkeit zu erstellen. Nach erfolgter körperlicher Untersuchung erstellte der MDK ein umfängliches Gutachten und schickte dieses an die beauftragende Krankenkasse. Neben den Diagnosen, dem Verlauf der Untersuchung, den Befunden und der Aussage zur Dauer der Arbeitsunfähigkeit enthielt das Gutachten auch Angaben zur Anamnese, Äußerungen des Patienten gegenüber dem Gutachter und Beobachtungen im Zusammenhang mit der Untersuchung. Nach Meinung des Petenten sei ein Teil der Informationen für die Krankenkasse nicht relevant.

Ich habe den Fall zum Anlass genommen, mich nochmals mit den Übermittlungsbefugnissen des MDK an die Krankenkassen zu befassen, da diese Frage auch bundesweit aktuell diskutiert wird.


3.3.6.2.2
Datenschutzrechtliche Bewertung

Zu den Aufgaben des MDK gehört es, gutachterliche Stellungnahmen für die gesetzliche Krankenkasse zu fertigen (§ 275 SGB V).

Zu berücksichtigende datenschutzrechtliche Bestimmungen sind dabei die Regelungen zum Sozialgeheimnis (§ 35 SGB I) und zum Schutz von Sozialdaten (§§ 67 ff. SGB X) sowie die Vorschrift zur Verletzung von Privatgeheimnissen (§ 203 StGB).

Eine Weitergabe von Daten darf nur dann erfolgen, wenn der Versicherte eingewilligt hat oder es eine gesetzliche Grundlage für Weitergabe von Patientendaten gibt.

§ 277 Abs. 1 S. 1 SGB V

Der Medizinische Dienst hat dem an der vertragsärztlichen Versorgung teilnehmenden Arzt, sonstigen Leistungserbringern, über deren Leistungen er eine gutachterliche Stellungnahme abgegeben hat, und der Krankenkasse das Ergebnis der Begutachtung und der Krankenkasse die erforderlichen Angaben über den Befund mitzuteilen.


§ 277 SGB V regelt die Mitteilungspflichten des MDK gegenüber der gesetzlichen Krankenkasse. Im Rahmen dieser Vorschrift ist es zulässig, medizinische Daten an die Krankenkasse weiterzugeben. Gleichzeitig hat der Gesetzgeber aber damit auch den Übermittlungsumfang eingegrenzt. So ist die Übermittlung von Daten auf das Ergebnis der Begutachtung und die erforderlichen Angaben über den Befund zu beschränken (§ 277 Abs. 1 S. 1 SGB V). Für eine darüber hinausgehende Übermittlung gibt es keine rechtliche Grundlage. Auch eine Erweiterung des Übermittlungsumfanges mit einer Einwilligungserklärung des Betroffenen scheidet aus, da diese die gesetzlich klar und abschließend festgelegte Einschränkung des § 277 Abs. 1 S. 1 SGB V umgehen würde.

Im Rahmen einer Begutachtung werden vom MDK umfängliche medizinische Daten erhoben, um auf die Fragestellung der Krankenkasse antworten zu können. Bei der Antwort an die Krankenkasse ist dann jedoch abzuschichten, welche Daten davon für die Aufgaben der Krankenkasse erforderlich sind und damit übermittelt werden können. Die aus dem Gutachten übermittelten Informationen müssen geeignet sein, die Krankenkasse in die Lage zu versetzen, eine Leistungsentscheidung zu treffen. Eine reine Übermittlung des Ergebnisses der Begutachtung wird aber in vielen Fällen nicht ausreichen. So kann es erforderlich sein, dass weitere Kontextfaktoren mit angegeben werden müssen, um zu begründen, wieso die aufgeführten Befunde/Diagnosen letztlich zu einer Arbeitsunfähigkeit führen. Es darf jedoch nicht sein, dass in jedem Fall stets das komplette Gutachten übermittelt wird. Der Gutachter des MDK muss im Einzelfall entscheiden, welche Informationen aus dem Gesamtgutachten ergänzend zum Befund als „erforderliche Angaben über den Befund“ aufzunehmen sind.

Um einen Eindruck vom Umfang und Inhalt der an die Krankenkasse übermittelten Gutachten zu gewinnen, habe ich Gespräche mit dem MDK Hessen geführt. Bei meiner stichprobenhaften Prüfung der Gutachten konnte ich festzustellen, dass in vielen Fällen die kompletten Gutachten an die Krankenkasse übermittelt wurden. Eine Abschichtung oder Ausblendung von Gutachtenbestandteilen war nicht immer erkennbar, so z.B. auch nicht im konkreten Beschwerdefall.

Die Entscheidung, ob neben den Befunden auch in Einzelfällen Angaben aus der Anamnese in die Mitteilungen an die Krankenkasse mit aufgenommen werden können, fällt in der Praxis nicht leicht. Teilweise ist die Angabe dieser Erhebungen aber wichtig, um die Befunde hinreichend verständlich zu machen. In Einzelfällen war mir dies auch nachvollziehbar.

Nach meinen Gesprächen mit dem MDK Hessen bestand Einigkeit, dass nicht alle Informationen, die bei der Gutachtenerstellung anfallen, von der Krankenkasse benötigt werden. Der MDK Hessen hat zugesagt, zukünftig verstärkt darauf achten, dass nur die Teile des Gutachtens an die Krankenkasse übermittelt werden, die notwendige den Befund untermauernde medizinische Angaben mit Bedeutung für die Leistungsgewährung enthalten.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.6.3 Voraussetzungen einer zulässigen Verwendung von Selbstauskunftsbogen durch die Krankenkassen


Gesetzliche Krankenkassen können in Arbeitunfähigkeitsfällen selbst Daten bei den Versicherten erheben. Dabei ist jedoch die Abgrenzung zum Medizinischen Dienst der Krankenversicherung zu beachten.

3.3.6.3.1
Der Anlass

In den letzten Monaten wurde in den Medien wiederholt das Verfahren zahlreicher Krankenkassen kritisiert, Versicherte umfassend zu ihrer Erkrankung und ihrer persönlichen Situation zu befragen, sobald diese Krankengeld beziehen. Ich habe mich daher mit den datenschutzrechtlichen Voraussetzungen für den Einsatz solcher Fragebogen in Hessen befasst.


3.3.6.3.2
Datenschutzrechtliche Bewertung

Unter welchen Voraussetzungen gesetzliche Krankenkassen Daten erheben dürfen, wurde vom Gesetzgeber in den Sozialgesetzbüchern abschließend geregelt. Nach § 284 Abs. 1 Nr. 4 SGB V sind Krankenkassen berechtigt, Sozialdaten für Zwecke der Krankenversicherung zu erheben und zu speichern, sofern dies für die Prüfung der Leistungspflicht und die Erbringung von Leistungen an Versicherte erforderlich ist. Hierzu können sie auch Kontakt mit ihren Versicherten aufnehmen, um bestimmte Informationen zu erfragen.

Die datenschutzrechtliche Zulässigkeit beurteilt sich dabei nach der Erforderlichkeit für die jeweilige konkrete Aufgabe. Durch das gesetzlich geregelte Verhältnis der gesetzlichen Krankenkassen zum medizinischen Dienst der Krankenversicherung (MDK) sind den Krankenkassen jedoch Grenzen bei Umfang und Inhalt der Datenerhebung in Arbeitsunfähigkeitsfällen gesetzt, da die medizinische Fachkompetenz im Zuständigkeitsbereich des MDK liegt.

So legt § 275 SGB V fest, in welchen Fällen der MDK einzuschalten ist. Danach ist immer, wenn eine Arbeitsunfähigkeit nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf es erforderlich macht, die Krankenkasse verpflichtet, eine gutachterliche Stellungnahme des MDK einzuholen (§ 275 Abs. 1 SGB V). Die Prüfung, ob ein Arbeitunfähigkeitsfall den vorgenannten Kriterien entspricht, obliegt der Krankenkasse.

Hat die Krankenkasse Anhaltspunkte, dass es sich um einen Fall im Sinne des § 275 SGB V handeln könnte, ist sie im nächsten Schritt auch befugt, ggf. Vorermittlungen auf der Grundlage weiterer Datenerhebungen zum Beispiel auch durch Selbstauskunftsbogen einzuleiten, um zu klären, ob dies tatsächlich der Fall ist.

Zu einer pauschalen Datenerhebung mit Selbstauskunftsbogen bei allen Arbeitsunfähigkeitsfällen darf dies jedoch nicht führen, denn ein solches Vorgehen verstieße gegen den Grundsatz der Erforderlichkeit, da nicht bei jeder Arbeitsunfähigkeit überhaupt eine Vorlage beim MDK in Betracht kommt. Ebenfalls muss der verwendete Fragebogen im Inhalt und Umfang dem Grundsatz der Verhältnismäßigkeit entsprechen. So sind Fragen, die für die Leistungsprüfung nicht benötigt werden, auch nicht zulässig.

Die aus den Selbstauskunftsbogen gewonnenen Informationen sind dazu bestimmt, den Mitarbeitern der Krankenkasse zu helfen, eine Entscheidung zu treffen, ob ein Fall dem MDK vorgelegt werden muss (§ 284 Abs. 1 Nr. 4 SGB V), zusätzliche Leistungen erforderlich sind, die Zuständigkeit eines anderen Leistungsträgers vorliegt oder zur Zeit keine weiteren zusätzlichen Maßnahmen angezeigt sind.

Sollte nach diesen Vorerhebungen eine medizinische Klärung erforderlich sein, erteilt die Krankenkasse im nächsten Schritt einen Auftrag zur gutachterlichen Stellungnahme an den MDK.

Auch hier hat die Krankenkasse die Möglichkeit, medizinische Daten zu ermitteln, die für den MDK notwendig sind (§ 284 Abs. 1 Nr. 7 SGB V). Aufgrund des Erforderlichkeitsgrundsatzes dürfen die Mitarbeiter der Krankenkasse diese für den MDK erhobenen Daten jedoch nicht zur Kenntnis nehmen. Die angeforderten Unterlagen sind direkt vom Arzt an den MDK zu übersenden oder können z.B. im verschlossenen Umschlag für den MDK bei der Krankenkasse hinterlegt werden. Reichen dem MDK die vorgelegten Unterlagen letztendlich nicht aus, hat der MDK auch die Möglichkeit, die benötigten Unterlagen eigenständig anzufordern (§ 276 Abs. 2 SGB V).

Zusammenfassend ist ein Einsatz von Selbstauskunftsbogen im Krankengeldfallmanagement möglich, wenn der Einsatz nur gezielt erfolgt, ein konkreter Anlass besteht und die abgefragten Informationen für die Prüfung der Leistungsgewährung erforderlich sind. Die im jeweiligen Fall nicht erforderlichen Fragen sind aus dem Fragebogen zu löschen oder zu streichen. Außerdem ist der Versicherte auf die Rechtsgrundlage für die Erhebungen und die Folgen bei Verweigerung der Auskunft bzw. ansonsten die Freiwilligkeit seiner Angaben hinzuweisen (§ 67a Abs. 3 SGB X).

Aufgrund der öffentlichen Diskussionen habe ich die gesetzlichen Krankenkassen innerhalb meines Zuständigkeitsgebietes angeschrieben und nach Umfang und Zweck des Einsatzes von Selbstauskunftsbogen im Zusammenhang mit der Krankengeldzahlung gefragt. Soweit überhaupt Selbstauskunftsbogen verwendet werden, habe ich darin keine Anhaltspunkte für eine Überschreitung des rechtlichen Rahmens gewonnen.

Im Berichtszeitraum erreichten mich auch keine Beschwerden, die Fragebogen von Krankenkassen in meinem Zuständigkeitsbereich betreffen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.6.4 Ungesicherte Krankenakten im Universitätsklinikum


Auch für den Fall, dass in Archiven mit Krankenakten Bauarbeiten mit Fremdfirmen durchgeführt werden, ist sicher zu stellen, dass die Akten gegen fremden Zugriff geschützt sind. Entsprechendes lässt sich in der Regel mit einfachen organisatorischen und baulichen Maßnahmen zeitnah umsetzen. Auch Aspekte der Datensicherheit spielen hierbei eine Rolle.


3.3.6.4.1
Der Anlass

Der Ausgangspunkt dieses Beitrages war eine Eingabe betreffend die ungesicherte Verwahrung einer Krankenakte auf einer Station im Klinikum der Johann Wolfgang Goethe-Universität Frankfurt am Main. Der Datenschutzbeauftragte der Klinik hat diese Eingabe zum Anlass genommen, eine ausführliche Datenschutzbegehung auf der Station durchzuführen. Hierbei stellte sich heraus, dass während fortdauernder Bauarbeiten im Keller zwei Archive mit Krankenakten nicht hinreichend gegen fremden Zugriff geschützt waren. Insbesondere fehlte es an einer verschließbaren, räumlichen Abtrennung.


3.3.6.4.2
Datenschutzrechtliche Bewertung

Um sich ein besseres Bild von der Lage zu machen, wurde von dieser Seite eine Ortsbegehung durchgeführt.

Im Zentralarchiv wurden die Patientenunterlagen in Stehordnern, unverschlossenen Aktenschränken und in Umzugskisten gelagert. Über diesen Raum erreichte man auch Zugang zu technischen Anlagen und zu einem Lagerraum.

Ein weiterer Raum wurde als Krankenblattarchiv der Infektologie genutzt. Dort war zugleich ein Zugang zu Technikräumen, Kühlanlagen für die Tropenmedizin und zur Aufbewahrung von Forschungsunterlagen gegeben. Die Patientenakten lagerten auch hier in unverschlossenen Aktenschränken, Umzugskisten oder waren lose auf den Schränken abgelegt.

Bedingt durch die Mehrfachnutzung der Räume war von einem großen Personenkreis auszugehen, der Zugang zu den Räumlichkeiten und damit auch den Patientenakten hatte. Aus datenschutzrechtlichen Gründen (§ 12 HKHG i.V.m. § 10 HDSG) und aus Gründen der ärztlichen Schweigepflicht (§ 203 StGB) ist dies nicht zulässig. In der vorgefundenen Ausgestaltung war die Nutzung der Räume als Archiv nicht mit einem datenschutzkonformen Umgang mit Patientenunterlagen zu vereinbaren. Dies wurde dem Vorstand und dem Datenschutzbeauftragten des Klinikums mitgeteilt. Zugleich wurde darauf gedrungen, dass die aufgezeigten Mängel umgehend beseitigt werden.


3.3.6.4.3
Weitere Entwicklung

Das Klinikum hat zeitnah auf meine Vorgaben reagiert. Um die aufgezeigten Mängel zu beseitigen, wurde in den beiden Archiven jeweils ein fest verankerter Metallgitterzaun mit verschließbaren Eingängen eingezogen.

Im Zentralarchiv wurden zusätzlich Bleche als Sichtschutz angebracht, da hier einige Regale mit Akten direkt am Zaun aufgestellt sind. Die Ausgabe der Akten wird durch einen Mitarbeiter überwacht, der seinen Arbeitsplatz im Archiv hat.

Die Aktenausgabe im Krankenblattarchiv der Infektologie erfolgt künftig mittels eines Schlüssels, der auf der Station aufbewahrt wird und – gegen Unterschrift in einer Ausgabeliste – an berechtigte Personen ausgegeben wird. Da die Unterlagen ausschließlich in Aktenschränken aufbewahrt werden, ist ein Sichtschutz nicht erforderlich.


3.3.6.4.4
Nachbegehungen

Im Anschluss an die Umsetzung der Maßnahmen fanden insgesamt zwei Nachbegehungen statt. Ich konnte mir ein Bild davon machen, dass die als Archiv genutzten Bereiche nunmehr von den übrigen Bereichen abgetrennt sind.

Verbesserungsvorschläge wurden lediglich im Hinblick auf die Datensicherheit gemacht. So wird das Zentralarchiv auf seiner gesamten Deckenfläche von Versorgungsleitungen durchzogen (Wasser, Abwasser, Abluft, Heizung, Strom, IT). Da die untersten Regalböden nicht direkt auf Bodenhöhe sind, ist hier bei einem Wasserschaden keine direkte Gefahr für die Akten gegeben. Im oberen Bereich sind die Regale jedoch offen, so dass zumindest in den Bereichen, in denen Rohre mit gefahrgeneigten Funktionen liegen, die Regale so abgedeckt werden sollten, dass Flüssigkeiten nicht oder zumindest nicht direkt in die Ablagebereiche gelangen.

Des Weiteren wurde festgestellt, dass sich einzelne, gekippte Kellerfenster im Archiv nicht mehr ohne weiteres schließen lassen.

Unter dem Aspekt der Datensicherheit wurde letztlich auch darum gebeten, in eigener Zuständigkeit zu prüfen, ob der Brandschutz in beiden Archiven entsprechend gewährleistet ist.

Auch die Vorgaben zur Datensicherheit wurden in kürzester Zeit durch das Klinikum und dessen Datenschutzbeauftragten umgesetzt. Die Regale wurden nach oben hin mit Regalböden soweit wie möglich gegen Wassereinbruch gesichert und die Kippfenster wurden wieder gangbar gemacht.

Aufgrund der Begehung des Brandschutzbeauftragten hat der gesamte Archivbereich nachträglich eine flächendeckende Brandfrüherkennungsanlage (Rauchmelder) erhalten.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.7 Sozialwesen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.7.1 Kooperation im Sozialwesen:
Zur Bedeutung des Sozialdatenschutzes


Die Zusammenarbeit der öffentlichen Sozialverwaltung mit nicht öffentlichen Stellen, insbesondere freien Trägern im Sozialbereich, ist für das Sozialwesen prägend. Das für diese nicht öffentlichen Stellen an sich primär geltende Bundesdatenschutzgesetz wird mit Blick auf diese Zusammenarbeit durch das spezielle Datenschutzrecht des Sozialgesetzbuchs (Sozialdatenschutz) erheblich verdrängt.


3.3.7.1.1
Der Anlass

Regelmäßig erhalte ich Anfragen, sei es von Behörden, freien Trägern im Sozialbereich, aber auch von Bürgerinnen und Bürgern, die die datenschutzrechtlichen Rahmenbedingungen bei der Zusammenarbeit von öffentlicher Sozialverwaltung und nicht öffentlichen Stellen betreffen. Auf einige Datenschutzaspekte, die in meiner Beratungspraxis im Sozialwesen regelmäßig eine besondere Bedeutung spielen, möchte ich nachfolgend eingehen.


3.3.7.1.2
Datenschutzrechtliche Rahmenbedingungen

Für die öffentliche Sozialverwaltung gilt, soweit personenbezogene Daten betroffen sind, in erster Linie das speziell im SGB geregelte Sozialdatenschutzrecht (insbesondere §§ 35 SGB I, 67 ff. SGB X). Allerdings wird im Sozialbereich nicht nur – wie sonst im Datenschutzrecht – an personenbezogene Daten angeknüpft, sondern auch an Betriebs- und Geschäftsgeheimnisse: Diese stehen Sozialdaten gleich (§ 35 Abs. 4 SGB I). Betriebs- und Geschäftsgeheimnisse sind alle betriebs- und geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischarakter haben (näher hierzu bspw. Steinbach in Hauck/ Noftz, SGB I, § 35 Rdnr. 57 ff.).

Für nicht öffentliche Stellen der Sozialbranche gilt – was auch für andere nicht öffentliche Stellen außerhalb des Sozialwesens in erster Linie maßgebend ist – das BDSG. Für die Sozialpraxis am bedeutsamsten sind § 4 a BDSG (Einwilligung des Betroffenen) sowie § 28 BDSG (Datenerhebung und –verarbeitung für eigene Geschäftszwecke).

Kooperiert die öffentliche Sozialverwaltung mit nicht öffentlichen Stellen, wird das allgemeine Datenschutzrecht durch Bestimmungen des Sozialgesetzbuches regelmäßig verdrängt. Praktisch bedeutsam sind deshalb die Normen des Sozialdatenschutzes, die besagte Kooperation in ihren unterschiedlichen Formen betreffen.

Lässt bspw. eine Sozialbehörde Daten durch eine nicht-öffentliche Stelle im Auftrag verarbeiten, gilt nicht § 4 HDSG, sondern § 80 SGB X. Das hat unter anderem zur Konsequenz, dass sich der Auftragnehmer nicht – wie sonst geboten – der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen darf. Zuständig für die Kontrolle des nicht öffentlichen Auftragnehmers ist die Datenschutzaufsichtsbehörde, in deren Bundesland dieser seinen Unternehmenssitz hat (vgl. § 4 Abs. 3 HDSG einerseits, § 80 Abs. 6 S. 4 SGB X andererseits).

Liegt eine Kooperationsform außerhalb der Auftragsdatenverarbeitung vor und übermittelt die Sozialbehörde Sozialdaten an eine nicht öffentliche Stelle, so ist diese verpflichtet, das datenschutzrechtliche Sozialgeheimnis zu beachten. Insofern wird der an sich nur für die öffentliche Sozialverwaltung geltende Sozialdatenschutz auf die nicht öffentlichen Stellen ausgedehnt. Geregelt ist diese Ausdehnung in § 78 SGB X. Bei dieser Norm – so die amtliche Überschrift – geht es um die Zweckbindung und Geheimhaltungspflicht eines Dritten, an den Daten übermittelt werden.

§ 78 Abs. 1 und 2 SGB X

(1) Personen oder Stellen, ... denen Sozialdaten übermittelt worden sind, dürfen diese nur zu dem Zweck verarbeiten oder nutzen, zu dem sie ihnen befugt übermittelt worden sind...

(2) Werden Daten an eine nicht-öffentliche Stelle übermittelt, so sind die dort beschäftigten Personen, welche diese Daten verarbeiten oder nutzen, von dieser Stelle vor, spätestens bei der Übermittlung auf die Einhaltung der Pflichten nach Absatz 1 hinzuweisen.


Neben dieser die Bedeutung des Sozialdatenschutzes auf den nicht öffentlichen Bereich erstreckenden Norm gibt es speziell im Kinder- und Jugendhilferecht (SGB VIII) eine Vorschrift, die die freien Träger auf die Orientierung am gesamten kinder- und jugendhilferechtlichen Sozialdatenschutz verpflichtet. Dies gilt für den Fall, dass Träger der öffentlichen Jugendhilfe Träger der freien Jugendhilfe in Anspruch nehmen (§ 61 Abs. 3 SGB VIII). Durch die Inanspruchnahme freier Träger soll das sozialdatenschutzrechtliche Niveau keine Einbuße erleiden.

§ 61 Abs. 3 SGB VIII

Werden Einrichtungen und Dienste der Träger der freien Jugendhilfe in Anspruch genommen, so ist sicherzustellen, dass der Schutz personenbezogener Daten bei der Erhebung und Verwendung in entsprechender Weise gewährleistet ist.


Wer als Träger der freien Jugendhilfe anerkannt ist, ist gesetzlich näher geregelt. Hierunter fallen insbesondere die Kirchen und Religionsgemeinschaften des öffentlichen Rechts sowie die auf Bundesebene zusammengeschlossenen Verbände der freien Wohlfahrtspflege (§ 75 SGB VIII).

Auf diese soeben skizzierten datenschutzrechtlichen Aspekte mache ich insbesondere anfragende Stellen regelmäßig aufmerksam.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.7.2 Fonds „Heimerziehung in der Bundesrepublik Deutschland in den Jahren 1949 bis 1975“


Bei der Abwicklung des Fonds „Heimerziehung in der Bundesrepublik Deutschland in den Jahren 1949 bis 1975“ erleichtern datenschutzrechtliche Rahmenbedingungen die Arbeit der hessischen Anlauf- und Beratungsstellen. Inhaltlich geht es um die Entschädigung von ehemaligen Heimkindern in Hessen.


3.3.7.2.1
Der Anlass

Das Hessische Sozialministerium (HSM) hat sich an mich gewandt, um datenschutzrechtliche Fragestellungen zu erörtern, die die Umsetzung der Empfehlungen des Runden Tisches Heimkinder im Zeitraum 1949 bis 1975 betreffen. Konkret geht es um die Aufgabenwahrnehmung der für diese Thematik zuständigen hessischen Anlauf- und Beratungsstellen, die bei den sechs hessischen Ämtern für Versorgung und Soziales errichtet wurden. Damit ehemalige Heimkinder auf ihren Antrag hin Leistungen aus dem Fonds erhalten können, ist es für die Anlauf- und Beratungsstellen mitunter nötig, Informationen seitens der Jugendämter zu erlangen. Eine große mittelhessische Kommune war jedoch zunächst nicht damit einverstanden, dass ihr Jugendamt Unterlagen an diese Stellen versendet. Vor diesem Hintergrund hat das Sozialministerium um eine Stellungnahme zu folgenden Fragestellungen gebeten:

  • Dürfen Akten der Jugendämter (mit geschwärzten personenbezogenen Daten Dritter) an die hessischen Anlauf- und Beratungsstellen übersendet werden?
  • Reicht die schriftliche Versicherung der Anlauf- und Beratungsstelle aus, dass die schriftliche Einwilligung des ehemaligen Heimkindes für die Übersendung seiner Jugendamtsakte vorliegt?

3.3.7.2.2
Datenschutzrechtliche Bewertung

Datenschutzrechtlich ist es zulässig, dass Aktenausschnitte im sachlich erforderlichen Umfang vom Jugendamt auf der Grundlage einer Einwilligung der den Antrag stellenden Person übermittelt werden (§§ 67b Abs. 1 Satz 1 SGB X, § 61 Abs. 1 Satz 1 SGB VIII). Deshalb dürfen Akten mit geschwärzten Daten Dritter an die Hessischen Anlauf- und Beratungsstellen übersendet werden.

Diese Stellen sind wiederum strikt an das Datenschutzrecht gebunden, haben also insbesondere die Zweckbindung der Datenübermittlung zu beachten. Diese Verpflichtung, die Zweckbindung einzuhalten, ergibt sich im vorliegenden Kontext aus §§ 78 Abs. 1 Satz 1 SGB X, 61 Abs. 1 Satz 1 SGB VIII, weil den Anlauf- und Beratungsstellen vom Jugendamt Sozialdaten übermittelt werden:

§ 78 Abs. 1 SGB X

Personen oder Stellen, die nicht in § 35 des Ersten Buches genannt und denen Sozialdaten übermittelt worden sind, dürfen diese nur zu dem Zweck verarbeiten oder nutzen, zu dem sie ihnen befugt übermittelt worden sind.


Zwar gehören die Versorgungsämter zur Sozialverwaltung (§ 68 Nr. 7 SGB I) und sind insoweit Stellen im Sinne von § 35 SGB I. Die dort errichteten Anlauf- und Beratungsstellen sind jedoch keine Stellen, die Aufgaben nach dem Sozialgesetzbuch wahrnehmen, demzufolge auch keine Stellen i. S. v. § 35 SGB I und unterliegen deshalb dem in § 78 SGB X normierten Zweckbindungsgebot.

Hinsichtlich der Übermittlung von Sozialdaten seitens des Jugendamtes ist zu beachten, dass die Betroffenen hinreichend vor ihrer Einwilligung informiert werden und die Schriftform notwendig ist (§ 67b Abs. 2 SGB X).

Die Einwilligung muss dem Jugendamt aber nicht im Original vorgelegt werden, ausreichend ist vielmehr eine entsprechende schriftliche Versicherung der Anlauf- und Beratungsstelle gegenüber dem Jugendamt (§ 67d Abs. 2 S. 2 SGB X).

§ 67d Abs. 2 SGB X

Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung für die Richtigkeit der Angaben in seinem Ersuchen.


Im Anschluss an meine entsprechende Stellungnahme gegenüber dem HSM fand ein Gespräch mit dem HSM und Vertretern der Kommune statt, die Anlass der Stellungnahme war. Das Resultat war, dass zukünftig datenschutzrechtlich wie oben beschrieben verfahren werden solle.


3.3.7.2.3
Weitere Entwicklung

In der Folgezeit hat das HSM meine Stellungnahme an die hessischen kommunalen Spitzenverbände versandt. Außerdem hat es angefragt, ob die Stellungnahme auch der Länder-Arbeitsgruppe, die sich mit der Umsetzung der Empfehlungen des Runden Tisches Heimkinder im Zeitraum 1949 bis 1975 befasst, zur Verfügung gestellt werden kann. Unbeschadet meines Hinweises, dass meine Stellungnahme für andere Bundesländer ohne jede rechtliche Bindung ist, bin ich damit gerne einverstanden gewesen.

Mitte 2012 ist eine umfangreiche Drucksache betreffend die Umsetzung der Leistungen des bundesweiten Fonds „Heimerziehung in der Bundesrepublik Deutschland in den Jahren 1949 bis 1975“ erschienen (BTDrucks. 17/9682 vom 18. Mai 2012).

Zusätzlich hat das HSM eine Handreichung für die hessischen Anlauf- und Beratungsstellen sowie einen Leitfaden für ehemalige Heimkinder in Hessen, beide betreffend besagte Heimerziehung, herausgegeben.

Anfang des Jahres 2013 habe ich mich beim HSM erkundigt, ob die Kooperation der Anlauf- und Beratungsstellen mit den Jugendämtern mittlerweile problemlos verlaufe, was das HSM bejahend beantwortet hat.

Mitte 2013 ist der Bericht der Bundesregierung zum Stand der Umsetzung der Empfehlungen des Runden Tisches „Heimerziehung“ sowie der Empfehlungen zur Prävention und Zukunftsgestaltung erschienen (BTDrucks. 17/13671 vom 22. Mai 2013).

Eingaben von Bürgerinnen und Bürgern zum Thema „Heimerziehung“ sind bei mir nicht eingegangen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

3.3.7.3 Dauerbrenner bei Hartz IV: Übermittlung von Sozialdaten an Vermieter


Fast schon zum Tagesgeschäft gehören Anfragen von Betroffenen, wonach das Jobcenter zur Feststellung der Kosten der Unterkunft und Heizung parallel die Vorlage des Mietvertrages und von Unterlagen zu Heiz- und Nebenkosten, als auch gleichzeitig eine vom Vermieter ausgefüllte Mietbescheinigung (meist auf einem nicht neutralen Formular der Behörde) verlange. Regelmäßig antworte ich darauf, dass ich dieses parallele Verlangen für rechtswidrig halte und es keine rechtliche Grundlage dafür gibt, die Antragstellern auferlegt, so den Sozialleistungsbezug gegenüber deren Vermietern offenbaren zu müssen.

Für die Berechnung der Hilfebedürftigkeit im Bereich des SGB II benötigen die Leistungsträger, also die Jobcenter, auch Angaben zu den Wohnverhältnissen. Dies ergibt sich aus § 22 Abs. 1 Satz 1 SGB II.

§ 22 Abs. 1 Satz 1 SGB II

Bedarfe für Unterkunft und Heizung werden in Höhe der tatsächlichen Aufwendungen anerkannt, soweit diese angemessen sind.


Betroffenen obliegen in diesem Zusammenhang Mitwirkungspflichten, die jedoch nicht grenzenlos sind.

Wenn Betroffene in einem Mietverhältnis stehen, sind für die Prüfung der Kosten der Unterkunft Angaben zum Namen und zur Anschrift des Vermieters nicht zwingend. Eine Verpflichtung, dem Leistungsträger den gesamten Mietvertrag zu offenbaren, besteht grundsätzlich nicht. Um die aktuelle Miete bzw. die Nebenkosten nachzuweisen, genügt es, wenn z.B. das letzte Mieterhöhungsschreiben bzw. die Betriebskostenabrechnung vorgelegt wird.

Sollte die Vorlage des Vertrages dennoch ausdrücklich verlangt werden, so ist aus datenschutzrechtlicher Sicht darauf zu achten, nicht erforderliche Angaben zu schwärzen, um nicht Daten des Vermieters oder etwaiger Mitmieter preiszugeben.

Häufig fordern Jobcenter in Fällen beabsichtigter Neuanmietung von Wohnraum Mietbescheinigungen an. Sie gleichen nach Abschluss eines Mietvertrages die dortigen Angaben mit denen aus der Mietbescheinigung ab.

Grundsätzlich ist es nicht erforderlich, eine zusätzliche Bestätigung durch den Vermieter einzuholen. Das verwendete Formular dient offenbar als reine Arbeitshilfe für die Sachbearbeitung. Wenn die zur Beurteilung der Angemessenheit des Mietvertrages notwendigen Daten aus einem frei formulierten Schreiben des Vermieters zu entnehmen sind, ist eine zusätzliche Bescheinigung des Vermieters nicht erforderlich. Der Nachweis von Mietzahlungen kann schließlich mit Vorlage von Kontoauszügen durch den Betroffenen erfolgen.

Diese Rechtsauffassung teile ich seit Jahren regelmäßig den anfragenden Betroffenen mit. Parallel hierzu suche ich auch den direkten Kontakt zu den Jobcentern, um diese auf deren nicht datenschutzkonformes Verhalten hinzuweisen.

In meiner Rechtsauffassung sehe ich mich durch ein Urteil des Bundessozialgerichts vom 25. Januar 2012, Az. B 14 AS 65/11 bestätigt. Der Leitsatz dieses Urteils lautet: „Der Bezug von Arbeitslosengeld II ist ein Sozialdatum, dessen Offenbarung durch das Jobcenter nur zulässig ist, wenn der Leistungsbezieher eingewilligt hat oder eine gesetzliche Offenbarungsbefugnis vorliegt.“ An beiden Voraussetzungen mangelt es in den hier regelmäßig vorgetragenen Fallkonstellationen.

Abschließend ist darauf hinzuweisen, dass eine Offenbarungsbefugnis nicht aus den allgemeinen Vorschriften zur Übermittlung hergeleitet werden kann.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.7.4 Eigeninitiierte Sozialdatenübermittlung eines Jobcenters an die Polizei


Durch verschiedene Jobcenter ebenso wie durch die Polizeiakademie Hessen wurde die Frage an mich herangetragen, unter welchen gesetzlichen Bestimmungen ein Jobcenter von sich aus Daten an die Polizei übermitteln könnte, wenn der Verdacht auf Sozialleistungsmissbrauch durch eine Straftat wegen Urkundenfälschung besteht. In enger Kooperation mit dem Fachbereich Kriminalitätsbekämpfung der Polizeiakademie Hessen habe ich die Voraussetzungen herausgearbeitet, unter denen eine SGB-Stelle (Jobcenter, Sozialamt o. a.) diesbezüglich initiativ werden kann. Dies wird nun landesweit durch die Polizeiakademie Hessen mitgeschult.

Bereits in meinem 33. Tätigkeitsbericht (Ziff. 5.9.2), habe ich unter dem Titel „Zusammenarbeit Sozialamt und Polizei“ die Zulässigkeit der Übermittlung von Sozialdaten an die Polizei behandelt.

Aktueller Anlass für eine nochmalige Befassung mit dem Thema sind zum einen Anfragen von Jobcentern im Berichtszeitraum zur Zulässigkeit der Sozialdatenübermittlung von diesen an die Polizei aus eigener Initiative. Zum anderen und vor allem aber die Polizeiakademie Hessen, die sich durch den dortigen Fachbereich Kriminalitätsbekämpfung mit der Frage an mich gewandt hat, wann Beschäftigte von Jobcentern oder Sozialämtern der Polizei rechtmäßig eigeninitiativ Daten zur Überprüfung zur Verfügung stellen können.

Hintergrund beider Anfragen war, dass vermehrt bei Vorsprachen in Stellen für Sozialleistungen – wie Jobcenter oder Sozialamt – bei der Prüfung vorgelegter Ausweisdokumente durch die dortigen Beschäftigten der begründete Verdacht entstehe, dass vorgelegte Dokumente gefälscht sein könnten. Diese Dokumente würden nahezu ausschließlich von ausländischen Personen bei der Beantragung von Sozialleistungen vorgelegt, sodass dann regelmäßig der Verdacht bestehe, es solle Sozialleistungsmissbrauch durch falsche oder gefälschte Urkunden, also eine Straftat, begangen werden.

Die Polizeiakademie Hessen, Fachbereich Kriminalitätsbekämpfung, bietet generell vor Ort in Sozialbehörden Schulungen an, durch die dortige Beschäftigte in die Lage versetzt werden, durch unterschiedliche Prüfungsmethoden bereits nahezu sicher selbst erkennen zu können, ob ein vorgelegtes Personalausweis- oder Passdokument echt oder gefälscht ist.

Die Polizeiakademie Hessen wollte ihr Angebot nun auf breitere Füße stellen und durch die enge Kooperation mit meinem Haus Sozialbehörden dahingehend Ängste nehmen, dass deren Einschaltung der Polizei rechtswidrig – weil ohne sozialdatenschutzrechtliche Übermittlungsgrundlage – sein könnte.

Zur Bedeutung des Sozialdatenschutzes bei der Übermittlung von Sozialdaten habe ich mich bereits in meinem 41. Tätigkeitsbericht (Ziff. 3.3.5.2: Datenübermittlung des Jobcenters an die Ausländerbehörde bei SGB II-Anträgen durch europäische Unionsbürgerinnen und -bürger) umfassend geäußert.

Eine Übermittlung von Sozialdaten ist auch in der hiesigen Fallkonstellation gemäß § 67 d Abs. 1 SGB X nur zulässig, soweit eine gesetzliche Übermittlungsbefugnis nach den §§ 68 bis 77 oder nach einer anderen Rechtsvorschrift in diesem Gesetzbuch vorliegt. Die Verantwortung für die Zulässigkeit der Übermittlung trägt gem. § 67d Abs. 2 Satz 1 SGB X die übermittelnde Stelle.
Vorliegend steht als Rechtsgrundlage für die selbstinitiierte Datenübermittlung § 69 Abs. 1 Nr. 1, 2. Alt. SGB X zur Verfügung.

§ 69 Abs. 1 SGB X

Eine Übermittlung von Sozialdaten ist zulässig, soweit sie erforderlich ist

  1. für die Erfüllung der Zwecke, für die sie erhoben worden sind oder für die Erfüllung einer gesetzlichen Aufgabe der übermittelnden Stelle nach diesem Gesetzbuch oder einer solchen Aufgabe des Dritten, an den die Daten übermittelt werden, wenn er eine in § 35 des Ersten Buches genannte Stelle ist,
  2. für die Durchführung eines mit der Erfüllung einer Aufgabe nach Nummer 1 zusammenhängenden gerichtlichen Verfahrens einschließlich eines Strafverfahrens oder
  3. für die Richtigstellung unwahrer Tatsachenbehauptungen des Betroffenen im Zusammenhang mit einem Verfahren über die Erbringung von Sozialleistungen; die Übermittlung bedarf der vorherigen Genehmigung durch die zuständige oberste Bundes- oder Landesbehörde.

§ 69 Abs. 1 Nr. 1 SGB X gestattet die Übermittlung von Sozialdaten, um eine ordnungsgemäße und reibungslose Zusammenarbeit der in § 35 Abs. 1 SGB I genannten Stellen zu ermöglichen, und beinhaltet drei Fallvarianten. Nach Abs. 1 Nr. 1 ist in dessen zweiter Fallvariante die Übermittlung von Sozialdaten zulässig für die Erfüllung einer gesetzlichen Aufgabe der übermittelnden Stelle nach dem SGB, d.h. für die Erfüllung einer sog. Eigenaufgabe.

Als gesetzliche Aufgabe ist auch hier – vgl. vorgenannter Beitrag aus meinem 41. Tätigkeitsbericht (Ziff. 3.3.5.2) – jede Aufgabe anzusehen, die sich aus dem SGB insgesamt ergibt. Wenn ein Jobcenter bei der Prüfung vorgelegter Personalausweis- oder Passdokumente im Rahmen einer Antragstellung auf Sozialleistungen selbstbegründet zu dem Ergebnis kommt, dass im konkreten Einzelfall ein Verdacht auf Sozialleistungsmissbrauch durch die Vorlage gefälschter Urkunden besteht, dann kann eine Datenübermittlung an die Polizei auf die Grundlage von § 69 Abs. 1 Nr. 1, 2. Alt. SGB X gestützt werden. Eine Urkundenfälschung ist kein Kavaliersdelikt, sondern eine Straftat, die vorliegend noch zusätzlich zu Lasten der Solidargemeinschaft erhebliche finanzielle Konsequenzen und Ausweitungen haben kann.

Diese Rechtslage habe ich dem Fachbereich Kriminalitätsbekämpfung der Polizeiakademie Hessen in einer ausführlichen Stellungnahme dargelegt.

In der Folge und zum Abschluss unserer Kooperation bezüglich dieser Fragestellung habe ich an einer der ganztägigen Schulungen der Polizeiakademie Hessen von Beschäftigten einer Sozialverwaltung teilgenommen und hier die sozialdatenschutzrechtlichen Aspekte selbst nochmals mit eingebracht und verdeutlicht. Diese Schulungen werden nun mit dem Einfluss der sozialdatenschutzrechtlichen Aspekte landesweit von der Polizeiakademie Hessen angeboten und durchgeführt.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.7.5 Vorlage eines ärztlichen Attestes bei der Erteilung einer Erlaubnis zur Vollzeitpflege in der Kinder- und Jugendhilfe


Bei der Erteilung einer Erlaubnis zur Vollzeitpflege für Bewerberinnen und Bewerber in der Kinder- und Jugendhilfe spielen mehrere Kriterien eine Rolle. Die Frage, ob im Rahmen der Prüfung der Erlaubniskriterien von Bewerberinnen und Bewerbern auch ein ärztliches Attest zur Vorlage beim Entscheidungsträger verlangt werden kann, ist aus datenschutzrechtlicher Sicht zu bejahen.


3.3.7.5.1
Der Anlass

Durch eine Anfrage des Landesbeauftragten für den Datenschutz Schleswig-Holstein innerhalb der Datenschutz-Aufsichtsbehörden zur bisherigen Befassung mit einem Thema aus dem Rechtsbereich der Kinder- und Jugendhilfe wurde ich auf eine mögliche Problematik aufmerksam gemacht, und zwar bei der Erteilung einer Erlaubnis zur Vollzeitpflege.

Die Rechtsgrundlage für die Erlaubnis zur Vollzeitpflege findet sich in § 44 SGB VIII.

§ 44 SGB VIII

(1) Wer ein Kind oder einen Jugendlichen über Tag und Nacht in seinem Haushalt aufnehmen will (Pflegeperson), bedarf der Erlaubnis. Einer Erlaubnis bedarf nicht, wer ein Kind oder einen Jugendlichen

  1. im Rahmen von Hilfe zur Erziehung oder von Eingliederungshilfe für seelisch
    behinderte Kinder und Jugendliche aufgrund einer Vermittlung durch das Jugendamt,
  2. als Vormund oder Pfleger im Rahmen seines Wirkungskreises,
  3. als Verwandter oder Verschwägerter bis zum dritten Grad,
  4. bis zur Dauer von acht Wochen,
  5. im Rahmen eines Schüler- oder Jugendaustausches,
  6. in Adoptionspflege (§ 1744 des Bürgerlichen Gesetzbuchs)
    über Tag und Nacht aufnimmt.

(2) Die Erlaubnis ist zu versagen, wenn das Wohl des Kindes oder des Jugendlichen in der Pflegestelle nicht gewährleistet ist. § 72a Absatz 1 und 5 gilt entsprechend.

(3) Das Jugendamt soll den Erfordernissen des Einzelfalls entsprechend an Ort und Stelle überprüfen, ob die Voraussetzungen für die Erteilung der Erlaubnis weiter bestehen. Ist das Wohl des Kindes oder des Jugendlichen in der Pflegestelle gefährdet und ist die Pflegeperson nicht bereit oder in der Lage, die Gefährdung abzuwenden, so ist die Erlaubnis zurückzunehmen oder zu widerrufen.

(4) Wer ein Kind oder einen Jugendlichen in erlaubnispflichtige Familienpflege aufgenommen hat, hat das Jugendamt über wichtige Ereignisse zu unterrichten, die das Wohl des Kindes oder des Jugendlichen betreffen.

Strittig und datenschutzrechtlich zu beurteilen in der vorliegenden Anfrage war die Frage, ob von Bewerberinnen und Bewerbern um eine Erlaubnis zur Vollzeitpflege ein ärztliches Attest eingefordert werden kann (Vorlagepflicht).


3.3.7.5.2
Befragung einiger Jugendämter zur Prüfung der Zulässigkeit der Forderung

Da ich mit dieser Frage bisher noch nicht befasst war und um mir ein Bild über die im Kontext der Frage stehende Gesamtsituation machen zu können, habe ich zunächst eine Umfrage bei einigen hessischen Jugendämtern gestartet. Ich habe diese befragt, nach welchen Kriterien und welchem organisatorischen Ablauf diese ihre Entscheidung über die Erteilung einer Erlaubnis zur Vollzeitpflege in der Kinder- und Jugendhilfe treffen. Dabei sollten sich die Ämter dazu äußern, ob sie es für erforderlich halten, von den Bewerberinnen und Bewerbern ein ärztliches Attest zu verlangen, durch das die Geeignetheit oder Nichtgeeignetheit für die Durchführung einer Vollzeitpflege von Kindern bestätigt werden soll.


3.3.7.5.3
Rückmeldungen der Jugendämter

Nach der Befragung von vier Jugendämtern (je zwei in zwei kreisfreien hessischen Städten bzw. hessischen Landkreisen) zu deren Umsetzung des § 44 SGB VIII ergibt sich das Bild, dass i.d.R. für die Vollzeitpflege eine Bescheinigung eines (Haus-)Arztes verlangt wird, wonach gegen die Durchführung der Vollzeitpflege keine ärztlichen Bedenken bestehen.

Ein Jugendamtsbezirk fordert darüber hinaus, dass sich alle Pflegeelternbewerber und alle im selben Haushalt lebenden Personen ab dem 16. Lebensjahr beim dortigen Amt für Gesundheit einer Untersuchung unterziehen.


3.3.7.5.4
Ergebnisse im Detail

Jugendamt A
fordert, dass alle Pflegeelternbewerber sich beim dortigen Amt für Gesundheit einer Untersuchung unterziehen. Es wird ein Auftrag an das Amt für Gesundheit formuliert, wonach dieses eine Anamnese-, eine körperliche, eine Blutuntersuchung und ggf. weitere fachärztliche Untersuchungen sowie ein Drogenscreening und CDT [Anmerkung: CDT ist die Abkürzung für eine Variante des Glycoproteins Transferrin und dient zum Nachweis des Alkoholmissbrauchs] durchzuführen hat. Neben den Pflegeeltern müssen sich auch alle weiteren Familienmitglieder ab dem 16. Lebensjahr dieser Untersuchung unterziehen. Das Amt für Gesundheit teilt im Ergebnis jedoch keinerlei Diagnosen mit, es erfolgt lediglich die Erklärung, ob die untersuchten Personen geeignet sind oder nicht. Diese Untersuchung wird alle fünf Jahre durchgeführt, ansonsten nur bei Verdachtsfällen.

Jugendamt B
fordert von den Antragsstellern ein Attest von deren Hausarzt, aus dem hervorgeht, dass aus ärztlicher Sicht gegen eine Tätigkeit als Vollzeitpflegeeltern keine Bedenken bestehen. Das Jugendamt nimmt selbst keinen Kontakt mit dem Hausarzt auf, das Verfahren bleibt in der Hand der Antragsteller. Bei unklarem Ergebnis der Erklärung des Hausarztes fordert das Jugendamt eine Erklärung nach amtsärztlicher Untersuchung, dass gegen eine Tätigkeit als Vollzeitpflegeltern keine Bedenken bestehen. Sollte ein Verdacht auf Alkohol- und Suchtmittelmissbrauch aufkommen, werden von den Pflegeeltern entsprechende Screenings verlangt. Falls psychische Beeinträchtigungen der Antragsteller bestehen, lässt sich das Jugendamt überdies eine Befreiung von der ärztlichen Schweigepflicht erteilen, um die im Einzelfall bestehenden Beeinträchtigungen direkt mit den Ärzten zu erörtern.

Jugendamt C
fordert die Vorlage einer Erklärung des Hausarztes. In der Erklärung bestätigt dieser, dass die Person bei ihm eingehend ärztlich untersucht wurde und dass aus medizinischer Sicht keine Bedenken gegen die Aufnahme eines Pflegekindes bestehen. Bescheinigungen hinsichtlich im selben Haushalt lebender Kinder und Jugendlichen werden nicht verlangt. In der Folge finden keine routinemäßigen Untersuchungen statt. Eine regelmäßige Schweigepflichtentbindung wird nicht gefordert – es sei denn, es gibt im Einzelfall Hinweise auf schwerwiegende Beeinträchtigungen.

Jugendamt D
ließ sich bis zu meiner Anfrage eine Bescheinigung des Hausarztes vorlegen, in der dieser bzgl. verschiedener schriftlich fixierter Merkmale bescheinigte, dass keine gesundheitlichen Bedenken bestehen. Äußerte der Arzt gesundheitliche Bedenken, hatten die Antragsteller diesen im weiteren Verfahren von der Schweigepflicht zu entbinden. Als Antwort auf meine Nachfrage nach der dortigen Praxis teilte das Jugendamt mit, sich fortan – auch auf Anregung des dortigen behördlichen Datenschutzbeauftragten – von den jeweiligen Hausärzten keine Unbedenklichkeit hinsichtlich einzelner Merkmale bescheinigen zu lassen. Stattdessen soll die Auskunft des Hausarztes auf die Ergebnisse „geeignet“ oder „es bestehen Bedenken“ beschränkt werden. Falls aus ärztlicher Sicht Bedenken bestehen, solle dies zunächst ebenfalls vom Arzt nur pauschal mitgeteilt werden. Es läge dann beim Antragsteller, ob er bei diesen Bedenken des Arztes dem Jugendamt in Form einer Schweigepflichtentbindung die Möglichkeit einräumt, sich über die Art der Einschränkung und die Auswirkungen auf ein Pflegeverhältnis ein weiteres Bild zu verschaffen.


3.3.7.5.4
Rechtliche Bewertung / Ergebnis

Meines Erachtens gibt § 44 SGB VIII für die Vollzeitpflege den Jugendämtern die Befugnis, von den Antragstellern die Vorlage eines ärztlichen Attestes zu verlangen. Aus diesem hat hervorzugehen, dass gegen eine Pflege aus ärztlicher Sicht keine Bedenken bestehen. Im Rahmen der Eignungsprüfung ist die gesundheitliche Eignung der Antragsteller ein wesentlich zu berücksichtigender Gesichtspunkt.

Es ist jedoch der Grundsatz der Datenerforderlichkeit in der Kinder- und Jugendhilfe gem. § 62 Abs. 1 SGB VIII zu beachten.

§ 62 Abs. 1 SGB VIII

Sozialdaten dürfen nur erhoben werden, soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist.


Der Umfang des ärztlichen Attestes ist daher zu begrenzen. Die generelle Mitteilung des Arztes an das Jugendamt, seit wann der Antragsteller bei ihm in Behandlung ist und welche konkreten schwerwiegenden Erkrankungen (psychisch, physisch, Sucht, Infektionen) vorliegen, sind in dieser Pauschalität nicht erforderlich. Für die Jugendämter reicht zunächst die Information „geeignet“ oder „es bestehen Bedenken“ aus, um weitere Verfahrensschritte im Antragsverfahren zu unternehmen. Sollten Bedenken bestehen, kann das Jugendamt mit dem Antragsteller in Kontakt treten und auf die generellen gesundheitlichen Bedenken hinweisen. Für eine weitere Überprüfung wäre dann – aber erst in diesem zweiten Schritt – eine freiwillige Schweigepflichtentbindung möglich (und auch erforderlich).

Meines Erachtens ist auch eine (aktuelle) Erklärung des Hausarztes ausreichend; einer Untersuchung durch das Gesundheitsamt bedarf es aus Erforderlichkeitsgrundsätzen nicht. Im Zweifel kennt der Hausarzt den Patienten bereits über einen längeren Zeitraum. Für eine Verpflichtung der Untersuchung beim Gesundheitsamt kann lediglich eine niedrigere Missbrauchs- oder gar Fälschungsanfälligkeit angeführt werden. Diesbezügliche etwaige Einzelfälle können aber nach meiner Auffassung keine generelle Untersuchungspflicht der Antragssteller beim Gesundheitsamt rechtfertigen. Etwaige Manipulationsanfälligkeiten können überdies i.d.R. auch schon im persönlichen Gespräch im fortdauernden Dialog zwischen Jugendamt und Bewerber durch die Ämter entdeckt werden. Überdies sollte das Verhältnis zwischen Pflegeeltern und Jugendämtern von gegenseitigem Vertrauen als Basis für jedwede Pflegeverhältnisse geprägt sein.

Hinsichtlich der Untersuchung von im selben Haushalt lebenden Personen über 16 Jahre im Zusammenhang mit der Erteilung einer Erlaubnis zur Vollzeitpflege nach § 44 SGB VIII reicht ebenfalls eine generelle Bescheinigung des Arztes, ob Bedenken bestehen oder nicht, aus. Auch hier können Bedenken alleine dadurch ermittelt werden – für einen intensiveren grundrechtlichen Eingriff durch eine Untersuchung durch das (staatliche) Gesundheitsamt fehlt es an der Erforderlich-, jedenfalls an der Verhältnismäßigkeit.

Während der Dauer des Pflegeverhältnisses halte ich vor dem Hintergrund, dass die Pflegeperson verpflichtet ist, das Jugendamt auch über schwere Krankheiten zu unterrichten, und ohnehin ein ständiger Dialog zwischen Amt und Jugendämtern besteht – eine anlasslose Untersuchungspflicht in einem bestimmten (engen) zeitlichen Rahmen für nicht angemessen.

Routinemäßige Überprüfungen der Pflegestellen ohne konkrete Hinweise sind vor dem Hintergrund des gegenseitigen Vertrauens zwischen Amt und Pflegeeltern nicht zulässig – bei entsprechenden Anhaltspunkten, die sich im fortwährenden Dialog der Beteiligten ergeben, ist dies dann freilich anders zu beurteilen.

Diese Sichtweise habe ich dem ursprünglich anfragenden Landesbeauftragten für den Datenschutz Schleswig-Holstein in einer umfangreichen Stellungnahme, ebenso wie nachrichtlich den übrigen Datenschutz-Aufsichtsbehörden der anderen Bundesländer sowie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mitgeteilt. Auch die vier von mir befragten Jugendämter habe ich nachrichtlich entsprechend in Kenntnis gesetzt.

Den hier geschilderten Standpunkt werde ich auch anderen Jugendämtern gegenüber vertreten.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.7.6 Videoaufnahmen von Kindern im Kindergarten oder in einer Kindertagesstätte


Immer wieder erreichen mich Anfragen zur Möglichkeit der Fertigung von Videoaufnahmen oder -mitschnitten von Kindern in einem Kindergarten oder in Kindertagesstätten. Die anfragenden Stellen weise ich regelmäßig darauf hin, dass dies – trotz meist bester Absichten – nicht ohne Weiteres, sondern nur mit einer vorherigen, informierten Einwilligung der Erziehungsberechtigten möglich ist.

Zuletzt wandte sich eine Gemeinde an mich, die in ihrem Gemeinde-Kindergarten den Einsatz eines iPad – auch zur Aufnahme von Fotos und Videos der Kinder – als Arbeitsmittel für die dortigen Erzieherinnen in Erwägung zog. Mit den aufgenommenen Videos sollten z.B. den Eltern dann bestimmte Verhaltens- und Spielsituationen aufgezeigt werden. Auch die Integration der Videos in die sogenannten Entwicklungsgespräche zwischen den Erzieherinnen und den Eltern war beabsichtigt.

Ich habe der Gemeinde mitgeteilt, dass Rechtspositionen wie das „Recht am eigenen Bild“ oder das „Recht am gesprochenen Wort“, abgeleitet aus dem Persönlichkeitsrechtsschutz bei Erhebungen und Verwendungen seine Person betreffender Daten und Informationen, den Anspruch des Einzelnen auf informationelle Selbstbestimmung spiegeln.

Das „Recht am eigenen Bild“ schützt vor jeder Art der unbefugten Anfertigung, Verbreitung oder Veröffentlichung einer bildlichen Darstellung einer Person durch stoffliche Fixierung und z.B. auch vor der mittels technischer Geräte bewirkten Direktübertragung des Erscheinungsbildes. Mit anderen Worten: Auch hinsichtlich der Herstellung und Verbreitung ihrer Bilder steht Betroffenen ein Selbstbestimmungsrecht zu, nach dem regelmäßig nur sie selbst darüber zu befinden haben, ob und wie sie sich in der Öffentlichkeit oder gegenüber Dritten darstellen wollen und wer Daten – hier in Form eines Bildes oder einer Aufnahme – über sie speichert, nutzt und übermittelt.

Bereits in meinem 36. Tätigkeitsbericht (Ziff. 5.6.4, Datenschutzfragen bei der Erstellung und Behandlung von Schülerfotos) habe ich festgestellt, dass eine Schule kein Recht am Bild der Schülerinnen und Schüler besitzt und diese auch nicht die Pflicht haben, ein Foto zu dulden. Dies ist auf die hier vorliegende Anfrage entsprechend übertragbar.

Seine Grundlagen hat das Recht am eigenen Bild im Persönlichkeitsrecht der Art. 1 Abs. 1 und 2 Abs. 1 GG, in den §§ 22, 23 des Kunsturhebergesetzes (KUG) i.V.m. § 33 KUG und in § 201a StGB.

§ 22 KUG

Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt. Nach dem Tode des Abgebildeten bedarf es bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten. Angehörige im Sinne dieses Gesetzes sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten.


§ 23 KUG

(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:

  1. Bildnisse aus dem Bereiche der Zeitgeschichte;
  2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen;
  3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;
  4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient.

(2) Die Befugnis erstreckt sich jedoch nicht auf eine Verbreitung und Schaustellung, durch die ein berechtigtes Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird.

§ 33 KUG

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer entgegen den §§ 22, 23 ein Bildnis verbreitet oder öffentlich zur Schau stellt.

(2) Die Tat wird nur auf Antrag verfolgt.

§ 201a StGB

(1) Wer von einer anderen Person, die sich in einer Wohnung oder einem gegen Einblick besonders geschützten Raum befindet, unbefugt Bildaufnahmen herstellt oder überträgt und dadurch deren höchstpersönlichen Lebensbereich verletzt, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer eine durch eine Tat nach Absatz 1 hergestellte Bildaufnahme gebraucht oder einem Dritten zugänglich macht.

(3) Wer eine befugt hergestellte Bildaufnahme von einer anderen Person, die sich in einer Wohnung oder einem gegen Einblick besonders geschützten Raum befindet, wissentlich unbefugt einem Dritten zugänglich macht und dadurch deren höchstpersönlichen Lebensbereich verletzt, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(4) Die Bildträger sowie Bildaufnahmegeräte oder andere technische Mittel, die der Täter oder Teilnehmer verwendet hat, können eingezogen werden. § 74a ist anzuwenden.


Das Recht am eigenen Bild ist also hinsichtlich der unbefugten Verarbeitung bzw. Veröffentlichung des Bildes einer Person strafrechtlich durch § 33 KUG geschützt, der ein in § 22 KUG enthaltenes Verbot sanktioniert. Danach dürfen Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder zur Schau gestellt werden (vgl. § 22 Abs. 1 KUG), wobei unter Bildnis – unabhängig vom eingesetzten Verfahren – jede Wiedergabe des äußeren Erscheinungsbildes einer identifizierbaren Person zu verstehen ist.

Wenn vorliegend die Eltern ihre erforderliche (vorherige) Einwilligung schriftlich verweigern, dann hat sich die Gemeinde und deren Kindergarten oder Kindertagesstätte daran zwingend zu halten. Tut sie das nicht, handelt sie widerrechtlich.

Grundsätzlich sehe ich bereits die Gestaltung eines hinreichend präzisen Einwilligungstextes in solchen Fällen als schwierig an. Eine (evtl. nur einmal beim Eintritt in den Kindergarten oder die Kindertagesstätte abgegebene) „Pauschal-Einverständniserklärung“ für die Aufnahme von Fotos und/oder Filmen des Kindes für die Dauer dessen Zugehörigkeit zum Kindergarten oder zu der Kindertagesstätte halte ich für zu unbestimmt und global – eine „informierte“ Einwilligung, die das Datenschutzrecht als Rechtsgrundlage fordert, ist den Eltern so nicht möglich.

Diese Rechtslage habe ich der Gemeinde mitgeteilt. Da hierauf keine weitere Reaktion von dieser mehr erfolgt ist, gehe ich davon aus, dass man vom Einsatz eines iPad als Arbeitsmittel für Erzieherinnen zum Zweck der Aufnahme von Fotos und/oder Videos wieder abgerückt ist und diesen verworfen hat.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.8 Personalwesen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.8.1 Begleitung des Projekts „Optimierung der Personalverwaltung“


Zur Erreichung des Ziels „Umstellung auf moderne elektronische Geschäftsprozesse in der Personalverwaltung unter Berücksichtigung der Einführung von Dienstleistungszentren“ hat die Landesverwaltung bereits im Jahr 2011 das Gesamtprojekt „Optimierung der Personalverwaltung“ gestartet.

Bereits in meinem 40. Tätigkeitsbericht hatte ich unter Ziff. 3.10.4 berichtet, dass die Landesverwaltung an verschiedenen Projekten zur Optimierung der Personaldatenverarbeitung arbeitet.

Das Teilprojekt “Zentralisierung der Reisekostenabrechnung” ist inzwischen soweit abgeschlossen, dass bis auf das Kultusministerium, das Ministerium des Innern und für Sport und das Ministerium für Umwelt, Energie, Landwirtschaft und Verbraucherschutz alle Ressorts produktiv gesetzt wurden.
Die Reisekosten werden zukünftig zentral bei der HBS berechnet. Die erforderlichen Daten werden von den Bediensteten selbst erfasst und elektronisch – mittels Employee Self Service (ESS) – in einem webbasierten Anwendungsprogramm zur Abrechnung an die HBS übermittelt.

Das Teilprojekt “Optimierung der landesinternen Fortbildung” hat inzwischen die Informationsplattform für Tagungsstätten bereitgestellt, auf der Informationen über die für die Fortbildungsmaßnahmen zur Verfügung stehenden Tagungsstätten abgerufen werden können. Zurzeit wird die Beschaffung von notwendigen Lizenzen sowie deren Finanzierung durch das Ministerium der Finanzen geprüft. Erst nach Klärung dieser Fragen wird entschieden, in welchem Umfang dieses Teilprojekt fortgeführt werden kann.

Im Teilprojekt “Elektronische Personalakte” wurde das Lastenheft, in dem die fachliche und technische Anforderung an eine elektronische Personalakte beschrieben wird, sowie das Scan-Konzept, in dem das initiale Scannen des Papieraktenbestandes sowie die Dokumentendigitalisierung im laufenden Tagesgeschäft beschrieben wird, erstellt. Dieses Teilprojekt befindet sich zurzeit noch in der Abstimmung und im Entscheidungsprozess.

Auch das Teilprojekt “Elektronische Bewerberplattform/eRecruting”, in dem geprüft werden soll, ob eine zentrale Plattform für Stellenausschreibungen und Ausbildungsmöglichkeiten im Internet- und Mitarbeiterportal des Landes eingeführt werden kann, die hinsichtlich des Zugangs, des Designs, der Navigation, der Information und Interaktivität modernen Ansprüchen genügt, befindet sich zurzeit noch in der Abstimmung und im Entscheidungsprozess.

In allen Projekten war ich bei der Erarbeitung der Konzepte eingebunden und konnte auf datenschutzrechtlich bedeutsame Sachverhalte hinweisen, was in allen Fällen dazu führte, dass organisatorische und inhaltliche Lösungen gefunden wurden, die datenschutzkonform sind.

Ich werde alle Projekte weiterhin eng begleiten und zur gegebenen Zeit den Einsatz der Programme und die tatsächliche programmtechnische Umsetzung der Konzepte vor Ort überprüfen.

Die Zusammenarbeit mit den Projektentwicklern war jederzeit konstruktiv und im Sinne des Datenschutzes erfolgreich.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.03.2014

 
 

3.3.9 Kommunale Selbstverwaltungskörperschaften

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.1 Gesetzentwurf der Fraktionen von CDU und FDP zur Änderung des Brand- und Katastrophenschutzgesetzes – Einführung einer „Bevölkerungswarndatei“


Die Aufnahme einer Vorschrift in das Brand- und Katastrophenschutzgesetz zur Erhebung von Mobilfunknummern der Bevölkerung, um diese im Brand- und Katastrophenfall frühzeitig warnen zu können, ist datenschutzrechtlich dann nicht zu beanstanden, wenn klar und eindeutig geregelt ist, wie und wo diese Daten verarbeitet werden.

Im April des Jahres haben die Fraktionen der CDU und FDP den Gesetzentwurf für ein Drittes Gesetz zur Änderung des Hessischen Brand- und Katastrophenschutzgesetzes (HBKG) (LTDrucks. 18/7251) vorgelegt. Der Innenausschuss des Hessischen Landtags hat mir Gelegenheit gegeben, mich zu dem Gesetzentwurf zu äußern.

Von datenschutzrechtlicher Bedeutung ist die beabsichtigte Einfügung der Vorschrift des § 34a, mit der eine Warnung der Bevölkerung auch durch Nachricht auf Mobilfunkendgeräte ermöglicht werden soll.

§ 34a HBKG

Die nach § 3 Abs. 1 Nr. 5 oder § 4 Abs. 1 Nr. 6 zuständigen Behörden sind zur Erfüllung ihrer Aufgaben im Brandschutz, in der Allgemeinen Hilfe und im Katastrophenschutz befugt, Warnungen der Personen, die sich zu diesem Zwecke haben registrieren lassen, Mitteilungen an Mobilfunkendgeräte zu übermitteln. Diese Warnmitteilungen können auch Verhaltensempfehlungen enthalten.


Die Ausschöpfung der technischen Möglichkeiten, die die modernen Mobilfunkendgeräte bieten, um Bürger im Falle von Katastrophen, Unglücksfällen und anderen schädigenden Ereignissen warnen zu können, ist begrüßenswert.

Da die dazu erforderlichen Kontaktdaten der Mobilfunkrufnummer und der E-Mail-Adresse erst erhoben und gespeichert werden, nachdem der Bürger sich mittels einer Kurzmitteilung (SMS) auf eigene Veranlassung hin freiwillig registriert hat, bestehen gegen eine Erhebung und Speicherung dieser Daten grundsätzlich keine datenschutzrechtlichen Bedenken.

Nach § 7 Abs. 1 Nr. 3 HDSG ist eine Verarbeitung personenbezogener Daten zulässig, wenn der Betroffene ohne jeden Zweifel eingewilligt hat. Nach § 7 Abs. 2 S. 1 HDSG bedarf diese Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Sinn und Zweck dieser Regelung ist es, dass auch aus der nicht in schriftlicher Form erfolgten Einwilligung unzweifelhaft ersichtlich ist, dass diese andere Form keinerlei Einfluss auf die Entscheidungsfreiheit des Bürgers hat. Solange die Erhebung und Speicherung der personenbezogenen Daten erst auf einen Initiativakt des Bürgers hin – die Sendung einer Kurzmitteilung an eine bestimmte Adresse – erfolgt, sehe ich darin eine unzweifelhafte Einwilligung des Bürgers zur Erhebung und Speicherung der Daten zum Zwecke der Warnung vor Katastrophen und Unglücksfällen.

Allerdings fehlte aus meiner Sicht im Gesetzentwurf die Benennung der Stelle, die die vom Bürger angegebenen personenbezogenen Daten erhebt und speichert.

Nach § 55 Abs. 1 des Gesetzes, in den lediglich ein Verweis auf die jüngste Änderung des HDSG („geändert durch Gesetz vom 20. Mai 2011; GVBl. I S. 208“) eingefügt werden soll, gelten für die Bearbeitung personenbezogener Daten die Bestimmungen des HDSG „nach Maßgabe der folgenden Vorschriften“.

Diese nachfolgenden Vorschriften enthalten jedoch lediglich Regelungen hinsichtlich der Verarbeitung personenbezogener Daten von Feuerwehrangehörigen sowie Helferinnen und Helfern (Abs. 2), der Verarbeitung personenbezogener Daten zur Erfüllung von Entschädigungsansprüchen (Abs. 3), der Verarbeitung personenbezogener Daten Angehöriger besonderer Betriebe (Abs. 4) sowie der Verarbeitung personenbezogener Daten für die Erstellung einer landesweiten Statistik für den Brandschutz oder Katastrophenschutz (Abs. 5). Eine Regelung hinsichtlich der Stelle, die die vom Bürger für den Warndienst angegeben personenbezogenen Daten erheben und speichern soll, war hingegen nicht vorgesehen.

Aus dem vorgelegten Entwurf ließ sich nicht entnehmen, ob eine Speicherung durch eine öffentliche Stelle oder einen privaten Dienstleister, der in das System eingebunden ist, erfolgen soll. Auch wurde nicht hinreichend präzise bestimmt, ob diese Daten an einer zentralen Stelle für ganz Hessen oder dezentral in den jeweils am System teilnehmenden Kommunen gespeichert werden. Bezüglich dieser Frage habe ich deshalb eine weitere gesetzliche Klarstellung für erstrebenswert gehalten. Eine solche könnte beispielsweise auch durch eine Verordnung im Zusammenhang mit einer entsprechenden Verordnungsermächtigung erfolgen.

Diese Anregung ist mit einem fachlichen Beitrag von der Landesregierung aufgegriffen worden, die folgenden Änderungsvorschlag für § 69 des HBKG gemacht hat:

§ 69 wird wie folgt geändert:

a) Als neue Nr. 5 wird eingefügt:
5. die Bestimmung der Stelle, die befugt ist, personenbezogene Daten der Personen zu erheben und zu speichern, die sich zum Zwecke ihrer Warnung haben registrieren lassen (§ 34a),


Die für den Brand- und Katastrophenschutz zuständige Ministerin oder der zuständige Minister wären dadurch ermächtigt, durch Verordnung festzulegen, welche Stelle die „Warndatei“ führt. Dadurch würde für die Personen, die sich registrieren lassen wollen, Transparenz geschaffen, wo ihre Daten verarbeitet werden. Ich erwarte von dem zuständigen Minister bzw. der zuständigen Ministerin, dass von dieser Ermächtigung dann auch Gebrauch gemacht wird.

Dieser Vorschlag ist als Änderungsantrag der Fraktionen der CDU und der FDP im Plenum eingebracht und am 19. November 2013 vom Landtag nach zweiter Lesung angenommen worden.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.2 Veröffentlichung von Einwenderdaten im Bebauungsplanverfahren unter anderem gegenüber der Presse


Einwendungen, die im Rahmen eines Bebauungsplanverfahrens vorgetragen werden, dürfen nicht personenbezogen beraten und an die Presse weitergegeben werden.

Ein Bürger hatte sich an meine Dienststelle und parallel an die Kommunalaufsicht gewandt und sich darüber beschwert, dass die von ihm vorgetragenen Einwendungen gegen einen Bebauungsplan unter Nennung seines Namens in der lokalen Presse nachzulesen waren. Der Beschwerdeführer war Mitglied im geschäftsführenden Vorstand einer in der Stadtverordnetenversammlung vertretenen Partei. Er erhob als Privatperson im Rahmen der Offenlegung des Bebauungsplanentwurfs schriftliche Einwendungen gegen den Entwurf. In der späteren öffentlichen Beratung über den Entwurf in der Stadtverordnetenversammlung wurde wörtlich aus seinen Einwendungen zitiert und der Name des Beschwerdeführers genannt. Zusätzlich fand sich sein Name und die von ihm vorgebrachten Einwendungen auch in der lokalen Presse.

Diese namentliche Nennung des Beschwerdeführers in öffentlicher Sitzung stellt einen Verstoß gegen datenschutzrechtliche Vorschriften dar. Das HDSG erlaubt grundsätzlich nur eine anonymisierte Erörterung von Einwendungen gegen einen Bebauungsplanentwurf in öffentlicher Sitzung kommunaler Gremien.

Da der Beschwerdeführer die Einwendungen gegen den Bebauungsplanentwurf als Privatperson erhoben hat, gilt der allgemeine datenschutzrechtliche Grundsatz, wonach eine Verarbeitung personenbezogener Daten nur zulässig ist, wenn eine dem HDSG vorgehende Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, wenn das HDSG selbst dies zulässt oder der Betroffene ohne jeden Zweifel eingewilligt hat (§ 7 Abs. 1 HSDG).

Der Beschwerdeführer hat nicht in die Nennung seines Namens in öffentlicher Sitzung eingewilligt. Das Erheben von Einwendungen im Aufstellungsverfahren eines Bebauungsplans erhält keinen Erklärungswert dahin gehend, dass in die Nennung des Namens in öffentlicher Sitzung eingewilligt wird. Vielmehr beschränkt sich der Erklärungswert zunächst auf das Erheben bauplanungsrechtlicher Einwände. Damit verbunden ist lediglich eine Einwilligung in die für die Bearbeitung der Einwände notwendige Erhebung und Speicherung der personenbezogenen Daten bei der für den Planungsprozess zuständigen Behörde. Die Nennung des Namens in öffentlicher Sitzung geht in ihrer Eingriffsintensität in das Grundrecht auf informationelle Selbstbestimmung jedoch über eine bloße Erhebung und Speicherung von Daten bei der Planungsbehörde deutlich hinaus. Sie stellt einen schwereren Eingriff in das Grundrecht auf informationelle Selbstbestimmung dar, da die Nennung des Namens des Einwendenden der allgemeinen Öffentlichkeit die Möglichkeit gibt, Informationen über den Einwendenden zu erfahren, die dieser evtl. nicht der allgemeinen Öffentlichkeit zugänglich machen wollte.

Mit der Bearbeitung bauplanungsrechtlicher Einwendungen geht gerade nicht notwendig eine erforderliche namentliche Erörterung der Einwände in öffentlicher Sitzung einher. Vielmehr können Einwendungen gegen einen Bebauungsplanentwurf grundsätzlich anonymisiert diskutiert werden. Denn die vorgebrachten Einwendungen im Aufstellungsverfahren eines Bebauungsplans sind zunächst grundstücksbezogen. Folglich vermag die Erhebung der Einwendung zwar die Einwilligung in die für den Planungsprozess erforderliche Erhebung und Speicherung von Daten implizieren, eine Einwilligung in die Nennung des Namens in öffentlicher Sitzung ist damit jedoch nicht verbunden.

Weder in der HGO noch im BauGB oder im HDSG findet sich eine Rechtsvorschrift, die die Nennung des Namens einer Person, die bauplanungsrechtliche Einwendungen erhebt, in öffentlicher Beratung vorsieht oder zwingend voraussetzt. Zwar fasst nach § 52 Abs. 1 S. 1 HGO die Gemeindevertretung ihre Beschlüsse in öffentlicher Sitzung und ist der Prozess der Bauleitplanung nach den §§ 3 ff. BauGB ein kommunikativer Prozess der sich entwickelnden Diskussion und des öffentlichen Dialogs. Beide Vorschriften setzen jedoch eine Nennung des Namens von Personen, die Einwendungen gegen die Bauleitplanung erheben, nicht voraus. Denn der Zweck dieser Vorschriften, die öffentliche und transparente Befassung mit den Einwendungen, wird in gleicher Weise durch anonymisierte Diskussion der Einwände von Grundstücksinhabern erreicht.

Eine Nennung des Namens des Einwendenden in öffentlicher Sitzung würden § 52 Abs. 1 S. 1 HGO und §§ 3 ff. BauGB nur dann zwingend voraussetzen, wenn eine inhaltliche Beschäftigung mit den Einwendungen eine Individualisierung des Einwendenden notwendig machen würde. Dies wäre der Fall, wenn die Einwendungen nur verständlich diskutiert werden könnten, wenn zugleich die Person des Einwendenden bekannt wäre, also die Einwendungen personenbezogen wären. Dies kann jedoch lediglich dann angenommen werden, wenn die Einwendungen ausschließlich nach Nennung des Namens des Einwendenden inhaltlich nachvollziehbar wären. Dass eine individuelle Zuordnung der Einwendungen im betroffenen Prozess notwendig gewesen wäre, war jedoch im mir vorgetragenen Sachverhalt nicht erkennbar.

Ich habe die Kommune aufgefordert, diese Grundsätze künftig zu beachten. Die zuständige Kommunalaufsicht hat meine Rechtsauffassung geteilt.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.3 Erteilung von Personenstandsurkunden


Die Übersendung von Geburtsurkunden über Personen, die unter den besonderen Schutz von § 63 Abs. 2 Personenstandsgesetz fallen, darf nicht ohne nähere Identitätsprüfung erfolgen.

Benötigt man etwa für eine beabsichtigte Eheschließung eine Geburtsurkunde, so kann man diese in der Regel über verschiedene Wege bei den Standesämtern beantragen:

  1. Persönlich, indem man beim Standesamt vorspricht und sich durch Personalausweis oder Reisepass ausweist.
  2. Schriftlich, indem man Familienname, Geburtsname, Vorname, Geburtsdatum und das beurkundende Standesamt angibt und seine Berechtigung durch Darlegung des Verwandtschaftsverhältnisses darlegt.
  3. Telefonisch: hier werden in der Regel die Daten abgefragt, die sonst schriftlich anzugeben wären.
  4. Online: Über die Formularserver der Kommunen können Personenstandsurkunden auch über das Internet bestellt werden. Auch hier muss der Antragsteller die bereits unter 2. genannten Daten in das Formular eintragen.

Die Berechtigung, eine Geburtsurkunde zu beantragten, haben:
  1. der Betroffene selbst
  2. sein Ehegatte oder Lebenspartner
  3. Kinder, Enkel, Urenkel usw. der betroffenen Person
  4. Eltern, Großeltern, Urgroßeltern usw. der betroffenen Person
  5. Geschwister
  6. derjenige, der ein berechtigtes Interesse an der Urkunde belegen kann
  7. derjenige, der eine schriftliche Vollmacht der Personen unter 1. bis 6. vorlegt.

Durch eine Eingabe bin ich darauf aufmerksam gemacht worden, dass die Fälle der Urkundenausstellung im Falle der Antragsverfahren nach Nr. 2 bis 4 dann rechtlich problematisch sind, wenn die Urkunde aufgrund gesetzlicher Vorschrift zum Schutz von Betroffenen nur an Betroffene selbst ausgegeben werden darf.

§ 63 Abs. 2 Satz 1 PStG

Sind die Vornamen einer Person auf Grund des Transsexuellengesetzes vom 10. September 1980 (BGBl. I S. 1654) geändert oder ist festgestellt worden, dass diese Person als dem anderen Geschlecht zugehörig anzusehen ist, so darf abweichend von § 62 nur der betroffenen Person selbst eine Personenstandsurkunde aus dem Geburtseintrag erteilt werden.


Der hier betroffene Personenkreis hat gesteigertes Interesse daran, dass Unbefugte keine Kenntnis über ihre Vorgeschichte erlangen. D.h. hier müssen aus meiner Sicht besondere Anforderungen an die Prüfung der Berechtigung, eine Personenstandsurkunde aus dem Geburtseintrag zu erhalten, gestellt werden. Bei einer persönlichen Abholung auf dem Standesamt können die dortigen Bediensteten sich den Personalausweis oder Reisepass der Person, die den Antrag stellt, vorlegen lassen und prüfen, ob der bzw. die Betroffene selbst die Urkunde verlangt. Bei den drei anderen Antragswegen wird – jedenfalls bei dem von mir zu prüfenden Fall – lediglich eine Plausibilitätskontrolle durchgeführt. Ein echter Identitätsnachweis wird nicht verlangt. Deshalb kann nicht ausgeschlossen werden, dass eine Geburtsurkunde auch an eine nichtberechtigte Person übersandt wird.

Zunächst habe ich das Problem mit der betroffenen Kommune erörtert, die daraufhin vorgeschlagen hat, in den Fällen des § 63 Abs. 2 PStG bei der Meldebehörde des Antragstellers rückzufragen, ob die den Antrag stellende Person dort auch tatsächlich gemeldet ist. Dies ist aus meiner Sicht zwar eine Verbesserung gegenüber dem ursprünglichen Status. Allerdings wird durch die Rückfrage bei der Meldebehörde deren Aufmerksamkeit darauf gelenkt, dass es sich um einen § 63er-Fall handelt. Gerade in kleineren Orten könnte dies eher kontraproduktiv für das Interesse des Antragstellers bzw. der Antragstellerin sein.

Ich habe mich deshalb an das HMDIS gewandt und folgenden Vorschlag gemacht:
In den Fällen des § 63 Abs. 2 PStG sollen Personen, die den telefonischen, schriftlichen oder elektronischen Antragsweg wählen, immer aufgefordert werden, eine Kopie ihres Personalausweises einzureichen, wobei die maschinenlesbare Zone geschwärzt werden darf. Meines Erachtens ist dies ein Fall, in dem die Forderung nach einer Ausweiskopie erforderlich ist (vgl. meinen 41. Tätigkeitsbericht, Ziff. 2.1.2), um einerseits weiterhin ein bürgerfreundliches und unbürokratisches Antragsverfahren beizubehalten und andererseits die Betroffenrechte ausreichend zu wahren.

Mit dieser Vorgehensweise wäre eine Übersendung an eine unbefugte Person weitgehend ausgeschlossen. Das Ministerium sah ebenfalls Handlungsbedarf, wollte sich aber meiner Bitte, diesen Vorschlag als Erlass an die Standesämter weiterzuleiten, nicht anschließen, sondern hat eine entsprechende Empfehlung an diese gegeben. Ich gehe davon aus, dass diese Empfehlung von den Standesämtern befolgt wird, schon um datenschutzrechtliche Beanstandungen zu vermeiden.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.4 Meldescheine in Beherbergungsstätten


Mit dem Hotelmeldeschein dürfen nur die im Hessischen Meldegesetz genannten personenbezogenen Daten erfragt werden. Das Einverständnis in Werbemaßnahmen muss mit einer gesonderten Unterschrift bestätigt werden.

Der Kunde eines großen Frankfurter Hotels beschwerte sich bei mir darüber, dass dort bei der Anmeldung Daten erfragt würden, die über das hinausgingen, was im Hessischen Meldegesetz (HMG) geregelt ist. Nach § 27 Abs. 2 HMG werden mit den Meldescheinen folgende Daten erhoben:

  1. Tag der Ankunft und den der voraussichtlichen Abreise
  2. Familienname
  3. gebräuchlicher Vorname
  4. Tag der Geburt
  5. Anschrift
  6. Staatsangehörigkeit

Die Erhebung weiterer Daten sieht das Meldegesetz nicht vor. Der mir vorgelegte Meldeschein enthielt zu den o.g. Datenfeldern noch ein Feld zur Angabe der Passnummer und ein Feld „E-Mail-Adresse“. Für den Gast stellte sich das Formular so dar, dass alle Felder Pflichtfelder sind, die ausgefüllt werden müssen. Die Erhebung der E-Mail-Adresse mag zweckmäßig sein, ist aber nur auf freiwilliger Basis rechtlich zulässig. Darauf hätte hingewiesen werden müssen. Die Dokumentation der Passnummer sollte ganz unterbleiben.

Im Kleingedruckten am Ende des Meldescheins fand sich noch folgender Hinweis:

Durch Ihre Bereitstellung von Informationen („Gastinformationen“) an das Hotel autorisieren Sie xxx Hotels & xxx Worldwide Inc. und dessen angehörige und untergeordnete Firmen (die „xxx-Gruppe“), Gastinformationen für gesetzliche, xxx-Gruppengeschäftsbezogene Zwecke zu sammeln, zu verarbeiten und zu nutzen, Ihre Gastinformationen an verschiedenen Stellen zu speichern und an diese weltweit weiterzuleiten, entweder direkt oder durch dritte Händler, wie es der xxx-Gruppe angemessen erscheint, und zwar in oder außerhalb des Landes Ihres ständigen Wohnortes, den Vereinigten Staaten von Amerika oder anderswo. Weitere Informationen über unsere Datenerfassung und -nutzung finden Sie unter der Rubrik „Privacy Statement“ auf der Website xxxhotels.com.

Damit hatte das Hotel den gesetzlich vorgeschriebenen Meldeschein mit einer Einwilligung in Werbemaßnahmen gekoppelt. Ich habe das Hotel darauf hingewiesen, dass eine derartige Koppelung rechtlich unzulässig ist und dass eine Datenverarbeitung in der oben beschriebenen Weise nur zulässig ist, wenn der Hotelgast eine gesonderte Einwilligung unterschreibt.

Die Aufforderung zur Stellungnahme und ein Bericht über vorgenommene Änderungen ist zunächst trotz zweifacher Fristsetzung ausgeblieben, so dass ich mich veranlasst gesehen habe, ein Zwangsgeld anzudrohen. Daraufhin reagierte das Hotel und legte einen geänderten Meldeschein vor. Dieser Meldeschein entspricht den melde- und datenschutzrechtlichen Anforderungen. Es wird nun deutlich zwischen Pflichtangaben und freiwilligen Angaben unterschieden. Für die Nutzung der Daten zu Werbezwecken wird eine gesonderte Einwilligung eingeholt.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.5 Erweiterte Melderegisterauskünfte an Rechtsanwälte


Eine erweiterte Melderegisterauskunft kann auch an Rechtsanwälte nur erteilt werden, wenn das berechtigte Interesse an der Auskunft eindeutig nachgewiesen wird. Ob und welche Unterlagen hierzu vorgelegt werden müssen, ist im Einzelfall zu prüfen.

Eine Rechtsanwaltskanzlei, die sich häufig mit der Durchsetzung von Forderungen befasst, beschwerte sich darüber, dass die Erteilung erweiterter Melderegisterauskünfte durch hessische Meldeämter überwiegend restriktiv gehandhabt werde. Eine Ursache hierfür sah die Kanzlei in dem Beitrag unter Ziff. 13.1 in meinem 29. Tätigkeitsbericht aus dem Jahr 2000. Dort hatte ich mich gegen floskelhafte Auskunftsbegehren ohne Fallbezug gewandt. An dieser Rechtsauffassung halte ich fest, erlaube mir aber folgende Präzisierung:

Die damals weit verbreitete Praxis, dass Anwaltskanzleien mit dem Hinweis auf die Stellung des Anwalts als Organ der Rechtspflege ein berechtigtes Interesse an einer erweiterten Melderegisterauskunft als automatisch gegeben ansahen, führte zu dem Beitrag im 29. Tätigkeitsbericht. Aus der Rechtsstellung als Anwalt erwächst nur ein Vertretungsrecht in konkreten Rechtsangelegenheiten. Das Hessische Meldegesetz verpflichtet die Meldeämter vor der Erteilung einer erweiterten Melderegisterauskunft nach § 34 Abs. 2 HMG zu prüfen, ob schutzwürdige Interessen der gemeldeten Personen einer Auskunft entgegenstehen. Eine solche Prüfung ist den Meldeämtern nur möglich, wenn der Sachverhalt hinreichend klar und substanzhaltig geschildert wird. Hierzu kann auch die von mir geforderte Vorlage von Unterlagen gehören.

§ 34 Abs. 2 HMG

Soweit jemand ein berechtigtes Interesse glaubhaft macht, darf ihm zusätzlich zu den in Abs. 1 Satz 1 genannten Daten einer einzelnen bestimmten Person eine erweiterte Melderegisterauskunft erteilt werden über

  1. Tag und Ort der Geburt,
  2. frühere Vor- und Familiennamen
  3. Familienstand, beschränkt auf die Angabe, ob verheiratet oder eine eingetragene Lebenspartnerschaft führend oder nicht,
  4. Staatsangehörigkeiten,
  5. frühere Anschriften,
  6. Tag des Ein- und Auszugs,
  7. Vor- und Familienname sowie Anschrift der Ehegattin oder der Ehegatten oder der Lebenspartnerin oder des Lebenspartners,
  8. gesetzliche Vertreterin/gesetzlicher Vertreter oder Betreuerin oder Betreuer und
  9. Sterbetag und -ort.
Die Meldebehörde hat Betroffene über die Erteilung einer erweiterten Melderegisterauskunft unter Angabe des Datenempfängers unverzüglich zu unterrichten; dies gilt nicht, wenn der Datenempfänger ein rechtliches Interesse, insbesondere zur Geltendmachung von Rechtsansprüchen, glaubhaft gemacht hat.

Aus datenschutzrechtlicher Sicht ist es begrüßenswert, dass Kommunen offensichtlich aufgrund dieses Tätigkeitsberichtsbeitrages ihrer Verpflichtung zur Prüfung eines berechtigten oder rechtlichen Interesses vor Erteilung einer Melderegisterauskunft sorgfältig nachkommen. Die Erteilung einer Melderegisterauskunft aufgrund eines mir von der Rechtsanwaltskanzlei vorgelegten Anforderungsschreibens an eine hessische Kommune, das Informationen zu dem vertretenen Gläubiger sowie Art und Höhe der beizutreibenden Forderungen enthielt, wäre von mir im Übrigen aus datenschutzrechtlicher Sicht nicht beanstandet worden, auch wenn keine weiteren Unterlagen beigefügt worden sind. Letztlich muss sich aber die Meldebehörde von der Rechtmäßigkeit eines Auskunftsantrages überzeugen.

Ich empfehle Einwohnermeldeämtern, sich in Zweifelsfällen vor der Erteilung/Ablehnung einer Melderegisterauskunft mit meiner Dienststelle in Verbindung zu setzen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.6 Angabe der Dienstbezeichnung bzw. Gehaltsgruppe auf Zahlungsanordnungen


Im Landesbereich ist die Rechtsgrundlage für die Angabe der Dienstbezeichnung bzw. Gehaltsgruppe derjenigen Personen, die Zahlungsanordnungen unterzeichnen, weggefallen. Die Abfrage dieser Angaben in Zahlungsanordnungen ist nicht mehr zulässig. Im kommunalen Bereich fehlt noch eine einheitliche abschließende Regelung.

Mitarbeiterinnen einer Kommune baten um datenschutzrechtliche Prüfung, ob die Angabe der Dienstbezeichnung bzw. der Gehaltsgruppe auf Zahlungsanordnungen auch heute noch erforderlich und damit datenschutzrechtlich zulässig ist. Die in der Kommune verwendeten Formulare forderten diese Angaben von den Unterzeichnern.

Jahrzehnte währende Praxis wird selten hinterfragt. Dennoch bat ich das Referat Grundsatzfragen des Hessischen Finanzministeriums um Unterstützung bei der rechtlichen Überprüfung, da ich Zweifel an der Erforderlichkeit der Angaben hatte. Dabei wurde festgestellt, dass die Angabe der Dienstbezeichnung bzw. Gehaltsgruppe früher erforderlich war, weil nur Bediensteten ab einer bestimmten Besoldungs- oder Vergütungsgruppe zur Unterzeichnung von Zahlungsanordnungen berechtigt waren. Im Zusammenhang mit der Einführung der doppelten Buchführung in Hessen wurden die Verwaltungsvorschriften für Zahlungen, Buchführung und Rechnungslegung zu den §§ 70 bis 72 und 74 bis 80 LHO 2007 erneuert, und hierbei ist die Vorschrift zur Nennung von Dienstbezeichnung bzw. Vergütungsgruppe auf einer Zahlungsanordnung für die hessische Landesverwaltung weggefallen. Dies gilt sowohl für automatisierte Verfahren als auch für die Papierform von Zahlungsanordnungen. Nach einer Ressortabstimmung gilt diese Regelung bundesweit.

Stattdessen muss jeder Haushaltsbeauftragte in der hessischen Landesverwaltung ein Sicherheits- und Berechtigungskonzept erstellen, in dem alle haushaltsrechtlichen Befugnisse festgelegt werden. Den zuständigen Kassen werden Name, Amts- oder Dienstbezeichnung sowie eine Unterschriftenprobe aller Anordnungsberechtigten zur Verfügung gestellt. Die Angabe von Dienstbezeichnung oder Gehaltsgruppe auf einzelnen Zahlungsanordnungen hat sich damit erübrigt.

Die Regelungen der Landesverwaltung können jedoch nicht ohne weiteres auf den kommunalen Bereich übertragen werden. Nach § 11 der Verordnung über die Kassenführung der Gemeinden (GemKVO) regelt die Befugnis für die sachliche und rechnerische Feststellung sowie deren Form der Bürgermeister. Die früher geltende Verwaltungsvorschrift, die auch die Form der sachlichen und rechnerischen Feststellung im kommunalen Bereich regelte, ist bereits zum 31. Dezember 1997 nach den Regeln der Erlassbereinigung außer Kraft getreten und bisher nicht ersetzt worden. Informationen darüber, in welcher Weise Bürgermeister und Landräte die Befugnis zur sachlichen und rechnerischen Feststellung geregelt haben, liegen dem HMDIS nicht vor. Das Ministerium teilte mit, dass es beabsichtige, im Jahr 2013 eine neue Verwaltungsvorschrift zur GemKVO herauszugeben, da auch bei den Kommunen hierfür ein Bedarf gesehen werde. In diese Verwaltungsvorschrift solle ein Hinweis auf datenschutzrechtliche Regelungen aufgenommen werden. Bisher liegt mir noch kein Entwurf für diese Verwaltungsvorschrift zur Stellungnahme vor.

Die Mitarbeiterinnen der Kommune habe ich über die derzeit unklare Rechtslage informiert.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.9.7 Stichprobenerhebung zum Einsatz von Videoüberwachung in Kommunen


Eine stichprobenartige Umfrage und anschließende Überprüfungen zum Einsatz von Videoüberwachungsanlagen haben gezeigt, dass im Zusammenhang mit den von Kommunen betriebenen Videoüberwachungen häufig die gleichen Probleme auftreten.

Über ein Jahrzehnt nach meiner letzten Umfrage zum Einsatz von Videoüberwachungsanlagen habe ich erneut eine stichprobenartige Umfrage durchgeführt. Um es vorweg zu sagen, die Videoüberwachung in Kommunen ist nicht in dem damals erwarteten Umfang angestiegen.

In diesem Jahr habe ich den Fragebogen an 57 von 426 hessischen Kommunen übersandt. Die Auswahl erfolgte nach dem Zufallsprinzip. Erfreulich war hier, dass die Fragebogen überwiegend zeitnah zurückgeschickt wurden, es waren lediglich wenige Mahnungen erforderlich.

Zehn der angeschriebenen Kommunen, also 17,5 % betreiben Videoanlagen. Zwei dieser Anlagen waren mir bereits bekannt. Die meisten der gemeldeten Videokameras sind in Schwimmbädern installiert. Aufgrund der gemeldeten Videoanlagen habe ich vier Kommunen überprüft, hierbei konnte ich im Einzelnen feststellen:


3.3.9.7.1
Videoüberwachung zur Sicherung von öffentlichen Gebäuden

Die Videoüberwachung von öffentlichen Gebäuden und öffentlichem Raum ist für hessische öffentliche Stellen nur unter den Voraussetzungen des § 14 Abs. 4 HSOG zulässig

§ 14 Abs. 4 HSOG

Die Gefahrenabwehrbehörden können mittels Bildübertragung offen beobachten und aufzeichnen:

1. zur Sicherung öffentlicher Straßen und Plätze, auf denen wiederholt Straftaten begangen worden sind, sofern tatsächliche Anhaltspunkte für weitere Straftaten bestehen,

2. zum Schutz besonders gefährdeter öffentlicher Einrichtungen,

3. zur Steuerung von Anlagen zur Lenkung oder Regelung des Straßenverkehrs, soweit Bestimmungen des Straßenverkehrsrechts nicht entgegenstehen.

Gefahrenabwehrbehörde im Sinne der Nr. 2 ist auch der Inhaber des Hausrechtes. Abs. 1 Satz 2 und 3, Abs. 3 Satz 2 und 3 sowie § 15 des Hessischen Datenschutzgesetzes gelten entsprechend.


§ 14 Abs. 4 HSOG erlaubt unter bestimmten Voraussetzungen den Videoeinsatz durch Gefahrenabwehrbehörden. Nach § 14 Abs. 4 HSOG gelten Inhaber des Hausrechts und damit auch Kommunen für kommunale Liegenschaften als öffentlich-rechtliche Gefahrenabwehrbehörden.

Nur in einer von mir überprüften Kommune wird der Außenbereich des Rathauses per Videokameras überwacht. Es werden allerdings nicht permanent Bilder aufgezeichnet. Die moderne Anlage macht es möglich, dass nur beim Betreten sogenannter Erfassungsfelder (direkter Eingangsbereich des Rathauses und Umgebung des Brunnens) Videoaufnahmen ausgelöst werden. Die Bilder werden ausschließlich im PC des Administrators gespeichert und nur bei Vorkommnissen ausgewertet. Im Hinblick auf die separate Lage des Rathauses zwischen zwei Ortsteilen und immer wieder aufgetretenen Zerstörungen habe ich hier eine Videoüberwachung nach § 14 Abs. 4 Nr. 1 und 2 HSOG für zulässig gehalten. Unter datenschutzrechtlichen Gesichtspunkten ist es erfreulich, dass man auf eine permanente Bildaufzeichnung verzichtet.

In einer anderen Kommune wird der Eingangs- und Terrassenbereich eines Kulturzentrums videoüberwacht. Auch hier kam es immer wieder zu Zerstörungen, deren Folgen noch deutlich erkennbar waren. Der Vorraum des Kulturzentrums ist zwischen 8 Uhr und 18 Uhr regelmäßig zugänglich, weil sich hier auch die öffentliche Toilette des Ortes befindet. Die Kamera ist so eingestellt, dass die Toilettentüren selbst nicht beobachtet werden. Es kann lediglich festgestellt werden, wer das Gebäude betreten hat. Nach Installation der Kamera kam es zu keinen weiteren Vorfällen. Gegen die weitere Betreibung dieser Videokamera habe ich keine datenschutzrechtlichen Bedenken.

Die Terrasse dieses Kulturzentrums war ein beliebter Jugendtreff. Den regelmäßigen Verschmutzungen und Zerstörungen begegnete man zunächst mit der Installation einer ganztägig aktivierten Videokamera. Da auch diese häufiger Opfer der jugendlichen Aktivitäten wurde, hat die Gemeinde mittlerweile einen stabilen Zaun um das Außengelände des Kulturzentrums errichtet. Damit ist die installierte Videokamera nicht mehr erforderlich, ich habe ihren Abbau gefordert.


3.3.9.7.2
Videoüberwachung in Schwimmbädern

Betreiber von Schwimmbädern in Hessen haben verschiedene Rechtsformen: es gibt Schwimmbäder, die von Kommunen betrieben werden, und solche, die sich in privater Hand befinden. Für ein Schwimmbad ist die Anzahl der Besucher überlebenswichtig, alle Schwimmbäder stehen im Wettbewerb um die Besucher. Kommunale Schwimmbäder sind deshalb Wettbewerbsunternehmen. Als solche finden auf sie nach § 3 Abs. 6 HDSG die Vorschriften des BDSG Anwendung.

§ 3 Abs 6 HDSG

Soweit öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten für sie nur der Zweite Teil sowie §§ 34 und 36 dieses Gesetzes. Mit Ausnahme der Vorschriften über die Aufsichtsbehörde sind im übrigen die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anwendbar.


Rechtsgrundlage für Videoüberwachungsanlagen von Kommunen in Schwimmbädern ist deshalb § 3 Abs. 6 HDSG i.V.m. § 6b BDSG.

§ 6b BDSG

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

  1. zur Aufgabenerfüllung öffentlicher Stellen,
  2. zur Wahrnehmung des Hausrechts oder
  3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.


Eine Beobachtung öffentlich zugänglicher Räume mit Videotechnik ist gemäß § 6b Abs. 1 BDSG zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkrete Zwecke zulässig. Hierbei dürfen keine schutzwürdigen Interessen der Betroffenen überwiegen.

Von acht Kommunen wurden mir Videoüberwachungsanlagen in Schwimmbädern gemeldet. In einigen Schwimmbädern werden hierbei nur Technikräume wie z.B. eine Chlordosieranlage überwacht. Diese Räume sind nicht öffentlich zugänglich und fallen damit nicht unter die Bestimmungen des § 6b BDSG. In anderen Schwimmbädern wird das Außengelände nur außerhalb der Öffnungszeiten durch Videokameras gesichert. In diesen Zeiten sind umzäunte und verschlossene Schwimmbadbereiche ebenfalls nicht öffentlich zugänglich. Eine solche Videoüberwachung kann daher auch keine schutzwürdigen Interessen der Betroffenen verletzen.

In den von mir überprüften Schwimmbädern erfolgte darüber hinaus die Videoüberwachung in folgenden Bereichen:

Fahrradständer
Im Bereich der Fahrradständer vor einem Schwimmbad war es häufiger zu Diebstählen von Fahrrädern oder Fahrradteilen gekommen. Zur Verhinderung weiterer Diebstähle wurde eine Videokamera installiert. Eigentumsschutz kann als berechtigtes Interesse im Sinne des § 6b BDSG gewertet werden. Da sich Betroffene nur kurzfristig zum Abstellen des Fahrrades im Bereich der Fahrradständer aufhalten, halte ich einen Einsatz von Videoüberwachung in Abwägung mit dem Rechtseingriff in die schutzwürdigen Belange der betroffenen Personen für verhältnismäßig.

In dem konkreten Fall zeigte jedoch ein Blick auf den Überwachungsmonitor, dass die Kamera nicht nur die Fahrradständer, sondern auch die Straße und sogar den gegenüberliegenden Hauseingang mit erfasste. Hier habe ich gefordert, dass die Kamera zeitnah so eingestellt wird, dass dieser öffentliche Bereich nicht mehr mit überwacht wird.


Freibadgelände
Im selben Schwimmbad überwachten zwei weitere Videokameras die gesamte Fläche der Schwimmbecken, der Rutschbahn sowie die umliegenden Grünflächen. Das Gelände ist für das Aufsichtspersonal gut einsehbar, schwerwiegende Beeinträchtigungen im Schwimmbadbereich lagen nicht vor. In öffentlich zugänglichen Räumen, in denen sich Menschen länger aufhalten und miteinander kommunizieren, stellt die ständige Videoüberwachung eine erhebliche Beeinträchtigung der Persönlichkeitsrechte dar. Ein Überwachungszweck nach § 6b Nr. 3 BDSG lag hier nicht vor. Deshalb habe ich den sofortigen Abbau dieser Kameras gefordert.


Dome-Kameras
Als problematisch stellten sich auch sogenannte Dome-Kameras heraus. Zwar waren diese Kameras nicht beweglich und überwachten nur zulässige Bereiche. Da man durch die dunkle Glaskugel aber nicht erkennen kann, welche Bereiche die Kamera tatsächlich erfasst, wurde in zwei Schwimmbädern der Eindruck erweckt, dass ein Umkleidebereich bzw. eine Herrendusche von den Kameras erfasst werden kann. Auch wenn eine Überprüfung des Monitorbildes ergeben hat, dass diese Bereiche von den Kameras nicht eingesehen werden können, muss dies auch für die Besucher eindeutig erkennbar sein. Gerade bei sensiblen Bereichen wie Umkleiden oder Duschen, die zum Kernbereich der Privatheit gehören, muss auf den ersten Blick klar erkennbar sein, dass sie nicht von der Videoüberwachung erfasst sind. Dies ist nur durch Stabkameras zu erreichen. Andere Maßnahmen wie Abkleben oder Einhausen der Kameras, die ein genaues Hinsehen erfordern, genügen hier nicht. Deshalb habe ich den Austausch der Dome-Kameras in diesem Bereich gegen Stabkameras gefordert, deren Blickwinkel eindeutig erkennbar ist.


3.3.9.7.3
Monitoring

Für einige der von mir überprüften Videoüberwachungsanlagen konnte ich die Erforderlichkeit einer Aufzeichnung der Videobilder nicht erkennen und forderte deren sofortige Abschaltung.

In einer Stadtbücherei übertrugen die installierten Kameras ihre Bilder auf einen Monitor in einem Nebenraum, in dem die Bibliotheksmitarbeiterinnen häufiger Arbeiten zu verrichten haben und so trotzdem die eigentliche Bibliothek im Auge behalten können, um bei Bedarf einzugreifen. Für eine Aufzeichnung der Kamerabilder konnte ich aber keine Erforderlichkeit erkennen, da der Diebstahl von Büchern in den seltensten Fällen zeitnah festgestellt werden kann und daher auch die Aufklärung eines eventuellen Diebstahls durch die Videoaufzeichnungen nicht möglich ist.

In einem Schwimmbad diente eine Kamera im Eingangsbereich dazu, in schwierigen Situationen den Kassenmitarbeiterinnen die Unterstützung des Schwimmmeisters zu sichern. Auch hier genügte die Übertragung der Bilder auf den Monitor in der Kabine des Schwimmmeisters, die Aufzeichnung der Videobilder wurde auf meine Intervention hin beendet.


3.3.9.7.4
Speicherdauer

Die Aufbewahrungsdauer der Videoaufzeichnungen war für fast alle überprüften Videoanlagen zu lang und umfasste meistens einen Zeitraum von einer Woche bis zu einem Jahr. Die Erforderlichkeit einer derart langen Speicherungsfrist lässt sich nicht begründen. In allen Fällen habe ich die Daten verarbeitenden Stellen aufgefordert, die Speicherdauer auf 72 Stunden zu begrenzen, ein Zeitraum, innerhalb dessen der Zweck Videoüberwachung erreicht wird.


3.3.9.7.5
Auswertung der Videoaufnahmen

Bei der Videoüberwachung ist sicherzustellen, dass der Zugriff auf die Daten nur durch Berechtigte erfolgen kann (§ 10 Abs. 2 HDSG bzw. Anlage zu § 9 Satz 1 BDSG). In allen überprüften Kommunen konnte eine Auswertung der Videoaufnahmen bei Vorkommnissen nur vom jeweiligen Administrator veranlasst werden, weitere Personen hatten keine Möglichkeit, auf die Videobilder zuzugreifen. In einem Schwimmbad befand sich der entsprechende PC allerdings in einem Abstellraum mit Gartengeräten, zu dem mehrere Personen einen Schlüssel haben. Nach einer Wartungsarbeit am PC wurde vergessen, den Passwortschutz wieder zu aktivieren. Mir wurde sofortige Abhilfe zugesagt.


3.3.9.7.6
Hinweisschilder

Mit Hinweisschildern sind der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen deutlich erkennbar zu machen, da nach § 14 HSOG bzw. § 6b BDSG nur eine offene Videoüberwachung zulässig ist.

Einige Kommunen hatten offenbar erkannt, dass Videoüberwachungen keine Straftaten verhindern können, sie jedoch durchaus abschreckende Wirkung haben. Hier waren häufig mehr Hinweisschilder angebracht, als sie von mir gefordert worden wären. Bei anderen Kommunen mussten weitere Hinweisschilder gefordert werden, da nicht von allen Seiten beim Betreten der überwachten Bereiche ein Hinweis erfolgte. In einem Schwimmbad waren die Schilder zwar groß, aber weit über Augenhöhe angebracht, um sie vor Beschädigungen zu schützen. Hier habe ich gefordert, dass im Kassenbereich ein zusätzliches Schild in Augenhöhe angebracht wird.

Die wenigsten Hinweisschilder enthielten einen Hinweis auf einen für die Videoaufzeichnung verantwortlichen Ansprechpartner. Ich verlangte eine entsprechende Ergänzung der Piktogramme oder Schilder.

In einer Kommune wurde auf den Hinweisschildern das Überwachungsunternehmen als Ansprechpartner genannt, das für die Überwachung des Außenbereichs außerhalb der Öffnungszeiten zuständig war. Die Einschaltung eines Überwachungsunternehmens in diesem Kontext ist eine Auftragsdatenverarbeitung. Verantwortlich und damit auch auskunftspflichtig bleibt jedoch nach § 4 Abs. 1 HDSG die Daten verarbeitende Stelle, also die Kommune. Die Schilder müssen entsprechend geändert werden.

Diese Erfahrungen zeigen, dass Videoüberwachungsanlagen mich sicher auch die nächsten Jahre weiter beschäftigen werden. Im Hinblick auf die oft nicht unerheblichen Investitionskosten ist eine vorherige Abstimmung solcher Maßnahmen mit dem Hessischen Datenschutzbeauftragten zu empfehlen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.10 Wirtschaftsverwaltung

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.10.1 Zulässigkeit massenhafter Abfragen von Eigentümerdaten aus dem Liegenschaftskataster durch Makler


Massenhafte Auskünfte über Grundstückeigentümer an Makler bzw. Unternehmen der Immobilienvermittlung und -verwertung über ganze Straßenzüge oder Ortsteile zu reinen Akquisezwecken sind datenschutzrechtlich nicht zulässig.

In letzter Zeit erreichen mich verstärkt Eingaben von Bürgern, die darlegen, dass sie von Immobilienmaklern zwecks Grundstücksakquise kontaktiert würden. Die Makler erlangen die Kontaktdaten der Grundstückseigentümer, indem sie sich entsprechende Auskünfte aus dem Liegenschaftskataster erteilen lassen. Sie nutzen diese Eigentümerangaben, um Verkaufs- und Kaufobjekte für ihre Vermittlungs-/Maklertätigkeit zu gewinnen. Die Problematik betrifft also die Berechtigung von Maklern bzw. Unternehmen der Immobilienbranche, die Eigentümerdaten aus dem Liegenschaftskataster zu Gewerbezwecken abzufragen. Die dafür maßgebliche Vorschrift ist § 16 Hessisches Vermessungs- und Geoinformationsgesetz (HVGG).

§ 16 Abs. 1 bis 3 HVGG

(1) Jede Person oder Stelle kann die Datenbanken des öffentlichen Vermessungswesens als allgemein zugängliche Quellen einsehen sowie Auskünfte oder Ausgaben daraus erhalten.

(2) Abweichend von Abs. 1 stehen die Einsicht in die Namen, die Geburtsdaten und die Anschriften der Eigentümerinnen und Eigentümer sowie entsprechende Auskünfte und Ausgaben nur den Personen oder Stellen zu, die ein berechtigtes Interesse an der Kenntnis dieser Daten haben. Entsprechendes gilt für die Daten der Bevollmächtigten. Das berechtigte Interesse ist darzulegen. Die Empfänger dürfen diese Daten nur für den Zweck nutzen, der das berechtigte Interesse begründet und zu dessen Erfüllung die betreffenden Daten übermittelt wurden. Satz 3 gilt nicht für

  1. dinglich Berechtigte,
  2. Behörden des Landes und kommunale Gebietskörperschaften in Erfüllung ihrer Aufgaben,
  3. Öffentlich bestellte Vermessungsingenieurinnen und Vermessungsingenieure sowie Notarinnen und Notare, soweit die personenbezogenen Daten im Einzelfall zur Erfüllung ihrer Aufgaben benötigt werden.

(3) Die digitalen Datenbanken des öffentlichen Vermessungswesens sollen mittels geeigneter, öffentlich verfügbarer Telekommunikationsmittel nutzbar sein.

Zweck dieser Bestimmung ist es, den Zugang zu den Datenbanken des öffentlichen Vermessungswesens grundsätzlich für jedermann zu eröffnen. Vom Öffentlichkeitsgrundsatz sind jedoch die im Liegenschaftskataster geführten Namen, Geburtsdaten und Anschriften der Eigentümerinnen und Eigentümer sowie deren Bevollmächtigten mit Rücksicht auf ihr Recht auf informationelle Selbstbestimmung ausgenommen. Hier stehen die Einsicht in die Eigentümerdaten bzw. die entsprechenden Auskünfte nur den Personen oder Stellen zu, die ein berechtigtes Interesse an der Kenntnis dieser Daten haben. Unter einem „berechtigten Interesse“ versteht man im Allgemeinen jedes sachbezogene persönliche, wissenschaftliche, statistische, historische, rechtliche und auch wirtschaftliche Interesse, das über ein allgemeines, unspezifiziertes Informationsbedürfnis oder die reine Neugierde hinausgeht. Die Darlegung des berechtigten Interesses erfordert dabei eine plausible Schilderung der Tatsachen des Antragsanlasses. In jedem Falle ist aber eine konkrete Interessenabwägung erforderlich. Generalisierende Massenauskünfte sind datenschutzrechtlich unzulässig. Dies gilt auch bei automatisierten Abfragen.

Die automatisierten Abrufe werden durch die Kataster- und Vermessungsbehörden oder durch die von dieser mit der Verarbeitung der Daten beauftragten Stelle zum Zwecke der Verwendungskontrolle gem. § 17 HVGG protokolliert. Dabei werden die Benutzerkennung, der Abrufer, Datum und Uhrzeit, der Verwendungszweck und die Ordnungsmerkmale der abgerufenen Daten erfasst. Die Protokolle werden für die Dauer eines Jahres gespeichert.

Die Teilnahme an einem automatisierten Abrufverfahren über die Namen, Geburtsdaten und Anschriften der Eigentümerinnen und Eigentümer sowie deren Bevollmächtigten bedarf der Genehmigung (§ 17 Abs. 2 HVGG). Die Genehmigung wird auf Antrag von der oberen Kataster- und Vermessungsbehörde unter den Voraussetzungen erteilt, dass die beantragende Person ein berechtigtes Interesse hat und zusichert, die Grundsätze einer ordnungsgemäßen Datenverarbeitung und das Datenschutzrecht einzuhalten. Die Genehmigung wird unter Auflagen erteilt, die zur wirksamen Kontrolle der Zulässigkeit der Abrufe erforderlich sind. Die Genehmigung wird widerrufen, wenn Genehmigungsvoraussetzungen wegfallen. Sie kann u.a. widerrufen werden, wenn gegen Auflagen verstoßen wird.

Die Kontrolle der oben genannten Vorgaben soll die Liegenschaftsverwaltung bei den hierfür registrierten und zugelassenen Stellen regelmäßig durchführen. Dabei soll sie einerseits die Einhaltung der mit der Genehmigungserteilung verbundenen Auflagen sowie die Zulässigkeit der Abrufe überprüfen.

Anlässlich der Eingaben habe ich geprüft, ob solche Kontrollen vorgenommen werden. Dies ist der Fall; die Liegenschaftsverwaltung nimmt ihre Kontrolltätigkeit wahr.

Das Hessische Landesamt für Bodenmanagement und Geoinformationen hat die hier thematisierten Verstöße gerügt. Dabei hat es die betreffenden Makler und Unternehmen, die quasi nach dem Gießkannenprinzip Daten abgerufen haben, also Abrufe, die nicht auf einen konkreten einzelnen Geschäftsfall bezogen waren, in besonderem Maße auf die Einhaltung der datenschutzrechtlichen Vorgaben hingewiesen. Über die Problemstellung wurden im Übrigen alle dem Landesamt nachgeordneten Ämter für Bodenmanagement informiert und angewiesen, ihre Verfahrensweisen zur Auskunftserteilung entsprechend anzupassen.


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.11 Rundfunk

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014

 
 

3.3.11.1 Einmaliger Meldedatenabgleich durch den ARD ZDF Deutschlandradio Beitragsservice (vormals GEZ)


Der einmalige bundesweite Meldedatenabgleich, den der Beitragsservice von ARD ZDF und Deutschlandradio seit dem Frühjahr 2013 vornimmt, führte zu einer Reihe von Beschwerden, die allerdings unbegründet waren.

Mit Inkrafttreten des Rundfunkbeitragsstaatsvertrages am 1. Januar 2013 (Art. 1 Fünfzehnter Staatsvertrag zur Änderung rundfunkrechtlicher Staatsverträge – Fünfzehnter Rundfunkänderungsstaatsvertrag, GVBl. I S. 392) ist das Finanzierungssystem des öffentlichrechtlichen Rundfunks grundlegend geändert worden. Statt der früheren geräteabhängigen Rundfunkgebühr ist jetzt für jede Wohnung und jeden Betrieb vom Inhaber ein Rundfunkbeitrag zu entrichten. Eine gesetzliche Vermutungsregelung erleichtert die Ermittlung des Beitragsschuldners, denn als Inhaber einer Wohnung wird jede Person vermutet, die dort nach dem Melderecht gemeldet ist (§ 2 Abs. 2 S. 2 Nr. 1 RBStV).

Die Umstellung der Rundfunkfinanzierung vom Gebühren- auf ein Beitragsmodell führte auch zu einer Umbenennung der GEZ in „ARD ZDF Deutschlandradio Beitragsservice“ – eine zu ironischer Betrachtung einladende Bezeichnung für eine Einrichtung, die Zwangsbeiträge einzieht. Dabei handelt es sich – wie schon bei der GEZ – um eine nicht rechtsfähige öffentlich-rechtliche Verwaltungsgemeinschaft der Landesrundfunkanstalten, des ZDF und des Deutschlandradios, die für die Rundfunkanstalten die Rundfunkbeiträge einzieht.

Um klären zu können, für welche Wohnung kein Rundfunkbeitrag errichtet wird, erhält der Beitragsservice für den Stichtag 3. März 2013 von allen Einwohnermeldeämtern in Deutschland Angaben zu Name, Doktorgrad, Familienstand, Geburtsdatum, aktuelle und vorherige Anschrift der Haupt- und Nebenwohnungen und Tag des Einzugs aller volljährigen Personen. Insgesamt übermitteln die Einwohnermeldeämter rund 70 Millionen Datensätze. Wegen der großen Menge erfolgt die Übermittlung jedoch nicht auf einmal, sondern in vier Tranchen, aufgeteilt auf März und September 2013 und 2014. Weitergegeben werden auch die Daten von Personen, auf deren Antrag hin eine Auskunftssperre im Melderegister eingetragen wurde. Ein Widerspruch ist – anders als etliche Beschwerdeführer fälschlich meinten – nicht möglich. Die staatsvertragliche Übermittlungsvorschrift hat Vorrang vor den melderechtlichen Auskunftssperren.

Der Beitragsservice gleicht die übermittelten Daten mit den vorhandenen Bestandsdaten ab. Dazu hat er zwölf Monate Zeit, gerechnet ab dem Übermittlungszeitpunkt für jede Tranche (§ 14 Abs. 9 S. 5 i.V.m. § 11 Abs. 5 S. 2 RBStV). Wird beim Abgleich festgestellt, das ein Meldedatensatz zur Klärung der Beitragspflicht nicht oder nicht mehr benötigt wird, wird er unverzüglich gelöscht. Spätestens im September 2015 müssen somit die letzten Meldedaten aus der im September 2014 übermittelten Tranche gelöscht sein. Daten bereits beim Beitragsservice gemeldeter Personen werden schon nach sechs Wochen gelöscht. Durch die Übermittlung in Tranchen und die fortlaufende Löschung ist ausgeschlossen, dass der Beitragsservice, wie in der Berichtserstattung in den Medien und in manchen Beschwerden befürchtet, gleichsam den Datenbestand eines bundesweiten zentralen Melderegisters erhält, was in der Tat dem melderechtlichen Modell dezentraler Register zuwiderlaufen würde.

Der einmalige Meldedatenabgleich erfolgt zusätzlich zu der regelmäßigen Meldedatenübermittlung an den Beitragsservice. Die hessischen Meldeämter wie auch die Meldeämter in den anderen Bundesländern übermitteln regelmäßig bei Abmeldungen, Anmeldungen und Todesfällen den gleichen Datensatz wie beim einmaligen Meldedatenabgleich an den Beitragsservice (§ 22 Meldedatenübermittlungsverordnung). Dieser Umstand war auch einer der Gründe, warum sich die Datenschutzbeauftragten des Bundes und der Länder im Vorfeld gegen den einmaligen Meldedatenabgleich ausgesprochen haben. Darüber hinaus stehen dem Beitragsservice noch weitere Instrumente zur Ermittlung von Beitragsschuldnern zur Verfügung: Wer Inhaber einer Wohnung ist, muss dies der zuständigen Landesrundfunkanstalt anzeigen (§ 8 RBStV), die Landesrundfunkanstalt hat einen Auskunftsanspruch gegenüber jedem Beitragsschuldner (§ 9 RBStV), sie kann zur Feststellung, ob eine Beitragspflicht besteht, personenbezogene Daten bei öffentlichen und nicht-öffentlichen Stellen ohne Kenntnis der Betroffenen erheben, und sie kann die nach dem Rundfunkgebührenstaatsvertrag gespeicherten Teilnehmerdaten weiterverwenden (§ 14 Abs. 6 RBStV).

§ 14 Abs. 9 RBStV

Um einen einmaligen Abgleich zum Zwecke der Bestands- und Ersterfassung zu ermöglichen, übermittelt jede Meldebehörde für einen bundesweit einheitlichen Stichtag automatisiert innerhalb von längstens zwei Jahren ab dem Inkrafttreten dieses Staatsvertrages gegen Kostenerstattung einmalig in standardisierter Form die nachfolgenden Daten aller volljährigen Personen an die jeweils zuständige Landesrundfunkanstalt:

  1. Familienname,
  2. Vornamen unter Bezeichnung des Rufnamens,
  3. frühere Namen,
  4. Doktorgrad,
  5. Familienstand,
  6. Tag der Geburt,
  7. gegenwärtige und letzte Anschrift von Haupt- und Nebenwohnungen, einschließlich aller vorhandenen Angaben zur Lage der Wohnung, und
  8. Tag des Einzugs in die Wohnung.

Hat die zuständige Landesrundfunkanstalt nach dem Abgleich für eine Wohnung einen Beitragsschuldner festgestellt, hat sie die Daten der übrigen dort wohnenden Personen unverzüglich zu löschen, sobald das Beitragskonto ausgeglichen ist. Im Übrigen darf sie die Daten zur Feststellung eines Beitragsschuldners für eine Wohnung nutzen, für die bislang kein Beitragsschuldner festgestellt wurde; Satz 2 gilt entsprechend. Die Landesrundfunkanstalt darf die Daten auch zur Aktualisierung oder Ergänzung von bereits vorhandenen Teilnehmerdaten nutzen. § 11 Abs. 5 Satz 2 und 3 gilt entsprechend.

Lediglich beim Erwerb von Adressdaten privater Personen hat der Gesetzgeber dem Beitragsservice eine temporäre Beschränkung auferlegt. Die GEZ hat jährlich ca. 90 Millionen Datensätze bei Adresshändlern erworben und damit Briefaktionen durchgeführt, um Gebührenpflichtige zu ermitteln. Bis zum 31. Dezember 2014 ist den Landesrundfunkanstalten wegen der Erlaubnis zum einmaligen Melddatenabgleich untersagt, Adressdaten privater Personen zu erwerben (§ 14 Abs. 10 RBStV).

Der Bayerische Verfassungsgerichtshof hat am 18. April 2013 einen Antrag auf vorläufige Aussetzung des einmaligen Meldedatenabgleichs abgelehnt (Az. Vf. 8-VII-12).


Zurück zum Inhaltsverzeichnis des 42. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 27.03.2014