Datenschutz: Kontrolle über Daten wiedergewinnen
Peter Schaar fordert: "Datenschutzvorhaben endlich umsetzen" - Bundesdatenschutzbeauftragter stellt 23. Tätigkeitsbericht 2009-2010 vor
Mehr Beanstandungen, neue Aufgaben und immer mehr Bürgerbeschwerden
(15.04.11) - Anlässlich der Vorstellung seines 23. Tätigkeitsberichts für die Jahre 2009 und 2010 erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar: "Immer mehr Bürgerinnen und Bürger sind nicht damit einverstanden, in ihrem alltäglichen Verhalten registriert und überwacht zu werden. Ich fordere die Bundesregierung und den Deutschen Bundestag daher auf, diesen Bürgerwillen ernst zu nehmen und die angekündigten datenschutzrechtlichen Vorhaben nun umzusetzen."
Weiter sagte Schaar
"Der im letzten Jahr von der Bundesregierung vorgelegte Gesetzentwurf zum Beschäftigtendatenschutz offenbart immerhin den Willen, aus den seit vielen Jahren bekannten Missständen Konsequenzen zu ziehen. Auch wenn Arbeitnehmer und Arbeitgeber damit mehr Rechtssicherheit bekommen sollen, sehe ich es kritisch, dass etwa die offene Videoüberwachung der Beschäftigten ausgeweitet werden soll. Ich hoffe, dass die parlamentarischen Beratungen des Gesetzentwurfs zügig erfolgen und zu einer deutlichen Verbesserung des Datenschutzes am Arbeitsplatz führen werden. (Nr. 12.1)
Die aktuellen Diskussionen über Straßenansichtsdienste wie Microsoft Street Side oder Google Street View und soziale Netzwerke verdeutlichen, dass auch international agierende Unternehmen sich an deutsches und europäisches Datenschutzrecht halten müssen. Es kann nicht sein, dass Unternehmen heute aussagekräftige Profile im Internet bilden können, ohne dass die Nutzer vorab eingewilligt haben. Deshalb bedauere ich, dass es bisher unter dem Stichwort ‚Rote-Linie-Gesetz’ bei Ankündigungen der Bundesregierung geblieben ist und nicht einmal ein diskussionsfähiger Entwurf vorliegt. (Nr. 4.1.3)
Rote Linien muss es auch bei den Sicherheitsbehörden geben. Vor wenigen Wochen wurden eklatante Mängel bei der Umsetzung des SWIFT-Abkommens bekannt und kürzlich wurde aus Koalitionskreisen gefordert, die Anti-Terror-Gesetze ohne eine systematische, ergebnisoffene und wissenschaftlich fundierte Überprüfung zu verlängern. (Nr. 7.1.1)
Bei manchen scheint in Vergessenheit geraten zu sein, dass das Bundesverfassungsgericht wiederholt – zuletzt in seinem Urteil zur Vorratsdatenspeicherung – der staatlichen Überwachung deutliche Grenzen gesetzt hat. Eine umfassende Überwachung wäre mit der verfassungsrechtlichen Identität der Bundesrepublik Deutschland nicht vereinbar. Ich erwarte, dass sich die Bundesregierung sowohl auf nationaler als auch auf europäischer Ebene an dieser Maxime orientiert. (Nr. 6.1)
Das Bundesverfassungsgericht hat der Bundesregierung bereits vor mehr als drei Jahren aufgegeben, ein voraussetzungsloses Auskunftsrecht der Steuerpflichtigen gegenüber der Finanzverwaltung zügig umzusetzen. Es ist nicht akzeptabel, dass die Finanzverwaltung den Betroffenen weiterhin nur bei Darlegung eines ‚berechtigten Interesses’ Auskunft zu ihren gespeicherten Daten gewährt. Ich erwarte von der Bundesregierung, dass sie dieser Vorgabe endlich nachkommt. (Nr. 9.4)
Klare Vorgaben zur Unabhängigkeit der Datenschutzaufsichtsbehörden hat der Europäische Gerichtshof formuliert. Da diese Entscheidung nicht zeitgerecht umgesetzt wurde, kommen auf Deutschland jetzt Strafzahlungen in zweistelliger Millionenhöhe zu. Auch wenn sich das Urteil formal auf die Datenschutzaufsicht der Länder bezieht, sind dieselben Vorgaben auch auf Bundesebene zu beachten. Dies bedeutet etwa, dass mir die Möglichkeit eingeräumt werden muss, Bußgelder bei Datenschutzverstößen von Telekommunikations- und Postdienstunternehmen zu verhängen. Leider hat sich die Bundesregierung entsprechenden Anregungen bislang konsequent verweigert. (Nr. 2.1)
Auch die geplante Stiftung Datenschutz muss finanziell und personell unabhängig sein. Die Bundesregierung sollte jetzt die Voraussetzungen dafür schaffen, dass die Stiftung auf einer gesicherten Basis ihre Arbeit aufnehmen kann. (Nr. 2.5)
Zusammen mit den Datenschutzbeauftragten der Länder habe ich konkrete Vorstellungen zur Modernisierung des Datenschutzrechts vorgelegt. Der deutsche und der europäische Rechtsrahmen zum Datenschutz müssen gewährleisten, dass der Datenschutz mit der rasanten technologischen Entwicklung Schritt hält. (Nr. 1; 13.2)
Datenschutz ist heute weniger denn je durch Rechtsnormen sicherzustellen. Datenschutztechnologie muss die Menschen dazu befähigen, die Kontrolle über ihre Daten wiederzugewinnen. Wie schwierig dies ist, zeigt etwa die Diskussion über den digitalen Radiergummi. (Nr. 1.6)"
Im Berichtszeitraum wurden 30 Beanstandungen ausgesprochen; im Berichtszeitraum 2007 bis 2008 waren es zehn. Beanstandungen kann der Bundesdatenschutzbeauftragte auf der Grundlage des § 25 des Bundesdatenschutzgesetzes (BDSG) aussprechen, wenn er Verstöße gegen das BDSG oder andere Vorschriften des Datenschutzes oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten feststellt.
In den Jahren 2009 und 2010 erreichten die Dienststelle zahlreiche Bürgeranfragen: 11.153 schriftliche Eingaben sowie 14.204 telefonische Anfragen. Im Vergleich zum Berichtszeitraum 2007 bis 2008 stellt dies eine Steigerung von rund 47 Prozent bei den schriftlichen Eingaben und rund 10 Prozent bei den telefonischen Anfragen dar.
Darüber hinaus wurde mein Haus mit einer Vielzahl neuer Aufgaben betraut. Seit dem 1. Januar 2011 ist der Bundesdatenschutzbeauftragte etwa für die Beratung und Kontrolle der 335 Jobcenter bundesweit zuständig, die vorher von den Landesdatenschutzbeauftragten wahrgenommen wurde. Die zur Aufgabenerledigung notwendigen 15 Planstellen wurden bisher nicht zugewiesen, sondern nur mit befristeten Personalmitteln abgedeckt (Nr. 11.5.1). Weitere Aufgabenzuwächse gab es durch die Zuweisung der Schlüsselverwaltung für das Verfahren ELENA (Nr. 11.1.3.2) und die Zertifizierung von Diensteanbietern für De-Mail (Nr. 3.3).
Weitere Themen des 23. Tätigkeitsberichts:
Zensus 2011 (Nr. 8.1.1)
Die gesetzliche Zweckbindung der beim Zensus erhobenen Daten sowie eine hohe Datensicherheit müssen gewährleistet werden. Insbesondere dürfen keine personenbezogenen Angaben in die Verwaltung zurückfließen. Mir ist auch wichtig, dass die für die Durchführung des Zensus benötigten personenbezogenen Daten, unverzüglich anonymisiert und gelöscht werden, sobald sie nicht mehr erforderlich sind.
Ein besonderes Problem ist der Umgang mit Daten von Personen, zu deren Schutz eine Übermittlungssperre im Melderegister eingetragen ist. Gemeinsam mit den Landesdatenschutzbeauftragten werde ich die Arbeiten in den Statistischen Ämtern begleiten und darauf achten, dass die gesetzlichen Datenschutzvorgaben eingehalten werden.
Datenverarbeitung in der Anti-Terror-Datei (Nr. 7.1.2)
Bei der Kontrolle der Datenverarbeitung des Bundesamtes für Verfassungsschutz (BfV) in der gemeinsam mit den Polizeien und den Nachrichtendiensten des Bundes und der Länder geführten Anti-Terror-Datei habe ich erhebliche Mängel festgestellt. Daten, die beim BfV zur Löschung anstanden, wurden in der Anti-Terror-Datei weiter vorgehalten. Zudem wurden Daten aus heimlichen Telekommunikationsmaßnahmen, entgegen den gesetzlichen Regelungen ohne die gesetzlich vorgesehene besondere Kennzeichnung gespeichert. Für die übrigen Nutzer der Anti-Terror-Datei war damit nicht erkennbar, dass es sich hier um gesetzlich besonders geschützte Daten handelt. Das BfV hat zugesagt, die Missstände zu beheben.
Datenabgleich mit Anti-Terror-Listen (Nr. 13.7)
Kritisch stehe ich dem vom Zoll geforderten generellen Abgleich mit den EG-Anti-Terror-Listen bei der Zertifizierung als "Zugelassener Wirtschaftsbeteiligter" gegenüber. Eine Änderung der dem Abgleich zu Grunde liegenden Dienstanweisung dahingehend, dass nur noch Daten der in sicherheitsrelevanten Bereichen tätigen Beschäftigten abgeglichen werden sollen, hat für die Unternehmen jedenfalls nicht zu mehr Rechtsklarheit geführt.
Körperscanner auf deutschen Flughäfen (Nr. 7.3.1)
Ein gescheiterter Anschlagsversuch Ende 2009 entfachte auch in Deutschland eine Diskussion über die Einführung von ‚Nacktscannern’ auf Flughäfen. Die von mir formulierten Anforderungen an den Einsatz von Körperscannern wurden vom Bundesministerium des Innern aufgegriffen: Die Einführung setzt danach den Nachweis eines echten Sicherheitsgewinns, den Verzicht auf eine Datenspeicherung und den Schutz der Menschenwürde bei der Verarbeitung der Daten sowie ihrer Darstellung voraus. Ein entsprechender Praxistest am Hamburger Flughafen wurde vom Bundesministerium des Innern verlängert.
De-Mail: Die sichere Kommunikation der Zukunft? (Nr. 3.3)
Ziel des De-Mail-Projektes ist die sichere und verlässliche elektronische Kommunikation. Trotz der Berücksichtigung wichtiger datenschutzrechtlicher und datenschutztechnischer Forderungen, etwa der optionalen Ende-zu-Ende-Verschlüsselung, sind einige Fragen weiterhin offen. Entscheidend werden die Sicherheit, der Datenschutz und die Transparenz des Verfahrens sowie die Akzeptanz von De-Mail bei den Bürgerinnen und Bürgern sein.
Smart Metering – Der intelligente Stromzähler (Nr. 5.1)
Die intelligente Verknüpfung von Erzeugung und Verbrauch setzt den Einbau von elektronischen Messeinrichtungen, so genannter Smart Meter, voraus, die unter anderem den tatsächlichen Verbrauch anzeigen und diesen an externe Stellen übertragen. Die dabei erhobenen Daten sind hoch sensibel, denn aus ihnen lassen sich detaillierte Erkenntnisse über die individuellen Lebensgewohnheiten gewinnen. Verbindliche Standards für den technischen Datenschutz sowie die IT-Sicherheit bei Smart Metering sind daher unerlässlich. Freiwillige Selbstverpflichtungen der betroffenen Unternehmen genügen nicht.
Cloud Computing – Datenschutz in der Wolke (Nr. 5.6)
Bei der verteilten Datenverarbeitung im Internet (Cloud Computing) stellt sich die Frage, wie der Datenschutz und die Datensicherheit gewährleistet werden können, wenn im Extremfall nicht einmal bekannt ist, von wem Daten technisch verarbeitet werden und in welchem Land sich die IT-Systeme befinden. Werden personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet, stößt der Ansatz des Cloud Computing datenschutzrechtlich gesehen schnell an seine Grenzen.
Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)
RFID-PIA auf europäischer Ebene (Nr. 5.9)
RFID-Chips sind in immer mehr Kleidungsstücken, Kundenkarten und Ausweispapieren integriert. Ein auf europäischer Ebene verabschiedetes Papier beschäftigt sich mit den Konsequenzen und Gefährdungen für den Datenschutz. Vorgelagerte Risikoanalysen (Privacy Impact Assessment – PIA) sollen zum Datenschutz beim Einsatz von RFID-Chips beitragen. PIA Reports der Industrie und des Handels sollen den Datenschutzbehörden vor Inbetriebnahme zur Prüfung vorgelegt werden.
Ende eines langen Weges: Die EU-Telekommunikationsrichtlinien wurden beschlossen (4.4)
Die Ende 2009 beschlossenen Änderungen der europäischen Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) stärken die Rechte der Nutzer von Telekommunikationsdienstleistungen. So haben Anbieter von Telekommunikationsdiensten bei Datenschutzverstößen die Aufsichtsbehörden und – sofern eine Beeinträchtigung der Privatsphäre zu erwarten ist – auch die Betroffenen zu informieren. Cookies und andere Identifikationsmerkmale dürfen zur Profilbildung nur noch mit Einwilligung der Nutzer gespeichert werden. Im laufenden Gesetzgebungsverfahren, das die Richtlinienänderungen umsetzen soll, wurde dieser Punkt allerdings nicht berücksichtigt. Ich halte eine entsprechende Ergänzung des Telemediengesetzes für dringend erforderlich, damit auch die deutschen Internetnutzer in den Genuss der durch die ePrivacy-Richtlinie verbesserten Datenschutzvorgaben kommen.
Denn sie wissen, wo Du bist – Ortungsdienste im Wandel (6.2)
Die aktuelle Novelle des Telekommunikationsgesetzes verbessert den Schutz gegen eine unlautere ‚klassische’ Handy-Ortung durch den Netzbetreiber, etwa wenn der Vertragsinhaber den Standort des von seinem Partner oder einem sonstigen Dritten genutzten Handys als vorgetäuschte Eigenortung bestimmen lässt. Für die immer bedeutsamere Ortung von Smartphones mittels GPS oder WLAN-Standorten fehlen jedoch weiterhin angemessene Schutzvorkehrungen.
Kontrolle des Kontenabrufverfahrens (Nr. 9.8)
Mit Sorge betrachte ich den stetigen Anstieg der automatisierten Abfrage von Kontostammdaten durch die Behörden. Im Jahr 2010 haben die Finanz- und Sozialbehörden mit rund 58.000 Fällen erneut deutlich mehr Daten abgefragt (2009: 44.000). Die Anzahl der Anfragen hat sich in gerade mal fünf Jahren mehr als verfünffacht. Auch die Zahl der automatisierten Kontenabrufe zur Verfolgung von Straftaten durch Polizei- und Zollbehörden sowie Staatsanwaltschaften hat weiter zugenommen. Im Jahr 2010 erfolgten 105.000 Abrufe, eine Steigerung um 15 Prozent im Vergleich zum Vorjahr. Ich halte es deshalb für dringend geboten, die Befugnisse zum automatisierten Kontendatenabruf auf den Prüfstand zu stellen.
Elektronischer Entgeltnachweis (ELENA) (Nr. 11.1.3)
Mit dem im Frühjahr 2009 beschlossenen ELENA Verfahrensgesetz wurde nach langer Diskussion eines der größten Datenverarbeitungsvorhaben im Sozialbereich gesetzlich geregelt. Seit Anfang 2010 wurden bereits Daten von mehr als 33 Millionen Beschäftigten im ELENA-Verfahren gespeichert, dessen Zukunft kontrovers diskutiert wird und das Gegenstand einer Verfassungsbeschwerde ist. Änderungen an dem Verfahren des elektronischen Entgeltnachweises dürfen nicht zu einer Absenkung der gesetzlich garantierten Anforderungen an Datenschutz und Informationssicherheit führen.
Elektronische Gesundheitskarte (3.4)
Im April 2010 wurden die Verantwortlichkeiten und Aufgaben der an der Umsetzung der elektronischen Gesundheitskarte (eGK) beteiligten Interessengruppen neu verteilt. Damit soll der Einstieg in den Wirkbetrieb noch in diesem Jahr ermöglicht werden. Die Verzögerungen bei der Einführung der eGK führen zu datenschutzrechtlichen Problemen. So hat die vom Bundesamt für Sicherheit in der Informationstechnik zertifizierte Verschlüsselungstechnologie der Gesundheitskarte der ersten Generation bislang nur eine Zulässigkeit bis 2015. Ebenso verzögert sich auch das Wirksam-werden einer gesetzlichen Regelung zum Schutz von Versichertendaten. Ich werde das Projekt weiterhin begleiten und mich für die Einhaltung der in diesem Bereich besonders sensiblen Datenschutzbelange einsetzen.
Verstöße von Krankenkassen bei der Vermittlung privater Zusatzversicherungen (Nr. 15.7)
Aufgrund der außergewöhnlich schweren datenschutzrechtlichen Verstöße zweier gesetzlicher Krankenkassen bei der Kooperation mit einer privaten Kranken-versicherung hatte ich im Anschluss an eine Kontrolle sowohl gegen Mitarbeiter der gesetzlichen Krankenkassen als auch gegen Mitarbeiter des privaten Versicherungs-unternehmens bei den zuständigen Staatsanwaltschaften Strafantrag gestellt. Die gesetzlichen Krankenkassen hatten den mit ihnen verbundenen privaten Krankenkassen Zugang zu zum Teil sehr sensiblen Daten ihrer Versicherten verschafft. Die Stellung der Strafanzeigen liegt mittlerweile drei Jahre zurück. Einige Ermittlungsverfahren, die zwischen den Staatsanwaltschaften Aurich und Oldenburg mehrfach hin und her geschoben wurden, sollen jetzt eingestellt werden, da durch die Verjährung der Tatverdacht entfallen sei. Gefahr für das Grundrecht auf informationelle Selbstbestimmung geht bisweilen auch von staatsanwaltschaftlicher Untätigkeit aus.
Mangelhaft geschützte Daten bei der Aufgabenwahrnehmung durch private Call-Center (Nr. 11.1.4)
Bei einer gesetzlichen Krankenkasse habe ich schwerwiegende Datenschutzverstöße festgestellt. Zwar betreibt die kontrollierte Krankenkasse zur Kundenkommunikation ein hauseigenes Call Center. Um jedoch der ganztägigen Servicenachfrage ihrer Versicherten gerecht zu werden, beauftragte die Kasse ein Privatunternehmen, dessen Schwesterunternehmen zur Aufgabenerfüllung privaten Beratern Zugriff auf den gesamten Versichertendatenbestand einschließlich besonders sensibler Gesundheitsdaten ermöglichte. In diesem Zusammenhang weise ich darauf hin, dass die Gewährleistung des Datenschutzes – insbesondere bei sensiblen Daten – Chefsache ist und nicht auf Mitarbeiter, Auftragnehmer oder sonstige Vertragspartner abgewälzt werden darf.
Der 23. Tätigkeitsbericht für die Jahre 2009 und 2010 kann ab sofort unter www.datenschutz.bund.de abgerufen oder unter poststelle(at)bfdi.bund.de bestellt werden.
(BfDI: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>