Entschließungen:
Pressemitteilung
Die 68. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat am 28./29. Oktober 2004 in Saarbrücken unter Vorsitz des Landesbeauftragten für Datenschutz des Saarlandes, Roland Lorenz, getagt. Sie hat sich u.a. mit folgenden Themen befasst:
Auswirkungen der Entscheidungen des BVerfG vom 03.03.2004 auf die Polizei und Nachrichtendienste - akustische Wohnraumüberwachung
Nach den Entscheidungen des Bundesverfassungsgerichts vom 03.03.2004 zur akustischen Wohnraumüberwachung und zur präventiven Telekommunikationsüberwachung müssen die Prinzipien der Entscheidungen auf die Rechtsgrundlagen der Polizei und Nachrichtendienste übertragen werden. Daraus ergibt sich ein umfassender gesetzlicher Änderungsbedarf.
Zur Novellierung der akustischen Wohnraumüberwachung hat die Bundesregierung den zweiten Entwurf einer Änderung der Bestimmungen der Strafprozessordnung vorgelegt. Nachdem der erste Entwurf insbesondere wegen der Einbeziehung der Berufsgeheimnisträger, wie beispielsweise Ärzte, Rechtsanwälte, Seelsorger, Journalisten, heftigen Protest hervorgerufen hat, werden diese Berufsgruppen vom Instrument der akustischen Wohnraumüberwachung im jetzigen Entwurf nur dann miterfasst, wenn sie als Teilnehmer des kriminellen Geschehens ebenfalls in Verdacht stehen.
Zu den darüber hinaus zu ändernden Regelungen stehen allerdings Gesetzgebungsvorhaben noch aus. Vor allem bei den heimlichen Maßnahmen muss der Kernbereich ausschließlich privater Lebensgestaltung gewahrt bleiben.
Die genauen Einzelheiten wurden von der Konferenz in einer Entschließung hervorgehoben.
Rechtliche Situation in den Ländern zum Thema "Präventive TK-Überwachung"
Es ist festzustellen, dass die präventive Telekommunikationsüberwachung bereits in einigen Bundesländern im Polizeirecht eingeführt wurde. Sie als reines Polizeiinstrument zur Gefahrenabwehr einzuführen, kann hinsichtlich der Anwendungsfälle problematisch sein, dennoch werden dahingehende Rechtsgrundlagen in allen Bundesländern in Erwägung gezogen.
Gegen die niedersächsische Regelung wurde eine Verfassungsbeschwerde beim Bundesverfassungsgericht erhoben.
Die Konferenz empfiehlt den Landesgesetzgebern, vor der Schaffung neuer Bestimmungen in den Polizeigesetzen der Länder die voraussichtlich richtungweisende Entscheidung des Bundesverfassungsgerichts abzuwarten.
Zusammenarbeit von Polizei und Verfassungsschutz bei der Bekämpfung des islamistischen Terrorismus
Von politischer Seite wird die nicht ausreichende Zusammenarbeit des Verfassungsschutzes und der Polizei bemängelt, die insbesondere die effektive Bekämpfung des islamistischen Terrorismus behindere.
Die Datenschutzkonferenz wendet sich allerdings entschieden gegen die Einbeziehung des islamistischen Extremismus ohne terroristischen Hintergrund in eine gemeinsame Datei von Polizei und Verfassungsschutz. Die Polizei ist für die Beobachtung des islamistischen Extremismus ohne terroristischen Hintergrund nicht zuständig und darf nicht über eine gemeinsame Datei insoweit Datenerhebungsbefugnisse des Verfassungsschutzes erhalten. Derartige Datenerhebungsbefugnisse für die Polizei würden die Grenze zwischen Polizei und Verfassungsschutz verwischen.
Verwaltungsvereinfachungen - Chancen zur Datenvermeidung und Datensparsamkeit
Über die Chancen, die die gegenwärtigen Reformen und Deregulierungsbemühungen der öffentlichen Hand für die Datenschutzrechte der Bürgerinnen und Bürger bieten, wurde in der Konferenz mit dem Ergebnis der beigefügten Entschließung intensiv diskutiert.
Mit Verwaltungsvereinfachungen sollte auch ein verbesserter Datenschutz im Sinne von Datenvermeidung und Datensparsamkeit einhergehen.
Leider musste festgestellt werden, dass Deregulierung und Reformen in der Realität auch zum Abbau von Grundrechten beitragen können, wenn man sich beispielsweise - statt Daten beim Betroffenen mit seiner Kenntnis zu erheben - vorhandener Daten kurzerhand bemächtigt.
JobCard
Die Konferenz hat sich mit dem vom Bundesministerium für Wirtschaft und Arbeit in Auftrag gegebenen Projekt JobCard befasst, bei dem Einkommensdaten von Beschäftigten, die im Bereich der Arbeitsverwaltung oder anderer Sozialleistungsträger benötigt werden, zentral gespeichert und bei Bedarf mit einer Signaturkarte abgerufen werden.
Die Konferenz hat beschlossen, die Realisierbarkeit einer Ende zu Ende Verschlüsselung auf der Grundlage eines neutralen Gutachtens untersuchen zu lassen.
Gravierende Datenschutzmängel bei Hartz IV
Die Datenschutzbeauftragten des Bundes und der Länder stellen fest, dass es bei der Zusammenlegung von Arbeitslosen- und Sozialhilfe zu erheblichen datenschutzrechtlichen Mängeln gekommen ist. Das betrifft vor allem die Gestaltung der Antragsformulare und die eingesetzten EDV-Verfahren.
Beim Ausfüllen der Fragebogen ist sicherzustellen, dass nur die im konkreten Einzelfall wirklich erforderlichen Daten erhoben werden.
Problematisch bei der Leistungsberechnungs-Software sind insbesondere die zu weitgehenden Zugriffsrechte der Mitarbeiter.
Die Datenschutzbeauftragten des Bundes und der Länder fordern die BA auf, die notwendigen Schritte unverzüglich einzuleiten und nähere Auskunft über den Stand des Verfahrens zu erteilen.
Dies haben die Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung festgehalten.
Benennung eines Ländervertreters für die Gemeinsame Kontrollinstanz von Europol
Der Landesbeauftragte von Sachsen-Anhalt, Herr Rainer Kalk, wird nach seinem Ausscheiden aus dem Amt des sachsen-anhaltinischen Landesbeauftragten auch seine zweite Aufgabe als Ländervertreter in der Gemeinsamen Kontrollinstanz von Europol beenden.
Die Konferenz hat für die vom Bundesrat vorzuschlagende Nachfolge eine Empfehlung ausgesprochen.
Herrn Rainer Kalk war für seine langjährige und verdienstvolle Arbeit, zuletzt in der Funktion als Vorsitzendem der Gemeinsamen Kontrollinstanz, besonders herzlich zu danken.
Entwicklung eines verbindlichen Prüfkatalogs zur Datenschutzvereinbarkeit von Gesetzen und Verordnungen
Zur Erleichterung der gesetzgeberischen Arbeit werden die Datenschutzbeauftragten des Bundes und der Länder einen Prüfkatalog entwickeln, mit dem die Vollständigkeit datenschutzrechtlicher Regelungen in Rechtsvorschriften erreicht werden soll.
Datenschutzgerechtes eGovernment
Die Datenschutzbeauftragten haben eine Handreichung "Die virtuelle Poststelle im datenschutzgerechten Einsatz" erstellt und sehen darin eine wichtige Grundlage für die Förderung von eGovernment-Anwendungen in der Verwaltung.
Virtuelles Datenschutzbüro
Das durch den Landesbeauftragten für Datenschutz in Schleswig-Holstein eingerichtete Virtuelle Datenschutzbüro (www.datenschutz.de [EXTERNER LINK]), an dem neben den Datenschutzbeauftragten inländische und ausländische Datenschutzinstitutionen beteiligt sind, bietet eine informative Plattform für alle an Datenschutzfragen interessierte Personen.
Die Konferenz hat die bisherigen zahlreichen Anfragen sehr begrüßt und freut sich über das rege Interesse an dieser vor einigen Jahren eingerichteten Institution.
Steuer-Identifikationsnummer und umfassender Kontodatenzugriff
Die Konferenz macht auf eine Entwicklung aufmerksam, die zu einem verfassungsrechtlich unzulässigen Personenkennzeichen führen kann. Die im Steuerrecht künftig für jede Person, auch schon für Neugeborene, eingeführte "Identifikationsnummer" sollte eng an den Besteuerungszweck angelehnt bleiben. Die neu geschaffenen gesetzlichen Regelungen, die nur noch durch eine Rechtsverordnung konkretisiert werden sollen, sehen hingegen schon eine Erweiterung durch einfache Rechtsvorschriften vor. Da die Regelungen bislang in der Öffentlichkeit nicht diskutiert wurden, aber einen wesentlichen Schritt zum "gläsernen Steuervolk" in Wirtschafts- und Finanzangelegenheiten bilden, soll die verfassungskonforme Ausgestaltung anlässlich einer Rechtsverordnung in die Wege geleitet werden.
Eine weitere Bestimmung, die im April 2005 in Kraft treten soll, und von der Öffentlichkeit ebenfalls weitgehend unbemerkt verabschiedet wurde, lässt den Schluss zu, nicht überwachte Bürgerinnen und Bürger neigten zu Betrug und Steuerhinterziehung, eine Vorstellung, die dem verfassungsrechtlichen Menschenbild nicht entspricht. Der Gesetzgeber hat dennoch den Finanzbehörden über das Bundesamt für Finanzen den Zugriff auf Kontostammdaten der Bankkunden erlaubt. Auch hier ist die gesetzliche Zweckbindung der Daten kaum erkennbar und von ausuferndem Charakter.
Beteiligung der GEZ am Adresshandel (8. Rundfunkänderungsstaatsvertrag)
Die für die Rundfunkanstalten zuständigen Datenschutzbeauftragten haben stets die Praxis der GEZ kritisiert, jährlich mehrere Millionen Adressen hinten dem Rücken der Betroffenen beim kommerziellen Adresshandel zu beschaffen.
Diese Praxis soll nunmehr durch eine Änderung des Rundfunkgebührenstaatsvertrags legitimiert werden.
Hiergegen haben im Rahmen der Konferenz die zuständigen Datenschutzbeauftragten, wozu der Landesbeauftragte des Saarlandes nicht zählt, Stellung genommen.
Die Bundesregierung hat einen Gesetzentwurf zur Neuregelung der akustischen Wohnraumüberwachung vorgelegt. Sie setzt damit in großen Teilen das Urteil des Bundesverfassungsgerichts vom 3. März 2004 um, wonach die Vorschriften der Strafprozessordnung zum "großen Lauschangriff" in wesentlichen Teilen verfassungswidrig sind. Allerdings sind zentrale Punkte, wie die Begriffsbestimmung des "unantastbaren Kernbereichs der privaten Lebensgestaltung" und die Bestimmung des Kreises der Menschen "des persönlichen Vertrauens" offen geblieben.
Ungeachtet dessen drohen im weiteren Verlauf des Gesetzgebungsverfahrens schwerwiegende Verschlechterungen: So wird diskutiert, die Vorgaben des Bundesverfassungsgerichts dadurch zu unterlaufen, dass auch bei erkannten Eingriffen in den absolut geschützten Kernbereich die technische Aufzeichnung fortgesetzt wird. Dies steht in eklatantem Widerspruch zur eindeutigen Vorgabe des Bundesverfassungsgerichts, die Aufzeichnung in derartigen Fällen sofort zu beenden. Darüber hinaus wird versucht, den Anwendungsbereich der akustischen Wohnraumüberwachung dadurch auszuweiten, dass auch nicht strafbare Vorbereitungshandlungen einbezogen werden. Auch dies widerspricht den verfassungsgerichtlichen Vorgaben und verwischt die Grenzen zwischen Strafverfolgung und Gefahrenabwehr.
Die Datenschutzbeauftragten bekräftigen im Übrigen ihre Forderung, dass es im Hinblick auf die Heimlichkeit der Überwachung und ihrer zwangsläufigen Berührung mit dem Kernbereich privater Lebensgestaltung erforderlich ist, alle Formen der verdeckten Datenerhebung an den Maßstäben der verfassungsgerichtlichen Entscheidung vom 3. März 2004 zu messen und auszurichten sowie die einschlägigen gesetzlichen Befugnisregelungen des Bundes und der Länder auf den Prüfstand zu stellen und
gegebenenfalls neu zu fassen. Dies gilt etwa für die präventive Telekommunikationsüberwachung, die längerfristige Observation, den verdeckten Einsatz technischer Mittel, den Einsatz nachrichtendienstlicher Mittel und von verdeckten Ermittlern. Dabei sind insbesondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung und zum Schutz vertraulicher Kommunikation mit engsten Familienangehörigen und andern engsten Vertrauten sowie mit Personen, die einem Berufsgeheimnis unterliegen, zur Einhaltung der Zweckbindung bei Weiterverwendung der durch die Eingriffsmaßnahmen erlangten Daten, zu der dazu erforderlichen Kennzeichnungspflicht und zur Benachrichtigung aller von der Eingriffsmaßnahme Betroffenen sowie zur detaillierten Ausgestaltung von Berichtspflichten gegenüber den Parlamenten vorzusehen.
Die Datenschutzbeauftragten des Bundes und der Länder begrüßen die Bemühungen, Dienstleistungen der öffentlichen Verwaltung bürgernäher und effizienter zu erbringen. Sie fordern, dass im Zug von Maßnahmen der Verwaltungsreform die sich dadurch bietenden Möglichkeiten genutzt werden, um das Datenschutzniveau zu verbessern. Verwaltungsvereinfachung muss auch dazu genutzt werden, weniger personenbezogene Daten zu verarbeiten. Künftig müssen Verfahren und Datenflüsse wesentlich besser überschaubar und nachvollziehbar sein. Besonders sollen die Möglichkeiten der Technik genutzt werden, Risiken zu minimieren, die mit der Zentralisierung von Datenbeständen verbunden sind.
Werden Rechtsvorschriften, etwa im Steuerrecht oder im Arbeits- und Sozialrecht und hier insbesondere bei Änderungen in den Systemen der sozialen Sicherung, mit dem Ziel der Verwaltungsvereinfachung erlassen, sind die Auswirkungen auf den Datenschutz frühzeitig zu prüfen. Im Ergebnis müssen die Normen den gesetzlich verankerten Grundsatz der Datenvermeidung umsetzen und somit das Recht auf informationelle Selbstbestimmung gewährleisten.
Die Datenschutzbeauftragten des Bundes und der Länder fordern deswegen, bei Vorschlägen zur Verwaltungsvereinfachung und darüber hinaus bei allen Regelungsvorhaben darauf zu achten, dass das damit verbundene Potential an Datensparsamkeit und Transparenz ausgeschöpft wird.
Hierzu ist eine Folgenabschätzung auf mögliche Beeinträchtigungen der informationellen Selbstbestimmung vorzunehmen. Die Ergebnisse sind in geeigneter Form zu dokumentieren.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder stellt fest, dass es bei der praktischen Umsetzung der Zusammenlegung von Arbeitslosen- und Sozialhilfe zu erheblichen datenschutzrechtlichen Mängeln gekommen ist. Diese bestehen sowohl bei den Verfahren der Datenerhebung durch die verwendeten Antragsformulare als auch bei der Leistungsberechnungs-Software (A2LL). Die Datenschutzdefizite wären vermeidbar gewesen, wenn datenschutzrechtliche Belange von Anfang an angemessen berücksichtigt und umgesetzt worden wären.
Zwar stellt die Bundesagentur für Arbeit (BA) seit dem 20.09.2004 sog. "Ausfüllhinweise zum Antragsvordruck Arbeitslosengeld II" zur Verfügung, in denen viele Bedenken der Datenschutzbeauftragten aufgegriffen werden. Allerdings ist hierbei zu berücksichtigen, dass durch die Ausfüllhinweise nicht mehr alle antragstellenden Personen erreicht werden können. Umso wichtiger ist es, dass die örtlich zuständigen Leistungsträger die verbindlichen Ausfüllhinweise beachten und die antragstellenden Personen, die ihren Antrag noch nicht eingereicht haben, vor der Abgabe auf diese hingewiesen werden. Personen, die ihren Antrag früher gestellt haben, dürfen nicht benachteiligt werden. Überschussinformationen, die vorhanden sind und weiterhin erhoben werden, sind zu löschen.
Darüber hinaus will die BA die in den Antragsformularen nachgewiesenen Datenschutzmängel in vielen Bereichen in der nächsten Druckauflage korrigieren und für das laufende Erhebungsverfahren zur Verfügung stellen. Gleichwohl ist zu befürchten, dass die Formulare nicht das erforderliche Datenschutzniveau erreichen.
Hinsichtlich der Software A2LL bestehen immer noch wesentliche Datenschutzmängel, die zu erheblichen Sicherheitsrisiken führen. Insbesondere besteht für die Sachbearbeitung ein uneingeschränkter bundesweiter Zugriff auf alle Daten, die im Rahmen von A2LL erfasst wurden, auch soweit diese Daten für die Sachbearbeitung nicht erforderlich sind. Dieser Mangel wird dadurch verschärft, dass noch nicht einmal eine Protokollierung der lesenden Zugriffe erfolgt und damit missbräuchliche Zugriffe nicht verfolgt werden können. Das Verfahren muss über ein klar definiertes Zugriffsberechtigungskonzept verfügen. Die Beschäftigten der zuständigen Leistungsträger dürfen nur den zur Aufgabenerfüllung erforderlichen Zugriff auf die Sozialdaten haben.
Die Datenschutzbeauftragten des Bundes und der Länder fordern die BA auf, die notwendigen Schritte unverzüglich einzuleiten und nähere Auskunft über den Stand des Verfahrens zu erteilen.
Die für die Rundfunkanstalten zuständigen Datenschutzbeauftragten haben im Rahmen der 68. Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu dem 8. Rundfunkänderungsstaatsvertrag nachstehende Feststellung getroffen.
Die Datenschutzbeauftragten des Bundes und der Länder haben sich wiederholt dafür eingesetzt, bei der Finanzierung des öffentlich-rechtlichen Rundfunks in Deutschland das Prinzip von Datenvermeidung und Datensparsamkeit in stärkerem Maße zu berücksichtigen. In der Kritik steht dabei im Besonderen die Beschaffung von jährlich mehreren Millionen Adressen hinter dem Rücken der Betroffenen beim kommerziellen Adresshandel durch die von den Rundfunkanstalten beauftragte Gebühreneinzugszentrale (GEZ), die diese Adressen für flächendeckende Mailing-Aktionen nutzt. Zahlreiche Beschwerden und Anfragen von Bürgerinnen und Bürgern beziehen sich auf diese Praxis der GEZ, die die zuständigen Landesdatenschutzbeauftragten als rechtswidrig bezeichnet haben.
Anstatt gemeinsam mit den Datenschutzbeauftragten datenschutzfreundliche Varianten einer gerechten Finanzierung des öffentlich-rechtlichen Rundfunks ernsthaft zu prüfen, haben die Ministerpräsidenten der Länder mit dem Entwurf eines 8. Rundfunkänderungsstaatsvertrages neben der Erhöhung der Rundfunkgebühren und deren Erstreckung auf Computer weitgehend ohne die gebotene Beteiligung der zuständigen Landesdatenschutzbeauftragten eine weitere Verschlechterung des Datenschutzes beschlossen:
Um die Beschaffung von Daten beim kommerziellen Adresshandel gesetzlich zu legitimieren, soll der Rundfunkgebührenstaatsvertrag um eine Befugnis erweitert werden, nach der die Rundfunkanstalten und die GEZ personenbezogene Daten unter den gleichen Bedingungen verarbeiten dürfen wie privatwirtschaftliche Unternehmen.
Die vorgesehene Befugnis ist mit datenschutzrechtlichen Grundsätzen nicht zu vereinbaren. Während öffentlich-rechtliche Institutionen personenbezogene Daten nur verarbeiten dürfen, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist, ist die Datenverarbeitung der im Wettbewerb stehenden Privatwirtschaft vom Prinzip der Vertragsfreiheit geprägt. Die öffentlich-rechtlichen Rundfunkanstalten stehen hinsichtlich des Gebühreneinzugs in keinem Wettbewerb zu anderen Rundfunkveranstaltern. Schließlich haben die Länder gegen das Votum der Datenschutzbeauftragten bereits vor Jahren regelmäßige Übermittlungen von Meldedaten an die Rundfunkanstalten zugelassen, weil dies für erforderlich gehalten wurde. Eine parallele Nutzung von Daten aus den Melderegistern bei gleichzeitiger Beschaffung von Adressen im privaten Adresshandel ist jedoch unverhältnismäßig.
Zudem wird durch die ohnehin fragwürdige Befugnis das Ziel der Rundfunkanstalten nicht erreicht. Auch bei einem Inkrafttreten der vorgesehenen Regelung bliebe die Beschaffung von Adressen beim kommerziellen Adresshandel durch die GEZ rechtswidrig, da sich die Erhebung von personenbezogenen Daten bei Dritten ohne Kenntnis der Betroffenen weiterhin nach dem maßgeblichen Landesrecht richtet.
Die Konferenz hat davon Kenntnis genommen.