Landtag Brandenburg Drucksache 5/1804 - Brandenburg.de
Landtag Brandenburg Drucksache 5/1804 - Brandenburg.de
Landtag Brandenburg Drucksache 5/1804 - Brandenburg.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong> <strong>Drucksache</strong> 5/<strong>1804</strong><br />
5. Wahlperio<strong>de</strong><br />
Stellungnahme<br />
<strong>de</strong>r Lan<strong>de</strong>sregierung<br />
zum Tätigkeitsbericht für die Jahre 2008 und 2009 <strong>de</strong>r Lan<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und für<br />
das Recht auf Akteneinsicht<br />
Vorbemerkung<br />
Die Lan<strong>de</strong>sbeauftragte für <strong>de</strong>n Datenschutz und das Recht auf Akteneinsicht (LDA) hat am 23. März 2010 <strong>de</strong>n<br />
15. Tätigkeitsbericht vorgestellt. Der Tätigkeitsbericht <strong>de</strong>ckt <strong>de</strong>n Zeitraum vom 1. Januar 2008 bis zum 31.<br />
Dezember 2009 ab. Die Lan<strong>de</strong>sregierung ist nach § 27 Absatz 1 Satz 2 <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes verpflichtet, <strong>de</strong>m <strong>Landtag</strong> innerhalb von vier Monaten eine Stellungnahme vorzulegen.<br />
Der Tätigkeitsbericht <strong>de</strong>r LDA glie<strong>de</strong>rt sich in drei Abschnitte: Abschnitt A enthält Ausführungen zum<br />
Datenschutz und beinhaltet die Themen, die aus Sicht <strong>de</strong>r LDA die „Brennpunkte <strong>de</strong>s Datenschutzes“<br />
darstellen, die technisch-organisatorische Entwicklung sowie Probleme bzw. Schwerpunkte <strong>de</strong>r Tätigkeit <strong>de</strong>r<br />
LDA in <strong>de</strong>n einzelnen Ressorts sowie im kommunalen Bereich. Im Abschnitt B kommt die LDA ihrer<br />
Berichtspflicht nach <strong>de</strong>m Akteneinsichts- und Informationszugangsgesetz nach. Abschnitt C enthält<br />
Ausführungen über die Dienststelle <strong>de</strong>r LDA sowie über die Zusammenarbeit mit <strong>de</strong>m <strong>Landtag</strong> und mit<br />
an<strong>de</strong>ren Datenschutzbehör<strong>de</strong>n.<br />
Die Ressorts erhielten die Möglichkeit, zu <strong>de</strong>n sie betreffen<strong>de</strong>n Ausführungen im Bericht <strong>de</strong>r LDA Stellung zu<br />
nehmen. Die Beiträge <strong>de</strong>r Ressorts wur<strong>de</strong>n in die Stellungnahme <strong>de</strong>r Lan<strong>de</strong>sregierung eingearbeitet.<br />
Die Stellungnahme <strong>de</strong>r Lan<strong>de</strong>sregierung beschränkt sich im Wesentlichen auf Sachstandsmitteilungen bzw.<br />
Erläuterungen zu <strong>de</strong>n Hinweisen <strong>de</strong>r LDA, bei <strong>de</strong>nen zwischen <strong>de</strong>r Lan<strong>de</strong>sregierung und <strong>de</strong>r LDA<br />
unterschiedliche Auffassungen bestehen. Darüber hinaus wird nur zu <strong>de</strong>n Punkten Stellung genommen, für die<br />
eine Kontrollkompetenz <strong>de</strong>r LDA besteht.<br />
Datum <strong>de</strong>s Eingangs: 11.08.2010 / Ausgegeben: 13.08.2010
Insgesamt macht <strong>de</strong>r Bericht <strong>de</strong>utlich, dass in <strong>de</strong>n Bereichen, in <strong>de</strong>nen die LDA Problemfel<strong>de</strong>r <strong>de</strong>s<br />
Datenschutzes i<strong>de</strong>ntifiziert hat, ebenso wie bei <strong>de</strong>r Beteiligung <strong>de</strong>r LDA im Vorfeld <strong>de</strong>r Einführung neuer<br />
Verfahren zur Verarbeitung personenbezogener Daten ein konstruktiver Dialog zwischen <strong>de</strong>n beteiligten<br />
Behör<strong>de</strong>n und <strong>de</strong>r LDA stattfin<strong>de</strong>t. In <strong>de</strong>r überwiegen<strong>de</strong>n Zahl <strong>de</strong>r Fälle gelingt es auf diese Weise,<br />
gemeinsame Lösungen zu entwickeln und so <strong>de</strong>n Datenschutz voranzubringen. Die Lan<strong>de</strong>sregierung hat ein<br />
hohes Interesse daran, dieses konstruktive Miteinan<strong>de</strong>r, insbeson<strong>de</strong>re vor <strong>de</strong>m Hintergrund <strong>de</strong>r Be<strong>de</strong>utung<br />
<strong>de</strong>s Datenschutzes und <strong>de</strong>r Datensicherheit bei <strong>de</strong>r Entwicklung von eGovernment fortzusetzen.<br />
Zum Bericht im Einzelnen:<br />
Zu Teil A<br />
Datenschutz<br />
Zu Ziffer 1.3.3 „Abgabenrecht“ und zu <strong>de</strong>n Anlagen Nr. 3.3.4 und Nr. 4.6.<br />
Das Bun<strong>de</strong>sverfassungsgericht (BVerfG) hat in seinem Beschluss vom 10. März 2008 - 1 BvR 2388/03<br />
– entschie<strong>de</strong>n, dass das Recht auf Auskunftserteilung nach § 19 Bun<strong>de</strong>sdatenschutzgesetz (BDSG)<br />
auch gegenüber Bun<strong>de</strong>sfinanzbehör<strong>de</strong>n gilt. Das BVerfG hat in seiner Entscheidung vom 10. März<br />
2008 zugleich aber auch <strong>de</strong>utlich gemacht, dass Einschränkungen <strong>de</strong>s Informationsrechts <strong>de</strong>r<br />
Betroffenen zulässig sind, wenn sie gegenläufigen Interessen von größerem Gewicht dienen. Das mit<br />
<strong>de</strong>r Geheimhaltung von zu Kontroll- und Überwachungszwecken erhobenen steuerlichen Daten<br />
verfolgte Ziel <strong>de</strong>r gleichmäßigen Festsetzung und Erhebung von Steuern kann im Einzelfall ein höheres<br />
verfassungsrechtliches Gewicht haben als das Informationsinteresse <strong>de</strong>s Betroffenen. Eine<br />
Auskunftserteilung könnte es <strong>de</strong>m Betroffenen nämlich ermöglichen, sein Erklärungsverhalten auf <strong>de</strong>n<br />
Kenntnisstand <strong>de</strong>r Finanzbehör<strong>de</strong>n einzustellen. Dies wür<strong>de</strong> zu einer weitgehen<strong>de</strong>n Wertlosigkeit <strong>de</strong>r<br />
Daten und damit zu einer Erschwerung o<strong>de</strong>r sogar Unmöglichkeit <strong>de</strong>r Aufgabenerfüllung <strong>de</strong>r<br />
Finanzbehör<strong>de</strong> führen.<br />
Mit <strong>de</strong>m Schreiben vom 17. Dezember 2008 - IV A 3 - S 0030/08/10001 hat das Bun<strong>de</strong>sministerium <strong>de</strong>r<br />
Finanzen im Vorgriff auf eine gesetzliche Regelung in <strong>de</strong>r Abgabenordnung - im Verwaltungsweg in<br />
Anlehnung an § 19 BDSG einen generellen Auskunftsanspruch gegenüber Finanzämtern anerkannt. Es<br />
wird aber auch ausdrücklich darauf hingewiesen, dass die Finanzbehör<strong>de</strong> das Auskunftsinteresse <strong>de</strong>s<br />
Betroffenen und das Geheimhaltungsinteresse <strong>de</strong>s Staates gegeneinan<strong>de</strong>r abzuwägen hat. Die in <strong>de</strong>m<br />
Schreiben enthaltene For<strong>de</strong>rung nach einem „berechtigten Interesse“ <strong>de</strong>s Betroffenen hat allein zum<br />
Ziel, dass <strong>de</strong>r Betroffene schon bei seiner Antragstellung darlegt, aus welchem Grund er die Auskunft<br />
beantragt. Dies erleichtert es <strong>de</strong>r Finanzbehör<strong>de</strong>, die Abwägung zwischen <strong>de</strong>m Auskunftsinteresse <strong>de</strong>s
Betroffenen und ihrem Geheimhaltungsinteresse ohne weitere Nachfragen beim Antragsteller<br />
vorzunehmen.<br />
Wie die Erfahrungen - auch in <strong>de</strong>n an<strong>de</strong>ren Bun<strong>de</strong>slän<strong>de</strong>rn – zeigen, hat sich diese Verfahrensweise in<br />
<strong>de</strong>r Praxis bewährt.<br />
Das Bun<strong>de</strong>sministerium <strong>de</strong>r Finanzen prüft zusammen mit <strong>de</strong>n obersten Finanzbehör<strong>de</strong>n <strong>de</strong>r Län<strong>de</strong>r,<br />
wie eine bereichsspezifische Auskunftsregelung in <strong>de</strong>r Abgabenordnung ausgestaltet wer<strong>de</strong>n müsste.<br />
Damit bei <strong>de</strong>n von Lan<strong>de</strong>sfinanzbehör<strong>de</strong>n bun<strong>de</strong>seinheitlich verwalteten Steuern auch hinsichtlich <strong>de</strong>s<br />
Auskunftsrechts ein bun<strong>de</strong>seinheitlicher Standard gilt, wird angestrebt, in <strong>de</strong>r Abgabenordnung eine<br />
bereichsspezifische Regelung zu treffen. Diese Regelung soll <strong>de</strong>n vom BVerfG beschriebenen<br />
Anfor<strong>de</strong>rungen Rechnung tragen, also insbeson<strong>de</strong>re die verfassungsrechtlich gebotene Abwägung<br />
zwischen <strong>de</strong>r Gewährleistung einer gleichmäßigen Besteuerung und <strong>de</strong>m Grundrecht auf<br />
informationelle Selbstbestimmung berücksichtigen.<br />
Inhaltsgleich hat das Bun<strong>de</strong>sministerium <strong>de</strong>r Finanzen mit Schreiben vom 22. Juni 2009 gegenüber<br />
<strong>de</strong>m Bun<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und die Informationsfreiheit zu <strong>de</strong>r Problematik Stellung<br />
genommen.<br />
Zu Ziffer 2.4 „Blackberry - Smartphones in <strong>de</strong>r öffentlichen Verwaltung“<br />
Das überarbeitete Sicherheitskonzept im Kommunikationsverbund <strong>Bran<strong>de</strong>nburg</strong> wur<strong>de</strong> um einen<br />
entsprechen<strong>de</strong>n Blackberry-Baustein erweitert. Beabsichtigt ist zu<strong>de</strong>m, eine datenschutzgerechte<br />
Handlungsanweisung zu erarbeiten.<br />
Zu Ziffer 2.7 „Serviceportal <strong>de</strong>r Lan<strong>de</strong>sverwaltung“<br />
Die von <strong>de</strong>r LDA im Bericht benannten Problemfel<strong>de</strong>r bei <strong>de</strong>r Realisierung eines möglichst schnellen und<br />
unkomplizierten Online-Zugangs <strong>de</strong>r Bürger zu Verwaltungsleistungen sind bekannt. Die Verantwortung für die<br />
Einhaltung <strong>de</strong>s Telemediengesetzes und <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes im jeweiligen<br />
Fachverfahren liegt bei <strong>de</strong>r hierfür zuständigen Daten verarbeiten<strong>de</strong>n Stelle. Auch die ggf. notwendige<br />
elektronische Einwilligung gemäß § 4 Abs. 3 BbgDSG ist durch <strong>de</strong>n Auftraggeber <strong>de</strong>s jeweiligen Fachportals<br />
sicher zu stellen.<br />
Zu Ziffer 2.7.1 „E-Payment“<br />
Die Hinweise wer<strong>de</strong>n aufgegriffen und umgesetzt.
Zu Ziffer 2.7.2 „I<strong>de</strong>ntitätsmanagement“<br />
Das Datentrennungsgebot wird im Rahmen <strong>de</strong>s I<strong>de</strong>ntitätsmanagements beachtet. Die Stärke <strong>de</strong>r<br />
Authentifizierung wird in Abhängigkeit vom Schutzbedarf <strong>de</strong>r zu verarbeiten<strong>de</strong>n personenbezogenen Daten<br />
angepasst. Mit <strong>de</strong>r Einführung <strong>de</strong>s neuen Personalausweises zum 1. November 2010 wird es - zumin<strong>de</strong>st für<br />
<strong>de</strong>utsche Staatsbürger – auch eine Möglichkeit für einen sicheren elektronischen I<strong>de</strong>ntitätsnachweis aus <strong>de</strong>r<br />
Ferne geben. Auf europäischer Ebene – so zum Beispiel für die IT-Umsetzung <strong>de</strong>r EU-Dienstleistungsrichtlinie<br />
– stehen solche Möglichkeiten bisher aus, so dass hier Übergangslösungen angeboten wer<strong>de</strong>n müssen.<br />
Zu Ziffer 2.7.3 „Virtuelles Bauamt“<br />
Die in <strong>de</strong>m Bericht angeführten datenschutzrechtlich noch unzureichend geklärten Punkte sind <strong>de</strong>r<br />
Projektgruppe bekannt und wer<strong>de</strong>n in Zusammenarbeit mit <strong>de</strong>r LDA schrittweise abgestellt. Hierzu fan<strong>de</strong>n -<br />
zeitlich nach Erstellung <strong>de</strong>s Tätigkeitsberichts - bereits entsprechen<strong>de</strong> Absprachen und am 03.05.2010 eine<br />
gemeinsame Beratung <strong>de</strong>r Projektverantwortlichen mit Vertretern <strong>de</strong>r LDA statt. Es wur<strong>de</strong>n klare Festlegungen<br />
getroffen, wie die noch strittigen Punkte behoben wer<strong>de</strong>n können, um eine datenschutzrechtliche Freigabe vor<br />
Beginn <strong>de</strong>s Echtbetriebes zu erhalten.<br />
Zu <strong>de</strong>n im Bericht angesprochenen noch ungeklärten Punkten wird wie folgt Stellung genommen:<br />
- Die Verantwortlichkeiten für die einzelnen Komponenten nach <strong>de</strong>m Datenschutz – und Telemediengesetz<br />
wur<strong>de</strong>n <strong>de</strong>finiert und die sich daraus ergebenen Pflichten dokumentiert.<br />
- Über Inhalt und Umfang <strong>de</strong>s als kritisch gesehenen Vorbereitungsraumes wird in <strong>de</strong>r Projektgruppe<br />
diskutiert. Ziel ist es, <strong>de</strong>n Zweck und die Nutzungsmöglichkeiten dieser Komponente klar zu <strong>de</strong>finieren,<br />
damit die daran gestellten datenschutzrechtlichen Anfor<strong>de</strong>rungen ein<strong>de</strong>utig festgelegt wer<strong>de</strong>n können.<br />
- Zur Vorbeugung <strong>de</strong>s Missbrauchs <strong>de</strong>r Plattform wur<strong>de</strong>n bereits die Dateiformate und die Dateivolumina<br />
eingeschränkt. Diese Maßnahmen wur<strong>de</strong>n von <strong>de</strong>r LDA als zulässig und ausreichend eingeschätzt.<br />
- Die Hinweise zur Registrierung (Nutzereinwilligung, Hinweise zum Datenschutz usw.) wer<strong>de</strong>n nach<br />
Maßgabe <strong>de</strong>r im Gespräch am 03.05.2010 erhaltenen Anregungen überarbeitet und nach Abstimmung<br />
mit <strong>de</strong>r LDA ausgetauscht.<br />
Zu Ziffer 4.1.1 „Der Datenaustausch zwischen Polizei und Staatsanwaltschaft funktioniert nicht!“<br />
Zur Verbesserung <strong>de</strong>s Datenaustausches zwischen <strong>de</strong>r Staatsanwaltschaft und <strong>de</strong>r Polizei <strong>de</strong>s Lan<strong>de</strong>s<br />
<strong>Bran<strong>de</strong>nburg</strong> fin<strong>de</strong>t eine koordinierte Zusammenarbeit auf strategischer und technischer Ebene statt.<br />
Die weitere Ausgestaltung dieser Zusammenarbeit - zum Beispiel in Form <strong>de</strong>s von <strong>de</strong>r Lan<strong>de</strong>sbeauftragten<br />
gefor<strong>de</strong>rten Gremiums - wird geprüft. Sowohl das zu Grun<strong>de</strong> liegen<strong>de</strong> Fachverfahren MESTA (Mehrlän<strong>de</strong>r-
Staatsanwaltschafts-Automation) <strong>de</strong>r Staatsanwaltschaft als auch ComVor (Computergestütztes<br />
Vorgangsbearbeitungssystem) <strong>de</strong>r Polizei stellen län<strong>de</strong>rübergreifen<strong>de</strong> Produktlösungen dar. ComVor wird bei<br />
<strong>de</strong>r Polizei in <strong>Bran<strong>de</strong>nburg</strong>, Hamburg, Hessen und Ba<strong>de</strong>n-Württemberg eingesetzt, MESTA in <strong>Bran<strong>de</strong>nburg</strong>,<br />
Hessen, Hamburg, Mecklenburg-Vorpommern, Nordrhein-Westfalen und Schleswig-Holstein.<br />
Insofern können die für die Sicherung einer hohen Datenqualität erfor<strong>de</strong>rlichen Maßnahmen nicht<br />
ausschließlich lan<strong>de</strong>sintern realisiert wer<strong>de</strong>n.<br />
Vor <strong>de</strong>m Hintergrund <strong>de</strong>r in Frage kommen<strong>de</strong>n Maßnahmen initiierte <strong>de</strong>r Generalstaatsanwalt <strong>Bran<strong>de</strong>nburg</strong>s<br />
im Benehmen mit <strong>de</strong>r Polizei ein Treffen aller an <strong>de</strong>n län<strong>de</strong>rübergreifen<strong>de</strong>n Produktlösungen beteiligten<br />
Generalstaatsanwaltschaften und Polizeien. Daneben erörterte die Polizei die erfor<strong>de</strong>rlichen Maßnahmen im<br />
Rahmen <strong>de</strong>r ComVor zu Grun<strong>de</strong> liegen<strong>de</strong>n IT-Kooperation. In <strong>de</strong>r Folge wur<strong>de</strong>n Än<strong>de</strong>rungen in <strong>de</strong>n<br />
Fachverfahren MESTA und ComVor vorgenommen, die <strong>de</strong>rzeit getestet wer<strong>de</strong>n. Ferner muss für einen Teil<br />
<strong>de</strong>r notwendigen Än<strong>de</strong>rungen das für die Datenübermittlung genutzte bun<strong>de</strong>sweite Nachrichtenformat XJustiz<br />
angepasst wer<strong>de</strong>n. Hierfür erarbeitet die zuständige bun<strong>de</strong>sweite Unterarbeitsgruppe auf Initiative <strong>de</strong>r<br />
Generalstaatsanwaltschaft entsprechen<strong>de</strong> Än<strong>de</strong>rungsvorschläge.<br />
Weiterhin prüft die Polizei <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> die Anregung <strong>de</strong>r LDA zur automatisierten Übernahme<br />
von Entscheidungen <strong>de</strong>r Justiz über ComVor nach POLAS (Polizeiliches Auskunftssystem). Die<br />
Automatisierung hätte <strong>de</strong>n Wegfall <strong>de</strong>r händischen Übernahme <strong>de</strong>r Entscheidungen von ComVor nach POLAS<br />
zur Folge und wür<strong>de</strong> weitere Kapazitäten für die durchzuführen<strong>de</strong> Erfor<strong>de</strong>rlichkeitsprüfung gemäß § 47 Abs. 2<br />
Nr. 3 BbgPolG freigeben.<br />
Schließlich gewährleistet die Fachhochschule <strong>de</strong>r Polizei durch ein umfassen<strong>de</strong>s Schulungskonzept die<br />
Qualifizierung <strong>de</strong>r Polizeivollzugsbeamten zur Sicherung <strong>de</strong>r Datenqualität. Hierzu wer<strong>de</strong>n insbeson<strong>de</strong>re die<br />
Führungskräfte geschult sowie <strong>de</strong>rzeit 26 <strong>de</strong>zentral eingesetzte IT-Trainer für die Ausbildung in <strong>de</strong>n<br />
Polizeibehör<strong>de</strong>n und –einrichtungen ausgebil<strong>de</strong>t. Die <strong>de</strong>zentrale Schulung <strong>de</strong>r Polizeivollzugsbeamten durch<br />
die IT-Trainer erfolgt anhand eines einheitlichen Seminarkonzeptes. Die enge Abstimmung mit <strong>de</strong>m<br />
Zentraldienst <strong>de</strong>r Polizei und die Einbindung <strong>de</strong>r IT-Trainer <strong>de</strong>r Fachhochschule <strong>de</strong>r Polizei in die<br />
Testverfahren <strong>de</strong>r weiterentwickelten Programmversionen stellt eine hohe Qualität <strong>de</strong>r Schulungen sicher.<br />
Zu Ziffer 4.1.2 „Überprüfung von Stellenbewerbern“<br />
Die von <strong>de</strong>r LDA in <strong>de</strong>r Vergangenheit für zulässig 1 gehaltene und nunmehr gerügte Verfahrensweise zur<br />
Überprüfung von Stellenbewerbern für <strong>de</strong>n Vorbereitungsdienst bei <strong>de</strong>r <strong>Bran<strong>de</strong>nburg</strong>er Polizei fin<strong>de</strong>t aktuell<br />
keine Anwendung mehr.<br />
1<br />
14. Tätigkeitsbericht <strong>de</strong>r LDA; Ziffer 5.4.2
Mit Beginn <strong>de</strong>r Auswahlverfahren für das Einstellungsjahr 2010 im September 2009 wur<strong>de</strong> für die Überprüfung<br />
<strong>de</strong>r charakterlichen Eignung <strong>de</strong>r Polizeibewerber ein an<strong>de</strong>rer Weg gewählt. Es wer<strong>de</strong>n nur Bewerber<br />
überprüft, die nach <strong>de</strong>m Auswahlverfahren grundsätzlich für eine Einstellung in Frage kommen. Diese äußern<br />
sich im Rahmen einer persönlichen Erklärung, ob gegen sie Ermittlungs- o<strong>de</strong>r Strafverfahren anhängig sind<br />
o<strong>de</strong>r waren. Unabhängig davon reichen sie ein aktuelles Führungszeugnis ein. Ergänzend dazu stellt <strong>de</strong>r<br />
Bewerber bei seiner zuständigen Polizeidienststelle einen Antrag auf Auskunft aus <strong>de</strong>m polizeilichen<br />
Auskunftssystem gemäß § 71 Abs. 1 BbgPolG. Das Ergebnis dieser Anfrage übersen<strong>de</strong>t <strong>de</strong>r Bewerber auf<br />
freiwilliger Basis an <strong>de</strong>n Auswahldienst <strong>de</strong>r Fachhochschule <strong>de</strong>r Polizei. Nach § 94 Abs. 1<br />
Lan<strong>de</strong>sbeamtengesetz darf <strong>de</strong>r Dienstherr diese personenbezogenen Daten über <strong>de</strong>n Bewerber zur<br />
Begründung <strong>de</strong>s Dienstverhältnisses erheben. Das Ministerium <strong>de</strong>s Innern schätzt diese rechtmäßige<br />
Verfahrensweise auch als notwendig ein, um die charakterliche Eignung für das Amt <strong>de</strong>s<br />
Polizeivollzugsbeamten festzustellen.<br />
Zu Ziffer 4.3 „Auslän<strong>de</strong>r<br />
Datenübermittlung <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> an die Sozialbehör<strong>de</strong>“<br />
Bereits im Juni 2009 hat das Ministerium <strong>de</strong>s Innern gegenüber <strong>de</strong>r LDA erklärt, dass we<strong>de</strong>r das<br />
Aufenthaltsgesetz (AufenthG) noch das Asylbewerberleistungsgesetz (AsylbLG) eine Rechtsgrundlage für die<br />
von <strong>de</strong>r LDA beanstan<strong>de</strong>te Übermittlung von Strafanzeigen, d.h. <strong>de</strong>s bloßen Verdachts einer Straftat, enthält<br />
und diese Übermittlung daher unterbleiben muss.<br />
Hinsichtlich <strong>de</strong>r Übermittlung „konkreter Anhaltspunkte“ für die im Tätigkeitsbericht im Einzelnen aufgeführten<br />
übermittlungspflichtigen Sachverhalte vertrat und vertritt das Ministerium <strong>de</strong>s Innern in Übereinstimmung mit<br />
<strong>de</strong>m Ministerium für Arbeit, Soziales, Frauen und Familie die Auffassung, dass es genügt, wenn konkrete<br />
Tatsachen darauf schließen lassen, dass ein Auslän<strong>de</strong>r eine <strong>de</strong>r unter § 90 Abs. 1 Ziffern 1 bis 3 AufenthG<br />
genannten Verstöße begangen hat. Bloße Vermutungen reichen nicht aus, aber eines Beweises o<strong>de</strong>r einer<br />
rechtskräftigen Verurteilung bedarf es nicht.<br />
Ob die an die Sozialbehör<strong>de</strong>n übermittelten „konkreten Anhaltspunkte“ für das Vorliegen eines <strong>de</strong>r in § 90 Abs.<br />
1 AufenthG genannten Verstöße Auswirkungen auf Art und Umfang <strong>de</strong>r Sozialleistung haben, entschei<strong>de</strong>n<br />
allein die Sozialbehör<strong>de</strong>n. Diese sind an die übermittelten Anhaltspunkte und <strong>de</strong>ren mögliche Wertung durch<br />
die übermitteln<strong>de</strong> Auslän<strong>de</strong>rbehör<strong>de</strong> nicht gebun<strong>de</strong>n, son<strong>de</strong>rn entschei<strong>de</strong>n nach eigener Prüfung <strong>de</strong>s<br />
Sachverhalts. An<strong>de</strong>rs als im Tätigkeitsbericht dargestellt, sind die Sozialbehör<strong>de</strong>n keineswegs verpflichtet, auf<br />
die übermittelten konkreten Anhaltspunkte einen Verwaltungsakt, z.B. eine Leistungskürzung, zu stützen.
Insofern ist die Auslän<strong>de</strong>rbehör<strong>de</strong> vor einer Übermittlung auch nicht „gehalten, in je<strong>de</strong>m Einzelfall zu prüfen,<br />
ob sie nach Sachlage für die Leistungsfestsetzung <strong>de</strong>r Sozialbehör<strong>de</strong> erfor<strong>de</strong>rlich ist“. Nach Auffassung <strong>de</strong>r<br />
Lan<strong>de</strong>sregierung ist es gera<strong>de</strong> Sinn und Zweck <strong>de</strong>s § 90 AufenthG, entsprechen<strong>de</strong> konkrete Tatsachen und<br />
Umstän<strong>de</strong>, die <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> bei ihrer Tätigkeit zur Kenntnis gelangt sind, an die Sozialbehör<strong>de</strong>n zu<br />
übermitteln, damit diese in eigener Zuständigkeit und mit ihrer sozialrechtlichen Kompetenz <strong>de</strong>n Sachverhalt<br />
prüfen und die ggf. notwendigen Entscheidungen nach §§ 1 ff AsylbLG treffen können.<br />
Da die LDA inzwischen in ihrer abschließen<strong>de</strong>n Antwort vom 1. Februar 2010 erklärt hat, auch sie sehe<br />
„keinen Hin<strong>de</strong>rungsgrund, <strong>de</strong>r Sozialbehör<strong>de</strong> auch die konkreten Sachverhalte zu übermitteln, auf die die<br />
Auslän<strong>de</strong>rbehör<strong>de</strong> ihre Erkenntnisse bezüglich <strong>de</strong>r leistungsreduzieren<strong>de</strong>n Tatbestän<strong>de</strong> nach § 1a <strong>de</strong>s<br />
Asylbewerberleistungsgesetzes stützt“, ist davon auszugehen, dass bezüglich <strong>de</strong>r im Tätigkeitsbericht<br />
beanstan<strong>de</strong>ten Datenübermittlung kein Dissens (mehr) besteht. Die Herausgabe eines entsprechen<strong>de</strong>n<br />
Erlasses an die Auslän<strong>de</strong>rbehör<strong>de</strong>n wird nun mit <strong>de</strong>m Ministerium für Arbeit, Soziales, Frauen und Familie<br />
abgestimmt.<br />
Zu Ziffer 4.4.2 „Prüfung <strong>de</strong>s Verfahrens zur Beantragung von Reisepässen“<br />
Das im Tätigkeitsbericht beschriebene Problem <strong>de</strong>r Datensicherung <strong>de</strong>r Fingerabdrücke über <strong>de</strong>n<br />
Aushändigungszeitraum hinweg konnte noch nicht vollständig gelöst wer<strong>de</strong>n; es han<strong>de</strong>lt sich im Übrigen um<br />
ein die Grenzen <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> überschreiten<strong>de</strong>s Problem. Der Softwarehersteller wur<strong>de</strong> von <strong>de</strong>n<br />
Passbehör<strong>de</strong>n bereits im Jahr 2008 zu einer gesetzeskonformen Verän<strong>de</strong>rung aufgefor<strong>de</strong>rt.<br />
Zur Möglichkeit <strong>de</strong>r Überprüfung seiner Fingerabdrücke durch <strong>de</strong>n jeweiligen Antragsteller ist festzustellen,<br />
dass zur Zeit Pass-Antragstellern, die vor <strong>de</strong>r Aushändigung ihres Passes ihr Recht auf Überprüfung <strong>de</strong>r<br />
Fingerabdrücke wahrnehmen wollen, durch Aufrufen <strong>de</strong>r Bil<strong>de</strong>r ihrer Fingerabdrücke im Passverfahren bei<br />
gleichzeitigem Einlegen <strong>de</strong>s ePasses im daneben stehen<strong>de</strong>n ePass-Lesegerät die Überprüfung ermöglicht<br />
wer<strong>de</strong>n kann. Nach <strong>de</strong>r Aushändigung und <strong>de</strong>r damit verbun<strong>de</strong>nen Löschung <strong>de</strong>r Fingerabdrücke gibt es<br />
diese Möglichkeit nicht mehr.<br />
Hier ist es notwendig eine bun<strong>de</strong>seinheitliche praxisorientierte Lösung zu fin<strong>de</strong>n.<br />
Des Weiteren wur<strong>de</strong> von <strong>de</strong>r LDA die Frage nach <strong>de</strong>r Verschlüsselung <strong>de</strong>r im lokalen Netz übertragenen und<br />
in <strong>de</strong>r Datenbank gespeicherten sensitiven personenbezogenen Daten aufgeworfen. Auch diese Problematik<br />
wur<strong>de</strong> durch die Passbehör<strong>de</strong>n an die Softwarehersteller herangetragen. Der gegenwärtig diskutierte<br />
kostenintensive Lösungsansatz wirkt sich jedoch negativ auf das Laufzeitverhalten aus. Daher wer<strong>de</strong>n weitere<br />
technische Lösungen geprüft.
Das Ministerium <strong>de</strong>s Innern wird <strong>de</strong>n weiteren Prozess im Rahmen seiner Aufsichtsbefugnisse begleiten.<br />
Zu Ziffer 4.4.3 „Unberechtigte Zugriffe auf die Online-Mel<strong>de</strong>registerauskunft“<br />
Das Ministerium <strong>de</strong>s Innern hat <strong>de</strong>n von <strong>de</strong>r LDA zutreffend beschriebenen Vorfall unverzüglich zum Anlass<br />
genommen, die betroffenen Mel<strong>de</strong>behör<strong>de</strong>n anzuweisen, die Portale für die Online-Mel<strong>de</strong>registerauskunft<br />
abzuschalten. Damit wur<strong>de</strong> sichergestellt, dass ab diesem Zeitpunkt keine Zugriffe mehr auf die Mel<strong>de</strong>daten<br />
erfolgen konnten. Die Prüfung <strong>de</strong>r Angelegenheit erfolgte zuständigkeitshalber in erster Linie von <strong>de</strong>r LDA, da<br />
es sich vorrangig um einen datenschutzrechtlichen Verstoß von öffentlichen Stellen han<strong>de</strong>lte. Der Bitte <strong>de</strong>r<br />
LDA, die Prüfung bei <strong>de</strong>n betroffenen Behör<strong>de</strong>n zu begleiten, ist das Ministerium <strong>de</strong>s Innern nachgekommen.<br />
Die Bewertung <strong>de</strong>r LDA wird vom Ministerium <strong>de</strong>s Innern geteilt. Als Konsequenz aus <strong>de</strong>m Vorfall ist seit<strong>de</strong>m<br />
die Erteilung einfacher Mel<strong>de</strong>registerauskünfte an Private im Online-Verfahren nur bei einer <strong>de</strong>r betroffenen<br />
Mel<strong>de</strong>behör<strong>de</strong>n wie<strong>de</strong>r aufgenommen wor<strong>de</strong>n. In diesem Fall hat die Mel<strong>de</strong>behör<strong>de</strong> vor <strong>de</strong>r Inbetriebnahme<br />
<strong>de</strong>r Online-Mel<strong>de</strong>registerauskunft in Auswertung <strong>de</strong>r Prüfung durch die LDA und <strong>de</strong>n dabei festgestellten<br />
Mängeln hinsichtlich <strong>de</strong>r bestehen<strong>de</strong>n technischen und organisatorischen Maßnahmen Festlegungen<br />
getroffen, welche auf die Behebung <strong>de</strong>r Unzulänglichkeiten abzielten. Das erfor<strong>de</strong>rliche IT-Sicherheitskonzept<br />
nach Vorgaben <strong>de</strong>s BSI, welches auch die Passbehör<strong>de</strong> einschließt, befin<strong>de</strong>t sich in <strong>de</strong>r Entwicklung, die<br />
Fertigstellung ist nunmehr für das Jahr 2010 vorgesehen. Bereits im Jahr 2008 wur<strong>de</strong> die Einrichtung einer<br />
Stelle für einen Sicherheitsbeauftragten veranlasst, <strong>de</strong>ren Besetzung zwischenzeitlich realisiert wur<strong>de</strong>.<br />
Bezogen auf die Online-Mel<strong>de</strong>registerauskunft wur<strong>de</strong>n alle notwendigen technischen und organisatorischen<br />
Datenschutzmaßnahmen vor <strong>de</strong>r Wie<strong>de</strong>rinbetriebnahme realisiert.<br />
Die übrigen von <strong>de</strong>m Vorfall betroffenen Mel<strong>de</strong>behör<strong>de</strong>n haben ihre Online-Mel<strong>de</strong>registerauskunft wegen <strong>de</strong>r<br />
festgestellten Mängel in <strong>de</strong>r IT-Sicherheitsarchitektur bislang nicht wie<strong>de</strong>r in Betrieb genommen. Eine<br />
Inbetriebnahme steht unter <strong>de</strong>m Vorbehalt eines ausreichen<strong>de</strong>n IT-Sicherheitskonzepts.<br />
Das Ministerium <strong>de</strong>s Innern wird <strong>de</strong>n weiteren Prozess im Rahmen seiner Aufsichtsbefugnisse begleiten.<br />
Zu Ziffer 4.5.2 „IT-Sicherheitskonzepte <strong>de</strong>r Ministerien – eine Bestandsaufnahme“<br />
Das lan<strong>de</strong>sweite IT- Sicherheitsmanagement-Team unter Führung <strong>de</strong>s IT- Sicherheitsmanagers <strong>de</strong>s Lan<strong>de</strong>s<br />
im Ministerium <strong>de</strong>s Innern wird die Erarbeitung, Umsetzung und regelmäßige Fortschreibung von IT-<br />
Sicherheitskonzepten in <strong>de</strong>n Ressorts im Rahmen seiner koordinieren<strong>de</strong>n Rolle unterstützen.<br />
Der mit <strong>de</strong>m Vorhaben <strong>de</strong>r Schaffung eines <strong>Bran<strong>de</strong>nburg</strong>ischen IT- Dienstleisters vorgesehenen<br />
Zentralisierung <strong>de</strong>r IT- Infrastruktur folgt eine Zentralisierung <strong>de</strong>r IT- Sicherheitskonzepte für diesen Bereich<br />
und wird hier eine weitestgehen<strong>de</strong> Standardisierung möglich machen. Hierfür wur<strong>de</strong> bereits die Einführung
eines SIS (Sicherheitsinformationssystem) konzipiert und mit einer Arbeitsgruppe <strong>de</strong>s IT-<br />
Sicherheitsmanagement-Teams organisatorisch untersetzt.<br />
Zu Ziffer 4.5.3 „IT-Sicherheitsmanagement in <strong>de</strong>r Lan<strong>de</strong>sverwaltung“<br />
Zur I<strong>de</strong>ntifizierung noch fehlen<strong>de</strong>r ressortspezifische IT- Sicherheitsrichtlinien wird En<strong>de</strong> 2010 im lan<strong>de</strong>sweiten<br />
IT- Sicherheitsmanagement-Team eine entsprechen<strong>de</strong> Abfrage gestartet. Die Abfrage ist Bestandteil <strong>de</strong>r<br />
Planung 2010 <strong>de</strong>s IT- Sicherheitsmanagement-Teams und wur<strong>de</strong> im Rahmen <strong>de</strong>r Jahresplanung <strong>de</strong>m<br />
zuständigen RIO-Ausschuss zur Bestätigung vorgelegt.<br />
Zu Ziffer 4.5.4 „Neuer <strong>Bran<strong>de</strong>nburg</strong>ischer IT- Dienstleister“<br />
Die wesentlichen For<strong>de</strong>rungen <strong>de</strong>s Datenschutzes, die bei <strong>de</strong>r Errichtung <strong>de</strong>s zentralen IT- Dienstleisters zu<br />
berücksichtigen sind, fin<strong>de</strong>n ihre Berücksichtigung über die mit je<strong>de</strong>m Ressort abzuschließen<strong>de</strong><br />
Ressortvereinbarung (als eine Extra-Anlage Datenschutz). Diese Anlage wur<strong>de</strong> im Vorfeld mit Vertretern <strong>de</strong>r<br />
LDA abgestimmt.<br />
Zu Ziffer 4.5.5 „Die elektronische Akte in <strong>de</strong>r Lan<strong>de</strong>sverwaltung – EL.DOK BB nimmt Fahrt auf“<br />
Die LDA wur<strong>de</strong> durch das Ministerium <strong>de</strong>s Innern frühzeitig in das Projekt EL.DOK BB eingebun<strong>de</strong>n. Ihre<br />
Hinweise wer<strong>de</strong>n berücksichtigt. Mit <strong>de</strong>r lan<strong>de</strong>sweiten Einführung von EL.DOK BB wird gegenüber <strong>de</strong>m<br />
gegenwärtigen Zustand ein erhöhtes Maß an Datenschutz bei <strong>de</strong>r elektronischen Aktenhaltung und<br />
Vorgangsbearbeitung erreicht wer<strong>de</strong>n.<br />
Zu Ziffer 4.5.6 „IP-Telefonie im LVN 3.0“<br />
Seit Januar 2010 sind alle IP-Telefone über ein Zertifikat am Call Manager authentifiziert und <strong>de</strong>r<br />
Sprachverkehr zwischen <strong>de</strong>n Endgeräten läuft verschlüsselt. Eine Ausnahme bil<strong>de</strong>n angeschlossene analoge<br />
Endgeräte, da diese keine Verschlüsselung unterstützen.<br />
Im Rahmen <strong>de</strong>s Aufbaus <strong>de</strong>s Sicherheitsinformationssystem wird <strong>de</strong>rzeit auch eine einheitliche<br />
Schutzbedarfskategorisierung für alle IT-Sicherheitskonzepte <strong>de</strong>r Lan<strong>de</strong>sverwaltung erarbeitet, um eine<br />
Vergleichbarkeit herstellen zu können. Das Ergebnis wird bei <strong>de</strong>r Erarbeitung <strong>de</strong>s Sicherheitskonzept „VOIP“<br />
berücksichtigt wer<strong>de</strong>n.<br />
Zu Ziffer 4.6.1 „Novellierung <strong>de</strong>s Lan<strong>de</strong>sbeamtengesetzes“
Im Rahmen <strong>de</strong>r Novellierung <strong>de</strong>s Lan<strong>de</strong>sbeamtengesetzes (LBG) durch das <strong>Bran<strong>de</strong>nburg</strong>ische<br />
Beamtenrechtsneuordnungsgesetz wur<strong>de</strong> mit § 94 Abs. 3 LBG die Möglichkeit geschaffen, Personalakten<br />
künftig teilweise o<strong>de</strong>r vollständig in automatisierter Form zu führen.<br />
Die LDA kritisiert, dass die Lan<strong>de</strong>sregierung im Rahmen <strong>de</strong>r Abstimmung <strong>de</strong>s Gesetzentwurfes ihrem<br />
Vorschlag nicht gefolgt ist, diese Regelung durch eine Verordnungsermächtigung zu ergänzen.<br />
Die Lan<strong>de</strong>sregierung ist <strong>de</strong>m Vorschlag <strong>de</strong>r LDA nicht gefolgt, da sich die aus Sicht <strong>de</strong>r LDA durch<br />
Rechtsverordnung zu regeln<strong>de</strong>n Sachverhalte zum Teil bereits aus <strong>de</strong>m Lan<strong>de</strong>sbeamtengesetz selbst, aber<br />
auch aus <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetz und <strong>de</strong>m Verwaltungsverfahrensgesetz ergeben.<br />
Der Gesetzgeber hat die Regelung <strong>de</strong>s § 94 Abs. 3 LBG in <strong>de</strong>r von <strong>de</strong>r Lan<strong>de</strong>sregierung vorgelegten Fassung<br />
beschlossen.
Zu Ziffer 4.6.3 „Personalinformationssystem PERIS“<br />
Die von <strong>de</strong>r LDA gegebenen Hinweise wur<strong>de</strong>n und wer<strong>de</strong>n berücksichtigt. Auf diese Weise ist sichergestellt,<br />
dass das ohnehin bereits hohe Datenschutzniveau <strong>de</strong>s Personalinformationssystems PerIS mit <strong>de</strong>r<br />
Produktivsetzung <strong>de</strong>r Lan<strong>de</strong>sbasislösung weiter erhöht wird.<br />
Zu Ziffer 4.7.2 „Mobiler Bürgerservice“<br />
Das Projekt „Mobiler Bürgerservice“ ist ein kommunales Vorhaben, das vom Land finanziell geför<strong>de</strong>rt wur<strong>de</strong>.<br />
Das Ministerium <strong>de</strong>s Innern wird im Rahmen seiner Zusammenarbeit mit <strong>de</strong>n Kommunen darauf hinwirken,<br />
dass entsprechen<strong>de</strong> Sicherheitsbelange berücksichtigt wer<strong>de</strong>n.<br />
Zu Ziffer 5.2 „Untersuchungshaftvollzugsgesetz“ (BbgUVollzG)<br />
Nach Auffassung <strong>de</strong>r LDA wird Datenschutzrechten von Untersuchungsgefangenen im BbgUVollzG nur<br />
unzureichend Rechnung getragen. Zur Begründung verweist die LDA auf drei Fälle, in <strong>de</strong>nen sie im Rahmen<br />
<strong>de</strong>r Beteiligung am Gesetzgebungsverfahren keine datenschutzrechtliche Verbesserung habe erreichen<br />
können.<br />
1. Der Anstaltsleiter könne einem Untersuchungsgefangenen versagen, auf eigene Kosten externen<br />
ärztlichen Rat einzuholen, wenn <strong>de</strong>r Untersuchungsgefangene <strong>de</strong>n Arzt seines Vertrauens und <strong>de</strong>n<br />
ärztlichen Dienst <strong>de</strong>r Anstalt nicht wechselseitig von <strong>de</strong>r Schweigepflicht entbin<strong>de</strong>. Es liege jedoch<br />
regelmäßig in <strong>de</strong>r freien Entscheidung eines Patienten, wem er welche Gesundheitsdaten offenbare und<br />
ob er verschie<strong>de</strong>ne Ärzte untereinan<strong>de</strong>r von <strong>de</strong>r Schweigepflicht entbin<strong>de</strong>. Die Verantwortung für die<br />
Beeinträchtigung seiner Behandlung durch fehlen<strong>de</strong> Information trage er selber. Obgleich die LDA<br />
gefor<strong>de</strong>rt habe, ein überwiegen<strong>de</strong>s Interesse <strong>de</strong>r Allgemeinheit an <strong>de</strong>r Einschränkung <strong>de</strong>s Grundrechts<br />
auf Datenschutz darzulegen, sei die Gesetzesbegründung unverän<strong>de</strong>rt geblieben.<br />
Die LDA hatte vorgetragen, dass es die freie Entscheidung <strong>de</strong>s Patienten sei, wem er welche nach § 4a<br />
BbgDSG beson<strong>de</strong>rs geschützten Daten über seine Gesundheit offenbare. Daher sollten im Gesetz<br />
zusätzliche Kriterien genannt wer<strong>de</strong>n, die bei <strong>de</strong>r Ermessensentscheidung, ob bei Verweigerung <strong>de</strong>r<br />
Schweigepflichtentbindungserklärung eine Behandlung durch <strong>de</strong>n Wahlarzt versagt wer<strong>de</strong>, von<br />
Be<strong>de</strong>utung seien. Die Lan<strong>de</strong>sregierung war diesem Vorschlag in ihrem Gesetzentwurf nicht gefolgt, da es<br />
sich hier jeweils um Einzelfallentscheidungen han<strong>de</strong>lt und die Kriterien nicht nur ärztlicher, son<strong>de</strong>rn auch<br />
vollzuglicher Art sein dürften. Die Vorschrift dient auch <strong>de</strong>m Schutz <strong>de</strong>r Anstaltsärzte vor <strong>de</strong>m in <strong>de</strong>r<br />
Praxis häufig anzutreffen<strong>de</strong>n, ungerechtfertigten Vorwurf, die Gefangenen unsachgemäß behan<strong>de</strong>lt zu<br />
haben. Deshalb wur<strong>de</strong>n - in Übereinstimmung mit <strong>de</strong>n Gesetzentwürfen <strong>de</strong>r an<strong>de</strong>ren neun Län<strong>de</strong>r, die in
einer län<strong>de</strong>rübergreifen<strong>de</strong>n Arbeitsgruppe gemeinsam mit <strong>Bran<strong>de</strong>nburg</strong> einen Mustergesetzentwurf<br />
erarbeitet hatten - keine zusätzlichen Kriterien in <strong>de</strong>n Gesetzestext aufgenommen.<br />
2. Die Kommunikation eines Untersuchungsgefangenen mit seinem Verteidiger sowie <strong>de</strong>r Schriftwechsel mit<br />
Abgeordneten o<strong>de</strong>r <strong>de</strong>r LDA sei beson<strong>de</strong>rs geschützt. Ein geringerer Schutz bestehe für die<br />
Kommunikation mit Rechtsanwälten und Notaren. Der Kontakt mit an<strong>de</strong>ren Berufsgeheimnisträgern wie<br />
Geistlichen, Schwangerschafts- und Drogenberatungsstellen sei gar nicht beson<strong>de</strong>rs geregelt. Die LDA<br />
habe u. a. darauf hingewiesen, dass so <strong>de</strong>r Schutz sensitiver Informationen nicht hinreichend<br />
berücksichtigt wer<strong>de</strong>.<br />
Diese Argumente hatten sowohl die LDA im hiesigen Gesetzgebungsverfahren als auch <strong>de</strong>r<br />
Bun<strong>de</strong>sdatenschutzbeauftragte in seiner Stellungnahme zu § 119 Strafprozessordnung-Entwurf (StPO-E)<br />
vorgetragen. Die Lan<strong>de</strong>sregierung war dieser Argumentation - wie auch die Bun<strong>de</strong>sregierung zu § 119<br />
StPO-E - nicht gefolgt, da mit Blick auf die mit <strong>de</strong>n Haftgrün<strong>de</strong>n verbun<strong>de</strong>nen Gefahren <strong>de</strong>r Sicherheit<br />
und Ordnung die Ausnahmen eng zu begrenzen sind. Daher ist lediglich <strong>de</strong>r Umgang mit <strong>de</strong>m Verteidiger<br />
privilegiert. Wie auch im Strafvollzug mussten hier Aspekte <strong>de</strong>s Datenschutzes hinter<br />
Sicherheitsbelangen zurücktreten.<br />
3. Die Empfehlung, <strong>de</strong>m Betroffenen auf seinen Wunsch hin - wie bei sonstigen Regelungen - generell<br />
Akteneinsicht in Unterlagen zu seiner Person zu gewähren und nur im Ausnahmefall auf eine bloße<br />
Auskunft zurückzugreifen, habe ebenfalls kein Gehör gefun<strong>de</strong>n.<br />
Die LDA hatte im Beteiligungsverfahren dargelegt, dass bei einem Auskunftsersuchen in <strong>de</strong>r Regel<br />
Einsicht zu gewähren sei und diese nur ausnahmsweise völlig verwehrt o<strong>de</strong>r durch eine Auskunft ersetzt<br />
wer<strong>de</strong>n dürfe. § 95 Abs. 8 BbgUVollzG kehre dieses Regel-Ausnahme-Verhältnis um und solle daher<br />
gestrichen wer<strong>de</strong>n. Die Lan<strong>de</strong>sregierung war auch diesem Vorschlag nicht gefolgt, da sich die Vorschrift -<br />
wie auch die inhaltsgleiche Bestimmung <strong>de</strong>s § 95 Abs. 8 <strong>Bran<strong>de</strong>nburg</strong>isches Jugendstrafvollzugsgesetz<br />
und die Regelungen <strong>de</strong>r an<strong>de</strong>ren Län<strong>de</strong>r <strong>de</strong>r Arbeitsgruppe - am Maßstab <strong>de</strong>s § 19<br />
Bun<strong>de</strong>sdatenschutzgesetz orientiert und nicht ersichtlich war und ist, warum sie verfassungsrechtlichen<br />
Be<strong>de</strong>nken begegnet. Eine Umkehrung <strong>de</strong>s genannten Regel-Ausnahme-Verhältnisses ist mit Blick auf die<br />
sicherheitsrelevanten Inhalte <strong>de</strong>r Gefangenenpersonalakten durchaus zu rechtfertigen.<br />
Zu Ziffer 5.3 „Datenverarbeitung im Justizvollzug“<br />
Seit Dezember 2009 läuft BASIS-Web in allen Justizvollzugsanstalten im Echtbetrieb. Nach <strong>de</strong>r<br />
arbeitsintensiven Einführungsphase liegt <strong>de</strong>r Fokus nun darauf, <strong>de</strong>n Betrieb von BASIS-Web zu sichern und<br />
zu optimieren. Dies gilt auch hinsichtlich <strong>de</strong>r im Tätigkeitsbericht angesprochenen Punkte. Die Datensicherheit
wird im Rahmen <strong>de</strong>s im Justizvollzug Erfor<strong>de</strong>rlichen berücksichtigt. Daneben wird <strong>de</strong>rzeit an <strong>de</strong>r<br />
Verschlüsselung sensibler Daten auf weiteren Übertragungswegen gearbeitet. Die LDA wird frühzeitig über<br />
geplante Än<strong>de</strong>rungen an BASIS-Web informiert wer<strong>de</strong>n.<br />
Zu Ziffer 5.4 „Justizzentrum Potsdam“<br />
Die LDA weist in ihrem Tätigkeitsbericht darauf hin, dass es für <strong>de</strong>n rechtskonformen Betrieb <strong>de</strong>r DV-Anlagen<br />
im Justizzentrum an Verträgen über die Datenverarbeitung im Auftrag fehle. Im Ergebnis <strong>de</strong>r<br />
Beratungsgespräche mit <strong>de</strong>r LDA wur<strong>de</strong> <strong>de</strong>r Geschäftsbereich im Mai 2009 um entsprechen<strong>de</strong> Veranlassung<br />
gebeten. Der Entwurf einer Vereinbarung liegt nunmehr vor und befin<strong>de</strong>t sich in <strong>de</strong>r Zeichnungsabstimmung.<br />
Sobald <strong>de</strong>r gezeichnete Vertrag vorliegt, wird die LDA unaufgefor<strong>de</strong>rt hierüber in Kenntnis gesetzt<br />
Darüber hinaus hat die LDA in ihrem Bericht das Fehlen eines Sicherheitskonzepts für das Justizzentrum<br />
gerügt. Dieser Sachverhalt ist zwischenzeitlich überholt, da ein Sicherheitskonzept für das Land- und das<br />
Amtsgericht sowie für die Staatsanwaltschaft in Potsdam erstellt wor<strong>de</strong>n ist.<br />
Soweit im Tätigkeitsbericht <strong>de</strong>r LDA ausgeführt wird, dass das Landgericht Potsdam als Betreiber<br />
gemeinsamer DV-Verfahren sich zur Administration dieser Systeme mangels eigenem technischen Personals<br />
nach lediglich mündlicher Vereinbarung mit <strong>de</strong>r Staatsanwaltschaft eines abgeordneten Mitarbeiters <strong>de</strong>r<br />
Generalstaatsanwaltschaft <strong>de</strong>s Lan<strong>de</strong>s bedient, hat <strong>de</strong>r Präsi<strong>de</strong>nt <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Oberlan<strong>de</strong>sgerichtes (POLG) darauf hingewiesen, dass im Juli 2008 eine schriftliche Vereinbarung zur<br />
Zugangskontrolle zwischen <strong>de</strong>n Generalstaatsanwalt <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> und <strong>de</strong>m POLG getroffen<br />
wur<strong>de</strong>. Der Generalstaatsanwalt <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> hat sich auf Ersuchen <strong>de</strong>s POLG bereiterklärt, die<br />
technisch-administrative Administration <strong>de</strong>s Servers <strong>de</strong>r Zugangskontrolle zu übernehmen. Die Zugangskarten<br />
wer<strong>de</strong>n von <strong>de</strong>n jeweiligen Behör<strong>de</strong>n selbst erstellt. Dabei wur<strong>de</strong> das Bestehen eines Wartungsvertrages mit<br />
<strong>de</strong>r Herstellerfirma vorausgesetzt.<br />
Regelungen zur Verarbeitung personenbezogener Daten sind insoweit nicht erfor<strong>de</strong>rlich gewesen, da eine<br />
Datenverarbeitung i. S. v. § 3 Absatz 2 BbgDSG nicht erfolgt. Dem Problem <strong>de</strong>s Einsatzes eines einzigen IT-<br />
Mitarbeiters für die Administration einer Vielzahl an IT-Verfahren habe man seitens POLG Rechnung getragen<br />
und ab Januar 2009 einen Techniker aus <strong>de</strong>m IT-Dezernat dauerhaft an das Landgericht Potsdam abgeordnet.<br />
Zu Ziffer 8<br />
„Umsetzung <strong>de</strong>r europäischen Dienstleistungsrichtlinie“<br />
1. Das Binnenmarktinformationssystem <strong>de</strong>r EU (Internal Market Information System- IMI)
Die LDA hat <strong>de</strong>n ersten Entwurf <strong>de</strong>r Rechtsverordnung, die aufgrund § 9 Abs. 1 <strong>de</strong>s Gesetzes zur Einführung<br />
<strong>de</strong>s Einheitlichen Ansprechpartners für das Land <strong>Bran<strong>de</strong>nburg</strong> und zur Än<strong>de</strong>rung weiterer Vorschriften vom<br />
07.07.2009 (BbgEAPG) erlassen wer<strong>de</strong>n sollte, kritisiert. Dem Entwurf fehle ein ein<strong>de</strong>utiger Hinweis auf die<br />
Zweckbindung <strong>de</strong>r personenbezogenen Daten. Außer<strong>de</strong>m müsse <strong>de</strong>r beson<strong>de</strong>re Schutzbedarf <strong>de</strong>r<br />
personenbezogenen Daten <strong>de</strong>utlich herausgestellt wer<strong>de</strong>n. Für die Verarbeitung <strong>de</strong>r Daten bedürfe es <strong>de</strong>r<br />
Umsetzung angemessener technischer und organisatorischer Maßnahmen.<br />
Hierzu nimmt die Lan<strong>de</strong>sregierung wie folgt Stellung:<br />
Bei <strong>de</strong>r Fassung <strong>de</strong>r Verordnung, die in <strong>de</strong>m Tätigkeitsbericht <strong>de</strong>r LDA erwähnt wird, han<strong>de</strong>lte es sich lediglich<br />
um einen ersten Arbeitsstand, <strong>de</strong>r <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten zugeleitet wur<strong>de</strong>, um gera<strong>de</strong> <strong>de</strong>ren<br />
eventuelle Vorschläge in die Verordnung einfließen zu lassen. Das Dokument war aber noch kein Entwurf, <strong>de</strong>r<br />
zur offiziellen Abstimmung übersandt wur<strong>de</strong>.<br />
Der Entwurf <strong>de</strong>r Rechtsverordnung wird <strong>de</strong>rzeit im Ministerium für Wirtschaft und Europaangelegenheiten<br />
ausgearbeitet und wird die hier erwähnten Anregungen <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten entsprechend<br />
berücksichtigen. Die LDA wird – wie bereits beim Gesetz über <strong>de</strong>n Einheitlichen Ansprechpartner für das<br />
Land <strong>Bran<strong>de</strong>nburg</strong> - frühzeitig an <strong>de</strong>m Rechtssetzungsverfahren beteiligt wer<strong>de</strong>n.<br />
Für die Umsetzung aller technischen Maßnahmen, die die IMI-Plattform betreffen, ist die Europäische<br />
Kommission (EU-KOM) zuständig. Gemäß Artikel 10 <strong>de</strong>r Entscheidung <strong>de</strong>r Kommission über <strong>de</strong>n Schutz<br />
personenbezogener Daten bei <strong>de</strong>r Umsetzung <strong>de</strong>s Binnenmarktinformationssystems (IMI) vom 12. Dezember<br />
2007 stellt die EU-KOM die Verfügbarkeit und Wartung <strong>de</strong>r IT-Infrastruktur für IMI sicher. Der Europäische<br />
Datenschutzbeauftragte hat in seiner Stellungnahme zur Entscheidung <strong>de</strong>r Kommission über <strong>de</strong>n Schutz<br />
personenbezogener Daten bei <strong>de</strong>r Umsetzung <strong>de</strong>s Binnenmarktinformationssystems (IMI) vom 12. Dezember<br />
2007 das IMI-System allgemein positiv beurteilt.<br />
Auch die organisatorischen Maßnahmen wer<strong>de</strong>n bereits in Kapiteln 2 und 3 <strong>de</strong>r o. g. Entscheidung <strong>de</strong>r<br />
Kommission grundsätzlich festgelegt. Eine Konkretisierung <strong>de</strong>r Organisation für <strong>Bran<strong>de</strong>nburg</strong> wird in <strong>de</strong>r<br />
geplanten IMI-Verordnung erfolgen, die auch <strong>de</strong>r LDA zur Abstimmung vorgelegt wird.<br />
2. Zum Portal <strong>de</strong>s Einheitlichen Ansprechpartners (EAP –Portal)<br />
Die LDA hat hierzu in ihrem Bericht vorgetragen, dass das Fachkonzept zur IT-Umsetzung <strong>de</strong>s Portals für <strong>de</strong>n
EAPBbg keine ausreichen<strong>de</strong>n Festlegungen zur Registrierung und Authentifizierung enthalte, um die<br />
zugriffsberechtigten Dienstleistungserbringer ein<strong>de</strong>utig i<strong>de</strong>ntifizieren und damit die Daten je<strong>de</strong>rzeit ihrem<br />
Ursprung zuordnen zu können. Darüber hinaus bestehe Unklarheit hinsichtlich <strong>de</strong>r Art und Struktur <strong>de</strong>r Daten,<br />
die <strong>de</strong>r Einheitliche Ansprechpartner verarbeitet sowie über die Prozesse und Verfahrensschritte, die über das<br />
Portal abgewickelt wer<strong>de</strong>n sollen. Außer<strong>de</strong>m stehe <strong>de</strong>r Entwurf <strong>de</strong>s Sicherheitskonzepts noch aus.<br />
Hierzu nimmt die Lan<strong>de</strong>sregierung wie folgt Stellung:<br />
a) Zum Fachkonzept zur IT – Umsetzung <strong>de</strong>s Portals – Festlegungen zur Registrierung und<br />
Authentifizierung <strong>de</strong>r Dienstleistungserbringer:<br />
Im Fachkonzept zur IT-Umsetzung <strong>de</strong>s EAPBbg-Portals wur<strong>de</strong> festgelegt, dass die Eigenregistrierung<br />
<strong>de</strong>r Dienstleistungserbringer über die Eingabe eines Nutzernamens und eines Passwortes erfolgt.<br />
Darüber hinaus ist <strong>de</strong>r Dienstleistungserbringer verpflichtet, in das Portal eine Kopie seines<br />
Ausweisdokumentes einzustellen, um <strong>de</strong>m EAP eine I<strong>de</strong>ntitätsprüfung zu ermöglichen.<br />
Da einheitliche EU-weite bzw. bun<strong>de</strong>sweite Vorgaben zur rechtssicheren I<strong>de</strong>ntifizierung fehlen, Art. 8<br />
Abs. 1 EG-DLR die Mitgliedstaaten aber dazu verpflichtet, <strong>de</strong>n Dienstleistungserbringern die<br />
elektronische Verfahrensabwicklung zu ermöglichen, wur<strong>de</strong> diesbezüglich eine praktikable Lösung<br />
gewählt, die <strong>de</strong>m gegenwärtigen Stand <strong>de</strong>r Technologie entspricht und eine termingerechte<br />
Umsetzung <strong>de</strong>r EG-Dienstleistungsrichtlinie sicherstellte.<br />
Neue Möglichkeiten <strong>de</strong>r Rechtssicherheit bezogen auf die I<strong>de</strong>ntifizierung <strong>de</strong>r <strong>de</strong>utschen<br />
Dienstleistungserbringer entstehen in absehbarer Zeit durch die Einführung <strong>de</strong>r neuen<br />
Personalausweise mit <strong>de</strong>r Funktion einer elektronischen Signatur. Vergleichbare Lösungen sind auch<br />
in an<strong>de</strong>ren Mitgliedstaaten, z. B. in Polen geplant.<br />
Zu<strong>de</strong>m ist <strong>de</strong>r Dienstleistungserbringer bereits jetzt verpflichtet, die Formulare – bei Bestehen eines<br />
Schriftformerfor<strong>de</strong>rnisses – elektronisch zu signieren, was eine ein<strong>de</strong>utige I<strong>de</strong>ntifizierung <strong>de</strong>s<br />
Antragstellers gewährleistet.<br />
Darüber hinaus ist festzustellen, dass die Entgegennahme <strong>de</strong>r Antragsunterlagen durch <strong>de</strong>n EAPBbg<br />
die zuständigen Behör<strong>de</strong>n von einer verlässlichen I<strong>de</strong>ntitätsprüfung <strong>de</strong>s Antragstellers nicht befreit.<br />
Die Authentifizierung, d.h. die Zuordnung <strong>de</strong>r Daten zu ihrem Ursprung, wird dadurch gewährleistet,<br />
dass <strong>de</strong>r Zugriff auf die Daten nur über das personenbezogene Fallmanagement erfolgen kann. Im
Sicherheitskonzept wur<strong>de</strong> auch <strong>de</strong>r Aspekt Authentifizierung mit Sicherheitsstufe „hoch“ versehen.<br />
b) Zu <strong>de</strong>n von <strong>de</strong>r LDA benannten Unklarheiten bezüglich<br />
aa) <strong>de</strong>r Art und Struktur <strong>de</strong>r Daten und Sicherheitskonzept:<br />
Die Art und Struktur <strong>de</strong>r zu verarbeiten<strong>de</strong>n Daten wur<strong>de</strong>n im Rahmen <strong>de</strong>r Erstellung <strong>de</strong>s<br />
Sicherheitskonzeptes ermittelt.<br />
Dabei sind folgen<strong>de</strong> Datengruppen zu unterschei<strong>de</strong>n:<br />
- Daten, die im Rahmen <strong>de</strong>s I<strong>de</strong>ntitätsmanagements erhoben wer<strong>de</strong>n, wie Name, Vorname,<br />
Wohnanschrift, Staatsangehörigkeit;<br />
- Daten, die <strong>de</strong>r Dienstleistungserbringer direkt in die ausfüllbaren Online-Formulare eingibt;<br />
- Daten, die als Kopien in verschie<strong>de</strong>nen Dateiformaten (*.pdf, *.jpeg) in das Portal von <strong>de</strong>n<br />
Dienstleistungserbringern hochgela<strong>de</strong>n wer<strong>de</strong>n;<br />
- Outputdokumente, wie Beschei<strong>de</strong> und Eingangsbescheinigungen, die als PDF-Dateien in das<br />
Portal von <strong>de</strong>n zuständigen Behör<strong>de</strong>n hochgela<strong>de</strong>n wer<strong>de</strong>n.<br />
Der Schutzbedarf aller dieser Dokumente wur<strong>de</strong> hinsichtlich <strong>de</strong>r drei Schutzziele: Vertraulichkeit,<br />
Verfügbarkeit, Integrität beurteilt. Als Gesamtergebnis <strong>de</strong>r Beurteilung wur<strong>de</strong> <strong>de</strong>r Schutzbedarf <strong>de</strong>r<br />
Daten als „hoch“ eingestuft, was <strong>de</strong>r Empfehlung <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten vom<br />
19.01.2009 entspricht.<br />
Das IT-Sicherheitskonzept wur<strong>de</strong> <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten inzwischen vorgelegt.<br />
bb) <strong>de</strong>r Prozesse und Verfahrensschritte<br />
Die Prozesse und Verfahrensschritte wer<strong>de</strong>n zurzeit im Rahmen <strong>de</strong>r Erstellung eines<br />
Verfahrensverzeichnisses i. S. d. § 8 BbgDSG gemäß <strong>de</strong>r Verordnung zum Verfahrensverzeichnis<br />
durch <strong>de</strong>n EAPBbg beschrieben.
Zu Ziffer 9.2 „Kin<strong>de</strong>r- und Jugendgesundheitsdienstverordnung“<br />
Zu Ziffer 9.2.1 „Verordnung“<br />
Nach Auffassung <strong>de</strong>r LDA ist zweifelhaft, ob die Verordnung insgesamt von <strong>de</strong>r Verordnungsermächtigung<br />
ge<strong>de</strong>ckt ist.<br />
Die Kin<strong>de</strong>r- und Jugendgesundheitsdienst-Verordnung (KJGDV) basiert auf <strong>de</strong>r Ermächtigungsgrundlage <strong>de</strong>s<br />
§ 6 Abs. 4 <strong>Bran<strong>de</strong>nburg</strong>isches Gesundheitsdienstgesetz (BbgGDG) und wur<strong>de</strong> vom Ministerium für Umwelt,<br />
Gesundheit und Verbraucherschutz im Einvernehmen mit <strong>de</strong>m Ministerium für Bildung, Jugend und Sport<br />
erlassen. Inhalt und Verfahren <strong>de</strong>r Untersuchungen sind so auszugestalten, dass das Ziel <strong>de</strong>s Gesetzes, allen<br />
Kin<strong>de</strong>rn und Jugendlichen in <strong>Bran<strong>de</strong>nburg</strong> gesundheitliche Chancengleichheit zu ermöglichen, erreicht wer<strong>de</strong>n<br />
kann.<br />
Zum Inhalt und Verfahren <strong>de</strong>r Untersuchungen gehört auch das Betreuungscontrolling, damit Kin<strong>de</strong>r mit<br />
auffälligen Befun<strong>de</strong>n die erfor<strong>de</strong>rlichen För<strong>de</strong>rmaßnahmen und/o<strong>de</strong>r Therapien auch tatsächlich erhalten. Die<br />
einheitliche Dokumentation und anonymisierte Auswertung sind Instrument <strong>de</strong>r Qualitätssicherung <strong>de</strong>r<br />
Untersuchungen.<br />
Insoweit wer<strong>de</strong>n die von LDA vorgetragenen Kritikpunkte nicht geteilt.<br />
Zu Ziffer 9.2.2 „Fragebögen“<br />
Der ärztliche Dokumentationsbogen und die Anamnesebögen sind Teil <strong>de</strong>r ärztlichen Untersuchung und für<br />
eine medizinische und altersentsprechen<strong>de</strong> Entwicklungsprognose unverzichtbar. Die Anamnesebögen<br />
wer<strong>de</strong>n in Zusammenarbeit mit <strong>de</strong>m Fachausschuss Kin<strong>de</strong>r- und Jugendgesundheitsdienst im Ministerium für<br />
Umwelt, Gesundheit und Verbraucherschutz erarbeitet. Im Fachausschuss arbeiten Ärztinnen <strong>de</strong>r Kin<strong>de</strong>r- und<br />
Jugendgesundheitsdienste aus <strong>de</strong>n Gesundheitsämtern gemeinsam mit Vertretern <strong>de</strong>s<br />
Gesundheitsministeriums und <strong>de</strong>s Lan<strong>de</strong>sgesundheitsamtes. Externe Experten aus Krankenhäusern, <strong>de</strong>r<br />
Universität Potsdam o<strong>de</strong>r <strong>de</strong>m Robert-Koch-Institut beraten <strong>de</strong>n Ausschuss aus fachlicher Sicht. Für je<strong>de</strong><br />
Untersuchung wur<strong>de</strong> bzw. wird ein spezieller Anamnesebogen entwickelt. Hierdurch wird sichergestellt, dass<br />
nur die für die konkrete Untersuchung erfor<strong>de</strong>rlichen Angaben erhoben wer<strong>de</strong>n; mit <strong>de</strong>r Folge, dass die<br />
Fragen auf <strong>de</strong>n Bögen unterschiedlich sein können.<br />
Die Anamnesebögen wer<strong>de</strong>n im Vorfeld <strong>de</strong>r Untersuchungen <strong>de</strong>n Eltern übergeben. Angaben, die im<br />
ärztlichen Dokumentationsbogen erhoben wer<strong>de</strong>n, ergeben sich aus <strong>de</strong>r kin<strong>de</strong>rärztlichen Untersuchung o<strong>de</strong>r<br />
wer<strong>de</strong>n direkt in einem vertrauensvollen Gespräch zwischen Arzt und Sorgeberechtigten erhoben<br />
(Schuleingangsuntersuchung). Eine Befragung von Min<strong>de</strong>rjährigen erfolgt bei keiner Untersuchung.
Zu Ziffer 9.2.3 „Handbuch“<br />
Das Handbuch beinhaltet Leitlinien zur einheitlichen Dokumentation <strong>de</strong>r kin<strong>de</strong>r- und jugendärztlichen<br />
Untersuchungen. Zusammen mit <strong>de</strong>r KJGDV ist es umfassend überarbeitet wor<strong>de</strong>n, so dass das Handbuch<br />
<strong>de</strong>n gesetzlichen Datenverarbeitungsbefugnissen entspricht.<br />
Zu Ziffer 9.2.3.1 „Untersuchung von Dreijährigen“<br />
Vor <strong>de</strong>n Untersuchungen <strong>de</strong>r Kin<strong>de</strong>r in Einrichtungen <strong>de</strong>r Tagesbetreuung wer<strong>de</strong>n die Eltern per Aushang und<br />
mit einem Informationsschreiben in <strong>de</strong>r Kita umfassend und zeitnah über die anstehen<strong>de</strong>n Untersuchungen<br />
informiert. Ein Anschreiben an alle Eltern aufgrund <strong>de</strong>r Mel<strong>de</strong>daten ohne auf <strong>de</strong>n direkten Zeitpunkt <strong>de</strong>r<br />
Untersuchung einzugehen, wür<strong>de</strong> einen nicht zu vertretenen Verwaltungsaufwand für die Gesundheitsämter<br />
be<strong>de</strong>uten. Selbstverständlich können sich bei Rückfragen die Eltern je<strong>de</strong>rzeit an das jeweilige<br />
Gesundheitsamt wen<strong>de</strong>n. Ansprechpartner und Telefonnummern sind auf <strong>de</strong>n jeweiligen Aushängen und <strong>de</strong>m<br />
Informationsschreiben vermerkt.<br />
Auch zu <strong>de</strong>n „Grenzsteinen <strong>de</strong>r Entwicklung“ wer<strong>de</strong>n die Eltern umfassend informiert. Von <strong>de</strong>n Eltern wird eine<br />
Einverständniserklärung eingeholt, dass das Gesundheitsamt die Erkenntnisse aus <strong>de</strong>n „Grenzsteinen <strong>de</strong>r<br />
Entwicklung“ in die Kin<strong>de</strong>runtersuchung einbeziehen kann.<br />
Eine Einverständniserklärung <strong>de</strong>r Eltern wird ebenfalls für die Anwesenheit einer sozialpädagogischen<br />
Fachkraft während <strong>de</strong>r Untersuchung eingeholt.<br />
Zu Ziffer 9.2.3.2 „Betreuungscontrolling“<br />
Im Rahmen <strong>de</strong>s Betreuungscontrollings erfolgt keine Information an das Sozialamt. Das Handbuch wur<strong>de</strong> in<br />
diesem Punkt geän<strong>de</strong>rt.<br />
Zu Ziffer 9.2.3.3 „Vorgehen nach <strong>de</strong>r Meldung einer Nichtteilnahme an<br />
Früherkennungsuntersuchungen“<br />
Das Gesundheitsamt bietet Beratungen und ggf. Untersuchungen <strong>de</strong>r Kin<strong>de</strong>r im Gesundheitsamt an. Um dies<br />
zu ermöglichen, wird telefonisch o<strong>de</strong>r schriftlich Kontakt mit <strong>de</strong>n Eltern aufgenommen. In Einzelfällen bieten<br />
die Gesundheitsämter aufsuchen<strong>de</strong> Beratung durch Hausbesuche an.<br />
Wird bei <strong>de</strong>r Kontaktaufnahme <strong>de</strong>utlich, dass die Eltern die Angebote ablehnen, wird dies selbstverständlich
von <strong>de</strong>n Gesundheitsämtern akzeptiert. Nur in <strong>de</strong>n Fällen, wo durch weitere wesentliche Anhaltspunkte eine<br />
Kin<strong>de</strong>swohlgefährdung möglich erscheint, wird Kontakt mit <strong>de</strong>m Jugendamt aufgenommen. Im vergangenen<br />
Jahr ist dies für alle Landkreise und kreisfreien Städte in 0,59% <strong>de</strong>r Fälle erfolgt.<br />
Zu Ziffer 10.1.2 „Erarbeitung und Umsetzung <strong>de</strong>s Sicherheitskonzepts“<br />
Das Sicherheitskonzept für das Neue Finanzmanagement (NFM) ist in <strong>de</strong>n Jahren 2008/2009 kontinuierlich<br />
bearbeitet, aktualisiert und angepasst wor<strong>de</strong>n. Wie die LDA bei Punkt 10.1.1 mitteilt, hat das Ministerium <strong>de</strong>r<br />
Finanzen die Verantwortung für die Erstellung eines Sicherheitskonzeptes für das NFM-Verfahren<br />
übernommen. Zutreffend ist, dass das NFM-Sicherheitskonzept in einen „zentralen“ (gemeinsam von allen<br />
Daten verarbeiten<strong>de</strong>n Stellen genutzte Verfahrenskomponenten) und „<strong>de</strong>zentralen“ (in Form eines<br />
Mustersicherheitskonzeptes bzw. Sicherheitsrichtlinien für die Clientseite) Teil geglie<strong>de</strong>rt ist.<br />
Das Ministerium <strong>de</strong>r Finanzen befin<strong>de</strong>t sich diesbezüglich im ständigen Kontakt mit <strong>de</strong>r LDA – dies betrifft vor<br />
allem auch die von <strong>de</strong>r LDA in Punkt 10.1.3 genannte Passwortstrategie und die datenschutzrechtlichen<br />
Anfor<strong>de</strong>rungen (Punkt 10.1.1).<br />
Die im Bericht genannte En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung mittels SNC (Secure Network Communications) ist<br />
zum En<strong>de</strong> <strong>de</strong>s I. Quartal 2010 erfolgreich umgesetzt und abgeschlossen wor<strong>de</strong>n. Mit Beginn <strong>de</strong>s 2. Quartals<br />
2010 ist damit für die SAP-Nutzer nur noch <strong>de</strong>r verschlüsselte Zugang zum SAP-Rechner möglich. Des<br />
Weiteren wur<strong>de</strong> gleichzeitig die Umsetzung <strong>de</strong>r mit <strong>de</strong>r LDA abgestimmten Passwortstrategie erfolgreich<br />
umgesetzt.<br />
Ein Kritikpunkt <strong>de</strong>r LDA bezieht sich auf die unverschlüsselte Speicherung <strong>de</strong>r Daten in <strong>de</strong>r Datenbank. Hierzu<br />
wird wie folgt Stellung genommen:<br />
In <strong>de</strong>r Software von SAP ist eine Datenbankverschlüsselung nicht vorgesehen, da die Daten anonym in <strong>de</strong>r<br />
jeweiligen Datenbank abgelegt wer<strong>de</strong>n.<br />
Zur Sicherstellung <strong>de</strong>r datenschutzrechtlichen Anfor<strong>de</strong>rungen sind vom Dienstleister (T-Systems) Maßnahmen<br />
ergriffen wor<strong>de</strong>n, die die Daten in einer komplexen Datenbankstruktur in einem speziellen Format ablegt. Der<br />
Dienstleister initiiert selbst einen internen Sicherungsprozess (Datenbank, Server), neu auftreten<strong>de</strong><br />
Sicherheitsgefahren wer<strong>de</strong>n im Zuge <strong>de</strong>s Sicherheitsprozesses beim Dienstleister beseitigt. Weiterhin sind<br />
z.B. die Serversysteme in einem zertifizierten Hochsicherheitsrechenzentrum untergebracht und das<br />
Kun<strong>de</strong>nnetzwerk durch technische Sicherheitsmaßnahmen geschützt.<br />
Nach Betrachtung <strong>de</strong>r für die Rechte <strong>de</strong>r Betroffenen bestehen<strong>de</strong>n Risiken und <strong>de</strong>r oben genannten bereits
getroffenen bzw. bestehen<strong>de</strong>n Sicherheitsmaßnahmen, wird die von <strong>de</strong>r LDA angesprochene<br />
Datenbankverschlüsselung als unverhältnismäßig im Sinne von § 10 Absatz 1 BbgDSG eingeschätzt, da sie<br />
mit enormen Mehrkosten und Risiken in <strong>de</strong>r Performance sowie Betriebsstrukturen verbun<strong>de</strong>n wäre, eine<br />
nachhaltige Verbesserungen <strong>de</strong>s Datenschutzes jedoch nicht erreicht wür<strong>de</strong>.<br />
Zu <strong>de</strong>n von <strong>de</strong>r LDA anschließend genannten offenen Sicherheitsmaßnahmen wird wie folgt Stellung<br />
genommen:<br />
• revisionssichere Protokollierung von Nutzeraktivitäten<br />
Über die SAP Än<strong>de</strong>rungsbelege erfolgt eine revisionssichere Protokollierung <strong>de</strong>r Än<strong>de</strong>rungen, die <strong>de</strong>r<br />
Nutzer im SAP System durchführt (Nutzerzugriff, Schreibzugriff). Für eine darüber hinausgesehen<strong>de</strong><br />
Protokollierung besteht keine Notwendigkeit.<br />
• Konzepte zur Löschung von Daten im Verfahren und <strong>de</strong>ren Umsetzung<br />
Es erfolgt im SAP-System schon aus haushaltsrechtlichen Grün<strong>de</strong>n keine Löschung von Daten. Des<br />
Weiteren sind die Lan<strong>de</strong>sbehör<strong>de</strong>n mit SAP-Nutzung „Dateneigentümer“ und tragen selbst die<br />
Verantwortung, welche Daten im System verarbeitet wer<strong>de</strong>n. Die Daten im SAP System wer<strong>de</strong>n<br />
zukünftig archiviert, das Archivierungskonzept befin<strong>de</strong>t sich noch in <strong>de</strong>r Erstellung. Die LDA wird in<br />
<strong>de</strong>n Prozess einbezogen, mit <strong>de</strong>m Ziel, eine datenschutzgerechte Lösung zu fin<strong>de</strong>n.<br />
• Nutzung digitaler Signaturen zur Sicherung <strong>de</strong>r Integrität und Authentizität von Datensätzen und<br />
• Verwendung von Chipkarten zur sicheren Verwaltung und Nutzung privater Schlüssel bei<br />
Authentifizierungs- und Signaturprozessen.<br />
Maßnahmen zur Nutzung digitaler Signaturen und zur Verwendung von Chipkarten wer<strong>de</strong>n im<br />
Rahmen <strong>de</strong>s IT-Standardisierungsprozesses zentral durch das Ministerium <strong>de</strong>s Innern vorgegeben.<br />
Im SAP-Konzept wur<strong>de</strong> <strong>de</strong>r Einsatz von Chipkarten als optionale Sicherheitsmaßnahme <strong>de</strong>finiert.<br />
Sofern im Rahmen <strong>de</strong>r lan<strong>de</strong>sweiten IT-Infrastruktur die Einführung eines Chipkartensystems erfolgt,<br />
kann das NFM problemlos integriert wer<strong>de</strong>n. Die Einführung eines Chipkartensystems allein für das<br />
NFM wird unter Berücksichtigung <strong>de</strong>s Schutzbedarfs <strong>de</strong>r zu verarbeiten<strong>de</strong>n Daten jedoch als nicht<br />
erfor<strong>de</strong>rlich eingeschätzt.<br />
Die LDA fasst ihren Bericht zum NFM am En<strong>de</strong> <strong>de</strong>s Punktes 10.1.2 wie folgt zusammen:<br />
„Bei <strong>de</strong>r Mo<strong>de</strong>rnisierung <strong>de</strong>s HKR-Verfahrens für die Lan<strong>de</strong>sverwaltung konnte nur schrittweise eine
Verbesserung <strong>de</strong>r IT-Sicherheit und <strong>de</strong>s Datenschutzes erreicht wer<strong>de</strong>n. Noch immer bestehen<br />
Lücken bei <strong>de</strong>r vollständigen Umsetzung <strong>de</strong>s IT-Sicherheitskonzepts.“<br />
Dieser Aussage wird seitens <strong>de</strong>r Lan<strong>de</strong>sregierung in ihrer Ten<strong>de</strong>nz nicht zugestimmt. Durch die fortlaufen<strong>de</strong><br />
Bearbeitung und Aktualisierung <strong>de</strong>s NFM-Sicherheitskonzeptes, die Umsetzung <strong>de</strong>r Passwortstrategie und die<br />
Umsetzung <strong>de</strong>r En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung (SNC), die <strong>de</strong>n Zugang zum System über eine verschlüsselte<br />
Verbindung gewährleistet, wur<strong>de</strong> die IT-Sicherheit und <strong>de</strong>r Datenschutz wesentlich verbessert. Soweit Lücken<br />
bei <strong>de</strong>r Umsetzung <strong>de</strong>s Sicherheitskonzepts bestehen, wer<strong>de</strong>n diese zügig, ggf. unter Einbeziehung <strong>de</strong>r<br />
<strong>de</strong>zentralen Nutzer <strong>de</strong>s Systems, geschlossen.<br />
Zu Teil B<br />
Akteneinsicht und Informationszugang<br />
Zu Ziffer 2.2 „Zunehmen<strong>de</strong> Rechtszersplitterung“<br />
Die von <strong>de</strong>r LDA kritisierte Zersplitterung <strong>de</strong>s Rechtes auf Informationsfreiheit wird schon auf Grund<br />
unterschiedlicher Kompetenzen bei <strong>de</strong>r EU, beim Bund und <strong>de</strong>n Län<strong>de</strong>rn aber auch unterschiedlicher zu<br />
regeln<strong>de</strong>r Sachverhalte in gewissem Maße auch zukünftig hinzunehmen sein.<br />
Die von <strong>de</strong>r LDA angestrebte Zusammenführung <strong>de</strong>s Akteneinsicht- und Informationszugangsgesetzes (AIG)<br />
mit <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Umweltinformationsgesetz (BbgUIG) wür<strong>de</strong> darauf hinauslaufen, dass entwe<strong>de</strong>r<br />
das AIG vollständig an das zwingen<strong>de</strong> EU-Umweltinformationsrecht anzugleichen wäre o<strong>de</strong>r – bei<br />
Anerkennung teilweise unterschiedlicher Interessenlagen – eine wegen <strong>de</strong>r gebotenen Son<strong>de</strong>rregelungen<br />
nicht unbedingt anwen<strong>de</strong>rfreundlichere Rechtslage entstehen wür<strong>de</strong>. Die von <strong>de</strong>r LDA angesprochenen<br />
Arbeiten zur Umsetzung eines entsprechen<strong>de</strong>n Prüfauftrages <strong>de</strong>s Kabinetts haben gezeigt, dass das<br />
allgemeine Informationszugangsrecht und das Umweltinformationsrecht nur begrenzt kompatibel sind. Im<br />
Rahmen <strong>de</strong>r vorgesehenen Än<strong>de</strong>rung <strong>de</strong>s AIG (siehe unten zu Ziffer 2.3) wird auch zu prüfen sein, inwieweit<br />
zumin<strong>de</strong>st einzelne inhaltliche Angleichungen <strong>de</strong>r jeweiligen Bestimmungen möglich und sinnvoll wären.<br />
Darüber hinaus gibt es etliche an<strong>de</strong>re gesetzliche Regelungen, die einem unbeschränkten Adressatenkreis<br />
mehr o<strong>de</strong>r weniger voraussetzungslos <strong>de</strong>n Zugang zu bestimmten Informationen gewähren. Dazu gehören<br />
u.a. die Bestimmungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Wassergesetzes zum Wasserbuch und <strong>de</strong>s Archivgesetzes<br />
zum öffentlichen Archivgut. Eine Zusammenfassung aller diesbezüglichen Rechtsvorschriften, die jedoch<br />
unterschiedliche Inhalte regeln, ist we<strong>de</strong>r anzustreben noch erfor<strong>de</strong>rlich. Dies wür<strong>de</strong> in keinem Falle zur<br />
Rechtsvereinfachung beitragen.
In ihrem Bericht beklagt die LDA die von ihr angenommene Schwierigkeit, Anträge auf Informationszugang<br />
einer entsprechen<strong>de</strong>n Rechtsgrundlage zuzuordnen.<br />
Hierbei wer<strong>de</strong>n nebeneinan<strong>de</strong>r etliche vom Regelungszweck her höchst unterschiedliche Rechtsvorschriften<br />
mit Zugangsregelungen für einen beschränkten bzw. unbeschränkten Adressatenkreis genannt. So wer<strong>de</strong>n<br />
das BbgUIG ebenso wie datenschutzrechtliche Informationsrechte Betroffener über ihre eigenen Daten nach<br />
<strong>de</strong>m BbgDSG o<strong>de</strong>r Zugangsrechte von Beteiligten nach <strong>de</strong>m BbgVwVfG als <strong>de</strong>m AIG vorgehen<strong>de</strong><br />
bereichsspezifische Regelungen unterschiedslos nebeneinan<strong>de</strong>r aufgezählt. Erst wenn keines dieser Gesetze<br />
zum Tragen kommen wür<strong>de</strong>, wäre das AIG anzuwen<strong>de</strong>n.<br />
Dieser Auffassung kann nicht gefolgt wer<strong>de</strong>n. Vielmehr eröffnet das AIG nach Maßgabe seiner Vorschriften für<br />
Je<strong>de</strong>rmann, d.h. für einen unbeschränkten Personenkreis, das Recht auf Akteneinsicht. Dies gilt jedoch nur,<br />
soweit es nicht bereichsspezifische Rechtsvorschriften gibt, die ebenfalls für einen unbeschränkten<br />
Personenkreis die Akteneinsicht abschließend regeln. Diese beson<strong>de</strong>ren Rechtsvorschriften haben insoweit<br />
Vorrang vor <strong>de</strong>m allgemeinen Recht nach <strong>de</strong>m AIG – das AIG käme nicht zur Anwendung. Darüber hinaus gibt<br />
es Vorschriften, die die Akteneinsicht für einen bestimmten, begrenzten Personenkreis regeln. Die Anwendung<br />
<strong>de</strong>s AIG wird hierdurch nicht ausgeschlossen; bei<strong>de</strong> Rechtsvorschriften sind ggf. nebeneinan<strong>de</strong>r zu prüfen.<br />
Zu Ziffer 2.3 „Defizite im Akteneinsichts- und Informationszugangsgesetz:“<br />
Zu <strong>de</strong>r von <strong>de</strong>r LDA vorgetragenen Kritik an <strong>de</strong>r noch nicht erfolgten Umsetzung einer an die Lan<strong>de</strong>sregierung<br />
gerichteten Empfehlung <strong>de</strong>s <strong>Landtag</strong>es zur Aufnahme einer Regelung in das AIG, wonach grundsätzlich auch<br />
ein Recht auf die Herausgabe von Kopien <strong>de</strong>r zur Einsicht begehrten Akten in das Gesetz aufgenommen<br />
wer<strong>de</strong>n soll, ist Folgen<strong>de</strong>s anzumerken:<br />
Die Lan<strong>de</strong>sregierung hat mit Vorarbeiten zur Novellierung <strong>de</strong>s AIG begonnen. Hierzu wur<strong>de</strong> unter an<strong>de</strong>rem<br />
eine Abfrage im Bereich <strong>de</strong>r Lan<strong>de</strong>sregierung zu möglichem Än<strong>de</strong>rungsbedarf am AIG durchgeführt.<br />
Im Rahmen <strong>de</strong>r Än<strong>de</strong>rung sollen neben <strong>de</strong>r Umsetzung <strong>de</strong>r o.g. <strong>Landtag</strong>sempfehlung einige für erfor<strong>de</strong>rlich<br />
bzw. sinnvoll gehaltenen Än<strong>de</strong>rungen am AIG vorgenommen wer<strong>de</strong>n, die <strong>de</strong>r Klarstellung aber auch <strong>de</strong>r<br />
Anpassung <strong>de</strong>s Gesetzes an verän<strong>de</strong>rte Gegebenheiten im öffentlichen Bereich dienen. Die LDA ist über die<br />
Arbeiten informiert und hat bereits Gelegenheit erhalten, aus ihrer Sicht notwendige (weitere) Än<strong>de</strong>rungen am<br />
AIG in das Verfahren einzubringen.
Synopse:<br />
15. Tätigkeitsbericht <strong>de</strong>r Lan<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und für das Recht auf Akteneinsicht und <strong>de</strong>r<br />
Stellungnahme <strong>de</strong>r Lan<strong>de</strong>sregierung zum Tätigkeitsbericht für die Jahre 2008 und 2009 <strong>de</strong>r Lan<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und für das Recht auf Akteneinsicht<br />
Einleitung<br />
Sowohl Unternehmen als auch öffentliche Stellen wiesen im Berichtszeitraum<br />
teilweise erhebliche Defizite bei <strong>de</strong>r Einhaltung <strong>de</strong>s Datenschutzes auf.<br />
Vielfach wur<strong>de</strong> auf erfor<strong>de</strong>rliche Schutzmaßnahmen für <strong>de</strong>n sicheren Einsatz<br />
mo<strong>de</strong>rner Technologien bei <strong>de</strong>r Datenverarbeitung verzichtet. Resultat dieser<br />
Versäumnisse waren die gravieren<strong>de</strong>n Datenpannen in <strong>de</strong>n bei<strong>de</strong>n zurückliegen<strong>de</strong>n<br />
Jahren: In großem Maßstab gelangten die Daten von Telefonkun<strong>de</strong>n,<br />
Kontodaten sowie teils sehr persönliche Informationen aus sozialen<br />
Netzwerken in falsche Hän<strong>de</strong>. Die in <strong>de</strong>r Öffentlichkeit zu Recht heftig diskutierten<br />
Skandale lediglich als fahrlässige, organisatorische Missstän<strong>de</strong> zu betrachten,<br />
wür<strong>de</strong> <strong>de</strong>r Realität allerdings nicht gerecht. Dies beweisen die bekannt<br />
gewor<strong>de</strong>nen Überwachungsmaßnahmen, mit <strong>de</strong>nen insbeson<strong>de</strong>re Arbeitnehmer<br />
– zum Teil mit Hilfe eigens hierfür beauftragter Detekteien – bewusst<br />
und in rechtswidriger Weise ausgekundschaftet, ihre Gesundheitsdaten<br />
erhoben und die Verbindungsdaten ihrer Telefonate ausgewertet wur<strong>de</strong>n.<br />
Zwar stan<strong>de</strong>n zunächst die Datenschutzverstöße von Unternehmen im<br />
Mittelpunkt, doch gerieten auch Versäumnisse öffentlicher Stellen bald in<br />
das Zentrum <strong>de</strong>r Aufmerksamkeit. So gelangten beispielsweise Daten Arbeitssuchen<strong>de</strong>r<br />
rechtswidrig an Dritte, kamen tragbare Computer <strong>de</strong>r Verwaltungen<br />
abhan<strong>de</strong>n und waren Mel<strong>de</strong>daten bran<strong>de</strong>nburgischer Bürgerinnen<br />
und Bürger öffentlich zugänglich.<br />
Personenbezogene Daten wer<strong>de</strong>n von vielen Unternehmen als lukrative Waren<br />
gehan<strong>de</strong>lt, gleichzeitig die Daten <strong>de</strong>r Arbeitnehmer in zunehmen<strong>de</strong>m<br />
Maße für Zwecke <strong>de</strong>r Überwachung verwen<strong>de</strong>t. Der Bund und die Län<strong>de</strong>r<br />
Stellungnahme <strong>de</strong>r Lan<strong>de</strong>sregierung<br />
zum Tätigkeitsbericht für die Jahre 2008 und 2009 <strong>de</strong>r Lan<strong>de</strong>sbeauftragten<br />
für <strong>de</strong>n Datenschutz und für das Recht auf Akteneinsicht<br />
Vorbemerkung<br />
Die Lan<strong>de</strong>sbeauftragte für <strong>de</strong>n Datenschutz und das Recht auf Akteneinsicht<br />
(LDA) hat am 23. März 2010 <strong>de</strong>n 15. Tätigkeitsbericht vorgestellt.<br />
Der Tätigkeitsbericht <strong>de</strong>ckt <strong>de</strong>n Zeitraum vom 1. Januar 2008 bis<br />
zum 31. Dezember 2009 ab. Die Lan<strong>de</strong>sregierung ist nach § 27 Absatz<br />
1 Satz 2 <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes verpflichtet,<br />
<strong>de</strong>m <strong>Landtag</strong> innerhalb von vier Monaten eine Stellungnahme vorzulegen.<br />
Der Tätigkeitsbericht <strong>de</strong>r LDA glie<strong>de</strong>rt sich in drei Abschnitte: Abschnitt<br />
A enthält Ausführungen zum Datenschutz und beinhaltet die Themen,<br />
die aus Sicht <strong>de</strong>r LDA die „Brennpunkte <strong>de</strong>s Datenschutzes“ darstellen,<br />
die technisch-organisatorische Entwicklung sowie Probleme bzw.<br />
Schwerpunkte <strong>de</strong>r Tätigkeit <strong>de</strong>r LDA in <strong>de</strong>n einzelnen Ressorts sowie<br />
im kommunalen Bereich. Im Abschnitt B kommt die LDA ihrer Berichtspflicht<br />
nach <strong>de</strong>m Akteneinsichts- und Informationszugangsgesetz<br />
nach. Abschnitt C enthält Ausführungen über die Dienststelle <strong>de</strong>r LDA<br />
sowie über die Zusammenarbeit mit <strong>de</strong>m <strong>Landtag</strong> und mit an<strong>de</strong>ren<br />
Datenschutzbehör<strong>de</strong>n.<br />
Die Ressorts erhielten die Möglichkeit, zu <strong>de</strong>n sie betreffen<strong>de</strong>n Aus-
ichten zentrale Datenbanken ein. Beispielsweise sollen durch das Verfahren<br />
ELENA die Lohn- und Gehaltsdaten aller Beschäftigten und in <strong>de</strong>m geplanten<br />
Bun<strong>de</strong>smel<strong>de</strong>register die Informationen aus <strong>de</strong>n Mel<strong>de</strong>registern zentral<br />
zusammengeführt und verarbeitet wer<strong>de</strong>n. Wie je<strong>de</strong> Datenbank bergen auch<br />
diese ein Sicherheits- bzw. Missbrauchsrisiko und bedürfen <strong>de</strong>shalb sorgfältiger<br />
Schutzvorkehrungen.<br />
Sowohl in <strong>de</strong>r Wirtschaft als auch in Politik und Verwaltung ist das Bewusstsein<br />
für <strong>de</strong>n Datenschutz nicht ausreichend ausgeprägt. Teilweise fehlt die<br />
Bereitschaft, auch einen Preis dafür zu zahlen – sei es in finanzieller Hinsicht<br />
o<strong>de</strong>r durch die Einschränkung <strong>de</strong>r eigenen Möglichkeiten zur Kontrolle und<br />
Steuerung. Das Bun<strong>de</strong>sverfassungsgericht zeigt in seinen jüngsten Entscheidungen<br />
<strong>de</strong>utlich die datenschutzrechtlichen Grenzen staatlichen Han<strong>de</strong>lns<br />
auf. Beispielsweise sei an dieser Stelle auf die Entscheidungen zur automatisierten<br />
Erfassung von Kennzeichen sowie zur Vi<strong>de</strong>oüberwachung im<br />
Straßenverkehr o<strong>de</strong>r auf die Beschlüsse zur Vorratsdatenspeicherung verwiesen.<br />
1 Welche Be<strong>de</strong>utung die Grundsätze <strong>de</strong>r Transparenz und Nachvollziehbarkeit<br />
für <strong>de</strong>n Datenschutz haben, zeigen die Entscheidungen zur Stärkung<br />
<strong>de</strong>s Auskunftsanspruchs Steuerpflichtiger gegenüber <strong>de</strong>m Finanzamt<br />
sowie zum Einsatz von Wahlcomputern. 2 Ein Vierteljahrhun<strong>de</strong>rt, nach<strong>de</strong>m<br />
das Bun<strong>de</strong>sverfassungsgericht mit <strong>de</strong>m Volkszählungsurteil feststellte, dass<br />
sich <strong>de</strong>r Datenschutz – das „Recht auf informationelle Selbstbestimmung“ –<br />
aus <strong>de</strong>m Grundgesetz ableitet, befasste es sich im Rahmen einer Beschwer<strong>de</strong><br />
gegen die Vorschriften im Verfassungsschutzgesetz von Nordrhein-Westfalen<br />
mit <strong>de</strong>r dort vorgesehenen Online-Durchsuchung. Im Ergebnis<br />
entwickelte es einen Anspruch auf die Gewährleistung von Vertraulichkeit<br />
führungen im Bericht <strong>de</strong>r LDA Stellung zu nehmen. Die Beiträge <strong>de</strong>r<br />
Ressorts wur<strong>de</strong>n in die Stellungnahme <strong>de</strong>r Lan<strong>de</strong>sregierung eingearbeitet.<br />
Die Stellungnahme <strong>de</strong>r Lan<strong>de</strong>sregierung beschränkt sich im Wesentlichen<br />
auf Sachstandsmitteilungen bzw. Erläuterungen zu <strong>de</strong>n Hinweisen<br />
<strong>de</strong>r LDA, bei <strong>de</strong>nen zwischen <strong>de</strong>r Lan<strong>de</strong>sregierung und <strong>de</strong>r LDA<br />
unterschiedliche Auffassungen bestehen. Darüber hinaus wird nur zu<br />
<strong>de</strong>n Punkten Stellung genommen, für die eine Kontrollkompetenz <strong>de</strong>r<br />
LDA besteht.<br />
Insgesamt macht <strong>de</strong>r Bericht <strong>de</strong>utlich, dass in <strong>de</strong>n Bereichen, in <strong>de</strong>nen<br />
die LDA Problemfel<strong>de</strong>r <strong>de</strong>s Datenschutzes i<strong>de</strong>ntifiziert hat, ebenso wie<br />
bei <strong>de</strong>r Beteiligung <strong>de</strong>r LDA im Vorfeld <strong>de</strong>r Einführung neuer Verfahren<br />
zur Verarbeitung personenbezogener Daten ein konstruktiver Dialog<br />
zwischen <strong>de</strong>n beteiligten Behör<strong>de</strong>n und <strong>de</strong>r LDA stattfin<strong>de</strong>t. In <strong>de</strong>r<br />
überwiegen<strong>de</strong>n Zahl <strong>de</strong>r Fälle gelingt es auf diese Weise, gemeinsame<br />
Lösungen zu entwickeln und so <strong>de</strong>n Datenschutz voranzubringen.<br />
Die Lan<strong>de</strong>sregierung hat ein hohes Interesse daran, dieses konstruktive<br />
Miteinan<strong>de</strong>r, insbeson<strong>de</strong>re vor <strong>de</strong>m Hintergrund <strong>de</strong>r Be<strong>de</strong>utung <strong>de</strong>s<br />
Datenschutzes und <strong>de</strong>r Datensicherheit bei <strong>de</strong>r Entwicklung von eGovernment<br />
fortzusetzen.<br />
Zum Bericht im Einzelnen:<br />
1<br />
2<br />
Urteile <strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts vom 11. März 2008 (Kennzeichenerfassung, 1 BvR 2074/05, 1BvR 1254/07) sowie vom 11. August<br />
2009 (Vi<strong>de</strong>oüberwachung, 2 BvR 941/08) sowie Beschlüsse <strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts zur Vorratsdatenspeicherung vom 11. März und<br />
28. Oktober 2008 (1 BvR 256/08)<br />
Beschluss <strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts vom 10. März 2008 (Auskunftsanspruch, 1 BvR 2388/03) sowie Urteil <strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts<br />
vom 3. März 2009 (Wahlcomputer, 2 BvC 3/07, 2BvC 4/07)<br />
Seite 2 von 195
und Integrität informationstechnischer Systeme aus <strong>de</strong>m allgemeinen Persönlichkeitsrecht.<br />
3 Mit seinen Entscheidungen hat das Bun<strong>de</strong>sverfassungsgericht<br />
<strong>de</strong>n Grundrechtscharakter <strong>de</strong>s Datenschutzes weiter gestärkt und die<br />
Schranken mo<strong>de</strong>rner Datenverarbeitung aufgezeigt. Parlamente und Verwaltungen<br />
sind aufgefor<strong>de</strong>rt, die Balance zwischen technologischer Machbarkeit<br />
und individuellen Grundrechten stärker als bisher zu halten.<br />
Auch in bran<strong>de</strong>nburgischen Verwaltungen besteht noch ein hoher Bedarf,<br />
das Grundrecht auf Datenschutz im Sinne dieser Balance umzusetzen. Meine<br />
Umfrage in <strong>de</strong>r Kommunalverwaltung <strong>de</strong>s Lan<strong>de</strong>s hat gezeigt, dass insbeson<strong>de</strong>re<br />
die Sicherheit von IT-Verfahren, mit <strong>de</strong>nen personenbezogene<br />
Daten verarbeitet wer<strong>de</strong>n, oft nur unzureichend gewährleistet ist. Gera<strong>de</strong> öffentliche<br />
Stellen, <strong>de</strong>nen ihre Daten anzuvertrauen die Bürgerinnen und Bürger<br />
meist verpflichtet sind, tragen auf diesem Gebiet eine beson<strong>de</strong>re Verantwortung.<br />
Ich betrachte es als meine wichtigste Aufgabe, die öffentlichen<br />
Stellen <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> zusammen mit meinen Mitarbeiterinnen<br />
und Mitarbeitern soweit wie möglich dabei zu unterstützen, dieser Verpflichtung<br />
gerecht zu wer<strong>de</strong>n.<br />
Dieser Bericht informiert über meine Tätigkeit auf <strong>de</strong>n Gebieten <strong>de</strong>s Datenschutzes<br />
und <strong>de</strong>r Informationsfreiheit in <strong>de</strong>n Jahren 2008 und 2009. Allen<br />
Leserinnen und Lesern wünsche ich eine interessante Lektüre.<br />
Kleinmachnow, <strong>de</strong>n 22. März 2010<br />
Lan<strong>de</strong>sbeauftragte für <strong>de</strong>n Datenschutz und für das Recht auf Akteneinsicht<br />
3<br />
Urteil <strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts vom 27. Februar 2008 (Online-Durchsuchung, 1 BvR 370/07)<br />
Seite 3 von 195
Teil A<br />
Datenschutz<br />
1 Brennpunkte <strong>de</strong>s Datenschutzes<br />
1.1 Umfrage zum Stand <strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-Sicherheit in <strong>de</strong>r<br />
Kommunalverwaltung<br />
Der zunehmen<strong>de</strong> Einsatz von Informationstechnik in <strong>de</strong>r Verwaltung und <strong>de</strong>r<br />
wachsen<strong>de</strong> Automatisierungsgrad <strong>de</strong>r Verwaltungsprozesse stellen hohe Anfor<strong>de</strong>rungen<br />
an Datenschutz und IT-Sicherheit. Die im Berichtszeitraum durchgeführte<br />
Umfrage gibt erstmals einen lan<strong>de</strong>sweiten Überblick über <strong>de</strong>n Stand <strong>de</strong>r Umsetzung<br />
<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes in <strong>de</strong>r Kommunalverwaltung<br />
<strong>de</strong>s Lan<strong>de</strong>s.<br />
Die Lan<strong>de</strong>sbeauftragte hat im Zeitraum vom 5. Mai bis 9. Oktober 2009 eine Umfrage<br />
zum Thema Datenschutz und IT-Sicherheit in <strong>de</strong>r Kommunalverwaltung <strong>de</strong>s Lan<strong>de</strong>s<br />
<strong>Bran<strong>de</strong>nburg</strong> durchgeführt. Deren Ziel war es, <strong>de</strong>n Bedarf an Unterstützung im Bereich<br />
<strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-Sicherheit im Flächenland <strong>Bran<strong>de</strong>nburg</strong> zu ermitteln und<br />
daraus Empfehlungen und mögliche Unterstützungsleistungen, z. B. Beratungs- und<br />
Schulungsangebote, abzuleiten. Die Ergebnisse <strong>de</strong>r Umfrage sollten von vornherein nicht<br />
als Grundlage für zusätzliche Kontrollen und Aufsichtsmaßnahmen genutzt wer<strong>de</strong>n. Der<br />
Ansatz einer allgemeinen Umfrage zur Erhebung <strong>de</strong>s Ist-Zustan<strong>de</strong>s <strong>de</strong>s Datenschutzes<br />
und <strong>de</strong>r IT-Sicherheit ermöglichte einen höheren Informationsgewinn als eine stichprobenartige<br />
Prüfung nur einzelner Kommunen.<br />
Die Erhebung enthielt Fragen zum Personaleinsatz hinsichtlich <strong>de</strong>s behördlichen Daten-<br />
Seite 4 von 195
schutz- und <strong>de</strong>s IT-Sicherheitsbeauftragten, zur organisatorischen Umsetzung <strong>de</strong>s Datenschutzes<br />
und <strong>de</strong>r IT-Sicherheit, zur Verfahrensbeschreibung und zu technischen Aspekten<br />
<strong>de</strong>r IT-Sicherheit, Fragen zur IT-Infrastruktur sowie zu <strong>de</strong>r gewünschten Unterstützung<br />
seitens <strong>de</strong>r Lan<strong>de</strong>sbeauftragten. Von <strong>de</strong>n 216 befragten Kommunen <strong>de</strong>s Lan<strong>de</strong>s<br />
<strong>Bran<strong>de</strong>nburg</strong> haben bis zum Stichtag ca. 80% geantwortet.<br />
Unsicherheit bei <strong>de</strong>r Beantwortung <strong>de</strong>s versandten Fragebogens löste <strong>de</strong>r Städte- und<br />
Gemein<strong>de</strong>bund <strong>Bran<strong>de</strong>nburg</strong> e. V. aus. Er gab <strong>de</strong>n Kommunen die Empfehlung, Teile<br />
<strong>de</strong>s Fragebogens nicht zu beantworten, da diese nach seiner Auffassung nicht <strong>de</strong>r Aufsichtsfunktion<br />
<strong>de</strong>r Lan<strong>de</strong>sbeauftragten unterlägen. Dies erfolgte ohne vorherige Rücksprache<br />
mit uns. Die Lan<strong>de</strong>sbeauftragte legte daraufhin allen Kommunen ihre Rechtsposition<br />
ausführlich dar und wies insbeson<strong>de</strong>re auf die Auskunfts- und Unterstützungspflicht<br />
nach § 26 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz (BbgDSG) hin. Im Ergebnis führten die<br />
Aktivitäten <strong>de</strong>s Städte- und Gemein<strong>de</strong>bun<strong>de</strong>s sowohl zu einer erheblichen Verzögerung<br />
<strong>de</strong>r Umfrage als auch zu teils inkonsistenten (weil unvollständigen) Antworten <strong>de</strong>r Kommunen.<br />
Nachfolgend wer<strong>de</strong>n die wichtigsten Resultate <strong>de</strong>r Auswertung unserer Umfrage dargestellt.<br />
Ausführlichere Informationen – auch angepasst an die Größe <strong>de</strong>r jeweiligen Verwaltung<br />
– stehen auf <strong>de</strong>r Website <strong>de</strong>r Lan<strong>de</strong>sbeauftragten zur Verfügung. Die im Folgen<strong>de</strong>n<br />
genannten Anteile vom Hun<strong>de</strong>rt beziehen sich auf die Gesamtheit <strong>de</strong>r bei uns eingegangenen<br />
Antworten.<br />
Die Betrachtung <strong>de</strong>r Umfrageergebnisse zeigt ein sehr differenziertes Bild bei <strong>de</strong>r Wertigkeit<br />
und Umsetzung <strong>de</strong>s Datenschutzes in <strong>de</strong>n einzelnen Kommunalverwaltungen. So<br />
haben zwar ca. 80% <strong>de</strong>r Kommunen einen behördlichen Datenschutzbeauftragten berufen,<br />
jedoch wen<strong>de</strong>t dieser auch in fast 80% aller Fälle nur höchstens 10% <strong>de</strong>r regelmäßigen<br />
Arbeitszeit für diese Aufgabe auf.<br />
Seite 5 von 195
Anteil bestellter behördlicher<br />
Datenschutzbeauftragter<br />
180<br />
175<br />
170<br />
165<br />
160<br />
155<br />
150<br />
145<br />
140<br />
135<br />
Rückmeldungen<br />
beh. DSB<br />
Stellenanteil <strong>de</strong>r behördlichen<br />
Datenschutzbeauftragten (in %)<br />
80<br />
60<br />
40<br />
20<br />
0<br />
> 60% > 40% bis 60%<br />
>20% bis 40% >10% bis 20%<br />
nen Daten in <strong>de</strong>n Fachverfahren <strong>de</strong>r Verwaltung erfor<strong>de</strong>rt schließlich ein hohes Maß an<br />
Sensibilität <strong>de</strong>r Beschäftigten für die Einhaltung <strong>de</strong>r gesetzlichen Vorgaben. Zu beachten<br />
sind Fragen <strong>de</strong>r Zulässigkeit <strong>de</strong>r Datenerhebung, <strong>de</strong>r Datensparsamkeit, <strong>de</strong>r Erfor<strong>de</strong>rlichkeit<br />
und Zweckbindung. Die Analyse <strong>de</strong>r Risiken für die Betroffenen, die z. B. bei Verlust<br />
<strong>de</strong>r Daten o<strong>de</strong>r ihrer Kenntnisnahme durch Unbefugte entstehen können, ist Voraussetzung<br />
für die Festlegung geeigneter Maßnahmen zum Datenschutz. Ein Schulungsangebot<br />
<strong>de</strong>s behördlichen Datenschutzbeauftragten, das diese Kriterien berücksichtigt, bil<strong>de</strong>t<br />
die Grundlage für die Umsetzung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes in <strong>de</strong>r<br />
Kommunalverwaltung.<br />
Auch bezüglich <strong>de</strong>s IT-Sicherheitsbeauftragten sind die Ergebnisse unserer Umfrage<br />
kritisch zu betrachten. Das <strong>Bran<strong>de</strong>nburg</strong>ische Datenschutzgesetz for<strong>de</strong>rt diese Funktion<br />
zwar nicht explizit. Der Inhaber wirkt aber im Rahmen eines IT-Sicherheitsmanagements<br />
in <strong>de</strong>r Verwaltung koordinierend und steuernd. Nur 25% <strong>de</strong>r Kommunen besetzen zurzeit<br />
diese Position. Entsprechend zeigen sich auch die Ergebnisse bei <strong>de</strong>r Realisierung von<br />
IT-Sicherheitskonzepten in <strong>de</strong>r Verwaltung: Nur 12% <strong>de</strong>r Kommunen gaben in <strong>de</strong>r Umfrage<br />
an, ein IT-Sicherheitskonzept erstellt zu haben, 18% erfüllten diese Aufgabe teilweise.<br />
Bei mehr als 60% <strong>de</strong>r Verwaltungen liegt kein IT-Sicherheitskonzept vor, welches<br />
die Gefahren, Risiken und vor allem Maßnahmen zur Wahrung <strong>de</strong>r IT-Sicherheit beschreibt.<br />
Anteil bestellter IT-Sicherheitsbeauftragter<br />
200<br />
175<br />
150<br />
125<br />
100<br />
75<br />
50<br />
25<br />
0<br />
Rückmeldungen<br />
IT-Sicherheitsbeauftragte<br />
Seite 7 von 195
Existenz von IT-Sicherheitskonzepten (in %)<br />
70<br />
60<br />
50<br />
40<br />
30<br />
20<br />
10<br />
0<br />
Ja Nein Teilweise keine Angabe<br />
In einer Vielzahl von Kommunen fehlen nach eigenen Aussagen qualifiziertes Personal<br />
sowie zeitliche und finanzielle Ressourcen zur Umsetzung <strong>de</strong>r Anfor<strong>de</strong>rungen an Datenschutz<br />
und IT-Sicherheit. Um <strong>de</strong>m entgegenzuwirken, wünscht <strong>de</strong>r Großteil <strong>de</strong>r Kommunen<br />
die Bereitstellung von Checklisten sowie eine genaue Beschreibung <strong>de</strong>r Min<strong>de</strong>stanfor<strong>de</strong>rungen<br />
an ein IT-Sicherheitskonzept. Weiterhin wer<strong>de</strong>n häufig Schulungsangebote<br />
zum Datenschutz und zur IT-Sicherheit erbeten.<br />
Ein grundlegen<strong>de</strong>s Problem, nicht nur in <strong>de</strong>r Kommunalverwaltung, ist die Sensibilisierung<br />
<strong>de</strong>r Mitarbeiter, insbeson<strong>de</strong>re <strong>de</strong>r Behör<strong>de</strong>nleitung. Ohne ein entsprechen<strong>de</strong>s Bewusstsein<br />
für die Be<strong>de</strong>utung <strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-Sicherheit lässt sich kein<br />
gesetzeskonformes Datenschutzniveau erreichen.<br />
Seite 8 von 195
80<br />
Unterstützungsbedarf zur Umsetzung <strong>de</strong>s<br />
Datenschutzes (in %)<br />
70<br />
60<br />
50<br />
40<br />
30<br />
20<br />
10<br />
0<br />
Schulung <strong>de</strong>s Datenschutzbeauftragten<br />
Sensibilisierung <strong>de</strong>r Mitarbeiter für <strong>de</strong>n Datenschutz<br />
Sensibilisierung <strong>de</strong>r Behör<strong>de</strong>nleitung<br />
Beschreibung <strong>de</strong>r Anfor<strong>de</strong>rungen <strong>de</strong>s BbgDSG<br />
Bereitstellung von Checklisten und Formvorlagen<br />
Bereitstellung von Mustern für Dienstvereinbarungen und<br />
Dienstanweisungen<br />
keine Angabe<br />
Seite 9 von 195
80<br />
Unterstützungsbedarf bei IT-<br />
Sicherheitskonzepten (in %)<br />
70<br />
60<br />
50<br />
40<br />
30<br />
20<br />
10<br />
0<br />
Erhöhung <strong>de</strong>r Personalzahl (Personalbedarf)<br />
Schulung <strong>de</strong>r Mitarbeiter zur IT-Sicherheit<br />
Min<strong>de</strong>stanfor<strong>de</strong>rungen zur IT-Sicherheit nach BbgDSG<br />
Bestellung eines IT-Sicherheitsbeauftragten<br />
Checklisten für IT-Grundschutz<br />
keine Angabe<br />
Die auf Basis <strong>de</strong>r gesetzlichen Anfor<strong>de</strong>rungen durchgeführte Umfrage zeigt die bestehen<strong>de</strong>n<br />
Mängel bei <strong>de</strong>r Umsetzung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes auf.<br />
Die existieren<strong>de</strong>n Vollzugs<strong>de</strong>fizite in vielen Bereichen <strong>de</strong>r Kommunalverwaltung sind<br />
Ausdruck für die bestehen<strong>de</strong> Unsicherheit bezüglich <strong>de</strong>r Belange <strong>de</strong>s Datenschutzes,<br />
aber auch <strong>de</strong>r zunehmen<strong>de</strong>n Aufgabenfülle <strong>de</strong>r Verwaltung bei gleichzeitig knappen<br />
Ressourcen. Die Einführung neuer E-Government-Projekte stellt die Kommunen vor neue<br />
Herausfor<strong>de</strong>rungen. Nur die datenschutzgerechte und sichere Verarbeitung <strong>de</strong>r personenbezogenen<br />
Daten auf Basis einer IT-Sicherheitskonzeption kann das Vertrauen <strong>de</strong>r<br />
Bürger in die Verwaltung dauerhaft stärken. Dabei ist eine enge Zusammenarbeit zwi-<br />
Seite 10 von 195
schen <strong>de</strong>r Lan<strong>de</strong>sverwaltung als Initiator vieler E-Government-Projekte und <strong>de</strong>n Kommunen<br />
zwingend notwendig, um einheitliche Standards zu gewährleisten.<br />
Die Lan<strong>de</strong>sbeauftragte beabsichtigt, <strong>de</strong>n Kommunalverwaltungen die gewünschte Unterstützung<br />
zu gewähren und dabei mit <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister, <strong>de</strong>r TUIV-<br />
AG (Kommunale Arbeitsgemeinschaft Technikunterstützte Informationsverarbeitung im<br />
Land <strong>Bran<strong>de</strong>nburg</strong>) sowie <strong>de</strong>m Netzwerk SeSamBB (Security and Safety ma<strong>de</strong> in Berlin-<br />
<strong>Bran<strong>de</strong>nburg</strong> e. V.) zu kooperieren. Die betroffenen Kommunen sind jedoch zunächst<br />
gehalten, ihre eigene Verantwortung zur Umsetzung <strong>de</strong>s Datenschutzes wahrzunehmen.<br />
Synergieeffekte durch verwaltungsübergreifen<strong>de</strong> Kooperationen sowie externe Unterstützung<br />
können insbeson<strong>de</strong>re kleinen Verwaltungen helfen, fehlen<strong>de</strong> Ressourcen zu kompensieren.<br />
Durch die Auswertung <strong>de</strong>r Umfrage konnten wir die Defizite <strong>de</strong>r Umsetzung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes sowie <strong>de</strong>n vorhan<strong>de</strong>nen Unterstützungsbedarf in<br />
<strong>de</strong>n Verwaltungen <strong>de</strong>r bran<strong>de</strong>nburgischen Kommunen konkret feststellen. Wir betrachten<br />
dies als einen ersten Schritt zur Verbesserung <strong>de</strong>s Datenschutzes in <strong>de</strong>r Kommunalverwaltung.<br />
Den Erfolg <strong>de</strong>s Weiteren Prozesses wer<strong>de</strong>n wir mittels einer Folgeumfrage<br />
überprüfen und gegebenenfalls stichprobenartig kontrollieren.<br />
1.2 Datenschutz im Internet beginnt an <strong>de</strong>n Schulen<br />
Der Umgang mit <strong>de</strong>n neuen Medien ist ein unverzichtbarer Teil <strong>de</strong>r Lebenswirk-<br />
4<br />
5<br />
6<br />
7<br />
vgl. Tätigkeitsbericht 2006/2007, A 6.3<br />
siehe http://www.lda.bran<strong>de</strong>nburg.<strong>de</strong> Informationsmaterial Faltblätter Schulen, Internet und Datenschutz – Tipps für Schüler, Eltern und Lehrer<br />
Regelungen für die rechtssichere Nutzung <strong>de</strong>s Internets an Schulen – Rundschreiben 4/03 <strong>de</strong>s Ministeriums für Bildung, Jugend und Sport vom 12.<br />
Mai 2003 (Amtsblatt <strong>de</strong>s MBJS 2003 S. 158)<br />
vgl. auch A 4.6.6<br />
Seite 11 von 195
lichkeit von Schülern aller Altersstufen gewor<strong>de</strong>n. Beschleunigt wur<strong>de</strong> diese Entwicklung<br />
nicht zuletzt durch die enorme Beliebtheit sozialer Netzwerke im Internet.<br />
Auch in unserer täglichen Arbeit hat sich das Thema zum Dauerbrenner entwickelt.<br />
Eltern, Lehrer und Schüler wen<strong>de</strong>n sich regelmäßig an uns und erkundigen sich<br />
nach ihren Rechten und Pflichten.<br />
1.2.1 Das Projekt „Datenschutz für Schüler und Lehrer“<br />
Die Entwicklung einer Medienkompetenz bran<strong>de</strong>nburgischer Schüler haben wir während<br />
<strong>de</strong>s Berichtszeitraums zu einem Schwerpunkt unserer Tätigkeit gemacht. In Zusammenarbeit<br />
mit <strong>de</strong>m Ministerium <strong>de</strong>s Innern hat die Lan<strong>de</strong>sbeauftragte das Projekt "Datenschutz<br />
für Schüler und Lehrer" erarbeitet. 4 Es besteht aus Modulen zu Themen wie Internetnutzung,<br />
Mobilfunk, Gewinnspiele und Kun<strong>de</strong>nkarten, Arbeitsweise von Auskunfteien,<br />
Datenschutz bei Bewerbungsgesprächen, bei <strong>de</strong>r Strafverfolgung o<strong>de</strong>r beim Arzt und<br />
nicht zuletzt zu <strong>de</strong>m wichtigen Thema <strong>de</strong>r Datensicherheit. Diese Bausteine stehen für<br />
<strong>de</strong>n Unterricht zur Verfügung, um die Schüler für die Wahrung ihrer Persönlichkeitsrechte<br />
zu sensibilisieren. Insbeson<strong>de</strong>re informieren wir im Rahmen dieses Projekts darüber,<br />
welche Gefahren sich ergeben, wenn Schüler ihre persönlichen Daten unkontrolliert über<br />
Internet o<strong>de</strong>r Mobilfunk verbreiten und natürlich, wie sie diese Gefahren selbstständig<br />
reduzieren können. Sowohl rechtliche als auch technische Aspekte wer<strong>de</strong>n aufgezeigt.<br />
Das Projekt haben wir anlässlich <strong>de</strong>s Zweiten Europäischen Datenschutztages am 28.<br />
Januar 2008 <strong>de</strong>r Öffentlichkeit vorgestellt. Auf einer zentralen Podiumsdiskussion in<br />
Potsdam erörterte die Lan<strong>de</strong>sbeauftragte mit <strong>de</strong>n Schülern die Frage „Was be<strong>de</strong>utet<br />
Datenschutz für Jugendliche heute?“ Zeitgleich besuchten ihre Mitarbeiter zwei Schulen,<br />
um dort ebenfalls Inhalte <strong>de</strong>s Projekts vorzustellen. Im Berichtszeitraum haben wir solche<br />
Veranstaltungen in Gymnasien in Eberswal<strong>de</strong>, Senftenberg, Potsdam und Frankfurt<br />
(O<strong>de</strong>r), im Oberstufenzentrum in Teltow sowie in einer Gesamtschule in <strong>Bran<strong>de</strong>nburg</strong> an<br />
<strong>de</strong>r Havel durchgeführt. In Kooperation mit <strong>de</strong>r Universität Potsdam veranstalteten wir im<br />
Juli 2009 in <strong>de</strong>ren Räumlichkeiten einen Projekttag zum Datenschutz. Die Schüler zweier<br />
8<br />
vgl. Urteile <strong>de</strong>s Landgerichts Köln vom 30. Januar 2008 (28 O 319/07), <strong>de</strong>s Oberlan<strong>de</strong>sgerichts Köln vom 3. Juli 2008 (15 U 43/08) sowie <strong>de</strong>s Bun<strong>de</strong>sgerichtshofs<br />
vom 23. Juni 2009 (VI ZR 196/08)<br />
Seite 12 von 195
Gymnasien aus Potsdam und Michendorf haben unsere Einladung zu <strong>de</strong>r Veranstaltung<br />
angenommen und sich engagiert in die Diskussion eingebracht.<br />
Sämtliche dieser Veranstaltungen haben uns gezeigt, dass viele Schüler ihre persönlichen<br />
Daten in sozialen Netzwerken, auf Bewertungsportalen, im Chat o<strong>de</strong>r auch auf <strong>de</strong>r<br />
eigenen Website preisgeben, in <strong>de</strong>r Regel ohne sich über die Folgen ihres Han<strong>de</strong>lns im<br />
Klaren zu sein. Den erstaunlich geringen Kenntnissen über Möglichkeiten zur Sicherung<br />
ihrer Privatsphäre steht aber ein großes Interesse <strong>de</strong>r Kin<strong>de</strong>r und Jugendlichen an Fragen<br />
<strong>de</strong>s Datenschutzes auf <strong>de</strong>m Gebiet <strong>de</strong>r neuen Medien gegenüber. Dies bestärkt uns<br />
in <strong>de</strong>r Auffassung, dass die Vermittlung datenschutzrelevanter Medienkompetenz an <strong>de</strong>n<br />
Schulen auch weiterhin erfor<strong>de</strong>rlich ist.<br />
Um Multiplikatoren für unser Anliegen zu gewinnen, haben wir uns mit <strong>de</strong>m Ministerium<br />
für Bildung, Jugend und Sport sowie mit <strong>de</strong>m Lan<strong>de</strong>sinstitut für Schule und Medien Berlin-<strong>Bran<strong>de</strong>nburg</strong><br />
in Verbindung gesetzt. Außer<strong>de</strong>m regten wir an, die Stärkung <strong>de</strong>r Medienkompetenz<br />
in die Lehrpläne aufzunehmen. Die anfangs große Resonanz und Bereitschaft<br />
zur Zusammenarbeit ließ im Laufe <strong>de</strong>r Zeit lei<strong>de</strong>r erheblich nach.<br />
Im Rahmen unserer Besuche an Schulen und <strong>de</strong>r dort geführten Diskussionen haben wir<br />
gelernt, dass datenschutzrechtliche Themenstellungen in diesem Zusammenhang nicht<br />
isoliert behan<strong>de</strong>lt wer<strong>de</strong>n können. Das Persönlichkeitsrecht umfasst neben <strong>de</strong>m Recht<br />
auf informationelle Selbstbestimmung (Datenschutz) noch an<strong>de</strong>re Ansprüche wie zum<br />
Beispiel das Recht am eigenen Bild, das Urheberrecht o<strong>de</strong>r <strong>de</strong>n Schutz <strong>de</strong>r persönlichen<br />
Ehre in <strong>de</strong>r Öffentlichkeit. Die Fragen, welche Schüler, Eltern und Lehrer an uns richten,<br />
unterschei<strong>de</strong>n diese Rechte oft nicht. Wir nehmen dies zum Anlass, unsere Antworten an<br />
ausgewählten Beispielen darzustellen.<br />
Ausführlichere Hinweise zur Nutzung <strong>de</strong>s Internets an Schulen bieten wir in einem geson<strong>de</strong>rten<br />
Faltblatt 5 an. Außer<strong>de</strong>m enthält ein Rundschreiben <strong>de</strong>s Ministeriums für Bildung,<br />
Jugend und Sport 6 wichtige Einzelheiten zu diesem Thema.<br />
1.2.2 Welche Daten und Fotos darf die Schule auf ihrer Homepage<br />
Seite 13 von 195
veröffentlichen?<br />
Schulen stellen ihre Aktivitäten im Internet häufig recht umfangreich dar. Neben <strong>de</strong>m<br />
eigentlichen Unterrichtsprogramm fin<strong>de</strong>n sich auf <strong>de</strong>ren Websites Informationen zu Wettbewerben,<br />
Projekttagen und Ähnliches. Diese Darstellungen enthalten oft auch Namen<br />
<strong>de</strong>r Lehrkräfte o<strong>de</strong>r <strong>de</strong>r Schüler sowie Foto- und Filmaufnahmen, auf <strong>de</strong>nen Personen zu<br />
sehen sind.<br />
Die Veröffentlichung <strong>de</strong>r Namen von Schülern auf <strong>de</strong>r Homepage <strong>de</strong>r Schule stellt eine<br />
Datenübermittlung an Dritte dar und geht über <strong>de</strong>n Zweck <strong>de</strong>s Erziehungs- und Bildungsauftrages<br />
<strong>de</strong>r Schule hinaus. Sie ist zur Aufgabenerfüllung <strong>de</strong>r Schule nicht erfor<strong>de</strong>rlich<br />
und <strong>de</strong>shalb nur mit schriftlicher Einwilligung <strong>de</strong>r Betroffenen o<strong>de</strong>r – im Falle min<strong>de</strong>rjähriger<br />
Schüler – ihrer Eltern zulässig. Die Schule ist verpflichtet, in diesem Zusammenhang<br />
auf die mit einer solchen Veröffentlichung verbun<strong>de</strong>nen Risiken hinzuweisen. Die Betroffenen<br />
können ihre Einwilligung je<strong>de</strong>rzeit wi<strong>de</strong>rrufen. In diesem Fall ist die Schule verpflichtet,<br />
die Daten auf <strong>de</strong>r Website zu löschen.<br />
An<strong>de</strong>rs sieht die Rechtslage im Hinblick auf die Veröffentlichung von Namen und Funktion<br />
<strong>de</strong>r Lehrkräfte aus. Diese Angaben genießen nicht <strong>de</strong>n weitgehen<strong>de</strong>n Schutz <strong>de</strong>s<br />
Rechts auf informationelle Selbstbestimmung durch die Betroffenen, da es hier um <strong>de</strong>n<br />
Bezug zu ihrer dienstlichen Tätigkeit geht. 7 Die Namen <strong>de</strong>r Eltern<br />
o<strong>de</strong>r Schüler, die ihre Schule nach außen vertreten, sowie ihre Funktionsbezeichnungen<br />
(z. B. Schulelternsprecher o<strong>de</strong>r Schülersprecher) dürfen auf <strong>de</strong>r Homepage veröffentlicht<br />
wer<strong>de</strong>n. Die Betroffenen sollten vor <strong>de</strong>r Veröffentlichung in je<strong>de</strong>m Fall informiert<br />
wer<strong>de</strong>n. Rechtsgrundlagen sind das <strong>Bran<strong>de</strong>nburg</strong>ische Schulgesetz und die Datenschutzverordnung<br />
Schulwesen.<br />
Die Antwort auf die Frage, inwieweit Foto- und Filmaufnahmen von Schülern, Eltern o<strong>de</strong>r<br />
Lehrkräften veröffentlicht wer<strong>de</strong>n dürfen, richtet sich nach <strong>de</strong>m so genannten Recht am<br />
eigenen Bild gemäß § 22 Gesetz betreffend das Urheberrecht an Werken <strong>de</strong>r bil<strong>de</strong>n<strong>de</strong>n<br />
Künste und <strong>de</strong>r Fotografie (Kunsturheberrechtsgesetz). Dieses gilt selbstverständlich<br />
auch im Internet. Eine Abbildung einzelner Personen – gleich, ob Schüler, Eltern o<strong>de</strong>r<br />
Lehrer – ist ohne <strong>de</strong>ren Einverständnis nicht zulässig. Die Einverständniserklärung muss<br />
Seite 14 von 195
schriftlich erfolgen und die Aufnahme, Verwendung und Veröffentlichung <strong>de</strong>r Aufnahmen<br />
für Zwecke <strong>de</strong>r schulischen Öffentlichkeitsarbeit umfassen. Die Verwendung <strong>de</strong>r Bil<strong>de</strong>r<br />
sollte möglichst konkret bezeichnet wer<strong>de</strong>n. Der kunsturheberrechtliche Schutz greift<br />
nicht, wenn es sich lediglich um Übersichtsaufnahmen han<strong>de</strong>lt, die keine I<strong>de</strong>ntifizierung<br />
<strong>de</strong>r abgebil<strong>de</strong>ten Personen erlaubt. Dies kann beispielsweise durch eine geringe Auflösung<br />
digitaler Fotografien erreicht wer<strong>de</strong>n.<br />
Der Betrieb <strong>de</strong>r Homepage macht die Schule zum Anbieter eines Telemediendienstes.<br />
Sie muss <strong>de</strong>shalb die Bestimmungen <strong>de</strong>s Telemediengesetzes und <strong>de</strong>s Rundfunkstaatsvertrages<br />
beachten. Hierzu zählen beispielsweise die Impressumspflicht, eine Datenschutzerklärung,<br />
die Vorschriften zur Protokollierung sowie die Verantwortung für externe<br />
Verweise.<br />
1.2.3 Urheberrecht – wer hat die Rechte an <strong>de</strong>n Werken von Schülern und<br />
Lehrern?<br />
Das Urheberrecht ist ein Persönlichkeitsrecht <strong>de</strong>s Urhebers und schützt <strong>de</strong>ssen geistige<br />
Werke. Die Anwendung dieses komplexen Rechtsgebiets an <strong>de</strong>n Schulen richtet sich vor<br />
allem nach zwei Aspekten: Wer ist Urheber <strong>de</strong>s Werks und welchem Zweck dient seine<br />
Nutzung? Grundsätzlich gilt, dass die Nutzung eines Werks ohne Zustimmung <strong>de</strong>s Urhebers<br />
nur in <strong>de</strong>m Maße zulässig ist, wie dies für <strong>de</strong>n vorgesehenen schulischen Zweck<br />
erfor<strong>de</strong>rlich ist. Die urheberrechtlich relevanten Werke Schulangehöriger, die zu solchen<br />
Zwecken entstan<strong>de</strong>n sind, unterliegen somit geringeren Einschränkungen als beispielsweise<br />
Werke Schulfrem<strong>de</strong>r, <strong>de</strong>ren Veröffentlichung auch über <strong>de</strong>n schulischen Rahmen<br />
hinaus vorgesehen ist.<br />
Die Nutzungsrechte von Werken, die Schüler im Rahmen <strong>de</strong>s Unterrichts geschaffen<br />
haben (z. B. Aufsätze, Plakate o<strong>de</strong>r die Aufführung eines Musikstücks), liegen zu weiten<br />
Teilen bei <strong>de</strong>r Schule. Gegen die Darstellung dieser Werke im schulischen Rahmen, also<br />
beispielsweise im Unterricht o<strong>de</strong>r im Rahmen einer Ausstellung in <strong>de</strong>n Räumen <strong>de</strong>r Schule<br />
ist nichts einzuwen<strong>de</strong>n. Für eine weiter gehen<strong>de</strong> Veröffentlichung über <strong>de</strong>n schulischen<br />
Bereich hinaus bedarf es jedoch ihres Einverständnisses. Ähnliches gilt für urheberrechtlich<br />
relevante Werke von Lehrkräften, die diese in Erledigung ihrer Dienstaufga-<br />
Seite 15 von 195
en geschaffen haben (z. B. Arbeitsmaterialien, Theaterstücke o<strong>de</strong>r Versuchsaufbauten).<br />
Das Urheberrecht räumt <strong>de</strong>n Schulen außer<strong>de</strong>m in bestimmten Grenzen eine privilegierte<br />
Nutzung von Werken Dritter für Unterrichtszwecke ein.<br />
Das Urheberrecht gilt unabhängig von <strong>de</strong>m für die Veröffentlichung vorgesehenen Medium.<br />
Bei <strong>de</strong>r Beurteilung <strong>de</strong>s Zwecks <strong>de</strong>r Veröffentlichung ist zu beachten, dass die Publikation<br />
auf einer öffentlich zugänglichen Seite im Internet – im Gegensatz zu einem schulinternen<br />
Netz – immer be<strong>de</strong>utet, dass für die Verwendung die entsprechen<strong>de</strong>n Nutzungsrechte<br />
einzuholen sind.<br />
1.2.4 Spick mich – dürfen Schüler ihre Lehrer im Internet bewerten?<br />
Frei zugängliche Bewertungsportale im Internet sind in <strong>de</strong>n letzten Jahren in Mo<strong>de</strong> gekommen.<br />
So bewerten Gäste die von ihnen besuchten Hotels, Stu<strong>de</strong>nten ihre Professoren,<br />
Patienten die behan<strong>de</strong>ln<strong>de</strong>n Ärzte o<strong>de</strong>r eben – auf <strong>de</strong>m Portal www.spickmich.<strong>de</strong> –<br />
Schüler ihre Lehrer. Registrierte Nutzer konnten dort ihre Bewertungen entsprechend <strong>de</strong>n<br />
Schulnoten eins bis sechs abgeben. Sie waren dabei an vorgegebene Kriterien gebun<strong>de</strong>n<br />
wie beispielsweise „cool und witzig“, „beliebt“ o<strong>de</strong>r „guter Unterricht“. Die Gesamtnote<br />
ergab sich aus <strong>de</strong>m Durchschnitt <strong>de</strong>r anonym abgegebenen Bewertungen. Die Eingabe<br />
eines Freitextes war nicht möglich, allerdings konnten die Nutzer auf einer bestimmten<br />
Seite angebliche Zitate <strong>de</strong>s Lehrers eintragen. Eine betroffene Lehrerin klagte gegen das<br />
Portal, da sie sich in ihren Rechten verletzt sah. In <strong>de</strong>m viel diskutierten Fall hatten die<br />
Gerichte zwei Grundrechte gegeneinan<strong>de</strong>r abzuwägen: die Meinungsfreiheit <strong>de</strong>r Schüler<br />
und das Persönlichkeitsrecht <strong>de</strong>r Lehrerin, aus <strong>de</strong>m auch das Recht auf informationelle<br />
Selbstbestimmung abgeleitet wird.<br />
Die Kritik an <strong>de</strong>m Bewertungsportal konzentrierte sich auf die Frage, ob <strong>de</strong>ssen weltweite<br />
Abrufbarkeit im Internet zulässig war. Datenschutzrechtlich gesehen habe es sich um<br />
eine Datenübermittlung an Dritte gehan<strong>de</strong>lt, die ohne Einwilligung <strong>de</strong>s Betroffenen unter<br />
an<strong>de</strong>rem dann zulässig ist, wenn die Empfänger <strong>de</strong>r Daten ein berechtigtes Interesse an<br />
<strong>de</strong>r Kenntnisnahme haben und kein Grund zur Annahme eines schutzwürdigen Interesses<br />
<strong>de</strong>r Betroffenen besteht. Ein berechtigtes Interesse könne nur in Einzelfällen und<br />
Seite 16 von 195
allenfalls auf Seiten von Schulangehörigen bejaht wer<strong>de</strong>n.<br />
Die Klage <strong>de</strong>r Lehrerin blieb in allen Instanzen ohne Erfolg. 8 Die Gerichte befan<strong>de</strong>n, die<br />
Bewertungen stellten Meinungsäußerungen dar, die die berufliche Tätigkeit <strong>de</strong>r Lehrerin<br />
betreffen und seien <strong>de</strong>shalb nicht in gleichem Maße geschützt wie <strong>de</strong>ren Privatsphäre.<br />
Eine konkrete Beeinträchtigung habe die Klägerin zu<strong>de</strong>m nicht geltend gemacht. Außer<strong>de</strong>m<br />
seien die Äußerungen we<strong>de</strong>r schmähend noch beleidigend. Auch ihre anonyme<br />
Abgabe mache sie nicht unzulässig. Die Meinungsfreiheit umfasse grundsätzlich das<br />
Recht, das Verbreitungsmedium frei zu bestimmen. Die Zulässigkeit <strong>de</strong>r Datenübermittlung<br />
könne nur aufgrund einer Gesamtabwägung zwischen <strong>de</strong>m Persönlichkeitsschutz<br />
<strong>de</strong>s Betroffenen und <strong>de</strong>m Recht auf Kommunikationsfreiheit im jeweiligen Einzelfall beurteilt<br />
wer<strong>de</strong>n. Im Streitfall ist die Übermittlung <strong>de</strong>r Daten nicht von vornherein unzulässig,<br />
da sie nur eine geringe Aussagekraft bzw. Eingriffsqualität haben und <strong>de</strong>r Zugang zum<br />
Portal beschränkt ist.<br />
An<strong>de</strong>re Bewertungsportale im Internet waren nicht Gegenstand <strong>de</strong>s Klageverfahrens vor<br />
<strong>de</strong>m Bun<strong>de</strong>sgerichtshof. Seinem Urteil sind <strong>de</strong>shalb zur Frage ihrer datenschutzrechtlichen<br />
Zulässigkeit nur Anhaltspunkte zu entnehmen. Keinesfalls stellt die Entscheidung<br />
einen Freibrief für unbegrenzte Bewertungen dar. Das Recht <strong>de</strong>r Betroffenen auf informationelle<br />
Selbstbestimmung ist von allen Portalbetreibern in angemessener Weise zu beachten.<br />
1.2.5 Welche Grenzen hat die Nutzung schulischer Rechner?<br />
Schulen stellen – je nach Ausstattung – Computer zu unterschiedlichen Zwecken und in<br />
unterschiedlichem Umfang zur Verfügung. Die Spannbreite reicht vom rein auf <strong>de</strong>n Unterricht<br />
beschränkten PC-Einsatz bis hin zum Angebot <strong>de</strong>r privaten Nutzung <strong>de</strong>s Internets.<br />
Regelmäßig richten Schulen Computerarbeitsplätze für Unterrichtszwecke ein. Dieselben<br />
Rechner wer<strong>de</strong>n darin von mehreren Klassen zur Übung genutzt. Den Schülern sollte in<br />
diesen Fällen empfohlen wer<strong>de</strong>n, auf die – für die Übungszwecke im Übrigen gar nicht<br />
erfor<strong>de</strong>rliche – Speicherung persönlicher Angaben auf diesen Rechnern zu verzichten, da<br />
alle Schüler gleichermaßen Zugriff darauf haben. Ein geson<strong>de</strong>rter Passwortschutz ist<br />
Seite 17 von 195
nicht erfor<strong>de</strong>rlich; die Schule sollte gegebenenfalls <strong>de</strong>nnoch gespeicherte Daten regel-<br />
Nutzung gelten die allgemeinen Be-<br />
mäßig löschen. Bei <strong>de</strong>r ausschließlich schulischen<br />
stimmungen <strong>de</strong>s Schul- und <strong>de</strong>s Datenschutzrechtes.<br />
Erlaubt die Schule auch die private Nutzung <strong>de</strong>s Internets, wird sie zum Anbieter eines<br />
Telekommunikationsdienstes und hat die Bestimmungen <strong>de</strong>s Telemediengesetzes zu<br />
beachten. Dies gilt auch, wenn die Schule ein Internet-Café für die ausschließlich private<br />
Nutzung einrichtet. Zwar sind die gesetzlichen Bestimmungen <strong>de</strong>s Straf- und Jugendschutzrechts<br />
ohnehin zu beachten. Danach ist es verboten, pornografische, Gewalt verherrlichen<strong>de</strong><br />
o<strong>de</strong>r rassistische Inhalte aufzurufen o<strong>de</strong>r zu versen<strong>de</strong>n. Allerdings kann<br />
bereits die Nutzung <strong>de</strong>s Internets an einschränken<strong>de</strong> Bedingungen geknüpft wer<strong>de</strong>n, um<br />
eine Gefährdung von vornherein zu vermei<strong>de</strong>n. Beispielsweise darf die Schule technische<br />
Vorkehrungen treffen, um <strong>de</strong>n Zugriff <strong>de</strong>r Schüler auf bestimmte, durch die Schule<br />
für unbe<strong>de</strong>nklich befun<strong>de</strong>ne Seiten zu begrenzen. Die erlaubten Seiten müssen zuvor ein<br />
Zulassungsverfahren durchlaufen, <strong>de</strong>ssen Kriterien allen beteiligten Lehrkräften bekannt<br />
sein sollten. Diese relativ strikte, aber auch aufwendige Metho<strong>de</strong> kommt umso eher in<br />
Betracht, je niedriger die Klassenstufe ist. Flexibler ist <strong>de</strong>r Einsatz von Filterprogrammen,<br />
die Seiten mit bestimmten Inhalten sperren und <strong>de</strong>ren Einstellungen die Schule entsprechend<br />
<strong>de</strong>r Altersstufe <strong>de</strong>r Nutzer eigenständig konfigurieren kann. Darüber hinaus kann<br />
eine Aufsicht führen<strong>de</strong> Lehrkraft <strong>de</strong>n von <strong>de</strong>n Schülern aufgerufenen Bildschirminhalt am<br />
Lehrerarbeitsplatz kontrollieren. Auch eine nachträgliche Kontrolle auf <strong>de</strong>m Wege <strong>de</strong>r<br />
Protokollierung ist möglich.<br />
Der Umfang <strong>de</strong>r erlaubten privaten Nutzung <strong>de</strong>s Internets und <strong>de</strong>ren Bedingungen sollten<br />
in einer Nutzungsordnung festgelegt wer<strong>de</strong>n, die je<strong>de</strong>r Anwen<strong>de</strong>r zur Kenntnis nehmen<br />
muss. Soweit die oben beschriebenen Kontrollmaßnahmen vorgesehen sind, dürfen sie<br />
nur mit Einwilligung ergriffen wer<strong>de</strong>n. Ohne Zustimmung ist die private Nutzung <strong>de</strong>s In-<br />
ternets nicht möglich.<br />
Das Bewusstsein für <strong>de</strong>n Datenschutz im Internet ist Teil einer Medienkompetenz, die es<br />
an <strong>de</strong>n Schulen weiterhin zu stärken gilt. Eine enge Kooperation zwischen Lan<strong>de</strong>sregierung,<br />
Schulverwaltung und Lehrkräften ist dabei unabdingbar. Die Lan<strong>de</strong>sbeauftragte<br />
Seite 18 von 195
steht allen Beteiligten gern beratend zur Verfügung.<br />
1.3<br />
Zugang zu Informantendaten<br />
„Wer hat mich angeschwärzt?“ – Eine einfache Frage, <strong>de</strong>ren Beantwortung <strong>de</strong>n<br />
Behör<strong>de</strong>n oftmals gar nicht so leicht fällt. Was wiegt schwerer: Das Datenschutz-<br />
recht <strong>de</strong>s Informanten o<strong>de</strong>r das Informationsrecht <strong>de</strong>s Angezeigten?<br />
Anfragen, wie mit <strong>de</strong>n Daten von Informanten umzugehen ist, erreichen uns in verlässlicher<br />
Regelmäßigkeit. Die Grundhaltungen hierzu sind durchaus unterschiedlich. Ein Teil<br />
hält Hinweise auf Missstän<strong>de</strong> für unverzichtbar – erst mit <strong>de</strong>ren Hilfe könne die Verwaltung<br />
rechtswidrige Zustän<strong>de</strong> ent<strong>de</strong>cken und Abhilfe schaffen. Solche Informationen erhalte<br />
die Behör<strong>de</strong> aber nur, wenn sie <strong>de</strong>n Hinweisgebern Geheimhaltung zusichern kann.<br />
An<strong>de</strong>re vermuten von vornherein Missgunst o<strong>de</strong>r Neid als Motive jener Informanten, die<br />
nicht bereit sind, sich zu erkennen zu geben. Ein Beschuldigter müsse sich vor falschen<br />
Beschuldigungen schützen können. Für bei<strong>de</strong> Sichtweisen lassen sich Argumente fin<strong>de</strong>n;<br />
die Grenze zwischen sachlichen Hinweisen an die Verwaltung und reiner Denunziation ist<br />
in <strong>de</strong>r Praxis in<strong>de</strong>s fließend.<br />
Darf nun aber eine Behör<strong>de</strong> die I<strong>de</strong>ntität <strong>de</strong>s Informanten gegenüber <strong>de</strong>m Beschuldigten<br />
offenbaren? Dass es sich hierbei im Hinblick auf <strong>de</strong>n Anzeigen<strong>de</strong>n um eine datenschutzrechtliche<br />
Frage han<strong>de</strong>lt, liegt auf <strong>de</strong>r Hand. Die Information, um wen es sich bei <strong>de</strong>m<br />
Informanten han<strong>de</strong>lt, bezieht sich allerdings nicht nur auf diesen selbst, son<strong>de</strong>rn stellt<br />
auch ein auf die Person <strong>de</strong>s Beschuldigten bezogenes Datum dar. Schließlich geht es<br />
um die Frage, aus welcher Quelle die Beschuldigung stammt. An<strong>de</strong>rs ausgedrückt heißt<br />
das: Bestandteil personenbezogener Daten ist immer auch die Information über ihre Herkunft.<br />
Ein berechtigtes Schutzinteresse <strong>de</strong>s Informanten besteht grundsätzlich nicht, wenn ausreichen<strong>de</strong><br />
Anhaltspunkte dafür vorliegen, dass <strong>de</strong>r Informant wi<strong>de</strong>r besseres Wissen o<strong>de</strong>r<br />
leichtfertig falsch über <strong>de</strong>n Betroffenen informiert hat. Wahrheitswidrige Angaben sind für<br />
Seite 19 von 195
die Aufgabenerfüllung <strong>de</strong>r Behör<strong>de</strong> immer kontraproduktiv; <strong>de</strong>r Hinweisgeber macht sich<br />
damit gegebenenfalls sogar strafbar. Ein öffentliches Interesse, diese Straftat zu <strong>de</strong>cken,<br />
besteht nicht. Außer<strong>de</strong>m ist die I<strong>de</strong>ntität <strong>de</strong>s Anzeigen<strong>de</strong>n im Falle eines strafrechtlichen<br />
Verfahrens – beispielsweise wegen falscher Verdächtigung o<strong>de</strong>r Verleumdung – ohnehin<br />
offen zu legen.<br />
1.3.1 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
Nach § 18 Absatz 1 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz ist <strong>de</strong>m von <strong>de</strong>r Datenverarbeitung<br />
Betroffenen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen.<br />
Diese Auskunftspflicht öffentlicher Stellen erstreckt sich aber nicht nur auf <strong>de</strong>n Inhalt,<br />
son<strong>de</strong>rn auch auf die Quelle <strong>de</strong>r Daten. Sie entfällt nur, soweit die Information wegen<br />
einer speziellen Rechtsvorschrift o<strong>de</strong>r wegen <strong>de</strong>r überwiegen<strong>de</strong>n berechtigten Interessen<br />
eines Dritten (hier also <strong>de</strong>s Informanten) geheim gehalten wer<strong>de</strong>n müssen (Absatz 3).<br />
Dies wäre <strong>de</strong>r Fall, wenn <strong>de</strong>r Hinweisgeber bei Bekanntwer<strong>de</strong>n seiner I<strong>de</strong>ntität beispielsweise<br />
Repressalien o<strong>de</strong>r gar die Beeinträchtigung seiner körperlichen Unversehrtheit<br />
befürchten müsste. In <strong>de</strong>n meisten Fällen haben Hinweisgeber somit kein Recht, ungenannt<br />
zu bleiben.<br />
Verbreitet wird dieser Argumentation entgegengehalten, dass verschie<strong>de</strong>ne Gerichte<br />
übereinstimmend an<strong>de</strong>rs entschie<strong>de</strong>n hätten. Dies trifft tatsächlich zu. Allerdings han<strong>de</strong>lte<br />
es sich dabei um Urteile, die in an<strong>de</strong>ren Bun<strong>de</strong>slän<strong>de</strong>rn o<strong>de</strong>r auf Bun<strong>de</strong>sebene getroffen<br />
wur<strong>de</strong>n. 9 Ihnen lagen Datenschutzregelungen zu Grun<strong>de</strong>, die sich von <strong>de</strong>nen <strong>de</strong>s<br />
<strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes in einem Punkt wesentlich unterschei<strong>de</strong>n: Sie<br />
verlangen nicht nur die Abwägung zwischen <strong>de</strong>n entgegenstehen<strong>de</strong>n Interessen <strong>de</strong>s<br />
Beschuldigten und <strong>de</strong>s Informanten, son<strong>de</strong>rn auch eine Berücksichtigung <strong>de</strong>s<br />
öffentlichen Interesses. Beispielsweise regelt § 19 Absatz 4 Bun<strong>de</strong>sdatenschutzgesetz,<br />
dass die Auskunft unterbleibt, soweit ansonsten die ordnungsgemäße Aufgabenerfüllung<br />
9<br />
beispielsweise Urteil <strong>de</strong>s Bun<strong>de</strong>sverwaltungsgerichts vom 3. September 1991 (1 C 48/88) o<strong>de</strong>r Urteil <strong>de</strong>s Bun<strong>de</strong>sverwaltungsgerichts vom 27. Februar<br />
2003 (2 C 10.02)<br />
Seite 20 von 195
10 Urteil <strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts vom 10. März 2008 (1 BvR 2388/03)<br />
Seite 21 von 195<br />
<strong>de</strong>r Behör<strong>de</strong> o<strong>de</strong>r die öffentliche Sicherheit o<strong>de</strong>r Ordnung gefähr<strong>de</strong>t wür<strong>de</strong>n bzw. sonst<br />
<strong>de</strong>m Wohle <strong>de</strong>s Bun<strong>de</strong>s o<strong>de</strong>r eines Lan<strong>de</strong>s Nachteile entstün<strong>de</strong>n. Das <strong>Bran<strong>de</strong>nburg</strong>ische<br />
Datenschutzgesetz enthält eine solche Regelung nicht. Die gerichtlichen Entscheidungen<br />
sind daher auf die bran<strong>de</strong>nburgische Rechtslage nicht übertragbar. Ob die Behör<strong>de</strong> zur<br />
Erfüllung ihrer Aufgabe auf vertrauliche Hinweise angewiesen ist o<strong>de</strong>r ob ihr diese<br />
nützlich sein können, ist für eine Abwägung auf <strong>de</strong>r Grundlage <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes nicht relevant.<br />
1.3.2 Ordnungswidrigkeitenverfahren<br />
In einem Verfahren zur Verfolgung von Ordnungswidrigkeiten hat <strong>de</strong>r Beschuldigte<br />
ebenfalls Informationsrechte. Auf <strong>de</strong>r Grundlage <strong>de</strong>s § 49 Absatz 1<br />
Ordnungswidrigkeitengesetz kann <strong>de</strong>m Beschuldigten Einsicht gewährt wer<strong>de</strong>n, soweit<br />
nicht überwiegen<strong>de</strong> schutzwürdige Interessen Dritter entgegenstehen. Sind solche nicht<br />
zu erkennen, steht <strong>de</strong>r Behör<strong>de</strong> also – an<strong>de</strong>rs als im Anwendungsbereich <strong>de</strong>s<br />
<strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes – ein Ermessen zu. Bei <strong>de</strong>r Abwägung hat die<br />
Behör<strong>de</strong> auch öffentliche Interessen wie zum Beispiel eine mögliche Gefährdung <strong>de</strong>r<br />
Untersuchung zu berücksichtigen. Dem Rechtsanwalt <strong>de</strong>s Angezeigten hingegen steht<br />
nach § 46 Absatz 1 Ordnungswidrigkeitengesetz in Verbindung mit § 147<br />
Strafprozessordnung in <strong>de</strong>r Regel ein Anspruch auf Einsicht zu.<br />
1.3.3 Abgabenrecht<br />
Die für die Besteuerung anzuwen<strong>de</strong>n<strong>de</strong> Abgabenordnung enthält keine Regelung zum<br />
datenschutzrechtlichen Informationsanspruch <strong>de</strong>s Steuerpflichtigen. In <strong>de</strong>r Vergangenheit<br />
haben die Steuerbehör<strong>de</strong>n stets argumentiert, die Abgabenordnung sei wegen <strong>de</strong>s bewussten<br />
Verzichts <strong>de</strong>s Gesetzgebers, eine solche Regelung aufzunehmen, als abschließend<br />
anzusehen. Neben <strong>de</strong>r Abgabenordnung sei das <strong>Bran<strong>de</strong>nburg</strong>ische Datenschutzgesetz<br />
somit nicht anwendbar. Die Finanzverwaltung gewährte <strong>de</strong>m Steuerpflichtigen<br />
folglich nur nach pflichtgemäßem Ermessen Zugang zu <strong>de</strong>n „eigenen“ Daten. Einer Offenlegung<br />
entgegenstehen<strong>de</strong> Geheimhaltungsinteressen – wie zum Beispiel die Ange-<br />
Zu Ziffer 1.3.3 „Abgabenrecht“ und zu <strong>de</strong>n Anlagen Nr. 3.3.4 und<br />
Nr. 4.6<br />
Das Bun<strong>de</strong>sverfassungsgericht (BVerfG) hat in seinem Beschluss<br />
vom 10. März 2008 - 1 BvR 2388/03 – entschie<strong>de</strong>n, dass das<br />
Recht auf Auskunftserteilung nach § 19 Bun<strong>de</strong>sdatenschutzgesetz<br />
(BDSG) auch gegenüber Bun<strong>de</strong>sfinanzbehör<strong>de</strong>n gilt. Das BVerfG<br />
hat in seiner Entscheidung vom 10. März 2008 zugleich aber auch<br />
<strong>de</strong>utlich gemacht, dass Einschränkungen <strong>de</strong>s Informationsrechts<br />
<strong>de</strong>r Betroffenen zulässig sind, wenn sie gegenläufigen Interessen<br />
von größerem Gewicht dienen. Das mit <strong>de</strong>r Geheimhaltung von zu
wiesenheit auf vertrauliche Hinweise zum Zweck <strong>de</strong>r Verfolgung von Steuerbetrug<br />
mussten in dieser Ermessensentscheidung konsequenterweise berücksichtigt wer<strong>de</strong>n.<br />
Spätestens seit das Bun<strong>de</strong>sverfassungsgericht mit seinem Beschluss vom 10. März<br />
2008 10 festgestellt hat, dass <strong>de</strong>r Anspruch auf Informationen aus <strong>de</strong>r eigenen Steuerakte<br />
verfassungsrechtlich geboten ist, sind aber auch hier die datenschutzrechtlichen<br />
Regelungen zu beachten, die <strong>de</strong>r jeweilige Gesetzgeber vorgesehen hat. In <strong>Bran<strong>de</strong>nburg</strong><br />
gilt somit auch im Abgabenrecht <strong>de</strong>r oben beschriebene Anspruch <strong>de</strong>s Betroffenen nach<br />
§ 18 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz auf Zugang zu Daten, die zu seiner Person<br />
gespeichert sind.<br />
–<br />
Kontroll- und Überwachungszwecken erhobenen steuerlichen<br />
Daten verfolgte Ziel <strong>de</strong>r gleichmäßigen Festsetzung und Erhebung<br />
von Steuern kann im Einzelfall ein höheres verfassungsrechtliches<br />
Gewicht haben als das Informationsinteresse <strong>de</strong>s Betroffenen.<br />
Eine Auskunftserteilung könnte es <strong>de</strong>m Betroffenen nämlich ermöglichen,<br />
sein Erklärungsverhalten auf <strong>de</strong>n Kenntnisstand <strong>de</strong>r<br />
Finanzbehör<strong>de</strong>n einzustellen. Dies wür<strong>de</strong> zu einer weitgehen<strong>de</strong>n<br />
Wertlosigkeit <strong>de</strong>r Daten und damit zu einer Erschwerung o<strong>de</strong>r<br />
sogar Unmöglichkeit <strong>de</strong>r Aufgabenerfüllung <strong>de</strong>r Finanzbehör<strong>de</strong><br />
führen.<br />
Mit <strong>de</strong>m Schreiben vom 17. Dezember 2008 - IV A 3 - S<br />
0030/08/10001 hat das Bun<strong>de</strong>sministerium <strong>de</strong>r Finanzen im Vorgriff<br />
auf eine gesetzliche Regelung in <strong>de</strong>r Abgabenordnung - im<br />
Verwaltungsweg in Anlehnung an § 19 BDSG einen generellen<br />
Auskunftsanspruch gegenüber Finanzämtern anerkannt. Es wird<br />
aber auch ausdrücklich darauf hingewiesen, dass die Finanzbehör<strong>de</strong><br />
das Auskunftsinteresse <strong>de</strong>s Betroffenen und das Geheimhaltungsinteresse<br />
<strong>de</strong>s Staates gegeneinan<strong>de</strong>r abzuwägen hat. Die<br />
in <strong>de</strong>m Schreiben enthaltene For<strong>de</strong>rung nach einem „berechtigten<br />
Interesse“ <strong>de</strong>s Betroffenen hat allein zum Ziel, dass <strong>de</strong>r Betroffene<br />
schon bei seiner Antragstellung darlegt, aus welchem Grund er<br />
die Auskunft beantragt. Dies erleichtert es <strong>de</strong>r Finanzbehör<strong>de</strong>, die<br />
Abwägung zwischen <strong>de</strong>m Auskunftsinteresse <strong>de</strong>s Betroffenen und<br />
ihrem Geheimhaltungsinteresse ohne weitere Nachfragen beim<br />
Antragsteller vorzunehmen.<br />
Wie die Erfahrungen - auch in <strong>de</strong>n an<strong>de</strong>ren Bun<strong>de</strong>slän<strong>de</strong>rn – zeigen,<br />
hat sich diese Verfahrensweise in <strong>de</strong>r Praxis bewährt.<br />
Das Bun<strong>de</strong>sministerium <strong>de</strong>r Finanzen prüft zusammen mit <strong>de</strong>n<br />
obersten Finanzbehör<strong>de</strong>n <strong>de</strong>r Län<strong>de</strong>r, wie eine bereichsspezifische<br />
Auskunftsregelung in <strong>de</strong>r Abgabenordnung ausgestaltet<br />
Seite 22 von 195
wer<strong>de</strong>n müsste. Damit bei <strong>de</strong>n von Lan<strong>de</strong>sfinanzbehör<strong>de</strong>n bun<strong>de</strong>seinheitlich<br />
verwalteten Steuern auch hinsichtlich <strong>de</strong>s Auskunftsrechts<br />
ein bun<strong>de</strong>seinheitlicher Standard gilt, wird angestrebt,<br />
in <strong>de</strong>r Abgabenordnung eine bereichsspezifische Regelung<br />
zu treffen. Diese Regelung soll <strong>de</strong>n vom BVerfG beschriebenen<br />
Anfor<strong>de</strong>rungen Rechnung tragen, also insbeson<strong>de</strong>re die verfassungsrechtlich<br />
gebotene Abwägung zwischen <strong>de</strong>r Gewährleistung<br />
einer gleichmäßigen Besteuerung und <strong>de</strong>m Grundrecht auf informationelle<br />
Selbstbestimmung berücksichtigen.<br />
Inhaltsgleich hat das Bun<strong>de</strong>sministerium <strong>de</strong>r Finanzen mit Schreiben<br />
vom 22. Juni 2009 gegenüber <strong>de</strong>m Bun<strong>de</strong>sbeauftragten für<br />
<strong>de</strong>n Datenschutz und die Informationsfreiheit zu <strong>de</strong>r Problematik<br />
Stellung genommen.<br />
1.3.4 Sozialrecht und Jugendhilfe<br />
Auch im Sozialrecht besteht für <strong>de</strong>n Betroffenen einer Datenverarbeitung grundsätzlich<br />
das Recht, Auskunft über die zu seiner Person gespeicherten Daten – also auch über die<br />
I<strong>de</strong>ntität eines Anzeigeerstatters – zu erhalten. Im Rahmen einer<br />
Abwägungsentscheidung nach § 83 Abs. 4 Zehntes Buch Sozialgesetzbuch hat die<br />
Sozialbehör<strong>de</strong> allerdings nicht nur zu prüfen, ob gegebenenfalls überwiegen<strong>de</strong><br />
berechtigte Interessen <strong>de</strong>s Informanten einer Offenlegung entgegenstehen. Die<br />
Auskunftserteilung unterbleibt nach dieser Vorschrift vielmehr auch, soweit ansonsten die<br />
ordnungsgemäße Aufgabenerfüllung o<strong>de</strong>r die öffentliche Sicherheit gefähr<strong>de</strong>t o<strong>de</strong>r <strong>de</strong>m<br />
Wohle <strong>de</strong>s Bun<strong>de</strong>s o<strong>de</strong>r eines Lan<strong>de</strong>s sonstige Nachteile bereitet wür<strong>de</strong>n. Das<br />
öffentliche Geheimhaltungsinteresse ist im Sozialrecht somit – an<strong>de</strong>rs als im<br />
Anwendungsbereich <strong>de</strong>s bran<strong>de</strong>nburgischen Datenschutzgesetzes – Bestandteil <strong>de</strong>r<br />
Ermessensausübung. Dies betrifft beispielsweise eine Sozialbehör<strong>de</strong>, die ohne einen<br />
Vertrauensschutz für außenstehen<strong>de</strong> Hinweisgeber ihre Aufgaben zur Auf<strong>de</strong>ckung von<br />
Korruption o<strong>de</strong>r Sozialleistungsbetrug nicht effektiv erledigen kann. Wird <strong>de</strong>m Jugendamt<br />
ein Fall von Kin<strong>de</strong>swohlgefährdung angezeigt, überwiegt aus vergleichbaren Grün<strong>de</strong>n<br />
regelmäßig das öffentliche Interesse an <strong>de</strong>r Geheimhaltung <strong>de</strong>r I<strong>de</strong>ntität <strong>de</strong>s<br />
Seite 23 von 195
Hinweisgebers. Ohne Informationen aus <strong>de</strong>m sozialen Umfeld <strong>de</strong>s Kin<strong>de</strong>s könnte die<br />
Behör<strong>de</strong> ihrem Schutzauftrag bei Kin<strong>de</strong>swohlgefährdungen im Sinne <strong>de</strong>s § 8a Achtes<br />
Buch Sozialgesetzbuch nicht nachkommen.<br />
1.3.5 Schweigepflicht im Gesundheitswesen<br />
Eine Ausnahme <strong>de</strong>s Regelfalls <strong>de</strong>r Offenlegung von Informantendaten stellt die nach<br />
§ 203 Strafgesetzbuch strafbewährte ärztliche Schweigepflicht dar. Neben <strong>de</strong>n eigentlichen<br />
Ärzten richtet sie sich beispielsweise auch an Psychologen o<strong>de</strong>r Sozialarbeiter in<br />
staatlich anerkannten Beratungseinrichtungen. Auch § 16 Abs. 2 <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Gesundheitsdienstgesetz verpflichtet alle im öffentlichen Gesundheitsdienst tätigen Personen<br />
zu beson<strong>de</strong>rer Verschwiegenheit. Die Verschwiegenheitspflicht <strong>de</strong>s § 55 Abs. 4<br />
<strong>Bran<strong>de</strong>nburg</strong>isches Psychisch-Kranken-Gesetz richtet sich an sämtliche Beschäftigte von<br />
Einrichtungen zur Versorgung psychisch kranker und seelisch behin<strong>de</strong>rter Personen.<br />
Diese Vorschriften schützen ein frem<strong>de</strong>s Geheimnis, das einem Schweigepflichtigen in<br />
dienstlichem Zusammenhang anvertraut wur<strong>de</strong>. Auch die I<strong>de</strong>ntität eines Hinweisgebers<br />
kann im Einzelfall ein solches Geheimnis darstellen. Bei <strong>de</strong>r ärztlichen Schweigepflicht<br />
han<strong>de</strong>lt es sich um eine spezielle und damit vorrangige Rechtsvorschrift im Sinne <strong>de</strong>s<br />
§ 18 Abs. 3 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz.<br />
Seite 24 von 195
1.3.6 Ergebnis<br />
Die Verwaltung auf Missstän<strong>de</strong> hinzuweisen, ist unzweifelhaft sinnvoll, wenn diese daraufhin<br />
beseitigt wer<strong>de</strong>n können. Mit Denunziation hat ein solcher Hinweis nichts zu tun –<br />
in vielen Fällen han<strong>de</strong>lt es sich um einen Akt von Zivilcourage. Es ist aber nicht Aufgabe<br />
<strong>de</strong>r öffentlichen Hand, durch <strong>de</strong>n Vertrauensschutz von Informanten Spekulationen, falschen<br />
Verdächtigungen und neuen Streitigkeiten Vorschub zu leisten.<br />
Die Ausführungen beziehen sich vor allem auf Anzeigen, die von Nachbarn, Bekannten<br />
o<strong>de</strong>r an<strong>de</strong>ren Außenstehen<strong>de</strong>n an die Verwaltung gegeben wer<strong>de</strong>n. Soweit <strong>de</strong>r Hinweisgeber<br />
keine natürliche Person, son<strong>de</strong>rn eine an<strong>de</strong>re Behör<strong>de</strong> ist, müssen zu<strong>de</strong>m die<br />
Ausnahmen <strong>de</strong>s § 18 Abs. 5 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz beachtet wer<strong>de</strong>n.<br />
Soweit ein Hinweis vom Verfassungsschutz, einem Nachrichtendienst, <strong>de</strong>r Staatsanwaltschaft,<br />
<strong>de</strong>r Polizei, von Lan<strong>de</strong>sfinanzbehör<strong>de</strong>n o<strong>de</strong>r von militärischen Behör<strong>de</strong>n stammt,<br />
müssen diese Behör<strong>de</strong>n einer Offenlegung in <strong>de</strong>r Regel zustimmen. Diese Situation unterschei<strong>de</strong>t<br />
sich wesentlich von innerbetrieblichen o<strong>de</strong>r innerbehördlichen Hinweisen, mit<br />
<strong>de</strong>nen Arbeitnehmer auf rechtswidrige Zustän<strong>de</strong> in ihrem eigenen beruflichen Umfeld<br />
aufmerksam machen („Whistleblower“). Hier sind Verfahren zu schaffen, die <strong>de</strong>n Hinweisgeber<br />
vor ungerechtfertigten Nachteilen am Arbeitsplatz schützen. 11<br />
Die Frage, wie mit Informantendaten umzugehen ist, stellt sich naturgemäß nur, wenn die<br />
Behör<strong>de</strong> die I<strong>de</strong>ntität <strong>de</strong>s Hinweisgebers kennt. Von <strong>de</strong>r Problematik <strong>de</strong>r Vertraulichkeit<br />
zu unterschei<strong>de</strong>n sind anonyme Hinweise. Sie sind datenschutzrechtlich nicht relevant.<br />
Wer von einem an<strong>de</strong>ren angezeigt wird, hat grundsätzlich das Recht, die I<strong>de</strong>ntität<br />
dieser Person zu erfahren. Informanten haben nur in Ausnahmefällen einen<br />
Anspruch auf Vertraulichkeit.<br />
11 Siehe auch Anlage 4.2.1: Entschließung <strong>de</strong>r Konferenz <strong>de</strong>r Informationsfreiheitsbeauftragten in Deutschland „Mehr Transparenz durch gesetzlichen<br />
Schutz von Whistleblowern“ vom 24. Juni 2009<br />
Seite 25 von 195
2 Technisch-organisatorische Entwicklungen<br />
2.1 Virtualisierung – ein anhalten<strong>de</strong>r Trend<br />
Seit einigen Jahren gewinnt das Thema „Virtualisierung von Rechenressourcen“<br />
auch in <strong>de</strong>r öffentlichen Verwaltung zunehmend an Be<strong>de</strong>utung. Die Technik verspricht<br />
eine bessere Auslastung von Hardware und einen flexibleren, kostengünstigeren<br />
IT-Einsatz. Allerdings stellen sich beim Einsatz <strong>de</strong>r Virtualisierung auch<br />
neue Fragen zur Gewährleistung <strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-Sicherheit.<br />
Technische Grundlage <strong>de</strong>r Virtualisierung ist im Allgemeinen eine spezielle Virtualisierungsschicht,<br />
welche Hardware und Betriebssystem (bzw. Applikationen) entkoppelt –<br />
meist in Form von zusätzlicher Software. Sie gestattet es, auf einem physischen Rechner<br />
(Wirtssystem) mehrere so genannte virtuelle Maschinen (Gastsysteme) einzurichten, die<br />
von außen als eigenständige Computer genutzt wer<strong>de</strong>n können. Grundsätzlich ist es<br />
möglich, dass die einzelnen virtuellen Maschinen mit <strong>de</strong>n gleichen o<strong>de</strong>r verschie<strong>de</strong>nen<br />
Betriebssystemen und/o<strong>de</strong>r Applikationen ausgestattet wer<strong>de</strong>n. Die Virtualisierungsschicht<br />
sorgt dafür, dass die virtuellen Maschinen auf <strong>de</strong>rselben Hardware zwar gleichzeitig<br />
nebeneinan<strong>de</strong>r, jedoch voneinan<strong>de</strong>r isoliert arbeiten. Sie vermittelt und koordiniert<br />
auch <strong>de</strong>n Zugriff aus <strong>de</strong>n einzelnen virtuellen Maschinen auf die physisch vorhan<strong>de</strong>nen<br />
Hardwarekomponenten (Festplatten, Netzschnittstellen, Peripheriegeräte), falls dieser<br />
zugelassen und konfiguriert ist.<br />
Typische Einsatzgebiete <strong>de</strong>r Virtualisierung sind einerseits die Bereitstellung von Testund<br />
Entwicklungsumgebungen für unterschiedliche Rechner- und Betriebssystemplattformen.<br />
Auch eingeschränkte Laufzeitumgebungen lassen sich hiermit gut realisieren.<br />
An<strong>de</strong>rerseits ermöglicht die Virtualisierung, vorhan<strong>de</strong>ne Hardwareressourcen effizienter<br />
und flexibler zu nutzen. Insbeson<strong>de</strong>re ist hier die Serverkonsolidierung zu nennen: Dabei<br />
wer<strong>de</strong>n Serverdienste, die bislang auf getrennter, jedoch meist wenig ausgelasteter<br />
Hardware angeboten wur<strong>de</strong>n, in virtuelle Maschinen auf einer gemeinsamen, leistungsfähigen<br />
und nun besser ausgelasteten Hardware verlagert. Dies hilft nicht nur, die Anzahl<br />
Seite 26 von 195
<strong>de</strong>r physischen Server zu reduzieren – auch Energie, Platz und Anschaffungskosten<br />
lassen sich einsparen. Weiterhin können virtuelle Maschinen flexibel und z. T. auch dynamisch<br />
auf vorhan<strong>de</strong>ne Hardwareressourcen verteilt wer<strong>de</strong>n. Dadurch wer<strong>de</strong>n kürzere<br />
Ausfall- und schnellere Wie<strong>de</strong>rherstellungszeiten im Fehlerfall ermöglicht.<br />
Die Nutzung <strong>de</strong>r Virtualisierung in produktiven Umgebungen (z. B. zur Serverkonsolidierung)<br />
erfor<strong>de</strong>rt geson<strong>de</strong>rte Überlegungen bezüglich <strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-<br />
Sicherheit. So ist z. B. zu gewährleisten, dass keine unberechtigten Zugriffe zwischen<br />
<strong>de</strong>n virtuellen Maschinen untereinan<strong>de</strong>r bzw. zwischen <strong>de</strong>n einzelnen Gastsystemen und<br />
<strong>de</strong>m Wirtssystem stattfin<strong>de</strong>n. IT-Sicherheitsmaßnahmen sind sowohl für das Wirtssystem<br />
als auch für je<strong>de</strong> virtuelle Maschine zu realisieren. Dabei ist zu beachten, dass sich das<br />
Gesamtschutzniveau einer physischen Komponente nach <strong>de</strong>m Maximumprinzip aus <strong>de</strong>m<br />
höchsten Schutzbedarf <strong>de</strong>r auf dieser Komponente laufen<strong>de</strong>n Verfahren ergibt. Es kann<br />
somit empfohlen wer<strong>de</strong>n, auf einer physischen Hardware nur virtuelle Maschinen bzw.<br />
DV-Verfahren mit gleichem Schutzbedarf einzurichten.<br />
Weiterhin muss berücksichtigt wer<strong>de</strong>n, dass bei <strong>de</strong>r Serverkonsolidierung ein neuer „Single<br />
Point of Failure“ entsteht: Fällt die physische Hardware aus, auf <strong>de</strong>r eine Reihe virtueller<br />
Maschinen laufen, dann fallen auch alle diese virtuellen Maschinen aus. Dies be<strong>de</strong>utet<br />
einen Verlust an Verfügbarkeit bzgl. <strong>de</strong>r benötigten DV-Verfahren. Darüber hinaus<br />
können eine nicht ausreichend dimensionierte Hardware o<strong>de</strong>r Konfigurationsfehler zu<br />
Problemen mit <strong>de</strong>m Antwortzeitverhalten und <strong>de</strong>m Datendurchsatz bei <strong>de</strong>n jeweiligen<br />
virtuellen Maschinen führen. Durch geeignete Maßnahmen sind hier entsprechen<strong>de</strong> Vorkehrungen<br />
zu treffen.<br />
Zusätzliche Hinweise zum sicheren Einsatz <strong>de</strong>r Virtualisierung können <strong>de</strong>n Grundschutzkatalogen<br />
<strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in <strong>de</strong>r Informationstechnik (Maßnahme M<br />
2.392) entnommen wer<strong>de</strong>n.<br />
Die Virtualisierung stellt Mittel für einen effizienteren und flexibleren IT-Einsatz bereit. Im<br />
Rahmen <strong>de</strong>r Serverkonsolidierung müssen jedoch auch die Anfor<strong>de</strong>rungen <strong>de</strong>s Datenschutzes<br />
und <strong>de</strong>r IT-Sicherheit berücksichtigt wer<strong>de</strong>n. Insbeson<strong>de</strong>re sind Maßnahmen zu<br />
ergreifen, die die Isolation <strong>de</strong>r virtuellen Maschinen bzw. <strong>de</strong>r darauf laufen<strong>de</strong>n DV-<br />
Seite 27 von 195
Verfahren sowie <strong>de</strong>ren Verfügbarkeit sicherstellen.<br />
2.2 Cloud Computing – Rechnen in <strong>de</strong>r Wolke auf eigene Gefahr?<br />
In Zeiten leerer Kassen haben neue und kosteneffiziente technische Entwicklungen<br />
beson<strong>de</strong>rs gute Marktchancen. So verheißt die I<strong>de</strong>e <strong>de</strong>s Cloud Computing auf<br />
<strong>de</strong>n ersten Blick eine willkommene Entlastung für die Datenverarbeitung auch öffentlicher<br />
Stellen.<br />
Mit <strong>de</strong>r Einführung <strong>de</strong>s Cloud Computing soll eine Form <strong>de</strong>r automatisierten Datenverarbeitung<br />
etabliert wer<strong>de</strong>n, die es ermöglicht, komplette Geschäftsprozesse in die „Internetwolke“<br />
zu transferieren. Die I<strong>de</strong>e besteht darin, hoch skalierbare und verwaltete IT-<br />
Infrastrukturen sowie Applikationen im Internet bereitzuhalten und <strong>de</strong>ren Nutzung nach<br />
Verbrauch abzurechnen. Vom Cloud-Dienstleister wer<strong>de</strong>n nicht nur die Lizenzen zur Verfügung<br />
gestellt, son<strong>de</strong>rn z. B. auch Speicherplatz und Datenbanken. Damit verlagert man<br />
die Verarbeitung personenbezogener Daten in das nebulöse Internet. Die dafür erfor<strong>de</strong>rlichen<br />
Schlüsseltechnologien wie Virtualisierung 12 und Grid Computing sowie die Anbindung<br />
an breitbandige Internetzugänge sind verfügbar und wer<strong>de</strong>n bereits von verschie<strong>de</strong>nsten<br />
am Markt befindlichen Cloud-Dienstleistern (z. B. Amazon, Google o<strong>de</strong>r Microsoft)<br />
genutzt.<br />
Auf <strong>de</strong>n ersten Blick erweckt Cloud Computing <strong>de</strong>n Eindruck eines Paradigmenwechsels<br />
in <strong>de</strong>r Art und Weise, wie IT-Dienste <strong>de</strong>mnächst bereitgestellt wer<strong>de</strong>n könnten. Informationstechnik<br />
(Hard- und Software) wird zum Gebrauchsgut wie Wasser und Strom. Diese<br />
Vorstellung manifestiert sich in <strong>de</strong>n vielfach beschriebenen Vorzügen <strong>de</strong>r neuen Technologie.<br />
So soll es z. B. möglich wer<strong>de</strong>n, IT wesentlich kostengünstiger nutzen zu können.<br />
Die Einführung von Verfahren soll dadurch beschleunigt wer<strong>de</strong>n, dass Hardware nicht<br />
12 vgl. auch A 2.1<br />
13 siehe http://www.cloudsecurityalliance.org<br />
14 siehe http://www.cloudsecurityalliance.org/csagui<strong>de</strong>.pdf (Security Guidance for Critical Areas of Focus in Cloud Computing)<br />
Seite 28 von 195
mehr beschafft wer<strong>de</strong>n muss, son<strong>de</strong>rn als Dienst in Form von Server-Kapazität von einem<br />
Dienstleister bezogen wird. Daraus könnten Personaleinsparungen im Bereich <strong>de</strong>r<br />
Systemadministration abgeleitet wer<strong>de</strong>n. Hohe Flexibilität aufgrund <strong>de</strong>r theoretisch unbegrenzten<br />
Skalierbarkeit <strong>de</strong>r Dienste, eine rasche Anpassung an verän<strong>de</strong>rte Anfor<strong>de</strong>rungen<br />
sowie die verbrauchsabhängige Abrechnung inkl. kurzer Vertragslaufzeiten sind oft<br />
genannte Argumente.<br />
Dem gegenüber stehen jedoch erhebliche Be<strong>de</strong>nken hinsichtlich <strong>de</strong>r Umsetzung technischer<br />
und organisatorischer Sicherheitsmaßnahmen sowie <strong>de</strong>ren Nachvollziehbarkeit für<br />
die an die Cloud übergebenen personenbezogenen Daten. Cloud Computing impliziert<br />
eine hohe Komplexität durch verteilte Strukturen. Die Daten wer<strong>de</strong>n üblicherweise nicht<br />
ortsbezogen vom Vertragspartner verarbeitet, son<strong>de</strong>rn weltweit von mehreren unterschiedlichen<br />
Servern o<strong>de</strong>r Server-Farmen, die einem o<strong>de</strong>r auch unterschiedlichen Anbietern<br />
gehören. Der Vertragspartner (Cloud-Dienstleister) greift in <strong>de</strong>r Regel über Virtualisierungstechniken<br />
auf die weltweit verteilten physischen Server zu und verwaltet sie wie<br />
eigene Maschinen. Es entstehen komplexe Vertragsverhältnisse, <strong>de</strong>ren rechtliche Anfor<strong>de</strong>rungen<br />
– insbeson<strong>de</strong>re die datenschutzrechtlichen Rahmenbedingungen – zu klären<br />
sind.<br />
Eine öffentliche Stelle <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>, die personenbezogene Daten mittels<br />
Cloud-Diensten verarbeitet, bleibt gem. § 11 Abs. 1 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
(BbgDSG) als auftraggeben<strong>de</strong> Stelle für die Einhaltung <strong>de</strong>r Bestimmungen <strong>de</strong>s<br />
BbgDSG und an<strong>de</strong>rer Vorschriften über <strong>de</strong>n Datenschutz verantwortlich. Fin<strong>de</strong>n die Vorschriften<br />
dieses Gesetzes auf <strong>de</strong>n Auftragnehmer keine Anwendung (z. B. bei nichtöffentlichen<br />
Stellen), hat <strong>de</strong>r Auftraggeber vertraglich sicherzustellen, dass <strong>de</strong>r Auftragnehmer<br />
die Vorschriften dieses Gesetzes befolgt und je<strong>de</strong>rzeit von ihm veranlasste Kontrollen<br />
ermöglicht. Der Auftraggeber ist auch für die Sicherstellung <strong>de</strong>r Vertraulichkeit und<br />
Integrität <strong>de</strong>r personenbezogenen Daten verantwortlich. Dieser Verantwortung kann er<br />
auf Basis <strong>de</strong>r etablierten Cloud-Strukturen im Allgemeinen jedoch nicht gerecht wer<strong>de</strong>n,<br />
zumal Dienste angeboten wer<strong>de</strong>n (z. B. Google Apps) bei <strong>de</strong>nen <strong>de</strong>r Dienstleister selbst<br />
keine Auskunft über <strong>de</strong>n Ort <strong>de</strong>r Datenverarbeitung geben kann. Vor <strong>de</strong>m Hintergrund<br />
<strong>de</strong>r hohen Internationalisierung und Globalisierung <strong>de</strong>r Clouds, inkl. <strong>de</strong>r unterschiedlichen<br />
Qualitätsstandards bezüglich Datensicherheit und Datenschutz, ist zurzeit an eine daten-<br />
Seite 29 von 195
schutzgerechte Datenverarbeitung in <strong>de</strong>r Wolke nicht zu <strong>de</strong>nken. Erst wenn wirksame<br />
und durchgängige Sicherheitsarchitekturen entwickelt wor<strong>de</strong>n sind und ein einheitliches<br />
Schutzniveau für die Verarbeitung <strong>de</strong>r personenbezogenen Daten existiert, sind globale<br />
Cloud-Dienste für öffentliche Stellen vorstellbar.<br />
Auf internationaler Ebene hat sich die Cloud Security Alliance (CSA) 13 gegrün<strong>de</strong>t. Diese<br />
Organisation hat sich u. a. zum Ziel gesetzt, Richtlinien für sicheres Cloud Computing zu<br />
erarbeiten. Die CSA hat bereits ein erstes Papier 14 dazu herausgegeben.<br />
Der Arbeitskreis Technik <strong>de</strong>r Konferenz <strong>de</strong>r Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und<br />
<strong>de</strong>r Län<strong>de</strong>r befasst sich in Zusammenarbeit mit <strong>de</strong>n Aufsichtsbehör<strong>de</strong>n für <strong>de</strong>n Datenschutz<br />
im nicht-öffentlichen Bereich, <strong>de</strong>m Düsseldorfer Kreis, mit <strong>de</strong>n damit verbun<strong>de</strong>nen<br />
datenschutzrechtlichen Problemen und wird Lösungsansätze erarbeiten.<br />
Da die Einhaltung <strong>de</strong>r Vorschriften <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes mit <strong>de</strong>n<br />
aktuell am Markt befindlichen Cloud-Systemen nicht gewährleistet wer<strong>de</strong>n kann, ist von<br />
<strong>de</strong>r Verarbeitung personenbezogener Daten in <strong>de</strong>r Internetwolke dringend abzuraten.<br />
2.3 Tracking Tools – Ich kenn’ dich besser als du <strong>de</strong>nkst!<br />
Tracking Tools („Verfolgungswerkzeuge“) versetzen <strong>de</strong>n Betreiber einer Website in<br />
die Lage, <strong>de</strong>taillierte Informationen über das Navigationsverhalten sowie Angaben<br />
zur technischen Ausstattung <strong>de</strong>r Besucher zu erlangen. So wertvoll die Daten für<br />
einen Betreiber sind, so ein<strong>de</strong>utig sind die gesetzlichen Anfor<strong>de</strong>rungen an <strong>de</strong>rartige<br />
Tools.<br />
Die aus <strong>de</strong>r Protokollierung <strong>de</strong>s Besuchs <strong>de</strong>r Website gewonnenen Informationen dienen<br />
vor allem <strong>de</strong>m Zweck <strong>de</strong>r bedarfsgerechten Gestaltung <strong>de</strong>s Webangebots aber auch <strong>de</strong>r<br />
Seite 30 von 195
16 siehe http://www.etracker.com/<strong>de</strong>/<br />
Seite 31 von 195<br />
Marktforschung und Werbung. Am Markt haben sich sowohl unentgeltliche (z. B. Google<br />
– Google Analytics) 15 als auch kostenpflichtige (z. B. etracker – Web Analytics) 16 Werkzeuge<br />
etabliert, die in <strong>de</strong>r Lage sind, umfängliche Daten über die Besucher zu liefern.<br />
Betreiber von Websites – das können auch öffentliche Stellen sein – die sich für das kostenfreie<br />
Google Analytics Tool entschei<strong>de</strong>n, erheben die gewünschten Daten mit einem<br />
im Browser <strong>de</strong>s Besuchers ausgeführten JavaScript-Programms, <strong>de</strong>m Google Analytics<br />
Co<strong>de</strong> (GAC). Der GAC selbst ist nicht Bestandteil <strong>de</strong>r zu analysieren<strong>de</strong>n Website. Er wird<br />
durch die Einbindung eines Tracking Co<strong>de</strong>s (ebenfalls JavaScript-Programm) auf <strong>de</strong>rselben<br />
vielmehr erst auf <strong>de</strong>n Rechner <strong>de</strong>s Besuchers gela<strong>de</strong>n. Umfang und Inhalt <strong>de</strong>r erhobenen<br />
Daten sind für ihn nicht nachvollziehbar. Ferner hinterlegt <strong>de</strong>r GAC einen Cookie<br />
auf <strong>de</strong>m Zielrechner, <strong>de</strong>r <strong>de</strong>n Website-Besucher mittels einer ein<strong>de</strong>utigen I<strong>de</strong>ntifikationsnummer<br />
kenntlich macht. Die gesammelten Informationen wer<strong>de</strong>n an einen Google-<br />
Server in die USA übertragen, dort verarbeitet sowie ggf. an Dritte weitergeleitet. Dem<br />
Website-Betreiber wer<strong>de</strong>n die gesammelten Daten aufbereitet und mittels Berichten über<br />
das Surf-Verhalten <strong>de</strong>r Besucher zur Verfügung gestellt.<br />
Eine Zusammenführung mit Nutzungsdaten an<strong>de</strong>rer Google-Dienste ist nicht ausgeschlossen.<br />
Das Unternehmen gewinnt dadurch von vielen Surfern im Internet <strong>de</strong>taillierte<br />
Nutzungs- und Interessenprofile, die für Werbezwecke verwen<strong>de</strong>t wer<strong>de</strong>n können. Der<br />
Surfer selbst merkt nicht, dass er „getrackt“ wird. Das liegt im Wesentlichen an <strong>de</strong>m fehlen<strong>de</strong>n<br />
Hinweis zum Einsatz <strong>de</strong>s Tools. Gemäß <strong>de</strong>n Allgemeinen Geschäftsbedingungen<br />
von Google Analytics ist <strong>de</strong>r Website-Betreiber zwar verpflichtet, an prominenter Stelle<br />
darauf hinzuweisen, dass ein Cookie gesetzt wird, die erzeugten Informationen (einschließlich<br />
<strong>de</strong>r IP-Adresse) an einen Google-Server in <strong>de</strong>n USA übertragen und dort verarbeitet<br />
sowie die Daten ggf. an Dritte weitergeleitet wer<strong>de</strong>n. Allerdings halten sich nur<br />
wenige an diese Verpflichtung.<br />
Generell dürfen personenbezogene Daten (dazu zählt auch die IP-Adresse) eines Nutzers<br />
nach <strong>de</strong>m Telemediengesetz (TMG) nur erhoben und verarbeitet wer<strong>de</strong>n, soweit<br />
15 siehe http://www.google.<strong>de</strong>/analytics/
18 siehe http://testlab.sit.fraunhofer.<strong>de</strong>/content/output/certificates.php?s=1<br />
Seite 32 von 195<br />
dies erfor<strong>de</strong>rlich ist, um die Inanspruchnahme <strong>de</strong>s Dienstes zu ermöglichen und abzurechnen.<br />
Da es sich aber bei <strong>de</strong>r Analyse um die Verarbeitung <strong>de</strong>r Daten zum Zweck <strong>de</strong>r<br />
Werbung, Marktforschung und bedarfsgerechten Gestaltung <strong>de</strong>r Website han<strong>de</strong>lt, ist<br />
gem. § 15 Abs. 3 TMG die Verarbeitung <strong>de</strong>r Nutzungsdaten zu Nutzungsprofilen höchstens<br />
unter <strong>de</strong>r Verwendung von Pseudonymen zulässig, sofern <strong>de</strong>r Nutzer <strong>de</strong>m nicht<br />
wi<strong>de</strong>rspricht. Vorher ist er auf sein Wi<strong>de</strong>rspruchsrecht im Rahmen <strong>de</strong>r Unterrichtung über<br />
die Datenverarbeitung gem. § 13 Abs. 1 TMG hinzuweisen (z. B. im Rahmen <strong>de</strong>r Datenschutzerklärung).<br />
Diese Nutzungsprofile dürfen nicht mit Daten über <strong>de</strong>n Träger <strong>de</strong>s<br />
Pseudonyms zusammengeführt wer<strong>de</strong>n. Wird die vollständige IP-Adresse zur Analyse<br />
<strong>de</strong>s Nutzungsverhaltens verwen<strong>de</strong>t, muss eine bewusste und ein<strong>de</strong>utige Einwilligung<br />
vorhan<strong>de</strong>n sein.<br />
Die rechtliche Pflicht, <strong>de</strong>n Nutzer zu informieren (Einwilligung, Wi<strong>de</strong>rspruch, Aufklärung),<br />
liegt bei <strong>de</strong>m Betreiber <strong>de</strong>r Website. Ferner han<strong>de</strong>lt es sich beim Web Tracking in <strong>de</strong>r<br />
Regel um eine Datenverarbeitung im Auftrag, mit allen Pflichten, die sich aus § 11 <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Datenschutzgesetz ergeben.<br />
Die personenbezogene Sammlung und Auswertung von Web-Nutzungsstatistiken ist<br />
ohne Einwilligung unzulässig. Sofern <strong>de</strong>r Internetnutzer nicht wi<strong>de</strong>rspricht, können Nutzungsdaten<br />
pseudonymisiert zum Zweck <strong>de</strong>r Werbung, Marktforschung und bedarfsgerechten<br />
Gestaltung <strong>de</strong>r Website verarbeitet wer<strong>de</strong>n. Verwen<strong>de</strong>t <strong>de</strong>r Betreiber einer Website<br />
Tracking Tools, muss er an prominenter Stelle seinen Informationspflichten nachkommen.<br />
2.4 BlackBerry – Smartphones in <strong>de</strong>r öffentlichen Verwaltung Zu Ziffer 2.4 „Blackberry - Smartphones in <strong>de</strong>r öffentlichen<br />
Verwaltung“<br />
In unserem letzten Tätigkeitsbericht 17 hatten wir über die erfor<strong>de</strong>rlichen technischorganisatorischen<br />
Maßnahmen für die Einführung eines E-Mail-Push-Dienstes mit<br />
Das überarbeitete Sicherheitskonzept im Kommunikationsverbund<br />
<strong>Bran<strong>de</strong>nburg</strong> wur<strong>de</strong> um einen entsprechen<strong>de</strong>n Blackberry-Baustein<br />
17 vgl. Tätigkeitsbericht 2006/2007, A 2.8
BlackBerry berichtet. Inzwischen wer<strong>de</strong>n in <strong>de</strong>r Lan<strong>de</strong>sverwaltung BlackBerry-<br />
Dienste angeboten. Inwieweit sind die erfor<strong>de</strong>rlichen Sicherheitsmaßnahmen umgesetzt<br />
und <strong>de</strong>r Datenschutz gewährleistet?<br />
erweitert. Beabsichtigt ist zu<strong>de</strong>m, eine datenschutzgerechte Handlungsanweisung<br />
zu erarbeiten.<br />
Das BlackBerry <strong>de</strong>s Unternehmens Research in Motion (RIM) ist ein mobiles Endgerät<br />
(PDA, Smartphone), mit <strong>de</strong>m man neben Telefonie und Internet auch E-Mail-Funktionen<br />
nutzen kann. Dazu wird <strong>de</strong>m BlackBerry Enterprise Server (BES) vom Mailserver <strong>de</strong>r<br />
Eingang einer Nachricht signalisiert. Der BES sen<strong>de</strong>t die Information verschlüsselt via<br />
Internet an das RIM Network Operating Center (RIM NOC), das seinerseits die Nachricht<br />
über Mobilfunknetze an die BlackBerry-Endgeräte weiterleitet. Auf <strong>de</strong>m Endgerät wird die<br />
Nachricht entschlüsselt und <strong>de</strong>r Benutzer kann entschei<strong>de</strong>n, was mit <strong>de</strong>r E-Mail geschehen<br />
soll (z. B. lesen, löschen etc.). Eine auf <strong>de</strong>m BlackBerry-Endgerät erstellte E-Mail<br />
wird verschlüsselt über Mobilfunk an das NOC geschickt und von dort an <strong>de</strong>n entsprechen<strong>de</strong>n<br />
BES weitergeleitet, wo die Nachricht entschlüsselt und <strong>de</strong>m Mailserver übergeben<br />
wird.<br />
Seite 33 von 195
Generalisierte Darstellung einer BlackBerry-Infrastruktur<br />
Die beim Transport genutzten kryptografischen Verfahren (3DES, AES) entsprechen <strong>de</strong>m<br />
<strong>de</strong>rzeitigen Stand <strong>de</strong>r Technik und sind grundsätzlich geeignet, personenbezogene Daten<br />
normalen Schutzbedarfs über Weitverkehrsnetze (z. B. Internet, GSM, UMTS) sicher<br />
zu übertragen. Für die Übertragung sensitiver personenbezogener Daten wer<strong>de</strong>n allerdings<br />
zusätzliche Sicherheitsmaßnahmen wie <strong>de</strong>r Einsatz <strong>de</strong>s von BlackBerry angebotenen<br />
S/MIME-Pakets für eine durchgängige Verschlüsselung vom Sen<strong>de</strong>r zum Empfänger<br />
benötigt. Der BES dient auch als zentrale Verwaltungsstelle für BlackBerry-Endgeräte.<br />
Hier können die Sicherheitspolicies an alle BlackBerrys verteilt wer<strong>de</strong>n, wie z. B. Regeln<br />
für <strong>de</strong>n Einsatz von Benutzerpasswörtern o<strong>de</strong>r für die lokale Geräteverschlüsselung. Im<br />
Notfall, z. B. bei Verlust, kann ein BlackBerry-Endgerät über <strong>de</strong>n BES <strong>de</strong>aktiviert bzw. <strong>de</strong>r<br />
Gerätespeicher komplett gelöscht wer<strong>de</strong>n.<br />
Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) hat im Jahre<br />
2008 BlackBerry unter <strong>de</strong>finierten Bedingungen eingehend analysiert und dafür ein Sicherheitszertifikat<br />
18 verliehen. Zertifiziert wur<strong>de</strong>n die Wahrung <strong>de</strong>r Vertraulichkeit und<br />
Integrität <strong>de</strong>r übertragenen Daten sowie die Unangreifbarkeit <strong>de</strong>r Endgerätesoftware. Die<br />
Sicherheit <strong>de</strong>r Kommunikation zwischen <strong>de</strong>n getesteten BlackBerry Smartphones und<br />
BlackBerry Enterprise Servern wur<strong>de</strong> bestätigt. Das Zertifikat gilt ausschließlich für die im<br />
Zertifikatsbericht getesteten Bestandteile unter <strong>de</strong>n dort genannten Bedingungen und nur<br />
in Verbindung mit <strong>de</strong>m E-Mail-Server Microsoft Exchange. Es muss jedoch betont wer<strong>de</strong>n,<br />
dass we<strong>de</strong>r eine generelle Sicherheit für <strong>de</strong>n Einsatz von BlackBerrys noch eine<br />
vollständige Risikofreiheit <strong>de</strong>r getesteten Konfiguration attestiert wur<strong>de</strong>.<br />
In <strong>de</strong>r Lan<strong>de</strong>sverwaltung wird seit September 2008 ein BlackBerry-Dienst angeboten.<br />
Das heißt, es können E-Mails von <strong>de</strong>n Mailservern <strong>de</strong>r Verwaltung über eine BlackBerry-<br />
Infrastruktur an BlackBerry-Endgeräte bzw. umgekehrt gesandt wer<strong>de</strong>n. Hierzu hatten wir<br />
bereits 2006 gegenüber <strong>de</strong>m damaligen Lan<strong>de</strong>sbetrieb für Datenverarbeitung und IT-<br />
Serviceaufgaben als Dienstleister die erfor<strong>de</strong>rlichen technischen und organisatorischen<br />
Maßnahmen benannt, die Voraussetzung für <strong>de</strong>n Datenschutz beim Einsatz von Black-<br />
Berry sind. Trotz mehrfacher Nachfrage liegt uns allerdings kein Sicherheitskonzept vor,<br />
in <strong>de</strong>m die notwendigen Maßnahmen systematisch festgehalten und die Umsetzung <strong>de</strong>r<br />
Seite 34 von 195
Maßnahmen belegt ist. Nach unserem letzten Kenntnisstand entspricht z. B. die Passwortsicherheit<br />
nicht <strong>de</strong>m heutigen Sicherheitsstandard. Auch kann von <strong>de</strong>n Nutzern auf<br />
<strong>de</strong>n Endgeräten Fremdsoftware installiert wer<strong>de</strong>n. Diese Praxis birgt erhebliche Sicherheitsgefahren<br />
durch Schadsoftware. Inwieweit die übrigen von uns gefor<strong>de</strong>rten bzw. empfohlenen<br />
Maßnahmen zur Erhöhung <strong>de</strong>r BlackBerry-Sicherheit beim <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
IT-Dienstleister bzw. <strong>de</strong>n Nutzern <strong>de</strong>r Lan<strong>de</strong>sverwaltung berücksichtigt wur<strong>de</strong>n, können<br />
wir <strong>de</strong>rzeit nicht schlüssig beurteilen.<br />
Es ist dringend erfor<strong>de</strong>rlich, dass eine Risikoanalyse und ein umfassen<strong>de</strong>s Sicherheitskonzept<br />
für die BlackBerry-Infrastruktur in <strong>de</strong>r Lan<strong>de</strong>sverwaltung erstellt wer<strong>de</strong>n, um Gefahren<br />
zu erkennen, Sicherheitsmaßnahmen festzulegen und mit Hilfe eines Realisierungsplanes<br />
zügig umzusetzen.<br />
2.5 Telearbeit am häuslichen Arbeitsplatz<br />
Zur Verwirklichung <strong>de</strong>r Ziele einer besseren Vereinbarkeit von Beruf und Familie<br />
sowie einer effizienteren Verwaltung bedarf es auch in öffentlichen Stellen neuer<br />
Konzepte <strong>de</strong>s Personaleinsatzes. Eines davon ist die Telearbeit am häuslichen Arbeitsplatz.<br />
Der Schutz <strong>de</strong>r Unversehrtheit und Vertraulichkeit von personenbezogenen Daten sowie<br />
die Sicherung <strong>de</strong>r Verfügbarkeit <strong>de</strong>r eingesetzten informationstechnischen Systeme ist<br />
ein wesentliches Anliegen <strong>de</strong>s Datenschutzes. Bei <strong>de</strong>r Telearbeit entstehen zusätzliche<br />
Risiken, <strong>de</strong>nen durch Umsetzung von technischen und organisatorischen Maßnahmen<br />
begegnet wer<strong>de</strong>n muss. Nach <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetz (BbgDSG) ist<br />
Folgen<strong>de</strong>s zu berücksichtigen:<br />
Der Beschäftigte bleibt weiterhin Bediensteter seiner Behör<strong>de</strong>, die betroffene Dienststelle<br />
Daten verarbeiten<strong>de</strong> Stelle im Sinne von § 3 Abs. 4 Nr. 1 BbgDSG. Es fin<strong>de</strong>t<br />
keine Datenverarbeitung im Auftrag gem. § 11 BbgDSG statt.<br />
Seite 35 von 195
Aufgrund <strong>de</strong>r erhöhten Sicherheitsrisiken dürfen grundsätzlich keine sensitiven personenbezogenen<br />
Daten auf <strong>de</strong>m Heimarbeitsplatzcomputer (Heim-APC) verarbeitet<br />
wer<strong>de</strong>n.<br />
Wer<strong>de</strong>n personenbezogene Daten zwischen <strong>de</strong>m Heim-APC und <strong>de</strong>r jeweiligen<br />
Dienststelle übertragen, sind diese mit sicheren kryptografischen Verfahren zu verschlüsseln<br />
und digital zu signieren.<br />
In einer Dienstanweisung sind die erfor<strong>de</strong>rlichen technisch-organisatorischen Maßnahmen<br />
festzuschreiben. Der Beschäftigte muss sich schriftlich zur Einhaltung dieser<br />
gefor<strong>de</strong>rten Maßnahmen verpflichten.<br />
Die Erstellung eines IT-Sicherheitskonzeptes gem. § 7 Abs. 3 BbgDSG, in <strong>de</strong>m die zu<br />
realisieren<strong>de</strong>n technischen und organisatorischen Maßnahmen konkret festgeschrieben<br />
wer<strong>de</strong>n, ist unabdingbar.<br />
Erfor<strong>de</strong>rlich ist <strong>de</strong>r Einsatz von Virenscannern und Firewallsystemen auf <strong>de</strong>m Heim-<br />
APC.<br />
Es dürfen grundsätzlich nur dienstliche Arbeitsplatzcomputer (APC) eingesetzt wer<strong>de</strong>n.<br />
Bei <strong>de</strong>r Verwendung von privaten APC sind diese von <strong>de</strong>r IT-Abteilung <strong>de</strong>r<br />
Dienststelle <strong>de</strong>s Heimarbeiters entsprechend <strong>de</strong>r im IT-Sicherheitskonzept festgeschriebenen<br />
Vorgaben zu konfigurieren.<br />
Der Heim-APC darf nur für dienstliche Aufgaben genutzt wer<strong>de</strong>n. Eine private Nutzung<br />
<strong>de</strong>s Heim-APC ist aufgrund <strong>de</strong>r erheblichen Risiken durch technische und organisatorische<br />
Maßnahmen auszuschließen.<br />
Der Heim-APC ist vor <strong>de</strong>m Zugriff Unberechtigter zu schützen, in<strong>de</strong>m beispielsweise<br />
entsprechen<strong>de</strong> Sicherheitssoftware bzw. -hardware installiert wird.<br />
Es sind nur die unbedingt erfor<strong>de</strong>rlichen personenbezogenen Daten auf <strong>de</strong>m Heim-<br />
Seite 36 von 195
APC zu verarbeiten. Personenbezogene Daten sollten nach Möglichkeit vor <strong>de</strong>r Verarbeitung<br />
anonymisiert bzw. pseudonymisiert wer<strong>de</strong>n. Eine verschlüsselte Speicherung<br />
von personenbezogenen Daten ist zwingend erfor<strong>de</strong>rlich.<br />
Eine sichere Aufbewahrung von dienstlichen Unterlagen und Datenträgern im häuslichen<br />
Bereich muss gewährleistet sein. Familienangehörige sowie Besucher dürfen<br />
keinen Zugang zu diesen Unterlagen erhalten. Der Arbeitgeber muss <strong>de</strong>shalb bei Bedarf<br />
entsprechen<strong>de</strong> Sicherungsschränke zur Verfügung stellen.<br />
Aufgrund <strong>de</strong>r in <strong>de</strong>r Verfassung festgeschriebenen Unverletzlichkeit <strong>de</strong>r Wohnung existieren<br />
keine rechtlichen Grundlagen zur Durchführung von Kontrollen gem. § 26 Abs. 1 Nr. 2<br />
BbgDSG im häuslichen Bereich. Der Beschäftigte muss in entsprechen<strong>de</strong> Kontrollen<br />
einwilligen. Ohne seine schriftliche Einwilligung ist die Telearbeit nicht zulässig. Gem.<br />
§ 65 Nr. 4 Personalvertretungsgesetz ist das Mitbestimmungsrecht <strong>de</strong>s Personalrats bei<br />
<strong>de</strong>r Einrichtung von Telearbeitsplätzen zu berücksichtigen.<br />
Bei <strong>de</strong>r Nutzung von Telearbeitsplätzen entstehen Risiken, <strong>de</strong>nen nur durch Realisierung<br />
von zusätzlichen technischen und organisatorischen Maßnahmen begegnet wer<strong>de</strong>n<br />
kann. Die Verarbeitung von sensitiven personenbezogenen Daten durch Telearbeit ist<br />
grundsätzlich nicht zulässig.<br />
2.6 Wartung und Fernwartung<br />
Aufgrund festgestellter Unsicherheiten und unzureichen<strong>de</strong>r Wartungsverträge mit<br />
externen Dienstleistern in öffentlichen Stellen greifen wir noch einmal das Thema<br />
Wartung und Fernwartung auf.<br />
Der Trend, externe Dienstleister mit <strong>de</strong>r Wartung von IT-Systemen zu beauftragen, ist<br />
Seite 37 von 195
19 vgl. A 1.1<br />
Seite 38 von 195<br />
nach wie vor ungebrochen. Wie unsere Umfrage unter <strong>de</strong>n bran<strong>de</strong>nburgischen Kommunen<br />
19 ergeben hat, lassen ca. 70% <strong>de</strong>r Kommunen IT-Technik (Soft- und/o<strong>de</strong>r Hardware)<br />
durch Dritte warten. Zu Wartungsarbeiten gehören beispielsweise das Kontrollieren <strong>de</strong>r<br />
Systemeinstellungen, das Installieren von Updates und Patches und die Behebung von<br />
Störungen und Fehlern. Fin<strong>de</strong>t die Wartung nicht vor Ort, son<strong>de</strong>rn durch Fernzugriff (Remote<br />
Access) über ein Netzwerk statt, liegt eine Fernwartung vor.<br />
Grundsätzlich gilt, dass eine Wartung gemäß § 11a Abs. 2 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
durch an<strong>de</strong>re als die Daten verarbeiten<strong>de</strong> Stelle nur aufgrund schriftlicher<br />
Vereinbarungen erfolgen darf. Von <strong>de</strong>n Kommunen, die eine Wartung durch externe<br />
Dienstleister durchführen lassen, haben allerdings nur ca. 58% schriftliche Vereinbarungen<br />
abgeschlossen. Die rechtswidrige Praxis, Wartungsverträge nur mündlich zu verabre<strong>de</strong>n,<br />
ist zügig abzustellen; entsprechen<strong>de</strong> Vereinbarungen müssen schriftlich nachgeholt<br />
wer<strong>de</strong>n. Problematisch daran ist, dass sich Firmen im Nachhinein weigern können,<br />
notwendige Regelungen zu unterschreiben und öffentliche Stellen damit in eine Zwangslage<br />
bringen. Aus dieser können sie sich aufgrund <strong>de</strong>r am Markt häufigen Verquickung<br />
von proprietären Systemen und Wartungsmonopolen u. U. nur durch einen kompletten<br />
Systemwechsel mit entsprechen<strong>de</strong>n erheblichen Investitionen an Zeit, Geld und Arbeitskraft<br />
wie<strong>de</strong>r befreien. Um solche Situationen von vornherein zu vermei<strong>de</strong>n, sollte bereits<br />
im Zuge <strong>de</strong>r Einführung neuer Systeme das Thema Wartung von Anfang an berücksichtigt<br />
und mitverhan<strong>de</strong>lt wer<strong>de</strong>n.<br />
Kann <strong>de</strong>r Zugriff auf personenbezogene Daten bei <strong>de</strong>r Wartung nicht ausgeschlossen<br />
wer<strong>de</strong>n, sind in <strong>de</strong>r Wartungsvereinbarung auch technische und organisatorische Maßnahmen<br />
festzulegen, durch die ein entsprechen<strong>de</strong>r Zugriff auf das unbedingt erfor<strong>de</strong>rliche<br />
Maß beschränkt wird. Die mit <strong>de</strong>n Wartungsarbeiten betrauten Personen sind zur<br />
Wahrung <strong>de</strong>s Datengeheimnisses zu verpflichten. Die Daten sind ausschließlich für Zwecke<br />
<strong>de</strong>r Wartung zu verwen<strong>de</strong>n und nach Abschluss <strong>de</strong>r Wartungsarbeiten o<strong>de</strong>r <strong>de</strong>r Fehlersuche<br />
unverzüglich von <strong>de</strong>n Wartungssystemen zu löschen. Je<strong>de</strong>r Wartungsvorgang<br />
darf nur mit vorheriger Zustimmung und unter Aufsicht qualifizierter Mitarbeiter <strong>de</strong>r Daten
verarbeiten<strong>de</strong>n Stelle stattfin<strong>de</strong>n.<br />
In <strong>de</strong>r schriftlichen Wartungsvereinbarung sollten darüber hinaus u. a. noch Regelungen<br />
zu folgen<strong>de</strong>n Punkten getroffen wer<strong>de</strong>n:<br />
Aussagen zu Art und Umfang <strong>de</strong>r Wartung,<br />
Bestimmungen zu Rechten und Pflichten von Auftraggeber und Auftragnehmer,<br />
Protokollierungspflichten bei Auftraggeber und Auftragnehmer,<br />
Verpflichtung <strong>de</strong>s Auftragnehmers, sich an Weisungen <strong>de</strong>s Auftraggebers zum Umgang<br />
mit <strong>de</strong>n Daten zu halten,<br />
technische und organisatorische Maßnahmen zur Sicherstellung transparenter und<br />
kontrollierbarer Wartungsvorgänge und zur Wahrung <strong>de</strong>s Datenschutzes vor, während<br />
und nach <strong>de</strong>r Wartung,<br />
Recht <strong>de</strong>s Auftraggebers, die Einhaltung <strong>de</strong>s Datenschutzes beim Auftragnehmer zu<br />
überprüfen.<br />
Die Regelungen in Wartungsvereinbarungen sind grundsätzlich immer an <strong>de</strong>n Schutzbedarf<br />
<strong>de</strong>r gewarteten Systeme und Daten anzupassen. Je höher dieser ist, <strong>de</strong>sto größer<br />
sind auch die Anfor<strong>de</strong>rungen an Sicherheit und Kontrollierbarkeit <strong>de</strong>r Wartungsvorgänge<br />
durch <strong>de</strong>n Auftraggeber. Letzteres muss sich daher in <strong>de</strong>n vertraglichen Vereinbarungen<br />
zwischen Auftraggeber und Auftragnehmer zur Wartung <strong>de</strong>r IT-Systeme wi<strong>de</strong>rspiegeln.<br />
Wartung und Fernwartung von IT-Systemen durch externe Dienstleister dürfen nur auf<br />
Basis schriftlicher Vereinbarungen erfolgen, die Regelungen zu Rechten und Pflichten<br />
von Auftraggeber und Auftragnehmer und die zu treffen<strong>de</strong>n technischen und organisatorischen<br />
Maßnahmen enthalten.<br />
Seite 39 von 195
20 siehe http://service.bran<strong>de</strong>nburg.<strong>de</strong><br />
Seite 40 von 195<br />
2.7 Serviceportal <strong>de</strong>r Lan<strong>de</strong>sverwaltung Zu Ziffer 2.7 „Serviceportal <strong>de</strong>r Lan<strong>de</strong>sverwaltung“<br />
Im Zuge von Verwaltungsmo<strong>de</strong>rnisierung und E-Government wer<strong>de</strong>n Verwaltungsdienstleistungen<br />
zunehmend über das Internet angeboten. Das Serviceportal<br />
<strong>de</strong>r Lan<strong>de</strong>sverwaltung 20 vermittelt einen Zugang zu online verfügbaren Verfahren.<br />
Die technischen und rechtlichen Anfor<strong>de</strong>rungen wer<strong>de</strong>n allerdings noch nicht in<br />
vollem Umfang erfüllt.<br />
Der Masterplan <strong>de</strong>r Lan<strong>de</strong>sregierung sieht das E-Government als ein zentrales Zukunftsprojekt<br />
zum Auf- und Ausbau leistungsfähiger Strukturen in <strong>de</strong>r staatlichen und kommunalen<br />
Verwaltung. Der prinzipiell begrüßenswerte Ansatz, Bürgern einen schnellen und<br />
unkomplizierten Online-Zugang zu diversen Verwaltungsdienstleistungen zu gewähren,<br />
birgt allerdings sowohl in technischer als auch in rechtlicher Hinsicht einige Stolpersteine:<br />
Die von <strong>de</strong>r LDA im Bericht benannten Problemfel<strong>de</strong>r bei <strong>de</strong>r Realisierung<br />
eines möglichst schnellen und unkomplizierten Online-Zugangs<br />
<strong>de</strong>r Bürger zu Verwaltungsleistungen sind bekannt. Die Verantwortung<br />
für die Einhaltung <strong>de</strong>s Telemediengesetzes und <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes im jeweiligen Fachverfahren liegt bei <strong>de</strong>r<br />
hierfür zuständigen Daten verarbeiten<strong>de</strong>n Stelle. Auch die ggf. notwendige<br />
elektronische Einwilligung gemäß § 4 Abs. 3 BbgDSG ist<br />
durch <strong>de</strong>n Auftraggeber <strong>de</strong>s jeweiligen Fachportals sicher zu stellen.<br />
Vervielfachung <strong>de</strong>r Gefahren für die IT- und Datensicherheit<br />
Durch das Angebot im Internet wer<strong>de</strong>n Web-Schnittstellen zu Verwaltungsverfahren einem<br />
unbekannten Personenkreis über ein strukturell unsicheres Netz zugänglich. Die<br />
Gefahren für die IT- und Datensicherheit vervielfachen sich dadurch potenziell, sodass<br />
mehr technisches Wissen und Erfahrung und auch zusätzliche finanzielle Mittel erfor<strong>de</strong>rlich<br />
sind, um die Bedrohungen über angemessene Gegenmaßnahmen stetig abzuwehren.<br />
Problem <strong>de</strong>r Authentisierung von Nutzern<br />
Die in <strong>de</strong>r „Offline-Welt“ relativ unproblematische Authentisierung durch Vorlage eines<br />
Personalausweises o<strong>de</strong>r Passes muss im Internet mit an<strong>de</strong>ren Mitteln durchgeführt wer<strong>de</strong>n.<br />
Nicht für alle <strong>de</strong>r <strong>de</strong>rzeitigen Portalanwendungen <strong>de</strong>r Lan<strong>de</strong>sverwaltung ist die Fra-
ge <strong>de</strong>r Authentisierung bei sensitiven Daten bislang hinreichend gelöst.<br />
Problem <strong>de</strong>r Verschlüsselung<br />
Eine lückenlose Verschlüsselung <strong>de</strong>r Übertragung von personenbezogenen Daten vom<br />
Anwen<strong>de</strong>r zur Serviceplattform muss für alle Portalanwendungen umgesetzt wer<strong>de</strong>n.<br />
Allerdings sind teilweise noch Defizite in <strong>de</strong>r Umsetzung notwendiger Verschlüsselung<br />
feststellbar.<br />
Problem <strong>de</strong>r datenschutzrechtlichen Verantwortlichkeiten<br />
Es müssen alle rechtlichen Zuständigkeiten und Verantwortlichkeiten aus <strong>de</strong>m Telemediengesetz<br />
und aus <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetz klar geregelt sein. Insbeson<strong>de</strong>re<br />
müssen die Daten verarbeiten<strong>de</strong>n Stellen benannt sein und Verpflichtungen<br />
zur Erstellung von Sicherheitskonzepten, Verfahrensverzeichnissen und zur Freigabe von<br />
Verfahren erfüllt wer<strong>de</strong>n. Hier besteht dringen<strong>de</strong>r Handlungsbedarf.<br />
Fehlen<strong>de</strong> Einwilligungserklärungen<br />
Des Weiteren darf die Erhebung, Speicherung o<strong>de</strong>r Übermittlung personenbezogener<br />
Daten durch die neuen Anwendungen und Plattformen im Internet nach <strong>de</strong>m Telemediengesetz<br />
in <strong>de</strong>r Regel nur mit ausdrücklicher und informierter Einwilligung <strong>de</strong>r Betroffenen<br />
erfolgen. Für entsprechen<strong>de</strong> Einwilligungserklärungen wird auf <strong>de</strong>n Portalseiten allerdings<br />
oftmals nicht in ausreichen<strong>de</strong>m Maße gesorgt.<br />
Fehlen<strong>de</strong>s Sicherheitskonzept für Basiskomponenten <strong>de</strong>s Serviceportals<br />
Obwohl E-Government-Anwendungen <strong>de</strong>n Bürgern über das Serviceportal schrittweise<br />
zugänglich gemacht wer<strong>de</strong>n, ist uns für <strong>de</strong>n Basisbetrieb <strong>de</strong>s Serviceportals noch kein<br />
umfassen<strong>de</strong>s Sicherheitskonzept vorgelegt wor<strong>de</strong>n.<br />
In <strong>de</strong>n folgen<strong>de</strong>n Beiträgen stellen wir Teile <strong>de</strong>s Serviceportals <strong>Bran<strong>de</strong>nburg</strong> vor und<br />
beleuchten anhand dieser Beispiele einige <strong>de</strong>r genannten datenschutzrechtlichen Prob-<br />
Seite 41 von 195
leme näher.<br />
E-Government-Anwendungen dürfen <strong>de</strong>n Bürgern über das Serviceportal <strong>de</strong>r Lan<strong>de</strong>sverwaltung<br />
nur dann zugänglich gemacht wer<strong>de</strong>n, wenn die technischen und rechtlichen<br />
Anfor<strong>de</strong>rungen erfüllt sind.<br />
Seite 42 von 195
2.7.1 E-Payment<br />
Zur Bezahlung von Waren und Dienstleistungen im Internet wer<strong>de</strong>n sichere Bezahlsysteme<br />
benötigt, über die verschie<strong>de</strong>ne Zahlungsarten wie Überweisung,<br />
Lastschrift, Kreditkartenzahlung etc. abgewickelt wer<strong>de</strong>n können. Für kostenpflichtige<br />
Online-Dienstleistungen wur<strong>de</strong> eine zentrale Zahlungsverkehrsplattform für<br />
Land und Kommunen entwickelt.<br />
Zu Ziffer 2.7.1 „E-Payment“<br />
Die Hinweise wer<strong>de</strong>n aufgegriffen und umgesetzt.<br />
Verwaltungsdienstleistungen sind für Bürger oftmals gebührenpflichtig. Bei <strong>de</strong>r Inanspruchnahme<br />
einer Dienstleistung vor Ort können die Gebühren bar o<strong>de</strong>r mit EC-Karte<br />
bezahlt und <strong>de</strong>r Zahlungsnachweis durch Quittung bzw. am EC-Kartenlesegerät umgehend<br />
erbracht wer<strong>de</strong>n. Wer<strong>de</strong>n dagegen Dienstleistungen online angeboten, müssen<br />
Zahlung und Zahlungsnachweis auf an<strong>de</strong>ren Wegen erfolgen. Dafür wur<strong>de</strong> vom <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
IT-Dienstleister die elektronische Bezahlplattform ePayBL als Service für<br />
die Lan<strong>de</strong>sverwaltung und die Kommunen installiert. Diese Plattform kann als Schnittstelle<br />
zwischen <strong>de</strong>n Anbietern von Serviceleistungen bzw. <strong>de</strong>n angeschlossenen Online-<br />
Verfahren (sog. E-Shops) und <strong>de</strong>m Haushaltsverfahren verstan<strong>de</strong>n wer<strong>de</strong>n, in <strong>de</strong>m die<br />
entsprechen<strong>de</strong>n Buchungen stattfin<strong>de</strong>n. Für je<strong>de</strong>n zahlungspflichtigen Kun<strong>de</strong>n wird ein<br />
Nutzerkonto mit personenbezogenen Daten wie Name, Kun<strong>de</strong>nnummer, Anschrift und<br />
Bankdaten in ePayBL angelegt. Informationen zu Zahlungseingängen, Rücklastschriften<br />
etc. wer<strong>de</strong>n vom Haushaltsverfahren an ePayBL gemel<strong>de</strong>t, wo sie <strong>de</strong>m Bewirtschafter<br />
<strong>de</strong>s E-Shops zur Verfügung stehen.<br />
Darüber hinaus beinhaltet die Bezahlplattform die Möglichkeit für automatisierte Bonitätsbewertungen<br />
und manuell geführte Blacklists. Eine Bonitätsprüfung erfolgt ausschließlich<br />
auf Basis <strong>de</strong>r bereits über ePayBL durchgeführten Zahlungen <strong>de</strong>s entsprechen<strong>de</strong>n Kun<strong>de</strong>n.<br />
Fremdanbieter wie Schufa o. ä. wer<strong>de</strong>n nicht in Anspruch genommen. Einen Eintrag<br />
in die Blacklist kann ein Kun<strong>de</strong> beispielsweise durch Veranlassen einer Rücklastschrift<br />
erhalten. Eine gute Bonität kann sich für einen Kun<strong>de</strong>n in höheren Zahlungsgrenzen o<strong>de</strong>r<br />
in <strong>de</strong>r Zulassung zu an<strong>de</strong>ren Zahlungsverfahren (z. B. Lastschriftverfahren) auswirken.<br />
Mögliche Folge eines Blacklisteintrags ist die Sperrung <strong>de</strong>s Zugangs zu bestimmten Online-Zahlverfahren<br />
(z. B. Lastschriftverfahren).<br />
Sämtliche Vorgänge, die über ePayBL abgewickelt und bei <strong>de</strong>nen personenbezogene<br />
Seite 43 von 195<br />
Daten verarbeitet wer<strong>de</strong>n, dürfen ausschließlich auf Basis einer informierten Einwilligung<br />
<strong>de</strong>s Nutzers erfolgen. Dies gilt insbeson<strong>de</strong>re für Bonitätsprüfungen und das Führen <strong>de</strong>r<br />
Blacklist.
2.7.2 I<strong>de</strong>ntitätsmanagement Zu Ziffer 2.7.2 „I<strong>de</strong>ntitätsmanagement“<br />
Als elementare Komponente im Portal service.bran<strong>de</strong>nburg.<strong>de</strong> ist ein I<strong>de</strong>ntitätsmanagementsystem<br />
vorgesehen, das <strong>de</strong>r zentralisierten Verwaltung und Bereitstellung<br />
von Benutzerdaten dienen soll. Das vorliegen<strong>de</strong> Konzept wirft allerdings einige<br />
datenschutzrechtliche Fragen auf.<br />
Damit sich Nutzer nicht für je<strong>de</strong> Anwendung bzw. Dienstleistung <strong>de</strong>s Serviceportals geson<strong>de</strong>rt<br />
registrieren müssen, ist die Implementierung eines I<strong>de</strong>ntitätsmanagementsystems<br />
(IDM) für die I<strong>de</strong>ntifikation, Authentifizierung von Nutzern und Personalisierung von<br />
Inhalten vorgesehen. Ein Anwen<strong>de</strong>r muss sich dann im IDM registrieren und pro Sitzung<br />
nur einmal authentisieren, um verschie<strong>de</strong>ne Anwendungen und Dienstleistungen nutzen<br />
zu können (Single-Sign-On-Prinzip). Die Drittapplikationen greifen direkt auf die im IDM<br />
hinterlegten Daten zu. Das Konzept sieht vor, dass die Benutzer <strong>de</strong>tailliert in ihrem Benutzerkonto<br />
einstellen können, welche ihrer Daten sie welchen Anwendungen zur Verfügung<br />
stellen wollen. Diese Steuerungsfähigkeit durch <strong>de</strong>n Nutzer ist datenschutzrechtlich<br />
positiv. Problematisch sind dagegen folgen<strong>de</strong> Punkte:<br />
Das Datentrennungsgebot wird im Rahmen <strong>de</strong>s I<strong>de</strong>ntitätsmanagements<br />
beachtet. Die Stärke <strong>de</strong>r Authentifizierung wird in Abhängigkeit<br />
vom Schutzbedarf <strong>de</strong>r zu verarbeiten<strong>de</strong>n personenbezogenen Daten<br />
angepasst. Mit <strong>de</strong>r Einführung <strong>de</strong>s neuen Personalausweises zum 1.<br />
November 2010 wird es - zumin<strong>de</strong>st für <strong>de</strong>utsche Staatsbürger – auch<br />
eine Möglichkeit für einen sicheren elektronischen I<strong>de</strong>ntitätsnachweis<br />
aus <strong>de</strong>r Ferne geben. Auf europäischer Ebene – so zum Beispiel für<br />
die IT-Umsetzung <strong>de</strong>r EU-Dienstleistungsrichtlinie – stehen solche<br />
Möglichkeiten bisher aus, so dass hier Übergangslösungen angeboten<br />
wer<strong>de</strong>n müssen.<br />
Datentrennungsgebot<br />
Die Spezifikation zum IDM sieht vor, dass Drittapplikationen beliebige Daten in <strong>de</strong>n IDM-<br />
Benutzerkonten ablegen können. So lange es sich dabei um rein technische, nicht personenbezogene<br />
Daten han<strong>de</strong>lt, ist dagegen nichts einzuwen<strong>de</strong>n. Wenn allerdings personenbezogene<br />
Daten im IDM von an<strong>de</strong>ren Anwendungen abgelegt wer<strong>de</strong>n, wird dadurch<br />
das Datentrennungsgebot verletzt. Danach sollten zu unterschiedlichen Zwecken erhobene<br />
Daten auch getrennt verarbeitet wer<strong>de</strong>n. Eine datenschutzgerechte Lösung muss<br />
vorsehen, verfahrensspezifische personenbezogene Daten in <strong>de</strong>r entsprechen<strong>de</strong>n Anwendung<br />
selbst und nicht im I<strong>de</strong>ntitätsmanagementsystem zu speichern.<br />
Stärke <strong>de</strong>r Authentisierung<br />
Die Standard-Authentisierungsmetho<strong>de</strong> im IDM besteht aus Benutzername und Passwort.<br />
Diese Authentisierungsform ist aber in <strong>de</strong>r Regel nur für die Verarbeitung normal<br />
Seite 44 von 195
schutzbedürftiger Daten geeignet. Die Stärke <strong>de</strong>r verwen<strong>de</strong>ten Authentisierungsverfahren<br />
muss sich am Schutzbedarf <strong>de</strong>r verarbeiteten personenbezogenen Daten in <strong>de</strong>n Drittapplikationen<br />
richten. Entsprechend müssen im I<strong>de</strong>ntitätsmanagement Funktionen vorgesehen<br />
wer<strong>de</strong>n, die es ermöglichen, verschie<strong>de</strong>ne Authentisierungsverfahren zu verwen<strong>de</strong>n<br />
und Authentisierungsverfahren mit einer Drittapplikation so zu koppeln, dass Benutzer<br />
nur dann Zugang zu <strong>de</strong>r Anwendung erhalten, wenn sie sich mit <strong>de</strong>r gefor<strong>de</strong>rten Metho<strong>de</strong><br />
authentisieren.<br />
Sollten innerhalb einer Drittanwendung unterschiedlich hohe Schutzniveaus vorhan<strong>de</strong>n<br />
sein, muss Benutzern, die sich nicht entsprechend authentisiert haben, <strong>de</strong>r Zugang zu<br />
Funktionen höheren Schutzbedarfs verwehrt wer<strong>de</strong>n.<br />
Bei <strong>de</strong>r Verwendung eines I<strong>de</strong>ntitätsmanagementsystems zur Verwaltung von Benutzerdaten<br />
muss gewährleistet sein, dass das Prinzip <strong>de</strong>r Datentrennung eingehalten wird und<br />
die Authentifizierungsmechanismen auf <strong>de</strong>n Schutzbedarf <strong>de</strong>r verarbeiteten Daten abgestimmt<br />
wer<strong>de</strong>n.<br />
Seite 45 von 195
21 vgl. A 2.7.2<br />
Seite 46 von 195<br />
2.7.3 Virtuelles Bauamt Zu Ziffer 2.7.3 „Virtuelles Bauamt“<br />
Das Virtuelle Bauamt – Bauen Online ist ein wichtiges E-Government-Leitprojekt<br />
<strong>de</strong>r Lan<strong>de</strong>sregierung. Es fungiert als Plattform für die elektronische Vorbereitung<br />
und Einreichung von Bauanträgen über das Internet und ist als solches in das Portal<br />
service.bran<strong>de</strong>nburg.<strong>de</strong> integriert. Alle beteiligten Personen können darüber<br />
sämtliche Formalitäten im Rahmen eines Bauvorhabens online abwickeln.<br />
Der erste Schritt zur Nutzung <strong>de</strong>s Virtuellen Bauamtes ist die Benutzerregistrierung, die<br />
zurzeit noch direkt an <strong>de</strong>r Plattform und zukünftig über ein I<strong>de</strong>ntitätsmanagementsystem<br />
21 erfolgt. Danach können sich die Nutzer am Virtuellen Bauamt anmel<strong>de</strong>n. Hier können<br />
sie Projekträume anlegen, in <strong>de</strong>nen ein neuer Bauantrag vorbereitet wird, bzw. ihre<br />
aktuellen o<strong>de</strong>r bereits abgeschlossenen Projekte ansehen. Ein Projektraum wird zunächst<br />
als virtueller Vorbereitungsraum eingerichtet, in <strong>de</strong>m Anträge ausgewählt, mit Hilfe<br />
von Formular-Assistenten ausgefüllt und erfor<strong>de</strong>rliche Dokumente für <strong>de</strong>n Bauantrag<br />
(Bauvorlagen etc.) auf die Plattform gela<strong>de</strong>n wer<strong>de</strong>n können. Darüber hinaus kann <strong>de</strong>r<br />
Antragsteller weitere beteiligte Dritte (z. B. Architekten o<strong>de</strong>r Statiker) per E-Mail in <strong>de</strong>n<br />
Projektraum einla<strong>de</strong>n, um mit ihnen gemeinsam <strong>de</strong>n Bauantrag vorzubereiten.<br />
Liegen alle Unterlagen vor, muss <strong>de</strong>r Bauantrag qualifiziert elektronisch signiert wer<strong>de</strong>n<br />
und an die zuständige Baubehör<strong>de</strong> über die Bauplattform abgeschickt wer<strong>de</strong>n. Mit <strong>de</strong>r<br />
formalen Antragstellung wird <strong>de</strong>r bisherige Vorbereitungsraum in <strong>de</strong>n sogenannten Genehmigungsraum<br />
überführt. Der Antrag wird an die entsprechen<strong>de</strong> untere Baubehör<strong>de</strong><br />
weitergeleitet, bei <strong>de</strong>r die Antragsbearbeitung im Baufachverfahren beginnt. Wer<strong>de</strong>n von<br />
<strong>de</strong>r Baubehör<strong>de</strong> noch Unterlagen benötigt, können diese wie<strong>de</strong>rum über <strong>de</strong>n Projektraum<br />
Die in <strong>de</strong>m Bericht angeführten datenschutzrechtlich noch unzureichend<br />
geklärten Punkte sind <strong>de</strong>r Projektgruppe bekannt und wer<strong>de</strong>n in<br />
Zusammenarbeit mit <strong>de</strong>r LDA schrittweise abgestellt. Hierzu fan<strong>de</strong>n -<br />
zeitlich nach Erstellung <strong>de</strong>s Tätigkeitsberichts - bereits entsprechen<strong>de</strong><br />
Absprachen und am 03.05.2010 eine gemeinsame Beratung <strong>de</strong>r Projektverantwortlichen<br />
mit Vertretern <strong>de</strong>r LDA statt. Es wur<strong>de</strong>n klare<br />
Festlegungen getroffen, wie die noch strittigen Punkte behoben wer<strong>de</strong>n<br />
können, um eine datenschutzrechtliche Freigabe vor Beginn <strong>de</strong>s<br />
Echtbetriebes zu erhalten.<br />
Zu <strong>de</strong>n im Bericht angesprochenen noch ungeklärten Punkten wird wie<br />
folgt Stellung genommen:<br />
- Die Verantwortlichkeiten für die einzelnen Komponenten nach<br />
<strong>de</strong>m Datenschutz – und Telemediengesetz wur<strong>de</strong>n <strong>de</strong>finiert und<br />
die sich daraus ergebenen Pflichten dokumentiert.<br />
- Über Inhalt und Umfang <strong>de</strong>s als kritisch gesehenen Vorbereitungsraumes<br />
wird in <strong>de</strong>r Projektgruppe diskutiert. Ziel ist es, <strong>de</strong>n<br />
Zweck und die Nutzungsmöglichkeiten dieser Komponente klar zu<br />
<strong>de</strong>finieren, damit die daran gestellten datenschutzrechtlichen Anfor<strong>de</strong>rungen<br />
ein<strong>de</strong>utig festgelegt wer<strong>de</strong>n können.<br />
- Zur Vorbeugung <strong>de</strong>s Missbrauchs <strong>de</strong>r Plattform wur<strong>de</strong>n bereits<br />
die Dateiformate und die Dateivolumina eingeschränkt. Diese<br />
Maßnahmen wur<strong>de</strong>n von <strong>de</strong>r LDA als zulässig und ausreichend<br />
eingeschätzt.
<strong>de</strong>s Virtuellen Bauamtes eingereicht wer<strong>de</strong>n.<br />
Die Baugenehmigung wird <strong>de</strong>m Antragsteller ebenso über das Virtuelle Bauamt zur<br />
Kenntnis gegeben wie die Gebührenbeschei<strong>de</strong>. Die angefallenen Gebühren können anschließend<br />
über das E-Payment-Verfahren 22 bezahlt wer<strong>de</strong>n.<br />
- Die Hinweise zur Registrierung (Nutzereinwilligung, Hinweise zum<br />
Datenschutz usw.) wer<strong>de</strong>n nach Maßgabe <strong>de</strong>r im Gespräch am<br />
03.05.2010 erhaltenen Anregungen überarbeitet und nach Abstimmung<br />
mit <strong>de</strong>r LDA ausgetauscht.<br />
Als technisch und rechtlich sehr komplexes Projekt weist das Virtuelle Bauamt eine Vielzahl<br />
von Aspekten auf, die Einfluss auf die datenschutzrechtliche Bewertung haben.<br />
Positiv hervorzuheben sind folgen<strong>de</strong> Punkte:<br />
Die Spezifikation <strong>de</strong>r Plattform-Software sieht vor, dass die Zugriffsrechte für die Bauunterlagen<br />
und die erlaubten Aktionen auf die entsprechen<strong>de</strong> Nutzerrolle abgestimmt<br />
sind. So soll gewährleistet wer<strong>de</strong>n, dass die Beteiligten im Bauantragsverfahren nur<br />
auf die für sie erfor<strong>de</strong>rlichen Daten zugreifen können.<br />
Die Datenübertragung über das Internet erfolgt SSL-verschlüsselt.<br />
Zwischen <strong>de</strong>r Bauplattform und <strong>de</strong>n unteren Baubehör<strong>de</strong>n erfolgt die Datenübertragung<br />
OSCI-verschlüsselt. 23<br />
Für <strong>de</strong>n Bauantrag und die Baugenehmigung ist die qualifizierte elektronische Signatur<br />
verpflichtend vorgeschrieben.<br />
Datenschutzrechtlich unzureichend geklärt sind bislang allerdings folgen<strong>de</strong> Bereiche:<br />
Unklar ist, welche <strong>de</strong>r beteiligten Stellen für welche Komponenten <strong>de</strong>s Virtuellen Bauamtes<br />
Daten verarbeiten<strong>de</strong> Stelle im Sinne <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzge-<br />
22 vgl. A 2.7.1<br />
23 siehe http://www.osci.<strong>de</strong><br />
Seite 47 von 195
setzes bzw. Telemedienanbieter im Sinne <strong>de</strong>s Telemediengesetzes ist.<br />
Rechtlich beson<strong>de</strong>rs problematisch ist die Komponente <strong>de</strong>s Vorbereitungsraums in<br />
<strong>de</strong>r Plattform, da es sich hierbei nicht um eine Pflichtaufgabe <strong>de</strong>s Lan<strong>de</strong>s han<strong>de</strong>lt und<br />
daher nicht ein<strong>de</strong>utig ableitbar ist, welche Stelle dafür die datenschutzrechtliche Verantwortung<br />
zu tragen hat.<br />
Für <strong>de</strong>n Vorbereitungsraum sind geeignete und wirksame technische und organisatorische<br />
Maßnahmen vorzusehen, die einen Missbrauch <strong>de</strong>r Plattform für illegale Zwecke<br />
verhin<strong>de</strong>rn.<br />
Nach § 13 Telemediengesetz hat <strong>de</strong>r Diensteanbieter <strong>de</strong>n Nutzer zu Beginn <strong>de</strong>s Nutzungsvorgangs<br />
über Art, Umfang und Zwecke <strong>de</strong>r Erhebung und Verwendung personenbezogener<br />
Daten in allgemein verständlicher Form zu unterrichten. Eine Verarbeitung<br />
personenbezogener Daten im Virtuellen Bauamt darf außer<strong>de</strong>m nur mit <strong>de</strong>r bewussten<br />
und ein<strong>de</strong>utigen Einwilligung <strong>de</strong>r Benutzer erfolgen. Bislang genügen allerdings<br />
die Hinweise über die Datenverarbeitung auf <strong>de</strong>r Registrierungs- und Anmel<strong>de</strong>seite<br />
<strong>de</strong>s Virtuellen Bauamtes in keiner Weise <strong>de</strong>n Anfor<strong>de</strong>rungen. Einwilligungserklärungen<br />
nach <strong>de</strong>m Telemediengesetz sind nicht vorhan<strong>de</strong>n. Dies stellt einen Verstoß<br />
gegen gesetzliche Bestimmungen dar, <strong>de</strong>r umgehend abzustellen ist.<br />
Das Beispiel Virtuelles Bauamt macht <strong>de</strong>utlich, dass die Entwicklung und Einführung von<br />
komplexen E-Government-Anwendungen von Beginn an mit klar verteilten Verantwortlichkeiten<br />
sowohl rechtlich als auch technisch begleitet wer<strong>de</strong>n muss, damit nicht nur<br />
Teilaspekte <strong>de</strong>s Datenschutzes umgesetzt wer<strong>de</strong>n.<br />
3 Medien und Telekommunikation<br />
Seite 48 von 195
3.1 Datenschutzgerechte Nachweise zur Befreiung von Rundfunkgebühren<br />
Über das Verfahren zur Rundfunkgebührenbefreiung hatten wir bereits mehrfach<br />
berichtet. Seit <strong>de</strong>m 1. September 2008 besteht für die Betroffenen die Möglichkeit,<br />
<strong>de</strong>n Nachweis <strong>de</strong>s Bezugs von Sozialleistungen mittels <strong>de</strong>r so genannten Drittbescheinigung<br />
zu erbringen.<br />
Die bis zu diesem Zeitpunkt rechtlich unverbindliche Vereinbarung mit <strong>de</strong>m Rundfunk<br />
Berlin-<strong>Bran<strong>de</strong>nburg</strong> und <strong>de</strong>r Gebühreneinzugszentrale (GEZ), statt <strong>de</strong>s kompletten Sozialleistungsbeschei<strong>de</strong>s<br />
lediglich eine Bestätigung <strong>de</strong>s Leistungsträgers (Drittbescheinigung)<br />
über die Möglichkeit <strong>de</strong>r Befreiung von <strong>de</strong>n Rundfunkgebühren vorzulegen, wur<strong>de</strong><br />
nunmehr im Gesetz 24 verankert. Die Vorlage <strong>de</strong>s Sozialleistungsbescheids kann auch<br />
weiterhin im Original o<strong>de</strong>r als beglaubigte Kopie erfolgen. Zu beachten ist, dass alle drei<br />
Alternativen gleichrangig nebeneinan<strong>de</strong>r stehen. Der Betroffene kann somit selbst entschei<strong>de</strong>n,<br />
in welcher Form er <strong>de</strong>n Nachweis erbringt. Der Nachweis ist zusammen mit<br />
<strong>de</strong>m Antrag auf Gebührenbefreiung an die GEZ zu übersen<strong>de</strong>n.<br />
Im Vergleich zur Offenlegung beispielsweise <strong>de</strong>s vollständigen ALG-II-<br />
Leistungsbescheids ist die Drittbescheinigung die datensparsamere Variante. Sie beinhaltet<br />
lediglich folgen<strong>de</strong> Angaben:<br />
Name und Anschrift <strong>de</strong>s Betroffenen,<br />
Leistungsanspruch nach <strong>de</strong>m Zweiten Buch Sozialgesetzbuch,<br />
Leistungszeitraum,<br />
Anspruch auf einen Zuschlag nach § 24 Zweites Buch Sozialgesetzbuch und<br />
24 Rundfunkgebührenstaatsvertrag (RGebStV – Art. 4 <strong>de</strong>s Staatsvertrages über <strong>de</strong>n Rundfunk im vereinten Deutschland) vom 31. August 1991<br />
(GVBl. I S. 580, 602), zuletzt geän<strong>de</strong>rt durch Artikel 6 <strong>de</strong>s Zwölften Rundfunkän<strong>de</strong>rungsstaatsvertrags vom 18. Dezember 2008 (Gesetz vom<br />
15. April 2009, GVBl. I S. 70, 93)<br />
Seite 49 von 195
ggf. <strong>de</strong>n Empfänger <strong>de</strong>s Zuschlags.<br />
Darüber hinausgehen<strong>de</strong> Angaben beispielsweise zur Höhe <strong>de</strong>r bezogenen Sozialleistung,<br />
wie sie mehrfach von <strong>de</strong>r GEZ verlangt wur<strong>de</strong>n, sind unzulässig.<br />
Um <strong>de</strong>n Leistungsempfängern das Verfahren zur Befreiung von <strong>de</strong>r Rundfunkgebührenpflicht<br />
zu erleichtern und Bürokratieaufwand in <strong>de</strong>n Dienststellen zu reduzieren, hat die<br />
Bun<strong>de</strong>sagentur für Arbeit ihre bisherige Verfahrensweise zur Bestätigung <strong>de</strong>s Leistungsbezugs<br />
geän<strong>de</strong>rt. Nunmehr wird mit je<strong>de</strong>m zentral erstellten Bewilligungsbescheid die<br />
Drittbescheinigung zur Vorlage bei <strong>de</strong>r GEZ an <strong>de</strong>n Leistungsempfänger versandt.<br />
Die Bürger sind nicht verpflichtet, ihre Leistungsbeschei<strong>de</strong> im Original o<strong>de</strong>r in Kopie an<br />
die GEZ zu übersen<strong>de</strong>n. Die Bestätigung <strong>de</strong>s Leistungsbezugs mittels <strong>de</strong>r so genannten<br />
Drittbescheinigung genügt und ist nun auch rechtlich verankert.<br />
3.2 Vorratsdatenspeicherung in <strong>de</strong>r elektronischen Kommunikation – ein<br />
Status quo<br />
Die Vorratsdatenspeicherung, 25 mit <strong>de</strong>r die Bun<strong>de</strong>sregierung die europäische<br />
Richtlinie zur Vorratsspeicherung von Telekommunikationsdaten umgesetzt hat, ist<br />
seit <strong>de</strong>m 1. Januar 2008 in Kraft und noch immer umstritten.<br />
Nach <strong>de</strong>r Neuregelung <strong>de</strong>r Telekommunikationsüberwachung und Einführung <strong>de</strong>r Vorratsdatenspeicherung<br />
veröffentlichte das Bun<strong>de</strong>sministerium <strong>de</strong>r Justiz eine selbst beauftragte<br />
Studie <strong>de</strong>s Max-Planck-Instituts für ausländisches und internationales Strafrecht, in<br />
<strong>de</strong>r die Nutzung von Telekommunikationsverkehrsdaten für Zwecke <strong>de</strong>r Strafverfolgung<br />
evaluiert wur<strong>de</strong>. Die Studie bestätigt unsere bereits früher geäußerte Kritik 26 zum Gesetz.<br />
25 Gesetz zur Neuregelung <strong>de</strong>r Telekommunikationsüberwachung und an<strong>de</strong>rer ver<strong>de</strong>ckter Ermittlungsmaßnahmen sowie zur Umsetzung <strong>de</strong>r<br />
Richtlinie 2006/24/EG vom 21. Dezember 2007 (BGBl. I S. 3198)<br />
26 vgl. Tätigkeitsbericht 2006/2007, A 1.3.1<br />
Seite 50 von 195
So wird konstatiert, dass Verkehrsdaten ein hohes Überwachungspotenzial in sich tragen<br />
und besser als an<strong>de</strong>re Daten dazu geeignet sind, soziale Netzwerke nachzuweisen, Beziehungen<br />
zu i<strong>de</strong>ntifizieren und Informationen über Individuen zu generieren. Deshalb<br />
haben die Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r <strong>de</strong>n Gesetzgeber in<br />
einer Entschließung 27 aufgefor<strong>de</strong>rt, die Regelungen unter Berücksichtigung unter An<strong>de</strong>rem<br />
folgen<strong>de</strong>r Aspekte zügig nachzubessern:<br />
Die Straftatenschwelle für die Verkehrsdatenabfrage ist auf schwere Straftaten anzuheben.<br />
Für die Verkehrsdatenabfrage sollten qualifizierte Begründungspflichten in <strong>de</strong>r Strafprozessordnung<br />
vorgesehen wer<strong>de</strong>n.<br />
Zur Vermeidung von Rechtsunsicherheit und zur Stärkung <strong>de</strong>s Richtervorbehalts sollte<br />
in <strong>de</strong>n Fällen staatsanwaltschaftlicher Eilanordnung die Verwertbarkeit <strong>de</strong>r erlangten<br />
Daten davon abhängig gemacht wer<strong>de</strong>n, dass ein Gericht rückwirkend die formelle<br />
und materielle Rechtmäßigkeit <strong>de</strong>r Maßnahme feststellt.<br />
Ferner wird auch an die Strafverfolgungsbehör<strong>de</strong>n und Gerichte appelliert, die Konsequenzen<br />
aus <strong>de</strong>r Studie zu ziehen. Ein beson<strong>de</strong>res Augenmerk ist auf die Prüfung <strong>de</strong>r<br />
Angemessenheit <strong>de</strong>r Maßnahmen zu richten. Die gesetzlich festgeschriebene, <strong>de</strong>m<br />
Grundrechtsschutz dienen<strong>de</strong> Benachrichtigungs-, Löschungs- und Dokumentationspflicht<br />
ist in <strong>de</strong>r Praxis stets zu berücksichtigen.<br />
Das Bun<strong>de</strong>sverfassungsgericht befasste sich zum Zeitpunkt <strong>de</strong>s Redaktionsschlusses<br />
unseres Berichts mit einer Sammelbeschwer<strong>de</strong> von über 34.000 Menschen gegen die<br />
Vorratsdatenspeicherung. Die Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r<br />
haben mehrfach die Möglichkeit genutzt, eine gemeinsame Stellungnahme in <strong>de</strong>n Ver-<br />
27 siehe Anlage 3.5.5: Entschließung „Abfrage von Telekommunikationsverkehrsdaten einschränken: Gesetzgeber und Praxis müssen aus wissenschaftlichen<br />
Erkenntnissen Konsequenzen ziehen“ vom 6./7. November 2008<br />
28 1 BvR 256/08, 1 BvR 263/08 und 1 BvR 586/08<br />
Seite 51 von 195
fassungsbeschwer<strong>de</strong>verfahren 28 zur Vorratsdatenspeicherung und zu an<strong>de</strong>ren Ermittlungsmaßnahmen<br />
abzugeben.<br />
Die Herausgabe anlasslos gespeicherter Verkehrsdaten wur<strong>de</strong> seit März 2008 nach Anordnung<br />
<strong>de</strong>s Bun<strong>de</strong>sverfassungsgerichts auf die Verfolgung schwerer Straftaten begrenzt.<br />
Im Oktober 2009 wur<strong>de</strong> die Anordnung um sechs Monate verlängert. Zugleich<br />
wur<strong>de</strong> die Bun<strong>de</strong>sregierung beauftragt, erneut über die praktischen Auswirkungen <strong>de</strong>r<br />
vorgesehenen Datenspeicherung und <strong>de</strong>r einstweiligen Anordnung unter Zuarbeit <strong>de</strong>r<br />
Län<strong>de</strong>r und <strong>de</strong>s Generalbun<strong>de</strong>sanwalts zu berichten.<br />
Das Bun<strong>de</strong>sverfassungsgericht prüft, ob das Gesetz zur Neuregelung <strong>de</strong>r Telekommunikationsüberwachung<br />
und Einführung <strong>de</strong>r Vorratsdatenspeicherung einen Verstoß gegen<br />
das Fernmel<strong>de</strong>geheimnis und das Recht auf informationelle Selbstbestimmung darstellt.<br />
3.3 Internetsperren – ein geeignetes Mittel im Kampf gegen<br />
Kin<strong>de</strong>rpornografie?<br />
Am 18. Juni 2009 beschloss <strong>de</strong>r Bun<strong>de</strong>stag ein Gesetz zur Bekämpfung <strong>de</strong>r Kin<strong>de</strong>rpornografien<br />
Kommunikationsnetzen (Zugangserschwerungsgesetz). Ziel <strong>de</strong>s<br />
Gesetzes ist die Sperrung von kin<strong>de</strong>rpornografischen Internetseiten, sodass diese<br />
in Deutschland nicht mehr abrufbar sind. Das Gesetzgebungsverfahren wur<strong>de</strong> von<br />
einer sehr kontroversen Debatte in <strong>de</strong>r Öffentlichkeit und unter Fachleuten begleitet.<br />
Nach <strong>de</strong>m Willen <strong>de</strong>s Gesetzgebers soll das Bun<strong>de</strong>skriminalamt eine Liste mit zu sperren<strong>de</strong>n<br />
Angeboten im Internet erstellen. Diese „Sperrliste“ soll an alle größeren Anbieter<br />
von Internetzugangsdiensten weitergeleitet wer<strong>de</strong>n, damit diese dann <strong>de</strong>n Zugang zu <strong>de</strong>n<br />
Webseiten für ihre Kun<strong>de</strong>n sperren und sie auf eine Seite mit einem abgebil<strong>de</strong>ten Stoppschild<br />
umleiten. Die „Sperrliste“ ist geheim und soll durch ein Gremium beim Bun<strong>de</strong>sbeauftragten<br />
für <strong>de</strong>n Datenschutz und die Informationsfreiheit kontrolliert wer<strong>de</strong>n.<br />
Seite 52 von 195
Weshalb stößt dieses Gesetz auf Wi<strong>de</strong>rstand? Im Rahmen <strong>de</strong>s Gesetzgebungsverfahrens<br />
wur<strong>de</strong> kritisiert, die vorgesehenen Sperren auf <strong>de</strong>r Ebene vollqualifizierter Domainnamen,<br />
Internetprotokoll-Adressen o<strong>de</strong>r Zieladressen von Telemedienangeboten seien<br />
sehr leicht zu umgehen. Da kin<strong>de</strong>rpornografisches Material vor allem über E-Mail,<br />
Tauschbörsen, Mobiltelefone o<strong>de</strong>r externe Datenträger verteilt wird, sei das Gesetz nicht<br />
dazu geeignet, die Verbreitung geschweige <strong>de</strong>nn <strong>de</strong>n Missbrauch selbst zu verhin<strong>de</strong>rn.<br />
Die Sperranordnungen stellten schwerwiegen<strong>de</strong> Eingriffe in die Grundrechte aller Beteiligten<br />
dar. Insofern müsse die Entscheidung darüber, ob ein Internetangebot in die Sperrliste<br />
aufgenommen wird, ein Richter treffen. Weiterhin sei nur vorgesehen, die Zugangsanbieter,<br />
nicht jedoch die Inhalteanbieter über die Aufnahme in die Sperrliste zu informieren.<br />
Letztere könnten sich <strong>de</strong>shalb – entgegen rechtsstaatlichen Regeln – nicht wehren.<br />
Zu <strong>de</strong>m Gesetzentwurf gab es zahlreiche Beratungen und Anhörungen. Einige <strong>de</strong>r vorgebrachten<br />
Be<strong>de</strong>nken wur<strong>de</strong>n aufgegriffen und sind in das verabschie<strong>de</strong>te Gesetz eingeflossen.<br />
So wur<strong>de</strong>n die Regelungen zur Sperrung von Internetseiten mit kin<strong>de</strong>rpornografischem<br />
Inhalt nicht im Telemediengesetz son<strong>de</strong>rn in einer spezialgesetzlichen Regelung,<br />
<strong>de</strong>m Zugangserschwerungsgesetz verankert. Damit soll klargestellt wer<strong>de</strong>n, dass die<br />
Zugangserschwerung nicht ohne weiteres auf an<strong>de</strong>re Inhalte ausge<strong>de</strong>hnt wer<strong>de</strong>n kann.<br />
Des Weiteren wur<strong>de</strong> <strong>de</strong>r Grundsatz „Löschen vor Sperren“ eingefügt. Danach kommt<br />
eine Sperrung nur dann in Betracht, wenn Maßnahmen gegen <strong>de</strong>n Verantwortlichen nicht<br />
o<strong>de</strong>r nicht in angemessener Zeit möglich sind. Eine Verwendung von personenbezogenen<br />
Daten, die bei <strong>de</strong>r Umleitung auf ein Stoppschild anfallen, darf für Zwecke <strong>de</strong>r Strafverfolgung<br />
nicht erfolgen. Somit brauchen Nutzer, die gegebenenfalls unbeabsichtigt auf<br />
Seiten, die auf <strong>de</strong>r Sperrliste stehen, zugegriffen haben, nicht die Einleitung eines Ermittlungsverfahrens<br />
befürchten.<br />
Ob und wann das Gesetz in Kraft tritt, ist unklar.<br />
Trotz <strong>de</strong>r erreichten Verbesserungen ist das verabschie<strong>de</strong>te Zugangserschwerungsgesetz<br />
kein geeignetes Mittel zur wirksamen Bekämpfung von Kin<strong>de</strong>rpornografie.<br />
Seite 53 von 195
3.4 Wie sich <strong>de</strong>r Bund vor Viren und Würmern schützen will<br />
Fast je<strong>de</strong>r Nutzer eines Computers hat schon einmal schlechte Erfahrungen mit Viren,<br />
Würmern und Hackern gemacht. Aber auch die IT-Systeme öffentlicher Stellen<br />
sind durch <strong>de</strong>rartige Angriffe bedroht. Mit <strong>de</strong>m Gesetz zur Stärkung <strong>de</strong>r Sicherheit<br />
in <strong>de</strong>r Informationstechnik <strong>de</strong>s Bun<strong>de</strong>s (BSI-Gesetz) soll nun gegengesteuert wer<strong>de</strong>n.<br />
Das BSI-Gesetz 29 erweitert die Kompetenzen <strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in <strong>de</strong>r<br />
Informationstechnik, um Angriffe auf die IT-Infrastruktur <strong>de</strong>s Bun<strong>de</strong>s abwehren zu können.<br />
Die Behör<strong>de</strong> ist als zentrale Mel<strong>de</strong>stelle für IT-Sicherheit verpflichtet, Informationen<br />
über Sicherheitslücken und neue Angriffsmuster auf die Sicherheit <strong>de</strong>r Informationstechnik<br />
zu sammeln und auszuwerten.<br />
Der ursprüngliche Gesetzentwurf sah u. a. vor, dass das Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r<br />
Informationstechnik zum Aufspüren von Hackern und Schadsoftware die gesamte<br />
Sprach- und Datenkommunikation zwischen Bürgern und Bun<strong>de</strong>sbehör<strong>de</strong>n routinemäßig<br />
und ohne Anlass überwachen darf. Dies hätte beispielsweise be<strong>de</strong>utet, dass je<strong>de</strong> an eine<br />
Bun<strong>de</strong>sbehör<strong>de</strong> geschickte E-Mail vom Bun<strong>de</strong>samt automatisiert ausgewertet und gespeichert<br />
wer<strong>de</strong>n dürfte. Es wäre nicht nur kontrolliert wor<strong>de</strong>n, wann eine E-Mail von<br />
welchem Absen<strong>de</strong>r an welche Adresse gesen<strong>de</strong>t wur<strong>de</strong>, son<strong>de</strong>rn auch die Inhalte <strong>de</strong>r E-<br />
Mail. Diese Befugnis, so sah es <strong>de</strong>r Gesetzentwurf vor, hätte gleichfalls <strong>de</strong>n privaten<br />
Anbietern von Telemedien durch eine Än<strong>de</strong>rung <strong>de</strong>s Telemediengesetzes eingeräumt<br />
wer<strong>de</strong>n sollen. Das Bun<strong>de</strong>samt hätte darüber hinaus auch bei nicht erheblichen Straftaten,<br />
wenn sie mittels Telekommunikation begangen wur<strong>de</strong>n, Daten an die Strafverfolgungsbehör<strong>de</strong>n<br />
übermitteln sollen.<br />
Von Seiten <strong>de</strong>r Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r wur<strong>de</strong> <strong>de</strong>r Gesetzentwurf<br />
als unausgewogen kritisiert. Zwar muss <strong>de</strong>r Staat seine IT-Systeme vor Angriffen<br />
29 Gesetz über das Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r Informationstechnik (BSI-Gesetz – BSIG) vom 14. August 2009 (BGBl. I S. 2821)<br />
Seite 54 von 195
schützen, dies darf jedoch nicht zu Lasten <strong>de</strong>r Privatsphäre <strong>de</strong>r Nutzerinnen und Nutzer<br />
gehen. Mit einer Entschließung 30 for<strong>de</strong>rten die Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und<br />
<strong>de</strong>r Län<strong>de</strong>r <strong>de</strong>n Gesetzgeber auf zu prüfen, ob datenschutzfreundliche Ansätze das erfor<strong>de</strong>rliche<br />
Sicherheitsniveau nicht ebenso gewährleisten wür<strong>de</strong>n. Die Festlegung von<br />
strengeren und einheitlichen Sicherheitsstandards, die Pseudonymisierung von Protokolldateien<br />
und E-Mail-Daten sowie die Information <strong>de</strong>r Unternehmen, Bürgerinnen und<br />
Bürger über bekannt gewor<strong>de</strong>ne Sicherheitslücken und Schadprogramme o<strong>de</strong>r die Warnung<br />
vor Angriffen wären aus Sicht <strong>de</strong>r Datenschutzbeauftragten geeignete Maßnahmen.<br />
Der Gesetzgeber hat aufgrund <strong>de</strong>r massiven Kritik am Gesetzentwurf die allgemeine<br />
Befugnis zur Übermittlung <strong>de</strong>r Daten an Sicherheitsbehör<strong>de</strong>n auf die Straftatbestän<strong>de</strong><br />
<strong>de</strong>s Ausspähens und Abfangens von Daten, sowie die Datenverän<strong>de</strong>rung und Computersabotage<br />
eingeschränkt. Auch für die Weitergabe von Zufallsfun<strong>de</strong>n gelten durch die<br />
Einführung eines Richtervorbehalts höhere Schranken. Darüber hinaus wur<strong>de</strong>n Pflichten<br />
zur nachträglichen Benachrichtigung <strong>de</strong>r Betroffenen eingefügt. Verbesserungen aus<br />
datenschutzrechtlicher Sicht wur<strong>de</strong>n ebenfalls durch die gesetzlich verankerte Pflicht zur<br />
unverzüglichen Löschung von Daten, die <strong>de</strong>m Kernbereich <strong>de</strong>r privaten Lebensgestaltung<br />
zuzuordnen sind, erreicht. Für die Kommunikation von zeugnisverweigerungsberechtigten<br />
Berufsgruppen mit <strong>de</strong>r Bun<strong>de</strong>sverwaltung wur<strong>de</strong> ein Beweisverwertungsverbot<br />
eingefügt, welches jedoch einer Verhältnismäßigkeitsprüfung unterliegt. Die beson<strong>de</strong>rs<br />
umstrittene Erlaubnis für die Anbieter von Telemedien zur Speicherung von Nutzerdaten<br />
zur Störungsbekämpfung wur<strong>de</strong> gestrichen.<br />
Bemerkenswert ist, dass <strong>de</strong>r Bun<strong>de</strong>srat mit seiner Zustimmung zum Gesetz eine Entschließung<br />
verabschie<strong>de</strong>t hat, in welcher er die Erwartung <strong>de</strong>r Län<strong>de</strong>r äußert, an <strong>de</strong>r<br />
Erarbeitung <strong>de</strong>r Regelungen, die sich auf die Informationstechnik in <strong>de</strong>r Verantwortung<br />
<strong>de</strong>r Län<strong>de</strong>r und Kommunen auswirken können, umfassend beteiligt zu wer<strong>de</strong>n.<br />
Grundsätzlich sind bei allen Maßnahmen zur Stärkung <strong>de</strong>r IT-Sicherheit auch die Privat-<br />
30 siehe Anlage 3.4: Entschließung „Stärkung <strong>de</strong>r IT-Sicherheit – aber nicht zu Lasten <strong>de</strong>s Datenschutzes“ vom 18. Februar 2009<br />
Seite 55 von 195
31 vgl. 2. Tätigkeitsbericht 1993, 3.6.2.2<br />
Seite 56 von 195<br />
sphäre und <strong>de</strong>r Datenschutz <strong>de</strong>r Betroffenen zu berücksichtigen.<br />
4 Inneres<br />
4.1 Polizei- und Ordnungsbehör<strong>de</strong>n<br />
4.1.1 Der Datenaustausch zwischen Polizei und Staatsanwaltschaft<br />
funktioniert nicht!<br />
Bei <strong>de</strong>r Bearbeitung einer Eingabe stellten wir fest, dass das Polizeiliche Auskunftssystem<br />
POLAS, die Datenbank zur Erfassung von Straftaten, eine große Anzahl<br />
von Datensätzen enthält, bei <strong>de</strong>nen das Ergebnis <strong>de</strong>r staatsanwaltlichen Ermittlungen<br />
bzw. <strong>de</strong>r Ausgang <strong>de</strong>s Gerichtsverfahrens, <strong>de</strong>r sog. Verfahrensausgang<br />
fehlte. Dies ist kein neuer Mangel: Bereits seit 1993 31 hatten wir immer wie<strong>de</strong>r über<br />
<strong>de</strong>n fehlen<strong>de</strong>n Verfahrensausgang und seine negativen Auswirkungen auf die Persönlichkeitsrechte<br />
<strong>de</strong>r Betroffenen sowie auf die polizeiliche Arbeit als solche zu<br />
berichten.<br />
Nach <strong>de</strong>r Einführung <strong>de</strong>r Mehrlän<strong>de</strong>r-Staatsanwaltschafts-Automation MESTA bei <strong>de</strong>n<br />
hiesigen Staatsanwaltschaften wur<strong>de</strong> <strong>de</strong>r Datenaustausch zwischen Polizei und Staatsanwaltschaft<br />
bereits im Jahr 2000 durch die Einrichtung einer Schnittstelle zwischen <strong>de</strong>n<br />
jeweiligen Datenverarbeitungssystemen automatisiert. Lei<strong>de</strong>r funktioniert diese immer<br />
noch nicht in vollem Umfang.<br />
Bei einem Besuch <strong>de</strong>r Staatsanwaltschaft Potsdam haben wir uns über die Bedienung<br />
<strong>de</strong>r Schnittstelle informiert. Die Datenverarbeitung in MESTA einschließlich Schnittstelle<br />
wird über eine Zentrale Erfassungsstelle pro Staatsanwaltschaft abgewickelt. Dabei ist<br />
technisch sichergestellt, dass <strong>de</strong>r Schnittstelle je<strong>de</strong> Än<strong>de</strong>rung <strong>de</strong>s Verfahrensstands und<br />
Zu Ziffer 4.1.1 „Der Datenaustausch zwischen Polizei und<br />
Staatsanwaltschaft funktioniert nicht!“<br />
Zur Verbesserung <strong>de</strong>s Datenaustausches zwischen <strong>de</strong>r Staatsanwaltschaft<br />
und <strong>de</strong>r Polizei <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> fin<strong>de</strong>t eine koordinierte<br />
Zusammenarbeit auf strategischer und technischer Ebene statt.<br />
Die weitere Ausgestaltung dieser Zusammenarbeit - zum Beispiel in<br />
Form <strong>de</strong>s von <strong>de</strong>r Lan<strong>de</strong>sbeauftragten gefor<strong>de</strong>rten Gremiums - wird<br />
geprüft. Sowohl das zu Grun<strong>de</strong> liegen<strong>de</strong> Fachverfahren MESTA<br />
(Mehrlän<strong>de</strong>r-Staatsanwaltschafts-Automation) <strong>de</strong>r Staatsanwaltschaft<br />
als auch ComVor (Computergestütztes Vorgangsbearbeitungssystem)<br />
<strong>de</strong>r Polizei stellen län<strong>de</strong>rübergreifen<strong>de</strong> Produktlösungen dar. ComVor<br />
wird bei <strong>de</strong>r Polizei in <strong>Bran<strong>de</strong>nburg</strong>, Hamburg, Hessen und Ba<strong>de</strong>n-<br />
Württemberg eingesetzt, MESTA in <strong>Bran<strong>de</strong>nburg</strong>, Hessen, Hamburg,<br />
Mecklenburg-Vorpommern, Nordrhein-Westfalen und Schleswig-<br />
Holstein.<br />
Insofern können die für die Sicherung einer hohen Datenqualität erfor<strong>de</strong>rlichen<br />
Maßnahmen nicht ausschließlich lan<strong>de</strong>sintern realisiert wer<strong>de</strong>n.<br />
Vor <strong>de</strong>m Hintergrund <strong>de</strong>r in Frage kommen<strong>de</strong>n Maßnahmen initiierte<br />
<strong>de</strong>r Generalstaatsanwalt <strong>Bran<strong>de</strong>nburg</strong>s im Benehmen mit <strong>de</strong>r Polizei
somit auch <strong>de</strong>r Verfahrensausgang zugeleitet wird. Dass die Daten danach in POLAS<br />
nicht ankommen, ist neben <strong>de</strong>n unterschiedlichen Arbeitsabläufen <strong>de</strong>r bei<strong>de</strong>n Behör<strong>de</strong>n<br />
auf eine beträchtliche Anzahl von Mängeln und Fehlern zurückzuführen, auf die teilweise<br />
bereits bei <strong>de</strong>m Vorführungstermin hingewiesen wur<strong>de</strong> o<strong>de</strong>r die sich erst im weiteren<br />
Verlauf <strong>de</strong>r Ursachenerforschung herausstellten.<br />
Alle Beteiligten waren sich einig, dass <strong>de</strong>r Zustand nicht hingenommen wer<strong>de</strong>n konnte.<br />
Bei einer gemeinsamen näheren Untersuchung wur<strong>de</strong>n zunächst die Anzahl <strong>de</strong>r mangelhaften<br />
Datensätze festgestellt, die Ursachen <strong>de</strong>r Mängel ermittelt und einige in ersten<br />
Bereinigungsschritten beseitigt. Im Ergebnis blieben ca. 3000 Datensätze übrig, bei <strong>de</strong>nen<br />
<strong>de</strong>r Verfahrensausgang fehlte. Bis En<strong>de</strong> Januar 2010 soll auch hier die Nacherfassung<br />
abgeschlossen und die noch vorhan<strong>de</strong>nen Mängel durch die Einrichtung einer neuen<br />
Schnittstelle bzw. mit <strong>de</strong>r Einführung <strong>de</strong>r Version 7.2 <strong>de</strong>s Polizeilichen Vorgangsbearbeitungssystems<br />
ComVor beseitigt wer<strong>de</strong>n. Schon jetzt wur<strong>de</strong> durch Än<strong>de</strong>rungen bei <strong>de</strong>n<br />
Dateninhalten sowie <strong>de</strong>m Organisationsablauf die Datenqualität in <strong>de</strong>r Schnittstelle verbessert.<br />
Zwar könnte <strong>de</strong>r Datenaustausch zwischen Polizei und Staatsanwaltschaft auf technischer<br />
Ebene ab 2010 endlich funktionieren. Damit ist jedoch nicht zu rechnen, <strong>de</strong>nn die<br />
fehlerhafte Bedienung <strong>de</strong>r Schnittstelle und die unzulängliche Einpflege <strong>de</strong>r Verfahrensausgänge<br />
in <strong>de</strong>n Kriminalaktenhaltungen sind damit nicht behoben. Auch fehlt an<br />
dieser Stelle ein regelmäßiger Austausch zwischen Polizei und Staatsanwaltschaft über<br />
die Ursachen <strong>de</strong>r Mängel.<br />
Bei<strong>de</strong> Behör<strong>de</strong>n sind gleichermaßen für die Aufklärung von Straftaten zuständig und<br />
daher auf gegenseitige Informationen angewiesen. Gera<strong>de</strong> wegen <strong>de</strong>r unterschiedlichen<br />
Arbeitsabläufe und <strong>de</strong>r darauf zurückzuführen<strong>de</strong>n unterschiedlichen Anfor<strong>de</strong>rungen, welche<br />
die Polizei auf <strong>de</strong>r einen und die Staatsanwaltschaft auf <strong>de</strong>r an<strong>de</strong>ren Seite beispielsweise<br />
an Art, Umfang, Verfügungszeit und Inhalt <strong>de</strong>r Daten stellen, scheint uns die Einrichtung<br />
eines gemeinsamen Gremiums unerlässlich. Es sollte die Probleme nicht nur<br />
besprechen, son<strong>de</strong>rn auch verbindliche Vorschläge zu ihrer Behebung erarbeiten. Neben<br />
Technikern sollten ihm insbeson<strong>de</strong>re auch Anwen<strong>de</strong>r <strong>de</strong>r Arbeitsebene bei<strong>de</strong>r Behör<strong>de</strong>n<br />
angehören. Bedauerlicherweise scheint beim Generalstaatsanwalt – an<strong>de</strong>rs als bei <strong>de</strong>r<br />
ein Treffen aller an <strong>de</strong>n län<strong>de</strong>rübergreifen<strong>de</strong>n Produktlösungen beteiligten<br />
Generalstaatsanwaltschaften und Polizeien. Daneben erörterte<br />
die Polizei die erfor<strong>de</strong>rlichen Maßnahmen im Rahmen <strong>de</strong>r ComVor zu<br />
Grun<strong>de</strong> liegen<strong>de</strong>n IT-Kooperation. In <strong>de</strong>r Folge wur<strong>de</strong>n Än<strong>de</strong>rungen in<br />
<strong>de</strong>n Fachverfahren MESTA und ComVor vorgenommen, die <strong>de</strong>rzeit<br />
getestet wer<strong>de</strong>n. Ferner muss für einen Teil <strong>de</strong>r notwendigen Än<strong>de</strong>rungen<br />
das für die Datenübermittlung genutzte bun<strong>de</strong>sweite Nachrichtenformat<br />
XJustiz angepasst wer<strong>de</strong>n. Hierfür erarbeitet die zuständige<br />
bun<strong>de</strong>sweite Unterarbeitsgruppe auf Initiative <strong>de</strong>r Generalstaatsanwaltschaft<br />
entsprechen<strong>de</strong> Än<strong>de</strong>rungsvorschläge.<br />
Weiterhin prüft die Polizei <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> die Anregung <strong>de</strong>r<br />
LDA zur automatisierten Übernahme von Entscheidungen <strong>de</strong>r Justiz<br />
über ComVor nach POLAS (Polizeiliches Auskunftssystem). Die Automatisierung<br />
hätte <strong>de</strong>n Wegfall <strong>de</strong>r händischen Übernahme <strong>de</strong>r Entscheidungen<br />
von ComVor nach POLAS zur Folge und wür<strong>de</strong> weitere<br />
Kapazitäten für die durchzuführen<strong>de</strong> Erfor<strong>de</strong>rlichkeitsprüfung gemäß §<br />
47 Abs. 2 Nr. 3 BbgPolG freigeben.<br />
Schließlich gewährleistet die Fachhochschule <strong>de</strong>r Polizei durch ein<br />
umfassen<strong>de</strong>s Schulungskonzept die Qualifizierung <strong>de</strong>r Polizeivollzugsbeamten<br />
zur Sicherung <strong>de</strong>r Datenqualität. Hierzu wer<strong>de</strong>n insbeson<strong>de</strong>re<br />
die Führungskräfte geschult sowie <strong>de</strong>rzeit 26 <strong>de</strong>zentral eingesetzte<br />
IT-Trainer für die Ausbildung in <strong>de</strong>n Polizeibehör<strong>de</strong>n und –<br />
einrichtungen ausgebil<strong>de</strong>t. Die <strong>de</strong>zentrale Schulung <strong>de</strong>r Polizeivollzugsbeamten<br />
durch die IT-Trainer erfolgt anhand eines einheitlichen<br />
Seminarkonzeptes. Die enge Abstimmung mit <strong>de</strong>m Zentraldienst <strong>de</strong>r<br />
Polizei und die Einbindung <strong>de</strong>r IT-Trainer <strong>de</strong>r Fachhochschule <strong>de</strong>r<br />
Polizei in die Testverfahren <strong>de</strong>r weiterentwickelten Programmversionen<br />
stellt eine hohe Qualität <strong>de</strong>r Schulungen sicher.<br />
Seite 57 von 195
Polizei – <strong>de</strong>rzeit keine Bereitschaft zur Einrichtung einer solchen Arbeitsgruppe zu bestehen.<br />
Weitere Mängelursachen sind Bedienungsfehler und die nie ganz abzustellen<strong>de</strong>n Fehler<br />
bei <strong>de</strong>r Dateneingabe. Häufig können die über die Schnittstelle in ComVor eingehen<strong>de</strong>n<br />
Verfahrensmitteilungen keinem Datensatz in POLAS zugeordnet wer<strong>de</strong>n, weil <strong>de</strong>r zuständige<br />
Bearbeiter die Schnittstelle falsch bedient hat. Ein nicht unbeträchtlicher Teil<br />
dieser Fehler ist auch auf die Unkenntnis <strong>de</strong>r Anwen<strong>de</strong>r über die Systemanfor<strong>de</strong>rungen<br />
zurückzuführen. Diesem Problem könnte mit einer gründlichen Schulung aller Vollzugsbeamten,<br />
die mit ComVor/PoLAS und <strong>de</strong>r Schnittstelle umgehen, begegnet wer<strong>de</strong>n. Der<br />
Infobrief, in <strong>de</strong>m <strong>de</strong>r Zentraldienst <strong>de</strong>r Polizei häufige Bedienungsfehler und ihre Korrektur<br />
zusammengestellt hat, reicht hierfür nicht aus.<br />
Nicht gelöst ist auch <strong>de</strong>r problematische Transfer <strong>de</strong>s Verfahrensausgangs von ComVor<br />
nach POLAS. Die Automatisierung erstreckt sich nur bis ComVor. In POLAS müssen die<br />
Verfahrensausgänge durch die Kriminalaktenhaltung noch immer einzeln eingepflegt<br />
wer<strong>de</strong>n. Dagegen ist eigentlich auch nichts einzuwen<strong>de</strong>n, weil die Mitteilung <strong>de</strong>s Verfahrensausgangs<br />
<strong>de</strong>r klassische Einzelfall für die Erfor<strong>de</strong>rlichkeitsprüfung gem. § 47 Abs. 2<br />
Nr. 3 <strong>Bran<strong>de</strong>nburg</strong>isches Polizeigesetz (BbgPolG) ist. Viel zu häufig wird die Einpflege<br />
aber unterlassen und in <strong>de</strong>r Folge auch die Erfor<strong>de</strong>rlichkeitsprüfung, zu <strong>de</strong>r im Übrigen<br />
auch immer die Kriminalakte hinzugezogen wer<strong>de</strong>n müsste. Bei<strong>de</strong>s erfor<strong>de</strong>rt aber einen<br />
Zeit- und Personalaufwand, <strong>de</strong>r in <strong>de</strong>n Arbeitsabläufen häufig nicht zur Verfügung steht.<br />
Ungeachtet <strong>de</strong>r vorgeschriebenen Erfor<strong>de</strong>rlichkeitsprüfung im Einzelfall, die wohl überhaupt<br />
nicht mehr vorgenommen wür<strong>de</strong>, wenn die händische POLAS-Einpflege wegfiele,<br />
hätte die Automatisierung viele Vorteile. Damit wäre sichergestellt, dass in POLAS ein<br />
Datenbestand zur Verfügung steht, <strong>de</strong>r alle Informationen einschließlich <strong>de</strong>s Verfahrensstands<br />
enthält und so verlässliche Rückschlüsse ermöglicht. Der Verwaltungsaufwand<br />
wür<strong>de</strong> dadurch erheblich reduziert. Er entsteht <strong>de</strong>rzeit beispielsweise bei <strong>de</strong>r Bearbeitung<br />
von Auskunftsanträgen Betroffener, Anfragen und Auskunftsersuchen an<strong>de</strong>rer Stellen<br />
o<strong>de</strong>r Zuverlässigkeitsprüfungen. Vor <strong>de</strong>ren Beantwortung muss zunächst zu je<strong>de</strong>m erfassten<br />
Tatvorwurf <strong>de</strong>r Verfahrensausgang bei <strong>de</strong>r zuständigen Staatsanwaltschaft<br />
schriftlich o<strong>de</strong>r telefonisch abgefragt wer<strong>de</strong>n, wenn die Auskunft vollständig und richtig<br />
Seite 58 von 195
33 14. Tätigkeitsbericht <strong>de</strong>r LDA; Ziffer 5.4.2<br />
Seite 59 von 195<br />
sein soll.<br />
Um <strong>de</strong>n verlässlichen Datenaustausch zwischen Polizei und Staatsanwaltschaft in Zukunft<br />
sicherzustellen, bedarf es neben technischen Vorkehrungen <strong>de</strong>r Einrichtung eines<br />
gemeinsamen Gremiums bei<strong>de</strong>r Behör<strong>de</strong>n. Es sollte Lösungsvorschläge für fachliche<br />
sowie technische Probleme erarbeiten. Zu<strong>de</strong>m sollten die Beschäftigten, die mit <strong>de</strong>r<br />
Schnittstelle umgehen müssen, gründlich geschult und die Datenpflege in <strong>de</strong>n Kriminalakten<br />
verbessert wer<strong>de</strong>n. Ausreichen<strong>de</strong> zeitliche sowie personelle Kapazitäten sind hierfür<br />
zur Verfügung zu stellen.<br />
4.1.2 Überprüfung von Stellenbewerbern Zu Ziffer 4.1.2 „Überprüfung von Stellenbewerbern“<br />
Schon immer hat die Polizei ihre Stellenbewerber anhand <strong>de</strong>r kriminalpolizeilichen<br />
Sammlungen überprüft. Die Bewerbungsunterlagen enthalten dazu ein Formular,<br />
in <strong>de</strong>m <strong>de</strong>r Bewerber aufgefor<strong>de</strong>rt wird, alle gegen ihn geführten Ermittlungsverfahren<br />
wahrheitsgemäß anzugeben und die Einwilligung zur Überprüfung seiner Angaben<br />
zu erteilen. Die Polizei am Wohnort <strong>de</strong>s Bewerbers gleicht die Daten ab und<br />
teilt <strong>de</strong>r Einstellungsbehör<strong>de</strong> je<strong>de</strong>s Ermittlungsverfahren unabhängig von Delikt<br />
und Verfahrensausgang mit. Eine Gerichtsentscheidung stellt diese Praxis nun<br />
aber in Frage.<br />
Aufgrund <strong>de</strong>r erteilten Einwilligungen <strong>de</strong>r Stellenbewerber hielten wir diese „Zuverlässigkeitsprüfungen“<br />
bisher für zulässig. Der Beschluss <strong>de</strong>s Verwaltungsgerichts Stuttgart 32<br />
legt nun eine an<strong>de</strong>re Sicht auf die ständig zunehmen<strong>de</strong> Einstellungspraxis nahe, <strong>de</strong>r wir<br />
uns anschließen.<br />
Der Abgleich <strong>de</strong>r personenbezogenen Daten eines Stellenbewerbers mit <strong>de</strong>n kriminalpolizeilichen<br />
Sammlungen ist eine im Polizeigesetz nicht vorgesehene Zweckän<strong>de</strong>rung. Die<br />
Die von <strong>de</strong>r LDA in <strong>de</strong>r Vergangenheit für zulässig 33 gehaltene und<br />
nunmehr gerügte Verfahrensweise zur Überprüfung von Stellenbewerbern<br />
für <strong>de</strong>n Vorbereitungsdienst bei <strong>de</strong>r <strong>Bran<strong>de</strong>nburg</strong>er Polizei fin<strong>de</strong>t<br />
aktuell keine Anwendung mehr.<br />
Mit Beginn <strong>de</strong>r Auswahlverfahren für das Einstellungsjahr 2010 im<br />
September 2009 wur<strong>de</strong> für die Überprüfung <strong>de</strong>r charakterlichen Eignung<br />
<strong>de</strong>r Polizeibewerber ein an<strong>de</strong>rer Weg gewählt. Es wer<strong>de</strong>n nur<br />
Bewerber überprüft, die nach <strong>de</strong>m Auswahlverfahren grundsätzlich für<br />
eine Einstellung in Frage kommen. Diese äußern sich im Rahmen<br />
einer persönlichen Erklärung, ob gegen sie Ermittlungs- o<strong>de</strong>r Strafverfahren<br />
anhängig sind o<strong>de</strong>r waren. Unabhängig davon reichen sie ein<br />
aktuelles Führungszeugnis ein. Ergänzend dazu stellt <strong>de</strong>r Bewerber<br />
bei seiner zuständigen Polizeidienststelle einen Antrag auf Auskunft<br />
aus <strong>de</strong>m polizeilichen Auskunftssystem gemäß § 71 Abs. 1 BbgPolG.<br />
Das Ergebnis dieser Anfrage übersen<strong>de</strong>t <strong>de</strong>r Bewerber auf freiwilliger<br />
Basis an <strong>de</strong>n Auswahldienst <strong>de</strong>r Fachhochschule <strong>de</strong>r Polizei. Nach §<br />
32 3 K 1886/08 vom 1. August 2008
Polizei ist als Einstellungsbehör<strong>de</strong> nicht Polizeibehör<strong>de</strong>, son<strong>de</strong>rn öffentlicher Dienstherr.<br />
Sie kann als solcher nicht mehr am privilegierten Datenverkehr <strong>de</strong>r Polizei („Datenweitergabe“<br />
nach § 41 Abs. 5 <strong>Bran<strong>de</strong>nburg</strong>isches Polizeigesetz – BbgPolG) teilnehmen. Die<br />
kriminalpolizeilichen Sammlungen <strong>de</strong>s eigenen Bun<strong>de</strong>slan<strong>de</strong>s, <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r an<strong>de</strong>ren<br />
Bun<strong>de</strong>slän<strong>de</strong>r stehen ihr nur dann zur Verfügung, wenn die Daten zur Erfüllung<br />
ihrer Aufgaben als Polizeibehör<strong>de</strong> erfor<strong>de</strong>rlich sind.<br />
94 Abs. 1 Lan<strong>de</strong>sbeamtengesetz darf <strong>de</strong>r Dienstherr diese personenbezogenen<br />
Daten über <strong>de</strong>n Bewerber zur Begründung <strong>de</strong>s Dienstverhältnisses<br />
erheben. Das Ministerium <strong>de</strong>s Innern schätzt diese rechtmäßige<br />
Verfahrensweise auch als notwendig ein, um die charakterliche<br />
Eignung für das Amt <strong>de</strong>s Polizeivollzugsbeamten festzustellen.<br />
Unter diesen Umstän<strong>de</strong>n kommt nur eine Datenübermittlung nach § 43 Abs. 3 Nr. 3, 1.<br />
Alternative BbgPolG in Betracht – die voraussetzt, dass sie zur Abwehr erheblicher<br />
Nachteile für das Gemeinwohl erfor<strong>de</strong>rlich ist. Nach § 41 Abs. 3 BbgPolG trägt die übermitteln<strong>de</strong><br />
Polizeibehör<strong>de</strong> die Verantwortung für die Übermittlung und muss die Zulässigkeit<br />
prüfen. Die ersuchen<strong>de</strong> Behör<strong>de</strong>, hier die polizeiliche Einstellungsbehör<strong>de</strong>, muss<br />
ihrerseits das Ersuchen mit Angaben über die Gemeinwohlgefährdung und die Erfor<strong>de</strong>rlichkeit<br />
<strong>de</strong>r Übermittlung untermauern. Die angefragte Polizeibehör<strong>de</strong> hat gem. § 47<br />
Abs. 2 Nr. 3, 2. Alternative BbgPolG zunächst zu prüfen, ob die Daten zur – polizeilichen!<br />
– Aufgabenerfüllung erfor<strong>de</strong>rlich sind. Wird dies verneint, muss die Übermittlung unterbleiben.<br />
Die Behör<strong>de</strong> hat die Daten zu löschen.<br />
Soweit einer Einstellungsbehör<strong>de</strong> gem. § 43 BbgPolG auf Ersuchen im Einzelfall Daten<br />
über einen Stellenbewerber übermittelt wer<strong>de</strong>n sollen, ist Folgen<strong>de</strong>s zu beachten:<br />
Die Polizeibehör<strong>de</strong> muss anhand <strong>de</strong>r Angaben <strong>de</strong>r Einstellungsbehör<strong>de</strong> die Zulässigkeit<br />
<strong>de</strong>r Übermittlung prüfen. Bei unzulänglichen Angaben darf nicht übermittelt wer<strong>de</strong>n.<br />
Vor je<strong>de</strong>r Übermittlung ist die Erfor<strong>de</strong>rlichkeit <strong>de</strong>r zu übermitteln<strong>de</strong>n Daten zur polizeilichen<br />
Aufgabenerfüllung zu prüfen. Die Übermittlung unterbleibt, wenn die Daten dazu<br />
nicht mehr erfor<strong>de</strong>rlich sind.<br />
Informationen zu Ermittlungsverfahren, die nach § 170 Abs. 2 Strafprozessordnung<br />
(StPO) eingestellt wur<strong>de</strong>n, dürfen nur übermittelt wer<strong>de</strong>n, wenn <strong>de</strong>r trotz Verfahrenseinstellung<br />
fortbestehen<strong>de</strong> polizeiliche Tatverdacht in <strong>de</strong>r Kriminalakte dokumen-<br />
Seite 60 von 195
tiert ist.<br />
Informationen zu Verfahren, die nach an<strong>de</strong>ren Vorschriften <strong>de</strong>r Strafprozessordnung<br />
eingestellt wur<strong>de</strong>n, dürfen nicht übermittelt wer<strong>de</strong>n, wenn es sich um Bagatell<strong>de</strong>likte<br />
han<strong>de</strong>lt.<br />
Die Einwilligung <strong>de</strong>s Betroffenen in die Einsichtnahme in über ihn ggf. bei <strong>de</strong>r Polizei<br />
vorhan<strong>de</strong>ne Datenspeicherungen erlaubt lediglich <strong>de</strong>r für seinen Wohnort zuständigen<br />
Polizeidienststelle <strong>de</strong>n dazu erfor<strong>de</strong>rlichen Datenzugriff. Sie kann jedoch we<strong>de</strong>r die fehlen<strong>de</strong><br />
polizeirechtliche Vorschrift zur Nutzung <strong>de</strong>r Daten zu Zwecken <strong>de</strong>r Einstellung noch<br />
die gesetzlichen Regelungen zur Datenübermittlung ersetzen.<br />
Mit <strong>de</strong>r Einwilligung <strong>de</strong>s Betroffenen wer<strong>de</strong>n bei diesen gesetzlich nicht normierten „Zuverlässigkeitsprüfungen“<br />
darüber hinaus die Schutzvorschriften <strong>de</strong>s Bun<strong>de</strong>szentralregistergesetzes<br />
(BZRG) umgangen. Diese Vorschriften sollen mit <strong>de</strong>m Ziel <strong>de</strong>r Resozialisierung<br />
sicherstellen, dass einem Betroffenen nicht jedwe<strong>de</strong> strafrechtliche Verfehlung sein<br />
ganzes Leben vorgehalten, son<strong>de</strong>rn nach Fristablauf eben nicht mehr mitgeteilt wer<strong>de</strong>n<br />
darf, um ihm <strong>de</strong>n Weg in ein straffreies Leben nicht über Gebühr zu erschweren.<br />
Abgesehen von einer vorgesehenen Beschäftigung in einem sicherheitsrelevanten Bereich,<br />
bei <strong>de</strong>r die gesetzlich geregelte Sicherheitsüberprüfung weitergehen<strong>de</strong> Datenzugriffe<br />
ermöglicht, gelten die Verwertungs- und Vorhalteverbote <strong>de</strong>s Bun<strong>de</strong>szentralregistergesetzes<br />
in Einstellungsverfahren grundsätzlich uneingeschränkt. Die Einstellungsbehör<strong>de</strong><br />
darf daher bei ihrer Prüfung nicht alle einschlägigen Tatsachen ermitteln und verwerten.<br />
Im Fall <strong>de</strong>r Verwertung von Informationen über Straftaten darf vom Verwertungsverbot<br />
<strong>de</strong>s § 51 Abs. 1 BZRG grundsätzlich nur unter <strong>de</strong>r Voraussetzung <strong>de</strong>r Ausnahmeregelung<br />
<strong>de</strong>s § 52 Abs. 1 Nr. 4 BZRG abgewichen wer<strong>de</strong>n, wenn <strong>de</strong>mnach die Einstellung<br />
zu einer erheblichen Gefährdung <strong>de</strong>s Allgemeinwohls führen könnte. Darauf muss<br />
<strong>de</strong>r Bewerber in <strong>de</strong>n Bewerbungsunterlagen hingewiesen wer<strong>de</strong>n, wenn er nach gegen<br />
ihn anhängigen strafrechtlichen Ermittlungsverfahren gefragt wird.<br />
Es gibt somit nicht nur keine Rechtsgrundlage für die bislang geübte Einstellungspraxis in<br />
<strong>de</strong>n Polizeidienst sowie in zahlreiche an<strong>de</strong>re Arbeitsverhältnisse, lediglich auf <strong>de</strong>r Grund-<br />
Seite 61 von 195
lage <strong>de</strong>r Einwilligung die Zuverlässigkeit <strong>de</strong>r Stellenbewerber anhand <strong>de</strong>r kriminalpolizeilichen<br />
Sammlungen zu prüfen, son<strong>de</strong>rn diese Praxis verstößt auch gegen das Bun<strong>de</strong>szentralregistergesetz.<br />
Der rechtlich gebotene Verzicht auf diese Form <strong>de</strong>r Eignungsprüfung<br />
be<strong>de</strong>utet nicht, dass <strong>de</strong>r Einstellungsbehör<strong>de</strong> jeglicher Informationszugang zur<br />
Straffälligkeit eines Bewerbers versperrt ist. Sie kann von ihm verlangen, ein Führungszeugnis<br />
zur Vorlage bei einer Behör<strong>de</strong> gem. § 30 Abs. 5 BZRG beizubringen.<br />
Dass die Einstellungsbehör<strong>de</strong> keine Kenntnis von laufen<strong>de</strong>n Ermittlungsverfahren erhält,<br />
dürfte im Hinblick auf die Ausbildungs- und Probezeiten hinnehmbar sein, da diese ihr<br />
genügend Zeit und Gelegenheit geben, die Eignung <strong>de</strong>s Kandidaten festzustellen.<br />
Die Einwilligung <strong>de</strong>s Stellenbewerbers ersetzt we<strong>de</strong>r die fehlen<strong>de</strong> Rechtsgrundlage zur<br />
Nutzung <strong>de</strong>r kriminalpolizeilichen Sammlungen für Zwecke <strong>de</strong>s Einstellungsverfahrens<br />
noch die Vorschriften zur Datenübermittlung an öffentliche Stellen. Soweit letztere nicht<br />
erfüllt sind, beschränkt sich <strong>de</strong>r Zugang zu Informationen über Vorstrafen <strong>de</strong>s Bewerbers<br />
auf die Vorlage eines Führungszeugnisses.<br />
Nicht-öffentlichen Arbeitgebern kann nur dann Auskunft aus <strong>de</strong>n kriminalpolizeilichen<br />
Sammlungen über einen Stellenbewerber erteilt wer<strong>de</strong>n, wenn ein Gesetz eine solche<br />
Zuverlässigkeitsprüfung vorsieht.<br />
Seite 62 von 195
4.1.3 Bußgeldverfahren bei Verkehrsverstößen mit im Ausland zugelassenen<br />
Fahrzeugen<br />
Mit ca. 180.000 im Ausland zugelassenen Fahrzeugen wer<strong>de</strong>n jährlich Verkehrsverstöße<br />
– meist Geschwindigkeitsübertretungen – auf bran<strong>de</strong>nburgischen Straßen<br />
begangen, Ten<strong>de</strong>nz steigend. Die von <strong>de</strong>n Geräten zur automatisierten Verkehrsüberwachung<br />
erfassten Daten wur<strong>de</strong>n bisher gelöscht, weil eine Verfolgung<br />
keinen Erfolg versprach. Mit einem neuen Verfolgungsansatz sollen die verantwortlichen<br />
Fahrer jetzt zur Kasse gebeten wer<strong>de</strong>n.<br />
Seit Sommer 2009 wer<strong>de</strong>n die mittels automatisierter Verkehrsüberwachung registrierten<br />
Verkehrsverstöße von Fahrzeugen mit ausländischem Kennzeichen in einem geson<strong>de</strong>rten<br />
Bestand <strong>de</strong>r für die Verfolgung von Ordnungswidrigkeiten von <strong>de</strong>r Polizei betriebenen<br />
Datenbank SC-OWI als offener Vorgang mit Vorgangsdaten, Kennzeichen und Foto <strong>de</strong>s<br />
Fahrers bis zum Ablauf <strong>de</strong>r Verfolgungsfrist von drei Monaten für Verkehrsordnungswidrigkeiten<br />
gespeichert. Kommt ein im Ausland zugelassenes Fahrzeug in eine allgemeine<br />
Verkehrskontrolle, wird das Kennzeichen mit diesem Bestand, auf <strong>de</strong>n alle Streifenpolizisten<br />
zugreifen können, abgeglichen. Im Trefferfall erhält <strong>de</strong>r kontrollieren<strong>de</strong> Beamte<br />
eine Kopie <strong>de</strong>s im Vorgang erfassten Fotos <strong>de</strong>s Fahrers. Bei Personengleichheit wird ein<br />
Bußgeldverfahren eingeleitet.<br />
Datenschutzrechtlich ist gegen diese Praxis nichts einzuwen<strong>de</strong>n. Rechtsgrundlage ist<br />
§ 46 i. V. m. § 49c Ordnungswidrigkeitengesetz (OWiG). Danach hat die Verfolgungsbehör<strong>de</strong>,<br />
hier also die Polizei, dieselben Rechte und Pflichten wie die Staatsanwaltschaft im<br />
Strafverfahren. Sie muss die Verkehrsordnungswidrigkeit aufklären und darf dazu Ermittlungen<br />
anstellen. Gem. § 49c OWiG darf sie personenbezogene Daten nicht nur für die<br />
Zwecke <strong>de</strong>s Bußgeldverfahrens speichern und nutzen. Zulässig ist auch – wie im vorliegen<strong>de</strong>n<br />
Fall – die Speicherung zum Zweck <strong>de</strong>r zukünftigen Verfolgung von Ordnungswidrigkeiten,<br />
allerdings nur solange die Daten zu <strong>de</strong>m o. g. Zweck erfor<strong>de</strong>rlich sind. Daher<br />
muss durch Löschverfahren sichergestellt wer<strong>de</strong>n, dass Daten spurlos aus SC-OWI verschwin<strong>de</strong>n,<br />
wenn die Verfolgungsfrist von drei Monaten abgelaufen ist. Auch wenn ein<br />
Bußgeldverfahren eingeleitet wird, sind die dazu gehörigen Daten im geson<strong>de</strong>rten Be-<br />
Seite 63 von 195
stand zu löschen.<br />
Daten von Fahrzeugen mit ausländischen Kennzeichen und ihrer Fahrer, die anlässlich<br />
einer Verkehrskontrolle anfallen, dürfen mit <strong>de</strong>m Bestand von innerhalb <strong>de</strong>r dreimonatigen<br />
Verfolgungsfrist gespeicherten personenbezogenen Daten aus zurückliegen<strong>de</strong>n Verkehrsverstößen<br />
<strong>de</strong>sselben Personenkreises abgeglichen wer<strong>de</strong>n, um das Bußgeldverfahren<br />
gegen <strong>de</strong>n Fahrer durchzuführen.<br />
4.1.4 Überflüssige Mitteilungen <strong>de</strong>r Bußgeldstellen über Fahrverbote und<br />
Fahrerlaubnisentziehungen an die Wohnortpolizei<br />
Von Datenschutzbeauftragten an<strong>de</strong>rer Bun<strong>de</strong>slän<strong>de</strong>r sind wir darüber informiert<br />
wor<strong>de</strong>n, dass die dortigen für <strong>de</strong>n Wohnort Betroffener zuständigen Polizeidienststellen<br />
regelmäßig Mitteilungen über die Erteilung eines von bran<strong>de</strong>nburgischen<br />
Bußgeldstellen veranlassten Fahrverbots bzw. einer Fahrerlaubnisentziehung gem.<br />
§ 25 Straßenverkehrsgesetz (StVG) erhalten. Durch eine Umfrage bei <strong>de</strong>n Bußgeldstellen<br />
<strong>de</strong>r Landkreise und kreisfreien Städte haben wir festgestellt, dass fast<br />
die Hälfte <strong>de</strong>r angefragten Stellen im Falle von Fahrerlaubnisentziehungen regelmäßig<br />
Mitteilungen über die von ihnen in amtliche Verwahrung genommenen Führerscheine<br />
<strong>de</strong>r Polizei übermittelt hat.<br />
Für die Mitteilung aller Fahrverbote bzw. Fahrerlaubnisentziehungen gem. § 25 Straßenverkehrsgesetz<br />
(StVG) <strong>de</strong>r Bußgeldstellen an die Polizei gibt es keine Rechtsgrundlage,<br />
sie ist daher unzulässig.<br />
Zwar enthalten sowohl das Ordnungswidrigkeitengesetz mit § 49a als auch das Straßenverkehrsgesetz<br />
mit § 3 Vorschriften zur Mitteilung eines Fahrverbots bzw. einer Fahrerlaubnisentziehung<br />
an an<strong>de</strong>re Stellen. Dennoch können bei<strong>de</strong> Vorschriften für die in Re<strong>de</strong><br />
stehen<strong>de</strong>n regelmäßigen Mitteilungen aller Fahrverbote bzw. aller Fahrerlaubnisentziehungen<br />
nicht herangezogen wer<strong>de</strong>n.<br />
Seite 64 von 195
§ 49a Ordnungswidrigkeitengesetz (OWiG) begrün<strong>de</strong>t keine Übermittlungspflicht, son<strong>de</strong>rn<br />
nur eine, durchgängig an die Voraussetzung <strong>de</strong>r Erfor<strong>de</strong>rlichkeit geknüpfte Befugnis.<br />
Bereits nach <strong>de</strong>r Generalklausel in Absatz 1 ist die übermitteln<strong>de</strong> Stelle verpflichtet,<br />
vor <strong>de</strong>r Übermittlung von Amts wegen die Erfor<strong>de</strong>rlichkeit <strong>de</strong>r zu übermitteln<strong>de</strong>n Information<br />
für die Aufgabenerfüllung <strong>de</strong>r empfangen<strong>de</strong>n Stelle zu prüfen. Durch die Verpflichtung<br />
zur Erfor<strong>de</strong>rlichkeitsprüfung sind regelmäßige Mitteilungen ausgeschlossen. Zu<strong>de</strong>m<br />
gilt § 3 StVG nur für Fahrerlaubnisbehör<strong>de</strong>n, sodass auch nur sie – und nicht Bußgeldstellen<br />
– gemäß Abs. 5 befugt sind, <strong>de</strong>r Polizei im Einzelfall – also nicht regelmäßig – die<br />
in Re<strong>de</strong> stehen<strong>de</strong>n Informationen zu übermitteln.<br />
Der Polizei selbst fehlt ebenfalls eine Rechtsgrundlage für die Aufbewahrung eingehen<strong>de</strong>r<br />
Mitteilungen. Gem. § 5 <strong>Bran<strong>de</strong>nburg</strong>isches Polizeigesetz dürfen polizeiliche Maßnahmen,<br />
auch Datenverarbeitungsmaßnahmen, nur gegen <strong>de</strong>n für die Gefahr verantwortlichen<br />
Störer gerichtet wer<strong>de</strong>n. Führerscheinentzug o<strong>de</strong>r ein Fahrverbot machen einen<br />
Betroffenen nicht automatisch zu einem Störer <strong>de</strong>r öffentlichen Sicherheit. Erst wenn die<br />
Polizei bei einer Verkehrskontrolle feststellt, dass ein Fahrer keinen Führerschein vorweisen<br />
kann, darf sie Daten über ihn erheben und verarbeiten.<br />
Die Mitteilung <strong>de</strong>s Fahrverbots bzw. <strong>de</strong>r Fahrerlaubnisentziehung an die Wohnortpolizei<br />
<strong>de</strong>s Betroffenen ist zu<strong>de</strong>m nicht erfor<strong>de</strong>rlich, auch nicht zum Zweck <strong>de</strong>r allgemeinen Verkehrsüberwachung<br />
o<strong>de</strong>r anlassbezogener Verkehrskontrollen. Gem. § 28 Abs. 3 StVG<br />
sind Fahrverbote und Fahrerlaubnisentziehungen im Verkehrszentralregister (VZR) einzutragen,<br />
auf das die Polizei uneingeschränkten Zugriff hat. Wird nun ein Fahrzeugführer<br />
bei einer polizeilichen Maßnahme ohne Führerschein angetroffen, kann die Polizei zur<br />
Klärung <strong>de</strong>s Sachverhalts seine Angaben mittels VZR-Abfrage überprüfen. Die o. g. Mitteilungen<br />
wer<strong>de</strong>n dazu nicht benötigt.<br />
Die Erfor<strong>de</strong>rlichkeit <strong>de</strong>r Mitteilungen wur<strong>de</strong> uns gegenüber mit postalisch o<strong>de</strong>r datenverarbeitungstechnisch<br />
bedingten Zeitverzögerungen zwischen <strong>de</strong>m Beginn <strong>de</strong>s Fahrverbots<br />
und <strong>de</strong>r Eintragung im Verkehrszentralregister begrün<strong>de</strong>t. Dies überzeugt nicht. Zum<br />
einen erhöht es <strong>de</strong>n Verwaltungsaufwand, wenn Mängel <strong>de</strong>s automatisierten Mitteilungsverfahrens<br />
dadurch behoben wer<strong>de</strong>n, dass ein zweiter Mel<strong>de</strong>weg in Papierform eröffnet<br />
wird. Zielführen<strong>de</strong>r wäre es, an <strong>de</strong>r Verbesserung <strong>de</strong>s automatisierten Verfahrens anzu-<br />
Seite 65 von 195
setzen, beispielsweise durch die elektronische Übersendung <strong>de</strong>r Mitteilungen an die Führerschein-<br />
bzw. Bußgeldstellen vor <strong>de</strong>m Postversand. Zum an<strong>de</strong>ren dürfte die Zeitverzögerung<br />
<strong>de</strong>s Postwegs auch bei <strong>de</strong>r Übersendung <strong>de</strong>r Mitteilungen an die Wohnortpolizei<br />
auftreten, mit <strong>de</strong>r Folge, dass dieser die Information auch nicht mit Beginn <strong>de</strong>s Fahrverbots<br />
vorliegt.<br />
Für die regelmäßige Mitteilung aller Fahrverbote und Fahrerlaubnisentziehungen an die<br />
Polizei gibt es keine Rechtsgrundlage. Bußgeld- und Führerscheinstellen müssen diese<br />
auf <strong>de</strong>n Einzelfall beschränken.<br />
4.1.5 „Runter vom Gas“ verärgert Briefempfänger<br />
Die Zentrale Bußgeldstelle <strong>de</strong>r <strong>Bran<strong>de</strong>nburg</strong>ischen Polizei ist für die Abwicklung aller<br />
von <strong>de</strong>r Polizei eingeleiteten Ordnungswidrigkeitsverfahren zuständig. Sie beteiligt<br />
sich seit En<strong>de</strong> 2008 an einer Kampagne <strong>de</strong>s Bun<strong>de</strong>sverkehrsministeriums zur<br />
Erhöhung <strong>de</strong>r Verkehrssicherheit und bedruckt ihre gesamte Ausgangspost mit <strong>de</strong>r<br />
Aufschrift „Runter vom Gas!“ sowie <strong>de</strong>r Information, dass jährlich ungefähr fünftausend<br />
Personen bei Verkehrsunfällen sterben. Dies hat seither erstaunlich viele<br />
Briefempfänger und eine Empfängerin dazu veranlasst, sich bei uns über die vermeintliche<br />
Prangerwirkung zu beschweren.<br />
Seite 66 von 195
Aus datenschutzrechtlichen Grün<strong>de</strong>n ist gegen <strong>de</strong>n Aufdruck jedoch nichts einzuwen<strong>de</strong>n,<br />
da Dritte (z. B. Briefträger, Familienangehörige, Nachbarn) dadurch o<strong>de</strong>r durch die Absen<strong>de</strong>rangabe<br />
keine inhaltlichen Einzelheiten <strong>de</strong>r in diesen Umschlägen befindlichen<br />
Schreiben erfahren. Welche Vermutungen, wenn überhaupt, sie darüber anstellen mögen,<br />
ist <strong>de</strong>r datenschutzrechtlichen Beurteilung entzogen. Mit ihren Briefumschlägen hält<br />
sich die Bußgeldstelle auch an das Gebot in § 10 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz,<br />
durch geeignete technisch-organisatorische Maßnahmen die Vertraulichkeit personenbezogener<br />
Daten sicherzustellen, da die Versendung in einem verschlossenen Briefumschlag<br />
als ausreichen<strong>de</strong>r technischer Standard gilt.<br />
Entgegen landläufiger Auffassung besteht im Briefverkehr kein datenschutzrechtlicher<br />
Anspruch auf eine Versandart, die mit einem sog. neutralen Umschlag <strong>de</strong>n Absen<strong>de</strong>r<br />
nicht erkennen lässt. Vielmehr ist es hiesiger Poststandard, dass <strong>de</strong>m Briefumschlag<br />
nicht nur <strong>de</strong>r Empfänger, son<strong>de</strong>rn auch <strong>de</strong>r Absen<strong>de</strong>r <strong>de</strong>r Sendung zu entnehmen ist.<br />
Nur so ist im Fall fehlerhafter Zustellungen die Rücksendung möglich, ohne dass zur<br />
Feststellung <strong>de</strong>s Absen<strong>de</strong>rs <strong>de</strong>r Umschlag geöffnet und dabei zwangsläufig <strong>de</strong>r <strong>de</strong>m<br />
Briefgeheimnis unterliegen<strong>de</strong> Inhalt zur Kenntnis genommen wer<strong>de</strong>n müsste. Bei Behör<strong>de</strong>nschreiben<br />
ist es zu<strong>de</strong>m im Interesse <strong>de</strong>s Empfängers, wenn er durch die Absen<strong>de</strong>rangabe<br />
schon „von außen“ erkennen kann, dass es sich ggf. um eine Fristsache han<strong>de</strong>ln<br />
könnte, auf <strong>de</strong>ren Inhalt er möglichst kurzfristig reagieren sollte, um Rechte zu wahren<br />
Seite 67 von 195
34 vgl. Tätigkeitsbericht 2006/2007, A 5.2<br />
Seite 68 von 195<br />
und Kosten zu vermei<strong>de</strong>n. Dies gilt vor allem in Bußgeldsachen.<br />
Die Geheimhaltung <strong>de</strong>s Absen<strong>de</strong>rs ist datenschutzrechtlich ebenso wenig geboten wie<br />
ein Verzicht auf Werbeaufdrucke. Diese sind vielmehr hinzunehmen, soweit sie keinen<br />
Straftatbestand erfüllen o<strong>de</strong>r gegen die guten Sitten verstoßen. Bei<strong>de</strong>s ist hier nicht <strong>de</strong>r<br />
Fall.<br />
Die Aufschrift „Runter vom Gas“ auf <strong>de</strong>n Briefumschlägen <strong>de</strong>r Zentralen Bußgeldstelle ist<br />
datenschutzrechtlich nicht zu beanstan<strong>de</strong>n. Sie stellt keine unzulässige Prangerwirkung<br />
dar.<br />
4.2 Verfassungsschutz<br />
IT-Sicherheitskonzept beim Verfassungsschutz<br />
Der Verfassungsschutz <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> verarbeitet personenbezogene<br />
Daten mittels automatisierter Verfahren. Seiner gesetzlichen Pflicht zur Erstellung<br />
eines Sicherheitskonzepts ist er bislang nur zögerlich nachgekommen. Es befand<br />
sich zum En<strong>de</strong> <strong>de</strong>s Berichtszeitraums immer noch in Arbeit.<br />
Bereits in unserem letzten Tätigkeitsbericht 34 haben wir darauf hingewiesen, dass <strong>de</strong>r<br />
Verfassungsschutz <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> seit Jahren Verfahren ohne Sicherheitskonzept<br />
betreibt. Dieser Verstoß gegen das <strong>Bran<strong>de</strong>nburg</strong>ische Datenschutzgesetz wur<strong>de</strong><br />
von <strong>de</strong>r Behör<strong>de</strong> auch nach unserer Berichterstattung nicht behoben. Daraufhin hat die<br />
Lan<strong>de</strong>sbeauftragte das Fehlen eines aus einer Risikoanalyse entwickelten IT-<br />
Sicherheitskonzepts im April 2008 gem. § 25 Abs. 1 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
(BbgDSG) als Verstoß gegen § 7 Abs. 3 i. V. m. § 10 BbgDSG beanstan<strong>de</strong>t.<br />
Die aufgrund dieser Beanstandung ergriffenen Maßnahmen beschränkten sich zunächst
35 vgl. A 4.1.1<br />
Seite 69 von 195<br />
auf die Übersendung eines Datenträgers mit einer Erhebung auf <strong>de</strong>r Grundlage <strong>de</strong>r IT-<br />
Grundschutzkataloge <strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in <strong>de</strong>r Informationstechnik. Diese<br />
genügte <strong>de</strong>n datenschutzrechtlichen Anfor<strong>de</strong>rungen nicht. Im September 2008 wur<strong>de</strong> die<br />
Beanstandung in einer Sitzung <strong>de</strong>s Ausschusses für Inneres <strong>de</strong>s <strong>Landtag</strong>s <strong>Bran<strong>de</strong>nburg</strong><br />
besprochen. Dieser unterrichtete die Parlamentarische Kontrollkommission und die G 10-<br />
Kommission <strong>de</strong>s <strong>Landtag</strong>s über das Fehlen <strong>de</strong>s IT-Sicherheitskonzepts <strong>de</strong>r Verfassungsschutzbehör<strong>de</strong>.<br />
Im Ergebnis brachte <strong>de</strong>r Verfassungsschutz zum Jahreswechsel<br />
2008/2009 trotz Personalmangels einen Sicherheitsprozess und die systematische Erarbeitung<br />
<strong>de</strong>s Sicherheitskonzepts auf <strong>de</strong>n Weg. Der nun vorliegen<strong>de</strong> Zwischenstand (Dezember<br />
2009) ist eine geeignete Grundlage für die Entwicklung eines datenschutzgerechten<br />
Sicherheitskonzepts.<br />
Der Verfassungsschutz <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> hat im Ergebnis unserer Beanstandung<br />
einen Entwurf für ein Sicherheitskonzept vorgelegt.<br />
4.3 Auslän<strong>de</strong>r Zu Ziffer 4.3 „Auslän<strong>de</strong>r<br />
Datenübermittlung <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> an die Sozialbehör<strong>de</strong><br />
Ein Rechtsanwalt hat uns auf ein Formular zur Datenübermittlung einer Auslän<strong>de</strong>rbehör<strong>de</strong><br />
an eine Sozialbehör<strong>de</strong> hingewiesen, das nicht <strong>de</strong>n gesetzlichen Anfor<strong>de</strong>rungen<br />
entsprach. Auch die auf unser Drängen hin überarbeitete Fassung wies<br />
noch Mängel auf. Die Auslän<strong>de</strong>rbehör<strong>de</strong> hat zwischenzeitlich zugesagt, unsere<br />
Hinweise bei einer weiteren Überarbeitung zu berücksichtigen.<br />
Zuständig für die Sozialleistungen an Auslän<strong>de</strong>r ist gem. § 10 Asylbewerberleistungsgesetz<br />
(AsylbLG) die örtliche Sozial-, nicht die Auslän<strong>de</strong>rbehör<strong>de</strong>. Da das verfügbare Einkommen<br />
und Vermögen <strong>de</strong>r Leistungsempfänger bei <strong>de</strong>r Leistungsfestsetzung zu berücksichtigen<br />
ist (§ 7 Abs. 1 AsylbLG), muss die Auslän<strong>de</strong>rbehör<strong>de</strong> <strong>de</strong>r Amts angehöri-<br />
Datenübermittlung <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> an die Sozialbehör<strong>de</strong>“<br />
Bereits im Juni 2009 hat das Ministerium <strong>de</strong>s Innern gegenüber <strong>de</strong>r<br />
LDA erklärt, dass we<strong>de</strong>r das Aufenthaltsgesetz (AufenthG) noch das<br />
Asylbewerberleistungsgesetz (AsylbLG) eine Rechtsgrundlage für die<br />
von <strong>de</strong>r LDA beanstan<strong>de</strong>te Übermittlung von Strafanzeigen, d.h. <strong>de</strong>s<br />
bloßen Verdachts einer Straftat, enthält und diese Übermittlung daher<br />
unterbleiben muss.<br />
Hinsichtlich <strong>de</strong>r Übermittlung „konkreter Anhaltspunkte“ für die im Tätigkeitsbericht<br />
im Einzelnen aufgeführten übermittlungspflichtigen<br />
Sachverhalte vertrat und vertritt das Ministerium <strong>de</strong>s Innern in Über-
gen Sozialbehör<strong>de</strong> grundsätzlich Daten über einen Auslän<strong>de</strong>r übermitteln, wenn sie<br />
Kenntnis von Sachverhalten hat, die für <strong>de</strong>ssen Sozialleistungsbezug relevant sein können.<br />
Rechtsgrundlagen für Übermittlungen <strong>de</strong>r Auslän<strong>de</strong>r- an Sozialbehör<strong>de</strong>n sind § 90<br />
Aufenthaltsgesetz (AufenthG) aber auch § 1a AsylbLG und § 8 Abs. 2a Asylverfahrensgesetz<br />
(AsylVfG).<br />
Gem. § 90 AufenthG muss die Auslän<strong>de</strong>rbehör<strong>de</strong> <strong>de</strong>r Sozialbehör<strong>de</strong> zu folgen<strong>de</strong>n Sachverhalten<br />
personenbezogene Daten über einen Auslän<strong>de</strong>r übermitteln:<br />
Erwerbstätigkeit ohne <strong>de</strong>n dazu erfor<strong>de</strong>rlichen Aufenthaltstitel,<br />
Verstoß gegen Mitwirkungs- und Mel<strong>de</strong>pflichten soweit sie für <strong>de</strong>n Sozialleistungsbezug<br />
relevant sein können o<strong>de</strong>r<br />
Verstoß gegen das Schwarzarbeitsbekämpfungsgesetz,<br />
aufenthaltsrechtliche Entscheidungen und Maßnahmen, die sich auf die Leistungsgewährung<br />
nach <strong>de</strong>m Asylbewerberleistungsgesetz auswirken,<br />
Maßnahmen im Zusammenhang mit Arbeitserlaubnissen nach <strong>de</strong>m Asylbewerberleistungsgesetz<br />
sowie<br />
Zuständigkeitswechsel.<br />
Gem. § 1a AsylbLG müssen wirtschaftliche Fluchtgrün<strong>de</strong> immer dann mitgeteilt wer<strong>de</strong>n,<br />
wenn bei <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> belegbare Hinweise vorliegen, dass <strong>de</strong>r Betroffene sich<br />
nach Deutschland begeben hat, um Sozialleistungen zu erhalten. Nach § 8 Abs. 2a<br />
AsylVfG ist die Sozialbehör<strong>de</strong> darüber hinaus über Umstän<strong>de</strong> und Maßnahmen nach<br />
<strong>de</strong>m Asylverfahrensgesetz sowie über Maßnahmen in Zusammenhang mit Arbeitserlaubnissen<br />
zu unterrichten, die für die Gewährung von Sozialleistungen relevant sind.<br />
Als Übermittlungsvoraussetzung ist in § 90 Abs. 1 AufenthG auf „konkrete Anhaltspunkte“<br />
einstimmung mit <strong>de</strong>m Ministerium für Arbeit, Soziales, Frauen und<br />
Familie die Auffassung, dass es genügt, wenn konkrete Tatsachen<br />
darauf schließen lassen, dass ein Auslän<strong>de</strong>r eine <strong>de</strong>r unter § 90 Abs.<br />
1 Ziffern 1 bis 3 AufenthG genannten Verstöße begangen hat. Bloße<br />
Vermutungen reichen nicht aus, aber eines Beweises o<strong>de</strong>r einer<br />
rechtskräftigen Verurteilung bedarf es nicht.<br />
Ob die an die Sozialbehör<strong>de</strong>n übermittelten „konkreten Anhaltspunkte“<br />
für das Vorliegen eines <strong>de</strong>r in § 90 Abs. 1 AufenthG genannten Verstöße<br />
Auswirkungen auf Art und Umfang <strong>de</strong>r Sozialleistung haben,<br />
entschei<strong>de</strong>n allein die Sozialbehör<strong>de</strong>n. Diese sind an die übermittelten<br />
Anhaltspunkte und <strong>de</strong>ren mögliche Wertung durch die übermitteln<strong>de</strong><br />
Auslän<strong>de</strong>rbehör<strong>de</strong> nicht gebun<strong>de</strong>n, son<strong>de</strong>rn entschei<strong>de</strong>n nach eigener<br />
Prüfung <strong>de</strong>s Sachverhalts. An<strong>de</strong>rs als im Tätigkeitsbericht dargestellt,<br />
sind die Sozialbehör<strong>de</strong>n keineswegs verpflichtet, auf die übermittelten<br />
konkreten Anhaltspunkte einen Verwaltungsakt, z.B. eine Leistungskürzung,<br />
zu stützen. Insofern ist die Auslän<strong>de</strong>rbehör<strong>de</strong> vor einer<br />
Übermittlung auch nicht „gehalten, in je<strong>de</strong>m Einzelfall zu prüfen, ob sie<br />
nach Sachlage für die Leistungsfestsetzung <strong>de</strong>r Sozialbehör<strong>de</strong> erfor<strong>de</strong>rlich<br />
ist“. Nach Auffassung <strong>de</strong>r Lan<strong>de</strong>sregierung ist es gera<strong>de</strong> Sinn<br />
und Zweck <strong>de</strong>s § 90 AufenthG, entsprechen<strong>de</strong> konkrete Tatsachen<br />
und Umstän<strong>de</strong>, die <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> bei ihrer Tätigkeit zur<br />
Kenntnis gelangt sind, an die Sozialbehör<strong>de</strong>n zu übermitteln, damit<br />
diese in eigener Zuständigkeit und mit ihrer sozialrechtlichen Kompetenz<br />
<strong>de</strong>n Sachverhalt prüfen und die ggf. notwendigen Entscheidungen<br />
nach §§ 1 ff AsylbLG treffen können.<br />
Da die LDA inzwischen in ihrer abschließen<strong>de</strong>n Antwort vom 1. Februar<br />
2010 erklärt hat, auch sie sehe „keinen Hin<strong>de</strong>rungsgrund, <strong>de</strong>r Sozialbehör<strong>de</strong><br />
auch die konkreten Sachverhalte zu übermitteln, auf die die<br />
Auslän<strong>de</strong>rbehör<strong>de</strong> ihre Erkenntnisse bezüglich <strong>de</strong>r leistungsreduzieren<strong>de</strong>n<br />
Tatbestän<strong>de</strong> nach § 1a <strong>de</strong>s Asylbewerberleistungsgesetzes<br />
stützt“, ist davon auszugehen, dass bezüglich <strong>de</strong>r im Tätigkeitsbericht<br />
Seite 70 von 195
für die dort genannten übermittlungspflichtigen Sachverhalte und in <strong>de</strong>n Fällen <strong>de</strong>r Abs. 3<br />
und 4 auf „belegbare Tatsachen“ wie z. B. auslän<strong>de</strong>rrechtliche Entscheidungen o<strong>de</strong>r <strong>de</strong>n<br />
Stand <strong>de</strong>s auslän<strong>de</strong>rrechtlichen Verfahrens abgestellt. Strafanzeigen erfüllen die Voraussetzung<br />
nicht, da eine Strafanzeige nach allgemeiner Definition lediglich die Mitteilung<br />
<strong>de</strong>s Verdachts einer Straftat ist. Sie hat <strong>de</strong>mnach noch nicht die Qualität eines konkreten<br />
Anhaltspunktes bzw. einer belegbaren Tatsache. Diese Voraussetzungsschwelle ist erst<br />
mit einem straf- o<strong>de</strong>r ordnungswidrigkeitsrechtlichen Verfahrensabschluss erreicht, <strong>de</strong>r<br />
<strong>de</strong>n Verdacht <strong>de</strong>r Strafanzeige bestätigt. Dies gilt insbeson<strong>de</strong>re bei <strong>de</strong>r Übermittlung von<br />
Delikten wie Zigaretten- o<strong>de</strong>r Drogenhan<strong>de</strong>l.<br />
beanstan<strong>de</strong>ten Datenübermittlung kein Dissens (mehr) besteht. Die<br />
Herausgabe eines entsprechen<strong>de</strong>n Erlasses an die Auslän<strong>de</strong>rbehör<strong>de</strong>n<br />
wird nun mit <strong>de</strong>m Ministerium für Arbeit, Soziales, Frauen und<br />
Familie abgestimmt.<br />
Bei rechtskonformem Verwaltungshan<strong>de</strong>ln aller beteiligten Stellen müssten bei <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong><br />
gesicherte Erkenntnisse über von einem Auslän<strong>de</strong>r tatsächlich begangene<br />
Straftaten vorliegen. Gem. § 87 Abs. 4 AufenthG sowie § 42 Anordnung über Mitteilungen<br />
in Strafsachen (MiStra) sind die Strafverfolgungs- und Ordnungsbehör<strong>de</strong>n und die<br />
Gerichte verpflichtet, <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong> unverzüglich die Einleitung und <strong>de</strong>n Verfahrensabschluss<br />
eines Strafverfahrens o<strong>de</strong>r Ordnungswidrigkeitenverfahrens von erheblicher<br />
Be<strong>de</strong>utung bei <strong>de</strong>r Staatsanwaltschaft, <strong>de</strong>m Gericht bzw. <strong>de</strong>r Verwaltungsbehör<strong>de</strong><br />
einschließlich <strong>de</strong>r einschlägigen Rechtsvorschriften mitzuteilen. Allerdings ist in § 42<br />
Abs. 1 MiStra auch festgelegt, dass die an<strong>de</strong>ren Stellen ihrer Mitteilungspflicht nicht<br />
nachkommen müssen, wenn <strong>de</strong>r Akte zu entnehmen ist, dass die Auslän<strong>de</strong>rbehör<strong>de</strong><br />
bereits von <strong>de</strong>r Polizei unterrichtet wur<strong>de</strong>. Da bei <strong>de</strong>r Polizei <strong>de</strong>r Verfahrensabschluss<br />
zahlreicher Ermittlungsverfahren jedoch nicht bekannt ist, 35 erhält die Auslän<strong>de</strong>rbehör<strong>de</strong><br />
über die Polizei nur Kenntnis von <strong>de</strong>r Strafanzeige, nicht aber vom Verfahrensausgang.<br />
Dennoch sind wir, an<strong>de</strong>rs als das Innenministerium, <strong>de</strong>r Ansicht, dass sehr wohl hohe<br />
Anfor<strong>de</strong>rungen an die Qualität <strong>de</strong>r „konkreten Anhaltspunkte“ als Übermittlungsvoraussetzung<br />
gestellt wer<strong>de</strong>n müssen. Schließlich soll die Sozialbehör<strong>de</strong> darauf einen Verwaltungsakt<br />
wie beispielsweise die Kürzung <strong>de</strong>s Leistungsbezugs stützen. Ohne Kenntnis<br />
<strong>de</strong>s Verfahrensausgangs muss daher die Übermittlung von Delikten unterbleiben. Wenn<br />
sie solche Daten <strong>de</strong>nnoch übermitteln will, muss die Auslän<strong>de</strong>rbehör<strong>de</strong> <strong>de</strong>n Verfahrensausgang<br />
vorher bei <strong>de</strong>r Staatsanwaltschaft abfragen.<br />
Vor <strong>de</strong>r Übermittlung ist die Auslän<strong>de</strong>rbehör<strong>de</strong> gehalten, in je<strong>de</strong>m Einzelfall zu prüfen, ob<br />
Seite 71 von 195
sie nach Sachlage für die Leistungsfestsetzung <strong>de</strong>r Sozialbehör<strong>de</strong> erfor<strong>de</strong>rlich ist.<br />
Es ist geboten, die Auslän<strong>de</strong>rbehör<strong>de</strong>n in einem Erlass über die rechtlichen Schranken<br />
und Voraussetzungen sowie ihre Prüfungspflichten bei <strong>de</strong>r Übermittlung an die Sozialbehör<strong>de</strong>n<br />
zu informieren. Das Ministerium <strong>de</strong>s Innern hat dazu bisher lediglich mitgeteilt,<br />
dass es dies zu gegebener Zeit beabsichtige.<br />
In <strong>de</strong>n von <strong>de</strong>n Auslän<strong>de</strong>rbehör<strong>de</strong>n zur Datenübermittlung an die Sozialbehör<strong>de</strong>n genutzten<br />
Formularen sollten nur die tatsächlich relevanten Übermittlungsvorschriften genannt<br />
wer<strong>de</strong>n. Das Ministerium <strong>de</strong>s Innern sollte in einem Erlass die rechtlichen Schranken und<br />
Voraussetzungen <strong>de</strong>r Übermittlungen erläutern und die Prüfpflichten <strong>de</strong>r Auslän<strong>de</strong>rbehör<strong>de</strong>n<br />
vor einer Übermittlung ver<strong>de</strong>utlichen.<br />
Seite 72 von 195
4.4 Mel<strong>de</strong>recht<br />
4.4.1 Än<strong>de</strong>rungen im Mel<strong>de</strong>recht<br />
In seiner letzten Sitzung <strong>de</strong>r 4. Legislaturperio<strong>de</strong> verabschie<strong>de</strong>te <strong>de</strong>r <strong>Landtag</strong> das<br />
Dritte Gesetz zur Än<strong>de</strong>rung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Mel<strong>de</strong>gesetzes. 36 Mit <strong>de</strong>m<br />
Gesetz wur<strong>de</strong> ein bereits im Jahre 2004 angelaufenes Projekt zur Schaffung eines<br />
lan<strong>de</strong>sweiten elektronischen Mel<strong>de</strong>datenauskunftsregisters umgesetzt. <strong>Bran<strong>de</strong>nburg</strong><br />
hat sich damit <strong>de</strong>r großen Mehrheit <strong>de</strong>r Bun<strong>de</strong>slän<strong>de</strong>r angeschlossen, die<br />
über ein „Lan<strong>de</strong>smel<strong>de</strong>register“ verfügen.<br />
Aufgrund verschie<strong>de</strong>ner rechtlicher und politischer Vorgaben <strong>de</strong>r EU, <strong>de</strong>s Bun<strong>de</strong>s und<br />
<strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> zur verbesserten Online-Bereitstellung von Informationen, sollte<br />
das Mel<strong>de</strong>gesetz funktionsfähiger und bedarfsgerechter gestaltet wer<strong>de</strong>n. Erklärtes Ziel<br />
<strong>de</strong>s Regierungsentwurfs war es, die Verfügbarkeit von Mel<strong>de</strong>daten für die behördliche<br />
Aufgabenerfüllung zu erhöhen und die kommunalen Mel<strong>de</strong>behör<strong>de</strong>n bei regelmäßigen<br />
Datenübermittlungen an an<strong>de</strong>re Behör<strong>de</strong>n und sonstige öffentliche Stellen (§ 29 <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Mel<strong>de</strong>gesetz – BbgMel<strong>de</strong>G) sowie bei einfachen Mel<strong>de</strong>registerauskünften<br />
zu entlasten, soweit diese in Online-Verfahren nachgefragt wer<strong>de</strong>n. Insbeson<strong>de</strong>re wur<strong>de</strong><br />
ein zentrales Auskunftsregister als wichtiger Baustein <strong>de</strong>r E-Government Strategie <strong>de</strong>s<br />
Lan<strong>de</strong>s gesehen, um eine beschleunigte, von Bürodienstzeiten unabhängige und effiziente<br />
elektronische Auskunftserteilung an Sicherheits- und Justizbehör<strong>de</strong>n zu ermöglichen.<br />
Seit Inkrafttreten <strong>de</strong>s Gesetzes am 15. Juli 2009 regelt § 37 BbgMel<strong>de</strong>G die Aufgaben<br />
<strong>de</strong>r zentralen Registerbehör<strong>de</strong> in <strong>Bran<strong>de</strong>nburg</strong>, die ein Lan<strong>de</strong>smel<strong>de</strong>register ausschließlich<br />
für regelmäßige Datenübermittlungen insbeson<strong>de</strong>re im Wege <strong>de</strong>s automatisierten<br />
Abrufs nach § 29 BbgMel<strong>de</strong>G führen darf. Die kommunalen Mel<strong>de</strong>behör<strong>de</strong>n übermitteln<br />
<strong>de</strong>r Registerbehör<strong>de</strong> alle bei ihnen gespeicherten Einwohner-Grunddaten, d. h. im Wesentlichen<br />
die <strong>de</strong>r I<strong>de</strong>ntitätsfeststellung und <strong>de</strong>m Wohnungsnachweis dienen<strong>de</strong>n Angaben,<br />
Auskunftssperren sowie die Tatsache, ob und wann eine waffenrechtliche Erlaubnis<br />
36 Gesetz über das Mel<strong>de</strong>wesen im Land <strong>Bran<strong>de</strong>nburg</strong> (<strong>Bran<strong>de</strong>nburg</strong>isches Mel<strong>de</strong>gesetz – BbgMel<strong>de</strong>G) in <strong>de</strong>r Fassung <strong>de</strong>r Bekanntmachung<br />
vom 17. Januar 2006 (GVBl. I S. 6), zuletzt geän<strong>de</strong>rt durch Artikel 1 <strong>de</strong>s Gesetzes vom 7. Juli 2009 (GVBl. I S. 255)<br />
Seite 73 von 195
erteilt wor<strong>de</strong>n ist. Die Mel<strong>de</strong>behör<strong>de</strong>n sind für die Richtigkeit und Aktualität <strong>de</strong>r übermittelten<br />
Daten verantwortlich und teilen <strong>de</strong>r Registerbehör<strong>de</strong> unverzüglich Än<strong>de</strong>rungen und<br />
Löschungen mit.<br />
Damit stellt das Lan<strong>de</strong>smel<strong>de</strong>register ein „Spiegelregister“ von Mel<strong>de</strong>daten dar, die die<br />
Registerbehör<strong>de</strong> nur für die Zwecke <strong>de</strong>r regelmäßigen auch automatisierten Datenübermittlungen<br />
an Behör<strong>de</strong>n o<strong>de</strong>r sonstige öffentliche Stellen verwen<strong>de</strong>n darf. Private Dritte<br />
können auf <strong>de</strong>n Datenbestand nicht zurückgreifen. Die bisherige Zuständigkeit <strong>de</strong>r Mel<strong>de</strong>behör<strong>de</strong>n<br />
etwa zur Erteilung von Mel<strong>de</strong>registerauskünften an Private wird durch die<br />
Aufgaben <strong>de</strong>s zentralen Registers nicht berührt.<br />
Die technischen Voraussetzungen für eine lan<strong>de</strong>sweite Online-Mel<strong>de</strong>registerauskunft<br />
wur<strong>de</strong>n beim Lan<strong>de</strong>sbetrieb für Datenverarbeitung und IT-Serviceaufgaben aufgebaut,<br />
<strong>de</strong>r seit <strong>de</strong>m 1. Januar 2009 in <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister aufgegangen ist.<br />
Als Registerbehör<strong>de</strong> ist er verpflichtet, Maßnahmen zur Sicherstellung von Datenschutz<br />
und Datensicherheit zu treffen. Der Minister <strong>de</strong>s Innern ist ermächtigt, einen verbindlichen<br />
IT-Standard für die Datenübermittlung von Mel<strong>de</strong>behör<strong>de</strong>n zum Lan<strong>de</strong>smel<strong>de</strong>register<br />
festzulegen.<br />
Wir waren von Beginn an in die Planungen einbezogen und hatten Gelegenheit, sowohl<br />
zu <strong>de</strong>n rechtlichen Vorschriften als auch zum IT-Sicherheitskonzept <strong>de</strong>s Verfahrens Stellung<br />
zu nehmen. Der Einrichtung eines Lan<strong>de</strong>smel<strong>de</strong>registers stan<strong>de</strong>n und stehen wir<br />
grundsätzlich positiv gegenüber. Die technischen und organisatorischen Maßnahmen für<br />
eine sichere und bedarfsgerechte Datenübermittlung können durch <strong>de</strong>n zentralen<br />
Dienstleister aufgrund <strong>de</strong>r technischen und personellen Ausstattung und <strong>de</strong>s vorhan<strong>de</strong>nen<br />
Fachwissens über IT-Sicherheit insbeson<strong>de</strong>re im Hinblick auf <strong>de</strong>n automatisierten<br />
Abruf über das Internet besser umgesetzt wer<strong>de</strong>n als in vielen Kommunen. Allerdings<br />
müssen potenzielle Risiken, die dadurch entstehen könnten, dass die Mel<strong>de</strong>datenbestän<strong>de</strong><br />
aller Kommunen <strong>de</strong>s Lan<strong>de</strong>s an einer zentralen Stelle gespeichert wer<strong>de</strong>n, durch<br />
geeignete Sicherheitsvorkehrungen minimiert wer<strong>de</strong>n. Zu nennen sind hier z. B. die getrennte<br />
Speicherung <strong>de</strong>r Mel<strong>de</strong>datenbestän<strong>de</strong> sowie ein umfangreiches Rechte- und<br />
Rollenkonzept.<br />
Seite 74 von 195
Der <strong>Bran<strong>de</strong>nburg</strong>ische IT-Dienstleister wird das zentrale Mel<strong>de</strong>register <strong>de</strong>s Lan<strong>de</strong>s<br />
betreiben. Risiken für <strong>de</strong>n Datenschutz und die IT-Sicherheit sind durch geeignete Vorkehrungen<br />
zu beherrschen.<br />
4.4.2 Prüfung <strong>de</strong>s Verfahrens zur Beantragung von Reisepässen Zu Ziffer 4.4.2 „Prüfung <strong>de</strong>s Verfahrens zur Beantragung von<br />
Reisepässen“<br />
Im Berichtszeitraum prüften wir in drei Passbehör<strong>de</strong>n <strong>de</strong>s Lan<strong>de</strong>s das Verfahren<br />
zur Beantragung und Ausstellung von Reisepässen mit biometrischen Merkmalen<br />
(ePass-Verfahren). Die Prüfungen ergaben Mängel bei <strong>de</strong>r Umsetzung technischorganisatorischer<br />
Maßnahmen.<br />
Das im Tätigkeitsbericht beschriebene Problem <strong>de</strong>r Datensicherung<br />
<strong>de</strong>r Fingerabdrücke über <strong>de</strong>n Aushändigungszeitraum hinweg konnte<br />
noch nicht vollständig gelöst wer<strong>de</strong>n; es han<strong>de</strong>lt sich im Übrigen um<br />
ein die Grenzen <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> überschreiten<strong>de</strong>s Problem.<br />
Der Softwarehersteller wur<strong>de</strong> von <strong>de</strong>n Passbehör<strong>de</strong>n bereits im Jahr<br />
2008 zu einer gesetzeskonformen Verän<strong>de</strong>rung aufgefor<strong>de</strong>rt.<br />
In unserem letzten Tätigkeitsbericht 37 informierten wir über die Einführung von elektronischen<br />
Reisepässen. Wir kündigten an, die Beantragung und Ausstellung <strong>de</strong>r elektronischen<br />
Reisepässe Anfang 2008 datenschutzrechtlich zu kontrollieren und zu überprüfen,<br />
ob die notwendigen technischen und organisatorischen Maßnahmen zur Gewährleistung<br />
<strong>de</strong>s Datenschutzes getroffen wor<strong>de</strong>n sind. Im Folgen<strong>de</strong>n berichten wir über wesentliche<br />
Ergebnisse <strong>de</strong>r bei drei Passbehör<strong>de</strong>n durchgeführten Prüfungen.<br />
Erstellung von IT-Sicherheitskonzepten<br />
Gemäß § 7 Abs. 3 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz (BbgDSG) ist von <strong>de</strong>r Daten<br />
verarbeiten<strong>de</strong>n Stelle zu untersuchen, ob von einem Verfahren zur Verarbeitung personenbezogener<br />
Daten spezifische Risiken ausgehen können. Die Freigabe darf nur erteilt<br />
wer<strong>de</strong>n, wenn ein aus einer Risikoanalyse entwickeltes IT-Sicherheitskonzept ergeben<br />
hat, dass die von <strong>de</strong>m Verfahren ausgehen<strong>de</strong>n Gefahren für die Rechte und Freiheiten<br />
<strong>de</strong>r Betroffenen durch technische und organisatorische Maßnahmen nach § 10 Abs. 1<br />
und 2 BbgDSG beherrscht wer<strong>de</strong>n können. In keiner <strong>de</strong>r geprüften Passbehör<strong>de</strong>n konnte<br />
Zur Möglichkeit <strong>de</strong>r Überprüfung seiner Fingerabdrücke durch <strong>de</strong>n<br />
jeweiligen Antragsteller ist festzustellen, dass zur Zeit Pass-<br />
Antragstellern, die vor <strong>de</strong>r Aushändigung ihres Passes ihr Recht auf<br />
Überprüfung <strong>de</strong>r Fingerabdrücke wahrnehmen wollen, durch Aufrufen<br />
<strong>de</strong>r Bil<strong>de</strong>r ihrer Fingerabdrücke im Passverfahren bei gleichzeitigem<br />
Einlegen <strong>de</strong>s ePasses im daneben stehen<strong>de</strong>n ePass-Lesegerät die<br />
Überprüfung ermöglicht wer<strong>de</strong>n kann. Nach <strong>de</strong>r Aushändigung und <strong>de</strong>r<br />
damit verbun<strong>de</strong>nen Löschung <strong>de</strong>r Fingerabdrücke gibt es diese Möglichkeit<br />
nicht mehr.<br />
Hier ist es notwendig eine bun<strong>de</strong>seinheitliche praxisorientierte Lösung<br />
zu fin<strong>de</strong>n.<br />
Des Weiteren wur<strong>de</strong> von <strong>de</strong>r LDA die Frage nach <strong>de</strong>r Verschlüsselung<br />
<strong>de</strong>r im lokalen Netz übertragenen und in <strong>de</strong>r Datenbank gespeicherten<br />
38 Handreichung „Informationssicherheit<br />
für <strong>de</strong>utsche Passbehör<strong>de</strong>n“<br />
37 vgl. Tätigkeitsbericht 2006/2007, A 1.2.6<br />
siehe http://www.lda.bran<strong>de</strong>nburg.<strong>de</strong> Informationsmaterial Orientierungshilfen und Handlungsempfehlungen<br />
Seite 75 von 195
jedoch ein vollständiges IT-Sicherheitskonzept vorgelegt wer<strong>de</strong>n. Aufgrund <strong>de</strong>r Verarbeitung<br />
von sensitiven personenbezogenen Daten haben wir die Erstellung eines ganzheitlichen<br />
IT-Sicherheitskonzeptes nach <strong>de</strong>n Standards 100-2 und 100-3 <strong>de</strong>s Bun<strong>de</strong>samtes<br />
für Sicherheit in <strong>de</strong>r Informationstechnik von <strong>de</strong>n Passbehör<strong>de</strong>n gefor<strong>de</strong>rt.<br />
Unzulässige Speicherung <strong>de</strong>r Fingerabdrücke<br />
In allen drei Passbehör<strong>de</strong>n erfolgt eine tägliche Datensicherung. Aufgrund <strong>de</strong>r Aufbewahrungsfristen<br />
<strong>de</strong>r Sicherungsdatenträger wer<strong>de</strong>n unter Umstän<strong>de</strong>n auch Fingerabdrücke<br />
<strong>de</strong>r Betroffenen länger als zulässig gespeichert. Nach § 16 Abs. 2 Passgesetz (PaßG)<br />
sind die bei <strong>de</strong>r Passbehör<strong>de</strong> gespeicherten Fingerabdrücke spätestens nach Aushändigung<br />
<strong>de</strong>s Passes an <strong>de</strong>n Antragsteller zu löschen. Diese For<strong>de</strong>rung kann <strong>de</strong>rzeit in <strong>de</strong>r<br />
Praxis nicht bzw. nur mit unverhältnismäßig hohem Aufwand umgesetzt wer<strong>de</strong>n. Hier<br />
sind die Hersteller <strong>de</strong>r Mel<strong>de</strong>behör<strong>de</strong>nsoftware gefor<strong>de</strong>rt, entsprechen<strong>de</strong> Mechanismen<br />
zu implementieren, die sicherstellen, dass die Fingerabdruckdaten nicht in die regelmäßige<br />
Datensicherung einbezogen wer<strong>de</strong>n. Der sehr unwahrscheinliche Fall, dass Fingerabdrücke<br />
durch Systemabstürze verloren gehen, bevor sie zur Bun<strong>de</strong>sdruckerei übertragen<br />
wer<strong>de</strong>n, sollte hierbei in Kauf genommen wer<strong>de</strong>n. Tritt dieser Fall ein, so müssten die<br />
Betroffenen ihren Fingerabdruck erneut abgeben. Denkbar wäre auch, dass die Fingerabdruckdaten<br />
kurzzeitig auf einem separaten Datenträger (z. B. USB-Stick, externe Festplatte)<br />
gesichert wer<strong>de</strong>n. Auch in diesem Fall müsste <strong>de</strong>r Hersteller eine Anpassung <strong>de</strong>r<br />
Software vornehmen. Aus unserer Sicht lässt sich das Problem <strong>de</strong>r unzulässigen Datensicherung<br />
über einen längeren Zeitraum nur gemeinsam mit <strong>de</strong>m Hersteller <strong>de</strong>r Software<br />
lösen. In einer <strong>de</strong>r geprüften Passbehör<strong>de</strong>n wur<strong>de</strong>n die Datenbanken zwischenzeitlich<br />
getrennt und damit die Möglichkeit geschaffen, die Fingerabdrücke <strong>de</strong>r Antragsteller aus<br />
<strong>de</strong>r täglichen Datensicherung auszuschließen.<br />
sensitiven personenbezogenen Daten aufgeworfen. Auch diese Problematik<br />
wur<strong>de</strong> durch die Passbehör<strong>de</strong>n an die Softwarehersteller herangetragen.<br />
Der gegenwärtig diskutierte kostenintensive Lösungsansatz<br />
wirkt sich jedoch negativ auf das Laufzeitverhalten aus. Daher<br />
wer<strong>de</strong>n weitere technische Lösungen geprüft.<br />
Das Ministerium <strong>de</strong>s Innern wird <strong>de</strong>n weiteren Prozess im Rahmen<br />
seiner Aufsichtsbefugnisse begleiten.<br />
Überprüfung <strong>de</strong>s Fingerabdruckes durch Antragsteller bei Abholung <strong>de</strong>s Passes<br />
Bei <strong>de</strong>n ePass-Lesegeräten <strong>de</strong>r zweiten Generation wer<strong>de</strong>n die Fingerabdrücke lediglich<br />
auf einem Display angezeigt. Die Vorgaben <strong>de</strong>s Artikels 4 <strong>de</strong>r Verordnung (EG) Nr.<br />
2252/204 <strong>de</strong>s Rates vom 13. Dezember 2004 wer<strong>de</strong>n damit jedoch nicht erfüllt. In <strong>de</strong>r<br />
Seite 76 von 195
Verordnung heißt es u. a.:<br />
„Unbescha<strong>de</strong>t datenschutzrechtlicher Bestimmungen haben Personen, <strong>de</strong>nen ein Pass<br />
o<strong>de</strong>r ein Reisedokument ausgestellt wor<strong>de</strong>n ist, das Recht, die personenbezogenen Daten<br />
in <strong>de</strong>m Pass o<strong>de</strong>r <strong>de</strong>m Reisedokument zu überprüfen und gegebenenfalls eine Berichtigung<br />
o<strong>de</strong>r Löschung zu beantragen.“<br />
Diese For<strong>de</strong>rung ist <strong>de</strong>n Passbehör<strong>de</strong>n bekannt, kann aber durch sie allein nicht umgesetzt<br />
wer<strong>de</strong>n. Aus diesem Grund haben die Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und<br />
<strong>de</strong>r Län<strong>de</strong>r das zuständige Bun<strong>de</strong>sministerium <strong>de</strong>s Innern aufgefor<strong>de</strong>rt, dafür zu sorgen,<br />
dass bei nachfolgen<strong>de</strong>n Generationen <strong>de</strong>r ePass-Lesegeräte die Antragsteller bei Abholung<br />
ihres Reisepasses <strong>de</strong>n Fingerabdruck rechtskonform überprüfen können. Überprüfen<br />
be<strong>de</strong>utet hierbei, die erneute Eingabe <strong>de</strong>s Fingerabdruckes und <strong>de</strong>r softwaretechnische<br />
Vergleich mit <strong>de</strong>m auf <strong>de</strong>m ePass gespeicherten Fingerabdruck. Das Ministerium<br />
hat eine Prüfung zugesichert.<br />
Verschlüsselung sensitiver Daten<br />
Derzeit wer<strong>de</strong>n die in <strong>de</strong>n lokalen Netzen übertragenen sowie die in <strong>de</strong>n Datenbanken<br />
<strong>de</strong>r Passbehör<strong>de</strong>n gespeicherten personenbezogenen Daten hohen Schutzbedarfs (u. a.<br />
Fingerabdrücke) nicht verschlüsselt. Aufgrund ihrer Sensitivität ist eine Verschlüsselung<br />
jedoch unabdingbar. Im Zuge <strong>de</strong>r Erstellung <strong>de</strong>s IT-Sicherheitskonzeptes ist daher ein<br />
Kryptokonzept zu erarbeiten, in <strong>de</strong>m die diesbezüglich zu realisieren<strong>de</strong>n Maßnahmen<br />
beschrieben wer<strong>de</strong>n. Die Verschlüsselung <strong>de</strong>r in <strong>de</strong>r Datenbank gespeicherten Daten<br />
kann auch in diesem Fall nur gemeinsam mit <strong>de</strong>m Hersteller <strong>de</strong>s Verfahrens realisiert<br />
wer<strong>de</strong>n.<br />
Der Arbeitskreis „Technische und organisatorische Fragen <strong>de</strong>s Datenschutzes“ <strong>de</strong>r Konferenz<br />
<strong>de</strong>r Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r hat zu <strong>de</strong>n Problematiken<br />
<strong>de</strong>s ePass-Verfahrens Gespräche mit <strong>de</strong>m Bun<strong>de</strong>sministerium <strong>de</strong>s Innern, <strong>de</strong>n Verfahrensherstellern,<br />
<strong>de</strong>m Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r Informationstechnik und <strong>de</strong>r<br />
Bun<strong>de</strong>sdruckerei geführt, in <strong>de</strong>nen Lösungsansätze diskutiert wur<strong>de</strong>n. Das Ministerium<br />
hat zu<strong>de</strong>m das Bun<strong>de</strong>samt beauftragt, eine Handreichung zur Informationssicherheit bei<br />
Seite 77 von 195
<strong>de</strong>utschen Passbehör<strong>de</strong>n zu erstellen. Diese Handreichung 38 liegt momentan in <strong>de</strong>r Version<br />
1.5 vor.<br />
Die Prüfung <strong>de</strong>s ePass-Verfahrens in Passbehör<strong>de</strong>n <strong>de</strong>s Lan<strong>de</strong>s ergab Mängel bei <strong>de</strong>r<br />
Umsetzung von technischen und organisatorischen Maßnahmen. Einige Mängel sind<br />
jedoch nur gemeinsam mit <strong>de</strong>n Herstellern <strong>de</strong>r Verfahren und <strong>de</strong>m für das Verfahren<br />
zuständigen Bun<strong>de</strong>sministerium abzustellen.<br />
4.4.3 Unberechtigte Zugriffe auf die Online-Mel<strong>de</strong>registerauskunft Zu Ziffer 4.4.3 „Unberechtigte Zugriffe auf die Online-<br />
Mel<strong>de</strong>registerauskunft“<br />
Im Berichtszeitraum führten wir aufgrund von Informationen eines Fernsehmagazins<br />
Kontrollen <strong>de</strong>s Fachverfahrens Online-Mel<strong>de</strong>registerauskunft in mehreren<br />
Kommunalverwaltungen durch. Hierbei bestätigte sich, dass ein unberechtigter<br />
Zugriff auf Mel<strong>de</strong>daten einiger Kommunen möglich war. Weiterhin wur<strong>de</strong>n erhebliche<br />
Mängel bei <strong>de</strong>r Umsetzung technisch-organisatorischer Maßnahmen festgestellt.<br />
Bereits vor Ausstrahlung <strong>de</strong>s Fernsehbeitrages wandten sich die Redakteure an uns. Wir<br />
erhielten die Information, dass eine Firma, die Mel<strong>de</strong>behör<strong>de</strong>n mit Software ausstattet,<br />
sowohl Benutzername als auch Initialpasswort eines autorisierten Nutzerzugangs im<br />
Internet publiziert. Da mehrere Kommunen dieses Initialpasswort nicht än<strong>de</strong>rten, waren<br />
mit <strong>de</strong>r Zugangsberechtigung Bürgerdaten öffentlich zugänglich. Eine Überprüfung <strong>de</strong>s<br />
Sachverhaltes ergab, dass die betreffen<strong>de</strong> Internetseite durch die Softwarefirma bereits<br />
abgeschaltet wur<strong>de</strong>. Die Inhaltsdaten waren jedoch noch über <strong>de</strong>n Google-Cache einsehbar.<br />
Aufgrund <strong>de</strong>r bun<strong>de</strong>sweiten Verbreitung <strong>de</strong>r eingesetzten Software waren nicht<br />
nur <strong>Bran<strong>de</strong>nburg</strong>er Kommunen von <strong>de</strong>m Sicherheitsvorfall betroffen. Insofern informierten<br />
wir unverzüglich die Kollegen <strong>de</strong>r an<strong>de</strong>ren Bun<strong>de</strong>slän<strong>de</strong>r über die eventuell bestehen<strong>de</strong><br />
Sicherheitslücke.<br />
Auch die Fachaufsicht für die Mel<strong>de</strong>behör<strong>de</strong>n im Ministerium <strong>de</strong>s Innern wur<strong>de</strong> eingeschaltet.<br />
Sie erteilte die Anweisung, alle Verfahren zur Online-Mel<strong>de</strong>registerauskunft mit<br />
Das Ministerium <strong>de</strong>s Innern hat <strong>de</strong>n von <strong>de</strong>r LDA zutreffend beschriebenen<br />
Vorfall unverzüglich zum Anlass genommen, die betroffenen<br />
Mel<strong>de</strong>behör<strong>de</strong>n anzuweisen, die Portale für die Online-<br />
Mel<strong>de</strong>registerauskunft abzuschalten. Damit wur<strong>de</strong> sichergestellt, dass<br />
ab diesem Zeitpunkt keine Zugriffe mehr auf die Mel<strong>de</strong>daten erfolgen<br />
konnten. Die Prüfung <strong>de</strong>r Angelegenheit erfolgte zuständigkeitshalber<br />
in erster Linie von <strong>de</strong>r LDA, da es sich vorrangig um einen datenschutzrechtlichen<br />
Verstoß von öffentlichen Stellen han<strong>de</strong>lte. Der Bitte<br />
<strong>de</strong>r LDA, die Prüfung bei <strong>de</strong>n betroffenen Behör<strong>de</strong>n zu begleiten, ist<br />
das Ministerium <strong>de</strong>s Innern nachgekommen. Die Bewertung <strong>de</strong>r LDA<br />
wird vom Ministerium <strong>de</strong>s Innern geteilt. Als Konsequenz aus <strong>de</strong>m<br />
Vorfall ist seit<strong>de</strong>m die Erteilung einfacher Mel<strong>de</strong>registerauskünfte an<br />
Private im Online-Verfahren nur bei einer <strong>de</strong>r betroffenen Mel<strong>de</strong>behör<strong>de</strong>n<br />
wie<strong>de</strong>r aufgenommen wor<strong>de</strong>n. In diesem Fall hat die Mel<strong>de</strong>behör<strong>de</strong><br />
vor <strong>de</strong>r Inbetriebnahme <strong>de</strong>r Online-Mel<strong>de</strong>registerauskunft in Auswertung<br />
<strong>de</strong>r Prüfung durch die LDA und <strong>de</strong>n dabei festgestellten Mängeln<br />
hinsichtlich <strong>de</strong>r bestehen<strong>de</strong>n technischen und organisatorischen<br />
Maßnahmen Festlegungen getroffen, welche auf die Behebung <strong>de</strong>r<br />
Unzulänglichkeiten abzielten. Das erfor<strong>de</strong>rliche IT-Sicherheitskonzept<br />
nach Vorgaben <strong>de</strong>s BSI, welches auch die Passbehör<strong>de</strong> einschließt,<br />
befin<strong>de</strong>t sich in <strong>de</strong>r Entwicklung, die Fertigstellung ist nunmehr für das<br />
Seite 78 von 195
sofortiger Wirkung abzuschalten.<br />
Unsere vor Ort im Beisein <strong>de</strong>r Fachaufsicht durchgeführten Kontrollen ergaben, dass bei<br />
zwei Mel<strong>de</strong>behör<strong>de</strong>n unberechtigte Zugriffe nachvollzogen wer<strong>de</strong>n konnten, die vermutlich<br />
<strong>de</strong>n Recherchen <strong>de</strong>r Journalisten zuzurechnen sind. Anhaltspunkte, die diese Vermutung<br />
stützen, sind <strong>de</strong>r Zeitpunkt <strong>de</strong>r Recherchen sowie die im Fernsehbeitrag gezeigten<br />
Abrufe. Es kann jedoch nicht mit Sicherheit ausgeschlossen wer<strong>de</strong>n, dass weitere unberechtigte<br />
Zugriffe erfolgt sind. Dies resultiert aus <strong>de</strong>r Tatsache, dass es in <strong>de</strong>r Software<br />
Unregelmäßigkeiten in <strong>de</strong>r Protokollierung gab bzw. über <strong>de</strong>n genannten Zugang Protokolle<br />
hätten manipuliert wer<strong>de</strong>n können.<br />
In allen geprüften Mel<strong>de</strong>behör<strong>de</strong>n waren die Unterlagen zur Verfahrensdokumentation<br />
unvollständig o<strong>de</strong>r nicht vorhan<strong>de</strong>n. Dies betraf insbeson<strong>de</strong>re die Sicherheitskonzepte<br />
nach § 7 Abs. 3 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz (BbgDSG) sowie die Verfahrensverzeichnisse<br />
nach § 8 BbgDSG. Eine gründliche Betrachtung <strong>de</strong>r technischorganisatorischen<br />
Maßnahmen gemäß § 10 BbgDSG ist von Seiten <strong>de</strong>r Kommunalverwaltungen<br />
ebenfalls nicht erfolgt. Bei Beachtung <strong>de</strong>r gesetzlichen Anfor<strong>de</strong>rungen wäre<br />
ein unberechtigter Zugriff auf die Mel<strong>de</strong>daten leicht zu verhin<strong>de</strong>rn gewesen: Spätestens<br />
bei <strong>de</strong>r Prüfung <strong>de</strong>r Umsetzung <strong>de</strong>s Sicherheitskonzeptes hätte auffallen müssen, dass<br />
das Initialpasswort für <strong>de</strong>n Zugang zum Online-Mel<strong>de</strong>register nicht geän<strong>de</strong>rt wur<strong>de</strong>.<br />
Jahr 2010 vorgesehen. Bereits im Jahr 2008 wur<strong>de</strong> die Einrichtung<br />
einer Stelle für einen Sicherheitsbeauftragten veranlasst, <strong>de</strong>ren Besetzung<br />
zwischenzeitlich realisiert wur<strong>de</strong>. Bezogen auf die Online-<br />
Mel<strong>de</strong>registerauskunft wur<strong>de</strong>n alle notwendigen technischen und organisatorischen<br />
Datenschutzmaßnahmen vor <strong>de</strong>r Wie<strong>de</strong>rinbetriebnahme<br />
realisiert.<br />
Die übrigen von <strong>de</strong>m Vorfall betroffenen Mel<strong>de</strong>behör<strong>de</strong>n haben ihre<br />
Online-Mel<strong>de</strong>registerauskunft wegen <strong>de</strong>r festgestellten Mängel in <strong>de</strong>r<br />
IT-Sicherheitsarchitektur bislang nicht wie<strong>de</strong>r in Betrieb genommen.<br />
Eine Inbetriebnahme steht unter <strong>de</strong>m Vorbehalt eines ausreichen<strong>de</strong>n<br />
IT-Sicherheitskonzepts.<br />
Das Ministerium <strong>de</strong>s Innern wird <strong>de</strong>n weiteren Prozess im Rahmen<br />
seiner Aufsichtsbefugnisse begleiten.<br />
Für die Wie<strong>de</strong>raufnahme <strong>de</strong>s Verfahrens in <strong>de</strong>n betreffen<strong>de</strong>n Kommunen war es notwendig,<br />
die verfahrensspezifischen IT-Systeme neu aufzusetzen und neue Zugangsrechte<br />
und Passwörter zu vergeben, da nicht ausgeschlossen wer<strong>de</strong>n konnte, dass sich eine<br />
Person während eines unberechtigten Zugriffs einen eigenen Nutzerzugang eingerichtet<br />
hatte. In Vorbereitung <strong>de</strong>r Wie<strong>de</strong>raufnahme <strong>de</strong>s Verfahrens waren die Kommunen angehalten,<br />
ihrer Pflicht zur<br />
Sicherstellung <strong>de</strong>s Datenschutzes, insbeson<strong>de</strong>re <strong>de</strong>r Verpflichtung zur Durchführung<br />
einer Risikoanalyse und zur Erstellung eines Sicherheitskonzeptes gemäß § 7 Abs. 3<br />
BbgDSG,<br />
Seite 79 von 195
Erstellung eines Verfahrensverzeichnisses gemäß § 8 BbgDSG,<br />
Meldung automatisierter Verfahren gemäß § 9 BbgDSG sowie<br />
Festlegung und Umsetzung von technischen und organisatorischen Maßnahmen gemäß<br />
§ 10 BbgDSG<br />
nachzukommen. Bislang hat nur eine Kommune diese Anfor<strong>de</strong>rungen erfüllt und das<br />
Verfahren wie<strong>de</strong>r aufgenommen.<br />
Die Än<strong>de</strong>rung von Initialpasswörtern gehört zu <strong>de</strong>n grundlegen<strong>de</strong>n technischen Sicherheitsmaßnahmen,<br />
die vor Inbetriebnahme eines Verfahrens umzusetzen sind. In <strong>de</strong>n<br />
betreffen<strong>de</strong>n Kommunen wur<strong>de</strong>n die Sorgfaltspflichten grob verletzt.<br />
Seite 80 von 195
4.5 Datenverarbeitung, Statistik, Wahlen<br />
4.5.1 Vorbereitungen zur Volkszählung 2011<br />
In <strong>de</strong>r Bun<strong>de</strong>srepublik Deutschland wird am 9. Mai 2011 eine Volkszählung (Zensus)<br />
durchgeführt. Diese erfolgt, wie bereits im letzten Tätigkeitsbericht 39 dargestellt,<br />
registergestützt. Zur Vorbereitung <strong>de</strong>r Zählung sind umfangreiche Vorarbeiten<br />
notwendig, die durch entsprechen<strong>de</strong> Gesetze und Regelungen klar <strong>de</strong>finiert<br />
wer<strong>de</strong>n müssen. Zu <strong>de</strong>n jeweiligen Gesetzgebungsverfahren gaben wir unsere<br />
Stellungnahmen ab, die nicht immer vollständig berücksichtigt wur<strong>de</strong>n.<br />
Der von <strong>de</strong>r Europäischen Union verbindlich vorgeschriebene Zensus wird durchgeführt,<br />
um verlässliche Bevölkerungszahlen als Grundlage für politische und wirtschaftliche Entscheidungen<br />
zu erhalten. Bereits im Dezember 2007 wur<strong>de</strong> das Zensusvorbereitungsgesetz<br />
40 verabschie<strong>de</strong>t. Damit wur<strong>de</strong>n die rechtlichen Voraussetzungen für die Vorbereitung<br />
<strong>de</strong>s Zensus 2011 gelegt. Insbeson<strong>de</strong>re regelt das Gesetz <strong>de</strong>n Aufbau eines Anschriftenund<br />
Gebäu<strong>de</strong>registers sowie eines Verzeichnisses zum Geburtsort und Geburtsstaat. Es<br />
legt weiterhin fest, welche Daten die Behör<strong>de</strong>n aus ihren Registern <strong>de</strong>m Statistischen<br />
Bun<strong>de</strong>samt und <strong>de</strong>n Statistischen Lan<strong>de</strong>sämtern zu übermitteln haben.<br />
In unserer Stellungnahme zum anschließen<strong>de</strong>n Entwurf <strong>de</strong>s Zensusgesetzes 2011 bemängelten<br />
wir u. a., dass bei <strong>de</strong>n Stichprobenerhebungen zusätzlich zu <strong>de</strong>m von <strong>de</strong>r EU<br />
vorgegebenen Datenkatalog 41 das Merkmal „Zugehörigkeit zu einer Religionsgemeinschaft“<br />
aufgenommen wur<strong>de</strong>. Unser Vorschlag, dieses Merkmal zu streichen, fand jedoch<br />
39 vgl. Tätigkeitsbericht 2006/2007, A 5.3.4<br />
40 Gesetz zur Vorbereitung eines registergestützten Zensus einschließlich einer Gebäu<strong>de</strong>- und Wohnungszählung 2011 vom 8. Dezember 2007<br />
(BGBl. I S. 2808)<br />
41 Verordnung (EG) Nr. 763/2008 <strong>de</strong>s Europäischen Parlaments und <strong>de</strong>s Rates vom 9. Juli 2008 über Volks- und Wohnungszählungen (Abl. EU<br />
Nr. L 218 S. 14)<br />
Seite 81 von 195
keine Berücksichtigung und wur<strong>de</strong> in <strong>de</strong>r im Juli 2009 in Kraft getretenen Fassung <strong>de</strong>s<br />
Zensusgesetzes 42 sogar noch erweitert. Bei <strong>de</strong>n Stichprobenerhebungen wird nun auch<br />
nach <strong>de</strong>m Bekenntnis zu einer Religion, Glaubensrichtung o<strong>de</strong>r Weltanschauung gefragt.<br />
Zurzeit wird die Umsetzung <strong>de</strong>r Volkszählung in <strong>de</strong>n Bun<strong>de</strong>slän<strong>de</strong>rn vorbereitet. Dazu<br />
müssen die Län<strong>de</strong>r Ausführungsgesetze erlassen. Unsere Behör<strong>de</strong> ist dabei von Beginn<br />
an vom zuständigen Ministerium <strong>de</strong>s Innern und <strong>de</strong>m für die Durchführung <strong>de</strong>s Zensus<br />
zuständigen Amt für Statistik Berlin-<strong>Bran<strong>de</strong>nburg</strong> beteiligt wor<strong>de</strong>n. Wichtig wird es unter<br />
an<strong>de</strong>rem sein, bei <strong>de</strong>n Datenerhebungen darauf zu achten, dass <strong>de</strong>m verfassungsrechtlichen<br />
Gebot <strong>de</strong>r Abschottung <strong>de</strong>r amtlichen Statistik vom Verwaltungsvollzug 43 Genüge<br />
getan wird.<br />
Die Daten <strong>de</strong>r Volkszählung sind nur für die damit verbun<strong>de</strong>nen Zwecke zu nutzen. Personenbezogene<br />
Daten Einzelner dürfen nicht in die Verwaltungen fließen.<br />
4.5.2 IT-Sicherheitskonzepte <strong>de</strong>r Ministerien – eine Bestandsaufnahme Zu Ziffer 4.5.2 „IT-Sicherheitskonzepte <strong>de</strong>r Ministerien – eine<br />
Bestandsaufnahme“<br />
Im Ergebnis <strong>de</strong>r Behandlung unseres letzten Tätigkeitsberichts fasste <strong>de</strong>r <strong>Bran<strong>de</strong>nburg</strong>ische<br />
<strong>Landtag</strong> im November 2008 einen Beschluss, 44 <strong>de</strong>r die Lan<strong>de</strong>sregierung<br />
u. a. auffor<strong>de</strong>rte, unserer Behör<strong>de</strong> „zeitnah die Sicherheitskonzepte <strong>de</strong>r Lan<strong>de</strong>sministerien<br />
vorzulegen“. Hierdurch ergab sich für uns die Möglichkeit einer umfassen<strong>de</strong>n<br />
Bestandsaufnahme.<br />
Das lan<strong>de</strong>sweite IT- Sicherheitsmanagement-Team unter Führung <strong>de</strong>s<br />
IT- Sicherheitsmanagers <strong>de</strong>s Lan<strong>de</strong>s im Ministerium <strong>de</strong>s Innern wird<br />
die Erarbeitung, Umsetzung und regelmäßige Fortschreibung von IT-<br />
Sicherheitskonzepten in <strong>de</strong>n Ressorts im Rahmen seiner koordinieren<strong>de</strong>n<br />
Rolle unterstützen.<br />
Je<strong>de</strong> Daten verarbeiten<strong>de</strong> Stelle hat gem. § 7 Abs. 3 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
(BbgDSG) je<strong>de</strong>s Verfahren, in <strong>de</strong>m personenbezogene Daten automatisiert verarbei-<br />
Der mit <strong>de</strong>m Vorhaben <strong>de</strong>r Schaffung eines <strong>Bran<strong>de</strong>nburg</strong>ischen IT-<br />
Dienstleisters vorgesehenen Zentralisierung <strong>de</strong>r IT- Infrastruktur folgt<br />
eine Zentralisierung <strong>de</strong>r IT- Sicherheitskonzepte für diesen Bereich<br />
42 Gesetz über <strong>de</strong>n registergestützten Zensus im Jahre 2011 (Zensusgesetz 2011 – ZensG 2011) vom 8. Juli 2009 (BGBl. I S. 1781)<br />
43 BVerfGE 65, 1 vom 15. Dezember 1983<br />
45 Lan<strong>de</strong>sverwaltung 2. Oktober 2007, zuletzt geän<strong>de</strong>rt durch Run<strong>de</strong>rlass<br />
<strong>de</strong>r Lan<strong>de</strong>sregierung vom 22. September 2009<br />
44 vgl. <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong>, <strong>Drucksache</strong> 4/6891-B<br />
Leitlinie zur Gewährleistung <strong>de</strong>r IT-Sicherheit in <strong>de</strong>r <strong>Bran<strong>de</strong>nburg</strong> vom<br />
Seite 82 von 195
tet wer<strong>de</strong>n und für das ein Verfahrensverzeichnis gem. § 8 BbgDSG zu erarbeiten ist,<br />
freizugeben. Die Freigabe darf nur dann erteilt wer<strong>de</strong>n, wenn nachgewiesen ist, dass die<br />
von <strong>de</strong>m Verfahren ausgehen<strong>de</strong>n Gefahren für die Rechte und Freiheiten <strong>de</strong>r Betroffenen<br />
durch geeignete technische und organisatorische Sicherheitsmaßnahmen beherrscht<br />
wer<strong>de</strong>n können. Hierzu ist ein Sicherheitskonzept zu erstellen und umzusetzen.<br />
und wird hier eine weitestgehen<strong>de</strong> Standardisierung möglich machen.<br />
Hierfür wur<strong>de</strong> bereits die Einführung eines SIS (Sicherheitsinformationssystem)<br />
konzipiert und mit einer Arbeitsgruppe <strong>de</strong>s IT- Sicherheitsmanagement-Teams<br />
organisatorisch untersetzt.<br />
Auch die IT-Sicherheitsleitlinie für die Lan<strong>de</strong>sverwaltung <strong>Bran<strong>de</strong>nburg</strong> 45 verlangt die Erarbeitung<br />
und Umsetzung von IT-Sicherheitskonzepten. Sie bezieht sich dabei nicht nur<br />
auf Verfahren zur Verarbeitung personenbezogener Daten, son<strong>de</strong>rn schließt auch alle<br />
an<strong>de</strong>ren IT-Verfahren ein.<br />
Die Lan<strong>de</strong>sregierung beauftragte das Ministerium <strong>de</strong>s Innern mit <strong>de</strong>r Koordinierung <strong>de</strong>r<br />
Umsetzung <strong>de</strong>s genannten <strong>Landtag</strong>sbeschlusses. Mit <strong>de</strong>n Verantwortlichen erörterten wir<br />
die konkrete Vorgehensweise. Dabei wur<strong>de</strong> festgelegt, dass uns zunächst alle Ministerien<br />
eine Übersicht über die Verfahren, in <strong>de</strong>nen personenbezogene Daten verarbeitet wer<strong>de</strong>n,<br />
zusammen mit <strong>de</strong>m jeweils aktuellen Stand hinsichtlich <strong>de</strong>r entsprechen<strong>de</strong>n IT-<br />
Sicherheitskonzepte zukommen lassen. Über weitere Aktivitäten unsererseits sollte nach<br />
Vorliegen und Auswertung dieser Übersichten entschie<strong>de</strong>n wer<strong>de</strong>n.<br />
Insgesamt dauerte es sieben Monate, bis alle Antworten aus <strong>de</strong>n einzelnen Ministerien<br />
vollständig vorlagen. Es ergab sich ein sehr heterogenes und z. T. unbefriedigen<strong>de</strong>s Bild:<br />
Ein Ressort führte überhaupt keine konkreten Verfahren an und berichtete pauschal,<br />
dass Sicherheitskonzepte „zurzeit überarbeitet o<strong>de</strong>r neu erstellt wer<strong>de</strong>n“.<br />
Bei mehreren Ressorts fehlten in <strong>de</strong>r Übersicht einzelne Verfahren, <strong>de</strong>ren Vorhan<strong>de</strong>nsein<br />
uns aus <strong>de</strong>m regelmäßigen Arbeitskontakt jedoch bekannt war (z. B. Verfahren<br />
zur Personaldatenverwaltung o<strong>de</strong>r zum Haushalts-, Kassen- und Rechnungswesen).<br />
In einem Fall wur<strong>de</strong> ein Sicherheitskonzept als „fertig“ gemel<strong>de</strong>t, obwohl unsere Beratungstätigkeit<br />
hierzu anschließend noch mehrere Monate in Anspruch nahm.<br />
Ein Ressort berichtete, dass nur Verfahren mit normalem Schutzbedarf im Einsatz<br />
Seite 83 von 195
seien. Die Übersicht enthielt jedoch z. B. auch ein System zur Personaldatenverwaltung.<br />
Auffällig war, dass mehrere Ressorts die Fortschreibung ihrer Konzepte just für<br />
2009/10 vorgesehen hatten.<br />
Wir behalten uns vor, stichprobenartig einzelne Ressorts bzw. Verfahren in <strong>de</strong>r Zukunft<br />
genauer zu prüfen.<br />
Die Erarbeitung, Umsetzung und regelmäßige Fortschreibung von IT-Sicherheitskonzepten<br />
ist nicht nur aufgrund rechtlicher Bestimmungen erfor<strong>de</strong>rlich. Sicherheitskonzepte<br />
bil<strong>de</strong>n auch eine unverzichtbare Arbeitsgrundlage für die verantwortlichen Systemadministratoren<br />
und ein wesentliches Element eines kontinuierlichen und systematischen<br />
IT-Sicherheitsmanagements. Wir for<strong>de</strong>rn die Lan<strong>de</strong>sministerien auf, noch bestehen<strong>de</strong><br />
Lücken in diesem Bereich unverzüglich zu schließen.<br />
Seite 84 von 195
4.5.3 IT-Sicherheitsmanagement in <strong>de</strong>r Lan<strong>de</strong>sverwaltung Zu Ziffer 4.5.3 „IT-Sicherheitsmanagement in <strong>de</strong>r Lan<strong>de</strong>sverwaltung“<br />
Im Herbst <strong>de</strong>s Jahres 2007 erließ die Lan<strong>de</strong>sregierung die IT-Sicherheitsleitlinie 46<br />
für die Lan<strong>de</strong>sverwaltung <strong>Bran<strong>de</strong>nburg</strong>. Diese beschreibt <strong>de</strong>n Aufbau und <strong>de</strong>n Betrieb<br />
eines zentral koordinierten, ressortübergreifen<strong>de</strong>n Managementsystems zur<br />
Informationssicherheit. Was hat sich seit<strong>de</strong>m Konkretes getan?<br />
Zur I<strong>de</strong>ntifizierung noch fehlen<strong>de</strong>r ressortspezifische IT- Sicherheitsrichtlinien<br />
wird En<strong>de</strong> 2010 im lan<strong>de</strong>sweiten IT- Sicherheitsmanagement-Team<br />
eine entsprechen<strong>de</strong> Abfrage gestartet. Die Abfrage ist<br />
Bestandteil <strong>de</strong>r Planung 2010 <strong>de</strong>s IT- Sicherheitsmanagement-Teams<br />
und wur<strong>de</strong> im Rahmen <strong>de</strong>r Jahresplanung <strong>de</strong>m zuständigen RIO-<br />
Wesentliche Festlegungen, die in <strong>de</strong>r IT-Sicherheitsleitlinie für die Lan<strong>de</strong>sverwaltung Ausschuss zur Bestätigung vorgelegt.<br />
getroffen wer<strong>de</strong>n, beziehen sich auf <strong>de</strong>n Aufbau einer Organisationsstruktur für das Informationssicherheitsmanagement,<br />
die Durchsetzung von Min<strong>de</strong>ststandards für IT-<br />
Sicherheit und die Etablierung eines lan<strong>de</strong>sweiten IT-Sicherheitsprozesses. In allen drei<br />
Gebieten sind für <strong>de</strong>n Berichtszeitraum erste Ergebnisse zu verzeichnen:<br />
Das lan<strong>de</strong>sweite IT-Sicherheitsmanagement-Team hat sich im Januar 2008 konstituiert.<br />
Vertreten sind die IT-Sicherheitsbeauftragten aller Ressorts. Unsere Behör<strong>de</strong><br />
wirkt beratend mit. Die Leitung <strong>de</strong>s Teams obliegt <strong>de</strong>m IT-Sicherheitsmanager <strong>de</strong>s<br />
Lan<strong>de</strong>s. Nach einer zwischenzeitlichen, mehrmonatigen Vakanz ist <strong>de</strong>ssen Stelle seit<br />
Mitte 2009 wie<strong>de</strong>r besetzt.<br />
Einzelne Ressorts haben ressortspezifische IT-Sicherheitsrichtlinien als Spezialisierungen<br />
und Untersetzungen <strong>de</strong>r zentralen lan<strong>de</strong>sweiten IT-Sicherheitsleitlinie verabschie<strong>de</strong>t.<br />
Zum Teil wur<strong>de</strong>n wegen <strong>de</strong>r Größe <strong>de</strong>s nachgeordneten Bereichs auch innerhalb<br />
<strong>de</strong>r Geschäftsbereiche von Ministerien hierarchische Strukturen für die Sicherheitsorganisation<br />
gebil<strong>de</strong>t.<br />
Beim <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister befin<strong>de</strong>t sich das CERT BB (Computer<br />
Emergency Response Team <strong>Bran<strong>de</strong>nburg</strong>) als Anlaufstelle für präventive und reaktive<br />
Maßnahmen <strong>de</strong>r IT-Sicherheit im Aufbau. Darüber hinaus wird vom Dienstleister zurzeit<br />
ein lan<strong>de</strong>sweites Sicherheitsinformationssystem zur effektiven Unterstützung <strong>de</strong>s<br />
46 Leitlinie zur Gewährleistung <strong>de</strong>r IT-Sicherheit in <strong>de</strong>r Lan<strong>de</strong>sverwaltung <strong>Bran<strong>de</strong>nburg</strong> vom 2. Oktober 2007, zuletzt geän<strong>de</strong>rt durch Run<strong>de</strong>rlass<br />
<strong>de</strong>r Lan<strong>de</strong>sregierung vom 22. September 2009<br />
Seite 85 von 195
47 vgl. A 4.5.2<br />
Seite 86 von 195<br />
IT-Sicherheitsmanagementprozesses eingerichtet und getestet.<br />
Der Stand bei <strong>de</strong>r Durchsetzung von Min<strong>de</strong>ststandards im Bereich <strong>de</strong>r IT-Sicherheit<br />
ist in einzelnen Ressorts sehr unterschiedlich. 47 Wir erwarten, dass in <strong>de</strong>n betreffen<strong>de</strong>n<br />
Bereichen noch fehlen<strong>de</strong> ressortspezifische IT-Sicherheitsrichtlinien erarbeitet<br />
und die Empfehlungen <strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in <strong>de</strong>r Informationstechnik zur<br />
Gewährleistung <strong>de</strong>s IT-Grundschutzes umfassend und zügig umgesetzt wer<strong>de</strong>n (Sicherheitskonzepte,<br />
Realisierung von Sicherheitsmaßnahmen).<br />
Im Rahmen <strong>de</strong>r Beratungen <strong>de</strong>s IT-Sicherheitsmanagement-Teams stellten verschie<strong>de</strong>ne<br />
lan<strong>de</strong>sweite IT-Projekte die jeweiligen IT-Sicherheitskonzepte vor. Weiterhin<br />
wur<strong>de</strong>n Maßnahmepläne zur Reaktion auf Stör- o<strong>de</strong>r Notfälle in IT-Systemen <strong>de</strong>r Lan<strong>de</strong>sverwaltung<br />
diskutiert und abgestimmt.<br />
Der Aufbau und Betrieb <strong>de</strong>s lan<strong>de</strong>sweit koordinierten, ressortübergreifen<strong>de</strong>n Informationssicherheitsmanagementsystems<br />
muss in <strong>de</strong>n kommen<strong>de</strong>n Jahren zielgerichtet und<br />
auf <strong>de</strong>r Basis <strong>de</strong>r IT-Sicherheitsleitlinie <strong>de</strong>s Lan<strong>de</strong>s fortgeführt wer<strong>de</strong>n. Dabei sind auch<br />
Aktivitäten zur Prüfung <strong>de</strong>r Wirksamkeit und <strong>de</strong>r Qualität <strong>de</strong>r Umsetzung von IT-<br />
Sicherheitskonzepten bzw. Sicherheitsmaßnahmen durchzuführen (Sicherheitsaudits,<br />
Penetrationstests). Darüber hinaus müssen aus <strong>de</strong>n in <strong>de</strong>r Leitlinie vorgesehenen jährlichen<br />
Berichten zum Stand <strong>de</strong>r IT-Sicherheit in <strong>de</strong>r Lan<strong>de</strong>sverwaltung Arbeitsschwerpunkte<br />
und strategische Entwicklungslinien abgeleitet wer<strong>de</strong>n.<br />
Die Etablierung, Aufrechterhaltung und Verbesserung eines Informationssicherheitsmanagementprozesses<br />
ist eine dauerhafte Aufgabe für je<strong>de</strong> Verwaltung. Die hierfür erfor<strong>de</strong>rlichen<br />
personellen, materiellen und zeitlichen Ressourcen sind von <strong>de</strong>r jeweiligen Leitung<br />
zur Verfügung zu stellen.
4.5.4 Neuer <strong>Bran<strong>de</strong>nburg</strong>ischer IT-Dienstleister<br />
Zu Beginn <strong>de</strong>s Jahres 2009 wur<strong>de</strong> <strong>de</strong>r <strong>Bran<strong>de</strong>nburg</strong>ische IT-Dienstleister (ZIT-BB)<br />
als zentraler IT-Dienstleister für die Lan<strong>de</strong>sverwaltung <strong>Bran<strong>de</strong>nburg</strong> gegrün<strong>de</strong>t. Eine<br />
seiner wesentlichen Aufgaben ist die Konsolidierung <strong>de</strong>r IT-Infrastruktur <strong>de</strong>r<br />
bran<strong>de</strong>nburgischen Lan<strong>de</strong>sverwaltung.<br />
Im Juli 2008 hat die Lan<strong>de</strong>sregierung die Errichtung eines zentralen IT-Dienstleisters 48 für<br />
das Land <strong>Bran<strong>de</strong>nburg</strong> (<strong>Bran<strong>de</strong>nburg</strong>ischer IT-Dienstleister) zum 1. Januar 2009 beschlossen.<br />
49 Der ehemalige Lan<strong>de</strong>sbetrieb für Datenverarbeitung und IT-<br />
Serviceaufgaben (LDS) wur<strong>de</strong> in <strong>de</strong>n neuen <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister überführt.<br />
Weiterhin ist vorgesehen, in einer ersten Phase <strong>de</strong>n überwiegen<strong>de</strong>n Teil <strong>de</strong>r <strong>de</strong>zentralen<br />
IT-Infrastukturen sowie <strong>de</strong>s dazugehörigen Personals aus <strong>de</strong>n Ressorts und <strong>de</strong>ren<br />
nachgeordneten Bereichen in <strong>de</strong>n ZIT-BB überzuleiten. Diese Phase soll im Jahr 2010<br />
abgeschlossen wer<strong>de</strong>n. Daran anschließend erfolgt die Konsolidierung <strong>de</strong>r Infrastruktur<br />
durch Migration <strong>de</strong>r vom ZIT-BB übernommenen <strong>de</strong>zentralen IT-Infrastukturen auf einheitliche<br />
Plattformen. Die Lan<strong>de</strong>sregierung erhofft sich dadurch Synergieeffekte.<br />
Zu Ziffer 4.5.4 „Neuer <strong>Bran<strong>de</strong>nburg</strong>ischer IT- Dienstleister“<br />
Die wesentlichen For<strong>de</strong>rungen <strong>de</strong>s Datenschutzes, die bei <strong>de</strong>r Errichtung<br />
<strong>de</strong>s zentralen IT- Dienstleisters zu berücksichtigen sind, fin<strong>de</strong>n<br />
ihre Berücksichtigung über die mit je<strong>de</strong>m Ressort abzuschließen<strong>de</strong><br />
Ressortvereinbarung (als eine Extra-Anlage Datenschutz). Diese Anlage<br />
wur<strong>de</strong> im Vorfeld mit Vertretern <strong>de</strong>r LDA abgestimmt.<br />
Die Aufgaben <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleisters wer<strong>de</strong>n in § 2 <strong>de</strong>r Anlage zum<br />
Errichtungserlass 50 wie folgt aufgeführt:<br />
1. Operative Planung, Bereitstellung und Betrieb <strong>de</strong>r technischen Infrastruktur (z. B.<br />
Lan<strong>de</strong>sverwaltungsnetz, Daten- und Telekommunikations-Verbund <strong>de</strong>s <strong>Landtag</strong>es,<br />
<strong>de</strong>r Ministerien, <strong>de</strong>r Staatskanzlei und <strong>de</strong>s Lan<strong>de</strong>srechnungshofes, Server, Arbeitsplatzcomputer,<br />
Endgeräte) und <strong>de</strong>r ressortübergreifen<strong>de</strong>n Fach- und Querschnittsverfahren<br />
(z. B. Bürokommunikation, E-Mail, Internet- und Intranetdienste, Telekommunikationsdienste),<br />
insbeson<strong>de</strong>re zur Mo<strong>de</strong>rnisierung <strong>de</strong>r Verwaltung (z. B. E-<br />
Government), in <strong>de</strong>r Regel einschließlich <strong>de</strong>s technischen Betriebes <strong>de</strong>r ressortspezi-<br />
48<br />
49<br />
50<br />
siehe http://www.zit-bb.bran<strong>de</strong>nburg.<strong>de</strong><br />
Beschluss Nr. 796/08 <strong>de</strong>r Lan<strong>de</strong>sregierung vom 15. Juli 2008<br />
Erlass <strong>de</strong>s Ministeriums <strong>de</strong>s Innern zur Errichtung <strong>de</strong>s Lan<strong>de</strong>sbetriebes „<strong>Bran<strong>de</strong>nburg</strong>ischer IT-Dienstleister" und zur Auflösung <strong>de</strong>s Lan<strong>de</strong>sbetriebes<br />
für Datenverarbeitung und IT-Serviceaufgaben (LDS) vom 15. Dezember 2008<br />
Seite 87 von 195
fischen Fachverfahren, sowie Beratung hierzu unter Beachtung <strong>de</strong>r Sicherheitsanfor<strong>de</strong>rungen,<br />
2. IT-Sicherheitsmanagement für IT-Infrastruktur <strong>de</strong>r Lan<strong>de</strong>sverwaltung; Betrieb eines<br />
Computer-Emergency-Response-Teams (CERT) zur Bün<strong>de</strong>lung operativer Sicherheitsaufgaben,<br />
3. Beobachtung und Erprobung von fachlichen, technischen und organisatorischen<br />
Entwicklungen im Rahmen <strong>de</strong>r allgemeinen Aufgabenstellung,<br />
4. IT-Projektmanagement,<br />
5. Operative Steuerung <strong>de</strong>s IT-Sicherheitsmanagements sowie Beratung und Serviceleistungen<br />
im Zusammenhang mit Datenschutz und IT-Sicherheit,<br />
6. Beratung und Unterstützung <strong>de</strong>s Ausschusses <strong>de</strong>r Ressort Information Officers (RIO-<br />
Ausschuss) bei Fragen <strong>de</strong>s IT-Einsatzes,<br />
7. Verfahrensentwicklung, -pflege und -betreuung für Querschnittsverfahren und ressortübergreifen<strong>de</strong><br />
Fachverfahren, soweit diese nicht gemäß län<strong>de</strong>rübergreifen<strong>de</strong>n<br />
Vereinbarungen in Verbün<strong>de</strong>n entwickelt, gepflegt o<strong>de</strong>r betreut wer<strong>de</strong>n,<br />
8. Ausbildungsbetrieb für IT-Berufe,<br />
9. IT-Fortbildung entsprechend IT-Fortbildungsprogramm.<br />
Das Ministerium <strong>de</strong>s Innern hat unsere Behör<strong>de</strong> im Juni 2008 über die Errichtung eines<br />
zentralen IT-Dienstleisters informiert. Durch die frühzeitige Einbeziehung erhielten wir die<br />
Möglichkeit, unsere For<strong>de</strong>rungen bezüglich <strong>de</strong>r Umsetzung von technischen und organisatorischen<br />
Maßnahmen zur Einhaltung <strong>de</strong>s Datenschutzes in <strong>de</strong>n Prozess einzubringen.<br />
Nachfolgend wer<strong>de</strong>n einige wesentliche For<strong>de</strong>rungen, die bei <strong>de</strong>r Errichtung <strong>de</strong>s zentralen<br />
IT-Dienstleisters zu berücksichtigen sind, zusammengefasst:<br />
Seite 88 von 195
Bei <strong>de</strong>r Übertragung <strong>de</strong>r Aufgaben von <strong>de</strong>n Ressorts und ihrem jeweils nachgeordneten<br />
Bereich auf <strong>de</strong>n ZIT-BB han<strong>de</strong>lt es sich um eine Datenverarbeitung im Auftrag<br />
gem. § 11 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz (BbgDSG), bei <strong>de</strong>r die Ressorts als<br />
Daten verarbeiten<strong>de</strong> Stellen <strong>de</strong>n Auftragnehmer ZIT-BB mit <strong>de</strong>r Verarbeitung ihrer Daten<br />
beauftragen und insoweit weisungsbefugt sind. Dazu bedarf es gem. § 11<br />
BbgDSG eines Vertrages. Der Vertrag muss u. a. das Weisungsrecht <strong>de</strong>r Ressorts<br />
klar ausgestalten und eine Kündigungsmöglichkeit <strong>de</strong>r Vertragspartner für <strong>de</strong>n Fall<br />
vorsehen, dass die vertraglichen Pflichten nicht eingehalten wer<strong>de</strong>n. Weiterhin ist im<br />
Vertrag festzulegen, dass die jeweilige Daten verarbeiten<strong>de</strong> Stelle eine Risikoanalyse<br />
gem. § 7 BbgDSG hinsichtlich <strong>de</strong>r Verarbeitung personenbezogener Daten vornimmt,<br />
da nur sie beurteilen kann, ob davon spezifische Risiken für die Rechte und Freiheiten<br />
<strong>de</strong>r Betroffenen ausgehen. Der ZIT-BB sollte das Sicherheitskonzept anhand <strong>de</strong>r örtlichen<br />
und personellen Gegebenheiten sowie <strong>de</strong>s Ergebnisses <strong>de</strong>r Risikoanalyse entwickeln.<br />
Damit <strong>de</strong>r Auftraggeber seiner Verantwortung als Daten verarbeiten<strong>de</strong> Stelle<br />
auch im Zusammenhang mit <strong>de</strong>n technisch-organisatorischen Maßnahmen beim Auftragnehmer<br />
gerecht wer<strong>de</strong>n kann, muss er das Sicherheitskonzept genehmigen. Es<br />
sollte daher ebenso wie die Risikoanalyse Bestandteil <strong>de</strong>s Vertrages wer<strong>de</strong>n.<br />
Die Daten verarbeiten<strong>de</strong>n Stellen als Auftraggeber müssen entsprechend qualifizierte<br />
Bedienstete benennen o<strong>de</strong>r IT-Kopfstellen bil<strong>de</strong>n, die die weiter bestehen<strong>de</strong> datenschutzrechtliche<br />
Verantwortung <strong>de</strong>r Daten verarbeiten<strong>de</strong>n Stelle gegenüber <strong>de</strong>m ZIT-<br />
BB wahrnehmen und gegebenenfalls entsprechen<strong>de</strong> Weisungen an <strong>de</strong>ssen Bedienstete<br />
erteilen können. Die Auftraggeber müssen personell und organisatorisch in <strong>de</strong>r<br />
Lage sein, die Verarbeitung <strong>de</strong>r Daten in ihrem Auftrag beim ZIT-BB zu kontrollieren.<br />
Die Zentralisierung von IT-Strukturen, insbeson<strong>de</strong>re die von Servern, zieht zwangsläufig<br />
eine Verän<strong>de</strong>rung <strong>de</strong>r Datenflüsse nach sich. Die Realisierung von technischen<br />
und organisatorischen Maßnahmen hängt im starken Maße davon ab, ob die Server<br />
im <strong>de</strong>zentralen Bereich <strong>de</strong>r Daten verarbeiten<strong>de</strong>n Stelle o<strong>de</strong>r bei einem IT-<br />
Dienstleister in einem Rechenzentrum untergebracht sind. Befin<strong>de</strong>t sich beispielsweise<br />
<strong>de</strong>r E-Mail-Server im lokalen Netz (LAN) einer Behör<strong>de</strong> und versen<strong>de</strong>t ein Mitarbeiter<br />
personenbezogene Daten an einen Mitarbeiter <strong>de</strong>rselben Behör<strong>de</strong>, so wer<strong>de</strong>n die<br />
Daten vom Arbeitsplatzcomputer (APC) zum E-Mail-Server und dann zum APC <strong>de</strong>s<br />
Seite 89 von 195
empfangen<strong>de</strong>n Mitarbeiters übertragen. Die Daten verlassen das lokale Netz <strong>de</strong>r Behör<strong>de</strong><br />
nicht. Ist <strong>de</strong>r E-Mail-Server bei einem zentralen IT-Dienstleister untergebracht,<br />
ergibt sich eine völlig an<strong>de</strong>re Konstellation. Die Daten wer<strong>de</strong>n über das LAN <strong>de</strong>r Behör<strong>de</strong><br />
und dann über das Lan<strong>de</strong>sverwaltungsnetz (LVN) zum E-Mail-Server und wie<strong>de</strong>r<br />
zurück zum Empfänger <strong>de</strong>r E-Mail übertragen. Bei <strong>de</strong>r <strong>de</strong>zentralen Lösung haben<br />
nur die lokalen Administratoren eine Zugriffsmöglichkeit auf die auf <strong>de</strong>m E-Mail-Server<br />
gespeicherten Dateien. An<strong>de</strong>rs verhält es sich bei zentraler Speicherung: Hier kann<br />
<strong>de</strong>r Zugriff <strong>de</strong>r Administratoren <strong>de</strong>s IT-Dienstleisters auf die Daten <strong>de</strong>s E-Mail-Servers<br />
sowie <strong>de</strong>r Zugriff von Dritten auf die im LVN übertragenen E-Mails nicht ausgeschlossen<br />
wer<strong>de</strong>n. Wenn personenbezogene Daten im LVN übertragen wer<strong>de</strong>n, so sind diese<br />
mit sicheren kryptographischen Verfahren zu verschlüsseln. Kryptographische Verfahren<br />
(z. B. symmetrische und asymmetrische Verschlüsselung, digitale Signatur)<br />
sind beson<strong>de</strong>rs geeignet, um Verletzungen <strong>de</strong>s Datenschutzes beim Transport<br />
schutzwürdiger, elektronisch gespeicherter Daten zu verhin<strong>de</strong>rn. Mit ihrer Hilfe lassen<br />
sich Manipulationen und Übertragungsfehler nachweisen und die unberechtigte<br />
Kenntnisnahme verhin<strong>de</strong>rn. Derartige Verfahren sind heute Stand <strong>de</strong>r Technik und<br />
können mit vertretbarem Aufwand eingesetzt wer<strong>de</strong>n.<br />
Bei <strong>de</strong>r Zentralisierung von IT-Strukturen ist § 7 Abs. 1 BbgDSG zu beachten. Danach<br />
soll die Datenverarbeitung so organisiert sein, dass bei <strong>de</strong>r Verarbeitung von personenbezogenen<br />
Daten die Trennung <strong>de</strong>r Daten nach <strong>de</strong>n jeweils verfolgten Zwecken<br />
und nach unterschiedlichen Betroffenen möglich ist. Das gilt insbeson<strong>de</strong>re für Datenbankanwendungen.<br />
Wer<strong>de</strong>n beispielsweise sensitive personenbezogene Daten (z. B.<br />
Personaldaten, Gesundheitsdaten) bei einem IT-Dienstleister verarbeitet, so müssen<br />
die Daten in verschie<strong>de</strong>nen Datenbanken abgelegt wer<strong>de</strong>n. Eine Verschlüsselung <strong>de</strong>r<br />
in <strong>de</strong>r Datenbank gespeicherten sensitiven personenbezogenen Daten ist ebenfalls<br />
unabdingbar.<br />
Bei <strong>de</strong>r Errichtung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleisters müssen die Belange <strong>de</strong>s<br />
Datenschutzes berücksichtigt wer<strong>de</strong>n. Die Zentralisierung von IT-Strukturen erfor<strong>de</strong>rt die<br />
zusätzliche Realisierung von technisch-organisatorischen Maßnahmen zum Schutz <strong>de</strong>r<br />
verarbeiteten personenbezogenen Daten. Je<strong>de</strong> Daten verarbeiten<strong>de</strong> Stelle muss ihrer<br />
Seite 90 von 195
52 vgl. A 4.6.3<br />
Seite 91 von 195<br />
Kontrollpflicht gegenüber <strong>de</strong>m Dienstleister nachkommen.<br />
4.5.5 Die elektronische Akte in <strong>de</strong>r Lan<strong>de</strong>sverwaltung – EL.DOK BB nimmt<br />
Fahrt auf<br />
Entsprechend <strong>de</strong>r IT-Strategie <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> wur<strong>de</strong> im Frühjahr 2008<br />
die Entscheidung zur Einführung eines einheitlichen Dokumentenmanagementund<br />
Vorgangsbearbeitungssystems (DMS/VBS) in <strong>de</strong>r Lan<strong>de</strong>sverwaltung getroffen.<br />
Über die wesentlichen Ziele, die mit <strong>de</strong>r Einführung eines einheitlichen DMS/VBS in <strong>de</strong>r<br />
gesamten Lan<strong>de</strong>sverwaltung verfolgt wer<strong>de</strong>n, hatten wir bereits in unserem letzten Tätigkeitsbericht<br />
51 informiert. Dort berichteten wir auch darüber, dass in <strong>de</strong>r Ausschreibung<br />
wesentliche Anfor<strong>de</strong>rungen an das zukünftige System aus <strong>de</strong>r Sicht <strong>de</strong>s Datenschutzes<br />
und <strong>de</strong>r IT-Sicherheit festgeschrieben wor<strong>de</strong>n waren. Die Umsetzung dieser Anfor<strong>de</strong>rungen<br />
konnten wir im Rahmen <strong>de</strong>s aktuellen Projekts EL.DOK BB zur Einführung <strong>de</strong>s<br />
DMS/VBS begleiten.<br />
Zu Ziffer 4.5.5 „Die elektronische Akte in <strong>de</strong>r Lan<strong>de</strong>sverwaltung –<br />
EL.DOK BB nimmt Fahrt auf“<br />
Die LDA wur<strong>de</strong> durch das Ministerium <strong>de</strong>s Innern frühzeitig in das<br />
Projekt EL.DOK BB eingebun<strong>de</strong>n. Ihre Hinweise wer<strong>de</strong>n berücksichtigt.<br />
Mit <strong>de</strong>r lan<strong>de</strong>sweiten Einführung von EL.DOK BB wird gegenüber<br />
<strong>de</strong>m gegenwärtigen Zustand ein erhöhtes Maß an Datenschutz bei <strong>de</strong>r<br />
elektronischen Aktenhaltung und Vorgangsbearbeitung erreicht wer<strong>de</strong>n.<br />
Im Fokus stand zunächst die Ableitung einer geeigneten Systemarchitektur. Vereinbart<br />
wur<strong>de</strong>, dass das einheitliche DMS/VBS für die Lan<strong>de</strong>sverwaltung zentral beim <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
IT-Dienstleister betrieben wird. Zur Umsetzung <strong>de</strong>s Grundsatzes <strong>de</strong>r Trennung<br />
<strong>de</strong>r Datenverarbeitung nach <strong>de</strong>n jeweils verfolgten Zwecken und <strong>de</strong>n Gruppen von<br />
Betroffenen wer<strong>de</strong>n für je<strong>de</strong>s Ressort eigene Applikationsserver (hier als virtuelle Maschinen)<br />
sowie eine eigene Datenhaltung in einer Datenbank realisiert. Diese Systemtrennung<br />
sichert auch das Prinzip <strong>de</strong>r Ressorthoheit und erlaubt eine Anpassung und<br />
Weiterentwicklung <strong>de</strong>s jeweiligen ressortspezifischen DMS/VBS an die konkreten lokalen<br />
Anfor<strong>de</strong>rungen und Verwaltungsprozesse. Die einheitliche funktionelle Basis wird im<br />
Rahmen eines Lan<strong>de</strong>sreferenzmo<strong>de</strong>lls festgelegt. Dieses <strong>de</strong>ckt die grundlegen<strong>de</strong>n Abläufe<br />
in <strong>de</strong>r Lan<strong>de</strong>sverwaltung ab, wie sie in <strong>de</strong>r gemeinsamen Geschäftsordnung festge-<br />
51 vgl. Tätigkeitsbericht 2006/2007, A 5.3.2
legt sind.<br />
Spezielle DMS/VBS-Systeme wer<strong>de</strong>n für <strong>de</strong>n <strong>Landtag</strong> (ELVIS – Elektronisches <strong>Landtag</strong>svorgangsbearbeitungs-<br />
und -informationssystem) und das <strong>Bran<strong>de</strong>nburg</strong>ische Lan<strong>de</strong>shauptarchiv<br />
vorgesehen. Der ressortübergreifen<strong>de</strong>n Kooperation dienen die Systeme<br />
EL.KIS (Elektronisches Kabinettinformationssystem) und EL.ZA (Werkzeug für projekto<strong>de</strong>r<br />
gremienbezogene Zusammenarbeit).<br />
Zur Sicherung <strong>de</strong>r Vertraulichkeit <strong>de</strong>r Geschäftsabläufe bzw. <strong>de</strong>r Dokumente und im Vorgriff<br />
auf die zu erwarten<strong>de</strong>n Anfor<strong>de</strong>rungen, das DMS/VBS auch für Daten mit hohem<br />
Schutzbedarf verwen<strong>de</strong>n zu können, wur<strong>de</strong>n bereits in einer frühen Projektphase folgen<strong>de</strong><br />
Festlegungen getroffen:<br />
Alle Daten wer<strong>de</strong>n nach Ressorts getrennt und verschlüsselt in einer Datenbank gespeichert.<br />
Spezifische Mechanismen <strong>de</strong>s Datenbankservers garantieren, dass Systemadministrations-<br />
und Wartungspersonal keinen Zugriff auf die gespeicherten Daten erhält.<br />
Jegliche Kommunikation zwischen <strong>de</strong>n zentralen Systemkomponenten beim <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
IT-Dienstleister und <strong>de</strong>n <strong>de</strong>zentralen Clients in <strong>de</strong>n Ressorts erfolgt<br />
verschlüsselt. Gleiches gilt auch für die Kommunikation zwischen Applikations- und<br />
Datenbankserver innerhalb <strong>de</strong>s Rechenzentrums.<br />
Entschei<strong>de</strong>t sich ein Ressort, Daten mit hohem Schutzbedarf im DMS/VBS zu verarbeiten,<br />
sind ggf. weitere IT-Sicherheitsmaßnahmen aus <strong>de</strong>n jeweils im Einzelfall zu betrachten<strong>de</strong>n<br />
Risiken abzuleiten. Diese könnten z. B. die Integrität und Authentizität von Dokumenten<br />
durch <strong>de</strong>n Einsatz qualifizierter elektronischer Signaturen sicherstellen, eine starke<br />
Mehrfaktorauthentisierung <strong>de</strong>r Nutzer verlangen o<strong>de</strong>r die Verwendung von Chipkarten<br />
zur Verwaltung privater Schlüssel vorsehen.<br />
Ein weiterer Schwerpunkt unserer Beratungstätigkeit im Projekt EL.DOK BB war die Erfüllung<br />
<strong>de</strong>r formalen Anfor<strong>de</strong>rungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes<br />
Seite 92 von 195
(BbgDSG) im Zuge <strong>de</strong>r Einführung <strong>de</strong>s DMS/VBS in einem Ressort. Hier ist zu beachten,<br />
dass aufgrund <strong>de</strong>r konsequenten Systemtrennung grundsätzlich je<strong>de</strong>s Ressort selbst<br />
Daten verarbeiten<strong>de</strong> Stelle ist und damit <strong>de</strong>n gesetzlichen Verpflichtungen nachkommen<br />
muss. Dies betrifft z. B. die Freigabe <strong>de</strong>s Verfahrens gem. § 7 Abs. 3 BbgDSG, die Erstellung<br />
einer Risikoanalyse und eines Sicherheitskonzepts gem. § 7 Abs. 3 BbgDSG, die<br />
Erarbeitung eines Verfahrensverzeichnisses gem. § 8 BbgDSG, ggf. die Vorabkontrolle<br />
durch <strong>de</strong>n behördlichen Datenschutzbeauftragten gem. § 10a BbgDSG o<strong>de</strong>r die Vertragsgestaltung<br />
bei <strong>de</strong>r Datenverarbeitung im Auftrag durch <strong>de</strong>n IT-Dienstleister gem.<br />
§ 11 BbgDSG.<br />
Wie in <strong>de</strong>m Projekt PERIS 52 bestehen auch in EL.DOK BB bei <strong>de</strong>n einzelnen ressortspezifischen<br />
DMS/VBS weitgehend einheitliche Anfor<strong>de</strong>rungen bzgl. Datenschutz und IT-<br />
Sicherheit (bei Beschränkung auf das Lan<strong>de</strong>sreferenzmo<strong>de</strong>ll und Nutzung <strong>de</strong>r vereinbarten<br />
technischen Infrastruktur). Dadurch war es ähnlich <strong>de</strong>r Vorgehensweise in PERIS<br />
möglich, aus Projektmitteln die Erarbeitung eines gemeinsamen Sicherheitskonzepts für<br />
die zentral beim <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister betriebenen Systemkomponenten zu<br />
finanzieren. Das Konzept liegt mittlerweile vor. Die dort abgeleiteten Sicherheitsmaßnahmen<br />
sind durch <strong>de</strong>n Dienstleister für je<strong>de</strong> DMS/VBS-Installation in gleicher Weise<br />
umzusetzen. Der Abschluss <strong>de</strong>r Arbeiten ist für Mitte <strong>de</strong>s Jahres 2010 avisiert.<br />
Das existieren<strong>de</strong> DMS/VBS-Sicherheitskonzept enthält auch Sicherheitsrichtlinien bzw.<br />
Mustersicherheitskonzepte für die Clientseite <strong>de</strong>r DMS/VBS. Sie sind vor Einführung<br />
eines ressortspezifischen DMS/VBS entsprechend <strong>de</strong>n dortigen Beson<strong>de</strong>rheiten (wie<br />
z. B. <strong>de</strong>r konkreten Infrastruktur o<strong>de</strong>r <strong>de</strong>m Schutzbedarf <strong>de</strong>r im DMS/VBS zu verarbeiten<strong>de</strong>n<br />
Dokumente) zu spezialisieren. Gleiches gilt für die lokale Ausprägung und evtl. erfor<strong>de</strong>rliche<br />
Anpassung <strong>de</strong>s Rechte- und Rollenkonzepts. Im Rahmen <strong>de</strong>s Freigabeverfahrens<br />
sowie ggf. <strong>de</strong>r Vorabkontrolle durch <strong>de</strong>n jeweiligen behördlichen Datenschutzbeauftragten<br />
ist auch die Umsetzung <strong>de</strong>r Sicherheitskonzepte zu prüfen.<br />
EL.DOK BB hat sich als äußerst komplexes und anspruchsvolles Projekt in <strong>de</strong>r Lan<strong>de</strong>sverwaltung<br />
erwiesen. Durch unsere frühe Einbindung konnten die hohen Anfor<strong>de</strong>rungen<br />
an Datenschutz und IT-Sicherheit bei <strong>de</strong>r Einführung <strong>de</strong>s lan<strong>de</strong>sweit einheitlichen<br />
DMS/VBS rechtzeitig berücksichtigt wer<strong>de</strong>n. Spezielle Anfor<strong>de</strong>rungen im DMS/VBS eines<br />
Seite 93 von 195
Ressorts o<strong>de</strong>r wesentliche Abweichungen von <strong>de</strong>n im Lan<strong>de</strong>sreferenzmo<strong>de</strong>ll festgelegten<br />
Funktionen müssen zu einer Fortschreibung <strong>de</strong>s zentral bereitgestellten Sicherheitskonzepts<br />
führen. Hierfür ist allein das jeweilige Ressort als Daten verarbeiten<strong>de</strong> Stelle verantwortlich.<br />
4.5.6 IP-Telefonie im LVN 3.0<br />
Zwar wird in zunehmen<strong>de</strong>m Maße über das Datennetz <strong>de</strong>r Lan<strong>de</strong>sverwaltung telefoniert,<br />
technischen und organisatorischen Maßnahmen für einen sicheren Betrieb<br />
<strong>de</strong>r paketvermittelten Kommunikation sind jedoch noch nicht vollständig umgesetzt.<br />
Die Richtlinien und Empfehlungen für das Telefonieren über das Datennetz – Voice over<br />
IP, IP-Telefonie –, insbeson<strong>de</strong>re die Anfor<strong>de</strong>rungen 53 an einen datenschutzgerechten<br />
und sicheren Betrieb liegen bereits seit Anfang <strong>de</strong>s Jahres 2007 vor. Sie wur<strong>de</strong>n in <strong>de</strong>r<br />
ressortübergreifen<strong>de</strong>n Arbeitsgruppe „IP-Telefonie im LVN“ abgestimmt.<br />
Zu Ziffer 4.5.6 „IP-Telefonie im LVN 3.0“<br />
Seit Januar 2010 sind alle IP-Telefone über ein Zertifikat am Call Manager<br />
authentifiziert und <strong>de</strong>r Sprachverkehr zwischen <strong>de</strong>n Endgeräten<br />
läuft verschlüsselt. Eine Ausnahme bil<strong>de</strong>n angeschlossene analoge<br />
Endgeräte, da diese keine Verschlüsselung unterstützen.<br />
Im Rahmen <strong>de</strong>s Aufbaus <strong>de</strong>s Sicherheitsinformationssystem wird <strong>de</strong>rzeit<br />
auch eine einheitliche Schutzbedarfskategorisierung für alle IT-<br />
Sicherheitskonzepte <strong>de</strong>r Lan<strong>de</strong>sverwaltung erarbeitet, um eine Vergleichbarkeit<br />
herstellen zu können. Das Ergebnis wird bei <strong>de</strong>r Erarbeitung<br />
<strong>de</strong>s Sicherheitskonzept „VOIP“ berücksichtigt wer<strong>de</strong>n.<br />
Trotz <strong>de</strong>r stetig steigen<strong>de</strong>n Teilnehmerzahlen, die sich in <strong>de</strong>r Anzahl <strong>de</strong>r vom <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
IT-Dienstleister betreuten IP-Telefonie-Endgeräte wi<strong>de</strong>rspiegelt (En<strong>de</strong> 2008<br />
ca. 1200 IP-Telefone), sind die informationssicherheitsbezogenen Vorgaben <strong>de</strong>r genannten<br />
Arbeitsgruppe nicht vollständig realisiert. So fehlt es noch immer an <strong>de</strong>r kryptografischen<br />
Absicherung <strong>de</strong>r Sprachdaten (En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung) und <strong>de</strong>r Signalisierungsströme<br />
zur Wahrung <strong>de</strong>s grundrechtsrelevanten Fernmel<strong>de</strong>geheimnisses.<br />
Das für die Freigabe <strong>de</strong>s automatisierten Verfahrens gem. § 7 Abs. 3 <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Datenschutzgesetz erfor<strong>de</strong>rliche Sicherheitskonzept liegt bislang nur in einer unvollständigen<br />
und nicht <strong>de</strong>m Schutzbedarf angemessenen Vorabversion vor, <strong>de</strong>ssen Überarbeitung<br />
dringend notwendig ist.<br />
53 vgl. Tätigkeitsbericht 2006/2007, A 2.5<br />
Seite 94 von 195
Der <strong>Bran<strong>de</strong>nburg</strong>ische IT-Dienstleister hat zugesagt, die vereinbarten Sicherheitsfunktionen<br />
nach Umstellung <strong>de</strong>s Call Manager Clusters auf die Softwareversion 7 umgehend zu<br />
aktivieren.<br />
Trotz mehrjähriger Nutzung ist bei <strong>de</strong>r IP-Telefonie im Lan<strong>de</strong>sverwaltungsnetz das Fernmel<strong>de</strong>geheimnis<br />
noch immer gefähr<strong>de</strong>t. Ein vollständiges Sicherheitskonzept steht aus.<br />
4.6 Personaldaten<br />
4.6.1 Novellierung <strong>de</strong>s Lan<strong>de</strong>sbeamtengesetzes<br />
Mit <strong>de</strong>r Fö<strong>de</strong>ralismusreform und <strong>de</strong>m Beamtenstatusgesetz 54 eröffnete sich für das<br />
Land <strong>Bran<strong>de</strong>nburg</strong> ein Handlungsspielraum, das öffentliche Dienstrecht neu zu regeln.<br />
Das Ministerium <strong>de</strong>s Innern beteiligte uns frühzeitig mit <strong>de</strong>r Übersendung eines<br />
Entwurfs <strong>de</strong>s novellierten Lan<strong>de</strong>sbeamtengesetzes.<br />
Der Entwurf sah unter an<strong>de</strong>rem vor, dass eine Kenntnisnahme von Personalaktendaten<br />
im Rahmen <strong>de</strong>r Datensicherung o<strong>de</strong>r Sicherung <strong>de</strong>s ordnungsgemäßen Betriebs eines<br />
Systems zur Datenverarbeitung zugelassen sein sollte, wenn diese nach <strong>de</strong>m Stand <strong>de</strong>r<br />
Technik nicht o<strong>de</strong>r nur mit unverhältnismäßigem Aufwand zu vermei<strong>de</strong>n wäre.<br />
Eine solche Aufweichung <strong>de</strong>r bislang gelten<strong>de</strong>n engen Zugriffsbeschränkungen war aus<br />
unserer Sicht nicht erfor<strong>de</strong>rlich. Im Rahmen <strong>de</strong>r Datensicherung (Backups) kann durch<br />
<strong>de</strong>n Einsatz geeigneter kryptographischer Verfahren nach <strong>de</strong>m heutigen Stand <strong>de</strong>r Technik<br />
zuverlässig die Kenntnisnahme von Personalaktendaten ausgeschlossen wer<strong>de</strong>n.<br />
Gleiches gilt für die Sicherung <strong>de</strong>s ordnungsgemäßen Betriebs hinsichtlich <strong>de</strong>r Aussperrung<br />
von Systemadministratoren. Fachadministratoren können dagegen im Ausnahmefall<br />
Zu Ziffer 4.6.1 „Novellierung <strong>de</strong>s Lan<strong>de</strong>sbeamtengesetzes“<br />
Im Rahmen <strong>de</strong>r Novellierung <strong>de</strong>s Lan<strong>de</strong>sbeamtengesetzes (LBG)<br />
durch das <strong>Bran<strong>de</strong>nburg</strong>ische Beamtenrechtsneuordnungsgesetz wur<strong>de</strong><br />
mit § 94 Abs. 3 LBG die Möglichkeit geschaffen, Personalakten<br />
künftig teilweise o<strong>de</strong>r vollständig in automatisierter Form zu führen.<br />
Die LDA kritisiert, dass die Lan<strong>de</strong>sregierung im Rahmen <strong>de</strong>r Abstimmung<br />
<strong>de</strong>s Gesetzentwurfes ihrem Vorschlag nicht gefolgt ist, diese<br />
Regelung durch eine Verordnungsermächtigung zu ergänzen.<br />
Die Lan<strong>de</strong>sregierung ist <strong>de</strong>m Vorschlag <strong>de</strong>r LDA nicht gefolgt, da sich<br />
die aus Sicht <strong>de</strong>r LDA durch Rechtsverordnung zu regeln<strong>de</strong>n Sachverhalte<br />
zum Teil bereits aus <strong>de</strong>m Lan<strong>de</strong>sbeamtengesetz selbst, aber<br />
auch aus <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetz und <strong>de</strong>m Verwaltungsverfahrensgesetz<br />
ergeben.<br />
Der Gesetzgeber hat die Regelung <strong>de</strong>s § 94 Abs. 3 LBG in <strong>de</strong>r von <strong>de</strong>r<br />
54 Gesetz zur Regelung <strong>de</strong>s Statusrechts <strong>de</strong>r Beamtinnen und Beamten in <strong>de</strong>n Län<strong>de</strong>rn vom 17. Juni 2008 (BGBl. I S. 1010)<br />
55 Beamtengesetz für das Land <strong>Bran<strong>de</strong>nburg</strong> (Lan<strong>de</strong>sbeamtengesetz – LBG) vom 3. April 2009 (GVBl. I S. 26), zuletzt geän<strong>de</strong>rt durch Artikel 3<br />
<strong>de</strong>s Gesetzes vom 7. Juli 2009 (GVBl. I S. 198, 199)<br />
Seite 95 von 195
z. B. zur Fehlersuche und -behebung o<strong>de</strong>r bei Wartungsarbeiten Personalaktendaten<br />
einsehen, falls dies erfor<strong>de</strong>rlich ist. Hierbei sind die Grundsätze von § 11a <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Datenschutzgesetz (BbgDSG) zu beachten. Alle <strong>de</strong>rartigen Kenntnisnahmen sind<br />
zu protokollieren.<br />
Lan<strong>de</strong>sregierung vorgelegten Fassung beschlossen.<br />
Mit <strong>de</strong>m Ministerium wur<strong>de</strong> ein Konsens gefun<strong>de</strong>n und die beabsichtigte Regelung aus<br />
<strong>de</strong>m Entwurf gestrichen. Die allgemeinen Grundsätze <strong>de</strong>r §§ 10 und 11a BbgDSG gelten<br />
unmittelbar.<br />
Im Hinblick auf die im Entwurf enthaltene automatisierte Personalaktenführung konnte<br />
jedoch keine Einigung erzielt wer<strong>de</strong>n. Die damit verbun<strong>de</strong>nen Folgeprobleme wur<strong>de</strong>n<br />
we<strong>de</strong>r im Gesetzentwurf noch in <strong>de</strong>ssen Begründung beachtet. Wir haben <strong>de</strong>shalb angeregt,<br />
im Gesetz eine Verordnungsermächtigung vorzusehen, um die Einzelheiten zur<br />
Einführung <strong>de</strong>r automatisierten Personalakte zu regeln. Das novellierte Lan<strong>de</strong>sbeamtengesetz<br />
55 trat ohne eine solche Ermächtigung in Kraft, da das Ministerium sie nicht für<br />
erfor<strong>de</strong>rlich hielt.<br />
Eine Verordnung halten wir nach wie vor für notwendig. Vor <strong>de</strong>m Hintergrund <strong>de</strong>r fehlen<strong>de</strong>n<br />
gesetzlichen Ermächtigung sollte das Ministerium folgen<strong>de</strong> Punkte in einer Verwaltungsvorschrift<br />
übergangsweise regeln:<br />
Umgang mit Hybridakten (d. h. solchen, die teilweise elektronisch und teilweise auf<br />
Papier geführt wer<strong>de</strong>n), Vermeidung von Doppelerfassung in Papier- und elektronischer<br />
Akte, Festlegung <strong>de</strong>r führen<strong>de</strong>n Akte,<br />
Einsatz digitaler Signaturen für Teile <strong>de</strong>r elektronischen Akte, Abbildung <strong>de</strong>s Schriftformerfor<strong>de</strong>rnisses,<br />
verschlüsselte Speicherung sensitiver Personalaktendaten,<br />
Protokollierung von Zugriffen auf die Akte,<br />
Seite 96 von 195
Möglichkeiten zur elektronischen Akteneinsicht,<br />
Regelungen im Falle <strong>de</strong>r Anhörung <strong>de</strong>s Beamten,<br />
Nachvollziehbarkeit und Zurechenbarkeit bei <strong>de</strong>r Entfernung von Unterlagen aus <strong>de</strong>r<br />
elektronischen Akte,<br />
Festlegungen zur Sicherung <strong>de</strong>r Integrität <strong>de</strong>r Personalakte während <strong>de</strong>r Aufbewahrungsfristen.<br />
Wegen <strong>de</strong>r zu erwarten<strong>de</strong>n Schwierigkeiten bei <strong>de</strong>r Einführung <strong>de</strong>r automatisierten Personalakte,<br />
<strong>de</strong>r Komplexität <strong>de</strong>s gesamten Themas und <strong>de</strong>r Neuheit <strong>de</strong>r technischen Umsetzung<br />
halten wir zumin<strong>de</strong>st eine Verwaltungsvorschrift hierzu für unverzichtbar.<br />
4.6.2 Der Personalrat darf nicht alles wissen!<br />
Hat ein Personalrat das Recht, Gleitzeitbögen <strong>de</strong>r Beschäftigten einzusehen?<br />
Muss die Dienststelle ihm mitteilen, welche Mitarbeiterinnen schwanger sind? Besteht<br />
ein Anspruch regelmäßig zu wissen, wer von <strong>de</strong>n Beschäftigten schwerbehin<strong>de</strong>rt<br />
ist? Diese o<strong>de</strong>r ähnliche Fragen erreichen uns immer wie<strong>de</strong>r.<br />
Um beispielsweise die Einhaltung einer Dienstvereinbarung zu kontrollieren, steht <strong>de</strong>m<br />
Personalrat kein generelles Recht auf Vorlage <strong>de</strong>r Zeiterfassungsbögen zu. Aus <strong>de</strong>n<br />
Vorschriften <strong>de</strong>s § 60 Personalvertretungsgesetz für das Land <strong>Bran<strong>de</strong>nburg</strong> (PersVG) i.<br />
V. m. §§ 29, 14 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz (BbgDSG) lässt sich kein solcher<br />
Anspruch ableiten.<br />
Sinn und Zweck <strong>de</strong>r Unterrichtungspflicht <strong>de</strong>r Dienststelle (§ 60 PersVG) und <strong>de</strong>s damit<br />
korrespondieren<strong>de</strong>n Rechts <strong>de</strong>s Personalrats auf umfassen<strong>de</strong> Information bestehen darin,<br />
diesem die zur Erfüllung seiner Aufgaben notwendigen Fakten und Daten zur Verfügung<br />
zu stellen, damit er seinem Vertretungsauftrag gerecht wer<strong>de</strong>n und eine sachge-<br />
Seite 97 von 195
echte Entscheidung treffen kann. Daraus folgt, dass <strong>de</strong>r Umfang <strong>de</strong>r Informationspflicht<br />
<strong>de</strong>r Dienststelle nur so weit reicht wie die gesetzlichen Zuständigkeiten <strong>de</strong>r Personalvertretung.<br />
Die Kontrolle <strong>de</strong>r Einhaltung einer Dienstvereinbarung fällt nicht unter diese Zuständigkeiten.<br />
Eine darüber hinausgehen<strong>de</strong> Auskunftspflicht <strong>de</strong>r Dienststelle gegenüber<br />
<strong>de</strong>m Personalrat besteht nicht.<br />
Auch § 29 Abs. 1 i. V m. § 14 Abs. 5 BbgDSG erlaubt die Übermittlung <strong>de</strong>r Beschäftigtendaten<br />
an <strong>de</strong>n Personalrat in <strong>de</strong>r Regel nur, wenn sie zur Durchführung beispielsweise<br />
personeller o<strong>de</strong>r organisatorischer Maßnahmen erfor<strong>de</strong>rlich und im Rahmen <strong>de</strong>r personalvertretungsrechtlichen<br />
Vorschriften zulässig ist.<br />
Erteilen die Beschäftigten ihre Einwilligung, steht <strong>de</strong>m Wunsch <strong>de</strong>s Personalrats jedoch<br />
nichts entgegen. Ebenso können <strong>de</strong>m Personalrat Übersichten zur Verfügung gestellt<br />
wer<strong>de</strong>n, aus <strong>de</strong>nen ein Personenbezug nicht erkennbar ist.<br />
Gleiches gilt für die Mitteilungen von Schwangerschaften an <strong>de</strong>n Personalrat. Dieser hat<br />
zwar über die Einhaltung mutterschutzrechtlicher Bestimmungen zu wachen, <strong>de</strong>nnoch<br />
gebietet es <strong>de</strong>r Schutz <strong>de</strong>r Persönlichkeitsrechte <strong>de</strong>r wer<strong>de</strong>n<strong>de</strong>n Mutter, dass <strong>de</strong>r Personalrat<br />
von <strong>de</strong>r Dienststelle nicht verlangen kann, über eine Schwangerschaft informiert zu<br />
wer<strong>de</strong>n, wenn die Betroffene ihre Einwilligung nicht erteilt hat.<br />
Auch die regelmäßige Übersendung von Listen mit personenbezogenen Daten Schwerbeschädigter<br />
an <strong>de</strong>n Personalrat folgt diesen Regeln und ist ohne eine gesetzlich gefor<strong>de</strong>rte<br />
Zweckbestimmung rechtswidrig. Hinzu kommt, dass es sich bei <strong>de</strong>n Angaben in<br />
dieser Liste um Personalaktendaten han<strong>de</strong>lt. Der Personalrat darf nur mit Zustimmung<br />
<strong>de</strong>s Beschäftigten die Personalakte einsehen.<br />
Personenbezogene Daten von Beschäftigten dürfen nur im Umfang <strong>de</strong>r gesetzlich geregelten<br />
Beteiligungsrechte an <strong>de</strong>n Personalrat übermittelt wer<strong>de</strong>n.<br />
Seite 98 von 195
56 vgl. Tätigkeitsbericht 2006/2007, A 5.4.5<br />
Seite 99 von 195<br />
4.6.3 Personalinformationssystem PERIS Zu Ziffer 4.6.3 „Personalinformationssystem PERIS“<br />
In unserem letzten Tätigkeitsbericht 56 informierten wir über ein Pilotprojekt zur Einführung<br />
eines neuen DV-Verfahrens für die Integrierte Personal- und Stellenverwaltung<br />
(iPSv) in ausgewählten Bereichen <strong>de</strong>r Lan<strong>de</strong>sverwaltung, das auch wegen<br />
Mängeln im Bereich <strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-Sicherheit eingestellt wur<strong>de</strong>. Im<br />
Frühjahr 2008 lud uns das Ministerium <strong>de</strong>s Innern dann ein, in einer Projektgruppe<br />
zur Weiterentwicklung <strong>de</strong>s existieren<strong>de</strong>n Personalinformationssystems PERIS mitzuwirken.<br />
Die von <strong>de</strong>r LDA gegebenen Hinweise wur<strong>de</strong>n und wer<strong>de</strong>n berücksichtigt.<br />
Auf diese Weise ist sichergestellt, dass das ohnehin bereits hohe<br />
Datenschutzniveau <strong>de</strong>s Personalinformationssystems PerIS mit <strong>de</strong>r<br />
Produktivsetzung <strong>de</strong>r Lan<strong>de</strong>sbasislösung weiter erhöht wird.<br />
Wesentliches Ziel <strong>de</strong>s aktuellen Projekts ist die Weiterentwicklung <strong>de</strong>r zurzeit eingesetzten<br />
Version von PERIS zu einer Lan<strong>de</strong>sbasislösung, die als einheitlicher Standard in <strong>de</strong>r<br />
gesamten Lan<strong>de</strong>sverwaltung genutzt wird. In diesem Zuge sollen auch Eigenentwicklungen<br />
in einzelnen PERIS-Installationen, die spezifische Anfor<strong>de</strong>rungen von Personalbereichen<br />
<strong>de</strong>r Lan<strong>de</strong>sverwaltung ab<strong>de</strong>cken und eine zentrale Pflege zunehmend erschweren,<br />
integriert wer<strong>de</strong>n. Darüber hinaus wird im Projekt angestrebt, über eine geeignete elektronische<br />
Schnittstelle für das Bezügeverfahren <strong>de</strong>s Lan<strong>de</strong>s vergütungsrelevante Daten<br />
bereitzustellen und so <strong>de</strong>n Aufwand für <strong>de</strong>n Austausch papierner Mitteilungen zwischen<br />
<strong>de</strong>n Personalstellen und <strong>de</strong>r Zentralen Bezügestelle zu vermin<strong>de</strong>rn.<br />
Bereits vor mehr als 10 Jahren waren wir an <strong>de</strong>n Arbeiten zur erstmaligen Einführung <strong>de</strong>s<br />
Personalinformationssystems PERIS in <strong>de</strong>r Lan<strong>de</strong>sverwaltung beteiligt. Damals gelang<br />
es, zentrale For<strong>de</strong>rungen <strong>de</strong>s Datenschutzes und <strong>de</strong>r IT-Sicherheit im System zu verankern.<br />
Insbeson<strong>de</strong>re sind hier das strenge Rollen- und Rechtekonzept, die Trennung <strong>de</strong>r<br />
Personaldatenverarbeitung nach Ressorts bzw. nachgeordneten Einrichtungen, die verschlüsselte<br />
Speicherung <strong>de</strong>r Personaldaten in <strong>de</strong>r Datenbank sowie die En<strong>de</strong>-zu-En<strong>de</strong>-<br />
Verschlüsselung bei <strong>de</strong>r Datenübertragung im Lan<strong>de</strong>sverwaltungsnetz zu nennen. Diese<br />
Eigenschaften <strong>de</strong>s Verfahrens bleiben selbstverständlich auch in <strong>de</strong>r weiterentwickelten<br />
Version bestehen.<br />
Im Rahmen unserer Beteiligung in <strong>de</strong>r aktuellen Projektgruppe konnten wir an verschie-
<strong>de</strong>nen Stellen Einfluss auf die datenschutzgerechte Gestaltung <strong>de</strong>r künftigen Lan<strong>de</strong>sbasislösung<br />
nehmen. Die Schwerpunkte <strong>de</strong>r Diskussionen waren im Einzelnen:<br />
Einhaltung <strong>de</strong>s Grundsatzes <strong>de</strong>r Datensparsamkeit, Verzicht auf nicht erfor<strong>de</strong>rliche<br />
Daten, explizite Begründung bei <strong>de</strong>r Verwendung von Freitextfel<strong>de</strong>rn in Bildschirmmasken,<br />
ggf. Ersetzung von Freitextfel<strong>de</strong>rn durch Kataloge auswählbarer Werte,<br />
Beachtung von rechtlichen Regelungen zu Aufbewahrungsfristen für Personaldaten,<br />
Überwachung von Löschfristen, automatisiertes und rückstandsfreies Löschen von<br />
Daten im System bei Ablauf <strong>de</strong>r Fristen,<br />
Fortschreibung <strong>de</strong>s IT-Sicherheitskonzepts, Berücksichtigung <strong>de</strong>s zentralen Betriebs<br />
beim <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister, Anpassung an die aktuelle Hard- und Softwareinfrastruktur,<br />
Erweiterung um Systemkomponenten zum Datenaustausch mit <strong>de</strong>m<br />
Bezügeverfahren.<br />
Beson<strong>de</strong>rer Beratungsbedarf bestand im Projekt bezüglich <strong>de</strong>s zuletzt genannten Punktes.<br />
Da PERIS als einheitliche Softwarelösung in <strong>de</strong>r gesamten Lan<strong>de</strong>sverwaltung eingesetzt<br />
wer<strong>de</strong>n soll und <strong>de</strong>r Betrieb zentral beim <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister erfolgt,<br />
bestehen bei allen Personalbereichen als Daten verarbeiten<strong>de</strong>n Stellen gleiche Anfor<strong>de</strong>rungen<br />
bzgl. <strong>de</strong>r IT-Sicherheit (solange nicht wesentlich von <strong>de</strong>r Lan<strong>de</strong>sbasislösung bzw.<br />
<strong>de</strong>r vereinbarten technischen Infrastruktur abgewichen wird). Die entsprechen<strong>de</strong>n Sicherheitsmaßnahmen<br />
lassen sich in einem gemeinsamen IT-Sicherheitskonzept zusammenfassen,<br />
das die zentral betriebenen Verfahrenskomponenten ab<strong>de</strong>ckt und für je<strong>de</strong><br />
Installation (d. h. für je<strong>de</strong> Daten verarbeiten<strong>de</strong> Stelle) durch <strong>de</strong>n Dienstleister umzusetzen<br />
ist. Ergänzt wer<strong>de</strong>n die zentralen Festlegungen durch Sicherheitsrichtlinien bzw. Mustersicherheitskonzepte<br />
für die PERIS-Clients in <strong>de</strong>n Personalbereichen. Diese Richtlinien<br />
bzw. Muster sind ggf. auf die jeweiligen lokalen Gegebenheiten anzupassen und vor Ort<br />
umzusetzen. Auch die Freigabe muss jeweils für die einzelnen Daten verarbeiten<strong>de</strong>n<br />
Stellen getrennt erfolgen. Die behördlichen Datenschutzbeauftragten haben zuvor das<br />
Verfahren im Rahmen <strong>de</strong>r Vorabkontrolle gem. § 10a <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
zu prüfen.<br />
Seite 100 von 195
Das IT-Sicherheitskonzept für die zentralen Komponenten <strong>de</strong>s PERIS-Verfahrens wur<strong>de</strong><br />
im Auftrag <strong>de</strong>r Projektleitung von einem externen Dienstleister fortgeschrieben. Es enthielt<br />
zunächst keine Angaben zu Prioritätensetzungen, Zeitplänen und Verantwortlichkeiten<br />
für die Umsetzung noch fehlen<strong>de</strong>r IT-Sicherheitsmaßnahmen. Vor <strong>de</strong>m Hintergrund<br />
<strong>de</strong>s hohen Schutzbedarfs <strong>de</strong>r in <strong>de</strong>m Verfahren verarbeiteten Personaldaten haben wir<br />
darauf gedrungen, diesbezüglich konkrete Festlegungen zu treffen. Außer<strong>de</strong>m war festzustellen,<br />
dass aus <strong>de</strong>n Lücken in <strong>de</strong>r Umsetzung <strong>de</strong>s Sicherheitskonzepts z. T. erhebliche<br />
Risiken für die Personaldaten <strong>de</strong>r Beschäftigten hätten entstehen können. Insofern<br />
lehnten wir eine Produktivsetzung zentraler Komponenten <strong>de</strong>s Verfahrens vor <strong>de</strong>r Beseitigung<br />
<strong>de</strong>r wesentlichen Schwachstellen ab.<br />
Entsprechend <strong>de</strong>n Empfehlungen im IT-Sicherheitskonzept wur<strong>de</strong>n in einer gemeinsamen<br />
Beratung mit <strong>de</strong>n Projektverantwortlichen aus <strong>de</strong>m Ministerium <strong>de</strong>s Innern und <strong>de</strong>m<br />
<strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister Prioritäten für die Umsetzung <strong>de</strong>r fehlen<strong>de</strong>n Sicherheitsmaßnahmen<br />
festgelegt, verantwortliche Personen bzw. Organisationseinheiten benannt<br />
und Termine fixiert. Die Abarbeitung dieses Realisierungsplans dauerte zum Zeitpunkt<br />
<strong>de</strong>r Erstellung dieses Berichts an. Gleiches gilt für die Formulierung von Sicherheitsrichtlinien<br />
bzw. Mustersicherheitskonzepten für die PERIS-Clients.<br />
Bei <strong>de</strong>r Entwicklung und Umsetzung einer einheitlichen Lan<strong>de</strong>sbasislösung für ein Personalinformationssystem<br />
muss <strong>de</strong>m hohen Schutzbedarf <strong>de</strong>r verarbeiteten Personaldaten<br />
<strong>de</strong>r Beschäftigten beson<strong>de</strong>re Rechnung getragen wer<strong>de</strong>n. Eine Produktivsetzung <strong>de</strong>s<br />
Verfahrens kann erst dann erfolgen, wenn alle erfor<strong>de</strong>rlichen IT-Sicherheitsmaßnahmen<br />
sowohl für zentral als auch für <strong>de</strong>zentral betriebene Verfahrenskomponenten realisiert<br />
sind. Eine entsprechen<strong>de</strong> Prüfung ist im Rahmen <strong>de</strong>r Vorabkontrolle durch die behördlichen<br />
Datenschutzbeauftragten <strong>de</strong>r Daten verarbeiten<strong>de</strong>n Stellen durchzuführen.<br />
Seite 101 von 195
4.6.4 Gesundheitsdaten Angehöriger für Sozialauswahl?<br />
Ein Personalrat fragte nach <strong>de</strong>r Zulässigkeit <strong>de</strong>r Erhebung personenbezogener Daten<br />
Dritter im Rahmen <strong>de</strong>r Sozialauswahl für <strong>de</strong>n Personalausgleich bei <strong>de</strong>n Finanzämtern.<br />
Insbeson<strong>de</strong>re war die Frage zu klären, ob <strong>de</strong>r Arbeitgeber <strong>de</strong>taillierte<br />
Nachweise for<strong>de</strong>rn kann, die belegen, welche Krankheit o<strong>de</strong>r Behin<strong>de</strong>rung die<br />
Pflege von Verwandten erfor<strong>de</strong>rlich macht.<br />
Der Hauptpersonalrat hat mit <strong>de</strong>m Ministerium <strong>de</strong>r Finanzen zur Durchführung <strong>de</strong>s Personalausgleichs<br />
in <strong>de</strong>n Finanzämtern eine Dienstvereinbarung geschlossen, die eine<br />
Datenverarbeitung im Sinne von § 29 Abs. 1 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
erlaubt. Die Vertragsparteien hatten sich darauf verständigt, dass – über die Pflichtangabe<br />
hinausgehend – auch „sonstige Grün<strong>de</strong>“, die ein Verbleiben am bisherigen Dienstort<br />
erfor<strong>de</strong>rn, angegeben wer<strong>de</strong>n können. Davon sind möglicherweise auch Daten über pflegebedürftige<br />
Angehörige betroffen.<br />
Das Ministerium <strong>de</strong>r Finanzen hatte die Mitarbeiterinnen und Mitarbeiter einerseits auf die<br />
Freiwilligkeit <strong>de</strong>r zusätzlichen Angaben hingewiesen, an<strong>de</strong>rerseits aber erklärt, dass entsprechen<strong>de</strong><br />
Nachweise nur auf Verlangen <strong>de</strong>s Arbeitgebers o<strong>de</strong>r Dienstherrn erhoben<br />
wür<strong>de</strong>n. Die Betroffenen wur<strong>de</strong>n im Unklaren gelassen, welche personenbezogenen<br />
Daten für eine Nachweiserbringung erfor<strong>de</strong>rlich und zu welchem Zeitpunkt sie zu erbringen<br />
sind.<br />
Das Verfahren barg im Ergebnis die Gefahr in sich, dass <strong>de</strong>rjenige Mitarbeiter begünstigt<br />
wird, <strong>de</strong>r die weitesten Einblicke in seine Privatsphäre gestattet, in<strong>de</strong>m er bereits von sich<br />
aus eine Vielzahl von Beweisunterlagen (die nicht zwangsläufig für die Entscheidung<br />
erfor<strong>de</strong>rlich sind) beifügt. Dem Recht auf informationelle Selbstbestimmung nicht nur <strong>de</strong>s<br />
Betroffenen son<strong>de</strong>rn auch <strong>de</strong>s Dritten wur<strong>de</strong> nicht ausreichend Rechnung getragen.<br />
Für ein datenschutzgerechtes Verfahren haben wir folgen<strong>de</strong> Lösungsvorschläge unterbreitet:<br />
Seite 102 von 195
Grundsätzlich ist bei allen Abfragen das Prinzip <strong>de</strong>r Datensparsamkeit zu beachten.<br />
Als häufiger Grund wird die Pflege von Angehörigen in Betracht kommen. Hierfür sollte<br />
von vornherein festgelegt wer<strong>de</strong>n, welche Unterlagen beizubringen sind, um die<br />
Pflegebedürftigkeit nachzuweisen. Die Erstabfrage sollte grundsätzlich ohne Belege<br />
erfolgen. Allerdings halten wir es an dieser Stelle schon für zulässig, die Pflegestufe<br />
<strong>de</strong>s Angehörigen zu erfragen.<br />
Nur in Einzelfällen wird es darüber hinaus erfor<strong>de</strong>rlich sein, Gesundheitsdaten Dritter<br />
zu erheben. Weil hier in <strong>de</strong>ren Rechte eingegriffen wird, halten wir die Erhebung nur<br />
dann für zulässig, wenn die Dritten hierfür ihre Einwilligung erteilt haben.<br />
Die Betroffenen müssen erkennen können, welche Gewichtung bestimmte Lebenssituationen<br />
bei <strong>de</strong>r Sozialauswahl haben. Typische Fälle (wie z. B. Pflege bezogen auf<br />
die verschie<strong>de</strong>nen Pflegestufen) sollten in das bestehen<strong>de</strong> Punkteschema zur Auswertung<br />
<strong>de</strong>r Angaben aufgenommen wer<strong>de</strong>n. Das Verfahren wird damit für <strong>de</strong>n Betroffenen<br />
transparenter.<br />
Ohne klare Regelungen über die „sonstigen Grün<strong>de</strong>“ besteht die Gefahr, dass die Betroffenen<br />
übermäßig viele Informationen zur Verfügung stellen, die nicht erfor<strong>de</strong>rlich sind. In<br />
einem solchen Fall sind die Unterlagen sofort an <strong>de</strong>n Betroffenen zurück zu sen<strong>de</strong>n. Eine<br />
Verarbeitung dieser Daten darf nicht erfolgen. Gibt ein Betroffener hingegen nur knapp<br />
an, dass er einen Angehörigen pflegt, müssen seitens <strong>de</strong>s Arbeitgebers o<strong>de</strong>r Dienstherrn<br />
die näheren Umstän<strong>de</strong> (z. B. Pflegestufe) nachgefragt wer<strong>de</strong>n, sodass ein Gleichmaß an<br />
Bewertung vorgenommen wer<strong>de</strong>n kann.<br />
Bei einer Sozialauswahl hat <strong>de</strong>r Arbeitgeber das Verfahren so zu gestalten, dass nicht in<br />
Rechte Dritter eingegriffen wird.<br />
4.6.5 Kontrolle von E-Mail und Internet am Arbeitsplatz<br />
Seite 103 von 195
Hat <strong>de</strong>r Arbeitgeber nur die dienstliche Nutzung von E-Mail und Internetdiensten<br />
am Arbeitsplatz erlaubt, hat er gleichzeitig ein Interesse daran zu kontrollieren, ob<br />
das Verbot <strong>de</strong>r privaten Nutzung befolgt wird. Einigen Verwaltungen mussten wir<br />
diesbezüglich Grenzen aufzeigen.<br />
Das Ausmaß und die Art <strong>de</strong>r Nutzung von E-Mail und Internet am Arbeitsplatz durch die<br />
Beschäftigten unterliegen <strong>de</strong>m Weisungsrecht <strong>de</strong>s Arbeitgebers o<strong>de</strong>r Dienstherrn. Auch<br />
bei einem Verbot <strong>de</strong>r privaten E-Mail-Nutzung dürfen erkennbar private Nachrichten vom<br />
Arbeitgeber nicht gelesen wer<strong>de</strong>n. Selbst dienstlicher E-Mail-Verkehr darf nicht systematisch<br />
überwacht wer<strong>de</strong>n.<br />
Um <strong>de</strong>m allgemeinen Persönlichkeitsrecht <strong>de</strong>s Beschäftigten Rechnung zu tragen, hat<br />
immer eine Abwägung zwischen diesem und <strong>de</strong>m Direktionsrecht <strong>de</strong>s Arbeitgebers zu<br />
erfolgen. Für Kontrollen sind immer Maßnahmen mit geringster Eingriffsintensität zu wählen.<br />
Bei einem konkreten Missbrauchsverdacht ist eine Protokollierung und Einsichtnahme<br />
von E-Mails durch <strong>de</strong>n Arbeitgeber erlaubt. Den Beschäftigten muss das Verfahren<br />
<strong>de</strong>r Kontrolle jedoch vorher bekannt und mit <strong>de</strong>m Personalrat sollte eine Dienstvereinbarung<br />
abgeschlossen sein. Soweit die Nutzung von E-Mail und Internetdiensten zu Zwecken<br />
<strong>de</strong>r Datenschutzkontrolle, <strong>de</strong>r Datensicherung o<strong>de</strong>r zur Sicherung <strong>de</strong>s ordnungsgemäßen<br />
Betriebes <strong>de</strong>r Verfahren protokolliert wird, dürfen diese Daten nur für diese<br />
Zwecke genutzt wer<strong>de</strong>n. Eine Auswertung <strong>de</strong>r Protokolle zur Verhaltens- und Leistungskontrolle<br />
ist unzulässig!<br />
Ist eine private Internetnutzung nicht erlaubt, muss auch hier hinsichtlich <strong>de</strong>r Überwachung<br />
<strong>de</strong>s Nutzerverhaltens <strong>de</strong>r Beschäftigten zwischen <strong>de</strong>m allgemeinen Persönlichkeitsrecht<br />
und <strong>de</strong>m Direktionsrecht abgewogen wer<strong>de</strong>n. Erlaubt sind lediglich stichprobenartige<br />
Kontrollen, ob das Surfen tatsächlich dienstlicher Natur ist. Hingegen ist eine<br />
automatisierte Vollkontrolle wegen <strong>de</strong>r Schwere <strong>de</strong>s Eingriffs in das Persönlichkeitsrecht<br />
<strong>de</strong>r Beschäftigten nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. In einer<br />
Dienstvereinbarung sollten technische und organisatorische Fragen <strong>de</strong>r Protokollierung<br />
ein<strong>de</strong>utig geregelt sein.<br />
Dürfen E-Mail und Internetdienste ausschließlich zu dienstlichen Zwecken genutzt wer-<br />
Seite 104 von 195
<strong>de</strong>n, sind Kontrollen nur stichprobenweise und bei konkretem Missbrauchsverdacht zulässig.<br />
Zu Fragen <strong>de</strong>r Protokollierung und Auswertung empfehlen wir <strong>de</strong>n Abschluss einer<br />
Dienstvereinbarung.<br />
4.6.6 Veröffentlichung von Mitarbeiterdaten im Internet<br />
Müssen Mitarbeiter <strong>de</strong>r öffentlichen Verwaltung die Bekanntgabe ihres Namens,<br />
<strong>de</strong>r Funktion sowie <strong>de</strong>r dienstlichen Erreichbarkeit im Internet hinnehmen? Hierzu<br />
hat das Oberverwaltungsgericht Rheinland-Pfalz eine Entscheidung 57 getroffen,<br />
die wir auch in unserer Arbeit berücksichtigen.<br />
Im Interesse einer transparenten, bürgernahen öffentlichen Verwaltung ist <strong>de</strong>r Dienstherr<br />
von Rechts wegen nicht gehin<strong>de</strong>rt, Namen, Funktion und dienstliche Erreichbarkeit je<strong>de</strong>nfalls<br />
solcher Mitarbeiter, die mit Außenkontakten betraut sind, auch ohne <strong>de</strong>ren Einverständnis<br />
im Internet bekannt zu geben. Etwas an<strong>de</strong>res gilt lediglich dann, wenn <strong>de</strong>r Bekanntgabe<br />
Sicherheitsbe<strong>de</strong>nken o<strong>de</strong>r Fürsorgepflichten entgegenstehen.<br />
Das Lan<strong>de</strong>sbeamtengesetz ermächtigt <strong>de</strong>n Dienstherrn zur Erhebung personenbezogener<br />
Daten, soweit dies zur Durchführung organisatorischer Maßnahmen erfor<strong>de</strong>rlich ist.<br />
Die Veröffentlichung <strong>de</strong>s Namens und <strong>de</strong>r dienstlichen Kontaktdaten können zur Durchführung<br />
einer organisatorischen Maßnahme – nämlich <strong>de</strong>r Außendarstellung einer Behör<strong>de</strong><br />
– erfor<strong>de</strong>rlich sein. Insoweit bezieht sich das Kriterium <strong>de</strong>r Erfor<strong>de</strong>rlichkeit nicht auf<br />
die organisatorische Maßnahme, son<strong>de</strong>rn nur auf die Übermittlung personenbezogener<br />
Daten zu <strong>de</strong>ren Durchführung. Die Entscheidung <strong>de</strong>s Dienstherrn für einen „personalisierten“<br />
Behör<strong>de</strong>nauftritt obliegt seinem Organisationsermessen und begegnet keinen rechtlichen<br />
Be<strong>de</strong>nken.<br />
Bei Veröffentlichung <strong>de</strong>r Daten nur solcher Mitarbeiter, die mit <strong>de</strong>r Nennung einverstan<strong>de</strong>n<br />
sind, lässt sich das Ziel einer „persönlichen“ Verwaltung nicht verwirklichen. Dieses<br />
57 Urteil <strong>de</strong>s Oberverwaltungsgerichts Rheinland-Pfalz vom 10. September 2007 (2 A 10413/07)<br />
Seite 105 von 195
ist Ausdruck eines mo<strong>de</strong>rnen staatlichen Selbstverständnisses und öffentlichen Dienstes,<br />
<strong>de</strong>nen sich ein Mitarbeiter aufgrund seiner Stellung als Teil seiner Beschäftigungsbehör<strong>de</strong><br />
nicht verschließen kann, es sei <strong>de</strong>nn, beachtliche Sicherheitsbe<strong>de</strong>nken stehen dagegen.<br />
Auch das <strong>Bran<strong>de</strong>nburg</strong>ische Datenschutzgesetz enthält eine Regelung, wonach die<br />
Übermittlung personenbezogener Daten von Beschäftigten an an<strong>de</strong>re als öffentliche Stellen<br />
zulässig ist, soweit dies aus dienstlichen Grün<strong>de</strong>n geboten ist. Hier gelten die gleichen<br />
Kriterien für eine Veröffentlichung personalisierter Organisationspläne.<br />
Die Bekanntgabe personenbezogener Organisationspläne unterliegt <strong>de</strong>m Organisationsrecht<br />
<strong>de</strong>s Dienstherrn und ist datenschutzrechtlich nicht zu beanstan<strong>de</strong>n.<br />
Seite 106 von 195
4.7 Kommunales<br />
4.7.1 Wie oft duschen Sie? – Datenerhebung eines Abwasserbetriebes<br />
Wir wur<strong>de</strong>n darauf aufmerksam, dass <strong>de</strong>r Abwasserbetrieb einer Gemein<strong>de</strong> eine<br />
Kun<strong>de</strong>nbefragung zum Trink- und Abwasserverbrauch bei <strong>de</strong>n Abgabepflichtigen<br />
durchgeführt hat. Unter Hinweis auf ihre Auskunftspflicht sollten die Betroffenen<br />
Fragen zur Personenanzahl und Wohnfläche beantworten, darüber hinaus aber<br />
auch Details ihres Verbrauchsverhaltens, wie z. B. die Häufigkeit <strong>de</strong>s Ba<strong>de</strong>ns und<br />
Duschens o<strong>de</strong>r die Nutzung <strong>de</strong>r Spül- o<strong>de</strong>r Waschmaschine darlegen.<br />
Hintergrund <strong>de</strong>r Erhebung war, dass <strong>de</strong>m Eigenbetrieb im Hinblick auf die in <strong>de</strong>n Haushalten<br />
(Verbrauchsstellen) gemel<strong>de</strong>ten Personen die gemessenen Verbrauchswerte nicht<br />
plausibel erschienen. Diese waren im vergangenen Abrechnungszeitraum ungewöhnlich<br />
niedrig gewesen, was sich aufgrund <strong>de</strong>r Berechnungsmaßstäbe auch auf die Abwassermengengebühr<br />
auswirkte. Die Gemein<strong>de</strong> wollte <strong>de</strong>m auf <strong>de</strong>n Grund gehen. Sie berief<br />
sich dabei auf die in <strong>de</strong>r gemeindlichen Abwasserbeseitigungssatzung aufgenommene<br />
und durchaus übliche Bestimmung, dass die Abgabepflichtigen je<strong>de</strong> Auskunft zu erteilen<br />
haben, die für die Festsetzung und Erhebung <strong>de</strong>r Abgaben erfor<strong>de</strong>rlich ist. Beson<strong>de</strong>res<br />
Gewicht wur<strong>de</strong> <strong>de</strong>r Kun<strong>de</strong>nbefragung noch dadurch verliehen, dass die Gemein<strong>de</strong> bei<br />
Nichtbeantwortung angekündigt hatte, ein Verwaltungsverfahren gegen die Betroffenen<br />
einzuleiten.<br />
Auf unsere Auffor<strong>de</strong>rung informierte uns die Gemein<strong>de</strong>, dass die Befragung auch aufgrund<br />
von Bürgerprotesten aufgegeben wor<strong>de</strong>n sei. Unsere datenschutzrechtliche Beurteilung<br />
ergab, dass nicht alle abgefragten Daten unzulässig erhoben wor<strong>de</strong>n waren. § 12<br />
<strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz legt <strong>de</strong>n Grundsatz fest, dass personenbezogene<br />
Daten erhoben wer<strong>de</strong>n dürfen, wenn ihre Kenntnis zur rechtmäßigen Erfüllung <strong>de</strong>r durch<br />
Gesetz <strong>de</strong>r erheben<strong>de</strong>n Stelle zugewiesenen Aufgabe und für <strong>de</strong>n jeweils damit verbun<strong>de</strong>nen<br />
Zweck erfor<strong>de</strong>rlich ist. So bestehen keine Be<strong>de</strong>nken, die Anzahl <strong>de</strong>r unter <strong>de</strong>r<br />
Verbrauchsstelle wohnhaften Personen festzustellen o<strong>de</strong>r abzufragen, ob Trinkwasser für<br />
<strong>de</strong>n Garten genutzt wird und geson<strong>de</strong>rte Gartenwasserzähler vorhan<strong>de</strong>n sind. Bei diesen<br />
Angaben ist ein direkter Bezug zu <strong>de</strong>r <strong>de</strong>m Abwasserbetrieb übertragenen Aufgabe, <strong>de</strong>n<br />
Seite 107 von 195
Verbrauch zu verifizieren und Abwassergebühren festzusetzen, erkennbar.<br />
Die Abfrage darüber hinausgehen<strong>de</strong>r Details zum persönlichen Verbrauchsverhalten <strong>de</strong>r<br />
Abgabepflichtigen verstößt jedoch gegen <strong>de</strong>n Erfor<strong>de</strong>rlichkeitsgrundsatz Der Gemein<strong>de</strong><br />
stan<strong>de</strong>n im konkreten Fall an<strong>de</strong>re Maßnahmen zur Verfügung, um <strong>de</strong>n Wasserverbrauch<br />
zu ermitteln. Bei konkreten Zweifeln an <strong>de</strong>r Richtigkeit von Messergebnissen durch Wasserzähler<br />
durfte die Gemein<strong>de</strong> o<strong>de</strong>r Beauftragte diese bei <strong>de</strong>n betreffen<strong>de</strong>n Haushalten<br />
an Ort und Stelle prüfen und ggf. eine Schätzung vornehmen. Für <strong>de</strong>n Fall, dass we<strong>de</strong>r<br />
Wasserzähler noch Abwassermesseinrichtungen vorhan<strong>de</strong>n sind, war die Gemein<strong>de</strong> laut<br />
Satzung berechtigt, einen Pauschalverbrauch pro Einwohner in Ansatz zu bringen. Die<br />
Berufung <strong>de</strong>r Gemein<strong>de</strong> auf die in <strong>de</strong>r Abwasserbeseitigungssatzung festgelegte Auskunftspflicht<br />
war hinsichtlich <strong>de</strong>r persönlichen Informationen zum Wasserverbrauch unzulässig.<br />
Wir haben die Gemein<strong>de</strong> auf ihr datenschutzwidriges Verhalten hingewiesen und die<br />
Löschung aller unzulässig erhobenen Daten verlangt. Da die Gemein<strong>de</strong> die Erhebung<br />
sofort abgebrochen und uns zugesichert hat, die eingegangenen Daten nicht verwen<strong>de</strong>t<br />
zu haben, konnte auf weitere Maßnahmen unsererseits verzichtet wer<strong>de</strong>n. Eine weitere<br />
Kun<strong>de</strong>nbefragung wur<strong>de</strong> nach Auskunft <strong>de</strong>r Gemein<strong>de</strong> nicht durchgeführt.<br />
Abgabepflichtige müssen auch dann keine Details ihres persönlichen Wasserverbrauchs<br />
gegenüber einem kommunalen Abwasserbetrieb offenlegen, wenn Zweifel an <strong>de</strong>r Richtigkeit<br />
von Angaben zum Wasserverbrauch bestehen.<br />
Seite 108 von 195
4.7.2 Mobiler Bürgerservice Zu Ziffer 4.7.2 „Mobiler Bürgerservice“<br />
Drei bran<strong>de</strong>nburgische Kommunen planten, sich gemeinsam an <strong>de</strong>m Mo<strong>de</strong>llversuch<br />
„Mobiler Bürgerservice“ zu beteiligen, <strong>de</strong>r vom Ministerium <strong>de</strong>s Inneren, <strong>de</strong>m<br />
Institut für E-Government und <strong>de</strong>m Städte und Gemein<strong>de</strong>bund ausgeschrieben<br />
und geför<strong>de</strong>rt wur<strong>de</strong>. Der Mobile Bürgerservice dient dazu, Leistungen <strong>de</strong>r Kommunalverwaltung<br />
außerhalb <strong>de</strong>r Verwaltungsgebäu<strong>de</strong> und herkömmlicher Bürozeiten<br />
anzubieten, um z. B. Berufstätigen Dienste servicefreundlich auch am Samstagvormittag<br />
bereitzustellen. Zu diesem Zweck wollten die Gemein<strong>de</strong>n einen Stand<br />
in <strong>de</strong>r La<strong>de</strong>npassage eines zentral gelegenen Einkaufszentrums einrichten.<br />
Das Projekt „Mobiler Bürgerservice“ ist ein kommunales Vorhaben,<br />
das vom Land finanziell geför<strong>de</strong>rt wur<strong>de</strong>. Das Ministerium <strong>de</strong>s Innern<br />
wird im Rahmen seiner Zusammenarbeit mit <strong>de</strong>n Kommunen darauf<br />
hinwirken, dass entsprechen<strong>de</strong> Sicherheitsbelange berücksichtigt wer<strong>de</strong>n.<br />
Das Leistungsspektrum, das die Verwaltungen mobil anbieten wollten, umfasste An- und<br />
Abmeldungen, Anträge auf Personaldokumente, Erlaubnisse nach <strong>de</strong>r Hun<strong>de</strong>halterverordnung,<br />
Wohnberechtigungsscheine, Kita-Plätze in <strong>de</strong>r jeweiligen Gemein<strong>de</strong>, Befreiung<br />
von <strong>de</strong>r GEZ-Gebühr, Wahlscheine sowie die Anmeldung von Feuerwerken, die Anzeige<br />
von Verlustgegenstän<strong>de</strong>n als auch Aushänge und allgemeine Informationen. Die Bearbeitung<br />
sollte mit einem Laptop als Terminal erfolgen, über <strong>de</strong>n sich die Mitarbeiter in das<br />
System <strong>de</strong>r jeweiligen Gemein<strong>de</strong> und die Fachverfahren einwählen können. Eine lokale<br />
Speicherung von Daten und Dokumenten war nicht gestattet. Außer<strong>de</strong>m war vorgesehen,<br />
Mobiltelefon, Drucker, Kopierer, Fingerabdruckscanner und EC-Karten-Lesegerät vor Ort<br />
zu haben. Die Vertraulichkeit und Integrität <strong>de</strong>r Daten sollte nach <strong>de</strong>n gleichen Vorgaben<br />
gewährleistet wer<strong>de</strong>n wie bei <strong>de</strong>r Nutzung in einem Amt. Am Einsatzort sollte <strong>de</strong>r Mobile<br />
Bürgerservice ständig von zwei Mitarbeitern betreut und durch Trenn- bzw. Sichtschutzwän<strong>de</strong><br />
abgeschirmt wer<strong>de</strong>n.<br />
Wegen erheblicher Sicherheitsbe<strong>de</strong>nken, die angesichts <strong>de</strong>s vorgesehenen Standorts mit<br />
Laufpublikum bestan<strong>de</strong>n, haben wir empfohlen, an<strong>de</strong>re Varianten in Betracht zu ziehen<br />
(wie etwa geschlossene Räumlichkeiten o<strong>de</strong>r einen Bus). Auch von technischer Seite gab<br />
es Verbesserungsbedarf hinsichtlich <strong>de</strong>r Verfahrensarchitektur, technischer Sicherheitsmaßnahmen<br />
(z. B. Verschlüsselung) und <strong>de</strong>r erfor<strong>de</strong>rlichen Dokumentation. Während<br />
unsere Vorgaben für die technischen Anfor<strong>de</strong>rungen an die Datensicherheit umsetzbar<br />
waren, wollten die Gemein<strong>de</strong>n an <strong>de</strong>m Standort unbedingt festhalten. Wir hatten die Möglichkeit,<br />
uns <strong>de</strong>n geplanten Standort anzuschauen und auf seine Eignung für einen da-<br />
Seite 109 von 195
tenschutzgerechten Bürgerservice zu überprüfen. Bei <strong>de</strong>r Ortsbesichtigung nahmen wir<br />
verschie<strong>de</strong>ne Standorte im Laufkorridor <strong>de</strong>r La<strong>de</strong>npassage und Räumlichkeiten in <strong>de</strong>n<br />
La<strong>de</strong>nlokalen <strong>de</strong>s Einkaufszentrums in Augenschein und diskutierten mit <strong>de</strong>n Beteiligten,<br />
wie diese abzusichern wären. Dabei bestätigte sich unser Eindruck, dass die Vertraulichkeit<br />
und Datensicherheit gefähr<strong>de</strong>t sind, weil sich in <strong>de</strong>r La<strong>de</strong>npassage gera<strong>de</strong> an Samstagen<br />
ständig Menschenströme bewegen sowie Son<strong>de</strong>raktionen und Verzehrgelegenheiten<br />
<strong>de</strong>n Publikumsverkehr sowie die Verweildauer in unmittelbarer Nähe <strong>de</strong>s Mobilen<br />
Bürgerservice erhöhen.<br />
Wir kamen zu <strong>de</strong>m Ergebnis, dass das Projekt an <strong>de</strong>m geplanten Standort nur unter erheblichen<br />
Be<strong>de</strong>nken in <strong>de</strong>r Form eines nach drei Seiten geschlossenen Arbeitsplatzes<br />
mit Sichtschutz und Abstandsfläche umsetzbar wäre. Damit könnte verhin<strong>de</strong>rt wer<strong>de</strong>n,<br />
dass Unbeteiligte unberechtigt das gesprochene Wort mithören, Einsicht nehmen o<strong>de</strong>r<br />
auf Dokumente zugreifen. Die Gemein<strong>de</strong>n machten <strong>de</strong>utlich, dass sie für unsere Be<strong>de</strong>nken<br />
nur begrenzt Verständnis haben. Gleichwohl erwägen sie, ersatzweise <strong>de</strong>n Mobilen<br />
Bürgerservice mit Hilfe eines speziellen Busses o<strong>de</strong>r in gemein<strong>de</strong>eigenen Räumen einzuführen.<br />
Um die sichere Verarbeitung von teilweise sensitiven personenbezogenen Daten auch<br />
durch Mobile Bürgerämter zu gewährleisten, müssen umfangreiche Sicherheitsvorkehrungen<br />
getroffen wer<strong>de</strong>n. Auch sollte das erhöhte Risiko eines unberechtigten Datenzugriffs<br />
durch Dritte berücksichtigt und Gefahren für die Vertraulichkeit <strong>de</strong>r angebotenen<br />
Dienste mit <strong>de</strong>m Standortvorteil abgewogen wer<strong>de</strong>n. Für datenschutzrechtliche Belange<br />
erweist sich <strong>de</strong>r Standort im Laufkorridor einer La<strong>de</strong>npassage als grundsätzlich ungeeignet.<br />
Seite 110 von 195
5 Justiz<br />
5.1 <strong>Bran<strong>de</strong>nburg</strong>isches Dolmetschergesetz<br />
Das Bun<strong>de</strong>sverwaltungsgericht hatte im Jahr 2007 eine gesetzliche Grundlage mit<br />
hinreichend klaren Bestimmungen über die zu erfüllen<strong>de</strong>n Voraussetzungen und<br />
das einzuhalten<strong>de</strong> Verfahren für die allgemeine Beeidigung von Dolmetschern<br />
bzw. die Ermächtigung von Übersetzern gefor<strong>de</strong>rt. Der Entwurf eines <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Dolmetschergesetzes wur<strong>de</strong> uns En<strong>de</strong> 2008 vom Justizministerium frühzeitig<br />
vorgelegt.<br />
Zwei Punkte waren uns bei diesem Gesetz beson<strong>de</strong>rs wichtig. Zum einen sollte bei <strong>de</strong>n<br />
Zugangsregelungen zu <strong>de</strong>m Dolmetscher- und Übersetzerverzeichnis das Grundrecht auf<br />
Datenschutz im angemessenen Umfang berücksichtigt wer<strong>de</strong>n. Zum an<strong>de</strong>ren waren Datenerhebungsbefugnisse<br />
<strong>de</strong>r Landgerichtspräsi<strong>de</strong>nten bzw. Vorlagepflichten <strong>de</strong>r Betroffenen<br />
zu <strong>de</strong>n Nachweisen <strong>de</strong>r praktischen Tätigkeit und <strong>de</strong>r persönlichen Zuverlässigkeit<br />
zu regeln.<br />
Das Justizministerium prüfte auf unsere Anregung hin, ob und für wen an <strong>de</strong>r Gewährung<br />
eines Zugriffs auf das Dolmetscher- und Übersetzerverzeichnis <strong>de</strong>s Oberlan<strong>de</strong>sgerichts<br />
ein überwiegen<strong>de</strong>s Allgemeininteresse besteht. Im Ergebnis <strong>de</strong>r Prüfung wird das Verzeichnis<br />
vorrangig für die Arbeit <strong>de</strong>r Gerichte und Justizbehör<strong>de</strong>n verwen<strong>de</strong>t und diesen<br />
Stellen auf gesetzlicher Grundlage zur Verfügung gestellt. Eine Veröffentlichung im Internet<br />
wird von einer Einwilligung <strong>de</strong>r Betroffenen abhängig gemacht. Außer<strong>de</strong>m hat das<br />
Justizministerium eine Verordnung zur Ausführung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Dolmetschergesetzes<br />
erlassen, mit <strong>de</strong>r die Rechtsklarheit beim Umgang mit Nachweisen für prakti-<br />
Seite 111 von 195
sche Tätigkeiten und die persönliche Zuverlässigkeit erhöht wird.<br />
Bei<strong>de</strong> Regelungen sind inzwischen in Kraft getreten. 58<br />
Das Dolmetscher- und Übersetzerverzeichnis wird nur im Internet veröffentlicht, soweit<br />
die Betroffenen einwilligen.<br />
58 Gesetz über die allgemeine Beeidigung von Dolmetschern und Ermächtigung von Übersetzern <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> (<strong>Bran<strong>de</strong>nburg</strong>isches<br />
Dolmetschergesetz – BbgDolmG) vom 7. Juli 2009 (GVBl. I S. 252) und Verordnung zur Ausführung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Dolmetschergesetzes<br />
vom 23. September 2009 (GVBl. II S. 709)<br />
Seite 112 von 195
5.2 Untersuchungshaftvollzugsgesetz Zu Ziffer 5.2 „Untersuchungshaftvollzugsgesetz“ (BbgUVollzG)<br />
Gemeinsam mit Justizministerien weiterer Bun<strong>de</strong>slän<strong>de</strong>r erarbeitete das Ministerium<br />
<strong>de</strong>r Justiz <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> einen Musterentwurf für ein Untersuchungshaftvollzugsgesetz.<br />
Es legte uns <strong>de</strong>n entsprechen<strong>de</strong>n Entwurf für ein Lan<strong>de</strong>sgesetz<br />
vor.<br />
Der Entwurf sah zunächst im § 7 Abs. 2 vor, dass beim Zugangsgespräch an<strong>de</strong>re Gefangene<br />
„in <strong>de</strong>r Regel“ nicht anwesend sein dürfen. Der Begründung war zu entnehmen,<br />
dass beispielsweise bei unüberwindbaren sprachlichen Verständigungsschwierigkeiten<br />
ausnahmsweise ein zuverlässiger Gefangener hinzugezogen wer<strong>de</strong>n könnte. Solche<br />
Ausnahmefälle hätten gemäß Art. 11 Abs. 2 Lan<strong>de</strong>sverfassung <strong>Bran<strong>de</strong>nburg</strong> als Einschränkungen<br />
<strong>de</strong>s Grundrechts auf Datenschutz bereits im Gesetzestext festgelegt wer<strong>de</strong>n<br />
müssen. Außer<strong>de</strong>m wäre ein überwiegen<strong>de</strong>s Allgemeininteresse an <strong>de</strong>m Grundrechtseingriff<br />
darzulegen gewesen. Bevor an das Einbeziehen eines Mitgefangenen gedacht<br />
wer<strong>de</strong>n kann, muss vor allem die Möglichkeit, einen beeidigten Dolmetscher o<strong>de</strong>r<br />
ermächtigten Übersetzer einzubeziehen, ausgeschöpft sein. Ungeklärt war auch, wie<br />
einem Mitgefangenen eine Schweigepflicht auferlegt wer<strong>de</strong>n sollte, die einen wirksamen<br />
Schutz für die personenbezogenen Daten <strong>de</strong>s Betroffenen gewährleisten kann. Im Gesetz<br />
59 ist auf unsere Empfehlung hin nun erfreulicherweise klar geregelt, dass an<strong>de</strong>re<br />
Gefangene beim Zugangsgespräch nicht anwesend sein dürfen.<br />
In folgen<strong>de</strong>n Fällen konnten wir allerdings keine datenschutzrechtliche Verbesserung<br />
erreichen:<br />
Die Erlaubnis <strong>de</strong>s Anstaltsleiters für einen Untersuchungsgefangenen, auf eigene<br />
Kosten externen ärztlichen Rat einzuholen, kann versagt wer<strong>de</strong>n, wenn <strong>de</strong>r Untersuchungsgefangene<br />
<strong>de</strong>n Arzt seines Vertrauens und <strong>de</strong>n ärztlichen Dienst <strong>de</strong>r Anstalt<br />
nicht wechselseitig von <strong>de</strong>r Schweigepflicht entbin<strong>de</strong>t. Nach <strong>de</strong>r Gesetzesbegründung<br />
soll so eine Beeinträchtigung <strong>de</strong>r Behandlung vermie<strong>de</strong>n wer<strong>de</strong>n. Es liegt jedoch re-<br />
Nach Auffassung <strong>de</strong>r LDA wird Datenschutzrechten von Untersuchungsgefangenen<br />
im BbgUVollzG nur unzureichend Rechnung getragen.<br />
Zur Begründung verweist die LDA auf drei Fälle, in <strong>de</strong>nen sie<br />
im Rahmen <strong>de</strong>r Beteiligung am Gesetzgebungsverfahren keine datenschutzrechtliche<br />
Verbesserung habe erreichen können.<br />
1. Der Anstaltsleiter könne einem Untersuchungsgefangenen versagen,<br />
auf eigene Kosten externen ärztlichen Rat einzuholen, wenn<br />
<strong>de</strong>r Untersuchungsgefangene <strong>de</strong>n Arzt seines Vertrauens und<br />
<strong>de</strong>n ärztlichen Dienst <strong>de</strong>r Anstalt nicht wechselseitig von <strong>de</strong>r<br />
Schweigepflicht entbin<strong>de</strong>. Es liege jedoch regelmäßig in <strong>de</strong>r freien<br />
Entscheidung eines Patienten, wem er welche Gesundheitsdaten<br />
offenbare und ob er verschie<strong>de</strong>ne Ärzte untereinan<strong>de</strong>r von <strong>de</strong>r<br />
Schweigepflicht entbin<strong>de</strong>. Die Verantwortung für die Beeinträchtigung<br />
seiner Behandlung durch fehlen<strong>de</strong> Information trage er selber.<br />
Obgleich die LDA gefor<strong>de</strong>rt habe, ein überwiegen<strong>de</strong>s Interesse<br />
<strong>de</strong>r Allgemeinheit an <strong>de</strong>r Einschränkung <strong>de</strong>s Grundrechts<br />
auf Datenschutz darzulegen, sei die Gesetzesbegründung unverän<strong>de</strong>rt<br />
geblieben.<br />
Die LDA hatte vorgetragen, dass es die freie Entscheidung <strong>de</strong>s<br />
Patienten sei, wem er welche nach § 4a BbgDSG beson<strong>de</strong>rs geschützten<br />
Daten über seine Gesundheit offenbare. Daher sollten<br />
im Gesetz zusätzliche Kriterien genannt wer<strong>de</strong>n, die bei <strong>de</strong>r Ermessensentscheidung,<br />
ob bei Verweigerung <strong>de</strong>r Schweigepflichtentbindungserklärung<br />
eine Behandlung durch <strong>de</strong>n Wahlarzt versagt<br />
wer<strong>de</strong>, von Be<strong>de</strong>utung seien. Die Lan<strong>de</strong>sregierung war diesem<br />
Vorschlag in ihrem Gesetzentwurf nicht gefolgt, da es sich<br />
59 Gesetz über <strong>de</strong>n Vollzug <strong>de</strong>r Untersuchungshaft im Land <strong>Bran<strong>de</strong>nburg</strong> (<strong>Bran<strong>de</strong>nburg</strong>isches Untersuchungshaftvollzugsgesetz – BbgUVollzG)<br />
vom 8. Juli 2009 (GVBl. I S. 271)<br />
Seite 113 von 195
gelmäßig in <strong>de</strong>r freien Entscheidung eines Patienten, wem er welche Gesundheitsdaten<br />
offenbart und ob er verschie<strong>de</strong>ne Ärzte untereinan<strong>de</strong>r von <strong>de</strong>r Schweigepflicht<br />
entbin<strong>de</strong>t. Die Verantwortung für die Beeinträchtigung seiner Behandlung durch fehlen<strong>de</strong><br />
Information trägt er selbst. Wir hatten gefor<strong>de</strong>rt, ein überwiegen<strong>de</strong>s Interesse<br />
<strong>de</strong>r Allgemeinheit an <strong>de</strong>r Einschränkung <strong>de</strong>s Grundrechts auf Datenschutz darzulegen.<br />
Die Gesetzesbegründung blieb jedoch unverän<strong>de</strong>rt.<br />
Die Kommunikation eines Untersuchungsgefangenen mit seinem Verteidiger sowie<br />
<strong>de</strong>r Schriftwechsel mit Abgeordneten o<strong>de</strong>r unserem Hause ist beson<strong>de</strong>rs geschützt.<br />
Ein geringerer Schutz besteht für die Kommunikation mit Rechtsanwälten und Notaren.<br />
Der Kontakt mit an<strong>de</strong>ren Berufsgeheimnisträgern wie Geistlichen, Schwangerschafts-<br />
o<strong>de</strong>r Drogenberatungsstellen ist gar nicht beson<strong>de</strong>rs geregelt. Wir wiesen unter<br />
an<strong>de</strong>rem darauf hin, dass so <strong>de</strong>r Schutz sensitiver Informationen nicht hinreichend<br />
berücksichtigt wird.<br />
Die Empfehlung, <strong>de</strong>m Betroffenen auf seinen Wunsch hin – wie bei sonstigen Regelungen<br />
– generell Akteneinsicht in Unterlagen zu seiner Person zu gewähren und nur<br />
im Ausnahmefall auf eine bloße Auskunft zurückzugreifen, fand ebenfalls kein Gehör.<br />
Ein Untersuchungsgefangener erhält nun im Regelfall lediglich eine Auskunft zu seinen<br />
personenbezogenen Daten. Nur soweit eine Auskunft für die Wahrnehmung seiner<br />
rechtlichen Interessen nicht ausreicht und er <strong>de</strong>shalb auf eine Akteneinsicht in die<br />
Gefangenenakte angewiesen ist, wird diese ausnahmsweise gewährt.<br />
Den Datenschutzrechten von Untersuchungsgefangenen wird durch das Untersuchungshaftvollzugsgesetz<br />
nur unzureichend Rechnung getragen.<br />
hier jeweils um Einzelfallentscheidungen han<strong>de</strong>lt und die Kriterien<br />
nicht nur ärztlicher, son<strong>de</strong>rn auch vollzuglicher Art sein dürften.<br />
Die Vorschrift dient auch <strong>de</strong>m Schutz <strong>de</strong>r Anstaltsärzte vor <strong>de</strong>m in<br />
<strong>de</strong>r Praxis häufig anzutreffen<strong>de</strong>n, ungerechtfertigten Vorwurf, die<br />
Gefangenen unsachgemäß behan<strong>de</strong>lt zu haben. Deshalb wur<strong>de</strong>n<br />
- in Übereinstimmung mit <strong>de</strong>n Gesetzentwürfen <strong>de</strong>r an<strong>de</strong>ren neun<br />
Län<strong>de</strong>r, die in einer län<strong>de</strong>rübergreifen<strong>de</strong>n Arbeitsgruppe gemeinsam<br />
mit <strong>Bran<strong>de</strong>nburg</strong> einen Mustergesetzentwurf erarbeitet hatten<br />
- keine zusätzlichen Kriterien in <strong>de</strong>n Gesetzestext aufgenommen.<br />
2. Die Kommunikation eines Untersuchungsgefangenen mit seinem<br />
Verteidiger sowie <strong>de</strong>r Schriftwechsel mit Abgeordneten o<strong>de</strong>r <strong>de</strong>r<br />
LDA sei beson<strong>de</strong>rs geschützt. Ein geringerer Schutz bestehe für<br />
die Kommunikation mit Rechtsanwälten und Notaren. Der Kontakt<br />
mit an<strong>de</strong>ren Berufsgeheimnisträgern wie Geistlichen, Schwangerschafts-<br />
und Drogenberatungsstellen sei gar nicht beson<strong>de</strong>rs geregelt.<br />
Die LDA habe u. a. darauf hingewiesen, dass so <strong>de</strong>r<br />
Schutz sensitiver Informationen nicht hinreichend berücksichtigt<br />
wer<strong>de</strong>.<br />
Diese Argumente hatten sowohl die LDA im hiesigen Gesetzgebungsverfahren<br />
als auch <strong>de</strong>r Bun<strong>de</strong>sdatenschutzbeauftragte in<br />
seiner Stellungnahme zu § 119 Strafprozessordnung-Entwurf<br />
(StPO-E) vorgetragen. Die Lan<strong>de</strong>sregierung war dieser Argumentation<br />
- wie auch die Bun<strong>de</strong>sregierung zu § 119 StPO-E - nicht<br />
gefolgt, da mit Blick auf die mit <strong>de</strong>n Haftgrün<strong>de</strong>n verbun<strong>de</strong>nen<br />
Gefahren <strong>de</strong>r Sicherheit und Ordnung die Ausnahmen eng zu begrenzen<br />
sind. Daher ist lediglich <strong>de</strong>r Umgang mit <strong>de</strong>m Verteidiger<br />
privilegiert. Wie auch im Strafvollzug mussten hier Aspekte <strong>de</strong>s<br />
Datenschutzes hinter Sicherheitsbelangen zurücktreten.<br />
3. Die Empfehlung, <strong>de</strong>m Betroffenen auf seinen Wunsch hin - wie<br />
bei sonstigen Regelungen - generell Akteneinsicht in Unterlagen<br />
Seite 114 von 195
zu seiner Person zu gewähren und nur im Ausnahmefall auf eine<br />
bloße Auskunft zurückzugreifen, habe ebenfalls kein Gehör gefun<strong>de</strong>n.<br />
Die LDA hatte im Beteiligungsverfahren dargelegt, dass bei einem<br />
Auskunftsersuchen in <strong>de</strong>r Regel Einsicht zu gewähren sei und<br />
diese nur ausnahmsweise völlig verwehrt o<strong>de</strong>r durch eine Auskunft<br />
ersetzt wer<strong>de</strong>n dürfe. § 95 Abs. 8 BbgUVollzG kehre dieses<br />
Regel-Ausnahme-Verhältnis um und solle daher gestrichen wer<strong>de</strong>n.<br />
Die Lan<strong>de</strong>sregierung war auch diesem Vorschlag nicht gefolgt,<br />
da sich die Vorschrift - wie auch die inhaltsgleiche Bestimmung<br />
<strong>de</strong>s § 95 Abs. 8 <strong>Bran<strong>de</strong>nburg</strong>isches Jugendstrafvollzugsgesetz<br />
und die Regelungen <strong>de</strong>r an<strong>de</strong>ren Län<strong>de</strong>r <strong>de</strong>r Arbeitsgruppe<br />
- am Maßstab <strong>de</strong>s § 19 Bun<strong>de</strong>sdatenschutzgesetz orientiert<br />
und nicht ersichtlich war und ist, warum sie verfassungsrechtlichen<br />
Be<strong>de</strong>nken begegnet. Eine Umkehrung <strong>de</strong>s genannten Regel-Ausnahme-Verhältnisses<br />
ist mit Blick auf die sicherheitsrelevanten<br />
Inhalte <strong>de</strong>r Gefangenenpersonalakten durchaus zu rechtfertigen.<br />
Seite 115 von 195
5.3 Datenverarbeitung im Justizvollzug Zu Ziffer 5.3 „Datenverarbeitung im Justizvollzug“<br />
Mit <strong>de</strong>r Migration auf das neue Datenverarbeitungssystem <strong>de</strong>r bran<strong>de</strong>nburgischen<br />
Justizvollzugsanstalten BASIS-Web wur<strong>de</strong> das bisherige Verfahren BASIS abgelöst.<br />
An <strong>de</strong>r Umstellung wur<strong>de</strong>n wir kontinuierlich beteiligt.<br />
Das Verfahren BASIS-Web ist eine Neuentwicklung <strong>de</strong>r strafvollzugsspezifischen Software<br />
BASIS (Buchhaltungs- und Abrechnungssystem im Strafvollzug), die auf unterschiedlichen<br />
Hardwareplattformen bereits seit <strong>de</strong>n 90er Jahren in <strong>de</strong>n Justizvollzugsanstalten<br />
<strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> eingesetzt wird. Das Verfahren unterstützt die Verwaltung<br />
<strong>de</strong>r Gefangenenstammdaten einschließlich <strong>de</strong>r Strafzeitberechnung und <strong>de</strong>r zugehörigen<br />
Terminverwaltung. Weiterhin ist es ein wichtiges Instrument zur Verwaltung von<br />
Urlauben und Ausgängen, erzeugt die notwendigen Papiere und stellt sicher, dass die<br />
vorgeschriebenen Benachrichtigungen, z. B. <strong>de</strong>r Polizei, erfolgen. Weitere Funktionen<br />
<strong>de</strong>s Verfahrens beinhalten u. a. die Abwicklung von Gefangenentransporten, die Geldverwaltung<br />
sowie die Lohnabrechnung <strong>de</strong>r Gefangenen.<br />
Seit Dezember 2009 läuft BASIS-Web in allen Justizvollzugsanstalten<br />
im Echtbetrieb. Nach <strong>de</strong>r arbeitsintensiven Einführungsphase liegt <strong>de</strong>r<br />
Fokus nun darauf, <strong>de</strong>n Betrieb von BASIS-Web zu sichern und zu<br />
optimieren. Dies gilt auch hinsichtlich <strong>de</strong>r im Tätigkeitsbericht angesprochenen<br />
Punkte. Die Datensicherheit wird im Rahmen <strong>de</strong>s im Justizvollzug<br />
Erfor<strong>de</strong>rlichen berücksichtigt. Daneben wird <strong>de</strong>rzeit an <strong>de</strong>r<br />
Verschlüsselung sensibler Daten auf weiteren Übertragungswegen<br />
gearbeitet. Die LDA wird frühzeitig über geplante Än<strong>de</strong>rungen an BA-<br />
SIS-Web informiert wer<strong>de</strong>n.<br />
BASIS-Web ist ein län<strong>de</strong>rübergreifen<strong>de</strong>s Projekt einer integrativen EDV-<br />
Organisationslösung zur Abwicklung <strong>de</strong>r Aufgaben <strong>de</strong>r Verwaltung und <strong>de</strong>s Vollzugs in<br />
Justizvollzugseinrichtungen. An <strong>de</strong>r Verbundlösung sind die Län<strong>de</strong>r Berlin, <strong>Bran<strong>de</strong>nburg</strong>,<br />
Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Nie<strong>de</strong>rsachsen, Nordrhein-<br />
Westfalen, Saarland, Sachsen-Anhalt, Schleswig Holstein sowie das Großherzogtum<br />
Luxemburg beteiligt.<br />
Die Einführung <strong>de</strong>s Verfahrens in <strong>Bran<strong>de</strong>nburg</strong> wur<strong>de</strong> in einer Justizvollzugsanstalt pilotiert.<br />
Nach Funktionstests <strong>de</strong>s Migrationssystems wur<strong>de</strong> <strong>de</strong>r Pilotbetrieb für diese Einrichtung<br />
im August 2008 unter Echtbedingungen gestartet. Mit <strong>de</strong>ssen Abschluss gab das<br />
Ministerium <strong>de</strong>r Justiz das Fachverfahren BASIS-Web frei und schuf somit die Grundlage<br />
für seine Einführung in <strong>de</strong>n weiteren Justizvollzugsanstalten <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>.<br />
Durch die ADV-Leitstelle für <strong>de</strong>n Justizvollzug <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> wur<strong>de</strong> ein umfangreiches<br />
Sicherheitskonzept für <strong>de</strong>n Einsatz <strong>de</strong>s Verfahrens BASIS-Web erarbeitet,<br />
welches aber an die jeweiligen Gegebenheiten <strong>de</strong>r Justizvollzugsanstalten angepasst<br />
Seite 116 von 195
wer<strong>de</strong>n muss.<br />
Wegen <strong>de</strong>s hohen Schutzbedarfs <strong>de</strong>r Daten von Gefangenen, <strong>de</strong>r in BASIS-Web bestehen<strong>de</strong>n<br />
Kommunikationsverbindungen zwischen einzelnen Programmteilen sowie <strong>de</strong>r<br />
Möglichkeiten zentralen und <strong>de</strong>zentralen Zugriffs sind beson<strong>de</strong>re technische Maßnahmen<br />
zur Gewährleistung von Datenschutz und IT-Sicherheit zu treffen. Während die verschlüsselte<br />
Übertragung von Daten zwischen Standorten und ein strenges Rollen-<br />
Rechte-Konzept bereits realisiert sind, wur<strong>de</strong>n eine Verschlüsslung <strong>de</strong>r Datenübertragung<br />
innerhalb lokaler Netze sowie die verschlüsselte Speicherung <strong>de</strong>r Daten noch nicht<br />
umgesetzt. Neben <strong>de</strong>r applikationsbasierten Verschlüsselung <strong>de</strong>r Daten wur<strong>de</strong>n im Rahmen<br />
<strong>de</strong>r Zusammenarbeit mit <strong>de</strong>r ADV-Leitstelle auch weitere Möglichkeiten zur Absicherung<br />
<strong>de</strong>s Verfahrens diskutiert.<br />
Wir wer<strong>de</strong>n die Einführung und Nutzung von BASIS-Web auch zukünftig beratend begleiten.<br />
Anfor<strong>de</strong>rungen an Datenschutz und IT-Sicherheit sollten bei län<strong>de</strong>rübergreifend entwickelten<br />
Verfahren möglichst frühzeitig eingebracht wer<strong>de</strong>n, da sie im Nachhinein nur<br />
schwer umgesetzt wer<strong>de</strong>n können.<br />
Seite 117 von 195
5.4 Justizzentrum Potsdam Zu Ziffer 5.4 „Justizzentrum Potsdam“<br />
Im Jahre 2008 wur<strong>de</strong> das Justizzentrum Potsdam als neuer Dienstsitz für das Verfassungsgericht<br />
<strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>, das Landgericht Potsdam, die Staatsanwaltschaft<br />
Potsdam und Teile <strong>de</strong>s Amtsgerichts Potsdam eröffnet. Im Rahmen<br />
<strong>de</strong>r Zusammenführung <strong>de</strong>r Dienststellen unter einem Dach und <strong>de</strong>r gemeinsamen<br />
Nutzung von DV-Systemen <strong>de</strong>r beteiligten Stellen sind die Anfor<strong>de</strong>rungen an eine<br />
datenschutzgerechte Verarbeitung <strong>de</strong>r personenbezogenen Mitarbeiterdaten und<br />
an die Gestaltung <strong>de</strong>r Datenverarbeitung im Auftrag erst im Nachhinein beachtet<br />
wor<strong>de</strong>n.<br />
Die LDA weist in ihrem Tätigkeitsbericht darauf hin, dass es für <strong>de</strong>n<br />
rechtskonformen Betrieb <strong>de</strong>r DV-Anlagen im Justizzentrum an Verträgen<br />
über die Datenverarbeitung im Auftrag fehle. Im Ergebnis <strong>de</strong>r Beratungsgespräche<br />
mit <strong>de</strong>r LDA wur<strong>de</strong> <strong>de</strong>r Geschäftsbereich im Mai<br />
2009 um entsprechen<strong>de</strong> Veranlassung gebeten. Der Entwurf einer<br />
Vereinbarung liegt nunmehr vor und befin<strong>de</strong>t sich in <strong>de</strong>r Zeichnungsabstimmung.<br />
Sobald <strong>de</strong>r gezeichnete Vertrag vorliegt, wird die LDA<br />
unaufgefor<strong>de</strong>rt hierüber in Kenntnis gesetzt.<br />
Mit Bezug <strong>de</strong>s Justizzentrums Potsdam sind verschie<strong>de</strong>ne IT-Verfahren (z. B. Zutrittskontrollsystem,<br />
Zeiterfassung, Vi<strong>de</strong>oüberwachungsanlage, Telekommunikationsanlage) in<br />
<strong>de</strong>n Produktivbetrieb übergegangen, die durch alle beteiligten Stellen gleichermaßen<br />
genutzt, jedoch nur von einer Stelle betrieben wer<strong>de</strong>n. Da in <strong>de</strong>n jeweiligen Verfahren<br />
Daten <strong>de</strong>r Mitarbeiter <strong>de</strong>r einzelnen Gerichte und <strong>de</strong>r Staatsanwaltschaft verarbeitet wer<strong>de</strong>n,<br />
besteht nach § 11 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz (BbgDSG) zwischen <strong>de</strong>n<br />
einzelnen Institutionen innerhalb <strong>de</strong>s Justizzentrums ein Verhältnis <strong>de</strong>r Auftragsdatenverarbeitung<br />
zum jeweiligen Betreiber <strong>de</strong>s Verfahrens. Entsprechen<strong>de</strong> schriftliche Verträge<br />
existierten jedoch nicht. Auch an<strong>de</strong>ren Anfor<strong>de</strong>rungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes<br />
für die Einführung <strong>de</strong>r IT-Verfahren sind die beteiligten Stellen nicht<br />
nachgekommen. So fehlte es z. B. für das IT-Verfahren <strong>de</strong>r Zutrittskontrolle an <strong>de</strong>r Risikoanalyse<br />
und <strong>de</strong>m Sicherheitskonzept (§ 7 Abs. 3 BbgDSG), <strong>de</strong>m Verfahrensverzeichnis<br />
(§ 8 BbgDSG) und einer Freigabeerklärung. Weiterhin gab es keine Dienstvereinbarungen<br />
mit <strong>de</strong>m Staatsanwaltsrat und <strong>de</strong>m örtlichen Personalrat mit Regelungen u. a. zur<br />
Protokollierung von Zutritten.<br />
Während <strong>de</strong>r Gespräche mit <strong>de</strong>n beteiligten Stellen stellte sich heraus, dass diesen nicht<br />
bewusst war, wer innerhalb <strong>de</strong>s Justizzentrums Daten verarbeiten<strong>de</strong> Stelle, Auftragnehmer<br />
und Auftraggeber für eine Datenverarbeitung im Auftrag ist. Organisatorische Regelungen<br />
<strong>de</strong>s Ministeriums <strong>de</strong>r Justiz vor <strong>de</strong>m Erstbezug <strong>de</strong>s Justizzentrums fehlten.<br />
Bei genauerer Betrachtung <strong>de</strong>r DV-Systeme im Verfahrensbetrieb stellte sich zu<strong>de</strong>m<br />
Seite 118 von 195<br />
Darüber hinaus hat die LDA in ihrem Bericht das Fehlen eines Sicherheitskonzepts<br />
für das Justizzentrum gerügt. Dieser Sachverhalt ist<br />
zwischenzeitlich überholt, da ein Sicherheitskonzept für das Land- und<br />
das Amtsgericht sowie für die Staatsanwaltschaft in Potsdam erstellt<br />
wor<strong>de</strong>n ist.<br />
Soweit im Tätigkeitsbericht <strong>de</strong>r LDA ausgeführt wird, dass das Landgericht<br />
Potsdam als Betreiber gemeinsamer DV-Verfahren sich zur<br />
Administration dieser Systeme mangels eigenem technischen Personals<br />
nach lediglich mündlicher Vereinbarung mit <strong>de</strong>r Staatsanwaltschaft<br />
eines abgeordneten Mitarbeiters <strong>de</strong>r Generalstaatsanwaltschaft<br />
<strong>de</strong>s Lan<strong>de</strong>s bedient, hat <strong>de</strong>r Präsi<strong>de</strong>nt <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Oberlan<strong>de</strong>sgerichtes<br />
(POLG) darauf hingewiesen, dass im Juli 2008 eine<br />
schriftliche Vereinbarung zur Zugangskontrolle zwischen <strong>de</strong>n Generalstaatsanwalt<br />
<strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> und <strong>de</strong>m POLG getroffen wur<strong>de</strong>.<br />
Der Generalstaatsanwalt <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> hat sich auf<br />
Ersuchen <strong>de</strong>s POLG bereiterklärt, die technisch-administrative Administration<br />
<strong>de</strong>s Servers <strong>de</strong>r Zugangskontrolle zu übernehmen. Die Zugangskarten<br />
wer<strong>de</strong>n von <strong>de</strong>n jeweiligen Behör<strong>de</strong>n selbst erstellt. Dabei<br />
wur<strong>de</strong> das Bestehen eines Wartungsvertrages mit <strong>de</strong>r Herstellerfirma<br />
vorausgesetzt.
heraus, dass das Verfahren <strong>de</strong>r Zutrittskontrolle eine hohe Anzahl von personenbezogenen<br />
Daten speicherte und die Zutritte <strong>de</strong>r Mitarbeiter zu <strong>de</strong>n Räumen <strong>de</strong>s Justizzentrums<br />
protokollierte. Seitens <strong>de</strong>s Personalrats und <strong>de</strong>s Staatsanwaltsrats wur<strong>de</strong> hier interveniert<br />
und <strong>de</strong>r Fortbetrieb <strong>de</strong>s Verfahrens abgelehnt. Auch die Lan<strong>de</strong>sbeauftragte sah in <strong>de</strong>r<br />
Möglichkeit <strong>de</strong>r Erstellung von Bewegungsprofilen einen nicht vertretbaren Eingriff in das<br />
Selbstbestimmungsrecht <strong>de</strong>r Mitarbeiter. In Folge <strong>de</strong>ssen ist das Zutrittskontrollsystem<br />
überarbeitet und teilweise ausgetauscht wor<strong>de</strong>n.<br />
Regelungen zur Verarbeitung personenbezogener Daten sind insoweit<br />
nicht erfor<strong>de</strong>rlich gewesen, da eine Datenverarbeitung i. S. v. § 3 Absatz<br />
2 BbgDSG nicht erfolgt. Dem Problem <strong>de</strong>s Einsatzes eines einzigen<br />
IT-Mitarbeiters für die Administration einer Vielzahl an IT-<br />
Verfahren habe man seitens POLG Rechnung getragen und ab Januar<br />
2009 einen Techniker aus <strong>de</strong>m IT-Dezernat dauerhaft an das Landgericht<br />
Potsdam abgeordnet.<br />
Im Rahmen unserer Beratungsgespräche mit <strong>de</strong>n beteiligten Stellen wur<strong>de</strong> klar, dass das<br />
Landgericht Potsdam als Hausherr <strong>de</strong>s Justizzentrums auch Betreiber <strong>de</strong>r gemeinsamen<br />
DV-Verfahren ist. Diesem fehlt aber das technische Personal, um <strong>de</strong>n ordnungsgemäßen<br />
Betrieb zu gewährleisten. Im Rahmen einer mündlichen Vereinbarung wird die Administration<br />
<strong>de</strong>rzeit durch einen abgeordneten Mitarbeiter <strong>de</strong>r Generalstaatsanwaltschaft <strong>de</strong>s<br />
Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> übernommen. Dieser ist gleichzeitig einziger IT-Mitarbeiter innerhalb<br />
<strong>de</strong>s Justizzentrums.<br />
Die Probleme <strong>de</strong>s Einsatzes eines einzigen IT-Mitarbeiters für die Administration <strong>de</strong>r o. g.<br />
Verfahren, <strong>de</strong>r Bestimmung <strong>de</strong>r Zuständigkeiten für die DV-Verfahren und <strong>de</strong>s Fehlens<br />
von Vereinbarungen zur Datenverarbeitung im Auftrag wur<strong>de</strong>n durch die Lan<strong>de</strong>sbeauftragte<br />
mit Vertretern <strong>de</strong>r ansässigen Gerichte, <strong>de</strong>r Staatsanwaltschaft und <strong>de</strong>s Ministeriums<br />
<strong>de</strong>r Justiz ausführlich erörtert.<br />
Grundlage für <strong>de</strong>n rechtskonformen Betrieb <strong>de</strong>r DV-Anlagen im Justizzentrum Potsdam<br />
müssen Verträge über die Datenverarbeitung im Auftrag sein. Zukünftig ist bei <strong>de</strong>r räumlichen<br />
Zusammenlegung von Behör<strong>de</strong>n <strong>de</strong>r Lan<strong>de</strong>sverwaltung auf entsprechen<strong>de</strong> organisatorische<br />
Regelungen und Rahmenbedingungen zu achten.<br />
5.5 Optimierung <strong>de</strong>r Führungsaufsicht über entlassene Strafgefangene<br />
Im Berichtszeitraum hat das Justizministerium beschlossen, die Ausgestaltung <strong>de</strong>r<br />
Führungsaufsicht insgesamt zu überprüfen und zu optimieren. Grund war das 2007<br />
Seite 119 von 195
in Kraft getretene Gesetz zur Reform <strong>de</strong>r Führungsaufsicht sowie offensichtliche<br />
Mängel im Zusammenwirken <strong>de</strong>r an <strong>de</strong>r Führungsaufsicht beteiligten Stellen.<br />
Die Führungsaufsicht soll <strong>de</strong>n Übergang beson<strong>de</strong>rs rückfallgefähr<strong>de</strong>ter Strafgefangener<br />
aus <strong>de</strong>m Vollzug in die Freiheit im Interesse <strong>de</strong>s Verurteilten durch soziale Hilfen erleichtern<br />
und zugleich die Allgemeinheit vor weiteren Straftaten schützen. Dieses Ziel kann<br />
nur erreicht wer<strong>de</strong>n, wenn die beteiligten Stellen – Justizvollzugsanstalt, Staatsanwaltschaft,<br />
Gericht, Führungsaufsichtsstelle, Bewährungshelfer, forensische Ambulanz, ggf.<br />
auch Polizei und Jugendamt – aufeinan<strong>de</strong>r abgestimmt zusammenwirken.<br />
Wenn das Instrument <strong>de</strong>r Führungsaufsicht so funktionieren soll, dass <strong>de</strong>r aus <strong>de</strong>r Haft<br />
Entlassene tatsächlich durch ein enges Geflecht von Hilfe und Überwachung an <strong>de</strong>r Begehung<br />
neuer Straftaten gehin<strong>de</strong>rt wird, müssen die beteiligten Stellen zusammenarbeiten<br />
und sich unter Beachtung ihrer gesetzlichen Vorgaben gegenseitig über ihre Maßnahmen<br />
und Erkenntnisse informieren.<br />
Rechtsgrundlagen für die „Führungsaufsicht“ fin<strong>de</strong>n sich sowohl in <strong>de</strong>r Strafprozessordnung<br />
als auch im Strafgesetzbuch. Weiterhin sind die einschlägigen Vorschriften <strong>de</strong>r<br />
beteiligten Stellen sowie <strong>de</strong>r mit <strong>de</strong>n Justizbehör<strong>de</strong>n im Rahmen <strong>de</strong>r Führungsaufsicht<br />
kooperieren<strong>de</strong>n Behör<strong>de</strong>n zu beachten. Gera<strong>de</strong> die Sozialgesetzbücher setzen <strong>de</strong>m Informationsaustausch<br />
mit Sozialbehör<strong>de</strong>n einschließlich Jugendämtern auch im Rahmen<br />
<strong>de</strong>r Führungsaufsicht sehr enge Grenzen.<br />
Eine Arbeitsgruppe, an <strong>de</strong>ren Sitzungen wir regelmäßig teilnahmen, untersuchte im<br />
Rahmen einer Stellungnahme die rechtlichen Grundlagen für das Zusammenwirken <strong>de</strong>r<br />
an <strong>de</strong>r Führungsaufsicht beteiligten Stellen und die sich daraus ergeben<strong>de</strong>n Rechte und<br />
Pflichten zur Verarbeitung personenbezogener Daten, insbeson<strong>de</strong>re ihrer Übermittlung.<br />
Ausgehend von <strong>de</strong>r jeweils Daten übermitteln<strong>de</strong>n Stelle wer<strong>de</strong>n zu je<strong>de</strong>r Daten empfangen<strong>de</strong>n<br />
Stelle in einem Kapitel die Rechtsgrundlagen für die Informationsweitergabe dargestellt.<br />
Damit ist die Stellungnahme so aufgebaut, dass sie später als Nachschlagwerk<br />
genutzt wer<strong>de</strong>n kann.<br />
Die Stellungnahme „Optimierung <strong>de</strong>r Führungsaufsicht – Informationsrechte und -<br />
Seite 120 von 195
pflichten <strong>de</strong>r Beteiligten“ fasst die Rechtsgrundlagen für <strong>de</strong>n Informationsaustausch über<br />
Haftentlassene zusammen. Sie soll <strong>de</strong>n Beteiligten als Nachschlagewerk dienen, in<strong>de</strong>m<br />
sie die rechtlichen Möglichkeiten aber auch die Schranken <strong>de</strong>r gegenseitigen Informationsweitergabe<br />
darstellt.<br />
Seite 121 von 195
60 vgl. Tätigkeitsbericht 2006/2007, A 6.4<br />
Seite 122 von 195<br />
6 Bildung, Jugend und Sport<br />
6.1 Novellierung <strong>de</strong>r Datenschutzverordnung Schulwesen zur Umsetzung<br />
<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Schulgesetzes<br />
Bereits im letzten Tätigkeitsbericht 60 hatten wir ausführlich über die Neuerungen im<br />
<strong>Bran<strong>de</strong>nburg</strong>ischen Schulgesetz berichtet, insbeson<strong>de</strong>re über die Verän<strong>de</strong>rungen<br />
in <strong>de</strong>r Schulstatistik sowie über die Einführung einer automatisierten Schülerdatei<br />
und von Schülerlaufbahnstatistiken. Schon zum damaligen Zeitpunkt wiesen wir<br />
darauf hin, dass vor <strong>de</strong>r Anwendung <strong>de</strong>r neuen Regelungen Einzelheiten hierzu in<br />
einer Rechtsverordnung festzulegen sind.<br />
Mit <strong>de</strong>m zuständigen Ministerium für Bildung, Jugend und Sport einigten wir uns darauf,<br />
dass zunächst nur die wichtigsten Än<strong>de</strong>rungen in <strong>de</strong>r stark veralteten und anpassungsbedürftigen<br />
Datenschutzverordnung Schulwesen vorgenommen wer<strong>de</strong>n sollten, um eine<br />
zügige Anwendung <strong>de</strong>r Neuregelungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Schulgesetzes zu ermöglichen.<br />
Neben <strong>de</strong>r Anpassung <strong>de</strong>r Datenschutzverordnung an die Än<strong>de</strong>rungen <strong>de</strong>s<br />
Schulgesetzes selbst waren auch die zwischenzeitlich erfolgten Än<strong>de</strong>rungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes sowie <strong>de</strong>r aktuelle Stand <strong>de</strong>r Technik zu berücksichtigen.<br />
Eine umfassen<strong>de</strong> Novellierung <strong>de</strong>r Datenschutzverordnung Schulwesen sollte<br />
bis zum En<strong>de</strong> <strong>de</strong>s Berichtszeitraums erfolgen.<br />
Einen ersten Entwurf zur Än<strong>de</strong>rung <strong>de</strong>r Datenschutzverordnung Schulwesen sandte uns<br />
das Ministerium im Juli 2008 zu. Dieser war jedoch in verschie<strong>de</strong>ner Hinsicht anpassungsbedürftig.<br />
In mehreren zeitintensiven Abstimmungsgesprächen diskutierten wir mit<br />
<strong>de</strong>n Verantwortlichen die notwendigen Än<strong>de</strong>rungen.<br />
Neben <strong>de</strong>r Verbesserung von redaktionellen Fehlern waren z. B. Festlegungen zu IT-<br />
Sicherheitskonzepten für schulische DV-Verfahren, zu einzelnen technischen und organi-
satorischen Maßnahmen, zur Bestellung behördlicher Datenschutzbeauftragter sowie<br />
zum Führen von Verfahrensverzeichnissen zu ergänzen, um die Rechtskonformität <strong>de</strong>s<br />
Entwurfs mit <strong>de</strong>m gelten<strong>de</strong>m Schul- bzw. Datenschutzgesetz herzustellen.<br />
Mit <strong>de</strong>n neu in die Datenschutzverordnung Schulwesen aufzunehmen<strong>de</strong>n §§ 13 bis 15<br />
beabsichtigte das Ministerium, Einzelheiten zur Schulstatistik, zur automatisierten Schülerdatei<br />
sowie zur Schülerlaufbahnstatistik festzulegen. Hierbei bemängelten wir z. T.<br />
unklare Regelungen zu einzelnen Schritten <strong>de</strong>r Datenverarbeitung, <strong>de</strong>n verantwortlichen<br />
bzw. die Verarbeitung durchführen<strong>de</strong>n Stellen, <strong>de</strong>n Datenflüssen zwischen diesen Stellen<br />
sowie zu Einschränkungen <strong>de</strong>s Zugriffs auf die Daten. Auch in diesen Punkten wur<strong>de</strong> <strong>de</strong>r<br />
Entwurf mit unserer Unterstützung nachgebessert.<br />
Bezüglich <strong>de</strong>r Schulstatistik bzw. <strong>de</strong>r Schülerlaufbahnstatistiken ist zu beachten, dass<br />
hierfür personenbezogene Daten <strong>de</strong>r Schüler mit z. T. hohem Schutzbedarf aufbereitet<br />
wer<strong>de</strong>n, die von <strong>de</strong>n Schulen für festgelegte Zeiträume zu bestimmten Stichtagen an eine<br />
zentrale Stelle zu übermitteln sind. Der Umfang dieser Daten ist in einer Anlage <strong>de</strong>r Datenschutzverordnung<br />
Schulwesen bzw. im Schulgesetz abschließend geregelt.<br />
Zur Verhin<strong>de</strong>rung <strong>de</strong>s Missbrauchs <strong>de</strong>r übermittelten personenbezogenen Einzeldaten<br />
for<strong>de</strong>rten wir, dass <strong>de</strong>r Zugriff darauf streng reglementiert sein muss. We<strong>de</strong>r das Ministerium<br />
für Bildung, Jugend und Sport noch die staatlichen Schulämter o<strong>de</strong>r die Schulträger<br />
benötigen ihn für ihre Aufgaben. Der Zugriff darf nur einer <strong>de</strong>n Grundsätzen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Statistikgesetzes verpflichteten Stelle möglich sein. Falls das Ministerium<br />
die Daten innerhalb <strong>de</strong>s eigenen Geschäftsbereichs selbst statistisch aufbereiten möchte,<br />
hat es <strong>de</strong>shalb eine eigene Statistikstelle inzurichten. Dabei ist sicherzustellen, dass diese<br />
Stelle räumlich, organisatorisch und personell von <strong>de</strong>r übrigen Verwaltungsstruktur<br />
abgegrenzt ist. Durch geeignete technische und organisatorische Maßnahmen ist die<br />
Trennung <strong>de</strong>r personenbezogenen Daten von an<strong>de</strong>ren Verwaltungsdaten sowie ihre<br />
Verwendung ausschließlich für Zwecke <strong>de</strong>r Erstellung von Statistiken zu gewährleisten.<br />
Die mit <strong>de</strong>r Datenaufbereitung befassten Beschäftigten dürfen die aus ihrer Tätigkeit gewonnenen<br />
personenbezogenen Erkenntnisse nicht in an<strong>de</strong>ren Verfahren o<strong>de</strong>r für an<strong>de</strong>re<br />
Zwecke verwen<strong>de</strong>n o<strong>de</strong>r offenbaren.<br />
Seite 123 von 195
Das Ministerium für Bildung, Jugend und Sport folgte unseren For<strong>de</strong>rungen und fügte<br />
entsprechen<strong>de</strong> Regelungen in <strong>de</strong>n Entwurf <strong>de</strong>r Datenschutzverordnung Schulwesen ein.<br />
Dessen letzter Stand datiert vom 3. Juni 2009. Zu einer Veröffentlichung als Voraussetzung<br />
<strong>de</strong>s In-Kraft-Tretens <strong>de</strong>r Verordnung kam es allerdings bis zum Redaktionsschluss<br />
dieses Berichts nicht.<br />
Im Rahmen <strong>de</strong>r Novellierung <strong>de</strong>r Datenschutzverordnung Schulwesen haben wir das<br />
Ministerium für Bildung, Jugend und Sport mehrfach intensiv beraten. Trotz <strong>de</strong>r uns gegenüber<br />
stets angemahnten Eile gelang es <strong>de</strong>m Ministerium jedoch im Berichtszeitraum<br />
nicht, die Arbeiten zur Festlegung <strong>de</strong>r erfor<strong>de</strong>rlichen Einzelheiten zu <strong>de</strong>n mittlerweile über<br />
zwei Jahre bestehen<strong>de</strong>n Neuregelungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Schulgesetzes abzuschließen.<br />
Auch eine umfassen<strong>de</strong> Überarbeitung <strong>de</strong>r Datenschutzverordnung Schulwesen<br />
ist weiter nicht in Sicht.<br />
Seite 124 von 195
6.2 Sprachstandsfeststellung vor <strong>de</strong>r Einschulung<br />
Im Frühjahr 2009 bat uns das Ministerium für Bildung, Jugend und Sport um Hinweise<br />
zu <strong>de</strong>m uns zur Kenntnis gegebenen Entwurf <strong>de</strong>r Verordnung zur Durchführung<br />
<strong>de</strong>r Sprachstandsfeststellung und kompensatorischen Sprachför<strong>de</strong>rung. 61 Zu<br />
regeln waren darin insbeson<strong>de</strong>re datenschutzgerechte Meldungen über die Teilnahme<br />
<strong>de</strong>r Vorschulkin<strong>de</strong>r an Sprachför<strong>de</strong>rkursen.<br />
In <strong>de</strong>r Vergangenheit wur<strong>de</strong> bei <strong>de</strong>n Schuleingangsuntersuchungen regelmäßig ein sehr<br />
großer Anteil von Kin<strong>de</strong>rn mit Sprachauffälligkeiten und Sprachstörungen festgestellt.<br />
Deshalb hat <strong>de</strong>r Gesetzgeber in § 37 Abs. 1 <strong>Bran<strong>de</strong>nburg</strong>isches Schulgesetz für alle<br />
Kin<strong>de</strong>r im Jahr vor <strong>de</strong>r Einschulung die Pflicht zur Teilnahme an einer Sprachstandsfeststellung<br />
vorgesehen. Wird im Rahmen dieses Verfahrens ein Sprachför<strong>de</strong>rbedarf festgestellt,<br />
besteht wie<strong>de</strong>rum eine Pflicht zur Teilnahme an einem entsprechen<strong>de</strong>n Sprachför<strong>de</strong>rkurs<br />
in einer Kita.<br />
Sofern die Eltern ihrer Verpflichtung zur Sicherstellung <strong>de</strong>r Teilnahme ihres Kin<strong>de</strong>s an<br />
einem Sprachför<strong>de</strong>rkurs nicht nachkommen, sah <strong>de</strong>r Entwurf <strong>de</strong>r Verordnung zunächst<br />
vor, dass die Kin<strong>de</strong>rtagesstätten die (vermeintlich) zuständige Grundschule darüber zu<br />
unterrichten haben. Hiergegen hatten wir datenschutzrechtliche Be<strong>de</strong>nken. Da insbeson<strong>de</strong>re<br />
noch kein öffentlich-rechtliches Schulverhältnis begrün<strong>de</strong>t wur<strong>de</strong>, erlauben es schulrechtliche<br />
Vorschriften <strong>de</strong>r Schule ohnehin nicht, auf Schulpflichtverletzungen einzuwirken.<br />
Liegt <strong>de</strong>r Sprachför<strong>de</strong>rkurs zeitlich vor <strong>de</strong>r Anmeldung <strong>de</strong>s schulpflichtigen Kin<strong>de</strong>s an <strong>de</strong>r<br />
örtlich zuständigen Schule, kann die Kin<strong>de</strong>rtagesstätte gar nicht wissen, welche Schule<br />
die zuständige ist. Kommen mehrere Schulen für die Anmeldung infrage, wählen beispielsweise<br />
die Eltern die Schule aus. Es war somit nicht sichergestellt, dass auch die<br />
Schule, mit <strong>de</strong>r das Schulverhältnis letztendlich begrün<strong>de</strong>t wird, die erfor<strong>de</strong>rlichen personenbezogenen<br />
Daten erhält. Dem gegenüber hätten Schulen, mit <strong>de</strong>nen gera<strong>de</strong> kein<br />
61 Verordnung zur Durchführung <strong>de</strong>r Sprachstandsfeststellung und kompensatorischen Sprachför<strong>de</strong>rung (SprachfestFör<strong>de</strong>rverordnung – SfFV)<br />
vom 3. August 2009 (GVBl. II S. 505)<br />
Seite 125 von 195
Schulverhältnis begrün<strong>de</strong>t wird, Daten erhalten, die für ihre Aufgabenerfüllung nicht erfor<strong>de</strong>rlich<br />
gewesen wären.<br />
Das Ministerium berücksichtigte unsere Be<strong>de</strong>nken und än<strong>de</strong>rte <strong>de</strong>n Entwurf. Nunmehr<br />
unterrichten die Kitas nicht mehr die Grundschulen, son<strong>de</strong>rn das zuständige staatliche<br />
Schulamt.<br />
Über die mangeln<strong>de</strong> Teilnahme eines Vorschulkin<strong>de</strong>s an einem verpflichten<strong>de</strong>n Sprachför<strong>de</strong>rkurs<br />
darf die Kin<strong>de</strong>rtagesstätte ausschließlich das regional zuständige staatliche<br />
Schulamt unterrichten.<br />
Seite 126 von 195
6.3 Gegensprechanlage mit Überwachungsmöglichkeit<br />
In einer För<strong>de</strong>rschule für geistig behin<strong>de</strong>rte Kin<strong>de</strong>r wur<strong>de</strong> eine Gegensprechanlage<br />
installiert, die das unbemerkte Abhören <strong>de</strong>r Unterrichtsräume ermöglichte.<br />
Im Zuge <strong>de</strong>s Umbaus eines Gebäu<strong>de</strong>s zu einer För<strong>de</strong>rschule hat <strong>de</strong>r zuständige Schulträger,<br />
eine Wechselsprechanlage installiert, damit Lehrkräfte im Notfall schnell das Sekretariat<br />
alarmieren können. Es gab Grund zur Annahme, dass diese Anlage missbräuchlich<br />
genutzt wer<strong>de</strong>n könnte.<br />
Im Ergebnis einer unangekündigten Kontrolle bestätigte sich <strong>de</strong>r Verdacht, dass je<strong>de</strong><br />
Person vom Sekretariat aus eine Verbindung zu <strong>de</strong>n Nebenstellen in <strong>de</strong>n Fach-, Klassen-<br />
, Aufenthalts- und Büroräumen hätte aufbauen können. Da die Nebenstellen <strong>de</strong>n Aufbau<br />
einer Verbindung we<strong>de</strong>r optisch noch akustisch anzeigten, bestand die Möglichkeit <strong>de</strong>s<br />
unbemerkten Abhörens von Lehrern und Schülern.<br />
Wir haben die Schulleitung, <strong>de</strong>n Schulträger sowie <strong>de</strong>n Vermieter <strong>de</strong>s Schulgebäu<strong>de</strong>s<br />
darauf hingewiesen, dass entsprechend <strong>de</strong>r momentanen Konfiguration <strong>de</strong>r Wechselsprechanlage<br />
ein datenschutzgerechter Betrieb nicht möglich ist. Da ein Umbau technisch<br />
ausgeschlossen war, musste eine Lösung gefun<strong>de</strong>n wer<strong>de</strong>n, bei <strong>de</strong>r die Anlage nur<br />
in einer Richtung zu betreiben ist, um das Absetzen eines Notrufes von <strong>de</strong>r Nebenstelle<br />
zum Sekretariat zu ermöglichen.<br />
Nach intensiver Beratung durch unsere Behör<strong>de</strong> ist das zentrale Bedienteil in einem<br />
elektromechanisch verriegelten Kompaktschaltschrank mit manipulationssicherem Ereignisspeicher<br />
eingebettet wor<strong>de</strong>n. Dieser ermöglicht <strong>de</strong>n Zugriff erst nach einer Authentifizierung<br />
mittels eines personalisierten Schlüssels. Der Lautsprecher wur<strong>de</strong> so angeordnet,<br />
dass <strong>de</strong>r Notruf von <strong>de</strong>r Nebenstelle zum Sekretariat je<strong>de</strong>rzeit dort akustisch wahrgenommen<br />
wer<strong>de</strong>n kann. Somit können alle anwesen<strong>de</strong>n Personen, auch wenn sie nicht<br />
über einen Schlüssel verfügen, entsprechen<strong>de</strong> Hilfsmaßnahmen ergreifen.<br />
Da <strong>de</strong>r Betrieb <strong>de</strong>r Gegensprechanlage geeignet ist, das Verhalten o<strong>de</strong>r die Leistung <strong>de</strong>r<br />
Beschäftigten zu überwachen, han<strong>de</strong>lt es sich gem. § 65 Nr. 2 Personalvertretungsge-<br />
Seite 127 von 195
setz um eine mitbestimmungspflichtige Angelegenheit, bei <strong>de</strong>r <strong>de</strong>r Lehrerrat im Rahmen<br />
einer Dienstvereinbarung zu beteiligen ist. Diese Dienstvereinbarung muss im Wesentlichen<br />
Festlegungen zur Umsetzung <strong>de</strong>r getroffenen Maßnahmen, zu Zugangsberechtigungen<br />
sowie zur Art und Weise <strong>de</strong>r Auswertung <strong>de</strong>r Protokolldateien enthalten.<br />
Aus unserer Sicht sind die nunmehr getroffenen technischen und organisatorischen<br />
Maßnahmen geeignet, die missbräuchliche Nutzung <strong>de</strong>s unbemerkten Abhörens von<br />
Schülern und Lehrern weitestgehend zu verhin<strong>de</strong>rn.<br />
Die Freigabe einer Wechselsprechanlage darf nur erfolgen, wenn durch technische und<br />
organisatorische Maßnahmen einschließlich einer Dienstvereinbarung sichergestellt ist,<br />
dass die Risiken für die Betroffenen beherrscht wer<strong>de</strong>n.<br />
Seite 128 von 195
6.4 Tagespflegestatistik – keine Auskunftspflicht für Tagespflegepersonen<br />
Durch eine Eingabe wur<strong>de</strong>n wir darauf aufmerksam, dass ein Landkreis Tagesmütter<br />
dazu auffor<strong>de</strong>rte, Angaben über die von ihnen betreuten Kin<strong>de</strong>r für eine Bun<strong>de</strong>sstatistik<br />
personenbezogen (mit Namen und Geburtstag) zu mel<strong>de</strong>n. Da nur die<br />
Tagespflegepersonen die aktuellen und vollständigen Daten kennen, verfielen<br />
noch etliche an<strong>de</strong>re Jugendämter auf die I<strong>de</strong>e, die Tagesmütter in das Verfahren<br />
einzubeziehen. Die einen ließen sich die Angaben zuschicken, um ihren eigenen<br />
Datenbestand abzugleichen, an<strong>de</strong>re veranlassten die Tagespflegepersonen zu einer<br />
Übermittlung <strong>de</strong>r Daten an das Amt für Statistik Berlin-<strong>Bran<strong>de</strong>nburg</strong>.<br />
Während <strong>de</strong>r fragliche Landkreis zunächst hartnäckig seine Vorgehensweise verteidigte,<br />
weil er es für seine Pflicht hielt, das Formular für die Bun<strong>de</strong>sstatistik möglichst vollständig<br />
und mit aktuellen Angaben auszufüllen, teilte das Ministerium für Bildung, Jugend und<br />
Sport unsere Auffassung: § 102 Abs. 2 Achtes Buch Sozialgesetzbuch sieht eine Auskunftspflicht<br />
für Tagespflegepersonen nicht vor. Angesichts <strong>de</strong>r abschließen<strong>de</strong>n Aufzählung<br />
<strong>de</strong>r Auskunftspflichtigen besteht auch kein Raum für eine Auslegung <strong>de</strong>r Vorschrift.<br />
Der Landkreis darf somit die ihm für die Statistik fehlen<strong>de</strong>n Angaben nicht von <strong>de</strong>n Tagesmüttern<br />
erfragen und muss in diesem Fall in Kauf nehmen, keine vollständigen Daten<br />
zur Bun<strong>de</strong>sstatistik beitragen zu können.<br />
Eine Nutzung <strong>de</strong>r für die Statistik erhobenen Angaben für an<strong>de</strong>re Zwecke wie etwa einen<br />
Abgleich mit vorhan<strong>de</strong>nen Verwaltungsdaten hielten das Ministerium und wir ebenfalls für<br />
unzulässig.<br />
Vorgaben in statistischen Erhebungsbögen verleiten leicht dazu, die erfragten Angaben<br />
kritiklos zu erheben. Statt<strong>de</strong>ssen ist stets zu prüfen, ob eine gesetzliche Grundlage hierfür<br />
besteht.<br />
Seite 129 von 195
7 Arbeit, Soziales, Frauen und Familie<br />
7.1 Zum Umgang mit persönlichen Daten <strong>de</strong>r Empfänger von<br />
Arbeitslosengeld II<br />
Seit nunmehr fünf Jahren gibt es die Möglichkeit, Leistungen zur Grundsicherung<br />
für Arbeitsuchen<strong>de</strong> zu beantragen. Seit dieser Zeit erreichen uns Fragen von Bürgern,<br />
ob und wenn ja, welche Dokumente sie <strong>de</strong>n Hartz-IV-Behör<strong>de</strong>n vorlegen<br />
müssen. Was darf in <strong>de</strong>n Akten gespeichert, was an Dritte übermittelt wer<strong>de</strong>n?<br />
7.1.1 Vorlage von Kontoauszügen<br />
Die von uns und an<strong>de</strong>ren Datenschutzbeauftragten seit Jahren vertretene Rechtsauffassung<br />
wur<strong>de</strong> nun durch ein Urteil <strong>de</strong>s Bun<strong>de</strong>ssozialgerichts bestätigt. 62 Grundsätzlich ist<br />
die Anfor<strong>de</strong>rung von Kontoauszügen <strong>de</strong>r letzten ein bis drei Monate bei <strong>de</strong>r erstmaligen<br />
o<strong>de</strong>r Folgebeantragung von Leistungen sowie von einmaligen Beihilfen zulässig. Kontoauszüge<br />
eines längeren Zeitraums dürfen zum Zweck <strong>de</strong>r Klärung einer konkreten Frage<br />
zu <strong>de</strong>n Einkommens- und Vermögensverhältnissen <strong>de</strong>s Antragstellers verlangt wer<strong>de</strong>n,<br />
wenn die Vorlage an<strong>de</strong>rer Unterlagen dazu nicht ausreicht bzw. wenn konkrete Zweifel<br />
an <strong>de</strong>r Vollständigkeit o<strong>de</strong>r Richtigkeit <strong>de</strong>r Angaben bestehen. Die Schwärzung einzelner<br />
Buchungstexte ist insbeson<strong>de</strong>re bei Sollbuchungen über geringe Beträge zulässig. Dies<br />
gilt in je<strong>de</strong>m Fall, wenn <strong>de</strong>r Buchungstext Rückschlüsse auf politische, weltanschauliche<br />
o<strong>de</strong>r religiöse Ansichten zulässt. Das Amt ist verpflichtet, bereits bei <strong>de</strong>r Anfor<strong>de</strong>rung <strong>de</strong>r<br />
Kontoauszüge auf die Möglichkeit <strong>de</strong>s Schwärzens hinzuweisen. Kopien <strong>de</strong>r vorgelegten<br />
Kontoauszüge dürfen nur zu <strong>de</strong>n Akten genommen wer<strong>de</strong>n, wenn diese ausschließlich<br />
leistungsrelevante Angaben enthalten. 63<br />
62 Urteil <strong>de</strong>s Bun<strong>de</strong>ssozialgerichts vom 19. September 2008 (B 14 AS 45/07 R)<br />
63 siehe auch http://www.lda.bran<strong>de</strong>nburg.<strong>de</strong> Infos zum Datenschutz Arbeit, Soziales, Gesundheit und Familie/Frauen Hinweise zur datenschutzgerechten<br />
Ausgestaltung <strong>de</strong>r Anfor<strong>de</strong>rungen von Kontoauszügen bei <strong>de</strong>r Beantragung von Sozialleistungen<br />
Seite 130 von 195
64 vgl. Tätigkeitsbericht 2004/2005, A 1.5.1<br />
Seite 131 von 195<br />
7.1.2 Mehrbedarf für kostenaufwändige Ernährung<br />
Für die Beantragung eines ernährungsbedingten Mehrbedarfs wur<strong>de</strong> <strong>de</strong>m Betroffenen<br />
vom Grundsicherungsamt für Arbeitsuchen<strong>de</strong> ein Formular zur Vorlage bei seinem Arzt<br />
ausgehändigt. Neben <strong>de</strong>r Angabe, welche Erkrankung <strong>de</strong>n Mehrbedarf bedingt, sollte <strong>de</strong>r<br />
behan<strong>de</strong>ln<strong>de</strong> Arzt Körpergröße und -gewicht <strong>de</strong>s Betroffenen eintragen. Diese Angaben<br />
sind für die Feststellung, ob eine Erkrankung einen Mehrbedarf auslöst, jedoch nicht erfor<strong>de</strong>rlich.<br />
Es genügt, dass <strong>de</strong>r behan<strong>de</strong>ln<strong>de</strong> Arzt lediglich die Krankheit im Ankreuzverfahren<br />
angibt, für die Mehrkosten bei <strong>de</strong>r Ernährung entstehen. Außer<strong>de</strong>m fehlte auf <strong>de</strong>m<br />
Formular eine Erklärung zur Entbindung <strong>de</strong>s Arztes von <strong>de</strong>r Schweigepflicht. Auf unsere<br />
Empfehlung än<strong>de</strong>rte das Grundsicherungsamt das Formular.<br />
7.1.3 Speicherung von Gesundheitsdaten<br />
Im Rahmen einer von <strong>de</strong>r Hartz-IV-Behör<strong>de</strong> beauftragten Untersuchung erstellt <strong>de</strong>r Arzt<br />
ein Gutachten zur Erwerbsfähigkeit <strong>de</strong>s Antragstellers. Dabei ist auf eine strikte Datentrennung<br />
zu achten: Die medizinische Dokumentation verbleibt beim Arzt; die sozialmedizinische<br />
Stellungnahme wird an <strong>de</strong>n Arbeitsvermittler übermittelt. Letzterer enthält also<br />
lediglich das für die Vermittlung relevante Ergebnis (z. B. „kein schweres Heben“ o<strong>de</strong>r<br />
„keine Schichtarbeit“). Angaben zur Diagnose o<strong>de</strong>r zu Therapien darf <strong>de</strong>r Arzt nicht an<br />
die Hartz-IV-Behör<strong>de</strong> übermitteln. Die Bun<strong>de</strong>sagentur für Arbeit verwen<strong>de</strong>t inzwischen<br />
Formulare, die eine entsprechen<strong>de</strong> Unterteilung vorsehen.<br />
7.1.4 Datenerhebung beim potenziellen Arbeitgeber<br />
Empfänger von Arbeitslosengeld II müssen in <strong>de</strong>r Regel ihre Bemühungen um einen<br />
Arbeitsplatz gegenüber <strong>de</strong>m Grundsicherungsamt belegen. In <strong>de</strong>r mit <strong>de</strong>m Leistungsempfänger<br />
abzuschließen<strong>de</strong>n Einglie<strong>de</strong>rungsvereinbarung wird festgelegt, wie viele Bewerbungen<br />
monatlich nachzuweisen sind und in welcher Form <strong>de</strong>r Nachweis zu erfolgen hat.<br />
Geeignete Mittel sind das Bewerbungsanschreiben o<strong>de</strong>r die Bestätigung <strong>de</strong>r Bewerbung
durch <strong>de</strong>n Arbeitgeber.<br />
Grundsätzlich sind diese Sozialdaten gemäß § 67a Abs. 2 Satz 1 Zehntes Buch Sozialgesetzbuch<br />
beim Leistungsempfänger zu erheben. Nicht selten kommt es jedoch vor,<br />
dass das Grundsicherungsamt direkt mit <strong>de</strong>m potenziellen Arbeitgeber Kontakt aufnimmt<br />
und nachfragt, ob und mit welchem Erfolg sich <strong>de</strong>r Leistungsempfänger beworben habe.<br />
Ohne Anhaltspunkte für missbräuchliches Verhalten <strong>de</strong>s Leistungsempfängers halten wir<br />
diese routinemäßige Abfrage unter Umgehung <strong>de</strong>s Ersterhebungsgrundsatzes für unzulässig.<br />
Sollte es im Einzelfall Anlass zu einer Nachfrage beim Arbeitgeber geben, so wird<br />
die Dokumentation <strong>de</strong>r Grün<strong>de</strong> dafür empfohlen.<br />
7.1.5 Datenerhebung beim Vermieter<br />
Eine Hartz-IV-Behör<strong>de</strong> hat sich ohne Wissen <strong>de</strong>r Betroffenen an die Wohnungsgenossenschaft<br />
gewandt, um Einzelheiten zum Mietverhältnis zu erfahren. Sie hielt dieses Vorgehen<br />
zur Vermeidung einer zeitlichen Verzögerung bei <strong>de</strong>r Antragsbearbeitung für notwendig,<br />
da die Betroffenen in ihrer Korrespon<strong>de</strong>nz mit <strong>de</strong>r Behör<strong>de</strong> ihre Telefonnummer<br />
zuvor nicht angegeben hatten. Durch dieses Vorgehen erfuhr die Genossenschaft davon,<br />
dass die betreffen<strong>de</strong>n Mieter auf Sozialleistungen angewiesen sind.<br />
Für ein Abweichen vom Ersterhebungsgrundsatz reicht die Tatsache, dass die Rufnummer<br />
o<strong>de</strong>r die E-Mail-Adresse nicht angegeben wor<strong>de</strong>n war, nicht aus. Die Angabe von<br />
Telefonnummern ist freiwillig. Empfänger von Arbeitslosengeld II sind lediglich zur Sicherstellung<br />
<strong>de</strong>r postalischen Erreichbarkeit verpflichtet. Das Amt hätte die Betroffenen<br />
vielmehr schriftlich auffor<strong>de</strong>rn müssen, die noch ausstehen<strong>de</strong>n Unterlagen beizubringen.<br />
Insofern war die direkte Kontaktaufnahme mit <strong>de</strong>r Wohnungsgenossenschaft unzulässig.<br />
Das Amt teilte uns mit, dass es sich unserer Rechtsauffassung anschließe und künftig<br />
<strong>de</strong>n Grundsatz <strong>de</strong>r Ersterhebung beim Betroffenen beachten wer<strong>de</strong>.<br />
7.1.6 Daten auf <strong>de</strong>m Flur<br />
Selbstverständlich sollte es sein, dass Daten, die <strong>de</strong>m Sozialgeheimnis unterliegen, nicht<br />
Seite 132 von 195
für je<strong>de</strong>rmann einsehbar aufbewahrt wer<strong>de</strong>n. Dennoch mussten wir bei einem Kontrollbesuch<br />
in einem Grundsicherungsamt feststellen, dass im Flur <strong>de</strong>s Empfangsbereiches<br />
offene Posteingänge, Leistungsbeschei<strong>de</strong>, schriftliche Geldanweisungen an Hartz-IV-<br />
Empfänger sowie komplette Leistungsakten ungesichert gelagert wur<strong>de</strong>n. Je<strong>de</strong>m Besucher<br />
war es damit möglich, ungestört ihre Inhalte zur Kenntnis zu nehmen. Dies ist ein<br />
grober Verstoß gegen sozialdatenschutzrechtliche Vorschriften. Aufgrund <strong>de</strong>r sofortigen<br />
Beendigung <strong>de</strong>s rechtswidrigen Zustan<strong>de</strong>s haben wir jedoch von einer Beanstandung<br />
abgesehen.<br />
7.1.7 Datenerhebung bei Selbstständigen<br />
Empfänger von Arbeitslosengeld II, die zugleich eine selbstständige Tätigkeit ausüben,<br />
müssen ihre Einkünfte offenlegen. Zur Berechnung <strong>de</strong>s Einkommens sind die tatsächlich<br />
geleisteten notwendigen Ausgaben von <strong>de</strong>n Betriebseinnahmen abzuziehen, was eine<br />
äußerst umfangreiche Datenerhebung zur Folge hat. Mehrfach wur<strong>de</strong> dabei von Hartz-IV-<br />
Behör<strong>de</strong>n die Bekanntgabe von Kun<strong>de</strong>ndaten <strong>de</strong>s Selbstständigen o<strong>de</strong>r die Vorlage von<br />
Arbeitsverträgen seiner Angestellten verlangt. Dies ist grundsätzlich für die Einkommensberechnung<br />
nicht erfor<strong>de</strong>rlich. Gegebenenfalls sind nicht notwendige Daten zu schwärzen.<br />
7.1.8 Datenzugriff im Verfahren A2LL<br />
Die Arbeitsgemeinschaften nutzen bei <strong>de</strong>r Datenverarbeitung die Leistungs- und Berechnungssoftware<br />
A2LL. Wie wir bereits zu einem früheren Zeitpunkt 64 bemängelt hatten,<br />
besteht für die Sachbearbeiter ein uneingeschränkter bun<strong>de</strong>sweiter Zugriff auf alle Daten<br />
<strong>de</strong>r Leistungsempfänger. Dieser datenschutzrechtliche Mangel wur<strong>de</strong> zwar nicht behoben;<br />
eine Protokollierung <strong>de</strong>r Zugriffe ermöglicht jetzt zumin<strong>de</strong>st eine nachträgliche Aufklärung<br />
im Fall von unberechtigter Kenntnisnahme.<br />
So war es uns möglich, <strong>de</strong>n wie<strong>de</strong>rholten Zugriff eines unzuständigen Mitarbeiters auf<br />
sensitive Daten eines Leistungsempfängers (z. B. auf Einkommensdaten, <strong>de</strong>n beruflichen<br />
Wer<strong>de</strong>gang, anstehen<strong>de</strong> Weiterbildungsmaßnahmen, Erkrankungen) aufzuklären. Für<br />
diese Recherchen gab es keinen fachlichen Anlass. Sie stellen somit eine bewusste,<br />
Seite 133 von 195
systematische Verletzung <strong>de</strong>s Sozialdatenschutzes dar.<br />
Zuständigkeitshalber haben wir <strong>de</strong>n Vorfall an <strong>de</strong>n Bun<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz<br />
und die Informationsfreiheit weitergeleitet. Dieser prüft nun, ob gegenüber <strong>de</strong>r<br />
Arbeitsgemeinschaft eine Beanstandung ausgesprochen wer<strong>de</strong>n muss.<br />
Die Arbeitsgemeinschaften sind als Daten verarbeiten<strong>de</strong> Stellen für <strong>de</strong>n Schutz <strong>de</strong>s Sozialgeheimnisses<br />
ihrer Leistungsempfänger zumin<strong>de</strong>st mitverantwortlich. Sie sollten dazu<br />
verpflichtet wer<strong>de</strong>n, stichprobenartig einmal im Quartal o<strong>de</strong>r halbjährlich die im Programm<br />
A2LL erzeugten Protokolle auf unberechtigte Zugriffe zu überprüfen und bei Auffälligkeiten<br />
entsprechen<strong>de</strong> Maßnahmen einzuleiten.<br />
Die Hartz-IV-Behör<strong>de</strong>n dürfen nur solche Daten erheben, die für die Feststellung <strong>de</strong>s<br />
Leistungsanspruchs unerlässlich sind. Der Ersterhebungsgrundsatz ist dabei stets zu<br />
beachten.<br />
Solange die Software A2LL keine Einschränkung von Zugriffen auf das erfor<strong>de</strong>rliche Maß<br />
ermöglicht, sind die Zugriffsprotokolle zumin<strong>de</strong>st stichprobenartig auf unberechtigte Abfragen<br />
zu überprüfen.<br />
Eine regelmäßige Schulung <strong>de</strong>r Mitarbeiter zum Sozialdatenschutz ist notwendig.<br />
7.2 Sozialdatenschutz im Verfahren zur Feststellung einer Behin<strong>de</strong>rung<br />
Das Lan<strong>de</strong>samt für Soziales und Versorgung benötigt zur Prüfung eines Antrags<br />
auf Feststellung <strong>de</strong>s Vorliegens einer Behin<strong>de</strong>rung und <strong>de</strong>ren Gra<strong>de</strong>s medizinische<br />
Unterlagen über <strong>de</strong>n Antragsteller. Bislang for<strong>de</strong>rte es die Befun<strong>de</strong> von <strong>de</strong>n Ärzten,<br />
Leistungsträgern und an<strong>de</strong>ren Einrichtungen nur unter Vorlage <strong>de</strong>r Erklärung <strong>de</strong>s<br />
Betroffenen zur Einwilligung in die Datenverarbeitung sowie zur Entbindung von<br />
<strong>de</strong>r ärztlichen Schweigepflicht an. Im Frühjahr <strong>de</strong>s Jahres 2008 än<strong>de</strong>rte das Lan<strong>de</strong>samt<br />
diese Vorgehensweise und sah fortan davon ab, diese Erklärungen vorzu-<br />
Seite 134 von 195
legen.<br />
Hintergrund für die geän<strong>de</strong>rte Praxis war die Absicht, das Verfahren zur Feststellung<br />
einer Behin<strong>de</strong>rung sowie zur Ausstellung eines Schwerbehin<strong>de</strong>rtenausweises nach § 69<br />
Neuntes Buch Sozialgesetzbuch zu vereinfachen. Das Lan<strong>de</strong>samt ging davon aus, dass<br />
die Übersendung <strong>de</strong>r Erklärungen <strong>de</strong>s Antragstellers zur Einwilligung in die Datenverarbeitung<br />
sowie zur Entbindung von <strong>de</strong>r ärztlichen Schweigepflicht <strong>de</strong>r geplanten Einführung<br />
<strong>de</strong>s neuen, speziell für diese Angelegenheit beschafften IT-Verfahrens schweb.NET<br />
im Wege stün<strong>de</strong>. Die Behör<strong>de</strong> war <strong>de</strong>r Auffassung, es genüge, wenn die Sachbearbeiter<br />
<strong>de</strong>n Ärzten lediglich mitteilen, dass solche Erklärungen in <strong>de</strong>r Akte vorliegen. Dieser<br />
Rechtsauffassung folgten wir nicht.<br />
Leistungsträger im Sinne <strong>de</strong>s § 35 Erstes Buch Sozialgesetzbuch (SGB I) müssen das<br />
dort verankerte Sozialgeheimnis beachten. Danach ist eine Übermittlung von Sozialdaten<br />
an Dritte – also auch an das Lan<strong>de</strong>samt für Soziales und Versorgung – grundsätzlich nur<br />
zulässig, wenn entwe<strong>de</strong>r eine gesetzliche Übermittlungsbefugnis vorliegt o<strong>de</strong>r <strong>de</strong>r Betroffene<br />
eingewilligt hat. Um dies zu beurteilen, muss sie prüfen können, ob die Einwilligungserklärung<br />
nach § 67b Abs. 2 Zehntes Buch Sozialgesetzbuch (SGB X) wirksam<br />
erteilt wur<strong>de</strong>. Dies kann sie nur, wenn ihr die Erklärung auch zur Verfügung steht. Die<br />
Verantwortung für die Zulässigkeit einer Übermittlung trägt die übermitteln<strong>de</strong> Stelle (§ 67d<br />
Abs. 2 Satz 1 SGB X).<br />
Für alle an<strong>de</strong>ren, nicht in § 35 SGB I genannten medizinischen Einrichtungen sowie für<br />
Ärzte gelten die Vorschriften <strong>de</strong>s Bun<strong>de</strong>sdatenschutzgesetzes sowie <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes. Bei<strong>de</strong> Rechtsgrundlagen enthalten ebenfalls keine Pflicht<br />
<strong>de</strong>r ersuchten Stellen, die Daten <strong>de</strong>s Betroffenen ohne Prüfung seiner Erklärung über die<br />
Einwilligung in die Datenverarbeitung an das Lan<strong>de</strong>samt für Soziales und Versorgung zu<br />
übermitteln. Die ärztliche Schweigepflicht kann auch in diesen Fällen nur unter Vorlage<br />
einer wirksamen Entbindungserklärung aufgehoben wer<strong>de</strong>n.<br />
Im Ergebnis einer Abstimmung mit <strong>de</strong>m Ministerium für Arbeit, Soziales, Gesundheit und<br />
Familie folgte das Lan<strong>de</strong>samt für Soziales und Versorgung unserer Rechtsauffassung.<br />
Künftig wer<strong>de</strong>n die Erklärung <strong>de</strong>s Antragstellers über die Einwilligung in die Datenverar-<br />
Seite 135 von 195
eitung sowie die Entbindung von <strong>de</strong>r ärztlichen Schweigepflicht gescannt, in <strong>de</strong>m neuen<br />
Verfahren schweb.NET digital hinterlegt und je<strong>de</strong>m Auskunftsersuchen <strong>de</strong>r Behör<strong>de</strong> an<br />
Ärzte, medizinische Einrichtungen o<strong>de</strong>r Leistungsträger beigefügt. Bis zur vollständigen<br />
technischen Umsetzung <strong>de</strong>s neuen Verfahrens wer<strong>de</strong>n die Erklärungen fotokopiert und<br />
<strong>de</strong>n entsprechen<strong>de</strong>n Schreiben beigefügt.<br />
Ärzte, medizinische Einrichtungen o<strong>de</strong>r Leistungsträger können Gesundheitsdaten nur an<br />
das Lan<strong>de</strong>samt für Soziales und Versorgung übermitteln, wenn <strong>de</strong>r betroffene Antragsteller<br />
wirksam in die Datenverarbeitung einwilligt und die Ärzte von <strong>de</strong>r Schweigepflicht<br />
entbin<strong>de</strong>t. Um zu prüfen, ob dies <strong>de</strong>r Fall ist, muss ihnen die Erklärung <strong>de</strong>s Betroffenen<br />
zur Verfügung stehen.<br />
Seite 136 von 195
66 HEGA 08/07 – 22 – GA Nr. 27 vom 20. August 2007<br />
Seite 137 von 195<br />
7.3 Kontendatenabruf durch Sozialleistungsträger<br />
Im letzten Tätigkeitsbericht 65 wiesen wir auf die Aufnahme einer Regelung in die<br />
Abgabenordnung (AO) hin, die es unter an<strong>de</strong>rem <strong>de</strong>n für die Grundsicherung für<br />
Arbeitsuchen<strong>de</strong> zuständigen Behör<strong>de</strong>n ermöglicht, beim Bun<strong>de</strong>szentralamt für<br />
Steuern Kontostammdaten abzufragen. Die Kontenabfrage ist streng geregelt und<br />
darf nur im begrün<strong>de</strong>ten Einzelfall erfolgen. Wir haben stichprobenartig ein Job-<br />
Center auf die Einhaltung <strong>de</strong>r datenschutzrechtlichen Anfor<strong>de</strong>rungen bei <strong>de</strong>r<br />
Durchführung <strong>de</strong>r Kontendatenabfrage kontrolliert.<br />
Das Kontendatenabrufverfahren nach § 93 Abs. 8 AO ist zur Überprüfung <strong>de</strong>s Vorliegens<br />
<strong>de</strong>r Anspruchsvoraussetzungen für <strong>de</strong>n Leistungsbezug zulässig, sofern die Abfrage<br />
erfor<strong>de</strong>rlich ist und ein vorheriges Auskunftsersuchen bei <strong>de</strong>m Betroffenen nicht zum Ziel<br />
geführt hat o<strong>de</strong>r keinen Erfolg verspricht.<br />
In einer Geschäftsanweisung 66 legt die Bun<strong>de</strong>sagentur für Arbeit die Voraussetzungen<br />
und das Verfahren für <strong>de</strong>n Abruf von Kontenstammdaten durch die Arbeitsgemeinschaften<br />
bzw. JobCenter fest. Die Geschäftsanweisung beinhaltet eine ausführliche Dokumentationspflicht<br />
hinsichtlich <strong>de</strong>r Ermessenserwägungen, wodurch <strong>de</strong>m Erfor<strong>de</strong>rlichkeitsprinzip<br />
<strong>de</strong>s § 93 Abs. 8 AO im Einzelfall Rechnung getragen wer<strong>de</strong>n soll. Es wer<strong>de</strong>n die einzelnen<br />
für die Ermessenserwägungen relevanten Kriterien (Verhältnismäßigkeit <strong>de</strong>r Mittel,<br />
zur Erfor<strong>de</strong>rlichkeit, Zumutbarkeit, Treu und Glauben und zum Willkür- und Übermaßverbot)<br />
aufgeführt. Die Mitarbeiter sind angewiesen, die fallbezogenen Erwägungen zu<br />
diesen Kriterien in <strong>de</strong>r Akte zu dokumentieren. Insbeson<strong>de</strong>re sollen die Grün<strong>de</strong>, weshalb<br />
die Durchführung <strong>de</strong>s Abrufes erfor<strong>de</strong>rlich ist, sowie die erfolgte Information <strong>de</strong>s Betroffenen<br />
vor und nach <strong>de</strong>r Abfrage beim Bun<strong>de</strong>szentralamt für Steuern vermerkt wer<strong>de</strong>n. Bestandteil<br />
<strong>de</strong>r Geschäftsanweisung ist weiterhin ein Vordruck für das Abrufersuchen, <strong>de</strong>r<br />
zwischen <strong>de</strong>m Bun<strong>de</strong>szentralamt für Steuern, <strong>de</strong>m Bun<strong>de</strong>sministerium für Finanzen und<br />
<strong>de</strong>m Bun<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und die Informationsfreiheit abgestimmt<br />
wur<strong>de</strong>. Der vollständig ausgefüllte Vordruck soll durch <strong>de</strong>n Teamleiter unterzeichnet wer-<br />
65 vgl. Tätigkeitsbericht 2006/2007, A 9.1.2
<strong>de</strong>n.<br />
In <strong>de</strong>n von uns geprüften Einzelfällen wur<strong>de</strong>n die Betroffen mit Übersendung <strong>de</strong>s Fortzahlungsantrages<br />
über die Möglichkeit <strong>de</strong>s Kontendatenabrufs informiert. Gleichfalls<br />
erfolgte diese Information über das Merkblatt zur Grundsicherung für Arbeitsuchen<strong>de</strong> <strong>de</strong>r<br />
Bun<strong>de</strong>sagentur für Arbeit.<br />
Im Ergebnis <strong>de</strong>r Prüfung mussten wir feststellen, dass zwar <strong>de</strong>r zur Abfrage bereitgestellte<br />
Vordruck genutzt, jedoch nicht konsequent am Einzelfall orientiert ausgefüllt wur<strong>de</strong>.<br />
Insofern konnte die Entscheidung <strong>de</strong>s JobCenters, <strong>de</strong>n Kontendatenabruf vorzunehmen,<br />
nicht komplett nachvollzogen wer<strong>de</strong>n. Darüber hinaus war <strong>de</strong>r ausgefüllte Vordruck durch<br />
<strong>de</strong>n Teamleiter abgezeichnet wor<strong>de</strong>n, doch befand sich in <strong>de</strong>n Akten keine Kopie <strong>de</strong>s<br />
Abfrageersuchens, son<strong>de</strong>rn lediglich ein nicht unterzeichneter Computerausdruck.<br />
Die unvollständige Aktenführung wur<strong>de</strong> von uns ebenso kritisiert, wie die dadurch bedingte<br />
fehlen<strong>de</strong> Nachvollziehbarkeit <strong>de</strong>r Verwaltungsentscheidung. Unsere Hinweise wur<strong>de</strong>n<br />
von <strong>de</strong>r Geschäftsleitung <strong>de</strong>s JobCenters aufgenommen und die Än<strong>de</strong>rung <strong>de</strong>r Verfahrensweise<br />
zugesichert.<br />
Zur Nachprüfbarkeit <strong>de</strong>r rechtlichen Voraussetzungen von Kontendatenabrufen muss<br />
künftig auf eine aussagekräftige und vollständige Dokumentation <strong>de</strong>s Verfahrensablaufs<br />
und <strong>de</strong>r Entscheidungen geachtet wer<strong>de</strong>n.<br />
7.4 Prüfung <strong>de</strong>s Verfahrens Open/Prosoz<br />
Mit <strong>de</strong>m Verfahren Open/Prosoz wer<strong>de</strong>n sensitive personenbezogene Daten <strong>de</strong>r<br />
Antragsteller von Leistungen im Sozialbereich verarbeitet. Im Berichtszeitraum<br />
führten wir eine Kontrolle <strong>de</strong>r Anwendung dieses Verfahrens in einem Amt für Jugend,<br />
Soziales und Wohnen durch.<br />
Aufgrund <strong>de</strong>r Sensitivität <strong>de</strong>r verarbeiteten Daten sind die erfor<strong>de</strong>rlichen technischen und<br />
Seite 138 von 195
organisatorischen Maßnahmen beson<strong>de</strong>rs restriktiv umzusetzen. Im Folgen<strong>de</strong>n berichten<br />
wir über wesentliche Ergebnisse <strong>de</strong>r Prüfung.<br />
7.4.1 Erstellung eines IT-Sicherheitskonzepts<br />
Vor <strong>de</strong>m erstmaligen Einsatz von automatisierten Verfahren, mit <strong>de</strong>nen personenbezogene<br />
Daten verarbeitet wer<strong>de</strong>n, ist gemäß § 7 Abs. 3 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz<br />
(BbgDSG) von <strong>de</strong>r Daten verarbeiten<strong>de</strong>n Stelle zu untersuchen, ob von diesen Verfahren<br />
spezifische Risiken für die Rechte und Freiheiten <strong>de</strong>r Betroffenen ausgehen können.<br />
Die Freigabe eines automatisierten Verfahrens darf nur erteilt wer<strong>de</strong>n, wenn ein aus<br />
einer Risikoanalyse entwickeltes IT-Sicherheitskonzept ergeben hat, dass die Gefahren<br />
durch technisch-organisatorische Maßnahmen nach § 10 Abs. 1 und 2 BbgDSG beherrscht<br />
wer<strong>de</strong>n können. Entsprechend <strong>de</strong>r technischen Entwicklung ist die Ermittlung<br />
<strong>de</strong>r zu treffen<strong>de</strong>n technischen und organisatorischen Maßnahmen in angemessenen<br />
Abstän<strong>de</strong>n zu wie<strong>de</strong>rholen. Durch die Erstellung eines IT-Sicherheitskonzeptes lassen<br />
sich die Gefahren i<strong>de</strong>ntifizieren und bewerten sowie angemessene Sicherheitsmaßnahmen<br />
ableiten.<br />
Während <strong>de</strong>r Prüfung stellten wir fest, dass ein gemäß § 7 Abs. 3 BbgDSG zu erstellen<strong>de</strong>s<br />
IT-Sicherheitskonzept nicht vorhan<strong>de</strong>n war. Nach Angaben <strong>de</strong>s geprüften Amtes für<br />
Jugend, Soziales und Wohnen ist ein solches erst in Arbeit. Wir haben das Amt aufgefor<strong>de</strong>rt,<br />
es schnellstmöglich fertigzustellen und die im Realisierungsplan aufgeführten Maßnahmen<br />
konsequent umzusetzen.<br />
7.4.2 Verschlüsselung sensitiver Daten<br />
Derzeit wer<strong>de</strong>n die in <strong>de</strong>r Open/Prosoz-Datenbank gespeicherten sensitiven Daten (u. a.<br />
Grad und Art <strong>de</strong>r Behin<strong>de</strong>rung, Pflegestufe, ernährungsbedingte Mehrbedarfe) nicht verschlüsselt.<br />
Aufgrund <strong>de</strong>s hohen Schutzbedarfs <strong>de</strong>r personenbezogenen Daten ist eine<br />
Verschlüsselung jedoch zwingend erfor<strong>de</strong>rlich. Im Zuge <strong>de</strong>r Erstellung <strong>de</strong>s IT-<br />
Sicherheitskonzepts ist daher ein Kryptokonzept zu erarbeiten, in <strong>de</strong>m die zu realisieren<strong>de</strong>n<br />
Maßnahmen zur Verschlüsselung <strong>de</strong>r Daten beschrieben wer<strong>de</strong>n. Die Verschlüsselung<br />
<strong>de</strong>r in <strong>de</strong>r Datenbank gespeicherten Daten kann nur gemeinsam mit <strong>de</strong>m Hersteller<br />
Seite 139 von 195
<strong>de</strong>s Verfahrens realisiert wer<strong>de</strong>n.<br />
7.4.3 Sicherung <strong>de</strong>r Arbeitsplatzcomputer<br />
Auf <strong>de</strong>n Arbeitsplatzcomputern (APC) ist das Betriebssystem Windows XP installiert. Zum<br />
Zeitpunkt <strong>de</strong>r Kontrolle waren die USB-Schnittstellen nicht gesperrt, sodass nicht ausgeschlossen<br />
wer<strong>de</strong>n kann, dass sensitive personenbezogene Daten unberechtigt aus <strong>de</strong>m<br />
System auf externe Datenträger (z. B. USB-Stick) kopiert wer<strong>de</strong>n. Auch das Einspielen<br />
von schadhaften Programmen (u. a. Viren und Trojanern) stellt ein nicht zu vernachlässigen<strong>de</strong>s<br />
Risiko dar. Zur Erhöhung <strong>de</strong>r Datensicherheit haben wir die Sperrung <strong>de</strong>r USB-<br />
Schnittstelle gefor<strong>de</strong>rt. Ist dies nicht möglich – z. B. durch Nutzung von externen Gräten,<br />
die einen USB-Anschluss benötigen (Tastatur, Maus, Drucker usw.) – muss die Benutzung<br />
<strong>de</strong>r USB-Schnittstelle durch zusätzliche Sicherheitssoftware eingeschränkt wer<strong>de</strong>n.<br />
Auf <strong>de</strong>m Markt sind Produkte verfügbar, die eine zentrale Administration <strong>de</strong>r USB-<br />
Schnittstelle ermöglichen.<br />
7.4.4 Passwortgestaltung<br />
Die minimale Passwortlänge ist <strong>de</strong>rzeit bei <strong>de</strong>r Anmeldung am System auf fünf und bei<br />
<strong>de</strong>r Anmeldung am Fachverfahren Open/Prosoz auf sechs Zeichen festgelegt. Die Gültigkeitsdauer<br />
<strong>de</strong>r Passwörter beträgt bei Open/Prosoz 90 Tage. Die Systempasswörter<br />
sind in <strong>de</strong>r Gültigkeit <strong>de</strong>rzeit nicht eingeschränkt. Zur Erhöhung <strong>de</strong>r Datensicherheit haben<br />
wir eine restriktive Konfiguration von Passwörtern gefor<strong>de</strong>rt. Die minimale Passwortlänge<br />
muss nach <strong>de</strong>n Vorgaben <strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in <strong>de</strong>r Informationstechnik<br />
einheitlich auf acht Zeichen und die Gültigkeitsdauer <strong>de</strong>r Passwörter einheitlich auf 90<br />
Tage festgelegt wer<strong>de</strong>n.<br />
7.4.5 Protokollierung von Nutzerzugriffen<br />
Die Zugriffe <strong>de</strong>r Nutzer wer<strong>de</strong>n zum Teil protokolliert. Aufgrund einer Versionsumstellung<br />
von Open/Prosoz konnte zum Zeitpunkt <strong>de</strong>r Prüfung nicht abschließend geklärt wer<strong>de</strong>n,<br />
welche Datenfel<strong>de</strong>r konkret protokolliert wer<strong>de</strong>n. Wir haben daher gefor<strong>de</strong>rt, in einer<br />
Dienstanweisung zur Protokollierung genau festzulegen, welche Zugriffe gespeichert<br />
Seite 140 von 195
wer<strong>de</strong>n, wer die Protokolldateien auswertet und wann die Protokolldateien gelöscht wer<strong>de</strong>n.<br />
Diese organisatorische Maßnahme ist aus Grün<strong>de</strong>n <strong>de</strong>r Nachvollziehbarkeit <strong>de</strong>rzeit<br />
beson<strong>de</strong>rs wichtig, weil die sensitiven Daten auf <strong>de</strong>m Server noch unverschlüsselt gespeichert<br />
wer<strong>de</strong>n. Auch haben wir eine regelmäßige Überprüfung <strong>de</strong>r Protokolldateien<br />
gefor<strong>de</strong>rt.<br />
Die Prüfung <strong>de</strong>s Verfahrens Open/Prosoz ergab Mängel. Das kontrollierte Amt für Jugend,<br />
Soziales und Wohnen muss die Erstellung <strong>de</strong>s IT-Sicherheitskonzeptes unter Berücksichtigung<br />
<strong>de</strong>r Standards <strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in <strong>de</strong>r Informationstechnik<br />
zügig abschließen und <strong>de</strong>n daraus resultieren<strong>de</strong>n Maßnahmekatalog konsequent umsetzen.<br />
Seite 141 von 195
7.5 ELENA-Verfahren<br />
Zum 1. Januar 2010 wur<strong>de</strong> <strong>de</strong>r Elektronische Entgeltnachweis (ELENA) eingeführt.<br />
67 Seit diesem Zeitpunkt sind die Arbeitgeber verpflichtet, monatlich die Entgeltdaten<br />
ihrer Beschäftigten an eine Zentrale Speicherstelle zu mel<strong>de</strong>n; die Nutzung<br />
<strong>de</strong>r Daten soll frühestens zwei Jahre später erfolgen. Die datenschutzrechtlichen<br />
Be<strong>de</strong>nken gegen die Schaffung einer bun<strong>de</strong>sweiten zentralen Datenbank<br />
konnten bislang nicht vollständig ausgeräumt wer<strong>de</strong>n.<br />
Mit <strong>de</strong>m ELENA-Verfahren will <strong>de</strong>r Gesetzgeber unter an<strong>de</strong>rem eine Entlastung <strong>de</strong>r Wirtschaft<br />
von Bürokratiekosten erreichen. Die bisher vom Arbeitgeber in Papierform erstellten<br />
Gehaltsbescheinigungen soll <strong>de</strong>r Sozialleistungsbehör<strong>de</strong> elektronisch zur Verfügung<br />
stehen, nach<strong>de</strong>m <strong>de</strong>r Antragsteller sie mit seiner individuellen elektronischen Signaturkarte<br />
für diesen Zweck freigegeben hat. Dennoch wer<strong>de</strong>n die Daten nicht wie bisher erst in<br />
einem solchen Bedarfsfall erhoben, son<strong>de</strong>rn bereits vorab <strong>de</strong>r zentralen Datenbank pauschal<br />
übermittelt. Betroffen davon sind die Einkommensdaten aller abhängig Beschäftigten,<br />
Beamten, Richter und Soldaten, obwohl ein Großteil von ihnen vermutlich nie Sozialleistungen<br />
in Anspruch nehmen wird. Der überwiegen<strong>de</strong> Teil <strong>de</strong>r Daten dürfte also niemals<br />
benötigt wer<strong>de</strong>n. Die Speicherung <strong>de</strong>r Daten wäre somit nutzlos, weckt jedoch wie<br />
je<strong>de</strong> <strong>de</strong>rart umfangreiche Datenbank Begehrlichkeiten. Auf die Risiken und verfassungsrechtlichen<br />
Be<strong>de</strong>nken wiesen die Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r<br />
bereits in einer Entschließung hin. 68<br />
In <strong>de</strong>r Zentralen Speicherstelle wer<strong>de</strong>n die Daten erfasst, die bislang in Antragsverfahren<br />
von Sozialbehör<strong>de</strong>n (Arbeitsagentur, Wohngeldstelle, Elterngeldstelle) auf amtlichen<br />
Vordrucken erhoben wur<strong>de</strong>n. Die Angaben dienen <strong>de</strong>r Prüfung, ob ein Anspruch auf die<br />
Sozialleistung besteht. Im Einzelnen sollen die gespeicherten Daten für folgen<strong>de</strong> Bescheinigungen<br />
genutzt wer<strong>de</strong>n:<br />
67 Gesetz über das Verfahren <strong>de</strong>s elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) vom 28. März 2009 (BGBl. I S. 634)<br />
68 siehe Anlage 3.5.6: Entschließung „Weiterhin verfassungsrechtliche Zweifel am ELENA-Verfahren“ vom 7. November 2008<br />
Seite 142 von 195
Arbeitsbescheinigung nach § 312 Drittes Buch Sozialgesetzbuch (SGB III),<br />
Nebeneinkommensbescheinigung nach § 313 SGB III,<br />
Auskunft über die Beschäftigung nach § 315 Abs. 3 SGB III,<br />
Auskünfte über <strong>de</strong>n Arbeitsverdienst zum Wohngeldantrag nach § 23 Abs. 2 Wohngeldgesetz,<br />
Einkommensnachweise nach § 2 Abs. 7 Satz 4 und § 9 Bun<strong>de</strong>selterngeld- und Elternzeitgesetz.<br />
Wie im November 2009 <strong>de</strong>r Verfahrensbeschreibung zu ELENA zu entnehmen war, sollte<br />
<strong>de</strong>r Arbeitgeber nicht nur die Lohn- und Gehaltsdaten <strong>de</strong>r Beschäftigten, son<strong>de</strong>rn gleichfalls<br />
sämtliche Details, die im Zusammenhang mit einer Kündigung stehen können, sowie<br />
die Teilnahme an Streiks an die Zentrale Speicherstelle mel<strong>de</strong>n. Zwar wur<strong>de</strong>n diese Daten<br />
auch bisher schon in <strong>de</strong>n amtlichen Vordrucken <strong>de</strong>r Bun<strong>de</strong>sagentur für Arbeit zur<br />
Arbeitsbescheinigung nach § 312 SGB III erhoben. Die Datenerhebung erfolgte jedoch<br />
nur im Falle <strong>de</strong>s streikbedingten Arbeitsplatzverlustes. Durch die pauschale Übernahme<br />
aller Angaben aus <strong>de</strong>n Vordrucken in <strong>de</strong>n elektronischen Datensatz und <strong>de</strong>r Pflicht <strong>de</strong>r<br />
Arbeitgeber, alle Fel<strong>de</strong>r auszufüllen, wür<strong>de</strong> <strong>de</strong>r datenschutzrechtliche Erfor<strong>de</strong>rlichkeitsgrundsatz<br />
unterlaufen.<br />
Wir unterstützen die Kritik <strong>de</strong>s Bun<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und die Informationsfreiheit<br />
an <strong>de</strong>r elektronischen Erfassung <strong>de</strong>rart sensitiver Daten. Seinem Bemühen<br />
um die Begrenzung <strong>de</strong>r Datensätze wur<strong>de</strong> bereits insoweit Rechnung getragen, als die<br />
Streikdaten nicht mehr zu übermitteln sind. Den Verfahrensverantwortlichen wur<strong>de</strong> aufgegeben,<br />
sämtliche Fel<strong>de</strong>r in <strong>de</strong>r ELENA-Datenbank auf ihre Rechtmäßigkeit zu prüfen.<br />
Die Erfor<strong>de</strong>rlichkeit <strong>de</strong>s umfangreichen Datensatzes im ELENA-Verfahren ist zu überprüfen.<br />
Nicht je<strong>de</strong> Angabe ist für die Feststellung <strong>de</strong>s Sozialleistungsanspruchs notwendig.<br />
Seite 143 von 195
Eine anlasslose Vorratshaltung personenbezogener Daten ist unzulässig.<br />
8 Wirtschaft<br />
Umsetzung <strong>de</strong>r europäischen Dienstleistungsrichtlinie<br />
Die europäische Dienstleistungsrichtlinie 69 soll <strong>de</strong>n grenzüberschreiten<strong>de</strong>n Han<strong>de</strong>l<br />
mit Dienstleistungen im gemeinsamen Binnenmarkt för<strong>de</strong>rn und bestehen<strong>de</strong> Hin<strong>de</strong>rnisse<br />
abbauen. Sie war bis zum 28. Dezember 2009 auch im Land <strong>Bran<strong>de</strong>nburg</strong><br />
umzusetzen.<br />
Die Umsetzung <strong>de</strong>r Dienstleistungsrichtlinie im Land <strong>Bran<strong>de</strong>nburg</strong> wird durch das Ministerium<br />
für Wirtschaft und Europaangelegenheiten koordiniert. Dank unserer frühzeitigen<br />
Einbindung konnten wir sowohl die Einführung <strong>de</strong>s Binnenmarktinformationssystems als<br />
auch <strong>de</strong>s Einheitlichen Ansprechpartners datenschutzrechtlich begleiten.<br />
Das Binnenmarktinformationssystem <strong>de</strong>r EU (Internal Market Information System – IMI)<br />
dient <strong>de</strong>m grenzüberschreiten<strong>de</strong>n Datenaustausch mit zuständigen Behör<strong>de</strong>n in an<strong>de</strong>ren<br />
Mitgliedstaaten sowie <strong>de</strong>n drei am Europäischen Wirtschaftsraum (EWR) beteiligten<br />
Staaten Norwegen, Island und Liechtenstein. Es unterstützt dadurch die von <strong>de</strong>r Richtlinie<br />
vorgesehene, verstärkte europäische Verwaltungszusammenarbeit auf <strong>de</strong>m Gebiet<br />
<strong>de</strong>r Dienstleistungen. Dies soll unter an<strong>de</strong>rem dazu dienen, <strong>de</strong>n Verwaltungsaufwand für<br />
die Unternehmen zu verringern und frühzeitig gegen unzuverlässige Unternehmen vorzugehen<br />
zu können. Das Mo<strong>de</strong>ll wird in <strong>Bran<strong>de</strong>nburg</strong> <strong>de</strong>zentral umgesetzt, d. h. alle zuständigen<br />
Stellen erhalten die Möglichkeit, das Binnenmarktinformationssystem eigen-<br />
„Umsetzung <strong>de</strong>r europäischen Dienstleistungs-<br />
Zu Ziffer 8<br />
richtlinie“<br />
1. Das Binnenmarktinformationssystem <strong>de</strong>r EU (Internal Market Information<br />
System- IMI)<br />
Die LDA hat <strong>de</strong>n ersten Entwurf <strong>de</strong>r Rechtsverordnung, die aufgrund §<br />
9 Abs. 1 <strong>de</strong>s Gesetzes zur Einführung <strong>de</strong>s Einheitlichen Ansprechpartners<br />
für das Land <strong>Bran<strong>de</strong>nburg</strong> und zur Än<strong>de</strong>rung weiterer Vorschriften<br />
vom 07.07.2009 (BbgEAPG) erlassen wer<strong>de</strong>n sollte, kritisiert.<br />
Dem Entwurf fehle ein ein<strong>de</strong>utiger Hinweis auf die Zweckbindung <strong>de</strong>r<br />
personenbezogenen Daten. Außer<strong>de</strong>m müsse <strong>de</strong>r beson<strong>de</strong>re Schutzbedarf<br />
<strong>de</strong>r personenbezogenen Daten <strong>de</strong>utlich herausgestellt wer<strong>de</strong>n.<br />
Für die Verarbeitung <strong>de</strong>r Daten bedürfe es <strong>de</strong>r Umsetzung angemessener<br />
technischer und organisatorischer Maßnahmen.<br />
Hierzu nimmt die Lan<strong>de</strong>sregierung wie folgt Stellung:<br />
Bei <strong>de</strong>r Fassung <strong>de</strong>r Verordnung, die in <strong>de</strong>m Tätigkeitsbericht <strong>de</strong>r LDA<br />
erwähnt wird, han<strong>de</strong>lte es sich lediglich um einen ersten Arbeitsstand,<br />
<strong>de</strong>r <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten zugeleitet wur<strong>de</strong>, um gera<strong>de</strong><br />
<strong>de</strong>ren eventuelle Vorschläge in die Verordnung einfließen zu lassen.<br />
69 Richtlinie 2006/123/EG <strong>de</strong>s Europäischen Parlaments und <strong>de</strong>s Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (Abl. EU<br />
Nr. L 376 S. 36)<br />
Seite 144 von 195
ständig zu nutzen. Zur Anwendung <strong>de</strong>s Binnenmarktinformationssystems ermächtigt das<br />
einschlägige Gesetz 70 die Lan<strong>de</strong>sregierung zum <strong>de</strong>n Erlass einer Rechtsverordnung.<br />
Einen ersten Entwurf dieser Verordnung haben wir erhalten. Ihm fehlte aus unserer Sicht<br />
ein ein<strong>de</strong>utiger Hinweis auf die Zweckbindung <strong>de</strong>r personenbezogenen Daten. Außer<strong>de</strong>m<br />
wiesen wir darauf hin, dass <strong>de</strong>r beson<strong>de</strong>re Schutzbedarf <strong>de</strong>r sensitiven personenbezogenen<br />
Daten <strong>de</strong>utlich herausgestellt wer<strong>de</strong>n muss. Für ihre Verarbeitung bedarf es <strong>de</strong>r<br />
Umsetzung angemessener technischer und organisatorischer Maßnahmen.<br />
Der Einheitliche Ansprechpartner (EAP) soll Dienstleistungserbringern in ganz Europa als<br />
zentrale Kontaktstelle zur Verfügung stehen, um alle Verfahren koordinieren zu können.<br />
Als Unternehmensservice bietet er ihnen Informationen und vereinfacht Behör<strong>de</strong>ngänge.<br />
Im Land <strong>Bran<strong>de</strong>nburg</strong> wur<strong>de</strong> <strong>de</strong>r Einheitliche Ansprechpartner im Geschäftsbereich <strong>de</strong>s<br />
Ministeriums für Wirtschaft und Europaangelegenheiten eingerichtet. 71 Es ist vorgesehen,<br />
das bereits bestehen<strong>de</strong> Dienstleistungsportal <strong>de</strong>r Lan<strong>de</strong>sverwaltung 72 durch eine Online-<br />
Plattform zu ergänzen, um die Kommunikation zwischen <strong>de</strong>n Unternehmen, <strong>de</strong>m Einheitlichen<br />
Ansprechpartner und <strong>de</strong>n zuständigen Behör<strong>de</strong>n zu unterstützen. Das zu diesem<br />
Zweck erstellte Fachkonzept zur IT-Umsetzung <strong>de</strong>s Portals für <strong>de</strong>n Einheitlichen Ansprechpartner<br />
für das Land <strong>Bran<strong>de</strong>nburg</strong> enthält keine ausreichen<strong>de</strong>n Festlegungen zur<br />
Registrierung und Authentifizierung, um die zugriffsberechtigten Dienstleistungserbringer<br />
ein<strong>de</strong>utig i<strong>de</strong>ntifizieren und damit die Daten je<strong>de</strong>rzeit ihrem Ursprung zuordnen zu können.<br />
Unklarheit bestand auch hinsichtlich <strong>de</strong>r Art und Struktur <strong>de</strong>r Daten, die <strong>de</strong>r Einheitliche<br />
Ansprechpartner verarbeitet sowie über die Prozesse und Verfahrensschritte, die<br />
über das Portal abgewickelt wer<strong>de</strong>n sollen. Für die Bestimmung <strong>de</strong>s Schutzbedarfs und<br />
die daraus abzuleiten<strong>de</strong>n Maßnahmen ist die Kenntnis dieser Punkte jedoch unabding-<br />
Das Dokument war aber noch kein Entwurf, <strong>de</strong>r zur offiziellen Abstimmung<br />
übersandt wur<strong>de</strong>.<br />
Der Entwurf <strong>de</strong>r Rechtsverordnung wird <strong>de</strong>rzeit im Ministerium für<br />
Wirtschaft und Europaangelegenheiten ausgearbeitet und wird die hier<br />
erwähnten Anregungen <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten entsprechend<br />
berücksichtigen. Die LDA wird – wie bereits beim Gesetz über<br />
<strong>de</strong>n Einheitlichen Ansprechpartner für das Land <strong>Bran<strong>de</strong>nburg</strong> - frühzeitig<br />
an <strong>de</strong>m Rechtssetzungsverfahren beteiligt wer<strong>de</strong>n.<br />
Für die Umsetzung aller technischen Maßnahmen, die die IMI-<br />
Plattform betreffen, ist die Europäische Kommission (EU-KOM) zuständig.<br />
Gemäß Artikel 10 <strong>de</strong>r Entscheidung <strong>de</strong>r Kommission über <strong>de</strong>n<br />
Schutz personenbezogener Daten bei <strong>de</strong>r Umsetzung <strong>de</strong>s Binnenmarktinformationssystems<br />
(IMI) vom 12. Dezember 2007 stellt die EU-<br />
KOM die Verfügbarkeit und Wartung <strong>de</strong>r IT-Infrastruktur für IMI sicher.<br />
Der Europäische Datenschutzbeauftragte hat in seiner Stellungnahme<br />
zur Entscheidung <strong>de</strong>r Kommission über <strong>de</strong>n Schutz personenbezogener<br />
Daten bei <strong>de</strong>r Umsetzung <strong>de</strong>s Binnenmarktinformationssystems<br />
(IMI) vom 12. Dezember 2007 das IMI-System allgemein positiv beurteilt.<br />
Auch die organisatorischen Maßnahmen wer<strong>de</strong>n bereits in Kapiteln 2<br />
und 3 <strong>de</strong>r o. g. Entscheidung <strong>de</strong>r Kommission grundsätzlich festgelegt.<br />
70 § 9 <strong>de</strong>s Gesetzes über <strong>de</strong>n Einheitlichen Ansprechpartner für das Land <strong>Bran<strong>de</strong>nburg</strong> (BbgEAPG) vom 7. Juli 2009 (GVBl. I S. 262)<br />
71 Erlass <strong>de</strong>s Ministers für Wirtschaft zur Errichtung <strong>de</strong>r Einrichtung „Einheitlicher Ansprechpartner für das Land <strong>Bran<strong>de</strong>nburg</strong>" (EAPBbg) vom 6.<br />
Oktober 2009 (ABl. 41/09 S. 2053)<br />
72 siehe http://service.bran<strong>de</strong>nburg.<strong>de</strong><br />
73 Stellungnahme <strong>de</strong>s Europäischen Datenschutzbeauftragten zur Entscheidung <strong>de</strong>r Kommission<br />
vom 12. Dezember 2007 über <strong>de</strong>n Schutz personenbezogener Daten bei <strong>de</strong>r Umsetzung <strong>de</strong>s<br />
Binnenmarktinformationssystems (IMI) (2008/49/EG) vom 22. Februar 2008 (Abl. EU Nr. C 270 S. 101)<br />
Seite 145 von 195
ar. So verwun<strong>de</strong>rt es nicht, dass auch <strong>de</strong>r zugesagte Entwurf eines Sicherheitskonzepts<br />
noch immer aussteht.<br />
Zu datenschutzrechtlichen Fragen im Zusammenhang mit <strong>de</strong>r Umsetzung <strong>de</strong>r Dienstleistungsrichtlinie<br />
steht eine Stellungnahme 73 <strong>de</strong>s Europäischen Datenschutzbeauftragten<br />
zur Verfügung.<br />
Die Umsetzung <strong>de</strong>r Europäischen Dienstleistungsrichtlinie lässt in <strong>Bran<strong>de</strong>nburg</strong> noch<br />
immer Defizite hinsichtlich <strong>de</strong>s Einsatzes angemessener organisatorischer und technischer<br />
Maßnahmen zum Schutz <strong>de</strong>r verarbeiteten personenbezogenen Daten erkennen.<br />
Eine Konkretisierung <strong>de</strong>r Organisation für <strong>Bran<strong>de</strong>nburg</strong> wird in <strong>de</strong>r<br />
geplanten IMI-Verordnung erfolgen, die auch <strong>de</strong>r LDA zur Abstimmung<br />
vorgelegt wird.<br />
2. Zum Portal <strong>de</strong>s Einheitlichen Ansprechpartners (EAP –Portal)<br />
Die LDA hat hierzu in ihrem Bericht vorgetragen, dass das Fachkonzept<br />
zur IT-Umsetzung <strong>de</strong>s Portals für <strong>de</strong>n EAPBbg keine ausreichen<strong>de</strong>n<br />
Festlegungen zur Registrierung und Authentifizierung enthalte, um<br />
die zugriffsberechtigten Dienstleistungserbringer ein<strong>de</strong>utig i<strong>de</strong>ntifizieren<br />
und damit die Daten je<strong>de</strong>rzeit ihrem Ursprung zuordnen zu können.<br />
Darüber hinaus bestehe Unklarheit hinsichtlich <strong>de</strong>r Art und Struktur<br />
<strong>de</strong>r Daten, die <strong>de</strong>r Einheitliche Ansprechpartner verarbeitet sowie<br />
über die Prozesse und Verfahrensschritte, die über das Portal abgewickelt<br />
wer<strong>de</strong>n sollen. Außer<strong>de</strong>m stehe <strong>de</strong>r Entwurf <strong>de</strong>s Sicherheitskonzepts<br />
noch aus.<br />
Hierzu nimmt die Lan<strong>de</strong>sregierung wie folgt Stellung:<br />
Seite 146 von 195<br />
a) Zum Fachkonzept zur IT – Umsetzung <strong>de</strong>s Portals – Festlegungen<br />
zur Registrierung und Authentifizierung <strong>de</strong>r Dienstleistungserbringer:<br />
Im Fachkonzept zur IT-Umsetzung <strong>de</strong>s EAPBbg-Portals wur<strong>de</strong><br />
festgelegt, dass die Eigenregistrierung <strong>de</strong>r Dienstleistungserbringer<br />
über die Eingabe eines Nutzernamens und eines Passwortes<br />
erfolgt. Darüber hinaus ist <strong>de</strong>r Dienstleistungserbringer<br />
verpflichtet, in das Portal eine Kopie seines Ausweisdokumentes<br />
einzustellen, um <strong>de</strong>m EAP eine I<strong>de</strong>ntitätsprüfung zu ermöglichen.<br />
Da einheitliche EU-weite bzw. bun<strong>de</strong>sweite Vorgaben zur<br />
rechtssicheren I<strong>de</strong>ntifizierung fehlen, Art. 8 Abs. 1 EG-DLR die
Seite 147 von 195<br />
Mitgliedstaaten aber dazu verpflichtet, <strong>de</strong>n Dienstleistungserbringern<br />
die elektronische Verfahrensabwicklung zu ermöglichen,<br />
wur<strong>de</strong> diesbezüglich eine praktikable Lösung gewählt,<br />
die <strong>de</strong>m gegenwärtigen Stand <strong>de</strong>r Technologie entspricht und<br />
eine termingerechte Umsetzung <strong>de</strong>r EG-<br />
Dienstleistungsrichtlinie sicherstellte.<br />
Neue Möglichkeiten <strong>de</strong>r Rechtssicherheit bezogen auf die<br />
I<strong>de</strong>ntifizierung <strong>de</strong>r <strong>de</strong>utschen Dienstleistungserbringer entstehen<br />
in absehbarer Zeit durch die Einführung <strong>de</strong>r neuen Personalausweise<br />
mit <strong>de</strong>r Funktion einer elektronischen Signatur.<br />
Vergleichbare Lösungen sind auch in an<strong>de</strong>ren Mitgliedstaaten,<br />
z. B. in Polen geplant.<br />
Zu<strong>de</strong>m ist <strong>de</strong>r Dienstleistungserbringer bereits jetzt verpflichtet,<br />
die Formulare – bei Bestehen eines Schriftformerfor<strong>de</strong>rnisses<br />
– elektronisch zu signieren, was eine ein<strong>de</strong>utige I<strong>de</strong>ntifizierung<br />
<strong>de</strong>s Antragstellers gewährleistet.<br />
Darüber hinaus ist festzustellen, dass die Entgegennahme <strong>de</strong>r<br />
Antragsunterlagen durch <strong>de</strong>n EAPBbg die zuständigen Behör<strong>de</strong>n<br />
von einer verlässlichen I<strong>de</strong>ntitätsprüfung <strong>de</strong>s Antragstellers<br />
nicht befreit.<br />
Die Authentifizierung, d.h. die Zuordnung <strong>de</strong>r Daten zu ihrem<br />
Ursprung, wird dadurch gewährleistet, dass <strong>de</strong>r Zugriff auf die<br />
Daten nur über das personenbezogene Fallmanagement erfolgen<br />
kann. Im Sicherheitskonzept wur<strong>de</strong> auch <strong>de</strong>r Aspekt<br />
Authentifizierung mit Sicherheitsstufe „hoch“ versehen.<br />
b) Zu <strong>de</strong>n von <strong>de</strong>r LDA benannten Unklarheiten bezüglich<br />
aa) <strong>de</strong>r Art und Struktur <strong>de</strong>r Daten und Sicherheitskonzept:
Seite 148 von 195<br />
Die Art und Struktur <strong>de</strong>r zu verarbeiten<strong>de</strong>n Daten wur<strong>de</strong>n<br />
im Rahmen <strong>de</strong>r Erstellung <strong>de</strong>s Sicherheitskonzeptes ermittelt.<br />
Dabei sind folgen<strong>de</strong> Datengruppen zu unterschei<strong>de</strong>n:<br />
- Daten, die im Rahmen <strong>de</strong>s I<strong>de</strong>ntitätsmanagements erhoben<br />
wer<strong>de</strong>n, wie Name, Vorname, Wohnanschrift, Staatsangehörigkeit;<br />
- Daten, die <strong>de</strong>r Dienstleistungserbringer direkt in die ausfüllbaren<br />
Online-Formulare eingibt;<br />
- Daten, die als Kopien in verschie<strong>de</strong>nen Dateiformaten<br />
(*.pdf, *.jpeg) in das Portal von <strong>de</strong>n Dienstleistungserbringern<br />
hochgela<strong>de</strong>n wer<strong>de</strong>n;<br />
- Outputdokumente, wie Beschei<strong>de</strong> und Eingangsbescheinigungen,<br />
die als PDF-Dateien in das Portal von <strong>de</strong>n zuständigen<br />
Behör<strong>de</strong>n hochgela<strong>de</strong>n wer<strong>de</strong>n.<br />
Der Schutzbedarf aller dieser Dokumente wur<strong>de</strong> hinsichtlich<br />
<strong>de</strong>r drei Schutzziele: Vertraulichkeit, Verfügbarkeit, Integrität<br />
beurteilt. Als Gesamtergebnis <strong>de</strong>r Beurteilung wur<strong>de</strong><br />
<strong>de</strong>r Schutzbedarf <strong>de</strong>r Daten als „hoch“ eingestuft, was<br />
<strong>de</strong>r Empfehlung <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten vom<br />
19.01.2009 entspricht.<br />
Das IT-Sicherheitskonzept wur<strong>de</strong> <strong>de</strong>r Lan<strong>de</strong>sdatenschutzbeauftragten<br />
inzwischen vorgelegt.<br />
bb) <strong>de</strong>r Prozesse und Verfahrensschritte
Die Prozesse und Verfahrensschritte wer<strong>de</strong>n zurzeit im<br />
Rahmen <strong>de</strong>r Erstellung eines Verfahrensverzeichnisses i.<br />
S. d. § 8 BbgDSG gemäß <strong>de</strong>r Verordnung zum Verfahrensverzeichnis<br />
durch <strong>de</strong>n EAPBbg beschrieben.<br />
9 Umwelt, Gesundheit und Verbraucherschutz<br />
9.1 Novellierung <strong>de</strong>s Krankenhausgesetzes<br />
Im letzten Tätigkeitsbericht 74 haben wir über die Absicht <strong>de</strong>r Lan<strong>de</strong>sregierung informiert,<br />
die Datenschutzvorschriften für die Krankenhäuser nunmehr unmittelbar<br />
im Gesetz selbst anstatt wie bisher in einer separaten Verordnung festzuschreiben.<br />
Was ist aus diesem Vorhaben gewor<strong>de</strong>n?<br />
Nach<strong>de</strong>m uns die Lan<strong>de</strong>sregierung zwar von Anfang an bei <strong>de</strong>r Erarbeitung <strong>de</strong>s Gesetzentwurfs<br />
eingebun<strong>de</strong>n hatte, ergaben sich im Laufe <strong>de</strong>s parlamentarischen Gesetzgebungsverfahrens<br />
sowohl Streichungen sinnvoller Regelungen als auch neue Kritikpunkte.<br />
Das <strong>Bran<strong>de</strong>nburg</strong>ische Krankenhausentwicklungsgesetz ist in <strong>de</strong>r Zwischenzeit in Kraft<br />
getreten. 75 Es ersetzt das bisherige Krankenhausgesetz und hat unter an<strong>de</strong>rem zum Ziel,<br />
die Zusammenarbeit <strong>de</strong>r Krankenhäuser untereinan<strong>de</strong>r, mit <strong>de</strong>n nie<strong>de</strong>rgelassenen Ärzten<br />
sowie <strong>de</strong>n Einrichtungen <strong>de</strong>s Gesundheits- und Sozialwesens zu för<strong>de</strong>rn.<br />
Eine wichtige Neuregelung ist eine Vorschrift für alle behan<strong>de</strong>ln<strong>de</strong>n Krankenhausärzte,<br />
das Jugendamt zu informieren, wenn sie Anzeichen für eine Misshandlung, Vernachlässigung<br />
o<strong>de</strong>r einen sexuellen Missbrauch von Kin<strong>de</strong>rn bzw. Jugendlichen feststellen. Die<br />
Regelung lehnt sich an bereits bestehen<strong>de</strong> Vorschriften für nie<strong>de</strong>rgelassene Ärzte an,<br />
75 im Land <strong>Bran<strong>de</strong>nburg</strong> – BbgKHEG) vom 08.<br />
Juli 2009 (GVBl. I S. 310)<br />
74 vgl. Tätigkeitsbericht 2006/2007, A 8.7.2<br />
Gesetz zur Entwicklung <strong>de</strong>r Krankenhäuser (<strong>Bran<strong>de</strong>nburg</strong>isches Krankenhausentwicklungsgesetz<br />
Seite 149 von 195
76 vgl. Tätigkeitsbericht 2006/2007, A 8.7.3<br />
Seite 150 von 195<br />
lässt jedoch die gänzlich unterschiedlichen Strukturen eines Krankenhauses außer Acht.<br />
Sie verlangt, dass je<strong>de</strong>r einzelne Arzt eine solche Meldung zu übermitteln hat. Im Sinne<br />
<strong>de</strong>r Datensparsamkeit hätte es genügt, eine einzige Meldung durch das jeweilige Krankenhaus<br />
vorzusehen.<br />
Das Achte Buch Sozialgesetzbuch for<strong>de</strong>rt als Voraussetzung für das Tätigwer<strong>de</strong>n <strong>de</strong>s<br />
Jugendamtes „gewichtige Anhaltspunkte“ für die Gefährdung <strong>de</strong>s Kin<strong>de</strong>swohls. Mit <strong>de</strong>r<br />
Neuregelung <strong>de</strong>s Krankenhausentwicklungsgesetzes sind die Ärzte <strong>de</strong>r Klinik aber bereits<br />
zur Meldung verpflichtet, wenn lediglich „Anhaltspunkte“ vorliegen. Auch dieses<br />
Missverhältnis kann zu überflüssigen Datenübermittlungen führen.<br />
Der Datenschutz in <strong>de</strong>n Krankenhäusern wird nicht mehr durch eine separate Verordnung,<br />
son<strong>de</strong>rn durch das Krankenhausentwicklungsgesetz geregelt. Erst seine Anwendung<br />
in <strong>de</strong>r Praxis wird zeigen, ob die Übermittlung von Daten an die Jugendämter unter<br />
Beachtung <strong>de</strong>r Datensparsamkeit erfolgen wird.<br />
9.2 Kin<strong>de</strong>r- und Jugendgesundheitsdienstverordnung<br />
Nach <strong>de</strong>r Novellierung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Gesundheitsdienstgesetzes 76 wur<strong>de</strong><br />
auch die darauf beruhen<strong>de</strong> Verordnung zum Kin<strong>de</strong>r- und Jugendgesundheitsdienst<br />
neu gefasst. Außer<strong>de</strong>m wur<strong>de</strong> ein ca. 200 Seiten starkes Handbuch für <strong>de</strong>n Kin<strong>de</strong>rund<br />
Jugendgesundheitsdienst im Land <strong>Bran<strong>de</strong>nburg</strong> <strong>de</strong>n aktuellen Verhältnissen angepasst.<br />
Von einer erweiterten Datenerhebung durch die bereits vor In-Kraft-Treten<br />
<strong>de</strong>r Verordnung überarbeiteten Formulare (Fragebögen) erhielten wir nur durch eine<br />
Beschwer<strong>de</strong> von Eltern Kenntnis.
9.2.1 Verordnung Zu Ziffer 9.2 „Kin<strong>de</strong>r- und Jugendgesundheitsdienstverordnung“<br />
Bei <strong>de</strong>r Verordnung stellte sich vorrangig die Frage, ob diese insgesamt von <strong>de</strong>r Ermächtigungsgrundlage<br />
Zu Ziffer 9.2.1 „Verordnung“<br />
ge<strong>de</strong>ckt wird. Datenerhebungen in För<strong>de</strong>rschulen und bei Sechstkläss-<br />
lern sowie die Durchbrechung <strong>de</strong>r ärztlichen Schweigepflicht bei <strong>de</strong>r Teilnahme einer<br />
sozialpädagogischen Fachkraft an einer Reihenuntersuchung im Kin<strong>de</strong>rgarten, aber auch<br />
Regelungen zur Gesundheitsberichterstattung und zum Betreuungscontrolling hielten wir<br />
insoweit für problematisch. Das Gesundheitsministerium teilte diese Be<strong>de</strong>nken jedoch<br />
nicht und verwies auch auf die Prüfung durch das Ministerium <strong>de</strong>r Justiz.<br />
Nach Auffassung <strong>de</strong>r LDA ist zweifelhaft, ob die Verordnung insgesamt<br />
von <strong>de</strong>r Verordnungsermächtigung ge<strong>de</strong>ckt ist.<br />
Die Kin<strong>de</strong>r- und Jugendgesundheitsdienst-Verordnung (KJGDV) basiert<br />
auf <strong>de</strong>r Ermächtigungsgrundlage <strong>de</strong>s § 6 Abs. 4 <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Gesundheitsdienstgesetz (BbgGDG) und wur<strong>de</strong> vom Ministerium<br />
für Umwelt, Gesundheit und Verbraucherschutz im Einvernehmen<br />
mit <strong>de</strong>m Ministerium für Bildung, Jugend und Sport erlassen. Inhalt<br />
und Verfahren <strong>de</strong>r Untersuchungen sind so auszugestalten, dass das<br />
Ziel <strong>de</strong>s Gesetzes, allen Kin<strong>de</strong>rn und Jugendlichen in <strong>Bran<strong>de</strong>nburg</strong><br />
gesundheitliche Chancengleichheit zu ermöglichen, erreicht wer<strong>de</strong>n<br />
kann.<br />
Zum Inhalt und Verfahren <strong>de</strong>r Untersuchungen gehört auch das<br />
Betreuungscontrolling, damit Kin<strong>de</strong>r mit auffälligen Befun<strong>de</strong>n die erfor<strong>de</strong>rlichen<br />
För<strong>de</strong>rmaßnahmen und/o<strong>de</strong>r Therapien auch tatsächlich<br />
erhalten. Die einheitliche Dokumentation und anonymisierte Auswertung<br />
sind Instrument <strong>de</strong>r Qualitätssicherung <strong>de</strong>r Untersuchungen.<br />
Insoweit wer<strong>de</strong>n die von LDA vorgetragenen Kritikpunkte nicht geteilt.<br />
9.2.2 Fragebögen Zu Ziffer 9.2.2 „Fragebögen“<br />
Bei <strong>de</strong>n Erhebungsbögen stand die Frage <strong>de</strong>r Erfor<strong>de</strong>rlichkeit <strong>de</strong>r abgefragten Daten im<br />
Vor<strong>de</strong>rgrund. Wir setzten uns dafür ein, die Frage nach <strong>de</strong>r Anzahl <strong>de</strong>r im Haushalt leben<strong>de</strong>n<br />
Kin<strong>de</strong>r und Erwachsenen sowie die nach <strong>de</strong>r Schulbildung bzw. Berufstätigkeit<br />
<strong>de</strong>r Eltern zu streichen. Bei einer Ablehnung <strong>de</strong>r Streichung regten wir an, diese Fragen<br />
wenigstens in <strong>de</strong>n Elternfragebögen zu stellen, sodass die Betroffenen selbst entschei<strong>de</strong>n<br />
können, ob und inwieweit sie antworten wollen. Auch sollten Min<strong>de</strong>rjährige nicht in<br />
die Lage geraten, bei einer Untersuchung Fragen über ihre Eltern beantworten zu müssen.<br />
Die Fragen nach einer konkreten frem<strong>de</strong>n Muttersprache und nach <strong>de</strong>r Zweisprachigkeit<br />
Seite 151 von 195<br />
Der ärztliche Dokumentationsbogen und die Anamnesebögen sind Teil<br />
<strong>de</strong>r ärztlichen Untersuchung und für eine medizinische und altersentsprechen<strong>de</strong><br />
Entwicklungsprognose unverzichtbar. Die Anamnesebögen<br />
wer<strong>de</strong>n in Zusammenarbeit mit <strong>de</strong>m Fachausschuss Kin<strong>de</strong>r- und<br />
Jugendgesundheitsdienst im Ministerium für Umwelt, Gesundheit und<br />
Verbraucherschutz erarbeitet. Im Fachausschuss arbeiten Ärztinnen<br />
<strong>de</strong>r Kin<strong>de</strong>r- und Jugendgesundheitsdienste aus <strong>de</strong>n Gesundheitsämtern<br />
gemeinsam mit Vertretern <strong>de</strong>s Gesundheitsministeriums und <strong>de</strong>s<br />
Lan<strong>de</strong>sgesundheitsamtes. Externe Experten aus Krankenhäusern, <strong>de</strong>r<br />
Universität Potsdam o<strong>de</strong>r <strong>de</strong>m Robert-Koch-Institut beraten <strong>de</strong>n Aus-
waren bisher nicht erfolgt und sollen in Zukunft auch nur zu Kin<strong>de</strong>rn im Kita-Alter gestellt<br />
wer<strong>de</strong>n, sodass wir die Erfor<strong>de</strong>rlichkeit dieser Punkte problematisierten. Dasselbe gilt für<br />
die Fragen nach <strong>de</strong>r Dauer <strong>de</strong>r Kin<strong>de</strong>rbetreuung und nach <strong>de</strong>r Teilnahme(-dauer) an<br />
einem Netzwerk „Gesun<strong>de</strong> Kin<strong>de</strong>r“. Unsere Einwän<strong>de</strong> wur<strong>de</strong>n jedoch nicht berücksichtigt.<br />
Wir stellten auch klar, dass nach <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Schulgesetz die Eltern und<br />
Kin<strong>de</strong>r die erfor<strong>de</strong>rlichen Angaben für die Einschulungsuntersuchung zu erteilen haben<br />
und baten, <strong>de</strong>n Hinweis auf die Freiwilligkeit <strong>de</strong>r Angaben aus <strong>de</strong>m Fragebogen für die<br />
Schuleingangsuntersuchung zu entfernen. Im Unterschied zu <strong>de</strong>n sonstigen Untersuchungen,<br />
können Familien hierbei nämlich nicht frei entschei<strong>de</strong>n, ob ihr Kind an <strong>de</strong>r Untersuchung<br />
teilnehmen soll und ob sie Angaben dafür machen möchten. Dennoch wird<br />
<strong>de</strong>r entsprechen<strong>de</strong> Erhebungsbogen nach wie vor einen Hinweis auf die Freiwilligkeit<br />
enthalten. Auch unser Vortrag, dass dies schon in <strong>de</strong>r Vergangenheit viele Betroffene<br />
irritiert hatte, sofern sie zugleich im Anschreiben <strong>de</strong>s zuständigen Gesundheitsamtes<br />
über die Vorgaben <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Schulgesetzes aufgeklärt wur<strong>de</strong>n, nützte<br />
nichts.<br />
schuss aus fachlicher Sicht. Für je<strong>de</strong> Untersuchung wur<strong>de</strong> bzw. wird<br />
ein spezieller Anamnesebogen entwickelt. Hierdurch wird sichergestellt,<br />
dass nur die für die konkrete Untersuchung erfor<strong>de</strong>rlichen Angaben<br />
erhoben wer<strong>de</strong>n; mit <strong>de</strong>r Folge, dass die Fragen auf <strong>de</strong>n Bögen<br />
unterschiedlich sein können.<br />
Die Anamnesebögen wer<strong>de</strong>n im Vorfeld <strong>de</strong>r Untersuchungen <strong>de</strong>n Eltern<br />
übergeben. Angaben, die im ärztlichen Dokumentationsbogen<br />
erhoben wer<strong>de</strong>n, ergeben sich aus <strong>de</strong>r kin<strong>de</strong>rärztlichen Untersuchung<br />
o<strong>de</strong>r wer<strong>de</strong>n direkt in einem vertrauensvollen Gespräch zwischen Arzt<br />
und Sorgeberechtigten erhoben (Schuleingangsuntersuchung). Eine<br />
Befragung von Min<strong>de</strong>rjährigen erfolgt bei keiner Untersuchung.<br />
Das <strong>Bran<strong>de</strong>nburg</strong>ische Schulgesetz gibt zur Einschulungsuntersuchung ausdrücklich vor,<br />
dass über die Erfor<strong>de</strong>rlichkeit hinausgehen<strong>de</strong> Fragen nicht gestellt wer<strong>de</strong>n dürfen. Diese<br />
Anfor<strong>de</strong>rung könnte durch die aktuelle Fassung <strong>de</strong>r Formulare weiterhin unterlaufen wer<strong>de</strong>n.<br />
Auch stellten wir verwun<strong>de</strong>rt fest, dass bei <strong>de</strong>r Schuleingangsuntersuchung z. B.<br />
nach <strong>de</strong>m Schwangerschaftsverlauf gefragt wur<strong>de</strong>, diese Erhebung bei <strong>de</strong>n um Jahre<br />
jüngeren Kin<strong>de</strong>rgartenkin<strong>de</strong>rn jedoch verzichtbar erschien.<br />
9.2.3 Handbuch Zu Ziffer 9.2.3 „Handbuch“<br />
Weitere Datenverarbeitungen waren nicht einmal in <strong>de</strong>r Verordnung, son<strong>de</strong>rn lediglich im<br />
sog. Handbuch für <strong>de</strong>n Kin<strong>de</strong>r- und Jugendgesundheitsdienst geregelt. Dadurch sollen<br />
fortlaufen<strong>de</strong> Än<strong>de</strong>rung ermöglicht wer<strong>de</strong>n. Die Empfehlungen im Handbuch entsprachen<br />
in einigen Fällen aber nicht <strong>de</strong>n gesetzlichen Datenverarbeitungsbefugnissen.<br />
Das Handbuch beinhaltet Leitlinien zur einheitlichen Dokumentation<br />
<strong>de</strong>r kin<strong>de</strong>r- und jugendärztlichen Untersuchungen. Zusammen mit <strong>de</strong>r<br />
KJGDV ist es umfassend überarbeitet wor<strong>de</strong>n, so dass das Handbuch<br />
<strong>de</strong>n gesetzlichen Datenverarbeitungsbefugnissen entspricht.<br />
Seite 152 von 195
9.2.3.1 Untersuchungen von Dreijährigen Zu Ziffer 9.2.3.1 „Untersuchung von Dreijährigen“<br />
Nach einer neuen Bestimmung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Gesundheitsdienstgesetzes soll<br />
allen etwa dreijährigen Kin<strong>de</strong>rn eine Untersuchung durch die Gesundheitsämter angeboten<br />
wer<strong>de</strong>n. Dazu erhalten diese Behör<strong>de</strong>n von <strong>de</strong>n Mel<strong>de</strong>ämtern personenbezogene<br />
Angaben <strong>de</strong>r betroffenen Familien. Im Handbuch wur<strong>de</strong> empfohlen, Namenslisten von<br />
Kin<strong>de</strong>rtagesstätten und Tagespflegestellen zu erheben und die genannte Altersgruppe<br />
herauszufiltern. Die Listen <strong>de</strong>r Kin<strong>de</strong>r in Tagespflege sollten dabei quartalsweise über<br />
das Jugendamt erhoben wer<strong>de</strong>n. Zuletzt war ein Abgleich <strong>de</strong>r Mel<strong>de</strong>daten mit <strong>de</strong>n Daten<br />
aus <strong>de</strong>n Tagesbetreuungslisten vorgesehen, um sog. Hauskin<strong>de</strong>r herauszufiltern. Diese<br />
sollten als einzige Einladungsschreiben per Post von <strong>de</strong>n Gesundheitsämtern erhalten,<br />
während man die an<strong>de</strong>ren Kin<strong>de</strong>r über ihre Tagesbetreuungseinrichtungen o<strong>de</strong>r -<br />
personen erreichen wollte.<br />
Das Ministerium für Bildung, Jugend und Sport schloss sich unserer Ansicht an, dass<br />
eine Übermittlungsbefugnis für die Jugendämter an die Gesundheitsämter insoweit nicht<br />
besteht. Das Gesundheitsministerium erklärte sich bereit, die Vorgabe aus <strong>de</strong>m Handbuch<br />
zu streichen.<br />
Wir sahen auch im Kin<strong>de</strong>rtagesstättengesetz keine Übermittlungsbefugnis für Kin<strong>de</strong>rtagesstätten<br />
bzw. Tagespflegestellen an die Gesundheitsämter. Dort gibt es lediglich eine<br />
allgemeine Unterstützungspflicht, die dazu führt, dass Räume für Untersuchungen bereitgestellt<br />
wer<strong>de</strong>n, Informationen allgemeiner Art an die Eltern verteilt wer<strong>de</strong>n u. Ä. Selbst<br />
das allgemeine Datenschutzrecht lässt nur erfor<strong>de</strong>rliche Datenverarbeitungen zu. Damit<br />
sind Datenanfor<strong>de</strong>rungen zu an<strong>de</strong>ren Kin<strong>de</strong>rn als solchen vom 30. bis 42. Lebensmonat,<br />
für die das Gesetz die Untersuchung vorsieht, von vornherein ausgeschlossen. Außer<strong>de</strong>m<br />
ist nach unserer Auffassung durch die Kin<strong>de</strong>rtagesstätte o<strong>de</strong>r Tagespflegeperson<br />
zunächst die betroffene Familie zu befragen, ob sie an <strong>de</strong>r Untersuchung teilnehmen will.<br />
Nur bei vorhan<strong>de</strong>nem Teilnahmewillen kann eine Übermittlung ihrer Daten überhaupt<br />
erfor<strong>de</strong>rlich sein.<br />
Vor <strong>de</strong>n Untersuchungen <strong>de</strong>r Kin<strong>de</strong>r in Einrichtungen <strong>de</strong>r Tagesbetreuung<br />
wer<strong>de</strong>n die Eltern per Aushang und mit einem Informationsschreiben<br />
in <strong>de</strong>r Kita umfassend und zeitnah über die anstehen<strong>de</strong>n<br />
Untersuchungen informiert. Ein Anschreiben an alle Eltern aufgrund<br />
<strong>de</strong>r Mel<strong>de</strong>daten ohne auf <strong>de</strong>n direkten Zeitpunkt <strong>de</strong>r Untersuchung<br />
einzugehen, wür<strong>de</strong> einen nicht zu vertretenen Verwaltungsaufwand für<br />
die Gesundheitsämter be<strong>de</strong>uten. Selbstverständlich können sich bei<br />
Rückfragen die Eltern je<strong>de</strong>rzeit an das jeweilige Gesundheitsamt wen<strong>de</strong>n.<br />
Ansprechpartner und Telefonnummern sind auf <strong>de</strong>n jeweiligen<br />
Aushängen und <strong>de</strong>m Informationsschreiben vermerkt.<br />
Auch zu <strong>de</strong>n „Grenzsteinen <strong>de</strong>r Entwicklung“ wer<strong>de</strong>n die Eltern umfassend<br />
informiert. Von <strong>de</strong>n Eltern wird eine Einverständniserklärung<br />
eingeholt, dass das Gesundheitsamt die Erkenntnisse aus <strong>de</strong>n<br />
„Grenzsteinen <strong>de</strong>r Entwicklung“ in die Kin<strong>de</strong>runtersuchung einbeziehen<br />
kann.<br />
Eine Einverständniserklärung <strong>de</strong>r Eltern wird ebenfalls für die Anwesenheit<br />
einer sozialpädagogischen Fachkraft während <strong>de</strong>r Untersuchung<br />
eingeholt.<br />
Seite 153 von 195
Unsere Empfehlung lautete daher, alle betroffenen Familien mit Hilfe <strong>de</strong>r Mel<strong>de</strong>daten<br />
anzuschreiben. Im Anschreiben hätte darauf hingewiesen wer<strong>de</strong>n können, dass Kin<strong>de</strong>r,<br />
die in <strong>Bran<strong>de</strong>nburg</strong> nach <strong>de</strong>m Kin<strong>de</strong>rtagesstättengesetz betreut wer<strong>de</strong>n, in <strong>de</strong>r Einrichtung<br />
untersucht wer<strong>de</strong>n, sofern dort das Einverständnis mit <strong>de</strong>r Untersuchung erklärt<br />
wird. An<strong>de</strong>ren Sorgeberechtigten sollte für <strong>de</strong>n Fall, dass sie eine Untersuchung wünschen,<br />
nach unserer Vorstellung in <strong>de</strong>m Schreiben eine Kontaktmöglichkeit mit <strong>de</strong>m Gesundheitsamt<br />
aufgezeigt wer<strong>de</strong>n.<br />
Das Entwicklungsscreening im Kita-Alter soll in Anwesenheit einer Vertrauensperson<br />
o<strong>de</strong>r einer sozialpädagogischen Fachkraft erfolgen. Die Sorgeberechtigten müssen unseres<br />
Erachtens damit einverstan<strong>de</strong>n sein, wenn an<strong>de</strong>re Personen als Mitarbeiter <strong>de</strong>s Gesundheitsamtes<br />
an <strong>de</strong>r Untersuchung teilnehmen sollen. An<strong>de</strong>rnfalls könnte es zu einer<br />
unbefugten Durchbrechung <strong>de</strong>r ärztlichen Schweigepflichtkommen. Eine datenschutzgerechte<br />
Vorgehensweise setzt für die Teilnahme von Erziehern an Untersuchungen <strong>de</strong>r<br />
Kin<strong>de</strong>rgartenkin<strong>de</strong>r als erstes eine Information <strong>de</strong>r Eltern über dieses Detail, aber auch<br />
über ihre Entscheidungsbefugnis – und schließlich ihr Einverständnis damit, voraus.<br />
Erzieherinnen konnten nach <strong>de</strong>m Handbuch außer<strong>de</strong>m zu einzelnen Sprach- und<br />
Sprachverständnisleistungen <strong>de</strong>s Kin<strong>de</strong>s Angaben machen. Von <strong>de</strong>r Einrichtung ist aber<br />
nach unserer Auffassung und <strong>de</strong>r <strong>de</strong>s Ministeriums für Bildung, Jugend und Sport vorab<br />
zu klären, ob solche Mitteilungen von <strong>de</strong>n Sorgeberechtigten gewünscht wer<strong>de</strong>n.<br />
9.2.3.2 Betreuungscontrolling Zu Ziffer 9.2.3.2 „Betreuungscontrolling“<br />
Sieht das Gesundheitsamt nach einer Untersuchung Handlungsbedarf, so informiert es<br />
die Sorgeberechtigten und bietet eine Begleitung <strong>de</strong>r Behandlung an (sog. Betreuungscontrolling).<br />
Reagieren Eltern auf dieses Angebot nicht, empfahl das Handbuch als letzte<br />
Möglichkeiten einen Hausbesuch und nach <strong>de</strong>ssen Scheitern einen Informationsaustausch<br />
mit <strong>de</strong>m Jugend- bzw. Sozialamt. Während bei <strong>de</strong>n Nachfragen an Ärzte, Beratungsstellen<br />
u. Ä. eine Einverständniserklärung <strong>de</strong>r Eltern bedacht wur<strong>de</strong>, ließ das Handbuch<br />
offen, inwieweit bei Hausbesuchen o<strong>de</strong>r einem Informationsaustausch mit <strong>de</strong>n So-<br />
Im Rahmen <strong>de</strong>s Betreuungscontrollings erfolgt keine Information an<br />
das Sozialamt. Das Handbuch wur<strong>de</strong> in diesem Punkt geän<strong>de</strong>rt.<br />
Seite 154 von 195
zialbehör<strong>de</strong>n <strong>de</strong>r Willen <strong>de</strong>r Sorgeberechtigten Berücksichtigung fin<strong>de</strong>n bzw. welche gesetzliche<br />
Grundlage dafür gesehen wür<strong>de</strong>. Wenn Familien keine weiteren Gesundheitsdaten<br />
preisgeben wollen bzw. lieber mit <strong>de</strong>m Arzt ihres Vertrauens als mit <strong>de</strong>m Gesundheitsamt<br />
zusammenarbeiten, ist dies zu akzeptieren. Es ist das Recht <strong>de</strong>r Betroffenen,<br />
ein Angebot abzulehnen o<strong>de</strong>r eine Alternative zu suchen, die sie selbst mehr überzeugt.<br />
Eine Grenze dieser elterlichen Rechte wird erst dann erreicht, wenn gewichtige Anhaltspunkte<br />
für eine Gefährdung <strong>de</strong>s Kin<strong>de</strong>swohls vorliegen.<br />
Das Ministerium für Arbeit, Soziales, Gesundheit und Familie betonte, dass eine vertrauensvolle<br />
Zusammenarbeit mit <strong>de</strong>n Sorgeberechtigten wesentlich und gegen <strong>de</strong>ren Willen<br />
nicht möglich sei. Es konnte nicht klären, wieso das Sozialamt ggf. beim Betreuungscontrolling<br />
einzuschalten wäre, und sagte zu, diesen Punkt im Handbuch zu streichen. Das<br />
Jugendamt soll auch nach Auffassung <strong>de</strong>s Gesundheitsministeriums nur dann informiert<br />
wer<strong>de</strong>n, wenn gewichtige Anzeichen für eine Kin<strong>de</strong>swohlgefährdung vorliegen.<br />
9.2.3.3 Vorgehen nach <strong>de</strong>r Meldung einer Nichtteilnahme an<br />
Früherkennungsuntersuchungen<br />
Nach <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Gesundheitsdienstgesetz (BbgGDG) sollen die Gesundheitsämter,<br />
<strong>de</strong>nen von <strong>de</strong>r Zentralen Stelle für das Einladungs- und Rückmel<strong>de</strong>wesen 77<br />
eine (vermutliche) Nichtteilnahme an einer Untersuchung gemel<strong>de</strong>t wird, geeignete und<br />
angemessene Maßnahmen ergreifen.<br />
Das Handbuch empfahl <strong>de</strong>n Gesundheitsämtern insoweit zunächst eine schriftliche Kontaktaufnahme<br />
zu <strong>de</strong>n Sorgeberechtigten mit <strong>de</strong>r Bitte um Nachweis <strong>de</strong>r Untersuchung<br />
durch ein beigefügtes Rückmel<strong>de</strong>formular. Zugleich sollte eine Kontaktaufnahme angeboten<br />
und ein Hausbesuch für <strong>de</strong>n Fall, dass keine Rückmeldung erfolgen sollte, angekün-<br />
Zu Ziffer 9.2.3.3 „Vorgehen nach <strong>de</strong>r Meldung einer Nichtteilnahme<br />
an Früherkennungsuntersuchungen“<br />
Das Gesundheitsamt bietet Beratungen und ggf. Untersuchungen <strong>de</strong>r<br />
Kin<strong>de</strong>r im Gesundheitsamt an. Um dies zu ermöglichen, wird telefonisch<br />
o<strong>de</strong>r schriftlich Kontakt mit <strong>de</strong>n Eltern aufgenommen. In Einzelfällen<br />
bieten die Gesundheitsämter aufsuchen<strong>de</strong> Beratung durch<br />
Hausbesuche an.<br />
Wird bei <strong>de</strong>r Kontaktaufnahme <strong>de</strong>utlich, dass die Eltern die Angebote<br />
ablehnen, wird dies selbstverständlich von <strong>de</strong>n Gesundheitsämtern<br />
akzeptiert. Nur in <strong>de</strong>n Fällen, wo durch weitere wesentliche Anhaltspunkte<br />
eine Kin<strong>de</strong>swohlgefährdung möglich erscheint, wird Kontakt mit<br />
77 vgl. A 9.3<br />
78 vgl. Tätigkeitsbericht 2006/2007, A 8.8<br />
Seite 155 von 195
digt wer<strong>de</strong>n. Selbst einzelne Gesundheitsämter stan<strong>de</strong>n aber bereits einem aufsuchen<strong>de</strong>n<br />
Kontakt nach erfolglosem Anschreiben kritisch gegenüber, da sie sich zum einen <strong>de</strong>r<br />
Freiwilligkeit <strong>de</strong>r Früherkennungsuntersuchungen und <strong>de</strong>s Grundrechts auf Unverletzlichkeit<br />
<strong>de</strong>r Wohnung bewusst waren, zum an<strong>de</strong>ren aber wohl auch <strong>de</strong>n Aufwand eines –<br />
ggf. auch noch erfolglosen – Hausbesuches für die eigene Behör<strong>de</strong> bedachten. Als letzte<br />
Maßnahme riet das Handbuch zu einer Zusammenarbeit mit <strong>de</strong>m Jugendamt.<br />
<strong>de</strong>m Jugendamt aufgenommen. Im vergangenen Jahr ist dies für alle<br />
Landkreise und kreisfreien Städte in 0,59% <strong>de</strong>r Fälle erfolgt.<br />
Bereits im letzten Tätigkeitsbericht 78 haben wir darauf hingewiesen, dass angesichts <strong>de</strong>r<br />
fehlen<strong>de</strong>n Teilnahmepflicht an <strong>de</strong>n Untersuchungen allenfalls eine Beratung o<strong>de</strong>r das<br />
Angebot einer Untersuchung durch das Gesundheitsamt geeignete und angemessene<br />
Maßnahmen wären.<br />
Bei einer ablehnen<strong>de</strong>n Haltung <strong>de</strong>r Erziehungsberechtigten bzw. einer fehlen<strong>de</strong>n Rückmeldung<br />
durch diese kann zunächst einmal nur davon ausgegangen wer<strong>de</strong>n, dass sie<br />
die insgesamt freiwilligen Angebote nicht wahrnehmen wollen. Das Gesundheitsamt<br />
nimmt daher seine Aufgaben im Regelfall durch schriftliche o<strong>de</strong>r telefonische Versuche<br />
einer Kontaktaufnahme mit <strong>de</strong>n Eltern hinreichend wahr. Es gehört nicht zu <strong>de</strong>n Aufgaben<br />
<strong>de</strong>s Gesundheitsamtes, ergänzend <strong>de</strong>m Jugendamt Angebote zu ermöglichen. In § 7<br />
BbgGDG ist eine generelle Übermittlungsmöglichkeit einer (vermutlichen) Nichtteilnahme<br />
an einer Früherkennungsuntersuchung an das Jugendamt nicht geschaffen wor<strong>de</strong>n.<br />
Möglich bleibt selbstverständlich eine Übermittlung im Einzelfall zur Abwehr einer gegenwärtigen<br />
nicht unerheblichen Gefahr gemäß § 16 BbgGDG. Dafür müssen jedoch mehr<br />
Anhaltspunkte vorliegen als das Ablehnen einer freiwilligen Leistung. Das Gesundheitsministerium<br />
hat betont, dass nur in sehr seltenen Fällen ein Einbeziehen <strong>de</strong>s Jugendamtes<br />
durch das Gesundheitsamt wegen <strong>de</strong>r Früherkennungsuntersuchungen erfolge.<br />
Durch unsere Stellungnahmen konnten wir überflüssige Datenverarbeitungen verhin<strong>de</strong>rn<br />
und eine weitere Sensibilisierung <strong>de</strong>s öffentlichen Gesundheitsdienstes für <strong>de</strong>n Datenschutz<br />
erreichen.<br />
Seite 156 von 195
9.3 Kontrolle <strong>de</strong>r Zentralen Stelle Einladungs- und Rückmel<strong>de</strong>wesen<br />
Durch das novellierte <strong>Bran<strong>de</strong>nburg</strong>ische Gesundheitsdienstgesetz 79 wur<strong>de</strong> ein Einladungs-<br />
und Rückmel<strong>de</strong>wesen für die Teilnahme von Kin<strong>de</strong>rn und Jugendlichen<br />
an Früherkennungsuntersuchungen eingeführt. Das Lan<strong>de</strong>samt für Soziales und<br />
Versorgung ist in seiner Funktion als Lan<strong>de</strong>sgesundheitsamt ür die Koordination<br />
<strong>de</strong>s Verfahrens zuständig. Wir haben es im Berichtszeitraum kontrolliert.<br />
Die Tätigkeit <strong>de</strong>s Lan<strong>de</strong>sgesundheitsamts als gesetzlich vorgesehene Zentrale Stelle<br />
umfasst beispielsweise die Einladung <strong>de</strong>r Kin<strong>de</strong>r und Jugendlichen und <strong>de</strong>n Abgleich<br />
ihrer Daten aus <strong>de</strong>m Mel<strong>de</strong>register mit <strong>de</strong>nen aus <strong>de</strong>n Rückmeldungen <strong>de</strong>r untersuchen<strong>de</strong>n<br />
Ärzte. Darüber hinaus mel<strong>de</strong>t das Lan<strong>de</strong>samt Kin<strong>de</strong>r und Jugendliche, von <strong>de</strong>nen<br />
nicht bekannt ist, ob sie an <strong>de</strong>r Untersuchung teilgenommen haben, an das örtliche Gesundheitsamt<br />
<strong>de</strong>r kreisfreien Stadt o<strong>de</strong>r <strong>de</strong>s Landkreises.<br />
Die Rückmeldungen <strong>de</strong>r Ärzte erfolgen <strong>de</strong>rzeit per Telefax. Dem Lan<strong>de</strong>sgesundheitsamt<br />
ist bewusst, dass dies keine datenschutzgerechte Lösung ist. Eine verschlüsselte<br />
Versendung <strong>de</strong>r Patientendaten scheitert aber an <strong>de</strong>r Ausstattung <strong>de</strong>r Arztpraxen. Wir<br />
haben daher vereinbart, nach <strong>de</strong>r flächen<strong>de</strong>cken<strong>de</strong>n Einführung <strong>de</strong>r elektronischen Gesundheitskarte<br />
zu prüfen, ob die in <strong>de</strong>n Arztpraxen dann vorhan<strong>de</strong>ne Infrastruktur für eine<br />
datenschutzfreundlichere Übertragung genutzt wer<strong>de</strong>n kann.<br />
Die Rückmeldungen <strong>de</strong>r Ärzte wer<strong>de</strong>n vom <strong>Bran<strong>de</strong>nburg</strong>ischen IT-Dienstleister über<br />
einen Faxserver entgegengenommen. Wir prüften daher, ob das <strong>Bran<strong>de</strong>nburg</strong>ische Gesundheitsdienstgesetz<br />
in Verbindung mit <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetz<br />
eine solche Datenverarbeitung im Auftrag von Gesundheitsdaten zulässt. Im Ergebnis<br />
for<strong>de</strong>rten wir, dass entwe<strong>de</strong>r eine Kenntnisnahme <strong>de</strong>r Daten durch <strong>de</strong>n Auftragnehmer<br />
mittels technisch-organisatorischer Maßnahmen ausgeschlossen o<strong>de</strong>r <strong>de</strong>r Auftragnehmer<br />
79 Gesetz über <strong>de</strong>n Öffentlichen Gesundheitsdienst im Land <strong>Bran<strong>de</strong>nburg</strong> (<strong>Bran<strong>de</strong>nburg</strong>isches Gesundheitsdienstgesetz – BbgGDG) vom 23.<br />
April 2008 (GVBl. I S. 95)<br />
80 vgl. Tätigkeitsbericht 2006/2007, A 8.8<br />
Seite 157 von 195
ein Schweigepflichtiger nach § 203 Strafgesetzbuch sein muss.<br />
Das Gesetz legt die Zeitpunkte, zu <strong>de</strong>nen Einladungen an die Betroffenen, diesbezügliche<br />
Erinnerungsschreiben und Meldungen an die Gesundheitsämter wegen fehlen<strong>de</strong>r<br />
Rückmeldung über eine Untersuchungsteilnahme erfolgen sollen, nicht fest. Die Terminierung<br />
blieb daher <strong>de</strong>m Lan<strong>de</strong>sgesundheitsamt überlassen. Dieses plante zunächst,<br />
<strong>de</strong>n Gesundheitsämtern schon mit Ablauf <strong>de</strong>s Untersuchungszeitraumes eine „Nichtteilnahme“<br />
zu mel<strong>de</strong>n. Unser Bestreben war es, diese Meldung so spät wie möglich anzusetzen,<br />
da die Krankenkassen auch eine spätere Untersuchung tolerieren. Es sollte aber<br />
möglichst vermie<strong>de</strong>n wer<strong>de</strong>n, dass Familien, die eine Untersuchung erst spät vornehmen<br />
lassen, <strong>de</strong>m zuständigen Gesundheitsamt bereits als „Nichtteilnehmer“ gemel<strong>de</strong>t wer<strong>de</strong>n.<br />
Das Ziel im Auge, dass die zuständigen Gesundheitsämter noch auf eine Teilnahme an<br />
einer Untersuchung im Toleranzzeitraum hinwirken können, ging das Lan<strong>de</strong>sgesundheitsamt<br />
noch vor <strong>de</strong>r ersten Meldung einer „Nichtteilnahme“ auch auf unser Anliegen<br />
ein: Die Information an die Gesundheitsämter erfolgte von Anfang an immerhin erst einen<br />
Monat nach En<strong>de</strong> <strong>de</strong>r Untersuchungsfrist.<br />
Fin<strong>de</strong>t die Untersuchung in einem an<strong>de</strong>ren Bun<strong>de</strong>sland statt, ist <strong>de</strong>r Arzt nicht zur Rückmeldung<br />
an die Zentrale Stelle verpflichtet. Aber auch bran<strong>de</strong>nburgische Ärzte nehmen<br />
die Rückmeldungen noch nicht durchgängig vor. In bei<strong>de</strong>n Fällen müssen die Betroffenen<br />
damit rechnen, trotz ihrer tatsächlich stattgefun<strong>de</strong>nen Teilnahme an <strong>de</strong>r Untersuchung<br />
von <strong>de</strong>r Zentralen Stelle als „Nichtteilnehmer“ an das örtliche Gesundheitsamt gemel<strong>de</strong>t<br />
zu wer<strong>de</strong>n. Die Betroffenen sind also letztlich dazu gezwungen, selbst die Initiative zu<br />
ergreifen, um trotz korrekten Verhaltens einer Meldung als „Problemfall“ zu entgehen.<br />
Daran zeigt sich, dass die von uns im letzten Tätigkeitsbericht 80 kritisierten Verfahren<br />
weiterhin Mängel aufweisen.<br />
Die Betriebsdokumentation für die Software zur Unterstützung <strong>de</strong>s Einladungs- und<br />
Rückmel<strong>de</strong>wesens, die uns aufgrund unserer ersten Anfrage von <strong>de</strong>r Zentralen Stelle<br />
überlassenen wur<strong>de</strong>, ging an verschie<strong>de</strong>nen Stellen von Rückmeldungen <strong>de</strong>r Gesundheitsämter<br />
an das Lan<strong>de</strong>sgesundheitsamt aus. Eine rechtliche Grundlage für diese Datenverarbeitung<br />
gab es im <strong>Bran<strong>de</strong>nburg</strong>ischen Gesundheitsdienstgesetz jedoch nicht.<br />
Das Lan<strong>de</strong>sgesundheitsamt stellte klar, dass dies allein Überlegungen <strong>de</strong>r Firma, die das<br />
Seite 158 von 195
Programm erstellte, gewesen seien, die aber von <strong>de</strong>r Zentralen Stelle abgelehnt wur<strong>de</strong>n.<br />
Wir baten insoweit um eine Bereinigung <strong>de</strong>r Texte.<br />
Schließlich haben wir beim Lan<strong>de</strong>sgesundheitsamt darauf hingewirkt, dass für die Zentrale<br />
Stelle ein Sicherheitskonzept erarbeitet wird. Eine Meinungsverschie<strong>de</strong>nheit über die<br />
dabei zugrun<strong>de</strong> zu legen<strong>de</strong> Schutzstufe konnte mit Hilfe <strong>de</strong>s Ministeriums für Arbeit, Soziales,<br />
Gesundheit und Familie entschie<strong>de</strong>n wer<strong>de</strong>n: Da die verarbeiteten Daten <strong>de</strong>r ärztlichen<br />
Schweigepflicht unterliegen, besteht ein hoher Schutzbedarf.<br />
Wir sind zuversichtlich, dass unsere Empfehlungen für ein datenschutzgerechtes Einladungs-<br />
und Rückmel<strong>de</strong>wesen von <strong>de</strong>r Zentralen Stelle berücksichtigt wer<strong>de</strong>n.<br />
9.4 Babybegrüßungsdienste<br />
Angesichts verschie<strong>de</strong>ner Fälle von Vernachlässigungen, Misshandlungen o<strong>de</strong>r<br />
Tötungen von Babys und Kleinkin<strong>de</strong>rn suchen auch die kreisfreien Städte und<br />
Landkreise in <strong>Bran<strong>de</strong>nburg</strong> nach Wegen, um so früh wie möglich mit Eltern in Kontakt<br />
zu treten und auf das Wohlergehen <strong>de</strong>r Kin<strong>de</strong>r hinzuwirken. Ein Ergebnis sind<br />
Babybegrüßungsdienste. Die jungen Familien erhalten angemel<strong>de</strong>ten Besuch einer<br />
Behör<strong>de</strong>, Informationsmaterial und eventuell sogar ein Geschenk. Auf diese<br />
Weise erhält <strong>de</strong>r Babybegrüßungsdienst einen gewissen Eindruck von <strong>de</strong>r Familiensituation.<br />
Der Babybegrüßungsdienst kann von unterschiedlichen Ämtern wahrgenommen wer<strong>de</strong>n.<br />
In einem konkreten Fall haben wir empfohlen, ihn beim Kin<strong>de</strong>r- und Jugendgesundheitsdienst<br />
<strong>de</strong>s Gesundheitsamtes anzubin<strong>de</strong>n, da dieser auf <strong>de</strong>r Grundlage <strong>de</strong>r Mel<strong>de</strong>datenübermittlungsverordnung<br />
von <strong>de</strong>n Mel<strong>de</strong>behör<strong>de</strong>n regelmäßig über Geburtsfälle informiert<br />
wird.<br />
An<strong>de</strong>re Stellen ordneten <strong>de</strong>n Babybegrüßungsdienst <strong>de</strong>m Jugendamt zu, <strong>de</strong>m auf <strong>de</strong>r<br />
Grundlage einer internen Dienstanweisung die erfor<strong>de</strong>rlichen Daten überlassen wur<strong>de</strong>n.<br />
Seite 159 von 195
Interne Dienstanweisungen können jedoch fehlen<strong>de</strong> gesetzliche Grundlagen für die Weitergabe<br />
von Daten nicht ersetzen. Wir wiesen <strong>de</strong>shalb darauf hin, dass die Mel<strong>de</strong>behör<strong>de</strong>n<br />
o<strong>de</strong>r Gesundheitsämter <strong>de</strong>n Jugendämtern nur mit Einwilligung <strong>de</strong>r Betroffenen eine<br />
Mitteilung über einen Geburtsfall machen dürfen. Um die Entscheidung <strong>de</strong>r Eltern, ob sie<br />
einen Besuch wünschen, in Erfahrung zu bringen, empfahlen wir ein Adressmittlungsverfahren.<br />
Dabei wen<strong>de</strong>t sich zunächst die Mel<strong>de</strong>behör<strong>de</strong> an die Familie, um ihr das Angebot<br />
<strong>de</strong>s Jugendamtes zu unterbreiten.<br />
In <strong>de</strong>n Anschreiben sind die Familien darüber zu informieren, dass sie frei entschei<strong>de</strong>n<br />
können, ob sie einen Besuch durch <strong>de</strong>n Babybegrüßungsdienst wollen o<strong>de</strong>r nicht. Außer<strong>de</strong>m<br />
sind ihnen für diese Entscheidung alle mit <strong>de</strong>m Besuch verbun<strong>de</strong>nen Zwecke<br />
vorab mitzuteilen.<br />
Ein Babybegrüßungsdienst sah vor, in einem Fragebogen Namen und Anschrift <strong>de</strong>r Familienmitglie<strong>de</strong>r<br />
sowie Angaben zur Hebamme und zum Kin<strong>de</strong>rarzt zu erfassen, um die<br />
Zufrie<strong>de</strong>nheit mit <strong>de</strong>r Infrastruktur für Kin<strong>de</strong>r vor Ort und eventuellen Verbesserungsbedarf<br />
zu ermitteln. Datenschutzrechtlich problematisch war die personenbezogene Ausgestaltung<br />
<strong>de</strong>s Fragebogens. Auf unseren Hinweis hin wer<strong>de</strong>n nur noch Angaben ohne<br />
Personenbezug dazu erbeten, ob <strong>de</strong>n Betroffenen das Vorhan<strong>de</strong>nsein eines Kin<strong>de</strong>rarztes<br />
wichtig ist und wie sie das Kin<strong>de</strong>rarztangebot in ihrem Stadtteil verwirklicht sehen.<br />
Ein an<strong>de</strong>rer Babybegrüßungsdienst sah umfangreiche Protokollierungen <strong>de</strong>s Hausbesuches<br />
vor. Unter an<strong>de</strong>rem sollten Grundversorgung und Schutz <strong>de</strong>s Kin<strong>de</strong>s sowie die familiäre<br />
Situation bewertet wer<strong>de</strong>n. Die Familien wur<strong>de</strong>n im Ergebnis in solche ohne ersichtlichen<br />
Hilfebedarf, solche mit Hilfebedarf im Alltag und solche mit erheblichem Unterstützungsbedarf<br />
kategorisiert. Da <strong>de</strong>r Dienst die Angaben für <strong>de</strong>n Hausbesuch ohne Einwilligung<br />
<strong>de</strong>r Betroffenen erhielt, bei <strong>de</strong>r Ankündigung seines Besuches stillschweigend das<br />
Einverständnis <strong>de</strong>r Eltern voraussetzte und die mit <strong>de</strong>m Besuch verfolgten Zwecke nicht<br />
preisgab, war eine Erfassung und Bewertung nahezu aller Familien mit Neugeborenen<br />
beim Jugendamt möglich. Dies war nicht zulässig.<br />
Ein Landkreis beabsichtigte, zusätzlich zu diesem Babybegrüßungsdienst ein umfangreiches<br />
Netzwerk einzurichten. Kooperieren<strong>de</strong> Personen o<strong>de</strong>r Stellen sollten anhand vager<br />
Seite 160 von 195
o<strong>de</strong>r gar unzulässiger Kriterien „Problemfälle“ an das Jugendamt mel<strong>de</strong>n. Vielfach war<br />
auch eine Rückmeldung <strong>de</strong>s Jugendamtes an die kooperieren<strong>de</strong> Stelle vorgesehen. Bei<strong>de</strong><br />
Vorgehensweisen sind datenschutzrechtlich nicht vertretbar. Dies hat uns veranlasst,<br />
alle Landkreise und kreisfreien Städte mit einem Rundschreiben über datenschutzrechtliche<br />
Schranken und datenschutzgerechte Lösungswege bei Babybegrüßungsdiensten<br />
und kommunalen Netzwerken zu informieren.<br />
Dauerhafte Verbesserungen von unbefriedigen<strong>de</strong>n familiären Situationen sind unterhalb<br />
<strong>de</strong>r Schwelle von Zwangsmaßnahmen nur zu erzielen, wenn zwischen Behör<strong>de</strong>nmitarbeitern<br />
und Familien ein Vertrauensverhältnis besteht. Die Beachtung datenschutzrechtlicher<br />
Schranken durch <strong>de</strong>n Babybegrüßungsdienst stellt die erste vertrauensbil<strong>de</strong>n<strong>de</strong><br />
Maßnahme gegenüber <strong>de</strong>n Betroffenen dar.<br />
Seite 161 von 195
9.5 Weitergabe von Daten Krankenversicherter an Lieferanten<br />
Versicherte, die Inkontinenzartikel benötigen, wur<strong>de</strong>n von ihrer Krankenkasse<br />
schriftlich darauf hingewiesen, dass ab <strong>de</strong>m Jahre 2009 eine Versorgung mit entsprechen<strong>de</strong>n<br />
Hilfsmitteln nur noch über einen bestimmten Anbieter möglich sei.<br />
Zugleich wur<strong>de</strong> angekündigt, dass die Krankenkasse diesem Lieferanten Namen<br />
und Anschrift sowie Telefonnummer <strong>de</strong>s Betroffenen mitteilen wür<strong>de</strong>, sofern dieser<br />
nicht bis zu einem bestimmten Zeitpunkt mittels eines beigefügten Formulars dieser<br />
Verfahrensweise wi<strong>de</strong>rspräche.<br />
Das Gesetz for<strong>de</strong>rt in § 127 Abs. 5 Fünftes Buch Sozialgesetzbuch lediglich, dass die<br />
Krankenkassen ihre Versicherten über die zur Versorgung berechtigten Vertragspartner<br />
informieren. Eine Übermittlung von Versichertendaten von <strong>de</strong>r gesetzlichen Krankenversicherung<br />
an <strong>de</strong>n Hilfsmittellieferanten ist im Gesetz nicht vorgesehen. Sie ist angesichts<br />
<strong>de</strong>r Information an die Versicherten auch nicht erfor<strong>de</strong>rlich. Es ist <strong>de</strong>shalb schon fraglich,<br />
ob eine Einwilligung <strong>de</strong>r Betroffenen in diesen Fällen möglich gewesen wäre. Eine Wi<strong>de</strong>rspruchslösung<br />
war aber ganz sicher nicht <strong>de</strong>r richtige Weg. Die Krankenkasse sah dies<br />
prompt ein. Sie for<strong>de</strong>rte die bis dahin an die potenziellen Lieferanten übergebenen Datenträger<br />
mit Versichertenangaben zurück und führte sie einer datenschutzgerechten<br />
Vernichtung zu. Wir baten darum, nach Beendigung dieser Aktion auch die Wi<strong>de</strong>rspruchsschreiben<br />
zu löschen.<br />
Inzwischen lässt die Krankenkasse neue Leistungsfälle direkt durch <strong>de</strong>n verordnen<strong>de</strong>n<br />
Arzt o<strong>de</strong>r das Krankenhaus an die ausschließlich lieferberechtigten Leistungserbringer<br />
verweisen.<br />
Wi<strong>de</strong>rspruchslösungen bedürfen einer gesetzlichen Grundlage, <strong>de</strong>nn sie wahren die<br />
Rechte <strong>de</strong>r Betroffenen <strong>de</strong>utlich schlechter als ein Einwilligungserfor<strong>de</strong>rnis.<br />
Seite 162 von 195
10 Finanzen<br />
10.1 Neues Finanzmanagement in <strong>de</strong>r Lan<strong>de</strong>sverwaltung<br />
10.1.1 Datenschutzrechtliche Anfor<strong>de</strong>rungen bei <strong>de</strong>r Einführung <strong>de</strong>s<br />
gemeinsamen Verfahrens<br />
In unserem letzten Tätigkeitsbericht 81 hatten wir über <strong>de</strong>n Beschluss <strong>de</strong>r Lan<strong>de</strong>sregierung<br />
berichtet, das Neue Finanzmanagement (NFM) in <strong>de</strong>r gesamten Lan<strong>de</strong>sverwaltung<br />
einzuführen. Teil <strong>de</strong>s Projekts war die Mo<strong>de</strong>rnisierung <strong>de</strong>s Haushalts-,<br />
Kassen- und Rechnungswesens (HKR) und <strong>de</strong>ssen Umstellung auf ein SAP<br />
R/3-System. Im Berichtszeitraum wur<strong>de</strong>n die Projektarbeiten planmäßig weitergeführt.<br />
Die Einführung <strong>de</strong>s Neuen Finanzmanagements in <strong>de</strong>r Lan<strong>de</strong>sverwaltung glie<strong>de</strong>rt sich in<br />
ein zentrales Projekt unter Fe<strong>de</strong>rführung <strong>de</strong>s Ministeriums <strong>de</strong>r Finanzen und <strong>de</strong>zentrale<br />
Vorhaben in <strong>de</strong>n einzelnen Ressorts bzw. ihren nachgeordneten Bereichen. Damit <strong>de</strong>r<br />
Datenschutz im Gesamtsystem ressortübergreifend gewährleistet wird, müssen alle beteiligten<br />
Stellen ihre jeweilige datenschutzrechtliche Verantwortung erkennen und ausfüllen.<br />
Das NFM-Projekt und seine technische Realisierung unterschei<strong>de</strong>n sich dabei grundlegend<br />
von an<strong>de</strong>ren komplexen, ressortübergreifen<strong>de</strong>n IT-Projekten, die aktuell in <strong>de</strong>r Lan<strong>de</strong>sverwaltung<br />
bearbeitet und durch unsere Behör<strong>de</strong> begleitet wer<strong>de</strong>n. Im Gegensatz zu<br />
<strong>de</strong>n Projekten EL.DOK BB 82 und PERIS, 83 bei <strong>de</strong>nen die einzelnen Daten verarbeiten<strong>de</strong>n<br />
Stellen und ihre Verantwortung klar abgegrenzt wer<strong>de</strong>n können, haben wir es bei NFM<br />
mit einem gemeinsamen DV-Verfahren zu tun. Dieses zeichnet sich dadurch aus, dass<br />
81 vgl. Tätigkeitsbericht 2006/2007, A 9.3<br />
82 vgl. A 4.5.5<br />
83 vgl. A 4.6.3<br />
Seite 163 von 195
mehrere Daten verarbeiten<strong>de</strong> Stellen über einem gemeinsamen Datenbestand operieren<br />
(müssen) – hier u. a. zur Bewirtschaftung <strong>de</strong>s Finanzhaushalts.<br />
Lei<strong>de</strong>r gibt es bislang keine klaren Regelungen im <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetz,<br />
die sich mit solchen gemeinsamen Verfahren befassen. Da diese Lücke uns zuletzt<br />
mehrfach beschäftigte (z. B. bei gemeinsamen Bund-Län<strong>de</strong>r-Verfahren, gemeinsamen<br />
Verfahren mehrerer Stellen <strong>de</strong>r Lan<strong>de</strong>sverwaltung o<strong>de</strong>r mehrerer Kommunen), haben wir<br />
gegenüber <strong>de</strong>m Ministerium <strong>de</strong>s Innern angeregt, bei <strong>de</strong>r nächsten Novellierung <strong>de</strong>s<br />
Gesetzes eine entsprechen<strong>de</strong> Ergänzung in <strong>de</strong>n parlamentarischen Prozess einzubringen.<br />
Dabei ist insbeson<strong>de</strong>re zu regeln, dass vor Einführung und Betrieb eines konkreten<br />
gemeinsamen Verfahrens die Zuständigkeiten und Verantwortlichkeiten für die Erfüllung<br />
einzelner datenschutzrechtlicher Anfor<strong>de</strong>rungen (Freigabe, Sicherheitskonzept, Verfahrensverzeichnis<br />
usw.) zu bestimmen und klar abzugrenzen sind. Ein „Verdunsten“ <strong>de</strong>r<br />
Verantwortung o<strong>de</strong>r Lücken bei <strong>de</strong>r Umsetzung <strong>de</strong>r Anfor<strong>de</strong>rungen darf es nicht geben.<br />
Im Vorgriff auf eine solche gesetzliche Regelung haben wir für das NFM-Projekt mit allen<br />
Verantwortlichen Folgen<strong>de</strong>s vereinbart:<br />
Fe<strong>de</strong>rführend bei <strong>de</strong>r Planung, Einrichtung, Durchführung und Weiterentwicklung <strong>de</strong>s<br />
Verfahrens ist das Ministerium <strong>de</strong>r Finanzen. Dies ergibt sich auch aus <strong>de</strong>r Geschäftsverteilung<br />
in <strong>de</strong>r Lan<strong>de</strong>sregierung. In diesem Kontext kann das Ministerium<br />
auch Verträge über eine Datenverarbeitung im Auftrag mit externen Dienstleistern für<br />
die gesamte Lan<strong>de</strong>sverwaltung abschließen.<br />
Das Ministerium <strong>de</strong>r Finanzen übernimmt die Verantwortung für die Erstellung eines<br />
Sicherheitskonzepts für das NFM-Verfahren. Dieses besteht aus einem „zentralen<br />
Teil“ für die gemeinsam von allen Daten verarbeiten<strong>de</strong>n Stellen genutzten Verfahrenskomponenten<br />
und einem „<strong>de</strong>zentralen Teil“. Letzterer wird in Form eines Mustersicherheitskonzepts<br />
bzw. von Sicherheitsrichtlinien für die Clientseite ausgeführt.<br />
Bezüglich <strong>de</strong>r gemeinsam genutzten Komponenten <strong>de</strong>s NFM-Verfahrens erstellt das<br />
Ministerium <strong>de</strong>r Finanzen das Verfahrensverzeichnis und erteilt die Freigabe. Dabei ist<br />
auch die Umsetzung <strong>de</strong>r Sicherheitsmaßnahmen für die gemeinsam genutzten Ver-<br />
Seite 164 von 195
fahrenskomponenten zu prüfen.<br />
Die das NFM-Verfahren einführen<strong>de</strong>n Stellen sind für die Umsetzung <strong>de</strong>r datenschutzrechtlichen<br />
Anfor<strong>de</strong>rungen jeweils in ihrem eigenen Zuständigkeitsbereich verantwortlich.<br />
Insbeson<strong>de</strong>re sind die Sicherheitsrichtlinien für die Clientseite entsprechend <strong>de</strong>r<br />
lokalen Beson<strong>de</strong>rheiten anzupassen, zu spezialisieren und umzusetzen. Dies betrifft<br />
auch die lokale Ausprägung <strong>de</strong>s zentral erarbeiteten Rechte- und Rollenkonzepts zur<br />
Regelung <strong>de</strong>s Zugriffs auf die Verfahrensdaten.<br />
Weiterhin erteilen die das NFM-Verfahren einführen<strong>de</strong>n Stellen die Freigabe und<br />
erstellen das Verfahrensverzeichnis jeweils eingeschränkt für ihren Verantwortungsbereich.<br />
Bezüglich <strong>de</strong>r gemeinsamen Verfahrenskomponenten können sie auf die vom<br />
Ministerium <strong>de</strong>r Finanzen erarbeiteten Dokumente (Sicherheitskonzept, Freigabe, Verfahrensverzeichnis)<br />
verweisen.<br />
Wir haben im Berichtszeitraum auf <strong>de</strong>r Basis dieser Absprachen ein Ressort bzgl. <strong>de</strong>r<br />
Umsetzung <strong>de</strong>r Anfor<strong>de</strong>rungen an die „<strong>de</strong>zentralen Stellen“ geprüft. Zunächst war zwar<br />
noch Überzeugungsarbeit zu leisten, damit das Ressort die datenschutzrechtliche Zuständigkeit<br />
für <strong>de</strong>n eigenen, lokalen Verantwortungsbereich anerkennt. Letztlich konnte<br />
aber Einvernehmen über die Notwendigkeit erzielt wer<strong>de</strong>n, die verfahrensspezifischen<br />
Dokumente inklusive <strong>de</strong>r Freigabeerklärung eingeschränkt auf <strong>de</strong>n Verantwortungsbereich<br />
vor Ort vorzuhalten und zu pflegen. Nach Prüfung <strong>de</strong>r Konzepte und weiteren klären<strong>de</strong>n<br />
Gesprächen konnte im Ergebnis festgestellt wer<strong>de</strong>n, dass die datenschutzrechtlichen<br />
Anfor<strong>de</strong>rungen in <strong>de</strong>r geprüften <strong>de</strong>zentralen Stelle eingehalten wer<strong>de</strong>n.<br />
Auch bei <strong>de</strong>r Einführung gemeinsamer Verfahren sind alle datenschutzrechtlichen Anfor<strong>de</strong>rungen<br />
zu erfüllen. Durch eine Ergänzung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Datenschutzgesetzes<br />
sollte Rechtssicherheit dahin gehend geschaffen wer<strong>de</strong>n, dass bei solchen Verfahren<br />
rechtzeitig und umfassend Vereinbarungen zur Aufteilung <strong>de</strong>r Verantwortlichkeiten zwischen<br />
allen beteiligten Daten verarbeiten<strong>de</strong>n Stellen getroffen wer<strong>de</strong>n können.<br />
Seite 165 von 195
10.1.2 Erarbeitung und Umsetzung <strong>de</strong>s Sicherheitskonzepts Zu Ziffer 10.1.2 „Erarbeitung und Umsetzung <strong>de</strong>s Sicherheitskonzepts“<br />
Bereits in unserem letzten Tätigkeitsbericht 84 hatten wir darauf hingewiesen, dass<br />
bei <strong>de</strong>r Mo<strong>de</strong>rnisierung <strong>de</strong>s Verfahrens zum Haushalts-, Kassen- und Rechnungswesens<br />
(HKR) im Rahmen <strong>de</strong>r Einführung <strong>de</strong>s Neuen Finanzmanagements (NFM)<br />
in <strong>de</strong>r Lan<strong>de</strong>sverwaltung das entsprechen<strong>de</strong> IT-Sicherheitskonzept fortzuschreiben<br />
ist. Dabei muss insbeson<strong>de</strong>re <strong>de</strong>r hohe Schutzbedarf <strong>de</strong>r verarbeiteten Daten berücksichtigt<br />
wer<strong>de</strong>n.<br />
Das Sicherheitskonzept für das Neue Finanzmanagement (NFM) ist in<br />
<strong>de</strong>n Jahren 2008/2009 kontinuierlich bearbeitet, aktualisiert und angepasst<br />
wor<strong>de</strong>n. Wie die LDA bei Punkt 10.1.1 mitteilt, hat das Ministerium<br />
<strong>de</strong>r Finanzen die Verantwortung für die Erstellung eines Sicherheitskonzeptes<br />
für das NFM-Verfahren übernommen. Zutreffend ist,<br />
dass das NFM-Sicherheitskonzept in einen „zentralen“ (gemeinsam<br />
von allen Daten verarbeiten<strong>de</strong>n Stellen genutzte Verfahrenskomponenten)<br />
und „<strong>de</strong>zentralen“ (in Form eines Mustersicherheitskonzeptes<br />
bzw. Sicherheitsrichtlinien für die Clientseite) Teil geglie<strong>de</strong>rt ist.<br />
Das <strong>Bran<strong>de</strong>nburg</strong>ische Datenschutzgesetz verlangt, dass die wesentliche Än<strong>de</strong>rung von<br />
automatisierten Verfahren, mit <strong>de</strong>nen personenbezogene Daten verarbeitet wer<strong>de</strong>n und<br />
für die ein Verfahrensverzeichnis zu erstellen ist, <strong>de</strong>r Freigabe bedarf. Zuvor ist im Rahmen<br />
eines aus einer Risikoanalyse entwickelten Sicherheitskonzepts nachzuweisen,<br />
dass die von <strong>de</strong>m Verfahren ausgehen<strong>de</strong>n Gefahren für die Rechte und Freiheiten <strong>de</strong>r<br />
Betroffenen durch technische und organisatorische Maßnahmen beherrscht wer<strong>de</strong>n können.<br />
Das Ministerium <strong>de</strong>r Finanzen befin<strong>de</strong>t sich diesbezüglich im ständigen<br />
Kontakt mit <strong>de</strong>r LDA – dies betrifft vor allem auch die von <strong>de</strong>r LDA<br />
in Punkt 10.1.3 genannte Passwortstrategie und die datenschutzrechtlichen<br />
Anfor<strong>de</strong>rungen (Punkt 10.1.1).<br />
Die Mo<strong>de</strong>rnisierung <strong>de</strong>s HKR-Verfahrens für die Lan<strong>de</strong>sverwaltung ist eine solche wesentliche<br />
Än<strong>de</strong>rung, da u. a. die verwen<strong>de</strong>te Basissoftware ProFiskal durch SAP R/3<br />
ersetzt wer<strong>de</strong>n sollte und somit die IT-Sicherheitsmaßnahmen neu abzuleiten und umzusetzen<br />
waren. Bei <strong>de</strong>r Erarbeitung und Realisierung <strong>de</strong>s Sicherheitskonzepts ging es<br />
jedoch zunächst nur schleppend voran. Zwar wur<strong>de</strong> ein hoher Schutzbedarf bei <strong>de</strong>r Integrität<br />
und z. T. auch bei <strong>de</strong>r Vertraulichkeit <strong>de</strong>r Daten festgestellt und eine Reihe von Sicherheitsmaßnahmen<br />
wie eine En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung, <strong>de</strong>r Einsatz von Chipkarten<br />
und die Anwendung digitaler Signaturen empfohlen. Aussagen über <strong>de</strong>n Umsetzungsgrad<br />
dieser Maßnahmen wur<strong>de</strong>n jedoch nicht getroffen. Auch zu <strong>de</strong>n ansonsten<br />
notwendigen Basissicherheitsmaßnahmen lagen kaum Angaben über die Umsetzung vor.<br />
Die im Bericht genannte En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung mittels SNC<br />
(Secure Network Communications) ist zum En<strong>de</strong> <strong>de</strong>s I. Quartal 2010<br />
erfolgreich umgesetzt und abgeschlossen wor<strong>de</strong>n. Mit Beginn <strong>de</strong>s 2.<br />
Quartals 2010 ist damit für die SAP-Nutzer nur noch <strong>de</strong>r verschlüsselte<br />
Zugang zum SAP-Rechner möglich. Des Weiteren wur<strong>de</strong> gleichzeitig<br />
die Umsetzung <strong>de</strong>r mit <strong>de</strong>r LDA abgestimmten Passwortstrategie erfolgreich<br />
umgesetzt.<br />
Ein Kritikpunkt <strong>de</strong>r LDA bezieht sich auf die unverschlüsselte Speicherung<br />
<strong>de</strong>r Daten in <strong>de</strong>r Datenbank. Hierzu wird wie folgt Stellung ge-<br />
84 vgl. Tätigkeitsbericht 2006/2007, A 9.3<br />
85 vgl. <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong>, <strong>Drucksache</strong> 4/6891-B<br />
Seite 166 von 195
Obwohl ein Sicherheitskonzept ohne Beschreibung <strong>de</strong>s Umsetzungsstatus unvollständig<br />
ist, erteilte das Ministerium <strong>de</strong>r Finanzen die Freigabe <strong>de</strong>s HKR-Verfahrens.<br />
Auf unsere Nachfrage hin erklärten die Projektverantwortlichen, dass die En<strong>de</strong>-zu-En<strong>de</strong>-<br />
Verschlüsselung mittels SNC (Secure Network Communication) bereits beschlossen sei<br />
und <strong>de</strong>mnächst umgesetzt wer<strong>de</strong>. Die Vorlage eines vollständigen Sicherheitskonzepts<br />
wur<strong>de</strong> bis zum En<strong>de</strong> <strong>de</strong>s NFM-Projekts in Aussicht gestellt. Dies war für uns allerdings<br />
nicht hinnehmbar, da <strong>de</strong>r Produktivbetrieb mit <strong>de</strong>m SAP-System für einzelne Verwaltungen<br />
bereits zum 1. August 2008 gestartet war. Nach Intervention unserer Behör<strong>de</strong> hat<br />
<strong>de</strong>r <strong>Landtag</strong> das fe<strong>de</strong>rführen<strong>de</strong> Ministerium <strong>de</strong>r Finanzen per Beschluss 85 zur Vorlage<br />
<strong>de</strong>s NFM-Sicherheitskonzepts innerhalb von sechs Monaten aufgefor<strong>de</strong>rt.<br />
Im Ergebnis dieses Beschlusses wur<strong>de</strong> die Erstellung <strong>de</strong>s Sicherheitskonzeptes mit größerem<br />
Nachdruck betrieben. Schrittweise verbesserte sich <strong>de</strong>ssen Qualität. Der Umsetzungsstatus<br />
von Sicherheitsmaßnahmen wur<strong>de</strong> schließlich ebenfalls dokumentiert. Dabei<br />
wur<strong>de</strong> <strong>de</strong>utlich, dass einige Maßnahmen – insbeson<strong>de</strong>re beim externen Dienstleister –<br />
nicht o<strong>de</strong>r nur unzureichend realisiert waren.<br />
Positiv zu bemerken ist, dass die En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung mittels SNC nach Vorliegen<br />
<strong>de</strong>r entsprechen<strong>de</strong>n Entscheidung zügig eingeführt wur<strong>de</strong>. Das Ministerium <strong>de</strong>r<br />
Finanzen hatte diese Aufgabe zusätzlich zur Umstellung auf das SAP-System zu organisieren<br />
und trotz <strong>de</strong>s damit verbun<strong>de</strong>nen erheblichen Aufwands erfreulich schnell sowohl<br />
für die bereits an SAP angebun<strong>de</strong>nen als auch für die noch anzuschließen<strong>de</strong>n Stellen<br />
umgesetzt. Auch die engagierte Mitarbeit <strong>de</strong>r Administratoren in <strong>de</strong>n Ressorts und nachgeordneten<br />
Stellen ist hier positiv zu erwähnen. Dennoch bleibt die Kritik, dass die notwendige<br />
En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung nicht von Anfang an in die Planung zur Einführung<br />
<strong>de</strong>s HKR-Verfahrens eingeflossen ist und erst nach seiner Produktivsetzung aufgrund<br />
unserer beharrlichen For<strong>de</strong>rungen beschlossen wur<strong>de</strong>.<br />
Ein weiterer Kritikpunkt bezieht sich auf die unverschlüsselte Speicherung <strong>de</strong>r Daten in<br />
<strong>de</strong>r Datenbank. Problematisch ist dabei insbeson<strong>de</strong>re, dass das Verfahren grundsätzlich<br />
gar keine Möglichkeit zur verschlüsselten Speicherung anbietet, sodass hier nur über<br />
Weiterentwicklungen o<strong>de</strong>r <strong>de</strong>n Umstieg auf eine an<strong>de</strong>re Software Abhilfe geschaffen<br />
nommen:<br />
In <strong>de</strong>r Software von SAP ist eine Datenbankverschlüsselung nicht<br />
vorgesehen, da die Daten anonym in <strong>de</strong>r jeweiligen Datenbank abgelegt<br />
wer<strong>de</strong>n.<br />
Zur Sicherstellung <strong>de</strong>r datenschutzrechtlichen Anfor<strong>de</strong>rungen sind<br />
vom Dienstleister (T-Systems) Maßnahmen ergriffen wor<strong>de</strong>n, die die<br />
Daten in einer komplexen Datenbankstruktur in einem speziellen Format<br />
ablegt. Der Dienstleister initiiert selbst einen internen Sicherungsprozess<br />
(Datenbank, Server), neu auftreten<strong>de</strong> Sicherheitsgefahren<br />
wer<strong>de</strong>n im Zuge <strong>de</strong>s Sicherheitsprozesses beim Dienstleister beseitigt.<br />
Weiterhin sind z.B. die Serversysteme in einem zertifizierten Hochsicherheitsrechenzentrum<br />
untergebracht und das Kun<strong>de</strong>nnetzwerk<br />
durch technische Sicherheitsmaßnahmen geschützt.<br />
Nach Betrachtung <strong>de</strong>r für die Rechte <strong>de</strong>r Betroffenen bestehen<strong>de</strong>n<br />
Risiken und <strong>de</strong>r oben genannten bereits getroffenen bzw. bestehen<strong>de</strong>n<br />
Sicherheitsmaßnahmen, wird die von <strong>de</strong>r LDA angesprochene<br />
Datenbankverschlüsselung als unverhältnismäßig im Sinne von § 10<br />
Absatz 1 BbgDSG eingeschätzt, da sie mit enormen Mehrkosten und<br />
Risiken in <strong>de</strong>r Performance sowie Betriebsstrukturen verbun<strong>de</strong>n wäre,<br />
eine nachhaltige Verbesserungen <strong>de</strong>s Datenschutzes jedoch nicht<br />
erreicht wür<strong>de</strong>.<br />
Zu <strong>de</strong>n von <strong>de</strong>r LDA anschließend genannten offenen Sicherheitsmaßnahmen<br />
wird wie folgt Stellung genommen:<br />
revisionssichere Protokollierung von Nutzeraktivitäten<br />
Über die SAP Än<strong>de</strong>rungsbelege erfolgt eine revisionssichere<br />
Protokollierung <strong>de</strong>r Än<strong>de</strong>rungen, die <strong>de</strong>r Nutzer im SAP System<br />
durchführt (Nutzerzugriff, Schreibzugriff). Für eine darüber<br />
hinausgesehen<strong>de</strong> Protokollierung besteht keine Notwendigkeit.<br />
<br />
Seite 167 von 195<br />
Konzepte zur Löschung von Daten im Verfahren und <strong>de</strong>ren
wer<strong>de</strong>n könnte. Von Seiten <strong>de</strong>s Ministeriums <strong>de</strong>r Finanzen sieht man allerdings keinen<br />
Handlungsbedarf. Wenn man be<strong>de</strong>nkt, dass alle verfahrensspezifischen Daten <strong>de</strong>s Lan<strong>de</strong>s<br />
somit unverschlüsselt bei einem externen IT-Dienstleister liegen, ist diese Haltung<br />
bestenfalls sorglos zu nennen.<br />
Weiterhin offen sind außer<strong>de</strong>m folgen<strong>de</strong> Sicherheitsmaßnahmen:<br />
revisionssichere Protokollierung von Nutzeraktivitäten,<br />
Umsetzung<br />
Es erfolgt im SAP-System schon aus haushaltsrechtlichen<br />
Grün<strong>de</strong>n keine Löschung von Daten. Des Weiteren sind die<br />
Lan<strong>de</strong>sbehör<strong>de</strong>n mit SAP-Nutzung „Dateneigentümer“ und<br />
tragen selbst die Verantwortung, welche Daten im System<br />
verarbeitet wer<strong>de</strong>n. Die Daten im SAP System wer<strong>de</strong>n zukünftig<br />
archiviert, das Archivierungskonzept befin<strong>de</strong>t sich noch in<br />
<strong>de</strong>r Erstellung. Die LDA wird in <strong>de</strong>n Prozess einbezogen, mit<br />
<strong>de</strong>m Ziel, eine datenschutzgerechte Lösung zu fin<strong>de</strong>n.<br />
Konzepte zur Löschung von Daten im Verfahren und <strong>de</strong>ren Umsetzung,<br />
Nutzung digitaler Signaturen zur Sicherung <strong>de</strong>r Integrität und<br />
Nutzung digitaler Signaturen zur Sicherung <strong>de</strong>r Integrität und Authentizität von Datensätzen,<br />
Authentizität von Datensätzen und<br />
Verwendung von Chipkarten zur sicheren Verwaltung und<br />
Nutzung privater Schlüssel bei Authentifizierungs- und Signaturprozessen.<br />
Verwendung von Chipkarten zur sicheren Verwaltung und Nutzung privater Schlüssel<br />
bei Authentifizierungs- und Signaturprozessen.<br />
Mittlerweile nutzen alle Behör<strong>de</strong>n <strong>de</strong>r Lan<strong>de</strong>sverwaltung das mo<strong>de</strong>rnisierte HKR-<br />
Verfahren auf <strong>de</strong>r Basis von SAP R/3. Wir wer<strong>de</strong>n auch zukünftig das Neue Finanzmanagement<br />
beratend begleiten und dabei auf die Bearbeitung <strong>de</strong>r noch offenen Punkte<br />
drängen.<br />
Bei <strong>de</strong>r Mo<strong>de</strong>rnisierung <strong>de</strong>s HKR-Verfahrens für die Lan<strong>de</strong>sverwaltung konnte nur<br />
schrittweise eine Verbesserung <strong>de</strong>r IT-Sicherheit und <strong>de</strong>s Datenschutzes erreicht wer<strong>de</strong>n.<br />
Noch immer bestehen Lücken bei <strong>de</strong>r vollständigen Umsetzung <strong>de</strong>s IT-<br />
Sicherheitskonzepts.<br />
Maßnahmen zur Nutzung digitaler Signaturen und zur Verwendung<br />
von Chipkarten wer<strong>de</strong>n im Rahmen <strong>de</strong>s IT-<br />
Standardisierungsprozesses zentral durch das Ministerium<br />
<strong>de</strong>s Innern vorgegeben.<br />
Im SAP-Konzept wur<strong>de</strong> <strong>de</strong>r Einsatz von Chipkarten als optionale<br />
Sicherheitsmaßnahme <strong>de</strong>finiert. Sofern im Rahmen <strong>de</strong>r<br />
lan<strong>de</strong>sweiten IT-Infrastruktur die Einführung eines Chipkartensystems<br />
erfolgt, kann das NFM problemlos integriert wer<strong>de</strong>n.<br />
Die Einführung eines Chipkartensystems allein für das NFM<br />
wird unter Berücksichtigung <strong>de</strong>s Schutzbedarfs <strong>de</strong>r zu verarbeiten<strong>de</strong>n<br />
Daten jedoch als nicht erfor<strong>de</strong>rlich eingeschätzt.<br />
10.1.3 Kontrolle <strong>de</strong>r SAP-Leitstelle im Ministerium <strong>de</strong>r Finanzen Die LDA fasst ihren Bericht zum NFM am En<strong>de</strong> <strong>de</strong>s Punktes 10.1.2<br />
wie folgt zusammen:<br />
Im Rahmen <strong>de</strong>r datenschutzrechtlichen Begleitung <strong>de</strong>r Einführung <strong>de</strong>s Neuen Finanzmanagements<br />
(NFM) haben wir eine Kontrolle in <strong>de</strong>r SAP-Leitstelle durchgeführt.<br />
Schwerpunktmäßig wur<strong>de</strong>n dabei die Passworteinstellungen für SAP-Nutzer,<br />
Seite 168 von 195<br />
„Bei <strong>de</strong>r Mo<strong>de</strong>rnisierung <strong>de</strong>s HKR-Verfahrens für die Lan<strong>de</strong>sverwaltung<br />
konnte nur schrittweise eine Verbesserung <strong>de</strong>r IT-
die Systemeinstellungen <strong>de</strong>r mit umfassen<strong>de</strong>n Rechten ausgestatteten SAP-<br />
Standardprofile und SAP-Standardnutzerkonten sowie die Benutzer- und Berechtigungsverwaltung<br />
in <strong>de</strong>r Leitstelle überprüft.<br />
Nach unseren Feststellungen ist die Benutzer- und Berechtigungsverwaltung <strong>de</strong>s SAP-<br />
Systems im Ministerium <strong>de</strong>r Finanzen gut organisiert. Zur Einrichtung, Än<strong>de</strong>rung und<br />
Sperrung von Benutzern wird ein dreistufiges Verfahren verwen<strong>de</strong>t, um eine kritische<br />
Häufung von Rechten auf administrativer Ebene zu verhin<strong>de</strong>rn. Das sog. Customer Competence<br />
Center (CCC) im Ministerium <strong>de</strong>r Finanzen wur<strong>de</strong> für die abgestufte Berechtigungsverwaltung<br />
von SAP zertifiziert.<br />
Die allgemein bekannten Initialpasswörter <strong>de</strong>r SAP-Standardnutzer wur<strong>de</strong>n bei <strong>de</strong>r Systeminstallation<br />
geän<strong>de</strong>rt, die aktuell gültigen Passwörter sind sicher verwahrt. Profile mit<br />
umfassen<strong>de</strong>n SAP-Rechten sind restriktiv vergeben und gelten nicht für Mandanten mit<br />
Fachdaten. SAP-Standardprofile wer<strong>de</strong>n von <strong>de</strong>n Administratoren nur nach <strong>de</strong>m Vier-<br />
Augen-Prinzip eingesetzt und Aktivitäten systemtechnisch protokolliert. Allerdings erfolgt<br />
die Protokollierung nicht automatisch – sie muss manuell eingeschaltet wer<strong>de</strong>n. Wir haben<br />
angeregt, an dieser Stelle das Logging zu automatisieren, um <strong>de</strong>m Problem, dass<br />
die Protokollierung vergessen wird, vorzubeugen. Eine Fernwartung <strong>de</strong>s SAP-Systems<br />
durch Mitarbeiter <strong>de</strong>s externen Dienstleisters erfolgt nur nach expliziter Zustimmung und<br />
unter kontinuierlicher Beobachtung <strong>de</strong>r Administratoren <strong>de</strong>r SAP-Leitstelle.<br />
Sicherheit und <strong>de</strong>s Datenschutzes erreicht wer<strong>de</strong>n. Noch immer<br />
bestehen Lücken bei <strong>de</strong>r vollständigen Umsetzung <strong>de</strong>s IT-<br />
Sicherheitskonzepts.“<br />
Dieser Aussage wird seitens <strong>de</strong>r Lan<strong>de</strong>sregierung in ihrer Ten<strong>de</strong>nz<br />
nicht zugestimmt. Durch die fortlaufen<strong>de</strong> Bearbeitung und Aktualisierung<br />
<strong>de</strong>s NFM-Sicherheitskonzeptes, die Umsetzung <strong>de</strong>r Passwortstrategie<br />
und die Umsetzung <strong>de</strong>r En<strong>de</strong>-zu-En<strong>de</strong>-Verschlüsselung<br />
(SNC), die <strong>de</strong>n Zugang zum System über eine verschlüsselte Verbindung<br />
gewährleistet, wur<strong>de</strong> die IT-Sicherheit und <strong>de</strong>r Datenschutz wesentlich<br />
verbessert. Soweit Lücken bei <strong>de</strong>r Umsetzung <strong>de</strong>s Sicherheitskonzepts<br />
bestehen, wer<strong>de</strong>n diese zügig, ggf. unter Einbeziehung<br />
<strong>de</strong>r <strong>de</strong>zentralen Nutzer <strong>de</strong>s Systems, geschlossen.<br />
Bei <strong>de</strong>r Überprüfung <strong>de</strong>r Passworteinstellungen für SAP-Nutzer in <strong>de</strong>n Ressorts wur<strong>de</strong><br />
klar, dass die Anfor<strong>de</strong>rungen an sichere Passwörter nach Standard <strong>de</strong>s Bun<strong>de</strong>samtes für<br />
Sicherheit in <strong>de</strong>r Informationstechnik hinsichtlich Min<strong>de</strong>stlänge, Min<strong>de</strong>stkomplexität und<br />
maximaler Gültigkeit noch nicht erfüllt sind. Die SAP-Leitstelle sieht sich hier in <strong>de</strong>m Dilemma,<br />
dass erhöhte Passwortanfor<strong>de</strong>rungen voraussichtlich einen sprunghaften Anstieg<br />
<strong>de</strong>r Supportanfragen aufgrund vergessener Passwörter und damit eine stark steigen<strong>de</strong><br />
Arbeitsbelastung <strong>de</strong>r Mitarbeiter erzeugen wür<strong>de</strong>n. Tatsächlich müsste eine neue Passwortstrategie<br />
gut vorbereitet und die SAP-Nutzer im Umgang mit sicheren und trotz<strong>de</strong>m<br />
merkbaren Passwörtern geschult wer<strong>de</strong>n. Ansonsten könnten erhöhte Anfor<strong>de</strong>rungen am<br />
En<strong>de</strong> gar zu einer Verschlechterung <strong>de</strong>s Sicherheitsniveaus aufgrund notierter Passwörter<br />
führen. Wir haben uns mit <strong>de</strong>r SAP-Leitstelle darauf verständigt, eine Än<strong>de</strong>rung <strong>de</strong>r<br />
Seite 169 von 195
zentralen Passwortrichtlinien mit <strong>de</strong>r Einführung einer Single-Sign-On-Lösung zusammenzulegen,<br />
um die antizipierten Probleme im Benutzersupport zu minimieren.<br />
Die SAP-Leitstelle führt ihre Aufgaben kompetent aus. Sicherheitssensible Administrationstätigkeiten<br />
unterliegen einer geteilten Verantwortung bzw. <strong>de</strong>m Vier-Augen-Prinzip.<br />
Die Passwortrichtlinien sind noch verbesserungswürdig.<br />
Seite 170 von 195
11 <strong>Landtag</strong><br />
Auskünfte und Akteneinsicht für Mitglie<strong>de</strong>r <strong>de</strong>s <strong>Landtag</strong>s<br />
Wen<strong>de</strong>t sich ein Mitglied <strong>de</strong>s <strong>Landtag</strong>s mit <strong>de</strong>m Wunsch, Auskünfte zu erhalten<br />
o<strong>de</strong>r Akten einzusehen an die Lan<strong>de</strong>sverwaltung, stellt sich die Frage, wie weit<br />
sein Informationsrecht reicht.<br />
Neben seiner Aufgabe als Gesetzgeber hat <strong>de</strong>r <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong> vor <strong>de</strong>m Hintergrund<br />
<strong>de</strong>r Gewaltenteilung ein Kontrollrecht gegenüber <strong>de</strong>r Lan<strong>de</strong>sverwaltung. Um dieses<br />
auszuüben, gibt Art. 56 Abs. 3 Verfassung <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> seinen Mitglie<strong>de</strong>rn<br />
ein umfangreiches Informationsrecht: Den Abgeordneten ist <strong>de</strong>r Zugang zu Behör<strong>de</strong>n<br />
und Dienststellen <strong>de</strong>s Lan<strong>de</strong>s zu gewähren; ihnen ist eine umfassen<strong>de</strong> Auskunft aus<br />
Dateien o<strong>de</strong>r sonstigen Unterlagen zu erteilen. Diese sind ihnen auf Verlangen vollständig<br />
und unverzüglich vorzulegen. Dabei spielt es keine Rolle, welcher Fraktion die Abgeordneten<br />
angehören. Das Informationsrecht steht je<strong>de</strong>m gewählten Mitglied <strong>de</strong>s Lan<strong>de</strong>sparlaments<br />
zu.<br />
Im parlamentarischen Alltag sind Auskunfts- o<strong>de</strong>r Einsichtsbegehren von Abgeordneten<br />
<strong>de</strong>r Opposition politisch zumeist die brisanteren. Sie wer<strong>de</strong>n häufig mit <strong>de</strong>m Ziel gestellt,<br />
Informationen zu gewinnen, mit <strong>de</strong>ren Hilfe sich eine mangeln<strong>de</strong> Aufgabenerfüllung <strong>de</strong>r<br />
Regierung darlegen lässt. Um <strong>de</strong>m Spannungsverhältnis zwischen Regierung und Opposition<br />
an dieser Stelle Rechnung zu tragen, sollen diese Informationsbegehren nicht ohne<br />
Kenntnis <strong>de</strong>r Regierung gestellt wer<strong>de</strong>n können. Mitglie<strong>de</strong>r <strong>de</strong>s <strong>Landtag</strong>s dürfen daher<br />
nicht von sich aus an die Behör<strong>de</strong>n und Dienststellen <strong>de</strong>s Lan<strong>de</strong>s bzw. <strong>de</strong>ren Beschäftigte<br />
herantreten und die Vorlage von Akten einfor<strong>de</strong>rn. Vielmehr müssen sie sich an die<br />
Lan<strong>de</strong>sregierung wen<strong>de</strong>n, die in diesem Verfahren eine Vermittlerfunktion einnimmt. Sie<br />
ist grundsätzlich verpflichtet, <strong>de</strong>n Abgeordneten alle Informationen umfassend vorzulegen.<br />
Eine Ausnahme liegt nach Art. 56 Abs. 4 Verfassung <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> nur vor,<br />
Seite 171 von 195
wenn „überwiegen<strong>de</strong> öffentliche o<strong>de</strong>r private Interessen an <strong>de</strong>r Geheimhaltung dies<br />
zwingend erfor<strong>de</strong>rn“. Diese Einschränkung ist sehr eng auszulegen; auch vertrauliche<br />
Unterlagen sind vom Informationsanspruch <strong>de</strong>r Mitglie<strong>de</strong>r <strong>de</strong>s <strong>Landtag</strong>s umfasst. Um die<br />
Geheimhaltungsinteressen zu wahren, können die Abgeordneten zur beson<strong>de</strong>ren Vertraulichkeit<br />
verpflichtet wer<strong>de</strong>n und dürfen bestimmte Sachverhalte nicht in öffentlicher<br />
Sitzung preisgeben.<br />
Nur in wenigen Ausnahmefällen besteht <strong>de</strong>r Informationsanspruch nicht, beispielsweise<br />
im Hinblick auf Angelegenheiten <strong>de</strong>s Verfassungsschutzes. Dieser wird ausschließlich<br />
durch einen kleinen, vom <strong>Landtag</strong> gewählten Kreis von Abgeordneten kontrolliert – <strong>de</strong>r<br />
Parlamentarischen Kontrollkommission. Einem Abgeordneten, <strong>de</strong>r nicht in diesem Gremium<br />
vertreten ist, kann eine entsprechen<strong>de</strong> Information vorenthalten wer<strong>de</strong>n.<br />
Neben dieser im öffentlichen Interesse liegen<strong>de</strong>n Beschränkung kann die Verwaltung die<br />
Auskunft o<strong>de</strong>r Akteneinsicht im Einzelfall auch dann verweigern, wenn beson<strong>de</strong>rs schützenswerte<br />
Interessen von Privatpersonen betroffen sind. Davon sind jedoch nicht sämtliche<br />
personenbezogene Daten umfasst, son<strong>de</strong>rn lediglich höchst sensitive Informationen,<br />
beispielsweise aus <strong>de</strong>r persönlichen Intimsphäre eines Betroffenen. Selbst personenbezogene<br />
Daten, die beson<strong>de</strong>ren Verschwiegenheitspflichten wie <strong>de</strong>m Sozialgeheimnis<br />
unterliegen, sind Mitglie<strong>de</strong>rn <strong>de</strong>s <strong>Landtag</strong>s offenzulegen, soweit sie die Tätigkeit <strong>de</strong>r Lan<strong>de</strong>sverwaltung<br />
berühren. Die Verfassung trifft eine klare Entscheidung zugunsten einer<br />
funktionieren<strong>de</strong>n parlamentarischen Kontrolle. Bürgerinnen und Bürger müssen es in <strong>de</strong>r<br />
Regel hinnehmen, dass Angaben über sie an Abgeordnete weitergegeben wer<strong>de</strong>n.<br />
Wen<strong>de</strong>t sich ein Bürger mit <strong>de</strong>r Bitte um Unterstützung gegenüber <strong>de</strong>r Verwaltung an ein<br />
Mitglied <strong>de</strong>s <strong>Landtag</strong>s, kann es für <strong>de</strong>n Abgeordneten erfor<strong>de</strong>rlich sein, Informationen<br />
zum Sachverhalt auf <strong>de</strong>m beschriebenen Wege zu beschaffen. Hierzu bedarf es zwar<br />
keiner formalen Vollmacht durch <strong>de</strong>n Betroffenen. Allerdings ist es aus Grün<strong>de</strong>n <strong>de</strong>r<br />
Transparenz geboten, Daten zu seiner Person nicht ohne sein Wissen einzuholen.<br />
Abgeordnete haben gegenüber <strong>de</strong>r Lan<strong>de</strong>sregierung und ihren Dienststellen sehr weitgehen<strong>de</strong><br />
Auskunftsrechte. Ihnen können daher in <strong>de</strong>r Regel we<strong>de</strong>r bestehen<strong>de</strong> Amtsgeheimnisse<br />
noch das Recht auf informationelle Selbstbestimmung entgegengehalten wer-<br />
Seite 172 von 195
<strong>de</strong>n. Auskunftsbegehren müssen stets an die Lan<strong>de</strong>sregierung gerichtet wer<strong>de</strong>n. Es ist<br />
nicht zulässig, dass Abgeordnete sich in Wahrnehmung ihrer beson<strong>de</strong>ren Rechte direkt<br />
an die Verwaltung wen<strong>de</strong>n.<br />
Teil B<br />
Akteneinsicht und Informationszugang<br />
1 Brennpunkt <strong>de</strong>r Akteneinsicht: Veröffentlichung <strong>de</strong>r Empfänger von<br />
86 Grünbuch Europäische Transparenzinitiative vom 3. Mai 2006 KOM(2006) 194 endgültig<br />
87 Verordnung (EG, Euratom) Nr. 1995/2006 <strong>de</strong>s Rates vom 13. Dezember 2006 zur Än<strong>de</strong>rung <strong>de</strong>r Verordnung (EG, Euratom) Nr. 1605/2002<br />
über die Haushaltsordnung für <strong>de</strong>n Gesamthaushaltsplan <strong>de</strong>r Europäischen Gemeinschaften<br />
88 Rechtsgrundlage für die Veröffentlichung <strong>de</strong>r Angaben aus <strong>de</strong>n Agrarfonds ist die Verordnung (EG) Nr. 1290/2005 <strong>de</strong>s Rates vom 21. Juni<br />
2005 über die Finanzierung <strong>de</strong>r Gemeinsamen Agrarpolitik und Verordnung (EG) Nr. 259/2008 <strong>de</strong>r Kommission vom 18. März 2008 mit Durchführungsbestimmungen<br />
zur Verordnung (EG) Nr. 1290/2005 <strong>de</strong>s Rates hinsichtlich <strong>de</strong>r Veröffentlichung von Informationen über die Empfänger<br />
von Mitteln aus <strong>de</strong>m Europäischen Garantiefonds für die Landwirtschaft (EGFL) und <strong>de</strong>m Europäischen Landwirtschaftsfonds für die Entwicklung<br />
<strong>de</strong>s ländlichen Raums (ELER); für <strong>de</strong>n Europäischen Fischereifonds: Artikel 30 und 31 <strong>de</strong>r Verordnung (EG) Nr. 498/2007 <strong>de</strong>r Kommission<br />
vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung (EG) Nr. 1198/2006 <strong>de</strong>s Rates über <strong>de</strong>n Europäischen Fischereifonds<br />
(EFF).<br />
89 Gesetz zur Veröffentlichung von Informationen über die Zahlung von Mitteln aus <strong>de</strong>n Europäischen Fonds für Landwirtschaft und Fischerei<br />
(Agrar- und Fischereifonds-Informationen-Gesetz – AFIG) vom 26. November 2008 (BGBl. I S. 2330) sowie Verordnung über die Veröffentlichung<br />
von Informationen über die Zahlung von Mitteln aus <strong>de</strong>n Europäischen Fonds für Landwirtschaft und für Fischerei (Agrar- und Fischereifonds-Informationen-Verordnung<br />
– AFIVO) vom 10. Dezember 2008 (eBAnz. 2008, AT147 V1)<br />
90 siehe http://www.agrar-fischerei-zahlungen.<strong>de</strong><br />
Seite 173 von 195
Agrarsubventionen<br />
1.1 Ausgangslage<br />
Dass <strong>de</strong>r Löwenanteil <strong>de</strong>s Haushalts <strong>de</strong>r Europäischen Union in Form von Subventionen<br />
an landwirtschaftliche Betriebe ausgezahlt wird, war nie ein Geheimnis. Unbekannt blieb<br />
jedoch, wer in welcher Höhe und für welche Zwecke davon profitiert. Auch wenn die –<br />
komplizierten – Kriterien für die Erlangung <strong>de</strong>r Zuschüsse öffentlich zugänglich waren,<br />
wur<strong>de</strong>n Ross und Reiter nicht genannt. Die Praxis <strong>de</strong>r Herausgabe solcher Informationen<br />
war zwischen <strong>de</strong>n einzelnen Mitgliedsstaaten allerdings sehr unterschiedlich. Informationszugangsanträge<br />
scheiterten in Deutschland letzten En<strong>de</strong>s auch am Datenschutz.<br />
Aber auch rechtlich nicht relevante Aspekte wie die Angst vor einer „Neid<strong>de</strong>batte“ wur<strong>de</strong>n<br />
immer wie<strong>de</strong>r ins Feld geführt. Darin, dass Bedarf bestand, <strong>de</strong>n Einsatz <strong>de</strong>r Agrarsubventionen<br />
und seine Folgen zu erörtern, stimmten viele Akteure ungeachtet ihrer spezifischen<br />
politischen Interessenlage zwar überein: Steuerzahler, Umwelt- und Naturschützer,<br />
Verbraucherschützer, Experten für regionale und ländliche Entwicklung sowie Befürwor-<br />
91 siehe http://ec.europa.eu/agriculture/funding/in<strong>de</strong>x_<strong>de</strong>.htm<br />
92 siehe auch Urteil <strong>de</strong>s Bun<strong>de</strong>sverwaltungsgerichts vom 28. Mai 2009 (7 C 18.08)<br />
93 Beschlüsse <strong>de</strong>s Verwaltungsgerichts Wiesba<strong>de</strong>n vom 27. Februar 2009 (z. B. 6 K 1352/08.WI und 6 K 1045/08.WI), <strong>de</strong>s Verwaltungsgerichts<br />
Schleswig vom 23. April 2009 (1 B 6/09, 1 B 7/09, 1 B 8/09), <strong>de</strong>s Oberverwaltungsgerichts Mecklenburg-Vorpommern vom 4. Mai 2009 (2 M<br />
77/09) und <strong>de</strong>s Verwaltungsgerichts Mainz vom 27. Mai 2009 (u. a. 1 L 471/09.MZ und 1 L 511/09.MZ)<br />
94 Beschlüsse <strong>de</strong>s Oberverwaltungsgerichts Nordrhein-Westfalen vom 24. April 2009 (16 B 485/09), <strong>de</strong>s Verwaltungsgerichts Karlsruhe vom 19.<br />
Mai 2009 (10 K 932/09), <strong>de</strong>s Oberverwaltungsgerichts Schleswig-Holstein vom 3. Juni 2009 (2 MB 7/09, 2 MB 8/09, 2 MB 9/09), <strong>de</strong>s Verwaltungsgerichtshofs<br />
Ba<strong>de</strong>n-Württemberg vom 5. Juni 2009 (1 S 1166/09 und 1 S 1167/09), <strong>de</strong>s Oberverwaltungsgerichts Rheinland-Pfalz vom<br />
10. Juli 2009 (u.a. 10 B 10607/09.OVG) und <strong>de</strong>s Oberverwaltungsgerichts Rheinland-Pfalz vom 14. Juli 2009 (10 B 10601/09.OVG)<br />
95 Beschluss <strong>de</strong>s Hessischen Verwaltungsgerichtshofs vom 9. Juni 2009 (10 B 1503/09)<br />
96 siehe „Empfänger von Agrarsubventionen jetzt öffentlich“ in Frankfurter Allgemeine Zeitung vom 17. Juni 2009<br />
97 siehe Website <strong>de</strong>s Bun<strong>de</strong>sministeriums für Land- und Forstwirtschaft, Umwelt und Wasserwirtschaft <strong>de</strong>r Republik Österreich<br />
(www.transparenzdatenbank.at)<br />
98 für Beispiele siehe http://www.lda.bran<strong>de</strong>nburg.<strong>de</strong> Infos zur Akteneinsicht Informationsfreiheit national und international Linkliste zu<br />
Informationen über För<strong>de</strong>rmittelempfänger<br />
Seite 174 von 195
ter <strong>de</strong>r bäuerlichen Landwirtschaft – nur fehlten ihnen belastbare Informationen für eine<br />
Diskussion.<br />
1.2 Transparenzinitiative <strong>de</strong>r Europäischen Kommission<br />
Die von <strong>de</strong>r Europäischen Kommission im Jahre 2005 initiierte Transparenzinitiative 86<br />
hatte unter an<strong>de</strong>rem zum Ziel, die Europäische Union offener und zugänglicher zu machen,<br />
besser über die Verwendung <strong>de</strong>r EU-Haushaltsmittel zu informieren und <strong>de</strong>r Öffentlichkeit<br />
mehr Rechenschaft über die Arbeit <strong>de</strong>r europäischen Institutionen zu geben. Ergebnis<br />
dieser Initiative ist eine Verpflichtung, vollständig offen zu legen, wer Mittel aus<br />
<strong>de</strong>m Gemeinschaftshaushalt erhält. 87 Je<strong>de</strong>r Mitgliedsstaat muss auf einer eigenen Website<br />
die Subventionsempfänger – sowohl natürliche Personen, als auch Unternehmen –<br />
unter an<strong>de</strong>rem nach Name, Ort und Höhe <strong>de</strong>r erhaltenen Mittel veröffentlichen. Diese<br />
Informationen sollen jährlich am 30. April für das vorangegangene Haushaltsjahr publiziert<br />
wer<strong>de</strong>n, erstmalig am 30. April 2009. 88<br />
1.3 Agrar- und Fischereifonds-Informationen-Gesetz<br />
Ein Großteil <strong>de</strong>r EU-För<strong>de</strong>rmittel wird durch die einzelnen Mitgliedsstaaten ausgereicht,<br />
die auf <strong>de</strong>r Grundlage <strong>de</strong>r europarechtlichen Verpflichtungen hierüber selbst informieren.<br />
Diesem Zweck dient die Umsetzung <strong>de</strong>r europäischen Vorschriften in nationales Recht<br />
durch das Gesetz zur Veröffentlichung von Informationen über die Zahlung von Mitteln<br />
aus <strong>de</strong>n Europäischen Fonds für Landwirtschaft und Fischerei (Agrar- und Fischereifonds-Informationen-Gesetz)<br />
und die dazu erlassene Durchführungsverordnung. 89 Subventionsempfänger<br />
erklären sich durch ihre Unterschrift unter <strong>de</strong>m För<strong>de</strong>rmittelantrag mit<br />
<strong>de</strong>r Veröffentlichung <strong>de</strong>r entsprechen<strong>de</strong>n Daten einverstan<strong>de</strong>n.<br />
Die Informationen wer<strong>de</strong>n auf einer vom Bund und <strong>de</strong>n Län<strong>de</strong>rn gemeinsam betriebenen<br />
Internetseite <strong>de</strong>r Bun<strong>de</strong>sanstalt für Landwirtschaft und Ernährung von <strong>de</strong>n für die Zahlungen<br />
zuständigen Stellen <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r veröffentlicht. 90 Die Europäische<br />
Kommission hat unter ihrer zentralen Internetadresse eine Website eingerichtet, die auf<br />
die entsprechen<strong>de</strong>n Internetseiten aller Mitgliedstaaten hinweist. 91<br />
Seite 175 von 195
1.4 Gerichtsverfahren<br />
Bei Subventionen, die je<strong>de</strong>m Betrieb unter bestimmten Voraussetzungen offen stehen<br />
und um <strong>de</strong>ren Erlangung kein Wettbewerb geführt wird, han<strong>de</strong>lt es sich nicht um Betriebs-<br />
o<strong>de</strong>r Geschäftsgeheimnisse. Ein Schutzbedarf dieser Unternehmensdaten, <strong>de</strong>ren<br />
Offenbarung keinen Wettbewerbsnachteil darstellt, ist somit nicht gegeben. 92 Bei kleineren<br />
landwirtschaftlichen Betrieben (z. B. Ein-Personen-Unternehmen) sind solche Unternehmensdaten<br />
jedoch gleichzeitig als personenbezogen zu betrachten. Ihre Herausgabe<br />
ist zulässig, wenn <strong>de</strong>r Betroffene eingewilligt hat o<strong>de</strong>r sie gesetzlich geregelt ist und <strong>de</strong>r<br />
Grundsatz <strong>de</strong>r Verhältnismäßigkeit beachtet wird.<br />
Vor <strong>de</strong>m Stichtag <strong>de</strong>r geplanten Veröffentlichung wandten sich einige Landwirte gegen<br />
die Bekanntgabe ihrer Daten und strengten Eilverfahren vor <strong>de</strong>n Verwaltungsgerichten<br />
an. Ihr wichtigstes Argument: Die Offenlegung stelle eine Verletzung ihres Rechts auf<br />
informationelle Selbstbestimmung dar. Das Verwaltungsgericht Wiesba<strong>de</strong>n hat das Klageverfahren<br />
betroffener Landwirte daraufhin ausgesetzt und <strong>de</strong>m Europäischen Gerichtshof<br />
die Frage zur Vorabentscheidung vorgelegt, ob die EG-Verordnungen gültig<br />
sind. Es hielt die entsprechen<strong>de</strong>n Vorschriften für unvereinbar mit <strong>de</strong>m Gemeinschaftsrecht<br />
und argumentierte, dass die Veröffentlichung aller Empfänger im Internet ein unverhältnismäßiger<br />
Eingriff in das Grundrecht auf Datenschutz sei. Ob die Veröffentlichung<br />
<strong>de</strong>r Daten geeignet sei, die Kontrolle <strong>de</strong>r För<strong>de</strong>rmittel zu verbessern, sei zweifelhaft und<br />
Transparenz kein Selbstzweck. 93<br />
Der überwiegen<strong>de</strong> Anteil <strong>de</strong>r Oberverwaltungsgerichte stellte hingegen fest, dass die<br />
Veröffentlichung <strong>de</strong>r Empfänger von Agrarsubventionen keinen unverhältnismäßigen<br />
Eingriff in <strong>de</strong>ren Persönlichkeitsrechte darstellt und somit zulässig ist. Im Rahmen einer<br />
Interessenabwägung spräche unter an<strong>de</strong>rem die Stärkung <strong>de</strong>r <strong>de</strong>mokratischen Beteiligung<br />
<strong>de</strong>r Bürger durch Transparenz für die Veröffentlichung. 94 Schließlich hob <strong>de</strong>r Hessische<br />
Verwaltungsgerichtshof die oben genannte Entscheidung <strong>de</strong>s Verwaltungsgerichts<br />
Wiesba<strong>de</strong>n auf und befand die Veröffentlichung für rechtmäßig. 95 Das Bun<strong>de</strong>sverfassungsgericht<br />
hat eine Beschwer<strong>de</strong> gegen die Offenlegung <strong>de</strong>r Subventionen gar nicht<br />
erst angenommen.<br />
Seite 176 von 195
1.5 Ergebnis<br />
Aufgrund <strong>de</strong>r zunächst unklaren Rechtslage verzögerten <strong>de</strong>r Bund und die Län<strong>de</strong>r die<br />
Veröffentlichung, sodass die Bun<strong>de</strong>srepublik <strong>de</strong>r einzige Mitgliedsstaat <strong>de</strong>r Europäischen<br />
Union war, <strong>de</strong>r <strong>de</strong>n Stichtag <strong>de</strong>s 30. April 2009 nicht eingehalten hatte. Auch <strong>Bran<strong>de</strong>nburg</strong><br />
schob die Veröffentlichung auf, obwohl keine bin<strong>de</strong>n<strong>de</strong>n Gerichtsentscheidungen<br />
auf Lan<strong>de</strong>sebene vorlagen.<br />
Vor <strong>de</strong>m Hintergrund eines drohen<strong>de</strong>n Vertragsverletzungsverfahrens <strong>de</strong>r Europäischen<br />
Kommission erfolgte schließlich am 16. Juni 2009 die Veröffentlichung <strong>de</strong>r Daten, allerdings<br />
mit Ausnahme <strong>de</strong>r Angaben aus <strong>de</strong>m Freistaat Bayern, <strong>de</strong>r erst Wochen später<br />
seine Verweigerungshaltung aufgab. Seither können sämtliche Empfänger von Agrarbeihilfen<br />
auch in Deutschland über das Internet ermittelt wer<strong>de</strong>n. Ausgenommen sind teilweise<br />
jedoch die Daten jener Landwirte, <strong>de</strong>ren Klagen noch anhängig sind.<br />
Auch wenn die Auflistung <strong>de</strong>r Empfänger öffentlicher Zuwendungen für die Landwirtschaft<br />
noch nicht vollständig ist, hat ihre Veröffentlichung <strong>de</strong>r politischen Debatte um die Agrarpolitik<br />
neue Perspektiven eröffnet. Erstmals wur<strong>de</strong> konkret bekannt, wohin die Gel<strong>de</strong>r<br />
geflossen sind: beispielsweise an Nahrungsmittelkonzerne, an einen großen Energiekonzern,<br />
an eine Fluggesellschaft, an einen Finanzdienstleister sowie an große Agrarbetriebe.<br />
96<br />
Die Veröffentlichung <strong>de</strong>r Empfängerdaten in Deutschland orientiert sich am Wortlaut <strong>de</strong>r<br />
europarechtlichen Vorgaben und <strong>de</strong>s Agrar- und Fischereifonds-Informationen-Gesetzes.<br />
Genannt wer<strong>de</strong>n somit Name <strong>de</strong>s Empfängers, <strong>de</strong>r Ort <strong>de</strong>s Betriebs sowie die jeweilige<br />
Gesamthöhe <strong>de</strong>r erhaltenen Mittel. Unklar bleibt weiterhin, für welche Zwecke die einzelnen<br />
Beihilfen gezahlt wer<strong>de</strong>n. Nur mit dieser Angabe ist jedoch eine inhaltliche Bewertung<br />
möglich, ob die Subventionen sinnvoll sind. Auch kann es nützlich sein, eine Rangliste<br />
<strong>de</strong>r Empfänger nach Land sortiert (z. B. „Top-10-Empfänger in <strong>Bran<strong>de</strong>nburg</strong>“) o<strong>de</strong>r<br />
die Gesamtaufstellung einer Gemein<strong>de</strong> zu erhalten. Da die Recherchemöglichkeiten in<br />
<strong>de</strong>r Datenbank aber auf die Eingabe von Postleitzahlenbereichen beschränkt sind, ist<br />
eine solche Darstellung nicht möglich.<br />
Seite 177 von 195
Wesentlich transparenter als die Veröffentlichungspraxis <strong>de</strong>r Bun<strong>de</strong>srepublik Deutschland<br />
ist hingegen die „Transparenzdatenbank“ <strong>de</strong>r Republik Österreich. Dort wer<strong>de</strong>n nicht nur<br />
die einzelnen Maßnahmen genannt, für die Beihilfen gezahlt wur<strong>de</strong>n, son<strong>de</strong>rn es wird auf<br />
<strong>de</strong>rselben Seite in übersichtlicher Weise erläutert, aus welchen Programmen die Mittel<br />
stammen und welche Ziele und Voraussetzungen diese Programme haben. Eine Sortierung<br />
kann zu<strong>de</strong>m nach Bun<strong>de</strong>sland, Bezirk und Gemein<strong>de</strong> erfolgen. 97<br />
Die Europäische Kommission veröffentlicht mittlerweile ebenso wie die Mitgliedsstaaten<br />
weitere Daten über Subventionsempfänger aus hier nicht dargestellten Fachbereichen. 98<br />
Trotz <strong>de</strong>s noch erheblichen Verbesserungsbedarfs <strong>de</strong>r Datenbankrecherche kann festgestellt<br />
wer<strong>de</strong>n, dass die öffentliche Debatte um die Bekanntgabe <strong>de</strong>r Empfänger von Agrarbeihilfen<br />
<strong>de</strong>n Transparenzgedanken wesentlich beför<strong>de</strong>rt hat.<br />
2 Entwicklung <strong>de</strong>s Informationszugangsrechts in <strong>Bran<strong>de</strong>nburg</strong><br />
2.1 Verbraucherinformationsgesetz<br />
Der Informationszugang war bislang im Wesentlichen von zwei Gesetzen bestimmt –<br />
<strong>de</strong>m Akteneinsichts- und Informationszugangsgesetz und <strong>de</strong>m Umweltinformationsgesetz.<br />
Mit seinem In-Kraft-Treten am 1. Mai 2008 ist das Verbraucherinformationsgesetz 99<br />
hinzugekommen. Hintergrund waren nicht zuletzt die zahlreichen Lebensmittelskandale<br />
<strong>de</strong>r vergangenen Jahre. Ein informierter Verbraucher, so <strong>de</strong>r Grundgedanke <strong>de</strong>r Neuregelung,<br />
motiviert <strong>de</strong>n am Wettbewerb teilnehmen<strong>de</strong>n Hersteller, die Qualität seiner Produkte<br />
zu sichern.<br />
99 Das Gesetz zur Verbesserung <strong>de</strong>r gesundheitsbezogenen Verbraucherinformationen (Verbraucherinformationsgesetz – VIG) wur<strong>de</strong> als Artikel<br />
1 <strong>de</strong>s Gesetzes zur Neuregelung <strong>de</strong>s Rechts <strong>de</strong>r Verbraucherinformationen vom 5. November 2007 (BGBl. I S. 2558) beschlossen.<br />
100 Gebührenordnung <strong>de</strong>s Ministeriums für Ländliche Entwicklung, Umwelt und Verbraucherschutz (GebOMLUV), geän<strong>de</strong>rt durch Artikel 1 <strong>de</strong>r<br />
Verordnung vom 1. Dezember 2008 (GVBl. II S. 2).<br />
Seite 178 von 195
Die Neuregelung basiert auf zwei Säulen: Durch die Anpassung <strong>de</strong>s Lebensmittel- und<br />
Futtermittelgesetzbuches sowie <strong>de</strong>s Weingesetzes soll die zuständige Behör<strong>de</strong> die Öffentlichkeit<br />
unter Nennung <strong>de</strong>s Produkts und <strong>de</strong>s verantwortlichen Unternehmens informieren,<br />
wenn <strong>de</strong>r hinreichen<strong>de</strong> Verdacht auf ein Gesundheitsrisiko besteht. Das eigentliche<br />
Verbraucherinformationsgesetz eröffnet einen individuellen Anspruch auf Zugang zu<br />
verbraucherrelevanten Behör<strong>de</strong>ninformationen. Es bezieht sich auf Lebens- und Futtermittel,<br />
Wein, Kosmetika sowie auf bestimmte Bedarfsgegenstän<strong>de</strong>. Durch Ausnahmetatbestän<strong>de</strong><br />
wer<strong>de</strong>n sowohl Datenschutzrechte natürlicher Personen als auch Betriebs- und<br />
Geschäftsgeheimnisse geschützt. Rechtsverstöße eines Unternehmens fallen nicht unter<br />
diese Ausnahmen.<br />
Das bun<strong>de</strong>srechtliche Verbraucherinformationsgesetz gilt auch für das Land <strong>Bran<strong>de</strong>nburg</strong>.<br />
Zuständig sind das Lan<strong>de</strong>samt für Verbraucherschutz, Landwirtschaft und Flurneuordnung<br />
für Informationen <strong>de</strong>s Lan<strong>de</strong>s und im Übrigen die Landkreise und kreisfreien<br />
Städte. Die Erhebung <strong>de</strong>r – im Wesentlichen nach <strong>de</strong>m Zeitaufwand zu berechnen<strong>de</strong>n –<br />
Kosten erfolgt auf <strong>de</strong>r Grundlage <strong>de</strong>r entsprechend geän<strong>de</strong>rten Gebührenordnung <strong>de</strong>s<br />
zuständigen Ministeriums. 100<br />
Ob das Verbraucherinformationsgesetz angesichts seines engen Anwendungsbereichs<br />
und seiner weit gefassten Ausnahmen dazu beiträgt, das I<strong>de</strong>albild <strong>de</strong>s „informierten<br />
Verbrauchers“ zu schaffen, bleibt abzuwarten.<br />
2.2 Zunehmen<strong>de</strong> Rechtszersplitterung Zu Ziffer 2.2 „Zunehmen<strong>de</strong> Rechtszersplitterung“<br />
We<strong>de</strong>r für Antragsteller noch für Verwaltungsbeschäftigte wird es leichter, die richtige<br />
Rechtsgrundlage für ein Informationszugangsbegehren zu bestimmen:<br />
Die spezielleren Regelungen <strong>de</strong>s Umweltinformationsgesetzes und <strong>de</strong>s Verbraucherinformationsgesetzes<br />
gehen <strong>de</strong>nen <strong>de</strong>s Akteneinsichts- und Informationszugangsgesetzes<br />
Die von <strong>de</strong>r LDA kritisierte Zersplitterung <strong>de</strong>s Rechtes auf Informationsfreiheit<br />
wird schon auf Grund unterschiedlicher Kompetenzen bei<br />
<strong>de</strong>r EU, beim Bund und <strong>de</strong>n Län<strong>de</strong>rn aber auch unterschiedlicher zu<br />
regeln<strong>de</strong>r Sachverhalte in gewissem Maße auch zukünftig hinzunehmen<br />
sein.<br />
Seite 179 von 195
vor. Außer<strong>de</strong>m sind beispielsweise <strong>de</strong>r datenschutzrechtliche Informationsanspruch für<br />
von <strong>de</strong>r Datenverarbeitung Betroffene (§ 18 <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz), <strong>de</strong>r<br />
verfahrensrechtliche Zugangsanspruch für Verfahrensbeteiligte (§ 29 Verwaltungsverfahrensgesetz)<br />
o<strong>de</strong>r die Möglichkeit zur Übermittlung personenbezogener Daten (§ 16 <strong>Bran<strong>de</strong>nburg</strong>isches<br />
Datenschutzgesetz) vorrangig zu prüfen. Erst wenn keines dieser Gesetze<br />
zum Tragen kommt, ist das Akteneinsichts- und Informationszugangsgesetz anzuwen<strong>de</strong>n.<br />
Die Schwierigkeiten, zur Einsicht beantragte Unterlagen einzustufen, sind offensichtlich.<br />
Angesichts <strong>de</strong>r höchst unterschiedlichen Ergebnisse kommt es entschei<strong>de</strong>nd darauf an,<br />
die richtige Rechtsgrundlage zu wählen. Der Hauptgrund hierfür liegt in <strong>de</strong>n – auch verglichen<br />
mit Informationsfreiheitsgesetzen an<strong>de</strong>rer Bun<strong>de</strong>slän<strong>de</strong>r – sehr restriktiven Vorschriften<br />
<strong>de</strong>s bran<strong>de</strong>nburgischen Akteneinsichts- und Informationszugangsgesetzes. Dies<br />
soll an einem alltäglichen Beispiel ver<strong>de</strong>utlicht wer<strong>de</strong>n:<br />
Die öffentliche Hand schließt zahlreiche Verträge mit privaten Unternehmen, sei es für<br />
Zwecke <strong>de</strong>r Ver- und Entsorgung, für <strong>de</strong>n Betrieb von Einrichtungen zur Kin<strong>de</strong>rbetreuung<br />
o<strong>de</strong>r zur Organisation und Durchführung von Stadtfesten. Solche Verträge enthalten oft<br />
wichtige Einzelheiten zu <strong>de</strong>n im Rahmen <strong>de</strong>s Auftrags vorgesehenen Maßnahmen, Vorgaben<br />
und Auflagen und haben selbstverständlich einen Unternehmensbezug. Nach <strong>de</strong>m<br />
Akteneinsichts- und Informationszugangsgesetz darf letzterer nur offen gelegt wer<strong>de</strong>n,<br />
wenn <strong>de</strong>r Unternehmer zustimmt o<strong>de</strong>r die Informationen ohnehin (z. B. auf <strong>de</strong>m Wege<br />
einer vorangegangenen öffentlichen Ausschreibung) allgemein bekannt sind. Auch ganz<br />
lapidare Angaben, <strong>de</strong>ren Bekanntwer<strong>de</strong>n <strong>de</strong>m Unternehmer gar keinen Scha<strong>de</strong>n zufügen<br />
kann, sind ansonsten geheim zu halten. Ganz an<strong>de</strong>rs das Umweltinformationsgesetz: Es<br />
schützt lediglich Betriebs- und Geschäftsgeheimnisse, und dies auch nur, soweit das<br />
öffentliche Interesse an <strong>de</strong>r Bekanntgabe nicht überwiegt. Das ist ein Unterschied wie<br />
Tag und Nacht: Soweit es sich um Umweltinformationen han<strong>de</strong>lt, ist ein Vertrag im Regelfall<br />
offen zu legen. Das Akteneinsichts- und Informationszugangsgesetz hat hingegen die<br />
weitgehen<strong>de</strong> Geheimhaltung zur Folge und entzieht Verträge mit Dritten so <strong>de</strong>r öffentli-<br />
Die von <strong>de</strong>r LDA angestrebte Zusammenführung <strong>de</strong>s Akteneinsichtund<br />
Informationszugangsgesetzes (AIG) mit <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Umweltinformationsgesetz (BbgUIG) wür<strong>de</strong> darauf hinauslaufen, dass<br />
entwe<strong>de</strong>r das AIG vollständig an das zwingen<strong>de</strong> EU-<br />
Umweltinformationsrecht anzugleichen wäre o<strong>de</strong>r – bei Anerkennung<br />
teilweise unterschiedlicher Interessenlagen – eine wegen <strong>de</strong>r gebotenen<br />
Son<strong>de</strong>rregelungen nicht unbedingt anwen<strong>de</strong>rfreundlichere Rechtslage<br />
entstehen wür<strong>de</strong>. Die von <strong>de</strong>r LDA angesprochenen Arbeiten zur<br />
Umsetzung eines entsprechen<strong>de</strong>n Prüfauftrages <strong>de</strong>s Kabinetts haben<br />
gezeigt, dass das allgemeine Informationszugangsrecht und das Umweltinformationsrecht<br />
nur begrenzt kompatibel sind. Im Rahmen <strong>de</strong>r<br />
vorgesehenen Än<strong>de</strong>rung <strong>de</strong>s AIG (siehe unten zu Ziffer 2.3) wird auch<br />
zu prüfen sein, inwieweit zumin<strong>de</strong>st einzelne inhaltliche Angleichungen<br />
<strong>de</strong>r jeweiligen Bestimmungen möglich und sinnvoll wären.<br />
Darüber hinaus gibt es etliche an<strong>de</strong>re gesetzliche Regelungen, die<br />
einem unbeschränkten Adressatenkreis mehr o<strong>de</strong>r weniger voraussetzungslos<br />
<strong>de</strong>n Zugang zu bestimmten Informationen gewähren. Dazu<br />
gehören u.a. die Bestimmungen <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Wassergesetzes<br />
zum Wasserbuch und <strong>de</strong>s Archivgesetzes zum öffentlichen<br />
Archivgut. Eine Zusammenfassung aller diesbezüglichen Rechtsvorschriften,<br />
die jedoch unterschiedliche Inhalte regeln, ist we<strong>de</strong>r anzustreben<br />
noch erfor<strong>de</strong>rlich. Dies wür<strong>de</strong> in keinem Falle zur Rechtsvereinfachung<br />
beitragen.<br />
In ihrem Bericht beklagt die LDA die von ihr angenommene Schwierigkeit,<br />
Anträge auf Informationszugang einer entsprechen<strong>de</strong>n Rechtsgrundlage<br />
zuzuordnen.<br />
Hierbei wer<strong>de</strong>n nebeneinan<strong>de</strong>r etliche vom Regelungszweck her<br />
höchst unterschiedliche Rechtsvorschriften mit Zugangsregelungen für<br />
101 Erstes Gesetz zur Än<strong>de</strong>rung <strong>de</strong>s Umweltinformationsgesetzes <strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong> vom 19. Dezember 2008 (GVBl. I S. 372)<br />
Seite 180 von 195
chen Kontrolle.<br />
Die Darstellung <strong>de</strong>r Fälle im vorliegen<strong>de</strong>n Tätigkeitsbericht konzentriert sich auf <strong>de</strong>n Aspekt<br />
<strong>de</strong>r Unternehmensdaten. Bei <strong>de</strong>r Bearbeitung von Beschwer<strong>de</strong>n über <strong>de</strong>n verweigerten<br />
Informationszugang stehen gera<strong>de</strong> Verträge immer wie<strong>de</strong>r im Mittelpunkt. We<strong>de</strong>r<br />
<strong>de</strong>n Verwaltungsbeschäftigten, die entsprechen<strong>de</strong> Informationszugangsbegehren zu<br />
bearbeiten haben, noch <strong>de</strong>n Antragstellern erschließt sich das von <strong>de</strong>r gewählten<br />
Rechtsgrundlage abhängige Ergebnis. Wesentliche Unterschie<strong>de</strong> bestehen im Übrigen<br />
auch im Hinblick auf <strong>de</strong>n engen Anwendungsbereich, <strong>de</strong>n Ausschluss <strong>de</strong>r Einsichtnahme<br />
in laufen<strong>de</strong>n Verfahren sowie in Aufsichtsakten, <strong>de</strong>n weitgehen<strong>de</strong>n Schutz von Unternehmensdaten<br />
und das fehlen<strong>de</strong> Recht auf Herausgabe von Kopien. Abwägungen zwischen<br />
<strong>de</strong>m öffentlichen Einsichtsinteresse und <strong>de</strong>m jeweiligen Schutzinteresse sieht das<br />
Akteneinsichts- und Informationszugangsgesetz gar nicht erst vor. Durch die genannten<br />
Mängel erweist es sich zunehmend als Hin<strong>de</strong>rnis auf <strong>de</strong>m Weg zur Informationsfreiheit.<br />
Im Berichtszeitraum gab es Initiativen, dies zu än<strong>de</strong>rn:<br />
Nach <strong>de</strong>r Novellierung <strong>de</strong>r europäischen Umweltinformationsrichtlinie wur<strong>de</strong> es in <strong>de</strong>r<br />
Bun<strong>de</strong>srepublik erfor<strong>de</strong>rlich, dass auch die Län<strong>de</strong>r eigene Umweltinformationsgesetze<br />
verabschie<strong>de</strong>n. Das entsprechen<strong>de</strong> bran<strong>de</strong>nburgische Gesetz war zunächst bis zum 31.<br />
Dezember 2008 befristet. Zweck dieser Befristung war, dass das Akteneinsichts- und<br />
Informationszugangsgesetz mit <strong>de</strong>m <strong>Bran<strong>de</strong>nburg</strong>ischen Umweltinformationsgesetz in<br />
<strong>de</strong>r Zwischenzeit zusammengefasst wer<strong>de</strong>n sollte. Die von uns unterstützte Bearbeitung<br />
eines Prüfauftrags durch die zuständigen obersten Lan<strong>de</strong>sbehör<strong>de</strong>n zeitigte allerdings<br />
kein konkretes Ergebnis. Schließlich entfristete <strong>de</strong>r Gesetzgeber die Geltung <strong>de</strong>s Umweltinformationsgesetzes<br />
<strong>de</strong>s Lan<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>. 101 Die Chance, ein nutzerfreundliches<br />
Gesetz zu gestalten und gleichzeitig unübersichtliche Regelungen im Sinne <strong>de</strong>s Abbaus<br />
von Normen zusammenzufassen, wur<strong>de</strong> damit zunächst vergeben.<br />
einen beschränkten bzw. unbeschränkten Adressatenkreis genannt.<br />
So wer<strong>de</strong>n das BbgUIG ebenso wie datenschutzrechtliche Informationsrechte<br />
Betroffener über ihre eigenen Daten nach <strong>de</strong>m BbgDSG<br />
o<strong>de</strong>r Zugangsrechte von Beteiligten nach <strong>de</strong>m BbgVwVfG als <strong>de</strong>m AIG<br />
vorgehen<strong>de</strong> bereichsspezifische Regelungen unterschiedslos nebeneinan<strong>de</strong>r<br />
aufgezählt. Erst wenn keines dieser Gesetze zum Tragen<br />
kommen wür<strong>de</strong>, wäre das AIG anzuwen<strong>de</strong>n.<br />
Dieser Auffassung kann nicht gefolgt wer<strong>de</strong>n. Vielmehr eröffnet das<br />
AIG nach Maßgabe seiner Vorschriften für Je<strong>de</strong>rmann, d.h. für einen<br />
unbeschränkten Personenkreis, das Recht auf Akteneinsicht. Dies gilt<br />
jedoch nur, soweit es nicht bereichsspezifische Rechtsvorschriften<br />
gibt, die ebenfalls für einen unbeschränkten Personenkreis die Akteneinsicht<br />
abschließend regeln. Diese beson<strong>de</strong>ren Rechtsvorschriften<br />
haben insoweit Vorrang vor <strong>de</strong>m allgemeinen Recht nach <strong>de</strong>m AIG –<br />
das AIG käme nicht zur Anwendung. Darüber hinaus gibt es Vorschriften,<br />
die die Akteneinsicht für einen bestimmten, begrenzten Personenkreis<br />
regeln. Die Anwendung <strong>de</strong>s AIG wird hierdurch nicht ausgeschlossen;<br />
bei<strong>de</strong> Rechtsvorschriften sind ggf. nebeneinan<strong>de</strong>r zu prüfen.<br />
2.3 Defizite im Akteneinsichts- und Informationszugangsgesetz Zu Ziffer 2.3 „Defizite im Akteneinsichts- und Informationszugangsgesetz:“<br />
Ebenfalls folgenlos verlief eine Initiative <strong>de</strong>s <strong>Landtag</strong>s mit <strong>de</strong>m Ziel, das Akteneinsichts- Zu <strong>de</strong>r von <strong>de</strong>r LDA vorgetragenen Kritik an <strong>de</strong>r noch nicht erfolgten<br />
Seite 181 von 195
109 siehe Gesetzentwürfe in Hessen und Nie<strong>de</strong>rsachsen<br />
Seite 182 von 195<br />
und Informationszugangsgesetz um ein ausdrückliches Recht auf Herausgabe von Kopien<br />
zu ergänzen. Der Vorstoß <strong>de</strong>s Parlaments ging zurück auf einen Fall, <strong>de</strong>n wir in<br />
unserem letzten Tätigkeitsbericht dargestellt hatten: Eine Behör<strong>de</strong> weigerte sich unter<br />
Berufung auf <strong>de</strong>n – unein<strong>de</strong>utigen – Wortlaut <strong>de</strong>s Gesetzes, Kopien herauszugeben. 102<br />
Daraufhin empfahl <strong>de</strong>r <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong> im November 2008, in das Gesetz die Verpflichtung<br />
aufzunehmen, neben <strong>de</strong>r Einsicht in die Originaldokumente auf Verlangen <strong>de</strong>s<br />
Antragstellers auch Vervielfältigungen zur Verfügung zu stellen. 103 Im Rahmen einer parlamentarischen<br />
Fragestun<strong>de</strong> teilte die Lan<strong>de</strong>sregierung im April 2009 mit, dass sie beabsichtige,<br />
diese Empfehlung bei passen<strong>de</strong>r, jedoch noch nicht zu datieren<strong>de</strong>r Gelegenheit<br />
umzusetzen. 104 Dazu ist es in <strong>de</strong>r abgelaufenen Legislaturperio<strong>de</strong> nicht mehr gekommen.<br />
Während eine Konvention <strong>de</strong>s Europarats über <strong>de</strong>n Zugang zu amtlichen Dokumenten 105<br />
auf <strong>de</strong>n Weg gebracht wur<strong>de</strong>, die Richtlinien <strong>de</strong>r Europäischen Union, die <strong>de</strong>n Zugang zu<br />
Informationen regeln, gegenwärtig einer Überprüfung unterzogen wer<strong>de</strong>n, 106 auf Bun<strong>de</strong>sebene<br />
<strong>de</strong>r Zugang zu Verbraucherinformationen geregelt und Informationsfreiheitsgesetze<br />
in an<strong>de</strong>ren Bun<strong>de</strong>slän<strong>de</strong>rn neu geschaffen, 107 ausgeweitet 108 o<strong>de</strong>r zumin<strong>de</strong>st <strong>de</strong>battiert<br />
wer<strong>de</strong>n, 109 blieb es im Berichtszeitraum in <strong>Bran<strong>de</strong>nburg</strong> um die Informationsfreiheit<br />
ziemlich still.<br />
Umsetzung einer an die Lan<strong>de</strong>sregierung gerichteten Empfehlung <strong>de</strong>s<br />
<strong>Landtag</strong>es zur Aufnahme einer Regelung in das AIG, wonach grundsätzlich<br />
auch ein Recht auf die Herausgabe von Kopien <strong>de</strong>r zur Einsicht<br />
begehrten Akten in das Gesetz aufgenommen wer<strong>de</strong>n soll, ist<br />
Folgen<strong>de</strong>s anzumerken:<br />
Die Lan<strong>de</strong>sregierung hat mit Vorarbeiten zur Novellierung <strong>de</strong>s AIG<br />
begonnen. Hierzu wur<strong>de</strong> unter an<strong>de</strong>rem eine Abfrage im Bereich <strong>de</strong>r<br />
Lan<strong>de</strong>sregierung zu möglichem Än<strong>de</strong>rungsbedarf am AIG durchgeführt.<br />
Im Rahmen <strong>de</strong>r Än<strong>de</strong>rung sollen neben <strong>de</strong>r Umsetzung <strong>de</strong>r o.g. <strong>Landtag</strong>sempfehlung<br />
einige für erfor<strong>de</strong>rlich bzw. sinnvoll gehaltenen Än<strong>de</strong>rungen<br />
am AIG vorgenommen wer<strong>de</strong>n, die <strong>de</strong>r Klarstellung aber auch<br />
<strong>de</strong>r Anpassung <strong>de</strong>s Gesetzes an verän<strong>de</strong>rte Gegebenheiten im öffentlichen<br />
Bereich dienen. Die LDA ist über die Arbeiten informiert und hat<br />
bereits Gelegenheit erhalten, aus ihrer Sicht notwendige (weitere)<br />
Än<strong>de</strong>rungen am AIG in das Verfahren einzubringen.<br />
102 vgl. Tätigkeitsbericht 2006/2007, B 1<br />
103 Beschluss <strong>de</strong>s <strong>Landtag</strong>es <strong>Bran<strong>de</strong>nburg</strong> vom 19. November 2008 (<strong>Landtag</strong>s-<strong>Drucksache</strong> 4/6891-B)<br />
104 siehe <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong> Plenarprotokoll 4/84 vom 2. April 2009, Frage 2309, S. 6272<br />
105 Konvention <strong>de</strong>s Europarates über <strong>de</strong>n Zugang zu amtlichen Dokumenten (SEV-Nr.: 205)<br />
106 siehe die Diskussion um die Überarbeitung <strong>de</strong>r Transparenzverordnung EG Nr. 1049/2001 (KOM/2008/0229 endg.), die Überprüfung <strong>de</strong>r Weiterverwendungsrichtlinie<br />
2003/98/EG (KOM/2009/0212 endg.) sowie <strong>de</strong>r Umsetzung <strong>de</strong>r Umweltinformationsrichtlinie entsprechend Artikel 9<br />
<strong>de</strong>r Richtlinie 2003/4/EG<br />
107 siehe Thüringer Informationsfreiheitsgesetz vom 20. Dezember 2007, Informationszugangsgesetz Sachsen-Anhalt vom 19. Juni 2008 sowie<br />
Lan<strong>de</strong>sinformationsfreiheitsgesetz Rheinland-Pfalz vom 26. November 2008<br />
108 siehe novelliertes Hamburgisches Informationsfreiheitsgesetz vom 17. Februar 2009
3 Einsicht in Verträge zwischen öffentlichen und privaten Stellen<br />
Um große Volksfeste durchzuführen, beauftragen Städte und Gemein<strong>de</strong>n häufig<br />
private Veranstalter. Deren Aufgaben reichen je nach Vertrag von <strong>de</strong>r Erstellung<br />
<strong>de</strong>s Veranstaltungskonzepts über die Werbung bis hin zur Akquise von Schaustellern<br />
o<strong>de</strong>r <strong>de</strong>r Verantwortung für die Gastronomie. Auch um Finanzierung, Logistik,<br />
Sicherheit und Verkehr kümmern sich teilweise externe Auftragnehmer. Kann eine<br />
Stadt <strong>de</strong>n Inhalt eines solchen Vertrages ohne Weiteres geheim halten?<br />
Eine Bürgerinitiative, die sich dafür einsetzte, Belange <strong>de</strong>r Anwohner im Veranstaltungskonzept<br />
<strong>de</strong>s Festes stärker zu berücksichtigen, engagierte sich unter an<strong>de</strong>rem für die<br />
Verringerung von Beeinträchtigungen z. B. durch Abfall, Lärm, Erschütterungen, Vandalismus<br />
sowie Schädigungen von Grünflächen in einer Stadt, die sich immerhin mit <strong>de</strong>m<br />
Prädikat „staatlich anerkannter Erholungsort“ schmückt. Um sich über die Einzelheiten<br />
<strong>de</strong>r Organisation <strong>de</strong>s im Frühjahr <strong>de</strong>s Folgejahres stattfin<strong>de</strong>n<strong>de</strong>n Stadtfestes zu informieren<br />
und ihr Anliegen rechtzeitig in die öffentliche Diskussion einbringen zu können, beantragte<br />
sie im Juli <strong>de</strong>s Jahres 2008 Akteneinsicht in <strong>de</strong>n Vertrag mit <strong>de</strong>m Veranstalter.<br />
Diese wur<strong>de</strong> ihr im August mit <strong>de</strong>r Begründung verwehrt, <strong>de</strong>r Unternehmer habe <strong>de</strong>r Offenlegung<br />
nicht zugestimmt. Er befürchte Nachteile im Wettbewerb. Eine Möglichkeit zur<br />
Ausson<strong>de</strong>rung schützenswerter Unternehmensdaten habe nicht bestan<strong>de</strong>n. In ihrem<br />
Ablehnungsbescheid bezog sich die Verwaltung auf das Akteneinsichts- und Informationszugangsgesetz.<br />
Nach<strong>de</strong>m uns die Bürgerinitiative im September um Unterstützung bat, wiesen wir zwei<br />
Wochen später die Stadtverwaltung darauf hin, dass es sich bei <strong>de</strong>n Informationen <strong>de</strong>s<br />
Vertrags zumin<strong>de</strong>st teilweise um Umweltinformationen han<strong>de</strong>ln dürfte und somit das<br />
Umweltinformationsgesetz zum Tragen kommt. Dieses stellt die Offenlegung von Unternehmensdaten<br />
nicht, wie das Akteneinsichts- und Informationszugangsgesetz, in das<br />
weitgehen<strong>de</strong> Belieben <strong>de</strong>s Unternehmers. Vielmehr sind auf <strong>de</strong>r Grundlage <strong>de</strong>s Umweltinformationsgesetzes<br />
ausschließlich Betriebs- und Geschäftsgeheimnisse geheim zu<br />
halten – und das auch nur unter <strong>de</strong>r Voraussetzung, dass <strong>de</strong>ren Schutzbedarf das öffent-<br />
Seite 183 von 195
liche Einsichtsinteresse überwiegt. Der Unternehmer ist zwar anzuhören, letztendlich hat<br />
aber die Akten führen<strong>de</strong> Stelle zu entschei<strong>de</strong>n, ob tatsächlich ein Schutzbedarf vorliegt.<br />
In einem solchen Fall müsste sie die geheim zu halten<strong>de</strong>n Angaben ausson<strong>de</strong>rn und <strong>de</strong>n<br />
übrigen Teil <strong>de</strong>s Vertrags herausgeben.<br />
Nach<strong>de</strong>m die Stadtverwaltung auf unser Schreiben nicht reagierte, erinnerten wir im Dezember<br />
und im darauffolgen<strong>de</strong>n Januar an unser Anliegen. Gleichzeitig boten wir an, <strong>de</strong>n<br />
Text <strong>de</strong>s Vertrages zu begutachten und <strong>de</strong>r Stadt im Ergebnis die informationszugangsrechtlichen<br />
Aspekte zu erläutern. Hiervon machte sie eine Woche später Gebrauch und<br />
übersandte das Dokument, nach<strong>de</strong>m sie zunächst mitteilte, unsere Schreiben nicht erhalten<br />
zu haben und nach erneuter Zusendung darauf hinwies, <strong>de</strong>m Wi<strong>de</strong>rspruch <strong>de</strong>r Antragsteller<br />
fehle eine Begründung. Im selben Monat übermittelten wir <strong>de</strong>r Stadtverwaltung<br />
ausführliche Hinweise auf die Rechtslage. Insbeson<strong>de</strong>re erläuterten wir, dass es sich bei<br />
Tätigkeiten und Maßnahmen mit möglichen Umweltauswirkungen stets um Umweltinformationen<br />
han<strong>de</strong>lt. Dies betrifft gera<strong>de</strong> auch vertragliche Pflichten zur Ausrichtung eines<br />
Festes, die nur in wenigen Ausnahmefällen als Betriebs- und Geschäftsgeheimnis einzustufen<br />
sind. Wir for<strong>de</strong>rten die Stadt auf, <strong>de</strong>n zwischenzeitlich begrün<strong>de</strong>ten Wi<strong>de</strong>rspruch<br />
unter Berücksichtigung unserer Hinweise zu prüfen.<br />
Anfang April mussten wir die Stadt an die erbetene, aber noch immer nicht erfolgte Information<br />
zum Ergebnis <strong>de</strong>r Prüfung erinnern. Daraufhin teilte sie mit, <strong>de</strong>n Unternehmer<br />
bereits im März erneut angehört zu haben und das Ergebnis <strong>de</strong>r Anhörung abwarten zu<br />
wollen. Erst im Juni – fast ein Jahr nach <strong>de</strong>r Antragstellung durch die Bürgerinitiative –<br />
informierte uns die Verwaltung nach einer erneuten Erinnerung, dass <strong>de</strong>r Unternehmer<br />
seine ablehnen<strong>de</strong> Haltung nicht geän<strong>de</strong>rt und unsere rechtlichen Hinweise ihn nicht<br />
überzeugt hätten. Die Stadt hatte <strong>de</strong>m Wunsch <strong>de</strong>s Unternehmers also erneut entsprochen,<br />
ohne die gesetzlich vorgeschriebene, eigene Entscheidung zu treffen. Das Stadtfest,<br />
um welches es <strong>de</strong>r Bürgerinitiative ging, war zu diesem Zeitpunkt längst vergangen.<br />
Die Angelegenheit zeigt anschaulich, wie wichtig es ist, dass die Verwaltung sich vor <strong>de</strong>r<br />
eigentlichen Prüfung eines Antrags auf Informationszugang darüber klar wird, ob es sich<br />
um Umweltinformationen han<strong>de</strong>lt. Ist dies <strong>de</strong>r Fall, kommt das transparenzfreundliche<br />
Umweltinformationsrecht zum Tragen. Enthält die Akte hingegen allgemeine Informatio-<br />
Seite 184 von 195
nen ohne Umweltbezug, gelten das Akteneinsichts- und Informationszugangsgesetz und<br />
<strong>de</strong>ssen teilweise sehr restriktive Ausnahmetatbestän<strong>de</strong>. Die Stadtverwaltung hat unsere<br />
Hinweise auf diese Rechtslage ignoriert. Da im Laufe unserer Bearbeitung <strong>de</strong>r Beschwer<strong>de</strong><br />
<strong>de</strong>utlich wur<strong>de</strong>, dass es sich vorwiegend um einen Informationszugangsantrag<br />
auf <strong>de</strong>r Grundlage <strong>de</strong>s Umweltinformationsgesetzes han<strong>de</strong>lte, fehlte <strong>de</strong>r Lan<strong>de</strong>sbeauftragten<br />
jedoch die Kompetenz, dies sowie die offensichtliche Verhin<strong>de</strong>rungstaktik <strong>de</strong>r<br />
Behör<strong>de</strong> zu beanstan<strong>de</strong>n.<br />
Verträge zwischen öffentlichen Stellen und privaten Unternehmen sind in <strong>de</strong>r Regel zumin<strong>de</strong>st<br />
soweit offen zu legen, als sie Maßnahmen o<strong>de</strong>r Tätigkeiten regeln, die Umweltauswirkungen<br />
haben können. Betriebs- und Geschäftsgeheimnisse sind in solchen Vereinbarungen<br />
nur selten vorhan<strong>de</strong>n.<br />
4 Eigenbetriebe unterliegen <strong>de</strong>m Recht auf Akteneinsicht<br />
Eine Stadtverwaltung verweigerte zunächst die Akteneinsicht in Unterlagen zum<br />
Brandschutz in einer Schule. Zuvor müsse <strong>de</strong>r an <strong>de</strong>r Aufgabe beteiligte städtische<br />
Immobilienbetrieb zustimmen. Die Stadt bot an, das Einverständnis einzuholen.<br />
Antragsteller war ein Elternvertreter <strong>de</strong>r Schule. Er wollte in Erfahrung zu bringen, welche<br />
Vorgaben die untere Bauaufsichtsbehör<strong>de</strong>, an die er <strong>de</strong>n Antrag richtete, <strong>de</strong>m für die<br />
Umsetzung verantwortlichen Immobilienbetrieb <strong>de</strong>r Stadt gemacht hat, um <strong>de</strong>n Brandschutz<br />
zu gewährleisten. Bei dieser Einrichtung han<strong>de</strong>lt es sich um einen Eigenbetrieb<br />
<strong>de</strong>r Stadt. Er hat keine eigene Rechtspersönlichkeit; seine Tätigkeit ist vielmehr <strong>de</strong>r<br />
Stadtverwaltung zuzurechnen.<br />
Für <strong>de</strong>n Eigenbetrieb einer Stadtverwaltung gilt das Akteneinsichts- und Informationszugangsgesetz<br />
ebenso wie für die unmittelbare Stadtverwaltung selbst. Die Vorschrift, nach<br />
<strong>de</strong>r Informationen öffentlicher Stellen, die <strong>de</strong>m Anwendungsbereich <strong>de</strong>s Gesetzes nicht<br />
unterliegen, nur mit <strong>de</strong>ren Zustimmung herauszugeben sind, kommt <strong>de</strong>shalb überhaupt<br />
Seite 185 von 195
nicht zur Anwendung. Als Teil <strong>de</strong>r Stadtverwaltung kann sich ein Eigenbetrieb auch nicht<br />
auf die Ausnahmetatbestän<strong>de</strong> zum Schutz überwiegen<strong>de</strong>r privater Interessen – wie beispielsweise<br />
auf schutzwürdige Unternehmensdaten – berufen.<br />
Wir haben die Stadt darauf hingewiesen, dass es nicht zulässig ist, die Gewährung <strong>de</strong>s<br />
Informationszugangs von <strong>de</strong>r Zustimmung ihres eigenen Immobilienbetriebes abhängig<br />
zu machen. Dem Einsichtsantrag hat sie vollständig entsprochen.<br />
Eigenbetriebe sind <strong>de</strong>r kommunalen Verwaltung zuzurechnen. Für sie gilt das Akteneinsichts-<br />
und Informationszugangsgesetz ebenso wie für die Verwaltung selbst. Eine Zustimmung<br />
ist hierfür nicht erfor<strong>de</strong>rlich.<br />
5 Tierversuche – ein streng geschütztes Unternehmensgeheimnis<br />
Tierversuche werfen ethische Fragen auf, die stets persönliche und gesellschaftliche<br />
Grundwerte berühren. Umso wichtiger müsste es sein, erfahren zu können,<br />
welche Regelungen behördliche Genehmigungen für die einzelnen Versuchsprojekte<br />
treffen. Antragsteller stoßen hier allerdings schnell an die Grenzen <strong>de</strong>r Informationsfreiheit.<br />
Nach<strong>de</strong>m ein Antragsteller ein Einsichtsbegehren an eine Behör<strong>de</strong> richtete, welche die<br />
Tierversuche durch ein privatrechtliches Unternehmen genehmigt hatte, erkundigte diese<br />
sich beim Unternehmer nach <strong>de</strong>ssen Einverständnis mit <strong>de</strong>r Einsichtnahme. Der Betroffene<br />
verweigerte die Zustimmung. Daraufhin signalisierte die Verwaltung <strong>de</strong>m Antragsteller,<br />
dass sie beabsichtige, seinen Antrag abzulehnen. Der Antragsteller hielt jedoch an<br />
seinem Begehren fest und erhielt schließlich einen formalen Ablehnungsbescheid. In<br />
seiner Eingabe an uns machte er unter an<strong>de</strong>rem geltend, dass es nicht darauf ankomme,<br />
dass <strong>de</strong>r Unternehmer einer Akteneinsicht wi<strong>de</strong>rspricht. Vielmehr müsse zwischen <strong>de</strong>m<br />
Geheimhaltungswunsch <strong>de</strong>s Betroffenen und <strong>de</strong>m öffentlichen Einsichtsinteresse abge-<br />
Seite 186 von 195
wogen wer<strong>de</strong>n.<br />
Nach unserer Auffassung hat die Behör<strong>de</strong> im Ergebnis jedoch rechtmäßig entschie<strong>de</strong>n.<br />
Bei <strong>de</strong>r in Re<strong>de</strong> stehen<strong>de</strong>n Genehmigung han<strong>de</strong>lt es sich – unabhängig von <strong>de</strong>r Frage,<br />
wie relevant ihr Inhalt für die gesellschaftliche Diskussion ist – um ein unternehmensbezogenes<br />
Datum. Das Akteneinsichts- und Informationszugangsgesetz sieht vor, dass die<br />
Herausgabe <strong>de</strong>r Informationen unterbleibt, soweit ansonsten eine Tatsache offenbart<br />
wür<strong>de</strong>, „die nur einem eng begrenzten Personenkreis bekannt ist, zu einem bestimmten<br />
Geschäftsbetrieb in Beziehung steht und die nach <strong>de</strong>m Willen <strong>de</strong>s Unternehmens geheim<br />
zu halten ist o<strong>de</strong>r an <strong>de</strong>ren Geheimhaltung das Unternehmen ein schutzwürdiges Interesse<br />
hat.“ Entschei<strong>de</strong>nd an dieser Formulierung ist, dass <strong>de</strong>r letzte Aspekt, also eine<br />
objektives Geheimhaltungsinteresse <strong>de</strong>s Unternehmens, nicht zwingend vorliegen muss.<br />
Dies wird durch das Wörtchen „o<strong>de</strong>r“ (anstelle von „und“) <strong>de</strong>utlich. In <strong>de</strong>r Praxis be<strong>de</strong>utet<br />
dieser Wortlaut, dass ein Unternehmensdatum, das alle übrigen Voraussetzungen erfüllt,<br />
nicht herausgegeben wer<strong>de</strong>n darf. Unternehmensdaten wer<strong>de</strong>n durch das Akteneinsichts-<br />
und Informationszugangsgesetz somit noch stärker geschützt als personenbezogene<br />
Daten. Es kommt auch nicht darauf an, ob es sich um wettbewerbsrelevante Betriebs-<br />
und Geschäftsgeheimnisse han<strong>de</strong>lt.<br />
Die Behör<strong>de</strong> war also an die verweigerte Zustimmung <strong>de</strong>s Unternehmens gebun<strong>de</strong>n und<br />
musste <strong>de</strong>n Antrag ablehnen. Eine Interessenabwägung sieht das Akteneinsichts- und<br />
Informationszugangsgesetz in einem solchen Fall nicht vor.<br />
Ein – zumin<strong>de</strong>st teilweise – an<strong>de</strong>res Ergebnis wäre bei einer Prüfung auf <strong>de</strong>r Grundlage<br />
<strong>de</strong>s Umweltinformationsgesetzes zu erwarten gewesen. Dieses schützt nämlich ausschließlich<br />
Betriebs- und Geschäftsgeheimnisse – und zwar nur, soweit das öffentliche<br />
Interesse an <strong>de</strong>r Bekanntgabe nicht überwiegt. Es geht <strong>de</strong>m Akteneinsichts- und Informationszugangsgesetz<br />
vor, wenn es um Umweltinformationen geht. Trotz <strong>de</strong>r scheinbaren<br />
Nähe von Umweltschutz und Tierschutz kann die Genehmigung von Tierversuchen nur<br />
insoweit als Umweltinformation gewertet wer<strong>de</strong>n, wie beispielsweise Tiere <strong>de</strong>r freien Natur<br />
entnommen wer<strong>de</strong>n o<strong>de</strong>r die Versuche konkrete Auswirkungen auf die Umwelt haben<br />
können (z. B. geruchsintensive Haltung). Da dies aber nicht relevant war und es sich<br />
folglich nicht um Umweltinformationen han<strong>de</strong>lte, war das Umweltinformationsgesetz nicht<br />
Seite 187 von 195
anzuwen<strong>de</strong>n.<br />
Das Akteneinsichts- und Informationszugangsgesetz sieht einen unverhältnismäßig<br />
strengen Schutz unternehmensbezogener Daten vor. Diese müssen selbst dann geheim<br />
gehalten wer<strong>de</strong>n, wenn ihre Herausgabe <strong>de</strong>n wettbewerbsrechtlichen Schutz von Betriebs-<br />
und Geschäftsgeheimnissen gar nicht berühren wür<strong>de</strong>.<br />
6 Genehmigung für die Landung von Wasserflugzeugen<br />
Eine Bürgerinitiative interessierte sich für die Genehmigungsunterlagen eines Son<strong>de</strong>rlan<strong>de</strong>platzes<br />
für Wasserflugzeuge auf einem See. Zwar wur<strong>de</strong> ihr Antrag von<br />
<strong>de</strong>r zuständigen Behör<strong>de</strong> nicht abgelehnt. Deren Bedingungen stellten aber unnötige<br />
Hür<strong>de</strong>n dar.<br />
Auf elektronischem Wege wandte sich die Bürgerinitiative zunächst mit <strong>de</strong>r schlichten<br />
Anfrage an die zuständige Lan<strong>de</strong>sbehör<strong>de</strong>, ob ein Antrag für die Errichtung eines Son<strong>de</strong>rlan<strong>de</strong>platzes<br />
für Wasserflugzeuge vorliege. Die Verwaltung wertete dies als Antrag<br />
auf Informationszugang nach <strong>de</strong>m Akteneinsichts- und Informationszugangsgesetz. Bevor<br />
sie <strong>de</strong>n Antrag bearbeitete, teilte sie <strong>de</strong>m Antragsteller mit, dass eine Gebühr zwischen<br />
0 und 100 Euro festzusetzen sei. Außer<strong>de</strong>m verlangte sie, <strong>de</strong>n Antrag schriftlich<br />
o<strong>de</strong>r per Fernkopie zu stellen. Der Antragsteller, <strong>de</strong>r als Sprecher <strong>de</strong>r Bürgerinitiative<br />
auftrat, sollte zu<strong>de</strong>m eine Vertretungsbefugnis nachweisen. Daraufhin wandte dieser sich<br />
mit <strong>de</strong>r Bitte um eine rechtliche Bewertung <strong>de</strong>r behördlichen For<strong>de</strong>rungen an uns.<br />
Bei <strong>de</strong>r Genehmigung für einen Son<strong>de</strong>rlan<strong>de</strong>platz für Wasserflugzeuge han<strong>de</strong>lt es sich –<br />
zumin<strong>de</strong>st in weiten Teilen – um Informationen über die Umwelt. Ihre Offenlegung ist<br />
daher auf <strong>de</strong>r Grundlage <strong>de</strong>s Umweltinformationsgesetzes zu prüfen. Die entsprechen<strong>de</strong><br />
Gebührenordnung sieht vor, dass sowohl die Einsichtnahme vor Ort als auch einfache<br />
Auskünfte gebührenfrei sind. Für die Antragstellung existieren keine Formvorschriften.<br />
Seite 188 von 195
Auch <strong>de</strong>r Vertretungsbefugnis einer Bürgerinitiative bedarf es nicht.<br />
Selbst für <strong>de</strong>n Fall, dass als Rechtsgrundlage das Akteneinsichts- und Informationszugangsgesetz<br />
zum Tragen gekommen wäre, hätte die Behör<strong>de</strong> solche Bedingungen nicht<br />
stellen dürfen:<br />
Zwar sieht die Akteneinsichts- und Informationszugangsgebührenordnung für die Erteilung<br />
einer Auskunft einen Gebührenrahmen von 0 bis 100 Euro vor, allerdings hätte die<br />
Akten führen<strong>de</strong> Stelle die Gebührenhöhe enger eingrenzen müssen. Angesichts <strong>de</strong>r<br />
überschaubaren Anfrage, die womöglich mit einem einfachen „Ja“ o<strong>de</strong>r „Nein“ hätte beantwortet<br />
wer<strong>de</strong>n können, ist nämlich nicht davon auszugehen gewesen, dass <strong>de</strong>r angekündigte<br />
Gebührenrahmen auch nur annähernd ausgeschöpft wer<strong>de</strong>n wür<strong>de</strong>. Im Gegenteil<br />
war eher zu vermuten, dass eine Bagatellgrenze, die aus Wirtschaftlichkeitsgrün<strong>de</strong>n<br />
<strong>de</strong>n Gebührenverzicht nahe legt, gar nicht erst überschritten wird. Die unrealistische Gebührenankündigung<br />
war schon <strong>de</strong>shalb unzulässig, weil sie auf <strong>de</strong>n Antragsteller abschreckend<br />
hätte wirken können.<br />
Die Behör<strong>de</strong> verlangte einen schriftlichen Antrag, weil ihr E-Mail-Zugang nicht für die<br />
Übermittlung elektronischer Dokumente eröffnet sei. Das formale Kriterium <strong>de</strong>r „Schriftlichkeit“<br />
ist bei einer elektronischen Antragstellung im herkömmlichen Verwaltungsverfahren<br />
nur erfüllt, wenn eine qualifizierte digitale Signatur verwen<strong>de</strong>t wird. Da diese technische<br />
Möglichkeit nicht je<strong>de</strong>rmann zur Verfügung steht, wur<strong>de</strong> im Jahre 2003 das Recht<br />
auf eine „elektronische“ Antragstellung – per einfacher E-Mail – im Akteneinsichts- und<br />
Informationszugangsgesetz ergänzt. Sie sollte die Kontaktaufnahme mit <strong>de</strong>r Verwaltung<br />
erleichtern und unnötige Hin<strong>de</strong>rnisse beim Informationszugang vermei<strong>de</strong>n. Selbstverständlich<br />
be<strong>de</strong>utet dies nicht, dass <strong>de</strong>r Antragsteller sich nicht zu i<strong>de</strong>ntifizieren braucht.<br />
Schließlich benötigt die öffentliche Stelle eine zustellfähige postalische Adresse für ihre<br />
Entscheidung und kann einen anonymen Antrag nicht bearbeiten.<br />
Die Regelung <strong>de</strong>s Akteneinsichts- und Informationszugangsgesetzes, nach <strong>de</strong>r Anträge<br />
auf Akteneinsicht nur durch <strong>de</strong>n Vorstand bzw. einen Bevollmächtigten gestellt wer<strong>de</strong>n<br />
können, bezweckt, dass die Behör<strong>de</strong> für ihren Bescheid eine Ansprechperson hat. Nur in<br />
Zweifelsfällen kann die Behör<strong>de</strong> sich eine Vertretungsbefugnis vorlegen lassen. Diese<br />
Seite 189 von 195
Vorschrift kann jedoch lediglich auf Vereine o<strong>de</strong>r Verbän<strong>de</strong> angewandt wer<strong>de</strong>n. Nur diese<br />
verfügen über eine formale Struktur, die es ermöglicht, eine solche Befugnis überhaupt<br />
auszustellen. Im Gegensatz dazu sind Bürgerinitiativen durch eine lockere Organisationsform<br />
gekennzeichnet. Ein Verwaltungsakt richtet sich daher nicht an sie, son<strong>de</strong>rn an eines<br />
ihrer Mitglie<strong>de</strong>r, das sich allenfalls bereit erklären muss, für die Folgen eines Antrags<br />
auf Akteneinsicht (z. B. Kostenerhebung) einzustehen.<br />
Im vorliegen<strong>de</strong>n Fall waren we<strong>de</strong>r ein Zweifel an <strong>de</strong>r I<strong>de</strong>ntität o<strong>de</strong>r Anschrift <strong>de</strong>s Antragstellers,<br />
noch an seiner Funktion in <strong>de</strong>r Bürgerinitiative zu erkennen. Die Behör<strong>de</strong> hat<br />
im Ergebnis unsere Hinweise aufgegriffen und <strong>de</strong>n Informationszugang zügig und kostenfrei<br />
gewährt.<br />
Die Ankündigung von Gebühren für die Akteneinsicht kann in unzulässiger Weise von <strong>de</strong>r<br />
Antragstellung abschrecken, wenn lediglich <strong>de</strong>r allgemeine Höchstbetrag genannt wird.<br />
Für die Antragstellung genügt eine einfache E-Mail ohne elektronische Signatur. Bürgerinitiativen<br />
können keine Vertretungsbefugnisse ausstellen. Es reicht aus, wenn sie eine<br />
verantwortliche Ansprechperson benennen, die sich bereit erklärt, die rechtlichen und<br />
finanziellen Folgen <strong>de</strong>s Einsichtsantrags zu tragen.<br />
Teil C<br />
Die Lan<strong>de</strong>sbeauftragte für <strong>de</strong>n Datenschutz und für das Recht auf Akteneinsicht<br />
1 Die Dienststelle<br />
Die Skandale <strong>de</strong>r Jahre 2008 und 2009 wegen mangeln<strong>de</strong>n Datenschutzes haben das<br />
Bewusstsein <strong>de</strong>r Bürgerinnen und Bürger für <strong>de</strong>n Schutz ihrer Persönlichkeitssphäre<br />
spürbar verstärkt. Diese Entwicklung hat sich auch auf die Arbeit meiner Dienststelle<br />
ausgewirkt – nicht zuletzt in Form gestiegener Zahlen von Beratungsersuchen und Bür-<br />
Seite 190 von 195
gerbeschwer<strong>de</strong>n.<br />
Von Seiten <strong>de</strong>r öffentlichen Stellen wur<strong>de</strong>n nicht nur immer mehr, son<strong>de</strong>rn vor allem immer<br />
komplexere Verfahren zur Datenverarbeitung eingeführt. Nicht selten han<strong>de</strong>lte es<br />
sich dabei um Projekte mit mehreren Stellen, <strong>de</strong>ren datenschutzrechtliche Verantwortung<br />
zu klären war: Neuland für viele Beteiligte. Meine Mitarbeiterinnen und Mitarbeiter haben<br />
die Einführung solcher Projekte oft über einen langen Zeitraum begleitet.<br />
Ein Schwerpunkt nicht nur unserer Beratungstätigkeit, son<strong>de</strong>rn auch unserer Prüfungen<br />
waren Verfahren <strong>de</strong>s E-Government – vor allem auf kommunaler Ebene. Aus <strong>de</strong>n Ergebnissen<br />
wur<strong>de</strong> <strong>de</strong>utlich, wie eng Fragen <strong>de</strong>r IT-Sicherheit mit jenen <strong>de</strong>s Datenschutzes<br />
zusammenhängen. Um mir einen Überblick über <strong>de</strong>n Stand <strong>de</strong>r Umsetzung <strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen<br />
Datenschutzgesetzes in <strong>de</strong>r Kommunalverwaltung <strong>de</strong>s Lan<strong>de</strong>s zu verschaffen,<br />
habe ich eine Umfrage in allen Kommunen durchgeführt. Die Auswertung dient<br />
meinem Ziel, Unterstützungsleistungen wie Beratungen o<strong>de</strong>r Schulungen künftig so bedarfsgerecht<br />
wie möglich anbieten zu können.<br />
Die Stärkung <strong>de</strong>r Medienkompetenz von Kin<strong>de</strong>rn und Jugendlichen ist mir ein weiteres<br />
wichtiges Anliegen. Unsere gemeinsam mit <strong>de</strong>m Ministerium <strong>de</strong>s Innern entwickelten<br />
Bausteine zur Verwendung in <strong>de</strong>n Schulen sollen Schülerinnen und Schüler für <strong>de</strong>n Umgang<br />
mit ihren Persönlichkeitsrechten im Alltag sensibilisieren. Zwar registrierten wir im<br />
Berichtszeitraum eine stetig zunehmen<strong>de</strong> Nachfrage danach, doch sind unsere Kapazitäten<br />
begrenzt: We<strong>de</strong>r eine professionelle Weiterentwicklung <strong>de</strong>r Bausteine noch die dringend<br />
notwendige Fortbildung <strong>de</strong>r Lehrkräfte in punkto Medienkompetenz kann personell<br />
von meiner Dienststelle allein geleistet wer<strong>de</strong>n. Ich beabsichtige aber auch weiterhin,<br />
insbeson<strong>de</strong>re die Lehrerfortbildung zu nutzen, um so an <strong>de</strong>n Schulen Multiplikatoren für<br />
die Vermittlung eines bewussten Umgangs mit personenbezogenen Daten z. B. im Internet<br />
zu gewinnen.<br />
Die auf <strong>de</strong>m Gebiet <strong>de</strong>r Informationsfreiheit festzustellen<strong>de</strong> Zersplitterung <strong>de</strong>r Rechtsgrundlagen<br />
wirkt sich vor allem durch das Nebeneinan<strong>de</strong>r von Akteneinsichts- und Informationszugangsgesetz<br />
und <strong>de</strong>s Umweltinformationsgesetz aus. In <strong>de</strong>r Praxis entstehen<br />
daraus nach meiner Erfahrung große Unsicherheiten in <strong>de</strong>r Umsetzung <strong>de</strong>r Gesetze. Ich<br />
Seite 191 von 195
110 <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong>, <strong>Drucksache</strong> 4/6891<br />
Seite 192 von 195<br />
habe mich <strong>de</strong>shalb entschlossen, dies als Thema für das mittlerweile schon traditionelle<br />
Internationale Symposium im Juni 2009 zu wählen. Durch ein Zusammenspiel engagierter<br />
Kooperationspartner, kompetenter Referenten sowie eines interessierten Publikums<br />
ist es <strong>de</strong>m Symposium gelungen, kritische Anregungen zur Weiterentwicklung <strong>de</strong>s Informationsfreiheitsrechts<br />
in <strong>Bran<strong>de</strong>nburg</strong> zu geben. Ich freue mich bereits darauf, diese<br />
erfolgreiche Veranstaltungsreihe im Jahre 2011 fortzusetzen.<br />
Die personelle Situation in meiner Dienststelle hat sich im Berichtszeitraum wesentlich<br />
verän<strong>de</strong>rt. Meinen Stellvertreter und Leiter <strong>de</strong>s Bereichs Technik und Organisation habe<br />
ich im Frühjahr 2008 in <strong>de</strong>n Ruhestand verabschie<strong>de</strong>t und seine Aufgabe als stellvertreten<strong>de</strong>r<br />
Lan<strong>de</strong>sbeauftragter an <strong>de</strong>n langjährigen Leiter <strong>de</strong>s Bereichs Recht und Verwaltung<br />
übertragen. Im Ergebnis einer Ausschreibung übernahm ein erfahrener Mitarbeiter<br />
<strong>de</strong>r Dienststelle die Bereichsleitung Technik und Organisation. Darüber hinaus konnten<br />
zwei freie Stellen mit einer neuen Mitarbeiterin und einem neuen Mitarbeiter qualifiziert<br />
besetzt wer<strong>de</strong>n.<br />
Ein Mitarbeiter <strong>de</strong>r Dienststelle hat sich für ein Jahr in eine Bun<strong>de</strong>sbehör<strong>de</strong> abordnen<br />
lassen. Während seiner Abwesenheit wur<strong>de</strong> er kompetent vertreten. Zu<strong>de</strong>m konnte ich<br />
eine engagierte Mitarbeiterin gewinnen, die befristet Teilzeitvertretungen übernommen<br />
hat. Den infolge dieser Verän<strong>de</strong>rungen zeitweise nicht besetzten Arbeitsgebieten haben<br />
sich sämtliche meiner Mitarbeiterinnen und Mitarbeiter in bei<strong>de</strong>n Jahren mit großem Einsatz<br />
angenommen – dafür möchte ich ihnen an dieser Stelle ausdrücklich danken.<br />
2 Zusammenarbeit mit <strong>de</strong>m <strong>Landtag</strong><br />
Der Ausschuss für Inneres <strong>de</strong>s <strong>Landtag</strong>s <strong>Bran<strong>de</strong>nburg</strong> hat über <strong>de</strong>n 14. Tätigkeitsbericht<br />
2006/2007 mehrfach beraten und dabei die von mir festgestellten Mängel in <strong>de</strong>n Mittelpunkt<br />
gestellt. Im Ergebnis legte er <strong>de</strong>m <strong>Landtag</strong> Empfehlungen 110 zur Verbesserung <strong>de</strong>s
111 <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong>, <strong>Drucksache</strong> 4/6891-B<br />
Seite 193 von 195<br />
Datenschutzes und <strong>de</strong>r Informationsfreiheit vor, die dieser am 19. November 2008 in<br />
einem Beschluss annahm. 111 Der <strong>Landtag</strong> for<strong>de</strong>rte die Lan<strong>de</strong>sregierung auf, mir innerhalb<br />
von sechs Monaten die IT-Sicherheitskonzepte für <strong>de</strong>n Verfassungsschutz und für<br />
das Projekt Neues Finanzmanagement sowie zeitnah jene <strong>de</strong>r Lan<strong>de</strong>sministerien vorzulegen.<br />
Außer<strong>de</strong>m sollte die Lan<strong>de</strong>sregierung ein Ausführungsgesetz zur Regelung <strong>de</strong>s<br />
Datenschutzaudits nach § 11c <strong>Bran<strong>de</strong>nburg</strong>isches Datenschutzgesetz erarbeiten und im<br />
Akteneinsichts- und Informationszugangsgesetz ein ausdrückliches Recht auf die Herausgabe<br />
von Fotokopien vorsehen.<br />
Den Auffor<strong>de</strong>rungen und Empfehlungen <strong>de</strong>s <strong>Landtag</strong>s ist die Lan<strong>de</strong>sregierung im Berichtszeitraum<br />
nur unzureichend nachgekommen: Bei <strong>de</strong>r Sicherheitsdokumentation besteht<br />
in <strong>de</strong>n Lan<strong>de</strong>sministerien Nachbesserungsbedarf, ein Gesetzentwurf zur Regelung<br />
<strong>de</strong>s Auditierungsverfahrens wur<strong>de</strong> nicht vorgelegt und auch zu einer informationszugangsfreundlichen<br />
Regelung <strong>de</strong>s Umgangs mit Fotokopien im Rahmen <strong>de</strong>r Akteneinsicht<br />
ist es nicht gekommen.<br />
Während <strong>de</strong>s Berichtszeitraums haben mich mehrere Ausschüsse <strong>de</strong>s <strong>Landtag</strong>es als<br />
Sachverständige zu datenschutzrechtlichen Fragen eingela<strong>de</strong>n: Am 16. Januar 2008<br />
habe ich im Rahmen einer öffentlichen Anhörung <strong>de</strong>s Ausschusses für Arbeit, Soziales,<br />
Gesundheit und Familie zur Neuregelung <strong>de</strong>s Öffentlichen Gesundheitsdienstes Stellung<br />
genommen. Auf Einladung <strong>de</strong>s Ausschusses für Inneres konnte ich am 2. Oktober 2008<br />
meine Sicht auf die Zusammenlegung <strong>de</strong>r Datenschutzaufsicht über <strong>de</strong>n öffentlichen und<br />
nicht öffentlichen Bereich darlegen. Schließlich hatte ich vor <strong>de</strong>mselben Gremium am 6.<br />
November 2008 Gelegenheit, meine Position zum Datenschutz im Zuge <strong>de</strong>r Än<strong>de</strong>rung<br />
<strong>de</strong>s <strong>Bran<strong>de</strong>nburg</strong>ischen Polizeigesetzes in einer öffentlichen Anhörung zur Diskussion zu<br />
stellen.<br />
Der <strong>Landtag</strong> <strong>Bran<strong>de</strong>nburg</strong> hat meine Anliegen zum Datenschutz und zur Informationsfreiheit<br />
in <strong>de</strong>r abgelaufenen Legislaturperio<strong>de</strong> unterstützt und die Möglichkeit für Verbesserungen<br />
durch meine Einbeziehung im Rahmen <strong>de</strong>r Gesetzgebung wahrgenommen. Ich<br />
freue mich auf die Fortsetzung dieser Zusammenarbeit in <strong>de</strong>r laufen<strong>de</strong>n Legislaturperio-
<strong>de</strong>.<br />
3 Kooperation mit <strong>de</strong>n behördlichen Datenschutzbeauftragten<br />
Unsere jährliche Beratung mit <strong>de</strong>n behördlichen Datenschutzbeauftragten <strong>de</strong>r Landkreise,<br />
kreisfreien Städte und größeren kreisangehörigen Gemein<strong>de</strong>n haben wir im Jahr<br />
2008 in <strong>de</strong>n Räumen meiner Dienststelle durchgeführt. Fragen zur IT-Sicherheit sowie<br />
zur Verarbeitung <strong>de</strong>r Geoinformationen stan<strong>de</strong>n dabei im Vor<strong>de</strong>rgrund. Der Erfahrungsaustausch<br />
erstreckte sich auch auf <strong>de</strong>n Einsatz von Dokumentenmanagementsystemen<br />
und auf die Verarbeitung von Personaldaten in <strong>de</strong>r kommunalen Verwaltung.<br />
Die Veranstaltung wird von allen Beteiligten stets gern angenommen. Lei<strong>de</strong>r stoßen die<br />
räumlichen, vor allem aber die personellen Kapazitäten angesichts <strong>de</strong>s zur Vorbereitung<br />
und Organisation erfor<strong>de</strong>rlichen Aufwands auf Grenzen. Im Jahr 2009 waren meine Mitarbeiterinnen<br />
und Mitarbeiter durch ihre übrige Beratungs- und Kontrolltätigkeit <strong>de</strong>rart<br />
ausgelastet, dass das Treffen nicht stattfin<strong>de</strong>n konnte.<br />
Ich halte <strong>de</strong>n Austausch mit <strong>de</strong>n behördlichen Datenschutzbeauftragten weiterhin für eine<br />
sinnvolle Unterstützung <strong>de</strong>s Datenschutzes in <strong>de</strong>r Kommunalverwaltung und beabsichtige,<br />
die Beratungstreffen auch künftig anzubieten.<br />
4 Zusammenarbeit mit an<strong>de</strong>ren Datenschutzbehör<strong>de</strong>n<br />
Im Berichtszeitraum fan<strong>de</strong>n regelmäßig Kooperationsgespräche mit <strong>de</strong>r Aufsichtsbehör<strong>de</strong><br />
für <strong>de</strong>n Datenschutz im nicht öffentlichen Bereich, die <strong>de</strong>m Ministerium <strong>de</strong>s Innern zugeordnet<br />
ist, statt. Ein immer wie<strong>de</strong>rkehren<strong>de</strong>s Thema <strong>de</strong>r Gespräche war <strong>de</strong>r Datenschutz<br />
im Gesundheitswesen. Aufgrund <strong>de</strong>r unterschiedlichen Zuständigkeiten für die medizinischen<br />
Einrichtungen in privater und öffentlicher Trägerschaft befassen sich bei<strong>de</strong> Aufsichtsbehör<strong>de</strong>n<br />
mit zahlreichen Fragen dieses Rechtsgebiets, beispielsweise Datensicherheit<br />
und Archivierung in Kliniken. Das mit <strong>de</strong>r Unterstützung <strong>de</strong>r Aufsichtsbehör<strong>de</strong><br />
erstellte Projekt „Datenschutz für Schüler und Lehrer“ haben wir anlässlich <strong>de</strong>s Europäi-<br />
Seite 194 von 195
schen Datenschutztages im Januar 2008 öffentlich vorgestellt und mit Schülern diskutiert.<br />
Auch <strong>de</strong>r regelmäßige Austausch mit <strong>de</strong>m Berliner Beauftragten für Datenschutz und<br />
Informationsfreiheit wur<strong>de</strong> fortgesetzt. Zu einem großen Erfolg hat sich <strong>de</strong>r gemeinsam<br />
erarbeitete Ratgeber zu Hartz IV entwickelt. Er wur<strong>de</strong> mehrfach überarbeitet und um<br />
aktuelle Informationen zur neuesten Rechtsprechung sowie zu an<strong>de</strong>ren datenschutzrechtlichen<br />
Entwicklungen ergänzt. Die nächste Überarbeitung <strong>de</strong>s Ratgebers ist bereits<br />
in Angriff genommen.<br />
Die Konferenz <strong>de</strong>r Datenschutzbeauftragten <strong>de</strong>s Bun<strong>de</strong>s und <strong>de</strong>r Län<strong>de</strong>r tagte im Jahr<br />
2008 unter <strong>de</strong>m Vorsitz <strong>de</strong>s Bun<strong>de</strong>sbeauftragten für <strong>de</strong>n Datenschutz und die Informationsfreiheit<br />
im Frühjahr in Berlin und im Herbst in Bonn. Turnusgemäß wechselte <strong>de</strong>r Vorsitz<br />
<strong>de</strong>r Konferenz im Jahr 2009 zum Berliner Beauftragten für Datenschutz und Informationsfreiheit.<br />
Ein Blick auf die hohe Anzahl von Entschließungen in bei<strong>de</strong>n Jahren macht<br />
<strong>de</strong>utlich, dass die Zahl <strong>de</strong>r aktuellen Themen ständig steigt. Der Text <strong>de</strong>r Entschließungen<br />
ist als Anlage 3 Bestandteil dieses Tätigkeitsberichts.<br />
Vor <strong>de</strong>m Hintergrund <strong>de</strong>r Bun<strong>de</strong>stagswahl im Herbst 2009 mahnte die Konferenz auch<br />
eine Mo<strong>de</strong>rnisierung <strong>de</strong>s Datenschutzrechts an. Um dieses Anliegen angemessen begleiten<br />
zu können, hat sie im Frühjahr 2009 in Berlin die Einrichtung <strong>de</strong>r Arbeitsgruppe „Mo<strong>de</strong>rnisierung<br />
<strong>de</strong>s Datenschutzrechts“ beschlossen, die sich mit <strong>de</strong>n Anfor<strong>de</strong>rungen an ein<br />
mo<strong>de</strong>rnes Datenschutzgesetz befasst. Erste Ergebnisse sollen auf <strong>de</strong>r Datenschutzkonferenz<br />
im Frühjahr 2010 in Stuttgart vorgestellt wer<strong>de</strong>n.<br />
Seite 195 von 195