GSB 7.1 Standardlösung

Navigation und Service

Bonn / Berlin, 21. April 2009

Pressemitteilung 12/2009

22. Tätigkeitsbericht 2007-2008
Datenschutz: Jetzt entschieden handeln!

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat heute dem Präsidenten des Deutschen Bundestages, Dr. Norbert Lammert, den 22. Tätigkeitsbericht für den Zeitraum 2007/2008 überreicht.

Hierzu weist er auf Folgendes hin:

„Das Thema Datenschutz ist im letzten Jahr in Gesellschaft und Medien so präsent gewesen wie seit langem nicht mehr. Insbesondere die Skandale, etwa der Missbrauch von Adress- und Kontoverbindungsdaten, das Ausmaß des illegalen Datenhandels und die unzulässige Überwachung von Mitarbeiterinnen und Mitarbeitern haben bundesweit große Empörung hervorgerufen und den Ruf nach einem besseren und effektiveren Datenschutz laut werden lassen. Getan hat sich aber bisher nicht viel. Zwar hat die Bundesregierung noch im letzten Jahr einen Gesetzentwurf beschlossen, der die Rechte der Bürgerinnen und Bürger stärken soll. Doch inzwischen haben sich die Lobbyisten der Werbewirtschaft, des Adresshandels, aber auch die Profiteure des illegalen Datenhandels massiv eingeschaltet. Es ist zu befürchten, dass der Gesetzentwurf scheitert, denn bis zum Ende der Legislaturperiode bleibt nicht mehr viel Zeit. Auch die versprochene Stärkung der Aufsichtsbehörden steht noch aus. Die Bürgerinnen und Bürger erwarten zu Recht, dass es nicht bei Ankündigungen bleibt, sondern dass der Datenschutz tatsächlich verbessert wird. Sonst ist nicht nur der Datenschutz in der Privatwirtschaft gefährdet, sondern auch das Vertrauen in die Politik.

Die angekündigten Änderungen sind wichtige erste Schritte auf dem Weg zu einem zeitgemäßen Datenschutzrecht. Bundesregierung und Bundestag stehen aber weiterhin in der Pflicht, die grundlegende Modernisierung der Datenschutzbestimmungen in der kommenden Legislaturperiode zügig anzugehen.

Die vielfältigen Datenschutzvorfälle in der Privatwirtschaft dürfen aber nicht den Blick dafür verstellen, dass staatlichen Sicherheitsinteressen auch in den vergangenen zwei Jahren Vorrang vor die Privatsphäre des Einzelnen eingeräumt wurde. Mit Online-Durchsuchung, Vorratsdatenspeicherung und dem immer regeren Informationsaustausch zwischen verschiedensten staatlichen Stellen sind wir auch für den Staat zunehmend auf dem Weg zu einem gläsernen Bürger. Die insbesondere seit dem 11. September 2001 eingeführten neuen Befugnisse zur staatlichen Datenerhebung und Überwachung gehören auf den Prüfstand.“


Im Berichtszeitraum 2007-2008 waren insbesondere folgende Themen von Bedeutung:

Datenmissbrauch vorbeugen

Fall Telekom – Lehren aus dem Missbrauch von Daten (Nr. 3.2.2)

Der Missbrauch von Daten bei der Deutschen Telekom AG und bei anderen Unternehmen hat als einer von vielen Datenschutzskandalen schlaglichtartig die enormen Defizite beim Datenschutz in der Privatwirtschaft beleuchtet (vgl. auch Nr. 2.3; 3.1). Diese Aufklärung ist wichtig und muss konsequent erfolgen. Genauso wichtig ist es aber auch, die datenschutzrechtlichen Risiken bei der Datenverarbeitung zu reduzieren. Erste positive Schritte sind festzustellen; es bleibt aber viel zu tun.

Dringender Handlungsbedarf beim Arbeitnehmerdatenschutz (Nr. 11.1)

Der Bundestag hat jüngst in seiner Entschließung zu meinem 21. Tätigkeitsbericht erneut die Notwendigkeit eines Arbeitnehmerdatenschutzgesetzes betont. Endlich hat sich auch die Bundesregierung dazu bekannt, den Datenschutz im Arbeitsverhältnis gesetzlich zu regeln. Jetzt kommt es darauf an, dass der gemeinsame Wille zügig umgesetzt wird. Schon bei der laufenden Novellierung des Bundesdatenschutzgesetzes muss als erster Schritt eine verbesserte Zweckbindung für Personaldaten festgelegt werden. Daten, die für das Arbeitsverhältnis erhoben werden, sollten grundsätzlich nicht für andere Zwecke verwendet werden dürfen.


Alltägliche Überwachung

Datenschutz im Zeitalter von StudiVZ, Twitter & Co (Nr. 7.3; 7.6)

Internet und virtuelle Soziale Netzwerke verändern unsere Art zu kommunizieren. Digitaler Exhibitionismus der Nutzer und umfassende Registrierung von Interessen und Verhalten machen uns Datenschützern Sorge. Werde ich nur wahrgenommen, wenn ich möglichst viel über mich preisgebe? Ist das unsere Zukunft? Jeder kann sich – zumindest im gewissen Umfang – selbst schützen. Doch auch die Anbieter von derartigen Diensten müssen datenschutzfreundliche und praktikable Lösungen zur Verfügung stellen. Die Schattenseiten des Web – Cyber-Mobbing und Internet-Pranger - dürfen nicht die Zukunft der Informationsgesellschaft darstellen.

Private Überwachung? Handy-Ortung, Google Street View ... (Nr. 7.2; 7.7)

Jeder kann selbst dazu beitragen, sein Recht auf informationelle Selbstbestimmung zu wahren: Welche Daten verbreite ich über mich im Internet? Nutze ich Kundenkarten und gebe meine Adresse und Kontoverbindung bei dubiosen Gewinnspielen an? Der technologische Fortschritt ermöglicht aber auch die immer vielfältigere, oft heimliche Beobachtung und Registrierung, auf die Betroffene kaum Einfluss haben. Sei es, dass man vom Frühstückstisch aus das Google-Street-View-Auto am Küchenfenster vorbeifahren sieht, oder dass der Ex-Freund die Verflossene heimlich mittels Handy ortet. Letztlich muss der Gesetzgeber einschreiten, um die Privatsphäre zu schützen. Inzwischen wurde zumindest für die privaten Ortungsdienste eine datenschutzfreundliche Lösung gefunden.


Sicherheit vor Datenschutz?

Online-Durchsuchungen durch Sicherheitsbehörden (Nr. 2.1; 4.1; 4.1.2; 4.1.3; 8)

Das herausragende Ereignis beim Datenschutz im öffentlichen Bereich war die Entscheidung des Bundesverfassungsgerichts vom 27. Februar 2008 zur Online-Durchsuchung nach dem Verfassungsschutzgesetz des Landes Nordrhein-Westfalen. Darin hat das Bundesverfassungsgericht den heimlichen Zugriff auf informationstechnische Systeme nur unter sehr engen Voraussetzungen für zulässig erklärt. Hervorzuheben ist die Feststellung, dass das allgemeine Persönlichkeitsrecht auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst. 25 Jahre nach dem Volkszählungsurteil trägt das Bundesverfassungsgericht damit den Herausforderungen des elektronischen Zeitalters Rechnung. Gesetzgebung und Praxis müssen hieraus die richtigen Konsequenzen ziehen.

Veränderung der Sicherheitsarchitektur des Bundes – BKA-Gesetzesnovelle (Nr. 4.2; 4.3.1)

Die Bundesregierung arbeitet weiter am Aus- und Umbau der Sicherheitsarchitektur. Dabei wird insbesondere die Zusammenarbeit von Polizei und Nachrichtendiensten intensiviert. Besonders bedeutsam sind die Bündelung der Telekommunikationsüberwachung beim Bundesverwaltungsamt und die Novellierung des am 1. Januar 2009 in Kraft getretenen BKA-Gesetzes. Dem BKA werden damit erstmals umfassende polizeiliche Befugnisse zur Abwehr des internationalen Terrorismus eingeräumt. Datenschutzrechtliche Kritik wurde dabei nur zum Teil berücksichtigt. Ich habe erhebliche Zweifel, inwieweit die vorgesehenen Datenverarbeitungsbefugnisse für die Aufgabenerfüllung des BKA wirklich angemessen, erforderlich und geeignet sind.

Zuverlässigkeitsüberprüfungen im Rahmen von Akkreditierungsverfahren bei Großveranstaltungen (Nr. 4.8.3)

Bei Sicherheits- bzw. Zuverlässigkeitsüberprüfungen gibt es vor allem seit der Fußballweltmeisterschaft 2006 zunehmend Wildwuchs. Vielfach erfolgen Zuverlässigkeitsüberprüfungen ohne rechtliche Grundlage – und dies trotz erheblicher Eingriffe in das Persönlichkeitsrecht. Erst kürzlich hat das Verwaltungsgericht Wiesbaden die Mitwirkung des BKA bei der Akkreditierung von Journalisten für den NATO-Gipfel am 3./4. April 2009 für rechtswidrig erklärt. Es ist daher an der Zeit, die Vorschriften über Zuverlässigkeitsüberprüfungen zusammenzuführen und eine für alle Überprü-fungsarten geltende einheitliche gesetzliche Grundlage zu schaffen.

Vorratsdatenspeicherung: Das Bundesverfassungsgericht hat das letzte Wort (Nr. 3.2.1)

Die zum 1. Januar 2008 in Kraft getretene gesetzliche Verpflichtung zur Vorratsdatenspeicherung war eine der gravierendsten Grundrechtseinschränkungen im Berichtszeitraum. Sie betrifft ausnahmslos alle Bürgerinnen und Bürger, ohne dass sie hierzu Anlass gegeben hätten. Das Bundesverfassungsgericht hat mit zwei Eilbeschlüssen zwar nicht die Vorratsdatenspeicherung als solche untersagt, den Strafverfolgern, den baye-rischen und thüringischen Landespolizeien und dem bayerischen Verfassungsschutz beim Zugriff auf die Vorratsdaten aber bereits deutliche Beschränkungen auferlegt. Die Hauptsacheentscheidung bleibt abzuwarten.


Jedem Töpfchen sein Deckelchen – für jeden Anlass ein Datenkärtchen

Elektronische Gesundheitskarte (Nr. 6.1 und 6.2)

Die elektronische Gesundheitskarte soll die bisherige Krankenversichertenkarte ablösen, wenn auch später als vorgesehen. Dies ruft Konkurrenten auf den Plan, die alternative Modelle von elektronischen Gesundheitsakten anbieten. Vorsicht ist hier insbesondere bei webbasierten Gesundheitsakten kommerzieller Anbieter geboten. Unklar ist häufig, wie die hochsensiblen Gesundheitsdaten vor unberechtigten Zugriffen effektiv geschützt werden können, ob die Teilnehmer sich der Risiken einer webbasierten Gesundheitsakte bewusst sind und darüber von den Anbietern umfassend informiert werden.

Identifikationsnummer für steuerliche Zwecke (Steuer-ID) (Nr. 9.1)

Jeder Bürger und jede Bürgerin hat nun eine exklusive, lebenslang gültige Nummer. Ein elektronisches Abrufverfahren (ElsterLohn II) soll ab 2011 die Lohnsteuerkarte ersetzen. Die im Zusammenhang mit der Steuer-ID errichtete Datenbank wird hierzu um weitere Angaben ergänzt, etwa um die Religionszugehörigkeit und zu Ehepartnern und zu Kindern. Damit entsteht erstmalig ein bundesweites Anschriftenregister. Begehrlichkeiten, diese Daten auch für andere Zwecke außerhalb der Steuerverwaltung zu nutzen, sind bereits erkennbar.

Die Einführung des elektronischen Entgeltnachweises (ELENA) steht bevor (Nr. 6.2)

Nach jahrelangen Vorarbeiten hat der Deutsche Bundestag das Gesetz zum ELENA-Verfahren beschlossen. Das Gesetz birgt enorme datenschutzrechtliche Brisanz, sieht es doch die Schaffung einer bundesweiten Zentraldatei vor, an die monatlich die Einkommensdaten von über 30 Millionen Bürgerinnen und Bürger übermittelt werden sollen. Auch für meine Dienststelle ergeben sich erhebliche Auswirkungen. Der Schlüssel zur Ver- und Entschlüsselung der zentral gespeicherten Daten soll von einer unabhängigen Stelle verwaltet werden. Nachdem mich der Gesetzgeber mit dieser Aufgabe betraut hat, müssen hierfür in meiner Dienststelle umgehend die technischen, personellen und finanziellen Voraussetzungen geschaffen werden.



Weitere Themen

Auskunftsanspruch in der Finanzverwaltung (Nr. 9.5)

Ein Dauerbrenner bleibt die Forderung, endlich den datenschutzrechtlichen Auskunftsanspruch auch gegenüber der Finanzverwaltung zu gewährleisten. Obwohl auch das Bundesverfassungsgericht in einem Beschluss vom 10. März 2008 die unmittelbare Anwendbarkeit des § 19 Bundesdatenschutzgesetzes gegenüber Finanzbehörden festgestellt hat, fehlt immer noch eine entsprechende Klarstellung in der Abgabenordnung. Auch in der Praxis wird Betroffenen dieses Recht immer noch weitgehend vorenthalten. Dies ist nicht mehr hinzunehmen.

Ungesicherter Datenträgeraustausch in der Bundesverwaltung (Nr. 8.2)

Trotz zunehmender Vernetzung werden immer noch viele personenbezogene Daten auf CD-ROM, DVD und anderen Datenträgern – häufig ungesichert – übermittelt. Die Vorkommnisse in Großbritannien im Jahr 2008 zeigen, dass diese Art der Datenübermittlung besonders risikoreich ist. Auch bei uns wären derartige Pannen möglich, denn auch in der Bundesverwaltung werden personenbezogene Daten beim Versand per Datenträger immer noch viel zu selten verschlüsselt, wie meine Prüfung ergeben hat. Ich konnte erreichen, dass die festgestellten Mängel in den meisten Fällen inzwischen abgestellt wurden. Im Übrigen wurde deren Behebung kurzfristig zugesichert. Ich werde dies umfassend kontrollieren.

Verbesserte IT-Sicherheit – aber nicht zu Lasten des Datenschutzes (Nr. 8.4)

Im Regierungsnetz des Bundes, dem Informationsverbund Berlin-Bonn (IVBB), sollen weitere Filter und Schutzmechanismen installiert und das Bundesamt für Sicherheit in der Informationstechnik mit neuen Befugnissen ausgestattet werden, um Schadprogramme zu erkennen und zu bekämpfen. Aber nicht alles, was mehr Sicherheit bringen soll, ist auch datenschutzrechtlich hinnehmbar. Bedenklich sind insbesondere zusätzliche Überwachungsbefugnisse, die dem Bundesamt für Sicherheit in der Informationstechnik eingeräumt werden sollen. Zu befürchten ist zudem, dass die Anbieter von Internetdiensten das Surfverhalten der Nutzer umfassend mit dem Argument registrieren, Sicherheitsrisiken zu begegnen.

Schwere Verstöße von Krankenkassen bei der Vermittlung privater Zusatzversicherungen (Nr. 10.2.4)

Bei zwei gesetzlichen Krankenkassen habe ich schwere datenschutzrechtliche Verstöße bei der Vermittlung von privaten Zusatzversicherungen festgestellt. Zur Vermittlung von privaten Zusatzversicherungen boten diese gesetzlichen Kassen dem privaten Versicherungsunternehmen die Möglichkeit, in den Räumlichkeiten der Kassen über Sozialdaten der gesetzlich Versicherten zu verfügen. Bei den Versicherten wurde bei Anrufen im Auftrag des privaten Unternehmens suggeriert, von dem besonderen Vertrauensverhältnis zwischen ihnen und ihrerKrankenkasse ausgehen zu dürfen. Dabei haben Mitarbeiter des privaten Versicherungsunternehmens zusätzlich umfassende, oftmals äußerst sensible personenbezogene Daten erhoben. Beide Krankenkassen haben den zulässigen gesetzlichen Rahmen weit überschritten. Der entsprechende Umgang mit Sozialdaten ihrer Versicherten zu diesem Zweck war somit rechtswidrig. Ich habe dies beanstandet und Strafanträge gestellt.

Reform des Meldewesens (Nr. 5.2; 6.5)

Das Bundesinnenministerium hat einen Referentenentwurf zum Bundesmeldegesetz mit einem zentralen Bundesmelderegister vorgelegt. Der Bedarf für ein zusätzliches umfangreiches zentrales Melderegister auf Bundesebene ist jedoch nicht belegt. Dies wiegt umso schwerer, als die Einführung eines derartig gestalteten Bundesmelderegisters mit erheblichen verfassungsrechtlichen Risiken behaftet wäre. Unabhängig davon muss die datenschutzrechtliche Position der Meldepflichtigen insgesamt verbessert werden. Ob es in der laufenden Legislaturperiode noch zu der vom Bundesinnenministerium angestrebten Reform des Melderechts kommt, ist derzeit offen.

Volkszählung 2011 (Nr. 5.5)

Die Volkszählung 2011 wirft ihre Schatten voraus. Das hierfür vorgesehene neue Verfahren besteht aus einer Kombination von Registerzusammenführungen und Befragungen, so dass der überwiegende Teil der Bevölkerung durch die Erhebungen nicht direkt in Anspruch genommen wird. Ich konnte im Gesetzgebungsverfahren erreichen, dass die adressscharfe Zuordnung der Zensusdaten mit Hilfe der im Anschriften- und Gebäuderegister enthaltenen kleinräumigen geografischen Koordinaten unterbleibt. Datenschutzrechtlich problematisch ist weiterhin die vorgesehene Datenerhebung in sensiblen Sonderbereichen wie zum Beispiel in Krankenhäusern und in Haftanstalten. Anders als bei der Volkszählung von 1987 sollen 2011 die Daten auch in diesen Bereichen personenbezogen erfasst werden, obwohl das Bundesverfassungsgericht im Volkszählungsurteil empfohlen hatte, in Bereichen, in denen die Gefahr einer sozialen Abstempelung besteht, die Erhebung möglichst in anonymisierter Form durchzuführen.