1 Terrorbekämpfung im Bereich der Häfen und der internationalen Schifffahrt
Ein Mitarbeiter einer Seehafen-Umschlagsgesellschaft machte mich darauf aufmerksam, dass von allen Mitarbeitern der im Hafen ansässigen Firmen Daten wie Name, Vorname, Geburtsdatum, Personalausweisnummer, Lichtbild und Arbeitgeber erhoben würden. Diese Daten würden zur Erstellung eines Betriebsausweises benötigt. Man habe sich auf sein Nachfragen hin dabei allgemein auf Maßnahmen zur Umsetzung des ISPS (International Ship Port Security)-Codes bezogen.
Ich habe daraufhin den Wirtschaftsminister unseres Landes nach der konkreten Rechtsgrundlage für die Datenerhebung und deren weiteren Verwendung befragt. Er hat mir mitgeteilt, dass diese Maßnahmen in Ausübung des Hausrechts auf der EU-Verordnung 725/2004 (Vertragsgesetz vom 22.12.2003) in Verbindung mit dem ISPS-Code, der einen Plan zur Gefahrenabwehr in der Hafenanlage vorsieht, in Verbindung mit § 28 Bundesdatenschutzgesetz (BDSG) beruhen. Dies sei im Zuge der Terrorbekämpfung für die Hafensicherheit auch erforderlich. Auf dieser Grundlage werde für die im Seehafen ansässigen Hafenanlagenbetreiber ein einheitliches Zugangskontrollsystem betrieben. Die angeforderten Daten seien zur Erstellung eines einheitlichen Betriebsausweises notwendig gewesen.
Auch aus datenschutzrechtlicher Sicht ist verständlich, dass für den Hafen ein einheitliches Zugangskontrollsystem installiert wird, um zu verhindern, dass unberechtigte Personen Zugang zum Hafengelände erhalten. Dennoch sind die schutzwürdigen Belange der betroffenen Mitarbeiter zu berücksichtigen. Das bedeutet, dass sie zumindest aufgeklärt werden müssen, zu welchem Zweck ihre Daten weitergeleitet werden. Inzwischen hat die Gesellschaft eine Datenschutzerklärung erstellt, in der genau festgelegt ist, zu welchem Zweck die Daten benötigt werden, wer Zugriff darauf hat und wie sie aufbewahrt werden.
(42) Ich empfehle der Landesregierung, im Rahmen des noch immer ausstehenden Wasserverkehrs- und Hafenanlagensicherheitsgesetzes (WVHaSiG), die datenschutzrechtlich bedeutsame Zuverlässigkeitsüberprüfung, welche umfangreiche Abfragemöglichkeiten zu bestimmten Hafenmitarbeitern bei Polizei und gegebenenfalls weiteren Sicherheitsbehörden erlaubt, gesetzlich zu regeln und mich hieran frühzeitig zu beteiligen.
2 Datenübermittlung nach dem Schornsteinfegergesetz
Ein Bürger fragte mich, welche personenbezogenen Daten Schornsteinfeger verarbeiten und an andere Stellen übermitteln. Er befürchtete, dass Schornsteinfeger Daten rechtswidrig an die Zollbehörden übermitteln.
Ich habe daraufhin die Schornsteinfegerinnung um eine Stellungnahme zur Verarbeitung personenbezogener Daten gebeten. Der Innungsobermeister teilte mir mit, dass sich die Schornsteinfeger an die Bestimmungen des Schornsteinfegergesetzes (SchfG), insbesondere an dessen § 19 halten. Dort ist festgelegt, dass Schornsteinfeger zur Erfüllung ihrer eigenen Aufgaben, zur Bekämpfung von Luft-, Boden- und Gewässerverschmutzung, zur rationellen Energieverwendung, zur Bauaufsicht und zur Brandbekämpfung personenbezogene Daten verarbeiten und gegebenenfalls an andere öffentliche Stellen übermitteln dürfen, soweit dies erforderlich ist. In einem Gespräch räumte er jedoch ein, dass Mitarbeiter des Zolls häufig bei den Bezirksschornsteinfegern nachgefragt hätten, ob bestimmte Personen Eigentümer einer Ölfeuerungsanlage seien. Die Schornsteinfeger würden darauf nur mit „ja“ oder „nein“ antworten. Dies betrachtete er noch nicht als eine Übermittlung personenbezogener Daten. Hintergrund der Frage des Zolls ist, dass er mit dieser Information besser einem möglichen Missbrauch von Heizöl als Dieselkraftstoff nachgehen kann.
Dem Innungsobermeister habe ich erklärt, dass bereits die Beantwortung dieser Frage mit „ja“ oder „nein“ eine Übermittlung personenbezogener Daten darstellt, denn es werden Daten über die sachlichen Verhältnisse einer Person weitergegeben (§ 3 Abs. 1 Landesdatenschutzgesetz). § 19 SchfG enthält keine Vorschrift, nach der eine Übermittlung von personenbezogenen Daten für Zwecke der Strafverfolgung zulässig wäre. Ich habe empfohlen, die Bezirksschornsteinfeger darüber zu informieren, dass sie personenbezogene Daten nur übermitteln dürfen, wenn die ersuchende Stelle ihnen eine Rechtsgrundlage – beispielsweise nach dem Sicherheits- und Ordnungsgesetz Mecklenburg-Vorpommern – mitteilt, nach der sie zur Auskunft verpflichtet sind.
Der Innungsobermeister hat zugesagt, die Empfehlung umzusetzen.
Dem Wirtschaftsministerium als Aufsichtsbehörde für das Schornsteinfegerwesen habe ich meine Rechtsauffassung hierzu mitgeteilt. Es hat ihr nicht widersprochen.
3 Kurverwaltung als Schrankenwärter
Ein Gast eines Ostseebades berichtete mir von einer Ferienhausanlage, in der er sich nicht ausreichend diskret behandelt fühlte.
Zur Anlage gehört ein Parkplatz, der mit einer Schranke gegen unbefugtes Befahren gesichert ist. Eigentümer und Gäste erhalten von der Kurverwaltung eine kontaktlose Chipkarte, mit der sie die Schranke öffnen können. Genauere Hinweise zur Funktion des Systems erhielten aber nur die Eigentümer der Ferienhäuser. Der Petent erfuhr davon zufällig, als er sich wegen eines Defektes seiner Karte an die Kurverwaltung wandte. Dort sah er verwundert, dass alle seine Ein- und Ausfahrten der letzten Tage mit Datum und Uhrzeit personenbeziehbar protokolliert waren.
Die Kurverwaltung teilte mir mit, dass diese Daten benötigt würden, um Manipulationsversuche zu erkennen, beispielsweise die Weitergabe von Karten an Unberechtigte. Die Schrankensteuerung könnte somit unter anderem registrieren, dass mit derselben Karte zweimal auf den Parkplatz gefahren wurde, ohne dass der Benutzer zwischendurch ausgefahren ist.
Die Zulässigkeit der Datenverarbeitung war in diesem Fall nach dem Bundesdatenschutzgesetz (BDSG) zu beurteilen, weil die Kurverwaltung als öffentlich-rechtliches Unternehmen (Eigenbetrieb der Gemeinde) am Wettbewerb teilnimmt (§ 2 Abs. 5 DSG M-V). § 28 Abs. 1 Nr. 1 BDSG erlaubt die Verarbeitung personenbezogener Daten, wenn es der Zweckbestimmung eines Vertragsverhältnisses oder eines vertragsähnlichen Vertrauensverhältnisses dient. Letzteres besteht zwischen Gast und Kurverwaltung. Die Zeitpunkte korrekter Ein- und Ausfahrten dürfen jedoch nicht gespeichert werden, weil dies weder zur Gebührenberechnung noch zur Erkennung von Missbrauch oder Defekten erforderlich ist. Außerdem hat die Kurverwaltung die Gäste nicht über die Verarbeitung ihrer Daten informiert, wie in § 4 Abs. 3 BDSG vorgeschrieben.
Auf meine Empfehlung hin hat die Kurverwaltung das Verfahren wie folgt geändert:
Neben den Stammdaten (Kartennummer, Gültigkeitsdauer, Parkplatznummer, Autokennzeichen und Meldescheinnummer) wird im regulären Betrieb nur noch gespeichert, wann die Karte zuletzt benutzt wurde und ob es sich dabei um eine Ein- oder Ausfahrt handelt. Dieser Datensatz wird bei der nächsten zulässigen Durchfahrt überschrieben. Der Versuch einer unzulässigen Durchfahrt wird protokolliert und bleibt eine Woche gespeichert. Dieser Zeitraum reicht aus, um zu klären, ob es sich um einen Defekt oder einen Missbrauchsversuch handelt. Darüber hinaus erklärt die Kurverwaltung den Gästen nun in einem Merkblatt, was genau mit ihren Daten passiert.
(43) Ich empfehle der Landesregierung, im Rahmen der Tourismusförderung insbesondere Unternehmen und Kurverwaltungen für einen datenschutzgerechten Umgang mit den Daten ihrer Gäste zu sensibilisieren. Das gilt insbesondere bei der Einführung elektronischer Systeme.