IITR Datenschutz Blog

Der Hessische Datenschutzbeauftragte legte 36. Tätigkeitsbericht vor

29.02.2008

Datenschutz hat in der Gegenwart einen schweren Stand, konstatierte Professor Ronellenfitsch mit der Vorlage des Berichts über seine Tätigkeit im Jahr 2007.
Trotz der hohen Datenschutzkultur, die im Land Hessen ihren Ursprung nahm, droht die Abwehrkomponente des Datenschutzes nach Auffassung des Hessischen Datenschutzbeauftragten in der Flut der gesetzlichen Einschränkungen des Rechts auf informationelle Selbstbestimmung unterzugehen. Dass daneben die Schutzkomponente durch staatliche Maßnahmen wie die Online-Durchsuchung unterlaufen wird, sei äußerst Besorgnis erregend. Hinzu komme laut Professor Ronellenfitsch, dass es an der informationellen Ausgewogenheit fehle, weil man sich in Hessen nicht zum Erlass eines Informationszugangsgesetzes habe durchringen können.

Der Bericht enthält Überblicke über die Entwicklungen des Datenschutzes auf europäischer Ebene und auf der Ebene des Bundes. Den Schwerpunkt des Tätigkeitsberichts bilden landesspezifische datenschutzrechtlich relevante Querschnittsthemen und u. a. Fragestellungen im Bereich der Justiz, des Verfassungsschutzes, des Ausländerrechts, der Schulen und Schulverwaltung und der Kommunen. Ferner werden wie immer Entwicklungen im Bereich der Technik dargestellt, deren Beobachtung und datenschutzrechtliche Begleitung einen zentralen Bestandteil der Tätigkeit des Hessischen Datenschutzbeauftragten bilden.

Einige Beispielsfälle aus dem Betätigungsfeld des Hessischen Datenschutzbeauftragten sind in der Folge herausgegriffen. Der vollständige Tätigkeitsbericht kann nach Ablauf der Sperrfrist von der Homepage des Hessischen Datenschutzbeauftragten abgerufen werden.

Online-Durchsuchung und Vorratsdatenspeicherung

Nach Ansicht von Professor Ronellenfitsch hat der Bundesgesetzgeber einen schlechten Küchenchef. Bei der Online-Durchsuchung verbrennt man sich den Mund. Bei der Vorratsdatenspeicherung ist das Fass übergelaufen.

– Online-Durchsuchung
Noch ist die Online-Durchsuchung nur im Landesverfassungsschutzgesetz Nordrhein-Westfalens gesetzlich geregelt. Befürworter dieser Ermittlungsmethode allerdings wollen eine entsprechende Befugnisnorm in die anstehende Novellierung des BKA-Gesetzes mit aufnehmen. Aus der Fülle der modernen Datenzugriffe ragen die Online-Überwachungen und -Durchsuchungen heraus. Derartige Maßnahmen führen zu erheblichen Eingriffen in das Grundrecht auf informationelle Selbstbestimmung.
Der Computer hat mittlerweile im täglichen Leben der meisten Menschen eine zentrale Bedeutung für die Aufbewahrung und Gestaltung sehr privater Informationen, wie beispielsweise Fotografien, Reiseberichte, Tagebuchaufzeichnungen, persönliche Briefe, Eindrücke, Vorstellungen und Gefühle. Ein Online-Zugriff auf diese Daten berührt daher fast regelmäßig Aspekte, die den Kernbereich der privaten Lebensführung betreffen und damit einem Zugriff des Staates entzogen sind. Aus diesem Grund sind an die verfassungsmäßige Zulässigkeit dieses Instrumentariums besonders hohe Anforderungen zu stellen.
Vor allem aber sind nach Auffassung Professor Ronellenfitschs die Online-Durchsuchungen datenschutzpolitisch äußerst fragwürdig. Die vom Staat geförderten E-Government-Projekte sind für die Beteiligten nur im Umfeld einer geschützten und sicheren Kommunikation attraktiv. Gefährdet der Staat selbst die Sicherheit durch für Online-Durchsuchungen bewusst offen gehaltene, aber nicht bekannt gegebene Sicherheitslücken, gefährdet er zugleich die Akzeptanz dieser Projekte.

– Vorratsdatenspeicherung
Mit der Novellierung der Strafprozessordnung ist auch die Regelung zur so genannten Vorratsdatenspeicherung von Telekommunikationsdaten für sechs Monate eingeführt worden. Ziel des Gesetzes war insoweit die Umsetzung der EU-Richtlinie 2006/24/EG in innerstaatliches Recht, die Vorratsdatenspeicherung von Daten verlangt, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt werden. Der Bundesgesetzgeber ist aber bei der Umsetzung der Richtlinie über die dort festgelegten Vorgaben hinausgeschossen. Die Richtlinie sieht die Verwendung der gespeicherten Daten für die Ermittlung, Feststellung und Verfolgung von schweren Straftaten vor, so der Hessische Datenschutzbeauftragte. Der Bundesgesetzgeber hat die Verwendung hingegen nicht auf bestimmte Straftaten beschränkt. Damit sei auch eine Verwertung dieser Daten für Zwecke der Gefahrenabwehr sowie für die Nachrichtendienste möglich.
Sowohl gegen die nordrhein-westfälische Regelung zur Online-Durchsuchung als auch gegen die Vorratsdatenspeicherung liegen Verfassungsbeschwerden beim Bundesverfassungsgericht. Insoweit könne mit Spannung nach Karlsruhe geschaut werden. Professor Ronellenfitsch rechnet damit, dass der Gesetzgeber in beiden Fällen, wenn auch unterschiedlich schwer, eins auf den Deckel bekommt.

Novellierung des Verfassungsschutzgesetzes
Der Hessische Datenschutzbeauftragte hat die Novellierung des Landesverfassungsschutzgesetzes durch verschiedene Stellungnahmen begleitet. Leider ist der Gesetzgeber nicht allen seinen Anregungen gefolgt.
Die Anpassung der Befugnisse zur akustischen und optischen Wohnraumüberwachung an die Vorgaben des Bundesverfassungsgerichts ist dem Gesetzgeber nur unzureichend gelungen. Nach der Rechtsprechung des Bundesverfassungsgerichts gibt es einen absolut geschützten Kernbereich privater Lebensgestaltung, in den der Staat weder zu Strafverfolgungszwecken noch zu präventiven Zwecken – wie im Fall des Tätigwerdens des Verfassungsschutzes – durch akustische oder optische Überwachung eingreifen darf. Der Hessische Datenschutzbeauftragte hatte vorgeschlagen, die vom Bundesverfassungsgericht aufgestellten verfahrensrechtlichen Sicherungen in den Gesetzestext aufzunehmen. Dies ist nur zum Teil geschehen. Näheres wird nur in der Begründung zum Gesetz ausgeführt. Der Hessische Datenschutzbeauftragte empfiehlt deshalb dringend, die in der Gesetzesbegründung enthaltenen Vorgaben (z.B. das Abbrechen des Abhörens und Aufzeichnens, wenn sich Anhaltspunkte ergeben, dass der Kernbereich berührt ist) in eine normkonkretisierende Verwaltungsvorschrift des Hessischen Innenministeriums aufzunehmen. Besser wäre natürlich eine Regelung im Gesetz selbst gewesen, betonte Professor Ronellenfitsch.

Nicht berücksichtigt wurden die Vorschläge des Datenschutzbeauftragten zum Schutz von Berufsgeheimnisträgern, wie Ärzten, Rechtsanwälten etc., im Rahmen der Wohnraumüberwachung. Sein Vorschlag zielte darauf ab, den Schutz von Berufsgeheimnisträgern, der sich aus verschiedenen verfassungsrechtlichen Vorschriften ableitet, zu konkretisieren. Dies sollte in einer normenklaren Regelung geschehen, um verfassungsrechtliche Auseinandersetzungen zu vermeiden.

Auf Vorschlag des Hessischen Datenschutzbeauftragten ist die Bereitstellung der Verfassungsschutzberichte im Internet befristet worden. Allerdings ist die Fünfjahresfrist nach seiner Auffassung zu lang.

Zentrale Lehrer- und Schülerdatenbank – kurz LUSD
Die Last mit der LUSD hat auch der Hessische Datenschutzbeauftragte zu spüren bekommen. Bei der Einführung der zentralen Lehrer- und Schülerdatenbank, die die alte dezentrale LUSD ablöst, handelt es sich um eines der großen E-Government-Projekte der Hessischen Landesregierung. In der Lehrer- und Schülerdatenbank sollen die Daten von rund 50.000 Lehrern und 660.000 Schülern an ca. 2000 Schulen zentral verwaltet werden. Je größer ein Projekt angelegt ist, desto größer können auch die datenschutzrechtlichen und technischen Probleme bei der Umsetzung sein. Dies musste der Hessische Datenschutzbeauftragte bei der Begleitung des Projekts verschiedentlich feststellen.

Die Implementierung der neuen Software erfolgte zunächst ohne größere Probleme. Zu Ende des Schuljahres 2006 / 2007 und zu Beginn des Schuljahres 2007 / 2008, als besonders viele Datenzugriffe gleichzeitig erfolgten, zeigte sich allerdings, dass bei hoher Beanspruchung die Datenbank überlastet war und dies zu Wartezeiten führte. Die Wartezeiten lösten einen Abbruch der Datenverarbeitung mit der Folge des Verlusts der eingegebenen Daten aus. Dies führte zwangsläufig zu einem Verfügbarkeitsproblem.

Bisher fehlt auf Grund fehlender fachlicher und personeller Ressourcen ein Muster-Sicherheitskonzept für die Datenverarbeitung in den Schulen. Prüfungen des Hessischen Datenschutzbeauftragten haben ergeben, dass sowohl die Schulen als auch die Schulträger auf die Fragestellungen, wie die Sicherheit der LUSD-Arbeitsplätze auszugestalten ist, nur unzureichend vorbereitet waren und einer stärkeren Hilfestellung durch das federführende Kultusministerium bedurft hätten. Dem Hessischen Datenschutzbeauftragten sind Nachbesserungen für die erste Jahreshälfte 2008 zugesichert worden.

Hepatitiswarnung im Einwohnermeldeamt
Offensichtlicher Übereifer von Bediensteten hat zu einer unzulässigen Eintragung im Melderegister geführt, wie Professor Ronellenfitsch feststellte. Ein Bürger hatte sich beim Datenschutzbeauftragten darüber beschwert, dass er bei der Antragstellung eines Reisepasses auf dem Bildschirm im Bürgeramt bei seinem Datensatz plötzlich in einem Infofeld den Hinweis lesen konnte: „Lt. Auskunft der Polizei hat Herr XY Hepatitis C! Bitte Vorsicht!“ Die Überprüfung zeigte, dass dieser Eintrag tatsächlich im Meldedatensatz zu finden war. Die näheren Recherchen ergaben, dass die Information durch die Polizei an die Meldebehörde gelangt war, nachdem der Betroffene sich bei einer Polizeikontrolle einer Blutuntersuchung unterziehen musste und dabei seine Hepatitis C – Erkrankung angegeben hatte. Weder die Datenübermittlung durch die Polizei noch die Speicherung dieses Datensatzes im Melderegister waren rechtlich zulässig. Der Hessische Datenschutzbeauftragte hat deshalb die sofortige Löschung der Daten aus dem Meldedatensatz gefordert, was auch durch die Leitung des Bürgerbüros unmittelbar erfolgte.

Rechtswidrige Datenverarbeitung durch eine Handwerksinnung
Durch die Beschwerde eines Ausbildungsplatzbewerbers wurde der Hessische Datenschutzbeauftragte darauf aufmerksam, dass eine Handwerksinnung die Ergebnisse von Einstellungstests von Ausbildungsbetrieben an andere Ausbildungsbetriebe weitergab, ohne dass dafür eine Rechtsgrundlage oder Einwilligung der Bewerber in diese Datenübermittlung vorlag.

Der Einstellungstest war von der Innung in Zusammenarbeit mit einem Dritten entwickelt und den Mitgliedsbetrieben zur Verfügung gestellt worden. Die Ausbildungsbetriebe, die diesen Test nutzten, haben die Ergebnisse der Tests an die Innung zurückgeschickt. Die Ergebnisse der Tests konnten dann bei der Innung von anderen Innungsmitgliedern angefordert werden. Für dieses Verfahren gab es weder eine Rechtsgrundlage, noch konnte festgestellt werden, dass wirksame Einwilligungen durch die Ausbildungsplatzbewerber in dieses Verfahren vorgelegen haben. Zwar gehört die Regelung und Überwachung der Lehrlingsausbildung zu den Aufgaben der Innungen, die Durchführung von Einstellungstests durch die Mitgliedsbetriebe zählt dazu jedoch nicht, so Professor Ronellenfitsch. Er machte deshalb gegenüber der Innung deutlich, dass die Ergebnisse von Einstellungstests nur dann an andere Ausbildungsbetriebe übermittelt werden dürfen, wenn eine ausdrückliche Einwilligung des betroffenen Bewerbers vorliegt. Der Hessische Datenschutzbeauftragte hat die Innung auf ihren Wunsch hin bei der Formulierung einer wirksamen Einwilligungserklärung beraten.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif