22. Tätigkeitsbericht (2000)



13

Beispiele dafür, was die Bürger von unserer Tätigkeit haben

Datenschutzbeauftragte haben die Aufgabe zu kontrollieren und zu kritisieren, wenn sie Mängel bei der Verarbeitung personenbezogener Daten feststellen. Auch in diesem Bericht ist an vielen Stellen von "Kritik”, "Beanstandung” u. Ä.. die Rede. Dies könnte zu dem Schluss führen, Kritik und Behinderung seien unsere Hauptaufgaben. In Wirklichkeit geht es um Verbesserungen zu Gunsten des Grundrechtsschutzes der Bürgerinnen und Bürger. Hier einige Beispiele aus dem vergangenen Jahr, in denen dies gelungen ist. Aufgeführt sind nur Fälle, in denen generelle Verfahrensweisen verbessert wurden, keine Ergebnisse von Einzelpetitionen.

  1. Täglich nutzen Sozialämter Vordrucke, um Sozialdaten zu erheben, die sich oft nicht auf die erforderlichen Daten beschränken und unzureichende Erläuterungen für die Beteiligten enthalten. In Zusammenarbeit mit dem Deutschen Gemeindeverlag und dem Schleswig-Holsteinischen Landkreistag haben wir eine Vielzahl dieser Vordrucke datenschutzgerecht gestaltet - eine Initiative aus Schleswig-Holstein im Interesse der Datensparsamkeit mit Wirkung für viele andere Bundesländer.

  2. In manchen Sozialämtern herrschte Unklarheit darüber, unter welchen Voraussetzungen einmalige Beihilfen als Bargeld oder in Form von Bestellscheinen bzw. Warengutscheinen zu gewähren sind. Viele Hilfeempfänger fühlten sich gegenüber den Kaufhäusern und Geschäften bloßgestellt. Wir veröffentlichten deshalb amtliche Hinweise, wie der Sozialdatenschutz bei der Gewährung von einmaligen Beihilfen zu berücksichtigen ist.

  3. Ein Kreiskrankenhaus plante, zur Durchsetzung von Ansprüchen ein privates Inkassobüro zu beauftragen, wobei nicht nur Rechnungsdaten, sondern auch medizinische Angaben, z. B. über Art und Dauer der Behandlung, übermittelt werden sollten. Dies hätte zu einer unzulässigen Offenbarung ärztlicher Geheimnisse in einer Vielzahl von Fällen geführt. Das Inkassobüro hätte diese Daten überdies auch für von ihr durchgeführte Bonitätsbeurteilungen nutzen können. Auf Grund unserer Intervention sah das Krankenhaus von seiner Planung ab.

  4. Die bei der Durchführung des Sozialentschädigungs- und des Schwerbehindertenrechts vom Landesamt für Soziale Dienste verwendeten Vordrucke und Merkblätter waren fehlerhaft. Dies führte in vielen Fällen zu einem Übermaß an Datenerhebung sowie über Einwilligungserklärungen zu Blankettvollmachten, sich bei dritten Stellen hinter dem Rücken der Betroffenen Daten zu beschaffen. Auf Initiative des Sozialministeriums wurden diese in Kooperation mit uns gesetzeskonform gestaltet.

  5. Bei der Durchführung eines sozialmedizinischen Forschungsvorhabens einer Fachhochschule sollten unter Einbeziehung einer Krankenkasse per Fragebogen, durch Einblick in Pflegegutachten und durch Interviews hochsensible Daten von vielen Pflegeversicherten erhoben werden. Diese Daten wären für missbräuchliche Verwendungen nutzbar gewesen. In Zusammenarbeit mit dem zuständigen Ministerium wurde ein Verfahren entwickelt, bei dem die Forschungsstelle nur anonymisierte Daten erhält.

  6. In ambulanten Suchtberatungsstellen wird eine einheitliche Basisdokumentation mit dem Namen "Horizont” eingeführt. In der Grundkonzeption war keine ausreichende Aufklärung der Betroffenen und keine klare Datenabschottung vorgesehen, sodass Angaben über Straftaten und Drogenkonsum Nichtberechtigten zugänglich sein konnten. Durch die präzise Fassung der Einwilligungserklärung und eine Überarbeitung des EDV-Programms konnte die Voraussetzung geschaffen werden, dass das Risiko der illegalen Weitergabe der hochsensiblen Daten minimiert wurde.

  7. Bei mehreren Forschungsprojekten im medizinischen Bereich mussten wir feststellen, dass die Transparenz für die Betroffenen und die vorgesehenen Einwilligungserklärungen unzulänglich waren. Dadurch konnte einerseits die Kooperationsbereitschaft der Betroffenen beeinträchtigt werden, zum anderen bestand die Gefahr, dass sensible medizinische Daten in falsche Hände gelangten. Im Berichtsjahr konnten wir durch Beratung bei mehreren Projekten darauf hinwirken, dass solche Mängel von vornherein vermieden wurden.

  8. Auskünfte einer IHK über Kammermitglieder erfolgten bislang vielfach mündlich und wurden nicht dokumentiert. Bei solchen spontanen Datenübermittlungen schleichen sich leicht Fehler ein, die bei Betroffenen zu fatalen Folgen führen können und die sich mangels Dokumentation später nicht mehr oder nur unbefriedigend aufklären lassen. Auf unsere Beanstandung hin wird die Dokumentationspflicht in die entsprechende Dienstanweisung aufgenommen, ein entsprechendes Feld in der EDV eingerichtet und in Zweifelsfällen nur noch schriftlich Auskunft erteilt.

  9. Die Bitte eines Studenten auf Einsicht in seine Abiturklausuren wurde von seiner ehemaligen Schule mit dem Hinweis auf einen Erlass des Bildungsministeriums, wonach dies erst nach 10 Jahren zulässig sei, zurückgewiesen. Dies widerspricht dem gesetzlich verankerten Akteneinsichtsrecht, da es hierzu weder eine entsprechende Aufbewahrungsfrist noch einen solchen Erlass gibt. Gemeinsam mit dem Bildungsministerium konnten wir erreichen, dass in Zukunft eine Einsichtnahme in schulische Abschlussarbeiten unverzüglich und unentgeltlich gewährt wird.

  10. Bislang wurde im Rahmen gaststättenrechtlicher Verfahren die persönliche Zuverlässigkeit eines Gastwirtes durch Nachfrage bei einer Vielzahl von Behörden und anderen Stellen überprüft. Dies führte nicht nur zu unzulässigen Datenübermittlungen und Zeitverzögerungen, sondern auch zu Mehrkosten, da sich die Höhe der Gebühren für eine Konzession nach dem Aufwand der Verwaltungsbehörde richtet. Die neue Gaststättenverordnung, die unsere diesbezüglichen Prüfungsergebnisse berücksichtigt, reduziert das Konzessionsverfahren auf das tatsächlich Erforderliche und vereinfacht und verkürzt es damit wesentlich.

  11. Die Beihilfeanträge der Mitarbeiter einer kreisangehörigen Stadt wurden bislang in Eigenregie bearbeitet. Damit bestand das Risiko, dass auch Mitarbeiter der Personalverwaltung Kenntnis von den sensiblen Beihilfedaten erhielten und sie unzulässigerweise in Personalentscheidungen einfließen lassen konnten. Nach unserer Prüfung wurden die Beihilfeaufgaben auf die Versorgungsausgleichskasse übertragen.

  12. In den Stationszimmern einer Justizvollzugsanstalt sind Hinweistafeln mit Informationen über die Namen sowie weiteren personenbezogenen Daten der Gefangenen angebracht. Da die Stationszimmer nicht nur von den Bediensteten der jeweiligen Abteilung, sondern auch von Gefangenen und Besuchern aufgesucht werden, konnten auf diesem Wege bislang Informationen über Gefangene, die nicht hätten offenbart werden dürfen, an Unbefugte gelangen. Auf unseren Vorschlag hin wurden die Hinweistafeln mit Klappen oder Rollos versehen, die nur bei Bedarf geöffnet werden.

  13. Bei Demonstrationen videografiert die Polizei Teilnehmer zu Dokumentations- und Beweissicherungszwecken. Bislang wurden dabei offenbar nicht immer die gesetzlichen Vorgaben beachtet, wonach dies nur gegenüber Straftätern oder Störern geschehen darf. Diese Praxis kann Menschen von der Wahrnehmung ihres Demonstrationsgrundrechts abschrecken. Wir haben in Erörterungen mit Polizeipraktikern datenschutzgerechte Anforderungen an Bilderhebungen bei Versammlungen erarbeitet.

  14. Im Zuge der Zentralisierung der Datensammlungen beim Kraftfahrt-Bundesamt in Flensburg werden die örtlichen Fahrerlaubnisregister aufgelöst und die Straßenverkehrsbehörden online mit dem zentralen Datenbestand verbunden. Ohne wirksamen technischen Schutz bestand bei der Übermittlung und auch im Bereich der Fahrerlaubnisbehörden die Gefahr, dass die Daten unterwegs von unbefugten Personen gelesen oder verändert werden. Wir erarbeiteten gemeinsam mit dem Verkehrsministerium einen Maßnahmenkatalog für die Fahrerlaubnisbehörden, der die Datensicherheitsstandards festlegt

  15. Im Landesbesoldungsamt wurden neue Regelungen über die Bearbeitung von Beihilfeanträgen des eigenen Personals erlassen. Für die 220 Mitarbeiter bedeutete dies, dass sowohl die eigenen Krankheitsdaten als auch die ihrer Familie je nach Vertretungsfall allen Mitarbeitern des Sachgebiets und unter Umständen sogar dem Vorgesetzten zugänglich geworden wären. Wir konnten eine verbesserte Abschottung erreichen: In Zukunft werden die Beihilfeanträge der Amtsangehörigen zentral in einem Sachgebiet und dort nur von einem Mitarbeiter bearbeitet.

  16. Bei einer Handwerkskammer wurden über einen Zeitraum von 15 Jahren alle Informationen über Personen und Betriebe gesammelt, die in den Verdacht der Schwarzarbeit geraten waren. Dies führte zu einem umfangreichen Vorrat an belastenden Daten, für den sich weder ein konkreter Verwendungszweck noch eine Erforderlichkeit anführen ließen. Wir haben erreicht, dass dieser Bestand zunächst reduziert und anschließend erneut einer umfassenden Prüfung unterzogen wird.

  17. Die Verarbeitung der Daten über die Nutzer von gemeindlichen Büchereien wurde bislang uneinheitlich und nicht immer gesetzeskonform gehandhabt. So bestand die Gefahr, dass unzulässige Informationssammlungen über die Nutzer und deren Leseverhalten entstanden. Wir haben die Büchereizentrale Schleswig-Holstein beraten und ihr Handreichungen zur datenschutzgerechten Verarbeitung der Ausleihdaten gegeben.

  18. Bei vielen Ausländerbehörden war es Praxis, ausreisepflichtige Ausländer, deren Aufenthaltsort unbekannt war, im Schengener Informationssystem auszuschreiben, auch wenn die rechtlichen Voraussetzungen hierfür nicht vorlagen. Wenn nicht eine Ausweisung verfügt oder eine Abschiebung vollzogen wurde, können die betreffenden Ausländer jedoch nur in INPOL und im Ausländerzentralregister ausgeschrieben werden. Auf unsere Initiative hin wies das Innenministerium alle Ausländerbehörden per Erlass zu Änderungen der bisherigen Praxis an.

  19. Meldungen von Arbeitgebern über geringfügig Beschäftigte, die von der AOK Schleswig-Holstein eigentlich nur an andere Sozialleistungsträger weiterübermittelt werden sollten, waren dort lange Zeit - teilweise unbefristet - gespeichert worden. Diese Daten waren zweckwidrig nutzbar und wurden auch für Werbezwecke von der Krankenkasse verwendet. Unsere Intervention führte nicht nur zur Löschung des umfangreichen Datenbestands, sondern auch zu einer datenschutzgerechten bundesweit einheitlichen Regelung.

  20. In einer Augenklinik wurden immer mehrere Patienten gleichzeitig in einem Raum untersucht, sodass das Patientengeheimnis nicht mehr gewahrt war. Auf Grund unserer Beanstandung erfolgt nunmehr jeweils ein ausdrücklicher Hinweis auf die Möglichkeit einer Einzeluntersuchung; mittelfristig soll durch bauliche Änderungen in jedem Fall eine separate Untersuchung gewährleistet werden.

  21. Bei der Überprüfung ehelicher Lebensgemeinschaften durch eine Ausländerbehörde wurde oft zu weitgehend ermittelt. Diese Vorgänge waren zudem ungenügend dokumentiert und wurden den Betroffenen nicht offen gelegt. Dies führte bei diesen zu Ängsten und Verunsicherung. Die Ausländerbehörde hat sich nun unsere Verfahrensvorschläge zu Eigen gemacht, bei deren Beachtung es nicht mehr zu unverhältnismäßigen Eingriffen kommen sollte.

  22. Wenn oberste Landesbehörden auf dem Gebiet der Informationstechnik in der Vergangenheit Dienstleistungen anderer Ministerien in Anspruch genommen haben, gab es wegen des Grundsatzes der Ressortverantwortlichkeit und fehlender schriftlicher Vereinbarungen immer wieder sicherheitstechnische "Synchronisationsprobleme”. Nicht selten verließ sich ein "Haus” auf das andere, ließ sich aber selbst nicht in die Karten schauen. Die Schwachstellen haben wir mehrfach kritisiert und Verbesserungen gefordert. Das neu entwickelte "Landessystemkonzept” wird hier Abhilfe schaffen.

  23. Die "Kundencenter der AOK Schleswig-Holstein sind bisher nach dem Prinzip "Offenheit” gestaltet worden, dem Diskretionsgedanken wurde kein besonderes Augenmerk geschenkt. So konnten in den Geschäftstellen und Filialien oft die Kundengespräche und Telefonate von wartenden bzw. an Nebentischen sitzenden Versicherten mitgehört werden. Auf Grund unserer Beanstandung werden alle Kundencenter so umgestaltet, dass von den Mitarbeitern das Sozialgeheimnis im täglichen Betrieb gewahrt werden kann.

  24. Computerviren können u. a. auch dazu benutzt werden, die Sicherheitsmechanismen der Betriebssysteme lahm zu legen. Die Vertraulichkeit und Unversehrtheit der dort gespeicherten Daten ist außerdem gefährdet. Mit einigen Jahren Verzug setzen auf Grund unseres Drängens nun alle Ministerien in ihren Computersystemen leistungsfähige Virenscanner ein.

  25. Die Fernadministration von Rechnersystemen durch Mitarbeiter der Datenzentrale erfolgte bislang häufig ohne Wissen der Kunden zur Nachtzeit. Dadurch war sie praktisch jeder Kontrolle entzogen. Auf Grund unserer Kritik hat die Datenzentrale ihr Fernwartungskonzept geändert und macht ihren Kunden die Abläufe und die Kontrollmöglichkeiten transparenter als bisher. Jetzt sind Überprüfungen der Arbeiten der Datenzentrale möglich.

  26. In den Fahrtenbüchern der Ärzte und Apotheker mussten bisher aus steuerlichen Gründen die Namen der besuchten Patienten bzw. Kunden vermerkt werden. Gelangte ein Fahrtenbuch in unbefugte Hände, war das z. B. gleichbedeutend mit dem Einblick in die Patientennamenskartei des Arztes. Nachdem die Datenschutzbeauftragten dies heftig kritisiert haben, gibt sich die Steuerverwaltung nunmehr mit pseudonymisierten Fahrtenbüchern zufrieden.

  27. Die Mitarbeiter der AOK Schleswig-Holstein konnten bislang praktisch auf alle Versichertendaten zugreifen. Dadurch wurden sensible Krankheitsdaten auch solchen Mitarbeitern bekannt, die für den jeweiligen Fall nicht zuständig waren. Die Zugriffsberechtigungen wurden nach unserer Intervention erheblich eingeschränkt.



Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel