Startseite Presse Presseerklärung vom 16. Dezember 2011 zur Vorstellung des 15. Tätigkeitsberichtes für den öffentlichen sowie des 5. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Presseerklärung vom 16. Dezember 2011 zur Vorstellung des 15. Tätigkeitsberichtes für den öffentlichen sowie des 5. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Der Sächsische Datenschutzbeauftragte, Andreas Schurig, stellt für den öffentlichen und den nicht-öffentlichen Bereich die jeweiligen Tätigkeitsberichte für die zurückliegenden Berichtszeiträume vor. Die Berichte enthalten Beiträge zur Rechtsprechung, zu Entwicklungen im Datenschutzrecht, zur Gesetzgebung, zur Datensicherheit und nicht zuletzt zu Petitionen und Prüfvorgängen bei der sächsischen Verwaltung und bei sächsischen Unternehmen.

In den Berichtszeitraum fällt auch die Entscheidung des Europäischen Gerichtshofs vom 9. März 2010. Danach schreibt die EG-Datenschutzrichtlinie die völlige Unabhängigkeit der Arbeit der zuständigen Datenschutzbehörden vor. Die den Datenschutz überwachenden Behörden sollen wiederum keiner staatlichen Kontrolle unterworfen sein. Der sächsische Gesetzgeber war mit dem Gesetz vom 14. Juli 2011 bemüht, den europagerichtlichen Anforderungen mit Änderungen im Sächsischen Datenschutzgesetz formal Rechnung zu tragen. Der Wegfall der Rechtsaufsicht für den Sächsischen Datenschutzbeauftragten als Aufsichtsbehörde in Sachsen war jedoch inhaltlich nicht ausreichend. Risiken einer Einflussnahme auf die Datenschutzkontrolle in Sachsen bleiben aufgrund einer weiterhin bestehenden Abhängigkeit aufgrund der Dienstaufsicht. (5. TB/ 1.1) Eine sich in Planung befindende Verordnung der EU, die unmittelbar in allen EU-Staaten gelten würde, würde das Datenschutzrecht in Europa auf eine neue einheitliche Rechtsgrundlage stellen und eine Verbesserung des Rechtsstatus der Behörde des Sächsischen Datenschutzbeauftragten bewirken. Datenschutz im Internet, außereuropäische Datenverarbeitung oder über Ländergrenzen hinweg, neue Kommunikationstechnologien und IT-Verfahren machen eine Modernisierung des Datenschutzrechts und eine Vereinheitlichung erforderlich.        

Politik und Verwaltung neigen im Innen- und Polizeibereich dazu, moderne und verfügbare Datenverarbeitungstechnologien einzusetzen, um den Menschen nach dem Motto „Mehr Technik – Weniger Kriminalität“ Sicherheit zu vermitteln. Das gilt auch für Maßnahmen der Videoüberwachung. Dabei ist die Überwachung des öffentlichen Raums durch die Polizeibehörden grundrechtlich besonders prekär, da sie hoheitlich ausgerichtet ist und notwendigerweise unbescholtene Personen miterfasst werden. Der Sächsische Datenschutzbeauftragte tritt herkömmlich dafür ein, die polizeiliche Videoüberwachung und die Speicherung von Aufnahmen in Sachsen auf ein Minimum zu reduzieren, was letztendlich auch gelungen ist. Die Videoüberwachung des öffentlichen Raums auf polizeigesetzlicher Grundlage ist gegenüber anderen Bundesländern auf einem niedrigen Niveau und das ist gut so. Es ist aber auch darauf zu achten, dass eine schon existente Überwachung im Hinblick auf ihr Fortbestehen überprüft wird. In der Landeshauptstadt wurde die Haupteinkaufsstraße seit 1999 bisher mit mehreren Videokameras durch die Polizei überwacht. Die Maßnahme diente ursprünglich der Eindämmung einer offenen Rauschgiftszene und der damit einhergehenden Beschaffungskriminalität. Erforderlich nach dem Gesetz ist für eine stationäre polizeiliche Videoüberwachung, dass der überwachte Raum ein Kriminalitätsschwerpunkt ist. Nachdem die Straftaten in dem überwachten Bereich deutlich zurückgegangen waren, setzt die zuständige Polizeibehörde die Videoüberwachung nunmehr auf meine Empfehlung hin aus. (15. TB/ 5.9.7)

Die Menschen in Sachsen beschäftigt aber auch eine Zunahme von Überwachungsmaßnahmen durch kommunale bzw. öffentliche und durch nicht-öffentliche Stellen allgemein. In dem Tätigkeitsbericht für den nicht-öffentlichen Bereich sind Beispiele aufgeführt. Eine Videoüberwachung in Freizeitanlagen, wie bei Freizeitbädern und Saunen liegt in einem deutlichen Trend; dabei ist aber im Hinblick auf die Erforderlichkeit zu Sicherheitszwecken und nach einzelnen – unter Umständen sensiblen Bereichen zu differenzieren. (5. TB/ 4.3.1.2) Nicht gesetzlich zulässig sind grundsätzlich Überwachungsanlagen nicht-öffentlicher Stellen, die den öffentlichen Verkehrsraum miterfassen (5. TB/ 4.3.1.3), problematisch sind sie auch in Empfangsbereichen, da betroffene Besucher sich zumeist nicht hierauf einzurichten in der Lage sind (5. TB/ 4.3.1.4). Kurios wird es nicht selten bei Nachbarschaftsangelegenheiten, wie etwa bei dem Einbau einer Videokamera in einem Vogelhäuschen, das an der Grundstücksgrenze platziert, auch noch zur besseren Überwachung mit Angelsehnen samt innenliegender Kamera bewegt werden konnte (5. TB/ 4.3.1.1). Generell ist im nicht-öffentlichen Bereich auch der ansteigende Einsatz von Kameras, die nicht als solche oder wegen ihrer Größe schon überhaupt nicht zu erkennen sind, festzustellen. Diese Entwicklung bereitet grundlegend Sorge. Ein verstärktes Einschreiten des Sächsischen Datenschutzbeauftragten im Wege von Bußgeldverfahren wird erforderlich sein, um einer unkontrollierten rechtswidrigen Ausbreitung von Überwachung mit verdeckten optisch-elektronischen Einrichtungen durch nicht-öffentliche Stellen entgegenzuwirken.

IT-Großprojekte wie die elektronische Gesundheitskarte oder das Verfahren ELENA (der elektronische Entgeltnachweis) beschäftigen die Datenschutzbehörden seit vielen Jahren. Die jeweils lange Dauer ist dabei häufig Ausdruck einer technokratischen Herangehensweise der politischen Administration und Verwaltung. Die Gesetze zu den Projekten werden gemacht, bevor eine zureichende Vorbereitung und Konzeption abgeschlossen sind. Überlegungen im Hinblick auf eine Erforderlichkeit der Datenverarbeitung werden ausgelassen. Fortschrittlich, innovativ und effektiv soll die Verwaltung wirken, um jeden Preis. Auch tatsächliche betriebs-, volkswirtschaftliche und fachliche Erfordernisse werden ausgeblendet. Spätestens wenn bei IT-Verfahren keine etablierten Industriestandards, sondern Neuentwicklungen Verwendung finden oder die Verfahren im Hinblick auf inhaltliche, organisatorische und technische Parameter nur unzureichend geplant werden und nicht zuletzt Überlegungen zum Datenschutz und Datenschutz- und Datensicherheitskonzepte fehlen, wird nicht selten der „Masterplan“ zum „Desasterplan“. Verwaltung und Politik wirken zwanghaft und wenig volksnah in dem vergeblichen Versuch, die Öffentlichkeit glauben zu machen, das jeweilige Verfahren sei nicht verwaltungsintensiv. Ist die Ausgabe der Versicherungskarten bei der Gesundheitskarte in Sachsen noch immer nicht abgeschlossen worden – das sollte 2006 passieren – und bleiben weitere technische Probleme des Gesamtprojekts bestehen, ist das lange Jahre geplante und von mir fortwährend kritisierte Verfahren ELENA mittlerweile per Aufhebungsgesetz eingestellt worden. Die Sammlung der Arbeitnehmer- und Beamtendaten, die das Berufsleben parallel zu der bestehenden Datenverarbeitung beim Arbeitgeber bei einer zentralen Stelle lückenlos dokumentieren sollte, um die Informationen für sozialgesetzliche Verfahren bereitzustellen, wird eingestellt. Auch für die sächsischen Arbeitnehmer ist das datenschutzrechtlich gut. Dass – wie häufig nachzulesen – das aufwendige Projekt ELENA „am Datenschutz gescheitert“ sei, ist aber wohl nur die halbe Wahrheit. Gegen das Verfahren waren zudem mehrere Beschwerden vor dem Bundesverfassungsgericht anhängig. (15. TB/ 10.1.3 und 10.2.1)

Stellt sich die öffentliche Verwaltung im Internet dar und publiziert sie via Internet personenbezogene Daten über amtliche Blätter, dann ist das auf den ersten Blick bürgerfreundlich. Es bedarf hierfür aber auch einer gesetzlichen Grundlage, damit sich die betroffenen Bürger hierauf einstellen können und die als weltweite Veröffentlichung stattfindende Datenverarbeitung abzusehen in der Lage sind. Das wird allgemein und häufig – gerade von kommunalen Stellen – übersehen (15.TB/ 5.5.4). Betroffene reagieren überrascht und fühlen sich nicht selten von der Verwaltung überrumpelt. Der Grundsatz „Keine Datenverarbeitung ohne Gesetz“ gilt im Übrigen auch für öffentliche Zustellungen (15. TB/ 5.5.2), für gerichtliche Bekanntmachungen wie bei dem Beispiel einer Betroffenen, deren Namen, Geburtsdaten und vollständige Adresse über das Amtsblatt wegen einer in Abwesenheit des Ehegatten erfolgten Ehescheidung vor Gericht im Amtsblatt und dann via Internet bekanntgemacht wurde (15. TB/ 14.11). Gerade bei weltweiten Veröffentlichungen über das Internet ist in besonderer Weise eine Selbstkontrolle der Verwaltung vonnöten.

Eine technische Entwicklung, mit der die sächsischen Verbraucher in Zeiten knapper und teurer werdender Energie zunehmend konfrontiert werden, sind sogenannte „intelligente Stromzähler“ („Smart Meter“). Z. T. werden dabei personenbezogene Verbraucherdaten in kurzen Zeitabständen an die Energieversorgungsunternehmen übermittelt, was eine tiefgehende, profilhafte und personenbezogene Datenverarbeitung im Hinblick auf die Verbraucher und deren Verhalten ermöglicht. Z. T. wird auf diese Weise sogar die Nutzung einzelner Geräte zu bestimmten Zeiten für das beliefernde Unternehmen offenbar. Der Einsatz der Geräte wird zwar mit neuartigen – z. B. tageszeitabhängigen und netzauslastungsbezogenen – Tarifen begründet. Eine Belieferung mit Energie nach einzelnen Tarifen darf gesetzlich aber nicht von der Angabe personenbezogener Daten abhängig gemacht werden. Bei lastzeitbezogenen Stromtarifen genügen dem Versorger zu Abrechnungszwecken auch Gesamtverbrauchswerte innerhalb einer Tarifzeit, nicht jedoch einzelne Verbrauchszeitpunkte. Die Daten müssen erforderlich und die an die Versorger übermittelten Daten dürfen daher nicht zu granular sein. Der Verbraucher ist natürlich über den Verwendungszweck der Daten umfassend aufzuklären. Erst die vollständige Information der Betroffenen macht Einwilligungen in die Übermittlung der Verbrauchsdaten mit intelligenten Stromzählern wirksam. Das haben die Versorgungsunternehmen zu beachten. (5. TB/ 4.3.8.1)

Kritische Aufmerksamkeit verdient in Sachsen weiterhin die landesgesetzliche Regelung zur Überwachung der Teilnahme an den Früherkennungsuntersuchungen für Kinder. Es zeichnet sich ab, dass die umfangreiche Verarbeitung personenbezogener Daten den vom Gesetz verfolgten Zweck verfehlt und daher von Verfassungs wegen vom Gesetzgeber beendet werden müsste. Inzwischen protestieren auch Eltern dem Sächsischen Datenschutzbeauftragten gegenüber mit Eingaben dagegen (15. TB / 10.2.18).

Unbefriedigend ist in verschiedener Hinsicht die Rechtslage hinsichtlich der Durchführung von Ordnungswidrigkeitenverfahren wegen Datenschutzverstößen (15. TB / 10.2.2 und 5. TB / 11.2 und 11.3).

Der 15. Tätigkeitsbericht enthält darüber hinaus neben vielen anderen Ausführungen, Materialien und Hilfen auch einen Beitrag zur Volkszählung („Zensus 2011“) und festgestellten Verfahrensmängeln in Sachsen, die zu vielen Nachfragen Betroffener beim Sächsischen Datenschutzbeauftragten führten (15. TB/5.7.1).

Neben hilfreichen Hinweisen und Berichten bei immer wiederkehrenden Problemen im Zusammenhang mit E-Mail-Newslettern (5. TB/ 4.3.2.3), offenen E-Mail-Empfängerlisten (5. TB/ 4.3.2.4) und der Verarbeitung von Personalausweisdaten im Einzelhandel (5. TB/4.3.5.1) enthält der Tätigkeitsbericht für den Datenschutz im nicht-öffentlichen Bereich zahlreiche Einzelfälle aus vielen Rechtsbereichen. Darunter sind manchmal auch kuriose Fälle (5. TB/ 4.3.18).    

Die beiden Tätigkeitsberichte sind im Internet unter der Adresse www.datenschutz.sachsen.de abrufbar.

Weitere Auskünfte erteilt Andreas Schneider, Tel. 0351/4935-415, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Download/Druck als PDF-Datei