2.19.1 Doch kein "Gläserner Autofahrer"
Im Herbst 1993 erhielt ich von Mitarbeitern verschiedener Firmen erste Informationen über die vom Bundesverkehrsminister geplante Einführung von Systemen zur automatischen Gebührenerhebung auf Autobahnen (AGE). Sie boten an, die noch in der Entwicklung befindlichen Systeme den Datenschutzbeauftragten im Rahmen des Arbeitskreises "Technische und organisatorische Datenschutzfragen" zur Erörterung datenschutzrechtlicher Fragen vorzustellen.
Die Präsentation eines AGE-Systems, zu der ich im Januar 1994 Firmenvertreter und Kollegen nach Schwerin eingeladen hatte, machte deutlich, daß Anforderungen des Datenschutzes bei der weiteren Entwicklung eine entscheidende Rolle spielen werden. Ohne ausreichende Berücksichtigung datenschutzrechtlicher Vorgaben besteht die Gefahr, daß wesentlich mehr personenbezogene Daten mit einem solchen System verarbeitet werden, als für den eigentlichen Zweck erforderlich sind.
Ein im Auftrag des Bundesverkehrsministeriums und unter Federführung des TÜV Rheinland durchgeführter Feldversuch auf der A555 zwischen Köln und Bonn gab ausgewählten Anbietern von AGE-Systemen die Möglichkeit, ihre technischen Lösungen und Einsatzkonzepte zu testen. Die Datenschutzbeauftragten nutzten das Angebot des Bundesverkehrsministeriums und des TÜV Rheinland, sich während des Feldversuches einen ersten Überblick über alle im Test befindlichen Systeme zu verschaffen.
Der BfD formulierte erste Anforderungen für die datenschutzgerechte Ausgestaltung von AGE-Systemen und der AK Technik wurde beauftragt, alle im Rahmen des Feldversuches getesteten Lösungen dahingehend zu prüfen, inwieweit sie in ihren technischen Details geeignet sind, diese Anforderungen zu erfüllen.
Der AK Technik arbeitete die im folgenden erläuterten Bewertungskriterien aus. Sie sollten eine einheitliche Beurteilung der verschiedenen Projekte ermöglichen.
Anonymität
Der Grundsatz der "datenfreien Fahrt" muß gewährleistet
bleiben. Deshalb ist die Erhebung von Daten auf das für die Gebührenerhebung
notwendige Minimum zu reduzieren. Bewegungsdaten sollten nur beim Benutzer
der Autobahn gespeichert werden. Zahlung und Abrechnung von
Benutzungsentgelten müssen anonym erfolgen. Die Aufdeckung der
Identität eines Benutzers darf nur bei begründetem Mißbrauchsverdacht
erfolgen.
Vertraulichkeit
Werden personenbezogene Daten erhoben, so sind sie vertraulich zu
behandeln. Durch entsprechende technisch-organisatorische Maßnahmen
ist zu gewährleisten, daß die Daten sowohl gegen Mißbrauchsversuche
Externer (etwa Hacker) als auch Interner (etwa Mitarbeiter von
Betreibergesellschaften) geschützt werden.
Integrität
Auch unter schwierigen Bedingungen (schlechtes Wetter, schnelle
Spurwechsel) muß gewährleistet sein, daß die richtigen
Daten jeweils den richtigen Benutzern zugeordnet werden. Die Berechnung muß
fehlerfrei und manipulationssicher sein.
Transparenz
Das gesamte Verfahren muß für den Benutzer transparent sein.
Dazu gehört, daß Anzeigen und Belege für erfolgte
Abbuchungen verfügbar sind und rechtzeitig auf ein zu geringes
Guthaben hingewiesen wird. Die Aufdeckung seiner Identität bei einer
Kontrolle (etwa beim Falschzahler) muß für den Benutzer
erkennbar sein. Funktionsstörungen von Hard- und Software müssen
ihm angezeigt werden. Eine klare Trennung von Zahlungs- und Nutzungsdaten
ist erforderlich.
Rücknahmefestigkeit
Systemkomponenten sind so zu gestalten, daß die Datenschutz- und
Datensicherungsfunktionen nicht einseitig durch den Systembetreiber oder
durch Dritte zurückgenommen oder unterlaufen werden können.
Im Januar 1995 veranstaltete der AK Technik gemeinsam mit dem Berliner Datenschutzbeauftragten einen Workshop, zu dem ich neben den Datenschutzbeauftragten des Bundes und der Länder alle Teilnehmer des Feldversuches und Vertreter aus Wissenschaft und Forschung eingeladen hatte. Die Datenschutzbeauftragten konnten sich detailliert über die verschiedenen Projekte informieren und frühzeitig Empfehlungen für eine datenschutzgerechte Gestaltung der Technik, der Organisation und der rechtlichen Rahmenbedingungen unterbreiten. Die Anbieter von AGE-Systemen hatten so die Möglichkeit, datenschutzrechtliche Forderungen noch rechtzeitig bei der Systementwicklung zu berücksichtigen. Jeder Anbieter stellte im Rahmen der Präsentation sein Projekt ausführlich unter besonderer Berücksichtigung der oben genannten Bewertungskriterien vor und erörterte gemeinsam mit allen Teilnehmern Vor- und Nachteile seines Verfahrens.
Im AK Technik wurde der Workshop ausgewertet. Der BfD faßte die Ergebnisse zusammen und übermittelte sie in Form eines Anforderungskataloges dem Bundesverkehrsministerium. Nach dem derzeitigen Stand der Technik können die dort genannten Anforderungen nur von Systemen erfüllt werden, bei denen die Entrichtung von Gebühren im voraus erfolgt, beispielsweise mit einer Chipkarte als Guthabenkarte.
Die 49. Konferenz der Datenschutzbeauftragten des Bundes und der Länder verabschiedete im März 1995 eine Entschließung, in der auf die Gefahren beim Betrieb von Systemen zur automatischen Erhebung von Straßennutzungsgebühren hingewiesen wird (siehe Anlage 16).
Im November 1995 beendete der TÜV Rheinland die Auswertung des Feldversuches auf der A 555. In seinem Abschlußbericht kommt er zu dem Ergebnis, daß insbesondere die Anforderungen an die Anonymisierung, die Trennung von Zahlungs- und Nutzungsdaten sowie die Transparenz der Erhebungs- und Kontrollvorgänge von im Feldversuch vorgestellten Systemen nicht vollständig erfüllt sind. Keines der vorgestellten Kontrollverfahren war in der Lage, die Anforderungen des Datenschutzes zu erfüllen.
Im November 1995 war Medienmeldungen zu entnehmen, daß die
Bundesregierung die Pläne aufgegeben hat, eine Autobahngebühr für
Personenkraftwagen einzuführen.
Der AK Technik hat untersucht, welche Überwachungsmöglichkeiten durch die Auswertung der Aufnahmen von Satelliten bestehen.
Hauptanwendungsgebiet der Satellitentechnik ist zur Zeit die Landwirtschaft. Im Integrierten Verwaltungs- und Kontrollsystem (siehe Abschnitt 2.15) wird sie zur Datenerhebung verwendet. In anderen Verfahren werden die Daten der hochauflösenden Erderkundungssatelliten Landsat (USA) und SPOT (Frankreich) sowie vom Wettersatelliten NOAA (USA) genutzt.
Ziel ist die Entwicklung von Verfahren, die eine möglichst genaue Erfassung der landwirtschaftlichen Nutzflächen, deren Eigenschaften sowie eine frühzeitige Ertragsprognose ermöglichen. Dazu führt die EU ein Programm zum Einsatz der Fernerkundung in der Agrarstatistik durch. In einzelnen sogenannten operationellen Aktionen werden Teilgebiete bearbeitet, deren Ergebnisse zum Schluß in die EU-Agrarstatistik Eingang finden sollen.
Die regionale Flächenerfassung wird hauptsächlich in den südeuropäischen Ländern durchgeführt, weil es in Nordeuropa wegen der Wetterbedingungen schwierig ist, genügend große Flächen gleichzeitig zu erfassen.
Für eine Ertragsschnellschätzung werden von 50 repräsentativen Flächen der EU-Länder im Laufe des Jahres 3-4 Aufnahmen gemacht und ausgewertet. Eine Überwachung und Vorausschätzung der Ernten auch außerhalb der EU wird angestrebt. Zur Bestimmung der Fläche und der Anbauart werden vorzugsweise Bilder vom SPOT verwendet.
In Entwicklung befindet sich ein System, in dem unter Einbeziehung der Daten vom NOAA und von Daten europäischer Wetterstationen Vegetations- und Bodentemperaturindizes sowie Ertragsschätzungsmodelle erstellt werden. Alle Informationen sollen in ein Informationssystem auf Gemeinschaftsebene einfließen.
Zur Verbesserung der Ergebnisse wird die Entwicklung und Anwendung neuer Verfahren und Sensoren vorangetrieben. Vielversprechend ist der Einsatz der Radarsatelliten (ERS-1 und -2), weil deren Bilder wetterunabhängig sind.
Vor allem aus technischen Gründen sind die Überwachungsmöglichkeiten begrenzt. So ist beispielsweise die Beobachtung eines Punktes auf der Erde nicht ohne weiteres möglich. Die erforderliche Apparatur würde zu groß und zu schwer, um sie auf eine geostationäre Bahn von 36.000 km Entfernung zu befördern. Umlaufende Satelliten liefern Informationen nur in bestimmtem Zeitabständen und bei guten Wettervoraussetzungen. Bereits archivierte Daten werden nur zufällig von einem genau bestimmten Ort zu einer bestimmten Zeit vorhanden sein, so daß eine systematische Auswertung nicht erfolgversprechend ist. Es können allerdings in einem gewissen Rahmen zu bestimmten Zeitpunkten Aufnahmen eines Punktes der Erdoberfläche gemacht werden. Die angebotene Auflösung beträgt zur Zeit im zivilen Bereich allerdings bestenfalls einen Meter Kantenlänge pro Bildpunkt.
Die Untersuchungen des AK Technik haben deutlich gemacht, daß sich
die Satellitentechnik auch in absehbarer Zukunft nicht direkt zu einem Überwachungspotential
für den einzelnen entwickeln wird. Allein mit Ergebnissen der
Satellitenfernerkundung ist keine Beobachtung oder Überwachung möglich.
Erst durch die Zusammenführung mit anderen Daten ist in manchen Fällen
ein Personenbezug herzustellen.
Datenschützer begleiten die Entwicklung der Chipkarte seit ihrer Einführung aufmerksam und mit Sorge. So gab es beispielsweise bereits ernstzunehmende Hinweise darauf, daß die inzwischen bundesweit eingeführte Krankenversichertenkarte relativ leicht zu fälschen ist.
Stand der Technik ist heute die Prozessor-Chipkarte. Sie verfügt durch einen integrierten Prozessor über eigene Rechenleistung. Im Gegensatz zur Magnetstreifenkarte ist dadurch die gegenseitige Authentifikation von Karte und dazugehörigem Lesegerät möglich. Unbefugte Manipulationen können somit erheblich erschwert werden. Nur nach korrekter Eingabe einer PIN (Persönliche Identifikations-Nummer) ist ein Zugriff auf die Karte möglich. Bei Manipulationsversuchen oder falscher PIN-Eingabe könnte sich die Karte selbst unbrauchbar machen. Der Umgang mit einer PIN ist jedoch problematisch, da sich kaum jemand die Vielzahl der PIN und Paßworte merken kann, die heute im täglichen Leben benötigt werden. Deshalb werden diese meist irgendwo notiert, und es besteht die Gefahr des Verlustes von PIN und Karte.
Ein Ausweg könnte die Multifunktionskarte sein. Schon heute reicht der Speicherbereich der Chipkarten aus, um mehrere verschiedene Anwendungen zu integrieren. So lassen sich die Anwendungen Geldkarte, Telefonkarte, Gesundheitskarte und Betriebsausweis durchaus auf einer Karte zusammenfassen. Daraus ergeben sich jedoch Probleme hinsichtlich der Abgrenzung der einzelnen Anwendungen. Deshalb sollten zunächst nur Multifunktionskarten mit artverwandten Anwendungen, wie beispielsweise Kleingeldbörse, Telefonkarte oder Chipkarte als Zahlungsmittel im öffentlichen Nahverkehr, zum Einsatz kommen.
Die besondere Aufmerksamkeit der Datenschützer gilt Kartenanwendungen, auf denen so sensible Daten gespeichert werden sollen, wie es bei verschiedenen freiwilligen Gesundheitskarten geplant ist. Die Speicherung des gesamten medizinischen Lebenslaufes mit allen Gesundheitsdaten, Krankheiten, Diagnosen, Therapien und Verschreibungen sowie Notfalldaten auf der Karte wäre beispielsweise möglich.
Unklar wäre dann, wem der Kartenbesitzer diese Daten offenbaren muß. Muß jeder Arzt, von dem er einen unvoreingenommenen Rat einholen möchte, alle Daten kennen? Kann der Bewerber um eine Arbeitsstelle dem Arbeitgeber vor der Einstellung den Einblick in die Gesundheitsdaten verwehren, ohne seine Chancen auf diese Stelle zunichte zu machen? Es zeichnet sich ab, daß hier im Interesse des Bürgers noch ein erheblicher Regelungsbedarf besteht.
Die Konferenz der Datenschutzbeauftragten hat zum Thema "Chipkarten
im Gesundheitswesen" zwei Entschließungen verabschiedet (siehe
Anlagen 1 und 24).
2.19.4 Patientendaten - optisch speichern?
Einige Krankenhäuser und öffentliche Stellen des Gesundheitsdienstes wollen ihr bisheriges Archivierungssystem umstellen. Dabei soll unter anderem aus Platzmangel auf die Aufbewahrung von Schriftstücken möglichst ganz verzichtet werden. Daher stellte sich die Frage, ob zum Speichern von Patientendaten optische Datenspeicher geeignet sind und verwendet werden dürfen.
Weder das Landesdatenschutzgesetz noch die datenschutzrechtlichen Bestimmungen in den bereichsspezifischen Gesetzen schreiben bestimmte Speichertechnologien vor oder schließen die Anwendung bestimmter Technologien aus. Allerdings sind Verarbeitungsfunktionen wie Sperren, Anonymisieren und Löschen bei jeder automatisierten Datenverarbeitung zu realisieren. Deshalb ist grundsätzlich zu prüfen, ob diese Funktionen gewährleistet sind, bevor man sich für eine bestimmte Speichertechnologie entscheidet. Bei der Speicherung von Patientendaten auf optischen Datenträgern ist insbesondere zu beachten, daß sich die Sperr- und Löschvorschriften des LKHG M-V realisieren lassen (§ 19 LKHG M-V).
Der Begriff der "optischen Datenspeicherung" ist abgeleitet vom zugrunde liegenden Aufzeichnungsverfahren mit Hilfe eines Laserstrahls. Man unterscheidet zwischen Datenträgern, die nur einmal beschreibbar sind, aber beliebig oft gelesen werden können, und solchen, die mehrfach beschreib- und lesbar sind. Zu den nur einmal beschreibbaren Speichern gehören die verschiedenen CD-ähnlichen Datenträger, wie die bekannte CD-ROM, die als Audio-CD sehr verbreitet ist, und die auf dem Markt schon länger verfügbare WORM, die vom Nutzer nur einmal beschrieben, aber beliebig oft gelesen werden kann.
Bei CD-ROM und WORM kann die Löschung von Daten nur durch Löschen von Verweisdaten erfolgen. Diese werden im Datenverwaltungssystem eines separat betriebenen EDV-Systems vorgehalten, das den Zugriff zu den Nutzdaten steuert. Im Datenverwaltungssystem sind nach diesem Löschvorgang die alten Verweise auf die zu löschende Information nicht mehr enthalten (logische Löschung), obwohl die Nutzdaten auf dem optischen Speichersystem physikalisch noch im Volltext vorhanden sind. Dieser logische Löschvorgang genügt nicht den Anforderungen des Datenschutzes. Löschen ist im Landesdatenschutzgesetz als "dauerhaftes Unkenntlichmachen gespeicherter Daten" definiert (§ 3 Abs. 7 Nr. 6 DSG MV). Von einem solchen dauerhaften Unkenntlichmachen kann man aber hier nicht sprechen, weil beispielsweise die Anbieter der CD-ROM- bzw. WORM-Platte und des Laufwerks über das Wissen und die Möglichkeit verfügen, wie man auf derart "logisch" gelöschte Daten zugreifen kann.
Die datenschutzgerechte Löschung von Daten auf einmal beschreibbaren optischen Speichern läßt sich somit nur erreichen, indem nach dem Löschen des entsprechenden Eintrags in der Verweisdatei die übrigen Daten vom alten Träger auf eine neue optische Speicherplatte kopiert werden und danach der alte Datenträger physisch zerstört wird. Auch die Berichtigung falsch gespeicherter Daten kann nur auf diese oder vergleichbare Art und Weise erfolgen.
Seit kurzem gibt es jedoch Alternativen zu den nur einmal beschreibbaren optischen Datenspeichern. Ein Beispiel hierfür ist die ROD-MO (Rewritable Optical Disc) als eine Form der magneto-optischen (MO) Disc. Es handelt sich um eine mehrfach wiederbeschreibbare optische Disk. Sie erscheint allerdings aufgrund der Möglichkeit zur Veränderung der Daten für eine gesicherte Langzeitarchivierung nicht geeignet und dürfte eher als Alternative zu herkömmlichen magnetischen Laufwerken anzusehen sein.
Wegen der vielen Anfragen bei den Datenschutzbeauftragten des Bundes und der Länder zu diesem Thema hat der AK Technik unter Federführung des Saarländischen Landesdatenschutzbeauftragten eine Orientierungshilfe erarbeitet, die über den datenschutzgerechten Umgang mit optischen Speichermedien informiert (siehe Abschnitt 2.21). Sie gibt unter anderem konkrete Empfehlungen zu Einsatzmöglichkeiten der verschiedenen Technologien.
Den Krankenhäusern und öffentlichen Stellen des Gesundheitswesens habe ich mitgeteilt, daß aus datenschutzrechtlicher Sicht gegen den Einsatz der WORM-Technologie zur Archivierung von Patientendaten prinzipiell nichts einzuwenden ist, wenn die oben genannten Hinweise beachtet und die im LKHG M-V genannten technisch-organisatorischen Maßnahmen realisiert werden. Da die Anfragen sich häuften, habe ich auch dem Sozialminister meine Empfehlungen zur WORM-Technologie übersandt, damit sie von dort aus bei Beratungen weiteren Bedarfsträgern zur Kenntnis gegeben werden kann.
2.20.1 Wie die Treuhand Daten auffrischt
Im März 1995 informierte mich der Kollege eines anderen Bundeslandes darüber, daß in Mecklenburg-Vorpommern ein Pilotversuch zur "Totalerfassung aller Treuhandliegenschaften" durchgeführt wird und die Treuhand Liegenschaftsgesellschaft mbH (TLG) bereits einen Abgleich zwischen Daten des ehemaligen DDR-Liegenschaftskatasters "COLIDO" und den jetzt aktuellen Liegenschaftsdaten vorgenommen hat.
Ein Anruf bei der TLG in Berlin ergab, daß mit einem solchen Pilotprojekt tatsächlich bereits in Greifswald begonnen worden und der Innenminister Mecklenburg-Vorpommerns darüber informiert war. Ziel des Projektes sei es, alle noch im Besitz der Treuhand befindlichen Liegenschaften zu erfassen und Unregelmäßigkeiten bei bereits erfolgten Verkäufen aufzudecken. Der Pilotversuch wäre notwendig, um das Verfahren zu testen, das dann in allen neuen Bundesländern angewendet werden solle.
Der Innenminister bestätigte, daß ein solches Projekt bereits angelaufen sei. Eine Beteiligung des Landesbeauftragten für den Datenschutz gemäß § 29 Abs. 5 DSG MV wäre allerdings erst in der letzten Phase des Pilotprojektes vorgesehen, da vorher nicht mit personenbezogenen Daten umgegangen würde. Trotzdem hat der Innenminister das Pilotprojekt aufgrund meiner Anfrage sofort gestoppt. Auf meine Anforderung hin erhielt ich Anfang April 1995 die ersten detaillierten schriftlichen Informationen zur "Totalerfassung aller Treuhandliegenschaften".
Bei der Durchsicht der Unterlagen stellte sich folgendes heraus:
Die Treuhand hatte zwei Privatfirmen mit der Durchführung des
Pilotprojektes beauftragt. Bereits seit Januar 1995 bestanden intensive
Kontakte zwischen der TLG, den beauftragten Privatfirmen, dem
Innenministerium und dem Kataster- und Vermessungsamt (KVA) der Hansestadt
Greifswald. Im Februar 1995 hatte eine der Firmen von sich aus "datenschutzrechtliche
Bedenken" gegenüber dem Innenministerium angemeldet. Meine
Beteiligung gemäß § 29 Abs. 5 DSG MV wurde zu diesem
Zeitpunkt jedoch als nicht notwendig erachtet.
Um mir selbst ein Bild vom Stand des Projektes zu verschaffen, stattete ich Anfang April 1995 dem KVA einen Kontrollbesuch ab. Die Mitarbeiter des KVA bestätigten, daß bereits Ende März 1995 ein Datenabgleich in Greifswald stattgefunden hatte. Dieser Abgleich wurde ohne Wissen des Innenministers und auf Initiative der Firmen durchgeführt, von denen die eine zuvor selbst datenschutzrechtliche Bedenken angemeldet hatte. Während der Kontrolle wurde ich von einem Mitarbeiter des KVA darüber informiert, daß der gesamte Datenbestand der Datenbank mit Eigentümerangaben (Eigentümerdatei) durch eine Hardwarekopplung auf einen Laptop der Privatfirmen überspielt wurde. Zwei Wochen später wurde mir allerdings mitgeteilt, der Datenbestand sei durch Überspielen mit Hilfe von Disketten erfolgt. Aus datenschutzrechtlicher Sicht ist das jedoch von untergeordneter Bedeutung. Entscheidend ist lediglich, daß keine Protokollierung der Datenübermittlung stattgefunden hatte und dadurch im nachhinein der Datentransfer nicht überprüfbar war.
Für die Selektion bestimmter Datensätze wurde ein von einer der Firmen zur Verfügung gestelltes Programm genutzt. Zu diesem Programm existierte keine Dokumentation, und es war weder hinsichtlich seiner Funktionalität von Mitarbeitern des KVA bzw. des Innenministeriums überprüft worden noch existierte eine Freigabe zur Nutzung dieser Software im KVA. Mit der sofort nach der Selektion erfolgten manuellen Überprüfung der Datensätze war angeblich festgestellt worden, daß das Programm ordnungsgemäß gearbeitet hatte. Eine spätere Prüfung der an die TLG übermittelten 2147 Datensätze ergab jedoch, daß tatsächlich 35 Datensätze unrechtmäßig selektiert und übermittelt worden waren, die Software also nicht für den angegebenen Zweck geeignet war.
Aufgrund der bei der Kontrolle festgestellten gravierenden Verstöße gegen das DSG MV habe ich dem Landrat des Landkreises Ostvorpommern eine förmliche Beanstandung gemäß § 28 Abs. 1 Nr. 2 DSG MV ausgesprochen. Insbesondere kritisierte ich die vollkommen unzureichenden technisch-organisatorischen Maßnahmen bei der Übermittlung und Selektion der Daten, die nicht rechtzeitige Information über das Projekt und das Fehlen von Dateibeschreibung und Geräteverzeichnis für die Eigentümerdatei, aus der die übermittelten Daten stammten.
In einer daraufhin veröffentlichten Presseinformation erklärte die TLG, daß wegen datenschutzrechtlicher Bedenken "die ins Auge gefaßte Vorgehensweise sofort verworfen" wird.
Um das Verfahren "Totalerfassung aller Treuhandliegenschaften" datenschutzgerecht auszugestalten, fand im Juni 1995 eine Beratung in Schwerin statt. Ich hatte Vertreter der beteiligten Firmen, der Innenministerien der neuen Länder und Datenschutzbeauftragte des Bundes und der Länder eingeladen.
Die Datenschutzbeauftragten erläuterten ihre Auffassung zu den Rechtsvorschriften, die dem Verfahren zugrunde liegen. Sie gaben Empfehlungen zum datenschutzgerechten Ablauf des Verfahrens und zu erforderlichen vertraglichen Regelungen, die vor Beginn des Pilotprojektes getroffen werden müssen. Da in den beteiligten Bundesländern die Liegenschaftsbücher auf unterschiedliche Art und Weise geführt werden, unterscheidet sich der Umfang dieser Regelungen. In Mecklenburg-Vorpommern wird das Automatisierte Liegenschaftsbuch vom DVZ geführt. Da die umfangreichen Auskunftsersuchen der TLG dort mit vorhandener Recherchesoftware auf der Basis schon existierender Verträge bearbeitet werden können, erübrigt sich eine vertragliche Vereinbarung zwischen dem Innenminister und der TLG. Ich habe jedoch empfohlen, eine Datenschutzvereinbarung zwischen der TLG bzw. der von ihr beauftragten Firmen und dem Innenminister abzuschließen. Darin sollte auch festgelegt werden, wie mit den Daten verfahren wird, die zur Erfüllung der Aufgaben der TLG nicht mehr erforderlich sind. Auch die Aufnahme der Forderung nach Prüfung und Freigabe der im Verfahren verwendeten Software, die von externen Dienstleistern bereitgestellt wird, war notwendig. Weiterhin sollte eine detaillierte Beschreibung der erforderlichen und geeigneten technisch-organisatorischen Maßnahmen in die Datenschutzvereinbarung aufgenommen werden.
Im Juli 1995 informierte mich der Innenminister, daß meine Empfehlungen die Grundlage für den Neubeginn des Pilotprojektes in Greifswald sein werden. Die Datenschutzvereinbarung zwischen den beiden Privatfirmen als Bevollmächtigte der TLG und dem Innenminister wurde unter Berücksichtigung meiner Empfehlungen im Oktober 1995 abgeschlossen.
Im November 1995 waren jedoch immer noch nicht alle Voraussetzungen für den erneuten Start des Pilotprojektes gegeben. Der Innenminister teilte mir mit, daß die Software nunmehr vom Landesvermessungsamt Mecklenburg-Vorpommern geprüft worden sei, aber nicht freigegeben werden könne, da noch immer unzulässige Datensätze selektiert wurden. Darüber hinaus wurden vom Programm durch Verknüpfung verschiedener Daten neue, nicht zulässige Dateien erstellt. Nach der Beseitigung der festgestellten Mängel wurde die Software im Dezember 1995 vom Landesvermessungsamt nach nochmaliger Prüfung zur Nutzung in den Kataster- und Vermessungsämtern freigegeben.
Die im § 16 DSG MV geforderte Dateibeschreibung der Eigentümerdatei
des KVA und das entsprechende Geräteverzeichnis, um deren Zusendung
ich bereits im Mai 1995 gebeten hatte, liegen mir bis heute nicht vor.
2.20.2 Wahrung des Steuer- und Meldegeheimnisses trotz Outsourcing?
Aus öffentlichen Stellen des kommunalen Bereiches wurde ich darüber informiert, daß sie einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt haben. In einem Fall werden beispielsweise Lohnsteuerkarten durch eine private Firma kuvertiert und versandfertig vorbereitet. Andere Aufträge betreffen die Betreuung von Hard- und Software einschließlich der Pflege und Sicherung von Datenbeständen des Finanz- und Meldewesens. Ich hatte zu prüfen, ob eine solche Auftragsdatenverarbeitung mit den datenschutzrechtlichen Vorschriften vereinbar ist.
Grundsätzlich läßt § 4 des DSG MV den Umgang mit personenbezogenen Daten im Auftrag zu. Dabei sind jedoch einige Grundsätze zu beachten. Für die Einhaltung der Datenschutzvorschriften und die Kontrolle der technisch-organisatorischen Maßnahmen bleibt der Auftraggeber verantwortlich. Deshalb ist der Auftragnehmer sorgfältig auszuwählen. Die Beauftragung muß schriftlich erfolgen und der Landesbeauftragte für den Datenschutz ist darüber zu informieren. Der Auftragnehmer hat sich der Kontrolle des Landesdatenschutzbeauftragten zu unterwerfen und ist verpflichtet, gemäß § 32 Abs. 1 Nr. 3 BDSG der zuständigen Aufsichtsbehörde die Aufnahme und Beendigung der Auftragsdatenverarbeitung mitzuteilen.
Sollen personenbezogene Daten, die einer besonderen Amtsverschwiegenheit unterliegen, im Auftrag verarbeitet werden, sind auch datenschutzrechtliche Vorschriften anderer Gesetze zu beachten. Mit der Auslagerung der automatisierten Verarbeitung dieser Daten in eine private Firma ist verbunden, daß Arbeitnehmern dieser Firma Daten offenbart werden können, die z. B. dem Steuergeheimnis (§ 30 Abgabenordnung) oder den Vorschriften des Landesmeldegesetzes unterliegen.
Bei der automatisierten Verarbeitung von Einwohnermeldedaten im Auftrag müssen insbesondere die Vorschriften des § 38 Landesmeldegesetz beachtet werden. Den Meldebehörden wird hier das Recht eingeräumt, geeignete privatrechtliche Einrichtungen Mecklenburg-Vorpommerns zu beauftragen. Die Wahrung des Meldegeheimnisses ist vor allem durch die sorgfältige Auswahl von technisch-organisatorischen Maßnahmen sicherzustellen.
Fraglich ist, ob personenbezogene Daten, die dem Steuergeheimnis nach § 30 Abgabenordnung unterliegen, auch von Privaten verarbeitet werden dürfen, da diese Daten eine besondere Sensibilität aufweisen. Im Gegensatz zum Einwohnermeldewesen gibt es keine Vorschrift, welche die automatisierte Verarbeitung von Steuerdaten durch Private ausdrücklich erlaubt oder verbietet.
Nur wenn eine öffentliche Stelle weder fachlich noch personell in
der Lage ist, die Aufgaben selbst wahrzunehmen, und kein öffentlicher
Auftragnehmer zur Verfügung steht, darf sie Private mit der
Verarbeitung von Steuerdaten beauftragen. Dann müssen Sicherungsmaßnahmen
in personeller, organisatorischer und technischer Hinsicht vorgesehen
werden, die der besonderen Sensibilität der Daten angepaßt und
deshalb umfassender als die sonst im Rahmen der Auftragsdatenverarbeitung
getroffenen Vorkehrungen sind. Zu den erforderlichen Maßnahmen gehören
vor allem eine wirksame Abschottung der Datenbestände beim
Auftragnehmer mit differenzierten Zugriffsrechten der Bearbeiter und die förmliche
Verpflichtung auf die Einhaltung des Steuergeheimnisses aller beim
Auftragnehmer beschäftigten Personen.
2.20.3 "Das sind Daten meiner Kunden!"
Ein kommunaler Zweckverband zur Wasserversorgung und Abwasserbehandlung informierte mich darüber, daß er mit der Inbetriebnahme eines neuen EDV-Systems nunmehr in der Lage sei, die Abrechnung aller Geschäftsvorgänge selbständig durchzuführen. Bisher war eine Firma mit diesen Abrechnungsaufgaben beauftragt und erhielt so die Stammdaten der Geschäftspartner des Zweckverbandes.
Für die selbständige Abrechnung der Geschäftsvorgänge benötigte der Zweckverband nun selbst die Daten seiner Kunden. Um datenschutzrechtliche Vorbehalte des bisherigen Auftragnehmers auszuräumen, wurde ich gebeten, meine Auffassung zur Weitergabe der Stammdaten mitzuteilen. Insbesondere bestanden Bedenken, daß der bisherige Auftragnehmer nicht in der Lage sein könnte, die Kundendaten seiner verschiedenen Auftraggeber vor der Datenweitergabe voneinander zu trennen.
Der Zweckverband hat als Auftraggeber gemäß § 4 DSG MV das Recht, den Auftragnehmer anzuweisen, seine Kundendaten zurückzugeben. Die Übermittlung der Kundendaten anderer Auftraggeber an den Zweckverband ist jedoch unzulässig. Der Auftragnehmer ist darüber hinaus verpflichtet, bei Beendigung des Auftragsverhältnisses die dann noch bei ihm befindlichen Daten des Auftraggebers zu löschen (§ 11 Abs. 2 Nr. 4 DSG MV).
Meine Nachfrage beim Auftragnehmer ergab, daß die Vorschriften des DSG MV im Rahmen der Datenverarbeitung im Auftrag des Zweckverbandes beachtet worden waren. Die Weitergabe der separierten Kundendaten des Zweckverbandes war ohne weiteres möglich.
Der kommunale Zweckverband erhielt nur die Daten seiner Kunden. Lediglich für einen Übergangszeitraum, dessen Dauer mit dem Zweckverband vereinbart wurde, blieben die Daten noch beim Auftragnehmer gespeichert.
Im Berichtszeitraum wurden fünf Sitzungen des Arbeitskreises "Technische und organisatorische Datenschutzfragen" (AK Technik) in Schwerin, Kiel, Rostock, Hannover und Karlsruhe durchgeführt. Die Auswahl der Tagungsorte stand im Zusammenhang mit den Themen, die in den jeweiligen Sitzungen behandelt wurden. In Kiel stand beispielsweise ein Besuch bei der Datenzentrale Schleswig-Holstein auf dem Programm, weil Fragen der Sicherheit von PC und Netzen dort mit besonderem Engagement bearbeitet werden. In Karlsruhe tagte der AK Technik auf Einladung des Fraunhofer-Instituts für Informations- und Datenverarbeitung (IITB) und des Europäischen Instituts für Systemsicherheit (E.I.S.S.). Schwerpunkt dieser Sitzung waren Fragen der IT-Sicherheit bei der Nutzung von Internet-Diensten durch öffentliche Stellen.
Es hat sich bewährt, zu den Sitzungen des Arbeitskreises Spezialisten aus verschiedenen Bereichen von Industrie, Wissenschaft und Verwaltung einzuladen, um deren Fachwissen in die Beratungen einfließen zu lassen.
Neben den turnusmäßigen Sitzungen wurden unter Federführung des AK Technik zu den Themen "Automatische Autobahngebührenerhebung" (siehe Punkt 2.19.1) und "Kryptografie" (siehe Punkt 2.16.4) Workshops in Berlin und Wiesbaden veranstaltet. Ziel dieser Workshops war es, sich mit neuen Technologien vertraut zu machen und den Herstellern bereits im Stadium der Entwicklung datenschutzrechtliche Empfehlungen für neue Produkte und Verfahren zu geben. Ein konstruktiver Meinungsaustausch zwischen Datenschutzbeauftragten, Vertretern von Wissenschaft und Forschung, zukünftigen Anwendern neuer Verfahren und Anbietern von Hard- und Software wurde so ermöglicht.
Die Arbeitsergebnisse des AK Technik werden auf unterschiedliche Art und Weise publiziert. So werden Entschließungen der Konferenz der Datenschutzbeauftragten, die den technisch-organisatorischen Bereich betreffen, im Arbeitskreis vorbereitet. Beispiele hierfür sind die Entschließungen zu den Themen "Elektronische Mitteilungssysteme (X.400)" (siehe Anlage 15) oder "Automatische Erhebung von Straßennutzungsgebühren" (siehe Anlage 16). In Form von schriftlichen Berichten informiert der Arbeitskreis die Konferenz zu aktuellen technisch-organisatorischen Fragen. Als geeignetes Mittel zur Information von Bürgern und Mitarbeitern der öffentlichen Stellen hat sich die sogenannte Orientierungshilfe bewährt. In diesen Orientierungshilfen berichtet der Arbeitskreis einerseits umfassend über neue technische Entwicklungen, andererseits werden aber auch ganz konkrete Empfehlungen für den datenschutzgerechten Einsatz bestimmter neuer Techniken oder automatisierter Verfahren gegeben. Alle im Berichtszeitraum vom AK Technik ausgearbeiteten Orientierungshilfen sind in meiner Dienststelle kostenlos erhältlich:
Datenschutzrechtliche Protokollierung beim Betrieb
informationstechnischer Systeme (siehe Punkt 2.16.3)
Datenschutzrechtliche Aspekte beim Einsatz optischer
Datenspeicherung (siehe Punkt 2.19.4)
Anschluß von öffentlichen Netzen an das Internet (siehe
Punkt 2.18.3).
Ich möchte die Gelegenheit nutzen, um mich an dieser Stelle für die Einsatzbereitschaft meiner Kollegen bei der Mitarbeit im AK Technik zu bedanken. Sowohl an den Sitzungen des Arbeitskreises als auch an der selbständigen Tätigkeit der Arbeitsgruppen beteiligen sich alle Kollegen mit viel Engagement und Kompetenz.
In Zukunft werden die verschiedenen Arbeitskreise verstärkt zusammenarbeiten. Schon jetzt beraten beispielsweise Mitglieder des AK Sicherheit und des AK Technik gemeinsam datenschutzrechtlichen Fragen bei der Einführung von INPOL-Neu (siehe Punkt 2.3.2).