Berliner Banken schludern beim Datenschutz

Der Landesdatenschutzbeauftragte Alexander Dix hat im vergangenen Jahr wieder zahlreiche Verstöße gegen Regelungen des Datenschutzes registriert. Bei einer routinemäßigen Überprüfung von vier Banken habe er eine Reihe von “überraschenden datenschutzrechtlichen Mängeln” festgestellt, sagte Dix bei der Vorstellung seines Jahresberichts 2007. Auch bei Behörden registrierte er Defizite bei der Einhaltung des Datenschutzes und der Informationsfreiheit. Generell warnte Dix vor einer “überhandnehmenden Überwachung”.

Bei den Banken sei der Datenschutz “stark verbesserungswürdig”, betonte Dix. So habe keine der überprüften Banken ihre Kunden informiert, dass Kontobewegungen auf Geldwäsche überprüft werden. Auch kämen die Kreditinstitute nicht ihrer gesetzlichen Verpflichtung nach, darüber aufzuklären, dass bei Auslandsüberweisungen die Daten über die Software Swift an US-amerikanische Behörden übermittelt würden. […] Starke Vorbehalte äußerte Dix gegenüber der Vorratsdatenspeicherung, der Erfassung von Fluggastdaten und der Ausweitung der Befugnisse des Bundeskriminalamts. Größere Datenbanken und -mengen führten nicht automatisch zu mehr Sicherheit. Die Masse an Informationen mache es eher wahrscheinlich, dass reale Verdachtsmomente etwa im Kampf gegen den Terrorismus nicht entdeckt würden.

Der Bericht steht auf der Web-Präsenz des DSB zum Download.
Dazu auch die sehr ausführliche Pressemitteilung des Datenschutzbeauftragten:

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Dr. Alexander Dix, stellte heute seinen Tätigkeitsbericht für das Jahr 2007 vor.

Neben den Schwerpunktthemen
– Online-Durchsuchung,
– Surfen im Internet – aus gutem Grund anonym und unbeobachtbar,
– Telefonieren im Internet (Voice over Internet Protocol – VoIP),
– Biometrische Authentisierung,
– Datenschutz in Berliner Banken,
– Wofür steht BIS/IMI? – Neue E-Government-Infrastrukturen für die europaweite
Verwaltungszusammenarbeit,

enthält der Bericht 101 Beiträge zur Gesetzgebung, zu Verwaltungsvorschriften, zur Rechtsprechung, zu Bürgerbeschwerden und Überprüfungen von Amts wegen in der Berliner Verwaltung und bei Berliner Unternehmen.

Mit der Online-Durchsuchung (S. 29), dem heimlichen Ausspähen von Computern durch Sicherheitsbehörden mit Hilfe von Spionageprogrammen, setzt sich der Staat in offensichtlichen Widerspruch zu seinen öffentlichen Warnungen vor Schadprogrammen Dritter. Das Bundesverfassungsgericht hat ein neues Grundrecht geschaffen, durch das die „Vertraulichkeit und Integrität informationstechnischer Systeme“ gewährleistet wird und in das der Staat nur ausnahmsweise und unter engen Voraussetzungen eingreifen darf.

Das Surfen im Internet muss aus gutem Grund anonym und unbeobachtbar möglich sein (S. 33), denn die ungehinderte Nutzung von Webangeboten gehört zu einer freiheitlichen Gesellschaft. Wie kann der Überwachung der eigenen Kommunikation begegnet werden? Die Techniken des informationellen Selbstschutzes gewinnen angesichts der künftigen Pflicht zur Speicherung aller Internet-Verkehrsdaten stark an praktischer Bedeutung.

Das Telefonieren im Internet (Voice over Internet Protocol – VoIP) (S. 43) erlebt eine rasante Entwicklung und wird wie selbstverständlich von der Wirtschaft und in Privathaushalten genutzt. Dabei addieren sich die Nachteile des konventionellen Telefonierens und die der Internet-Telefonie. Die Kommunikation erfolgt unverschlüsselt, und ein unberechtigter Zugriff ist technisch leicht möglich. Nutzer sollten Anbieter, aber auch Hard- und Software sorgfältig auswählen.

Die Biometrische Authentisierung (S. 51), also die Feststellung einer Identität durch Fingerabdruck, Iris- oder Gesichtserkennung, schützt zusammen mit klassischen Verfahren vor Fälschungen und unberechtigter Nutzung. Die gespeicherten Daten ermöglichen allerdings Missbrauch und Identitätsdiebstahl. Bei biometrischer Identifizierung bestimmter Personen in der Masse kann eine Vielzahl Unverdächtiger betroffen sein.

Der Datenschutz in Berliner Banken (S. 57) ist stark verbesserungsbedürftig, wie vier Routineprüfungen gezeigt haben. Keine Bank hat ihre Kunden darüber informiert, dass Kontobewegungen auf Geldwäscherelevanz überprüft und Daten von Auslandsüberweisungen in die USA übermittelt werden. SCHUFA-Einwilligungsformulare waren ungültig und die Weigerungen, Kunden den SCHUFA-Scorewert mitzuteilen, rechtswidrig.

Wofür steht BIS/IMI? – Neue e-Government-Infrastrukturen für die europaweite Verwaltungszusammenarbeit (S. 60): Mit dem künftigen Binnenmarkt-Informationssystem sollen Behörden europaweit Informationen über Bürger austauschen, die sich grenzüberschreitend wirtschaftlich betätigen. Während die Struktur der Datenverarbeitung erarbeitet wird, ist bereits die geplante zentrale Speicherung der Daten durch die Europäische Kommission im Rechenzentrum in Luxemburg zu kritisieren.

Weitere Themen des Jahresberichtes:

Der Entwurf zur Änderung des Gesetzes über das Bundeskriminalamt (BKA) sieht eine grundlegende Änderung der „Sicherheitsarchitektur“ vor. Das BKA soll nachrichtendienstliche Ermittlungsbefugnisse erhalten, die die Verfassungsschutzämter überflüssig erscheinen lassen. Auch würde die Trennung zwischen Geheimdiensten und Polizei endgültig aufgehoben (S. 67).

Die Änderung des Allgemeinen Sicherheits- und Ordnungsgesetzes und des Berliner Datenschutzgesetzes beinhaltet die geforderte normenklare Regelung für die flächendeckende Videoaufzeichnung auf U-Bahnhöfen. Die Skepsis in Bezug auf diese Maßnahme bleibt, ebenso wie die Kritik daran, dass die Evaluation des Pilotprojekts grundlos abgebrochen wurde (S. 68).

Zwei kolumbianische Politiker, die beim Einkauf fälschlicherweise verdächtigt wurden, Falschgeld zu verwenden, mussten sich bei der Durchsuchung vor laufender Kamera entkleiden. Das wurde als rechtswidrig beanstandet: Leibesvisitationen unter Videobeobachtung sind unzulässig (Einkauf mit Hindernissen – Anschauungsunterricht in Sachen „Rechtsstaat“, S. 71).

Trotz Einstellung eines Strafverfahrens mangels hinreichenden Tatverdachts speichert die Polizei die Daten weiter im polizeilichen Informationssystem, anstatt anlassbezogen die Erforderlichkeit zu prüfen. Das Verfahren muss grundlegend geändert werden (Verfahrenseinstellungen nach § 170 Abs. 2 StPO und die polizeiliche Praxis, S. 75).

Die Bundesbank hat seit 2004 Zuverlässigkeitsüberprüfungen ihres Fremdpersonals veranlasst und hierfür Informationen von der Polizei erhalten. Dies war rechtswidrig und wurde beanstandet (Zuverlässigkeitsüberprüfungen bei der Deutschen Bundesbank, S. 78).

Dass mit dem Antiterrordateigesetz die bewährte Trennung zwischen Nachrichtendiensten und Polizeien weitgehend aufgegeben wurde, ist nur einer der Kritikpunkte, die die Datenschützer dem Bundesverfassungsgericht in einer Stellungnahme vorgetragen haben (Die Antiterrordatei – Ein Zwischenbericht, S. 82).

Das Bundesinnenministerium plant, das Melderecht grundlegend zu reformieren. Dazu gehört der Aufbau eines zentralen Bundesmelderegisters. Die Datenschutzbeauftragten haben Forderungen für eine datenschutzfreundliche Reform formuliert (Meldewesen / Eckpunkte der Datenschutzbeauftragten des Bundes und der Länder, S. 87).

Wer einen Aufenthaltstitel begehrt, ist nicht verpflichtet, einen Prüfbericht des Steuerberaters zum Nachweis der Einkommenssituation des Ehepartners vorzulegen. Die Ausländerbehörde handelte mehrfach rechtswidrig (Datenerhebung vor Erteilung einer Niederlassungserlaubnis, S. 92).

Die Menge macht’s – Wie aus Knöllchensammlern Fußgänger werden, wird anhand eines Falles illustriert, in dem einem Bürger (zu Recht) die Fahrerlaubnis entzogen wurde, obwohl fast alle 75 Verkehrsverstöße abgegolten waren (S. 99).

Die Luftsicherheitsüberprüfung eines Bürgers entpuppte sich als Karrierehemmer, weil sie wegen einer – rechtswidrig gespeicherten – Verurteilung von 1993 negativ ausfiel (S. 100).

Die Neuregelung zur Telekommunikationsüberwachung sieht einen unzureichenden Grundrechtsschutz vor und wird zu einer erheblichen Ausweitung heimlicher Ermittlungen führen (Neuregelung zur Telekommunikationsüberwachung mit ungewisser „Haltbarkeit“, S. 105).

Mit der Aufklärung angeblicher Missstände im Strafvollzug war die von der Senatsverwaltung für Justiz eingesetzte Untersuchungsgruppe Medikamentenversorgung befasst. Ihr hätten allerdings nur Landesbedienstete angehören dürfen und keine „externen“ Beschäftigten, denen Gefangenendaten
unzulässig offenbart wurden (S. 110).

Unzulässig war auch die Weigerung der Senatsjustizverwaltung, ihrem ehemaligen Staatssekretär umfassend Einsicht in die Akten der Untersuchungsgruppe zu gewähren, der sich gegen öffentliche Ruf schädigende Behauptungen Dritter verteidigen wollte (Eine Frage der Ehre, S. 112).

Das Ende der Lohnsteuerkarte zeichnet sich ab, denn sie soll ab 2011 durch ein elektronisches Abrufverfahren beim Bundeszentralamt für Steuern ersetzt werden. Die Datenschutzbeauftragten sind gegen diesen neuen Datenpool, der erstmals Meldedaten, Bankkontostamm- und Steuerdaten aller Bundesbürger umfasst (S. 115).

Die Finanzverwaltung schlägt zurück: Sie veröffentlichte Steuerdaten von Abgeordneten im Internet, um Vorwürfe zu entkräften, sie habe sich mit Steuerprüfungen dafür revanchiert, dass die Abgeordneten sich im Petitionsausschuss mit Mobbing in Finanzämtern befassen. Der Finanzsenator
behindert die Prüfung, ob ein Datenschutzverstoß wegen Verletzung des Steuergeheimnisses vorliegt (S. 116).

Wie lebt ein Hartz IV-Empfänger? – Einen Hausbesuch mit Fernsehteam bekam ein Bürger von seinem Jobcenter, ohne dass er vorher zugestimmt hatte. Ein solches Beiziehen von Medienvertretern durch öffentliche Stellen wurde wiederholt als unzulässig gerügt (S. 125)

Angaben zu Dritten bei Anträgen auf Sozialleistungen dürfen zwar gemacht werden. Allerdings sollten die Personen durch Unterschrift bestätigen, dass sie von der Weitergabe ihrer Daten durch den Antragsteller wissen (S. 131).

Darf eine Zahnarztpraxis 15 Jahre alte Behandlungsdaten einer Patientin im EDV-System speichern, obwohl es seit damals keine weitere Behandlung gab? (Wir kennen Sie doch! – Aufbewahrungsfristen für die zahnärztliche Behandlungsdokumentation, S. 135).

Unverschlüsselte Bewerberdaten im Internet sind gegen den unberechtigten Zugriff Dritter nicht geschützt. Eine professionelle Online-Arbeitsvermittlung wurde zur Verschlüsselung der Daten angehalten (S. 153).

Die Erweiterung der vorschulischen Sprachförderung beinhaltet eine Sprachstandsfeststellung bei Berliner Kindern. Wie kann die Verarbeitung ihrer Daten begrenzt und auf eine einwandfreie Rechtsgrundlage gestellt werden? (S. 165).

Bei der Bestimmung der zuständigen Grundschule müssen Schulbehörden die Daten des Melderegisters zum Wohnsitz zugrunde legen. Eigene Ermittlungen sind nur ausnahmsweise zulässig (Überprüfung von Meldedaten durch Schulämter bei Anmeldung zur Einschulung, S. 166).

Vorsicht bei Hilfsangeboten von Schuldnerberatungen und vermeintlichen Verbraucherschutzorganisationen ist geboten, denn sie verstoßen häufig gegen Datenschutzbestimmungen (S.176).

Ein Spendenaufruf per Telefon ist auch bei gemeinnützigen Organisationen unzulässig, wenn sie ohne Einwilligung der Betroffenen um Spenden werben (S. 178).

Der neue Staatsvertrag zum Glücksspielwesen in Deutschland beinhaltet die Einrichtung einer Datei über gesperrte Spieler – und erhebliche Datenschutzdefizite (Sperrdatei für Teilnahme am Glücksspiel, S. 181).

Deutsche Unternehmen müssen sorgfältig prüfen, ob sie Herausgabeverlangen von US-Behörden oder US-Unternehmen in Bezug auf Mitarbeiterdaten umfassend folgen. Das ist häufig rechtswidrig und bußgeldbewehrt (AG „Internationaler Datenverkehr“/ Discovery, S. 187).

Der neue RFID – Reisepass mit Fingerabdruckdaten ist nicht hinreichend gegen unberechtigtes Auslesen gesichert, wie vielfache Erfahrungen bereits gezeigt haben (S. 193).

Vorratsdatenspeicherung in der Telekommunikation – Ein schwarzer Tag für den Datenschutz war der Tag, an dem die TK-Anbieter gesetzlich verpflichtet wurden, riesige „Datenpools“ mit Unverdächtigen anzulegen (S. 209).

Die Bewertung von Hochschullehrern im Internet ist nur zulässig, wenn diese informiert und bestimmte Verfahrensregeln zu ihrem Schutz eingehalten werden. Verstöße werden sanktioniert, wie das Bußgeldverfahren gegen einen Anbieter zeigt (S. 219).

Nach dem Berliner Informationsfreiheitsgesetz müssen öffentliche Stellen im Internet verfügbare Unterlagen gleichwohl in Papierform zugänglich machen, wenn ein Internetanschluss nicht zur Verfügung steht (Der Gefangene und das Gutachten zur Privatisierung des Strafvollzugs, S. 230).

Auch Verträge mit dem Land Berlin unterliegen der Informationsfreiheit und sind nicht von vornherein und umfassend als Geschäftsgeheimnis zu schützen (Verkehrsvertrag mit der S-Bahn, S. 233).

Ein Mieterverzeichnis von sanierungsbedürftigen Wohnungen im Bezirk Friedrichshain-Kreuzberg durfte nach dem Informationsfreiheitsgesetz verlangt und nicht unter Berufung auf den Datenschutz vorenthalten werden (S. 236).