Startseite Presse Presseerklärung vom 14.9.2005 anlässlich der Vorstellung des 12. Tätigkeitsberichts

Presseerklärung vom 14.9.2005 anlässlich der Vorstellung des 12. Tätigkeitsberichts

Am 14. September 2005 erklärt der Sächsische Datenschutzbeauftragte Andreas Schurig:

Seit der Novellierung des Sächsischen Datenschutzgesetzes umfasst der Berichtszeitraum zwei Jahre. Damit fallen die ersten neun Monate noch in die Amtszeit meines Vorgängers, dem ich an dieser Stelle noch einmal herzlich für das Fundament, das er gelegt hat, und für die langjährige Zusammenarbeit danken möchte. Er hat großen Wert auf seine Unabhängigkeit gelegt und auch so gehandelt. Ich sehe keinen Anlass, von diesem Kurs abzuweichen.

Am 9. September 2003 ist die Neufassung des Sächsischen Datenschutzgesetzes in Kraft getreten. Vorausgegangen war eine langandauernde Auseinandersetzung mit der Staatsregierung in grundsätzlichen Fragen von Datenschutz und Datenschutzkontrolle. Der im Jahre 2000 vom Kabinett verabschiedete Referentenentwurf der Staatsregierung sollte den Sächsischen Datenschutzbeauftragten in einer Weise nachhaltig beschränken, dass dies sogar die Konferenz der Datenschutzbeauftragten des Bundes und der Länder auf der 61. Konferenz zu einer entsprechenden Entschließung veranlasste. Bei meinen Bemühungen um eine verfassungskonforme, meine Rechtsstellung und Kontrollbefugnisse wahrende Gesetzesfassung, wurde ich aber letztendlich durch das sächsische Parlament unterstützt. Dieses verabschiedete eine wesentlich veränderte und mit der EG-Datenschutzrichtlinie konforme Gesetzesfassung (1.2). Gegenwärtig bemühe ich mich aber noch um eine weitere Anpassung an die EG-Vorgaben. Die Regelung, dass der Landesregierung nachgeordnete Behörden, die Datenschutzaufsicht für den Privatbereich ausüben, steht nicht im Einklang mit Art. 28 Abs. 1 Satz 2 der EG-Datenschutzrichtlinie. Auch die Datenschutzaufsicht für den nicht-öffentlichen Bereich bedarf einer weitgehend unabhängigen Organisationsform. Ich habe in dieser Frage von Seiten der Staatsregierung positive Signale erhalten.

In meiner praktischen Arbeit wurden meine Mitarbeiter und ich auch im letzten Berichtszeitraum von den öffentlichen Stellen weitgehend unterstützt, wie es auch das Gesetz verlangt. Verstöße sind in der Regel in zwei Fallgruppen festzustellen. Zum einen solche aus Unachtsamkeit oder Unkenntnis – hier gebe ich meinen Rat und versuche im Einvernehmen mit der Stelle den Missstand abzustellen - und zum anderen in Einzelfällen bewusste Überschreitungen, meist verknüpft mit einem persönlichen Engagement des Verursachers. An solchen Stellen ist dann ggf. auch Härte notwendig. Darüber hinaus gibt es auch immer wieder Vorgänge, die im Rahmen des rechtlich Zulässigen liegen und die doch die Problematik des Datenschutzes deutlich machen. Exemplarisch zeigt sich dies bei dem derzeit diskutierten Vorfall der Abfrage von Telefonverbindungsdaten, der Folgendes aufzeigt.

  1. Wir befinden uns in einer Informationsgesellschaft. Wir sind gezwungen, Informationen preiszugeben.
  2. Bereits in einem Vorfeld – losgelöst vom polizeirechtlichen Gefahrenbegriff – erhebt der Staat selbst oder durch private Stellen unter Hinweis auf die allgemeine Sicherheit tiefgehend Daten – Daten sich rechtskonform verhaltender Bürger.
  3. Die Anwendungsbreite bestimmt sich nicht nach der ursprünglich vorgebrachten Begründung, sondern nach dem in der Regel weiteren Gesetzestext.

Ich beobachte diese Gesamtentwicklung mit Besorgnis. Unser Leben, unser Surf- und Leseverhalten, Gesundheitsdaten – kein Bereich scheint mehr ausgenommen – wird immer transparenter, in manchen Bereichen, z. B. beim ALG II, sind die Betroffenen beinahe schon als „gläsern“ zu bezeichnen.

Von den zahlreichen Einzelpunkten in meinem Bericht möchte ich nachstehende hervorheben:

(1)
Im Personalverwaltungsbereich habe ich im letzten Berichtszeitraum mehrfach feststellen müssen, dass öffentliche Stellen ohne gesetzliche Stütze u. a. Bezügeakten für externe Stellen, insbesondere eingetragene Vereine, führen. Öffentliche Stellen, Gemeinden und Landesbehörden sind lediglich befugt, auf beamtenrechtlicher, arbeitsvertraglicher bzw. anderer gesetzlicher Grundlage Personalakten zu führen und die entsprechenden Daten zu verarbeiten. In einem Fall wurde ich bei einer Kommune sogar damit konfrontiert, dass die Führung der gesamten Personalakten für eine externe Stelle erfolgte. Ich hoffe, dass mich die personalverwaltenden Stellen und sächsischen Kommunalverbände bei meinen Bemühungen unterstützen (5.1.9; vgl. auch 5.1.5).

(2)
Im kommunalen Bereich fand die Tätigkeit eines externen Beraters des Oberbürgermeisters der Landeshauptstadt eine große mediale Resonanz. Der Berater hatte zuletzt einen Vertrag als Koordinator im Zusammenhang mit der Flutfolgenbewältigung. Auch der Sächsische Datenschutzbeauftragte nahm sich des Vorgangs an, verarbeitete doch der Berater ungeregelt personenbezogene Daten und hatte an der Seite des Oberbürgermeisters, dem er unmittelbar zugeordnet war, Zugang zu vertraulichen und sensiblen Schriftstücken, wie Personalaktendaten, Bürgerbeschwerden und Geschäftsunterlagen. Die Infrastruktur für seine Tätigkeit, ein Büro, eine Schreibkraft und Computerausstattung wurden ihm unentgeltlich zur Verfügung gestellt. Der Vertrag war inhaltlich nicht datenschutzgerecht und der weitgehende und ungeregelte Zugang des Beraters zu personenbezogenen Daten veranlassten noch meinen Vorgänger, diesen datenschutzorganisatorisch und datenschutzrechtlich zu bemängelnden Zustand zu beanstanden. Leider blieb die Landeshauptstadt in ihrem Verhalten uneinsichtig. Auch das Regierungspräsidium führte als Kommunalaufsichtsbehörde eine Beendigung der Tätigkeit nicht herbei, erst die Untersuchungshaft wegen Untreueverdachts bewirkte die Beendigung des rechtswidrigen Zustands (5.5.7).


(3)
Im Statistikbereich hatte ich mich mit einem einschneidenden Vorhaben auseinanderzusetzen. In Sachsen gäbe es hunderttausende Betroffene. Auf Ebene der Kultusministerkonferenz ist entschieden worden, eine bundesweite Statistik-Datenbank mit Einzeldaten über jeden Schüler in Deutschland aufzubauen, also praktisch ein bundesweites Schülerregister. Das sächsische Kultusministerium hält von diesem Vorhaben wenig. Das Landesamt für Statistik hat das Kultusministerium aufgefordert, die entsprechende Zuarbeit zu leisten. Das Vorhaben ist datenschutzrechtlich unvertretbar. Die vorgesehene Datenbank ließe sich aus verfassungsrechtlichen Gründen nicht einmal durch ein Gesetz legitimieren. Ich habe meine Kollegen in den anderen Bundesländern in Kenntnis gesetzt und hoffe, dass es gelingt, diese schulbürokratischen Auswüchse einzudämmen (5.7.5, Teil 2; ein Fall noch krasseren Ausuferns staatlicher Datensammlung im Bildungsbereich ist 5.7.6).

(4)
Im Bereich der Polizei und Justiz bin ich im letzten Berichtszeitraum darauf gestoßen, dass die Polizei an private Sicherheitsdienste personenbezogene Daten zu Bewerbern weitergab. PASS darf nicht als eine Art bessere „Polizei-Schufa“ aus einem diffusen Sicherheitsgedanken, was die privaten Dienste angeht, heraus genutzt werden. Ich bin dieser Praxis entgegengetreten und habe festgestellt, dass das Polizeiliche Auskunftssystem nur zur polizeilichen Aufgabenerfüllung genutzt werden darf. Weder kommt wegen der konkreten Zweckbestimmung eine Weitergabe der z. T. nicht validen, z. T. sehr tiefgehenden Daten bei Einstellungen des öffentlichen Dienstes in Betracht, noch bei Einstellungen an irgendwelche privaten Stellen. Auch auf eine Einwilligung des Betroffen kann eine Zweckentfremdung von Polizeidaten natürlich nicht gestützt werden. Das SMI hat den nachgeordneten Bereich angewiesen, keine derartigen unzulässigen Abfragen und Datenübermittlungen mehr durchzuführen (5.9.2).

(5)
Bei der Fußball-Weltmeisterschaft in Deutschland ist auch Leipzig Austragungsort. Die Organisatoren der Weltmeisterschaft und die sächsischen Behörden tragen bei diesem Großereignis für die Sicherheit der Zuschauer Verantwortung. Sicherheit ist großzuschreiben, aber natürlich unter Beachtung der datenschutzrechtlichen Bestimmungen. Die Organisation sieht vor, dass Personen mit Zugang zu sicherheitsrelevanten Bereichen, wie Presse, Ordner, Sicherheitsdienste ein Prüfverfahren zu durchlaufen haben. Die betroffenen Mitarbeiter sollen ihr Einverständnis geben, personenbezogene Daten an den Deutschen Fußballbund zu melden, der diese Daten zur Prüfung an das LKA Sachsen zur Bewertung weitergibt. Ich habe hier Bedenken. Auf der Grundlage gewerbe- und polizeirechtlicher Vorschriften dürfen bereits ausreichende personenbezogene Daten verarbeitet werden, aber nicht außerhalb der Gesetze. Auch eine Einwilligung der Betroffenen, denen als abhängig Beschäftigten oder als ums Überleben kämpfenden Gewerbetreibenden kaum etwas anderes übrig bleiben dürfte als einzuwilligen, rechtfertigt nicht die tiefgehende Datenverarbeitung der Polizei. Einzig gangbarer Weg wäre es, es den Betroffenen selbst zu überlassen, ob sie eine Selbstauskunft beim LKA oder einen Auszug aus dem Bundeszentralregister einholen und dann selbst entscheiden, ob sie die darin enthaltenen Daten dem DFB gegenüber offenbaren oder nicht. Gegebenenfalls muss der sächsische Gesetzgeber noch die Voraussetzungen für eine weitergehende Datenverarbeitung sächsischer Polizeibehörden schaffen. Ich werde mich jedenfalls weiter für datenschutzgerechte Sicherheitsverfahren bei der Weltmeisterschaft im nächsten Jahr einsetzen (5.9.3).

(6)
Das polizeiliche Auskunftssystem PASS ist in der Vergangenheit bereits mehrfach Gegenstand meiner datenschutzrechtlichen Kontrollen gewesen. Ein Problem der Eintragungen in PASS ist die Validität der Daten. Neben Tatsachenangaben enthält die Datenbank Einschätzungen und Ermittlungsansätze und Angaben über Ermittlungsverfahren, auch wenn diese nach § 170 Abs. 1 StPO eingestellt worden sind, da die in Rede stehenden Handlungen unter keinen Straftatbestand fallen oder der Beschuldigte nicht der Täter ist. In einem gravierenden Beispielsfall eines Petenten hatte ich mich damit auseinanderzusetzen, dass gegen diesen aufgrund einer Namensverwechslung zweimal Ermittlungsverfahren durchgeführt worden waren. Eine Speicherung in PASS war erfolgt und in beiden Fällen war eine Einstellung nach § 170 Abs. 2 StPO vorgenommen worden. Dennoch war ihm bereits aufgrund der schlichten Tatsache, dass Ermittlungsverfahren gegen ihn geführt worden waren, der Zugang zu bestimmten Bereichen des öffentlichen Auftraggebers verwehrt worden. Auszuschließen war auch nicht, dass ihm hierdurch Nachteile im Verhältnis zu einem Arbeitgeber erwuchsen. Nachdem ich das Justizministerium und das Innenministerium auf die Problematik aufmerksam gemacht hatte, werden zukünftig die Polizeibehörden über die Einstellungen unterrichtet und erhalten so die Möglichkeit, erforderliche Löschungen vorzunehmen (5.9.4). Hier ist im Zusammenwirken zwischen Landeskriminalamt, Generalstaatsanwaltschaft dem Sächsischen Staatsministerium der Justiz und mir eine Lösung gefunden worden, die vielen Betroffenen zugute kommt.

(7)
Die Verschärfung von Straßenverkehrsordnungsbestimmungen bringt es seit 2004 mit sich, dass die Benutzung von Telefongeräten während der Fahrt mit einem Kraftfahrzeug eine Ordnungswidrigkeit darstellt und mit einer Geldbuße belegt ist. Eine Polizeidienststelle äußerte sich zu der neuen Rechtslage in der Presse und ließ verlauten, dass man zum Beweis des Telefonats auf die Telefonverbindungsdaten mittels Abfrage beim Telekommunikationsdienstleister zurückgreifen werde. Nach § 100 g StPO ist es zu Strafverfolgungszwecken zulässig nach richterlicher Anordnung Telekommunikationsverbindungsdaten zu erheben. Voraussetzung ist eine Straftat, sogar eine erhebliche Straftat bzw. das Begehen einer Straftat mittels einer Endeinrichtung. Zum Zwecke der Verfolgung von Ordnungswidrigkeiten ist der schwerwiegende Eingriff in das Grundrecht des Post- und Fernmeldegeheimnisses nach dem Gesetz hingegen nicht zulässig. Das SMI und die Polizeibehörde teilten nach meiner Bitte um Stellungnahme meine Rechtsansicht (9.1.2).

(8)
Die elektronische Gesundheitskarte soll auf Grundlage bundesrechtlicher Bestimmungen auch in Sachsen eingeführt werden. Mit einem Modellprojekt, an dem ursprünglich 130.000 Versicherte, 170 niedergelassene Ärzten, 30 Apotheken und 130 sonstige Leistungserbringer beteiligt sein sollen, soll das Vorhaben getestet werden. Eine abschließende datenschutzrechtliche Bewertung ist mir bisher noch nicht möglich gewesen, da die bundesweiten Konzeptionen noch unfertig gewesen sind und eine Vielzahl datenschutzbezogener Fragen offen lassen. Daher habe ich auch Bedenken. Es ist meine Aufgabe, die Bürger im Rahmen meiner gesetzlichen Unabhängigkeit über die Chancen und Risiken dieses Projektes in Sachsen aufzuklären (10.1.2).


(9)
Die beiden der Aufsicht des Sächsischen Datenschutzbeauftragten unterstehenden gesetzlichen Krankenkassen missachten die Beschränkungen, die der Sozial-Gesetzgeber ihnen bei der Verarbeitung personenbezogener Daten zu Werbezwecken auferlegt. Ich habe Verständnis dafür, dass die gesetzlichen Krankenversicherungen sich mehr und mehr einem Wettbewerb ausgesetzt sehen und versuchen, sich hierauf einzustellen. Kein Verständnis habe ich aber, dass öffentliche Stellen, um Werbung betreiben zu können, sich über geltendes Sozial-Datenschutzrecht hinwegsetzen und insbesondere die Unerfahrenheit von Jugendlichen ausnutzen. Nicht selten werden als Aquise-Bereich gezielt Orte ausgewählt, an denen sich Jugendliche aufhalten, z. B. Bildungseinrichtungen oder Konzerte, um unter Umgehung von Datenschutzbestimmungen Anschriften zu erhalten, damit dann weitgehende Datensammlungen zur Mitgliedergewinnung angelegt werden. Ich hoffe, dass die Krankenkassen zukünftig Einsicht zeigen werden und mich die Bildungseinrichtungen und das Sozialministerium in meinen Bemühungen unterstützen (10.2.6).

Download/Druck als PDF-Datei