28.03.2008
Der Landesbeauftragte für Datenschutz und Informationsfreiheit teilt mit:
Der Landesbeauftragte für den Datenschutz der Freien Hansestadt Bremen, Sven Holst, hat in seinem heute vorgelegten 30. Jahresbericht von der Politik mehr Respekt vor der Verfassung verlangt. Datenschutz, so Holst, habe bei den Bürgerinnen und Bürgern Hochkonjunktur, rund 19.000 Zugriffe monatlich allein auf die Webseiten seiner Behörde belegten dies. Andererseits müsse wieder und wieder das Verfassungsgericht Gesetzgeber und Regierungen in die Schranken weisen. Aber auch das betriebliche ebenso wie das private Umfeld seien von einer „schleichenden Einschränkung des Datenschutzes und der Privatsphäre“ gekennzeichnet.
In seinem Tätigkeitsbericht für das Jahr 2007 stellt Holst unter anderem fest, die Gesetzgeber des Bundes und der Länder hätten allzu häufig Warnungen ihrer jeweiligen Datenschützer in den Wind geschlagen und sich dann höchstrichterlich bescheinigen lassen müssen, dass sie das Recht auf informationelle Selbstbestimmung in ihren Gesetzen nicht ausreichend beachtet hätten. Insbesondere Bundesinnenminister Wolfgang Schäuble (CDU) habe es fertiggebracht, „in nicht vorstellbarer Vielfalt die Ängste der Bürger vor Terrorismus und Kriminalität zu schüren“ und zugleich „durch ein Klima der Verunsicherung alle Bundesbürger als potenzielle Gefahrenquelle zu diskreditieren“. Dabei seien viele der vorgeschlagenen Maßnahmen gegen gut organisierte Terroristen wirkungslos. Holst: „Aber sie treffen in das Herz einer freien Gesellschaft.“
Auch die Gefahren des Internet nimmt Holst in seinem Jahresbericht unter die Lupe: „Früher begab man sich in den Wilden Westen, um Abenteuer zu erleben, heute kann man sich in ein Dschungel-Camp begeben, aber am interessantesten ist es immer noch im Internet“, bilanziert der Datenschützer sarkastisch. Die Risiken seien vielfältig, sie einzuschätzen, übersteige die Vorstellungskraft, dennoch tummelten sich dort Otto Normalverbraucher, Firmen oder Verwaltung gleichermaßen auf unsicheren elektronischen Datenwegen.
Vom Betrug beim Online-Banking über Spam-Fluten und Viren-Attacken bis zum Sammeln und Vermarkten privater Profile – „viele Surfer müssen feststellen, dass sie für all die bunten kostenlosen Internetangebote oft mit ihren persönlichen Daten bezahlen müssen“, warnt Holst. Die gelegentlich exhibitionistischen Darstellungen in Blogs und Videoclips rechtfertigten allerdings keine Zweifel am Gedanken des Datenschutzes: „Es ist nämlich etwas grundsätzlich Verschiedenes, ob sich jemand selbst in aller Öffentlichkeit auszieht oder ob dort jemand gegen seinen Willen entblößt wird.“
Zum wiederholten Male beklagt Holst in seinem Bericht das Fehlen besonderer Regelungen zum Arbeitnehmer-Datenschutz. Die Sammlung von Beschäftigtendaten in leistungsfähigen Personalinformationssystemen, die elektronische Überwachung von Beschäftigten am Arbeitsplatz, die Erhebung von Gesundheitsdaten oder psychologischen Profilen bei der Einstellung erforderten dringend bundeseinheitlich gesetzliche Regelungen zum Schutz der Betroffenen, erinnert Holst an entsprechende Forderungen der Datenschützer von Bund und Ländern.
Hinweis:
Abruf (Download) / Bestellung: Der Jahresbericht liegt als Drucksache vor und kann beim Landesbeauftragten für Datenschutz und Informationsfreiheit bestellt werden (Telefon 0421 361-2010 in Bremen; 0471 596-2010 in Bremerhaven) und wird auf Nachfrage zugesandt. Außerdem ist er unter www.datenschutz.bremen.de
im Internet abrufbar.
Fallbeispiele aus dem 30. Jahresbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI)
Prüfung im Bereich Krankengeld der AOK Bremen/Bremerhaven (vgl. Ziffer 11.3)
Eine datenschutzrechtliche Prüfung bei der AOK Bremen/Bremerhaven im Oktober 2007 hat gravierende datenschutzrechtliche Mängel im Umgang mit den Gesundheitsdaten der Versicherten zutage gefördert. Beispielsweise werden die Sachbearbeiter im Bereich Krankengeld dazu verpflichtet, ihre Passworte untereinander bekannt zu geben, damit auch von anderen Mitarbeitern Zugriffe und Änderungen im Datenbestand vorgenommen werden können. Weiter stellte sich im Rahmen der Prüfung auch heraus, dass die Software zum Krankengeldfallmanagement keine Möglichkeit der Zugriffsdifferenzierung oder der Protokollierung bietet. Dadurch ist jeder Datenmanipulation Tor und Tür geöffnet, bei einer Revision oder datenschutzrechtlichen Prüfung ist nicht nachvollziehbar, wer wann auf welche Daten zugegriffen hat. Darüber hinaus existiert an den Arbeitsplätzen ein Vollzugriff auf die Datenbank, in denen Diagnosedaten der Krankengeld beziehenden AOK-Mitglieder gespeichert sind, teilweise über einen Zeitraum von 25 Jahren. Die AOK hat darauf hingewiesen, dass die beschriebenen Probleme mit der aktuellen Software nicht gelöst werden können. Eine bessere Software für den bundesweiten Einsatz befinde sich in Vorbereitung und stehe voraussichtlich ab 2009 zum Einsatz bereit.
Aufforderung an Krankenhäuser zur Datenübermittlung an das Amt für Jugend und Familie (vgl. Ziffer 12.3.4)
Das Amt für Jugend und Familie Bremerhaven (AfJuF) forderte zwei Krankenhäuser auf, per E-Mail eine Meldung an das AfJuF zu erstatten, wenn ein Kind/Jugendlicher wegen übermäßigen Alkohol- oder Drogenkonsums im Krankenhaus medizinisch betreut wird. Der Hinweis des LfDI, dass eine unverschlüsselte Übermittlung dieser sensiblen Daten per E-Mail nicht den datenschutzrechtlichen Anforderungen genüge, wurde vom AfJuF noch aufgenommen. Der Einwand, dass ein Bruch der ärztlichen Schweigepflicht in diesen Fällen nur aufgrund einer Einwilligungserklärung der Betroffenen oder einer für jeden Einzelfall zu prüfenden akuten Gefahrenlage für das Kind zulässig ist, wurde vom AfJuF jedoch mit der Bemerkung abgetan, dass diese Ansichten dort nicht interessierten; ganz im Gegensatz zu den betroffenen Krankenhäusern, von denen diese Hinweise dankend angenommen wurden.
Aufzeichnung von Telefongesprächen zur Störungsbeseitigung in der TK-Anlage der Bremischen Verwaltung (vgl. Ziffer 8.1.)
Im Zuge der Einführung einer neuen Telekommunikationsanlage in der bremischen Verwaltung traten sporadische Störungen bzw. Fehler bei der Übermittlung auf. Der Diensteanbieter erklärte, als einzige Möglichkeit bleibe nur eine Aufzeichnung der betreffenden Telefongespräche, um im zeitlichen Kontext mit den Verbindungsdaten die Ursache der Störung ausfindig zu machen. Die Aufzeichnung von Telefongesprächen stellt einen Eingriff in das Telekommunikationsgeheimnis dar. Der LfDI hat den Diensteanbieter darauf hingewiesen, dass eine solche Aufzeichnung ohne wirksame Einwilligung aller betroffenen Gesprächspartner nicht zulässig ist.
Erst die Daten, dann das Abiturzeugnis (vgl. Ziffer 13.1.)
Weiterhin hat sich der LfDI mit einer Evaluation, welche vom Schulamt Bremerhaven an den Gymnasialen Oberstufen durchgeführt werden sollte, befasst. Ein von Schülerinnen und Schüler auszufüllender Fragebogen enthielt unter anderem Fragen über die Eltern, ohne dass diese die Möglichkeit erhalten, in die Beantwortung einzuwilligen. Im Rahmen einer Nacherhebung sollte die Aushändigung des Abiturzeugnisses von der Rückgabe des ausgefüllten Fragebogens abhängig gemacht werden. Der LfDI erklärte, dass die Teilnahme an der Fragebogenaktion nur auf freiwilliger Basis zulässig ist. Des Weiteren ist ihm in dieser Untersuchung ein Lehrerfragebogen vorgelegt worden, in dem entgegen der Hinweise auf die Anonymität eine Vielzahl von Angaben zur Person abgefragt werden, die einen Rückschluss auf einzelne Lehrkräfte ermöglichen. Die Anonymität wäre damit offensichtlich nicht gewährleistet worden. Das Schulamt hat erklärt, verantwortlich für das Vorhaben sei die senatorische Dienststelle Bildung und Wissenschaft. Diese sagte zu, die Anforderungen des LfDI zu berücksichtigen und die Erhebung erst nach deren Umsetzung durchzuführen.
Prüfung von Gerichtsvollziehern (vgl. Ziffer 10.1)
Bei der Prüfung von Gerichtsvollziehern wurden zum Teil eklatante Datenschutzmängel festgestellt. So wurden laufende wie abgeschlossene Vorgänge vielfach unzureichend geschützt und gegen unbefugte Einsichtnahme aufbewahrt. Weiterhin fiel bei den Prüfungen auf, dass häufig Personen aus dem persönlichen Umfeld die beruflichen PC der Gerichtsvollzieher für andere Zwecke nutzten. Teilweise wurden Notebooks mit sensiblen Daten im Außendienst eingesetzt, die nicht einmal durch ein Passwort geschützt waren. Zum Teil waren die Dienst-PC der Gerichtsvollzieher ohne ausreichende Schutzvorkehrungen an das Internet angeschlossen. Ich habe die Prüfergebnisse zum Anlass genommen, in meinem Haus eine Orientierungshilfe für eine datenschutzkonforme Konfiguration und Nutzung von EDV-Systeme über den Gerichtsvollzieher zu erarbeiten, die ich allen Gerichtsvollziehern an die Hand geben möchte.
Bürgereingaben und Datenschutzkontrollen
Einen Ausschnitt, mit welchen Fragen sich die Bürger in 2007 an den LfDI gewandt haben, enthält die Übersicht im Anhang „Telefonisch beantwortete Anfragen“ (vgl. Ziffer 24.2.)
Datenschutzprüfungen im öffentlichen Bereich und in der Privatwirtschaft
werden unter den Ziffern 6.2., 6.3., 9.5., 9.6., 9.17., 10.1., 10.2., 11.2, 12.2, 19.2.1, 19.3.3., 19.6., 19.8.1, 19.9 [P1]. behandelt.