Veröffentlichungen des Berliner Beauftragten für Datenschutz und Informationsfreiheit                                     www.datenschutz-berlin.de                                                                        Berliner Beauftragter für Tätigkeitsberichte: Der Berliner Beauftragte für Datenschutz und Datenschutz und Informationsfreiheit Informationsfreiheit hat dem Abgeordnetenhaus und dem Senat                                                                                                                                                      Datenschutz und Informationsfreiheit von Berlin jährlich einen Bericht über seine Tätigkeit vorzulegen.                                                                                                                                               in Berlin Neben aktuellen technischen und rechtlichen Entwicklungen wird darin über Schwerpunktthemen und Einzelfälle aus den jeweiligen Geschäftsbereichen berichtet. Seit 1990 wird der Tätigkeitsbericht von uns auch als Bürgerbroschüre veröffentlicht. Dokumente zu Datenschutz und Informationsfreiheit: Die Bände                                                                       2010 dieser Schriftenreihe erscheinen jährlich als Anlage zu unseren Tätigkeitsberichten. Sie enthalten die bedeutsamen Dokumente der nationalen und internationalen Arbeitsgruppen und Konferenzen des Georeferenzierte Panoramadienste: Street View genannten Jahres. Datenschutz und Datenschutz und Informationsfreiheit Berliner Informationsgesetzbuch (BlnInfGB): In dieser Textsammlung       war erst der Anfang • Gesetz zur Regelung des werden von uns seit 1993 die wichtigsten datenschutzrechtlichen Regelungen für das Land Berlin herausgegeben. Beschäftigtendatenschutzes • Neues Daten-                                                        Informationsfreiheit schutz­recht für die Werbung – kein Lichtblick für die Ratgeber zum Datenschutz: In dieser Reihe haben wir praktische Informationen zu einzelnen Fragen im Alltag zusammengestellt, die Betroffenen • Der Elektronische Entgeltnachweis (ELENA)                                          Bericht 2010 die Betroffenen in die Lage versetzen sollen, ihre Datenschutzrechte     – ein unsicherer Daten-Moloch • Der neue Personal­ bzw. ihr Recht auf Informationsfreiheit eigenständig wahrzunehmen. ausweis • Smartphone-Apps – wo bleibt der Hinweise zum Datenschutz: Während unserer Beratungen werden              Datenschutz? • Tracking im Internet – Europa will wir vielfach von Betroffenen oder Daten verarbeitenden Stellen um Hilfe oder Empfehlungen im Umgang mit personenbezogenen               den Schutz verbessern • Körperscanner • Der Daten gebeten. Einige unserer datenschutzrechtlichen Hinweise zu Standardproblemen sind als Veröffentlichungen erschienen. elektronische Aufenthaltstitel • Bundesweite Daten- bank zur Religionszugehörigkeit? • Wenn das Job- Welche Broschüren wir im Einzelnen veröffentlicht haben, können Sie      center die Klassenfahrt bezahlt • Tumorzentren • einer Übersicht auf unserer Website www.datenschutz-berlin.de ent-       Zensus 2011 – Stand der Vorbereitung • RFID- nehmen. Den überwiegenden Teil unserer Broschüren haben wir dort für Sie auch zum Download bereitgestellt. Eine Bestellung per Post ist   gestützte Zugangs­kontrollsysteme an Hochschulen • Jahresbericht gegen Einsendung eines an Sie selbst adressierten und mit 0,85 Euro      Automatisierte Schü­­lerdatei • Fahrlässiger Umgang frankierten DIN-A5-Umschlages möglich. mit Bankdaten • Das neugierige Fitnessstudio • Internationale Datenschutzstandards • Stiftung Datenschutz – ein Zwischenstand • Informations- pflicht bei Datenpannen • Vorrats­datenspeicherung

BERICHT des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2010 Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat dem Abgeordnetenhaus und dem Senat jährlich einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen (§§ 29 Berliner Datenschutzgesetz, 18 Abs. 3 Berliner Informationsfreiheitsgesetz). Der vorliegende Bericht schließt an den am 31. März 2010 vorgelegten Jahresbericht 2009 an und deckt den Zeitraum zwischen 1. Januar und 31. Dezember 2010 ab. Wiederum werden die über Berlin hinaus bedeutsamen Dokumente in einem gesonderten Band („Dokumente 2010“) veröffentlicht. Dieser Jahresbericht ist über das Internet (www.datenschutz-berlin.de) abrufbar.

Inhaltsverzeichnis Einleitung................................................................................................................ 9 1. Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik..........................................................16 1.1.1 Nach A-, B- und C- jetzt auch D(igitale)-Kriegsführung?...................16 1.1.2 Georeferenzierte Panoramadienste: Street View war erst der Anfang....23 1.2 Datenverarbeitung in der Berliner Verwaltung..............................................30 1.2.1 IT-Politik............................................................................................30 1.2.2 IT-Sicherheit......................................................................................33 Impressum                                                                 1.2.3 Aktuelle IT-Projekte...........................................................................38 Herausgeber: Berliner Beauftragter für                             2. Schwerpunkte Datenschutz und Informationsfreiheit                    2.1 Gesetz zur Regelung des Beschäftigtendatenschutzes....................................46 An der Urania 4-10, 10787 Berlin 2.2 Neues Datenschutzrecht für die Werbung – kein Lichtblick für die Telefon: (0 30) +138 89-0 Betroffenen.................................................................................................. 52 Telefax: (0 30) 215 50 50 E-Mail: mailbox@datenschutz-berlin.de                   2.3 Der Elektronische Entgeltnachweis (ELENA) – ein unsicherer Internet: www.datenschutz-berlin.de                         Daten-Moloch..............................................................................................58 2.4 Der neue Personalausweis.............................................................................63 Disclaimer:	Bei den im Text enthaltenen Verweisen auf Internet-     2.5 Smartphone-Apps – wo bleibt der Datenschutz?...........................................67 Seiten (Links) handelt es sich stets um „lebende“ 2.6 Tracking im Internet – Europa will den Schutz verbessern............................71 (dynamische) Verweisungen. Der Berliner Beauf- tragte für Datenschutz und Informationsfreiheit hat   3. Öffentliche Sicherheit vor Drucklegung zwar den fremden Inhalt daraufhin überprüft, ob durch ihn eine mögliche zivilrecht-       3.1 Körperscanner..............................................................................................78 liche oder strafrechtliche Verantwortlichkeit ausge-    3.2 Nationales Waffenregister..............................................................................79 löst wird. Für spätere Veränderungen dieses fremden     3.3 Schiffskontrolldatei – eine Verbunddatei ohne Rechtsgrundlage...................80 Inhalts ist er jedoch nicht verantwortlich.             3.4 Evaluationsbericht nach § 70 ASOG.............................................................81 3.5 Wie umfangreich dürfen Absenderangaben sein?...........................................83 Satz:        LayoutManufaktur.com Druck:       Offsetdruckerei Holga Wende

4. Personenstands- und Ausländerwesen                                                                               8.2 Gesundheitswesen......................................................................................113 8.2.1 Der Schutz von Patientendaten in 4.1 Ausführungsverordnung zum Personenstandsgesetz........................................84 Krankenhausinformationssystemen.................................................113 4.2 Der elektronische Aufenthaltstitel.................................................................85                 8.2.2 Mammographie-Screening................................................................115 8.2.3 Gemeinsames Krebsregister...............................................................117 5. Verkehr 8.2.4 Tumorzentren...................................................................................119 5.1 Datenquarantäne bei der Deutschen Bahn AG .............................................87                       8.3 Personalwesen............................................................................................122 5.2 Abfrage des Aufenthaltstitels im Zug ............................................................89             8.4 Wohnen und Umwelt.................................................................................126 5.3 Ein zu lange wirkender Führerscheinentzug.................................................90                          8.4.1 Datenschutz und Denkmalschutz in der Hufeisensiedlung.................126 8.4.2 Baulückenmanagement.....................................................................127 6. Justiz 8.4.3 Solarflächen-Potenzialatlas................................................................129 6.1 Offenbarung von Opferdaten bei DNA-Reihenuntersuchung......................92 9. Wissen und Bildung 6.2 Kontrollbefugnis der Aufsichtsbehörde gegenüber Rechtsanwälten...............93 6.3 Anwaltsnotare im Grundbuchamt.................................................................94                9.1 Wissenschaft, Forschung und Statistik..........................................................131 9.1.1 Datenschutzrichtlinie der Freien Universität Berlin...........................131 6.4 Unbegrenzte Einsicht in Strafverfahrensakten bei der Bewerberauswahl?.......95 9.1.2 RFID-gestützte Zugangskontrollsysteme an Hochschulen.................132 7. Finanzen                                                                                                                9.1.3 Forschungsprojekt myID.privat.........................................................136 9.1.4 Zensus 2011 – Stand der Vorbereitung.............................................138 7.1 Kirchensteuer...............................................................................................97 9.2 Schule........................................................................................................140 7.1.1 Bundesweite Datenbank zur Religionszugehörigkeit?.........................97 9.2.1 Automatisierte Schülerdatei .............................................................140 7.1.2 Überprüfung der Religionszugehörigkeit durch Kirchensteuerstellen 99 9.2.2 Bitte lächeln! – Weitergabe von Adressdaten an den Schulfotografen.142 7.2 Wenn die Daten nicht umgehend fließen....................................................101                          9.2.3 Der „Gang zur Toilette“ – Erfassung von kurzzeitigen Abwesenheiten vom Unterricht.....................................................144 8. Sozialordnung 9.2.4 WebUntis – Anwesenheitserfassung in Schulen.................................145 8.1 Sozial- und Jugendverwaltung....................................................................104                   9.2.5 Forschungsprojekt „Jugendliche als Opfer und Täter von Gewalt“.....146 8.1.1 Wenn das Jobcenter die Klassenfahrt bezahlt.....................................104 8.1.2 Sachverhaltsaufklärung und Datenerhebung durch die                                                     10. Wirtschaft Betreuungsbehörde .........................................................................106          10.1 Missglückte Einwilligungserklärung bei einer Bank...................................148 8.1.3 Übersendung von Jugendhilfeakten der DDR in 10.2 Fahrlässiger Umgang mit Bankdaten.........................................................149 Rehabilitierungsverfahren ...............................................................107 8.1.4 Der Zusammenhang von Kinderschutz und Datenschutz –                                                     10.3 Aufgedrängte Kommunikation per 1-Cent-Überweisung...........................150 ein nach wie vor wichtiges Anliegen................................................109                  10.4 Auftragsdatenverarbeitung durch Heimarbeit.............................................152 8.1.5 Empfehlungen für den Umgang der Jugendämter mit                                                         10.5 Das neugierige Fitnessstudio.....................................................................153 Ersuchen von Strafverfolgungsbehörden...........................................111 10.6 Praxis der Sanktionsstelle..........................................................................154 10.7 Technische Umsetzung der EU-Dienstleistungsrichtlinie...........................155

11. Europäischer und internationaler Datenschutz                                                                     Anhänge 11.1 Europäische Union...................................................................................158          Beschlüsse des Abgeordnetenhauses vom 17. Juni 2010......................................206 11.2 AG „Internationaler Datenverkehr“..........................................................161                   Rede des Berliner Beauftragten für Datenschutz und Informationsfreiheit am 11.3 Internationale Datenschutzstandards.........................................................163                  17. Juni 2010 im Abgeordnetenhaus von Berlin zur Beschlussfassung über den Jahresbericht 2008.............................................................................................209 12. Datenschutzmanagement Stichwortverzeichnis.........................................................................................213 12.1 Stiftung Datenschutz – ein Zwischenstand................................................167 12.2 Informationspflicht bei Datenpannen........................................................169 12.2.1 Datenklau beim Kreditkartendienstleister........................................170 12.2.2 Gestohlene Laptops einer Kinderbetreuungseinrichtung.................172 12.2.3 Personalakten im Posteingang.........................................................173 12.2.4 Kreditverträge im Auto...................................................................174 12.3 WLAN-Einsatz in der Berliner Verwaltung...............................................175 12.4	Ein Beauftragter für behördlichen Datenschutz und Korruptionsbekämpfung?.........................................................................176 13. Telekommunikation und Medien 13.1 Vorratsdatenspeicherung............................................................................178 13.2 Soziale Netzwerke....................................................................................181 13.3 Aus der Arbeit der „Berlin Group“...........................................................185 13.4 Kein Systemwechsel bei der Rundfunkfinanzierung.................................185 14. Informationsfreiheit 14.1 Informationsfreiheit in Berlin und Deutschland.........................................187 14.2 Einzelfälle.................................................................................................191 15. Was die Menschen sonst noch von unserer Tätigkeit haben .....................196 16. Aus der Dienststelle 16.1 Entwicklungen.........................................................................................199 16.2 Zusammenarbeit mit dem Abgeordnetenhaus...........................................201 16.3 Zusammenarbeit mit anderen Stellen........................................................201 16.4 Öffentlichkeitsarbeit.................................................................................204

Einleitung Einleitung Datenschutz und Informationsfreiheit waren im zurückliegenden Jahr so häu- fig Gegenstand der öffentlichen Debatte wie seit der Volkszählung 1987 in der alten Bundesrepublik nicht mehr. Das war gut so und hatte mehrere Gründe, die sich mit den Stichworten Google Street View, Vorratsdatenspeicherung, unabhängige Datenschutzkontrolle und Wikileaks umschreiben lassen. Diese Diskussionen hatten naturgemäß auch Auswirkungen auf die Tätigkeit des Beauftragten für Datenschutz und Informationsfreiheit in Berlin. Die Debatte über den Online-Panoramadienst Google Street View setzte in der Bundeshauptstadt erst ein, lange nachdem die Fahrzeuge des US-Unter- nehmens ihre Aufnahmen gemacht hatten. Als Google auf Druck der zustän- digen Hamburger Aufsichtsbehörde allen Menschen in Deutschland ein Recht zum Vorabwiderspruch gegen die Veröffentlichung ihrer Häuser und Wohnun- gen eingeräumt hatte, machten allein in den ersten zwanzig deutschen Städ- ten, die man bundesweit virtuell besuchen konnte (darunter auch Berlin), rund 255.000 Personen von dieser Möglichkeit Gebrauch. Damit wurde erstmals 1 ein Grundsatz zum Umgang mit Gebäudebild-Datenbanken praktisch umge- setzt, den die Internationale Arbeitsgruppe zum Datenschutz in der Telekom- munikation („Berlin Group“) bereits 1999 formuliert hatte.2 Teilweise wurde die – europaweit geführte – Debatte über Google Street View als verfehlt bezeichnet. Das ist nur insofern zutreffend, als es bei Street View nicht um einen Eingriff in die Privatsphäre der Menschen geht. Datenschutz reicht aber über den Schutz der Privatsphäre hinaus. Er betrifft – in einer unglücklich verknappten Formulierung – den Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten. Gerade darum geht 3 es auch bei Google Street View: Ein Unternehmen wollte personenbezogene Daten in eine weltweit verfügbare Datenbank einstellen, ohne die Betroffenen in irgendeiner Weise zu beteiligen. Hinzu kam, dass Google erst auf Nach- 1 Vgl. 1.1.2 2 Vgl. Dokumentenband 1999, S. 29 ff. 3 So der treffende Titel der Konvention Nr. 108 des Europarats vom 28. Januar 1981 8 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010                                                              9

Einleitung                                                                                                                                                               Einleitung frage der Aufsichtsbehörde einräumte, es seien von den Kamerawagen auch die                  wachung und die zentrale Speicherung von Beschäftigtendaten im ELENA- Daten von privaten WLAN-Zugängen und – wie das Unternehmen angab –                           Verfahren zu beziehen. Aus demselben Grund muss die Bundesregierung auch 7 unabsichtlich auch Inhaltsdaten wie E-Mails oder Passwörter erfasst worden.                  Plänen der Europäischen Kommission eine Absage erteilen, die nach dem Ende Auch die bildliche Darstellung von Häusern und Mietwohnungen gibt Aus-                       des Berichtszeitraums bekannt wurden: Danach sollen Daten von Flugpassa- kunft über die Verhältnisse ihrer Bewohner. Dabei handelt es sich zwar bis-                  gieren, die aus Drittstaaten nach Europa reisen oder Europa in umgekehrter her nur um Standbilder, die schnell veralten. Aber schon jetzt können Häuser,                Richtung verlassen, auf Vorrat für fünf Jahre anlasslos gespeichert werden und Hinterhöfe und Gärten aus der Vogelperspektive („bird’s view“) und aus dem                   für eine jederzeitige Rasterfahndung zur Verfügung stehen. Weltall betrachtet werden, und bei Standbildern wird es nicht bleiben: Es ist nur eine Frage der Zeit, dass Live-Aufnahmen gemacht und veröffentlicht werden.                  Die Debatte über die vom Bundesverfassungsgericht nicht völlig ausgeschlos- sene Vorratsspeicherung bei Verkehrsdaten der Telekommunikation ist noch Die Kameras werden näher kommen, soviel ist sicher. Street View ist nur ein                  nicht abgeschlossen, zumal die Evaluation der europäischen Richtlinie zu die- erster, harmlos erscheinender Schritt in einer Entwicklung. Deshalb war und                  sem Thema noch aussteht. Unverständlich ist allerdings, dass die Bundesre- 8 ist die öffentliche Diskussion darüber wichtig. Etwas anderes kommt hinzu:                   gierung die beim Bundeskriminalamt angeblich vorliegenden Erkenntnisse 2007 berichtete der Google-Manager Andy McLaughlin auf einer Konferenz 4 über den Nutzen der anlasslosen Speicherung von Verkehrsdaten der Tele- in den USA, die US-Regierung habe das Unternehmen gefragt, ob es in der                      kommunikation nach wie vor unter Verschluss hält.9 Zudem ist schon seit Lage sei, alle privaten Videokameras in den USA so zu vernetzen, dass staat-                 geraumer Zeit festzustellen, dass die Vorratsdatenspeicherung, die auf europäi- liche Behörden jederzeit auf sie zugreifen können. Google habe geantwor-                     scher Ebene ursprünglich als Reaktion auf die Terroranschläge in Madrid und tet, das sei technisch möglich, man werde einer solchen Forderung aber aus                   London durchgesetzt wurde, von ihren Befürwortern jetzt als unbedingt not- gesellschaftlichen und ethischen Gründen nicht Folge leisten. Aus den gleichen               wendig zur Bekämpfung bestimmter Formen der Telefon- und Internet-Kri- Gründen hat dasselbe Unternehmen es bisher abgelehnt, die bereits vorhan-                    minalität (vom „Enkeltrick“ bis zur Kinderpornographie) angesehen wird. Das dene Software „Goggles“5, mit der Gebäude und online gespeicherte Bilder                     macht das Ausmaß der schleichenden Zweckentfremdung deutlich, noch bevor von Personen identifiziert werden können, nicht zur Gesichtserkennung auf                    der Bundesgesetzgeber überhaupt über eine verfassungskonforme Neuregelung Smart­phones in Echtzeit verwenden zu wollen. Ob Technologien wie die Live-                  entschieden hat. Zudem haben die Sicherheitsbehörden auch ohne Vorrats­ Rundumüberwachung oder Gesichtserkennung Privatpersonen oder Behörden                        datenspeicherung beachtliche Erfolge erzielt. zur Verfügung gestellt werden, sollte aber nicht den jeweiligen Unternehmens- vorständen überlassen bleiben.                                                               Eine deutliche Stärkung der unabhängigen Kontrolle des Datenschutzes hat der Europäische Gerichtshof mit seiner Entscheidung gegen die Bundes- Das Bundesverfassungsgericht hat in seinem Urteil zur Vorratsdatenspeiche-                   republik Deutschland bewirkt. Er hat die Auffassung der Datenschutzbeauf- 10 rung betont, dass der Schutz vor lückenloser Überwachung zur deutschen Ver-                  tragten in Bund und Ländern bestätigt, dass die gegenwärtige Organisation der fassungsidentität gehöre, die selbst im europäischen Einigungsprozess nicht                  Datenschutzaufsicht für die Wirtschaft nicht mit den Vorgaben der EU-Richt- aufgegeben werden dürfe.6 Das ist nicht nur auf die Bevorratung von Ver-                     linie zum Datenschutz vereinbar ist. Zugleich hat der Gerichtshof betont, dass kehrsdaten der Telekommunikation, sondern auch auf die visuelle Über­                        die Unabhängigkeit der Datenschutzaufsichtsbehörden eingeführt wurde, „um 4 McLaughlin war später (Mai 2009 – Dezember 2010) stellvertretender Chief Technology        7 Vgl. 2.3 Officer im Stab von Präsident Obama.                                                     8 Vgl. 13.1 5 Englischer Begriff (ugs.) für „Brille“                                                     9 Vgl. Antwort der Bundesregierung vom 29. November 2010 auf die Kleine Anfrage der 6 Urteil vom 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, NJW 2010, 833,             Abgeordneten Korte u. a., BT-Drs. 17/3974 839 f., Rn. 218;Vgl. 13.1                                                                10 Urteil vom 9. März 2010, Rechtssache C-518/07, NJW 2010,1265 ff. 10                                                               Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010                                                           11

Einleitung                                                                                                                                                                           Einleitung die von ihren Entscheidungen betroffenen Personen und Einrichtungen stärker zu schüt-                um eine Bundesstiftung handeln soll, kommt es entscheidend darauf an, dass zen, und nicht, um diesen Kontrollstellen oder ihren Bevollmächtigten eine besondere                 sie die Zuständigkeit der Datenschutzbeauftragten und Aufsichtsbehörden der Stellung zu verleihen“ 11. Im Berichtszeitraum wurde die notwendige Anpassung                        Länder beachtet und mit diesen eng zusammenarbeitet.16 Vor allem im wich- des Berliner Datenschutzgesetzes an die Rechtsprechung des Europäischen                              tigen Bereich der Medienkompetenz ist die ausschließliche Zuständigkeit der Gerichtshofs noch nicht vorgenommen; allerdings hat der Senat einen entspre-                         Länder im Bildungsbereich zu wahren. chenden Gesetzentwurf dem Abgeordnetenhaus zugeleitet. Insgesamt muss die schon zu lange verschleppte grundlegende Modernisierung Gleichzeitig gibt es allerdings Anzeichen dafür, dass das Konzept der Daten-                         des Datenschutzrechts jetzt aber auf europäischer und internationaler Ebene schutzaufsicht im föderalen System in Frage gestellt wird. Bundesgesetze                             vorangetrieben werden. Das von der Kommission vorgelegte Gesamtkon- werden nach der Verfassung von den Ländern ausgeführt. Deshalb ist die Kon-                          zept für den Datenschutz in der Europäischen Union bietet eine geeig-17 trolle der damit verbundenen Verarbeitung von Bürgerdaten und die Aufsicht                           nete Grundlage für die Formulierung eines europäischen Datenschutzgesetzes. über den Datenschutz in der Wirtschaft nach dem Bundesdatenschutzgesetz                              Dabei ist es angesichts der immensen Datensammlungen bei Unternehmen seit jeher den Datenschutzbeauftragten und Aufsichtsbehörden der Länder                              wie Google, Facebook und Apple dringend erforderlich, die Anwendbarkeit zugewiesen. Diese koordinieren ständig ihr Vorgehen untereinander und mit                            europäischen Datenschutzrechts auf solche Unternehmen eindeutig klarzustel- dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.                             len. Wenn ein Berliner Unternehmen Geschäfte auf dem US-amerikanischen Das System der Datenschutzkontrolle im Bundesstaat hat sich gerade auch im                           Markt macht, stellt niemand in Frage, dass es sich an das in den Vereinigten Umgang mit international agierenden Unternehmen durchaus bewährt. Nun                                Staaten geltende Recht zu halten hat. Entsprechendes hat für US-Unterneh- hat der Bundesgesetzgeber im Zuge der Reform der sog. Hartz IV-Gesetze                            12 men zu gelten, die auf dem europäischen Markt tätig sind. Zudem darf der nicht nur der Bundesagentur für Arbeit praktisch die Funktion eines „Bun-                            neue europäische Rechtsrahmen nicht zum kleinsten gemeinsamen Nenner dessozialamtes“ zugewiesen. Damit aber nicht genug: Während nach der bis- 13 werden, sondern muss das bereits erreichte Datenschutzniveau gerade ange- herigen Rechtslage die Landesdatenschutzbeauftragten die Datenverarbeitung                           sichts der Rolle des Internets ausbauen. in den Jobcentern zu kontrollieren hatten und dies auch in Berlin mit gutem Erfolg geschehen ist14, wird ab dem 1. Januar 2011 allein der Bundesbeauftragte                      Die Veröffentlichung von zahlreichen Depeschen US-amerikanischer Diplo- für den Datenschutz und die Informationsfreiheit hierfür zuständig sein. Das                         maten durch Wikileaks hat sowohl ein Schlaglicht auf Fragen des Datenschut- bedeutet einen erheblichen Verlust an Bürgernähe, denn der Bundesbeauftragte                         zes als auch der Informationsfreiheit geworfen. Bezeichnenderweise hatte die wird auf Beschwerden naturgemäß nicht in der Promptheit reagieren können,                            US-Regierung nach dem 11. September 2001 aufgrund angeblicher Kom- wie dies die Landesdatenschutzbeauftragten bisher getan haben.                                       munikationsmängel zur Erhöhung der Sicherheit 2,5 Millionen Personen den Zugriff auf das Regierungsnetz SPRnet eröffnet, aus dem die jetzt veröffent- Auch die gerade erst begonnene Diskussion über die geplante Stiftung Daten-                          lichten Depeschen stammten. Das zeigt, dass Maßnahmen zur Terrorismusbe- schutz ist in diesem Zusammenhang bedeutsam. Gerade weil es sich dabei 15 kämpfung, die eigentlich sicherheitserhöhend wirken sollen, den gegenteiligen Effekt jedenfalls auf die Informationssicherheit haben können. 11 Ebenda, S. 1266 12 § 50 Abs. 4 Satz 3 SGB II, eingefügt durch das Gesetz zur Weiterentwicklung der Organisa- tion der Grundsicherung für Arbeitsuchende, BGBl. 2010 I, S. 1112, 1121 13 Dabei bleiben hier die sog. Optionskommunen in den Flächenländern und die Übernahme der Unterkunftskosten, die nicht in die Bundeszuständigkeit fällt, außer Betracht.               16 Vgl. Entschließung der 80. Konferenz der Datenschutzbeauftragten des Bundes und der Län- 14 Vgl. JB 2005, 3.2; JB 2006, 5.1.1; JB 2007, 7.2.1; JB 2008, 8.1.2; JB 2009, 7.1.1                     der: Förderung des Datenschutzes durch Bundesstiftung, Dokumentenband 2010, S.21 15 Vgl. 12.1                                                                                         17 Vgl. 11.1 12                                                                       Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010                                                              13

Einleitung                                                                                                                                                            Einleitung Aufschlussreich für den Datenschutz war auch eine Folgeerscheinung der Wiki-                     listischen Gesellschaft einen wichtigen Beitrag zum öffentlichen Meinungsbil- leaks-Veröffentlichungen: Deren Urheber hatten die umfangreichen Doku-                           dungsprozess leisten. Das gilt in gleicher Weise für zahlreiche andere staatliche 20 mente auf den Servern des Unternehmens Amazon in einer „Cloud“ gespei-                           Register und Datensammlungen, soweit die legitimen Geheimhaltungsinteres- chert. Nach Medienberichten beendete das Unternehmen aufgrund des Anrufs                         sen dort verzeichneter Personen berücksichtigt werden. eines US-Senators, der über das Vorgehen von Wikileaks empört war, einseitig die Vereinbarung mit Wikileaks. Die Daten waren vorübergehend nicht ver- fügbar. Das macht schlaglichtartig das Risiko des Kontrollverlustes deutlich, das mit vielen Formen des Cloud Computing stets verbunden ist.                  18 Die Grundfrage bei Wikileaks betrifft aber die Legitimität der Veröffentlichun- gen selbst. Diese Frage ist differenziert zu beurteilen. Soweit Wikileaks Video- aufnahmen über Luftangriffe auf Zivilisten im Irak („collateral murder“) publi- ziert hat, war dies gerechtfertigt. Bei anderen Veröffentlichungen ist dies weni- ger eindeutig. Es gibt gerade auch im diplomatischen Verkehr, aber nicht nur dort, vertrauliche Informationen, deren Schutz Vorrang vor dem öffentlichen Informationsinteresse haben sollte. Auch ist nicht klar, ob Wikileaks genug zum Schutz von Informanten und Gewährspersonen getan hat. Vor allem zu kriti- sieren ist die Tatsache, dass Wikileaks die Abwägung zwischen den Informati- onsinteressen der Öffentlichkeit und dem Geheimhaltungsbedürfnis Einzelner nach intransparenten und deshalb nicht überprüfbaren Maßstäben vornimmt. Diese Abwägung sollte im Rahmen der – durchaus verbesserungsbedürftigen – Informationsfreiheitsgesetze nach allgemein verbindlichen und kontrollier- ten Kriterien vorgenommen und nicht einer privaten Organisation überlas- sen werden. Andererseits dürfen die Wikileaks-Veröffentlichungen nicht zum Vorwand genommen werden, um von staatlicher Seite Informationen, an denen ein unbestreitbares öffentliches Interesse besteht, in unzulässiger Weise unter Ver- schluss zu halten oder die Informationsfreiheit generell wieder einzuschrän- ken. Das Bundesverfassungsgericht hat am Beispiel des Gentechnikgesetzes 19 deutlich gemacht, das auch öffentlich zugängliche personenbezogene Register – in diesem Zusammenhang das Standortregister über Freisetzungen und Anbau gentechnisch veränderter Organismen – innerhalb der demokratischen, plura- 18 Vgl. JB 2008, 1.1.1 19 Vgl. dazu die Entschließung der Konferenz der Informationsfreiheitbeauftragten in Deutsch- land vom 13. Dezember 2010: Open Data: Mehr statt weniger Transparenz!, Dokumenten- band 2010, S. 169                                                                            20 BVerfG, Urteil vom 24. November 2010 – 1 BvF 2/05, Rn. 175 14                                                                  Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010                                                    15

Kapitel 1 Technische Rahmenbedingungen                                                                                     1.1 Entwicklung der Informationstechnik 1. Technische Rahmenbedingungen                                                       Dagegen ist Informationssicherheit heute ein boomendes Fachgebiet der Infor- matik, aber auch ein vergleichbar neues. In der Geschichte der Informatik kam die Sicherheit in der Datenverarbeitung erst spät vor, möglicherweise zu spät, 1.1 Entwicklung der Informationstechnik                                               denn die Versäumnisse der Vergangenheit lassen sich nicht vollständig aufho- len. Als Mitte der 80er Jahre des vergangenen Jahrhunderts Computerviren und ihre Bedrohungen bekannt wurden, waren viele Kernstrukturen moder- 1.1.1 Nach A-, B- und C- jetzt auch D(igitale)-                                       ner Standardsoftware, insbesondere der Betriebssysteme, längst entwickelt. Die Kriegsführung?                                                                        inzwischen ergänzten Sicherheitsfeatures sind keine Bestandteile des System- designs, sondern nachträgliche Reparaturen. Die heutige Informationsgesellschaft hängt auf Gedeih und Verderb vom Funktionieren der weltweiten informationstechnischen Infrastrukturen ab.              Alle anderen wesentlichen Technologien – die Bautechnologie, die Verkehrs- Die auf der Welt kursierenden Finanzgüter sind elektronisches Geld, das per           technologien für Straße, Schiene und Luft, die Elektrotechnik – haben strenge Mausklick in Sekundenbruchteilen zwischen Metropolen und Staaten hin und              und streng kontrollierte Regelwerke, die die Sicherheit ihrer Produkte betref- her transferiert wird. Die konzerninterne Kommunikation, die Kommunika-               fen. Sicherheit war bei ihnen von Anfang an Triebfeder der Entwicklung. Dies tion zwischen den Marktteilnehmern, der elektronische Handel werden über              kann allerdings aus oben angedeuteten Gründen von der Softwaretechnologie das Internet geführt. Die Nachrichten über Ereignisse sind Sekunden nach              nicht behauptet werden. Angriffe auf IT-Systeme geschehen täglich milliarden- ihrem Eintritt für alle im Internet abrufbar. Über das Internet als Träger der        fach, die meisten werden von den inzwischen entwickelten Schutztechniken Smart Grids wird künftig die Erzeugung und Verteilung elektrischer Energie 21 abgewehrt, weil selbst der einfache Familienhaushalt für seinen PC oder sein in Abhängigkeit vom Verbrauchsverhalten der Stromabnehmenden gesteuert.               Notebook Antiviren- und Firewallschutz einsetzt. Viele Angriffe zeigen keine Ohne das Internet, seine Server, seine Netzkomponenten, seine Leitungen, die          Wirkung, weil die erfolgreich angegriffenen Rechner nicht zum Feindschema Millionen Server der Teilnehmenden aus Wirtschaft, Politik und Verwaltung             passen. Dennoch gibt es dauernd Schlagzeilen zu spektakulären Sicherheits- und die Abermillionen Computer der Internetkonsumenten hätten wir keine               verletzungen, bedingt durch grobe Fahrlässigkeit der Opfer oder durch die Informationsgesellschaft, die gesellschaftlichen Prozesse wären mit den heuti-        geschickte Nutzung von Sicherheitslücken, die weltweite Standardsoftware­ gen nicht vergleichbar.                                                               produkte nach wie vor aufweisen. Das Internet hat sich chaotisch entwickelt. Aus einem erfolgreichen, Ende der         Wer 2,5 Millionen Menschen Zugang zu vertraulichen Daten der amerikani- 60er Jahre des 20. Jahrhunderts beginnenden militärischen, bald darauf auch           schen Diplomatie ermöglicht, muss sich nicht wundern, wenn Wikileaks bald wissenschaftlichen Experiment, Rechner mit unterschiedlichen Betriebssyste-           zur „Zweitveröffentlichung“ startet. Der im Herbst wirkende Stuxnet-Wurm, men mithilfe paketvermittelnder Protokolle miteinander Daten austauschen zu           auf den wir später zurückkommen, war ein Beispiel für die aufwändige und lassen, wurden bald E-Mail-Dienste entwickelt, später dann das World Wide             geschickte Nutzung von zum Teil bisher unbekannten Sicherheitslücken von Web erfunden. Zunächst war das Internet den Insidern und Experimentierern             Standardsoftware. Für solche Sicherheitslücken, sog. Zero-Day-Exploits, gras- vorbehalten. Es war ergänzende Informationsquelle und wurde von einer ver-            siert ein lukrativer Schattenhandel. suchsfreudigen Community nach ihren Regeln und den Marktgesetzen weiter entwickelt. Die Frage nach Sicherheit im Internet stellte sich nur den übli-          Beim Wettbewerb zur Suche des Wortes 2010 wurde der Begriff „Cyber- chen Bedenkenträgern.                                                                 krieg“ auf den vierten Platz gesetzt. Dies macht deutlich, dass zumindest für die Opfer spektakuläre Sicherheitsvorfälle im Internet die Dimension kriege- 21 Vgl. JB 2009, 1.1.1                                                                rischen Handelns erhalten haben. Die Tatsache, dass Informationstechnik zum 16                                                        Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010                                                 17