4         Datenschutz in der Verwaltung

4.1         Allgemeine Verwaltung

4.1.1      Der neue Personalausweis  – ein Erfolgsmodell?

Der nPA ist da. Ob dessen elektronischer Identitätsnachweis im Alltag ange­nommen wird, muss sich noch zeigen. Die Perspektiven sind vielverspre­chend, der Aufwand, insbesondere für potenzielle Empfänger des Nachwei­ses, ist allerdings beträchtlich. Das Verfahren der PIN-Vergabe durch die Meldebehörden ist noch nicht ausreichend abgesichert.

Den neuen Personalausweis (nPA) kann man als Quantensprung bezeich­nen. Neben anderen Neuerungen wird erstmalig die Möglichkeit geschaffen, sich gegenüber privaten wie öffent­lichen Stellen über das Internet online auszuweisen. Auf dem Ausweischip kann die qualifizierte digitale Signa­tur des Ausweisinhabers gespeichert werden. Selbst der Erwerb dieser Signatur ist durch die eID jetzt online möglich. Echte technische Sicherheitslücken haben sich beim elektronischen Identitätsnachweis (eID) – bis heute – nicht aufgetan. Allerdings setzt dessen sichere Nutzung eine gewisse Kenntnis der zugrunde liegenden Architektur sowie der notwendigen technischen Rahmenbedingungen voraus. So empfiehlt sich die Verwendung eines Chipkartenlesers mit eigener Zifferntastatur. Wer sich nicht genügend mit der Datensicherheit auskennt und die eID nicht dringend benötigt, sollte die eID besser deaktivieren lassen.

Ein Sicherheitsrisiko bei der eID sehen wir in der Möglichkeit, die Daten im Ausweischip über die Meldebehörde zu verändern, ohne dass ein Nachweis über die Änderung erfolgt. In der Papierversion muss jede Änderung von der Melde­behörde gesiegelt werden. Sie haftet so für die Richtigkeit der Änderung. Eine vergleichbare Dokumentation ist bisher in der elektronischen Form nicht vorgese­hen, obwohl hier zusätzliche hochsensible Daten, insbesondere die PIN für die Freischaltung der eID, verändert werden können.

Im Alltag kommt es immer wieder vor, dass gültige Personalausweise bei örtlich unzuständigen Personalausweisbehörden abgegeben werden, sei es, dass sie verlo­ren gegangen bzw. gestohlen und wiedergefunden wurden oder es sich um Aus­weise Verstorbener handelt. Aktiviert nun ein Mitarbeiter der Behörde die eID und vergibt eine neue PIN, so kann dies zu einem massiven Missbrauch der Funktion führen. Eine Sperrung des Ausweises würde nicht stattfinden, wenn die eID ursprünglich nicht eingeschaltet war. Wird dann noch die Anschrift im Chip geändert, könnte bei einer unbefugten Nutzung der eID der potenzielle Vertrags­partner unter Umständen nicht einmal auf den – falschen – Betroffenen schließen. Dieser würde die unbefugte Nutzung seiner eID nicht einmal bemerken. Fällt dieser Missbrauch beim Vertragspartner auf, z. B. weil der Schuldner seine Forde­rung nicht begleicht, so würde auch eine Melderegisterauskunft nicht weiterhel­fen, da durch die falsche Anschrift im Chip eine Ermittlung des Ausweisinhabers nicht möglich wäre. Nicht einmal die Sperrung des Ausweises wäre realisierbar, da das Sperrkennwort nicht ermittelt werden kann.

Weder die personalausweisrechtlichen Vorschriften noch die eingesetzte Technik sehen für den dargestellten Fall ausreichende Sicherheitsmaßnahmen bzw. eine ausreichende Revisionsfähigkeit der Datenverarbeitung vor. Bei mehr als 5.000 Personalausweisbehörden in Deutschland mit über 50.000 Mitarbeiterinnen und Mitarbeitern sehen wir hier dringenden Nachbesserungsbedarf. Um zumindest eine unbefugte Neusetzung der PIN in der Personalausweisbehörde zu verhindern, ist z. B. daran zu denken, zusätzlich zur Freischaltung die nur dem Betroffenen bekannte PUK mit einzugeben. Ist dies nicht möglich, muss im Zweifel die Sicherheit Vorrang haben und ein neuer Ausweis beantragt werden.

Bei den Meldebehörden in Schleswig-Holstein hat der nPA zu massiven Ände­rungen sowohl in qualitativer wie in quantitativer Hinsicht geführt. Die Zeiten, in denen lediglich Vordrucke ausgefüllt und in die EDV eingegeben wurden, sind endgültig vorbei. Der Bürger muss jetzt in technischer Hinsicht umfangreich beraten werden. Die Bearbeitung selbst basiert auf komplexer Technik und setzt ein entsprechendes Know-how der Mitarbeiter voraus. Die Bearbeitungszeiten haben sich – soweit bis heute erkennbar – massiv erhöht. Aus datenschutzrecht­licher Sicht ist es unsere vordringliche Aufgabe, durch Beratung und Hilfestellung zu einer Minimierung der Fehler beizutragen.

Was ist zu tun?
Die aufgezeigten Sicherheitsrisiken bei der PIN-Vergabe sollten von den dafür verantwortlichen Stellen durch geeignete konzeptionelle Änderungen beseitigt werden, bevor es zu tatsächlichen Missbräuchen der eID kommt.

4.1.2      Umgang mit ausgesonderten Datenträgern

Die Verwaltung muss immer wieder Hardware erneuern und dem Stand der Technik nicht mehr entsprechende Rechner aussondern. Was tun mit dem alten Kram?

Da hilft keine Flex, kein Hammer oder rohe Gewalt. Im Umgang mit alter Hard­ware sind besondere Grundsätze zu berücksichtigen. Diese darf nicht mit gespei­cherten personenbezogenen Daten frei zugänglich sein oder z. B. auf einem Flohmarkt oder Verkauf alter Gegenstände an Technikliebhaber weitergegeben werden. Genau dies war in Glücksburg aber passiert, sodass plötzlich der Daten­bestand der Kommune von mehreren Jahren für einen unberechtigten Dritten unverschlüsselt zur Verfügung stand.

Die Daten verarbeitende Stelle ist über den Zeitpunkt des Gebrauchs der Hard­ware hinaus für die von ihr erhobenen, verarbeiteten, genutzten und gespeicherten personenbezogenen Daten verantwortlich. Dies bedeutet, dass die personenbezo­genen Daten dem Schutz des Landesdatenschutzgesetzes (LDSG) unterliegen und die Grundsätze der Datenschutzverordnung (DSVO) eingehalten werden müssen.

Was ist zu tun?
Die Verwaltung hat ihre alte Hardware auszusondern und muss die personen­bezogenen Daten „wipen“, also nicht wiederherstellbar löschen. Eine Speiche­rung der personenbezogenen Daten über den Zeitpunkt der Erforderlichkeit der Datenverfügbarkeit hinaus ist nicht zulässig.

4.1.3      Datenschutzrechtliche Unterstützung bei der Ermittlung des Kindesvaters

Die Ermittlung des Vaters eines nicht ehelichen Kindes gestaltet sich für Jugendämter mitunter schwierig. Datenschutz darf solchen Ermittlungen grundsätzlich nicht im Wege stehen. In einem Fall führte ein Abgleich von Lichtbildern aus der Personalausweisdatei zwar nicht zum gewünschten Erfolg, aber immerhin zur Aufklärung des Sachverhaltes.

Über zwei Jahre lang ermittelte ein Jugendamt im Rahmen einer Beistandschaft nach dem Vater eines nicht ehelichen Kindes. Die Mutter hatte den Mann über das Internet kennengelernt. Nach einer kurzen Affäre riss der Kontakt ab. Die Mutter kannte nur den Vor- und Familiennamen, den Wohnort und das ungefähre Alter ihres Geliebten.

Eine entsprechende Melderegisteranfrage bei der zuständigen Stadt wurde abge­lehnt, da der gesuchte Einwohner nach dem Melderecht nicht eindeutig identifiziert werden konnte. In Betracht kamen vier Personen, die mit gleichem Vor- und Familiennamen gemeldet waren. Eine weiter gehende „Listenanfrage“ hinsicht­lich dieser Personen wurde ohne eine weitere Prüfung mit der gleichen Begrün­dung abgelehnt. Nachforschungen über die Polizei und andere Stellen blieben erfolglos. Schließlich wandte sich das Jugendamt an uns mit der Bitte um Bera­tung ob aus unserer Sicht noch Möglichkeiten für Erfolg versprechende Nachforschungen bestehen.

Unsere Prüfung ergab, dass die melderechtliche Listenauskunft zu den vier in Betracht kommenden Personen fälschlicherweise verweigert wurde. Vorausset­zung für eine solche Datenübermittlung ist, dass sie zur rechtmäßigen Aufgaben­erfüllung der Behörde erforderlich ist. Da nur eine Person der Vater gewesen sein konnte, wären in drei Fällen Daten Nichtbetroffener übermittelt worden. Aller­dings wäre der Eingriff in die Rechte dieser Nichtbetroffenen unter Verhältnis­mäßigkeitsgesichtspunkten deutlich geringer zu bewerten gewesen als die Gefahr, den Vater eines nicht ehelichen Kindes nicht ermitteln zu können.

Das Personalausweisgesetz eröffnete aber eine bessere datenschutzkonforme Lösung. Danach darf u. a. das gespeicherte Lichtbild aus der Personalausweis­datei übermittelt werden, wenn die ersuchende Behörde aufgrund von Rechtsvor­schriften diese Daten erhalten darf, sie ohne Kenntnis der Daten nicht in der Lage wäre, eine ihr obliegende Aufgabe zu erfüllen und die Datenerhebung beim Betroffenen unverhältnismäßig wäre. Die bestehende Beistandschaft begründete für das Jugendamt eine ausreichende Ermächtigung zur Datenerhebung. Bei einer Übermittlung der Meldedaten hätte eine persönliche Gegenüberstellung des Betroffenen mit der Mutter organisiert werden müssen. Wesentlich einfacher war es, der Mutter die Lichtbilder zu zeigen, ohne dabei weitere personenbezogene Daten der Kandidaten zu offenbaren. Die Mutter hätte so den Kindesvater identi­fizieren können, ohne dass die Betroffenen persönlich in Anspruch genommen werden mussten. Leider war der gesuchte Vater nicht unter den vorgelegten Kandidaten. Er hatte seinerzeit offensichtlich falsche Angaben gegenüber der Mutter gemacht. Das Verfahren hat dennoch zur Klärung des Sachverhaltes maßgeblich beigetragen und der Betroffenen zumindest die Gewissheit gebracht, dass nichts unversucht gelassen wurde.

 

4.1.4      Namentliche Nennung von Einwohnern in der Einwohnerfragestunde

Die Öffentlichkeit von Einwohnerfragestunden bedeutet nicht, dass Personen dort zwingend ihren Namen angeben müssen. Die Aufnahme in ein Protokoll, das im Internet veröffentlicht wird, darf nicht erfolgen, wenn der Bürger dies nicht wünscht.

Eine Amtsverwaltung wollte, dass bei Einwohnerfragestunden die Fragenden ihren Namen mitteilen. Dieser solle protokolliert und zusammen mit der Nieder­schrift über den Inhalt der Einwohnerfragestunde ins Internet eingestellt werden. Das ULD musste darauf hinweisen, dass es für die Veröffentlichung der Namen der Fragesteller keine Rechtsgrundlage gibt. Die Einwohnerfragestunde ist Teil der öffentlichen Sitzung der Gemeindevertretung. Die Gemeindeordnung sieht eine Niederschrift über jede Sitzung der Gemeindevertretung vor, bei der auch die Namen der Teilnehmerinnen und Teilnehmer aufzuführen sind. Dies betrifft jedoch lediglich die Gemeindevertreter, nicht die Bürger als Fragesteller.

Das Landesdatenschutzgesetz scheidet als Rechtsgrundlage für die Veröffent­lichung aus; es fehlt bereits an deren Erforderlichkeit. Es geht lediglich darum sicherzustellen, dass als anfragende Personen nur Einwohner der jeweiligen Kommune Gehör finden. Um dies zu gewährleisten, genügt z. B. die Feststellung des Wohnsitzes durch Vorlage des Personalausweises. Nach einer solchen Verifi­kation ist keine weitere Datenverarbeitung mehr erforderlich. Es kommt insbe­sondere nicht darauf an, wer konkret welche Fragen stellt. Eine Erhebung und Veröffentlichung der Namen von Fragen stellenden Bürgern oder gar der Wohn­anschrift im Internet ist daher nur zulässig, wenn die Betroffenen sich hiermit einverstanden erklärt haben.

Das ULD hat gemeinsam mit dem Innenministerium eine pragmatische Lösung gefunden. In der Praxis sind die meisten Fragesteller mit einer Veröffentlichung einverstanden. Zu Beginn der Sitzung weist der Vorsitzende der Gemeinde­vertretung oder eine sonst autorisierte Person darauf hin, dass Fragen, die von Einwohnern im Rahmen der Einwohnerfragestunde gestellt werden, namentlich protokolliert und die Protokolle im Internet veröffentlicht werden. Dabei ist ausdrücklich darauf hinzuweisen, dass die Betroffenen sofort oder auch später widersprechen können. Widersprüche sind umgehend zu berücksichtigen. Dies gilt auch bezüglich bereits veröffentlichter Protokolle. Diese sind so zu ändern, dass die Namen herausgenommen oder geschwärzt werden.

Was ist zu tun?
Die Vorsitzenden der Gemeindevertretungen müssen darauf achten, dass die Bürgerinnen und Bürger darüber aufgeklärt werden, dass der Protokollierung und Veröffentlichung ihrer Namen bei Einwohnerfragestunden widersprochen werden kann.

4.1.5      Zentrale Stellenbörse für die Landesverwaltung

Um den im Rahmen des Einsparkonzepts der Landesregierung beabsichtig­ten Stellenabbau zu unterstützen, soll im Finanzministerium eine zentrale Stellenbörse eingerichtet werden. Die notwendigen Befugnisgrundlagen für die Übermittlung sensibler Personalaktendaten durch die Ressorts konnten im Einvernehmen mit dem Finanzministerium datenschutzgerecht ausgestal­tet werden.

Will man Personal einsparen, gilt es, Mitarbeiter, deren Stellen wegfallen sollen, ressortübergreifend schnell auf frei werdende Stellen zu versetzen, die wieder besetzt werden müssen. Für diese Aufgabe ist nach Auffassung der Landesregie­rung ein zentrales Personalmanagement unabdingbar. Dafür genügt es nicht, nur die Namen der in Betracht kommenden Mitarbeiter zu speichern. Nur mit einem angemessenen Profil kann die Koordinierungsstelle eine hinreichende Voraus­wahl im elektronischen Verfahren vornehmen.

Da diese Aufgabe neu ist, war die für den Betrieb der Datenbank erforderliche Übermittlung von Personalaktendaten an die Koordinierungsstelle im Personal­datenrecht bisher nicht vorgesehen. Gemeinsam mit dem Finanzministerium haben wir eine Formulierung zur Änderung des Landesbeamtengesetzes gefun­den, die die Datenübermittlung auf das tatsächlich notwendige Maß beschränkt und gleichzeitig eine umfassende Transparenz für die betroffenen Mitarbeiter sicherstellt. Da das Landesdatenschutzgesetz die Anwendung der beamtenrecht­lichen Befugnisgrundlagen zur Datenverarbeitung auf alle Beschäftigten aus­dehnt, ist eine gesonderte tarifvertragliche Regelung nicht erforderlich. Nach einer Ergänzung des Delegationserlasses des Ministerpräsidenten um die notwen­dige Zuständigkeitszuweisung für das Personalmanagement an das Finanzministe­rium steht einer Arbeitsaufnahme der Stellenbörse nichts mehr im Wege.

Aus unserer Sicht sichert die gefundene Lösung einen angemessenen Ausgleich zwischen den Interessen des Landes an einem effektiven Verfahren zur Unterstüt­zung der beabsichtigten Personaleinsparungen und den Persönlichkeitsrechten der betroffenen Mitarbeiter.

 

4.1.6      Kosten- und Leistungsrechnung für EU-Projekte

Die finanzielle Förderung durch EU-Forschungsmittel im Bereich der Uni­versitäten erfordert einen detaillierten Zeit- und Kostennachweis für die beteiligten Mitarbeiter. Da das Personalaktenrecht keine ausreichende Ermächtigung zur Weitergabe von Personaldaten an die EU enthält, kann die Lücke nur durch eine Dienstvereinbarung mit dem Personalrat geschlos­sen werden.

In der beabsichtigten Neuregelung des Beschäftigtendatenschutzes ist es aus­drücklich vorgesehen: „Andere Rechtsvorschriften im Sinne dieses Gesetzes sind auch Betriebs- und Dienstvereinbarungen.“ In diesem Sinne betrachten wir Dienstvereinbarungen mit dem Personalrat als ausreichende Ermächtigung zur Verarbeitung von Personaldaten, zumal das Personalaktenrecht insoweit keine abschließenden Regelungen enthält. Das Ministerium für Wissenschaft, Wirt­schaft und Verkehr bat das ULD, beim Entwurf einer Musterdienstvereinbarung für eine Kosten- und Leistungsrechnung zur Abrechnung von Drittmittelprojekten behilflich zu sein.

Unsere Aufgabe bestand darin, die Anforderungen der EU und des Datenschutzes in Einklang zu bringen und gleichzeitig dafür zu sorgen, dass die beabsichtigte Personaldatenverarbeitung hinreichend präzise und für die Betroffenen transpa­rent geregelt wird. In konstruktiver Zusammenarbeit mit dem Ministerium und Dataport als beteiligtem Projektentwickler konnten alle Knackpunkte einvernehm­lich gelöst werden:

  • Als Personal-Istkosten sollen nur die monatlichen Bruttolohnsummen der Mitarbeiter verwendet werden. Diese Beträge lassen keine Rückschlüsse auf einzelne Personalaktendaten der Mitarbeiter zu.
  • Die Zeitabrechnung gegenüber dem Auftraggeber soll nur als Monatssumme je Mitarbeiter erfolgen. Die der Abrechnung zugrunde liegende interne Zeitauf­schreibung soll als Tagessumme der geleisteten Stunden in einer von der Personalverwaltung getrennten Organisationseinheit erfolgen. Die Daten dür­fen dort nur für Revisionszwecke verarbeitet werden.
  • In den Abrechnungsunterlagen gegenüber dem Auftraggeber soll so weit wie möglich eine Pseudonymisierung der Personaldaten erfolgen.

Den Personalräten der Hochschulen blieb es natürlich unbenommen, den Entwurf der Musterdienstvereinbarung selbst zu bewerten und zusätzliche oder abwei­chende Bedingungen oder Beschränkungen aufzunehmen. Im Rahmen ihrer Beratungen haben sie sich allerdings unseren Hinweisen und Empfehlungen weitestgehend angeschlossen. Die notwendigen Dienstvereinbarungen wurden inzwischen abgeschlossen. Sie sehen angemessenen Ausgleich zwischen dem finanziellen Interesse des Landes am Erhalt von Drittmitteln zur Finanzierung von Forschungsvorhaben und den Datenschutzinteressen der betroffenen Mitarbeiter vor.

Was ist zu tun?
Die Musterdienstvereinbarung ist auf andere Bereiche des öffentlichen Sektors übertragbar.

4.1.7      Versand von Besoldungs- und Beihilfebescheiden  im Bereich der Schulen

Die Praxis beim Versand von Besoldungs- und Beihilfebescheiden krank­geschriebener Mitarbeiter kann zu Missverständnissen und Irritationen führen. Der Versandweg sollte für die Betroffenen transparent und eindeutig nachvollziehbar sein.

Eine krankgeschriebene Lehrerin hatte mehrfach den Eindruck, an sie adressierte Bescheide des Finanzverwaltungsamtes seien auf dem Dienstweg vor der Weiter­leitung an ihre Privatanschrift von der Schule geöffnet worden. Als Nachweis hatte sie einen entsprechenden Fensterbriefumschlag im Beisein eines Zeugen geöffnet und uns diesen anschließend übersandt. Der Umschlag war handschrift­lich per Klebeetikett mit der Privatadresse der Betroffenen versehen worden und trug den Absenderstempel der Schule.

Der Schulleiter erklärte, die Bescheide vom Finanzverwaltungsamt würden per Dienstpost an die Schule gesandt. Sei der Betroffene erkrankt, werde der Brief keinesfalls geöffnet, sondern lediglich – wie dargestellt – um die fehlenden Anga­ben ergänzt und zur Post gegeben. Es bestand kein Anlass für Zweifel an den Aussagen des Schulleiters. Andererseits waren ein Öffnen des Briefes und die anschließende Verwendung eines neuen Umschlages unter Revisionsgesichts­punkten nicht völlig auszuschließen. Das praktizierte Verfahren hat bei der Mitar­beiterin und allgemein zu erheblichem Misstrauen und einem Vertrauensverlust gegenüber den Mitarbeitern der Schule geführt.

Vom Finanzverwaltungsamt erfuhren wir, dass Gehaltsmitteilungen über das Druckzentrum von Dataport als Dienstleister versandt werden. Briefe, die über dieses Druckzentrum verschickt werden, sind daran zu erkennen, dass sie im sogenannten Nassklebeverfahren verschlossen werden, weil nur so eine maschi­nelle Verarbeitung möglich ist. Üblich sind sonst heute nur noch Briefumschläge mit Selbstklebefolie als Verschluss. Bei der geprüften Schule waren nur noch Umschläge mit Selbstklebefolie im Einsatz. Da der vorgelegte Umschlag im Nassklebeverfahren verschlossen war, konnten wir eine Öffnung durch die Schule mit hoher Wahrscheinlichkeit ausschließen.

Was ist zu tun?
Um künftig ähnliche Fälle zu vermeiden, sollten Schulen bei längerer Erkran­kung den Versand von Bescheiden durch das Finanzverwaltungsamt unmittelbar an die Privatanschrift der Betroffenen veranlassen. Ist dies nicht möglich, sollte der Originalbrief des Finanzverwaltungsamtes in einem zweiten Umschlag an die Betroffenen weitergeleitet werden, um Missverständnisse von vornherein zu vermeiden.

4.1.8      Einführung neuer elektronisch geführter Personenstandsregister

Die Einführung elektronisch geführter Personenstandsregister setzt neue Maßstäbe für die Verarbeitung personenbezogener Daten in einem landes­weiten Verfahren. Da ein Nachweis der Daten in Papierform entfällt, sind höchste Sicherheitsstandards bei der Datenverarbeitung anzulegen. Die Vorschriften für die elektronische Registerführung legen in dieser Hinsicht präzise die notwendigen Details für die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung fest.

Mit Verabschiedung des Personenstandsreformgesetzes im Jahr 2007 ist es amt­lich: Die Personenstandsbücher haben ausgedient. Die Zukunft in den Standes­ämtern gehört den elektronischen Registern. Durch die Umstellung auf das elek­tronische Verfahren darf kein Qualitätsverlust im Hinblick auf die Integrität und Vertraulichkeit der gespeicherten Daten im Vergleich zu den bisherigen Perso­nenstandsbüchern eintreten.

Bereits das Personenstandsgesetz trifft weitgehende Regelungen zur Datensicher­heit. Die Identität der Person, die Eintragungen vornimmt, muss jederzeit erkenn­bar sein. Auswertungen des Registers müssen auf der Grundlage der aufzuneh­menden Daten möglich sein. Die Sicherheitsanforderungen werden durch die Personenstandsverordnung präzisiert, die u. a. für Registereinträge eine dauerhaft überprüfbare qualifizierte elektronische Signatur des Standesbeamten vorschreibt. Außerdem werden umfangreiche Anforderungen an den Betrieb der elektroni­schen Register und die eingesetzten Datenverarbeitungsverfahren gestellt.

Das Innenministerium musste nun auf Landesebene für eine ordnungsgemäße Umsetzung der bundesrechtlichen Vorgaben sorgen. Dies geschah durch den Erlass einer Landesverordnung zur Einrichtung und Führung des zentralen elek­tronischen Personenstands- und Sicherungsregisters und durch Maßnahmen zur Organisation der zentralen Register bei Dataport als EDV-Dienstleister des Landes und der Kommunen.

Ein neuer Weg wurde für die auch in anderen Verfahren bereits aufgetretene Frage der Verantwortlichkeit für die Datenverarbeitung bei Dataport beschritten. Bisher waren die Kommunen als Daten verarbeitende Stellen ausschließlich hier­für zuständig. Sie mussten im Rahmen der Auftragsdatenverarbeitung als Auf­traggeber gegenüber Dataport dafür sorgen, dass die Daten nur nach ihren Wei­sungen verarbeitet wurden. In einem landesweiten einheitlichen EDV-Verfahren mit über 160 beteiligten Kommunen hat aber eine einzelne Kommune nicht die Möglichkeit, eigenständige Anforderungen an die Organisation des Verfahrens bzw. an die Software zu stellen. Bei Dokumentation, Test und Freigabe ist es andererseits nicht notwendig, dass alle beteiligten Kommunen die gleichen umfangreichen Unterlagen vorhalten sowie dieselben Tests durchführen.

In der Landesverordnung wurde die Verantwortung für das bisher einheitliche Auftragsdatenverarbeitungsverhältnis aufgeteilt. Das Innenministerium als zustän­dige oberste Fachaufsichtsbehörde übernimmt danach die sogenannte Verfah­rensverantwortung und ist damit zuständig für fachliche Vorgaben gegenüber Dataport, für Test und Freigabe des Verfahrens sowie für die Kontrolle des rechtmäßigen Betriebs der Personenstandsregister. Bei den Kommunen verbleibt die sogenannte Datenverantwortung. Sie sind verantwortlich, dass die in den Registern gespeicherten Daten richtig und vollständig sind und im Rahmen der Konfiguration des Verfahrens vor Ort nur berechtigte Personen Zugang zu den Daten erhalten. Damit wurde erstmals eine Lösung für ein zentral betriebenes Verfahren gefunden, die die Verantwortlichkeit für die Datenverarbeitung praxis­gerecht verteilt.

Was ist zu tun?
Bei landesweiten zentralen Verfahren sollte die Landesregierung ebenso wie bei ausschließlich elektronischer Datenverarbeitung, z. B. bei der melderechtlichen Spiegeldatenbank oder bei der elektronischen Personalakte, einheitliche Stan­dards festlegen. Die Regelungen im Personenstandswesen haben insofern Vorbildcharakter, insbesondere bei der Organisation der Auftragsdatenverarbei­tung.

4.1.9      Rabatte für Arzneimittel  auch für Beihilfestellen

Durch das Arzneimittelrabattierungsgesetz können jetzt auch die Beihilfe­stellen des öffentlichen Dienstes Rabatte auf Arzneimittel erstattet bekom­men, soweit sie entsprechende Beihilfeaufwendungen erbracht haben. Das notwendige Verwaltungsverfahren erfordert eine schnelle Anpassung der beamtenrechtlichen Beihilfevorschriften.

Ende 2010 wurde das „Gesetz zur Neuordnung des Arzneimittelmarktes in der gesetzlichen Krankenversicherung (AMNOG)“ verkündet. Darin wird der Kreis der berechtigten Stellen für Arzneimittelrabatte auf Unternehmen der privaten Krankenversicherung sowie die Träger der beamtenrechtlichen Beihilfe erweitert. Dieser Teil des Gesetzes wurde erst sehr spät in die parlamentarische Beratung eingebracht. Um kein Geld zu verschenken, ist bei den notwendigen Umset­zungsmaßnahmen Eile geboten.

Mit dem für das Beamtenrecht zuständigen Finanzministerium und dem Finanz­verwaltungsamt bestand schnell Einvernehmen, dass für die zur Rabattierung notwendige Speicherung von Rezepten eine Anpassung der Beihilfevorschriften im Landesbeamtengesetz nötig ist. Noch zwischen den Feiertagen konnte ein Entwurf abgestimmt und auf den Weg gebracht werden, der hinsichtlich des Datenschutzes keine Wünsche offenlässt. Kernpunkte sind:

  • Rezepte werden ohne Verknüpfung zum jeweiligen Beihilfevorgang aus­schließlich zu Revisionszwecken höchstens ein Jahr lang elektronisch gespei­chert.
  • Eine Datenübermittlung an die sogenannte Zentrale Stelle bzw. den Treuhän­der findet erst nach vollständiger Anonymisierung der Daten statt.

Was ist zu tun?
Nach zügiger Verabschiedung des Gesetzes ist dieses adäquat umzusetzen.

4.1.10    Solardachkataster  sind datenschutzkonform möglich

Die Landeshauptstadt Kiel soll ein Solardachkataster erhalten. Nach ent­sprechender Beratung durch das ULD wird auf schutzwürdige Betroffenen­interessen geachtet.

Mit dem Ziel der Förderung CO2-neutraler Energieerzeugung beschloss die Rats­versammlung der Landeshauptstadt die Einrichtung eines Solardachkatasters in Form eines Geoinformationssystems. Darin sollte der Eignungsgrad der Dach­flächen in Kiel für die solarenergetische Nutzung dargestellt werden, auch als Entscheidungshilfe für Hauseigentümer bezüglich Investitionen in eine eigene Solaranlage.

Das Solarkataster basiert auf hochaufgelösten digitalen Oberflächenmodellen und Orthofotos – farbigen Luftbildern mit einer Bodenauflösung von 5 cm pro Pixel – sowie einer Stadtkarte in einem Maßstab von 1:10.000. Größe, Geometrie, Ausrichtung, Neigungswinkel und Verschattung der einzelnen Dachflächen sowie das minimale, maximale und mittlere Strahlungspotenzial werden erfasst, berech­net und dargestellt. Die Daten sind georeferenziert, also mit Raumkoordinaten verknüpft, sodass sie einem bestimmten Ort auf der Erdoberfläche zugeordnet und mit anderen ebenfalls georeferenzierten Informationen verschnitten, d. h. kombi­niert werden können. Das individuelle Solarenergieerzeugungspotenzial jeder Dachfläche, also die Menge nutzbarer Strahlung je Gebäudedach, wird in einer Karte visualisiert. Auf den Internetseiten der Stadt Kiel soll über ein Webportal eine Übersicht sowie eine straßen- und hausnummergenaue digitale Karte mit Luftbildaufnahmen der Allgemeinheit zur Verfügung gestellt werden.

Die verarbeiteten Daten haben Personenbezug; Luftbilder wie auch die Angaben zu den Dachflächen lassen sich mit der Georeferenzierung ohne Weiteres den Eigentümern oder den an den jeweiligen Immobilien berechtigten Personen zuordnen. Mitgeteilt werden damit nicht nur Einspareffekte zugunsten der Umwelt, sondern auch das wirtschaftliche Potenzial des Einsatzes einer Solaran­lage auf dem jeweiligen Dach und damit wirtschaftliche Möglichkeiten für die Betroffenen. Natürlich ist nicht auszuschließen, dass diese Daten z. B. für Werbe­zwecke genutzt werden.

Wegen Zweifeln an der Datenschutzkonformität der ursprünglichen Planung der Stadt Kiel seitens einiger Ratsmitglieder wurde das ULD um eine Bewertung gebeten. Wir mussten der Stadt mitteilen, dass ein einfacher Beschluss der Rats­versammlung als datenschutzrechtliche Rechtsgrundlage nicht ausreicht und praktische Änderungen nötig sind. Die Stadt Kiel erarbeitete, beraten vom ULD, als datenschutzrechtliche Rechtsgrundlage für das Kataster eine Solardachkatas­tersatzung. Dabei sind zwei verschiedene Versionen des Katasters vorgesehen. Eine interne Version basiert auf der Grundlage der im Einzelnen genannten Datenkategorien, welche die konkreten detaillierten Potenzialwerte für jede Dachfläche individuell und hochauflösend enthält. Eine zweite, im Internet veröffentlichte Version stellt auf einer Stadtkarte mit dem Maßstab 1:10.000 die Dachflächen lediglich in Eignungsgraden eingestuft dar. Damit soll dem öffent­lichen Interesse an einer allgemeinen Einschätzung des Potenzials für die Erzeu­gung von Solarenergie in Kiel Rechnung getragen werden, ohne dass die Betrof­fenen übermäßig in ihren Rechten beeinträchtigt werden. Das interne Kataster kann den Betroffenen Unterstützung bei der Entscheidung für die Installation einer Solaranlage bieten.

Um spezifischen Schutzbedürfnissen Einzelner und den Anforderungen des Landesdatenschutzgesetzes Rechnung zu tragen, sieht die Satzung ein Wider­spruchsrecht vor. Eigentümerinnen und Eigentümer oder anderweitige Rechte­inhaber können gegen die Veröffentlichung Widerspruch erheben mit der Folge, dass die Darstellung der jeweiligen Dachflächen unterbleibt oder nachträglich entfernt wird. Um dieses Recht rechtzeitig wahrnehmen zu können, muss die Stadt die Öffentlichkeit sechs Wochen vor der Webpräsentation über das Solar­dachkataster und das Widerspruchsrecht in der Lokalpresse informieren.

Was ist zu tun?
Bei der Entwicklung und dem Einsatz von Geoinformationssystemen müssen die verantwortlichen Stellen Datenschutzbelange frühzeitig in die Planung ein­beziehen und die notwendigen rechtlichen, organisatorischen und technischen Maßnahmen ergreifen, um die Verletzung der Persönlichkeitsrechte auszu­schließen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel