Der Bayerische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hat heute seinen 25. Tätigkeitsbericht für die Jahre 2011/2012 vorgestellt.
Neben den Grundsatzthemen des Berichts
- Reform des Europäischen Datenschutzrechts
- Bayerische Verwaltung in Sozialen Netzwerken
- Weiterentwicklung des Melderechts
enthält der Bericht zahlreiche Beiträge zur Gesetzgebung, zu Bürgerbeschwerden und Prüfungen bei bayerischen öffentlichen Stellen.
Vorschläge der EU-Kommission zur Neuordnung des Europäischen Datenschutzrechts
Am 25. Januar 2012 hat die Europäische Kommission Vorschläge zur Neuordnung des Europäischen Datenschutzrechts veröffentlicht. Die bisher für die EU-Mitgliedstaaten geltenden allgemeinen Datenschutzregeln sollen durch eine Datenschutzgrundverordnung und durch eine Richtlinie für den Datenschutz im Bereich der Strafjustiz ersetzt werden. Gegenwärtig werden die Vorschläge im Europäischen Parlament und im Rat der EU erörtert. Sie enthalten zwar zahlreiche begrüßenswerte Ansätze zur Verbesserung des Datenschutzniveaus. Kritikwürdig ist jedoch insbesondere, dass der Entwurf der Datenschutzgrundverordnung es den Mitgliedstaaten versagt, über ein hohes Mindestdatenschutzniveau hinaus weitergehende Regelungen und Ausdifferenzierungen zu treffen (Nr. 1.1, S. 11 – 14).
Die Verwaltung in sozialen Netzwerken
Teile der Staatsverwaltung und zahlreiche Kommunen in Bayern nutzen Soziale Netzwerke als Mittel der Öffentlichkeitsarbeit. Fraglos bieten Soziale Netzwerke für die Nutzer erhebliche Kommunikationschancen. Allerdings sind einige große Anbieter wiederholt durch erhebliche Datenschutzverstöße aufgefallen, so dass die Nutzung Sozialer Netzwerke mit erheblichen Risiken für das Persönlichkeitsrecht der Nutzer verbunden ist. Daher sollte die öffentliche Verwaltung bei ihrer Öffentlichkeitsarbeit ihrer Vorbildfunktion gerecht werden. Unabhängig davon sind bayerische Behörden bei der Ausgestaltung von Fanseiten datenschutzrechtlich verantwortlich. Einen Datenschutzverstoß stellt insbesondere die direkte Einbindung von Social Plugins in Webseiten dar. Deshalb ist es zu begrüßen, dass mittlerweile zahlreiche Behörden auf die direkte Einbindung von Social Plugins verzichten (Nr. 1.3, S. 15 – 20).
Weiterentwicklung des Melderechts
Der Bundestag hatte bereits am 28.06.2012 in 2. und 3. Lesung den Entwurf eines Gesetzes zur Fortentwicklung des Meldewesens (MeldFortG) angenommen. Öffentlich heftig kritisiert wurde der Beschluss, einfache Melderegisterauskünfte an die Werbewirtschaft und Adresshändler selbst bei erfolgtem Widerspruch der betroffenen Einwohner zuzulassen, soweit die Abfrage zur Bestätigung oder Berichtigung vorhandener Datenbestände dient. Der Bundesrat hat deshalb den Vermittlungsausschuss angerufen. Gegenwärtig wird eine Lösung diskutiert, bei der die Bürgerinnen und Bürger einer einfachen Melderegisterauskunft an die Werbewirtschaft und den Adresshandel zustimmen müssen. Jedoch sollte den Bürgerinnen und Bürgern auch darüber hinaus zumindest ein generelles Recht zum Widerspruch zustehen, sofern der Auskunftssuchende kein rechtliches Interesse am Erhalt der begehrten Information hat. Eine solche Regelung würde das Persönlichkeitsrecht angemessen schützen und gleichzeitig die Meldebehörden nicht mit umfassenden Prüf- und Abwägungsaufgaben überfrachten (Nr. 1.4.2, S. 22 – 24).
Hervorzuhebende Ergebnisse der Kontrolltätigkeit
Über diese Grundsatzthemen hinaus sind folgende Ergebnisse meiner Kontrolltätigkeit hervorzuheben:
Zahlreiche betroffene Bürger kritisierten in Beschwerden die mangelnde Transparenz von Bürgerbefragungen. Zudem erkundigten sich Gemeinden nach den einzuhaltenden Vorgaben. Bei solchen Befragungen sind einige datenschutzrechtliche Anforderungen zu beachten. So dürfen z.B. keine personenbezogenen Daten erhoben werden, wenn zur behördlichen Aufgabenerfüllung statistische Angaben ausreichend sind. Die Bürger sind auf die Freiwilligkeit der Teilnahme an der Befragung deutlich hinzuweisen, soweit keine Auskunftspflicht aufgrund einer bereichsspezifischen Rechtsnorm besteht (Nr. 6.8, S. 123 – 124).
Ein „besonderes Jubiläum“ feierte eine Stadt mit einer diskriminierenden Pressemitteilung: Für 50 Eingaben, die Angelegenheiten der Kommune betreffen, seien im Wesentlichen nur drei Personen verantwortlich. Diese Personen wurden in der Pressemitteilung – unzulässig – namentlich benannt. Der Text der Pressemitteilung suggerierte zudem, es habe sich überwiegend um querulatorische Eingaben gehandelt (Nr. 6.9, S. 124 – 125).
Ein Fall betraf die unzulässige Weitergabe von Melderegisterdaten Minderjähriger an einen Adressbuchverlag durch eine Gemeinde. Ursächlich war vermutlich ein Eingabefehler bei der im Fachverfahren vorgesehenen Selektierung des Auswertungszeitraums. Zwar hat die Gemeinde sofort nach Bekanntwerden des Vorgangs eine weitere Auslieferung der Adressbücher durch den Verlag gestoppt. Allerdings war zu diesem Zeitpunkt schon etwa ein Drittel der Auflage des Adressbuchs von 45.000 Stück ausgeliefert worden (Nr. 6.11, S. 126 – 127).
Gleich mehrere gesetzlich Krankenversicherte beschwerten sich über Telefonaktionen, die Callcenter im Auftrag von Krankenkassen bei ihnen durchführten. Mit den Telefonbefragungen sollte insbesondere die Kundenzufriedenheit analysiert und für Gesundheitsprogramme geworben werden. Solche Telefonbefragungen verletzen die Privatsphäre jedenfalls dann, wenn Callcenter bei einem Verbraucher zu Werbezwecken anrufen, ohne dass zuvor seine Einwilligung eingeholt wurde. Der Bericht beschreibt die strengen Anforderungen an eine solche Einwilligung. Insbesondere müssen die Versicherten durch ihre Krankenkasse auf die Freiwilligkeit ihrer Einwilligung hingewiesen werden (Nr. 8.10, S. 162 – 164).
Im Schulbereich hat sich das bayerische Kultusministerium erfreulicherweise endlich dazu bereit erklärt, an den staatlichen Schulen bzw. Schulämtern sukzessive behördliche Datenschutzbeauftragte einzurichten. Damit wird der Datenschutz auch institutionell in der Fläche an den einzelnen Schulen verankert. Dies hatte ich seit Jahren – und zunehmend eindringlicher – gefordert (Nr. 10.1, S. 191 – 192).
Eine der Hauptaufgaben der schulischen Datenschutzbeauftragten wird es zunächst sein, die Einführung des künftig an allen staatlichen Schulen einzusetzenden Amtlichen Schulverwaltungsprogramms (ASV) vor Ort zu begleiten. Positiv ist es daher zu bewerten, dass im Laufe einer intensiven und kritischen Diskussion mit dem Kultusministerium erhebliche datenschutzrechtliche Verbesserungen bei der Konzeption von ASV erreicht werden konnten (Nr. 10.2, S. 192 – 195).
Über Ereignisse aus dem Schulleben wollen immer mehr Schulen einem breiteren Publikum – insbesondere auf der Schulhomepage – berichten und dabei auch personenbezogene Daten von Schulangehörigen verwenden. Um den Schulen hier Rechtssicherheit zu gewährleisten, habe ich in Abstimmung mit dem Kultusministerium vier Muster-Einwilligungserklärungen für die Veröffentlichung von personenbezogenen Daten durch Schulen entwickelt, die jedenfalls von den staatlichen Schulen seit dem Schuljahr 2011/2012 verwendet werden müssen (Nr. 10.3, S. 195 – 198).
Nicht nur in der öffentlichen Diskussion um den sog. „Schultrojaner“ habe ich mich mit Nachdruck auch für die Datenschutzrechte der Lehrkräfte eingesetzt. Erfreulicherweise ist es letztlich gelungen, die Urheberrechte der Schulbuchverlage ohne Erhebung und Verwendung personenbezogener Lehrerdaten zu wahren (Nr. 10.4, S. 198 – 200).
In einem Einzelfall musste eine Schule leider erst darauf aufmerksam gemacht werden, dass pädagogische Mittel einer Videoüberwachung vorzuziehen sind, um Sachbeschädigungen an einer Schultoilette zu vermeiden (Nr. 10.5, S. 200 – 202).
Wie schnell Bürger in die polizeiliche Staatsschutzdatei gelangen können, verdeutlicht der Fall eines ausländischen Touristen. Er trug einen Aufnäher mit den Buchstaben „ACAB“ (Kürzel für „All Cops are Bastards“) auf seinem T-Shirt und befand sich in der Nähe eines Ortes, an dem später ein Bundeswehrgelöbnis stattfinden sollte. Polizeibeamte erstatteten Anzeige gegen den Touristen. Wegen des später stattfindenden Gelöbnisses nahm die Polizei dabei eine politische Motivation an und speicherte die Person auch in der Staatsschutzdatei. Ein Bezug zu der Veranstaltung war jedoch offensichtlich nicht gegeben. Nach meiner Intervention wurde die Speicherung aus der Staatsschutzdatei gelöscht (Nr. 3.5.4, S. 71 – 72).
Gegen das Gesetz zur Errichtung einer standardisierten zentralen Antiterrordatei von Polizeibehörden und Nachrichtendiensten von Bund und Ländern (Antiterrordateigesetz-ATDG) sind erhebliche verfassungsrechtliche Bedenken erhoben worden, über die bereits im 22. Tätigkeitsbericht 2006 berichtet wurde (dort Nr. 5.4). Nun ist gegen das ATDG eine Verfassungsbeschwerde eingelegt worden, über die beim Bundesverfassungsgericht im November 2012 mündlich verhandelt worden ist. Möglicherweise wird das Verfahren auch die umstrittene Frage klären, ob und inwieweit das sogenannte Trennungsgebot einer Zusammenarbeit von Polizei und Nachrichtendiensten entgegensteht. Der Verfahrensausgang wird sich überdies auf die Beurteilung der neu errichteten Rechtsextremismusdatei auswirken (Nr. 1.4.1, S. 20 – 22).
Einen zentralen Prüfungsschwerpunkt im Berichtszeitraum bildete der Einsatz des „Staatstrojaners“ durch bayerische Strafverfolgungsbehörden im Zusammenhang mit der Durchführung von Maßnahmen zur Quellen-Telekommunikationsüberwachung. Die Ergebnisse dieser Prüfung werden nochmals zusammenfassend dargestellt. Sollte an der Quellen-Telekommunikationsüberwachung weiter festgehalten werden, empfehle ich dringend, gesetzliche Bestimmungen zu schaffen, die der erhöhten Eingriffsintensität und den technischen Besonderheiten dieser Maßnahme gerecht werden (Nr. 3.2 und 5.3.1, S. 59 und 100 – 104).
Wie bereits im 24. Tätigkeitsbericht 2010 gehe ich auch in diesem Berichtszeitraum auf Systeme zur Verkehrsplanung/-steuerung und zur Autofahrerinformation ein. Die diesbezüglichen Projekte – bluetoothbasierte Reisezeitmessung und Webcams auf Autobahnen – wurden dabei von Anfang an eng begleitet. Ich habe insbesondere darauf geachtet, dass es auch im Rahmen von Versuchsreihen keine Profilbildung gibt (Nr. 2.1.5, S. 35 – 37).
Aufgrund von Eingaben wurde mir bekannt, dass Mitarbeiter von Abschleppunternehmen, sofern sie auch im Rahmen von durch die Polizei vermittelten Abschleppaufträgen tätig werden wollten, in eine jährliche polizeiliche Sicherheitsüberprüfung einwilligen mussten. Nicht einmal das Bayerische Sicherheitsüberprüfungsgesetz sieht eine solche Überprüfungsintensität vor. Im Ergebnis konnte ich beim Bayerischen Staatsministerium des Innern eine Änderung dieser Praxis erreichen. Künftig wird es für Mitarbeiter betroffener Unternehmen genügen, ihre Zuverlässigkeit bei Vertragsbeginn durch die Vorlage eines Führungszeugnisses nachzuweisen (Nr. 3.9, S. 78 – 79).
Auch der Strafvollzug war erneut Gegenstand von Prüfungen, die zu einigen datenschutzrechtlichen Verbesserungen führten. So wurde beispielsweise durch eine Eingabe bekannt, dass den Gefangenen in Gemeinschaftshafträumen teilweise keine eigenen abschließbaren Schränke zur Verfügung standen, um vertrauliche Unterlagen gegen die unberechtigte Einsichtnahme durch Mitgefangene zu schützen. Aufgrund meiner Intervention werden Gemeinschaftshafträume nunmehr nach und nach mit abschließbaren Schränken oder Wertfächern ausgestattet (Nr. 5.4.6, S. 113).
Die Einhaltung des Personaldatenschutzrechts habe ich in mehreren Kommunen verstärkt überprüft. Regelmäßig bemühten sich die geprüften Stellen ernsthaft um die Einhaltung der datenschutzrechtlichen Bestimmungen. Im Rahmen der Kontrollen waren gleichwohl eine nicht unerhebliche Anzahl von Mängeln festzustellen (Nr. 11.8, S. 219 – 222).
Zudem habe ich beim Personaldatenschutz zahlreiche grundlegende Verbesserungen bewirken können: Bei der beamtenrechtlichen Beihilfe wurde endlich die – im Übrigen auch von der betroffenen Ärzteschaft seit langem geforderte – Pseudonymisierung im Psychotherapie-Begutachtungsverfahren in der Bayerischen Beihilfeverordnung fest verankert. Dies ist ein wesentlicher Fortschritt zur Wahrung der Datenschutzrechte der betroffenen Beihilfeberechtigten, aber auch ihrer Angehörigen (Nr. 11.1.1). In den vom Bayerischen Finanzministerium erarbeiteten Leitfaden Betriebliches Eingliederungsmanagement haben die von mir aufgestellten datenschutzrechtlichen Anforderungen Eingang gefunden. Die datenschutzkonforme Ausgestaltung wird sicherlich dazu beitragen, die Akzeptanz dieses Verfahrens bei den Betroffenen zu fördern (Nr. 11.2). Im staatlichen Bereich ist nun auch das Regressverfahren nach Dienst- und sonstigen Unfällen datenschutzkonform geregelt. Die Übermittlung personenbezogener (Gesundheits-)Daten an die Schadensersatzpflichtigen wird damit auf das notwendige Maß beschränkt (Nr. 11.3, S. 211 – 212).
Eine Herausforderung ist die steigende Nachfrage von Beschäftigten der öffentlichen Verwaltung nach mobilen Informations- und Kommunikationsgeräten wie Smartphones und Tablet-PCs zur Aufgabenerledigung (Nr. 2.1.3, S. 29 – 32). Konkret ist diese Entwicklung z.B. im Bereich der Klinikinformationssysteme (Nr. 7.3, S. 131 – 133), aber auch in anderen Bereichen z.B. für den externen Zugriff auf dienstliche E-Mails (Nr. 2.1.2, S. 27 – 29) und im Bereich der Telearbeit (Nr. 2.1.4 und 2.2.5, S. 32 – 35 und S. 45 – 47) feststellbar. Besonders kritisch sehe ich in diesem Zusammenhang die Gepflogenheit, Privatgeräte für die dienstliche Verwendung zuzulassen. Mit der Verwendung mobiler Geräte geht eine Vielzahl datenschutzrechtlicher und -technischer Probleme einher, die derzeit auch noch nicht in allen Fällen befriedigend gelöst werden können.
Der Trend zur Zusammenfassung der IT-Ressourcen des Freistaats in wenigen Standorten hat sich ansonsten weiter fortgesetzt. In diesem Zusammenhang hat der CIO-Rat eine vom Staatsministerium des Innern und der CIO-Stabsstelle erarbeitete Musterrahmenvereinbarung zur Auftragsdatenverarbeitung gebilligt und der Staatskanzlei und den Ressorts deren Verwendung empfohlen. Sie reduziert das Risiko von widersprüchlichen Anforderungen an die Rechenzentren und den hohen Aufwand an Einzelvereinbarungen zwischen den Auftrag gebenden öffentlichen Stellen und den Rechenzentren. Ich habe die Erstellung der Musterrahmenvereinbarung begleitet und werde das Vorliegen solcher Regelungen zur Auftragsdatenverarbeitung prüfen (Nr. 2.1.6, S. 38).
Zur bevorstehenden bzw. in der Industrie bereits teilweise im Gang befindlichen Einführung der neuen Version des Internet-Protokolls IPv6 weise ich die öffentlichen Stellen auf einige besonders zu beachtende Aspekte sowie auf zugehörige Entschließungen der 82. und 84. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hin (Nr. 2.1.1, S. 25 – 27).
In einem staatlichen Gesundheitsamt sollte aufgrund vorangegangener Diebstähle und Sachbeschädigungen insbesondere im Eingangsbereich zur staatlich anerkannten Schwangerenberatungsstelle eine Videokamera installiert werden. Die Beratungsstelle war in einem Personalwohngebäude untergebracht. Die Kamera sollte unter der Woche in den Abend- und Nachtstunden sowie am Wochenende und an Feiertagen ganztägig aufzeichnen. Betroffene wären insbesondere Beratung suchende schwangere Frauen sowie Bewohner und Besucher des Wohngebäudes gewesen. Der Einsatz einer Videokamera hätte gegen das Recht auf Anonymität, das allen Besucherinnen einer Schwangerenberatungsstelle gesetzlich zugesichert ist, eklatant verstoßen. Aufgrund meiner Beratung wurde letztlich auf die Installation einer Videokamera dauerhaft verzichtet (Nr. 7.9, S. 140 – 142).
Bereits im 24. Tätigkeitsbericht 2010 hatte ich mich ausführlich mit Hausbesuchen bei Eltern Neugeborener auseinandergesetzt. Das am 1. Januar 2012 in Kraft getretene Gesetz zur Kooperation und Information im Kinderschutz (KKG) enthält jetzt eine Befugnis, den Eltern ein persönliches Gespräch anzubieten, das „auf Wunsch der Eltern“ in ihrer Wohnung stattfinden kann. Somit können nach dem eindeutigen Wortlaut des Gesetzes Hausbesuche nur nach vorher geäußertem Wunsch der Eltern, also mit deren vorheriger ausdrücklicher Einwilligung, vorgenommen werden (Nr. 8.2, S. 150 – 151).
Im Berichtszeitraum habe ich die Einhaltung der datenschutzrechtlichen Vorgaben bei den Befragungen und bei der Bearbeitung der gesammelten Daten im Rahmen der Volkszählung 2011 überwacht. Dabei bin ich zahlreichen Anfragen besorgter bayerischer Bürgerinnen und Bürger nachgegangen. Im Ergebnis waren in Bayern bislang erfreulicherweise keine gravierenden datenschutzrechtlichen Mängel festzustellen. Sicherlich hat dazu auch mein Informationsfaltblatt „Zensus 2011“ beigetragen. Das Landesamt für Statistik und Datenverarbeitung hatte dieses Faltblatt allen etwa 16.000 in Bayern eingesetzten Erhebungsbeauftragten persönlich zur Information und auch zur Weitergabe an die betroffenen Bürgerinnen und Bürger zur Verfügung gestellt. Die Zensusarbeiten werde ich auch weiterhin aufmerksam beobachten (Nr. 12.4, S. 226 – 230).
Der Bayerische Landesbeauftragte für den Datenschutz Dr. Thomas Petri, PM v. 23.01.2013