Startseite Presse Medieninformation des Sächsischen Datenschutzbeauftragten zur Vorstellung des 16. Tätigkeitsberichts für den öffentlichen sowie des 6. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Medieninformation des Sächsischen Datenschutzbeauftragten zur Vorstellung des 16. Tätigkeitsberichts für den öffentlichen sowie des 6. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Der Sächsische Datenschutzbeauftragte, Andreas Schurig, stellt die Tätigkeitsberichte für den öffentlichen und den nicht-öffentlichen Bereich vor. Die Berichtszeiträume beginnen im Jahr2011 und enden im Jahr 2013. Die Berichte enthalten Beiträge zu Prüfvorgängen bei der sächsischen Verwaltung und bei sächsischen Unternehmen, zu Rechtsprechung und Rechtsetzung und zu Datensicherheitsfragen.

Technische und gesellschaftliche Entwicklung

Der Überwachungsskandal

Kurz nach Ende des Berichtszeitraums wurde durch die Veröffentlichungen von Edward Snowden ein Überwachungsskandal bisher unbekannten Ausmaßes durch Geheimdienste bekannt. Diese aktuelle Entwicklung kann wegen ihrer Bedeutung nicht ausgelassen bleiben. Und sie ist auch für den Freistaat Sachsen von Gewicht.

Mit der Begründung Terrorismusabwehr sammeln die Nachrichtendienste auf allen Ebenen personenbezogene Daten aus Kommunikationsvorgängen und werten diese aus. So sollen – so eine der letzten undementierten Meldungen – alleine die Bewegungsdaten von ca. 100 Millionen Handys weltweit einer permanenten Kontrolle durch die US-amerikanischen Nachrichtendienste unterliegen.

Es ist – natürlich – davon auszugehen, dass auch sächsische Entscheidungsträger aus Wirtschaft, Forschung und Politik von der breit angelegten Überwachung und Spionage durch „Prism“ und „Tempora“ betroffen sind. Bereits im Juli 2013 hatte der Sächsische Datenschutzbeauftragte den Ministerpräsidenten in einem Schreiben gebeten, auch auf sächsischer Ebene notwendige Konsequenzen zu ziehen. Dazu gehören unter anderem eine Untersuchung, inwieweit die von sächsischen Bürgern, Behörden und Unternehmen genutzten Übertragungswege und gespeicherten Daten derzeit gesichert sind und zukünftig geschützt werden können, die Förderung und Erprobung von technischen Maßnahmen zur Datensicherheit und Verschlüsselung, die Förderung lokaler Clouddienste, die Stärkung des Staatsbetriebes Sächsische Informatik Dienste (SID) und der für die Spionageabwehr zuständigen Abteilung des LfV Sachsen, die Intensivierung der Beratung staatlicher und privater Einrichtungen über Informationssicherheitserfordernisse sowie die Stärkung des Selbstdatenschutz-Gedankens, der u. a. bereits in der Schule und anderen Bildungseinrichtungen vermittelt werden sollte.

Zwischenzeitlich fanden mehrere Gespräche mit dem MP und der Hausspitze des SMJE zu der Thematik statt. Dabei darf es allerdings nicht stehenbleiben. Datensicherheit und Datenschutz in der sächsischen und darüber hinaus der gesamten deutschen Verwaltung verlangen eine dauerhafte Anstrengung.

Verhaltenskontrolle und Präventionsstaat

Der aktuelle Überwachungsskandal ist nur ein Aspekt einer generellen Entwicklung hin zu einem Präventionsstaat. Der Präventionsstaat ist der Staat, der ohne Verdacht Eingriffe zulässt, in dem jedermann Datenlieferant wird und über jeden Daten vorsorglich erhoben und gespeichert werden. Die Telefonie- und Internetnutzungsdaten sind nur ein Beispiel dieser Vorratsdatenspeicherung, bei der zu weitgehend unbestimmten Zwecken Informationen gespeichert werden. Diese Tendenz ist nicht nur im Bereich polizeilicher Nachrichtensammlungen ablesbar, sondern auch in anderen Verwaltungsbereichen, wie bei der Massendatenhaltung bei ALG II oder bei Gesundheitsdaten. Auch in der Wirtschaft greifen Verhaltenskontrollen immer mehr um sich. Risiken und die Zukunft sollen – so die Vorstellung – auf Grundlage von Datenbanken und zurückliegenden Ereignissen berechenbar werden. Augenfällig wird die damit einhergehende Ausweitung der Datenverarbeitung bei Lebensversicherungen, der Schufa, Kfz-Versicherungen, aber auch im Bereich von Werbung und Verkehr, in dem zunehmend Datenbanken zur individuelleren Kundenansprache ausgewertet und genutzt werden.

Der Aufbau großer Datenbestände auch im Bereich der Wirtschaft führt zu Begehrlichkeiten des Präventivstaates. Die Nutzung der Informationen für Gefahrenabwehr und Strafverfolgung im Rahmen von Data Ware House- und BIG DATA-Konzepten sind in greifbare Nähe gerückt. Damit müssen wirtschaftliche Datensammlungen und staatliche Datenverarbeitung und die damit verbundenen Grundrechtseingriffe stets im Zusammenhang betrachtet werden.

Die Zukunft des Datenschutzes in Europa

Von außerordentlicher Bedeutung für den Rechtsstaat – auch in Anbetracht der vorgenannten Entwicklungen – ist die auf EU-Ebene stattfindende Gesetzgebung zur Neuordnung des Datenschutzrechts.

Die EU-Datenschutzrichtlinie des Jahres 1995 ist rechtlich überholt. Eine unmittelbar in den EU-Mitgliedsstaaten geltende Datenschutz-Grundverordnung soll für Betroffene, die Wirtschaft und den größten Teil der öffentlichen Verwaltung Rechtssicherheit und -einheitlichkeit schaffen. Eine ergänzende neue Richtlinie soll der polizeilichen und justiziellen Datenverarbeitung einen Rahmen geben. Neue Rechtsinstitute und Prinzipien sollen der Entwicklung der Informationsgesellschaft folgend in der Verordnung eingeführt werden, u. a. das Recht auf Vergessen (Art. 17 GrundVO-E) oder das Marktortprinzip (Art. 25 GrundVO-E), das auch Internetentwicklungen Rechnung tragen soll.

Der Sächsische Datenschutzbeauftragte fordert die Staatsregierung auf, die Modernisierung des Datenschutzes in der EU im Interesse der Bürgerinnen und Bürger Sachsens nachhaltig zu unterstützen.

Einzelfälle aus dem Berichtszeitraum

Bereich Polizei und Justiz

„Klassische“ Fehlverarbeitungen fanden auch im Berichtszeitraum wieder bei der Polizei statt. So wurde in einem Fall ein Petent, dessen Name und Vorname mit dem eines Beschuldigten identisch war, mit einem Ermittlungsverfahren überzogen, weil der zuständige Bedienstete nicht auch – wie erforderlich – das Geburtsdatum überprüft hatte. (16.TB/5.9.3) In einem anderen Fall wurde einem Petenten, der für einen privaten Dienstleister tätig war, der Zugang zum Gebäude einer obersten Landesbehörde verwehrt. Hintergrund war, dass fehlerhaft nicht gespeichert war, dass ein Ermittlungsverfahren zum Betroffenen ohne jeden Tatverdacht geendet hatte. So wurde der Petent noch nach über drei Jahren in PASS gespeichert und behördlicherseits als unzuverlässig angesehen. (16. TB/5.9.4)

Bundesweite Beachtung fand die Beanstandung der auf Funkzellenabfragen im Februar 2011 beruhenden Datenverarbeitung sächsischer Polizeibehörden („Handygate“) durch den Sächsischen Datenschutzbeauftragten, bei der eine unverhältnismäßige Menge an Verkehrsdatensätzen – insgesamt nämlich über eine Million Datensätze – bei Telekommunikationsdienstleistern erhoben worden waren. (16. TB/8.3)

Im Bereich der Polizei war ein Anstieg von Bußgeldverfahren gegen Polizeibeamte wegen des nicht dienstlich veranlassten Abrufs personenbezogener Daten aus polizeilichen Informationssystemen zu beobachten. Dies betrifft den Sächsischen Datenschutzbeauftragten als Ordnungswidrigkeitenbehörde.Grund dafür ist die erfreuliche Sensibilität der Polizeiführungen, die konsequent derartige Verstöße verfolgen und melden. Das LKA entwarf daraufhin zum Zwecke einer landeseinheitlichen Verfahrensweise ein gesondertes Belehrungsschreiben zur Nutzung polizeilicher Informationssysteme. Dieses soll an die Verpflichtung auf das Datengeheimnis (§ 6 SächsDSG) angehängt werden, die generell „bei der Aufnahme ihrer Tätigkeit“ durchzuführen ist. (16. TB/16.1)

Auch bei Gesetzgebungsverfahren ist der Sächsische Datenschutzbeauftragte zu beteiligen. So konnte die Behörde z. B. frühzeitig Stellung zu einem Entwurf des Strafvollzugsgesetzes nehmen und einige datenschutzrechtlich wichtige Verbesserungen erreichen. (16.TB/8.5)

Bereich Hochschulen und Archivwesen

Oftmals kann die Datenschutzkontrollbehörde der z. T. hohen Erwartungshaltung von Petenten nicht vollauf gerecht werden, da die bestehende Rechtslage und das Rechtsempfinden der Betroffenen auseinanderfallen. Z. B. gab es mehrfach Anfragen von Studenten zu Formularen ihrer Prüfungsbehörden, die sie vom Arzt mit gesundheitsbezogenen Angaben ausfüllen lassen müssen, wenn sie aus gesundheitlichen Gründen nicht an einer Prüfung teilnehmen, diese abbrechen oder nach Beendigung davon zurücktreten wollen. Nach der bundesverwaltungsgerichtlichen Rechtsprechung sind allerdings die „Prüfungsunfähigkeit“ und deren Voraussetzungen tatsächlich vom Prüfungsausschuss und nicht vom Arzt festzustellen. Demgemäß sind Prüfungsausschüsse befugt, weit- und tiefgehend (gesundheitsbezogene) Daten zum Leistungsvermögen des Prüflings zu erheben, um in eigener Verantwortung eine Entscheidung darüber zu treffen, ob gesundheitliche Gründe vorliegen, an der Prüfung nicht teilzunehmen, sie abzubrechen oder nach Beendigung von dieser zurückzutreten. (16. TB/13.1)

Wie in den Jahren zuvor gab es auch im Berichtszeitraum häufige Anfragen, die Nachforschungen zur Person des (meist unbekannten) Vaters bei den Archiven zum Gegenstand hatten. Nach gegenwärtiger Rechtslage existiert keine archivgesetzliche Regelung in Sachsen, die eine Nutzung personenbezogenen Archivguts zu diesem Zwecke erlaubte. Allerdings ist nach der Neufassung des Sächsischen Archivgesetzes, bei der der Sächsische Datenschutzbeauftragte datenschutzrechtlich beraten hatte, nunmehr zu prüfen, ob entsprechende Auskünfte als berechtigtes Interesse an der Recherche der eigenen Abstammung angesehen werden können. (16. TB/5.8.1)

Personalwesen, Melderecht

Es gibt in jedem Berichtszeitraum viele Anfragen Betroffener zum Personaldatenschutz. In einem Fall legte der Fach- und Dienstvorgesetzte eine Akte zum Fehlverhalten eines Polizeibeamten an. Das Anlegen von Unterlagensammlungen außerhalb personalakten- und disziplinarrechtlicher Verfahrensvorschriften ist unzulässig. Dennoch vertrat die Dienststelle, die der Sächsische Datenschutzbeauftragte beanstandete, beharrlich eine andere Rechtsansicht, die sie erst nach der Beanstandung aufgab. (16. TB/5.1.1)

Im Berichtszeitraum überprüfte ich auch ein Meldedatenportal. Die von einem Unternehmen betriebene Meldedatenauskunft ermöglicht es den Meldebehörden sich auf dem Portal anzumelden, Auskunftsantragsangaben einzusehen und zu prüfen und fehlerhafte Daten direkt im System des Unternehmens zu berichtigen. Das Verfahren wird von einigen sächsischen Meldebehörden genutzt. Das Sächsische Staatsministerium des Innern hat bisher keine Bedenken. Der Sächsische Datenschutzbeauftragte ist zu der Überzeugung gelangt, dass es sich bei der Bearbeitung von Daten im System eines Privatunternehmens um eine nicht zulässige Verfahrensweise handelt. (16. TB/5.3.3)

Technikfragen

Der 16. Tätigkeitsbericht enthält neben vielen anderen Beiträgen und Materialien auch Abhandlungen zu technischen Fragen, so unter anderem eine Anleitung zum Betrieb intelligenter Energieverbrauchszähler, sogenannter „Smart Meter“ in Haushalten (16. TB/ 14.12) und Hinweise zur sogenannten Reichweitenanalyse von Internetseiten (Besucherstatistiken und -auswertung) sächsischer öffentlicher Stellen. Festzustellen gewesen ist auch, dass insbesondere kommunalen Stellen datenschutzrechtliche Fehler bei der Nutzerauswertung ihrer Internetseiten unterlaufen. (16. TB/14.1)

Nichtöffentlicher Bereich

Die Kontrollschwerpunkte im nichtöffentlichen Bereich haben sich gegenüber den Vorjahren zwar nur unwesentlich verändert, deutlich gestiegen sind jedoch die absoluten Zahlen der zu bearbeitenden Vorgänge. Am eindrucksvollsten ist dies im Bereich der Videoüberwachung zu sehen. Der 5. TB weist diesbezüglich 52 Kontrollfälle auf, während der Sächsische Datenschutzbeauftragte im neueren zurückliegenden Berichtszeitraum 142 Videoüber-wachungsfälle zu bearbeiten hatte.

Auffällig gehäuft hatten sich Eingaben von Mitarbeitern von Bäckereien unterschiedlicher Größe. Dabei ging es regelmäßig um die Zulässigkeit von Innenkameras in den Produktionsräumen. Die von den Bäckereien angegebenen Gründe (z. B. Qualitätskontrolle bzw. -überwachung, Kontrolle der Einhaltung von Hygienevorschriften, Optimierung der Arbeitsabläufe oder Schutz vor und Aufklärung von Diebstählen) waren sehr vielfältig, konnten eine Videoüberwachung wegen des damit verbundenen erheblichen Eingriffs in das Persönlichkeitsrecht jedoch keinesfalls rechtfertigen. In einem besonders krassen Fall gab es so praktisch keinen nicht überwachten Arbeitsraum (4 Räume mit 11 Kameras) – der Zielordner für die digitalen Videoaufzeichnungen war dabei bezeichnender- oder unsinnigerweise mit „StaSi“ benannt. (6. TB/8.1.6)

Auch in Einkaufszentren wurde Videobeobachtung verstärkt kontrolliert. In einem Fall waren alle Ein- und Ausfahrten der Parkplätze des Einkaufszentrums videoüberwacht worden. Die betreffenden Kameras waren zudem mit einer Kennzeichenerkennung ausgerüstet, die dem Betreiber u. a. die Ermittlung der Einzugsgebiete ermöglichen sollte. Mit Hilfe der Kameras wurden von allen ausfahrenden Fahrzeugen Kennzeichen, Land, Ausfahrtsort, Ausfahrtszeit und Geschwindigkeit unzulässig erhoben und gespeichert. (6. TB/8.1.7)

Im Bereich der Videoüberwachung stellt nicht nur die gewachsene Anzahl der durchzuführenden Kontrollen eine große Herausforderung dar, sondern auch die Tatsache, dass eine verbindliche datenschutzrechtliche Bewertung regelmäßig nur auf der Grundlage einer örtlichen Kontrolle erfolgen kann. Denn der Einsatz von Videoüberwachungsanlagen ist nicht per se unzulässig, stattdessen kommt es immer auf den jeweiligen Einzelfall, insbesondere auf den konkreten Erfassungsbereich der Videokameras, an. Bei einem Flächenland wie dem Freistaat Sachsen werden dadurch natürlich erhebliche personelle Ressourcen gebunden. Im Berichtszeitraum hat der Sächsische Datenschutzbeauftragte in insgesamt 204 Fällen örtliche Überprüfungen bei 162 verantwortlichen Stellen durchgeführt, die weitaus meisten davon betrafen Videoüberwachungsanlagen.

Insgesamt ist eine deutliche Zunahme des Geschäftsanfalles im nichtöffentlichen Bereich zu verzeichnen gewesen. Bei anlassbedingten Kontrollen und Beratungsanliegen gab es jeweils eine Zunahme von jeweils ca. 25 % gegenüber dem vorangegangenen Berichtszeitraum. Seit Übernahme der Aufsicht im nicht-öffentlichen Bereich im Jahr 2007 ist die Zahl der Anlasskontrollen um 451 % gestiegen.

Die beiden Tätigkeitsberichte sind im Internet unter der Adresse www.datenschutz.sachsen.de abrufbar.

Weitere Auskünfte erteilt Andreas Schneider, Tel. 0351/4935-415, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Download/Druck als PDF-Datei