HTTP 200 OK
Allow: GET, PUT, PATCH, HEAD, OPTIONS
Content-Type: application/json
Vary: Accept
{
"resource_uri": "https://fragdenstaat.de/api/v1/document/141628/",
"id": 141628,
"site_url": "https://fragdenstaat.de/dokumente/141628-bericht-des-berliner-beauftragten-fur-datenschutz-und-informationsfreiheit-zum-31-dezember-2010/",
"title": "Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2010",
"slug": "bericht-des-berliner-beauftragten-fur-datenschutz-und-informationsfreiheit-zum-31-dezember-2010",
"description": "",
"published_at": null,
"num_pages": 110,
"public": true,
"listed": true,
"allow_annotation": false,
"pending": false,
"file_url": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/blnbdi-jahresbericht-2010-web.pdf",
"file_size": 1095452,
"cover_image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p1-small.png",
"page_template": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p{page}-{size}.png",
"outline": "",
"properties": {
"title": "Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2010",
"author": "Dr. Alexander Dix",
"_tables": [],
"creator": "Adobe InDesign CS5 (7.0.2)",
"subject": "Datenschutz",
"producer": "Adobe PDF Library 9.9",
"_format_webp": true
},
"uid": "69893e62-673c-4f97-b1d1-c9a6aa3fd71b",
"data": {},
"pages_uri": "/api/v1/page/?document=141628",
"original": null,
"foirequest": null,
"publicbody": null,
"last_modified_at": "2021-10-17 10:57:37.750367+00:00",
"pages": [
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 1,
"content": "Veröffentlichungen des Berliner Beauftragten für Datenschutz und Informationsfreiheit www.datenschutz-berlin.de Berliner Beauftragter für Tätigkeitsberichte: Der Berliner Beauftragte für Datenschutz und Datenschutz und Informationsfreiheit Informationsfreiheit hat dem Abgeordnetenhaus und dem Senat Datenschutz und Informationsfreiheit von Berlin jährlich einen Bericht über seine Tätigkeit vorzulegen. in Berlin Neben aktuellen technischen und rechtlichen Entwicklungen wird darin über Schwerpunktthemen und Einzelfälle aus den jeweiligen Geschäftsbereichen berichtet. Seit 1990 wird der Tätigkeitsbericht von uns auch als Bürgerbroschüre veröffentlicht. Dokumente zu Datenschutz und Informationsfreiheit: Die Bände 2010 dieser Schriftenreihe erscheinen jährlich als Anlage zu unseren Tätigkeitsberichten. Sie enthalten die bedeutsamen Dokumente der nationalen und internationalen Arbeitsgruppen und Konferenzen des Georeferenzierte Panoramadienste: Street View genannten Jahres. Datenschutz und Datenschutz und Informationsfreiheit Berliner Informationsgesetzbuch (BlnInfGB): In dieser Textsammlung war erst der Anfang • Gesetz zur Regelung des werden von uns seit 1993 die wichtigsten datenschutzrechtlichen Regelungen für das Land Berlin herausgegeben. Beschäftigtendatenschutzes • Neues Daten- Informationsfreiheit schutzrecht für die Werbung – kein Lichtblick für die Ratgeber zum Datenschutz: In dieser Reihe haben wir praktische Informationen zu einzelnen Fragen im Alltag zusammengestellt, die Betroffenen • Der Elektronische Entgeltnachweis (ELENA) Bericht 2010 die Betroffenen in die Lage versetzen sollen, ihre Datenschutzrechte – ein unsicherer Daten-Moloch • Der neue Personal bzw. ihr Recht auf Informationsfreiheit eigenständig wahrzunehmen. ausweis • Smartphone-Apps – wo bleibt der Hinweise zum Datenschutz: Während unserer Beratungen werden Datenschutz? • Tracking im Internet – Europa will wir vielfach von Betroffenen oder Daten verarbeitenden Stellen um Hilfe oder Empfehlungen im Umgang mit personenbezogenen den Schutz verbessern • Körperscanner • Der Daten gebeten. Einige unserer datenschutzrechtlichen Hinweise zu Standardproblemen sind als Veröffentlichungen erschienen. elektronische Aufenthaltstitel • Bundesweite Daten- bank zur Religionszugehörigkeit? • Wenn das Job- Welche Broschüren wir im Einzelnen veröffentlicht haben, können Sie center die Klassenfahrt bezahlt • Tumorzentren • einer Übersicht auf unserer Website www.datenschutz-berlin.de ent- Zensus 2011 – Stand der Vorbereitung • RFID- nehmen. Den überwiegenden Teil unserer Broschüren haben wir dort für Sie auch zum Download bereitgestellt. Eine Bestellung per Post ist gestützte Zugangskontrollsysteme an Hochschulen • Jahresbericht gegen Einsendung eines an Sie selbst adressierten und mit 0,85 Euro Automatisierte Schülerdatei • Fahrlässiger Umgang frankierten DIN-A5-Umschlages möglich. mit Bankdaten • Das neugierige Fitnessstudio • Internationale Datenschutzstandards • Stiftung Datenschutz – ein Zwischenstand • Informations- pflicht bei Datenpannen • Vorratsdatenspeicherung",
"width": 5121,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p1-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 2,
"content": "BERICHT des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2010 Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat dem Abgeordnetenhaus und dem Senat jährlich einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen (§§ 29 Berliner Datenschutzgesetz, 18 Abs. 3 Berliner Informationsfreiheitsgesetz). Der vorliegende Bericht schließt an den am 31. März 2010 vorgelegten Jahresbericht 2009 an und deckt den Zeitraum zwischen 1. Januar und 31. Dezember 2010 ab. Wiederum werden die über Berlin hinaus bedeutsamen Dokumente in einem gesonderten Band („Dokumente 2010“) veröffentlicht. Dieser Jahresbericht ist über das Internet (www.datenschutz-berlin.de) abrufbar.",
"width": 1749,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p2-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 3,
"content": "Inhaltsverzeichnis Einleitung................................................................................................................ 9 1. Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik..........................................................16 1.1.1 Nach A-, B- und C- jetzt auch D(igitale)-Kriegsführung?...................16 1.1.2 Georeferenzierte Panoramadienste: Street View war erst der Anfang....23 1.2 Datenverarbeitung in der Berliner Verwaltung..............................................30 1.2.1 IT-Politik............................................................................................30 1.2.2 IT-Sicherheit......................................................................................33 Impressum 1.2.3 Aktuelle IT-Projekte...........................................................................38 Herausgeber: Berliner Beauftragter für 2. Schwerpunkte Datenschutz und Informationsfreiheit 2.1 Gesetz zur Regelung des Beschäftigtendatenschutzes....................................46 An der Urania 4-10, 10787 Berlin 2.2 Neues Datenschutzrecht für die Werbung – kein Lichtblick für die Telefon: (0 30) +138 89-0 Betroffenen.................................................................................................. 52 Telefax: (0 30) 215 50 50 E-Mail: mailbox@datenschutz-berlin.de 2.3 Der Elektronische Entgeltnachweis (ELENA) – ein unsicherer Internet: www.datenschutz-berlin.de Daten-Moloch..............................................................................................58 2.4 Der neue Personalausweis.............................................................................63 Disclaimer:\t\u0007Bei den im Text enthaltenen Verweisen auf Internet- 2.5 Smartphone-Apps – wo bleibt der Datenschutz?...........................................67 Seiten (Links) handelt es sich stets um „lebende“ 2.6 Tracking im Internet – Europa will den Schutz verbessern............................71 (dynamische) Verweisungen. Der Berliner Beauf- tragte für Datenschutz und Informationsfreiheit hat 3. Öffentliche Sicherheit vor Drucklegung zwar den fremden Inhalt daraufhin überprüft, ob durch ihn eine mögliche zivilrecht- 3.1 Körperscanner..............................................................................................78 liche oder strafrechtliche Verantwortlichkeit ausge- 3.2 Nationales Waffenregister..............................................................................79 löst wird. Für spätere Veränderungen dieses fremden 3.3 \u0007Schiffskontrolldatei – eine Verbunddatei ohne Rechtsgrundlage...................80 Inhalts ist er jedoch nicht verantwortlich. 3.4 Evaluationsbericht nach § 70 ASOG.............................................................81 3.5 Wie umfangreich dürfen Absenderangaben sein?...........................................83 Satz: LayoutManufaktur.com Druck: Offsetdruckerei Holga Wende",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p3-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 4,
"content": "4. \u0007Personenstands- und Ausländerwesen 8.2 Gesundheitswesen......................................................................................113 8.2.1 Der Schutz von Patientendaten in 4.1 Ausführungsverordnung zum Personenstandsgesetz........................................84 Krankenhausinformationssystemen.................................................113 4.2 Der elektronische Aufenthaltstitel.................................................................85 8.2.2 Mammographie-Screening................................................................115 8.2.3 Gemeinsames Krebsregister...............................................................117 5. Verkehr 8.2.4 Tumorzentren...................................................................................119 5.1 Datenquarantäne bei der Deutschen Bahn AG .............................................87 8.3 Personalwesen............................................................................................122 5.2 Abfrage des Aufenthaltstitels im Zug ............................................................89 8.4 Wohnen und Umwelt.................................................................................126 5.3 Ein zu lange wirkender Führerscheinentzug.................................................90 8.4.1 Datenschutz und Denkmalschutz in der Hufeisensiedlung.................126 8.4.2 Baulückenmanagement.....................................................................127 6. Justiz 8.4.3 Solarflächen-Potenzialatlas................................................................129 6.1 \u0007Offenbarung von Opferdaten bei DNA-Reihenuntersuchung......................92 9. Wissen und Bildung 6.2 \u0007Kontrollbefugnis der Aufsichtsbehörde gegenüber Rechtsanwälten...............93 6.3 Anwaltsnotare im Grundbuchamt.................................................................94 9.1 Wissenschaft, Forschung und Statistik..........................................................131 9.1.1 Datenschutzrichtlinie der Freien Universität Berlin...........................131 6.4 \u0007Unbegrenzte Einsicht in Strafverfahrensakten bei der Bewerberauswahl?.......95 9.1.2 RFID-gestützte Zugangskontrollsysteme an Hochschulen.................132 7. Finanzen 9.1.3 Forschungsprojekt myID.privat.........................................................136 9.1.4 Zensus 2011 – Stand der Vorbereitung.............................................138 7.1 Kirchensteuer...............................................................................................97 9.2 Schule........................................................................................................140 7.1.1 Bundesweite Datenbank zur Religionszugehörigkeit?.........................97 9.2.1 Automatisierte Schülerdatei .............................................................140 7.1.2 Überprüfung der Religionszugehörigkeit durch Kirchensteuerstellen 99 9.2.2 Bitte lächeln! – Weitergabe von Adressdaten an den Schulfotografen.142 7.2 Wenn die Daten nicht umgehend fließen....................................................101 9.2.3 Der „Gang zur Toilette“ – Erfassung von kurzzeitigen Abwesenheiten vom Unterricht.....................................................144 8. Sozialordnung 9.2.4 WebUntis – Anwesenheitserfassung in Schulen.................................145 8.1 Sozial- und Jugendverwaltung....................................................................104 9.2.5 Forschungsprojekt „Jugendliche als Opfer und Täter von Gewalt“.....146 8.1.1 Wenn das Jobcenter die Klassenfahrt bezahlt.....................................104 8.1.2 Sachverhaltsaufklärung und Datenerhebung durch die 10. Wirtschaft Betreuungsbehörde .........................................................................106 10.1 Missglückte Einwilligungserklärung bei einer Bank...................................148 8.1.3 Übersendung von Jugendhilfeakten der DDR in 10.2 Fahrlässiger Umgang mit Bankdaten.........................................................149 Rehabilitierungsverfahren ...............................................................107 8.1.4 Der Zusammenhang von Kinderschutz und Datenschutz – 10.3 \u0007Aufgedrängte Kommunikation per 1-Cent-Überweisung...........................150 ein nach wie vor wichtiges Anliegen................................................109 10.4 Auftragsdatenverarbeitung durch Heimarbeit.............................................152 8.1.5 Empfehlungen für den Umgang der Jugendämter mit 10.5 Das neugierige Fitnessstudio.....................................................................153 Ersuchen von Strafverfolgungsbehörden...........................................111 10.6 Praxis der Sanktionsstelle..........................................................................154 10.7 Technische Umsetzung der EU-Dienstleistungsrichtlinie...........................155",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p4-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 5,
"content": "11. \u0007Europäischer und internationaler Datenschutz Anhänge 11.1 Europäische Union...................................................................................158 Beschlüsse des Abgeordnetenhauses vom 17. Juni 2010......................................206 11.2 AG „Internationaler Datenverkehr“..........................................................161 Rede des Berliner Beauftragten für Datenschutz und Informationsfreiheit am 11.3 Internationale Datenschutzstandards.........................................................163 17. Juni 2010 im Abgeordnetenhaus von Berlin zur Beschlussfassung über den Jahresbericht 2008.............................................................................................209 12. Datenschutzmanagement Stichwortverzeichnis.........................................................................................213 12.1 Stiftung Datenschutz – ein Zwischenstand................................................167 12.2 Informationspflicht bei Datenpannen........................................................169 12.2.1 Datenklau beim Kreditkartendienstleister........................................170 12.2.2 Gestohlene Laptops einer Kinderbetreuungseinrichtung.................172 12.2.3 Personalakten im Posteingang.........................................................173 12.2.4 Kreditverträge im Auto...................................................................174 12.3 WLAN-Einsatz in der Berliner Verwaltung...............................................175 12.4\t\u0007Ein Beauftragter für behördlichen Datenschutz und Korruptionsbekämpfung?.........................................................................176 13. Telekommunikation und Medien 13.1 Vorratsdatenspeicherung............................................................................178 13.2 Soziale Netzwerke....................................................................................181 13.3 Aus der Arbeit der „Berlin Group“...........................................................185 13.4 Kein Systemwechsel bei der Rundfunkfinanzierung.................................185 14. Informationsfreiheit 14.1 Informationsfreiheit in Berlin und Deutschland.........................................187 14.2 Einzelfälle.................................................................................................191 15. \u0007Was die Menschen sonst noch von unserer Tätigkeit haben .....................196 16. Aus der Dienststelle 16.1 Entwicklungen.........................................................................................199 16.2 Zusammenarbeit mit dem Abgeordnetenhaus...........................................201 16.3 Zusammenarbeit mit anderen Stellen........................................................201 16.4 Öffentlichkeitsarbeit.................................................................................204",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p5-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 6,
"content": "Einleitung Einleitung Datenschutz und Informationsfreiheit waren im zurückliegenden Jahr so häu- fig Gegenstand der öffentlichen Debatte wie seit der Volkszählung 1987 in der alten Bundesrepublik nicht mehr. Das war gut so und hatte mehrere Gründe, die sich mit den Stichworten Google Street View, Vorratsdatenspeicherung, unabhängige Datenschutzkontrolle und Wikileaks umschreiben lassen. Diese Diskussionen hatten naturgemäß auch Auswirkungen auf die Tätigkeit des Beauftragten für Datenschutz und Informationsfreiheit in Berlin. Die Debatte über den Online-Panoramadienst Google Street View setzte in der Bundeshauptstadt erst ein, lange nachdem die Fahrzeuge des US-Unter- nehmens ihre Aufnahmen gemacht hatten. Als Google auf Druck der zustän- digen Hamburger Aufsichtsbehörde allen Menschen in Deutschland ein Recht zum Vorabwiderspruch gegen die Veröffentlichung ihrer Häuser und Wohnun- gen eingeräumt hatte, machten allein in den ersten zwanzig deutschen Städ- ten, die man bundesweit virtuell besuchen konnte (darunter auch Berlin), rund 255.000 Personen von dieser Möglichkeit Gebrauch. Damit wurde erstmals 1 ein Grundsatz zum Umgang mit Gebäudebild-Datenbanken praktisch umge- setzt, den die Internationale Arbeitsgruppe zum Datenschutz in der Telekom- munikation („Berlin Group“) bereits 1999 formuliert hatte.2 Teilweise wurde die – europaweit geführte – Debatte über Google Street View als verfehlt bezeichnet. Das ist nur insofern zutreffend, als es bei Street View nicht um einen Eingriff in die Privatsphäre der Menschen geht. Datenschutz reicht aber über den Schutz der Privatsphäre hinaus. Er betrifft – in einer unglücklich verknappten Formulierung – den Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten. Gerade darum geht 3 es auch bei Google Street View: Ein Unternehmen wollte personenbezogene Daten in eine weltweit verfügbare Datenbank einstellen, ohne die Betroffenen in irgendeiner Weise zu beteiligen. Hinzu kam, dass Google erst auf Nach- 1 Vgl. 1.1.2 2 Vgl. Dokumentenband 1999, S. 29 ff. 3 So der treffende Titel der Konvention Nr. 108 des Europarats vom 28. Januar 1981 8 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 9",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p6-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 7,
"content": "Einleitung Einleitung frage der Aufsichtsbehörde einräumte, es seien von den Kamerawagen auch die wachung und die zentrale Speicherung von Beschäftigtendaten im ELENA- Daten von privaten WLAN-Zugängen und – wie das Unternehmen angab – Verfahren zu beziehen. Aus demselben Grund muss die Bundesregierung auch 7 unabsichtlich auch Inhaltsdaten wie E-Mails oder Passwörter erfasst worden. Plänen der Europäischen Kommission eine Absage erteilen, die nach dem Ende Auch die bildliche Darstellung von Häusern und Mietwohnungen gibt Aus- des Berichtszeitraums bekannt wurden: Danach sollen Daten von Flugpassa- kunft über die Verhältnisse ihrer Bewohner. Dabei handelt es sich zwar bis- gieren, die aus Drittstaaten nach Europa reisen oder Europa in umgekehrter her nur um Standbilder, die schnell veralten. Aber schon jetzt können Häuser, Richtung verlassen, auf Vorrat für fünf Jahre anlasslos gespeichert werden und Hinterhöfe und Gärten aus der Vogelperspektive („bird’s view“) und aus dem für eine jederzeitige Rasterfahndung zur Verfügung stehen. Weltall betrachtet werden, und bei Standbildern wird es nicht bleiben: Es ist nur eine Frage der Zeit, dass Live-Aufnahmen gemacht und veröffentlicht werden. Die Debatte über die vom Bundesverfassungsgericht nicht völlig ausgeschlos- sene Vorratsspeicherung bei Verkehrsdaten der Telekommunikation ist noch Die Kameras werden näher kommen, soviel ist sicher. Street View ist nur ein nicht abgeschlossen, zumal die Evaluation der europäischen Richtlinie zu die- erster, harmlos erscheinender Schritt in einer Entwicklung. Deshalb war und sem Thema noch aussteht. Unverständlich ist allerdings, dass die Bundesre- 8 ist die öffentliche Diskussion darüber wichtig. Etwas anderes kommt hinzu: gierung die beim Bundeskriminalamt angeblich vorliegenden Erkenntnisse 2007 berichtete der Google-Manager Andy McLaughlin auf einer Konferenz 4 über den Nutzen der anlasslosen Speicherung von Verkehrsdaten der Tele- in den USA, die US-Regierung habe das Unternehmen gefragt, ob es in der kommunikation nach wie vor unter Verschluss hält.9 Zudem ist schon seit Lage sei, alle privaten Videokameras in den USA so zu vernetzen, dass staat- geraumer Zeit festzustellen, dass die Vorratsdatenspeicherung, die auf europäi- liche Behörden jederzeit auf sie zugreifen können. Google habe geantwor- scher Ebene ursprünglich als Reaktion auf die Terroranschläge in Madrid und tet, das sei technisch möglich, man werde einer solchen Forderung aber aus London durchgesetzt wurde, von ihren Befürwortern jetzt als unbedingt not- gesellschaftlichen und ethischen Gründen nicht Folge leisten. Aus den gleichen wendig zur Bekämpfung bestimmter Formen der Telefon- und Internet-Kri- Gründen hat dasselbe Unternehmen es bisher abgelehnt, die bereits vorhan- minalität (vom „Enkeltrick“ bis zur Kinderpornographie) angesehen wird. Das dene Software „Goggles“5, mit der Gebäude und online gespeicherte Bilder macht das Ausmaß der schleichenden Zweckentfremdung deutlich, noch bevor von Personen identifiziert werden können, nicht zur Gesichtserkennung auf der Bundesgesetzgeber überhaupt über eine verfassungskonforme Neuregelung Smartphones in Echtzeit verwenden zu wollen. Ob Technologien wie die Live- entschieden hat. Zudem haben die Sicherheitsbehörden auch ohne Vorrats Rundumüberwachung oder Gesichtserkennung Privatpersonen oder Behörden datenspeicherung beachtliche Erfolge erzielt. zur Verfügung gestellt werden, sollte aber nicht den jeweiligen Unternehmens- vorständen überlassen bleiben. Eine deutliche Stärkung der unabhängigen Kontrolle des Datenschutzes hat der Europäische Gerichtshof mit seiner Entscheidung gegen die Bundes- Das Bundesverfassungsgericht hat in seinem Urteil zur Vorratsdatenspeiche- republik Deutschland bewirkt. Er hat die Auffassung der Datenschutzbeauf- 10 rung betont, dass der Schutz vor lückenloser Überwachung zur deutschen Ver- tragten in Bund und Ländern bestätigt, dass die gegenwärtige Organisation der fassungsidentität gehöre, die selbst im europäischen Einigungsprozess nicht Datenschutzaufsicht für die Wirtschaft nicht mit den Vorgaben der EU-Richt- aufgegeben werden dürfe.6 Das ist nicht nur auf die Bevorratung von Ver- linie zum Datenschutz vereinbar ist. Zugleich hat der Gerichtshof betont, dass kehrsdaten der Telekommunikation, sondern auch auf die visuelle Über die Unabhängigkeit der Datenschutzaufsichtsbehörden eingeführt wurde, „um 4 McLaughlin war später (Mai 2009 – Dezember 2010) stellvertretender Chief Technology 7 Vgl. 2.3 Officer im Stab von Präsident Obama. 8 Vgl. 13.1 5 Englischer Begriff (ugs.) für „Brille“ 9 Vgl. Antwort der Bundesregierung vom 29. November 2010 auf die Kleine Anfrage der 6 Urteil vom 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, NJW 2010, 833, Abgeordneten Korte u. a., BT-Drs. 17/3974 839 f., Rn. 218;Vgl. 13.1 10 Urteil vom 9. März 2010, Rechtssache C-518/07, NJW 2010,1265 ff. 10 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 11",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p7-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 8,
"content": "Einleitung Einleitung die von ihren Entscheidungen betroffenen Personen und Einrichtungen stärker zu schüt- um eine Bundesstiftung handeln soll, kommt es entscheidend darauf an, dass zen, und nicht, um diesen Kontrollstellen oder ihren Bevollmächtigten eine besondere sie die Zuständigkeit der Datenschutzbeauftragten und Aufsichtsbehörden der Stellung zu verleihen“ 11. Im Berichtszeitraum wurde die notwendige Anpassung Länder beachtet und mit diesen eng zusammenarbeitet.16 Vor allem im wich- des Berliner Datenschutzgesetzes an die Rechtsprechung des Europäischen tigen Bereich der Medienkompetenz ist die ausschließliche Zuständigkeit der Gerichtshofs noch nicht vorgenommen; allerdings hat der Senat einen entspre- Länder im Bildungsbereich zu wahren. chenden Gesetzentwurf dem Abgeordnetenhaus zugeleitet. Insgesamt muss die schon zu lange verschleppte grundlegende Modernisierung Gleichzeitig gibt es allerdings Anzeichen dafür, dass das Konzept der Daten- des Datenschutzrechts jetzt aber auf europäischer und internationaler Ebene schutzaufsicht im föderalen System in Frage gestellt wird. Bundesgesetze vorangetrieben werden. Das von der Kommission vorgelegte Gesamtkon- werden nach der Verfassung von den Ländern ausgeführt. Deshalb ist die Kon- zept für den Datenschutz in der Europäischen Union bietet eine geeig-17 trolle der damit verbundenen Verarbeitung von Bürgerdaten und die Aufsicht nete Grundlage für die Formulierung eines europäischen Datenschutzgesetzes. über den Datenschutz in der Wirtschaft nach dem Bundesdatenschutzgesetz Dabei ist es angesichts der immensen Datensammlungen bei Unternehmen seit jeher den Datenschutzbeauftragten und Aufsichtsbehörden der Länder wie Google, Facebook und Apple dringend erforderlich, die Anwendbarkeit zugewiesen. Diese koordinieren ständig ihr Vorgehen untereinander und mit europäischen Datenschutzrechts auf solche Unternehmen eindeutig klarzustel- dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. len. Wenn ein Berliner Unternehmen Geschäfte auf dem US-amerikanischen Das System der Datenschutzkontrolle im Bundesstaat hat sich gerade auch im Markt macht, stellt niemand in Frage, dass es sich an das in den Vereinigten Umgang mit international agierenden Unternehmen durchaus bewährt. Nun Staaten geltende Recht zu halten hat. Entsprechendes hat für US-Unterneh- hat der Bundesgesetzgeber im Zuge der Reform der sog. Hartz IV-Gesetze 12 men zu gelten, die auf dem europäischen Markt tätig sind. Zudem darf der nicht nur der Bundesagentur für Arbeit praktisch die Funktion eines „Bun- neue europäische Rechtsrahmen nicht zum kleinsten gemeinsamen Nenner dessozialamtes“ zugewiesen. Damit aber nicht genug: Während nach der bis- 13 werden, sondern muss das bereits erreichte Datenschutzniveau gerade ange- herigen Rechtslage die Landesdatenschutzbeauftragten die Datenverarbeitung sichts der Rolle des Internets ausbauen. in den Jobcentern zu kontrollieren hatten und dies auch in Berlin mit gutem Erfolg geschehen ist14, wird ab dem 1. Januar 2011 allein der Bundesbeauftragte Die Veröffentlichung von zahlreichen Depeschen US-amerikanischer Diplo- für den Datenschutz und die Informationsfreiheit hierfür zuständig sein. Das maten durch Wikileaks hat sowohl ein Schlaglicht auf Fragen des Datenschut- bedeutet einen erheblichen Verlust an Bürgernähe, denn der Bundesbeauftragte zes als auch der Informationsfreiheit geworfen. Bezeichnenderweise hatte die wird auf Beschwerden naturgemäß nicht in der Promptheit reagieren können, US-Regierung nach dem 11. September 2001 aufgrund angeblicher Kom- wie dies die Landesdatenschutzbeauftragten bisher getan haben. munikationsmängel zur Erhöhung der Sicherheit 2,5 Millionen Personen den Zugriff auf das Regierungsnetz SPRnet eröffnet, aus dem die jetzt veröffent- Auch die gerade erst begonnene Diskussion über die geplante Stiftung Daten- lichten Depeschen stammten. Das zeigt, dass Maßnahmen zur Terrorismusbe- schutz ist in diesem Zusammenhang bedeutsam. Gerade weil es sich dabei 15 kämpfung, die eigentlich sicherheitserhöhend wirken sollen, den gegenteiligen Effekt jedenfalls auf die Informationssicherheit haben können. 11 Ebenda, S. 1266 12 § 50 Abs. 4 Satz 3 SGB II, eingefügt durch das Gesetz zur Weiterentwicklung der Organisa- tion der Grundsicherung für Arbeitsuchende, BGBl. 2010 I, S. 1112, 1121 13 Dabei bleiben hier die sog. Optionskommunen in den Flächenländern und die Übernahme der Unterkunftskosten, die nicht in die Bundeszuständigkeit fällt, außer Betracht. 16 Vgl. Entschließung der 80. Konferenz der Datenschutzbeauftragten des Bundes und der Län- 14 Vgl. JB 2005, 3.2; JB 2006, 5.1.1; JB 2007, 7.2.1; JB 2008, 8.1.2; JB 2009, 7.1.1 der: Förderung des Datenschutzes durch Bundesstiftung, Dokumentenband 2010, S.21 15 Vgl. 12.1 17 Vgl. 11.1 12 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 13",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p8-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 9,
"content": "Einleitung Einleitung Aufschlussreich für den Datenschutz war auch eine Folgeerscheinung der Wiki- listischen Gesellschaft einen wichtigen Beitrag zum öffentlichen Meinungsbil- leaks-Veröffentlichungen: Deren Urheber hatten die umfangreichen Doku- dungsprozess leisten. Das gilt in gleicher Weise für zahlreiche andere staatliche 20 mente auf den Servern des Unternehmens Amazon in einer „Cloud“ gespei- Register und Datensammlungen, soweit die legitimen Geheimhaltungsinteres- chert. Nach Medienberichten beendete das Unternehmen aufgrund des Anrufs sen dort verzeichneter Personen berücksichtigt werden. eines US-Senators, der über das Vorgehen von Wikileaks empört war, einseitig die Vereinbarung mit Wikileaks. Die Daten waren vorübergehend nicht ver- fügbar. Das macht schlaglichtartig das Risiko des Kontrollverlustes deutlich, das mit vielen Formen des Cloud Computing stets verbunden ist. 18 Die Grundfrage bei Wikileaks betrifft aber die Legitimität der Veröffentlichun- gen selbst. Diese Frage ist differenziert zu beurteilen. Soweit Wikileaks Video- aufnahmen über Luftangriffe auf Zivilisten im Irak („collateral murder“) publi- ziert hat, war dies gerechtfertigt. Bei anderen Veröffentlichungen ist dies weni- ger eindeutig. Es gibt gerade auch im diplomatischen Verkehr, aber nicht nur dort, vertrauliche Informationen, deren Schutz Vorrang vor dem öffentlichen Informationsinteresse haben sollte. Auch ist nicht klar, ob Wikileaks genug zum Schutz von Informanten und Gewährspersonen getan hat. Vor allem zu kriti- sieren ist die Tatsache, dass Wikileaks die Abwägung zwischen den Informati- onsinteressen der Öffentlichkeit und dem Geheimhaltungsbedürfnis Einzelner nach intransparenten und deshalb nicht überprüfbaren Maßstäben vornimmt. Diese Abwägung sollte im Rahmen der – durchaus verbesserungsbedürftigen – Informationsfreiheitsgesetze nach allgemein verbindlichen und kontrollier- ten Kriterien vorgenommen und nicht einer privaten Organisation überlas- sen werden. Andererseits dürfen die Wikileaks-Veröffentlichungen nicht zum Vorwand genommen werden, um von staatlicher Seite Informationen, an denen ein unbestreitbares öffentliches Interesse besteht, in unzulässiger Weise unter Ver- schluss zu halten oder die Informationsfreiheit generell wieder einzuschrän- ken. Das Bundesverfassungsgericht hat am Beispiel des Gentechnikgesetzes 19 deutlich gemacht, das auch öffentlich zugängliche personenbezogene Register – in diesem Zusammenhang das Standortregister über Freisetzungen und Anbau gentechnisch veränderter Organismen – innerhalb der demokratischen, plura- 18 Vgl. JB 2008, 1.1.1 19 Vgl. dazu die Entschließung der Konferenz der Informationsfreiheitbeauftragten in Deutsch- land vom 13. Dezember 2010: Open Data: Mehr statt weniger Transparenz!, Dokumenten- band 2010, S. 169 20 BVerfG, Urteil vom 24. November 2010 – 1 BvF 2/05, Rn. 175 14 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 15",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p9-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 10,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik 1. Technische Rahmenbedingungen Dagegen ist Informationssicherheit heute ein boomendes Fachgebiet der Infor- matik, aber auch ein vergleichbar neues. In der Geschichte der Informatik kam die Sicherheit in der Datenverarbeitung erst spät vor, möglicherweise zu spät, 1.1 Entwicklung der Informationstechnik denn die Versäumnisse der Vergangenheit lassen sich nicht vollständig aufho- len. Als Mitte der 80er Jahre des vergangenen Jahrhunderts Computerviren und ihre Bedrohungen bekannt wurden, waren viele Kernstrukturen moder- 1.1.1 Nach A-, B- und C- jetzt auch D(igitale)- ner Standardsoftware, insbesondere der Betriebssysteme, längst entwickelt. Die Kriegsführung? inzwischen ergänzten Sicherheitsfeatures sind keine Bestandteile des System- designs, sondern nachträgliche Reparaturen. Die heutige Informationsgesellschaft hängt auf Gedeih und Verderb vom Funktionieren der weltweiten informationstechnischen Infrastrukturen ab. Alle anderen wesentlichen Technologien – die Bautechnologie, die Verkehrs- Die auf der Welt kursierenden Finanzgüter sind elektronisches Geld, das per technologien für Straße, Schiene und Luft, die Elektrotechnik – haben strenge Mausklick in Sekundenbruchteilen zwischen Metropolen und Staaten hin und und streng kontrollierte Regelwerke, die die Sicherheit ihrer Produkte betref- her transferiert wird. Die konzerninterne Kommunikation, die Kommunika- fen. Sicherheit war bei ihnen von Anfang an Triebfeder der Entwicklung. Dies tion zwischen den Marktteilnehmern, der elektronische Handel werden über kann allerdings aus oben angedeuteten Gründen von der Softwaretechnologie das Internet geführt. Die Nachrichten über Ereignisse sind Sekunden nach nicht behauptet werden. Angriffe auf IT-Systeme geschehen täglich milliarden- ihrem Eintritt für alle im Internet abrufbar. Über das Internet als Träger der fach, die meisten werden von den inzwischen entwickelten Schutztechniken Smart Grids wird künftig die Erzeugung und Verteilung elektrischer Energie 21 abgewehrt, weil selbst der einfache Familienhaushalt für seinen PC oder sein in Abhängigkeit vom Verbrauchsverhalten der Stromabnehmenden gesteuert. Notebook Antiviren- und Firewallschutz einsetzt. Viele Angriffe zeigen keine Ohne das Internet, seine Server, seine Netzkomponenten, seine Leitungen, die Wirkung, weil die erfolgreich angegriffenen Rechner nicht zum Feindschema Millionen Server der Teilnehmenden aus Wirtschaft, Politik und Verwaltung passen. Dennoch gibt es dauernd Schlagzeilen zu spektakulären Sicherheits- und die Abermillionen Computer der Internetkonsumenten hätten wir keine verletzungen, bedingt durch grobe Fahrlässigkeit der Opfer oder durch die Informationsgesellschaft, die gesellschaftlichen Prozesse wären mit den heuti- geschickte Nutzung von Sicherheitslücken, die weltweite Standardsoftware gen nicht vergleichbar. produkte nach wie vor aufweisen. Das Internet hat sich chaotisch entwickelt. Aus einem erfolgreichen, Ende der Wer 2,5 Millionen Menschen Zugang zu vertraulichen Daten der amerikani- 60er Jahre des 20. Jahrhunderts beginnenden militärischen, bald darauf auch schen Diplomatie ermöglicht, muss sich nicht wundern, wenn Wikileaks bald wissenschaftlichen Experiment, Rechner mit unterschiedlichen Betriebssyste- zur „Zweitveröffentlichung“ startet. Der im Herbst wirkende Stuxnet-Wurm, men mithilfe paketvermittelnder Protokolle miteinander Daten austauschen zu auf den wir später zurückkommen, war ein Beispiel für die aufwändige und lassen, wurden bald E-Mail-Dienste entwickelt, später dann das World Wide geschickte Nutzung von zum Teil bisher unbekannten Sicherheitslücken von Web erfunden. Zunächst war das Internet den Insidern und Experimentierern Standardsoftware. Für solche Sicherheitslücken, sog. Zero-Day-Exploits, gras- vorbehalten. Es war ergänzende Informationsquelle und wurde von einer ver- siert ein lukrativer Schattenhandel. suchsfreudigen Community nach ihren Regeln und den Marktgesetzen weiter entwickelt. Die Frage nach Sicherheit im Internet stellte sich nur den übli- Beim Wettbewerb zur Suche des Wortes 2010 wurde der Begriff „Cyber- chen Bedenkenträgern. krieg“ auf den vierten Platz gesetzt. Dies macht deutlich, dass zumindest für die Opfer spektakuläre Sicherheitsvorfälle im Internet die Dimension kriege- 21 Vgl. JB 2009, 1.1.1 rischen Handelns erhalten haben. Die Tatsache, dass Informationstechnik zum 16 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 17",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p10-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 11,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Mittel und Ziel kriegsähnlicher Handlungen werden kann, ist ein dunkler der von Rechnern überflutet, damit sie an Überlast zusammenbrechen. Daraus Aspekt der Entwicklung der Informationstechnologie. Zugleich bedroht diese hat die estnische Regierung zunächst Vorwürfe abgeleitet, wonach Russland Entwicklung die Verfügbarkeit personenbezogener Daten, die heute fast nur für diese Angriffe verantwortlich sei. Zum ersten Mal überhaupt war damit noch mit informationstechnischen Systemen verarbeitet werden. Umgekehrt ein unabhängiger Staat Ziel solcher Angriffe aus dem Internet gewesen. Die können Maßnahmen gegen Cyberattacken zu exzessiver Überwachung des estnische Regierung schaltete EU und NATO ein und erwog, dass in solchen Internet-Verkehrs führen. Fällen der Verteidigungsfall in der Nato ausgerufen werden müsse . Exper- 24 ten kamen später zu dem Ergebnis, dass der Angriff über weltweite Botnetze Bereits 1995 wurde unter dem Begriff „Cyber-Terrorismus“ die Bedrohung geführt wurde, die möglicherweise von russischen Nationalisten initiiert wur- von DV-Zentralen durch Formen der elektronischen Kriegsführung diskutiert22. den, jedoch nicht vom russischen Staat. Dabei ging es aber noch nicht um Softwareangriffe, sondern um Angriffe auf informationstechnische Infrastrukturen mithilfe von elektronischen Bomben, „Das Phantom des Cyberwar“ wurde 2008 von der „tageszeitung“ illustriert25. mit denen hochenergetische Radiowellen punktgenau oder starke elektro- Der Artikel berichtete über diverse Ereignisse, die von Repräsentanten der magnetische Impulse ungerichtet ausgestrahlt werden können, die Infrastruk- angegriffenen Staaten zunächst als Angriffe auf kritische Infrastrukturen ihres turen stören oder zerstören können. Solche Szenarien waren damals Gegen- Staates öffentlich als feindliche Handlungen beklagt und von den vermuteten stand einer amerikanischen Konferenz zur „Information-Warfare“. Auch wenn Aggressoren entweder prompt dementiert wurden oder unkommentiert blie- diese Form der Angriffe nichts mit den späteren Softwareattacken zu tun hatte, ben: das Ziel war damals wie heute das gleiche: Die Ausschaltung oder zumindest Schwächung gegnerischer informationstechnischer Infrastrukturen. • Anzeichen einer russischen Computerattacke auf Georgien, für die zu Beginn des Kaukasus-Kriegs ein russisches Business Network verantwort- Nach dem 11. September 2001 wurde erneut die Aufmerksamkeit darauf gelegt, lich sein sollte; dass neben den damaligen Terrorattacken mit physischer Gewalt auch Cyber • nach Angaben eines US-Abgeordneten das Eindringen chinesischer Hacker attacken zu befürchten seien, speziell durch Hacking und Virenbefall von Bör- auf der Suche nach Dissidentenlisten in mehrere Rechner des Kongresses; sencomputern, Stromversorgern, Notfallzentralen, Militäreinrichtungen und • nach Angaben der CIA im Januar 2008 das Eindringen von angeblichen Telefonzentralen. Die Gefahr war umso greifbarer, als die Informationssicher- Cyber-Terroristen bei Stromversorgern außerhalb der USA mit der Folge heit dieser Einrichtungen nach Untersuchungen von Sicherheitsexperten von Stromausfällen; unzureichend war . 23 • das US-Verteidigungsministerium teilt im Mai 2008 dem Geheimausschuss Im April 2007 wurden nach einer politischen Aktion, die in Russland als Pro- mit, das Rechnernetz des Ministeriums werde täglich mehr als 300 Millio- vokation empfunden wurde, Server der estnischen Regierung, estnischer Ban- nen Mal von außerhalb gescannt und angegriffen; ken und anderer Unternehmen des Landes durch Dedicated Denial of Service- • zur gleichen Zeit unterrichtete der deutsche Verfassungsschutz das Bundes- Angriffe (DDoS) blockiert. Dabei werden die angegriffenen Server gezielt mit kanzleramt und die Staatssekretäre des Innen-, Außen-, Justiz- und Vertei- massenhaften Anfragen innerhalb kurzer Zeit durch Zusammenwirken Tausen- digungsministeriums von einem Computerangriff, der vermutlich von der chinesischen Volksbefreiungsarmee kam. 22 „Unternehmens-DV durch Cyberterroristen bedroht“, Computerwoche vom 10. März 1995, S. 41 23 „Wir halten die Augen offen“, Der Tagesspiegel vom 16. September 2001, S. 31; „Attacken aus dem Laptop“, Süddeutsche Zeitung vom 15. Oktober 2001, S. 2; „US-Experte warnt vor 24 heise online vom 12. Juni 2007 Terror im Cyberspace“, Berliner Morgenpost vom 4. Januar 2002, S. 21 25 taz.de am 11. August 2008 18 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 19",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p11-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 12,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Stuxnet nutzte verschiedene Schwachstellen, gestohlene digitale Signaturen Es gilt allerdings als offenes Geheimnis, dass Hacker von Staaten dafür ausge- und bis daher unbekannte Sicherheitslücken des Betriebssystems Windows (sog. bildet werden, um im Ernstfall digitale Angriffe auf wichtige Infrastrukturen Zero-Day-Exploits), um sich in Windows-Systemen zu verbreiten. Nach dem auszuführen. Dagegen wappnen sich die Zielstaaten. So gibt es in den USA die Befall suchte der Wurm nach einem bestimmten Programm der Fa. Siemens, „United States Cyber Command“, eine Behörde, welche zur Aufgabe hat, die welches der Überwachung und Steuerung technischer Prozesse dient. Wenn er Sicherheit der Computersysteme des Landes zu verteidigen. In Deutschland außerdem eine bestimmte Siemens-Software zur Programmierung der Steue- gibt es seit 1998 eine interministerielle Arbeitsgruppe zum Schutz kritischer rung von Maschinen und Anlagen fand, tauschte er spezielle Dateien aus, um Infrastrukturen (KRITIS). etwa Sollwerte für die Steuerung von Anlagen zu manipulieren. Der Verdacht, dass digitale Kriegshandlungen bei offenkundig politisch moti- Entdeckt wurde das Auftreten von Stuxnet durch die bekannt gewordenen vierten Angriffen auf Einrichtungen eines souveränen Staates vorliegen könn- Angriffe auf Anlagen des iranischen Atomprogramms, die mit der beschriebe- ten, kam in jüngster Zeit auf, nachdem Meldungen von Störungen in Anla- nen Siemens-Software bestückt waren. Der stellvertretende Leiter der irani- gen des iranischen Atomprogramms bekannt wurden, die auf das Wirken einer schen IT-Organisation sagte der Presse, der Kampf gegen die Stuxnet-Attacke besonders aufwändigen und raffinierten Schadsoftware zurückzuführen waren. im Iran sei noch lange nicht beendet, da der Virus konstant aktualisiert werde . 28 Seit Mitte September berichten die Medien über ein Computerschadpro- Nach Angaben von Siemens hat der Stuxnet-Wurm neben Industrieanlagen gramm namens „Stuxnet“26. Die Europäische Agentur für Internetsicherheit im Iran auch Chemieanlagen, Raffinerien, Kraftwerke und industrielle Pro- (ENISA) spricht im Zusammenhang mit den Angriffen des Stuxnet-Wurms duktionsanlagen in China, Großbritannien, Indien, Indonesien, Russland, Süd- von einem Paradigmenwechsel hinsichtlich gezielter Angriffe gegen kritische korea, den USA und auch in Deutschland befallen. Dabei infizierte er sowohl Infrastrukturen. Sie warnt vor ähnlichen Attacken in der nahen Zukunft. „Die gewöhnliche Windows-PCs, in denen er mangels spezieller Produktionssteue- Angreifer haben viel Zeit und Geld investiert, um ein derartiges gefährliches rungssoftware keine Wirkung erzielen konnte, als auch spezielle PCs für Steu- Tool zu entwickeln. Die Tatsache, dass Täter dieses Tool aktiviert haben, kann erungen. Laut Siemens betrafen ein Drittel der 15 weltweit entdeckten Infek- als ein „erster Schlag“ angesehen werden“, stellt der geschäftsführende Direk- tionen deutsche Industrieanlagen. Inzwischen sind weitere Angriffe bekannt tor der ENISA, Dr. Udo Helmbrecht, fest . 27 geworden. Mitte November fand die IT-Sicherheitsfirma Symantec heraus, dass Stuxnet nur Anlagen angriff, die Frequenzumrichter enthielten, die die Dreh- Stuxnet ist ein im Juli erstmals entdeckter Computerwurm und gilt unter zahl von Elektromotoren über die Stromfrequenz steuern, und sofern sie von Computerexperten als das bis dato komplexeste Stück Schadprogramm, das bestimmten Firmen aus Finnland oder dem Iran hergestellt worden waren. nahezu alle bisher bekannten Angriffsformen vereint. Daher vermutet die Fach- Durch Änderung der Ausgangsfrequenz wird die Arbeitsdrehzahl der Motoren welt, dass es sich um den Probelauf eines staatlich organisierten Angriffes bzw. verändert. Der industrielle Prozess wird somit sabotiert. einer kriminellen Vereinigung handelt. Sein Ziel ist es offenbar, Steuerungs- systeme in Industrieanlagen auf Basis von Siemens-Produkten zu stören, wobei An der Entwicklung einer solchen Schadsoftware muss ein größeres und gut diese nicht nur ausspioniert, sondern auch deren Funktionsweisen manipuliert ausgebildetes Team mit Experten und Ingenieuren für Windows-Programmie- werden. Seine Arbeitsweise und Verbreitungswege sind weitgehend aufgeklärt. rung und Automatisierungstechnik beteiligt gewesen sein. Fachleute gehen davon aus, dass aufgrund des erheblichen Programmieraufwands und der hohen 26 Z. B. „Siemens meldet Hackerangriff auf Industrieanlagen“, Die Welt vom 18. September Entwicklungskosten die Schadsoftware nicht von einer Privatperson entwi- 2010, S. 11; „Der digitale Erstschlag ist erfolgt“, Frankfurter Allgemeine Zeitung vom 22. September 2010, S. 33 27 c´t vom 25. Oktober 2010, S. 43 28 heise online vom 28. September 2010 20 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 21",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p12-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 13,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik ckelt wurde. Es wird nur vermutet, dass sich der Stuxnet-Angriff gezielt gegen Sicherheitslücken in Computern und Netzwerken können für Unterneh iranische Atomanlagen richtete. Jedenfalls war er auf die Schädigung von Indus- men, Organisationen und Nationen, aber auch für das Land Berlin zu einer trieanlagen ausgerichtet, die mit ganz bestimmten und spezialisierten Systemen Bedrohung werden, weil mit der Störung oder gar der Ausschaltung des und Programmen ausgestattet waren, die der Steuerung solcher Anlagen dienen Internets die Handlungsfähigkeit der verantwortlichen Stellen ausgeschal und zuvor kaum im Fokus von Softwareangriffen standen. tet werden kann. Auch die Verfügbarkeit personenbezogener Daten – ein zentrales Gebot des Datenschutzrechts – wäre dann nicht mehr gegeben. Im November wurde eine neue Nato-Strategie vorgestellt, die sich mit dem Thema der Kriegsführung im Cyber-Space befasst. Der Europarat möchte eine flächendeckende Kontrolle und Überwachung29. Hierzu wurde in Vilnius 1.1.2 Georeferenzierte Panoramadienste: Street View war ein Vorschlag zum grenzüberschreitenden Schutz von Internet-Infrastrukturen erst der Anfang vorgestellt, der heftig kritisiert wurde, weil hier Voraussetzungen geschaffen würden, die zu einer flächendeckenden Kontrolle der Internetnutzenden Der Start von Google Street View in Deutschland lenkte die Aufmerksamkeit und deren Verhalten führen. Auch Deutschland hat ein Computer Emergency auf eine Entwicklung in der Verarbeitung geografischer Daten, die keineswegs Response Team (CERT) zum Schutz der Militärrechner aufgestellt. neu ist, aber für die normalen Verbraucherinnen und Verbraucher eher im Ver- borgenen stattfand: Georeferenzierte Panoramadienste zeigen den Nutzenden Einerseits fällt es IT-Verantwortlichen immer schwerer, Computer und Daten fotografische Ansichten von geografischen Orten wie Straßen, Gebäuden und zu schützen. Die Beschäftigten nutzen zunehmend mobile Geräte wie Smart- Parks, denen Geokoordinaten zugewiesen sind und die daher online adressge- phones, um von unterwegs auf Unternehmensinformationen zugreifen zu kön- nau aufgerufen werden können. nen. Ausländischen Niederlassungen oder Kooperationspartnern muss eben- falls der Zugriff ermöglicht werden. Ein Unternehmen ohne Internetauftritt Landkartendienste wie Google Maps oder stadtplandienst.de arbeiten ebenfalls wird nicht lange am Markt bestehen. Die Sicherheit muss hier genauso ernst mit Georeferenzen, die es ermöglichen, mit der Angabe einer Grundstücks genommen werden wie in der realen Welt. Nicht nur die Technik im Rechen- adresse auf der Karte punktgenau den Ort anzuzeigen, an dem sich das Grund- zentrum muss mit einem entsprechenden Zugangsschutz gut geschützt sein, stück befindet. Beide Dienste bieten ergänzend Luftbilder an, die – insoweit auch die Kommunikationswege müssen gesichert sein. Man spricht nun auch vergleichbar mit Google Earth – jedoch fotografische Draufsichten sind und von Sicherheit in der virtuellen Welt. Vernetzte Rechner können zum Risiko damit keine Panoramen. Durch die Einbindung von Google Street View in werden. Google Maps in den kleineren Maßstabsbereichen entsteht ein kombinierter georeferenzierter Landkarten- und Panoramadienst. Andererseits sind Unternehmen, sonstige Organisationen sowie Staaten, aber auch Bundesländer wie Berlin immer mehr auf die Nutzung des Internets Der Umgang mit solchen geografischen Daten wurde im vergangenen Jahr und damit auf die weltweite Vernetzung der Informationstechnik angewiesen. unter Datenschutzexperten und in den Medien ausführlich diskutiert. Dabei „Entnetzung“ ist daher kaum noch möglich. Schließlich ergibt sich daraus spielte vor allem die Frage eine Rolle, ob georeferenzierte Panorama- oder eine Angreifbarkeit, die zu empfindlichen finanziellen und politischen Schä- Landkartendienste als personenbezogene Dienste angesehen werden müssen den führen kann. und ob daher das Datenschutzrecht überhaupt anzuwenden ist. Die Daten- schutzbeauftragten des Bundes und der Länder haben diese Frage von Anfang an bejaht, denn einem Haus kann man seinen Eigentümer oder Mieter zuord- nen. Die Gegend, in der ein Haus liegt, kann gut oder schlecht beleumundet 29 F.A.Z. vom 5. Oktober 2010, S. T2 sein, für den Eigentümer und die Mieter hat dies Auswirkungen auf den Score- 22 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 23",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p13-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 14,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik wert ihrer Bonität. Der Zustand des abgebildeten Hauses lässt Rückschlüsse kostenfrei zur Verfügung, um daraus Straßen-, Wander-, Fahrradkarten oder auf die Bereitschaft und finanzielle Fähigkeit zu seiner Erhaltung und damit Routenplaner zu erstellen. auf die Bonität des Eigentümers zu. • Das Webportal stadtplandienst.de wird von dem in Berlin ansässigen Unternehmen Euro-Cities AG angeboten. Das Unternehmen bietet darü- Google Street View ist bei allem Aufsehen, das die Einführung dieses Dienstes ber hinaus verschiedene Stadtportale an. Auf stadtplandienst.de kann haus- in Deutschland erregte, nicht der einzige Dienst dieser Art. Dass auch andere nummerngenau gesucht und das Ergebnis als Karten- oder Satellitenbild Kartendienste diese Möglichkeiten anbieten, ist dabei allerdings in den Hin- betrachtet werden. Es besteht seit 1996 im Internet. Seit 2004 bietet es ein tergrund getreten. flächendeckendes Kartenwerk im Maßstab 1:10.000 online an. • Navteq, Tochterunternehmen des finnischen Handy-Herstellers Nokia, ist Zu den angebotenen Dienstleistungen gehören Panorama- und Landkartenab- ein US-amerikanischer Anbieter von Geodaten zum Einsatz in Navigations- bildungen, die mit Geodaten verknüpft sind. Die Unterschiede zwischen diesen geräten. Straßen und andere Objekte werden geometrisch und digital erfasst Diensten sind meist nur sehr gering: Im Allgemeinen zeigen Panoramadienste und an Hersteller von Navigationsgeräten vertrieben. Navteq deckt bisher im Internet virtuelle 360-Grad-Ansichten von Stadt und Land. Wer sie nutzt, mit seinen Geodaten im Wesentlichen die westeuropäischen Staaten ab. hat die Möglichkeit, selbsttätig zu navigieren, das Bild zu zoomen oder zu • Das niederländisch-belgische Unternehmen Tele Atlas ist einer der größten schwenken. Bei dem Datenmaterial handelt es sich um Echtbilder (Standbilder, Konkurrenten von Navteq. Tele Atlas ist Hersteller digitaler Karten für Geo- bisher noch keine Live-Aufnahmen), die die tatsächliche Gebäude- bzw. Land- informationssysteme (GIS), standortbezogene Dienste (sog. Location Based schaftsstruktur zeigen. Landkartendienste hingegen verwenden in der Regel Services, LBS) und für Navigationssysteme. schematische, abstrakte Darstellungen, die nur ein symbolisches Abbild der Wirklichkeit wiedergeben. Wie oben erwähnt, bieten einige Landkartendienste • Beim Panoramadienst sightwalk.de wird den Internetnutzenden ein Fla- neben schematischen Darstellungen auch Satellitenbilder an. Reine Geoda- nieren aus der Fußgängerperspektive mit 360-Grad-Schwenk durch ausge- tendienste zeigen wiederum digital erfasste Bilder von Gebäude- oder Grund- wählte Straßen einiger deutscher Städte ermöglicht. stücksansichten, die über Geokoordinaten eindeutig lokalisiert und damit einer • Die Internetseite berlin-street-view.de ermöglicht trotz ihres leicht ver- Gebäudeadresse und dem Gebäudeeigentümer sowie den Bewohnern zuge- wirrenden Namens keine freie, flächendeckende Navigation wie Google ordnet werden können. Diese Georeferenzierung kann als Navigations- und Street View. Es werden wie bei sightwalk.de ebenfalls ausgewählte Straßen Orientierungshilfe genutzt werden. Berliner Kieze im 360-Grad-Schwenk angeboten. Per Mausklick auf eine der angebotenen Straßen wird ein youtube-Video der Straßenszene gezeigt. Im Folgenden sollen exemplarisch einige Panorama-, Landkarten- oder Geo- datendienste kurz skizziert werden: Während Landkartendienste wie Google Maps oder stadtplandienst.de trotz der Georeferenz datenschutzrechtlich weitgehend unauffällig blieben, weil • Die Internetsuchmaschine Bing von Microsoft bietet ähnlich wie Google keine Panoramabilder gezeigt wurden, war der Start von Google Street View die Möglichkeit, die Suchanfrage in der Kategorie „Landkarten“ anzeigen im November von großem Medieninteresse begleitet. Seitdem besteht für die zu lassen. Dabei können Satellitenbilder in der Draufsicht oder Bilder aus Internetnutzenden die Möglichkeit, durch sämtliche Straßen der 20 größten der Vogelperspektive aus allen Himmelsrichtungen betrachtet werden. Ein deutschen Städte30 virtuell zu navigieren. Heranzoomen ist dabei bedingt möglich. • Das Projekt OpenStreetMap hat das Ziel, freie Geodaten über Straßen, Eisenbahnen, Flüsse, Wälder, Häuser und alles andere, was gemeinhin auf 30 Berlin, Bielefeld, Bochum, Bonn, Bremen, Dortmund, Dresden, Duisburg, Düsseldorf, Essen, Frankfurt am Main, Hamburg, Hannover, Köln, Leipzig, Mannheim, München, Nürnberg, Karten zu sehen ist, zu erfassen. Diese Daten stehen allen Nutzenden lizenz- Stuttgart und Wuppertal 24 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 25",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p14-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 15,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Das lückenlose Navigieren durch die Straßen und das Heranzoomen der Bil- zur Unkenntlichmachung von Gesichtern, Kfz-Kennzeichen und Gebäu- der erfolgt per Mausklick. Google hat dafür mit Kamerawagen seit 2008 31 deansichten. Die Rohdaten werden gelöscht, sobald sie hierfür nicht mehr 360-Grad-Panoramabilder aus der Perspektive von Passanten angefertigt. erforderlich sind. Dadurch entsteht der Eindruck, als würden die Nutzenden selbst die Straße 8. Soweit Personen, Kfz-Kennzeichen und Gebäudeansichten aufgrund eines entlanggehen und die Gegend um sich herum erkunden. Widerspruchs zu entfernen sind, müssen auch die entsprechenden Roh daten gelöscht werden. Ihre Löschung erfolgt bereits vor der Veröffent Der Datenschutz hat bei der Veröffentlichung dieser Bilddaten eine beson- lichung, wenn der Widerspruch bis zu einem Monat vor Veröffentlichung dere Rolle gespielt, da neben personenbeziehbaren Daten wie Hausfassaden, der Bilder bei Google eingeht. Später oder nach Veröffentlichung einge- Autokennzeichen und Grundstücken auch personenbezogene Daten von Pas- hende Widersprüche führen zu einer Löschung der Rohdaten binnen zwei santinnen und Passanten erhoben wurden. Um die Persönlichkeitsrechte der Monaten. Betroffenen zu wahren, hat Google daher dem Hamburgischen Beauftragten 9. Es wird ein Verfahrensverzeichnis erstellt. für Datenschutz und Informationsfreiheit folgende 13 Zusicherungen gegeben: 10. Im Falle von Verknüpfungen des Dienstes durch andere Anbieter behält 1. Vor der Veröffentlichung von derartigen Aufnahmen wird eine Technologie sich Google in den Nutzungsbedingungen das Recht vor, bei offensichtli- zur Verschleierung von Gesichtern eingesetzt. cher Verletzung anwendbarer Gesetze dies zu unterbinden. 2. Vor der Veröffentlichung derartiger Aufnahmen wird eine Technologie 11. Eine Beschreibung der Datenverarbeitungsprozesse und der technischen zur Verschleierung von Kfz- Kennzeichen eingesetzt. und organisatorischen Maßnahmen für Google Street View wird vorgelegt. Insbesondere gehört hierzu auch eine deutliche Beschreibung des Umgangs 3. Eigentümer und Bewohner können der Darstellung „ihres“ Gebäudes mit den Widerspruchsdaten von der Entgegennahme des Widerspruchs bis widersprechen, Google wird das Gebäude dementsprechend unkenntlich zur endgültigen Löschung. machen. 12. Der Widerspruch kann nach wie vor im Internet unter www.google.de/ 4. Widersprüche zu Personen, Kennzeichen und Gebäuden bzw. Grundstü- streetview über den Button „Ein Problem melden“ oder schriftlich bei der cken werden bereits vor der Veröffentlichung von Bildern in einer einfa- Google Germany GmbH, betr.: Street View, ABC-Straße 19, 20354 Ham- chen Form berücksichtigt mit der Folge, dass die entsprechenden Bilder vor burg eingelegt werden. der Veröffentlichung unkenntlich gemacht werden. Voraussetzung ist eine Identifizierung des Grundstücks, der Person oder des Fahrzeugs. 13. Google bestätigt den Eingang der eingelegten Widersprüche zeitnah. 5. Geplante Befahrungen werden mit einem Hinweis auf die Widerspruchs- möglichkeit im Internet rechtzeitig vorher bekannt gegeben. Die vorhande- Bevor Street View in Deutschland startete, konnten Bürgerinnen und Bürger nen Befahrungspläne werden bis zu zwei Monate im Voraus veröffentlicht seit April 2009 per Brief oder E-Mail und zusätzlich seit August 2010 auf der und ständig aktualisiert. Google hat außerdem zugesagt, die Liste genauer Internetseite von Google Maps Deutschland einen Vorabwiderspruch einlegen, zu gestalten und auf Landkreise und kreisfreie Städte zu erstrecken. damit ihr Haus oder ihre Wohnung bei Street View unkenntlich gemacht wird. 6. Die Widerspruchsmöglichkeit besteht auch nach der Veröffentlichung. Gegen eine Veröffentlichung hatten im Vorfeld rund eine Viertelmillion Bür- gerinnen und Bürger aus den 20 Städten32 Widerspruch eingelegt. 7. Google benötigt die Rohdaten nach eigenen Angaben zur Weiterentwick- lung und Verbesserung der vom Unternehmen entwickelten Technologie 31 Vgl. JB 2008, 8.4.1 32 Vgl. Fn. 29 26 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 27",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p15-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 16,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Da das von Google eingesetzte Verfahren zur Unkenntlichmachung von Abbil- auf andere EU-Mitgliedstaaten oder auf das weltweite Street View-Angebot dungen vor der Veröffentlichung überwiegend automatisiert ablief, war nicht abgelehnt hat. auszuschließen, dass es zu Fehlern kam. Diese führten dazu, dass nicht alle Häu- ser, Personen oder Kraftfahrzeuge hinreichend unkenntlich gemacht wurden. Um einen allgemein verbindlichen Rechtsrahmen für georeferenzierte Pano Auch nach der Veröffentlichung in Street View besteht daher für Bürgerin- ramadienste festzulegen, beschloss der Bundesrat im Juli einstimmig einen nen und Bürger die Möglichkeit, die Unkenntlichmachung von Abbildungen Gesetzentwurf, der wesentliche Elemente der für Street View vereinbarten zu beantragen. Maßnahmen aufgriff33. Die Bundesregierung lehnte diesen Gesetzentwurf aller- dings umgehend als „Lex Google“ ab, der zudem eine zu technikabhängige Sofern sich also Betroffene über einzelne Fehler in der Veröffentlichung bei Regulierung vorsehe. Tatsächlich hat der Bundesrat weder ein verfassungsrecht- Street View beschweren oder nachträglich ihr Haus, ihre Wohnung oder ihr lich problematisches Einzelfallgesetz vorgeschlagen, noch ging es ihm um die Kraftfahrzeug unkenntlich machen lassen wollen, können sie dies auf der ent- Regulierung einer bestimmten Technik. Die Kritik der Bundesregierung geht sprechenden Abbildung tun. Auf jeder Abbildung von Street View befindet deshalb an der Sache vorbei. Das Bundesinnenministerium favorisiert dagegen sich unten links der Button „Ein Problem melden“. Wenn etwas zu beanstan- eine Selbstregulierung durch die Anbieter, gekoppelt mit einer gesetzlich defi- den ist, kann diese Anwendung durch Anklicken geöffnet werden. Es erscheint nierten „Roten Linie“, die nicht überschritten werden darf . 34 eine Seite, auf der zu meldende Probleme folgenden Rubriken zugeordnet werden können: Dementsprechend legte der Branchenverband BITKOM kurz vor Ende des Berichtszeitraums den Entwurf eines Verhaltenskodexes für Geodatendienste • Bedenken in Bezug auf die Privatsphäre: Unkenntlichmachung des vor, der zum Ziel hat, einheitliche Grundsätze für alle Anbieter solcher Dienste Gesichts, des eigenen Hauses, des eigenen Autos oder Kfz-Kennzeichens; in Deutschland zu etablieren. Der Entwurf blieb allerdings in mehreren Punk- • Unangemessener Inhalt: z. B. Nacktheit, eigene Person in unangemessener ten hinter den von Google für Street View gegebenen Zusicherungen zurück. Umgebung; Die Datenschutzaufsichtsbehörden werden sich in Gesprächen mit dem BIT- • Sonstiges: falsch positioniertes Bild, falsche Adresse oder falsch ausgerich- KOM für entsprechende Verbesserungen einsetzen. Als zuständige Aufsichtsbe- tete Navigationspfeile, schlechte Bildqualität, mögliche Sicherheitsgefähr- hörde haben wir den BITKOM außerdem darauf hingewiesen, dass ein Verhal- dung durch Veröffentlichung des Bildes. tenskodex nur dann rechtliche Verbindlichkeit erlangt, wenn wir Gelegenheit Anschließend sollte das Problem in dem dafür vorgesehenen Feld beschrieben erhalten, ihn auf die Vereinbarkeit mit dem geltenden Datenschutzrecht zu werden. Die Angabe einer E-Mail-Adresse ist erforderlich. Es wird empfohlen, überprüfen35. Diese Prüfung wird sich auch darauf erstrecken, ob die geplan- dafür eine Adresse zu verwenden, die nicht für private Zwecke genutzt wird. ten Verhaltensregeln die Durchführung datenschutzrechtlicher Regelungen In der Bildvorschau ist der Problempunkt einzugrenzen. fördern, also einen datenschutzrechtlichen Mehrwert aufweisen. Dann würde der BITKOM-Verhaltenskodex sich in das vom Bundesgesetzgeber vorgege- Google hat seine Zusicherungen weitgehend eingehalten. Beim Start des bene Konzept der „regulierten Selbstregulierung“ einfügen. Street View-Dienstes festgestellte Fehler wurden – nach ihrer Meldung – offenbar umgehend beseitigt. Dass Google den Einwänden vieler Menschen in Deutschland – wenn auch erst auf Drängen der zuständigen Aufsichtsbehörde – in dieser Weise entsprochen hat, ist als Erfolg für den Datenschutz anzu- 33 Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes, BR-Drs. 259/10 sehen. Nicht nachvollziehbar ist dagegen, weshalb das Unternehmen sich für (Beschluss) 34 Vgl. P. König: Rote Linie und Daten-Kodex. In: c’t 1/2011, S. 36 eine deutsche „Insellösung“ entschieden und eine Übertragung dieser Praxis 35 Vgl. § 38 a BDSG 28 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 29",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p16-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 17,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung Grundsätzlich geht es um die Frage, wie frei Bildaufnahmen im öffentlichen • Koordination der Zusammenarbeit von Bund und Ländern in Fragen der Raum künftig sein dürfen. Voraussetzung für eine datenschutzfreund Informationstechnik; liche Gestaltung aller Panorama-, Landkarten- oder Geodatendienste muss • Beschluss fachunabhängiger und fachübergreifender IT-Interoperabilitäts- die Berücksichtigung der schutzwürdigen Interessen der Betroffenen sein. und IT-Sicherheitsstandards; Generelle Verhaltensregeln für Geodatendienste sollten sich an den Zusi cherungen orientieren, die Google für den deutschen Street View-Dienst • Steuerung von Projekten zu Fragen des informations- und kommunika gemacht hat. tionstechnisch unterstützten Regierens und Verwaltens (E-Government- Projekte), die dem IT-Planungsrat zugewiesen werden; • Koordination bei der Errichtung des Verbindungsnetzes nach Maßgabe des aufgrund von Art. 91 c Abs. 4 GG ergangenen Bundesgesetzes. 1.2 Datenverarbeitung in der Berliner Verwaltung Dem Planungsrat gehören der Beauftragte der Bundesregierung für Informa- 1.2.1 IT-Politik tionstechnik sowie je ein für Informationstechnik zuständiger Vertreter jedes Landes an. Beratende Teilnehmer sind drei Vertreter der Gemeinden und IT-Planungsrat Gemeindeverbände sowie der Bundesbeauftragte für den Datenschutz und die Der neue Art. 91 c Grundgesetz (GG) erlaubt Bund und Ländern, bei der Pla- Informationsfreiheit. nung, der Errichtung und dem Betrieb der für ihre Aufgaben notwendigen informationstechnischen Systeme zusammenzuarbeiten. Sie können die dafür In der Geschäftsordnung wurde nach Intervention der Bundesländer geregelt, notwendigen Standards und Sicherheitsanforderungen festlegen. Die Länder dass zusätzlich ein Vertreter der Landesdatenschutzbeauftragten an den Sit- dürfen informationstechnische Systeme in gemeinsamen Einrichtungen betrei- zungen teilnehmen darf, sofern die Länder betreffende datenschutzrechtliche ben. Der Bund errichtet für das Zusammenwirken der Netze des Bundes und Belange erörtert werden38. Dies entspricht nicht ganz dem Wunsch der Kon- der Länder auf Grundlage eines Bundesgesetzes ein Verbindungsnetz. ferenz der Datenschutzbeauftragten des Bundes und der Länder, die die regel- mäßige Einbindung der Landesdatenschutzbeauftragten für geboten hielt39. Zur Koordination dieser Zusammenarbeit nahm der IT-Planungsrat im April Da jeder Beschluss über fachunabhängige und fachübergreifende IT-Interope- seine Arbeit auf. Er hat damit die bisherigen Gremien zur Koordination der rabilitäts- und IT-Sicherheitsstandards, gemeinsame E-Government-Projekte Bund-Länder-übergreifenden IT-Projekte (den Arbeitskreis der Staatssekre- und Sicherheitsfragen des Verbindungsnetzes Datenschutzfragen der Länder täre für E-Government in Bund und Ländern und den Kooperationsausschuss berühren, dürfte sich faktisch kaum ein Unterschied ergeben. von Bund und Ländern für automatisierte Datenverarbeitung (KoopA ADV)) abgelöst. E-Government in Berlin In Berlin wurden die Arbeiten an den künftigen E-Government-Struktu- Im Mai36 trat ein Vertrag zur Ausführung von Art. 91 c GG nach Ratifizierung ren fortgesetzt. Dabei geht es darum, die Online-Anbindung der Bürgerin- durch alle Bundesländer in Kraft, der die Grundlagen für die Arbeit des Pla- 37 nen und Bürger an ihre Verwaltung auszubauen und nicht nur einen Bera- nungsrats beschreibt. Danach hat er folgende Aufgaben: 38 Diese Aufgabe nimmt der Landesbeauftragte für Datenschutz und Informationsfreiheit 36 Gesetz zum Vertrag über die Errichtung des IT-Planungsrats und über die Grundlagen der Mecklenburg-Vorpommern wahr, der auch Vorsitzender des Arbeitskreises Technik der Kon- Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund ferenz der Datenschutzbeauftragten des Bundes und der Länder ist. und Ländern – Vertrag zur Ausführung von Artikel 91 c GG vom 27. Mai 2010, BGBl. I, S. 662 39 Entschließung vom 8./9. Oktober 2009: Staatsvertrag zum IT-Planungsrat – Datenschutz 37 Z. B. für Berlin durch Gesetz vom 3. März 2010, GVBl. S. 126 darf nicht auf der Strecke bleiben, vgl. Dokumentenband 2009, S. 16 30 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 31",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p17-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 18,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung tungs- oder Formularservice, sondern nach und nach auch rechtlich verbindli- Das Senatsprogramm setzt auch die Änderung von Verwaltungsregelungen vor- che Verwaltungsdienstleistungen anzubieten, die den Menschen zeitraubende aus. Insbesondere ist die Gemeinsame Geschäftsordnung (GGO) für die Berli- Behördenbesuche ersparen können. Terminvereinbarungen bei Bürgeräm- ner Verwaltung fortzuschreiben, die die neuen Zugangswege der Bürgerinnen tern, Online-Kraftfahrzeug-Anmeldungen über Neuwagenhändler, Online- und Bürger zu den Behörden und die computergestützte Weiterbearbeitung Beratung von Hörgeschädigten in der Gebärdensprechstunde über Internet- der Anliegen regeln muss. Wie erfolgt der elektronische Postein- und -ausgang, Videotelefonie, die Auskunftserlangung über die einheitliche Behörden- wie die Mitzeichnungen, wie die revisionssichere Langzeitspeicherung? Rufnummer D-115 sind bereits heute in Berlin möglich und sollten noch längst nicht das Ende der Möglichkeiten sein. Ein wesentlicher Motor dieser Die rechtlichen, organisatorischen, technischen und wirtschaftlichen Rahmen- Entwicklung ist auch die technische Umsetzung der europäischen Dienstleis- bedingungen des Einsatzes von Dokumentmanagement- und Vorgangsbear- tungsrichtlinie, die die verbindliche Auskunftserteilung und den Austausch ver- beitungssystemen sind in vier Verwaltungsprojekten untersucht worden. Ein bindlicher Dokumente zwischen Dienstleistungsanbietern in Europa und der 2. Zwischenbericht wurde dem Senat Anfang 2010 zur Kenntnisnahme vor- Institution des Einheitlichen Ansprechpartners über das Internet voraussetzt. 40 gelegt . Er konkretisiert den Anpassungsbedarf der Gemeinsamen Geschäfts- 41 ordnung, die Notwendigkeit eines E-Government-Gesetzes und ergänzender Aber es geht darüber hinaus auch um die technische Unterstützung der aus organisatorischer Regelungen für den Übergang von der Papierakte zur elek- dem Bürger-Behörden-Kontakt resultierenden Verwaltungsprozesse in den tronischen Akte, den Umgang mit elektronischen Signaturen und E-Mails, der Behörden. Die bislang in papierenen Akten dargestellten Entscheidungsprozesse Langzeitspeicherung und Aussonderung von Schriftgut, den Bedarf an Schu- müssen der elektronischen Akte weichen, die mittels eindeutiger Identifikato- lungen und den Aufbau eines Landesreferenzmodells für die technischen und ren oder Text-Retrieval-Datenbanken schneller auffindbar ist, die von verschie- organisatorischen Anforderungen an den Einsatz von DMS/VBS. denen Stellen aus gleichzeitig gelesen oder gar bearbeitet werden kann, die kei- nen Archivplatz, sondern quasi unbegrenzt verfügbaren Speicherplatz benötigt. Für 2011 wurde ein Referentenentwurf für ein Berliner E-Government- Gesetz angekündigt. Einen solchen Gesetzentwurf gibt es bisher nur in Schles- Das Senatsprogramm ServiceStadtBerlin setzt die elektronische Führung ver- wig-Holstein . Die Zeitplanung auf Bundesebene sieht vor, dass ein Gesetz bis 42 bindlicher Akten voraus. Dies bedeutet, dass die bisher geltenden, häufig stren- Ende 2012 verabschiedet wird43. gen Aktenführungsregeln, die die Verbindlichkeit, Beweiskraft und Nachvoll- ziehbarkeit der Aktenführung gewährleisten sollen, auf die elektronische Akten- führung mittels Informationstechnik übertragen werden müssen. Moderne 1.2.2 IT-Sicherheit Software für das Dokumentenmanagement und die Vorgangsbearbeitung (DMS/VBS), die diesen Ansprüchen genügen kann, wenn man die vorhande- Gegen Jahresende berichteten alle Zeitungen über den erheblichen Anstieg von nen Möglichkeiten ausschöpft, existiert längst. Aber mit der Beschaffung der Angriffen auf deutsche Behördencomputer, nach Feststellung des Bundes- Hard- und Software allein kann das Programm nicht ausgefüllt werden. Kom- amtes für Verfassungsschutz zumeist von staatlichen chinesischen Stellen, und plexer sind die Anpassungen der Behördenstrukturen an diese neuen Arbeits- von den Plänen der Bundesregierung, ein „Cyber-Abwehr-Zentrum“ einzu- methoden und Werkzeuge, die organisatorischen Vorbereitungen, die Abstim- mung zwischen unterschiedlichen Interessenvertretungen, die Überwindung 41 Im Intranet des Landes Berlin: http://www.verwalt-berlin.de/seninn/itk/rahmenbedingun- von Vorbehalten gegen umfassende technische Neuerungen und die Erziehung gendms_vbs/index.html#sv der Beschäftigten zu einem neuen Sicherheitsbewusstsein. 42 http://www.landtag.ltsh.de/infothek/wahl16/drucks/2400/drucksache-16-2437.pdf 43 T. Laier: E-Government-Gesetz des Bundes, Vortrag auf der Messe „Moderner Staat 2010“ in Berlin, vgl. http://www.berlin.de/imperia/md/content/verwaltungsmodernisierung/ 40 Vgl. 10.7 sowie JB 2008, 11.5; JB 2009, 10.9 modernerstaat2010/101011_laier_e_government_gesetz.pdf 32 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 33",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p18-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 19,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung richten, das diesen Bedrohungen begegnen soll. Diese Angriffe dienen nicht Die Berliner IT-Sicherheitsgrundsätze und die jährlich aktualisierten IT-Stan- der Sabotage der Behördensysteme, sondern der Ausforschung gespeicherter dards als Verwaltungsvorschriften konkretisieren dies noch. Für alle logisch, Geheimnisse. Dennoch werden sie mit dem Thema Cyberkrieg44 in Verbin- organisatorisch oder räumlich zusammengehörigen Bereiche mit einheitli- dung gebracht. Generell stellt sich die Frage der Informationssicherheit deut- chen Sicherheitsanforderungen, die sog. Sicherheitsdomänen, ist mindestens scher Behördencomputer und damit nicht zuletzt auch der Sicherheit der IT- ein Grundschutz durch Anwendung des IT-Grundschutzkatalogs des Bundes- Systeme und -Anwendungen der Berliner Verwaltung. amtes für Sicherheit in der Informationstechnik (BSI) zu realisieren. Sofern die Schutzbedarfsanalyse (Teil des BSI-Standards 100-2) hohen oder sehr hohen Ob die Systeme der Berliner Landesverwaltung das Interesse chinesischer Schutzbedarf ergibt, sind zusätzliche Risikoanalysen (IT-Sicherheitshandbuch Hacker wecken, ist zweifelhaft. Immerhin ist in den letzten Jahren das Bewusst- des BSI oder BSI-Standard 100-3) erforderlich und darauf aufbauend zusätzli- sein dafür in der Berliner Verwaltung gewachsen, dass die Sicherheit ihrer che Sicherheitsmaßnahmen zu ermitteln. Diese Regelung der IT-Sicherheits- informationstechnischen Systeme und Verfahren einen höheren Stellenwert grundsätze folgt den Vorgaben des Verfahrens nach den IT-Grundschutzkata- genießen muss, wenn man nicht doch einmal als Opfer eigener Fahrlässigkeit logen . 45 oder erfolgreicher Angriffe von außen gezwungen sein will, die Dienstleistun- gen für Bürgerinnen und Bürger ganz oder teilweise einzustellen. Als Standard definieren die IT-Sicherheitsgrundsätze Sicherheitskonzepte für die Domänen „Landeseinheitliche IT-Infrastruktur und IT-Dienste“ unter Die rechtlichen Regelungen zur Informationssicherheit in Berlin können der Vorgabe hohen Schutzbedarfs, „Behörden“ für die verfahrensunabhängige zu Recht als vorbildlich angesehen werden. Mit ihren Forderungen nach kon- behördliche Infrastruktur sowie „Verfahren“ für die verfahrensspezifischen kreten Maßnahmen lassen sie keinen Raum mehr für Auslegungen, die auf Sicherheitsanforderungen. Die sog. verfahrensspezifischen Sicherheitskon- einen Verzicht auf die Umsetzung hinauslaufen. Die selbstverständliche For- zepte sind diejenigen, die das BlnDSG verlangt. Sie beschreiben die Maß- derung nach der Angemessenheit der Maßnahmen lässt sich nicht mehr dafür nahmen, die erforderlich sind, um das behördliche Sicherheitskonzept den missbrauchen, aus Kostengründen auf das notwendige Sicherheitsniveau zu ver- Besonderheiten des Anwendungsverfahrens anzupassen. Fehlt ein behördliches zichten, weil angemessene Maßnahmen genau jene sind, die die als nicht trag- Sicherheitskonzept, muss das gesetzlich verlangte verfahrensspezifische Konzept bar erkannten Risiken auf ein tragbares Maß reduzieren, und nicht jene, die um die Maßnahmen ergänzt werden, die auch verfahrensunabhängig für die im Verhältnis zu den sonstigen IT-Kosten hinreichend billig sind. Das Niveau genutzten Infrastrukturteile in einem behördlichen Sicherheitskonzept ent- der Sicherheitsmaßnahmen hat sich nicht an den Kosten des eingesetzten Ver- halten sein müssten. Sonst wäre das Sicherheitskonzept in wesentlichen Berei- fahrens zu orientieren, sondern am Schutzbedarf der im Verfahren verarbei- chen unvollständig. teten Daten. Die IT-Sicherheitsgrundsätze und die IT-Standards empfehlen zur vereinfach- Dies berücksichtigt § 5 BlnDSG. Er verlangt, dass vor einer Entscheidung über ten und vereinheitlichten Umsetzung des Verfahrens nach den IT-Grundschutz- den Einsatz oder eine wesentliche Änderung der automatisierten Datenverar- katalogen für behördenübergreifende einheitliche Sicherheitsanforderungen beitung die technischen und organisatorischen Maßnahmen zur Gewährleis- die Anwendung des sog. Modellsicherheitskonzepts. Dieses setzt das Verfahren tung der aufgeführten Schutzziele auf der Grundlage einer Risikoanalyse und nach den Grundschutzkatalogen um, berücksichtigt aber vorab alle Regelun- eines Sicherheitskonzepts ermittelt werden müssen. Dabei sollen die Maßnah- gen und die Sicherheitsmaßnahmen der zentralen IT-Infrastruktur der Berli- men dem angestrebten Schutzzweck angemessen und am jeweiligen Stand der ner Verwaltung. Technik ausgerichtet sein. 45 Eine Ausnahme ist die Option, für Risikoanalysen noch die Methode des IT-Sicherheits- 44 Vgl. 1.1.1 handbuchs von 1992 zu verwenden. Dies ist aus unserer Sicht hinnehmbar. 34 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 35",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p19-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 20,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung Damit ist in der Berliner Verwaltung gesetzlich klargestellt, dass verfahrens Die Umfrage betrifft die behördlichen Sicherheitskonzepte und gibt keinen spezifische Sicherheitskonzepte erstellt werden müssen, und es ist untergesetz- Aufschluss darüber, inwieweit die gesetzlich vorgeschriebenen verfahrensspe- lich festgelegt, wie dies zu geschehen hat. zifischen Sicherheitskonzepte erstellt worden sind. Das Gesetz schreibt solche Konzepte seit 2001 vor, zuvor waren sie schon seit 1999 aufgrund einer Ver- Die IT-Sicherheitsgrundsätze legen auch fest, dass das IT-Kompetenzzentrum waltungsvorschrift zu erstellen. Es muss daher davon ausgegangen werden, dass bei der Senatsverwaltung für Inneres und Sport einen jährlichen IT-Sicher- bei allen IT-Verfahren des Landes seitdem Neukonzeptionen oder wesent heitsbericht erstellt. Daraus ergeben sich auf der Basis einer Selbstauskunft der liche Änderungen vorgenommen worden sind und deshalb verfahrensspezifi- Behörden Jahr für Jahr vergleichbare Zahlen ... sche Sicherheitskonzepte vorliegen müssten. Aber selbst bei neuen IT-Verfahren ist es eher die Regel, dass sie ohne Sicherheitskonzepte in Betrieb genommen .... 2007 2008 2009 werden und diese erst irgendwann danach – wenn überhaupt – fertiggestellt werden. Aktuell gilt dies für zwei IT-Verfahren, bei denen man das nicht erwar- über die Anzahl der Selbstauskunft 71 68 72 ten sollte, weil sie im Bereich der Eingriffsverwaltung eingesetzt werden: erteilenden Behörden, die Anzahl der Behörden mit vorliegendem 47 47 48 Seit Januar 2008 betreibt die Senatsverwaltung für Finanzen im Rahmen des behördlichen Sicherheitskonzept, Anschlusses an den EOSS-Verbund („Evolutionär orientierte Steuersoftware“) wie viele davon von den Behördenleitungen 37 35 36 ein neues Besteuerungsverfahren, das im Wesentlichen von der bayerischen bestätigt wurden, Steuerverwaltung entwickelt worden ist und für das aufgrund der dortigen Rechtslage kein verfahrensspezifisches Sicherheitskonzept erstellt wurde . Im 46 wie viele gegenwärtig erarbeitet werden, 24 21 23 September 2010 erhielten wir die Mitteilung, dass die Entwicklung eines auf wie viele Behörden regelmäßige 27 18 20 die Berliner Verhältnisse zugeschnittenen Sicherheitskonzepts fortgeschritten Schulungen vornehmen sei und dass es uns möglicherweise noch im gleichen Jahr übersandt werden bzw. ein IT-Sicherheitsmanagement 32 37 43 sollte. Dies ist nicht geschehen. eingerichtet haben und wie viele für die IT-Sicherheit keine 7 13 15 Ende Mai berichtete die Presse, dass ab sofort im Autobahntunnel Britz Ressourcen zur Verfügung stellen. scharf geblitzt wird. Gleichzeitig erhielten wir die „Errichtungsanordnung für das Betreiben einer stationären Geschwindigkeitsüberwachungsanlage Tun- nel Ortsteil Britz“. Damit erfuhren wir, dass zur unmittelbaren Auswertung Die Zahlen zeigen nur wenige Veränderungen, was die Sicherheitskonzepte der Schwarzlicht-Überwachungsmaßnahmen im Tunnel Britz ein IT-Verfah- angeht. Da viele Behörden an solchen arbeiten, sollte man erwarten, dass die ren eingesetzt wird, bei dem die Mess- und Bilddaten der Aufnahmekameras Zahlen steigen. Da die Zahl der in Arbeit befindlichen Sicherheitskonzepte auf einen Server in der Tunnelzentrale übertragen, dort auf eine DVD kopiert ebenfalls relativ konstant bleibt, muss man daraus schließen, dass die Erar- und damit an die Bußgeldstelle übermittelt werden. Ein verfahrensspezifisches beitung in manchen Behörden als Daueraufgabe angesehen wird, die nicht Sicherheitskonzept haben wir in einer ersten Stellungnahme angemahnt. Als zu Ende gebracht wird. Unerfreulich ist der nach wie vor geringe Anteil an Reaktion wurde uns die Fertigstellung einiger Teile mitgeteilt. Nach der Bean- Behörden, die regelmäßige Schulungen vornehmen, erfreulich dagegen der standung des rechtswidrigen Einsatzes des IT-Verfahrens gegenüber der zustän- Anstieg der Zahlen für das IT-Sicherheitsmanagement. Besorgniserregend sind digen Senatorin für Stadtentwicklung teilte diese uns mit, dass sie den Polizei- die Selbstauskünfte zur Ressourcenbereitstellung für die IT-Sicherheit, die mittlerweile ein Fünftel der befragten Behörden für entbehrlich hält. 46 Vgl. JB 2009, 1.2.2 36 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 37",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p20-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 21,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung präsidenten aufgefordert habe, uns die inzwischen fertiggestellten Unterlagen Universität Berlin und der Hochschule für Wirtschaft und Recht50, dem Ver- umgehend zuzuleiten. Sie erreichten uns dann am Tag vor Weihnachten. Ihre fahren WebUntis zur Anwesenheitserfassung in Schulen und der technischen 51 Prüfung ist noch nicht abgeschlossen. Umsetzung der EU-Dienstleistungsrichtlinie durch die Senatsverwaltung für Wirtschaft, Technologie und Frauen . 52 Festzustellen ist, dass beide genannten hoheitlichen Verfahren rechtswidrig in Betrieb genommen wurden, denn die in § 5 Abs. 3 Satz 1 BlnDSG genann- Die folgenden Projekte sind in unterschiedlichen Stadien der Fertigstellung, ten Voraussetzungen für den rechtmäßigen Einsatz dieser Verfahren waren bei aber sämtlich noch nicht ganz abgeschlossen: Inbetriebnahme nicht gegeben, für EOSS nach wie vor nicht. E-Government-Verfahren zur Künstlerförderung (eGo-KüF) 1.2.3 Aktuelle IT-Projekte Mit dem Projekt soll eine IT-Lösung und durch begleitende organisatorische Maßnahmen die Möglichkeit geschaffen werden, bei der Bearbeitung von Die öffentlichen Stellen des Landes sind verpflichtet, uns über die Einfüh- Anträgen zur Künstlerförderung den Aufwand zu verringern und die Quali- rung neuer Informationsverfahren und wesentliche Änderungen automatisier- tät der Arbeit und den Service für die Antragstellenden zu verbessern. Ihnen ter Datenverarbeitungen zu informieren47. Wann das zu erfolgen hat, ergibt werden über ein Internet-Portal Informationen über das Förderverfahren und sich aus dem Gesetz nicht. Folgerichtig gibt es öffentliche Stellen, die uns erst Antragsformulare zur Verfügung gestellt, die elektronisch ausgefüllt werden unmittelbar vor der Inbetriebnahme unterrichten, sodass eine Beratung zu können und per E-Mail oder über einen Formularservice eingesandt werden rechtlichen und technisch-organisatorischen Datenschutzfragen entfallen muss. können. Jedoch steht auch der traditionelle Weg über die Übermittlung per Jeder dann vorhandene Mangel (z. B. über die Erforderlichkeit hinausgehende Briefpost zur Verfügung. Die weitere Bearbeitung und Verwaltung der För- Datenerhebungen, fehlendes Sicherheitskonzept) führt zu Mangelfeststellun- deranträge erfolgt mit einem Dokumentenmanagement- und Vorgangsbear- gen oder Beanstandungen, deren nachträgliche Behebung aufwändige Nach- beitungssystem (DMS/VBS). besserungen zur Folge haben. Die Mehrheit der Unterrichtungen erfolgt aber zu einem so frühen Zeitpunkt, dass das vorrangige Ziel der Vorschrift, uns Unsere Beratungsaktivitäten betrafen die rechtliche Grundlage des Verfahrens, Gelegenheit zur rechtzeitigen Einflussnahme zu geben, erreicht werden kann. die im Gesetz über die Datenverarbeitung im Bereich der Kulturverwaltung enthalten ist, die Aufbewahrungsfristen für die Antrags- und Entscheidungs Wir haben erneut diverse neue Verfahren begleitet und begleiten andere nach unterlagen sowie das zunächst fehlende Sicherheitskonzept. Das uns später vor- wie vor. Das im vorigen Abschnitt kritisierte EOSS-Verfahren der Steuerver- gelegte Sicherheitskonzept war unvollständig und wies erhebliche methodi- waltung wurde erstmals bereits 2007 erörtert . Neu ist das ebenfalls erwähnte 48 sche Schwächen auf. Insbesondere nahm es keinen Bezug auf ein behördliches IT-Verfahren für die stationäre Geschwindigkeitsüberwachungsanlage Tunnel Sicherheitskonzept, auf dem das verfahrensbezogene Sicherheitskonzept auf- Ortsteil Britz. bauen muss. Die Erarbeitung eines solchen Konzepts wurde angekündigt. In späteren Abschnitten befassen wir uns ausführlicher mit dem ELENA-Ver- fahren des Bundes49, den RFID-gestützten Zutrittskontrollsystemen der Freien 47 § 24 Abs. 3 Satz 3 BlnDSG 50 Vgl. 9.1.2 48 JB 2007, 1.2.3 51 Vgl. 9.2.4 49 Vgl. 2.3 52 Vgl. 10.7 38 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 39",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p21-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 22,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung Projekt INNOS des Verkehrsverbundes Berlin–Brandenburg Neues Fachverfahren im Landesamt für Gesundheit und Soziales für Der Verkehrsverbund Berlin–Brandenburg hat uns zusammen mit der Landes- die Antragsbearbeitung zur Feststellung einer Schwerbehinderung beauftragten in Brandenburg über das Projekt zur Entwicklung eines „Inno- Das Landesamt für Gesundheit und Soziales (LaGeSo) will 2011 das alte vativen interoperablen EFM-Hintergrundsystems – INNOS“ informiert, mit 53 Online-Schwerbehinderten-Antragsverfahren (OSAV) durch ein neues Ver- dem elektronische Fahrscheine in den Verkehrsbetrieben der Region Ber- fahren ersetzen. Die Prozess- und Arbeitsstruktur soll damit optimiert werden, lin–Brandenburg eingeführt werden sollen. Grundlage für das System ist die und alle Internen und Externen (z. B. beauftragte ärztliche Gutachter) sollen sog. Kernapplikation des Verbandes Deutscher Verkehrsunternehmen (VDV), künftig online zusammenarbeiten. Auch die Bürgerinnen und Bürger sollen die die Kompatibilität und Interoperabilität der elektronischen Fahrschein durch die Einbindung eines Online-Formulars einen besseren Service gebo- systeme aller deutschen, später vielleicht auch europäischen Verkehrsunter- ten bekommen. nehmen gewährleisten soll, damit mit einem elektronischen Ticket die Benut- zung aller Verkehrssysteme möglich ist, ungeachtet der unterschiedlichen Tarif Dies bedeutet, dass Online-Zugriffe von außen auf ein behördliches Verfahren systeme. Die Kernapplikation ist bereits in der Vergangenheit mit den Daten- zu realisieren sind, was Sicherheitsfragen aufwirft, die in einem Sicherheitskon- schutzbeauftragten des Bundes und der Länder und den Datenschutzaufsichts- zept behandelt werden müssen. Die uns vorgelegte Leistungsbeschreibung für behörden abgestimmt worden. das Verfahren sieht vor, dass die IT-Sicherheitsgrundsätze und die aktuellen IT-Standards Beachtung finden sollen. Das daraus resultierende Sicherheits- In der ersten Migrationsstufe INNOS-Start sollen nach den Sommerferien konzept wurde für Ende 2010 angekündigt, lag jedoch bei Redaktionsschluss 2011 in Berlin, Potsdam, Brandenburg a. d. Havel und Frankfurt/Oder Abon- noch nicht vor. nenten und Jahreskartenbesitzer mit RFID-Chipkarten ausgestattet werden. Beim Einstieg wird die Gültigkeit des elektronischen Tickets mit einem Lese- gerät durch Vergleich mit einer Sperrliste geprüft. Gleiches geschieht auch Online-Befragung der Dienstkräfte der Senatsverwaltung für bei einer Fahrkartenkontrolle. Die RFID-Chips enthalten nur jene Daten, die Finanzen im Rahmen des Gesundheitsmanagements auch bei den heutigen personengebundenen oder nicht personengebundenen Im Zusammenwirken mit der City BKK und dem Team Gesundheit GmbH, 55 Monatskarten eingetragen sind. einer Tochtergesellschaft aller BKK-Landesverbände, beabsichtigte die Senats- verwaltung für Finanzen, mit einer freiwilligen Online-Befragung Erkennt- Das wichtigste Datenschutzziel bei Projekten zum elektronischen Ticketing ist nisse über die Arbeitsbedingungen in einigen Abteilungen im eigenen Hause, die Vermeidung von persönlichen Bewegungsprofilen. Dies kann nur erreicht in der Landeshauptkasse und im Landesamt zur Regelung offener Vermö- werden, wenn strikt die Prinzipien der Datenvermeidung und Datensparsam- gensfragen/Landesausgleichsamt sowie deren Einfluss auf die Gesundheit und keit, der strengen Zweckbindung und der Trennung von Stamm- und Fahr- Befindlichkeiten der Dienstkräfte zu erlangen. Das Befragungsergebnis sollte daten beachtet werden. Ferner müssen die Datenschutzrechte der Betroffenen eine detaillierte Auswertung bis hinunter zur Referatsebene und einen davon beachtet werden. Beim Einsatz von Chipkarten bedeutet dies auch, dass die abhängigen, auf die befragten Organisationseinheiten zugeschnittenen Maß- Fahrgäste Terminals zur Verfügung erhalten, um überprüfen zu können, welche nahmenkatalog enthalten. Daten aktuell auf dem RFID-Chip gespeichert werden. Wir werden mit der 54 brandenburgischen Landesbeauftragten das Projekt weiterverfolgen. Der Fragebogen war schon bei der Abfrage soziodemografischer Daten so differenziert, dass es leicht möglich gewesen wäre, die Personen zu identifi- zieren, die den Fragebogen ausgefüllt und sich z. B. zu der Arbeitssituation, 53 EFM steht für „Elektronisches Fahrschein-Management“. 54 § 31 c Abs. 2 BlnDSG 55 Betriebskrankenkasse 40 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 41",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p22-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 23,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung dem Verhältnis zu Vorgesetzten, dem Betriebsklima und vielen anderen sensi- damit Risiken für die Integrität und Verfügbarkeit (auch im Sinne von Voll- tiven Sachverhalten wertend geäußert hätten. Das Verfahren war also als per- ständigkeit) zu vermeiden. sonenbezogen anzusehen. Die Auswertung für die Senatsverwaltung sollte am Ende lediglich aggregierte Daten enthalten, die aus den Fragebögen ermittelt Wir werden zu den Sitzungen des Abstimmungsgremiums eingeladen und dort wurden. Wir haben dazu Empfehlungen gegeben, wie bei der Konzeption der die Weiterentwicklung des Projekts begleiten. Auswertung diesen Risiken entgegengetreten werden kann. Dies bedeutete, dass in den tabellarischen Auswertungen erst Werte ab einer bestimmten Größe auftreten durften, damit der Personenbezug nicht trotz der Aggregierung her- Gebärdensprechstunde „Berlin Telefon“ im Versorgungsamt gestellt werden konnte. Das Auswertungskonzept wurde in diesem Sinne ange- per Videotelefonie passt, sodass wir keine Vorbehalte mehr hatten. Gehörlose und stark hörgeschädigte Bürgerinnen und Bürger haben die Mög- lichkeit, Beratungsleistungen des Versorgungsamts im Landesamt für Gesund- heit und Soziales (LaGeSo) in Anspruch zu nehmen, die Rücksicht auf ihre Digitalisierung der Daten des Katastrophenschutzes (DiDaKat) Behinderung nehmen. Dafür gibt es einmal monatlich nachmittags die Mög- Die Senatsverwaltung für Gesundheit, Umwelt und Verbraucherschutz führt lichkeit zu einer persönlichen Sprechstunde mit einer Person, die die Gebär- ein datenbankgestütztes Katastrophenschutzhandbuch, um in einer konkreten densprache beherrscht. Andererseits können sich die Hörbehinderten über katastrophalen Notfallsituation die erforderlichen Alarme auslösen zu können. E-Mail an das Versorgungsamt wenden. Es enthält Rechtsgrundlagen, Kommunikationsverbindungen, Ansprechpart- ner, Inhalts-, Aufgaben- und Zuständigkeitskataloge, mithin personenbezogene Nunmehr ist eine weitere Möglichkeit geschaffen worden: Davon ausgehend, Daten aus den möglicherweise für Notfall- und Krisensituationen relevanten dass die gehörlosen oder stark hörgeschädigten Bürgerinnen und Bürger im Einrichtungen. Das Katastrophenschutzhandbuch, dessen Rechtsgrundlage in privaten Lebensbereich überdurchschnittlich viel Videotelefonie mit dem § 4 Abs. 4 Katastrophenschutzgesetz zu finden ist, wird jetzt im Rahmen des Internet-Telefoniesystem Skype nutzen, bietet das Versorgungsamt jetzt den Projekts DiDaKat digitalisiert. Dazu ist die Nutzung einer marktgängigen Soft- gleichen Kommunikationsweg zum Kontakt mit dem Versorgungsamt, der ware vorgesehen, die auf der Grundlage eines Pflichtenheftes ausgewählt wurde. ebenfalls von einer Person geführt wird, die die Gebärdensprache beherrscht. Es besteht Übereinstimmung, dass auch zu diesem Projekt ein Sicherheitskon- Das LaGeSo stellte uns die Frage, in welchem Umfang und in welcher Weise zept erarbeitet und umgesetzt werden muss. Dabei geht es weniger um die Ver- das Unternehmen Skype persönliche Daten der Nutzenden speichert und ver- traulichkeit der personenbezogenen Daten, die einen normalen Schutzbedarf arbeitet, weil weder die Allgemeinen Geschäftsbedingungen noch die Daten- aufweisen, sondern in erster Linie um die Verfügbarkeit der Daten, um sie im schutzrichtlinien von Skype darüber hinreichend Auskunft geben. unvorhersehbaren Fall des Falles auch nutzen zu können. Kaum weniger wich- tig ist die Integrität der Daten, denn fehlerhafte Katastrophenschutzdaten nüt- Wir haben zunächst aus technischer Sicht darauf aufmerksam gemacht, dass der zen im Ernstfall wenig. Skype-Dienst zur Erfüllung seines Angebots Sicherheitsmechanismen der Nut- zenden umgehen können muss und Mehrwertdienste anbietet, die unbefugt Die Pflege der Daten wird von der Senatsverwaltung und den Bezirken durch- dazu genutzt werden können, unerwünschte Programmcodes auf einen Rech- geführt. Es wird darauf ankommen, auf die Abgrenzung und Koordination der ner zu laden und eventuell ausführen zu lassen . Für die Nutzung von Skype 56 verschiedenen speichernden Stellen beim Systembetrieb zu achten. Hier müs- wäre es daher erforderlich, dass die Rechner, mit denen Skype verwendet wird, sen im Rahmen des Betriebskonzepts noch organisatorische Vorgaben erarbei- tet werden, die im System umzusetzen sind, um Zuständigkeitsprobleme und 56 Mehr zu Voice-over-IP und zu Skype vgl. JB 2007, 2.3.1 42 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 43",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p23-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 24,
"content": "Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung von anderen Netzen und dem Berliner Landesnetz physisch getrennt werden, Eine solche Anbindung ist mit Risiken für die Arztpraxen verbunden, denen um die damit verbundenen Risiken nicht auf diese Netze ausstrahlen zu lassen. mit einem sorgfältig geplanten Verfahren begegnet werden muss. In keinem Fall dürfen klar lesbare Patientendaten auf einen Rechner gelangen, von dem Aus rechtlicher Sicht haben wir festgehalten, dass die Speicherung der Daten aus ein freier Zugriff auf das Internet möglich ist. Setzte sich auf einem solchen bei Skype bei der Anmeldung durch die Nutzerinnen und Nutzer selbst ver- Rechner Schadsoftware fest, wären die Patientendaten gefährdet. anlasst wird und daher keinen Bedenken begegnet und dass auch das Gebär- dengespräch keine Datenschutzrelevanz hat, da die gesprochenen Inhalte von Wir haben der Kassenärztlichen Vereinigung Berlin (KVB) einen Anforde- Skype nach deren Allgemeinen Geschäftsbedingungen und Datenschutzricht- rungskatalog für die Anbindung der Praxen übergeben. Die sicherste Variante linien nicht aufgezeichnet werden. besteht darin, den Rechner, von dem aus die Abrechnungsdaten übertragen werden, vom Praxisnetz zu trennen. Patientendaten dürfen auf ihn nur gelan- Dennoch haben wir angeregt, den hörbehinderten Menschen Hinweise auf gen, wenn sie bereits verschlüsselt wurden. Eine solche Anordnung ist einfach, die Praxis der Speicherung von personenbezogenen Daten bei der Nutzung kostengünstig und ohne besonderes technisches Fachwissen zu realisieren. Der von Skype zu geben. Damit sollen die Nutzenden in die Lage versetzt werden, Rechner kann dann für den allgemeinen Internetzugriff genutzt und muss die Vor- und Nachteile der Skype-Nutzung besser einzuschätzen. nicht aufwändig geschützt werden. Wir werden verfolgen, welche Anbindungs- varianten die KVB ihren Mitgliedern anbieten wird, und in den kommen- Das LaGeSo sieht für eigene Hinweise jedoch keine Erforderlichkeit und ver- den Jahren stichprobenartig prüfen, ob trotz des Anschlusses der Praxen an das weist auf den mündigen Menschen, der selbst entscheiden kann, inwieweit er Internet die Sicherheit der Patientendaten gewahrt bleibt. die Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien von Skype zur Kenntnis nehmen möchte. Diese Aussage erstaunt, weil die Interpreta tionsprobleme dieser Dokumente beim LaGeSo selbst Ausgangspunkt des Bera- tungsvorgangs waren. Es wird jedoch daran gedacht, auf den Internetseiten der Gebärdensprechstunde einen gut sichtbaren Hinweis auf die aktuellen Fassun- gen der Skype-Dokumente aufzunehmen. Übermittlung von Abrechnungsdaten der Kassenärzte über das KV-SafeNet Kassenärzte rechnen ihre Leistungen in der Regel mit den Kassenärzt lichen Vereinigungen ab. Hierzu übermitteln sie Daten über die behandel- ten Versicherten, die Diagnosen und die erbrachten Leistungen elektronisch an diese Körperschaften des öffentlichen Rechts. Bisher geschah dies auf Datenträgern, also Disketten oder CDs. Ab dem 1. Januar 2011 verlangt das Gesetz eine leitungsgebundene Übertragung. Hierzu müssen die Praxen an das Internet angeschlossen sein und ein sicherer Übertragungsweg hergestellt werden. 44 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 45",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p24-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 25,
"content": "Kapitel 2 Schwerpunkte 2.1 Gesetz zur Regelung des Beschäftigtendatenschutzes 2. Schwerpunkte einhergehenden öffentlichen Drucks sah sich der Gesetzgeber zu einer provi- sorischen „kleinen Lösung“ gezwungen. 2.1 Gesetz zur Regelung des Beschäftigtendatenschutzes Die erste Neuregelung des Beschäftigtendatenschutzes ging auf eine Initiative des Bundesrats im Jahr 2008 zurück. Aus Anlass der genannten Vorfälle zur Beschäftigtenüberwachung bat er die Bundesregierung, durch klare gesetzliche Die Bundesregierung will nach nahezu dreißigjähriger Diskussion umfassende Regelungen die Grenzen der Datenerhebung, -verarbeitung und -nutzung von gesetzliche Regelungen für den Beschäftigtendatenschutz schaffen. Hinter- Beschäftigtendaten zu definieren und Rechtssicherheit für alle Beteiligten zu grund ist, dass es zu vielen Fragen des Datenschutzes bei Beschäftigten eine schaffen. Daraufhin wurde 2009 mit dem neuen § 32 Bundesdatenschutzgesetz einzelfallbezogene Rechtsprechung der Arbeitsgerichte gibt, die allerdings oft (BDSG) ein allgemeiner gesetzlicher Rahmen für den Umgang mit Beschäf- uneinheitlich ist. Obergerichtliche Urteile sind selten. Für zahlreiche in der tigtendaten in Unternehmen geschaffen. Diese Neuregelung sollte ein eigen- beruflichen Praxis vorhandene Fragen bestehen keine speziellen gesetzlichen ständiges Beschäftigtendatenschutzgesetz jedoch nicht ersetzen, sondern die Regelungen. Soweit Regelungen vorhanden sind, finden sie sich in verschie- bislang von der Rechtsprechung aufgestellten Grundsätze zum Datenschutz in denen Gesetzen, z. B. im Bundesdatenschutzgesetz, Betriebsverfassungsgesetz, Beschäftigungsverhältnissen zusammenfassen und konkretisieren. Telekommunikationsgesetz oder Telemediengesetz. Die Regierungsparteien griffen den Beschäftigtendatenschutz 2009 im Koa- Bereits 1984 hat die Konferenz der Datenschutzbeauftragten des Bundes und litionsvertrag erneut auf. Vorgesehen war, dass wesentliche Fragen des Daten- der Länder Grundsätze für ein Arbeitnehmerdatenschutzgesetz formuliert , 57 schutzes konkretisiert und der Beschäftigtendatenschutz zukünftig in einem die später mehrfach präzisiert wurden58. Darin heißt es: „Wegen der Abhängig- eigenen Abschnitt bzw. Kapitel des Bundesdatenschutzgesetzes ausgestaltet wer- keit des Arbeitnehmers von Arbeitsplatz und Einkommen zur Sicherung seiner Exis- den sollen. Ergänzend dazu brachte die SPD-Fraktion im Deutschen Bundestag tenz stellt sich für ihn ... generell die Pflicht zur Angabe seiner Daten als zwangsweise im November 2009 den Entwurf eines Beschäftigtendatenschutzgesetzes ein. Erhebung im Sinne der Urteilsgründe (des Volkszählungsurteils) dar. Hieraus ergibt Das Bundesministerium des Innern kündigte sodann einen eigenen Gesetz- sich für das Beschäftigungsverhältnis die Notwendigkeit einer bereichsspezifischen und entwurf an. präzisen Bestimmung der Verwendungszwecke der erhobenen Daten, des Schutzes vor Zweckentfremdung durch Weitergabe- und Verwertungsverbote sowie der Beschränkung Ein erster Referentenentwurf des Ministeriums war jedoch in wesentlichen auf das zur Zweckerreichung erforderliche Datenminimum.“ Punkten nicht geeignet, das angestrebte Ziel eines zeitgemäßen und verbes- serten Schutzes der Beschäftigten vor Überwachung und übermäßiger Kont- In der Folgezeit gab es lange keine nennenswerten Bemühungen des Bundes- rolle zu erreichen. Zudem blieben eine ganze Reihe von Fragen und Proble- gesetzgebers, ein solches Gesetz auf den Weg zu bringen. Erst als Konsequenz men ungeklärt. Die Datenschutzbeauftragten befürchteten, die vorgesehenen der Datenskandale von 2009 (Deutsche Bahn, Lidl, Telekom) und des damit Änderungen könnten in zentralen Bereichen des Arbeitslebens sogar eine Ver- schlechterung des Datenschutzes für die Beschäftigten zur Folge haben. Sie appellierten an die Bundesregierung, den Gesetzentwurf grundlegend zu über- arbeiten, jedenfalls aber in einigen Punkten deutlich zugunsten des Persön- 57 Entschließung vom 27./28. März 1984, vgl. Berliner Datenschutzbeauftragter, Materialien 3 zum Datenschutz: Stellungnahme zum Urteil des Bundesverfassungsgerichts zum Volkszäh- lichkeitsrechts der Beschäftigten zu ändern. Zusammenfassend forderten sie, lungsgesetz 1983 vom 15. Dezember 1983, S. 23, 39 f. dass ein Gesetz zur Regelung des Beschäftigtendatenschutzes einen angemes 58 Vgl. Entschließung vom 23./24. März 1992, JB 1992, Anlage 2.1; Entschließung vom 27./28. senen Ausgleich zwischen den berechtigten Informationsinteressen der Arbeit- März 2003, Dokumentenband 2003, S. 11, 18 f.; Entschließung vom 8./9. März 2007, Doku- mentenband 2007, S. 12 gebenden und dem verfassungsrechtlich geschützten Persönlichkeitsrecht der 46 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 47",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p25-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 26,
"content": "Kapitel 2 Schwerpunkte 2.1 Gesetz zur Regelung des Beschäftigtendatenschutzes Beschäftigten schaffen müsse. An diesem Anspruch müsse sich ein Beschäftig- e ingeschränktes Konzernprivileg für bestimmte klar zu definierende kon- tendatenschutzgesetz messen lassen, das diesen Namen verdiene. zernübergreifende Aufgaben innerhalb des Konzerns konstituieren würde. Dies gilt insbesondere, wenn die Datenflüsse verhindern sollen, dass die Konzern- Am 28. August hat das Bundeskabinett den Gesetzentwurf zum Beschäftig- mutter für Compliance-Fehler der Tochtergesellschaft selbst haftet. Die schutz- tendatenschutzrecht als neuerliches Änderungsgesetz zum BDSG beschlos- würdigen Belange der Beschäftigten sollten durch größtmögliche Transparenz sen . Zuvor war der Entwurf aus dem Bundesministerium des Innern auf- 59 und eine verschärfte Haftung von Arbeitgebern und Datenempfängern gewähr- grund der Abstimmung zwischen den Bundesministerien stark verändert und leistet werden. erweitert worden. Verstärkt werden Whistleblowing-Systeme in der Wirtschaft angewandt. Eine Mit dem Gesetz sollen durch umfassende allgemeingültige Regelungen für klare Aussage, ob und wenn ja unter welchen Bedingungen Whistleblowing- den Datenschutz am Arbeitsplatz mehr Rechtssicherheit erreicht und beste- Systeme gestattet sind60, enthält der Gesetzentwurf nicht. Falls der Gesetzgeber hende Schutzlücken geschlossen werden. Dieser Ansatz ist durchaus zu begrü- Whistleblowing-Systeme als rechtmäßig erachtet, müsste er insbesondere regeln, ßen. Er erfordert jedoch klare Begrenzungen durch gesetzliche Verbote der wie der Schutz der Hinweisgeber, aber auch der zu Unrecht Beschuldigten Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten. Besser wäre sichergestellt werden kann. Es müsste verhindert werden, dass sich Beschäftigte es daher gewesen, diese notwendigen Regelungen in einem eigenständigen über einen langen Zeitraum im „Vorhof des Verdachts“ befinden. Auch feh- Gesetz zusammenzufassen, statt sie in das BDSG einzufügen. len Regelungen zum Betrieblichen Eingliederungsmanagement, obwohl dieses sowohl für die Wirtschaft als auch für die Verwaltung verpflichtend und häu- Auch wenn der Gesetzentwurf zu einigen Verbesserungen beim Beschäftig- fig mit der Erhebung und Nutzung sensitiver Gesundheitsdaten verbunden ist. tendatenschutz führt, ist festzuhalten, dass er auch weiterhin Schwachstellen aufweist, die beseitigt werden müssen, damit die im Entwurf genannten Ziele Der Gesetzentwurf enthält zwar neue Bußgeldtatbestände, darüber hinaus ist es (Schutz der Beschäftigten vor unrechtmäßiger Erhebung, Verarbeitung und aber notwendig, auch die rechtswidrige Datennutzung als Ordnungswidrig- Nutzung ihrer personenbezogenen Daten, Rechtssicherheit für Arbeitgebende keit auszugestalten. Die Praxis der letzten Jahre hat gezeigt, dass ein ausreichen- und Beschäftigte) erreicht werden können. Wir haben deshalb dem Senat für der Beschäftigtendatenschutz nur erreicht werden kann, wenn ausreichende die Behandlung im Bundesrat Vorschläge gemacht, wie der Gesetzentwurf Sanktionsmöglichkeiten bestehen. verändert werden sollte: Bisher ungeregelt ist die Frage, wie die Beschäftigtenvertretung datenschutz- Große Unsicherheit besteht bei Unternehmen, in welchem Umfang Beschäf- rechtlich kontrolliert wird, nachdem das Bundesarbeitsgericht dem betrieb tigtendaten an eine andere verantwortliche Stelle im Konzern übermittelt lichen Datenschutzbeauftragten des Unternehmens das Recht abgesprochen werden dürfen. Der Gesetzentwurf enthält hierzu keine Aussage. Die Praxis hat, den Betriebsrat zu kontrollieren61. Diese Entscheidung führte zu einem „behilft“ sich bisher häufig damit, Auftragsdatenverarbeitungsverträge abzu- europarechtswidrigen Kontrolldefizit, das der Gesetzgeber durch eine Erwei- schließen, obwohl in Wirklichkeit eine Funktionsübertragung vorliegt. Ein terung der Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten auf allgemeines Konzernprivileg, das unkontrollierte Datenflüsse innerhalb von Beschäftigtenvertretungen beenden sollte. Konzernen ermöglichen würde, ist zwar abzulehnen, da dieses zu unbestimmt wäre und ein derartig weitgehendes Privileg nicht erforderlich ist. Es bestehen aber keine Bedenken dagegen, wenn das Beschäftigtendatenschutzgesetz ein 60 Vgl. JB 2008, 8.3.1; JB 2009, 14.1 59 BR-Drs. 535/10 61 Beschluss vom 11. November 1997 – 1 ABR 21/97, NJW 1998, 2466 48 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 49",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p26-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 27,
"content": "Kapitel 2 Schwerpunkte 2.1 Gesetz zur Regelung des Beschäftigtendatenschutzes Im Gesetz sollte klargestellt werden, dass auch weiterhin Betriebsverein e ingeschränktes Beschwerderecht haben sollten, ist nicht nachvollziehbar. Da barungen Rechtsvorschriften nach § 4 Abs. 1 BDSG darstellen. Diese sind sich im Übrigen jedermann an die Kontrollbehörde wenden kann, führt die insbesondere dann von Bedeutung, wenn das neue Beschäftigtendatenschutzge- Regelung zu dem paradoxen Ergebnis, dass die Beschäftigten zuerst ein Abhil- setz keine Regelung zum Konzerndatenschutz enthalten sollte. Eine Betriebs- fegesuch an den Arbeitgeber richten müssen, während Dritte die Möglichkeit vereinbarung sollte es ermöglichen, in gewissem Umfang von Vorschriften haben, sich direkt an die Kontrollbehörde zu wenden. des Beschäftigtendatenschutzes abzuweichen, soweit sichergestellt ist, dass – evtl. durch zusätzliche Sicherungen und erhöhte Transparenz – das gesetzliche Es besteht auch kein Bedürfnis dafür, von dem Grundsatz der Direkterhebung Datenschutzniveau nicht abgeschwächt wird. bei Betroffenen in größerem Umfang Ausnahmen zuzulassen, wie dies in § 32 Abs. 6 des Entwurfs geschehen ist. Zu begrüßen wäre es, wenn das Beschäftig- Der Gesetzentwurf schränkt die Möglichkeit der Einwilligung der Beschäf- tendatenschutzgesetz ein allgemeines Verbot der Nutzung von Suchmaschi- tigten auf die dort ausdrücklich vorgesehene Einwilligung ein.62 Dies ist zu nen zugunsten von Bewerberinnen und Bewerbern enthalten würde. Bei dem weitgehend. Es besteht die Gefahr, dass andere durchaus nachvollziehbare, jetzigen Entwurf ist zu befürchten, dass sich die Abgrenzung, welche Daten aber im Entwurf nicht genannte Datenverarbeitungen trotz Freiwilligkeit aus dem Internet verwendet werden dürfen und welche nicht, sehr schwie- der Einwilligung nicht möglich sind. Zu denken ist etwa an eine konzern- rig gestaltet. weite Skill-Datenbank für Führungskräfte, aber auch an ein Aktienoptions- programm, welches bei der US-amerikanischen Muttergesellschaft des Arbeit- Inzwischen wird auch von Seiten der Arbeitgebenden teilweise eingeräumt, gebers im Interesse der Beschäftigten durchgeführt wird. Umgekehrt besteht dass die Durchführung von Screening-Verfahren64 zu keinen nennenswerten bei einigen im Gesetz geregelten Einwilligungstatbeständen der Betroffenen Ergebnissen bei der Aufdeckung von Straftaten geführt hat. Der Gesetzentwurf eher die Gefahr, dass die Einwilligungen nicht freiwillig erfolgen. So wird ermöglicht gleichwohl die Durchführung dieser Verfahren65. Die Hauptein- man kaum davon ausgehen können, dass Beschäftigte im Call-Center freiwil- schränkung besteht darin, dass der Abgleich (zunächst) in anonymisierter oder lig in die Kontrolle ihrer Arbeitsleistung einwilligen. Anstelle von zweifelhaften pseudonymisierter Form durchzuführen ist. Es fehlen klare materielle Kriterien Freiwilligkeitsfiktionen ist es sinnvoller, gesetzliche Erlaubnistatbestände und wie die Prüfung der Verhältnismäßigkeit oder Hinweise auf Unregelmäßigkei- Transparenzregelungen zu schaffen. ten. Außerdem sollten Arbeitgebende verpflichtet sein, die näheren Umstände, die zu einem Abgleich veranlasst haben, vorab zu dokumentieren. Nach dem Gesetzentwurf wird das Recht der Beschäftigten eingeschränkt, sich unmittelbar bei der Kontrollbehörde über den Arbeitgeber zu beschweren. 63 Es ist erfreulich, dass nach dem Gesetzentwurf die heimliche Videoüber Diese Norm verstößt gegen Art. 28 Abs. 4 Europäische Datenschutzrichtlinie, wachung von Beschäftigten untersagt werden soll. Zu hoffen bleibt, dass der ist aber unabhängig von diesen rechtlichen Erwägungen auch nicht sachgerecht. Gesetzgeber diese Linie trotz des Widerstandes der Wirtschaftsverbände beibe- Beschäftigte werden in bestimmten Fällen ein Interesse daran haben, sich an hält. Allerdings sollte bei der Videoüberwachung von Beschäftigten nicht zwi- die Kontrollbehörde zu wenden, ohne ihre Identität gegenüber dem Arbeit- schen öffentlich und nicht öffentlich zugänglichen Betriebsstätten unterschie- geber preiszugeben. Darf die Datenschutzbeschwerde erst an die Kontrollbe- den werden. Auch in öffentlich zugänglichen Betriebsstätten wie Kaufhäusern hörde gerichtet werden, nachdem der Arbeitgeber ein Abhilfeverlangen abge- werden Beschäftigte überwacht, die durch § 6b BDSG bisher unzureichend lehnt hat, weiß dieser, wer sich über ihn beschwert hat. Aus welchem Grund geschützt sind. Beschäftigte im Vergleich zu Kundinnen und Kunden eines Unternehmens ein 62 § 32 l Abs. 1 64\t Vgl. JB 2008, 8.3.1 63 § 32 I Abs. 4 65 § 32 d Abs. 3 50 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 51",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p27-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 28,
"content": "Kapitel 2 Schwerpunkte 2.2 Neues Datenschutzrecht für die Werbung Bei der Frage der Nutzung von Telekommunikationsdiensten ist weiter- Als Konsequenz aus diesen Skandalen hat der Gesetzgeber den Grundsatz der hin ungeklärt, welche rechtlichen Vorgaben Arbeitgebende zu beachten haben, Einwilligung bei der Verwendung von personenbezogenen Daten für Zwecke wenn sie den Beschäftigten die private Nutzung von Telekommunikationsein- des Adresshandels und der Werbung festgeschrieben.69 Gleichzeitig hat er aller- richtungen gestatten. Auch im Übrigen erscheint die Regelung zur Nutzung dings diverse Ausnahmetatbestände vorgesehen. Der Grundsatz erfährt damit von Telekommunikationsdiensten verbesserungswürdig. So wird eine eigenstän- erhebliche Einschränkungen. Auch sind die Ausnahmeregelungen stark inter- dige Speicherbefugnis zur Leistungs- und Verhaltenskontrolle geschaffen, aber pretationsbedürftig. Von der ursprünglichen Intention des Gesetzgebers, die nicht berücksichtigt, dass auch Daten externer Kommunikationspartner betrof- Betroffenen wieder über die Verwendung ihrer personenbezogenen Daten für fen sind. Hier erscheint zumindest prüfenswert, ob bei der Leistungs- und Ver- diese Zwecke selbst entscheiden zu lassen, ist nicht viel übrig geblieben. Auch haltenskontrolle nicht – evtl. nur zu Beginn der Kontrolle – mit verkürzten nach über einem Jahr seit dem Inkrafttreten der Vorschriften herrscht bei vie- Zielnummern gearbeitet werden kann. len Unternehmen Unsicherheit darüber, wie die neuen Rechtsvorschriften zu verstehen sind. Im Folgenden erläutern wir die Neuregelungen und beant- Der Bundesrat hat den Gesetzentwurf begrüßt, gleichzeitig aber Änderungen worten die ersten Fragen, die uns von verantwortlichen Stellen gestellt wurden. gefordert. In vielen Punkten hat er sich dabei Empfehlungen der Datenschutz- beauftragten zu eigen gemacht. Die Bundesregierung hat die Forderungen 66 Soweit Betroffene die Einwilligung in die Erhebung, Verarbeitung und Nut- des Bundesrates allerdings weitgehend und ohne überzeugende Begründung zung von personenbezogenen Daten zu Werbezwecken erklären, bedarf diese abgelehnt .67 grundsätzlich der Schriftform. Wenn die Einwilligung mit anderen Erklä- 70 rungen schriftlich erteilt werden soll, z. B. in Allgemeinen Geschäftsbedingun- gen, ist sie in drucktechnisch deutlicher Form hervorzuheben. Dies kann z.B. 71 Der Entwurf zum Beschäftigtendatenschutzgesetz muss noch deutlich ver bessert werden, um die Beschäftigten wirksam in ihrem informationellen durch Fettdruck oder Einrahmungen geschehen. Selbstbestimmungsrecht zu schützen und Rechtssicherheit zu schaffen. Soweit die Einwilligung wegen besonderer Umstände nicht der Schriftform bedarf, ist eine schriftliche Bestätigung des Inhalts der Einwilligung notwen- dig. Diese kann in Textform erfolgen. Es genügt dabei, wenn den Betroffenen 2.2 \u0007Neues Datenschutzrecht für die Werbung – der Inhalt ihrer Einwilligung wiedergegeben und deutlich wird, dass und wo die Einwilligung abgegeben wurde, und die Erstellerin bzw. der Ersteller des kein Lichtblick für die Betroffenen Bestätigungsschreibens benannt wird. Das Bestätigungsschreiben bedarf keiner eigenhändigen Unterschrift. Eine Bestätigung per (unsicherer) E-Mail ist nur Mit der „Bundesdatenschutzgesetz-Novelle II“ von 2009 hat der Gesetzge- 68 ausreichend, wenn die Betroffenen zu erkennen gegeben haben, dass sie mit ber die Rahmenbedingungen für die Werbung und den Adresshandel geändert. dieser Form einverstanden sind. Auslöser für diese Novellierung waren die aufgedeckten Datenskandale, denen ein in großem Stil geführter Handel mit illegal erworbenen personenbezoge- Der Gesetzgeber hat auch die fortschreitenden technischen Entwicklungen nen Daten zugrunde lag. berücksichtigt und Regelungen für Einwilligungen getroffen, die z. B. über das Internet erteilt werden: Bei elektronisch erteilten Einwilligungen darf von der 66 BR-Drs. 535/10 (Beschluss) vom 5. November 2010 67 BT-Drs. 17/4230 vom 15. Dezember 2010, S. 87 ff. 69 § 28 Abs. 3 Satz 1 BDSG 68 Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 19. August 2009, BGBl. I, S. 70 § 4a Abs. 1 Satz 3 BDSG 2814 71 § 28 Abs. 3a Satz 2 BDSG 52 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 53",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p28-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 29,
"content": "Kapitel 2 Schwerpunkte 2.2 Neues Datenschutzrecht für die Werbung Schriftform ohne Bestätigungsschreiben abgewichen werden. Allerdings muss aus allgemein zugänglichen Verzeichnissen wie Adress-, Rufnummern-, Bran- das Unternehmen hier technisch sicherstellen, dass die Einwilligung protokol- chen- oder vergleichbare Verzeichnisse erhoben haben. Einzeln aufzufindende liert wird und die Betroffenen jederzeit den Inhalt der Einwilligung abrufen Angaben aus dem Internet dürfen daher nicht verwendet werden. Es ist aber können. Zudem muss für die Betroffenen die Möglichkeit bestehen, die Ein- zulässig, Daten aus Gewinnspielen für Werbezwecke zu verwenden. Wichtig ist, willigung jederzeit mit Wirkung für die Zukunft zu widerrufen.72 dass die Unternehmen nicht nur bei der Werbeansprache, sondern bereits bei der Erhebung der Daten im Rahmen oder im Vorfeld eines Schuldverhältnis- Vom Grundsatz der erforderlichen Einwilligung bei der Verwendung von per- ses auf die Möglichkeit hinweisen, dass die Betroffenen der Verarbeitung oder sonenbezogenen Daten für Zwecke der Werbung hat der Gesetzgeber folgende Nutzung der Daten für Werbezwecke widersprechen können. Erfolgt dieser 76 Ausnahmen vorgesehen: Hinweis nicht, ist bereits ein Bußgeldtatbestand erfüllt.77 Wir haben in solchen Fällen mehrfach Bußgelder verhängt. • Eigenwerbung, • berufliche Werbung, Um den Unternehmen eine gezielte Ansprache zu ermöglichen, dürfen sie weitere Daten zu den Listendaten hinzuspeichern78. Das Hinzuspeichern fin- • Spendenwerbung, det allerdings seine Grenze dort, wo Datenprofile gebildet werden und daher • transparente Werbung und die schutzwürdigen Interessen der Betroffenen entgegenstehen. Ferner dür- • transparente Nutzung. fen Daten nur hinzugespeichert werden, wenn eine eigene Verarbeitung oder Nutzung von Daten zu Werbezwecken erfolgt. Eine Datenübermittlung dieser angereicherten Daten ist nicht erlaubt. Das Hinzuspeichern von Daten ist nur Bei diesen Ausnahmen ist stets zusätzlich zu prüfen, ob dennoch schutzwürdige für eigene Angebote der jeweils verantwortlichen Stelle gestattet. Interessen der Betroffenen der Verarbeitung oder Nutzung entgegenstehen . 73 Selbst wenn das nicht der Fall ist, haben die Betroffenen stets ein Wider- spruchsrecht . 74 Ausnahme „berufliche Werbung“ (§ 28 Abs. 3 Satz 2 Nr. 2 BDSG) Listendaten dürfen auch für die Werbung im Hinblick auf die berufliche Tätig- keit von Betroffenen verarbeitet und genutzt werden. Unternehmen dürfen Ausnahme „Eigenwerbung“ (§ 28 Abs. 3 Satz 2 Nr. 1 BDSG) Werbung daher auch ohne Einwilligung an die Geschäftsadresse von Betrof- Unternehmen dürfen personenbezogene Daten für eigene Werbeangebote auch fenen versenden. Die Werbung muss allerdings einen Bezug zur beruflichen verarbeiten und nutzen, wenn die Betroffenen nicht eingewilligt haben. Vor- Tätigkeit aufweisen. Von dieser Ausnahme sind damit überwiegend Freiberufler aussetzung ist, dass sog. Listendaten verwendet werden. Listendaten sind die betroffen. Es ist aber auch möglich, personifizierte Werbung an Beschäftigte Zugehörigkeit von Betroffenen zu einer Personengruppe, die Berufs-, Bran- eines Unternehmens unter der Geschäftsadresse des Unternehmens zu ver- chen- oder Geschäftsbezeichnung, der Name, Titel, akademische Grade, die senden. So darf ein Fortbildungsinstitut einem Sachbearbeiter der Personal- Anschrift und das Geburtsjahr. Ferner müssen die Unternehmen diese Daten abteilung ein an ihn adressiertes Werbeschreiben unter der Geschäftsadresse bei den Betroffenen entweder im Rahmen oder im Vorfeld eines Schuldver- des Unternehmens zu aktuellen Fortbildungen im Personalbereich übersen- hältnisses (z. B. Kaufvertrag oder Vertragsverhandlungen)75 oder diese Daten den. Auch hier ist jedoch zu beachten, dass das Werbeschreiben einen Hinweis 72 § 28 Abs. 3a Satz 1 BDSG 73 § 28 Abs. 3 Satz 6 BDSG 76 § 28 Abs. 4 Satz 2 BDSG 74 § 28 Abs. 4 Satz 1 BDSG 77 § 43 Abs. 1 Nr. 3 BDSG 75 § 28 Abs. 1 Satz 1 Nr. 1 BDSG 78 § 28 Abs. 3 Satz 3 BDSG 54 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 55",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p29-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 30,
"content": "Kapitel 2 Schwerpunkte 2.2 Neues Datenschutzrecht für die Werbung enthalten muss, dass die Betroffenen der Zusendung von Werbung widerspre- werbung“). Fremdwerbung darf aber auch z. B. beim Rechnungsversand beige- chen können. 79 packt werden. Erlaubt ist auch eine empfehlende Werbung, bei der ein Unter- nehmen seinen Kunden im eigenen Namen, aber fremden Interesse Produkte von Kooperationspartnern empfiehlt („Empfehlungswerbung“). Voraussetzung Ausnahme „Spendenwerbung“ (§ 28 Abs. 3 Satz 2 Nr. 3 BDSG) ist allerdings, dass aus dem Werbeschreiben eindeutig hervorgeht, wer die für Listendaten dürfen auch für steuerbegünstigte Spendenwerbung verwendet die Nutzung der Daten verantwortliche Stelle ist. Es muss deutlich werden, wer und genutzt werden. Auch bei dieser Werbeform ist im Werbeschreiben darauf die Kundendaten für die Werbung Dritter einsetzt. Weiterhin bleibt es mög- hinzuweisen, dass Betroffene der Verarbeitung oder Nutzung ihrer Daten für lich, Listendaten bei anderen Unternehmen anzumieten. Diese durchforsten Werbezwecke widersprechen können. dann ihre Datenbestände nach Konsumenten und versenden die Werbung. Eine Datenübermittlung findet bei diesem Verfahren ebenfalls nicht statt. Auch hier muss bei den Werbeschreiben an die Betroffenen ein entsprechender Hinweis Ausnahme „transparente Werbung“ (§ 28 Abs. 3 Satz 4 BDSG) auf das Unternehmen erfolgen, das als verantwortliche Stelle seine Daten wei- Eine Übermittlung eigener Kundendaten an andere Unternehmen ist auch tervermietet hat. nach der Novellierung des Bundesdatenschutzgesetzes möglich. Listendaten dürfen für Werbezwecke an Dritte übermittelt werden. Voraussetzung für eine Ebenfalls ist bei der transparenten Nutzung eine Abwägung mit den schutz- solche rechtmäßige Datenübermittlung ist, dass Übermittelnde und Empfan- würdigen Interessen der Betroffenen geboten. Soweit diese entgegenstehen, 82 gende die Tatsache der Übermittlung sowie die Herkunft der Daten und den darf eine solche Nutzung zu Werbezwecken nicht stattfinden. Zwar wird eine Empfänger für zwei Jahre speichern. Generell ist zu speichern, welche Stelle 80 solche Abwägung für die transparente Nutzung nicht ausdrücklich im Geset- die Daten erstmalig erhoben hat, denn dies muss im Werbeschreiben ebenfalls zeswortlaut genannt. Hierbei handelt es sich jedoch um ein redaktionelles Ver- den Betroffenen eindeutig mitgeteilt werden. Die Betroffenen sollen erken- sehen, da bei den Beratungen zur Novellierung des Bundesdatenschutzgesetzes nen können, wer ihre Daten weitergegeben hat. Der Gesetzgeber erhofft sich im Deutschen Bundestag die eingefügten Änderungen nicht vollständig über- von dieser Transparenzanforderung einen „dämpfenden Effekt“ für die erst- 81 arbeitet und angepasst wurden. malig erhebende Stelle, personenbezogene Daten für Zwecke der Werbung zu verarbeiten. Unter Beachtung dieser Anforderungen dürfen auch Adresshänd- lern Daten übermittelt werden. Diese dürfen ihrerseits die an sie übermittel- Werbung durch politische Parteien ten Daten unter Beachtung der Transparenzanforderungen weiterübermitteln. Bei politischen Parteien besteht Unsicherheit, ob die Regelungen für Werbe- schreiben auch bei politischer Werbung (etwa im Wahlkampf) gelten. Teilweise wird differenziert zwischen politischer Werbung und Information über Sach Ausnahme „transparente Nutzung“ (§ 28 Abs. 3 Satz 5 BDSG) themen. Von der Klärung dieser Frage ist insbesondere abhängig, ob Werbe- Listendaten können auch für fremde Werbeangebote genutzt werden. Eine schreiben einen Hinweis auf den Werbewiderspruch enthalten müssen und 83 Datenübermittlung und damit Bekanntgabe von personenbezogenen Daten ob bei Fremdwerbung ein Hinweis auf die verantwortliche Stelle gegeben zwischen den Unternehmen findet in diesen Fällen nicht statt. Unternehmen werden muss. 84 dürfen daher ihrer eigenen Werbung fremde Werbung beifügen („Beipack 79 § 28 Abs. 4 Satz 2 BDSG 82 § 28 Abs. 3 Satz 6 BDSG 80 § 34 Abs. 1a BDSG 83 § 28 Abs. 4 Satz 2 BDSG 81 BT-Drs. 16/13657, S. 19 84 § 28 Abs. 3 Satz 5 BDSG 56 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 57",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p30-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 31,
"content": "Kapitel 2 Schwerpunkte 2.3 Der Elektronische Entgeltnachweis (ELENA) Vom Begriff „Werbung“ werden alle Formen der Ansprache sowie die Dar- Der Elektronische Entgeltnachweis soll dazu dienen, die bisherige papier stellung eigener ideeller oder politischer Ziele oder Aufrufe zur Unterstüt- gebundene Übermittlung von Bescheinigungen der Unternehmen an die zung erfasst. Eine Privilegierung der politischen Parteien gegenüber anderen Bundesagentur für Arbeit, die Wohn- und die Elterngeldstellen durch elektro werbenden verantwortlichen Stellen sieht das Gesetz nicht vor. Dies ergibt nische Meldungen abzulösen. Es werden jedoch nicht nur die Daten derjeni- sich auch aus dem Umkehrschluss zu § 28 Abs. 3 Satz 2 Nr. 3 BDSG, nach gen gesammelt und übertragen, die Anträge auf Sozialleistungen stellen. Statt- dem das Gesetz Privilegierungen nur bei Werbung für Spenden vorsieht. Aber dessen werden die Daten aller Beschäftigten auf Vorrat gespeichert (von denen selbst Spendenunternehmen werden von der Pflicht, auf den Werbewider- nur ein Bruchteil jemals einen Entgeltnachweis benötigen wird) und nur im spruch hinzuweisen, nicht befreit. Teilweise wird die Auffassung vertreten, dass Bedarfsfalle abgerufen. die Regeln über Werbung nicht gelten, wenn politische Parteien sich zu Sach themen äußern und hierdurch das ihnen zustehende Recht ausüben, an der Wir bezweifeln, dass diese immense Vorratsdatenspeicherung verfassungsge- politischen Willensbildung mitzuwirken.85 Diese Rechtsauffassung ist allerdings mäß ist. Dem Bundesverfassungsgericht liegt eine große Zahl von Verfassungs- unzutreffend, da die Einhaltung der werberechtlichen Regelungen die Parteien beschwerden gegen das ELENA-Verfahrensgesetz vor. Legt man die Kriterien nicht an ihrem verfassungsrechtlichen Recht auf Mitwirkung an der politischen zugrunde, die das Gericht in seinem Urteil zur Vorratsdatenspeicherung86 for- Willensbildung hindert. muliert hat, spricht vieles dafür, dass das Gesetz für verfassungswidrig erklärt wird. Denn es ist schon fraglich, ob das ELENA-Verfahren, das ausschließlich der Verwaltungsvereinfachung für die Unternehmen dienen soll, ein legiti- Die Verwendung von personenbezogenen Daten für Werbezwecke wird auch durch das 2009 geänderte Bundesdatenschutzgesetz zu stark zu Lasten mer Gemeinwohlzweck ist, der den Aufbau einer zentralen Datenbank mit den der Betroffenen privilegiert. Von der ursprünglichen Absicht der Bundes Daten aller Beschäftigten in Deutschland rechtfertigen kann. Jedenfalls führt regierung, der informationellen Selbstbestimmung durch ein zwingendes eine solche Datenbank zu unverhältnismäßigen Eingriffen in das Grund- Erfordernis der Einwilligung Geltung zu verschaffen, ist nicht viel übrig recht auf Datenschutz vor allem derjenigen Menschen, die zu keiner Zeit geblieben. Die jetzt geltende Regelung mit ihren zahlreichen Ausnahmen eine Entgeltbescheinigung benötigen werden (z.B. Beamtinnen und Beamte). wirft erhebliche Auslegungsprobleme auf. Es sind zudem andere dezentrale Modelle der anlassbezogenen Erteilung von elektronischen Entgeltbescheinigungen denkbar, die eine solche bundesweite Datensammlung überflüssig machen. 2.3 \u0007Der Elektronische Entgeltnachweis (ELENA) – Trotz unserer Zweifel an der Verfassungsmäßigkeit war es erforderlich, die Vor- gehensweise für den Abruf der Daten durch Stellen, welche in die Zuständig- ein unsicherer Daten-Moloch keit des Landes fallen, zu begleiten und auf ein gesetzeskonformes Vorgehen und ein möglichst hohes Datenschutzniveau hinzuwirken. Diese Aufgabe haben Seit Anfang des Jahres sind Unternehmen und öffentliche Dienstherren gesetz- wir in beratender Rolle in der Arbeitsgruppe zu Informationssicherheit und lich verpflichtet, Daten über das gezahlte Entgelt und weitere Angaben über Datenschutz des Bund-Länder-Arbeitskreises „ELENA-Verfahrensgrundsätze“87 ihre Beschäftigten an die Zentrale Speicherstelle des ELENA-Verfahrens zu übernommen. übermitteln. 86 NJW 2010, 833 ff.; vgl. dazu auch 13.1 85 Art. 21 Abs. 1 Satz 1 GG 87 Vgl. § 28b Abs. 2 und 6 SGB IV 58 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 59",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p31-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 32,
"content": "Kapitel 2 Schwerpunkte 2.3 Der Elektronische Entgeltnachweis (ELENA) Wir mussten feststellen, dass die vorgesehenen komplexen Verfahren in wesent- prüft auszuführen. Es ist allein Aufgabe der Zentralen Speicherstelle, die Vor- lichen Punkten von den gesetzlichen Vorgaben abweichen und die Daten der aussetzungen zu überprüfen, unter denen eine Entschlüsselung und Über- von der Zentralen Speicherstelle erfassten Betroffenen erheblichen Risiken mittlung an eine abrufende Stelle (z.B. eine Wohngeldstelle) erfolgen darf 91. aussetzen. Die Beschäftigten der Speicherstelle müssen deshalb absolut vertrauenswür- dig arbeiten. Im Vorfeld der Ausarbeitung des ELENA-Verfahrensgesetzes hatten die Lan- desdatenschutzbeauftragten gefordert, dass die von den Unternehmen an die Zwei Voraussetzungen sind wesentlich: Die Betroffenen müssen ihr Einver- Zentrale Speicherstelle gemeldeten Daten so verschlüsselt (und dann erst ständnis erklärt und eine Behördenmitarbeiterin oder ein Behördenmitarbeiter gespeichert) werden, dass nur die oder der Betroffene sie mit einer speziellen muss den Abruf autorisiert haben. Die Betroffenen müssen ihr Einverständnis Chipkarte (damals sog. Jobcard) entschlüsseln kann. Die Kosten der Ausgabe nicht unbedingt selbst erklären. Sie können gesetzlich vertreten werden oder dieser Karte wollten jedoch weder die öffentliche Hand noch die Wirtschaft sie können für diesen Zweck Dritte beauftragen. Eine solche Beauftragung übernehmen. muss in der Anmeldestelle, welche in der Regel mit der abrufenden Stelle übereinstimmt, wiederum sorgfältig geprüft werden. Eine fehlerhaft anerkannte Daher werden die Meldedaten nunmehr nicht unter den Klarnamen der oder missbräuchlich fingierte Bevollmächtigung kann dazu führen, dass die Betroffenen gespeichert und in einem zweistufigen Verfahren derart verschlüs- Daten ohne Kenntnis und Willen der Betroffenen abgerufen, verarbeitet und selt, dass nur der Bundesbeauftragte für den Datenschutz und die Informations- Dritten offengelegt werden. freiheit (BfDI) mithilfe einer besonders geschützten Anlage die Entschlüsselung vornehmen kann . Damit ist es allen, die unberechtigt direkt auf die Daten- 88 Damit liegt die Sicherheit des ELENA-Datenbestandes in den Händen der bei bank der Zentralen Speicherstelle zugreifen, zunächst unmöglich, die Daten zu den anmeldenden und abrufenden Stellen tätigen Personen. Besonders gefähr- interpretieren und einzelnen Personen zuzuordnen. det sind solche (kleinen) Stellen, in denen in unmittelbarer Nähe oder gar von den gleichen Personen die Anmeldung einer oder eines Teilnehmenden bzw. Um zu einer Person die vorliegenden Meldungen zu finden, nutzt die Spei- die Bestätigung von Vollmachten vorgenommen und die Abrufe in Auftrag cherstelle die im Abrufantrag enthaltenen Daten und kommuniziert mit einer gegeben werden. Arbeitet auch nur eine Person in einer dieser Stellen unzu- zweiten Stelle, bei der sich die Betroffenen, die einen Nachweis benötigen, zu verlässig oder handelt missbräuchlich, so stehen ihr die Daten aller Beschäftig- registrieren haben (sog. Registratur Fachverfahren89). Die Daten derart regis ten in Deutschland offen. trierter Betroffener lassen sich allerdings auch ohne Angaben in einem Abrufan- trag auffinden. Für diese Personen ist eine Kennnummer, unter der die Daten Daher ist es wichtig, wenigstens im Nachhinein feststellen zu können, wer abgelegt werden, regelmäßig in einem öffentlichen Verzeichnis enthalten, das welche Aktion im Rahmen des ELENA-Verfahrens vorgenommen hat. Dazu zur Überprüfung der vorgeschriebenen elektronischen Signatur geführt wird90. dienen technische Mittel, die der Gesetzgeber wenigstens für den Abruf der Daten, nicht jedoch für die Anmeldung der Teilnehmenden, Vertretenden Zur Erfüllung ihrer Aufgaben kann die Zentrale Speicherstelle selbst jederzeit und Bevollmächtigten selbst vorgegeben hat. Um Kosten zu sparen, lehnen die Entschlüsselung eines Datensatzes beauftragen. Solche Aufträge, von denen die Verfahrensträger jedoch den Einsatz derartiger Mittel, sog. qualifizierter jeden Tag Hunderttausende bei dem BfDI eingehen werden, hat dieser unge- Signaturkarten und der zugehörigen Infrastruktur, für ihre Verwaltung ab. 88 § 99 Abs. 3 SGB IV 89 § 100 SGB IV 90 § 99 Abs. 6 SGB IV und § 5 Abs. 1 Signaturgesetz 91 § 99 Abs. 3 SGB IV 60 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 61",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p32-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 33,
"content": "Kapitel 2 Schwerpunkte 2.4 Der neue Personalausweis Darüber hinaus soll in einer Verfahrensvariante den abrufenden Stellen die Das ELENA-Verfahren ist mit einer immensen Vorratsdatenspeicherung Möglichkeit eröffnet werden, die technische Überprüfung der Identität der verbunden, die einzig dem Zweck der Verfahrensvereinfachung dient. Es abrufenden Bediensteten, die der Gesetzgeber der vertrauenswürdigen Zen- führt deshalb zu unverhältnismäßigen Eingriffen in das Grundrecht auf tralen Speicherstelle zugewiesen hat, selbst zu übernehmen. Dieses Vorgehen Datenschutz aller abhängig Beschäftigten, Beamtinnen und Beamten, lehnen wir ab, zumindest solange die entstehenden Risiken nicht auf gesetzli- Richterinnen und Richtern, Soldatinnen und Soldaten. Die gesetzlichen Regelungen gewährleisten den Schutz des massiven ELENA-Datenbestandes cher Grundlage anders kompensiert werden. unzureichend. Sie werden dazu nicht vollständig umgesetzt. Wir halten die Risiken, die mit dem ELENA-Verfahren entstehen, nicht für tragbar. Besonders problematisch ist, dass die Zentrale Speicherstelle ihrer gesetz lichen Pflicht, die abrufenden Behörden bei ihrer Zulassung zur Teilnahme an dem Verfahren auf die Gewährleistung von Datenschutz und -sicherheit zu überprüfen, nur höchst rudimentär nachkommen wird, indem sie sich die Vor- 2.4 Der neue Personalausweis nahme bestimmter Maßnahmen bestätigen lässt. Dies ist selbst in dieser Form bereits ein Erfolg unserer Überzeugungsarbeit: Ursprünglich sollte die bloße Aussage der Leitung der abrufenden Behörde genügen, der Datenschutz werde Seit dem 1. November gibt es den neuen elektronischen Personalausweis für eingehalten. Jetzt erklärten sich die Verfahrensträger auf Veranlassung der an alle Bundesbürgerinnen und -bürger. Er soll sie wie bisher an der Grenze und der Arbeitsgemeinschaft beteiligten Datenschutzbeauftragten bereit, einen im Inland gegenüber staatlichen Stellen identifizieren. Er soll darüber hinaus Maßnahmenkatalog zusammenzustellen und in einer Handreichung den abru- auch das Internet sicherer machen und rechtssichere elektronische Anwen- fenden Behörden zur Verfügung zu stellen, dessen Umsetzung einen Grund- dungen ermöglichen. Aber der neue Personalausweis kann weiterhin wie der schutz des Datenabrufs bewirken wird. bekannte Personalausweis verwendet werden, nur mit dem Unterschied, dass die elektronisch zu lesenden Daten in einem RFID-Chip gespeichert und 92 Wenn ein Zugriff auf die Daten der Bürgerinnen und Bürger zwar rechtlich nicht wie bisher als elektronisch lesbare OCR-Schrift auf dem Ausweis aufge- ihre Mitwirkung voraussetzt, das Vorliegen dieser Mitwirkung jedoch tech- druckt sind. Alle weiteren Funktionen sind freiwillig. nisch nicht durchweg überprüfbar bleibt, sondern zu missbräuchlichen Zwe- cken im Einzelfall fingiert werden kann, und wenn die technische Nachver- Der neue Personalausweis hat Kreditkartenformat. Der darin integrierte Chip folgbarkeit von unzulässigen Datenabrufen in Frage steht, können die Betroffe- kann kontaktlos ausgelesen werden. Auf dem Ausweis sind alle Daten wie bis- nen wenigstens selbst nachprüfen, ob und welche Daten zu ihrer Person gespei- her aufgedruckt. Neu ist, dass nicht nur diese Daten auf einem elektronischen chert und wem sie übermittelt wurden? Chip abgespeichert sind und von einem Lesegerät ausgelesen werden können, sondern dass dieser Chip auch weitere Daten für zusätzliche Anwendungen In der Tat haben die Betroffenen hierzu ein gesetzlich verbrieftes Auskunfts- speichern kann. recht. Entgegen unserer mehrfachen Mahnung wird es erst 18 Monate nach Aufnahme der Datenspeicherungen (voraussichtlich Mitte 2012) möglich sein, Zusätzlich zu den bisherigen Daten können die Bürgerinnen und Bürger frei- dieses Auskunftsrecht wahrzunehmen. Auch dann werden mit einem Aus- willig auch Fingerabdrücke auf dem Chip abspeichern lassen. Diese werden bei kunftsersuchen außerordentliche Kosten verbunden sein. Auskunftsuchende der ausstellenden Behörde nur so lange gespeichert, bis die oder der Berech- müssen sich im Einklang mit dem allgemeinen Abrufprozedere eine Chipkarte tigte den neuen Ausweis abgeholt hat. Eine dauerhafte zentrale Speicherung für derzeit 50 Euro jährlich beschaffen und damit ihr Auskunftsersuchen elek- erfolgt nicht. Wer den neuen Personalausweis beantragt, sollte trotzdem gut tronisch unterzeichnen. Diese Kosten werden ihnen jedoch nicht ersetzt. Das Auskunftsrecht wird damit de facto ausgehebelt. 92 RFID-Chip: Radio Frequency IDentification 62 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 63",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p33-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 34,
"content": "Kapitel 2 Schwerpunkte 2.4 Der neue Personalausweis überlegen, ob er diese sensiblen Daten auf dem Chip des Personalausweises die die Tastatureingaben mitschneidet (sog. Keylogger), kann es zum „Abhö- speichern lassen möchte. Bisher ist nicht zu erkennen, welche Vorteile Betrof- ren“ der Geheimzahl kommen. Kennt ein Angreifer die Geheimzahl und hat fene von der Speicherung ihrer Fingerabdrücke haben könnten. Vielmehr wer- es geschafft, weitere Schadsoftware auf dem PC zu installieren, könnte er im den diese biometrischen Merkmale dadurch einem zusätzlichen Missbrauchs- Namen des jeweiligen Personalausweisinhabers Geschäfte im Internet tätigen. risiko ausgesetzt. Wir empfehlen daher dringend die Nutzung eines Komfortlesegerätes mit eige- nem Nummernfeld für die Eingabe der Geheimnummer. Unbedingt notwen- Neben der Funktion der Identifikation gegenüber Behörden bietet der neue dig ist in jedem Fall die eigentlich selbstverständliche Absicherung des hei- Ausweis zwei neue elektronische Funktionen: mischen PCs. Dazu zählt der Einsatz eines aktuellen Virenscanners und einer Firewall. Weiterhin sollte der PC ohne Administratorrechte genutzt werden. • Elektronische Identitätsfunktion im Internet (eID) • Qualifizierte elektronische Signatur (QES) Anbieter im Internet brauchen zur Kommunikation mit Bürgerinnen und Bürgern im Internet sog. Berechtigungszertifikate, die sie beim Bundesverwal- Der neue Personalausweis soll im Internet den gleichen Identitätsnachweis lie- tungsamt beantragen müssen. Darin ist festgelegt, welche Daten aus dem neuen fern, wie es die Funktion als Sichtdokument im normalen Leben schon bie- Personalausweis ausgelesen werden dürfen. Dazu müssen Antragstellende vorher tet. Die Ausweisinhaberinnen und -inhaber sollen die Möglichkeit bekommen, die Erforderlichkeit dieser Daten für ihren Dienst nachweisen. Möchte jemand sich online gegenüber Dritten eindeutig und authentisch auszuweisen (eID- einen Dienst im Internet mit der eID-Funktion nutzen, muss sie oder er den Funktion). Dies gilt sowohl für E-Government-Anwendungen im öffentlichen neuen Personalausweis auf das Lesegerät legen und die entsprechende Internet- Bereich als auch für private Anbieter im Internet. Wer diese Funktion nutzen seite des Händlers auswählen. Sie oder er gibt die PIN ein und bekommt im will, braucht dafür eine spezielle Anwendungssoftware für den PC, die sog. Gegenzug das Berechtigungszertifikat des Händlers angezeigt. Der Nutzerin AusweisApp. Dies ist eine vom Bundesamt für Sicherheit in der Informations- oder dem Nutzer wird nun die Möglichkeit gegeben zu entscheiden, welche technik (BSI) zertifizierte Software, die die Kommunikation mit den Internet- Daten vom Personalausweis wirklich an den Händler übertragen werden sollen. Anbietern übernimmt und dafür sorgen soll, dass persönliche Daten sicher über Die Übertragung der Daten erfolgt verschlüsselt. Es wird auch die zuständige das Internet übertragen werden können. Direkt nach der Einführung wurde Datenschutzaufsichtsbehörde angezeigt, an die man sich im Streitfall wenden hier ein schwerwiegender Sicherheitsmangel bekannt, denn es war möglich, kann. Dies erleichtert das Einreichen von Beschwerden, wenn Diensteanbieter über die Aktualisierungsfunktion der Software schädliche Programme auf den Daten zweckentfremdet verwenden sollten. heimischen PC der Ausweisinhaberinnen und -inhaber einzuschleusen. Dieser Sicherheitsmangel ist mittlerweile behoben. Sehr zu befürworten ist die Möglichkeit der pseudonymen Nutzung des neuen Personalausweises im Internet. Ist die Kenntnis der wahren Identität Wer die eID-Funktion nutzen will, braucht zusätzlich ein spezielles Lesegerät, der Nutzenden nicht notwendig, kann mit jedem Internetanbieter automa- das die Daten aus dem Chip des neuen Personalausweises ausliest. Hier gibt tisch ein gesonderter Codename vereinbart werden, der bei jeder Nutzung es drei verschiedene Arten von Geräten, die sich in der Sicherheit deutlich beim gleichen Anbieter wiederverwendet wird. Die Übermittlung des wirkli- unterscheiden. Die einfache und kostengünstigste Variante ist ein Basislesegerät chen Namens ist hierbei nicht notwendig. Sind bei diesem Dienst Geldbeträge ohne eigene Tastatur für die Eingabe der sechsstelligen Geheimzahl (PIN), die zu überweisen, kann dies natürlich nur mit anonymen Zahlverfahren kombi- die Berechtigten beim Abholen des neuen Personalausweises festlegen müssen. niert werden. Da bei jedem Internetanbieter ein eigenes Pseudonym verwen- Die beiden anderen Varianten verfügen über ein eigenes Eingabefeld für die det wird, sind anbieterübergreifende Nutzerprofile aus technischer Sicht nicht Geheimzahl. Bei der Nutzung des einfachen Basislesegerätes muss die PIN über möglich. die PC-Tastatur eingegeben werden. Hat jemand Schadsoftware auf dem PC, 64 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 65",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p34-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 35,
"content": "Kapitel 2 Schwerpunkte 2.5 Smartphone-Apps Auch kann der neue Personalausweis zur Verifikation des Alters und des Wohn- dieser Behörde die PIN ändert, kann es zu einem Missbrauch der eID-Funk- orts im Internet eingesetzt werden. Möchte man z. B. Internetseiten mit einer tion im Internet kommen. Selbst wenn die eID-Funktion nicht aktiviert war, bestimmten Altersbeschränkung besuchen, kann abgefragt werden, ob die Inha- könnte sie dann aktiviert werden. Ein Mitwirken der Ausweisinhaberin oder berin oder der Inhaber des Ausweises ein gewisses Alter, z. B. 18 Jahre, erreicht des Ausweisinhabers ist hier nicht vorgesehen. Bisher sehen weder die perso- hat. Möchte man Leistungen in Anspruch nehmen, die nur im Bereich eines nalausweisrechtlichen Vorschriften noch die eingesetzte Technik ausreichende Ortes angeboten werden, kann man den Ort abfragen. Die Übermittlung des Sicherheitsmaßnahmen zur Behebung dieses Problems vor. Um eine unbefugte Geburtsdatums oder der Adresse ist dann nicht notwendig, nur die Tatsache, Neusetzung der PIN in einer Personalausweisbehörde zu verhindern, müssten dass ein bestimmtes Alter bzw. ein bestimmter Wohnort vorliegt. Beides ist aus die Ausweisinhaberinnen und -inhaber aktiv beteiligt werden können. Gründen der Datensparsamkeit sehr zu begrüßen. Der neue Personalausweis kann auch nur ein normaler herkömmlicher Per Die zweite neue elektronische Funktion des neuen Personalausweises ist die sonalausweis sein, wenn man seine neuen zusätzlichen Funktionen nicht optionale Nutzung der qualifizierten elektronischen Signatur (QES). Die nutzen möchte. Möchte man diese elektronischen Funktionen im Internet QES-Anwendung soll eine sichere, rechtsverbindliche und signaturgesetzkon- nutzen, sollte man einen Komfortkartenleser einsetzen, der über ein eige forme elektronische Unterschrift ermöglichen. Der neue Personalausweis bie- nes Eingabefeld für die Geheimnummer verfügt. Der verwendete PC sollte tet damit die gleichen Funktionen wie bereits bekannte Signaturkarten. Diese immer auf dem neuesten Sicherheitsstand gehalten werden. Dazu gehört Funktion ist bei Abholung des Ausweises nicht sofort nutzbar. Für die Nut- ein aktueller Virenscanner, eine Firewall und alle Sicherheitsupdates des zung der QES-Funktion muss ein käuflich zu erwerbendes Zertifikat bei ent- Betriebssystems. Das Problem der unbefugten Aktivierung der eID-Funktion sprechenden Diensteanbietern nachgeladen werden. Die Nachlademöglichkeit durch Bedienstete einer Personalausweisbehörde muss noch gelöst werden. eines qualifizierten Signaturzertifikats ermöglicht es den Inhaberinnen und Inhabern des neuen Personalausweises, eine Zertifizierungsstelle ihrer Wahl auszusuchen. Sie müssen aber den Verlust des Ausweises nicht nur der ausge- benden Behörde melden, sondern auch ihrer Zertifizierungsstelle, da dies nicht 2.5 Smartphone-Apps – wo bleibt der Datenschutz? automatisch erfolgt. Eine wichtige Änderung betrifft auch die Praxis des Hinterlegens von Per- In den letzten Jahren haben sich die sog. Smartphones stark verbreitet. Das sonalausweisen. Da der neue Personalausweis über neue wesentliche elektro- sind mobile Geräte, die neben der obligatorischen Telefoniefunktion aufgrund nische Funktionen verfügt, darf nicht mehr verlangt werden, den Personalaus- größerer Displays, steigenden Speicherplatzes und verbesserter Rechenleistung weis zu hinterlegen. Dies bedeutet, dass ein Hotel den Personalausweis beim sowie wegen der Verbreitung von bezahlbarem und schnellem mobilem Inter- Einchecken nicht mehr einbehalten darf. net wesentlich weiter gehende Nutzungen ermöglichen. Nahezu klassische Anwendungen sind dabei Adressbuch und Kalender, die mobile Internet- und Geht der neue Personalausweis verloren, muss dies umgehend der ausstellen- E-Mail-Nutzung, das Abspielen von Audio- und Videodateien, Aufnehmen den Behörde mitgeteilt werden. Diese sperrt den Ausweis und damit die zusätz von Fotos und Videos sowie Versenden von Kurznachrichten. lichen neuen Funktionen (wenn man sich für ihre Nutzung entschieden hatte). Es kommt aber auch immer wieder vor, dass gültige Personalausweise in einer Im Gegensatz zu früheren Versuchen, das Internet auf mobilen Endgeräten Personalausweisbehörde abgegeben werden, weil sie entweder nach Verlust nutzbar zu machen (z. B. das WAP-Protokoll) werden heute häufig normale oder Diebstahl aufgefunden wurden oder weil die Ausweisinhaberin bzw. der Webseiten auf Smartphones angezeigt – für die Darstellung auf kleinen Dis- Ausweisinhaber verstorben ist. Falls nun eine Mitarbeiterin oder ein Mitarbeiter plays ggf. mit beschränktem Inhalt. Da diese Lösung nicht optimal ist, wurden 66 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 67",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p35-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 36,
"content": "Kapitel 2 Schwerpunkte 2.5 Smartphone-Apps die sog. „Smartphone-Apps“ erfunden. Dies sind kleine Programme („Appli- um die Ecke werben zu können, werden bereits jetzt von vielen Apps regel- cations“, Anwendungen), die, auf dem Smartphone installiert, den Nutzenden mäßig GPS-Koordinaten sowie weitere Daten wie eine Gerätenummer an den bestimmte Funktionalitäten zur Verfügung stellen. Unterscheiden kann man Server des Werbedienstleisters gemeldet. Apps, die wie konventionelle Computerprogramme ausschließlich auf dem Smartphone arbeiten. Beispiele wären ein elektronischer Einkaufszettel oder Neben dieser grundsätzlich legitimen Datennutzung haben Studien gezeigt, diverse Spiele. Die Mehrheit der Apps nutzt jedoch die Internetverbindung, dass ein erheblicher Teil der Apps verschiedene personenbezogene Daten (wie um interessantere oder produktivere Dienstleistungen zur Verfügung stellen Gerätenummer, Telefonnummer, Kontaktdaten aus dem Adressbuch) an den zu können. So könnte sich ein Einkaufszettel mit denen der anderen Haus- jeweiligen App-Hersteller übermittelt, ohne dass dies für den jeweiligen Dienst haltsmitglieder automatisch synchronisieren, oder man könnte gegen oder mit erforderlich wäre und ohne die Nutzenden zu informieren. anderen Nutzenden spielen. Viele Apps nutzen die Ortung der aktuellen Posi- tion, gespeicherte (Kontakt-)Daten, Nahfunktechniken wie Bluetooth sowie Zur Ermittlung der aktuellen Position wird längst nicht nur GPS benutzt. Dies die von den Geräten zur Verfügung gestellten Sensordaten wie Lage- und ist zwar die genaueste Methode, aber z. B. in Gebäuden nicht immer verfügbar. Bewegungsdaten, Bild und Ton. Zudem gibt es viele Geräte, die nicht über einen GPS-Chip verfügen. Andere Methoden zur Positionsermittlung sind WLAN-Accesspoints und die Funk- Entwickelt und angeboten werden die Apps mehrheitlich nicht von dem Her- türme der Mobilfunknetze: Jede Station besitzt eine weltweit eindeutige Kenn- steller des jeweiligen Smartphones, sondern von Dritten. Üblicherweise stellt nummer. Es gibt spezialisierte Dienstleister, die in umfangreichen Datenbanken zudem der Hersteller des Smartphones einen sog. App-Store („Marktplatz“) die Standorte (GPS-Koordinaten) solcher Stationen vorhalten. Ein Smartphone zur Verfügung, in welchem alle verfügbaren Apps zum unkomplizierten, teil- ermittelt also seine Position, indem es die Kennnummern der Stationen in weise kostenpflichtigen Download angeboten werden. Reichweite an diesen Dienstleister sendet, der im Gegenzug den Aufenthaltsort zurückmeldet. Dies tun aber viele Smartphones auch dann, wenn die Position datensparsam per GPS ermittelt wurde, damit die Datenbank die Positionen Datenschutzprobleme vernetzter Smartphone-Apps neuer Stationen kennenlernt. Die weite Verbreitung von Smartphones und den darauf installierten (und potentiell ständig aktiven) Apps führt zu Datenschutz- und Sicherheitsproble- Bei jeder Nutzung einer App, die den Aufenthaltsort verwendet, erfahren also men, die teilweise schon aus dem Bereich der stationären Computer bekannt potenziell der Lokalisierungs-Dienstleister, der Hersteller des Smartphone- sind. Durch die besonderen Eigenschaften von Smartphones kommen jedoch Betriebssystems, der Landkarten-Dienstleister, der App-Hersteller, der Werbe- auch neue Gefahren hinzu oder es verschärfen sich bekannte Gefahren. dienstleister und natürlich der Mobilfunk-Netzbetreiber zumindest ungefähr die jeweils aktuelle Position des Smartphones, selbst wenn das für das jewei- Ein Problem ist die Kombination aus permanentem Internetzugang und der lige Angebot oder die Anwendung nicht erforderlich ist. Einige dieser Dienst- Fähigkeit, auf Daten zuzugreifen, die auf dem Smartphone gespeichert sind leister haben ihren Sitz nicht in der EU, sodass sie auch nicht an europäische oder die über die verfügbaren Sensoren ermittelt werden können. Es ist sehr Datenschutzbestimmungen gebunden sind. Zudem erfahren einige Dienstleister schlecht kontrollierbar, was eine App mit diesen Daten neben der Erfüllung des noch wesentlich mehr: Eine eindeutige Gerätekennung ist fast allen zugäng- eigentlichen Zwecks der Anwendung tut. Ein Beispiel für eine solche Daten- lich. Damit ist es möglich, einzelne Aufenthaltsorte zu einem Bewegungsprofil verarbeitung ist das zunehmende Angebot von mobiler Werbung. Ebenso wie zusammenzusetzen. Handelt es sich um eine „soziale App“, d. h. einen mobilen bei Webangeboten gilt mobile Werbung als besonders effektiv, wenn sie auf die Zugang zu einem sozialen Netzwerk, erfahren die Anbieter zudem Daten über Interessen der Nutzenden und ihre aktuelle Situation zugeschnitten wird. Bei die Person der oder des Nutzenden (wie Alter, Geschlecht) und den Freundes- mobilen Geräten ist ein wesentlicher Punkt der Ortsbezug: Um für die Pizzeria kreis. Da Smartphones im Wesentlichen immer aktiv sind und ständig mitge- 68 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 69",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p36-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 37,
"content": "Kapitel 2 Schwerpunkte 2.6 Tracking im Internet führt werden, entstehen leicht umfangreiche Interessens- und vollständige ob eine Anwendung bestimmte Rechte ausschließlich zu den vorgesehenen Bewegungsprofile. Zwecken nutzt. Datenschutzrelevant können auch bestimmte Funktionalitäten von Apps sein. Aus rechtlicher Sicht ist gegenwärtig – solange es keine internationalen Ver- Als Beispiel soll hier die Fähigkeiten zur Bilderkennung genannt werden. Die einbarungen und verbindlichen Standards gibt – ebenfalls kaum eine Lösung App Goggles der Suchmaschine Google kann seit kurzem Objekte auf einem in Sicht, insbesondere wenn Apps von Anbietern außerhalb der EU angebo- Foto identifizieren. Bisher ist die Identifizierung (Gesichtserkennung) von Per- ten werden oder Funktionalitäten wie die oben beschriebene Lokalisierung sonen bei der Fotosuche aus Datenschutzgründen abgeschaltet. Neuere For- genutzt werden, die auf Dienstleister in Ländern außerhalb des Europäischen schungen zeigen aber, dass das Profil einer fotografierten Person in einem Wirtschaftsraumes, z. B. in den USA, zurückgreift. sozialen Netzwerk technisch bereits jetzt leicht zu finden ist. Vernetzte Smartphone-Dienste bergen immer die Gefahr, dass personen bezogene Daten Dritten zugänglich werden. Bei Installation einer App ist Zentrale Position des Plattformanbieters deshalb Vorsicht geboten: Gründliches Informieren über das Angebot, Lesen Ein wesentlicher Unterschied zwischen PC und Smartphone ist die Stellung der jeweiligen Allgemeinen Geschäftsbedingungen und Datenschutzerklä des Plattformanbieters. Üblicherweise werden die Apps über einen zentralen, rungen sind Pflicht. Eine App sollte nur die Rechte erhalten, die sie für ihr vom Plattformbetreiber kontrollierten Dienst, den sog. AppStore, installiert. Der Funktionieren nachvollziehbar benötigt. AppStore ermöglicht dem Plattformbetreiber die Kontrolle über die auf der Plattform eingesetzten Anwendungen. Einerseits ist dies aus Sicherheits- und manchmal auch aus Datenschutzgesichtspunkten gut, da es dadurch eine unter- schiedlich umfangreiche „Zugangskontrolle“ gibt, die zumindest prinzipiell 2.6 \u0007Tracking im Internet – Europa will den Schutz gefährliche und besonders datenhungrige Anwendungen von der Plattform verbessern fernhalten kann. Leider macht man sich dabei von den Kriterien eines privaten Unternehmens abhängig. Andererseits erfährt der Plattformbetreiber so auch besonders viel über die Nutzenden – jede Installation, ggf. auch jede Nutzung In den letzten Jahren hat sich das Internet und insbesondere das World Wide einer App – und speichert diese Daten beispielsweise für Abrechnungszwecke. Web stark gewandelt. Eine aktuelle Webseite ist kein statisches Informationsdo- kument mehr, welches von dem Anbieter an alle Nutzenden identisch ausgelie- fert wird, sondern setzt sich aus vielen einzelnen Objekten zusammen, die sich Rechtliche und technische Schutzmaßnahmen dynamisch verändern können und u. U. individuell an die Interessen der jewei- Bisher gibt es nur begrenzte Möglichkeiten des Selbstschutzes. Teilweise kön- ligen Lesenden angepasst werden. Zudem können die einzelnen Objekte von nen die Rechte von Apps beschränkt werden. So kann man festlegen, ob eine verschiedenen Anbietern stammen, ohne dass dies den Lesenden auffallen muss. App auf die Lokalisierungsfunktionalität zugreifen darf. Manche Plattformen schränken den Datenzugriff von Apps grundsätzlich ein. Bei anderen erbittet Ein Beispiel für sich derartig anpassende Webseiten ist das Angebot eines eine App bei der Installation die notwendigen Rechte. Problematisch ist hier- bekannten Internet-Buchhändlers. Schon die Startseite zeigt Empfehlungen, bei, dass sich die Anwendungsentwickler oft zu umfangreiche und nicht not- die aufgrund des bisherigen Kaufverhaltens automatisch ausgewählt werden. wendige Rechte geben lassen. Der Effekt ist folgender: Die Mehrheit der Nut- Bei Auswahl eines Artikels werden weitere Artikel vorgeschlagen, beispielsweise zenden gewährt die geforderten Rechte ungeprüft, da ansonsten die jeweilige auf Basis des Verhaltens anderer Käuferinnen und Käufer des Artikels. Andere Anwendung nicht arbeitet. Zudem können die Nutzenden kaum überprüfen, Webangebote finanzieren sich hauptsächlich durch Werbung, die wesentlich 70 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 71",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p37-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 38,
"content": "Kapitel 2 Schwerpunkte 2.6 Tracking im Internet effektiver ist, wenn Produkte und Dienstleistungen empfohlen werden, die den Empfehlungen ganz nützlich sein. Allerdings tut der Anbieter dies hauptsäch- jeweiligen Lesenden vermutlich interessieren könnten. Besonders relevant ist lich, um seinen Umsatz zu erhöhen. Problematisch ist in jedem Fall, dass dafür die Personalisierung von Inhalten und auch Werbung auf mobilen Endgerä- sehr detailliert gespeichert wird, zu welchen Themen jemand Bücher gekauft ten, da auf diesen der verfügbare Platz wegen der kleinen Displays begrenzt ist. oder auch nur angeschaut hat. Personalisierung ist nur möglich, wenn der die Webseite ausliefernde Server Die rechtliche Situation ist hierbei eindeutig: Eine personenbezogene Speiche- Informationen über die jeweils Zugreifenden besitzt. Bei manchen Diensten rung von Nutzungsdaten darüber, welche Seiten eines Internetangebotes sich wie z. B. sozialen Netzwerken geben die Nutzenden Informationen wie Alter, jemand angesehen hat (der Buchhändler kennt zudem Namen und Adresse), Geschlecht und auch Interessen in eigenen Profilen freiwillig an. Rein tech- ist nur nach Einwilligung zulässig. Nicht ganz so eindeutig ist die Situation, nisch können diese Daten problemlos dafür genutzt werden, passende Wer- wenn der Anbieter nur eine Reihe von Interessensdaten beobachtet, ohne die bung auszuwählen. Bei anderen Webangeboten ist eigentlich nichts über die Betroffenen zu identifizieren. Hier spricht man von einer Datensammlung Zugreifenden bekannt, abgesehen davon, dass der Inhalt der Seite offensicht- unter Pseudonym. lich deren Interesse geweckt hat. Wer nun die Aktivitäten von Nutzenden (auf verschiedenen Webangeboten) über eine längere Zeit beobachtet, erfährt ziem- Für eine solche Datensammlung unter Pseudonym fordert das Telemedienge- lich genau, für welche Themen sich die Person interessiert, und kann daraus setz bisher nur die Information der Betroffenen sowie die Einräumung einer auch auf andere persönliche Daten wie Geschlecht, Altersgruppe sowie sons- Möglichkeit zum Widerspruch. Werberinge berufen sich auf diese Vorschrift: tige für die Werbeindustrie wichtige Kenngrößen wie Kaufkraft und Lebens- Ihre Betreiber haben Verträge zur Einblendung von Werbung mit tausen- situation schließen. den unterschiedlichen Webangeboten. Die Werbebanner auf den jeweiligen Angeboten werden dabei direkt von Servern des Werberinges geladen und es Der neueste Hype ist derzeit das sog. „Re-Targeting“. Dies bedeutet, dass werden Cookies bzw. ähnliche Techniken verwendet, um die Nutzenden auf Nutzende, die einen bestimmten Webshop besuchen, aber vielleicht noch nicht jedem Webangebot wiederzuerkennen und auf diese Weise möglichst umfang- gekauft haben, auf anderen Webseiten ganz speziell ausgewählte Werbung dieser reiche Profile erstellen zu können. Da auf dem Server des Werberinges nur die Webshops gezeigt bekommen – beispielsweise genau das Produkt, für welches Interessen unter einer Identifikationsnummer geführt werden, sollen die Daten sie sich interessiert haben, vielleicht mit einem zusätzlichen Rabatt. Man bleibt pseudonym oder nach der nicht zutreffenden Meinung mancher Anbieter gar dadurch auch dann im Visier des hartnäckigen Verkäufers, wenn man dessen anonym sein. Webseite längst verlassen hat. Das Problem mit Datensammlungen auf Basis von Cookies ist, dass die Nut- Technisch wird zum langfristigen Erfassen der Aktivitäten einer bzw. eines Nut- zenden darüber oft nicht ausreichend informiert werden. So hat kaum zenden der sog. Cookie-Mechanismus eingesetzt. Dabei weist die Webseite jemand eine Vorstellung, wie detailliert solche Profile werden können, über den Browser an, auf dem jeweiligen Computer eine kleine Datei abzuspeichern welchen Zeitraum sie gespeichert werden und welche Schlussfolgerungen die und bei jedem weiteren Besuch der Webseite dem Server die darin gespeicher- Betreiber aus diesen Daten ziehen. Die höchste Transparenz bietet nach Inter- ten Daten wieder mitzuteilen. In den meisten Fällen handelt es sich dabei um ventionen der Datenschutzbeauftragten diesbezüglich noch das Adwords-Sys- eine kurze Identifikationsnummer (Kundennummer), die auf eine Datenbank tem von Google: Neben jeder Werbeanzeigengruppe gibt es einen Link, der bei dem Anbieter verweist. In dieser Datenbank speichert der Anbieter nun zu einer Informationsseite führt, die zumindest die vom System ermittelten alles, was er über die Nutzerin oder den Nutzer bereits in Erfahrung gebracht Interessen aufführt und eine Widerspruchsmöglichkeit direkt anbietet. Andere hat, und verwendet die Daten, um das Webangebot oder die eingeblendete Anbieter geben den Nutzenden keinerlei Informationen über die konkret Werbung anzupassen. Im Fall des Internetbuchhändlers können die angepassten gespeicherten Daten oder wenigstens über den Umfang des Netzwerkes. Bes- 72 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 73",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p38-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 39,
"content": "Kapitel 2 Schwerpunkte 2.6 Tracking im Internet tenfalls findet man die gesetzlich vorgeschriebene Widerspruchsmöglichkeit in schnelleren Laden einer Webseite gespeicherten Cache-Daten. Das kleinste einer technisch problematischen Realisierung: Die Betreiber bieten an, einen Problem ist dabei noch der höhere mögliche Speicherplatz: Zum Verfolgen Opt-Out-Cookie zu setzen, der dem Dienstleister signalisiert, dass kein Profil der Nutzenden genügt das Ablegen einer kurzen Identifikationsnummer. Im gespeichert werden soll. Allerdings erfolgt die Auswertung des Opt-Out-Coo- Gegenteil: Der größere verfügbare Speicherplatz könnte im Prinzip genutzt kies erst nach der Datenübermittlung an den Server des Werbeanbieters, der ja werden, um die Internet-Werbung datenschutzfreundlicher zu machen, einfach gerade widersprochen wurde. Zudem wird ein Opt-Out-Cookie beim emp- indem die für personalisierte Werbung nötigen Profildaten nur lokal unter Nut- fehlenswerten regelmäßigen Löschen der Cookies mit gelöscht. Die essenzielle zerkontrolle gespeichert und ausgewertet werden. Bisher ist eine solche Ent- Information der Betroffenen über Datenerhebung und Widerspruchsmög- wicklung jedoch nicht zu beobachten. lichkeiten wird regelmäßig auf die Betreiber der Webangebote abgewälzt, die diese oft nicht in ausreichendem Maße erfüllen, beispielsweise nur allge- Aber auch ohne die geheime Speicherung von Identifikationsnummern auf mein von der Zusammenarbeit mit Ad-Servern sprechen, aber nicht den kon- den Computern der Nutzenden bestehen Möglichkeiten der Wiedererkennung kreten Anbieter nennen. der Nutzenden: Jeder Browser sendet mit einer Anfrage eine größere Anzahl von Informationen zum Server. Der Zweck ist, beispielsweise die Webseite in Besonders problematisch ist, dass die Datensammlungen webseitenübergrei- der richtigen Sprache oder eine für Mobilgeräte angepasste Seite auszugeben. fend erfolgen. Im schlimmsten Fall werden alle von einer oder einem Nut- Diese Informationen sowie andere Daten über das Endgerät, die eine Webseite zenden besuchten Webangebote über Jahre protokolliert. Je umfangreicher ein anderweitig (oft per JavaScript) ermitteln kann, ergeben zusammengenommen solches Verhaltensprofil wird, desto sensitiver sind die gespeicherten Daten einen ziemlich individuellen „Fingerabdruck“ des Rechners, wie die US- und desto höher ist zudem die Wahrscheinlichkeit, dass sich doch eine Mög- Organisation Electronic Frontier Foundation zeigen konnte . 94 lichkeit zur Identifizierung ergibt. Suchmaschinen beispielsweise protokollie- ren eingetippte Suchworte. Da die durchgeführte Suche nicht selten etwas mit der eigenen Person oder dem Freundeskreis zu tun hat, konnten aus einer ver- Datenschutzrechtliche Bewertung sehentlich veröffentlichten anonymisierten Liste von Suchanfragen einzelne Das Telemediengesetz schreibt eine informierte Einwilligung bei der Samm- Personen identifiziert werden93. Potenziell liegen für alle Internetnutzenden lung personenbezogener Daten vor. Kann der Datensammler nachweisen, dass bei den Betreibern großer Werberinge und der Suchmaschinen personenbe- ein direkter Personenbezug nicht hergestellt wird, die Datensammlung also nur ziehbare Interessen-Dossiers vor. unter einem Pseudonym erfolgt, genügt es derzeit, die Nutzenden umfassend zu informieren und ihnen ein Widerspruchsrecht einzuräumen. Allerdings muss Mittlerweile hat sich herumgesprochen, dass man Cookies von solchen Dritt die Gesetzeslage an die im Dezember 2009 geänderte europäische E-Privacy- anbietern am besten nicht akzeptiert und sowieso die von Browsern gespei- Richtlinie (2002/58/EG) angepasst werden, die auch im Falle pseudonymer 95 cherten Cookies regelmäßig löschen sollte. Manche Webbrowser bieten derweil Datensammlungen auf Basis von Daten, die auf den Rechner der Nutzenden komfortabel nutzbare datenschutzfreundliche Einstellungsmöglichkeiten (leider gespeichert sind, eine informierte Einwilligung der Betroffenen vorschreibt. jedoch nicht als Voreinstellung). Einige Anbieter versuchen daher andere Spei- cherorte zu nutzen, die den Nutzenden noch unbekannt sind und sich zudem Dies ist in jedem Fall eine Herausforderung für die Internet-Werbewirt- nicht bzw. nicht so leicht löschen lassen. Inzwischen gibt es dafür eine ganze schaft und erfordert u. U. auch eine Umstellung bestimmter Geschäftsmodelle. Reihe „Verstecke“ wie das Flash-Plugin, neuere Erweiterungen von HTML Allein die Browser-Konfiguration zur Annahme von Cookies erfüllt die For- oder auch eine geschickte Nutzung des Browserverlaufs bzw. der lokal zum 94 http://ct.de/-1002375 93 http://ct.de/-165698 95 Vgl. Dokumentenband 2010, S. 34 74 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 75",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p39-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 40,
"content": "Kapitel 2 Schwerpunkte 2.6 Tracking im Internet derung nach einer informierten Einwilligung keinesfalls. Eine technische Der gläserne Surfer ist im Internet längst Realität geworden. Private Firmen Lösung könnte die Erweiterung des Cookie-Mechanismus sein, die neben protokollieren, wenn die Einzelnen sich nicht wehren, fast jeden Schritt der Abfrage zur Speicherung eines Cookies im Einzelfall auch Angaben zu im Netz, um angepasste Werbung zu zeigen. Verbessern kann sich dieser dem Verarbeitungszweck, der verantwortlichen Stelle sowie den technischen Zustand nur, wenn die überarbeitete E-Privacy-Richtlinie sowohl national als Möglichkeiten zum Zurückziehen der Einwilligung beinhaltet. Jedenfalls unzu- auch international umgesetzt wird und die Nutzenden sensibilisiert werden. lässig sind die oben skizzierten Methoden, die Entscheidung der Betroffenen gegen Cookie-gestützte Werbung durch andere Speichertechniken wie Flash- Cookies oder durch Auswertung der zu anderen Zwecken übermittelten Brow- serdaten zu umgehen. Selbstschutz Da die geänderte E-Privacy-Richtlinie noch nicht in nationales Recht umge- setzt ist und zudem der Markt für Internetwerbung von Firmen dominiert wird, die ihren Sitz nicht in der EU haben, zählen wir im Folgenden einige Mög- lichkeiten zum Selbstschutz auf: 1. Konfigurieren Sie Ihren Browser so, dass Cookies nur von der aufgerufe- nen Seite akzeptiert werden (keine Cookies von Dritten wie Werberingen akzeptieren). 2. Konfigurieren Sie Ihren Browser so, dass die Cookies regelmäßig gelöscht bzw. grundsätzlich nur während der aktuellen Sitzung gespeichert werden. Ggf. können Sie Ausnahmen für einzelne vertrauenswürdige Seiten defi- nieren. 3. Lassen Sie regelmäßig den Verlauf und den Cache Ihres Browsers löschen und deaktivieren Sie den lokalen Speicher des Flashplayers96. 4. Manche Browser erlauben, die Ausführung aktiver Inhalte zu blockieren und wenn nötig seitenspezifisch freizuschalten. Auch können Webadressen bekannter Trackingdienste gesperrt werden. Für Firefox sind diesbezüg- lich beispielsweise folgende kostenlose Addons empfehlenswert: Ghostery, Adblock-Plus und Noscript. 96 Adobe Einstellungsmanager: http://www.macromedia.com/support/documentation/de/ flashplayer/help/settings_manager07.html 76 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 77",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p40-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 41,
"content": "Kapitel 3 Öffentliche Sicherheit 3.2 Nationales Waffenregister 3. Öffentliche Sicherheit Auf dem Hamburger Flughafen wird seit dem Herbst in einem Feldversuch der Einsatz des Körperscanners getestet. Die Daten werden nach dem Scanvorgang nicht gespeichert. Es erfolgt lediglich eine statistische Aufzeichnung über die 3.1 Körperscanner Zahl der detektierten Personen und die Alarmmeldungen. Windeln, Katheter sowie künstliche Darmausgänge werden allerdings bei der Kontrolle detek- tiert und in schematischen Darstellungen der Körperumrisse angezeigt. Das Die Diskussion um den Einsatz von sog. Körperscannern bei Passagierkon- Ergebnis des Feldversuches und die weitere Entwicklung bleiben abzuwarten. Aus der Praxis trollen am Flughafen hat durch den Anschlagsversuch in Detroit Ende 2009 eine Eigendynamik entwickelt. Auf europäischer Ebene ist beabsichtigt97, Bei der Einführung neuer Technologien ist nicht nur auf den Sicherheitsge den Körperscanner bei Personenkontrollen zuzulassen. Dabei handelt es sich winn abzustellen, sondern auch darauf zu achten, dass die Grundrechte der um Geräte, mit denen der Körper einer Person sowie Gegenstände unter Betroffenen nicht verletzt werden und insbesondere ihre Menschenwürde der Kleidung abgebildet werden. So können am Körper getragene Waffen geachtet wird. und Sprengstoff sichtbar gemacht werden. Mit dieser Technik sollen Sicher- heitslücken geschlossen werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat 3.2 Nationales Waffenregister zunächst eine Klärung der Frage gefordert, ob vor dem Hintergrund der ernst- haften Zweifel an der technischen Leistungsfähigkeit und Effizienz dieser Tech- nologie mit solchen Geräten ein nennenswerter Sicherheitsgewinn erzielt wer- Der Aufbau eines bundesweit einheitlichen und computergestützten Waf- Aus der Praxis den kann. 98 fenregisters ist als neues Vorhaben mit hoher Priorität in den Aktionsplan Deutschland Online aufgenommen worden. Ferner muss sichergestellt sein, dass die beim Einsatz von Körperscannern erhobenen Daten der Kontrollierten einschließlich der erstellten Bilder über Durch eine Änderung der europäischen Waffenrichtlinie vom Mai 200899 sind den Scanvorgang hinaus nicht gespeichert werden. Geschlechtsmerkmale oder die EU-Mitgliedstaaten verpflichtet, bis Ende 2014 ein computergestütztes künstliche Körperteile bzw. medizinische Hilfsmittel wie Prothesen und künst- Waffenregister einzuführen und darin mindestens für 20 Jahre alle Schusswaf- liche Darmausgänge dürfen nicht angezeigt werden. Der Nachweis, dass diese fen mit den Angaben über Typ, Modell, Fabrikat, Kaliber, Seriennummer, Name Bedingungen erfüllt sind, ist in praktischen Tests und Erprobungen zu erbrin- und Anschrift des Verkäufers und des Waffenbesitzers zu erfassen. Daneben gen. werden die Voraussetzungen geschaffen, um die bei derzeit ca. 570 Waffen- behörden auf Basis unterschiedlichster Software oder in Einzelfällen noch per Karteikarte erfassten Informationen aufzubereiten und in ein abgestimmtes computergestütztes System zu überführen. 97 Entwurf einer Verordnung zur Ergänzung der im Anhang der Verordnung (EG) Nr. 300/2008 (ABl. L 97 vom 9. April 2008, S. 72) festgelegten gemeinsamen Grundstandards für Das Nationale Waffenregister ist datenschutzrechtlich nicht unproblematisch. die Sicherheit der Zivilluftfahrt (Ratsdok. 12815/08) So haben wir erhebliche Zweifel hinsichtlich des lesenden Zugriffs der Innen- 98 Entschließung vom 17./18. März 2010: Körperscanner – viele offene Fragen, Dokumenten- ministerien in Bund und Ländern, der Zoll- und Verfassungsschutzbehörden band 2010, S. 9; vgl. auch die Entschließung der Europäischen Datenschutzkonferenz vom 29./30. April 2010: Einsatz von Körperscannern für die Sicherheit an Flughäfen, Dokumen- tenband 2010, S. 30 99 2008/51/EG 78 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 79",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p41-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 42,
"content": "Kapitel 3 Öffentliche Sicherheit 3.4 Evaluationsbericht nach § 70 ASOG sowie bezüglich der für den Bundesnachrichtendienst und den Militärischen die bisher vorliegende Generalerrichtungsanordnung für das Verfahren auf die Abschirmdienst vorgesehenen Zugriffsrechte. Der Fortgang der Angelegenheit Wasserschutzpolizei Rheinland-Pfalz zugeschnitten ist und jede teilnehmende – insbesondere das geplante Errichtungsgesetz – bleibt abzuwarten. Wasserschutzpolizei ihrerseits eine eigene Errichtungsanordnung schafft. Der Zugriff auf das Nationale Waffenregister ist datenschutzkonform zu Die geplante Auftragsdatenverarbeitung in Rheinland-Pfalz schafft aber noch regeln. keine Rechtsvorschrift für die Übermittlung von Daten an andere Polizei- behörden. Die Berliner Polizei kann mit anderen Ländern und dem Bund einen Datenverbund vereinbaren, der eine automatisierte Datenübermittlung ermöglicht.100 Voraussetzung dafür ist allerdings der Erlass einer Rechtsverord- 3.3 \u0007Schiffskontrolldatei – eine Verbunddatei ohne nung. Dabei sind die Datenempfänger, die Datenart und der Zweck des Abrufs festzulegen und Maßnahmen zur Datensicherung und Kontrolle vorzusehen. Rechtsgrundlage Die Senatsverwaltung für Inneres und Sport hat uns schon 2006 den Entwurf einer Verordnung über den automatisierten Datenabruf aus der Schiffskontroll- Die Berliner Wasserschutzpolizei betreibt wie fast alle anderen Wasserschutz- datei vorgelegt. Inzwischen beschäftigt sich der Unterausschuss Recht und Ver- Aus der Praxis polizeien der Länder ihre eigene Schiffskontrolldatei. Damit soll u. a. der waltung der Innenministerkonferenz mit dem Thema. Konkrete Ergebnisse lie- Fahndungsdienst unterstützt, unnötige Mehrfachkontrollen mit der damit gen uns noch nicht vor. verbundenen Behinderung der gewerblichen Schifffahrt vermieden sowie die Behebung von bei Kontrollen festgestellten Mängeln überwacht wer- Wenn eine Verbundanwendung über die Konstruktion einer Auftrags den. Sie dient der Abwehr von Gefahren für die Sicherheit und Leichtigkeit datenverarbeitung geschaffen werden soll, sind die dafür vorgegebenen des Verkehrs sowie der Verhütung von schifffahrtsbedingten Gefahren und rechtlichen Rahmenbedingungen einzuhalten. schädlichen Umwelteinwirkungen. Seit zwei Jahren streben die Wasserschutzpolizeien nahezu aller Bundeslän- der eine gemeinsame Nutzung der von Rheinland-Pfalz entwickelten und 3.4 Evaluationsbericht nach § 70 ASOG beim dortigen „Landesbetrieb Daten und Informationen“ zentral betrie- benen Schiffskontrolldatei, wobei dieser Landesbetrieb als Auftragnehmer tätig sein soll. Mit der Änderung des Allgemeinen Sicherheits- und Ordnungsgesetzes Aus der Praxis im Jahr 2007 ist nicht nur die Befugnis für die Videoüberwachung zur 101 Dem Wesen nach handelt es sich bei der Datei um eine Verbundanwendung. Eigensicherung102, zu medizinischen und molekulargenetischen Untersu- Die einschlägigen Regelungen des Bundeskriminalamtsgesetzes sind allerdings chungen , zur Datenerhebung in öffentlichen Verkehrseinrichtungen 103 104 nicht anwendbar, das Binnenschifffahrtsaufgabengesetz enthält keine ausrei- sowie zur Standortermittlung bei Telekommunikationsendgeräten105 chenden Regelungen zur Verarbeitung personenbezogener Daten. Aus diesem Grund wird das Verfahren als Auftragsdatenverarbeitung konzipiert. 100 § 46 Abs. 5 ASOG 101 GVBl. S. 598 f. Der Charakter der Auftragsdatenverarbeitung bleibt vor allem dadurch erhalten, 102 § 19 a dass Änderungen an den Daten nur von den Ländern vorgenommen werden 103 § 21 a 104 § 24 b können, die die Daten auch eingestellt haben. Ferner gehen wir davon aus, dass 105 § 25 a 80 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 81",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p42-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 43,
"content": "Kapitel 3 Öffentliche Sicherheit 3.5 Wie umfangreich dürfen Absenderangaben sein? geschaffen worden, sondern gleichzeitig wurde der Senat verpflichtet, bis 3.5 Wie umfangreich dürfen Absenderangaben sein? zum 31. Oktober 2010 einen Evaluationsbericht vorzulegen, der Auf- schluss über Art und Umfang sowie den Erfolg der jeweiligen Maßnah- Ein Bürger ist von der Polizei per Brief zu einem Gespräch eingeladen Aus der Praxis men geben soll . 106 worden. Der Absenderstempel enthielt neben der Adresse die Angaben „Polizeipräsident in Berlin, Landeskriminalamt, LKA 712 (Hooligan)“. Diese Vorschrift enthält (anders als z. B. Art. 11 Terrorismusbekämpfungsgesetz) keine Festlegung, dass wissenschaftliche Sachverständige in die Evaluierung ein- Anders als die Empfängerangaben beispielsweise bei förmlichen Zustellungen zubeziehen sind. Dem Bericht ist nicht zu entnehmen, dass er von unabhängi- nach dem Verwaltungszustellungsgesetz oder der Zivilprozessordnung ist die gen Wissenschaftlern erstellt oder begleitet worden ist. Es handelt sich offen- Absendergestaltung nicht eindeutig geregelt. Somit bemisst sich der Umfang sichtlich um eine Selbsteinschätzung des Senats. der Angaben am Erforderlichkeitsprinzip . Die Angabe des Absenders ist nur 107 notwendig, um dem Postdienstleister die Rücksendung unzustellbarer Postsen- Vor dem Hintergrund der Eingriffsintensität der ASOG-Regelungen ist eine dungen zu ermöglichen und den Empfänger, falls nicht ohnehin schon bekannt, systematische, ergebnisoffene und wissenschaftlich fundierte Überprüfung auf in die Lage zu versetzen, etwaige Antwortschreiben richtig und vollständig der Grundlage eines umfassenden Bewertungsansatzes erforderlich. Die Eva- adressieren zu können. Somit reichen in der Regel der Behördenname, das luation sollte aufgrund valider, strukturierter Daten unter Mitwirkung aller Stellenzeichen der oder des Beschäftigten und die Adresse (Postleitzahl, Straße, relevanten Stellen in einem transparenten Verfahren durch ein unabhängiges Hausnummer) aus, um nicht zustellbare Postsendungen ungeöffnet der oder Expertengremium erfolgen. Die Nachvollziehbarkeit und Überprüfbarkeit der dem Beschäftigten zur Entscheidung, wie weiter zu verfahren ist, zuzuleiten. Evaluierung ist zu gewährleisten. Der Evaluationsbericht muss für den Gesetz- Dem trägt auch die Gemeinsame Geschäftsordnung für die Berliner Verwal- geber eine umfassende Bewertungsgrundlage zur Optimierung bestehender tung (GGO I) Rechnung108. Danach darf die Absenderangabe nicht mit einem Regelungen sein. „sprechenden Aktenzeichen“ (wie Geburtsdatum der empfangenden Person) oder mit Zusätzen versehen werden, die auf sensible, persönliche oder sachli- In der parlamentarischen Diskussion im Ausschuss für Inneres, Sicherheit und che Verhältnisse der empfangenden Person schließen lassen (wie „Sozialhilfe“, Ordnung bestand im Wesentlichen Einvernehmen darüber, dass die Frist für die „Geschwulstberatungsstelle“ oder „Haftentlassenenhilfe“); wenn erforderlich, ist Erstellung recht kurz bemessen war. Der Senator für Inneres und Sport hat in hier so zu verkürzen oder zu verschlüsseln, dass Rückschlüsse auf persönliche der Sitzung (wie von uns vorgeschlagen) zugesagt, fünf Jahre nach dem Inkraft- oder sachliche Beziehungen der empfangenden Person nicht möglich sind. treten des ASOG-Änderungsgesetzes – also Ende 2012 – eine wissenschaftliche Evaluation durchführen zu lassen. Der Polizeipräsident hat eingeräumt, dass der Zusatz „Hooligan“ bei der Absenderangabe nicht erforderlich ist, und angeordnet sicherzustellen, dass Eine Evaluation sollte auf der Grundlage valider, strukturierter Daten unter die Absenderangabe nicht mehr verwandt wird und alle Dienststellen auf die Mitwirkung aller relevanten Stellen in einem transparenten Verfahren Regelungen der GGO hingewiesen werden. durch ein unabhängiges Expertengremium erfolgen. Dafür ist eine ange messene Frist vorzusehen. Absenderangaben öffentlicher Stellen sind in der Regel auf den Behörden namen einschließlich Stellenzeichen und Adresse zu beschränken. 107 § 9 Abs. 1 BlnDSG 106 § 70 108 § 58 Abs. 5 Satz 2 82 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 83",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p43-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 44,
"content": "Kapitel 4 Personenstands- und Ausländerwesen 4.2 Der elektronische Aufenthaltstitel 4. \u0007Personenstands- und modifiziert werden, bevor der geplante berlinweite Zugriff auf die Register der Standesämter eröffnet werden kann. Ausländerwesen Wenn ein zentrales Personenstandsregister in Berlin entstehen soll, dann 4.1 Ausführungsverordnung zum Personenstandsgesetz muss die Verantwortlichkeit für ein solches Register geklärt werden. Sollen dagegen die Standesämter nur zum gegenseitigen Zugriff auf ihre Datenbe stände ermächtigt werden, so müssen die Bedingungen dieses automatisier ten Abrufverfahrens landesrechtlich festgelegt werden. Mit der Reform des Personenstandsrechts von 2007 wurden die Länder Aus der Praxis ermächtigt , zentrale Register für Standesämter einzurichten, die zur Aus- 109 stellung von Urkunden über den Personenstand, zur Erteilung von Auskünf- ten und zur Einsichtsgewährung genutzt werden können. 4.2 Der elektronische Aufenthaltstitel Die Senatsverwaltung für Inneres und Sport hatte uns den Entwurf einer Aus- führungsverordnung des Landes Berlin zum Personenstandsgesetz vorgelegt, Nicht nur die Deutschen erhalten mit dem neuen Personalausweis113 elektro- nach dessen Wortlaut ein solches zentrales Register eingerichtet werden soll. nisch auslesbare Personaldokumente. Die Bundesregierung hat den Entwurf Diese Verordnung trat gegen Ende des Jahres in Kraft.110 Dabei ist allerdings eines Gesetzes zur Anpassung des Rechts zur einheitlichen Gestaltung des Auf- offengeblieben, bei welcher Stelle das Register angesiedelt bzw. ob es eine enthaltstitels für Drittstaatenangehörige eingebracht. Nach einer Verordnung eigenständige öffentliche Stelle ist und welche Verantwortlichkeiten damit ver- des Rates114 sind Aufenthaltstitel grundsätzlich als mit biometrischen Merkma- bunden sind. Später wurde uns erklärt, dass – entgegen dem Wortlaut – kein len (zwei Fingerabdrücken und Lichtbild) versehene eigenständige Dokumente zentrales Register geschaffen werden soll, sondern den Berliner Standesämtern auszugeben. Die darüber hinaus vorgesehenen Standards sollen den Schutz vor ein gegenseitiges Zugriffsrecht auf die jeweiligen Personenstandsregister und Fälschungen weiter erhöhen und damit zur Verhinderung und Bekämpfung Suchverzeichnisse eingeräumt wird. illegaler Einwanderung und des illegalen Aufenthalts beitragen. Die bisher für Aufenthaltstitel eingesetzten Klebeetiketten werden durch Vollkunststoffkar- Wenn mit der Verordnung ein automatisiertes Abrufverfahren eingerichtet wer- ten in Scheckkartengröße mit einem Datenträger zur Erfassung biometrischer den sollte, hätte es einer ausdrücklichen Zulassung durch Gesetz bedurft . § 74 111 Merkmale ersetzt. Gleichzeitig wird mit dem elektronischen Aufenthaltstitel Abs. 1 Nr. 3 Personenstandsgesetz, der die Länder ermächtigt, zentrale Register der Zugang zu neuen Technologien wie elektronischen Behördendiensten oder einzurichten, kann dafür nicht herangezogen werden. Ferner sind in der Ver- der digitalen Signatur eröffnet. Die EU-Verordnungen sehen insofern für die ordnung die Einzelheiten bei der Einrichtung automatisierter Abrufverfahren Mitgliedstaaten die Möglichkeit vor, den für die Integration biometrischer festzulegen. So müssen die Datenempfänger, die Datenart und der Zweck des Merkmale vorgesehenen Datenträger auch zu diesem Zweck zu nutzen. Der Abrufs bestimmt werden. Auch sind Maßnahmen zur Datensicherung und zur Datenträger der elektronischen Aufenthaltstitel wird daher, ebenso wie beim Kontrolle vorzusehen, die in einem angemessenen Verhältnis zu dem ange- Personalausweis für deutsche Staatsangehörige, technisch so ausgestaltet, dass strebten Schutzzweck stehen112. Die Rechtsverordnung muss deshalb erheblich 109 § 67 Abs. 1 PStG 113 Vgl. 2.4 110 VO vom 2. November 2010, GVBl. S. 514 114 Verordnung (EG) Nr. 380/2008 des Rates vom 18. April 2008 zur Änderung der Verord- 111 § 15 Abs. 1 Satz 1 BlnDSG nung (EG) Nr. 1030/2002 zur einheitlichen Gestaltung des Aufenthaltstitels für Drittstaa- 112 § 15 Abs. 2 BlnDSG tenangehörige, ABl. L 115 vom 29. April 2008, S. 1 84 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 85",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p44-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 45,
"content": "Kapitel 4 Personenstands- und Ausländerwesen 5.1 Datenquarantäne bei der Deutschen Bahn AG eine Nutzung zum elektronischen Identitätsnachweis oder zur qualifizierten elektronischen Signatur grundsätzlich möglich ist. 5. Verkehr Ferner sollen mit einer Qualitätsverbesserung und Beschleunigung des Daten- 5.1 Datenquarantäne bei der Deutschen Bahn AG austauschs im Ausländerwesen die Voraussetzungen dafür geschaffen werden, künftig einheitliche Standards für den elektronischen Datenaustausch festle- gen zu können. Im August haben wir die sog. Quarantäneräume der Deutschen Bahn AG (DB AG) einer datenschutzrechtlichen Kontrolle nach § 38 Abs. 4 Bundes- datenschutzgesetz (BDSG) unterzogen. Diese Räume waren geschaffen wor- Im Gegensatz zum elektronischen Personalausweis müssen Angehörige von Drittstaaten nach EU-Vorgaben die Aufnahme von Fingerabdrücken in den, um den Datenskandal bei der DB AG straf- und aufsichtsrechtlich aufzu- künftige elektronische Aufenthaltstitel hinnehmen. Zugleich soll auch dieser arbeiten, ohne Beschäftigten der DB AG in dieser Phase die Möglichkeit zu Personenkreis die Möglichkeit erhalten, solche Dokumente zum elektroni geben, auf die Daten zuzugreifen. Ziel unserer Prüfung war es, sich mit Hilfe schen Identitätsnachweis und zur Signatur zu verwenden. von Stichproben einen Überblick über die Datenbestände in den Quarantäne- räumen, Quarantäneschränken und auf dem Quarantäneserver zu verschaffen. Die Prüfung erstreckte sich auf sämtliche in Berlin vorhandene Quarantäne- räume der Revision, der Compliance-Abteilung, der DB Sicherheit und der Rechtsabteilung. In den Quarantäneräumen befanden sich die Daten, die dem Berliner Beauf- tragten für Datenschutz und Informationsfreiheit und dem Bundesbeauftrag- ten für den Datenschutz und die Informationsfreiheit für ihre Prüfungen im Oktober 2008 und Februar 2009 zur Verfügung gestellt wurden. Neben den schon von den Datenschutzbehörden und den Sonderermittlern kontrollier- ten Vorgängen wurden ab Juli 2009 weitere Datenbestände (Räume, Schränke bzw. Server) unter Quarantäne gestellt. Nach der konzernweiten Anweisung sollten alle Daten, die unzulässig erhoben wurden oder die zunächst zulässig erhoben wurden und deren Zweck für die Speicherung entfallen ist, vollstän- dig in die Datenquarantäne überführt werden. In der Zeit, in der die Quarantäneräume, -schränke und -server gefüllt wurden, herrschte im DB-Konzern offensichtlich eine große Unsicherheit in daten- schutzrechtlichen Fragen. Nur so lässt sich der umfängliche Aktenbestand erklä- ren, den wir im Quarantänebereich vorgefunden haben. Die weit überwiegende Anzahl der geprüften Akten und Dateien stammte aus unproblematischen Datenverarbeitungsverfahren etwa im Rahmen der Revi- sion und der Compliance-Überprüfung. 86 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 87",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p45-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 46,
"content": "Kapitel 5 Verkehr 5.2 Abfrage des Aufenthaltstitels im Zug Die oben dargestellte Füllung der Quarantäneräume und der dadurch entstan- 5.2 Abfrage des Aufenthaltstitels im Zug dene Aktenumfang trug dazu bei, in der Öffentlichkeit den Verdacht zu nähren, neben den schon untersuchten Vorgängen würden in den Quarantäneräumen weitere Datenskandale verborgen und aufzudecken sein. Dieser Verdacht hat Auf einer Bahnfahrt wurde ein ausländischer Mitbürger von einem Aus der Praxis sich nicht bestätigt. Allerdings haben wir bei der Prüfung datenschutzrechtliche Bahnangestellten ohne gültigen Fahrausweis angetroffen. Bei der Daten- Mängel festgestellt, die, soweit noch nicht geschehen, behoben werden müssen. erhebung für die Fahrpreisnacherhebung beharrte der Bahnangestellte So war insbesondere Folgendes festzustellen: auf der Vorlage des Aufenthaltstitels und teilte dem Fahrgast mit, diese Angabe sei erforderlich; falls er sich weigere, würde er die Polizei rufen. • Es fehlt im Konzern ein tragfähiges Löschungskonzept, das die gesetzli- chen Vorgaben umsetzt. Dies wurde insbesondere bei der Kontrolle der 115 Das Bundesdatenschutzgesetz lässt das Erheben, Speichern, Verändern oder Bewerbungsunterlagen deutlich, die auch nach vielen Jahren noch nicht Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die gelöscht wurden. Erfüllung eigener Geschäftszwecke nur zu, soweit es zur Wahrung berechtig- • Es wurde im Konzern nicht ausreichend beachtet, dass das Bundesdaten- ter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu schutzgesetz kein Konzernprivileg enthält. Hier ist ein Konzept für Daten- der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem flüsse im Konzern zu entwickeln. Eine entsprechende Betriebsvereinbarung Ausschluss der Verarbeitung oder Nutzung überwiegt.116 Die DB AG hat ein wäre hier sicher hilfreich. berechtigtes (wirtschaftliches) Interesse daran, den ihr zustehenden erhöhten Fahrpreis einzufordern. Zweck der Datenerhebung ist einerseits die Beitrei- • Schließlich mangelte es an klaren Konzernrichtlinien, ob und ggf. unter bung des erhöhten Beförderungsentgelts und zum anderen die Erfassung von welchen Voraussetzungen und zu welchem Zweck medizinische Daten bzw. Wiederholungsfällen. Hat der Fahrgast keinen Personalausweis bei sich, müs- Diagnosen von Beschäftigten erhoben werden dürfen. Offenbar gab es beim sen Name und Anschrift über ein anderes Dokument nachgewiesen werden. Umgang mit erkrankten Beschäftigten unterschiedliche Verfahrensweisen. Allerdings enthält weder der Pass noch der Aufenthaltstitel eine Anschrift des Betroffenen. Insoweit war die Datenerhebung bezüglich des Aufenthaltstitels Da die Daten zur Aufarbeitung des Datenskandals nicht mehr benötigt wurden, nicht erforderlich und damit unzulässig. haben wir die DB AG aufgefordert, sie unverzüglich zu löschen bzw. zu ver- nichten. Dies ist inzwischen unter unserer Aufsicht geschehen. Die DB AG ist Aufgrund unserer Intervention verzichtet die DB AG nunmehr bei der Aus- dabei, die genannten datenschutzrechtlichen Mängel zu beseitigen. stellung von Fahrpreisnacherhebungen auf die Erhebung von Aufenthaltstiteln (wie Aufenthaltsgenehmigung, Aufenthaltserlaubnis oder Duldung) auf den mobilen Terminals. Zur Bestimmung der Adresse wird die kontrollierende Per- In den Quarantäneräumen der DB AG fanden sich keine Anhaltspunkte für weitere Datenskandale. son künftig den Fahrgast um die freiwillige Vorlage einer Meldebescheinigung, eines anderen amtlichen Dokuments oder einer sonstigen geeigneten Unter- lage (z. B. adressierten Briefs einer Behörde oder Institution) bitten. Nur wenn solche Dokumente nicht vorgelegt werden, wird eine Personalienfeststellung durch die Bundes- und Landespolizei vorgenommen. 115 § 35 Abs. 2 Satz 2 Nr. 3 BDSG 116 § 28 Abs. 1 Satz 1 Nr. 2 BDSG 88 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 89",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p46-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 47,
"content": "Kapitel 5 Verkehr 5.3 Ein zu lange wirkender Führerscheinentzug Die Erfassung des Aufenthaltstitels durch die DB AG im Rahmen von Fahr Ob es sich hier um einen Einzelfall handelt oder sich erneut die jahrelang preisnacherhebungen ist zur Verfolgung ihrer Geschäftsinteressen nicht geführte (und beendet geglaubte) Grundsatzdiskussion um die fristgerechte 119 erforderlich und damit unzulässig. Bereinigung der Führerscheinakten auftut, bleibt zu überprüfen. Nachweise über Vorbesitzzeiten von Fahrerlaubnissen sollten keine Angaben zu Entzugszeiten beinhalten, die im Verkehrszentralregister bereits gelöscht 5.3 Ein zu lange wirkender Führerscheinentzug wurden. Ein Bürger, dem die Fahrerlaubnis nach deren Entzug wiedererteilt worden Aus der Praxis war, bat das Landesamt für Bürger- und Ordnungsangelegenheiten (LABO) um eine Bescheinigung darüber, dass er schon zuvor eine Fahrerlaubnis besessen hatte. Einen solchen Nachweis benötige er für die Arbeitssuche und um einen Mietwagen zu bekommen. Die daraufhin erteilte Bescheini- gung enthielt neben dem kürzlich vollzogenen Fahrerlaubnisentzug einen weiteren, der mehr als 30 Jahre zurücklag. Wir wiesen das LABO auf die Fristen hin, nach denen Eintragungen im Ver- kehrszentralregister (VZR) getilgt werden117. Es bestand schließlich Einigkeit, dass der erste Fahrerlaubnisentzug im VZR nicht mehr gespeichert sein und dass die Tat und die Entscheidung nicht mehr zum Nachteil des Betroffenen verwertet werden durften . Das LABO ist unserer Empfehlung gefolgt und 118 hat eine neue Bescheinigung ausgestellt, die die Vorbesitzzeiten der Fahrerlaub- nis positiv aufführt. Zusätzlich konnte der Hinweis aufgenommen werden, dass über frühere Zeiten des Fahrerlaubnisbesitzes nach Maßgabe der einschlägigen Tilgungsbestimmungen keine Angaben gemacht werden können. Auf Wunsch des Antragstellers konnte auf diesen Hinweis verzichtet werden. Darüber hinaus vertrat das LABO die Ansicht, dass aufgrund der Pflicht zur Aktenführung und zur vollständigen Dokumentation des Geschehensablaufs nicht alle Unterlagen aus den Führerscheinakten entfernt werden müssen. So könne z. B. die Verfügung über den Fahrerlaubnisentzug in der Akte verblei- ben. Die Unterlagen dürften lediglich nicht mehr zum Nachteil der oder des Betroffenen verwertet werden. 117 § 29 StVG 118 § 29 Abs. 8 StVG 119 Vgl. JB 2000, 4.2.3.; JB 2003, 4.2.2 (a. E.) 90 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 91",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p47-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 48,
"content": "Kapitel 6 Justiz 6.2 Kontrollbefugnis der Aufsichtsbehörde gegenüber Rechtsanwälten 6. Justiz nannten Personen gewährleistet. Gegebenenfalls hat die Staatsanwaltschaft bei dem zuständigen Gericht vor Zustellung einer solchen Entscheidung auf eine Abänderung des Beschlusses hinzuwirken. 6.1 \u0007Offenbarung von Opferdaten bei DNA-Reihenuntersuchung Der Generalstaatsanwalt teilte uns im Zusammenhang mit dem Erlass einer weiteren Gerichtsentscheidung zur Durchführung einer DNA-Reihenunter- suchung in diesem Ermittlungsverfahren mit, dass die Polizei zur Gewährleis- Die Staatsanwaltschaft leitete 2008 ein Ermittlungsverfahren gegen unbe- tung des Datenschutzes den zu testenden Personen nunmehr eine auszugsweise Aus der Praxis kannt wegen des Verdachts der Vergewaltigung und des schweren sexuellen Ausfertigung des Beschlusses aushändigt, in dem nur die Anfangsbuchstaben der Missbrauchs von Kindern ein. Nachdem umfangreiche Ermittlungen nicht Nachnamen der Geschädigten erscheinen. zur Feststellung des Täters führten, ordnete das Amtsgericht Tiergarten die Durchführung einer DNA-Reihenuntersuchung an, die wir überprüften. Es ist sicherzustellen, dass im Rahmen der DNA-Reihenuntersuchung keine per sonenbezogenen Daten der Opfer an potenzielle Täter übermittelt werden. Bei Durchsicht der Ermittlungsakten stellten wir fest, dass die zu testenden Per- sonen aufgrund des Gerichtsbeschlusses Kenntnis von Vor- und Nachnamen der Opfer nehmen konnten, weil die Staatsanwaltschaft diese Daten vor Über- sendung der gerichtlichen Entscheidung nicht anonymisiert hatte. 6.2 \u0007Kontrollbefugnis der Aufsichtsbehörde gegenüber Rechtsanwälten Die Übermittlung personenbezogener Opferdaten an potenzielle Täter ist ohne Einwilligung der Geschädigten unzulässig. Die Offenbarung der Iden- tität der Opfer ist für die Begründung der gerichtlichen Anordnung ebenso Bereits 2005 haben wir darauf hingewiesen, dass für Rechtsanwälte das Bun- wenig erforderlich wie für die Belehrung der zu testenden Personen über die desdatenschutzgesetz (BDSG) gilt und sie der Kontrolle des Berliner Beauf- Freiwilligkeit der Entnahme einer DNA-Probe und die damit einhergehende tragten für Datenschutz und Informationsfreiheit unterliegen120. Die Berliner Aufklärung über den Verwendungszweck der entnommenen Körperzellen. Rechtsanwaltskammer sowie die Bundesrechtsanwaltskammer waren dagegen der Auffassung, die Bundesrechtsanwaltsordnung (BRAO) regele die Pflichten Zwar kann die Staatsanwaltschaft personenbezogene Daten in richterlichen zum Umgang mit mandatsbezogenen Daten abschließend. Unsere Rechtsan- Beschlüssen grundsätzlich nicht ohne Beteiligung des Gerichts anonymisie- sicht wurde nunmehr durch einen Beschluss des Kammergerichts121 im Grund- ren. Jedoch hat die Staatsanwaltschaft aufgrund eigener Schutzobliegenheiten satz bestätigt. gegenüber den Prozessbeteiligten die Pflicht, eigenverantwortlich zu prüfen, ob die Gefahr der unzulässigen Datenübermittlung an Dritte besteht. Diese Entscheidung beendete einen Rechtsstreit wegen eines Bußgeldbescheids, den wir 2006 gegen einen Rechtsanwalt erlassen hatten, der uns unter Beru- Die Staatsanwaltschaft sollte daher im Vorfeld einer gerichtlichen Anordnung fung auf seine anwaltliche Verschwiegenheitspflicht keine Auskunft erteilte. darauf hinwirken, dass eine solche Entscheidung nur personenbezogene Daten Das Kammergericht entschied, dass die BRAO die anwaltlichen Pflichten im enthält, deren Angabe den Schutz von Prozessbeteiligten, Zeugen und Geschä- Umgang mit Daten, die Kontroll- und Aufsichtspflichten sowie die Sanktions- digten nicht gefährdet. Darüber hinaus ist die Staatsanwaltschaft auch nach Erlass eines Gerichtsbeschlusses, für dessen Zustellung sie zuständig ist, ver- 120 JB 2005, 4.3 pflichtet zu überprüfen, ob der Entscheidungsinhalt den Schutz der vorge- 121 Vom 20. August 2010, 1 Ws (B) 51/07 – 2 Ss 23/07 92 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 93",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p48-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 49,
"content": "Kapitel 6 Justiz 6.4 Unbegrenzte Einsicht in Strafverfahrensakten bei der Bewerberauswahl? möglichkeiten nur rudimentär bestimmt und keinen mit dem Schutzzweck Rechtsanwälte, die gleichzeitig Notare sind, sind gesetzlich verpflichtet, die des BDSG vollständig übereinstimmenden Regelungsgehalt hat, weshalb das Ausübung dieser Funktionen strikt zu trennen. Ein Anwaltsnotar muss bei BDSG anwendbar bleibt. seiner Tätigkeit klar zum Ausdruck bringen, ob er gerade als Rechtsanwalt oder als Notar tätig ist. Es ist unzulässig, als Notar einen Grundbuchauszug anzufor- Dennoch sah das Gericht im vorliegenden Fall die festgestellte Auskunftsver- dern, um diesen anwaltlich zu nutzen. Auch ein zunächst für notarielle Zwecke weigerung des Rechtsanwalts nicht als eine Ordnungswidrigkeit an, weil dieser angeforderter Grundbuchauszug darf später nicht für anwaltliche Zwecke ver- einer gesetzlichen Verschwiegenheitspflicht122 unterlag, bei dessen Nichtbeach- wendet werden. Das tatsächliche Bestehen eines berechtigten Interesses an dem tung er der Gefahr einer strafrechtlichen Verfolgung ausgesetzt gewesen wäre. Datenabruf entbindet einen Rechtsanwalt ebenfalls nicht von seiner gesetzli- chen Pflicht, dies beim Datenabruf darzulegen. Wir haben die beiden Rechts- anwälte aufgefordert, dies künftig zu beachten. Berufen sich Rechtsanwälte gegenüber der Aufsichtsbehörde nicht auf die Gefahr einer strafgerichtlichen Verfolgung oder besteht diese nicht, ist die Aufsichtsbehörde weiterhin befugt, die Einhaltung datenschutzrechtlicher Anwaltsnotare müssen, wenn sie „nur“ anwaltlich tätig sind, bei Anträgen Vorschriften durch Rechtsanwälte zu kontrollieren und Verstöße zu ahnden. auf Grundbucheinsicht das berechtigte Interesse darlegen. 6.3 Anwaltsnotare im Grundbuchamt 6.4 \u0007Unbegrenzte Einsicht in Strafverfahrensakten bei der Bewerberauswahl? Wir erhielten zwei Beschwerden darüber, dass Rechtsanwälte, die gleich- Aus der Praxis zeitig als Notare tätig sind, zu anwaltlichen Zwecken Auszüge aus dem Ein Petent beschwerte sich darüber, dass eine Berliner Hochschule, bei Aus der Praxis Grundbuch bei dem Grundbuchamt anforderten oder aus dem elektro- der er sich als wissenschaftlicher Mitarbeiter beworben hatte, Einblick nisch geführten Grundbuch abfragten, ohne hierfür ein berechtigtes Inte- in die Akte eines gegen ihn geführten Strafverfahrens bekommen hatte. resse darzulegen. Das Strafverfahren war aufgrund einer Anzeige der Hochschule einge- leitet worden, weil diese den Verdacht hegte, der Petent habe sich mit Gesetzlich ist es jedem gestattet, Einsicht in das Grundbuch zu nehmen, der gefälschten Zeugnissen beworben. ein berechtigtes Interesse dargelegt hat123. Notare sind von dieser Darlegungs- pflicht aufgrund ihrer herausgehobenen Stellung als Träger eines öffentlichen Die Hochschule hatte im Strafverfahren „als Geschädigte“ die Übersendung Amtes befreit. Rechtsanwälte müssen jedoch ebenso wie andere private Stel- der Strafakte beantragt, ohne dies näher zu begründen. Daraufhin übersandte len ein berechtigtes Interesse darlegen, damit gewährleistet werden kann, dass das Amtsgericht Tiergarten die gesamte Akte, die auch einen Vermerk zu einer Unbefugte keinen Einblick in die Rechts- und Vermögensverhältnisse der im Hausdurchsuchung bei dem Petenten enthielt. Diesem war zu entnehmen, dass Grundbuch eingetragenen Personen erhalten. die Wohnung des Petenten völlig verdreckt sei, dass er Depressionen habe und von Hartz-IV-Leistungen lebe. Die Hochschule erklärte im Nachhinein, die Übersendung der Strafakte sei zur Abwehr von Schadensersatzansprüchen im Zusammenhang mit der mutmaßlichen Straftat erforderlich gewesen. 122 § 203 Abs. 1 Nr. 3 StGB 123 § 12 Abs. 1 Satz 1 GBO 94 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 95",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p49-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 50,
"content": "Kapitel 6 Justiz 7.1 Kirchensteuer Die Übersendung der gesamten Akte war rechtswidrig. Öffentlichen Stellen wie einer Hochschule können Strafverfahrensakten zur Einsicht nur übersandt 7. Finanzen werden, soweit dies zur Feststellung, Durchsetzung oder Abwehr von Rechts- ansprüchen im Zusammenhang mit der Straftat erforderlich ist, und wenn 7.1 Kirchensteuer die Erteilung von Auskünften einen unverhältnismäßigen Aufwand erfordern würde oder die Akteneinsicht begehrende Stelle unter Angaben von Gründen erklärt, dass die Erteilung einer Auskunft zur Erfüllung ihrer Aufgabe nicht aus- 7.1.1 Bundesweite Datenbank zur Religionszugehörigkeit? reichen würde . Diese Voraussetzungen lagen hier nicht vor. Weder hat die 124 Hochschule ihren Antrag auf Aktenübersendung begründet, noch ist ersicht- lich, dass die Erteilung von Auskünften aus der Akte einen unverhältnismäßi- Mit dem Unternehmenssteuerreformgesetz 2008 hat der Gesetzgeber Aus der Praxis gen Aufwand erfordert hätte oder die Kenntnis der gesamten Akte zur Abwehr in den §§ 43 ff., 32 d Einkommensteuergesetz (EStG) eine Abgeltungs- von Schadensersatzansprüchen erforderlich war. Wir haben daher einen Man- steuer auf Kapitalerträge eingeführt. Kapitalerträge, die nicht in einem gel festgestellt und das Amtsgericht Tiergarten zu einem datenschutzkonfor- Unternehmen anfallen, werden danach mit einem einheitlichen Steu- men Vorgehen in der Zukunft aufgefordert. ersatz von 25 Prozent besteuert. Der Steuerabzug erfolgt direkt an der Quelle der Einkünfte (z. B. Geldinstitute, Banken) und wird von dort an die Finanzverwaltung abgeführt. Der Steuerpflichtige muss die Kapitaler- Gerichte müssen sicherstellen, dass Akteneinsichtsanträge öffentlicher Stellen für verfahrensübergreifende Zwecke zur Wahrung des informatio träge grundsätzlich nicht mehr zusätzlich in seiner Einkommensteuerer- nellen Selbstbestimmungsrechts der Betroffenen entsprechend den gesetz klärung angeben. Das Abzugssystem umfasst dabei auch die Kirchensteuer. lichen Vorgaben geprüft werden. In einer Evaluierungsphase bis Ende Juni hatte der Bundesgesetzgeber den Steuerpflichtigen die Freiheit eingeräumt, selbst zu entscheiden, ob sie ihrer Bank durch Mitteilung ihrer Religionszugehörigkeit die Einbehaltung der Kir- chenkapitalertragsteuer im Rahmen des Abgeltungssteuerverfahrens ermög- lichen oder ob die Einbehaltung der Kirchenkapitalertragsteuer (wie bisher) im Rahmen der Veranlagung zur Einkommensteuer erfolgen soll125. Nach Abschluss der Evaluierungsphase sollten die Auswirkungen dieser Wahlfrei- heit der Steuerpflichtigen auf das Vorhaben, für die Feststellung der Religi- onszugehörigkeit ein elektronisches Informationssystems beim Bundeszent- ralamt für Steuern einzurichten, in einem Bericht an den Bundestag dargelegt werden. Zur Einführung des § 51 a Abs. 2 e EStG heißt es in der Begründung zum Gesetzentwurf des Unternehmenssteuerreformgesetzes 2008126: „Ziel der Reform der Besteuerung von Kapitalerträgen ist es, auch bei der Erhebung der auf die Kapitalerträge anfallenden Kirchensteuer den Steuerabzug grundsätzlich an der 125 § 51 a Abs. 2 c und d EStG 124 § 474 Abs. 2 Satz 1 Nr. 1, Abs. 3, Abs. 5 StPO 126 BT-Drs. 16/4841, S. 69 ff. 96 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 97",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p50-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 51,
"content": "Kapitel 7 Finanzen 7.1 Kirchensteuer Quelle vorzunehmen. Dieses Ziel lässt sich nur erreichen, wenn die zum Abzug ver- Bericht aufgenommen, das den Abzug der Kirchensteuer an der Quelle ermög- pflichtete Stelle in Zukunft in die Lage versetzt werden kann, den Abzug entsprechend licht, ohne dass die Kirchensteuerabzugsverpflichteten (z. B. die Bank) Kenntnis der Zugehörigkeit zu einer Religionsgemeinschaft auf einfache Weise durchzuführen von der Religionszugehörigkeit der Steuerpflichtigen erhält128. oder zu unterlassen, falls keine entsprechende Mitgliedschaft vorliegt. Dies wird mit der Einrichtung einer Datenbank ermöglicht, die es den Stellen, die die Kapitalertragsteuer Der Bericht der Bundesregierung zur Evaluierung des Kirchensteuerabzugs einzubehalten haben, erlaubt, auf elektronischem Wege festzustellen, ob ein Steuerpflich- verfahrens zeigt alternative datenschutzfreundliche Modelle der Datener tiger Angehöriger einer Religionsgemeinschaft ist oder nicht, und gegebenenfalls, welcher hebung auf. Er verweist diesbezüglich auf eine erforderliche Prüfung, die Religionsgemeinschaft er angehört und welcher Kirchensteuersatz für ihn anzuwenden ist. bislang noch nicht erfolgt ist. [ ... ] Eine derartige Datenbank wird allerdings voraussichtlich nicht vor dem Veranla- gungszeitraum 2011 zur Verfügung stehen [ ... ]. Sobald die Überprüfung ergibt, dass beim Bundeszentralamt für Steuern die Daten über die Religionszugehörigkeit der Steu- erpflichtigen verfügbar sind, wird durch ein weiteres Gesetzgebungsverfahren ein zwin- 7.1.2 Überprüfung der Religionszugehörigkeit durch gendes Quellensteuerabzugssystem mit der Möglichkeit einer elektronischen Abfrage des Kirchensteuerstellen Religionsmerkmales beim Bundeszentralamt eingeführt. Die Bundesregierung wird daher die Wirksamkeit der Vorschriften überprüfen, um ein entsprechendes Gesetzgebungsver- fahren einzuleiten. Damit wird es auch möglich, die zu findende Lösung an die neuesten Regelmäßig erreichen uns Beschwerden über die Zusendung eines Aus der Praxis technischen Entwicklungen anzupassen. Das bis zur Einführung dieses Systems vorgese- Fragebogens zur „Feststellung der Zugehörigkeit zu einer öffentlich- hene, dem Kirchensteuerpflichtigen eingeräumte Wahlrecht (Einbehalt der Kirchensteuer rechtlichen Religionsgemeinschaft“ durch die Finanzämter (Kirchen- im Abzugsverfahren oder Veranlagung durch das zuständige Finanzamt) stellt sich vor steuerstelle). diesem Hintergrund als eine Übergangslösung für einen begrenzten Zeitraum dar.“ Nach dem Gesetz über die Erhebung von Steuern durch öffentlich-rechtliche Da es sich bei den Angaben zur Religionszugehörigkeit um sensitive Daten Religionsgemeinschaften im Land Berlin können Kirchen und andere Reli- 129 handelt, hatten sich die Datenschutzbeauftragten bereits im Gesetzgebungsver- gionsgemeinschaften, die Körperschaften des öffentlichen Rechts sind, Steu- fahren zum Unternehmenssteuerreformgesetz 2008 dafür eingesetzt, dass den ern aufgrund eigener Steuerordnungen erheben. Zu diesem Zweck haben die Banken dieses Datum im Abzugsverfahren der Abgeltungssteuer nicht mit- Katholische und Evangelische Kirche gemeinsame Kirchensteuerstellen ein- geteilt werden darf. Die grundsätzlichen Bedenken gegenüber dem Verfah- gerichtet, die zwar eng mit den staatlichen Finanzämtern zusammenarbeiten ren stellten die Datenschutzbeauftragten angesichts des Wahlrechts, das den und räumlich an diese angegliedert sind, rechtlich und organisatorisch jedoch Steuerpflichtigen für die Evaluierungsphase eingeräumt wurde, zurück. In zu den Kirchen gehören. der Erwartung einer ergebnisoffenen Evaluierung mussten die Datenschutz beauftragten feststellen, dass der erste Entwurf des vom Bundesministerium der Während die Finanzämter die Berechnung der Kirchensteuer zusammen mit Finanzen (BMF) vorgelegten Evaluierungsberichts keine substanziierte Prü- der Berechnung der übrigen Steuern durchführen, überprüfen die Kirchen- fung der datenschutzrechtlichen Fragen und Probleme enthielt. In intensiven steuerstellen lediglich den Umstand, ob jemand aufgrund der Zugehörigkeit Gesprächen konnte erreicht werden, dass die datenschutzrechtlichen Belange zu einer Religionsgemeinschaft kirchensteuerpflichtig ist. Eine Überprüfung im abschließenden Bericht Berücksichtigung fanden. Insbesondere wurde 127 ein von den Datenschutzbeauftragten entwickeltes (alternatives) Modell in den 128 Näheres dazu: BT-Drs. 17/2865 (C. IV.2.) 127 BT-Drs. 17/2865 129 KiStG vom 4. Februar 2009, GVBl. S. 23 98 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 99",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p51-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 52,
"content": "Kapitel 7 Finanzen 7.2 Wenn die Daten nicht umgehend fließen ... ist dann notwendig, wenn ein Finanzamt von sich aus nicht ohne Weiteres fest- die Daten über Kirchenmitglieder in der Gemeinde der Taufe geführt, nicht in stellen kann, ob eine Kirchenzugehörigkeit vorliegt oder nicht. der des Wohnsitzes. Die Kirchensteuerstellen haben danach nur die Möglichkeit, die Angaben durch den Fragebogen bei den Steuerpflichtigen selbst zu erheben. Das Recht der Kirchensteuerstellen zur Überprüfung der Religionszugehö- rigkeit ergibt sich aus Art. 140 Grundgesetz (GG) in Verbindung mit Art. 136 Aufgrund des verfassungsmäßig garantierten Selbstverwaltungsrechts der Abs. 6 und 8 Weimarer Reichsverfassung. Diese Bestimmung der Weimarer Kirchen (Art. 137 Abs. 3 Weimarer Reichsverfassung i. V. m. Art. 140 GG) ist Reichsverfassung ist aufgrund der Verweisung in Art. 140 GG Bestandteil des es dem Staat verwehrt, die Kirchen über den Umweg der Datenverarbeitung Grundgesetzes. Grundsätzlich ist danach niemand verpflichtet, seine religiöse beim Einzug der Kirchensteuer zu beaufsichtigen. Die Einhaltung des Daten Überzeugung zu offenbaren. Jedoch heißt es in Art. 136 Abs. 3 Satz 2 Weima- schutzes in diesem Bereich wird daher von eigenständigen Datenschutzauf rer Reichsverfassung: sichtsinstanzen der Religionsgemeinschaften wahrgenommen. „Die Behörden haben nur soweit das Recht, nach der Zugehörigkeit zu einer Religions- gemeinschaft zu fragen, als davon Rechte und Pflichten abhängen oder eine gesetzlich angeordnete statistische Erhebung dies erfordert.“ 7.2 Wenn die Daten nicht umgehend fließen ... Die Pflicht zur Zahlung der Kirchensteuer ist abhängig von der Religions zugehörigkeit. Demzufolge ist die Frage nach der Religionszugehörigkeit Eine Bürgerin wurde mit ihrem Kraftfahrzeug abends von der Polizei Aus der Praxis zulässig. Die Religionszugehörigkeit hängt bei den christlichen Konfessionen angehalten und zur Kontrolle auf einen Parkplatz geleitet. Zur Begrün- von der Taufe ab. dung wurde angegeben, dass die Kraftfahrzeugsteuer für den Pkw nicht bezahlt worden sei. Obwohl die Bürgerin dies bestritt, hinderten die Die Kirchensteuerstellen erhalten von den Finanzämtern an personenbezoge- Polizeibeamten sie an der Weiterfahrt, „entstempelten“ das Kraftfahr- nen Daten Steuernummer, Religionsmerkmal, Namen, Vornamen, Geburts- zeug und brachten einen gelben Aufkleber an mit dem Zusatz „Fehlende datum, Anschrift sowie die Angabe, ab wann das Steuerkonto aufgenommen Steuer“. Was war hier geschehen? wurde. In der Regel wird sich anhand dieser Angaben die rechtliche Zuge- hörigkeit oder Nichtzugehörigkeit zur Evangelischen oder Katholischen Kir- Das Finanzamt Pankow/Weißensee hatte beim Landesamt für Bürger- und che feststellen lassen. Eine weitergehende Prüfung der Religionszugehörig- Ordnungsangelegenheiten (LABO) beantragt, das Fahrzeug wegen nicht ent- keit erfolgt nur in den Fällen, in denen Abweichungen zwischen vorliegender richteter Kraftfahrzeugsteuer außer Betrieb zu setzen. Da der Halter (wegen Grundinformation, Lohnsteuerkarte oder Angaben in der Steuererklärung auf- einer zwischenzeitlich geänderten Meldeanschrift) nicht auf die Aufforderung treten. Der Fragebogen wird nur versandt, wenn die Zugehörigkeit zu einer des LABO reagierte, entweder die fällige Steuer zu entrichten oder das Fahr- Kirche nicht bereits eindeutig geklärt werden konnte. Hierbei ist problema- zeug außer Betrieb zu setzen, wurde der zuständige Polizeiabschnitt mit der tisch, dass den Kirchensteuerstellen auch bei an sich eindeutigen Fällen die zwangsweisen Stilllegung des Fahrzeuges beauftragt. Da auch diese Maßnahme notwendigen Informationen nicht zur Verfügung stehen. Dies liegt zum Teil in erfolglos blieb, wurde das Fahrzeug zur Fahndung ausgeschrieben. Nachdem dem fehlenden Abgleich zwischen kirchlichen Stellen und den Finanzämtern der Kfz-Halter unter seiner neuen Meldeanschrift erneut angeschrieben und begründet , zum Teil in dem innerkirchlichen Organisationsaufbau. So werden 130 über die eingeleiteten Maßnahmen informiert worden war, bezahlte er die Kfz- Steuer einschließlich der Säumniszuschläge beim nunmehr zuständigen Finanz- amt Prenzlauer Berg. Allerdings wurde das LABO vom Finanzamt über diesen 130 Z. B. geben Steuerpflichtige nach einem Umzug gegenüber der Meldebehörde ihre Kirchenzugehörigkeit nicht an, obwohl sie tatsächlich nicht aus der Kirche ausgetreten sind. Umstand nicht informiert. Dies hatte zur Folge, dass das Fahrzeug – trotz 100 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 101",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p52-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 53,
"content": "Kapitel 7 Finanzen 7.2 Wenn die Daten nicht umgehend fließen ... bezahlter Steuerschuld – weiterhin zur Fahndung ausgeschrieben war. Mehr unterblieben. Infolgedessen war der im LABO geführte Datenbestand zum als fünf Monate später geriet die Bürgerin mit dem Fahrzeug in die abend- Zeitpunkt der Polizeikontrolle nicht mehr aktuell. Es lag ein Verstoß gegen liche Polizeikontrolle. Die polizeiliche Überprüfung des amtlichen Kennzei- § 5 Abs. 2 Nr. 2 BlnDSG vor. chens ergab – wie nicht anders zu erwarten –, dass das Fahrzeug aufgrund nicht gezahlter Kraftfahrzeugsteuer zur Fahndung ausgeschrieben ist. Eine telefoni- Mit dem handschriftlichen Zusatz „Fehlende Steuer“, den die Polizeimitar- sche Nachfrage beim Finanzamt oder beim LABO durch die Polizeibeamten beiter auf dem gelben Aufkleber am Fahrzeug vermerkten, wurden darüber vor Ort war nicht möglich, da diese Stellen zum Zeitpunkt der Kontrolle (um hinaus personenbezogene Daten der Bürgerin gegenüber der Öffentlichkeit 21:30 Uhr) nicht mehr besetzt waren. Daraufhin wurde die Bürgerin an der offenbart, rechtlich also an Dritte übermittelt. Eine Rechtsgrundlage für eine Weiterfahrt mit dem (vermeintlich unversteuerten) Fahrzeug von den Polizei- solche Datenübermittlung mit „Prangerwirkung“ ist selbst dann nicht ersicht- beamten gehindert und das Fahrzeug „entstempelt“. Dabei wurde ein gelber lich, wenn der Steuerrückstand nicht beglichen worden wäre. Der Polizeipräsi- Punkt auf der Windschutzscheibe des Fahrzeugs angebracht mit Angaben zum dent hat eingeräumt, dass auch die entsprechende interne Geschäftsanweisung Tag des Anbringens, zum amtlichen Kennzeichen und Abstellort sowie dem einen derartigen Hinweis nicht vorsieht. handschriftlichen Hinweis „Fehlende Steuer“. Wer Datenübermittlungspflichten hat, muss diesen umgehend nachkommen. Die Übermittlung der Daten über die rückständige Kraftfahrzeugsteuer des Anderenfalls führt das zu inaktuellen Datenbeständen bei den vorgesehenen Fahrzeughalters und die Einleitung des Verfahrens zur Zwangsentstempe- Empfängern, die dann zulasten der Betroffenen gehen können. Werden lung war datenschutzrechtlich zulässig131. Die Zulassungsstelle hat, wenn die Fahrzeuge von der Polizei stillgelegt, so darf dies nicht mit einer öffentlichen Kraftfahrzeugsteuer nicht entrichtet worden ist, auf Antrag der für die Kraft- Bloßstellung durch Angabe der Gründe verbunden werden. fahrzeugsteuer zuständigen Stelle das Kfz von Amts wegen abzumelden. Da der Halter des Fahrzeuges zunächst nicht auf die Aufforderung des LABO reagierte, entweder das Fahrzeug außer Betrieb zu setzen oder die Entrich- tung der Steuer nachzuweisen, wurde das Fahrzeug vom LABO rechtmäßig zur Fahndung ausgeschrieben. Allerdings sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass personenbezogene Daten während der Verarbeitung korrekt, vollständig und aktuell bleiben (Datenintegrität)132. Dem entspricht die Regelung über „rück- standsunterbindende Maßnahmen“ zu „4. Zahlung der Kraftfahrzeugsteuer“ in der Vollstreckungskartei der Finanzverwaltung. Danach hat die Finanzbehörde die Zulassungsstelle unverzüglich darüber in Kenntnis zu setzen, wenn der Schuldner die rückständige Kraftfahrzeugsteuer entrichtet hat. Dem Schuld- ner ist eine Bescheinigung zur Vorlage bei der Zulassungsstelle zu erteilen, dass keine Rückstände mehr bestehen. Vorliegend ist die zeitnahe Meldung über die vollständige Tilgung der Steuerschulden durch das Finanzamt an das LABO 131 § 14 Abs. 1 KraftStG 132 § 5 Abs. 2 Nr. 2 BlnDSG 102 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 103",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p53-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 54,
"content": "Kapitel 8 Sozialordnung 8.1 Sozial- und Jugendverwaltung 8. Sozialordnung das Konto der Lehrkraft überwiesen werden soll, ist nicht zu erkennen. Ins- besondere ist keine erhöhte Zweckentfremdungsgefahr erkennbar. Denn die Eltern der Schülerinnen und Schüler erhalten in der Regel bei Vorbereitung 8.1 Sozial- und Jugendverwaltung einer Klassenfahrt eine schriftliche Mitteilung über anfallende Kosten, einge- gangene Zahlungen und mögliche Rückerstattungen. Eine Kopie davon kön- nen die Eltern beim Jobcenter einreichen. Kontrolle und Kostentransparenz 8.1.1 Wenn das Jobcenter die Klassenfahrt bezahlt wären somit in jedem Fall gegeben. Die Mutter einer Schülerin, die an einer von der Schule ausgerichteten Das vom Jobcenter geforderte Verfahren basierte auf einer Vorgabe der Senats- Aus der Praxis Kursfahrt teilnehmen wollte, wurde vom Jobcenter aufgefordert, den für verwaltung für Integration, Arbeit und Soziales. Nachdem wir ihr gegenüber die Kostenübernahme verwendeten Antrag von der Schule ausfüllen und einen datenschutzrechtlichen Mangel festgestellt hatten, hat sie sich unserer mit einem Schulstempel versehen zu lassen. Zudem bestand das Jobcenter Rechtsauffassung angeschlossen. Zukünftig wird es zwei Varianten der Antrag- darauf, den Zahlbetrag direkt auf das Konto der die Fahrt leitenden Lehr- stellung geben, d. h., eine Verwendung des Vordrucks ist ebenso wenig zwin- kraft zu überweisen. gend wie eine Überweisung des Geldbetrages direkt vom Jobcenter auf das Konto der die Fahrt leitenden Lehrkraft. Die Form der Nachweiserbringung Durch das vom Jobcenter vorgegebene Verfahren erfährt die Schule zwangsläu- steht damit im Ermessen der Eltern. Vorgaben zum Inhalt der Nachweiser- fig vom Leistungsbezug der Mutter. Auf diese Weise wird das Recht der Mutter, bringung bestehen lediglich insofern, als die Dauer und die Kosten der Fahrt, selbst über die Preisgabe ihrer Sozialdaten zu entscheiden, eingeschränkt. Diese die Aufteilung der Kostenpositionen und die Beantragung und Gewährung Entscheidungsfreiheit ist ein wichtiger Bestandteil des Grundrechts auf infor- von Zuschüssen oder anderen vorrangigen Hilfen nachgewiesen werden müs- mationelle Selbstbestimmung. Auch besteht keine Notwendigkeit dafür, einen sen. Wird der Vordruck nicht verwendet, muss auch ein Nachweis über die vorgegebenen Vordruck zu verwenden, soweit die Antragstellenden die erfor- Überweisung des Geldbetrages und über die Teilnahme der Schülerin oder des derlichen Nachweise gegenüber dem Sozialleistungsträger anderweitig erbrin- Schülers an der Klassenfahrt erbracht werden sowie darüber, dass es sich um gen können. eine Fahrt nach schulrechtlichen Bestimmungen handelt. Um das Recht der Antragstellenden auf informationelle Selbstbestimmung Bei der Beantragung der Übernahme von Klassenfahrtkosten sind die Eltern zu wahren, haben wir empfohlen, nicht nur den besagten Vordruck, sondern in der Wahl der Mittel zur Erbringung der vom Jobcenter zur Antragsbear zusätzlich ein alternatives Antragstellungsverfahren anzubieten. Diese Alterna- beitung benötigten Nachweise frei. Auf diese Wahlfreiheit sind die Eltern tive muss gewährleisten, dass die Schule nichts vom Leistungsbezug erfährt. vom Jobcenter hinzuweisen. Der Geldbetrag kann, je nach gewählter Ver Die Leistungsempfangenden müssen die Möglichkeit haben, die erforderlichen fahrensvariante, entweder vom Jobcenter oder von den Eltern selbst auf das Nachweise auch ohne Verwendung des Vordrucks zu erbringen. Vor allem Konto der verantwortlichen Lehrkraft überwiesen werden. muss das Jobcenter auf diese Alternative und auf eine mit dieser ggf. einherge- henden Verzögerung der Antragsbearbeitung hinweisen. Diese Verzögerung darf nicht zu Lasten der Betroffenen gehen. Darüber hinaus gilt im Sozialrecht die Regel, dass die gewährte Leistung direkt auf das Konto der Leistungsempfangenden überwiesen wird. Ein Argument dafür, warum hier von dieser Regel abgewichen werden und die Leistung auf 104 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 105",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p54-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 55,
"content": "Kapitel 8 Sozialordnung 8.1 Sozial- und Jugendverwaltung 8.1.2 Sachverhaltsaufklärung und Datenerhebung durch brechung des sog. Direkterhebungsgrundsatzes ist nur dann zulässig, wenn die Betreuungsbehörde es sich nicht um besonders geschützte Daten handelt und die Erhebung bei der betroffenen Person nur mit einem unverhältnismäßigen Aufwand möglich Aufgrund einer Beratungsanfrage der Senatsverwaltung für Integration, wäre. Zudem muss stets die Frage gestellt werden, ob der Durchbrechung des Aus der Praxis Arbeit und Soziales haben wir uns mit der von Betreuungsbehörden zu Direkterhebungsgrundsatzes eventuell schutzwürdige Interessen der betroffe- leistenden Sachverhaltsaufklärung befasst. nen Person entgegenstehen, die gegenüber den von der Betreuungsbehörde geltend gemachten Belange überwiegen. Von Betreuung betroffen sind Erwachsene, die ihre Angelegenheiten aufgrund einer psychischen Krankheit oder einer Behinderung ganz oder teilweise nicht Die Senatsverwaltung hat ein Rundschreiben für die örtlichen Betreuungs selbst regeln können. Im Betreuungsrecht geht es daher um die Frage, wie und behörden erlassen, in das diese Grundsätze aufgenommen wurden. in welchem Umfang für eine hilfsbedürftige Person vom Betreuungsgericht eine Betreuungsperson bestellt wird. Bei der vom Gericht zu leistenden Bewer- Will die Betreuungsbehörde das Betreuungsgericht bei dessen Tätigkeiten tung des Einzelfalls sowie bei der Gewinnung geeigneter Betreuungspersonen unterstützen, ist die Behörde grundsätzlich gehalten, die benötigten Daten kommt die Betreuungsbehörde ins Spiel, in Berlin das zuständige Bezirks bei der betroffenen Person zu erheben. Eine Sachverhaltsaufklärung ohne amt. Eine der gesetzlich festgelegten Aufgaben der Betreuungsbehörden ist, das Mitwirkung der Betroffenen ist nur unter engen Voraussetzungen zulässig. Gericht zu unterstützen. Da das Betreuungsbehördengesetz selbst keine Befug- nisse zur Datenverarbeitung enthält, ist das Berliner Datenschutzgesetz heranzu- ziehen . Dieses verweist seinerseits auf das Bundesdatenschutzgesetz. Um eine 133 unterstützende Leistung erbringen zu können, kann die Betreuungsbehörde die 8.1.3 Übersendung von Jugendhilfeakten der DDR in betroffene Person selbst befragen. Zu beachten ist dabei in jedem Fall, dass nur Rehabilitierungsverfahren die für die Bearbeitung des jeweiligen Einzelfalls erforderlichen Daten erhoben werden. Diese müssen demnach unverzichtbar für die Aufgabenerfüllung der Das Landgericht Berlin hat im Rahmen von Rehabilitierungsverfah- Aus der Praxis Betreuungsbehörde sein. Handelt es sich bei den benötigten Daten um beson- ren rechtsstaatswidrige strafrechtliche Maßnahmen oder andere Entschei- ders geschützte Daten, muss die Behörde vor der Datenerhebung zwingend dungen von Behörden über Freiheitsentzug in der ehemaligen DDR zu die Einwilligung der betroffenen Person einholen. Zu den besonders geschütz- überprüfen. Grundlage hierfür ist das Strafrechtliche Rehabilitierungs- ten Daten zählen beispielsweise Angaben über die körperliche oder psychische gesetz (StrRehaG). Erweist sich die frühere Entscheidung als rechtsstaats- Gesundheit. Ist die betroffene Person aus physischen oder rechtlichen Gründen widrig bzw. willkürlich, sind die Betroffenen durch Gerichtsbeschluss außerstande, ihre Einwilligung zu geben, dürfen solche Daten in eng begrenz- zu rehabilitieren. Eine Aufhebung derartiger Entscheidungen begrün- ten Ausnahmefällen auch ohne ihre Einwilligung erhoben werden134. Liegen det u. a. einen Anspruch der Betroffenen auf soziale Ausgleichsleistungen. diese Voraussetzungen nicht vor, muss das Betreuungsgericht selbst die nötigen Gegenstand des Rehabilitierungsverfahrens sind oftmals damalige Ver- Ermittlungen durchführen. fügungen über Heimeinweisungen. Um über die Rehabilitierungsan- träge entscheiden zu können, benötigt das Landgericht die alten Jugend- Unter engen Voraussetzungen darf die Betreuungsbehörde die benötigten hilfeakten, Heimakten bzw. Jugendwerkhofakten aus den Archiven der Daten auch bei anderen Personen als den Betroffenen erheben. Diese Durch- Berliner Jugendämter. Hier stellt sich die Frage, ob die Jugendämter auf Anforderung des Landgerichts 133 § 6 Abs. 2 BlnDSG 134 § 6 Abs. 2 BlnDSG i. V. m. § 13 Abs. 2 Nr. 3 BDSG die komplette Originalakte übersenden dürfen. Während die Betroffenen selbst 106 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 107",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p55-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 56,
"content": "Kapitel 8 Sozialordnung 8.1 Sozial- und Jugendverwaltung ihre Einwilligung in die Übersendung der Akten an das Landgericht erteilen, 8.1.4 Der Zusammenhang von Kinderschutz und besteht oft das Problem, dass die Akten Daten Dritter enthalten, auf die sich Datenschutz – ein nach wie vor wichtiges Anliegen die Einwilligung der Betroffenen nicht erstrecken kann. Die Daten der Dritten (z. B. Eltern, Lehrkräfte, Nachbarn) sind teilweise sensitiv, wenn es z. B. um die Darstellung familiärer Probleme oder Krankheiten geht. Für die Jugendämter Maßnahmen und Konzepte zur Abwehr und Bekämpfung von Kindes- Aus der Praxis stellt sich das Problem, dass es in der Praxis schwierig ist, Einwilligungserklä- wohlgefährdungen zu entwickeln, um damit in der Praxis einen effekti- rungen sämtlicher Dritter einzuholen. ven Kinderschutz zu erreichen, ist seit Jahren für alle mit der Betreuung von Kindern und Jugendlichen betrauten Institutionen (wie öffentliche Für die Weitergabe der Daten Dritter auch ohne deren Einwilligung enthält das Jugendhilfe, freie Träger, Kinder- und Jugendgesundheitsdienste, Schulen) Sozialgesetzbuch – Zehntes Buch (SGB X) eine ausreichende Rechtsgrund- ein vordringliches Anliegen. Mit der Etablierung des Netzwerkes Kinder- lage135. Die Übermittlung der personenbezogenen Daten aus Jugendhilfeakten schutz auf der Senatsebene136 wurde ein wichtiger Schritt in diese Rich- der ehemaligen DDR an die Rehabilitierungskammer des Landgerichts erfolgt tung gemacht. Geht es um Maßnahmen zum Kinderschutz, ergeben sich zu dem Zweck, diesem die Entscheidung über den Rehabilitierungsantrag immer wieder datenschutzrechtliche Fragen. nach dem StrRehaG zu ermöglichen und damit für das gerichtliche Verfah- ren. Die Übermittlung der Sozialdaten ist allerdings nur zulässig, wenn dies für Die unzutreffende Aussage „Kinderschutz geht vor Datenschutz“ legt ein Span- die Entscheidung über die Rehabilitierung und die daran geknüpfte soziale nungsverhältnis zwischen beiden Bereichen nahe. Auf der einen Seite wird Ausgleichsleistung erforderlich ist. Hierfür kann auch die Kenntnis der Daten (häufig aus Unkenntnis) immer wieder behauptet, die Datenschutzvorschriften Dritter erforderlich sein. Allerdings sind hier strenge Maßstäbe anzulegen. Es würden die notwendige Kommunikation und Informationsweitergabe verhin- ist in jedem Einzelfall zu prüfen, ob die Daten tatsächlich notwendig sind. dern. Gleichzeitig wird die Forderung erhoben, die Datenschutzvorschriften Auf etwaige schutzwürdige Interessen der Dritten ist bei der Prüfung ein deshalb zu ändern. Auf der anderen Seite begegnet uns zunehmend eine andere besonderes Augenmerk zu richten, sodass nicht benötigte Daten zu schwärzen Sichtweise auf das Thema: Gerade diejenigen, die in ihrem Berufsalltag Kinder, bzw. zu entfernen sind. Jugendliche und ihre Familien beraten und betreuen und für die der Aufbau eines Vertrauensverhältnisses zu den Familienmitgliedern eine selbstverständ- liche und unerlässliche Voraussetzung ihrer Arbeit ist, sind verunsichert, wenn Dieses Verfahren stellt sicher, dass eine den Interessen der Opfer von rechts staatswidrigen Heimeinweisungen in der ehemaligen DDR gerecht werdende von ihnen verlangt wird, mit anderen Institutionen zu „kooperieren“. Wel- Übersendung der erforderlichen Informationen durch die Jugendämter an che Möglichkeiten und Grenzen für derartige Kooperationen bestehen, war die Rehabilitierungskammer des Landgerichts erfolgt. Die Prüfung im Ein Gegenstand einer Vielzahl von Anfragen. Zum Thema „Datenschutz und Kin- zelfall gewährleistet, dass etwaige schutzwürdige Interessen Dritter nicht derschutz“ haben wir uns z. B. auf bezirklicher Ebene mit Vorträgen an den beeinträchtigt werden. Kinderschutzkonferenzen der Jugendämter Tempelhof–Schöneberg und Trep- tow-Köpenick beteiligt. Die Stiftung SPI, Clearingstelle Jugendhilfe/Polizei, hat eine Veranstaltung zum Thema „Handlungssicherheiten im Kinderschutz und Datenschutz“ organisiert, in deren Rahmen wir einen Vortrag gehalten haben. Im November haben wir uns mit einem Vortrag „Kinderschutz und Datenschutz – (k)ein Widerspruch“ an einer gemeinsam von den Senatsver- waltungen für Gesundheit, Umwelt und Verbraucherschutz sowie für Bildung, 135 § 69 Abs. 1 Nr. 2 i. V. m. § 69 Abs. 1 Nr. 1 und § 69 Abs. 2 Nr. 1 SGB X 136 Vgl. JB 2006, 2.1 108 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 109",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p56-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 57,
"content": "Kapitel 8 Sozialordnung 8.1 Sozial- und Jugendverwaltung Wissenschaft und Forschung und der Charité Universitätsmedizin Berlin ver- Häufig wird ein falsch verstandener Datenschutz als Hindernis für eine anstalteten Fachtagung „Kinderschutz – Handeln im Rahmen interdisziplinä- notwendige Kooperation verschiedener Institutionen angeführt. Uns ist es rer Kooperation“ beteiligt. wichtig, den Rahmen der zulässigen Kommunikation zwischen unterschied lichen Stellen in Fällen von Kindeswohlgefährdung, aber auch deren Das Thema Kinderschutz war auch Gegenstand vieler Beratungsersuchen. Grenzen immer wieder aufzuzeigen. Datenschutzrechtliche Regelungen stehen einer im Einzelfall erforderlichen Kommunikation nicht entgegen. Bereits Ende 2009 haben die Senatsverwaltungen für Gesundheit, Umwelt Ein staatlicher Schutz von Kindern kann jedoch nur gewährleistet werden, und Verbraucherschutz sowie für Bildung, Wissenschaft und Forschung und wenn Vertrauensverhältnisse zu betroffenen Familien geschützt und nicht die LIGA der Wohlfahrtspflege in Berlin eine „Rahmenvereinbarung zum hinter deren Rücken beliebig Informationen ausgetauscht werden. Schutz von Kindern suchtkranker Eltern vor der Gefährdung des Kin- deswohls“ geschlossen. Die Vereinbarung ist auf bezirklicher Ebene umzuset- zen, was teilweise bereits geschehen ist. Hierbei soll die Kooperation aller Ins- titutionen, die im jeweiligen Bezirk mit Familien mit Suchtproblemen Kon- 8.1.5 Empfehlungen für den Umgang der Jugendämter takt haben, verbindlich organisiert werden. Da Kooperationsvereinbarungen mit Ersuchen von Strafverfolgungsbehörden nicht geeignet sind, über die bestehenden Datenschutzgesetze hinausgehende Datenübermittlungsbefugnisse zu schaffen, haben wir deutlich gemacht, dass Nachdem wir auf Wunsch der Jobcenter Hinweise zum Umgang mit Aus der Praxis die gesetzlichen Datenschutzvorgaben zu beachten sind. Vor dem Hintergrund, Anfragen der Polizei zu Sozialdaten von Leistungsempfangenden entwi- dass in erster Linie Personen, die der beruflichen Schweigepflicht unterliegen, ckelt hatten138, haben wir entsprechende Empfehlungen zu den Anforde- mit der Betreuung suchtkranker Personen betraut sind, bedarf es insofern im rungen bei Datenübermittlungen an Polizeibehörden und die Amts- bzw. Einzelfall einer Einwilligung oder gesetzlichen Offenbarungsbefugnis, die sich Staatsanwaltschaft auch für die Jugendämter entwickelt. z. B. aus dem Ende 2009 in Kraft getretenen Berliner Gesetz zum Schutz und Wohl des Kindes ergeben kann137. Anlass hierfür waren Hinweise aus der Praxis auf eine erhebliche Unsicherheit im Umgang mit derartigen Anfragen. Da der Bundesgesetzgeber eindeutige Die Senatsverwaltung für Bildung, Wissenschaft und Forschung hat einen und abschließende Rechtsgrundlagen geschaffen hat, die die Übermittlung Handlungsleitfaden Kinderschutz für die Zusammenarbeit von Kinder von Sozialdaten durch Sozialleistungsträger auf Ersuchen der Strafverfolgungs- tageseinrichtungen und bezirklichem Gesundheitsamt und Jugendamt her- behörden regeln, sahen wir uns veranlasst, diese Rechtslage in einer praxis ausgegeben. Er soll eine Hilfestellung für die Mitarbeiterinnen und Mitarbei- gerechten Weise aufzubereiten und in Gestalt von Hinweisen den Jugendäm- ter im Umgang mit Kindeswohlgefährdungen geben und Verfahrensregelun- tern zur Verfügung zu stellen. Praxisrelevant sind in erster Linie die §§ 68 und gen für die Zusammenarbeit der unterschiedlichen Institutionen schaffen. Da 73 Sozialgesetzbuch – Zehntes Buch (SGB X), die auch für die Jugendämter sich hier eine Reihe datenschutzrechtlicher Fragen stellt, insbesondere welche gelten139. § 68 SGB X enthält eine Übermittlungsbefugnis an die Strafverfol- Datenübermittlungen zwischen den verschiedenen Einrichtungen zulässig sind, gungsbehörden. Die Daten sind explizit in der Vorschrift benannt. Es handelt haben wir die mit der Erstellung des Leitfadens befasste Arbeitsgruppe ausführ- sich um Namen, Vornamen, Geburtsdatum, Geburtsort, derzeitige Anschrift des lich beraten. Unsere Anforderungen wurden aufgenommen. Betroffenen, derzeitigen oder zukünftigen Aufenthalt, Namen und Anschrif- ten der derzeitigen Arbeitgeber. § 73 SGB X erlaubt die Übermittlung von Sozialdaten, soweit es zur Durchführung eines Strafverfahrens erforderlich ist. 138 JB 2009, 7.1.1 137 § 11 Abs. 4 Berliner Kinderschutzgesetz; hierzu JB 2009, 7.1.2, S. 99 f. 139 § 61 Abs. 1 Satz 1 SGB VIII 110 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 111",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p57-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 58,
"content": "Kapitel 8 Sozialordnung 8.2 Gesundheitswesen Es bedarf hierfür immer einer richterlichen Anordnung nach § 73 Abs. 3 SGB Angesichts der in der Praxis bestehenden Unsicherheit im Umgang mit den X. Soweit eine Übermittlung nicht zulässig ist, besteht keine Auskunftspflicht, Datenschutzvorschriften liegt uns daran, die Jugendämter in ihrer Arbeit keine Pflicht zur Vorlage oder Auslieferung von Schriftstücken, nicht automa- dadurch zu unterstützen, dass ihnen die Bedeutung des Sozialgeheimnis tisierten Dateien und automatisiert erhobenen, verarbeiteten oder genutzten ses als eine wesentliche Voraussetzung für die Erfüllung ihrer Aufgaben Sozialdaten140. verdeutlicht wird. Gleichzeitig ist es uns wichtig, den Beschäftigten eine Hilfestellung zu leisten, welche Befugnisse, aber auch Grenzen einer zulässi Eine wichtige Maßnahme beim Umgang mit Ersuchen von Strafverfolgungs- gen Datenübermittlung gerade im Umgang mit Strafverfolgungsbehörden bestehen, und ihnen so mehr Rechtssicherheit zu geben. behörden ist die Benennung von verantwortlichen Beschäftigten, die über das jeweilige Ermittlungsersuchen zu entscheiden haben141. Die Strafverfolgungsbe- hörden sind ausschließlich an die benannte Mitarbeiterin bzw. den benannten Mitarbeiter zu verweisen. Die Jugendämter haben uns diese Verantwortlichen 8.2 Gesundheitswesen teilweise bereits konkret benannt. Unsere Hinweise haben beim Polizeipräsidenten sowie der Senatsverwaltung 8.2.1 Der Schutz von Patientendaten in für Inneres und Sport zu erheblichen Irritationen geführt. Dem liegt offenbar Krankenhausinformationssystemen ein Missverständnis zugrunde. Die Empfehlungen beziehen sich ausschließ- lich auf Datenübermittlungen auf Ersuchen und damit auf einen sehr kleinen Unsere Prüfungen haben gezeigt, dass in vielen Krankenhäusern die Aus der Praxis Ausschnitt der bei Datenübermittlungen zwischen Jugendämtern und Straf- elektronischen Patientenakten einem zu weitem Kreis von Beschäftigten verfolgungsbehörden auftretenden Fragen. Fallkonstellationen, in denen das zugänglich sind. Wir wirken auf die Krankenhäuser ein, um sie zu einer Jugendamt im Einzelfall zu dem Ergebnis gelangt, dass eine Übermittlung von Einschränkung dieser Zugriffsmöglichkeiten zu bewegen, und arbeiten Sozialdaten von Amts wegen an die Polizei zur Erfüllung gesetzlicher Aufga- in einer Arbeitsgruppe der Datenschutzkonferenz an der Etablierung von ben des Jugendamtes – nicht der Polizei – erforderlich ist, wie dies bei Vorlie- deutschlandweit geltenden Anforderungen an den Schutz von Patienten- gen des Verdachts einer Kindeswohlgefährdung oder bei Kinder- und Jugend- daten im Krankenhaus. delinquenz der Fall sein kann, sind nicht Gegenstand unserer Empfehlungen. Jeder, der in einem Krankenhaus behandelt wird, hat ein Anrecht darauf, dass Zu begrüßen ist, dass mittlerweile im Rahmen der „Ressortübergreifenden sich nur diejenigen durch Einblick in die Patientenakte über den Gesundheits- Arbeitsgruppe Kinder- und Jugenddelinquenz“ unter der Federführung der zustand informieren können, die an der Behandlung und Pflege beteiligt sind. Senatsverwaltung für Bildung, Wissenschaft und Forschung ein Entwurf einer Wer die behandelnden Ärztinnen und Ärzte in der Diagnostik und Therapie „Handreichung zur Datenübermittlung im Bereich Kinder- und Jugend- unterstützt oder die Abrechnung der erbrachten Leistungen durchführt, darf delinquenz“ erstellt worden ist, an dem wir maßgeblich mitgearbeitet haben. in die Patientenakte Einblick nehmen, jedoch nur, soweit dies für die jeweilige Tätigkeit erforderlich ist. Wie bereits berichtet142, setzen einige Berliner Krankenhäuser ihrem Personal keine hinreichend engen Grenzen für den Zugriff auf Patientenakten. Es war und ist unser Ziel, diese Krankenhäuser dazu zu bewegen, die Grenzen so zu 140 § 35 Abs. 3 SGB I 141 § 68 Abs. 2 SGB X 142 JB 2009, 2.3 112 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 113",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p58-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 59,
"content": "Kapitel 8 Sozialordnung 8.2 Gesundheitswesen ziehen, dass die Zugriffsmöglichkeiten im Rahmen des Erforderlichen bleiben. Krankenhauspersonal, das sich im eigenen Haus behandeln lässt, ist besonde- Selbstverständlich muss diese Einschränkung in einer Weise erfolgen, dass die ren Risiken ausgesetzt. Auf unsere Initiative erprobt die Charité die Aufnahme Arbeitsfähigkeit der Ärzteschaft und anderen Beschäftigten nicht behindert von Beschäftigten als Patienten unter falschem Namen, wie dies in anderen oder beschränkt wird. Häusern bereits für Prominente praktiziert wird. Wir sind der Ansicht, dass diese Möglichkeit allen interessierten Beschäftigten offenstehen und bekannt Auf unsere Initiative begannen zwei Krankenhäuser mit besonders deutlichen sein muss. Auch dürfen ihnen aus der Wahrnehmung dieses Angebots keine Defiziten damit, Richtlinien zu erarbeiten, die den Bedarf an Zugriffen auf zusätzlichen Bürden, etwa in der Abrechnung der für sie erbrachten Leistun- Patientenakten aus medizinischer Sicht mit klaren Grenzen umschreiben. gen, erwachsen. Dies ist ein komplexes Unterfangen, da in einem modernen Krankenhaus die Behandlung hochgradig arbeitsteilig erfolgt. Es sind nicht nur die den verschie- Krankenhäuser haben festzulegen, in welchem Maße der Zugriff auf Patien densten Organisationseinheiten zugeordneten Ärztinnen und Ärzte, sondern tendaten für die Behandlung erforderlich ist, und über dieses Maß hinausge auch viele Funktionskräfte vom Labor bis zum Sozialdienst zu berücksichtigen. hende Zugriffe durch eine Kombination von organisatorischen Maßnahmen Dennoch erwarten wir von den Krankenhäusern einen zügigen Abschluss der und technischen Mitteln zu unterbinden. Um eine unberechtigte Offenba Erarbeitung von Richtlinien, welche die gesetzlichen Bestimmungen einhalten rung feststellen und ahnden zu können, sind die Zugriffe zu protokollieren. und die Erwartungen der Patientinnen und Patienten an die ärztliche Schwei- gepflicht und an einen für sie transparenten Umgang mit Daten über ihren Gesundheitszustand berücksichtigen. 8.2.2 Mammographie-Screening Um für alle Berliner Krankenhäuser zu einheitlichen Vorgaben für den Umgang mit Patientenakten zu kommen, unabhängig davon, ob sie sich in Aus Anlass mehrerer Beschwerden überprüften wir die Verarbeitung von Aus der Praxis öffentlicher, privater oder kirchlicher Hand befinden oder ob der Kranken- Daten der Frauen, die von der Zentralen Stelle Mammographie-Scree- hausträger in Berlin oder jenseits der Stadtgrenzen ansässig ist, setzten wir ning zu Untersuchungen eingeladen wurden. unsere Tätigkeit in der Arbeitsgruppe zu Krankenhausinformationssystemen fort, die von der Konferenz der Datenschutzbeauftragten des Bundes und der Zur Früherkennung von Brustkrebs wird in Berlin wie in den anderen Bun- Länder im vergangenen Jahr unter unserer Federführung eingerichtet wurde. desländern für alle Frauen im Alter von 50 bis 70 Jahren die Teilnahme an regelmäßigen Untersuchungen angeboten, mit denen Brustkrebs im frühen Die Arbeitsgruppe erarbeitet eine Orientierungshilfe, die sich an Betreiber Stadium erkannt werden soll. Die Frauen der jeweiligen Jahrgänge werden alle und Hersteller von Krankenhausinformationssystemen richtet. Diese Systeme zwei Jahre eingeladen, an diesem Mammographie-Screening teilzunehmen. Die bestehen aus einer Reihe von Komponenten. Jede davon muss derart gestal- Einladung wird von einer zu diesem Zweck eingerichteten Zentralen Stelle tet sein, dass sie ein datenschutzgerechtes Zusammenspiel im Gesamtsystem ausgesprochen und ist mit dem Angebot eines konkreten Untersuchungster- ermöglicht. Daher ist die Orientierungshilfe, die mittlerweile im Entwurf mins in einer hierfür spezialisierten Praxis verbunden. Hierzu erhält die Zent- vorliegt, zweigeteilt: Der erste Teil konkretisiert die gesetzlichen Regeln. Der rale Stelle auf gesetzlicher Grundlage Meldedaten vom Landesamt für Bürger- zweite besteht aus einem Anforderungskatalog für die Technik, die zum Füh- und Ordnungsangelegenheiten. ren der zentralen elektronischen Patientenakte in einem Krankenhaus ange- boten und verwendet wird. Nicht alle angeschriebenen Frauen wünschen, an dem Screening-Programm teilzunehmen. Darüber hinaus ist für Frauen, bei denen Brustkrebs bereits dia- gnostiziert wurde oder die sich wegen dieser Krankheit behandeln lassen, die 114 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 115",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p59-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 60,
"content": "Kapitel 8 Sozialordnung 8.2 Gesundheitswesen Teilnahme an dem Screening nicht sinnvoll. Beide Gruppen von Frauen sind dass die Zentrale Stelle im kommenden Jahr wie zugesagt den kleinen Schrit- gebeten, sich bei der Zentralen Stelle telefonisch oder schriftlich zu melden, ten, die bereits erfolgt sind, einen systematischen Blick auf die Informations um von weiteren Einladungen für eine bestimmte Zeit oder endgültig ausge- sicherheit folgen lässt und die erforderlichen Maßnahmen ergreift. nommen zu werden. Die mit der Einladung der teilnahmeberechtigten Frauen beauftragte Zen Es bleibt daher nicht aus, dass die Mitarbeiterinnen der Zentralen Stelle sen- trale Stelle ist nicht berechtigt, Daten über den Gesundheitszustand der sitive Informationen über den Gesundheitszustand der Anruferinnen erhalten. angeschriebenen Frauen zu erfragen oder zu speichern. Die Zusammenarbeit Diese haben einen Anspruch darauf, dass nur der berechtigte Kreis von Perso- mehrerer Zentraler Stellen bedarf gesetzlicher oder geeigneter vertraglicher nen Anrufe entgegennimmt und gesundheitliche Informationen nicht gespei- Regelungen. Die verwendeten Meldedaten müssen in der Stelle und bei chert werden. In der Tat genügt es für die Zentrale Stelle, lediglich den Zeit- beauftragten Dritten angemessen gesichert werden. raum zu vermerken, innerhalb dessen keine weiteren Einladungen an die Anru- fende gehen sollen. Der Grund hierfür spielt keine Rolle. Dennoch hat die Zentrale Stelle regelmäßig Brustkrebsdiagnosen nicht nur 8.2.3 Gemeinsames Krebsregister erfasst, sondern es auch versäumt, die technischen Sicherheitsvorkehrungen zu treffen, die für die Verarbeitung von sensitiven Daten geboten sind. Eine Wir begleiteten die Behebung von Datensicherheitsmängeln, die wir Aus der Praxis unabhängige behördliche Datenschutzbeauftragte, die hierauf hätte dringen im Vorjahr im Gemeinsamen Krebsregister (GKR) der Länder Berlin, können, war nicht bestellt. Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Frei- staaten Sachsen und Thüringen feststellen mussten. Eine Reihe höchst Des Weiteren haben nicht nur Mitarbeiterinnen der Zentralen Stelle für das unzulänglicher Sicherheitsvorkehrungen bleibt jedoch im Einsatz. Ersatz Land Berlin, sondern auch solche der Zentralen Stelle Brandenburg Anrufe ist nicht geplant. wechselseitig entgegengenommen, ohne dass hierfür eine gesetzliche Grund- lage gegeben war und ohne dass dies für die betroffenen Frauen transparent Das Gemeinsame Krebsregister (GKR) hat die Aufgabe, Daten über möglichst wurde. alle Diagnosen von Krebserkrankungen und auf solche Erkrankungen zurück- führbare Todesfälle in den genannten Ländern zu registrieren, statistisch aus- Wir haben erreicht, dass die Zentrale Stelle Berlin auf die Erfassung und Spei- zuwerten und der wissenschaftlichen Forschung für genehmigte Vorhaben cherung von Gesundheitsdaten verzichtet. Die beiden genannten Zentralen zur Verfügung zu stellen. Es kann hierzu auf den größten Bestand an epide- Stellen haben uns zugesagt, jeweils unter eigenem Namen zu operieren. Auf die miologischen Krebsregisterdaten der Bundesrepublik zurückgreifen. In Berlin Zusammenarbeit soll dennoch nicht verzichtet werden. Die Senatsverwaltung sind Ärztinnen und Ärzte sowie Gesundheitsämter verpflichtet, die genann- für Gesundheit, Umwelt und Verbraucherschutz und die brandenburgische ten Daten dem Krebsregister zu melden. Ärztinnen und Ärzte bedienen sich Landesregierung sind aufgefordert, entweder die nötige gesetzliche Grundlage hierfür klinischer Tumorzentren, die die Daten regional sammeln und an das für diese Zusammenarbeit auf den Weg zu bringen oder im Zuge ihrer Auf- GKR weitergeben. sicht die Zusammenarbeit auf ein zulässiges, entweder vertraglich oder gesetz- lich geregeltes Maß zu beschränken. Wie bereits berichtet , wurden die Meldungen der Tumorzentren mit völ- 143 lig unzureichendem Schutz per E-Mail an das GKR übermittelt. Da wir das Auch ohne dass Gesundheitsdaten gespeichert werden, bedürfen die in der Zentralen Stelle verarbeiteten Daten des technischen Schutzes. Wir erwarten, 143 JB 2009, 7.2.2 116 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 117",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p60-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 61,
"content": "Kapitel 8 Sozialordnung 8.2 Gesundheitswesen GKR nicht davon überzeugen konnten, das Verfahren sofort einzustellen, sahen 8.2.4 Tumorzentren wir uns gezwungen, die Tumorzentren zu einer Einstellung der Übermitt- lungen aufzufordern. Erst nach dieser Einstellung der Sendungen stellte das Der Nationale Krebsplan der Bundesregierung fordert einen flächen Aus der Praxis GKR ein Alternativverfahren zur Verfügung. Die Meldungen erfolgen jetzt deckenden Ausbau der klinischen Krebsregister. Das war für uns Anlass, über verschlüsselte Datenträger. Die Erstellung dieser CD oder DVD darf nur die Datenverarbeitung in den für die klinische Krebsregistrierung zustän- auf besonders geschützten Geräten erfolgen. digen Tumorzentren unter die Lupe zu nehmen. Ein Einbruch in das Gemeinsame Krebsregister würde seinen gesamten (sensi- Tumorzentren speichern Daten über die Erkrankung und Behandlung von tiven) Datenbestand gefährden. Dem muss in zweierlei Hinsicht begegnet wer- Krebspatientinnen und -patienten. Ihr erklärtes Ziel ist die Auswertung der den: Zum einen darf es Dieben nicht gelingen, sich Geräte und Datenträger gesammelten Daten für die Sicherung der Qualität der Behandlung und für die des GKR anzueignen. Zum anderen müssen die Daten in einer Form gespei- Forschung über die Wirksamkeit von Krebstherapien. Außerdem sammeln sie chert werden, dass Dritte sie nicht interpretieren und auf einzelne Personen Daten über Krebserkrankungen zur Übermittlung an das Gemeinsame Krebs- beziehen können. register144. Darüber hinaus übermitteln die Berliner Tumorzentren die Daten der Kranken, die hierin eingewilligt haben, auch an das Landestumorzentrum Um das erste Ziel zu erreichen, hat das GKR die defekte Einbruchsmelde (Tumorzentrum Berlin e. V.) ebenfalls für Zwecke der Sicherung der Qualität anlage instandsetzen und eine Verbindung zur Polizei schalten lassen, sodass auf der Krebsbehandlung in Berlin. einen Einbruch schnell reagiert werden kann. Wir haben das Tumorzentrum eines großen Krankenhauses daraufhin geprüft, Noch wichtiger ist es jedoch, das zweite Ziel zu erreichen, da damit auch ob die Daten ausschließlich für zulässige Zwecke verwendet und ausreichend Datendieben, welche über den Netzzugang des GKR in die dortigen Compu- geschützt werden. ter einzudringen suchen, der Zugriff wesentlich erschwert wird. Leider wur- den vom GKR im Laufe des Jahres keinerlei Anstrengungen unternommen, ein Das Krankenhaus bildet für jeden Krebskranken eine Tumordokumentation, angemessenes Niveau der Sicherheit seiner Informationstechnik zu erreichen. die von der Patientenakte getrennt elektronisch geführt wird. Treten Ärztin- Die Vorarbeiten des Vorjahres blieben ungenutzt. nen und Ärzte mehrerer Fachrichtungen in einer Tumorkonferenz zusammen, um die Behandlung einzelner Kranker zu diskutieren, so dienen Patientenakte wie Tumordokumentation als Datengrundlage. Die Patientinnen und Patienten Die nur teilweise ausgeräumten jahrelangen Versäumnisse in der Durchset zung des technischen Datenschutzes im Gemeinsamen Krebsregister erfor erwarten, dass die behandelnde Ärztin oder der behandelnde Arzt Spezialisten dern entschlossenes Handeln des Krebsregisters und der für die Fachaufsicht anderer Disziplinen, die im Haus arbeiten, in die Behandlung einbindet. Von zuständigen Senatsverwaltung für Gesundheit, Umweltschutz und Verbrau dem Einverständnis, dass der Fall auf einer Tumorkonferenz vorgestellt wird, cherschutz. Provisorien sind durch dauerhaft tragbare Verfahren zu ersetzen, ist daher auszugehen. Allein für den Fall, dass externe Ärztinnen und Ärzte an die Planung der für die Datensicherheit im Register erforderlichen techni den Tumorkonferenzen teilnehmen, haben wir das Krankenhaus gebeten, die schen Maßnahmen unverzüglich zu beginnen, und es ist für die Finanzierung Patientinnen und Patienten hierüber zu informieren, da sie mit dieser Einbe- und Umsetzung der Maßnahmen zu sorgen. ziehung von externen Fachkräften nicht unbedingt rechnen und mögliche Ein- wände nicht geltend machen können. 144 Vgl. 8.2.3 118 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 119",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p61-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 62,
"content": "Kapitel 8 Sozialordnung 8.2 Gesundheitswesen Auch für die Qualitätssicherung der Behandlung, zu der das geprüfte wie zentrum Pseudonyme in ihm für andere Zwecke übermittelten Daten auf jedes andere Krankenhaus gesetzlich verpflichtet ist, kann die Tumordokumen- decken kann, noch dazu, dass das Landesamt für Bürger und Ordnungsangele- tation unbedenklich eingesetzt werden, auch dann noch, wenn die behandelte genheiten (LABO) erfährt, wer in Berlin an Krebs erkrankt ist. Wir haben uns Person bereits entlassen ist. Oft ist es hierfür nicht erforderlich, deren Namen im Zusammenhang mit der Novellierung des Krebsregister-Staatsvertrags zwi- zu kennen, insbesondere wenn die Behandlung bereits längere Zeit zurück- schen den am Gemeinsamen Krebsregister beteiligten Ländern dafür eingesetzt, liegt und die Daten nur zum Vergleich herangezogen werden. Für diesen häu- dass dieser Abgleich im Gemeinsamen Krebsregister als öffentlicher Stelle figen Fall haben wir das Tumorzentrum aufgefordert, den Namen und weitere und ohne Datenübermittlung an das LABO durchgeführt wird. Angaben über die Patientin oder den Patienten, die die Identifizierung ermög- lichen, zu löschen oder unumkehrbar durch ein Kennzeichen oder Pseudo- Selbstverständlich müssen die äußerst sensitiven Gesundheitsdaten von nym zu ersetzen. Krebspatientinnen und -patienten sorgfältig vor der Offenbarung an Dritte geschützt werden, sowohl im Krankenhaus als auch bei der Übermittlung an Eine derartige Löschung oder Ersetzung ist auf jeden Fall geboten, wenn die das Landestumorzentrum. Wir mussten feststellen, dass bis zum Prüfungszeit- behandelte Person bereits verstorben ist oder wenn die Daten für ein For- punkt die Übermittlungen an das Landestumorzentrum auf unverschlüsseltem schungsvorhaben eingesetzt werden sollen. Werden die gleichen Daten – mit Datenträger erfolgten. Bei einem Verlust des Datenträgers auf dem Transport- Pseudonymen versehen – zulässig in verschiedenen Forschungsvorhaben weg bestand die Gefahr, dass die Daten einer großen Zahl von Krebskranken genutzt, so sind verschiedene, nicht aufeinander zurückführbare Pseudonyme Dritten offenbart würden. Auf unseren Hinweis hin werden die Datenträger zu verwenden. Wird in einem Forschungsprojekt die Kenntnis der Namen der nunmehr verschlüsselt. Patientinnen oder Patienten ausnahmsweise benötigt, so bedarf es einer Ein- willigung der Betroffenen, die sich auf das konkrete Projekt beziehen muss. Innerhalb des Krankenhauses erschwert das von dem geprüften wie von vielen anderen Tumorzentren genutzte Gießener Tumordokumentationssystem aller- Bereits bei der Aufnahme werden die behandelten Personen von dem Kran- dings erheblich, eine datenschutzgerechte differenzierte Einschränkung der kenhaus um eine Einwilligung in die Datenübertragung an die Landestumor- Zugriffsmöglichkeiten auf die Daten in Abhängigkeit von den jeweils verfolg- zentren von Berlin bzw. Brandenburg gebeten. Dies geschieht vorsorglich auch ten Zwecken zu realisieren. Insbesondere scheint es nicht möglich, im Nach- dann, wenn eine Krebserkrankung noch nicht vermutet wird. Die Einwilligung, hinein zu ermitteln, wer wann die Akte einer Patientin oder eines Patienten die sich auf eine Situation bezieht, die die Patientin oder der Patient noch gar in der Tumordokumentation eingesehen hat. Wir haben das Tumorzentrum nicht überschauen kann, erstreckt sich daher nur auf eine eng begrenzte Verar- aufgefordert, entweder in Kooperation mit dem Hersteller für eine Weiterent- beitung der Patientendaten zur Unterstützung der qualitätssichernden Beurtei- wicklung Sorge zu tragen oder zu einer anderen Dokumentationssoftware zu lung der Behandlung des Krankenhauses durch das Landestumorzentrum. Für wechseln. eine solche Beurteilung genügen pseudonymisierte Daten. Rückmeldungen des Landestumorzentrums an das Krankenhaus kann dieses anhand der Pseu- Der Aufbau einer klinischen Tumordokumentation bedarf sorgfältiger donyme den Fällen zuordnen. Unterscheidung zwischen der Nutzung der Daten, bei der die Kenntnis der Identität der Patientinnen und Patienten erforderlich ist, und solcher, bei Um die Effektivität der Therapie einzuschätzen, beauftragt das Tumorzentrum der es genügt, anstelle der Namen mit Pseudonymen zu arbeiten. Die für das Landestumorzentrum zusätzlich damit, über eine Melderegisteranfrage die Dokumentation eingesetzte Technik muss diese Unterscheidung unter zu ermitteln, ob die aus dem Krankenhaus entlassenen Patientinnen oder Pati- stützen und auch anderweitig das gleiche Sicherheitsniveau bieten wie die enten verstorben sind. Dies ist zulässig, es sind jedoch zwei Voraussetzungen elektronische Patientenakte selbst. zu beachten: Dieser Auftrag darf weder dazu führen, dass das Landestumor 120 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 121",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p62-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 63,
"content": "Kapitel 8 Sozialordnung 8.3 Personalwesen 8.3 Personalwesen Ferner ist das LAGeSo bzw. die ZMGA uns bezüglich des Hinweisblattes für die Betroffenen insoweit gefolgt, dass die Betroffenen keine Angaben im Bogen Anamnesebogen machen müssen, sondern die Fragen mit der Ärztin oder mit dem Arzt auch Der Presse entnahmen wir, dass das Land Berlin als Dienstherr und Arbeit- persönlich klären und besprechen können. Anforderungen von Befundberich- Aus der Praxis geber bei Einstellungsuntersuchungen einen Anamnesebogen (sog. Selbst- ten werden künftig nur nach Rücksprache bzw. Einverständnis der Betroffe- auskunftsbogen) zur Erhebung von Gesundheitsdaten von Bewerberinnen nen erfolgen. Die Frage nach sportlicher Betätigung wird den Betroffenen und Bewerbern mit datenschutzrechtlich problematischen Fragen verwen- im Hinweisblatt erklärt. Bluttests werden grundsätzlich bei Angestellten nicht dete. So sollten die Betroffenen Fragen nach behandelnden Ärzten/Psycho- durchgeführt, bei Beamtinnen und Beamten nur nach Entscheidung der Ärz- logen/Heilpraktikern, körperlichen Erkrankungen oder Unfällen, seelischen tin oder des Arztes. (psychischen) Erkrankungen und Therapien sowie Angaben zu Kranken- haus-/Kuraufenthalten/Operationen beantworten, ohne dass diese Fragen Der Selbstauskunftsbogen wird bei Beamtinnen und Beamten 30 Jahre, bei auf einen bestimmten Zeitraum begrenzt waren. Ebenso allgemein waren Angestellten zehn Jahre nach dem letzten Vorgang aufbewahrt und dann ver- Fragen nach Drogenkonsum und Sport, dafür die vorgesehenen Antwor- nichtet. Der Bogen wird für alle Untersuchungen im Rahmen von Einstel- ten (nie; ab und zu; regelmäßig; abstinent seit) sehr detailliert. Die Datener- lungen und Prüfungen der Dienstfähigkeit verwendet. Bei der Justiz und im hebung erfolgt durch die Zentrale Medizinische Gutachtenstelle (ZMGA) Polizeidienst werden andere Fragebögen verwendet, deren Überprüfung noch beim Landesamt für Gesundheit und Soziales (LAGeSo). Der Bogen wird nicht abgeschlossen ist. nicht Gegenstand der Personalakte. Er verbleibt in der ZMGA (Gesund- heitsakte). Der überarbeitete Anamnese-/Selbstauskunftsbogen bei Einstellungsunter suchungen entspricht dem Grundsatz der Datensparsamkeit und Verhältnis Die Datenerhebung, -speicherung und -nutzung muss zur Begründung des mäßigkeit. Zeitgleich wurden die Fragebögen zur Begutachtung nach dem Arbeitsverhältnisses erforderlich sein.145 Bei der Erhebung der Anamnesedaten SGB IX, dem Sozialen Entschädigungsrecht und dem Landespflegegeldgesetz durch die ZMGA handelt es sich um eine Datenerhebung durch den Dienst- im Rahmen der internen und externen Begutachtung von uns geprüft und herrn bzw. in dessen Auftrag. Die Datenfelder und Fragen waren einer kriti- datenschutzgerecht verändert. schen Betrachtung bezüglich der Erforderlichkeit zu unterziehen. Aufgrund unserer Interventionen wurde der Fragebogen geändert. Künftig werden die Betroffenen nur noch nach derzeit behandelnden Ärzten/Psychologen/Heil- Übermittlung ärztlicher Gutachten an die Dienstbehörde praktikern befragt. Angaben zu körperlichen Erkrankungen oder Unfällen Trotz unserer mehrfachen Hinweise zur Übermittlung von Diagnoseda- Aus der Praxis sowie Angaben zu seelischen (psychischen) Erkrankungen und Therapien und ten von Beschäftigten durch die Amtsärztin bzw. den Amtsarzt an die Per- Angaben zu Krankenhaus-/Kuraufenthalten/Operationen sind nur noch für sonalstelle erreichen uns immer wieder Beschwerden von Untersuchten. den Zeitraum der letzten zehn Jahre vorgesehen. Die Frage nach Drogenkon- sum wurde konkretisiert. Hier sind jetzt nur noch Angaben zu Betäubungs- Dies liegt zum einen an den Untersuchungsaufträgen der Personalstellen, die oder Aufputschmitteln vorgesehen. Die Frage nach regelmäßigem Sport ist nur die Frage nach der Diagnose explizit enthalten , zum anderen an der Unsi- 146 noch mit Ja oder Nein zu beantworten. Dagegen sind Angaben zu Sportart und cherheit von Amtsärztinnen und -ärzten darüber, wie viel Informationen sie Stundenanzahl weggefallen. an die Personalstelle als Auftraggeberin weiterleiten müssen, um das Ergebnis ihrer Untersuchungen plausibel zu machen. 145 § 2 Abs. 2 BlnDSG i. V. m. § 28 Abs. 1 Satz 1 Nr. 1 BDSG 146 Rundschreiben I Nr. 11/2004 der Senatsverwaltung für Inneres und Sport 122 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 123",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p63-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 64,
"content": "Kapitel 8 Sozialordnung 8.3 Personalwesen Die Feststellung der Dienstfähigkeit oder Dienstunfähigkeit von Beschäftig- Übermittlung von Beschäftigtendaten an Konzernmutter in den USA ten durch die Dienstbehörde erfolgt aufgrund des ärztlichen Gutachtens. Die Ein Mitarbeiter eines großen Unternehmens hatte sich mit dem Hin- Aus der Praxis Entscheidung über die Dienstfähigkeit trifft jedoch allein die Dienstbehörde. weis an uns gewandt, sein Arbeitgeber würde Personaldaten in die USA Das ärztliche Gutachten selbst stellt keine Entscheidung dar, dient jedoch als übermitteln und dort speichern. Das Unternehmen bestätigte diese Aus- Grundlage für eine sachgerechte Personalentscheidung der Dienstbehörde und sage und teilte mit, die gesamte Datenverarbeitung fände bei der Kon- muss deshalb nachvollziehbar sein. Dabei darf die Ärztin oder der Arzt im Ein- zernmutter in den USA statt. Das Unternehmen sei jedoch dem Safe zelfall auf Anforderung der Dienstbehörde das die tragenden Feststellungen Harbor-Abkommen beigetreten. Im Übrigen sei den Beschäftigten die und Gründe enthaltende Gutachten mitteilen, soweit deren Kenntnis für die Datenübermittlung bekannt. Dienstbehörde unter Beachtung des Grundsatzes der Verhältnismäßigkeit für die von ihr zu treffende Entscheidung erforderlich ist. 147 Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit der Betroffene eingewilligt hat oder eine Rechtsvorschrift dafür Dies bedeutet, dass grundsätzlich zunächst nur mitgeteilt werden darf, ob die besteht. Die Wirksamkeit der Einwilligung scheitert bei Arbeitsverhältnissen 148 Beschäftigten uneingeschränkt dienstfähig oder dienstunfähig sind. Bei einge- wegen der sozialen Abhängigkeit an der Freiwilligkeit. Es reicht auch nicht schränkter Dienstfähigkeit sind der Personalstelle nur die gesundheitsbeding- aus, dass die Datenübermittlung in die USA allen Beschäftigten bekannt war, ten Leistungseinschränkungen mitzuteilen. Dagegen muss die Dienstbehörde da Transparenz keine die Datenübermittlung rechtfertigende Rechtsvorschrift bei Versetzungen in den Ruhestand den Betroffenen in ihrer Entscheidung die ersetzt. Tatsachen, auf die sie ihre Entscheidung stützt, so nachvollziehbar (bei Beam- tinnen und Beamten als Adressat eines Verwaltungsaktes) mitteilen, dass diese Da derartige Übermittlungen von teilweise sogar sensitiven Daten (z. B. über in ihrer Rechtswahrung nicht eingeschränkt sind. die Gesundheit) nicht erforderlich sind, ist eine Datenverarbeitung im Auf- trag des deutschen Unternehmens durch die Konzernmutter denkbar. Doch Wir haben die Senatsverwaltung für Inneres und Sport daher gebeten, ihr auch diese bedarf einer Rechtsvorschrift, da es sich bei der Konzernmutter Rundschreiben entsprechend zu ändern und in den Untersuchungsauftrag eine in den USA um ein Unternehmen in einem Drittland handelt. 149 Formulierung aufzunehmen, nach der die Angabe der Diagnosedaten nur für den Fall unaufgefordert erfolgen kann, soweit vollständige Dienstunfähigkeit Die Datenverarbeitung in den USA könnte in der sog. 1. Stufe eine Betriebs- aus medizinischer Sicht festgestellt wurde. Die Senatsverwaltung hat uns die vereinbarung regeln.150 Diese stellt eine Rechtsvorschrift dar. Allerdings ist Änderung des Rundschreibens zugesagt. eine Betriebsvereinbarung nur dann wirksam, wenn sie nicht zu einer Ver- ringerung des gesetzlich vorgegebenen datenschutzrechtlichen Niveaus führt. Die Betriebsvereinbarung muss deshalb gleichwertige Schutzvorkehrun- Die Übermittlung nicht erforderlicher Diagnosedaten durch die Ärzteschaft an die Dienstbehörde bedeutet eine Verletzung der Verschwiegenheits gen wie das Bundesdatenschutzgesetz enthalten. So müssen die Betroffenen pflicht und kann strafbar sein. das Recht erhalten, alle Ansprüche (z. B. auf Auskunft, Schadensersatz wegen Datenschutzverstößen in den USA) auch gegenüber ihrem Arbeitgeber gel- tend machen zu können. Als weitere flankierende Maßnahme sollte das Unter nehmen ähnlich verpflichtet und kontrolliert werden wie ein Auftragsdatenver- 148 § 4 BDSG 149 § 3 Abs. 8 BDSG 147 § 45 Abs. 1 LBG 150 Zur Wirkung von Betriebsvereinbarungen in der sog. 1. sowie 2. Stufe vgl. JB 2002, 4.7.3 (a. E.) 124 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 125",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p64-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 65,
"content": "Kapitel 8 Sozialordnung 8.4 Wohnen und Umwelt arbeiter nach § 11 BDSG. Durch diese zusätzlichen Sicherungsmaßnahmen ist Aus den geplanten Veröffentlichungen ergeben sich Informationen über die gewährleistet, dass die schutzwürdigen Interessen der Beschäftigten gegenüber Wohn- und Eigentumsverhältnisse der Mieterinnen und Mieter sowie Eigen- dem wirtschaftlichen Interesse der verantwortlichen Stelle an der Datenüber- tümerinnen und Eigentümer. Diese sind aufgrund der Suchmöglichkeit nach mittlung nicht überwiegen. Hausnummern bestimmbar. Die Abbildungen z. B. von Grundrissen oder dem ursprünglichen Zustand in den Fällen, in denen dieser der aktuellen Architek- Im Hinblick auf die sog. 2. Stufe ist hervorzuheben, dass sich der deutsche tur entspricht, enthalten Angaben über sachliche Verhältnisse der Betroffenen. Datenexporteur bei einer Safe Harbor-Zertifizierung der Konzernmutter nicht Aktuelle Wohnverhältnisse werden also bekannt, soweit individuelle Eigenschaf- mehr auf die bloße Behauptung verlassen kann, sie behandele die personen- ten auch heute noch identisch, unverändert, dauerhaft oder unveränderbar sind. bezogenen Daten nach den Grundsätzen des Safe Harbor-Abkommens. Hier trifft den Datenexporteur eine gewisse Prüfpflicht.151 Um den Schutz der Betroffenen zu gewährleisten, haben wir empfohlen, ihnen ein Widerspruchsrecht einzuräumen, wenn die Datenbank öffentlich zugäng- lich wird. Die Betroffenen erhalten dadurch die Möglichkeit, der Veröf- 152 Trotz Safe Harbor-Zertifizierung des Daten importierenden US-Unterneh mens ist eine Auftragsdatenverarbeitung nur bei Vorliegen einer Rechts fentlichung entgegenzutreten. Solange sie ihr nicht widersprechen, können vorschrift (z. B. einer Betriebsvereinbarung) zulässig. die Daten verwendet und veröffentlicht werden. Wichtig ist dabei, dass die 153 Berechtigten auf die Widerspruchsmöglichkeit hingewiesen werden. 154 155 154 155 Ähnlich wie bei Google Street View154 und dem Solarflächen-Potenzialatlas155 8.4 Wohnen und Umwelt haben Gebäudeeigentümer und -bewohner auch bei einer Denkmalschutz datenbank das Recht, der Veröffentlichung von Informationen zu ihren Häusern und Grundstücken zu widersprechen. 8.4.1 Datenschutz und Denkmalschutz in der Hufeisensiedlung 8.4.2 Baulückenmanagement Die Hufeisensiedlung in Berlin–Britz gehört zum UNESCO Weltkultur- Aus der Praxis erbe. Der Verein der Freunde und Förderer der Hufeisensiedlung Berlin- Die Berlin Partner GmbH betreibt ein 3D-Stadtmodell. In einem drei- Britz e. V. und das Landesdenkmalamt entwickelten deshalb die Idee einer dimensionalen Spaziergang vermittelt das Modell Interessenten und Aus der Praxis Denkmalschutzdatenbank. Beabsichtigt ist, denkmalpflegerische Gutachten Investoren ein Bild über Lage und Umgebung von Berliner Adressen. und eine Datenbank zum Gebäudebestand zu veröffentlichen. Der Bau- Zur Verfügung stehen eine Version, die intern zur Beratung von Investo- bestand soll in Form von Zeichnungen wiedergegeben werden, die den ren genutzt wird, sowie eine öffentlich zugängliche Version über Google Altzustand zeigen und einzelnen Häusern nach Straße und Hausnummer Earth. zugeordnet sind. Ein Ziel der Datenbank ist, dabei zu helfen, den abgebil- deten ursprünglichen Zustand mit künftigen Umbauten wieder zu errei- 152 Bislang ist die Datenbank nur behördenintern verfügbar. chen. Dafür sollen u. a. die Flächen von Haus und Grundstück, Wohn 153 Diese sog. „Opt Out“-Lösung stützt sich auf § 6 Abs. 1 S. 2 BlnDSG. Sie stellt den best- möglichen Ausgleich zwischen den Dokumentations- und Informationsinteressen einerseits flächengrundrisse, Türen- und Fensterbestand, Farben sowie der Baumbe- und den schutzwürdigen Belangen der Betroffenen andererseits her. Zulässig wären aber stand abgebildet werden. auch andere Lösungsansätze wie eine geschlossene Benutzergruppe oder der Verzicht auf den genauen Adressbezug. 154 Vgl. 1.1.2 151 Vgl. 11.2 155 Vgl. 8.4.3 126 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 127",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p65-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 66,
"content": "Kapitel 8 Sozialordnung 8.4 Wohnen und Umwelt Von der Senatsverwaltung für Stadtentwicklung wird eine Datenbank für Eine Verknüpfung von Informationen des Baulandkatasters mit dem das Baulückenmanagement bereitgestellt. Hier haben Interessierte die Mög- 3D-Stadtmodell, über das weitere statistische Stadtplanungsdaten abrufbar lichkeit, verfügbare Bauflächen zu recherchieren und sich diese auf Karten sind, ist derzeit nicht zulässig. Entsprechend unserem Rat haben die beteilig anzeigen zu lassen. Enthalten sind Informationen wie Straße, Flurstücks- ten Stellen davon Abstand genommen, diese Verknüpfung online abrufbar nummer und ob die Eigentümerinnen oder Eigentümer das Land Berlin zu machen. oder Privatpersonen sind. Die Senatsverwaltung und die Berlin Partner GmbH hatten den Wunsch, die 8.4.3 Solarflächen-Potenzialatlas beiden Angebote zu verbinden, und baten uns dazu um Rat. Im 3D-Stadtmo- dell sollten die Potenzialflächen kenntlich gemacht werden, indem die Fläche Die Berlin Partner GmbH betreibt einen Solarflächen-Potenzialatlas, Aus der Praxis im 3D-Stadtmodell mit der Baulückenmanagementdatenbank verknüpft wird. bei dem sich Interessierte darüber informieren können, ob das Dach Bei der freien Fläche im Stadtmodell sollte für diesen Zweck ein Datenblatt eines Gebäudes für die Nutzung von Solarenergie geeignet ist. Hier wird mit Angaben zum Bauland angezeigt werden. gebäudescharf das Solarpotenzial der Stadt gezeigt. Mögliche Stromer- zeugung, CO2-Einsparung und Investitionskosten werden im Modell Über das 3D-Stadtmodell werden zusätzliche Verknüpfungen automatisch anhand von farbigen Säulen sichtbar. Das Modell wendet sich insbeson- erstellt. So sind weitere statistische Daten wie z. B. Informationen zum Denk- dere an Immobilieneigentümer und Investoren. malschutz, zum Sozialgefüge der Umgebung und zu angesiedelten Wirtschafts- unternehmen einsehbar. Durch die Verbindung des Baulückenmanagements Den Solaratlas kann jedermann nutzen, der über einen Internetzugang verfügt. mit dem 3D-Stadtmodell würde das Baulückenmanagement indirekt daher Eine öffentliche Version in 3D steht über Google Earth zur Verfügung. Außer- auch mit diesen zusätzlichen Informationen verknüpft. dem gibt es ein 3D-Modell für den internen Gebrauch der Senatsverwaltung für Stadtentwicklung und der Berlin Partner GmbH, das noch mehr Details Diese Verknüpfung ist nach der geltenden Rechtslage unzulässig . Zwar 156 präsentiert. Der Solaratlas nutzt dabei das vorhandene 3D-Stadtmodell des Lan- dürften die flächenbezogenen Angaben der Baulückendatenbank mit Luftbil- des Berlin, das auf dem amtlichen Kataster basiert. dern und Fotos der Umgebung der Baulücken u. U. zusammengeführt werden. Eine Verknüpfung mit den über das 3D-Stadtmodell abrufbaren weiteren sta- Dabei sind alle Daten, die als personenbezogen anzusehen sind, wie Kfz-Kenn- tistischen Daten ist hingegen nicht rechtmäßig. Denn bei digital erfassten Fotos zeichen, Personenabbildungen oder Namensschilder von Personen an Gebäu- von Gebäude- und Grundstücksansichten, die einer Gebäudeadresse und dem den, vor der öffentlichen Nutzung unkenntlich zu machen. Zudem sind die Gebäudeeigentümer sowie den Bewohnern zugeordnet werden können, han- Betroffenen in dem Internetauftritt darauf hinzuweisen, dass sie ihr Recht auf delt es sich um personenbezogene Daten. Auch durch eine Anreicherung der informationelle Selbstbestimmung durch Widerspruch geltend machen können. im Baulandkataster enthaltenen Daten mit weiteren statistischen Daten ließe Neben Haus- und Wohnungseigentümern gehören z. B. auch Mieter, Päch- sich zumindest eine Personenbeziehbarkeit ableiten. ter und Bewohner im Allgemeinen zum Kreis der Betroffenen. Wenn sie der Abbildung widersprechen, darf das Gebäude, in dem sie wohnen oder das ihnen gehört, nicht öffentlich dargestellt werden. 156 Maßgeblich sind insbesondere § 200 Abs. 3 BauGB und § 2 Abs. 2 Baulückenmanagement- Abrufverordnung des Landes Berlin. 128 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 129",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p66-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 67,
"content": "Kapitel 8 Sozialordnung 9.1 Wissenschaft, Forschung und Statistik Die Berlin Partner GmbH hat dementsprechend einen Hinweis zu ihrem 9. Wissen und Bildung 3D-Stadtmodell aufgenommen, mit dem Betroffene auf die Möglichkeit auf merksam gemacht werden, der Darstellung ihres Gebäudes zu widersprechen. Zudem sind personenbezogene Darstellungen wie Bilder von Personen und 9.1 Wissenschaft, Forschung und Statistik Kfz-Kennzeichen im 3D-Stadtmodell unkenntlich zu machen. 9.1.1 Datenschutzrichtlinie der Freien Universität Berlin Das Präsidium der Freien Universität Berlin (FUB) hat zur Regelung des hochschulinternen Datenschutzes die sog. „Datenschutzrichtlinie“ erlassen. Bei einer Richtlinie handelt es sich um eine Verwaltungsvorschrift, die nur eine interne Selbstbindung der Verwaltung bewirkt. Zur Regelung datenschutz- rechtlicher Aspekte ist jedoch ein Gesetz im materiellen Sinne erforderlich, also eine Rechtsnorm mit unmittelbarer Außenwirkung. Dieses Erfordernis ergibt sich aus dem insoweit eindeutigen Wortlaut des Berliner Datenschutzgesetzes157. Danach ist die Verarbeitung personenbezogener Daten u. a. nur dann zulässig, wenn eine besondere Rechtsvorschrift, beispielsweise eine Satzung, sie erlaubt. Das ist auch deshalb sachgerecht, weil es um die Begrenzung von Eingriffen in die Grundrechte von Angehörigen der Hochschule geht. Die Regelung des Datenschutzes durch eine Verwaltungsvorschrift ist mithin unzulässig. Der Akademische Senat der FUB ist demzufolge gehalten, von seiner Satzungs- befugnis nach dem Berliner Hochschulgesetz Gebrauch zu machen und eine Satzung zur Verarbeitung personenbezogener Daten zu erlassen . Bis dahin 158 findet bezüglich des hochschulinternen Datenschutzes das Berliner Daten- schutzgesetz Anwendung. Die Regelung datenschutzrechtlicher Aspekte in Form einer Richtlinie ist unzulässig. Es obliegt dem Akademischen Senat der FUB, eine Datenschutz satzung zu erlassen. Solange sie nicht existiert, ist das Berliner Datenschutz gesetz auf den Datenschutz in der Hochschule anwendbar. 157 § 6 Abs. 1 Satz 1 BlnDSG 158 § 61 Abs. 1 Nr. 4 BerlHG 130 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 131",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p67-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 68,
"content": "Kapitel 9 Wissen und Bildung 9.1 Wissenschaft, Forschung und Statistik 9.1.2 RFID-gestützte Zugangskontrollsysteme an Bei RFID-Systemen kommt hinzu, dass die Kommunikation zwischen Chip Hochschulen und den Endgeräten des Schließsystems über Funkwellen stattfindet. Die Pro- tokollierung der Nutzung kann auf den Chips selbst, in den Endgeräten des Wenn der Bedarf zur Modernisierung der Schließsysteme in öffentlichen Stel- Schließsystems und/oder in den zentralen Einrichtungen (z. B. Server) des len des Landes erkannt wird, liegt es nahe, eine Entscheidung für ein RFID- Schließsystems erfolgen. Es besteht bei der Funkwellenkommunikation ferner gestütztes Zugangskontrollsystem zu treffen. Bei solchen Schließsystemen das Risiko, dass Unbefugte den Funkverkehr mit eigenen Empfängern verfol- erfolgt das Öffnen und Schließen der Türen kontaktlos über einen RFID- gen und so illegal Bewegungsprofile erstellt werden können159. Transponder. Sofern RFID-gestützte Schließsysteme personenbezogene Daten verarbeiten, Es gibt einige Argumente, die dafür sprechen, von einer solchen mechani- sind sie als automatisiertes Datenverarbeitungsverfahren zu betrachten. Im Gel- schen Schließanlage zu einer elektronischen umzurüsten. Dieser Wechsel ver- tungsbereich des Berliner Datenschutzgesetzes (BlnDSG) hat dies zur Folge, einfacht die Schlüsselverwaltung und verringert die Missbrauchsgefahr erheb- dass zur Einschätzung der oben dargestellten Risiken nach § 5 Abs. 3 Satz 1 lich. Zu den Vorteilen elektronischer Schließsysteme gehören die mögliche BlnDSG eine Risikoanalyse und darauf aufbauend ein Sicherheitskonzept Realisierung sich überschneidender Gruppenschließungen und die deutliche erstellt werden muss, das sich auch auf die personenbezogene Stammdaten Erschwernis nicht autorisierter Schlüsselvervielfältigung. Die individuellen verwaltung in den zentralen Komponenten, vor allem aber auf die Protokollie- Zutrittsrechte von Personen, die mit einem solchen Schlüssel ausgestattet wer- rungsfunktionen beziehen und die speziellen sicherheitsrelevanten Eigenschaf- den, können flexibel auf dem Transponder abgelegt werden, sodass die Personen ten von Funkchips berücksichtigen muss. Da es sich in der Regel um Personal- nur die Türen passieren können, durch die sie gehen sollen, und jene verschlos- daten handelt, die in dem Verfahren verarbeitet werden und die dem besonde- sen bleiben, hinter denen sie nichts zu suchen haben. Bei Verlust eines Trans- ren Personalaktengeheimnis unterliegen können, könnte nach § 5 Abs. 3 Satz 2 ponders können einfach die entsprechenden Schlösser für diesen Transponder BlnDSG auch eine Vorabkontrolle durch den behördlichen Datenschutzbeauf- gesperrt werden. Es müssen daher weder alle Schlüssel und Schlösser noch die tragten geboten sein. Grundlagen einer solchen Vorabkontrolle sind regelmä- gesamte Schließanlage ausgetauscht werden. Eine elektronische Schließanlage ßig die Dateibeschreibung nach § 19 BlnDSG, die alle rechtlich prüfbedürf- erhöht also die Sicherheit (auch der Datenverarbeitungsanlagen und Daten tigen Informationen enthalten sollte, sowie das erwähnte Sicherheitskonzept träger in verschlossenen Bereichen), die Flexibilität der Administration und einschließlich der Risikobetrachtungen. senkt die Betriebskosten. Anlass zur Befassung mit RFID-gestützten Schließsystemen waren die Pro- Datenschutzrechtlich relevant werden solche Schließsysteme, aber auch jene, jekte zur Einführung solcher Systeme in zwei Berliner Hochschulen, der die mit anderen maschinenlesbaren Ausweisen oder Tokens arbeiten, vor Freien Universität Berlin (FUB) und der Hochschule für Wirtschaft und Recht allem, wenn die Nutzung solcher Schlüssel protokolliert wird und somit die (HWR). Dabei steht das Verfahren bei der FUB unmittelbar vor seiner Ein- Möglichkeit besteht, zumindest im eingeschränkten Maße Bewegungspro- führung, während sich das Projekt der HWR erst im Anfangsstadium befin- file der Zutrittsberechtigten innerhalb der Räume der anwendenden Stelle zu det. Gemeinsam ist beiden Hochschulen, dass der Betrieb der elektronischen erstellen. Wie genau diese Profile sind, hängt davon ab, wie differenziert die Schließsysteme als Datenverarbeitung im Auftrag durch externe Auftragneh- Zugriffsberechtigungen vergeben sind, welche Türen also mit dem Schlüssel mer durchgeführt wird und somit in beiden Fällen die Auftragsvergabe nach geöffnet werden müssen und damit kontrolliert werden können, und was im § 3 BlnDSG geregelt werden muss. Einzelnen bei jeder Nutzung protokolliert wird, z. B. Ort der Tür, Zeitpunkt ihrer Öffnung und Rolle der berechtigten Person. 159 Vgl. auch 12.3 132 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 133",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p68-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 69,
"content": "Kapitel 9 Wissen und Bildung 9.1 Wissenschaft, Forschung und Statistik Freie Universität Berlin Zustand nicht gezielt verändert werden können. Der Ausfall des Systems, z.B. Die FUB hat 2008 mit dem Projekt begonnen, in ihren Häusern die mechani- wegen fehlender Verfügbarkeit der Daten, kann zur Folge haben, dass der schen Schließanlagen durch ein elektronisches Schließsystem zu ersetzen. Die Zugang zum Gebäude nicht mehr möglich ist. Das Verlassen des Gebäudes Beschäftigten erhalten die Zugangsberechtigungen zu den einzelnen Berei- ist jederzeit auch ohne Transponder (zumindest über die Fluchttüren) mög- chen mit Hilfe von RFID-Transpondern, die in Schlüsseletiketten integriert lich, denn ersatzweise können alle mit einer elektronischen Schließung verse- sind. Die Bereiche werden je nach Bedarf mit Online- bzw. Offline-Schlös- henen Außentüren im Notfall auch mit einem mechanischen Schlüssel geöff- sern gesichert. net werden. Bei den Online-Schlössern ist die Berechtigung der Transponder auf dem zen- Da die FUB die zentrale Verwaltung des Schließsystems einer Fremdfirma tralen Server der Zutrittskontrollzentrale (ZKZ) gespeichert. Jedes Schließen übertragen hat, kann nur die Firma in Absprache mit der FUB Schließrechte oder Öffnen eines Online-Schlosses wird protokolliert und auf dem zentralen an neue Hochschulangehörige vergeben. Damit verbundene Missbrauchsrisi- Server für sechs Monate im Ringspeicherverfahren gespeichert. Der Zugriff ken müssen bei der vertraglichen Regelung der Auftragsdatenverarbeitung nach auf diese Protokolldaten ist nur nach dem Vier-Augen-Prinzip möglich, was § 3 Abs. 1 und 4 BlnDSG hinreichend berücksichtigt werden. Dies ist bisher in der Dateibeschreibung ausführlich erläutert wird. noch nicht geschehen. Die Offline-Schlösser hingegen haben einen internen Speicher, in dem fest- gehalten ist, welche der Transponder-Identifikationsnummern dazu berechtigt Hochschule für Wirtschaft und Recht sind, dieses Schloss zu öffnen. Die Speicherung des Schließens bzw. Öffnens An der HWR wurden die mit der Modernisierung der Schließanlage einge- erfolgt lokal im jeweiligen Endgerät (Schloss). Es werden maximal 500 Schlie- henden Fragestellungen erst in einer späten Phase problematisiert. Es ist also ßungen/Öffnungen protokolliert und im Ringspeicherverfahren gespeichert. noch zu wenig über das System bekannt, als dass hier darauf eingegangen wer- Bei einem solchen Verfahren wird nach Füllung des Speichers für jeden neuen den könnte. Neben den bereits beschriebenen allgemeinen Problemfeldern, die Eintrag der älteste vorhandene Eintrag gelöscht. Der Zugriff auf diese Proto- noch zu klären sind, kommt auch hier die Besonderheit hinzu, dass die Admi- kolldaten ist ebenfalls nur nach dem Vier-Augen-Prinzip möglich. nistration des Systems der privaten Hausverwaltung übertragen wird. Unter diesen Umständen haben wir trotz der theoretischen Möglichkeit der Wie viele Behörden ist die HWR lediglich Mieterin der Campusgebäude, die Erstellung von Bewegungsprofilen die Missbrauchsgefahr als gering eingestuft. durch die Berliner Immobilienmanagement GmbH (BIM) für das Land Ber- Die einzig zugangsberechtigten Personen – der zentrale Administrator und ein lin verwaltet werden. Die Hausverwaltung wird durch eine privatrechtliche sog. Zutrittskontrolleur – können nur gemeinsam eine Auswertung der Daten Gesellschaft im Auftrag der BIM wahrgenommen. Der Betrieb der elektroni- und damit eine Personenzuordnung vornehmen. schen Schließanlage soll zukünftig durch diese Hausverwaltung übernommen werden. Es handelt sich in diesem Fall um eine Verarbeitung personenbezo- Die grundlegenden Risiken, die im Falle der FUB abgeschätzt wurden, sind gener Daten im Auftrag, die nach § 3 BlnDSG grundsätzlich zulässig ist, wenn der Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit der vertraglich geregelt wird, dass der Auftragnehmer die Vorschriften des BlnDSG im Verfahren verarbeiteten personenbezogenen Daten. Bei einem Diebstahl befolgt und sich unserer Kontrolle unterwirft. Die sichere Administration und oder Verlust eines Transponders hat dies keine Auswirkungen auf die Vertrau- der datenschutzkonforme Umgang mit den personenbezogenen Daten der lichkeit, da auf ihm keine personenbezogenen Daten gespeichert werden und Beschäftigten der HWR muss daher in den Weisungen der Auftraggeberin, die abgelegten Betriebsdaten verschlüsselt sind. Die Integrität der Transpon- die Vertragsgegenstand sein müssen, konkret beschrieben werden. derdaten ist gewährleistet, da sie sicher verschlüsselt werden und in diesem 134 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 135",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p69-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 70,
"content": "Kapitel 9 Wissen und Bildung 9.1 Wissenschaft, Forschung und Statistik Die Einführung elektronischer Schließsysteme kann die Datensicherheit Partner weiterzugeben. Dabei soll so datensparsam wie möglich gearbeitet erhöhen. Der Umstand, dass im Gegensatz zu herkömmlichen Schließanla werden: Die Ersteller entsprechender Nachweise erfahren nicht, für welchen gen in den meisten Fällen jedoch auch datenschutzrechtliche Problemfelder Zweck bzw. gegenüber welchem Anbieter der Nachweis genutzt wird. Auch wie die Bildung von Bewegungsprofilen berührt werden, macht eine dies der Empfänger eines Nachweises soll nur die wirklich notwendigen Informa bezügliche Planung durch die betroffenen Stellen für einen datenschutz tionen erhalten, z. B. dass ein Garagenstellplatz existiert, nicht jedoch, wer die- gerechten Betrieb unausweichlich. Sowohl bei der FUB als auch bei der HWR sen vermietet. Zudem werden alle personenbezogenen Daten erst bei Vertrags- wird die Erfüllung datenschutzrechtlicher Anforderungen wesentlich davon abschluss und nach der Möglichkeit der Prüfung durch den Antragstellenden abhängen, wie die Auftragsvergabe nach § 3 Abs. 1 und 4 BlnDSG an private Dienstleistungsunternehmen dazu die notwendigen Rahmenbedingungen an den jeweiligen Vertragspartner übermittelt. sicherstellt. Bei einigen Szenarien konnten wir weitere datenschutzfreundliche Optionen einbringen. So könnten Betroffene interessiert sein, ihren von Auskunfteien berechneten Bonitäts-Scorewert zu verbessern, indem sie der jeweiligen Aus- 9.1.3 Forschungsprojekt myID.privat kunftei bisher unbekannte Positivdaten wie das Vorhandensein eines Arbeits- platzes oder den Besitz einer Immobilie mitteilen. Unsere Anforderungen an ein solches Verfahren lauten u. a., dass vor der Datenübermittlung ein anony Wir haben uns beratend an einem Forschungsprojekt der Technischen Uni- mer Test möglich sein muss, ob die zu übermittelnden Daten die von der versität Berlin, des Fraunhofer Instituts FOKUS sowie der Bundesdruckerei jeweiligen Auskunftei berechnete Bonität der Betroffenen überhaupt verbessern. beteiligt. Ein weiterer Aspekt des Forschungsprojektes ist, den Nutzenden eine möglichst Ziel des Projektes „myID.privat“ ist es, einerseits die Sicherheit und anderer- verständliche Übersicht der zu übermittelnden Daten und der spezifischen seits die Kontrolle der Nutzenden über die Weitergabe ihrer personenbezo- Risiken zu geben. An einer prototypischen Implementierung der Nutzer- genen Daten bei rechtsverbindlichen Aktivitäten im Internet zu verbessern. schnittstelle wurde beispielsweise eine erweiterte Ampelkennzeichnung getes- Dazu wird eine entsprechende Technologie anhand beispielhafter Anwen- tet, die aufzeigt, wie sensitiv bestimmte Kombinationen von personenbezoge- dungsszenarien entwickelt. Konkrete Szenarien, die gemeinsam mit Behör- nen Daten und deren Zweckbestimmung sein können, die an einen Vertrags- den- bzw. Industriepartnern evaluiert wurden, sind z. B. das Erstatten einer partner übermittelt werden. Insbesondere bei einigen der in einem Teilprojekt Online-Anzeige bei der Polizei, das Beantragen einer Kfz-Versicherung analysierten Kundenbindungsprogramme mit Kundenkarten würde eine der- oder die nutzerkontrollierte Übermittlung von Bonitätsbewertungen von artige Ampelkennzeichnung dazu beitragen, den Nutzenden die erheblichen und zu Auskunfteien. Neben bestimmten Identitätsdaten der Beteiligten, für Risiken für die Privatsphäre aufgrund des oft großen Datenumfangs und der die im Projekt die eID-Funktionalität des neuen Personalausweises genutzt wenig beschränkten Zweckbindung zu verdeutlichen, und wahrscheinlich zu wird , sind je nach Szenario noch weitere Nachweise zu erbringen. Für die 160 einem bewussteren Umgang mit derartigen Kundenkarten führen. Kfz-Versicherung ist beispielsweise die Anmeldebestätigung des Pkw sowie ggf. der Nachweis eines Garagenparkplatzes erforderlich. Datenschutz kann gerade im Internetzeitalter nicht allein durch (natio nale) Gesetze sichergestellt werden. Notwendig ist auch die Entwicklung Das Projekt bezweckt nun, den Antragstellenden die Möglichkeit zu geben, und Verbreitung von datenschutzfreundlichen Technologien für praktische entsprechende Nachweise elektronisch einzuholen und an die jeweils anderen Anwendungsfälle. Deutsche Unternehmen, die entsprechende Dienste oder Produkte anbieten, könnten dadurch Vorteile im internationalen Wettbe werb erlangen. 160 Vgl. 2.4 136 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 137",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p70-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 71,
"content": "Kapitel 9 Wissen und Bildung 9.1 Wissenschaft, Forschung und Statistik 9.1.4 Zensus 2011 – Stand der Vorbereitung Diejenigen, die aufgefordert werden, für den Zensus 2011 Angaben zu machen, sind grundsätzlich zur Auskunft verpflichtet. Dies ist gesetzlich festgelegt. 161 2011 wird erstmals seit langem wieder eine Volkszählung stattfinden, der Freiwillig ist jedoch die Beantwortung der Frage nach dem Bekenntnis zu Aus der Praxis Zensus 2011. Ziel ist die Ermittlung der aktuellen Einwohnerzahlen. Sie einer Religion, Glaubensrichtung oder Weltanschauung. Die erhobenen Daten werden u. a. für staatliche und kommunale Planungen, den Finanzausgleich, dienen nur statistischen Zwecken, sie werden nicht an andere Behörden wei- die Sitzverteilung im Bundesrat und als Fortschreibungsbasis für weitere Sta- tergegeben oder zu anderen Zwecken verwendet. Eine Rückübermittlung an tistiken benötigt. Anders als bei den Volkszählungen 1987 (für die damalige die Verwaltungsbehörden ist durch das Zensusgesetz 2011 ausdrücklich unter- Bundesrepublik) bzw. 1981 (für die damalige DDR) handelt es sich diesmal sagt. Dies entspricht den Vorgaben des Bundesverfassungsgerichts von 1983 . 162 nicht um eine Totalerhebung. Haushaltsbefragungen wird es nur in Stich- proben geben. Die Zählung basiert insbesondere auf Daten, die aus den Lange Zeit umstritten war die Frage, wie mit Übermittlungssperren umzu- Melderegistern und erwerbsstatistischen Registern der Bundesagentur für gehen ist, die in den Melderegistern gespeichert sind, wenn für den Betrof- Arbeit und weiterer nach dem Finanz- und Personalstatistikgesetz auskunfts- fenen eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche pflichtiger Stellen stammen. Daher spricht man auch von einer registerge- schutzwürdige Belange zu befürchten ist.163 Aufgrund der Entscheidung des stützten Volkszählung, bei der bereits vorhandene Daten zusammengeführt Bundesgesetzgebers übermitteln die Meldebehörden den statistischen Ämtern werden. Für Berlin werden die Daten aus den Melderegistern zunächst an der Länder Übermittlungssperren und den Grund der Übermittlungssperren.164 das Amt für Statistik Berlin–Brandenburg gegeben, das sie an das Statistische Wie im weiteren Verlauf mit diesen Meldedatensätzen zu verfahren ist, lässt das Bundesamt übermittelt. Gesetz jedoch offen. Das Bundesinnenministerium und das Statistische Bundes- amt vertraten zunächst die Auffassung, die Personen mit Übermittlungssperren Daneben gibt es eine Gebäude- und Wohnungszählung, bei der alle Eigentü- müssten, soweit sie unter einer Anschrift gemeldet seien, die Teil der Stichprobe merinnen und Eigentümer von Wohnraum schriftlich befragt werden. Hierbei werde, zu ihrem Schutz von der Befragung ausgenommen werden. Die Lan- werden Angaben zu den Gebäuden und Wohnungen wie Eigentumsverhältnisse, desstatistikämter und die Landesdatenschutzbeauftragten haben demgegenüber Baujahr und Wohnfläche schriftlich erfragt. Auch in Gemeinschaftsunterkünf- darauf hingewiesen, dass ein solches Vorgehen die Gefahr für die Betroffenen ten findet eine Vollerhebung statt. Im Herbst versandte das Amt für Statistik erhöhe, weil neben den Erhebungsbeauftragten auch noch weitere Personen Berlin–Brandenburg für die Vorbereitung der Gebäude- und Wohnungszäh- über die Übermittlungssperren informiert werden müssten. Die Landesbehör- lung Informationsschreiben mit Rückmeldebogen an etwa 170.000 Eigen- den, die ohnehin für die Durchführung des Zensusgesetzes zuständig sind, setz- tümerinnen und Eigentümer. Im Rahmen dieser Vorerhebung wurden zur ten sich deshalb dafür ein, dass Personen mit Übermittlungssperren, soweit sie Klärung der Auskunftspflicht die Anschriften und Eigentumsverhältnisse von Teil der Haushaltsstichprobe seien, wie alle anderen Auskunftspflichtigen in die Wohnungen und Gebäuden geprüft und aktualisiert. Diese Klärung erleichtert Zählung einbezogen werden. Weder die Erhebungsstellen noch die Erhebungs- den Statistikerinnen und Statistikern anschließend die Organisation der Haupt beauftragten werden von Übermittlungssperren in Kenntnis gesetzt. Nur auf erhebung für die Gebäude- und Wohnungszählung, die im Mai 2011 auf Basis diese Weise können die Personen mit Übermittlungssperren vor zusätzlichen der gewonnenen Aktualisierungen stattfinden wird. Gefährdungen geschützt werden. Diesem richtigen Standpunkt hat sich der Bund nach dem Ende des Berichtszeitraums schließlich angeschlossen. Ab Mai 2011 werden zudem Haushaltsstichproben durchgeführt. Dazu wer- den sog. Erhebungsbeauftragte (Interviewer) die zu befragenden Haushalte auf- 161 § 18 ZensG 2011 suchen und die Fragebögen übergeben bzw. (soweit gewünscht) mit den Aus- 162 BVerfGE 65, 1 ff. (Volkszählung) kunftspflichtigen ausfüllen. Etwa 4 % der Berlinerinnen und Berliner sollen auf 163 Nach § 28 Abs. 5 Satz 2 MeldeG ist eine Melderegisterauskunft grundsätzlich unzulässig, solange eine Gefahr für den Betroffenen nicht ausgeschlossen werden kann. diese Weise befragt werden. Der Fragebogen kann auch online ausgefüllt werden. 164 § 3 Abs. 1 Nr. 26 ZensG 2011 138 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 139",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p71-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 72,
"content": "Kapitel 9 Wissen und Bildung 9.2 Schule Von Anfang an waren wir in die Planungen des Amtes für Statistik Berlin– und aktuell zu halten167. Technisch wird die Schülerdatei von der Senatsverwal- Brandenburg zur Durchführung des Zensus 2011 einbezogen. Wir kontrol tung für Bildung, Wissenschaft und Forschung in einem „Rechenzentrum“, das lieren dort das Sicherheitskonzept und den Prozess der Datenverarbeitung, von anderen Einheiten der Senatsverwaltung organisatorisch getrennt ist, im um ein hohes Schutzniveau sicherzustellen. Wege einer gesetzlichen Auftragsdatenverarbeitung für die Schulen betrie- ben. Diese sind – und bleiben – damit als Daten verarbeitende Stelle nach § 4 Abs. 3 Nr. 1 BlnDSG für die von ihnen eingetragenen Datenbestände daten- schutzrechtlich verantwortlich. Nachdem uns die Senatsverwaltung für Bildung, 9.2 Schule Wissenschaft und Forschung über Probleme bei der technischen Implementie- rung der Datenerfassung durch die Schulen zum Schuljahr 2010/2011 infor- miert hatte, haben wir empfohlen, die Ersterfassung der Daten für die Schüler- 9.2.1 Automatisierte Schülerdatei datei als einmaligen Vorgang ebenfalls als Auftragsdatenverarbeitung im Sinne des § 3 BlnDSG (Auftraggeber Schule; Auftragnehmer Senatsverwaltung) aus- Im September 2007 teilte die Senatsverwaltung für Bildung, Wissenschaft zugestalten. Aus der Praxis und Forschung in einer Pressemitteilung mit, dass in Berlin eine „zentrale Schülerdatenbank“ aufgebaut werden soll, „um exakte Planungsdaten zur Verfü- Die Datenverarbeitungs- und Zugriffsrechte der Senatsverwaltung für gung zu haben“. Unser Angebot, das Projekt datenschutzrechtlich zu beglei- Bildung, Wissenschaft und Forschung in Bezug auf den personenbezogenen ten, wurde von der Senatsverwaltung aufgegriffen, nachdem sich die Pläne Datenbestand der automatisierten Schülerdatei hat der Gesetzgeber abschlie- für eine derartige Datei konkretisiert hatten. ßend und restriktiv im SchulG geregelt. Die Senatsverwaltung darf nur auf 168 die personenbezogenen Daten von Schülerinnen und Schülern der (von ihr) Mit dem Gesetz zur automatisierten Schülerdatei von 2009 wurden Rege- 165 zentral verwalteten Schulen zugreifen. Sie darf auf Anfrage im Einzelfall u. a. lungen zur Einrichtung und Führung einer entsprechenden Datei in das Ber- den Strafverfolgungsbehörden, Polizeibehörden und Jugendämtern mitteilen, liner Schulgesetz (SchulG) eingefügt. Auf der Grundlage des neuen § 64 a Abs. auf welche Schule eine Schülerin oder ein Schüler geht. Weitere Daten darf 169 1 SchulG ist die Senatsverwaltung für Bildung, Wissenschaft und Forschung die Senatsverwaltung nur in pseudonymisierter Form (z. B. für die Zwecke berechtigt, für Zwecke der Schulorganisation und der Schulentwicklungs der Schulorganisation sowie der Schulentwicklungsplanung) oder sogar nur in planung sowie zur Kontrolle und Durchsetzung der Schul- und Berufsschul- nicht-personalisierter aggregierter Form (z. B. für die Befreiung von der Zah- pflicht eine automatisierte Schülerdatei einzurichten. Darin werden über jede lung eines Eigenanteils für Lernmittel) aus der Schülerdatei abrufen. Schülerin und jeden Schüler an den öffentlichen Schulen und den Ersatzschu- len des Landes Berlin bis zu 16 Merkmale erfasst. Die einzelnen Merkmale (z. B. Durch unsere frühzeitige Einbindung in die Projektplanung und das Gesetz Name, Geburtsdatum, Anschrift, Angaben zur Überwachung und Durchsetzung gebungsverfahren zur Einführung der automatisierten Schülerdatei konnten der Schulpflicht, die Befreiung von der Zahlung des Eigenanteils für Lehrmit- die datenschutzrechtlichen Bedenken, die grundsätzlich mit der Erfassung tel) sind im Gesetz166 in einem Katalog abschließend benannt. von personenbezogenen Daten in einer zentralen Datei verbunden sind, weitgehend ausgeräumt werden. Die Schulen sind zudem verpflichtet, die Daten über die bei ihnen angemel- deten Schülerinnen und Schüler in die automatisierte Schülerdatei einzutragen 167 § 64 a Abs. 4 SchulG 165 Vgl. dazu JB 2008, 10.2.2 168 § 64 a Abs. 5 Satz 6 SchulG 166 § 64 a Abs. 2 SchulG 169 § 64 a Abs. 8 SchulG 140 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 141",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p72-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 73,
"content": "Kapitel 9 Wissen und Bildung 9.2 Schule 9.2.2 Bitte lächeln! – Weitergabe von Adressdaten an den Die Datenweitergabe zur Erstellung von Schülerausweisen an externe Dritte Schulfotografen (z. B. Schulfotografen) erfolgt im Wege der Auftragsdatenverarbeitung . 170 Dabei hat die Schule als Auftraggeberin durch vertragliche Regelungen (Wei- Immer wieder erreichen uns Eingaben, in denen sich die Eltern von Schüle- sungen) dafür zu sorgen, dass der Auftragnehmer (Schulfotograf) die Daten nur Aus der Praxis rinnen und Schülern über den Umgang mit ihren Adressdaten durch Schul- zu dem beauftragten Zweck nutzt. Nutzt der Auftragnehmer die Daten für fotografen beschweren. Die externen Dienstleister werden von den Schulen einen anderen Zweck, ist dies im Außenverhältnis der Schule (als verantwort- regelmäßig eingeladen, um Klassenfotos oder Bewerbungs- und Portraitfo- licher Stelle) zuzurechnen. tos von den Schülerinnen und Schülern anzufertigen. Werden die Fotos von den Schülerinnen und Schülern bzw. deren Eltern abgenommen, schließen Bei der Anfertigung von Klassen- und Bewerbungsfotos handelt es sich um diese einen zivilrechtlichen Vertrag mit dem Schulfotografen. Die Schule keine schulbezogene Aufgabe. Die Übermittlung von Schülerdaten (wie Name, stellt für die Anfertigung der Fotografien lediglich Zeit und Raum zur Ver- Klasse) durch die Lehrkräfte an den Schulfotografen ist in diesem Zusammen- fügung. Dadurch entstehen in der Regel keine vertraglichen Beziehungen hang daher nur mit der Einwilligung der Betroffenen zulässig. Als grundsätz- mit dem externen Dienstleister. Anders verhält es sich jedoch, wenn die- lich einwilligungsfähig können Schülerinnen und Schüler nach vollendetem ser für die Schule auch die Schülerausweise im Scheckkartenformat her- 14. Lebensjahr angesehen werden. Bei jüngeren Schülerinnen und Schülern ist stellt. Diese enthalten neben dem Lichtbild der Schülerin oder des Schülers die Einwilligung der Erziehungsberechtigten in die Datenübermittlung ein- auch den Namen, die Anschrift und das Geburtsdatum der Schülerin oder zuholen. Nur wenn der externe Dienstleister ein rechtliches Interesse an der des Schülers. Ein Vater beschwerte sich z. B. darüber, dass diese Daten vom Datenübermittlung glaubhaft macht und kein Grund zu der Annahme besteht, Fotografen auch genutzt wurden, um für nicht bestellte Portraitaufnahmen dass das schutzwürdige Interesse der oder des Betroffenen an der Geheim- seines Sohnes eine Rechnung zu erstellen. haltung überwiegt, kann die Datenweitergabe nach § 64 Abs. 5 Nr. 2 SchulG auch ohne Einwilligung erfolgen. Von einem rechtlichen Interesse wäre z. B. Für die Schülerinnen und Schüler des Landes Berlin besteht keine Pflicht dann auszugehen, wenn die Daten dafür benötigt werden, um zivilrechtliche zur Ausstellung eines Schülerausweises. Es steht ihnen vielmehr frei, für Ansprüche auf Bezahlung von bestellten Fotoaufnahmen geltend zu machen. ihre Person von der Schule einen Schülerausweis anfertigen zu lassen. Die Erhebung und Speicherung von personenbezogenen Schülerdaten zum Zweck Die Erstellung von Schülerausweisen durch einen externen Dienstleister der Ausstellung von Schülerausweisen ist daher für schulbezogene Aufgaben erfolgt im Wege der Auftragsdatenverarbeitung. Die Rechte und Pflichten nicht erforderlich. Sie kann nicht auf § 64 Abs. 1 SchulG gestützt werden des Auftragnehmers sind von der Schule verbindlich durch entsprechende und ist zu dem genannten Zweck daher nur mit Einwilligung der Betrof- vertragliche Regelungen über den Umgang mit personenbezogenen Schü fenen zulässig. Dem entspricht auch Nr. 1 der Ausführungsvorschriften über lerdaten festzulegen. Schülerausweise, wonach Schülerinnen und Schüler einen Schülerausweis aus- schließlich auf Antrag erhalten. Für Schülerinnen und Schüler der Grundschule ist der Antrag von den Erziehungsberechtigten zu stellen. Es ist somit nicht ausreichend, wenn die Schülerdaten z. B. „auf der Basis einer Absprache mit der Schülergesamtvertretung“ verarbeitet und an den Schulfotografen zur Anfer- tigung von Schülerausweisen weitergegeben werden. Eine derartige Abspra- che mit einem Schulgremium kann das Erfordernis einer höchstpersönlichen Einwilligung der Betroffenen in die Verarbeitung ihrer Daten nicht ersetzen. 170 Nr. 7 der Ausführungsvorschriften 142 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 143",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p73-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 74,
"content": "Kapitel 9 Wissen und Bildung 9.2 Schule 9.2.3 Der „Gang zur Toilette“ – Erfassung von Die Vernichtung der Liste (ohne Abwesenheitsgrund) hat zeitnah (jedenfalls kurzzeitigen Abwesenheiten vom Unterricht nicht erst, wenn sie vollgeschrieben ist), z. B. wöchentlich, zu erfolgen. Eine Schülerin beschwerte sich darüber, dass an ihrer Schule der Gang zur Soweit die Erfassung der Schülerdaten damit begründet wurde, dass es mehr- Aus der Praxis Toilette während des Unterrichts von der Lehrkraft notiert werde. Die fach zu Sachbeschädigungen in den Toilettenräumen gekommen sei, ist anzu- Namen der Schülerinnen und Schüler, die ihrem „natürlichen Bedürfnis“ merken, dass es sich bei der Aufklärung von Straftaten um keine schulbezo- nachgehen, würden in Listen erfasst. Die Listen würden in den Klassenbü- gene Aufgabe handelt. chern verbleiben und erst vernichtet, wenn sie „voll sind“. Der Sachverhalt wurde uns von der Schulleitung auf Nachfrage bestätigt. Begründet wurde Kurzzeitige Abwesenheiten vom Unterricht dürfen allenfalls ohne Angabe die „Erfassung der Toilettengänge“ damit, dass es in der Vergangenheit des Grundes (z. B. Toilettenbesuch) erfasst werden. Die Verfolgung und mehrfach zu Sachbeschädigungen in den Toilettenräumen gekommen sei. Aufklärung von Straftaten ist originär den Strafverfolgungsbehörden vorbe halten. Eine Verarbeitung von personenbezogenen Schülerdaten zu diesem Durch die Erfassung der Abwesenheitszeiten werden personenbezogene Daten Zweck kann nicht auf § 64 Abs. 1 SchulG gestützt werden und ist unzulässig. der Schülerinnen und Schüler von den Lehrkräften erhoben und in den Lis- ten gespeichert. Eine derartige Verarbeitung von personenbezogenen Daten ist nach § 6 Abs. 1 Berliner Datenschutzgesetz (BlnDSG) nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene darin eingewilligt hat. Nach 9.2.4 WebUntis – Anwesenheitserfassung in Schulen § 64 Abs. 1 SchulG darf die Schule personenbezogene Daten von Schülerinnen und Schülern verarbeiten, soweit dies zur Erfüllung der ihr durch Rechtsvor- Wir wurden gebeten, eine webbasierte Software zu bewerten, welche die bis- schrift zugewiesenen schulbezogenen Aufgaben erforderlich ist. herigen papiergebundenen Klassenbücher insbesondere im Zusammenhang mit der Erfassung der Fehlzeiten von Schülerinnen und Schülern ersetzen soll. Die Schülerinnen und Schüler sind nach § 46 Abs. 2 SchulG verpflichtet, regel- Auch in anderen Bundesländern gab bzw. gibt es die Bestrebung, diese Soft- mäßig am Unterricht und an den sonstigen verbindlichen Schulveranstaltun- ware einzusetzen. gen aktiv teilzunehmen. Es gehört zu den schulbezogenen Aufgaben, diese Ver- pflichtung zu kontrollieren und ggf. Verstöße dagegen zu dokumentieren. Dem Die Software kann entweder als Online-Dienstleistung eingesetzt oder als Off- entspricht § 5 Abs. 1 SchulDatenVO, wonach die Fehlzeiten von Schülerinnen line-Produkt erworben und in den jeweiligen Schulen installiert werden. Bei und Schülern (einschließlich Verspätungen und Beurlaubungen) sowie sonstige der Dienstleistungsversion würden die personenbezogenen Daten der Schüle- besondere Vorkommnisse im Klassenbuch festzuhalten sind. Auch das kurzzei- rinnen und Schüler sowie der Lehrkräfte auf einem Server des österreichischen tige Verlassen des Unterrichts durch eine Schülerin oder einen Schüler kann Herstellers gespeichert. daher, vergleichbar einer Verspätung, im Klassenbuch (hier: in einer Liste, die dem Klassenbuch beigelegt ist) erfasst werden. Von der Nutzung der Dienstleistungsversion haben wir aus zwei Gründen abgeraten: Erstens kann der ausländische Anbieter von der jeweils verantwort Allerdings unterliegt diese Datenspeicherung dem Grundsatz der Erforder- lichen Schule nur schlecht kontrolliert werden. Zudem würde (viele Interessen- lichkeit. Als Nachweis über die „kurzzeitige Fehlzeit“ ist nur die Speicherung ten vorausgesetzt) eine sehr umfangreiche und sensitive Datensammlung vieler des Namens, Vornamens und der Abwesenheitszeit erforderlich. Die Erfas- Schulen bei einem Privatunternehmen entstehen. Der zweite Aspekt ist, dass sung des Abwesenheitsgrundes (z. B. Toilettengang) ist für den genannten personenbezogene Daten von Schülerinnen und Schülern bisher nur in vom Zweck dagegen nicht erforderlich und damit datenschutzrechtlich unzulässig. Lehrbetrieb und auch vom Internet abgeschotteten Netzwerken verarbeitet 144 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 145",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p74-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 75,
"content": "Kapitel 9 Wissen und Bildung 9.2 Schule werden. Insbesondere durch Einsatz der Dienstleistungsversion würde diese Eine solche Befragung nach persönlichen Verhältnissen kann in das in der Ver- Trennung durchbrochen. fassung verankerte Persönlichkeitsrecht der Jugendlichen eingreifen. Dieses Recht gewährleistet, dass der Einzelne selbst über die Preisgabe und Verwen- Unsere Einschätzung ergab ferner, dass das Offline-Produkt die IT-Sicher- dung seiner persönlichen Daten entscheidet. Deshalb kann eine solche Befra- heit nicht in ausreichendem Umfang gewährleistet. Insbesondere basiert die gung nur freiwillig oder aufgrund eines Gesetzes erfolgen. Nach dem Berliner Authentifizierung der berechtigten Nutzenden nur auf der Kombination von Schulgesetz dürfen personenbezogene Daten im Rahmen von wissenschaft- Nutzername und Passwort. Da die Eintragung von Fehlzeiten auf den schlecht lichen Untersuchungen in der Regel nur mit Einwilligung der Schülerinnen geschützten Computern im Klassenraum erfolgen soll, halten wir diese Art und Schüler erhoben werden. Bei Kindern und Jugendlichen unter 14 Jah- 171 der Authentifizierung für nicht ausreichend. Es muss immer im Auge behal- ren müssen die Eltern zustimmen. ten werden, dass es findige Schülerinnen und Schüler gibt, die in der Lage sind, die Passwörter der Lehrkräfte z. B. mit Keylogger-Tools auszuspähen, um Fehl Uns ist ein Fall bekannt geworden, in dem vergessen worden ist, in einer Klasse zeiten zu entfernen. solche Einverständniserklärungen einzuholen. Deshalb durften die ausgefüll- ten Fragebögen nicht für die Studie verwertet werden. Sie wurden unverzüg- Grundsätzlich ist gegen die elektronische Verarbeitung sensitiver Schüler lich vernichtet. daten nichts einzuwenden, wenn IT-Sicherheitsaspekte wie Netztrennung in der Schule und sichere Authentifizierung beachtet werden. Eine externe Problematisch war zusätzlich, dass viele Fragen auch die Privatsphäre der Eltern Datenverarbeitung sollte nach Möglichkeit vermieden werden. betrafen. Dabei gab es im Einzelnen Fragen nach häuslicher Gewalt, aber auch Fragen nach Religion und Beruf der Eltern sowie nach der Erziehung. Daher war in diesem Fall auch das Persönlichkeitsrecht der Eltern tangiert, sodass auch diese unabhängig vom Alter des Kindes einer Datenerhebung zustimmen muss- 9.2.5 Forschungsprojekt „Jugendliche als Opfer und ten. Dieses Recht darf nicht umgangen werden, indem über die Kinder perso- Täter von Gewalt“ nenbezogene Daten der Eltern erhoben werden. Ohne elterliches Einverständ- nis durften also auch mit Einwilligung einer über 14 Jahre alten Jugendlichen Das Kriminologische Forschungsinstitut Niedersachsen führte in Zusam- keine Daten über die persönlichen Verhältnisse der Eltern erhoben werden. Aus der Praxis menarbeit mit der Senatsverwaltung für Bildung, Wissenschaft und For- Wir haben dazu geraten, in einem solchen Konfliktfall eine Lösung innerhalb schung, der Landeskommission Berlin gegen Gewalt und der Senatsverwal- der jeweiligen Familie zu suchen. Das Forschungsinstitut hat unsere Empfeh- tung für Stadtentwicklung ein Forschungsprojekt zum Thema „Jugendliche lungen aufgegriffen. als Opfer und Täter von Gewalt“ an Berliner Schulen durch. Dabei sollten ca. 5.000 Berliner Schülerinnen und Schüler der Jahrgangsstufe 9 einen Die Teilnahme an Befragungen zu wissenschaftlichen Untersuchungen ist Fragebogen beantworten. Die Studie diente der Erforschung von Gewalt bei in der Regel freiwillig. Grundsätzlich muss dabei jeder, dessen personenbe Jugendlichen. Entsprechend sensible Fragen wurden den Jugendlichen vor- zogene Daten erhoben werden, selbst zustimmen. Das gilt prinzipiell auch gelegt. So sollten diese zum Beispiel angeben, ob sie bereits Opfer von sexu- innerhalb einer Familie für jedes einzelne Familienmitglied. Bei Kindern eller Gewalt gewesen seien. Die Fragen bezogen sich allerdings nicht nur unter 14 Jahren müssen die Erziehungsberechtigten einverstanden sein. auf die Jugendlichen selbst. Es wurde auch nach Details aus dem Familien leben gefragt. 171 § 65 Abs. 3 SchulG 146 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 147",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p75-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 76,
"content": "Kapitel 10 Wirtschaft 10.2 Fahrlässiger Umgang mit Bankdaten 10. Wirtschaft gungserklärung entstanden. Die Bank lässt sich nicht nur eine Einwilligungser- klärung für Datenauswertungen geben, sondern auch für die Speicherung der Girokontodaten, ohne die die Bank ihre Verpflichtungen aus dem Girovertrag 10.1 Missglückte Einwilligungserklärung bei einer Bank nicht erfüllen könnte. Die Bank hat den Bereich Kundenbetreuung über die Freiwilligkeit der Ein- Eine Berliner Bank hat ihre Kundinnen und Kunden aufgefordert, folgende willigung in Kontoauswertungen informiert. Inzwischen wurde auch die Aus der Praxis Einwilligungserklärung zu unterschreiben: „Ich ermächtige die X-Bank, Trans- Einwilligung auf die Auswertung von Transaktionsdaten zu Werbezwecken aktionsdaten aus dem Zahlungsverkehr (z. B. Auftraggeber von Lastschriften oder begrenzt. deren Verwendungszweck) zu speichern und diese zu o. g. Zwecken (Werbung für Produkte und Dienstleistungen) auszuwerten. Ausgenommen von dieser Einwilli- Banken dürfen die Transaktionen auf den Girokonten ihrer Kundinnen und gung sind sensible Daten gem. § 3 Abs. 9 BDSG.“ Die Bank meinte, ihre Ver- Kunden nur auswerten, wenn diese wirksam eingewilligt haben. pflichtungen aus dem Giroverkehr (wie die Information über ungewöhnli- che Kontobewegungen) ohne die unterschriebene Einwilligung nicht mehr erfüllen zu können. Die Erklärung diene außerdem dem Schutz der perso- nenbezogenen Daten. 10.2 Fahrlässiger Umgang mit Bankdaten Banken möchten über die von ihnen und ihren Verbundpartnern angebote- nen Produkte wie Hypothekenkredite, Fonds und Versicherungen möglichst Eine Bank wollte einen Kreditnehmer daran erinnern, dass er die fälligen Aus der Praxis maßgeschneidert informieren, also Eigenwerbung betreiben. Um festzustellen, Raten noch nicht bezahlt hat und ihm eine Kreditkündigung droht. Da welche Produkte den einzelnen Kundinnen und Kunden mit Erfolg angebo- der Kreditnehmer privat nicht zu erreichen war, rief die Mitarbeiterin ten werden können, möchten einige Banken die Transaktionen aus dem Zah- in seiner Anwaltskanzlei an. Ein Mitarbeiter des Kreditnehmers meldete lungsverkehr auswerten. Diese enthalten zahllose Daten wie das Einkommen, sich als dessen Sekretär. Die Bankmitarbeiterin ging irrtümlich davon aus, die Höhe der Verbindlichkeiten, Überweisungen an andere Banken oder Versi- mit dem Kreditnehmer zu sprechen, und besprach mit ihm die bei dem cherungen und Mietzahlungen. So kann man eine Mieterin oder einen Mieter Kredit aufgetretenen Probleme. über günstige Hypothekenzinsen informieren, bei hohem Einkommen Fonds- sparpläne anbieten oder feststellen, wer unterversichert ist. Die Auswertung der Eine andere Bank hatte mit Partnerbanken vereinbart, bestimmte Kredit- Girokonten erfolgt per Computer nach vorher festgelegten Parametern. anträge an diese weiterzuleiten. Den Antragstellenden wird per E-Mail empfohlen, sich an die jeweilige Partnerbank des jeweiligen Wohnortes Zur Auswertung der Girokontodaten ist eine Bank nur berechtigt, wenn die zu wenden. In einem Fall wurde das Verfahren dadurch „beschleunigt“, Betroffenen wirksam hierin eingewilligt haben. Dies setzt Freiwilligkeit und dass die E-Mail-Mitteilung an den Antragsteller nachrichtlich („CC“) an eine ausreichende Information über den Zweck der Auswertung voraus. 172 die Partnerbank übermittelt wurde, die sich direkt an den Antragsteller Einwilligungserklärungen, die die Bank mit Hilfe von Falschinformationen wandte. Die Partnerbank war Arbeitgeberin des Betroffenen, bei der die- der Betroffenen erhalten hat, sind unwirksam. Das Missverständnis im Bereich ser bewusst keinen Kreditantrag gestellt hatte. Kundenbetreuung der Bank ist wahrscheinlich durch die fehlerhafte Einwilli- Beide Banken sind fahrlässig mit Kundendaten umgegangen, wie sie auch ein- 172 § 4a Abs. 1 Satz 1 und 2 BDSG räumten. Die Erinnerung an fällige Raten sollte grundsätzlich schriftlich erfol- 148 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 149",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p76-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 77,
"content": "Kapitel 10 Wirtschaft 10.3 Aufgedrängte Kommunikation per 1-Cent-Überweisung gen. Eine mündliche Erinnerung sollte auf Ausnahmefälle beschränkt sein (z. B. zu behalten. Gerade nach Katastrophenfällen gibt es viele spontane Spenden. bei begründeter Vermutung, dass die Betroffenen keine Briefe öffnen). Außer- Die Spendenorganisationen sind daran interessiert, die Adressen der Betrof dem ist vor Beginn des Gespräches zu verifizieren, dass man tatsächlich mit der fenen zu erfahren, um sich bei ihnen zu bedanken und sie nach gewisser Zeit richtigen Person spricht. In der Regel sollte die Bank nur auf Telefonnummern erneut um eine Spende zu bitten. zurückgreifen, die ihr bei Vertragsschluss genannt wurden. Kontoverbindungsdaten sind für finanzielle Transaktionen, nicht aber als Ersatz Der Fehler der zweiten Bank kommt – auch außerhalb des Bankensektors – für die üblichen Kommunikationswege gedacht. Spendenorganisationen dürfen recht häufig vor; immer wieder werden E-Mails ohne größeres Nachdenken mit Hilfe von 1-Cent-Überweisungen keine Hinweise auf Spendenquittun- nachrichtlich („CC“) an Dritte übermittelt, denen die Information (noch) gen geben, da diese Hinweise nicht erforderlich sind.173 Es gibt zudem keine nicht übermittelt werden darf. Die Information an die Partnerbank hätte erst gesetzliche Verpflichtung der Spendenorganisationen, eine Spendenquittung zu erfolgen dürfen, nachdem der Kunde sich mit der Weiterleitung seiner Kredit- erteilen. Außerdem können sie über die Möglichkeit des Erhalts von Spenden- anfrage einverstanden erklärt hat. quittungen allgemein informieren, z. B. über das Internet oder auf Werbeflyern. Für Spenden im Katastrophenfall reicht bei anerkannten Spendenempfänge- Beide Banken haben Vorkehrungen getroffen, dass sich ähnliche Vorfälle nicht rinnen außerdem ein Bareinzahlungsbeleg oder eine Buchungsbestätigung als wiederholen. einfacher Spendennachweis gegenüber dem Finanzamt aus. Selbst wenn die 1-Cent-Überweisung als Werbung eingestuft würde, wäre diese Praxis unzuläs- Die Gefahr des fahrlässigen Umgangs mit Bankdaten sollte durch klare sig. Denn Kontodaten sind nicht vom sog. Listenprivileg erfasst174 und dürfen interne Regelungen begrenzt werden. daher nicht zu Werbezwecken genutzt werden. Verschiedene Spendenorganisationen, die dieses Verfahren nutzten, haben auf unsere Aufforderung hin die Praxis der 1-Cent-Überweisungen eingestellt. 10.3 \u0007Aufgedrängte Kommunikation per 1-Cent-Überweisung Das von manchen Spendenorganisationen praktizierte Verfahren der 1-Cent-Überweisungen, bei dem auf die Möglichkeit von Spendenquit tungen hingewiesen und ein Dank für die Spende ausgesprochen wird, ist Viele Bürgerinnen und Bürger überweisen anlässlich von Katastrophenfäl- rechtswidrig. Aus der Praxis len kleinere Geldbeträge an wohltätige Organisationen, ohne einen weite- ren Kontakt mit der Empfängerin der Spende zu beabsichtigen. Sie wollen anonym bleiben. Spendenorganisationen haben allerdings einen neuen Weg der Kontaktaufnahme „entdeckt“: Mit Hilfe der aus der Spende bekannten Kontoverbindungdaten nehmen sie 1-Cent-Überweisungen an die Betroffe- nen vor. Im Überweisungszweck weisen sie auf die Möglichkeit des Erhalts einer Spendenquittung hin, geben gleichzeitig eine Rückrufnummer bei der Spendenorganisation an und bedanken sich für die getätigte Spende. Gemeinnützige Organisationen sind regelmäßig auf Spenden angewiesen und 173 § 28 Abs. 1 Satz 1 Nr. 1 oder Nr. 2 BDSG daher bestrebt, neue Spenderinnen und Spender zu gewinnen und auf Dauer 174 § 28 Abs. 3 Satz 2 BDSG; vgl. dazu 2.2 150 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 151",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p77-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 78,
"content": "Kapitel 10 Wirtschaft 10.5 Das neugierige Fitnessstudio 10.4 Auftragsdatenverarbeitung durch Heimarbeit Auftragsdatenverarbeitung erfordert die sorgfältige Auswahl des Auftrag nehmers, seine Kontrolle und die Erteilung schriftlicher Weisungen. Die Aus Kostengründen traf eine außerhalb Berlins ansässige Versicherung Gefahr von Kontrollverlust und Missbrauch steigt bei Auftragsdatenverar Aus der Praxis die Entscheidung, telefonische Anfragen von Kundinnen und Kunden beitungsketten deutlich. durch externe Dienstleister bearbeiten zu lassen. Das beauftragte Berliner Unternehmen gab diesen Auftrag an einen Dritten (ebenfalls ein Berli- ner Unternehmen) weiter. Dieser wiederum beauftragte ein auf Telefon- dienstleistungen spezialisiertes Unternehmen (Unterunterauftragnehmer). 10.5 Das neugierige Fitnessstudio Dieses Unternehmen führte die Beratungen aber ebenfalls nicht selbst durch, sondern beauftragte selbstständige Beraterinnen und Berater, die von zu Hause aus tätig wurden. Hierzu hatten sie per heimischem Com- Ein Bürger wollte sich in einem Fitnessstudio über dessen Angebot und Aus der Praxis puter Zugriff auf die Versichertendaten. Sie hatten sich auf Ausschreibun- die Vertragsbedingungen für eine Mitgliedschaft informieren. Vor dem gen im Internet beworben. Dabei mussten sie insbesondere nachweisen, Beratungsgespräch erhielt der Interessent einen Fragebogen, den er aus- dass sie beim Finanz- und Gewerbeamt als Selbstständige geführt werden. füllen sollte. Als er dieses ablehnte, verweigerte man ihm das Beratungs- gespräch. In dem umfangreichen Fragebogen wurden u. a. folgende Das „Outsourcen“ des Telefonservice stellt in der Regel eine Auftragsdaten- Daten erhoben: Name, Vorname, Adresse, Geburtsdatum, Telefonnummer, verarbeitung dar, die möglich ist, soweit sie nicht zu einer Verletzung von Pri- E-Mail, Anzahl der Kinder. Daneben mussten Fragen zu etwaigen Ver- vatgeheimnissen führt. Allerdings muss der Auftraggeber mit den Auftrag- 175 letzungen und zur momentanen körperlichen Verfassung beantwortet nehmern Verträge abschließen, die ausreichende technische und organisato werden, auch weshalb man sich in dieser Verfassung befindet. Außerdem rische Maßnahmen der Auftragnehmer und die Kontrollrechte des Auftrag- war anzugeben, wie lange man darüber nachgedacht habe, mit dem Trai- gebers sicherstellen.176 Vorliegend gab es zwar zwischen den verschiedenen ning zu beginnen und welche Umstände (Familie, Finanzen o. Ä.) dazu Beteiligten Verträge. Diese betrafen aber nicht bzw. kaum Fragen des Daten- geführt haben, dass man nicht schon früher mit dem Training begon- schutzrechts und der Datensicherheit. Eine Kontrolle der selbstständigen Bera- nen hat. terinnen und Berater war nicht vorgesehen. Die vom Gesetz geforderte sorgfäl- tige Auswahl der Auftragnehmer fand nicht statt. Betroffene, die glaubten, von Vor einem Beratungsgespräch in einem Fitnessstudio dürfen nur Daten abge- ihrer Versicherung beraten zu werden, wurden in Wirklichkeit von selbststän- fragt werden, die erforderlich sind, um das Beratungsgespräch durchzuführen. digen Heimarbeiterinnen oder Heimarbeitern beraten, möglicherweise aber Dies sind insbesondere Informationen über die Leistungen, die die Interes- auch von deren Angehörigen oder sonstigen Dritten. Da die Selbstständigen sentin oder der Interessent von dem zukünftigen Fitnessstudio erwartet. Die ihre private Computerinfrastruktur nutzten, war schon aus diesem Grunde eine abgefragten Grund- und Kontaktdaten waren demgegenüber nicht erforderlich ausreichende Datensicherheit nicht gegeben. und dienten dazu, die Interessierten bei Nichteintritt zu bewerben. Insbeson- dere war es nicht gestattet, sensitive Daten zu Verletzungen oder zur körper- Nach Bekanntwerden des „Outsourcingmodells“ hat die Versicherung die lichen Verfassung abzufragen. Durch unsere Intervention konnten wir errei- Zusammenarbeit mit den Auftragnehmern gekündigt. Gegen die Berliner chen, dass der Fragebogen deutlich „abgespeckt wurde“. Außerdem werden die Unternehmen haben wir ein Ordnungswidrigkeitenverfahren eingeleitet. Betroffenen inzwischen darauf hingewiesen, dass das Ausfüllen des Fragebogens freiwillig erfolgt, also auch einzelne Fragen unbeantwortet bleiben können. 175 § 203 StGB 176 § 11 Abs. 2 BDSG 152 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 153",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p78-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 79,
"content": "Kapitel 10 Wirtschaft 10.7 Technische Umsetzung der EU-Dienstleistungsrichtlinie Fitnessstudios dürfen von Interessentinnen und Interessenten zur Vorberei standteile ein solcher Vertrag enthalten muss.178 Diese Anforderungen waren tung eines Beratungsgesprächs nur im begrenzten Umfang und auf freiwil in den zwei Fällen nicht bzw. nicht vollständig erfüllt, sodass wir ebenfalls ein liger Basis Daten erheben. Bußgeld festgesetzt haben. Die Festsetzung von Bußgeldern in solchen Fällen179 trägt dazu bei, die gesetzlichen Rahmenbedingungen der Auftragsdatenverar- beitung besser durchsetzen zu können. 10.6 Praxis der Sanktionsstelle Unternehmen, die gegen Datenschutzvorschriften verstoßen, müssen mit Bußgeldverfahren rechnen. Werbewidersprüche von Betroffenen sind zu beachten. Die Unternehmen haben entsprechende organisatorische Wir haben erneut zahlreiche Bußgeldverfahren eingeleitet. Die überwiegende Maßnahmen zu ergreifen. In Auftragsdatenverarbeitungsverträgen sind Anzahl dieser Verfahren betraf Fälle, in denen Unternehmen uns (meistens die gesetzlichen Mindestanforderungen zu regeln. Unternehmen, die sich fahrlässig) keine Auskunft erteilt haben. Wir sind auf diese Auskünfte ange- solcher Auftragsdatenverarbeiter bedienen, sollten bestehende Verträge wiesen, weil wir ansonsten die Eingaben von Bürgerinnen und Bürgern nicht überprüfen. prüfen können. In 22 Fällen haben wir einen Bußgeldbescheid erlassen oder eine Verwarnung ausgesprochen und dabei Buß- und Verwarnungsgelder von insgesamt 35.120 10.7 \u0007Technische Umsetzung der EU-Dienstleistungs- Euro festgesetzt. richtlinie Mit der Novellierung des BDSG 2009 hat der Gesetzgeber zahlreiche neue Bußgeldtatbestände geschaffen, die in einigen Fällen vorlagen. In einem Fall Die EU-Dienstleistungsrichtlinie sieht vor, dass jeder Mitgliedstaat und jedes nutzte ein Unternehmen trotz Widerspruchs des Betroffenen dessen Anschrift Bundesland einen Einheitlichen Ansprechpartner (kurz: EA) als Schnittstelle für seine Werbemaßnahmen. Die Nutzung von Daten der Betroffenen zu Wer- zu den Anmelde- und Genehmigungsbehörden insbesondere ausländischen bezwecken ist bei einem Widerspruch jedoch unzulässig. Wir haben deshalb Dienstleistern zur Verfügung stellen, die sich in dem jeweiligen Land nieder- für diese rechtswidrige Nutzung ein Bußgeld verhängt.177 Nach altem Recht lassen wollen180. konnte eine rechtswidrige Nutzung von Daten in keinem Fall geahndet wer- den. Die Unternehmen sollen durch diese neue Sanktionsmöglichkeit dazu In Berlin wurde zur Unterstützung des EA ein Web-Portal realisiert, über das angehalten werden, mit Widersprüchen der Betroffenen sorgfältig umzugehen sich die Dienstleister einerseits über die notwendigen Schritte zur Anmeldung und diese zu beachten. eines Vorhabens informieren und andererseits über ein Dialogsystem alle not- wendigen Anträge stellen und die notwendigen Unterlagen einreichen kön- In zwei anderen Fällen lag kein ordnungsgemäßer Auftragsdatenverarbeitungs- nen. Das Portal bietet zudem Schnittstellen zu den jeweiligen Fachbehörden vertrag vor. Solche Verträge werden geschlossen, wenn die beauftragte Stelle und ermöglicht dem EA so die effiziente, idealerweise durchgehend elektroni- nur eine Hilfs- und Unterstützungsfunktion hat und in völliger Abhängigkeit sche Abwicklung eines Antrages einschließlich der Überwachung von Fristen, von den Vorgaben des Auftraggebers agiert, ähnlich einer ausgelagerten Abtei- lung. Der Gesetzgeber hat nunmehr detailliert geregelt, welche Mindestbe- 178 § 11 Abs. 2 Satz 2 BDSG 179 § 43 Abs. 1 Nr. 2b BDSG 177 § 43 Abs. 2 Nr. 5b BDSG 180 Zur rechtlichen Umsetzung der Dienstleistungsrichtlinie vgl. JB 2008, 11.5; JB 2009, 10.9 154 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 155",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p79-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 80,
"content": "Kapitel 10 Wirtschaft 10.7 Technische Umsetzung der EU-Dienstleistungsrichtlinie des Einzuges der Gebühren und der Übersendung der Bescheide der Fachbe- Als datensparsame Alternative bietet sich das Informationsangebot des EA an. hörden. Neben der Begleitung der für das Vorhaben notwendigen Gesetzes Ebenfalls über ein Dialogsystem werden die relevanten Daten des Vorhabens änderungen haben wir die technische Realisierung des Portals aus Datenschutz- des Dienstleisters erfragt und im Ergebnis ohne Erhebung eines Personenbe- und IT-Sicherheitssicht geprüft. zuges ein Dokument mit Hinweisen zu den nötigen Genehmigungen samt Adressen und einzureichenden Formularen der jeweiligen Fachbehörden aus- Nimmt ein Dienstleister die Unterstützung des EA bei der Bearbeitung eines gegeben. Antrages in Anspruch, so ist unvermeidlich, dass Mitarbeitende des EA auf- grund der gesetzlich vorgesehen formalen Prüfung der eingereichten Unter Das Web-Portal des EA in Berlin bietet ein ausreichendes Maß an IT-Sicher lagen sowie der Überwachung des Verfahrensablaufes personenbezogene Daten heit und Datenschutz. Der Dienstleister sollte bei der Nutzung des Portals der Antragstellenden erhalten und nahezu alle antragsbezogenen Unterlagen auf die Sicherheit seines eigenen Rechners sowie auf ein sicheres Passwort im Dokumentenmanagementsystem des EA zusätzlich zu den Akten in den achten. Wenn er es vorzieht, kann der Dienstleister das Informationsangebot Fachbehörden gespeichert werden müssen. Allerdings wird der Zugriff zu die- des EA auch wahrnehmen, ohne sich zu identifizieren, und anschließend die sen Informationen durch ein strenges Rechtemanagement eng begrenzt. Bei Anträge direkt bei den Fachbehörden stellen. dem EA sowie in den jeweiligen Fachbehörden hat nur die bzw. der Bearbei- tende des Falles direkten Zugriff auf die Falldaten. Zusätzlich haben ausge- wählte Mitarbeitende das Recht, Fälle anderen Beschäftigten zuzuteilen. Die jeweilige Fachbehörde hat nur Zugriff auf die für sie relevanten Doku- mente. In der Regel müssen für die Anmeldung einer Dienstleistung mehrere Fachbehörden einbezogen werden. Der Dienstleister kann die notwendigen Unterlagen elektronisch einreichen, ggf. signiert mit einer qualifizierten digi- talen Signatur. Alternativ können auch handschriftlich unterschriebene Anträge oder beglaubigte Kopien von Dokumenten eingereicht werden. Bescheide der Fachbehörden kann der Dienstleister aus seinem Postfach im Portal sicher her- unterladen. Die Kommunikation erfolgt dabei zum Schutz der Vertraulich- keit verschlüsselt. Mittelfristig sollten jedoch Dienstleister und Beschäftigte mittels besserer Mechanismen bei der Anmeldung zum System authentifiziert werden. Der- zeit wird die Kombination von Nutzernamen und Passwort verwendet, um die Einstiegshürden für die Dienstleister möglichst niedrig zu halten. Die Anmel- dung der Beschäftigten ist zur Sicherheit nur innerhalb der Infrastruktur des Landesnetzes möglich. Vorgesehen ist zukünftig die Nutzung des neuen Per- sonalausweises für Registrierung und Anmeldung. 181 181 Vgl. 2.4 156 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 157",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p80-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 81,
"content": "Kapitel 11 Europäischer und internationaler Datenschutz 11.1 Europäische Union 11. \u0007Europäischer und internationaler den Anwendungsbereich des neuen Rechtsrahmens einbezogen werden soll.186 Anzustreben ist ein möglichst einheitliches Datenschutzniveau in Europa. Der Datenschutz neue europäische Rechtsrahmen darf andererseits nicht zu einer Absenkung des Datenschutzes in Deutschland führen. 11.1 Europäische Union Im August ist das neue EU-US-Abkommen zur Übermittlung von Zah- lungsverkehrsdaten187 in die USA in Kraft getreten. Allerdings entspricht es auch in der Neufassung nicht den durch die EU-Grundrechtecharta und die Mit dem Ende 2009 in Kraft getretenen Vertrag von Lissabon haben sich die Europäische Datenschutzrichtlinie vorgegebenen Standards. Weder der Umfang rechtlichen Rahmenbedingungen für den Datenschutz in der Europäischen der Datenübermittlung noch die Kriterien für den Datenzugriff sind hinrei- Union grundlegend geändert. Die seitdem geltende Charta der Grundrechte chend bestimmt, und die vorgesehene Speicherdauer von fünf Jahren ist unver- der Europäischen Union enthält eine verbindliche Regelung zum Schutz per- hältnismäßig lang. Grotesk ist, dass ausgerechnet Europol den Umfang der in sonenbezogener Daten.182 Der Vertrag über die Arbeitsweise der Europäischen die USA übermittelten Daten überwachen soll – eine Behörde, die letztlich Union verpflichtet dazu, einheitliche Vorschriften über den Schutz natürlicher von den US-Diensten mit den aus dem Datenbestand gewonnenen Erkennt- Personen bei der Verarbeitung personenbezogener Daten sowohl auf EU- als nissen versorgt wird. Eine unabhängige Instanz zur Kontrolle des Datenschut- auch auf mitgliedstaatlicher Ebene zu erlassen. Dementsprechend hat die 183 zes ist Europol deshalb nicht. Immerhin haben EU-Bürger nun ein Recht auf Europäische Kommission eine Überarbeitung der Europäischen Datenschutz- Auskunft, Berichtigung, Löschung und Sperrung.188 Anträge von Betroffenen richtlinie 95/46/EG angekündigt, auch weil die technologische Entwicklung sind an ihre Datenschutzbehörde in der Europäischen Union bzw. ihre natio- und die Globalisierung den Datenschutz vor neue Herausforderungen stellen. nale Aufsichtsbehörde zu richten, die sie an den Datenschutzbeauftragten des US-Finanzministeriums weiterleitet. Die an uns gerichteten Anträge leiten wir, Ende des Jahres hat die Europäische Kommission eine neue Strategie zur wie die Kollegen in den anderen Bundesländern, an den Bundesbeauftragten Stärkung des EU-Datenschutzrechts vorgestellt. Als Kernziele nennt sie die 184 für den Datenschutz und die Informationsfreiheit weiter, damit eine einheitli- Stärkung der Rechte des Einzelnen, die bessere Harmonisierung des Daten- che Handhabung gewährleistet ist. schutzes in der Wirtschaft, die Überarbeitung der Datenschutzbestimmun- gen im Bereich der Zusammenarbeit der Polizei- und Strafjustizbehörden, die Neue Entwicklungen gibt es zur Übermittlung von EU-Flugpassagier Gewährleistung eines hohen Schutzniveaus bei außerhalb der EU übermittel- daten in Drittländer. Das Europäische Parlament hat die Europäische 189 ten Daten und die wirksamere Durchsetzung der Vorschriften. Im Rahmen der Kommission im Mai aufgefordert190, spätestens bis Mitte Juli einen kohären- öffentlichen Konsultation haben die Datenschutzbeauftragten des Bundes und ten Ansatz in Bezug auf die Nutzung von Fluggastdatensätzen für Strafverfol- der Länder zum Gesamtkonzept Stellung genommen.185 Insbesondere begrüßen gungs- und Sicherheitszwecke und ein auf einheitlichen Grundsätzen beru- sie den Grundansatz, dass vor dem Hintergrund des Wegfalls der Säulenstruktur hendes Modell für ein solches Abkommen mit Drittstaaten vorzulegen. Dieser der Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in 186 Vgl. bereits JB 2009, 11.1 (S. 158); JB 2008, 12.1 182 Art. 8 187 Terrorist Finance Tracking Program (TFTP) II-Abkommen, besser bekannt als SWIFT- 183 Art. 16 AEUV Abkommen; hierzu zuletzt JB 2009, 11.1 184 Mitteilung der Europäischen Kommission „Gesamtkonzept für den Datenschutz in der 188 Art. 15, 16 des Abkommens Europäischen Union“ vom 4. November 2010, KOM(2010) 609, endg., BR-Drs 707/10 189 Sog. Passenger Name Records (PNR) 185 Der Konsultationsbeitrag ist abrufbar unter www.bfdi.bund.de. 190 Entschließung des Europäischen Parlaments vom 5. Mai 2010 158 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 159",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p81-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 82,
"content": "Kapitel 11 Europäischer und internationaler Datenschutz 11.2 AG „Internationaler Datenverkehr“ Aufforderung ist die Kommission im September nachgekommen.191 Das Paket egriffen “für die Verarbeitung Verantwortlicher“ und „ Auftragsverarbeiter“197, B mit Vorschlägen über den Austausch von PNR-Daten mit Drittländern enthält mit der Werbung auf Basis von Behavioural Targeting und mit einem Vor- 198 eine allgemeine EU-Außenstrategie zum Thema Fluggastdaten sowie Empfeh- schlag für einen Rahmen für Datenschutzfolgenabschätzungen für RFID- lungen für Verhandlungsrichtlinien für neue PNR-Abkommen mit den USA, Anwendungen. Auch hat sie FAQs zu den neuen für die Auftragsdatenverar- 199 Australien und Kanada.192 beitung geltenden Standardvertragsklauseln200 erarbeitet.201 Schließlich hat sie sich mit der Mitteilung der Europäischen Kommission über das Sektor über- Im engen Zusammenhang mit den Beratungen zu den PNR-Abkommen steht greifende Konzept für die Übermittlung von Fluggastdatensätzen an Drittlän- auch das geplante Übereinkommen zwischen der EU und den USA über den der befasst und das einheitliche Vorgehen in den Verhandlungen mit ver- 202 Schutz personenbezogener Daten und Informationsaustausch zu Strafverfol- schiedenen Drittländern als Schritt in die richtige Richtung begrüßt.203 Ein gungszwecken. Die beabsichtigte Vereinbarung soll keine eigenen Rechts- 193 Papier gibt darüber hinaus Hilfestellung für die Bestimmung des anwendbaren grundlagen für Datenübermittlungen enthalten, sondern als Rahmenüberein- Rechts bei grenzüberschreitender Datenverarbeitung.204 kunft Datenschutzstandards vorgeben, die bei der strafrechtlichen Zusammen- arbeit, z. B. bei der Übermittlung von Zahlungsverkehrs- oder Fluggastdaten, eingehalten werden. Wesentlich wäre, anlasslose Übermittlungen ganzer Daten- 11.2 AG „Internationaler Datenverkehr“ pakete und die Verwendung der Daten zu anderen Zwecken als der strafrecht- lichen Zusammenarbeit auszuschließen. 194 Auf Vorschlag der unter unserem Vorsitz tagenden AG „Internationaler Daten- Die Europäische Kommission hat erneut eine Entscheidung zu Standardver- 195 verkehr“ hat der Düsseldorfer Kreis einen Beschluss gefasst, mit dem darauf tragsklauseln für die Übermittlung personenbezogener Daten in Drittländer hingewiesen wird, dass sich Unternehmen bei Datenübermittlungen in die getroffen und damit auf neue Anforderungen aus der Wirtschaft reagiert. Die 196 USA nicht mehr allein auf die Behauptung einer Safe Harbor-Zertifizie- Klauseln sollen den Datenschutz auch dann sicherstellen, wenn Datenverar rung des Datenimporteurs verlassen können und sich diese nachweisen lassen beiter außerhalb der EU Aufgaben ihrerseits von Subunternehmern erledigen müssen. Es hatte begründete Zweifel gegeben, dass die Safe Harbor-Grund- 205 lassen. Dies ist nur mit Zustimmung des Unternehmens in der EU möglich, sätze in der Regel von den Mitgliedsunternehmen nicht eingehalten werden. das die Daten ursprünglich erhoben hat. Die neuen Standardvertragsklauseln Auch wurden Vollzugsdefizite, die mangelnde Sanktionierung von Verstößen, gelten seit Mai und ersetzen die bislang für die Auftragsdatenverarbeitung gel- tenden vom Dezember 2001. 197 Stellungnahme 1/2010 vom 16. Februar 2010 (WP 169) 198 Stellungnahme 2/2010 vom 22. Juni 2010 (WP 171), vgl. Dokumentenband 2010, S. 92 Die Art.29-Datenschutzgruppe, in der wir die Bundesländer vertreten, 199 Stellungnahme 5/2010 vom 13. Juli 2010 (WP 175) 200 Vgl. Fn. 196 hat wieder mehrere Papiere verabschiedet. Sie befasste sich speziell mit den 201 Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertrags- klauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittlän- 191 Mitteilung der Kommission über das Sektor übergreifende Konzept für die Übermittlung dern nach der Richtlinie 95/46/EG vom 12. Juli 2010 (WP 176), vgl. Dokumentenband von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010) 492, endg. 2010, S. 130 192 Zur Entwicklung der Thematik vgl. JB 2003, 4.7.1 (a. E.); JB 2007, 10.1 202 Vgl. Fn. 191 193 Sog. Datenschutz-Rahmenabkommen 203 Stellungnahme 7/2010 vom 12. November 2010 (WP 178) 194 So auch die Bundesratsinitiative Hamburgs, BR-Drs 741/10 204 Stellungnahme 8/2010 vom 16. Dezember 2010 (WP 179) 195 Vgl. zuletzt JB 2004, 4.7.1 (S. 121) 205 Beschluss vom 28./29. April 2010 i. d. F. vom 23. August 2010: Prüfung der Selbst-Zertifi- 196 Beschluss 2010/87/EU vom 5. Februar 2010 über Standardvertragsklauseln für die Über- zierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten expor- mittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, ABl. L 39 vom tierende Unternehmen, vgl. Dokumentenband 2010, S. 22 12. Februar 2010, S. 5, vgl. Dokumentenband 2010, S. 70 160 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 161",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p82-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 83,
"content": "Kapitel 11 Europäischer und internationaler Datenschutz 11.3 Internationale Datenschutzstandards die unwahre Behauptung mehrerer Unternehmen, den Grundsätzen beige- 11.3 Internationale Datenschutzstandards treten zu sein, sowie die Tatsache kritisiert, dass die vom US-Handelsminis- terium geführte Liste206 Unternehmen enthält, die nicht mehr Mitglied des Internationale Datenschutzstandards können Verarbeiter von personen- Aus der Praxis Programms sind. 207 bezogenen Daten darin unterstützen, datenschutzgerecht zu handeln. Wir trugen zur Formulierung eines Datenschutzrahmenstandards der Inter- Daneben hat sich die AG mit komplizierten Einzelfragen zur internationa- nationalen Standardisierungsorganisation ISO bei und forderten auf der len Auftragsdatenverarbeitung befasst. Sie hat die von der Wirtschaft häufig ersten Internationalen Datenschutz-Konferenz der ISO die Erarbeitung gestellte Frage, ob die neuen Standardvertragsklauseln zur Auftragsdatenverar- von Standards zum Datenschutzmanagement. beitung208 auch für die innereuropäische Auftragsdatenverarbeitung verwendet werden können, verneint, denn alleiniger Maßstab hierfür ist § 11 Abs. 2 BDSG. Schon 2004 war im Rahmen der ISO der Versuch unternommen worden, Deshalb kann der Standardvertrag nur mit Änderungen in der Terminologie einen nicht-technischen Rahmenstandard für den Datenschutz zu formulieren. und bei den einzelnen Klauseln für die innereuropäische Auftragsdatenverar- Sowohl die Internationale Arbeitsgruppe zum Datenschutz in der Telekommu- beitung genutzt, jedoch keinesfalls als solcher bezeichnet werden. nikation („Berlin Group“)209 als auch die 26. Internationale Datenschutzkon- ferenz kritisierten seinerzeit, dass bei diesem Versuch wesentliche Grund- 210 Auch wurde erörtert, ob die für die Einhaltung des § 11 BDSG erforderliche sätze des Datenschutzrechts zu wenig berücksichtigt worden seien, und boten Präzisierung des neuen Standardvertrags eine Genehmigungspflicht nach § 4c der ISO eine Zusammenarbeit an. Dieses Angebot wurde angenommen; die Abs. 2 BDSG auslöst. Das wurde ebenfalls verneint: Wird ein Standardver- Zusammenarbeit, in die auch die Art. 29-Gruppe einbezogen wurde, beginnt trag zur Auftragsverarbeitung geschlossen, so sind die Anforderungen des § 11 jetzt Früchte zu tragen. BDSG dadurch bereits teilweise erfüllt. Die erforderliche Präzisierung kann in den Anlagen zum Standardvertrag realisiert werden, die immer die konkre- Im Berichtsjahr nahm der Datenschutzrahmenstandard 29100 der ISO ten Bedingungen des jeweiligen Datentransfers widerspiegeln und notwendi- eine endgültige Form an. Es werden eine einheitliche Terminologie für die gerweise variieren. Anpassungen in diesem Bereich lösen daher grundsätzlich Beschreibung der Datenverarbeitung eingeführt und die wichtigsten Daten- keine Genehmigungspflicht aus, solange dort nicht dem Vertrag selbst wider- schutzprinzipien niedergelegt, die sich auch in der deutschen und europäischen sprechende Regelungen getroffen werden. Auch Präzisierungen durch zusätz- Gesetzgebung widerspiegeln. liche geschäftliche Klauseln oder in einem separaten Dienstleistungsvertrag mit zugehöriger Leistungsbeschreibung, auf den Bezug genommen wird, sind Wir begleiteten diesen Prozess durch die Beteiligung an einem Gremium des möglich und lösen keine Genehmigungspflicht aus; denn sie betreffen zum Deutschen Instituts für Normung, das für den deutschen Beitrag zur Standar- einen die sog. 1. Stufe, und zum anderen geht aus den Standardverträgen selbst disierung auf den Gebieten des Datenschutzes und des Identitätsmanagements hervor, dass ihre Regelungen nicht so konkret sind, dass sie die Pflichten des verantwortlich ist. Wie in den vergangenen Jahren waren wir maßgeblich an Auftragnehmers abschließend beinhalten. Zudem ist die Unterbeauftragung der Erarbeitung der Kommentare zu den Entwürfen des Datenschutzrahmen- nach dem neuen Standardvertrag genehmigungsfrei. Es wäre sinnwidrig, wenn standards beteiligt. der Vertrag wegen der Anpassung an § 11 BDSG genehmigungspflichtig würde. 209 Arbeitspapier zu einem zukünftigen ISO-Datenschutzstandard, vgl. Dokumentenband 2004, 206 www.export.gov/safeharbor/ S. 73 207 Vgl. Ch. Connolly, Galexia Australia: The US Safe Harbor – Fact or Fiction?, 2008 210 Resolution zum Entwurf eines ISO-Rahmenstandards zum Datenschutz, vgl. Dokumen- 208 Vgl. Fn. 196 tenband 2004, S. 67 ff. 162 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 163",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p83-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 84,
"content": "Kapitel 11 Europäischer und internationaler Datenschutz 11.3 Internationale Datenschutzstandards Im Oktober fand die erste Internationale Datenschutz-Konferenz der ISO statt, Datenschutzmanagement während der internationale Experten erörterten, wie der Datenschutz im Zuge Die Standardisierung des Managements der Informationssicherheit ist eine der Standardisierung technischer Verfahren unterstützt werden kann und wel- Erfolgsgeschichte, die erheblich zu einem höheren Sicherheitsniveau der Stan- che Erfolge bereits jetzt vorzuweisen sind. Wir legten dar, welchen Zwecken dardanwender geführt hat. Datenschutzmanagement kann und sollte die- internationale Datenschutzstandards dienen können und auf welchen Gebieten sem Beispiel folgen. Datenschutzmanagement-Systeme sollen einen Prozess derartige Standards erforderlich sind. zur Verfügung stellen, in dem eine systematische Analyse der Verarbeitung von personenbezogenen Daten vollzogen werden kann. Hierbei müssen die ver- schiedenen Risiken, denen die Privatsphäre der Betroffenen durch Bedrohun- Transparenz gen innerhalb und außerhalb der jeweiligen Organisation ausgesetzt ist, und International agierende Konzerne, die ihr Personal zentral verwalten und Pro- die Folgen, die bei unrechtmäßiger Kenntniserlangung eintreten, abgeschätzt dukte und Dienstleistungen über das Internet einer internationalen Kundschaft werden. Aus dieser Bedrohungslage kann dann ein umfassendes Geflecht von anbieten, und Unternehmen, die ihre Geschäftsprozesse über Ländergrenzen Maßnahmen entwickelt werden, die den Schutz der Betroffenen in angemes- hinweg eng miteinander verzahnen, müssen ihre Datenverarbeitung transparent sener Weise gewährleisten. Schließlich muss es ein Datenschutzmanagement- gestalten. Sie müssen die Einhaltung der jeweiligen nationalen Gesetze gewähr- System erlauben, ein Datenschutzkonzept nicht nur einmalig zu entwickeln, leisten und die ihrer Geschäftspartner einschätzen. Betroffene (Kundschaft und sondern auch konstant fortzuschreiben. Internationale Standards haben das Beschäftigte) müssen in die Lage versetzt werden zu verstehen, was mit ihren Potenzial, eine erstrangige Leitlinie für die Errichtung derartiger Datenschutz- Daten geschieht. Datenschutzaufsichtsbehörden und andere Aufsichtsbehör- management-Systeme zu werden. Sie können die Wege aufzeigen, mit denen den müssen die Einhaltung nationaler Gesetze und internationaler Abkom- 211 die angemessenen Datenschutzmaßnahmen ausgewählt und die Einhaltung der men beurteilen. festgelegten Datenschutzprinzipien überprüft werden. Standards können einen Rahmen und eine universelle Terminologie anbieten, mit denen sich die Ziele und Prozesse des Datenschutzes beschreiben lassen Datenschutzwerkzeuge und Transparenz hergestellt wird. Unternehmen und Behörden können mit Datenschutz erfordert Informationssicherheit. Ohne technische Gewährleistung, ihrer Hilfe die Datenschutzprinzipien beschreiben, zu deren Einhaltung sie sich dass Dritte nicht unberechtigt die verarbeiteten personenbezogenen Daten zur verpflichten, die Methoden darstellen, die sie nutzen, um die Daten zu sichern, Kenntnis nehmen können, ist Datenschutz nicht denkbar. Technologie kann und auch die Prozesse schildern, mit denen sie die Einhaltung der gesetzli- jedoch mehr, als nur die Dämme zu errichten, innerhalb derer Daten geschützt chen Vorgaben garantieren. Dies ist insbesondere dann von Bedeutung, wenn fließen; sie kann den Strom selbst formen. Verschiedene „Privacy Enhancing die Parteien sehr unterschiedlichen Rechtskreisen angehören. Wo Rechtsnor- Technologies“ (spezifische Techniken der Minimierung der Datenoffenbarung) men zum Datenschutz existieren, können sie von Standards weder unterschrit- können dazu benutzt werden, zeitweilig oder permanent die Verknüpfung von ten noch ersetzt werden. Standards können aber die einheitliche Durchsetzung Daten zu den Personen, auf die sie sich beziehen, zu verbergen, ohne dass von Rechtsnormen unterstützen. die Verarbeitung der Daten eingeschränkt wird. Zu diesen Techniken gehö- ren die Pseudonymisierung, sichere Mehrparteienberechnungen, datenschutz- freundliche Datenaggregation und informationsarme Identifikationsverfahren. Einige dieser Verfahren sind bereits standardisiert. Andere sollten folgen. 211 Etwa die Federal Trade Commission in den USA 164 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 165",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p84-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 85,
"content": "Kapitel 11 Europäischer und internationaler Datenschutz 12.1 Stiftung Datenschutz Bereichsspezifische Standards für gestalteten Datenschutz (Privacy by design) 12. Datenschutzmanagement Spezifische Datenschutzrisiken bestehen insbesondere in der Telekommunika- tionsbranche, der Gesundheitsversorgung und dem Finanzdienstleistungssek- 12.1 Stiftung Datenschutz – ein Zwischenstand tor. So hat das für die Standardisierung der Verarbeitung von Gesundheitsdaten zuständige Komitee der ISO bereits eine Reihe von Standards verabschiedet, die direkten Einfluss auf den Datenschutz bei den Erbringern von Gesund- Unabhängig von etwaigen gesetzgeberischen Tätigkeiten212 plant die Bun- heitsdienstleistungen haben. Aufstrebende Sektoren, die besonderer Beachtung desregierung eine interessante Neuerung: Im Koalitionsvertrag (2009 – 2013) bedürfen, sind z. B. Systeme für die Lenkung des Fahrzeugverkehrs, intelligente vereinbarten die Regierungsparteien die Errichtung einer „Stiftung Daten- Stromnetze und Internetdienste mit Zugriff auf den Aufenthaltsort der Nut- schutz“ mit dem Ziel, den Datenschutz zu stärken. Das wird von den Daten- zenden. Gleichfalls entwickelt sich die Anwendung von Technologien rasant, schutzbeauftragten des Bundes und der Länder nachdrücklich unterstützt.213 die besondere Datenschutzrisiken bergen: die Geschäftsanalyse großer Men- Datenschutz kann in der modernen Informationsgesellschaft nicht mehr allein gen unstrukturierter Daten in Datenbanken (Data Warehousing), Videoüber- mit Verboten und anderen Mitteln des Ordnungsrechts durchgesetzt werden. wachung und biometrisches Identitätsmanagement, um nur einige wenige mit bereits weiter Verbreitung zu nennen. Die Anwendung dieser Techniken wird Laut Koalitionsvertrag soll die Stiftung den Auftrag haben, Produkte und in hohem Maße durch internationale Standards bestimmt. Ein datenschutz- Dienstleistungen auf Datenschutzfreundlichkeit zu prüfen, Bildung im freundlicher Ansatz für ihre Gestaltung sollte sich also bereits in diesen Stan- Bereich des Datenschutzes zu stärken, den Selbstdatenschutz durch Aufklä- dards finden. rung zu verbessern und ein Datenschutzaudit zu entwickeln. Ein konkretes Konzept zur Ausgestaltung der Stiftung liegt bislang nicht vor.214 Viele Fra- gen sind offen, z. B. welche Form die Stiftung haben soll, wie die angedach- Internationale Standards können Methoden und Werkzeuge bieten, um in der internationalen Datenverarbeitung Transparenz zu erzielen, den Verar ten Aufgaben der Stiftung ausgestaltet werden, wie sich die Finanzierung der beitern ein effektives Management des Datenschutzes zu ermöglichen, ein Stiftung zusammensetzt und ob die Stiftung unabhängig tätig werden kann. zelne Verarbeitungsschritte datenarm auszugestalten und den besonderen Nicht zuletzt stellen sich Fragen der Kooperation und Zusammenarbeit mit Risiken bestimmter Verarbeitungsformen entgegenzuwirken. den Datenschutzbehörden. Deshalb halten es die Datenschutzbeauftragten des Bundes und der Länder für angezeigt, dass sie möglichst frühzeitig in die Über- legungen zur Stellung und zu den Aufgaben der Stiftung einbezogen werden. Auch sollte eine Bundesstiftung Datenschutz die bewährte föderale Struktur der Datenschutzaufsicht in Deutschland nicht beeinträchtigen. Im Bereich der Bildung und Stärkung des Datenschutzbewusstseins stellen die Datenschutzbeauftragten bereits jetzt mit Broschüren, Merkblättern, eigenen 212 Zum Beschäftigtendatenschutz vgl. 2.1 213 Entschließung der 80. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Förderung des Datenschutzes durch Bundesstiftung, vgl. Dokumentenband 2010, S. 21 214 Allerdings gibt es ein Eckpunktepapier der FDP-Bundestagsabgeordneten Gisela Piltz zur Errichtung einer Stiftung Datenschutz, deren Aufgaben sich in vier Säulen gliedern. 166 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 167",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p85-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 86,
"content": "Kapitel 12 Datenschutzmanagement 12.2 Informationspflicht bei Datenpannen Internetauftritten und mit dem „Virtuellen Datenschutzbüro“215 Informati- gestellt werden, insbesondere ob die Wirtschaft die Stiftung mitfinanzieren soll. onsmaterial für die Menschen sowie die nicht öffentlichen und öffentlichen Letzteres könnte ihre Unabhängigkeit gefährden. Stellen zur Verfügung. Wenn die Stiftung diese Bemühungen unterstützt und die Bildungsangebote erweitert, ergänzt bzw. zusammenführt, kann dies nur Es bleibt abzuwarten, ob das mit der Stiftung Datenschutz angestrebte Ziel von Vorteil sein. Auch die Idee, verschiedene Produkte und Dienstleistungen – die Stärkung des Datenschutzes – erreicht werden kann. Vieles hängt von unter dem Aspekt des Datenschutzes im Wege vergleichender Tests gegenüber- der konkreten Konzeption der Stiftung ab. zustellen, ist sinnvoll. Die Datenschutzbehörden können den Testbereich nicht ausreichend abdecken. Die Erfahrungen aus anderen Testbereichen, z. B. mit der Stiftung Warentest, zeigen aber, dass solche Tests für die Wirtschaft starke Anreize schaffen, Produkte zu verbessern und sich von Wettbewerbern abzuhe- 12.2 Informationspflicht bei Datenpannen ben. Datenschutz könnte dadurch zum Verkaufsargument werden. Im Zusam- menhang mit der Vergabe von Gütesiegeln und Audits ist für eine Kooperation Seit September 2009 gilt die mit der Novellierung des BDSG eingeführte und Zusammenarbeit zwischen Stiftung und Datenschutzbehörden von zent- Informationspflicht bei unrechtmäßiger Kenntniserlangung durch Dritte218. raler Bedeutung, wie sich diese Tätigkeiten auf die Prüf- und Kontrolltätigkeit Diese Pflicht betrifft nur nicht öffentliche Stellen, z. B. Unternehmen, Ver- der Behörden auswirken können. Gütesiegel- und Audit-Verfahren sind Instru- eine, Verbände, und solche öffentlichen Unternehmen, die mit privaten Unter- mente der Selbstregulierung, die nur funktionieren, wenn auch effektive Kon- nehmen im Wettbewerb stehen. Sie müssen sowohl die Datenschutzbehörde 219 trollmechanismen bestehen. Eine Stärkung des Datenschutzes kann jedenfalls als auch die Betroffenen benachrichtigen, wenn bestimmte Daten 220 Drit- nicht dadurch erreicht werden, dass aufgrund eines Siegels oder Audits Folge- ten entweder durch Übermittlung oder auf sonstige Weise unrechtmäßig zur kontrollen durch die staatliche Aufsicht beschränkt werden. Sollen von solchen Kenntnis gelangen. Dies gilt unter der Voraussetzung, dass schwerwiegende Zertifizierungen allerdings Bindungswirkungen auch für die Kontrollbehörden Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betrof- ausgehen, ist es unerlässlich, dass die Datenschutzbeauftragten bei der Konzep- fenen drohen. Die Betroffenen sind grundsätzlich einzeln zu benachrichtigen. tion der Siegelkriterien und des -verfahrens sowie beim Zertifizierungspro- Soweit dies nur mit unverhältnismäßigem Aufwand zu realisieren ist, ersetzt die zess eingebunden werden. Zudem sollte der Bundesgesetzgeber den seit 2001 Information der Öffentlichkeit die Individualbenachrichtigung. Dabei muss die bestehenden Auftrag zum Erlass eines Ausführungsgesetzes zum Daten- 216 verantwortliche Stelle entweder über Anzeigen, die mindestens eine halbe Seite schutzaudit erfüllen. umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, gleich wirksame Maßnahme die Öffentlichkeit informieren. Die im Koalitionsvertrag vorgesehenen Aufgaben können nach Auffassung der Ein Verstoß gegen die neue Informationspflicht ist bußgeldbewehrt. Erfolgt Datenschutzbeauftragten des Bundes und der Länder nur unabhängig von den die Mitteilung gegenüber der Aufsichtsbehörde oder den Betroffenen vorsätz- Daten verarbeitenden Stellen und der IT-Wirtschaft wahrgenommen werden. lich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, Die Konzeption der Stiftung Datenschutz als unabhängige Zertifizierungs-, kann die Aufsichtsbehörde ein Bußgeldverfahren einleiten und ein Bußgeld in Test- und Bildungsstelle berührt auch Fragen der Finanzierung. Im Bundes- Höhe von bis zu 300.000 Euro verhängen.221 haushalt 2011 sind 10 Millionen Euro für die Stiftung Datenschutz veranschlagt worden217. Darüber hinaus ist noch ungeklärt, ob und welche Gelder bereit 218 § 42a BDSG 219 Zur Informationspflicht von öffentlichen Stellen Berlins vgl. § 18 a BlnDSG, GVBl. 2011, S. 51 220 Dazu gehören besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG, Daten, 215 Zentrales Portal der Datenschutzbehörden: www.datenschutz.de die durch ein Berufsgeheimnis geschützt sind, Daten, die sich auf strafbare oder bußgeldbe- 216 Vgl. § 9a BDSG wehrte Handlungen beziehen, und Daten zu Bank- und Kreditkartenkonten. 217 BT-Drs. 17/3523, S. 28, und BT-Drs. 17/3325, S. 61/62 221 § 43 Abs. 2 Nr. 7, Abs. 3 BDSG 168 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 169",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p86-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 87,
"content": "Kapitel 12 Datenschutzmanagement 12.2 Informationspflicht bei Datenpannen Entsprechende Informationspflichten für den Verlust von Bestands-, Nutzungs- Bank mitteilte, hatte sich herausgestellt, dass der Mitarbeiter Doubletten oder Verbindungsdaten gelten nach dem Telekommunikationsgesetz (TKG) 222 von Kreditkarten gedruckt und PIN-Briefe gestohlen hatte, um mit den und dem Telemediengesetz (TMG)223. Für Daten, die dem Sozialgeheimnis224 Karten Geld an Geldautomaten abheben zu können. Auch sog. Präge- unterliegen, gilt seit August eine spezielle Informationspflicht , die sich auf 225 spurdaten, d. h. Daten, die auf der Karte gespeichert werden, wurden auf besondere Arten personenbezogener Daten226 bezieht. dem Rechner des Mitarbeiters gefunden. Die Daten hatte er offensicht- lich mitgenommen, um Doubletten zu Hause nachzuprägen. Die Bank In der Praxis zeigt sich bei der Anwendung der Neuregelung eine gewisse tauschte sämtliche Kreditkarten aus, zu denen Doubletten beim Beschul- Unsicherheit. Den Unternehmen bereitet es insbesondere Schwierigkeiten ein- digten sichergestellt wurden. Zuvor hatte sie die Kundinnen und Kunden zuschätzen, wann von einer Kenntniserlangung durch Dritte auszugehen ist schriftlich auf auffällige Umsätze bei der Prüfung der Transaktionsdaten und wann schwerwiegende Beeinträchtigungen für die Rechte oder Interes- hingewiesen; sie hatten daraufhin mit der Bank Kontakt aufgenommen. sen der Betroffenen zu erwarten sind. Bei der Entscheidung über die Form der Kundinnen und Kunden, zu denen allein Prägespurdaten sichergestellt Benachrichtigung – individuell oder durch Information der Öffentlichkeit – wurden, benachrichtigte die Bank nicht. sind bisher keine größeren Probleme aufgetreten. Fast scheint es, als würden die Unternehmen eine individuelle Benachrichtigung grundsätzlich vorziehen, da Die entwendeten Daten sind personenbezogene Daten zu Kreditkarten- und die Information der Öffentlichkeit auch mit einem Imageschaden verbunden Bankkonten, die einem Dritten unrechtmäßig zur Kenntnis gelangt waren. Der sein kann. Um die Daten verarbeitenden Stellen zu unterstützen, informati- Mitarbeiter nutzte die Daten zu anderen als im Rahmen seiner Tätigkeit vorge- onspflichtige Vorfälle zu identifizieren und die daraus folgenden Handlungs- sehenen Zwecken, sodass er die Daten nicht als Mitarbeiter, sondern als „Drit- pflichten umzusetzen, haben wir ein Merkblatt in Form von „Häufig gestell- ter“ verwendete. Die Bank hatte zu prüfen, ob sie nach § 42a BDSG verpflich- ten Fragen“ (FAQs) veröffentlicht.227 In mehreren Fällen haben wir uns zum tet war, die Betroffenen zu benachrichtigen. Dafür musste sie prognostizieren, konkreten Umfang der neuen Informationspflicht geäußert. ob schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdi- gen Interessen der Betroffenen durch das Handeln des Beschuldigten drohten. Die Bank stellte sich auf den Standpunkt, dass dies nicht der Fall sei: Für die 12.2.1 Datenklau beim Kreditkartendienstleister Zukunft schloss sie eine missbräuchliche Verwendung der Daten aus, da die Karten, zu denen Doubletten vorhanden waren, ausgetauscht worden waren. Eine Bank beauftragte einen Dienstleister mit der Prägung und Versendung Zudem kam die Bank zu dem Ergebnis, dass keine weiteren als die bekann- Aus der Praxis von Kreditkarten und PIN-Informationen an die Kundinnen und Kunden. ten Schadensfälle zu erwarten seien. In Bezug auf die Prägespurdaten wies sie Dieser Dienstleister schaltete einen Unterauftragnehmer ein, der wiede- darauf hin, dass es dem Beschuldigten nicht gelungen war, diese auf Doublet- rum einen weiteren Subauftragnehmer mit der Erledigung der Aufgaben ten zu drucken und die Karten dann zu verwenden. Darüber hinaus schloss betraute. Die Bank unterrichtete uns davon, dass ein Mitarbeiter des Sub- die Bank es als unwahrscheinlich aus, dass der Beschuldigte die Prägespurda- unternehmers verhaftet wurde und bei der Durchsuchung von Wohnung ten für Bestellungen im Internet verwendet oder an (Mit-)Täter weitergege- und Arbeitsplatz Kreditkartendaten sichergestellt worden seien. Wie uns die ben hatte. Dies konnte sie insbesondere anhand der Ergebnisse des strafrechtli- chen Ermittlungsverfahrens nachvollziehbar darlegen. Wir hatten keine Anhalts- 222 § 93 Abs. 3 TKG punkte, an dieser Einschätzung zu zweifeln. 223 § 15a TMG 224 § 35 Sozialgesetzbuch (SGB) I, § 67 SGB X 225 § 83a SGB X 226 § 67 Abs. 12 SGB X 227 http://www.datenschutz-berlin.de/content/themen-a-z/informationspflicht-nach-42-a- bdsg 170 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 171",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p87-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 88,
"content": "Kapitel 12 Datenschutzmanagement 12.2 Informationspflicht bei Datenpannen Für die betroffenen Stellen ist es hilfreich, Szenarien zu entwerfen, wie die waren. Eine Zugangssperre (etwa in Form des Windows-Login) reicht nicht Daten genutzt werden könnten. Solche Szenarien sind daraufhin zu analy aus. Diese kann technisch leicht umgangen werden. sieren, welche Beeinträchtigungen der Betroffenen materieller wie immate rieller Art (z. B. Vermögensschäden, soziale Nachteile) möglich sind und wie wahrscheinlich deren Eintritt ist. Je größer die mögliche Beeinträchtigung Beim Einsatz von mobilen Geräten ist generell zu empfehlen, Verschlüsse ist, desto geringere Anforderungen sind an die Eintrittswahrscheinlichkeit zu lungsmechanismen einzusetzen, insbesondere die Festplatten zu verschlüs stellen. Die betroffenen Stellen sollten den Entscheidungsprozess dokumen seln. Darüber hinaus sollten Laptops mit personenbezogenen Daten über das tieren und das prognostizierte Ergebnis nachvollziehbar begründen können. Fahrtende hinaus nicht in Fahrzeugen aufbewahrt werden. 12.2.2 Gestohlene Laptops 12.2.3 Personalakten im Posteingang einer Kinderbetreuungseinrichtung Ein Unternehmen ließ Personalakten von einem externen Dienstleis- Aus der Praxis Eine Kinderbetreuungseinrichtung meldete uns den Diebstahl von drei ter im Wege einer Datenverarbeitung im Auftrag digitalisieren. Nach 228 Aus der Praxis Notebooks, die sowohl zur Verwaltung der Kundendaten als auch für dem Einscannen lieferte dieser die digitalisierten Akten in verplombten Zwecke der Dokumentation der Kinderbetreuung eingesetzt wurden. Auf Behältnissen an das Unternehmen zurück. Entgegen der Absprache wur- den Laptops waren u. a. Kontodaten der Kundinnen und Kunden sowie den die Kisten nicht direkt beim zuständigen Mitarbeiter der Personalab- Beobachtungs- und Eingewöhnungsprotokolle zu den betreuten Kindern teilung abgegeben, sondern gelangten in den normalen Posteingang, wo und Dokumente zu Elterngesprächen gespeichert. Eines der Notebooks sie geöffnet wurden. Das Unternehmen teilte uns mit, dass die Mitarbei- wurde aus einem Fahrzeug gestohlen. Die anderen beiden Laptops befan- ter nur die Aktenvorblätter und Registerblätter einsahen. Den Vorblät- den sich zum Zeitpunkt des Diebstahls im verschlossenen Gebäude der Ein- tern waren keine personenbezogenen Daten im Klartext, sondern nur in richtung. Sie hatte die betroffenen Eltern bereits unterrichtet, bevor sie uns Form eines Barcodes zu entnehmen. Dieser war für die Mitarbeiter des über die Vorfälle informierte. Posteingangs nicht auflösbar. Anhand der Vorblätter konnten sie bereits feststellen, dass es sich um Personalakten handelte, da allseits bekannt war, Auf die Frage, ob die Kinderbetreuungseinrichtung überhaupt verpflichtet war, dass ausschließlich Personalakten gescannt wurden. Die Aktenstapel wur- die Betroffenen zu unterrichten, kam es nicht an, denn sie hatte die Informa- den von den Mitarbeitern daraufhin nicht geöffnet, und es wurde keine tionspflicht gegenüber den Betroffenen bereits erfüllt, bevor sie uns benach- Einsicht in einzelne Akten genommen. richtigte. Gleichwohl meinte sie, dass eine Informationspflicht nicht bestanden hätte: Ihr sei nicht bekannt geworden, ob die Diebe der Laptops die gespei- Das Unternehmen war nicht verpflichtet, die Betroffenen zu benachrichtigen. cherten Daten tatsächlich zur Kenntnis genommen haben. Es bestanden keine tatsächlichen Anhaltspunkte dafür, dass die Mitarbeiter des Posteingangs Daten im Sinne von § 42a BDSG zur Kenntnis genommen hat- Die Kenntniserlangung durch einen Dritten muss von der betroffenen Stelle ten. Grundsätzlich müssen Unternehmen auch bei Personaldaten prüfen, ob die nicht positiv festgestellt werden. Es reicht aus, wenn es entweder offensichtlich Betroffenen zu benachrichtigen sind. Personalakten können besondere Arten ist, dass Dritte Kenntnis erlangt haben, oder wenn anhand von tatsächlichen personenbezogener Daten enthalten (wie Informationen zur Religionszugehö- Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen wer- rigkeit oder Krankschreibungen). Darüber hinaus können Daten zur Bankver- den kann. Bei gestohlenen Laptops ist dies jedenfalls dann anzunehmen, wenn die Festplatten bzw. die Daten (wie im vorliegenden Fall) nicht verschlüsselt 228 § 11 BDSG 172 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 173",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p88-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 89,
"content": "Kapitel 12 Datenschutzmanagement 12.3 WLAN-Einsatz in der Berliner Verwaltung bindung in Personalakten gespeichert sein. Auch könnten Akten einem Berufs- 12.3 WLAN-Einsatz in der Berliner Verwaltung geheimnis unterliegen. Für die Pflicht zur Benachrichtigung kommt es nicht darauf an, dass die Daten außerhalb des Unternehmens stehenden Personen Aufgrund kostengünstiger Komponenten, des geringen Installationsaufwands unberechtigt zur Kenntnis gelangt sind. und der Kompatibilität mit vorhandenen Netzstrukturen hat der Betrieb loka- ler Funknetze (Wireless Local Area Networks (WLANs)) nach dem IEEE Die Unternehmen können auch dann verpflichtet sein, die Betroffenen 802.11-Standard zugenommen. Sie erhöhen die Mobilität, sind flexibel und zu benachrichtigen, wenn Daten intern an nicht berechtigte Beschäftigte im Vergleich zu drahtgebundenen Vernetzungen schneller und kostengüns- weitergegeben werden. tiger aufzubauen, da keine physisch vorhandenen Leitungsanschlüsse benö- tigt werden. Da jedoch als Trägermedium für die zu transportierenden Daten Funkwellen genutzt werden, sind Angriffe auf die Daten auch ohne räumlichen 12.2.4 Kreditverträge im Auto Zugriff möglich. Die bisher oft anzutreffende mangelhafte Sicherheit – z. B. der Einsatz des unsicheren WEP-Verfahrens zur Datenverschlüsselung – gefährdet Eine Tasche mit Kreditverträgen zweier Kunden wurde aus dem Pkw eines die Datensicherheit ganzer Netze, obwohl es eine Vielzahl von Maßnahmen Aus der Praxis Bankangestellten gestohlen. Die Bank benachrichtigte die Kunden über für den sicheren Einsatz von WLANs gibt. Wir haben schon früher zu Daten- den Verlust der Verträge. In einer Richtlinie hatte die Bank organisatorisch schutz- und Datensicherheitsproblemen in lokalen Funknetzen berichtet229. In festgelegt, dass vertrauliche Unterlagen außerhalb des Bankgebäudes nicht diesem Zusammenhang hatten wir z. B. auf die Notwendigkeit der Verschlüs- aus der Hand gegeben oder ohne persönliche Aufsicht gelagert werden dür- selung mit WPA2-AES oder der Ersteinrichtung per Kabel sowie der Vergabe fen. Gleichwohl hatte der Mitarbeiter dagegen verstoßen. eines individuellen Passwortes für den Router hingewiesen. Die Bank erfüllte ihre Informationspflichten gegenüber der Aufsichtsbehörde Um einen aktuellen Überblick über den Stand des Einsatzes von WLANs in und den Betroffenen ordnungsgemäß. Wir haben die Bank darauf hingewiesen, den Bezirksämtern und Senatsverwaltungen zu erhalten, haben wir um Beant- dass den Betroffenen angeboten werden sollte, die Bankverbindung zu wech- wortung eines Fragenkatalogs gebeten. Er enthält auch Fragen zum Vorhan- seln, wenn diese aus den Unterlagen hervorging. Sollten Maßnahmen existieren, densein einer Sicherheitsrichtlinie, zur Erstellung eines Sicherheitskonzepts, die mögliche nachteilige Folgen des Datenverlustes mindern, sind diese dem zum Einsatz von Verschlüsselungsverfahren und zur Änderung von Standard- Betroffenen bei der Benachrichtigung mitzuteilen. kennwörtern. Die nach Auswertung der Fragebögen durchgeführten (und noch andauernden) Kontrollen erstrecken sich auf das Vorhandensein von Funknet- zen in den öffentlichen Stellen und deren Umgebung. Als Zwischenstand kann Organisatorische Festlegungen entbinden betroffene Stellen bei einem Datenverlust nicht von der Informationspflicht. zu den bisher kontrollierten Standorten ein positives Fazit gezogen werden, da man offensichtlich aus den Fehlern der Vergangenheit gelernt hat und z. B. ausschließlich der sichere WPA2-Verschlüsselungsstandard vorgefunden wurde. Die Kontrollen dienen ausschließlich dem Zweck, dass evtl. installierte WLANs im öffentlichen Bereich aufgefunden werden. Hierbei soll festgestellt werden, ob und wenn ja welche Sicherheitsmaßnahmen beim Einsatz der Informati- onstechnik ergriffen wurden. Es werden keine eigenen Penetrationsversuche 229 Zuletzt JB 2005, 4.9.4 174 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 175",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p89-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 90,
"content": "Kapitel 12 Datenschutzmanagement 12.4 Behördlicher Datenschutz und Korruptionsbekämpfung in WLANs erfolgen, auch dann nicht, wenn eine unzureichende Absicherung teilen könne, welche datenschutzrechtlichen Bestimmungen für die Arbeit vorliegt (z. B. bei einem nur mit WEP geschützten WLAN). Außerdem werden des Antikorruptionsbeauftragten gelten. Die Ämterkombination befähige zu auch keine standortbezogenen Angaben (z. B. mit GPS) festgehalten. einem verantwortungsvollen Umgang mit den jeweils zugewiesenen Aufga- ben. Auch sehe sich die betreffende Person selbst keinem Interessenkonflikt Für die Kontrollen werden ein Notebook, Netbook, Smartphone und PDA mit zwischen seinen Aufgaben als behördlicher Datenschutz- und Antikorrup- den frei verfügbaren oder kommerziellen Softwaretools Netstumbler, inSSI- tionsbeauftragter ausgesetzt. Der, WiFiFoFum2 eingesetzt. Netstumbler ist ein WLAN-Monitor-Programm (Scanner) für Windows. Es prüft die WLAN-Kanäle, ob darauf Netzwerke Nach dem Gesetz darf zum behördlichen Datenschutzbeauftragten nur bestellt (Wireless Access Points (AP) nach dem Standard 802.11a, b und g) verfügbar werden, wer durch die Bestellung keinem Interessenkonflikt mit sonstigen sind. Es liefert detaillierte Informationen (wie Netzwerkname, MAC-Adresse, dienstlichen Aufgaben ausgesetzt wird . Hier besteht ein solcher Interessen- 232 ob Verschlüsselung oder nicht). Außerdem sucht es aktiv die Netzwerke durch konflikt: Der behördliche Datenschutzbeauftragte hat einerseits die Einhal- regelmäßiges Senden von Probe-Anfragen. Ist der AP so konfiguriert, dass er tung datenschutzrechtlicher Vorschriften zu überwachen, andererseits hat er auf diese Anfrage reagiert, kann Netstumbler ihn erkennen. Andernfalls taucht als Antikorruptionsbeauftragter die Aufgabe, u.a. durch Erhebung und Verar- der AP nicht in der Liste auf; man spricht dann von einem sog. closed AP. beitung von personenbezogenen Daten in umfangreichem Maß Korruption Auch inSSIDer und WiFiFoFum haben einen vergleichbaren Funktionsumfang, zu bekämpfen bzw. vorzubeugen. Durch die ihm übertragene Doppelfunktion zeigen jedoch nicht nur an, dass eine Verschlüsselung erfolgt, sondern erken- liegen Entscheidungs- und Kontrollfunktion in einer Hand. Der Datenschutz- nen auch das verwendete Verschlüsselungsverfahren. beauftragte müsste seine eigene Arbeit als Antikorruptionsbeauftragter kontrol- lieren. Die Unabhängigkeit, die ein behördlicher Datenschutzbeauftragter zur Funknetze kennen keine räumlichen Grenzen. Die Orientierungshilfe ordnungsgemäßen Erfüllung seiner Aufgaben benötigt, ist so nicht gewährleistet. „Datenschutz in drahtlosen Netzen“230 steht Interessierten im Internet Dass die betreffende Person die Ansicht vertritt, ein Interessenkonflikt bestehe zur Verfügung.231 nicht, ist nicht ausschlaggebend für die Bewertung der Rechtmäßigkeit seiner Bestellung zum behördlichen Datenschutzbeauftragten. 230230 231231 Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die 12.4 \u0007Ein Beauftragter für behördlichen Datenschutz Praxis des Bezirksamts beanstandet und empfohlen, die betreffende Person von einer der beiden Funktionen zu entbinden, um den bestehenden Inter- und Korruptionsbekämpfung? essenkonflikt zu beenden. Das Bezirksamt ist dieser Empfehlung nicht gefolgt. Nachdem wir festgestellt hatten, dass sowohl das Amt des behördlichen Die Funktionen des behördlichen Datenschutzbeauftragten und des Anti Aus der Praxis Datenschutzbeauftragten als auch das Amt des Antikorruptionsbeauftragten korruptionsbeauftragten sind nicht miteinander vereinbar. Sie müssen von beim Bezirksamt Pankow von derselben Person ausgeübt wurden, wiesen unterschiedlichen Personen wahrgenommen werden. wir das Bezirksamt auf die Unvereinbarkeit beider Ämter hin. Das Bezirks- amt erklärte, dass der behördliche Datenschutzbeauftragte am besten beur- 230 Sie wurde erstellt von den Arbeitskreisen „Technische und organisatorische Datenschutz- fragen“ und „Medien“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder. 231 www.lfd.m-v.de/dschutz/informat/wlan/oh_wlan.pdf 232 § 19 a Abs. 2 Satz 1 BlnDSG 176 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 177",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p90-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 91,
"content": "Kapitel 13 Telekommunikation und Medien 13.1 Vorratsdatenspeicherung 13. Telekommunikation und Medien beschwerden gebeten, die wir unter den Landesbeauftragten abgestimmt und in deren Namen abgegeben haben. Darin haben wir unsere Auffassung dar- gelegt, dass die §§ 113 a, 113 b TKG das Fernmeldegeheimnis aus Art. 10 GG 13.1 Vorratsdatenspeicherung in seinem Wesensgehalt verletzen. Die angegriffenen Regelungen verstießen darüber hinaus auch gegen das Verbot der Vorratssammlung zu unbestimmten oder noch nicht bestimmbaren Zwecken und ermöglichten eine unverhältnis- mäßige Einschränkung des Fernmeldegeheimnisses. Das Bundesverfassungsgericht hat im März über die zahlreichen Verfassungs- beschwerden gegen die Einführung der sog. „Vorratsdatenspeicherung“233 ent- Dieser Auffassung hat sich das Bundesverfassungsgericht nur teilweise ange- schieden. Mit ihr wurden Anbieter von Telekommunikationsdienstleistungen schlossen: Das Gericht hat zwar die in den Verfassungsbeschwerden ange- verpflichtet, Verkehrsdaten für die Dauer von sechs Monaten anlassunabhängig griffenen §§ 113 a, 113 b TKG und § 100 g Abs. 1 Satz 1 StPO, soweit für Zwecke der Strafverfolgung zu speichern und den Strafverfolgungsbehör- danach Verkehrsdaten erhoben werden dürfen, für nichtig erklärt und ange- den und Nachrichtendiensten im Einzelfall für die Erfüllung ihrer Aufgaben ordnet, dass die aufgrund der einstweiligen Anordnungen von den Dienstean- zu übermitteln. bietern noch nicht an die ersuchenden Behörden übermittelten Telekommu- nikationsverkehrsdaten unverzüglich gelöscht werden müssen.236 In einer einstweiligen Anordnung hatte das Bundesverfassungsgericht bereits 234 zwei Jahre zuvor bestimmt, dass die zur Vorratsdatenspeicherung verpflich- Das Gericht führt jedoch aus, dass eine sechsmonatige, vorsorglich anlasslose teten Anbieter von Telekommunikationsdienstleistungen bis zum Abschluss Speicherung von Telekommunikationsverkehrsdaten durch private Dienstean- des Hauptverfahrens Vorratsdaten an die ersuchende Behörde nur dann über- bieter mit dem Fernmeldegeheimnis in Art. 10 GG „nicht schlechthin unverein- mitteln dürfen, wenn gemäß der Anordnung des Abrufs der Gegenstand des bar“ ist; insbesondere verletze sie nicht dessen Wesensgehalt. Allerdings sieht das Ermittlungsverfahrens eine Katalogtat nach § 100 a Abs. 2 Strafprozessord- Bundesverfassungsgericht in dieser Vorratsdatenspeicherung einen „besonders nung (StPO) ist und die Voraussetzungen des § 100 a Abs. 1 StPO vorliegen. schweren Eingriff mit einer Streubreite, wie sie die Rechtsordnung bisher nicht kennt. Dagegen sei in den Fällen des § 100 g Abs. 1 StPO von einer Übermittlung [...] Die Speicherung bezieht sich dabei auf Alltagshandeln, das im täglichen Mitein- der Vorratsdaten an die Ermittlungsbehörden vorläufig abzusehen. ander elementar und für die Teilnahme am sozialen Leben in der modernen Welt nicht mehr verzichtbar ist.“ 237 Weiter heißt es in dem Urteil plastisch: „Hierdurch ist In einer weiteren einstweiligen Anordnung hatte das Bundesverfassungsgericht die anlasslose Speicherung von Telekommunikationsverkehrsdaten geeignet, ein diffus die Nutzung der Vorratsdaten im Bereich der Gefahrenabwehr auf die Abwehr bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrneh- einer dringenden Gefahr für Leib, Leben oder Freiheit einer Person, für den mung der Grundrechte beeinträchtigen kann.“ Deshalb ist die konkrete Umset- 238 Bestand oder die Sicherheit des Bundes oder eines Landes oder zur Abwehr zung der Vorschriften der Richtlinie 2006/24/EG durch die Bundesregierung einer gemeinen Gefahr beschränkt. 235 in nationales Recht nach Auffassung des Bundesverfassungsgerichts mit Art. 239 10 Abs. 1 GG nicht vereinbar. Das betrifft insbesondere die Vorschriften zum Im Verlauf des Verfahrens hatte das Bundesverfassungsgericht die Landes beauftragten für den Datenschutz um eine Stellungnahme zu den Verfassungs- 236 Urteil vom 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, NJW 2010, S. 833 ff. 237 Ebenda, S. 838, Rn. 210 238 Ebenda, Rn. 212 233 Vgl. JB 2007, 12.1.1 239 Vgl. Gesetz zur Neuregelung der Telekommunikationsüberwachungen und anderer ver- 234 Beschluss vom 11. März 2008 – 1 BvR 56/08 deckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 235 Beschluss vom 28. Oktober 2008 – 1 BvR 256/08 21. Dezember 2007, BGBl. I, S. 3198 178 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 179",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p91-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 92,
"content": "Kapitel 13 Telekommunikation und Medien 13.2 Soziale Netzwerke Abruf und zur unmittelbaren Nutzung der gespeicherten Daten: Diese hält Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat das Bundesverfassungsgericht nur für verhältnismäßig, wenn sie „überragend die Bundesregierung aufgefordert, sich für eine Aufhebung der Europäischen wichtigen Aufgaben des Rechtsgüterschutzes dienen“. Voraussetzung hierfür ist im Richtlinie zur Vorratsdatenspeicherung einzusetzen.244 Auch hat sie darauf hin- Bereich der Strafverfolgung ein durch bestimmte Tatsachen begründeter Ver- gewiesen, dass der Gesetzgeber nach dem Urteil des Bundesverfassungsgerichts dacht einer schweren Straftat.240 Eine Nutzung für Zwecke der Gefahrenab- zur Vorratsdatenspeicherung bei der Einführung neuer Speicherpflichten oder wehr und der Nachrichtendienste darf nur bei Vorliegen tatsächlicher Anhalts- -berechtigungen im Hinblick auf die Gesamtheit der verschiedenen Daten- punkte für eine konkrete Gefahr für Leib, Leben oder Freiheit einer Person, für sammlungen zu größerer Zurückhaltung aufgerufen ist. den Bestand oder die Sicherheit des Bundes oder eines Landes oder für eine gemeine Gefahr ermöglicht werden.241 Auch die Regelungen zur Datensicher- Die Bundesregierung sollte sich auf europäischer Ebene für eine Aufhebung heit hält das Bundesverfassungsgericht für unzureichend und fordert wegen des der Richtlinie zur Vorratsdatenspeicherung einsetzen. Sollte dies nicht zum Umfangs und der potenziellen Aussagekraft der Daten einen besonders hohen Erfolg führen, muss die Richtlinie jedenfalls grundrechtsschonend in natio Standard. Auch müssten die Vorschriften zur Erteilung von Auskünften über 242 nales Recht umgesetzt werden. Inhaber von IP-Adressen so gefasst werden, dass sie zukünftig für die Verfol- gung von Ordnungswidrigkeiten nur in gesetzlich ausdrücklich benannten Fäl- len von besonderem Gewicht erlaubt ist. 13.2 Soziale Netzwerke Die Bundesregierung hat bisher keinen neuen Entwurf zur Umsetzung der Richtlinie zur Vorratsdatenspeicherung vorgelegt. Auf europäischer Ebene läuft gegenwärtig eine Evaluation dieser Richtlinie. Die Veröffentlichung der Ergeb- Trotz der vom Betreiber nach dem letzten Vorfall dieser Art245 getrof- Aus der Praxis nisse ist bereits mehrfach verschoben worden und jetzt für das Frühjahr 2011 fenen Schutzmaßnahmen ist es wieder zu einem massenweisen Ausle- angekündigt. In mehreren anderen EU-Mitgliedstaaten ist die Richtlinie bis- sen von Profildaten aus dem sozialen Netzwerk SchülerVZ gekommen: her nicht umgesetzt oder ihre Umsetzung von Gerichten gestoppt worden. Der Einem Studenten war es gelungen, 1,6 Millionen Profildatensätze aus Europäische Gerichtshof muss sich auf Vorlage des irischen High Court mit dem Netzwerk automatisiert auszulesen. der Frage befassen, ob die Richtlinie zur Vorratsdatenspeicherung mit den in der EU geltenden Grundrechten vereinbar ist. Die Art. 29-Datenschutzgruppe Wir haben uns die vom Betreiber zusätzlich getroffenen Schutzmaßnahmen hat die Umsetzung der Richtlinie in den Mitgliedstaaten untersucht und sich schildern lassen. Auch hier waren wiederum „nur“ Daten ausgelesen worden, für eine Verkürzung der Höchstfrist für die Vorratsdatenspeicherung und die die von den Betroffenen so konfiguriert waren, dass jedes Mitglied der Platt- Einführung einer einheitlichen, kürzeren Frist ausgesprochen. 243 form sie einsehen durfte. Die nach dem Vorfall durch den Anbieter ergän- zend getroffenen Sicherungsmaßnahmen halten wir im Ergebnis für ausrei- chend. Es kann jedoch nicht ausgeschlossen werden, dass derartige Angriffe 240 BVerfG, Entscheidung vom 2. März 2010 – 1 BvR 296/08, Nr. 228 auch zukünftig mit geänderten Vorgehensweisen oder unter Nutzung bisher 241 Ebenda, Nr. 231 242 Ebenda, Nr. 221 ff. noch nicht bekannter Sicherheitslücken erfolgreich wiederholt werden. Wir 243 Vgl. Bericht 01/2010 vom 13. Juli 2010 (WP 172) über die zweite gemeinsame Durchset- empfehlen daher schon seit Langem, die Veröffentlichung personenbezogener zungsmaßnahme: Erfüllung der nach den innerstaatlichen Rechtsvorschriften über die Vor- ratsspeicherung von Verkehrsdaten aufgrund der Art. 6 und 9 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) und der Richtlinie 2006/24/ EG (über die Vorratsspeicherung von Daten und zur Änderung der Datenschutzrichtlinie 244 Entschließung vom 17./18. März 2010: Keine Vorratsdatenspeicherung!, vgl. Dokumenten- für elektronische Kommunikation) bestehenden Pflichten durch die Telekommunikations- band 2010, S. 13 Diensteanbieter und die Internet-Diensteanbieter auf nationaler Ebene 245 Vgl. JB 2009, 13.1 180 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 181",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p92-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 93,
"content": "Kapitel 13 Telekommunikation und Medien 13.2 Soziale Netzwerke Daten auf ein Minimum zu beschränken und mithilfe der Privatsphäre-Einstel- Bei den VZ-Netzwerken werden nach Aussagen des Unternehmens E-Mail- lungen den Zugriff auf solche Daten auf einen möglichst kleinen Personenkreis Adressen ausschließlich für den von den Nutzenden gewünschten Abgleich zu begrenzen. Darüber hinaus sollten die Nutzenden in sozialen Netzwerken oder zum Senden von Einladungen genutzt und nicht dauerhaft gespeichert. nicht unter dem Klarnamen, sondern unter einem Pseudonym (Spitznamen) Allerdings bestand in der Vergangenheit das Problem, dass Pseudonyme von auftreten.246 Diese Botschaft scheint erfreulicherweise zunehmend auch bei bereits registrierten Nutzenden unter bestimmten Umständen aufgedeckt wer- jugendlichen Nutzenden anzukommen: Laut einer im November publizierten den konnten, wenn den Nutzenden aufgrund der E-Mail-Adresse Profildaten Umfrage stellen Jugendliche inzwischen weniger personenbezogene Daten im der in einem Netzwerk gefundenen Bekannten angezeigt wurden. Die VZ- Netz zur Verfügung und machen zunehmend auch von Einstellmöglichkeiten Netzwerke haben dieses Problem nach unserem Hinweis unverzüglich so gelöst, zur Begrenzung von deren Verfügbarkeit Gebrauch.247 dass die oder der Einladende erst bei einer Freundschaftsbestätigung von Pro- fildaten der oder des Bekannten erfährt. Wir empfehlen ohnehin, für die Nut- Viele soziale Netzwerke bieten Nutzenden eine aus Datenschutzsicht umstrit- zung sozialer Netzwerke eine gesonderte E-Mail-Adresse zu verwenden, die tene Möglichkeit, eigene Bekannte innerhalb des Netzwerks aufzufinden nur für diesen Zweck und nicht in anderen Zusammenhängen eingesetzt wird. („Friendfinder“): Dazu erlaubt die oder der Nutzende dem Netzwerkbe- treiber kurzzeitig den Zugriff auf das E-Mail-Adressbuch eines Web-E-Mail- Weiterhin steigender Beliebtheit erfreuen sich auch in sozialen Netzwerken Dienstes oder eines Smartphones, damit der Netzwerkbetreiber die vorgefun- von Dritten angebotene Anwendungsprogramme („Apps“)248. Dabei han- denen E-Mail-Adressen mit denen der Mitglieder des Netzwerks abgleichen delt es sich vielfach um Spiele, es existiert aber auch eine Vielzahl anderer kann. Mit den so aufgefundenen Profilen von Bekannten kann man sich ver- Anwendungen. Viele dieser Programme benötigen für den Betrieb den Zugriff netzen oder anderen, die noch nicht Mitglied des Netzwerks sind, eine Ein- auf persönliche Daten der Nutzenden (bei Spielen ist dies z. B. dann der Fall, ladung schicken. wenn man mit seinen oder gegen seine Freunde spielen möchte). Bei der Nutzung solcher Drittanwendungen ist insbesondere zu beachten, dass diese In Verruf gekommen ist diese Funktion, weil einige Netzwerke die Daten auch Angebote überwiegend von Anbietern zur Verfügung gestellt werden, die nicht von Nicht-Mitgliedern und deren Beziehungen untereinander, die sich aus der identisch mit dem Betreiber des sozialen Netzwerks sind. Sie können darü- Eintragung im selben E-Mail-Adressbuch ergeben, dauerhaft abspeichern und ber hinaus ihren Sitz in einer Rechtsordnung haben, die von der des Anbie- für eigene Marketingzwecke verwenden, ohne dass die Inhaber der E-Mail- ters abweicht. Insofern ist nicht sichergestellt, dass auch für die Anbieter der Adressen eine entsprechende Einwilligung erteilt haben. Das führt dazu, dass Anwendungen dasselbe Datenschutzrecht gilt wie für den Betreiber des sozia- auch solche Personen unaufgefordert Werbemails von Netzwerken bekommen, len Netzwerks. Vielfach sind Anbieter von Drittanwendungen auch in Ländern in denen sie nicht Mitglied sind. Diese Netzwerke entwickeln so eine zusätz- außerhalb des Europäischen Wirtschaftsraums angesiedelt, in denen kein aus- liche Sogwirkung. Eine derartige Praxis verstößt gegen deutsches und europä- reichendes Datenschutzniveau gegeben ist. Teilweise fehlt es in diesen Ländern isches Datenschutzrecht. auch an einer wirksamen Datenschutzaufsicht. Wir raten daher allen, die sol- che Drittanwendungen nutzen wollen, sich vor der Nutzung über die für die Anwendung geltenden Datenschutzbedingungen einschließlich des Sitzlandes des Anbieters zu informieren. 246 Vgl. die von jugendnetz-berlin.de und uns herausgegebene Broschüre zu sozialen Netz- werken und Datenschutz „Ich suche Dich. Wer bist du?“; http://www.datenschutz-berlin. Auch gegenüber diesen Drittanbietern sollten die Nutzenden so weit wie mög- de/attachments/626/Broschuere_Soziale_Netzwerke_Ich_suche_dich.pdf?1255923610 lich unter Pseudonym auftreten. Die VZ-Netzwerke unterstützen dies durch 247 Medienpädagogischer Forschungsverbund Südwest (Hrsg.): JIM-Studie 2010, Jugend, Information, (Multi-) Media, Basisuntersuchung zum Medienumgang 12- bis 19-Jähriger in Deutschland (S. 44 f.), abrufbar unter http://www.mpfs.de 248 Vgl. 2.5 (Apps bei Smartphones) 182 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 183",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p93-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 94,
"content": "Kapitel 13 Telekommunikation und Medien 13.4 Kein Systemwechsel bei der Rundfunkfinanzierung das Angebot „Visitenkarten“: Anwendungen von Drittanbietern haben keinen • Das Arbeitspapier „Mobile Verarbeitung personenbezogener Daten und Direktzugriff auf die Profildaten der Nutzenden, sondern nur auf Daten, die Datensicherheit“ enthält Empfehlungen, um den besonderen Sicherheitsri- die oder der Nutzende der jeweiligen Anwendung auf der Visitenkarte aus- siken der Verarbeitung personenbezogener Daten auf mobilen Endgeräten drücklich zur Verfügung stellt. Dies ermöglicht insbesondere auch die Verwen- zu begegnen.251 dung verschiedener Pseudonyme bei verschiedenen Drittanbietern. • Das Arbeitspapier zur Nutzung von „Deep Packet Inspection“ zu Marke- ting-Zwecken fordert Internet-Zugangsdiensteanbieter dazu auf, die Nut- Der Düsseldorfer Kreis hat auf die Notwendigkeit hingewiesen, insbesondere zung der Deep Packet Inspection-Technologie für zielgerichtete bzw. ver- Minderjährige in sozialen Netzen wirksamer zu schützen. Zu den empfohle- 249 haltensbasierte Werbung zu unterlassen.252 nen Maßnahmen zählen datenschutzfreundliche Standardeinstellungen, die bei Minderjährigen besonders restriktiv gefasst werden sollten, die Einhaltung und Darüber hinaus ist das „Arbeitspapier zu Risiken für die Privatsphäre im wirksame Überprüfung von gesetzlich bzw. durch die Betreiber selbst vorge- Zusammenhang mit der Wiederverwendung von Email-Accounts und ähn- gebenen Grenzen für das Mindestalter der Nutzenden, eine freiwillige Alters- lichen Diensten der Informationsgesellschaft“ überarbeitet und aktualisiert 253 kennzeichnung und die Aufklärung der Nutzenden über bestehende, daten- worden.254 schutzfreundliche Nutzungsmöglichkeiten. 13.4 Kein Systemwechsel bei der Rundfunkfinanzierung Wer soziale Netzwerke nutzt, sollte Pseudonyme statt Klarnamen verwenden, die Veröffentlichung personenbezogener Daten auf ein Minimum beschrän ken und mithilfe der Privatsphäre-Einstellungen den Zugriff auf solche Daten Ab 2013 soll der öffentlich-rechtliche Rundfunk nicht mehr durch eine Aus der Praxis möglichst eng begrenzen. Bei der Nutzung von Drittanwendungen sollte geräteabhängige Gebühr, sondern durch einen wohnungs- bzw. betriebs- man sich unbedingt vorher über die für die Anwendung geltenden Daten bezogenen Beitrag finanziert werden. So sieht es die von den Minister- schutzbedingungen einschließlich des Sitzlandes des Anbieters informieren. präsidenten im Dezember beschlossene Fassung des 15. Rundfunkände- rungsstaatsvertrags vor, der derzeit in den Länderparlamenten zur Abstim- mung steht. 13.3 Aus der Arbeit der „Berlin Group“ Die Idee, die Rundfunkgebührenpflicht nicht mehr an einzelne Personen, son- dern an den jeweiligen Haushalt zu knüpfen, ist nicht neu. Bereits 2003 wurde über eine solche Neuordnung der Rundfunkfinanzierung diskutiert, jedoch Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation nicht zuletzt aufgrund der Vorbehalte der Datenschutzbeauftragten des Bun- (sog. „Berlin Group“) hat drei Arbeitspapiere verabschiedet: des und der Länder davon Abstand genommen.255 • Die „‘Granada Charta‘ des Datenschutzes in einer digitalen Welt“ formuliert Prinzipien, die Nutzenden, Anbietern und öffentlichen Stellen helfen sollen, einen freien Informationsfluss zu ermöglichen und gleichzeitig die Würde, 251 Dokumentenband 2010, S. 149 die Privatsphäre und den Datenschutz von Individuen zu bewahren. 250 252 Dokumentenband 2010, S. 147 253 Dokumentenband 2009, S. 153 ff. 254 Dokumentenband 2010, S. 142 255 JB 2003, 5.2; Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und 249 Beschluss vom 24./25. November 2010, vgl. Dokumentenband 2010, S. 24 der Länder vom 30. April 2003: Neuordnung der Rundfunkfinanzierung, vgl. Dokumen- 250 Dokumentenband 2010, S. 138 tenband 2003, S. 37 f. 184 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 185",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p94-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 95,
"content": "Kapitel 13 Telekommunikation und Medien 14.1 Informationsfreiheit in Berlin und Deutschland Auch die aktuellen Planungen zur Neugestaltung der Rundfunkfinanzierung lassen diese Vorbehalte weitgehend unberücksichtigt. Die langjährig kriti- 256 14. Informationsfreiheit sierte Praxis der umfangreichen Datenerhebung und -verarbeitung durch die GEZ und die Rundfunkgebührenbeauftragten soll noch erweitert und damit 14.1 Informationsfreiheit in Berlin und Deutschland einhergehend der Umfang der Datensammlung vergrößert werden. So sieht der Staatsvertrag in Ergänzung zu den bisherigen Regelungen die Möglichkeit einer Datenerhebung bei einer unbegrenzten Anzahl von öffentlichen Stel- Im ersten Halbjahr tagte die Konferenz der Informationsfreiheitsbeauftrag- len ohne Kenntnis der Betroffenen vor. Lediglich vorübergehend soll auf die 257 ten in Deutschland (IFK) turnusgemäß unter unserem Vorsitz. In einer Ent- Nutzung von Datenbeständen des Adresshandels verzichtet werden, soweit sie schließung258 wies sie darauf hin, dass das Recht auf Informationszugang auch „private Personen“ betreffen. gegenüber den öffentlich-rechtlichen Rundfunkanstalten als Trägern mit- telbarer Staatsverwaltung gilt, sofern nicht deren grundrechtlich geschützte Eine Loslösung vom Rundfunkbeitragseinzug durch die GEZ könnte diese journalistisch-redaktionelle Tätigkeit berührt ist. Soweit nicht schon vorhanden, Mängel ausräumen. Denkbar wäre etwa die Erhebung des Beitrags durch die seien ausdrückliche Rechtsvorschriften zu schaffen, nach denen die jeweiligen Finanzämter. Dies hätte zur Folge, dass eine der größten zentralen Datenbanken Informationsfreiheitsgesetze auch auf die öffentlich-rechtlichen Rundfunkan- Deutschlands abgeschafft und ein damit zwangsläufig erhöhtes Missbrauchs stalten außerhalb der grundrechtlich garantierten Rundfunkfreiheit anzuwen- potenzial beseitigt würde. den sind. 259 Würde diese Forderung in Berlin umgesetzt, wäre ein jahrelanger Streit zwi- Die geplante Neuordnung der Rundfunkfinanzierung stellt angesichts der Beibehaltung der Organisation des Beitragseinzugs durch die GEZ sowie schen uns und dem Rundfunk Berlin-Brandenburg beigelegt.260 Allerdings der Ausweitung der Datenerhebungs- und -verarbeitungsbefugnisse keinen sehen weder der RBB noch die für das IFG federführend zuständige Senats- tatsächlichen Systemwechsel dar, sondern eine Verschlechterung gegenüber verwaltung für Inneres und Sport einen gesetzgeberischen Handlungsbedarf. dem Ist-Zustand. Die Chance für einen datenschutzgerechten Neuanfang Sie bezweifelt sogar, dass es „Ansatzpunkte“ für eine Kontrolle des Verwal- wurde damit vertan. tungshandelns beim RBB geben kann. Dieser vertritt nun die Auffassung, dass nur für hoheitliche Tätigkeiten (wie die Zuteilung von Sendezeiten an poli- tische Parteien und den Rundfunkgebühreneinzug) Auskunftspflichten beste- hen. Hier wird verkannt, dass es auch beim RBB Vorgänge geben dürfte, die die grundrechtlich geschützte Freiheit der Berichterstattung261 nicht tangie- ren. Das betrifft zum Beispiel Verträge des RBB über die Gebäudereinigung, die Beschaffung von Sachmitteln oder etwa Verträge mit Energieversorgern. Aus welchem Grund dieser wirtschaftlich-administrative Bereich dem Anwen- dungsbereich des IFG von vornherein entzogen sein sollte, ist – auch unter 258 Entschließung vom 24. Juni 2010: Informationsfreiheit bei öffentlich-rechtlichen Rund- 256 Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder funkanstalten, vgl. Dokumentenband 2010, S. 16 vom 11. Oktober 2010: Rundfunkfinanzierung: Systemwechsel nutzen für mehr statt weni- 259 § 55 a WDR-Gesetz ger Datenschutz!, vgl. Dokumentenband 2010, S. 17 260 Vgl. JB 2005, 6.2 (S. 203 f.) 257 Wie Finanzämtern, Agenturen für Arbeit, Polizei- und Straßenverkehrsbehörden 261 Art. 5 Abs. 1 Satz 2 GG 186 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 187",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p95-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 96,
"content": "Kapitel 14 Informationsfreiheit 14.1 Informationsfreiheit in Berlin und Deutschland Berücksichtigung des für den öffentlich-rechtlichen Rundfunk wesentlichen versorgungsverträge; vor einer Entscheidung hierüber ist uns die Gelegenheit Strukturmerkmals der Staatsferne – nicht nachzuvollziehen. zur Stellungnahme zu geben. Die Senatsverwaltung für Inneres und Sport 265 hat ein erläuterndes Rundschreiben herausgegeben.266 Im zweiten Halbjahr tagte die IFK turnusgemäß unter dem Vorsitz der bran- denburgischen Landesbeauftragten für das Recht auf Akteneinsicht. Auch vor Die Vorgeschichte dieser bemerkenswerten Gesetzesnovelle beginnt 1999 dem Hintergrund der Veröffentlichung ausgewählter US-Botschaftsdepeschen mit der Teilprivatisierung der Anstalt des öffentlichen Rechts „Berliner durch WikiLeaks forderte die IFK öffentliche Stellen dazu auf, von sich aus Ini- Wasserbetriebe“.267 In dem Konsortialvertrag vereinbarte das Land Berlin mit tiativen für mehr Transparenz zu ergreifen. Zwar würden viele Behörden 262 den Investoren „absolutes Stillschweigen“ über den Inhalt. 2007 verlangte ein umfangreiche Informationen im Internet bereitstellen; allerdings sollten diese Mitglied des Abgeordnetenhauses vom Senat Einblick in sämtliche Akten in Aktivitäten gebündelt und über Internetplattformen – und damit auf einer Zusammenhang mit der Teilprivatisierung der Wasserbetriebe einschließlich breiteren Grundlage – für jedermann leicht zugänglich sein. In einer weite- des Konsortialvertrages. Nach teilweiser Ablehnung dieses Begehrens durch ren Entschließung appellierte die IFK an die Gesetzgeber, Rechtsgrundlagen den Senat erhob die Abgeordnete Klage vor dem Verfassungsgerichtshof unter für die Offenlegung von Verträgen zwischen der öffentlichen Hand und Berufung auf ihr verfassungsrechtlich gewährleistetes Akteneinsichtsrecht. 268 Unternehmen zu schaffen. Diese Forderung ist deshalb besonders wichtig, 263 Der Verfassungsgerichtshof gab ihr Recht: Der Senat habe die partielle Ver- 269 weil sich öffentliche Stellen bei der Wahrnehmung ihrer Aufgaben zunehmend weigerung der Akteneinsicht lediglich pauschal und formelhaft und nicht bezo- privater Unternehmen bedienen. Das betrifft auch zentrale Felder der staatli- gen auf einzelne Unterlagen begründet. Auch könne die vertraglich vereinbarte chen Daseinsvorsorge. Deshalb hielt die Konferenz es für zwingend geboten, Geheimhaltung der Abgeordneten nicht entgegengehalten werden, denn sie den Zugang zu solchen Verträgen in den Informationsfreiheitsgesetzen sicher stehe unter dem ausdrücklichen Vorbehalt, dass gesetzliche Vorschriften nicht zustellen, wie dies beispielgebend jüngst im Berliner Informationsfreiheitsge- zur Offenlegung verpflichteten. setz geschehen ist. Als maßgeblich für die Gesetzesänderung kann die Bürgerinitiative „Berli- In der Tat war „Stein des Anstoßes“ für diese Entschließung die Entwicklung in ner Wassertisch“, Trägerin des Volksbegehrens „Schluss mit Geheimverträgen Berlin, an deren Ende die Ergänzung des Berliner IFG um Sonderregelungen – Wir Berliner wollen unser Wasser zurück!“, angesehen werden. Es zielte auf insbesondere für Verträge der öffentlichen Grundversorgung stand. Für diese 264 die vorbehaltlose Offenlegung der Verträge mit privatrechtlichen und öffent- im neuen § 7a IFG aufgezählten besonderen Verträge ist der Informationszu- lich-rechtlichen Wasserversorgungsunternehmen.270 Obwohl ihrem Anliegen gang im Vergleich zu anderen Verträgen erheblich erleichtert, denn die Offen- durch die Änderung des IFG weitgehend Rechnung getragen und der Vertrag barung von Betriebs- und Geschäftsgeheimnissen allein kann die Offenlegung zur Teilprivatisierung der Berliner Wasserbetriebe mit sämtlichen Anlagen und nicht verhindern. Zusätzlich muss dem Vertragspartner durch die Offenlegung allen späteren Änderungsvereinbarungen vom Senat im Internet auf Grund des ein wesentlicher wirtschaftlicher Schaden entstehen. Selbst in diesem Fall muss neuen § 17 Abs. 3 Satz 1 IFG veröffentlicht wurde,271 trieb die Bürgerinitia allerdings noch eine Abwägung getroffen werden: Überwiegt das Informati- tive das Volksbegehren weiter voran, um weitere Forderungen wie die rück onsinteresse das Geheimhaltungsinteresse, muss der Vertrag gleichwohl offen- gelegt werden. Neu ist auch die Pflicht zur Veröffentlichung solcher Grund- 265 § 17 Abs. 3 IFG 266 Rundschreiben I Nr. 64/2010 vom 23. November 2010 267 Vgl. dazu insgesamt A. Dix: Aktive Transparenz bei Grundversorgungsverträgen – Das Ber- 262 Entschließung vom 13. Dezember 2010: Open Data: Mehr statt weniger Transparenz!, vgl. liner Modell. In: Informationsfreiheit und Informationsrecht, Jahrbuch 2010, S. 133 ff. Dokumentenband 2010, S. 169 268 Art. 45 Abs. 2 Verfassung von Berlin (VvB) 263 Entschließung vom 13. Dezember 2010: Verträge zwischen Staat und Unternehmen offen 269 Urteil vom 14. Juli 2010 – VerfGH 57/08 legen!, Dokumentenband 2010, S. 169 270 JB 2009, 14.2.1 264 GVBl. vom 22. Juli 2010, S. 358 271 Bekanntmachung vom 25. November 2010, ABl. Nr. 50 vom 10. Dezember 2010, S. 1985 188 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 189",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p96-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 97,
"content": "Kapitel 14 Informationsfreiheit 14.2 Einzelfälle wirkende Nichtigkeit von nicht veröffentlichten Verträgen durchzusetzen. Der die Landesgesetzgebung dienen kann.276 Auch wird für eine proaktive Infor- am 13. Februar 2011 durchgeführte Volksentscheid war erfolgreich. mation der Öffentlichkeit bei der Lebensmittelkontrolle plädiert und dabei auf die Erfahrungen des Smiley-Projekts in Pankow verwiesen, die belegen, „dass Der EuGH hat die vollständige Veröffentlichung von EU-Agrarsubventi- die Veröffentlichung positiver Kontrollergebnisse – im Gegensatz zur Beschränkung onen und ihrer Empfänger im Internet gestoppt272 und damit zwei Land- auf Verstöße – die Akzeptanz der betroffenen Unternehmen stärkt, da sie die eigene wirten aus Hessen im Ergebnis Recht gegeben. Zwar verfolge die zugrunde Regeltreue zu Werbungszwecken nutzen können“. liegende EU-Verordnung ein legitimes Ziel, weil die vorgeschriebene Trans- parenz den Bürgerinnen und Bürgern eine Beteiligung an der öffentlichen Dieses Berliner Modellprojekt erhielt bundesweiten Rückenwind durch 277 Debatte über die Verwendung der Mittel aus dem EU-Landwirtschaftsfonds die Verbraucherschutzministerkonferenz, die im September die Einführung ermögliche. Allerdings habe der europäische Gesetzgeber bei der Anordnung eines einheitlichen Systems zur Transparenz in der Lebensmittelüberwachung der pauschalen Veröffentlichungspflicht unzulässig in das Privatleben der Sub- beschlossen hat. Kurz darauf entschieden auch die Bezirke mit der zuständigen ventionsempfänger eingegriffen. Die Auflistung der Empfängernamen und der Senatsverwaltung, in Berlin zum 1. Juli 2011 ein einheitliches Smiley-System genauen Beträge sei im Hinblick auf das Ziel der Transparenz unverhältnis- nach dänischem Vorbild einzuführen. Eine Negativliste mit Fotos, wie sie im mäßig, da keine Gewichtung nach Art, Häufigkeit und Umfang der Beihilfen Pankower Modellprojekt geführt wird, soll es dann nicht mehr geben. Außer- vorgenommen worden sei. Bezüglich juristischer Personen ist jedoch die Ver- dem hat der Senat eine entsprechende Bundesratsinitiative beschlossen. öffentlichung weiterhin uneingeschränkt zulässig. Gleichwohl hat die Bun- desregierung sie in Abstimmung mit der Europäischen Kommission insgesamt Nach wie vor wird in Berlin über mehr Transparenz beim Sponsoring disku- ausgesetzt. Beide verkennen, dass der Gerichtshof eine differenzierte Veröf- 273 tiert. Dabei wäre schon viel erreicht, wenn es einheitliche Vorschriften für 278 fentlichung der Namen von Subventionsempfängern, auch soweit es sich um alle öffentlichen Stellen gäbe,279 wie es in anderen Bundesländern der Fall ist.280 natürliche Personen handelt, als zulässig angesehen hat, wenn dabei die Höhe und die Bezugsdauer der Subvention berücksichtigt werden. 14.2 Einzelfälle Im Mai hat die Bundesregierung den Bericht über die Ergebnisse der Evalu- ation des Verbraucherinformationsgesetzes (VIG) veröffentlicht. Darin 274 wird festgestellt, dass sich das VIG grundsätzlich bewährt habe, unter diver- „Zöllner stoppt CDU-Umfrage zum Lehrermangel“ sen Aspekten allerdings optimierungsbedürftig sei. Der Öffentlichkeit wurde So lautete der Titel einer Zeitungsmeldung , nach der die Bildungsver- 281 Aus der Praxis Gelegenheit zur Stellungnahme gegeben.275 Hiervon hat die Konferenz der waltung den Schulen die Teilnahme an der Umfrage eines Abgeordne- Informationsfreiheitsbeauftragten in Deutschland (IFK) Gebrauch gemacht und ten zum Lehrermangel untersagt hatte. Begründet wurde das damit, dass erneut einen direkten Informationsanspruch gegenüber Unternehmen ebenso Abgeordnete zwar nach der Verfassung von Berlin ein umfassendes Aus- gefordert wie die Zusammenführung der Vorschriften des IFG, UIG und VIG kunfts- und Akteneinsichtsrecht gegenüber dem Senat hätten, nicht aber in einem einheitlichen Gesetz auf Bundesebene, welches dann als Vorbild für gegenüber jedem Mitarbeiter oder jeder Schule. 276 Stellungnahme vom 2. September 2010, vgl. Dokumentenband 2010, S. 156 272 Urteil vom 9. November 2010, Rs. C-92/09 und C-93/09; vgl. JB 2008, 15.1 (S. 168) 277 JB 2008, 15.2.2 273 BT-Drs. 17/3807, S. 58 f. (Antwort der Bundesregierung auf die Frage der Abgeordneten 278 JB 2009, 14.2.1 (a. E.) Dr. Tackmann) 279 Vgl. Antrag der Fraktion Bündnis 90/Die Grünen, Abgh-Drs. 16/3449 274 BT-Drs. 17/1800 280 So z. B. in Hamburg, Mecklenburg-Vorpommern und Sachsen-Anhalt 275 www.vigwirkt.de 281 Der Tagesspiegel vom 30. September 2010, S. 12 190 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 191",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p97-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 98,
"content": "Kapitel 14 Informationsfreiheit 14.2 Einzelfälle Diese Auffassung berücksichtigte nicht, dass sich Abgeordnete bei einem Infor- detailliert, wer im Einzelnen Zugang zur Personalakte hat. Dazu gehören auch mationszugangsbegehren gegenüber der Verwaltung nicht nur auf Art. 45 VvB Dritte, also auch Dienstaufsichtsbeschwerdeführer. Sie haben unter den engen berufen können, sondern daneben auf das IFG. Nach dessen § 3 Abs. 1 hat gesetzlichen Voraussetzungen ein Recht auf Auskunft, jedoch kein Recht auf nämlich grundsätzlich jeder Mensch einen Anspruch auf Zugang zu den bei Akteneinsicht. 284 öffentlichen Stellen des Landes Berlin – also auch bei öffentlichen Schulen – vorhandenen Informationen. Aus welchem Grund ein Informationsrecht über Für den Informationszugang zu Dienstaufsichtsbeschwerde-Vorgängen gilt die Frage, wie viel Personal zahlenmäßig an der jeweiligen Schule fehlt, ein- ausschließlich das speziellere Personalaktendatenschutzrecht. geschränkt oder sogar ausgeschlossen sein sollte, war nicht ersichtlich. Dies 282 haben wir der Bildungsverwaltung mitgeteilt. Sie stimmte zwar der Auffassung zu, dass grundsätzlich auch Abgeordneten Ansprüche nach dem IFG zuste- hen. Im vorliegenden Fall habe sich der Abgeordnete allerdings nicht auf diese Kfz-Schaden und Ast-Bruch in Charlottenburg–Wilmersdorf Rechtsgrundlage berufen. Hierbei hat die Bildungsverwaltung jedoch ver- Ein Rechtsanwalt beschwerte sich darüber, dass ihm die Einsicht in einen Aus der Praxis kannt, dass bei Ansprüchen gegen den Staat die Rechtsgrundlage nicht kon- Schadensvorgang im Bezirksamt Charlottenburg–Wilmersdorf versagt kret benannt werden muss. Vielmehr obliegt es dem Staat selbst, den Anspruch wurde. Ein abgebrochener Ast habe den Pkw seiner Mandantin beschä- unter allen in Frage kommenden Gesichtspunkten zu prüfen. digt. Zur Prüfung der Erfolgsaussichten eines Schadensersatzanspruchs habe er Nachweise über die 2009 durchgeführten Baumkontrollen ver- langt. Das Bezirksamt begründete die Ablehnung mit § 9 Abs. 1 Satz 1 Niemand muss einer Behörde die konkrete Anspruchsgrundlage für ein Informationszugangsbegehren nennen. Es kann vom Staat erwartet werden, IFG, weil nach der besonderen Art der Verwaltungstätigkeit ein Bekannt- dass er Informationszugangsansprüche unter Würdigung aller in Betracht werden des Akteninhalts mit einer ordnungsgemäßen Aufgabenerfüllung kommenden Rechtsgrundlagen prüft, die er selbst am besten kennen müsste. unvereinbar sei. Dies ergebe sich daraus, dass der Rechtsanwalt einen zivilrechtlichen Schadensersatzanspruch gegen das Land Berlin geltend mache. Dem im Zivilrecht herrschenden Prinzip der Gleichrangigkeit von Klägerin und Beklagtem würde es widersprechen, wie im öffent Dienstaufsichtsbeschwerde beim Polizeipräsidenten lichen Recht direkt Akteneinsicht zu gewähren. Ein Bürger beschwerte sich beim Polizeipräsidenten über einen Mitarbeiter Aus der Praxis und verlangte später Informationen über die veranlassten Maßnahmen und Wir haben dem Bezirksamt mitgeteilt, dass die Berufung auf § 9 Abs. 1 Satz 1 den Ausgang der Dienstaufsichtsbeschwerde. Wir wurden gefragt, welche IFG rechtsfehlerhaft ist. Dass ein Schadensersatzprozess droht, ist kein Ableh- Rechtsgrundlage für das Informationszugangsbegehren gelte. nungsgrund, wie aus dem bereits seit 2006 geltenden § 9 Abs. 1 Satz 2 IFG im Umkehrschluss hervorgeht. Danach kann die Akteneinsicht allenfalls bei Da Dienstaufsichtsbeschwerde-Vorgänge zur Personalakte im materiellen laufenden Gerichtsverfahren und nur bei nachteiligen Auswirkungen für das Sinne gehören, gilt primär weder das Berliner Datenschutzgesetz noch das Land Berlin versagt werden. Leider hat sich das Bezirksamt diesem Hinweis IFG noch das Berliner Verwaltungsverfahrensgesetz, sondern das speziellere verschlossen und dem Widerspruch nicht abgeholfen. Das (vermeidbare, mona- Personalaktendatenschutzrecht des Landesbeamtengesetzes (LBG).283 Es regelt telange) gerichtliche Verfahren endete zugunsten der Bürgerin.285 282 § 5 ff. IFG 283 § 84 ff. LBG (entsprechend anwendbar auf Angestellte); vgl. VG Berlin, Beschluss vom 284 § 88 Abs. 2 LBG 18. März 2010 – VG 2 K 5.09 285 VG Berlin, Urteil vom 7. Oktober 2010 – VG 2 K 71.10 192 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 193",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p98-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 99,
"content": "Kapitel 14 Informationsfreiheit 14.2 Einzelfälle Die Tatsache, dass ein Gerichtsverfahren droht, ist kein Grund, den Informa Vor dem Hintergrund des Informationsfreiheitsgedankens und der Überprüf- tionszugang zu Schadensvorgängen zu verweigern. barkeit des Handelns der öffentlichen Verwaltung durch die Bürgerinnen und Bürger begrüßen wir solche Bemühungen um mehr Transparenz grundsätzlich sehr. Allerdings – so haben wir mitgeteilt – wäre eine Veröffentlichung weder BVV-Sitzungen im Internet vom BlnDSG noch vom IFG gedeckt gewesen. Eine besondere Rechtsvor- Das Bezirksamt Marzahn–Hellersdorf bat uns um Prüfung, ob Bedenken schrift, die eine Veröffentlichung der Daten erlaubt, muss den Anforderungen Aus der Praxis gegen die Übertragung öffentlicher BVV-Sitzungen im Internet bestün- von § 6 Abs. 1 Satz 3 BlnDSG genügen, d. h. einen diesem Gesetz vergleich- den. Insbesondere sei fraglich, ob alle Bezirksverordneten zustimmen müssen baren Datenschutz gewährleisten. Eine solche Rechtsvorschrift ist aber weder oder ob ein einstimmig oder mehrheitlich gefasster BVV-Beschluss ausreicht. im Bezirksverwaltungsgesetz noch in der Geschäftsordnung der BVV enthal- Das Bezirksamt hielt die jeweilige Zustimmung für erforderlich. ten. Eine Veröffentlichung der Angaben im Internet stellt eine Datenüber- mittlung an Stellen außerhalb des öffentlichen Bereichs dar und ist nach § 13 Diese Auffassung war zutreffend. Die Live-Übertragung der BVV-Sitzungen BlnDSG ohne Erlaubnistatbestand nur zulässig, wenn der Betroffene eingewil- (in Bild und Ton) im Internet mag eine Maßnahme sein, die das „gläserne“ ligt hat. Die Voraussetzungen für eine wirksame Einwilligung lagen hier nicht Rathaus fördert und damit im Sinne der Informationsfreiheit ist. Da es für vor. Weder existierte ein schriftlicher Einwilligungstext noch war die Freiwil- diese „weltweite“ Datenübermittlung aber keine Rechtsgrundlage gibt, ist ligkeit der Einwilligung sichergestellt. Ein generelles Recht bzw. eine Pflicht, sie nur mit Einwilligung aller Betroffenen zulässig. Ein mehrheitlich gefass- Informationen, die auch personenbezogene Daten enthalten, von sich aus zu ter BVV-Beschluss reicht nur dann aus, wenn ein betroffenes BVV-Mitglied veröffentlichen, statuiert das IFG nicht. die Möglichkeit hat, sich dem zu entziehen, z. B. indem der Live-Stream für die Dauer der Rede ausgeschaltet wird. BVV-Mitglieder, die ganz grundsätz- Schließlich war noch Folgendes zu berücksichtigen: Selbst bei Mitgliedern lich eine Übertragung ihrer Bilder und Worte ins Internet ablehnen, können des Bundestages, für die als Teil der Legislative und als Repräsentanten des dies einmalig für alle künftigen BVV-Sitzungen erklären. Das sollte dokumen- gesamten Volkes zur Absicherung der Freiheit der Mandatsausübung vor äuße- tiert, also schriftlich festgehalten werden, auch damit eine dauerhafte Beach- ren Einflüssen gewiss noch andere Maßstäbe anzulegen sind, wurde in der zu tung dieses Willens durch die Sitzungsleitung sichergestellt ist. Andere Personen § 44a Abgeordnetengesetz ergangenen Entscheidung des Bundesverfassungsge- wie Besucher und Bezirksamtsmitglieder, die von Bild-/Tonübertragungen im richts kontrovers erörtert, ob das Recht auf informationelle Selbstbestimmung Internet betroffen sind, müssen vor jeder BVV-Sitzung um ihre Einwilligung einer Veröffentlichung entgegensteht.286 Für die Mitglieder der BVV wie auch gebeten werden. des Bezirksamts ist dies zweifelsohne der Fall. Die BVV ist kein Parlament, sondern (wie das Bezirksamt) ein Organ der bezirklichen Selbstverwaltung.287 Transparenz bei Bezirksverordneten in Treptow–Köpenick Ein Bezirksverordneter bat uns um Prüfung, ob es Bedenken gegen die Aus der Praxis Beide Fälle zeigen, dass auch Bezirksverordnete ein Recht auf informationelle geplante Umsetzung eines BVV-Beschlusses gebe. Darin würden BVV-Mit- Selbstbestimmung haben, insbesondere weil einmal Veröffentlichtes aus glieder, die Bürgerdeputierten und Mitglieder des Bezirksamtes aufgefordert, dem Internet nicht mehr „zurückgeholt“ werden kann. Angaben über ihre vergüteten oder ehrenamtlichen Funktionen in Verbän- den, Vereinen, Beiräten, Genossenschaften, Stiftungen, Aufsichtsräten sowie Projekten freier und öffentlicher Träger dem BVV-Büro bekannt zu geben. Auch soll die unselbstständige oder selbstständige berufliche Tätigkeit ange- geben werden. Mit einem Fragebogen sollten die Daten der Betroffenen 286 Urteil vom 4. Juli 2007 – 2 BvE 1/06; 2 BvE 2/06; 2 BvE 3/06; 2 BvE 4/06, BVerfGE 118, Rn. 277 ff. erhoben und im Internetangebot der BVV veröffentlicht werden. 287 Art. 72 Abs. 1 VvB, § 2 BezVG 194 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 195",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p99-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 100,
"content": "Kapitel 15 Was die Menschen sonst noch von unserer Tätigkeit haben Was die Menschen sonst noch von unserer Tätigkeit haben 15. \u0007Was die Menschen sonst noch Diese Datenübermittlung war unzulässig, da die Kenntnis der konkreten Dia- gnosen für die arbeitsmedizinische Beurteilung nicht erforderlich war. Voll- von unserer Tätigkeit haben ... kommen ausreichend ist, dass die Beschwerden benannt werden. Dies haben wir dem medizinischen Dienst der Bundesagentur mitgeteilt. Daraufhin ist ein neues Gutachten erstellt worden; zudem hat der medizinische Dienst das Job- center über die Ungültigkeit des ursprünglichen Gutachtens informiert. Eine Bürgerin beschwerte sich über ihren Versicherungsmakler, der ihr einen Im Rahmen eines unterrichtsergänzenden Bildungsangebots (einer Bastelver- „ Fragebogen für den Abgleich ihrer persönlichen Daten“ zuleitete. Dabei anstaltung für Kinder), das vom Europäischen Sozialfonds (ESF) mitfinanziert waren Fragen zu Haus- und Grundbesitz, Hausrat, Haustieren, Land- und wurde, wurden die Eltern aufgefordert, Namen, Vornamen, Adresse, Geschlecht, Wasserfahrzeugen. Warum die Daten erhoben wurden, ergab sich aus dem Staatsangehörigkeit und Geburtsdatum ihrer Kinder gegenüber dem Veranstal- Anschreiben nicht. Der Versicherungsmakler teilte uns mit, er sei in dieser ter anzugeben. Zur Begründung wurde angeführt, die Europäische Union for- Funktion verpflichtet festzustellen, ob in einem Bereich eine Unterversiche- dere eine lückenlose Auflistung aller an ESF-Maßnahmen Teilnehmenden. Auf rung besteht. Wir haben durchgesetzt, dass er seine Kundinnen und Kunden Nachfrage teilte uns die zuständige Senatsverwaltung für Wirtschaft, Techno- zukünftig darauf hinweist, dass die Preisgabe der personenbezogenen Daten logie und Frauen mit, dass das Bastelangebot versehentlich als Qualifizierungs- freiwillig erfolgt. Außerdem wird er die Zweckbestimmung der Datenerhe- maßnahme im Rahmen des Gesamtprojekts klassifiziert worden sei, bei der die bung genauer erläutern. Erhebung der Daten tatsächlich wegen der Nachweisführung gegenüber dem ESF erforderlich gewesen wäre. Die Senatsverwaltung teilte unsere Auffassung, Eine Bank kündigte nach 29 Jahren die Geschäftsbeziehung zu einem Kun- dass die Daten für das Bastelangebot selbst in dem erhobenen Umfang nicht den. Auf Nachfrage teilte sie ihm mit, sie sei nach den Allgemeinen Geschäfts- notwendig waren. Wir haben einen datenschutzrechtlichen Mangel festgestellt. bedingungen nicht verpflichtet, die Beendigung der Geschäftsbeziehung zu Da die Senatsverwaltung zugesagt hat, dass sich die rechtswidrige Praxis nicht begründen. Die Kündigung war von der Abteilung Geldwäscheprävention der wiederholen wird, haben wir von weiteren Maßnahmen abgesehen. Bank veranlasst worden. Bei Auftreten eines Verdachts weist diese Abteilung die zuständigen Kundenberaterinnen und -berater an, das betroffene Konto zu Um Kundinnen und Kunden auch telefonisch ohne ausdrückliche Einwil- schließen. Ihnen wurde dabei nur die Kontonummer des verdächtigen Kontos ligung bewerben zu können, rief ein Unternehmen sie zunächst an. In dem mitgeteilt. Die Kontokündigung des Betroffenen erfolgte versehentlich, da der Gespräch bat das Unternehmen lediglich um die Einwilligung, zukünftig den Abteilung Geldwäscheprävention ein verhängnisvoller Zahlendreher bei der Betroffenen weitere interessante Angebote zum Unternehmen telefonisch Kontonummer unterlaufen war. Um zukünftig ähnliche Fehler zu vermeiden, unterbreiten zu dürfen. Auch ein Telefonat, in dem ein Unternehmen um eine wurde das Verfahren der Kündigungsanordnung präzisiert. Diese enthält nun Einwilligung in die telefonische Ansprache bittet, stellt Werbung dar. Der Anruf neben der Kontonummer den Namen und die Anschrift der Kontoinhaberin selbst dient nämlich der Ankündigung von Werbung und der Nennung des oder des Kontoinhabers. werbenden Unternehmens. Soweit Verbraucherinnen und Verbraucher in diese Werbeform nicht vorher ausdrücklich eingewilligt haben, liegt wegen der damit Eine Empfängerin von Leistungen nach dem SGB II musste sich zur Fest- einhergehenden unzumutbaren Belästigung ein wettbewerbswidriger Eingriff stellung ihrer Erwerbsfähigkeit einer ärztlichen Untersuchung unterziehen. vor (Cold Calling) . Die Telefonnummer wurde ursprünglich für Vertrags- 288 Eine Vertragsärztin der Bundesagentur für Arbeit hat deshalb ein medizini- zwecke verarbeitet. Die vorgenommene Zweckänderung ist nur in den gesetz- sches Gutachten erstellt. Der für das Berliner Jobcenter bestimmte und diesem auch zugegangene Gutachtenteil enthielt konkrete medizinische Diagnosen. 288 § 7 Abs. 1 und 2 Nr. 2 UWG; vgl. JB 2008, 2.1 196 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 197",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p100-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 101,
"content": "Kapitel 15 Was die Menschen sonst noch von unserer Tätigkeit haben 16.1 Entwicklungen lichen Ausnahmefällen möglich, die aber hier nicht vorlagen. Eine Einwilligung per Telefon entspricht auch nicht den Formanforderungen des Bundesdaten- 16. Aus der Dienststelle schutzgesetzes: Sie ist grundsätzlich nur wirksam, wenn sie schriftlich erteilt wird. Das Unternehmen hat nach unserer Aufforderung die rechtswidrige Pra- 16.1 Entwicklungen xis der telefonischen Abfrage von Einwilligungen eingestellt. Ein Rechtsanwalt beschwerte sich darüber, dass er vom IT-Dienstleistungszent- rum (ITDZ) keine Antwort auf die Frage erhalten habe, in welchem Verhältnis Im August verstarb unerwartet Dipl.-Volkswirt Dr. Rainer Metschke, der seit Führungspositionen beim ITDZ durch Männer und Frauen besetzt sind. 1992 als Referent für Bildung, Wissenschaft und Statistik in der Dienststelle Hintergrund war eine Auseinandersetzung um eine Ein-/Höhergruppierung des Berliner Beauftragten für Datenschutz und Informationsfreiheit tätig war. einer Beschäftigten. Nach unseren Interventionen erhielt der Rechtsanwalt die Dr. Metschke war auch außerhalb Berlins als engagierter Fachmann anerkannt seit dem letzten Frauenförderplan aktualisierten Daten, sodass ein Prozess allein und für zahlreiche Wissenschaftler an den Berliner Hochschulen stets ein kom- hierüber verhindert werden konnte. petenter Ansprechpartner. Sein Tod war ein herber Verlust für die Dienststelle. Eine Bürgerin beschwerte sich darüber, dass das Bezirksamt Pankow ihr als Die Neuorganisation des juristischen Bereichs der Dienststelle289 hat sich Pächterin eines Grundstücks nicht mitteilen wollte, welche Maßnahmen zur bewährt. Die beiden Bereiche Recht I und Recht II mit der Sanktionsstelle Einrichtung eines Abwasseranschlusses gegen die Wohnungsbaugesellschaft sowie der Servicestelle Bürgereingaben (früher BürgerOffice) können den als Eigentümerin des Grundstücks ergriffen wurden. Insbesondere wollte sie gestiegenen Beratungsbedarf der Öffentlichkeit, von Behörden und Unter- wissen, aus welchem Grund das Bezirksamt in den vergangenen Jahren nichts nehmen besser befriedigen. Gleichwohl wachsen sowohl der Problemdruck gegen die Eigentümerin unternommen hat. Nach Klärung des umfangreichen durch technische Entwicklungen mit Risiken für den Datenschutz als auch Sachverhalts konnten wir die Petentin davon überzeugen, dass die Gründe der Bedarf an Vor-Ort-Kontrollen weiter. selbst sich nicht aus der Akte ergeben werden, wenn schlichte Untätigkeit des Bezirksamts vorliegt. Das Bezirksamt haben wir davon überzeugt, dass die Die Zahl der Eingaben, die sich gegen öffentliche Stellen richten, ist in den uns mitgeteilte Tatsache, dass ein Verwaltungszwangsverfahren gegen die Woh- zurückliegenden acht Jahren nahezu identisch geblieben, während die Einga- nungsbaugesellschaft läuft, keine nach § 6 oder § 7 IFG schützenswerte Infor- ben gegen private Datenverarbeiter in den letzten vier Jahren permanent zuge- mation und deshalb auch der Petentin mitzuteilen ist. nommen haben. Zugleich setzten wir im Berichtszeitraum wegen Verstößen 290 gegen das Bundesdatenschutzgesetz Bußgelder in Höhe von insgesamt 52.120,- Euro fest, wovon Bußgeldbescheide über 35.120,- Euro bisher Rechtskraft erlangten. 289 JB 2009, 16.1 290 Vgl. Grafik nächste Seite 198 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 199",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p101-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 102,
"content": "Kapitel 16 Aus der Dienststelle 16.3 Zusammenarbeit mit anderen Stellen Allgemeine Anfragen 16.2 Zusammenarbeit mit dem Abgeordnetenhaus Eingaben gegen Private 540 Eingaben gegen Behörden 595 Eingaben gesamt Im Unterausschuss „Datenschutz und Informationsfreiheit“ des Ausschusses 2010 für Inneres, Sicherheit und Ordnung des Abgeordnetenhauses sind der Jahres- 310 1445 bericht 2008 und die Stellungnahme des Senats beraten und mit Beschluss- 291 666 empfehlungen versehen worden. Diese Empfehlungen hat das Abgeordneten- 583 haus am 17. Juni angenommen. Das Landesparlament folgt mit diesem Ver- 292 2009 328 fahren seit langem dem Beispiel des Deutschen Bundestages, der ebenfalls die 1577 Tätigkeitsberichte des Bundesbeauftragten für den Datenschutz und die Infor- 591 mationsfreiheit zum Anlass für Beschlüsse nimmt, in denen die Verwaltung 543 wie auch die Wirtschaft auf verbesserungsbedürftige Bereiche – insbesondere 2008 324 beim Datenschutz – hingewiesen wird. Zugleich wurden im Unterausschuss 1458 „Datenschutz und Informationsfreiheit“ Gesetzgebungsvorhaben (z. B. die weit- 614 reichende Änderung des Berliner Informationsfreiheitsgesetzes293) parteiüber- 413 greifend konstruktiv behandelt. 2007 400 1427 515 16.3 Zusammenarbeit mit anderen Stellen 525 2006 392 1432 Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder 466 tagte am 17./18. März in Stuttgart und am 3./4. November in Freiburg unter 350 dem Vorsitz des Landesbeauftragten für den Datenschutz Baden-Württemberg. 2005 321 Dabei fasste sie zahlreiche Entschließungen zu aktuellen Fragen des Daten- 1137 schutzes. Für 2011 hat der Bayerische Landesbeauftragte für den Datenschutz 294 481 den Konferenzvorsitz übernommen. 284 2004 299 Die im Düsseldorfer Kreis kooperierenden Aufsichtsbehörden für den Daten- 1064 schutz in der Privatwirtschaft haben unter dem Vorsitz des niedersächsischen Datenschutzbeauftragten am 28./29. April in Hannover und unter dem Vorsitz 360 296 des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein- 2003 Westfalen am 24./25. November in Düsseldorf getagt und jeweils Entschlie- 268 924 291 Abgh.-Drs. 16/2576 0 200 400 600 800 1.000 1.200 1.400 1.600 292 Vgl. Anhang 1 293 Vgl. 14.1 Anzahl der Bürgereingaben im Jahresvergleich 2003–2010 294 Vgl. Dokumentenband 2010, S. 9 200 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 201",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p102-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 103,
"content": "Kapitel 16 Aus der Dienststelle 16.3 Zusammenarbeit mit anderen Stellen ßungen zu zahlreichen Fragen des Datenschutzes im Bereich der Wirtschaft Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommu- gefasst. Für 2011 hat der Landesbeauftragte für Datenschutz und Informati- 295 nikation („Berlin Group“) tagte unter unserem Vorsitz am 15./16. April in onsfreiheit Nordrhein-Westfalen weiterhin den Vorsitz. Granada und am 6./7. September in Berlin. Die Gruppe verabschiedete die „‘Granada Charta‘ des Datenschutzes in einer digitalen Welt“ sowie mehrere Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland tagte Arbeitspapiere.299 Schließlich ist der Berliner Beauftragte für Datenschutz und am 24. Juni unter dem Vorsitz des Berliner Beauftragten für Datenschutz und Informationsfreiheit dem Global Privacy Enforcement Network (GPEN – Informationsfreiheit in Berlin und am 13. Dezember in Kleinmachnow unter Globales Netz zur Durchsetzung des Datenschutzes)300 beigetreten, das auf dem Vorsitz der Landesbeauftragten für den Datenschutz und für das Recht Initiative der U.S. Federal Trade Commission ins Leben gerufen wurde. Die- auf Akteneinsicht Brandenburg. Die Konferenz fasste Entschließungen zu sem Netz von Datenschutzbehörden gehören außerdem der Bundesbeauftragte öffentlich-rechtlichen Rundfunkanstalten, zu Open Data und zur Offenlegung für den Datenschutz und die Informationsfreiheit sowie die Datenschutzbe- von Verträgen.296 Für das erste Halbjahr 2011 hat die Landesbeauftragte für hörden aus Australien (Bundesbeauftragter und die Beauftragten der Staaten Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen den Vor- Queensland und Victoria), Bulgarien, Frankreich, Großbritannien, Guernsey, sitz dieser Konferenz übernommen. Irland, Israel, Italien, Kanada, Neuseeland, Niederlande, Polen, Schweiz, Slo- wenien, Spanien und Tschechien an. Ziel dieses Netzwerkes ist es, sich über Auf europäischer Ebene vertritt seit jeher Berlin die Bundesländer im Auf- Durchsetzungsmethoden und -strategien zu informieren, was gerade angesichts trag der Konferenz der Datenschutzbeauftragten und der Aufsichtsbehörden in der weltweit agierenden Datenverarbeiter etwa im Internet von großer prak- der Arbeitsgruppe nach Artikel 29 der Europäischen Datenschutzrichtli- tischer Bedeutung ist. nie. Die Gruppe hat wieder wichtige Arbeitspapiere und Stellungnahmen ver- fasst.297 Auf Einladung der tschechischen Datenschutzbehörde fand die Euro- päische Konferenz der Datenschutzbeauftragten am 29./30. April in Prag statt. Sie fasste Entschließungen zum Einsatz von Körperscannern an Flug- häfen und zu dem geplanten Abkommen zwischen der Europäischen Union und den USA über Datenschutzstandards im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. Unter dem Vorsitz der israeli- 298 schen Datenschutzbehörde fand die 32. Internationale Konferenz der Daten- schutzbeauftragten vom 27.–29. Oktober in Jerusalem statt. Dem ging eine zweitägige Konferenz der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zum 30-jährigen Jubiläum der Verabschiedung der Datenschutzrichtlinien dieser Organisation voraus, die als erste internationale Organisation weltweite Datenschutzprinzipien formuliert hatte. Die OECD diskutiert gegenwärtig – ebenso wie die Gremien der Europäischen Union und der Europarat – über die notwendigen Veränderungen dieser Prinzipien angesichts der Herausforderungen des 21. Jahrhunderts. 295 Vgl. Dokumentenband 2010, S. 22 296 Vgl. 14.1 297 Vgl. 11.1 (a. E.) 299 Vgl. 13.3 298 Vgl. Dokumentenband 2010, S. 30 300 www.privacyenforcement.net 202 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 203",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p103-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 104,
"content": "Kapitel 16 Aus der Dienststelle Anhänge 16.4 Öffentlichkeitsarbeit Am 28. Januar fand zum Thema „Gesundheitsdaten im Netz – Zu Risiken und Nebenwirkungen für das Persönlichkeitsrecht der Patienten“ im Hufeland- Hörsaal der Charité der 4. Europäische Datenschutztag statt. Am 4. Oktober haben die Datenschutzbeauftragten des Bundes und der Länder ein Symposium zum Thema „Modernes Datenschutzrecht für das 21. Jahrhun- dert“ im Abgeordnetenhaus veranstaltet. Außerdem beteiligten wir uns an folgenden öffentlichen Veranstaltungen: Anhänge • Tag der offenen Tür im Abgeordnetenhaus am 29. Mai Anhang 1: • 6. Jugendverbraucherschutztag im Freizeit- und Erholungszentrum Wuhl- Beschlüsse des Abgeordnetenhauses vom 17. Juni 2010 heide am 29. September Anhang 2: • Jugendmesse YOU am 1./2. Oktober. Rede des Berliner Beauftragten für Datenschutz und Informationsfreiheit am 17. Juni 2010 im Abgeordnetenhaus von Berlin zur Beschlussfassung über den Darüber hinaus haben wir an zahlreichen Veranstaltungen insbesondere zum Jahresbericht 2008 Thema Kinder- und Jugendschutz teilgenommen. 301 Stichwortverzeichnis Berlin, den 30. März 2011 Dr. Alexander Dix Berliner Beauftragter für Datenschutz und Informationsfreiheit 301 Vgl. 8.1.4 204 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 205",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p104-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 105,
"content": "Anhänge Anhang 1 Beschlüsse des Abgeordnetenhauses 3. Vorlage von Mietverträgen im Besteuerungsverfahren eines Vermieters vom 17. Juni 2010 (7.3, Drs S. 59 f.) Der Senat wird aufgefordert, durch eine Dienstanweisung sicherzustellen, dass die Finanzverwaltung bei der Ermittlung der steuerpflichtigen Einkünfte eines Bericht des Berliner Beauftragten für Datenschutz und Vermieters aus der Vermietung und Verpachtung personenbezogene Mieterda- ten nur im jeweils erforderlichen Umfang erhebt. Steuerpflichtige sollten dar- Informationsfreiheit für das Jahr 2008 auf hingewiesen werden, dass sie nicht erforderliche Angaben, z. B. in Mietver- trägen, schwärzen dürfen. 1. Datenverarbeitung in der Berliner Verwaltung 4. Errichtung einer automatisierten Schülerdatei in Berlin hier: IT-Politik für die Berliner Verwaltung, IT-Sicherheit in Berlin (10.2.2, Drs S. 101 ff) (1.2.1, 1.2.2, Drs S. 10 ff) Der Senat wird aufgefordert sicherzustellen, dass das Thema „Datenschutz“ Der Senat wird aufgefordert, dafür zu sorgen, dass unter Berücksichtigung der künftig verstärkt in den Schulunterricht integriert wird. Der Schutz der Pri- Erfahrungen des Polizeipräsidenten in Berlin und beginnend in den Behör- vatsphäre des Einzelnen ist eine schulische Bildungsaufgabe, die Eingang in die den, die besonders umfangreiche und komplexe informationstechnische Sys- Lehrpläne finden muss. teme und Verfahren betreiben, ein IT-Sicherheitsmanagement eingerichtet wird, damit nicht nur die einmalige Erstellung von Sicherheitskonzepten, sondern 5. Informationsfreiheit – Entwicklungen für und auch deren nachhaltige Anpassung an geänderte technische, organisatorische gegen mehr Transparenz und personelle Umgebungen sowie neu bekannt werdende Risiken organisa- hier: Mehr Transparenz bei Lobbyisten torisch sichergestellt werden. (15.1 Drs S. 137) Der Senat wird aufgefordert, nach dem Vorbild der Bundesregierung jährlich 2. Kontrolle der IT-Sicherheit beim polizeilichen über den Einsatz externer Personen und Gutachter in der Berliner Verwal- Informationssystem POLIKS tung (sog. Lobbyisten) zu berichten. Dieser Bericht ist allgemein zugänglich (3.2, Drs S. 40 ff) zu machen. Ferner wird geprüft, ob nach dem Vorbild der Europäischen Kom- Der Senat wird aufgefordert, dafür zu sorgen, dass unter Berücksichtigung der mission ein sog. Lobbyisten-Register machbar ist. Erfahrungen des Polizeipräsidenten in Berlin und beginnend in den Behör- den, die besonders umfangreiche und komplexe informationstechnische Sys- 6. Informationsfreiheit in Berlin – Allgemeine Entwicklungen teme und Verfahren betreiben, ein IT-Sicherheitsmanagement eingerichtet wird, hier: Offenlegung von Verträgen der öffentlichen Hand damit nicht nur die einmalige Erstellung von Sicherheitskonzepten, sondern (15.2.1, Drs S. 140) auch deren nachhaltige Anpassung an geänderte technische, organisatorische Der Senat wird aufgefordert, mit einem Schreiben an die öffentlichen Stellen und personelle Umgebungen sowie neu bekannt werdende Risiken organisa- des Landes Berlin darauf hinzuwirken, dass die öffentliche Hand – insbesondere torisch sichergestellt werden. im Bereich der Grundversorgung – künftig keine pauschale Vereinbarung mit dem Vertragspartner über die Geheimhaltung des gesamten Vertrages schließt und stattdessen im Vertrag auf das Berliner Informationsfreiheitsgesetz hinweist, nach dem auf Antrag eine (u. U. nur teilweise) Offenlegung des Vertrages in Betracht kommen kann. 206 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 207",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p105-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 106,
"content": "Anhänge Anhang 2 7. Informationsfreiheit in Berlin / Allgemeine Entwicklungen Rede des Berliner Beauftragten für Datenschutz und hier: Internet-Portal für Verwaltungsvorschriften Informationsfreiheit am 17. Juni 2010 im Abgeordne- (15.2.1, Drs S. 140 f.) tenhaus von Berlin zur Beschlussfassung über den Der Senat wird aufgefordert, dafür zu sorgen, dass die Berliner Verwaltung ein einheitliches Transparenz-Niveau dadurch schafft, dass sie Dienst- und Verwal- Jahresbericht 2008 tungsvorschriften, fachliche Weisungen u. Ä. über ein zentrales Internet-Portal allgemein zugänglich macht. Dem Unterausschuss Datenschutz ist darüber bis zum 31. Dezember 2010 zu berichten. Frau Präsidentin, sehr geehrte Damen und Herren, 8. Kopien durch mitgebrachte Vervielfältigungsgeräte (16., Drs S. 151) ich möchte Ihnen zunächst für das einhellige Vertrauen danken, das Sie mir bei Der Senat wird aufgefordert, mit einem Rundschreiben an die öffentlichen meiner erneuten Wahl zum Berliner Beauftragten für Datenschutz und Infor- Stellen Berlins darüber zu informieren, dass die Vervielfältigung von amtlichen mationsfreiheit am 3. Juni 2010 ausgesprochen haben. Damit verbinde ich den Unterlagen durch vom Bürger mitgebrachte Geräte (wie Fotoapparat, Scan- Dank dafür, dass das Abgeordnetenhaus mit dem Haushaltsgesetz 2010/2011 ner) immer dann gestattet werden kann, wenn die materiell-rechtlichen Vor- entsprechend meinem Wunsch trotz der Haushaltsnotlage des Landes unsere aussetzungen für die Herausgabe von (ggf. geschwärzten) Kopien (z. B. nach Dienststelle personell verstärkt hat. Hierdurch hat das Parlament deutlich § 13 Abs. 5 IFG) vorliegen. gemacht, dass es die wachsende Bedeutung von Datenschutz und Informati- onsfreiheit in der Bundeshauptstadt erkennt. Wie dringend notwendig diese Verstärkung ist, macht auch der Jahresbericht 2008 deutlich, der naturgemäß nur einen Teil unserer Tätigkeit beleuchtet und über den Sie heute beraten. Ich bin den Mitgliedern des Unterausschusses „Datenschutz und Informationsfreiheit“ sehr dankbar für die konstruktive Dis- kussion nicht nur dieses Berichts und der Stellungnahme des Senats, sondern auch anderer aktueller Fragen, die sich in den Bereichen des Datenschutzes und der Informationsfreiheit im vergangenen Jahr gestellt haben. Der Unterausschuss hat die Ihnen vorliegende Beschlussempfehlung vorberei- tet, die in sieben Punkten – eine Ziffer beruht auf einer redaktionellen Dop- pelung – den Senat zum Tätigwerden auffordert. Dabei ist bemerkenswert, dass der überwiegende Teil der Punkte erstmals den insofern verbesserungsbedürf- tigen Informationszugang der Bürger betrifft. 1. Das vorbildliche IT-Sicherheitsmanagement der Berliner Polizei soll in anderen Verwaltungen Schule machen. 208 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 209",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p106-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 107,
"content": "Anhänge Anhang 2 2. Die Finanzverwaltung darf bei Vermietern nur die erforderlichen Daten der Meine Damen und Herren, Mieter ermitteln. 3. Datenschutz muss endlich als Bildungsaufgabe in den Schulunterricht inte- Google Street View und Facebook sind nur zwei von vielen Schlagworten, die griert werden. die wachsende Bedeutung des Datenschutzes in der heutigen Zeit belegen. 4. Der Senat soll jährlich über den Einsatz von Lobbyisten in der Berliner Keine Datenschutzbehörde kann ausschließen, dass es künftig in Unterneh- Verwaltung berichten und die Einrichtung eines entsprechenden Regis- men und Verwaltung zu Problemen oder Rechtsverstößen kommt. Gemein- ters prüfen. sam mit meinen Mitarbeiterinnen und Mitarbeitern verstehe ich es aber als meine Aufgabe, auf diese Probleme hinzuweisen und Lösungen zu entwickeln. 5. Pauschale Geheimhaltungsabsprachen mit Vertragspartnern im Bereich der Dabei hoffe ich weiterhin auf die Unterstützung dieses Hauses.Von Umberto Grundversorgung sind künftig zu unterlassen. In diesem Punkt ist eine Eco stammt der Satz: „Das Problem ist nicht, die Privatsphäre zu schützen, sondern erfreuliche Ergänzung des Informationsfreiheitsgesetzes auf Initiative der diejenigen zu erziehen, die ihr keinen Wert beimessen.“ Dieser Satz gilt in gleicher Koalitionsfraktionen und der Fraktion Bündnis 90/Die Grünen in Vorbe- Weise für die Informationsfreiheit. reitung, die ich im Grundsatz unterstütze, für die ich aber noch Verbesse- rungen vorgeschlagen habe. 6. Ein zentrales Internet-Portal für Verwaltungsvorschriften soll geschaffen wer- den, um die Transparenz in diesem Bereich zu erhöhen, Herzlichen Dank für Ihre Aufmerksamkeit. und 7. ein immer wieder auftretendes praktisches Problem soll dadurch gelöst werden, dass die öffentlichen Stellen Berlins den Bürgern im Rahmen der Bestimmungen die Benutzung von mitgebrachten Kameras oder Scannern gestatten, um Kopien von amtlichen Unterlagen zu machen. Ein seit Jahren ungelöstes Datenschutzproblem betrifft die Finanzierung der öffentlich-rechtlichen Rundfunkanstalten. In der vergangenen Woche haben sich die Ministerpräsidenten der Länder auf ein neues Gebührenmo- dell verständigt, das künftig einen haushaltsbezogenen Rundfunkbeitrag vor- sieht und Ermittlungen in der Privatsphäre von Rundfunkteilnehmern weit- gehend überflüssig macht. Das ist zwar grundsätzlich zu begrüßen. Allerdings wirft auch das neue Modell noch zahlreiche datenschutzrechtliche Fragen auf, die bei der Formulierung des entsprechenden Staatsvertrags zu lösen sein wer- den. Ich würde es außerdem begrüßen, wenn die Länder bei diesem wichtigen Schritt nicht auf halber Strecke stehen blieben, sondern zugleich die Gebüh- reneinzugszentrale, eine der größten zentralen Datenbanken in Deutschland, abschaffen würden. Der ehemalige Bundesverfassungsrichter Paul Kirchhof hat das Vorgehen der GEZ als „inquisitorisch“ und rechtsstaatlich inakzeptabel bezeichnet. Der neue Rundfunkbeitrag kann durch andere Stellen, etwa die Finanzämter, erhoben werden. 210 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 211",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p107-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 108,
"content": "Anhänge Stichwortverzeichnis Stichwortverzeichnis Zahlen Beschäftigtenvertretung 49 1-Cent-Überweisung 150 Betreuungsbehörde 106 3D-Stadtmodell 127 Betriebsvereinbarung 50, 125 Bewegungsprofil 70, 132 Bewerberauswahl 95 A Bilddaten 26 Abgeltungssteuer 97 Bilderkennung 70 Abrechnungsdaten 44 biometrisches Merkmal 85 Abrufverfahren 84 BITKOM-Verhaltenskodex 29 Absenderangaben 83 Bonität 24 Adressdaten 142 Bußgeldverfahren 154 Adresshandel 52 Akteneinsicht 96 C Anamnesebogen 122 Anwendungsprogramme 67 CERT 22 Anwesenheitserfassung 145 Chipkarte 60 Arbeitnehmerdatenschutzgesetz 46 Cookie 72, 76 Aufenthaltstitel 85, 89 Cyberattacke 18 Auf\u0007tragsdatenverarbeitung 80, 125, 141, Cyberkrieg 17, 34 143, 162 Auskunftsrecht 62 D Ausnahmetatbestand 53 Darlegungspflicht 94 automatisierte Schülerdatei 140 Datenintegrität 102 Datenquarantäne 87 B Datenschutzbeschwerde 50 Bankdaten 149 Datenschutzmanagement 165 Behördencomputer 33 Datenschutzniveau 50 Behörden-Rufnummer 32 Datenschutzrichtlinie 131 behördliches Sicherheitskonzept 35 Datenschutzwerkzeuge 165 berufliche Werbung 55 Datenskandal 46, 87 Beschäftigtendaten 48, 125 Denkmalschutzdatenbank 126 Beschäftigtendatenschutzgesetz 47 Deutsche Bahn AG 87 212 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 213",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p108-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 109,
"content": "Anhänge Stichwortverzeichnis Diagnosedaten 123 G K P Dienstfähigkeit 124 Gebärdensprechstunde 43 Katastrophenschutz 42 Panoramadienste 24 digitale Kriegsführung 16, 20, 22 Geheimzahl 64 Kinderschutz 109 Patientendaten 45, 113 digitale Signatur 21 Gemeinsame Geschäftsordnung 33, 83 Kinder- und Jugenddelinquenz 112 Personalisierung 72 Direkterhebung 51, 107 Gemeinsames Krebsregister 117 Kindeswohlgefährdung 110, 112 Personalstelle 123 DNA-Reihenuntersuchung 92 Geodaten 24 Kirchensteuer 97, 99 Personenkontrolle 78 Geodatendienste 24 Klassenfahrt 105 Personenstandsregister 84 E Georeferenzierte Panoramadienste 23 Konzernprivileg 48, 88 PIN 64 E-Government 31, 33 Geschwindigkeitsüberwachung 37 Körperscanner 78 Plattformanbieter 70 eID-Funktion 64 Gesundheitsdaten 116 Kraftfahrzeugsteuer 101 politische Parteien 57 Eigenwerbung 54 Gesundheitsmanagement 41 Krankenhausinformationssysteme 113 Positionsermittlung 69 Einheitlicher Ansprechpartner 155 Girokonto 148 Krebsregisterdaten 117 Prangerwirkung 103 Einstellungsuntersuchung 122 Google Street View 23, 25 KRITIS 20 Privatsphäre 28 Einwilligung 50, 53, 75 Grundbucheinsicht 95 Künstlerförderung 39 Projekt INNOS 40 Einwilligungserklärung 148 Pseudonym 73, 120 elektronische Patientenakte 113 H L pseudonyme Nutzung 65 Elektronischer Entgeltnachweis 58, 59, 61 Hacker 20 Landkartendienste 24 elektronischer Identitätsnachweis 64, 86 Haushaltsstichprobe 138 Listendaten 54 Q elektronischer Personalausweis 63 Heimarbeit 152 QES-Funktion 66 elektronisches Schließsystem 134, 136 Hochschule 131 qualifizierte elektronische Signatur 64, M ELENA-Verfahren 58 86 Entnetzung 22 Mammographie-Screening 115 I Qualitätssicherung 120 EOSS-Verbund 37 Meldedaten 115 E-Privacy-Richtlinie 75 Identifikationsnummer 75 Melderegister 138 R EU-Datenschutzrecht 158 Insellösung 28 Melderegisteranfrage 120 ISO 163 myID.privat 136 Rehabilitierungsverfahren 107 EU-Dienstleistungsrichtlinie 155 IT-Planungsrat 30 Religionszugehörigkeit 97, 100 Evaluationsbericht 82 IT-Sicherheit 17 N/O Re-Targeting 72 IT-Sicherheitsbericht 36 RFID-Chip 63 F Nationales Waffenregister 79 IT-Sicherheitsgrundsätze 35 RFID-Transponder 132 Fahrpreisnacherhebung 89 Online-Befragung 41 IT-Standards 35 Fitnessstudio 153 Online-Beratung 32 S Flugpassagierdaten 159 Online-Formular 41 J Opferdaten 92 Sachverhaltsaufklärung 106 Forschungsvorhaben 120, 136, 146 Jobcenter 104 Orientierungshilfe 114 Safe Harbor 125, 161 Fremdwerbung 57 Jugendamt 110 Sanktionsstelle 154 Führerscheinentzug 90 Jugendhilfeakten 107 Satellitenbilder 24 214 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 215",
"width": 3497,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p109-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/141628/",
"number": 110,
"content": "Anhänge Schadsoftware 20, 64 U Schiffskontrolldatei 80 Übermittlungssperre 139 Schülerausweis 142 Unkenntlichmachung 28 Schülerdaten 143 Schulfotograf 142 V Screening-Verfahren 51 Selbstschutz 70, 76 Verbunddatei 80 ServiceStadtBerlin 32 Verhaltensprofil 74 Sicherheitslücke 17 Verkehrszentralregister 90 Skype 43 Verschwiegenheitspflicht 93 Smart Grids 16 Versichertendaten 152 Smartphone 22 Videotelefonie 43 Smartphone-Apps 67, 69 Videoüberwachung 51 Solarflächen-Potenzialatlas 129 Volkszählung 138 Sozialdaten 104, 111 Vorabwiderspruch 27 Sozialgeheimnis 113 Vorratsdatenspeicherung 59 Spende 150 Spendenwerbung 56 W Stadtplanungsdaten 129 Whistleblowing 49 Standardvertragsklauseln 160 Widerspruchsrecht 26, 54, 127 Strafverfahrensakte 95 Wikileaks 17 Strafverfolgungsbehörde 111 Stuxnet-Wurm 17, 20 Z Suchmaschine 51 Zahlungsverkehrsdaten 159 Zensus 2011 138 T Zentrale Speicherstelle 58, 60 Telekommunikationsdienst 52 Zentrale Stelle 115 Tracking 71, 73, 75, 77 Zero-Day-Exploits 21 transparente Nutzung 56 Zugangskontrollsystem 132 transparente Werbung 56 Zutrittskontrollzentrale 134 Transparenz 164 Zwangsentstempelung 102 Tumorkonferenz 119 Zweckentfremdungsgefahr 105 Tumorzentrum 117, 119 216 Jahresbericht BlnBDI 2010",
"width": 1749,
"height": 2481,
"image": "https://media.frag-den-staat.de/files/docs/69/89/3e/69893e62673c4f97b1d1c9a6aa3fd71b/page-p110-{size}.png"
}
]
}
