Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

11.

Beispiele, in denen die Tätigkeit des Datenschutzbeauftragten zu Verbesserungen des Grundrechtsschutzes beigetragen hat

1. Das Kultusministerium vertrat den Standpunkt, daß Lehrer, die von ihrem Recht auf Einsicht in die Personalakte Gebrauch machen wollten, dazu extra zum Ministerium nach Kiel reisen müßten.. Nach langem Drängen ist jetzt erreicht, daß umgekehrt verfahren wird: Die Akte wird dorthin geschickt, wo der Betreffende seinen Dienst verrichtet (vgl. Tz. 4.11.2).
   

2. Noch nach Jahrzehnten konnte man in Baugenehmigungsakten Unterlagen über längst erledigte Ordnungswidrigkeitenverfahren gegen frühere Eigentümer finden. Nach unserer Beanstandung hat man begonnen, die Akten zu bereinigen und neu zu strukturieren (vgl. Tz. 4.1.1).
   

3. Einige Gemeinden waren drauf und dran, Adreßbuchverlagen die Einwohnermeldedaten zur Erfassung auf CD-ROM zu geben. Völlig neuartige und für die Bürger kaum kalkulierbare Nutzungsmöglichkeiten hätten sich daraus ergeben. Wir haben uns dafür eingesetzt, daß dies nur mit Einwilligung der betroffenen Bürger geschieht (vgl. Tz. 4.1.3).
   

4. Es bestand die Gefahr, daß die in dem automatisierten Bürokommunikationsverfahren COMPAS gespeicherten Daten (der Polizei) ein Eigenleben neben der Akte führen würden. Die Korrektur einer Zeugenaussage wäre z.B. nur im Computer, nicht aber in der Akte vermerkt worden bzw. umgekehrt. Jetzt hat der Innenminister "Gleichklang" sichergestellt. Im Zweifel gilt stets das, was in der Akte steht (vgl. Tz. 4.2.4).
   

5. Werden Führerscheine vorläufig beschlagnahmt, wird dies von der Justiz an die Fahrerlaubnisbehörden gemeldet. Wird versäumt, einen etwaigen Freispruch nachzumelden, kommt der Betroffene z.B. bei einer Fahrzeugkontrolle in die unangenehme Situation, beweisen zu müssen, daß er den Führerschein zu Recht besitzt. Der Verkehrsminister hat auf unserer Betreiben alle Behörden angewiesen, sich selbst darum zu bemühen, unvollständige Daten zu ergänzen (vgl. Tz. 4.6.4).
   

6. Wohngeldstellen verlangten von Antragstellern, sich Angaben auf den Anträgen von den Vermietern bestätigen zu lassen. Manchen ist es peinlich, wenn der Vermieter auf diesem Wege erfährt, daß Wohngeld beantragt wurde. Der Innenminister hat auf unser Drängen die Wohngeldstellen darauf hingewiesen, daß der Mieter nicht gezwungen werden darf, den Wohngeldantrag beim Vermieter vorzulegen, wenn er die notwendigen Informationen auch anderweitig belegen kann (vgl. Tz. 4.7.3).
   

7. Auf Terminsaushängen in Gerichten konnte man nachlesen, gegen wen ein Termin zur Abgabe der eidesstattlichen Versicherung anberaumt war, obwohl das Verfahren selbst nicht öffentlich ist. Wir haben die Gerichte gebeten, in solchen Fällen auf den öffentlichen Aushang zu verzichten, damit die Betroffenen nicht ohne Not bloßgestellt werden (vgl. Tz. 5.1).
   

8. Immer mehr Behörden realisieren Sicherheitskonzepte nach unseren Vorschlägen. Dies bedeutet z.B., daß bei Diebstahl von PC aus Verwaltungsgebäuden kein Zugriff auf Daten besteht oder daß auch innerhalb der Verwaltung Datenzugriffe nur den jeweils zuständigen Bearbeitern möglich sind. Die Nutzung des in der EDV vorhandenen Sicherheitspotentials erhöht die Chance, daß Bürgerdaten nur für den gesetzlich zulässigen Zweck verwendet werden (vgl. Tz. 6.2).
   

9. Bei der Zusammenlegung der Rechenzentren der Steuerverwaltung und der Datenzentrale bestand die Gefahr, daß die sensiblen Steuerdaten den Mitarbeitern der Datenzentrale zur Kenntnis gelangten. Wir haben darauf hingewirkt, daß nicht nur die Datenbanken gegeneinander abgeschottet bleiben, sondern auch während des gesamten Verarbeitungsprozesses nur Mitarbeiter der Steuerverwaltung Zugang zu den Steuerdaten haben. So konnten eine wirtschaftlichere Aufgabenerfüllung und die Wahrung des Steuergeheimnisses miteinander in Einklang gebracht werden (vgl. Tz. 4.10.1).
   

10. Vor einigen Jahren tauchten durch einen Programmfehler in Adreßbüchern die Anschriften von Personen auf, für die wegen einer Gefahr für Leib und Leben im Melderegister Auskunftssperren vermerkt waren. Jahrelang haben wir darauf gedrängt, daß EDV-Verfahren in Zukunft besser getestet werden, bevor sie zum Einsatz kommen. Jetzt haben die kommunalen Landesverbände ein Testverfahren konzipiert, das unseren Vorstellungen entspricht. Für die Bürger in Stadt und Land heißt das konkret: Das vielzitierte "menschliche Versagen" wird im Einzelfall vielleicht auch in Zukunft zur Beeinträchtigung ihrer Rechte führen. Serienfehler aufgrund unzulänglicher Computerprogramme wird es aber seltener geben, da qualifizierte Spezialisten die Arbeit der Programmierer genauer als bisher überprüfen (vgl. Tz. 6.3).
    

11. Bislang setzt die Verwaltung im Land kaum Verschlüsselungsverfahren ein, um die Daten vor fremdem Zugriff schützen. Auf unser Drängen untersucht die Datenzentrale im Auftrag des Innenministeriums jetzt in einer Grundlagenarbeit, inwieweit kryptographische Verfahren zum Schutz der Kommunikation im Schleswig-Holstein-Netz und der in Datenbanken gespeicherten Informationen einsetzbar sind. Durch diese Erkenntnisse wird die Vertraulichkeit für die Daten der Bürger künftig besser gewahrt werden können (vgl. Tz. 7.8).
    

12. Öffentliche Stellen mit Internet-Anschluß müssen ihr Verwaltungsnetz gegenüber Angriffen aus dem Internet schützen. Auf unsere Anregung hin wird sich die Datenzentrale mit der Frage, wie sich eine Verwaltung beim Internet-Zugang mit Hilfe von Firewall-Systemen sicher abschotten kann, in einer Grundlagenarbeit befassen. Ziel ist ein Internet-Anschluß für Verwaltungen, bei dem Unbefugte nicht auf die in den Verwaltungen gespeicherten Bürgerdaten zugreifen können (vgl. Tz. 7.8)
    

13. Fast sah es so aus, als ob Telekommunikationsanbieter verpflichtet würden, über jedes Telefonat Daten zu speichern, nur damit Sicherheitsbehörden abfragen können, wer wann mit wem telefoniert hat. Auch unser energisches Eintreten gegen diesen "Schritt in den Überwachungsstaat" hat dazu geführt, daß dieses Vorhaben nicht durchgesetzt wurde (vgl. Tz. 7.3).
    

14. Im Schleswig-Holstein-Netz der Datenzentrale, über das u.a. Daten der Staatsanwaltschaften übertragen werden, können angeschlossene Verwaltungen künftig entscheiden, welche zusätzlichen Sicherheitsmaßnahmen sie für erforderlich halten, um einen angemessenen Schutz der übertragenen Daten zu gewährleisten. Die Gefahr, daß Hacker sensible Daten über Bürger ausspähen oder manipulieren, wird minimiert (vgl. Tz. 7.8).
    

15. Bis jetzt waren sich die an die "elektronische Post der Landesregierung" angeschlossenen Verwaltungen der damit verbundenen Sicherheitsrisiken nicht hinreichend bewußt. Nach unserer Kritik werden zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung und digitale Signatur eingeführt. Damit hat ein Angreifer, der die bei der Übertragung zwischengespeicherten Nachrichten mitlesen oder verändern will, kaum mehr eine Chance (vgl. Tz. 7.9).
    

16. Das schleswig-holsteinische Krebsregistergesetz hat, um möglichst alle Krebsfälle zu erfassen, eine Meldepflicht für Ärzte eingeführt. Die Erkrankten, die mit einer namentlichen Meldung nicht einverstanden sind, werden jedoch nur verschlüsselt im Krebsregister erfaßt. Wir haben zusätzlich darauf hingewirkt, daß das Register Informationen nicht an Dritte herausgeben darf, wenn im Einzelfall doch einmal das Risiko einer Identifizierungsmöglichkeit durch den Empfänger besteht. Die Gefahr, daß Daten über Krebserkrankungen in falsche Hände geraten, wurde damit verringert (vgl. Tz. 4.8.1).
    

17. Bisher haben Universitätskliniken ohne Einwilligung der Betroffenen mit Patientendaten geforscht. Nunmehr werden die Patienten ausdrücklich gefragt, ob sie damit einverstanden sind (vgl. Tz. 4.8.2).
    

18. In einem Krankenhaus wurden die persönlichen Daten bei der Aufnahme in hörbarer Nähe zu anderen Patienten abgefragt. Aufgrund unserer Intervention wurden räumliche Umbauarbeiten vom Ministerium genehmigt. Nach ihrem Abschluß brauchen Patienten bei der Aufnahme nicht mehr intime Details in Gegenwart Dritter zu offenbaren (vgl. Tz. 4.8.4).
    

19. Seit Jahren erfolgten die Meldungen der Gesundheitsämter an den Beauftragten für die systematische Bekämpfung übertragbarer Krankheiten in personenbezogener Form. Nach unserer Intervention übermitteln die Gesundheitsämter diese Datensätze nur noch in anonymisierter Form.
    

20. In den Vernehmungsbögen der Polizei war nicht unterschieden, auf welche Fragen der Betroffene antworten muß, auf welche nicht. Die Formulare wurden nach unseren Vorschlägen überarbeitet. Künftig können Bürger ihr verfassungsmäßiges Recht, sich nicht selbst belasten zu müssen, besser wahrnehmen (vgl. Tz. 10.6).
    

21. Beim Bundeskriminalamt werden aufgrund von Meldungen der Länderpolizeien auf der Basis schwammiger Generalklauseln viele Daten über Personen mit Herkunft aus Osteuropa gespeichert. Das Innenministerium hat auf unsere Anregung hin ergänzende Regelungen erlassen, die sicherstellen, daß Meldungen erst erfolgen, wenn tatsächlich etwas gegen die Personen vorliegt.
    

22. Begehrte bisher ein Bürger Auskunft bei der Polizei über Daten, die in einem strafrechtlichen Ermittlungsverfahren gegen ihn erhoben worden waren, so mußte er damit rechnen, daß die Polizei die Auskunft ablehnte und auf die Staatsanwaltschaft verwies. In Zukunft wird auch die Polizei Auskünfte zu Datenspeicherungen in Ermittlungsverfahren geben.. Die Bürger erhalten damit direkt und unkompliziert Auskunft, welche Daten über sie gespeichert sind, ohne daß sie einen umständlichen Instanzenweg beschreiten müssen (vgl. Tz. 10.5).
    

23. Durch eine detaillierte Arbeitsanweisung hat der Verfassungsschutz nunmehr geregelt, in welchen Fällen eine Speicherung im Vorfeld extremistischer Betätigungen in Betracht kommt und in welchen nicht. Allein die Bekanntschaft mit den "falschen Leuten" führt nun nicht mehr zur Beobachtung durch den Verfassungsschutz (vgl. Tz. 10.10).
    

24. Auf den in Justizvollzugsanstalten über die Gefangenen geführten Personalakten wurde bisher an vorderster Stelle ein Stempel aufgebracht, der unmittelbar auf eine Aids-Infektion der Gefangenen hindeutete. Das Justizministerium hat nun durch Erlaß festgelegt, daß die Information über die Aids-Infektion nur denjenigen Personen gegeben wird, die tatsächlich ansteckungsgefährdet sind (vgl. Tz. 10.13).
    

25. Bei der Geltendmachung von Schadensersatzansprüchen leitete das Finanzministerium bisher eine Vielzahl von personenbezogenen Daten über verletzte Justizbeamte an gewalttätige Gefangene weiter. Künftig werden nur noch die tatsächlich erforderlichen Informationen weitergegeben und zwar auch erst dann, wenn es unabdingbar ist. Die von Strafgefangenen verletzten Justizbeamten können jetzt darauf vertrauen, daß vor allem ihre Privatanschrift den Gefangenen auf diesem Wege nicht mehr offenbart wird (vgl. Tz. 4.4.5).
    

26. Die Jugendgerichtshilfe in einem Kreis speicherte bisher die Daten ihrer Probanden auch dann weiter, wenn das Verfahren gegen diese längst abgeschlossen war. Auf unsere Intervention wurden die Datenspeicherungen gelöscht. Diese Jugendlichen müssen künftig nicht mehr damit rechnen, daß ihre früheren Verfehlungen über die vom Gesetzgeber vorgesehenen Fristen gespeichert und auch nach Ablauf der Tilgungsfristen gegen sie verwandt werden.
    

27. In der Datenverarbeitung beim polizeilichen Staatsschutz waren die Grenzen zu den Kompetenzen des Verfassungsschutzes verwischt. In vielen Fällen waren Bürger nur deshalb gespeichert, weil sie Kontakt mit Verdächtigen hatten oder auch nur von ihrem demokratischen Recht auf Teilnahme an einer Demonstration Gebrauch gemacht hatten. Aufgrund unserer Beanstandungen werden diese Datenbestände umfassend bereinigt (vgl. Tz. 4.2.1).