Startseite Presse Presseerklärung zur Vorstellung des 17. Tätigkeitsberichts für den öffentlichen sowie des 7. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Presseerklärung zur Vorstellung des 17. Tätigkeitsberichts für den öffentlichen sowie des 7. Tätigkeitsberichts für den nicht-öffentlichen Bereich

Andreas Schurig, der Sächsische Datenschutzbeauftragte, stellt die Tätigkeitsberichte für den öffentlichen und den nicht-öffentlichen Bereich vor. Die Berichtszeiträume beginnen im Jahr 2013 und enden 2015. Beide Berichte enthalten Beiträge zu grundsätzlichen und einzelnen Datenschutzvorgängen bei der öffentlichen Verwaltung in Sachsen und bei sächsischen Unternehmen. Darüber hinaus enthalten sie Handlungsempfehlungen zu technischen und rechtlichen Fragen und die für die Rechtsfindung wichtigen Entschließungen der Datenschutzkonferenz des Bundes und der Länder.

Gesellschaftliche Entwicklung, 17. TB 1.1/7.1/3.1

Bereits im Juli 2013 hatte sich der Sächsische Datenschutzbeauftragte wegen der Snowden-Affäre an die Sächsische Staatsregierung und in einer Pressemitteilung an die Öffentlichkeit gewandt. „Edward Snowden gebührt Dank dafür, dass er den Vorhang weggezogen hat vor einem sonst im Dunkeln liegenden Bereich und damit auf eine Gefahr aufmerksam gemacht hat, die auch demokratisch verfasste Staaten betrifft“, so Andreas Schurig. Der aktuelle Tätigkeitsbericht verweist auf die konkreten Gegenmaßnahmen, die die Datenschutzbehörde wegen der offenbar gewordenen Schwachpunkte von der Staatsregierung verlangt hat. Bisherige Umsetzungen seitens der Verwaltung werden in dem Bericht zusammengefasst. Zu nennen sind dabei das neue E-Government-Gesetz des Freistaates und Verbesserungen in Bezug auf IT-Sicherheit.

Das Maßnahmenpaket steht aber auch im Zusammenhang mit der Bedrohung durch Internet-Kriminalität allgemein, nicht nur durch Geheimdienste, der Bürger und Unternehmen ausgesetzt sind. Diesen Bezug aufzugreifen ist auch die Verantwortung der öffentlichen Hand. Andreas Schurig: „Die Bürger und Unternehmen benötigen nicht nur einen Schutz und faire Datenschutzbedingungen, für die der Staat Sorge zu tragen hat, sondern auch Unterstützung im Umgang mit dem Internet und modernen Medien. Und in Schlüsselbereichen trägt der Staat für eine Organisation zur Selbsthilfe Verantwortung, insbesondere in den öffentlichen Schulen. Ohne Kenntnisse um Datenschutz und informationelle Selbstbestimmung hat man heute nicht mehr das Rüstzeug, um in der modernen Informationsgesellschaft bestehen zu können. Datenschutz als Teil der Medienbildung ist eine elementare öffentliche Aufgabe, die meine Behörde unterstützt und fördert.“ Die Bedeutung der Medienbildung für die allgemeine und berufliche Bildung wird im Bericht in einem eigenen Beitrag dargestellt, 17. TB 7.1. Das von den Datenschutzbeauftragten der Länder eigens eingerichtete Jugendportal www.youngdata.de, das Vorgehen des Freistaates, Informatik und Inhalte des Datenschutzes und der Informationssicherheit in der Sekundarstufe zu etablieren und eine fachübergreifende Berücksichtigung der Themen in Gesellschaftskunde, Ethik und Deutsch oder Schulprojekte wie der „Safer Internet Day“ sind zweckmäßige, sich gegenseitig ergänzende Maßnahmen. Zusätzlich ist aber auch den Lernverfahren und der Infrastruktur und Ausstattung der Schulen selbst Beachtung zu schenken. Die Lernplattformen MeSAX und LernSAX sind ein Beginn. Zukünftig werden in Chats oder virtuellen Lernräumen Wissen und Nachrichten kommuniziert werden. Dabei werden, wie im Unterrichtsbereich immer, personenbezogene Daten sowohl der Lehrer als auch der Schüler verarbeitet. „Moderne Unterrichtsverfahren bedürfen einer in rechtlicher und technischer Hinsicht sicheren Umgebung. Der Freistaat hat zusammen mit den Schul- und Bildungsträgern die Voraussetzungen und Rahmenbedingungen zu schaffen. Auch das ist eine große Herausforderung, bei der ich die Bildungseinrichtungen unterstützen möchte, zukunftsfähig zu werden.“, so Andreas Schurig.     

Im Blickpunkt waren auch im letzten Berichtszeitraum die Verhandlungen zur EU-Datenschutzgrundverordnung, die das Datenschutzrecht in Deutschland zukünftig als unmittelbar geltendes Recht maßgeblich bestimmen wird. Das Rechtsetzungsverfahren dauert über die zwei Jahre hinaus, die der Tätigkeitsbericht umfasst. Nachdem sich im Berichtszeitraum das Europäische Parlament mit dem Entwurf der Kommission befasste und einem ausgehandelten Text zustimmte, finden die abschließenden Verhandlungen seit dem Juni im sog. „Trilog-Verfahren“ zwischen Parlament, Rat und Kommission statt. Andreas Schurig: „In den bisherigen Verhandlungsrunden wurde deutlich, dass es schwierig sein wird, den derzeitigen deutschen Datenschutzstandard zu halten. Zwar gestaltete sich die Befassung des Parlaments aus datenschutzrechtlicher Sicht recht erfreulich, aber starker Lobbyismus und eine gewisse Gleichgültigkeit der Regierungen der Mitgliedstaaten gegenüber den Rechten der betroffenen Bürger lassen eine Aushöhlung des bisherigen grundrechtsorientierten Datenschutzsystems befürchten.“ Die Datenschutzbeauftragten des Bundes und der Länder verlangen u. a., dass Ausnahmen von der Anwendbarkeit der Grundverordnung minimal bleiben, das Prinzip der Datensparsamkeit verankert werden muss, der elementare Zweckbindungsgrundsatz nicht ausgehöhlt werden darf, nur ausdrückliche Einwilligungen (neben klaren gesetzlichen Befugnissen) die Verarbeitung personenbezogener Daten legitimieren sollen, Betroffene ihre Rechte unkompliziert und unentgeltlich wahrnehmen können müssen, restriktive und betroffenenorientierte Bestimmungen zur Erstellung von Persönlichkeitsprofilen, vgl. 17. TB 3.1. Andreas Schurig: „Wie auch immer die Verordnung aussehen wird: In unserem Bemühen für einen Datenschutz auf europäischer Ebene, der diesen Namen verdient, dürfen die Datenschützer in der EU nicht nachgeben.“

Einzelfälle des Berichtszeitraums

Bereich Sozialwesen und Archivrecht, 17. TB 5.8

Die Frage, ob dem Sozialgeheimnis unterliegende Sozialdaten (§ 35 SGB I) an das zuständige Archiv abgegeben werden können, ist grundsätzlicher Art. Ein behördlicher Datenschutzbeauftragter wandte sich im Berichtszeitraum an den Sächsischen Datenschutzbeauftragten. Im Ergebnis bejahte die Datenschutzbehörde die archivrechtliche Abgabepflicht unter Hinweis auf die gesetzlichen Bestimmungen auch für Unterlagen nach § 35 SGB I. Eine Löschung hat damit grundsätzlich in den Fällen zu unterbleiben, in denen das Archiv die Akten übernimmt. Die Kenntnis, dass sich die Anbietungspflicht an das Archiv auch auf Unterlagen erstreckt, die dem Datenschutz oder dem Geheimschutz unterliegen, sowie auf Unterlagen, die personenbezogene Daten enthalten, welche nach Bundes- oder Landesrecht gesperrt, gelöscht oder vernichtet werden müssten oder könnten, wird man angesichts des eher entgegenstehenden allgemeinen Rechtsverständnisses nicht als selbstverständlich zu betrachten haben. Allerdings setzt die im SGB geregelte Übermittlungsbefugnis voraus, dass die in den jeweiligen anzuwendenden Archivgesetzen geregelten Schutzfristen nicht unterschritten werden. Die zusätzliche Rechtsfrage, ob im Wege der Einwilligung Schutzfristen unterschritten werden können, konnte bei dem Vorgang zudem geklärt werden. Auch nach Auffassung des zuständigen Ministeriums war ein Unterschreiten der archivgesetzlichen Schutzfristen bei Sozialdaten nicht zulässig.

Bereich Polizei,  17. TB 5.9.5, 5.9.4

Nachvollziehbar ist, dass Behörden, auch die Polizei, soziale Medien verstärkt zu nutzen bemüht sind. Möglichst viele Menschen zu erreichen, ist besonders aus Sicht der Polizei zweckmäßig.  Allerdings ist auch auf die grundsätzliche Datenschutzfeindlichkeit einiger sozialer Netzwerke, insbesondere von Facebook hinzuweisen. Das Unternehmen missachtet massiv deutsche datenschutz- und telemedienrechtliche Bestimmungen, insbesondere die Betroffenenrechte. Die Polizei weist in den Nutzungsbedingungen und datenschutzrechtlichen Hinweisen auf ihrem Facebook-Profil „Polizei Sachsen“ auf den problematischen Umgang des Unternehmens Facebook mit personenbezogenen Daten hin. Das ist gut. Auch ist eine nicht-personenbezogene Öffentlichkeitsarbeit über das Netzwerk, wie die Ankündigung von Großereignissen, Verkehrsprognosen, Kriminalitätsprävention, Warnungen, Meldungen über Einzelfälle ohne Personenbezug oder eine Nachwuchsgewinnung datenschutzrechtlich zulässig. Im Bereich der Nutzung für Zwecke der Strafverfolgung, insbesondere zur Öffentlichkeitsfahndung, fordert der Sächsische Datenschutzbeauftragte allerdings, Öffentlichkeitsfahndungen nicht direkt auf ihrem Facebook-Profil zu platzieren, zumal die Frage der Nutzung sozialer Netzwerke für Zwecke der Öffentlichkeitsfahndung in der bundesgesetzlichen Strafprozessordnung nicht geregelt ist. Die sächsische Polizei verzichtet dementsprechend bisher auf Öffentlichkeitsfahndungen über soziale Netzwerke. Künftig soll auf dem Facebook-Profil lediglich ein Hinweis darauf, dass es ein Fahndungsersuchen gibt, zu finden sein und der personenbezogene Inhalt über einen Link auf dem Facebook-Profil erst auf der polizeieigenen Website eingesehen werden können. „Eine sachgerechte Lösung. Die Polizei hat als öffentliche Stelle, die Grundrechte Betroffener zu beachten und zu schützen und stets die Verhältnismäßigkeit ihrer Handlungen im Blick zu haben. Die Unschuldsvermutung und ein angemessenes Verhältnis zwischen Eingriff in die Persönlichkeitssphäre und Zweck der Maßnahme müssen dazu führen, dass soziale Netzwerke, wie Facebook, in einem anderen, das heißt deutlich geringerem Umfang und verantwortungsbewusster genutzt werden als Private dies dürfen. Dass die Polizei hierbei eine besondere Pflicht trifft, Diskussionen auf ihrem Profil zu begleiten und Kommentare zu überwachen und gegebenenfalls zu löschen, versteht sich von selbst.“, so Andreas Schurig, vgl. 17. TB 5.9.5.

Im Berichtszeitraum wurden im Rahmen eines umfangreicheren Gesetzesvorhabens auch Vorschriften über die Zulässigkeit von Bildaufnahmen bei Versammlungen durch die Polizei geändert. Einige Empfehlungen des Sächsischen Datenschutzbeauftragten fanden beim Gesetzentwurf Berücksichtigung, 17. TB 5.9.4. Eine wesentliche Änderung ist, dass die Polizei Bild- und Tonaufnahmen von Teilnehmern bei oder im Zusammenhang mit öffentlichen Versammlungen und Aufzügen – in Räumen und unter freiem Himmel – nur offen anzufertigen befugt ist. Selbst Übersichtsaufnahmen von Versammlungen und Aufzügen dürfen nach dem neu eingefügten § 20 Abs. 2 SächsVersG nur offen angefertigt werden; eine Identifikation von Personen oder Aufzeichnung der Übertragung von Übersichtsaufnahmen findet nicht statt. Andreas Schurig:  „Die Grundrechte auf Versammlungsfreiheit und Datenschutz werden gestärkt. Mit der Gesetzesänderung ist klargestellt, dass eine verdeckte, heimliche Anfertigung von Aufnahmen nach den Vorschriften des Versammlungsgesetzes unzulässig ist.“ Ferner dürfen Bildaufnahmen nach Beendigung der öffentlichen Versammlung oder zeitlich und sachlich damit unmittelbar im Zusammenhang stehender Ereignisse nur noch aufbewahrt werden, soweit sie für die Verfolgung von Straftaten von Teilnehmern benötigt werden. Eine früher mögliche Aufbewahrung zur Gefahrenabwehr wurde gestrichen.

Bereich Justiz, 17. TB  8.1, 8.5

Das Bundeszentralregistergesetz sieht, auf dem Gedanken der Resozialisierung fußend, bestimmte Fristen für die Speicherung von Eintragungen über Verurteilungen vor. Nach Ablauf der Fristen und Tilgung der Eintragungen ist „die Weste der Betroffenen wieder weiß“. Sie dürfen sich – so sagt das Gesetz – als nicht vorbestraft bezeichnen; getilgte Verurteilungen und die ihnen zugrunde liegenden Sachverhalte dürfen den Betroffenen im Rechtsverkehr nicht mehr vorgehalten werden, vgl. 17. TB 8.1. Ein Betroffener wandte sich an den Sächsischen Datenschutzbeauftragten, weil aufgrund einer Anzeige bekannt wurde, dass er im Jahr 1992 bei seiner Bewerbung für den öffentlichen Dienst verschwiegen hatte, dass er im Jahr 1980 zu einer kurzen Freiheitsstrafe verurteilt worden war. Vor seiner Bewerbung hatte er sich bei der Staatsanwaltschaft über seine Vorstrafe erkundigt und dabei die zutreffende Auskunft erhalten, dass diese längst getilgt sei und er als nicht vorbestraft gelte. So sieht es auch das Gesetz vor, es erlaubt Betroffenen, auch auf entsprechende (Nach-)Fragen getilgte Vorstrafen zu verschweigen. Dennoch wurde durch die Staatsanwaltschaft ein Ermittlungsverfahren wegen Betruges eingeleitet, weil der Betroffene bei der Bewerbung die Frage nach Vorstrafen und früheren gegen ihn geführten Ermittlungen nicht wahrheitsgemäß beantwortet habe. Damit missachtete die Staatsanwaltschaft das Verwertungsverbot bzgl. getilgter Eintragungen und ließ unberücksichtigt, dass das Gesetz selbst dem Betroffenen das Recht einräumt, bestimmte Fragen nicht wahrheitsgemäß beantworten zu dürfen. Die Anklage der Staatsanwaltschaft wurde durch das zuständige Amtsgericht bereits aus weiteren Gründen nicht zugelassen. Die Behörde sagte zu, künftig die Auffassung des Sächsischen Datenschutzbeauftragten bei der Anwendung der Vorschriften des Bundeszentralregistergesetzes zu beachten.

In einem zweiten Fall erhielt die Lebensgefährtin eines in einer sächsischen JVA Inhaftierten von diesem einen Brief, der auch eine Kopie des aktuellen Führungsberichts der JVA über den Gefangenen enthielt. Der Umschlag war von dritter Seite geöffnet, mit der Kopie versehen und dann wieder verklebt worden, da der Betroffene die einzige ihm übergebene Abschrift nachweislich an die für ihn zuständige Strafvollstreckungskammer übersandt hatte. Kopien von Schriftstücken erhalten Gefangene nur auf Antrag, ein solcher war aber nicht gestellt worden und mithin auch nicht aktenkundig. Die Verletzung des Briefgeheimnisses und des Rechts auf informationelle Selbstbestimmung des Gefangenen, mutmaßlich durch einen Justizvollzugsbediensteten, ist schwerwiegend. Leider konnte die verantwortliche Person nicht ermittelt werden, 17. TB 8.5.

Nicht-öffentlicher Bereich, 7. TB 8.5.2, 8.5.6, 8.9.2, 8.1.1 bis 8.1.3 und 14.4.2

Eine Arbeitsuchende hatte, von der Arbeitsverwaltung gefördert, über einen privaten Vermittler eine neue Stelle gesucht, fand aber auf anderem Wege eine Arbeitsstelle. Der ehemalige Arbeitsvermittler wollte von ihr Auskunft, wann und bei wem sie eine neue Tätigkeit gefunden hatte. Sie wandte sich daher an die Aufsichtsbehörde, ob der Arbeitsvermittler diese Informationen tatsächlich erheben dürfe. Im Ergebnis und in Ermangelung vorrangiger Regelungen im Sozialgesetzbuch gelten die vom Bundesgerichtshof allgemein zum Maklerrecht entwickelten Grundsätze, wonach ein Makler innerhalb bestehender vertraglicher Beziehungen von seinem Auftraggeber Auskunft über die für die Entstehung und Berechnung seines Provisionsanspruchs maßgeblichen Umstände verlangen kann. Demgemäß war das Handeln des Arbeitsvermittlers datenschutzrechtlich nicht zu beanstanden, 7. TB 8.5.2.

Nach § 1 Abs. 1 Satz 3 Personalausweisgesetz darf vom Ausweisinhaber nicht mehr verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben, vgl. auch 5. TB 4.3.15.1. Die Vorschrift ist offenbar – obwohl vier Jahre in Kraft – in der Anwendungspraxis immer noch weitgehend unbekannt. Unzulässig ist es auch, den Personalausweis als Pfand herauszuverlangen, wie es bei Dienstleistern nicht selten betrieben wird. Beispiele rechtswidriger Praxis sind z. B. die Hinterlegung für Rollatoren, Audioguides, Schlittschuhe oder Bollerwagen. Auch die Verwendung der Gesundheitskarte als Pfand ist als unzulässig anzusehen. Aus den Vorschriften des § 28 Abs. 1 Satz 1 Nr. 1 und 2 BDSG ergibt sich keine Zulässigkeit für eine auch nur zeitlich beschränkte Erhebung und Verarbeitung der auf der Karte enthaltenen (sensiblen) Versichertendaten. Die mit der Hinterlegung der Gesundheitskarte verbundene Verarbeitung personenbezogener Daten ist für den Zweck einer Ausleihe nicht erforderlich. Die schutzwürdigen Betroffeneninteressen überwiegen und stehen dieser auch häufig geübten Praxis entgegen, 7. TB 8.5.6.

Ein Ehepaar wurde von seinem Vermieter abgemahnt, dass es zu wenig Restmüll über die Restmüllschleuse der Wohnanlage entsorgt haben sollte und unterstellte eine rechtswidrige Entsorgung auf anderem Wege. Der Vermieter teilte mit, dass er die Müllschüttung der Mietparteien anhand des elektronischen Chips, der zur Öffnung der Müllschleuse benötigt wurde, zeitlich und im Hinblick auf die Häufigkeit nachvollziehe, worauf sich die Betroffenen an die Aufsichtsbehörde wandten. Im Ergebnis ist die Datenverarbeitung zum Zweck allein der Abrechnung der Umlage als zulässig, aber zur Aufklärung vermuteter rechtswidriger Müllentsorgung als nicht geeignet, nicht erforderlich, nicht zur Wahrnehmung berechtigter Interessen und als rechtswidrig anzusehen gewesen. Der Vermieter sagte nach meinen Rechtshinweisen zu, von einer Datenverarbeitung zu zusätzlichen Zwecken abzusehen, 7. TB 8.9.2.

Zur Videoüberwachung – 7. TB 8.1 – und speziell zum Einsatz von Dashcams enthält der Tätigkeitsbericht aufgrund der praktischen Bedeutung und der vielfachen Nutzung einen ausführlichen Teil. Sofern der Dashcam-Einsatz der Videotechnik im öffentlichen Verkehrsraum nicht ausschließlich zu persönlichen oder familiären Zwecken erfolgt, wird er regelmäßig als rechtswidrig einzuordnen sein, vgl. 7. TB 8.1.1 und 14.4.2.

Weitere Auskünfte erteilt Andreas Schneider, Tel. 0351/4935-401, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 Download/Druck als PDF-Datei