4 Datenschutz in der Verwaltung
4.1 Allgemeine Verwaltung
4.1.1 Bundesmeldegesetzentwurf – Ein Rückschritt für Schleswig-Holstein?
Die Aussichten für die Verabschiedung eines Bundesmeldegesetzes noch in dieser Legislaturperiode stehen schlecht. Hauptstreitpunkt ist die Frage der Notwendigkeit eines zentralen Bundesmelderegisters. Daneben sind eine Reihe von Detailregelungen fragwürdig, die aktuell in unserem Landesmeldegesetz praxisorientiert gelöst sind.
Im Rahmen der Föderalismusreform ist das Melderecht in die ausschließliche Gesetzgebungskompetenz des Bundes übergegangen. Mit dem vom Bundesinnenministerium Ende 2007 erarbeiteten Referentenentwurf war neben der notwendigen Vereinheitlichung des Melderechts die Einführung eines bundesweiten elektronischen Abrufs von Meldedaten für öffentliche wie auch private Stellen geplant. Umstritten ist, ob dafür ein neues zentrales Bundesmelderegister benötigt wird und wie es gegebenenfalls organisiert sein muss, insbesondere, wer die Verantwortung für die darin enthaltenen Daten trägt. Da eine Einigung über den Entwurf nicht in Sicht ist, rechnen wir nicht damit, dass der Gesetzentwurf noch in dieser Legislaturperiode verabschiedet wird.
Die Notwendigkeit bundesweiter elektronischer Abrufe von Meldedaten wird von uns nicht infrage gestellt. Allerdings sollte der Aufwand dafür so gering wie möglich gehalten werden. Fehlerquellen, wie sie sich bei der Einführung der Steueridentitätsnummerndatei gezeigt haben, sollen gar nicht erst entstehen können. Unter dem Gesichtspunkt der Datensparsamkeit muss die Frage erlaubt sein, weshalb schleswig-holsteinische Meldedaten zusätzlich in einem bundeseigenen Register gespeichert werden sollen, die bereits in einer landesweiten Spiegeldatenbank der Kommunen für jedermann zum Abruf zur Verfügung stehen. Heutzutage kommt es nicht mehr darauf an, bei welchen Stellen Daten vorgehalten werden, sondern ob die Daten ausreichend elektronisch erschlossen und vernetzt und wie sie dort geschützt sind.
Der Umstand, dass nicht alle Bundesländer über eine entsprechende Spiegeldatenbank verfügen, spricht nicht zwangsläufig für ein zentrales Bundesmelderegister. In diesen Ländern sind vielfach bereits dezentrale Lösungen im Einsatz, die in gleicher Weise wie die landesweiten Spiegeldatenbanken Meldedaten elektronisch zum Abruf bereithalten. Zur Erleichterung des bundesweiten Abrufs müssten diese Rechner nur miteinander vernetzt werden. Dies kann auch über eine zentrale Stelle geschehen.
Als Alternative zu einer dezentralen elektronischen Lösung kann der Bund Kommunen ohne elektronisches Auskunftsregister die notwendige technische Infrastruktur in Form einer Spiegeldatenbank zur Verfügung stellen, in der die Meldedaten auftragsweise vorgehalten werden. So wäre ein bundesweiter Online-Abruf von Meldedaten für alle Meldebehörden zu realisieren, ohne dass die Daten doppelt in einem neu aufzubauenden Bundesmelderegister gespeichert werden müssten.
Der Entwurf eines Bundesmeldegesetzes enthält eine Vielzahl weiterer Regelungen, die aus Sicht der Länderinnenminister wie auch der Datenschutzbeauftragten noch diskussionsbedürftig sind. Im Rahmen der Stellungnahme des Landes Schleswig-Holstein zum Entwurf hat allein das hiesige Innenministerium in Abstimmung mit uns weit mehr als 30 Änderungsvorschläge an das Bundesinnenministerium adressiert.
Was ist zu tun?
Bei Neuregelung des Melderechts sind redundante Datenspeicherungen zu vermeiden. Der Bund muss die in den Ländern vorhandene technische Infrastruktur einbeziehen. Kritik und Vorschläge aus den Ländern mit ihrer langen praktischen Erfahrung im Melderecht sollten aufgegriffen werden.
4.1.2 Online-Melderegisterauskunft wird zum Erfolgsmodell
Der Online-Abruf von Meldedaten ging 2008 endlich in den Echtbetrieb. Zumindest in den wesentlichen Punkten konnte in Mustertest- und Freigabeverfahren die Rechtmäßigkeit festgestellt werden. Es bleibt erheblicher funktionaler Verbesserungsbedarf.
Beim Online-Abruf von Meldedaten muss zwischen dem Abruf durch Behörden und dem durch private Stellen in Form einfacher Melderegisterauskünfte unterschieden werden. Für die sogenannte Behördenauskunft können sich bundesweit alle öffentlichen Stellen nach sorgfältiger Authentifizierung bei Dataport freischalten lassen. Zusätzlich soll bei Abfragen die für das Verfahren notwendige feste IP‑Adresse der Auskunft suchenden Stelle abgeprüft werden. Erfolgte Datenübermittlungen werden im Volltext protokolliert. Dies ermöglicht endlich die Beachtung der im Melderecht vorgesehenen Nachberichtspflicht. Die anfragende Stelle wird dabei per Mail automatisch unterrichtet, wenn sich Meldedaten nach der Auskunftserteilung nachträglich ändern, z. B. weil ein Bürger seinen Umzug erst verspätet angezeigt hat.
Online-Datenabrufe durch private Stellen haben sich bisher noch nicht am Markt durchgesetzt. Die Ursachen dafür liegen auf der Hand:
- Anfragen können nur manuell durch Eingabe am Bildschirm gestellt werden. Dies bedeutet bei Massenanfragen einen hohen Aufwand sowie eine hohe Fehlerquote durch das manuelle Übertragen der Daten. Für Großkunden kann bei Etablierung hinreichender Sicherheitsvorkehrungen die Möglichkeit geschaffen werden, Anfragen durch Übermittlung elektronischer Dateien zu stellen. Für den elektronischen Datenaustausch sollte eine Schnittstelle im XMeld-Format angestrebt werden.
- Wird über das Portal eine Anfrage gestellt, muss zuerst die Meldebehörde ausgewählt werden, in deren Datenbestand gesucht werden soll. Viele Meldebehörden sind für mehrere Gemeinden zuständig. Für anfragende Stellen ist es sehr schwierig, aus dem bekannten Wohnort auf die zuständige Meldebehörde zu schließen. Es fehlt bisher ein Gemeinde- bzw. Postleitzahlenverzeichnis, das eine Zuordnung zu der jeweilig zuständigen Meldebehörde ermöglicht.
- Weichen Suchdaten von den im Register gespeicherten Daten ab, muss eine Negativauskunft erteilt werden. Dies gilt selbst bei Fehlern in der Schreibweise des Straßennamens. Hier könnte für jede Kommune ein Straßenverzeichnis hinterlegt und als Auswahlmenü angeboten werden. Im Rahmen einer Plausibilitätsprüfung könnten anfragende Stellen auf Fehler aufmerksam gemacht werden.
- Jede Anfrage wird einzeln abgerechnet und per Lastschriftverfahren eingezogen. Dies ist für Großkunden nicht akzeptabel, da jede Zahlung einzeln in deren Buchführung übernommen werden muss. Eine Monatsabrechnung mit entsprechendem Leistungsnachweis wäre wohl die Lösung.
Die Städte Reinbek und Norderstedt haben bei der Einführung der dargestellten Abrufverfahren eine Vorreiterrolle übernommen und jeweils ein Mustertest- und Freigabeverfahren durchgeführt. Gemeinsam mit dem Innenministerium haben wir diese Verfahren begleitet. Die entstandenen Unterlagen können von anderen Kommunen angefordert werden. Sie sind geeignet, auch für Test- und Freigabeverfahren anderer Module eine systematische Hilfestellung zu geben.
Die Bereitstellung ihrer Meldedaten für den Online-Abruf ist für jede Meldebehörde freiwillig. Bis zum Redaktionsschluss haben sich etwa 85 % der Meldebehörden im Land beteiligt. Eine Teilnahme zumindest am Behördenauskunftsverfahren kann vom ULD dringend empfohlen werden, nicht nur wegen der möglichen Einspareffekte, sondern weil im automatisierten Verfahren eine bessere Qualität der Datenverarbeitung erreicht werden kann: Übertragungsfehler können reduziert werden; die notwendige Vollprotokollierung erteilter Auskünfte dürfte nur so zu gewährleisten sein; schließlich ist wohl nur das automatisierte Verfahren in der Lage, die gesetzlich vorgeschriebene Nachberichtspflicht gegenüber den anfragenden Stellen zu erfüllen.
Was ist zu tun?
Dataport sollte als Auftragnehmer der Kommunen die technischen Nachbesserungen am Verfahren umgehend realisieren. Mit der Freischaltung zumindest für die Behördenauskunft lassen sich Mehrwerte bei Wirtschaftlichkeit und Datenschutz erzielen.
4.1.3 Schranken bei Melderegisterauskünften an gewerbliche Adressvermittler
Privater Adressdatenhandel hat sich zu einem lukrativen Markt entwickelt. Einer schrankenlosen Einbeziehung von Meldedaten steht allerdings das Melderecht entgegen. Auf unsere Anregung hat das Innenministerium den Meldebehörden empfohlen, keine Melderegisterauskünfte mehr an Adressvermittler zu erteilen, wenn diese die Meldedaten nicht nur an ihre Auftraggeber weitergeben, sondern zusätzlich für eigene Zwecke speichern.
Ein Bürger eröffnet bei einer Bank ein Konto. Diese möchte die angegebene Anschrift verifizieren. Sie beauftragt deshalb einen gewerblichen Adressvermittler mit der Einholung einer einfachen Melderegisterauskunft. Der Adressvermittler leitet die Auskunft der Meldebehörde nicht nur an die Bank weiter, sondern speichert die Angaben zusätzlich in einer eigenen Datenbank, verbunden mit dem Qualitätsmerkmal „melderegistergeprüft“.
Bei späteren Anfragen zur gleichen Person beantwortet der Adressvermittler die Anfragen aus seinem eigenen Register wie eine Meldebehörde (sogenanntes Adress-Pooling), allerdings ohne dabei an die qualitativen Anforderungen des Melderechts gebunden zu sein. Selbst Listenauskünfte oder ein Weiterverkauf von Daten zu Werbezwecken wären nicht ausgeschlossen. Bei dem Bankkunden füllt sich z. B. plötzlich der Briefkasten mit Werbemüll, ohne dass er die Ursache dafür erkennen kann. Die Dimension wird deutlich, wenn man sich die Anzahl der Melderegisterauskünfte an gewerbliche Adressvermittler und deren Bestände an Datensätzen, zum Teil im zweistelligen Millionenbereich, ansieht. In der öffentlichen Berichterstattung wird schon von Schattenmelderegistern gesprochen.
Wir haben uns des Problems gemeinsam mit dem Innenministerium angenommen. Die Prüfung ob eine über das konkret bestehende Auftragsverhältnis hinausgehende Nutzung von Meldedaten durch Adressvermittler zur Unzulässigkeit der Melderegisterauskunft führt, ergab Folgendes: Das Melderecht enthält zwar keine besondere Zweckbindung für die Daten beim Empfänger nach der Erteilung von Melderegisterauskünften. Gleichwohl handelt es sich beim Melderegister um kein öffentliches Register, welches für jedermann beliebig verfügbar ist. So sind z. B. Listenauskünfte über eine Vielzahl von Personen unzulässig, soweit sie nicht zweifelsfrei im öffentlichen Interesse stehen. Auf diese Weise soll eine massenhafte Verwendung von Meldedaten, etwa zu Werbezwecken, verhindert werden.
Das Melderecht hat einfache Meldeauskünfte bewusst als Ermessensentscheidung ausgestaltet. Eine Prüfung schutzwürdiger Interessen Betroffener ist für jede einzelne Auskunft ausdrücklich vorgeschrieben. Dabei ist zu prüfen, ob im Rahmen der Auskunftserteilung das staatliche Monopol über die Meldedaten zum Schutz der Persönlichkeitsrechte der Betroffenen aufrechterhalten bleibt und ob die gesetzlichen Zugangsvoraussetzungen zu den Daten beim Empfänger nicht unterlaufen werden.
Eine Zugangsvoraussetzung ist, dass der Antragsteller die gesuchte Person durch Angabe von Vor- und Familiennamen, Geburtsdatum sowie der zuständigen Meldebehörde oder durch eine alte Anschrift eindeutig identifizieren kann und eine Gebühr entrichtet. Allein die Notwendigkeit zur eindeutigen Identifikation setzt im Grunde voraus, dass ein Kontakt zwischen Auskunftsuchendem und Betroffenem besteht, was als Indiz für ein berechtigtes Interesse des Auskunftsuchenden an der Auskunft gewertet werden kann. Adressvermittler könnten ohne die Identifikationsdaten der Auftraggeber gar keine Meldedaten einholen. Die zu entrichtende Gebühr ist ein weiteres Zugangshemmnis.
Für die Schutzbedürftigkeit der Meldedaten spricht auch die mit der Einführung der Online-Melderegisterauskunft etablierte Pflicht zur Verschlüsselung sowie das ausdrücklich gesetzlich geregelte Widerspruchsrecht für Betroffene gegen die Auskunftserteilung über das Internet. Wäre das Melderegister vom Gesetzgeber als öffentliches Register – vergleichbar dem Telefonbuch – gewollt, wären solche Schutzmaßnahmen schlicht überflüssig. Eine weitere Qualitätsverschiebung erfolgt bei Listenauskünften z. B. für Werbezwecke. Diese sind im Melderecht eindeutig nicht gewollt, können aber bei einer Datenspeicherung durch Adressvermittler nicht verhindert werden. Ein Widerspruch Betroffener gegen die Datenübermittlung über das Internet würde bei Adressvermittlern keine Wirkung entfalten.
Für Adressvermittler steht naturgemäß die Erteilung möglichst vieler Auskünfte im Vordergrund. Unzulängliche Identitätsprüfungen begründen die Gefahr von Falschauskünften, die z. B. bei der zwangsweisen Einziehung von Forderungen bei namensgleichen unbescholtenen Dritten zu erheblichen Nachteilen und Belastungen für diese führen können. Ähnliches gilt bezüglich der fehlenden Aktualität der bei den Adressvermittlern gespeicherten Daten.
Eine Melderegisterauskunft darf nur erteilt werden, soweit die schutzwürdigen Betroffeneninteressen nicht beeinträchtigt werden. Eine solche Beeinträchtigung ist bei der Auskunftserteilung an Adressvermittler, die Meldedaten zusätzlich für eigene Zwecke speichern, gegeben. Entsprechende Auskunftsanträge sind folglich abzulehnen, wenn der Adressvermittler nicht die Gewähr dafür bietet, dass kein Adress-Pooling stattfindet.
Was ist zu tun?
Bei der Tätigkeit der Adressvermittler ist zu beobachten, ob sie ihre Zusagen zur Verwendung der Meldedaten einhalten. Sollten die getroffenen Regelungen zum Schutz der Betroffenen nicht genügen, müsste über klärende gesetzliche Regelungen nachgedacht werden.
4.1.4 Übermittlung von gesperrten Meldedaten zu Wahlwerbezwecken
Die automatisierte Verarbeitung von Meldedaten wurde in den letzten Jahren immer komplexer. Test und Freigabe neuer Module und Softwareversionen sowie eine ausreichende Schulung der Mitarbeiter wurden dabei häufig vernachlässigt. So wurden bei einer kreisfreien Stadt Meldedaten von Personen zu Wahlwerbezwecken an eine politische Partei übermittelt, die einer solchen Datenübermittlung ausdrücklich widersprochen hatten bzw. für die eine Auskunftssperre eingetragen war.
Bürgerinnen und Bürger hatten Wahlwerbebriefe einer politischen Partei erhalten, obwohl sie zuvor gerade gegenüber der Meldebehörde der Datenübermittlung für Wahlwerbezwecke widersprochen hatten. Es erwies sich, dass von der Stadt eine sogenannte „Erstwählerliste“ erstellt worden war, wobei der Mitarbeiter sich – leider – darauf verließ, dass das Auswerteprogramm im Rahmen der Plausibilitätsprüfung sämtliche Widersprüche und Auskunftssperren herausfiltern würde. Der genaue Umfang der fehlerhaften Datenübermittlungen konnte im Nachhinein nicht mehr festgestellt werden, da auch die vorgeschriebene Protokollierung der Datenübermittlungen weder im automatisierten Verfahren, noch durch Kopie der übermittelten Listen erfolgt war. Es ist davon auszugehen, dass es sich nicht nur um Einzelfälle handelte.
Die Ursachen für die rechtswidrigen Datenübermittlungen waren schnell gefunden. Das eingesetzte Auswerteprogramm hätte so gestaltet sein müssen, dass Widerspruchs- und Auskunftssperrefälle nur in eine Auswertung einfließen, wenn dies durch einen entsprechenden Eingabebefehl ausdrücklich ausgewählt wird. Tatsächlich mussten die fraglichen Daten im vorliegenden Fall durch besonderen Befehl herausgenommen werden, was versäumt wurde. Die notwendige Änderung wurde mittlerweile bei Dataport in Auftrag gegeben; bei einem rechtzeitigen Test und Freigabeverfahren für das Auswerteprogramm hätte der Fehler leicht erkannt und beseitigt werden können. Dies gilt auch für die unzureichende Protokollierung von Auswertungen, die zumindest helfen kann, entstandene Schäden zu erkennen und so weit wie möglich zu begrenzen.
Monieren mussten wir zudem die nicht ausreichende Schulung der Mitarbeiter. Bei sachgerechter Anwendung hätte das Auswerteprogramm durchaus richtige Ergebnisse liefern können. Die fehlende automatisierte Protokollierung hätte durch Fotokopien oder einen Zweitausdruck der Liste ersetzt werden können. Spekulative Hoffnungen, die EDV werde die Auswertung schon korrekt vornehmen, erweisen sich immer wieder als unbegründet. Sind Mängel bei Test, Freigabe und Schulung in der Anwendung der Melderechtssoftware bekannt, so muss zumindest das erzeugte Ergebnis sorgfältig geprüft werden, bevor die Meldedaten an Dritte herausgegeben werden. Uns blieb die undankbare Aufgabe, die unzulässigen Datenübermittlungen zu beanstanden, verbunden mit der Erwartung, dass die Stadt nicht nur für den konkreten Fall, sondern generell für das automatisierte Meldeverfahren ihre Lehren zieht.
Was ist zu tun?
Im Berichtszeitraum wurde die automatisierte Datenverarbeitung der Meldebehörden massiv ausgeweitet. Die Behörden müssen dieser Ausweitung durch verstärkten Personaleinsatz für Test und Freigabe der Software sowie Schulungen Rechnung tragen. Die Meldeämter stehen auch in der Verantwortung für die Effekte ihrer automatisierten Datenverarbeitung.
4.1.5 Spendenaufruf der Feuerwehr – aber bitte nicht mit Meldedaten
Die Verwendung von Meldedaten zu Werbezwecken ist nach dem Melderecht unzulässig. Dies gilt auch für öffentliche Stellen, selbst wenn die Werbung einer „guten Sache“ dient. Die Weitergabe von Meldedaten an die örtliche Feuerwehr zur Versendung eines Spendenaufrufs für ein Kameradschaftsfest war rechtswidrig.
Eine Stadt war der Auffassung, sie könne zur Durchführung eines Spendenaufrufs eine sogenannte Gruppenauskunft aus dem Melderegister an die Feuerwehr erteilen. Das dafür erforderliche öffentliche Interesse sah sie darin, dass mit den Spendengeldern die geleistete Arbeit der Feuerwehr im abgelaufenen Einsatzjahr gegenüber den Bürgern dargestellt werde. Nach dem Brandschutzgesetz sind freiwillige Feuerwehren öffentliche Feuerwehren und damit gemeindliche Einrichtungen ohne eigene Rechtspersönlichkeit. Die Datenverarbeitung war folglich unmittelbar der Stadt als Behörde zuzurechnen.
Eine Gruppenauskunft, wie von der Stadt geltend gemacht, kam nicht in Betracht, da diese nur an private Stellen gesetzlich vorgesehen ist. Zudem wäre das dafür notwendige öffentliche Interesse nicht vorhanden gewesen. Ein Kameradschaftsabend der Feuerwehr liegt im Interesse der Teilnehmer, nicht aber in dem der Allgemeinheit. Dass die geleistete Arbeit der Feuerwehr im abgelaufenen Einsatzjahr dargestellt werden sollte, war jedenfalls dem Spendenaufruf nicht zu entnehmen.
Die stadtinterne Weitergabe von Meldedaten ist nur zulässig, wenn die Daten zur Aufgabenerfüllung des Empfängers erforderlich sind. Die Aufgaben und Befugnisse der Feuerwehr sind im Brandschutzgesetz geregelt. Dort ist nichts über die Durchführung von Kameradschaftsabenden zu lesen. Nach unserer Beanstandung hat die Stadt – nach erneuter Überprüfung – zugesagt, künftig keine Meldedaten mehr für solche Zwecke zu verwenden. Außerdem hat sie für eine unverzügliche Löschung der weitergegebenen Daten Sorge getragen.
Was ist zu tun?
Meldebehörden sollten bei Listenauskünften auch im öffentlichen Bereich sorgfältig den Zweck der Datenverarbeitung beim Empfänger hinterfragen. Die anfragende Stelle muss darlegen, inwieweit sie die Daten für ihre rechtmäßige Aufgabenerfüllung benötigt.
4.1.6 Der neue „elektronische“ Personalausweis
Ab November 2010 soll der Personalausweis nicht nur mit elektronisch gespeichertem Lichtbild und – auf freiwilliger Grundlage – mit elektronisch gespeicherten Fingerabdrücken auf dem Funkchip ausgestattet werden; er soll auf Wunsch auch als elektronischer Identitätsnachweis in der Online-Welt dienen.
Sowohl der elektronische Identitätsnachweis als auch die optionale elektronische Signatur könnten endlich bestehende Probleme bei Rechtsgeschäften über das Internet lösen. Beide technische Verfahren dienen dazu, mithilfe kryptografischer Methoden Nachweise über Identitätsattribute des Personalausweisinhabers bei der Kommunikation über heutige Netze zu erbringen. Allerdings müssen beide Verfahren so gestaltet werden, dass sie für Bürger transparent und leicht zu handhaben sind und diese auf die ordnungsgemäße und sichere Verwaltung der dafür notwendigen Daten vertrauen können.
Der elektronische Personalausweis soll so funktionieren, dass unter Kontrolle des Nutzers nur bestimmte Daten offenbart werden, z. B. das Alter. Besonders interessant ist, dass verschiedene Anbieter, die sich einen solchen Nachweis zeigen lassen, diese Daten nicht zusammenführen können, da im Sinne eines nutzergesteuerten Identitätsmanagements (Tz. 8.3) jeweils verschiedene Identifikatoren verwendet werden. Wir werden uns mit der genauen Ausgestaltung der Systeme weiter beschäftigen, damit nicht ähnliche Probleme entstehen wie bei der Einführung des ePasses (30. TB, Tz. 4.1.3). Man muss sich bewusst machen, dass der elektronische Personalausweis Bestandteil eines umfassenderen IT-Systems ist, bei dem – wie bei allen IT-Systemen – regelmäßig das Niveau der Sicherheit neu zu bewerten ist. Hier stellt sich die Frage, wie man mit festgestellten Sicherheitsrisiken umgehen soll, die während der 10-jährigen Gültigkeit der Ausweise bekannt werden.
Mit dem neuen Personalausweisrecht soll die Möglichkeit geschaffen werden, die Signatur als zusätzliches Datum auf dem Ausweis zu speichern. Bisher nicht beabsichtigt ist jedoch, den Bürgerinnen und Bürgern über die übliche Beratung durch die Personalausweisbehörden hinaus Unterstützung zukommen zu lassen. Sie müssen sich also selbst bei einem elektronischen Signaturanbieter um die Vergabe einer Signatur bemühen. Dieses Vorgehen war bei den schon vorhandenen Vergabemodellen bisher wenig erfolgreich, wie sich aus der Anzahl der vergebenen Signaturen unschwer ablesen lässt.
Personalausweise sind eine staatliche Infrastrukturleistung zur eindeutigen Identifizierung der Bürger, künftig auch im Bereich der automatisierten Datenverarbeitung. Es wäre deshalb durchaus eine Alternative, die Ausgabe der Signatur den Personalausweisbehörden selbst als eigene Aufgabe zu übertragen, so wie dies auch beim elektronischen Identitätsnachweis vorgesehen ist. Das Vertrauen der Bürger in die ordnungsgemäße Handhabung der Signatur würde mit der Ausgabe durch die hoheitliche Verwaltung jedenfalls deutlich gestärkt. Zudem würde der zusätzliche Verwaltungsaufwand für die separate Beantragung entfallen.
Welche Alternativen gibt es? Die Bürger sollten bei der Beantragung der Signatur nicht allein gelassen werden, z. B. durch die Möglichkeit, gemeinsam mit der Ausstellung des Personalausweises auch die Signatur zu beantragen. Die Personalausweisbehörden könnten auftragsweise und gegen Gebühr als Vermittler tätig werden. Sollte beispielsweise die Bundesdruckerei auch weiterhin für die Vergabe von Signaturen zur Verfügung stehen, wäre sogar eine Kooperation möglich, bei der im Rahmen der Herstellung der Personalausweise bereits die Signatur zusätzlich mit abgespeichert wird. Die Möglichkeit einer separaten Beantragung der Signatur würde damit nicht zwingend beeinträchtigt.
Unabhängig von der letztlich gewählten Verfahrensvariante kommt auf die Personalausweisbehörden eine erhebliche Beratungsaufgabe zu. Die meisten Bürger werden nicht nur Fragen zum konkreten Verfahren haben, sondern sich zusätzlich über Möglichkeiten, Vorteile und Risiken der Signatur informieren wollen. Dies gilt auch für den vorgesehenen elektronischen Identitätsnachweis und für etwaige Sicherheitsrisiken bei Verwendung des Ausweises. Insoweit entsteht zunächst ein erheblicher Schulungsbedarf für die Mitarbeiterinnen und Mitarbeiter in den Personalausweisbehörden. Es ist nicht zu übersehen, dass mit den neuen Aufgaben auch das Anforderungsprofil der Beschäftigten einem erheblichen Wandel unterliegt.
Darüber hinaus müssen geeignete technische und organisatorische Sicherheitsmaßnahmen bei der Verarbeitung von Anträgen auf Erteilung des elektronischen Personalausweises beachtet werden. Für den ePass hat das Bundesministerium des Innern (BMI) erst im Jahr 2008 hierzu Handreichungen für Meldebehörden herausgegeben. Beim elektronischen Personalausweis sollte die Datensicherheit bereits 2009 im Pilotbetrieb in den Meldebehörden berücksichtigt werden.
Was ist zu tun?
Bei der Ausgestaltung des Verfahrens für die Beantragung eines neuen Personalausweises sollte die Vergabe der elektronischen Signatur mit einbezogen werden, um den Aufwand für den Bürger und damit eine wichtige Hemmschwelle so niedrig wie möglich zu halten. Die Kommunen müssen im Hinblick auf ihre Beratungspflicht rechtzeitig den Schulungsaufwand für die Mitarbeiter einplanen.
4.1.7 Praxis kommunaler Bürgerbüros
Bürgerbüros haben mittlerweile eine große Verbreitung in Städten und Gemeinden Schleswig-Holsteins gefunden. Der Datenschutz wird nicht immer optimal beachtet. Mindeststandards müssen jedoch in jedem Fall eingehalten werden.
Die Rechtslage ist eindeutig. Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass Besuchern eines Bürgerbüros personenbezogene Daten Dritter nicht zur Kenntnis gelangen können. Die Maßnahmen sind zu treffen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. In der Praxis haben sich drei Problembereiche herauskristallisiert:
- der Wartebereich,
- der Bearbeitungsbereich und
- bei größeren Bürgerbüros der Anmeldebereich.
Im Wartebereich sind Besucher, wenn sie sich nicht unterhalten, oft gelangweilt. Sie achten sogar besonders darauf, ob und gegebenenfalls wann ein Beratungsgespräch beim Sachbearbeiter beendet wird, um den Anschluss nicht zu verpassen. Deshalb muss der Wartebereich deutlich von dem eigentlichen Beratungsbereich abgetrennt werden. Eine auf den Wartebereich ausgerichtete musikalische Untermalung, z. B. das Abspielen eines Radiosenders, kann helfen, die Gefahr der Kenntnisnahme von Beratungsgesprächen zu reduzieren.
Im Bearbeitungsbereich kann meist eine zufällige Kenntnisnahme einzelner Worte Dritter nicht ausgeschlossen werden. Dies mag bei Daten mit geringerer Sensibilität hingenommen werden, soweit den Dritten keine Kenntnisnahme zusammenhängender Sachverhalte ermöglicht wird. Zwischen den Bearbeiterplätzen sollte deshalb ein möglichst großer Abstand gewählt werden. Als zusätzliche Abschottung können mobile Trennwände oder Blumenkübel aufgestellt werden. Die Besucher sollten während der Beratung keinen Blickkontakt untereinander haben. Für die Bearbeitung besonders sensibler Fälle muss ein gesonderter Raum zur Verfügung stehen.
Im Anmeldebereich werden die Bürger häufig bereits nach Namen und Anliegen befragt. Dies kann für die Verteilung auf bestimmte Bearbeitungsplätze geboten sein. Allerdings sollte eine solche Datenerhebung nur auf freiwilliger Grundlage vorgenommen werden. Am Empfangstresen sind Markierungen für Abstandsflächen anzubringen; die Löschung der Daten sollte spätestens nach Verlassen des Bürgerbüros erfolgen.
Bei jedem Bürgerbüro sollte nach Neueinrichtung oder nach wesentlichen Änderungen ein Test- und Freigabeverfahren durchgeführt werden, bei dem mit gesundem Menschenverstand vor Ort geprüft wird, ob bzw. in welchem Umfang ein Mithören oder eine sonstige Kenntnisnahme von Daten Dritter möglich ist. Diese Prüfung ist aktenkundig zu machen. Anschließend ist die Beseitigung festgestellter Mängel zu überwachen.
Was ist zu tun?
Bei der Einrichtung von Bürgerbüros muss für Kommunen eine datenschutzrechtliche Überprüfung gemäß den vorgenannten Hinweisen zum Standard gehören. Hat bei bereits eingerichteten Bürgerbüros noch keine Prüfung stattgefunden, sollte diese unverzüglich nachgeholt werden.
4.1.8 Neues Landesbeamtengesetz in Vorbereitung
Der Entwurf zur Neufassung des Landesbeamtengesetzes enthält eine umfassende Novellierung des für Schleswig-Holstein geltenden Beamtenrechts. Unser besonderes Augenmerk gilt den Vorschriften zum Personalaktenrecht. Bis auf die Zweckbestimmung bei Aufsichts- oder Revisionsaufgaben konnte im Rahmen der Ressortabstimmung in allen wesentlichen Punkten Einvernehmen mit dem ULD erzielt werden.
Nach der Föderalismusreform war die grundlegende Novellierung des Landesbeamtenrechts nötig. Dem dient der Entwurf eines Beamtenrechtsneuregelungsgesetzes. Aus datenschutzrechtlicher Sicht ist das Verfahren bei amtsärztlichen Untersuchungen sowie das sogenannte Personalaktenrecht besonders von Interesse. In guter und konstruktiver Zusammenarbeit mit dem Innenministerium konnte eine Reihe von Verbesserungen im Verhältnis zur bisherigen Rechtslage erreicht werden. Die Änderungen bringen eine deutliche Entbürokratisierung und Vereinfachung bei der Personaldatenverarbeitung.
Eine wichtige Neuregelung erlaubt künftig, Personalakten ganz oder in Teilen ausschließlich elektronisch zu führen. Dabei darf es in der Praxis im Vergleich zur Papierakte nicht zu einer Reduzierung bei der Datensicherheit sowie bei den Rechten der Betroffenen kommen. Ausschließlich elektronisch geführte Akten bieten sich in den Bereichen an, die schon bisher von automatisierter Datenverarbeitung geprägt sind, etwa bei der Arbeitszeiterfassung oder der Urlaubsgewährung. Der Gesetzentwurf enthält leider keine Detailregelungen und insofern keine Verordnungsermächtigung. Es ist daher naheliegend, Einzelheiten zur Revisionsfähigkeit und Vertraulichkeit der Daten sowie zu den Rechten Betroffener in Vereinbarungen zwischen Dienststelle und Personalrat aufzunehmen, um so eine Allgemeinverbindlichkeit der Regelungen für die jeweilige Dienststelle zu erreichen.
In der Diskussion mit dem Innenministerium blieb nur ein wesentlicher Punkt offen: Unterlagen, die zum Zweck der Aufsicht oder Rechnungsprüfung angelegt werden, dienen nach dem Entwurf von der Person und dem Dienstverhältnis sachlich zu trennenden Zwecken und werden deshalb nicht mehr als Bestandteil der Personalakte angesehen. Dies widerspricht dem Beamtenstatusgesetz, wonach zur Personalakte alle Unterlagen gehören, die die Beamtin oder den Beamten betreffen, soweit sie mit dem Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen (Personalaktendaten). Aus unserer Sicht wirken sich Fehler, die bei der Rechnungsprüfung festgestellt werden, direkt auf das Dienstverhältnis aus, ebenso wie Entscheidungen von aufsichtsberechtigten Stellen, die für den jeweiligen Personalfall in der Regel verbindlich sind. Das Landesdatenschutzgesetz stellt insoweit bisher klar: „Die Verarbeitung der Daten zur Ausübung von Aufsichts- und Kontrollbefugnissen sowie zur Rechnungsprüfung gilt nicht als Verarbeitung für andere Zwecke.“ Diese Regelung hat sich für die unterschiedlichsten Verwaltungsbereiche bewährt. Ein Grund für eine abweichende Sonderregelung ist nicht erkennbar. In der Praxis haben sich aus der Anwendung des Personalaktenrechts für diese Bereiche keine Probleme ergeben. Die Akten mussten lediglich formal als Personalteil- bzw. -nebenakten gekennzeichnet sowie in das entsprechende Verzeichnis in der Grundakte aufgenommen werden.
Was ist zu tun?
Der Gesetzgeber sollte Unterlagen, die bei der Aufsichts- oder Revisionstätigkeit anfallen, nicht aus dem Schutzbereich des Personalaktenrechts herausnehmen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |