Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Pressemitteilung

des Bayerischen Landesbeauftragten für den Datenschutz


27.01.2005

21. Tätigkeitsbericht

Der Bayerische Landesbeauftragte für den Datenschutz Reinhard Vetter hat heute seinen 21. Tätigkeitsbericht dem Herrn Ministerpräsidenten und dem Herrn Landtagspräsidenten übergeben.

Schwerpunkte des Berichts sind der Sicherheitsbereich, die Datenverarbeitung im Gesundheitsbereich und in der Arbeits- und Sozialverwaltung, dem kommunalen Bereich und im Meldewesen, sowie die Bedeutung von Technik und Organisation für den Datenschutz.

  • Die beabsichtigte Befugnis für die Polizei zur vorbeugenden Telekommunikationsüberwachung betrachte ich mit Sorge. Ich habe mich deshalb für klare Grenzen eingesetzt und sie m.E. im wesentlichen auch erreicht (S. 9, 45). Im Entwurf zur Änderung des Polizeiaufgabengesetzes wurden wichtige Forderungen von mir aufgenommen: Für die Gefahrenabwehr wurde ihr Einsatz auf höchstrangige Rechtsgüter beschränkt (Bestand oder Sicherheit von Bund und Land, Leib, Leben, Freiheit, gemeine Gefahr für Sachen). Für die Verhinderung von Straftaten kommt sie nur für einen engen geschlossenen Katalog von 10 Straftatengruppen in Frage: Davon ist die überwiegende Mehrzahl wie vom Bundesverfassungsgericht gefordert mit Freiheitsstrafe über fünf Jahre bedroht. Für die Tatbegehung müssen objektive Anhaltspunkte bestehen, lediglich Hinweise auf Absichten reichen nicht aus. Der Schutz von Seelsorgegesprächen wurde verbessert, er soll auch dann bestehen, wenn Gespräche mit ihnen die genannten Straftaten oder Gefahren betreffen.

    Es bleiben aber Lücken: Meine Forderung nach einer Berichtspflicht an den Landtag und einer Evaluation der neuen Befugnisse wurde nicht aufgenommen; ebenso wenig ist ein Datenerhebungsverbot für den nach der Rechtsprechung des Bundesverfassungsgerichts absolut geschützten "Kernbereich privater Lebensgestaltung" bezüglich der "engsten Vertrauten" vorgesehen, immerhin aber eine unverzügliche Löschung solcher Daten;

    Ebenfalls verbessert gegenüber ursprünglichen Vorstellungen wurde auf Grund meiner Stellungnahmen der Abschnitt präventive Wohnraumüberwachung. Die geltenden Regelungen waren an das Urteil des Bundesverfassungsgerichts zur repressiven Wohnraumüberwachung anzupassen. Das gilt u.a. für die Konkretisierung der Gefahr einer schwerwiegenden Straftat, die Beschränkung auf den oben genannten engen Katalog, die Erweiterung des Schutzes von Seelsorger- und Strafverteidigergesprächen und die richterliche Kontrolle von Eilentscheidungen des Dienststellenleiters.

    Auch hier bleiben Punkte offen: So erachte ich die Möglichkeit einer automatischen Aufzeichnung von "Kernbereichsgesprächen" bei der Wohnraumüberwachung als sehr problematisch. Ich habe große Zweifel, ob das mit der Forderung des Bundesverfassungsgerichts vereinbar ist, dass solche "Ermittlungsmaßnahmen jederzeit unterbrochen" werden können. Immerhin wurde auf unseren Hinweis das Regel- Ausnahmeverhältnis umgedreht.

    Klare Grenzen habe ich auch für den Abgleich von KFZ-Kennzeichen mit polizeilichen Dateien (S. 9, 48) erreicht: Es ist nunmehr eindeutig festgelegt, dass ein solcher Abgleich grundsätzlich nur mit Fahndungsdateien - Ausnahmen nur für bestimmte Dateien für besondere Gefahren, z.B. eine Hooligan - Datei vor bestimmten Sportereignissen oder eine Gefährderdatei in Bezug auf besonders gefährdeten Gebäuden und Einrichtungen - und der sofortigen Löschung von Nichttrefferfällen in Frage kommt. Diese Forderungen wurden jetzt aufgenommen.

    Sonstige wesentliche Punkte im Sicherheitsbereich:
    • Zu der auch auf Bundesebene intensiv diskutierten Frage, in wie weit gemeinsame Dateien von Polizei und Verfassungsschutz zulässig sind, bin ich der Auffassung, dass gegen eine gemeinsame Datei dann keine datenschutzrechtlichen Bedenken bestehen, wenn sowohl Polizei wie Verfassungsschutz für diese Datenbestände nach den bestehenden Gesetzen zugriffsberechtigt sind (S. 9, 60). Für Daten zur Bekämpfung des islamistischen Terrorismus ist das nach meiner Auffassung grundsätzlich der Fall.
    • Video-Überwachung (S. 9, 48): Besonders kritisiere ich, dass die Vollzugsbekanntmachung die Forderung nach einer Beschränkung auf Plätze mit einer besonderen Kriminalitätsbelastung und nach einem Nachweis durch eine auf diese Plätze bezogene Straftatenstatistik nicht aufgenommen hat. Nur durch solche Beschränkungen kann eine Ausdehnung der Video-Überwachung auf den gesamten Innenstadtbereich verhindert werden. Weiter hat das Innenministerium meine Forderungen nach Regelungen von Zugriffsbeschränkungen, Protokollierung von Zugriffen und einer Klarstellung, dass die Zwei - Monats -Speicherfrist eine Höchstfrist darstellt, nicht übernommen.
      Bei (zulässigen) Übersichtsaufnahmen von Versammlungen (S. 51) habe ich festgestellt, dass immer wieder einzelne Teilnehmer herangezoomt wurden, ohne dass die gesetzlichen Voraussetzungen gegeben gewesen wären. Ich habe gefordert, diese Praxis zu unterlassen. Die Polizei hat Vernichtung der Aufnahmen und Vollzugshinweise zugesichert.
    • Immer noch Nachholbedarf besteht bei der datenschutzgerechten Gestaltung des elektronischen Kriminalaktennachweises (S. 11, 29): z.B. wird der Verfahrensausgang im Kriminalaktennachweis nicht dokumentiert; die Eintragung über einen Betroffenen hätte in einem Fall wegen Wegfalls des Tatverdachts gelöscht werden müssen, dadurch wäre eine entwürdigende Durchsuchung eines Betroffenen vor seinem Arbeitgeber zu vermeiden gewesen
    • Von besonderer Aktualität sind die Feststellungen zur DNA-Analyse zu Strafverfolgungszwecken (S. 62): Hier verweise ich auf die Feststellungen des Bundesverfassungsgerichts in seinen Urteilen aus den Jahren 2000 und 2001. Es hat im Hinblick auf die Eingriffsqualität auch der DNA-Analyse im nichtcodierenden Bereich die Verfassungsmäßigkeit der geltenden Regelung unter drei Gesichtspunkten bejaht: Es muss sich im Einzelfall bei der Vortat um eine Straftat von erheblicher Bedeutung handeln, ebenso im Einzelfall muss die Prognose einer schweren Straftat gerechtfertigt sein und ein Richter muss das Vorliegen dieser Voraussetzungen unter Heranziehung des Akteninhalts kontrollieren.

      Die neue Bayerische Bundesratsinitiative geht auf diese Urteile nicht ein.

      Wegen der Möglichkeit zusätzlicher Erkenntnisse auch aus dem nichtcodierenden Bereich ist die DNA-Analyse auch nicht mit dem einfachen Fingerabdruck gleichzusetzen.
    • Auf die weiteren zahlreichen Einzelfeststellungen in dem Bericht zum Polizei- und Justizbereich weise ich hin. Gleichwohl kann ich generell feststellen, dass die Polizei die gesetzlichen Grenzen der Datenverarbeitung im allgemeinen einhält.
  • Im Gesundheits- und Arbeits und Sozialbereich hebe ich die geplante Gesundheitskarte und das sogenannte Job-Card Verfahren hervor. In den entsprechenden Arbeitsgruppen und im AK Gesundheit, Soziales der Datenschutzkonferenz fordere ich für die elektronische Gesundheitskarte die bestmögliche Realisierung der Patientenrechte insbesondere im Hinblick auf die Entscheidung der Patienten darüber, wer ihre intimsten medizinischen Daten zur Kenntnis nehmen darf, sowie eine möglichst datenschutzfreundliche und sichere Speicherung von durch die Arbeitgeber gemeldeten Entgeltdaten in dem vom Bundeswirtschaftsministerium angedachten "Job-Card-Verfahren".
    • Für die Gesundheitskarte ist die technische Realisierung der gesetzlich vorgesehenen Patientenentscheidungsrechte und die Gewährleistung der Sicherheit der Daten die wichtigste datenschutzrechtliche Forderung. Nach der gesetzlichen Regelung sollen ohne Zustimmung des Versicherten als Pflichtanwendungen nur die bisherigen Verwaltungsdaten, sowie die Funktion des elektronischen Rezepts aufgenommen werden. Mit Zustimmung des Betroffen können weitere Daten, wie Notfalldaten und medizinische Daten aufgenommen werden. Die technischen Rahmenbedingungen für die Gesundheitskarte wurden von einem Industriekonsortium im "BIT4Health"- Projekt untersucht. Darauf basierend sollten die Selbstverwaltungsorgne ("Protego.net") eine Lösungsarchitektur für die Gesundheitskarte entwickeln. Nachdem dies nicht zum Erfolg führte, wurde im Oktober 2004 in einer "Gemeinsamen Erklärung" der Selbstverwaltung und des BMGS eine neue Arbeitsorganisation vereinbart ("Architekturboard" "Gematik"), an der die Kassenseite sowie die Ärzte- und Apothekenseite beteiligt sind. Weiter ist die Frauenhofergesellschaft und die Industrie einbezogen. Die Realisierung der Gesundheitskarte zum 1.1.2006 soll jedenfalls in den Grundfunktionen erfolgen, die weiteren Entwicklungen sollen nachfolgen. Hierzu ist meine Sorge, dass darin auch die datenschutzrechtlichen Forderungen realisiert werden. Die wichtigsten sind: Entscheidungsmöglichkeit des Versicherten, welche medizinischen Daten in die Karte aufgenommen werden oder von ihr erschlossen werden sollen; Einsichtmöglichkeit des Versicherten; Schutz vor Missbrauch der Karte durch z.B. Arbeitgeber oder Versicherungen; keine zentrale Speicherung aller Gesundheitsdaten der Versicherten; Schutz vor unberechtigter Einsicht in die Versichertendaten und differenzierte Vergabemöglichkeit von Zugriffsrechten auf die medizinischen Daten durch den Patienten. Die gesetzgeberischen Voraussetzungen sind gegeben, jetzt kommt es auf die technische Umsetzung an.
    • "Job-Card Verfahren" (S. 10, 142): Bei diesem zur Zeit von einer Einrichtung der gesetzlichen Krankenkassen im Auftrag des Bundeswirtschaftsministeriums entwickelten Projekt handelt es sich um ein Verfahren zum Zugriff auf zentral gespeicherte Arbeits- und Einkommensdaten, durch das u.a. Meldungen der Arbeitgeber an die Arbeitsagenturen vereinfacht werden sollen. Die zentrale Speicherung sensibler Daten - Einkommensdaten und Arbeitgeberdaten der gesamten Erwerbsbevölkerung Deutschlands - wirft erhebliche Probleme hinsichtlich der Erforderlichkeit und weiterer Verarbeitungswünsche und Datenverknüpfungen auf. Zur datenschutzrechtlichen Begleitung wurde eine "Arbeitsgruppe JobCard Verfahren" der AKe Technik und Gesundheit der Datenschutzkonferenz unter meiner Leitung gegründet. Die Arbeitsgruppe hat ein Alternativverfahren zur besseren Sicherung des Datenschutzes vorgestellt und dem Bundeswirtschaftsministerium zur Prüfung übermittelt.
    • Telematikplattform für medizinische Forschungsnetze - TMF (S. 11, 144): Dabei geht es um die Koordinierung von Forschungsverbünden und klinischen Kompetenzzentren mit dem Ziel der vernetzten Forschung im Medizinbereich; Beispiele sind die Kompetenznetze Parkinson und Chronisch entzündliche Darmerkrankungen - CED, Herzinsuffizienz und HIV. Für die Übermittlung pseudonymisierter medizinischer Daten für die Forschung wurden von der TMF auf meine Anregung und mit Mithilfe meiner Mitarbeiter Muster - Datenschutzlösungen ("Generische Datenschutzkonzepte") entwickelt, die
      -mit Anpassungen- der Datenverarbeitung in den verschiedenen Verbünden zu Grunde gelegt werden können; derzeit wird eine Ausweitung auf multinationaler Basis "ECRIN" (European Clinical Research Infrastructures) vorbereitet.
    • Datenabgleich der BAföG - Ämter mit dem Bundesamt für Finanzen (BfF): Dabei war umstritten, ob der generelle Datenabgleich nach der bisherigen Rechtslage zulässig war, da es keine spezielle Befugnisnorm für die BAföG - Ämter gab, die für einen Abgleich beim BfF erforderlichen Daten generell zu übermitteln. Wegen der groben Missbräuche habe ich wie meine Kollegen auch von einer Beanstandung dieser Abgleiche abgesehen. Inzwischen ist das BAföG entsprechend geändert.
  • Kommunales und Meldewesen (S. 13, 79 ff): Wichtige Punkte im kommunalen Bereich waren drei Themen: Einstellung von Daten in das Internet, unzulässige Auswertung von Bürgerdaten u.a. im Zusammenhang mit Bürgerbegehren und das "an den Pranger stellen" von Bürgern, die ihren Verpflichtungen gegenüber der Gemeinde nicht nachgekommen sind. In einer Gemeinde wurden die Daten u.a. neugeborener Kinder ohne Einwilligung der Eltern ins Internet gestellt, in einer anderen ohne Zustimmung der betroffenen Gemeinderatsmitglieder ihre Sitzungsbeiträge wiederum ins Internet gestellt, in einer dritten Gemeinde Bürger namentlich an den Pranger gestellt, die ihren Verpflichtungen nicht nachgekommen sind. Den ersten und dritten Fall habe ich förmlich beanstandet, im Fall der Einstellung der Sitzung ins Internet habe ich wegen der nicht einfachen Rechts- und Sachlage von einer Beanstandung abgesehen aber klar gestellt, dass Einstellungen ins Internet nur mit Zustimmung der Betroffenen möglich sind.
  • Im Schulbereich hat der Bayerische Verfassungsgerichtshof meine Forderung bestätigt, dass die Unterrichtung von Eltern volljähriger Schülerinnen und Schüler über Probleme mit diesen voraussetzt, dass die Schülerinnen und Schüler von dieser Absicht unterrichtet werden. Das Kultusministerium hatte eine entsprechende Anweisung an die Schulen ursprünglich für überflüssig gehalten und erst nach meiner Intervention beim Amtschef diese Weisung herausgegeben (S. 14, 115).
  • Der Bereich Technik und Organisation (S. 15, 125 ff) entwickelt sich immer mehr zu einer außerordentlich wichtigen Arbeitseinheit des Datenschutzes. Die Begleitung komplexer Datenverarbeitungsvorhaben wie Gesundheitskarte, Job-Card Verfahren und Datenverarbeitung in verzweigten Netzen von Medizin und Forschung wäre ohne die Einsicht in Datenschutzfragen aus technisch organisatorischer Sicht und den entsprechenden Schlussfolgerungen nicht möglich. Dies gilt um so mehr, als die Möglichkeiten von Hard- und Software sowie die Anwendungsideen und -vorhaben immer vielfältiger und immer komplexer werden. Dementsprechend hat dieser Bereich wesentlich zu Lösungsvorschlägen in den angesprochenen Themenfeldern beigetragen.

    Wichtiger Teil der täglichen Arbeit war auch die Prüfung der technisch-organisatorischen Datenschutz- und Datensicherheitsmaßnahmen bei verschiedenen Dienststellen der öffentlichen Verwaltung in Bayern. Diese haben generell den Willen, dem Datenschutz einen hohen Stellenwert einzuräumen; die Prüfungen haben aber auch noch vielfache Mängel in wichtigen Einzelkomplexen aufgezeigt wie Virenbekämpfungskonzept, der Vorgabe von Online-Datenschutzprinzipien und sicheren Browserkonfigurationen.

    Ich sehe hier eine wesentliche Aufgabe meines Amtes, durch Beratung zu einer Verbesserung des Sicherheitsstandards in den öffentlichen Verwaltungen Bayerns zu verhelfen - genauso wie insgesamt des Datenschutzniveaus in der öffentlichen Verwaltung. Einige Hinweise auch in meinem 21. Tätigkeitsbericht sollen hierzu einen Beitrag leisten.

München, den 27. Januar 2005,

Reinhard Vetter