9.5 Daten von Bediensteten im Internet Die Zulässigkeit solcher Veröffentlichungen muss im Einzelfall geprüft wer- den. Sofern die Informationen durch einen rechtmäßigen Informationszugang nach dem Berliner Informationsfreiheitsgesetz (IFG) erlangt wurden,148 sind die Daten der Betroffenen nicht schutzwürdig. Da die nach dem IFG erlangten Informationen keinen Verwendungsbeschränkungen unterliegen, spricht nichts gegen eine Veröffentlichung im Internet. Handelt es sich um Informationen, die nicht auf der Grundlage des IFG erlangt wurden, stellt sich gleichwohl die Frage, ob die Informationen bei einem IFG-Antrag freizugeben wären. Wenn ja, dürfen die Angaben veröffentlicht werden. In jedem Fall müssen Betroffene nach der Rechtsprechung des Bundesver- fassungsgerichts keine falschen Zitierungen hinnehmen, d. h. wenn ihnen 149 Äußerungen in den Mund gelegt werden, die von ihnen nicht getätigt wurden und die ihren Geltungsanspruch beeinträchtigen. Zudem sind die Betroffenen dann schutzwürdig, wenn die Informationen in einen Kontext gestellt werden, durch den die Grenze zur Schmähkritik, Formalbeleidigung oder Diffamierung überschritten ist und die Gefahr der Stigmatisierung besteht. Im Fall der bayerischen Verwaltungsmitarbeiterin bestand die Besonderheit, dass die Zulässigkeit der Veröffentlichung nicht an den Wertungen eines Informa- tionsfreiheitsgesetzes hätte gemessen werden können, da ein solches in Bay- ern bisher nicht existiert. Im Ergebnis spielte dies jedoch keine Rolle, da die Betreiber der Webseite die Angaben zu der Mitarbeiterin auf unsere Anfrage durch nicht sprechende Kürzel ersetzten und sich das Anliegen der Betroffe- nen damit erledigte. Auch Behördenbeschäftigte bleiben bei der Wahrnehmung öffentlich-recht- licher Aufgaben und somit in ihrer Eigenschaft als Amtswalter Trägerinnen und Träger von Grundrechten. Das bedeutet, dass ihre personenbezogenen Daten gegenüber den Veröffentlichungsbedürfnissen Dritter schutzwürdig sein können. Gleichwohl müssen in Berlin auch die Wertungen des IFG berücksichtigt werden. Das IFG ermöglicht grundsätzlich einen vorausset- zungslosen Anspruch zu behördlichen Informationen. 148 § 6 Abs. 2 Satz 2 IFG 149 BVerfGE 54, S. 148 Jahresbericht BlnBDI 2015                                                119

Kapitel 9     Beschäftigtendatenschutz 9.6 Wenn der Arbeitgeber den Facharzt kennt – Umgang mit Arbeitsunfähigkeitsbescheinigungen Der Personalrat eines Kita-Eigenbetriebes wandte sich an uns, da die Aus der Praxis Kita-Leitung einer Einrichtung die Beschäftigten angewiesen hat, die Arbeitsunfähigkeitsbescheinigung ausschließlich bei der örtlichen Kita-Lei- tung und nicht auch alternativ beim Personalservice abzugeben. Aus der Angabe des Fachgebietes der Ärztin bzw. des Arztes kann die Füh- rungskraft ohne Weiteres Rückschlüsse auf die Art der Erkrankung ziehen, die die Betroffenen in ihren schutzwürdigen Belangen nicht unerheblich beein- trächtigen können. So kann z. B. die Fachbezeichnung „Onkologie“ auf eine bestehende Krebserkrankung, der Zusatz „Drogenambulanz“ auf etwaige Alko- hol- oder Drogenprobleme oder der „Fachbereich Psychiatrie“ auf psychische Erkrankungen hindeuten. Gemäß Entgeltfortzahlungsgesetz (EntgFG)150 haben die Beschäftigten eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit, sofern sie länger als drei Kalendertage andauert, spätestens an dem darauffolgenden Arbeitstag beim Arbeitgeber vorzulegen. Dabei ist der Begriff des Arbeitge- bers allerdings nicht gleichzusetzen mit dem Begriff des direkten Vorgesetzten. Zwar hat die Kita-Leitung ein nachvollziehbares Interesse an der Kenntnis der Arbeitsunfähigkeitsbescheinigung bei der Dienstplanung, die Einreichung der Arbeitsunfähigkeitsbescheinigung beim Personalservice stellt aber im Rahmen der Prüfung der Verhältnismäßigkeit ein milderes Mittel dar, das die Interessen der Betroffenen weniger beeinträchtigt. Wir haben daher die Geschäftsleitung des Eigenbetriebes aufgefordert, es den Betroffenen weiterhin freizustellen, ob sie Arbeitsunfähigkeitsbescheinigungen bei der Personalstelle oder bei der örtlichen Kita-Leitung abgeben. Die verpflichtende Abgabe der Arbeitsunfähigkeitsbescheinigung bei der direkten Führungskraft ist nicht erforderlich. Den gesetzlichen Vorgaben kann entsprochen werden, wenn den Betroffenen freisteht, selbst über den Adressaten ihrer Arbeitsunfähigkeitsbescheinigung (Führungskraft oder Personalservice) zu entscheiden. 150 § 5 Abs. 1 Satz 2 i.V. m. § 5 Abs. 1 Satz 1 EntgFG 120                                                       Jahresbericht BlnBDI 2015

10.1 Datensicherheit bei PISA-Studien – durchgefallen? 10 Forschung 10.1 Datensicherheit bei PISA-Studien – durchgefallen? Seit 2000 werden die PISA-Studien (Programme for International Stu- Aus der Praxis dent Assessment) von der Organisation für wirtschaftliche Zusammen- arbeit und Entwicklung (OECD) durchgeführt. Dies sind internationale Schulleistungsstudien mit dem Ziel, alltags- und berufsrelevante Kennt- nisse und Fähigkeiten Fünfzehnjähriger zu messen. Bisher erfolgte die stichprobenhafte Auswahl der Teilnehmerinnen und Teilneh- mer an der PISA-Studie mittels eines Client-Server-Programms. Alle infrage kommenden Lehrkräfte sowie Schülerinnen und Schüler wurden lokal in einem Client-Programm der teilnehmenden Schule erfasst. Die Studienlei- tung erhielt lediglich pseudonymisierte Listen zur Stichprobenziehung, indem die Einträge statt identifizierender Daten wie Namen und Geburtsdatum nur eine laufende Nummer enthielten. Die Pseudonyme der ausgewählten Teilneh- merinnen und Teilnehmer wurden dann an die jeweilige Schule zurückgemel- det. Sie erstellte eine ausführlichere Schülerteilnahmeliste, etwa mit Angaben zum Zuwanderungshintergrund und Zensuren. Der Inhalt ging wiederum nur pseudonymisiert an die Studienleitung. Das war ein datensparsames Verfahren. Dieses Client-Server-Programm ist nun durch eine Webanwendung ersetzt worden. Die Listen werden nicht mehr lokal, sondern auf den Servern der Studienleitung gespeichert. Dies begründete man damit, dass die Installation der Client-Software manche Schulen überfordert und den Einbau anderer, kos- tenpflichtiger Software notwendig gemacht habe. Die bisherigen Funktionen der Client-Anwendung wurden in JavaScript implementiert. Mit der neuen Webanwendung werden Schüler- und Lehrerdaten verarbei- tet. Konkret handelt es sich bei Schülerinnen und Schülern neben Vor- und Nachnamen um Informationen zum Zuwanderungshintergrund, zur zuhause gesprochenen Sprache, Lesefähigkeit und zu Halbjahreszensuren in Deutsch, Mathematik, Biologie, Chemie, ggf. Naturwissenschaften, Englisch. Für diese Daten besteht ein hoher Schutzbedarf. Denn die Informationen sind Jahresbericht BlnBDI 2015                                                    121

Kapitel 10 Forschung relevant für das persönliche Ansehen und berufliche Fortkommen der betrof- fenen Schülerinnen und Schüler. Die Verschlüsselung der Daten ausschließlich auf der Basis eines Passworts haben wir als problematisch angesehen. Vorzugswürdig ist der Einsatz einer Zwei-Faktor-Authentifizierung. Daneben könnte als Alternative auch eine lokale Speicherung der Daten vorgesehen werden. Zudem halten wir eine Signatur der JavaScript-Codes für erforderlich. Positiv ist dagegen, dass die Ver- und Entschlüsselung der nicht pseudonymi- sierten Daten ausschließlich auf den Clients und zudem eine angemessene Transportverschlüsselung und Authentifizierung des Servers erfolgen. Zudem werden die Nutzer, d. h. die Schulen, im Rahmen der Anleitung zur Weban- wendung über die erforderliche Datensicherheit durch Nutzung aktueller Soft- ware, sicherer Netzwerke und Virenschutz informiert. Dies muss in verständli- cher Weise und an geeigneter Stelle im Rahmen der Anleitung erfolgen. Die teilnehmenden Schülerinnen und Schüler füllen im Rahmen der Studie u. a. Fragebögen aus. Bisher handelte es sich um Papierformulare. Nun erfolgte durch die internationale Studienleitung eine vollständige Umstellung auf com- putergestützte Erhebungen. Dies hat zu einer erheblichen Einschränkung der Konfigurierbarkeit der Erhebungsinstrumente geführt, was aus datenschutz- rechtlicher Sicht problematisch ist. Denn die Rechtslage in den Teilnehmerlän- dern der PISA-Studie ist nicht einheitlich. Aus diesem Grund kann es erforder- lich werden, die Erhebungsinstrumente an die jeweilige Rechtslage anzupassen. Die eingesetzte Technik muss solche Anpassungen gewährleisten. In Berlin werden die Datenverarbeitungsschritte zwar weitestgehend auf das Schulgesetz Berlin (SchulG) gestützt. Nicht alle Angaben können jedoch im Rahmen der PISA-Studie auf der Grundlage von § 9 SchulG verpflichtend erhoben werden. Es muss daher möglich sein, die Freiwilligkeit bestimmter Angaben kenntlich zu machen bzw. Fragen vollständig zu streichen, wenn das Einverständnis der Eltern für das Beantworten einer Frage nicht erteilt wor- den ist. 122                                                       Jahresbericht BlnBDI 2015

10.2 Nationale Kohorte – große Forschung, kleiner Datenschutz? Angaben zu Schülerinnen und Schülern, die Auswirkungen auf ihr persön- liches Ansehen und berufliches Fortkommen haben können, unterliegen einem hohen Schutzbedarf. Es müssen entsprechende technische und orga- nisatorische Datensicherheitsmaßnahmen getroffen werden. Zudem müssen bei internationalen Studien die Erhebungsinstrumente Anpassungen an die jeweilige Rechtslage zulassen. 10.2 Nationale Kohorte – große Forschung, kleiner Datenschutz? Die „Nationale Kohorte“ (NAKO) ist eine Langzeit-Bevölkerungsstu- Aus der Praxis die über die Dauer von 20 bis 30 Jahren. Ziel der Gesundheitsstudie soll es sein, die Ursachen für die Entstehung von Krankheiten wie Krebs, Demenz, Diabetes und Infektionskrankheiten zu erforschen. Insgesamt sollen 200.000 zufällig ausgewählte Teilnehmerinnen und Teilnehmer im Alter von 20 – 69 Jahren medizinisch untersucht und nach ihren Lebens- gewohnheiten befragt werden.151 Seit 2014 werden in insgesamt 18 Studi- enzentren deutschlandweit Basisuntersuchungen durchgeführt. Wir haben ein Studienzentrum in Berlin kontrolliert. Die Studie wird vom Verein Nationale Kohorte e.V. durchgeführt. Das von uns geprüfte Berliner Studienzentrum wird für den Verein im Auftrag tätig. Obwohl sensitive Gesundheitsdaten und weitere aussagekräftige Daten zu den Probanden in einem ungewöhnlich großen Umfang erhoben werden, liegt noch immer kein vollständiges Datenschutzkonzept vor, das den Studienzen- tren als klare Vorgabe für ihre Tätigkeit dient. Zudem mussten wir feststel- len, dass zu bestimmten wichtigen Fragen keine Weisungen des Auftraggebers vorliegen. Durch die unzureichende Vorbereitung der verschiedenen Prozesse ergibt sich eine Reihe von Problemen: Im Studienzentrum werden Daten gespeichert, die dort für die eigentlichen Aufgaben nicht mehr benötigt werden. So überprüft das Studienzentrum 151 Zum Hintergrund siehe zuletzt JB 2013, 11.1 Jahresbericht BlnBDI 2015                                              123

Kapitel 10 Forschung umständlich, ob die von ihm erhobenen und übertragenen Daten vollständig und unversehrt bei einer zentralen Stelle eingegangen sind. Dazu betreibt das Studienzentrum eine doppelte Datenhaltung. Würde dem Nationale Kohorte e. V. eine automatisierte Lösung zur Verfügung stehen, könnte dies vermieden werden. Ein Grundpfeiler des Datenschutzkonzepts der NAKO ist die Trennung der Verantwortlichkeit für Daten zwischen verschiedenen Stellen und Bereichen. Insbesondere wird zwischen medizinischen Daten aus den Untersuchungen und den Angaben zur Person der Probanden wie Adresse und Telefonnummer unterschieden. Die Berechtigungen zum Zugriff darauf sollen strikt getrennt vergeben werden. Eine entsprechende Trennung ist auch für das Studienzen- trum vorgesehen, wird aber bei der Übertragung der Probandendaten nicht vollständig umgesetzt. Es gibt keine durchgängige Vorgehensweise zur Löschung von Daten. Auch hier führt dies zu Datenbeständen, für deren Aufbewahrung kein originäres Bedürf- nis besteht. Schließlich führt die mangelhafte Planung zu vermeidbaren Sicher- heitsrisiken. Dies gilt besonders für den Schutz der Datenübertragungen. Auch stellt der Auftraggeber für eine zentrale Webanwendung keine ausreichenden Möglichkeiten zur Verfügung, die Berechtigungen aller Beschäftigten des Stu- dienzentrums auf das notwendige Maß einzuschränken. Das Studienzentrum selbst hat ein Jahr nach Aufnahme der ersten Untersu- chungen die Arbeit an dem eigenen Sicherheitskonzept nicht abgeschlossen. Während dieses Jahres wurden zwar einige Verbesserungsmaßnahmen umge- setzt. Doch stützt sich das Studienzentrum nach wie vor auf eine Infrastruktur, die nicht für die sensitiven Daten ausgelegt ist, wie sie im Rahmen der Studie erhoben werden. Eine durchgehende Risikoanalyse fehlt gänzlich. Großprojekte bedürfen einer entsprechend sorgfältigen Vorbereitung. Datenschutz- und Sicherheitskonzepte müssen ausgearbeitet sein, bevor die Datenverarbeitung aufgenommen wird. Wir werden die Fortschreibung der Konzepte und die Weiterentwicklung des Forschungsvorhabens weiterhin aufmerksam verfolgen. 124                                                        Jahresbericht BlnBDI 2015

10.3 Warnschussarrest – Forschung im Bereich der Jugendkriminalität 10.3 Warnschussarrest – Forschung im Bereich der Jugendkriminalität Das Kriminologische Forschungsinstitut Niedersachsen hat in Koopera- Aus Ausder derPraxis Praxis tion mit der Universität Kassel im Auftrag des Bundesministeriums der Justiz und für Verbraucherschutz die neue jugendstrafrechtliche Sank- tionsmöglichkeit des Jugendarrestes untersucht. Erforscht wurde, ob der sog. Warnschussarrest im Zeitraum 2013/2014 angewendet wurde, warum die Vorschrift nicht angewendet wurde und welche Einstellung Praktiker dem Warnschussarrest entgegenbringen. Dafür wurden auch in Berlin betroffene Jugendliche und Praktiker wie Jugendrichterinnen und -richter, Jugendstaatsanwältinnen und -anwälte, Bewährungshelferinnen und -helfer,Vollzugsleiterinnen und -leiter sowie Jugendgerichtshelferin- nen und -helfer befragt. Zudem wurden u. a. einzelfallbezogene Analy- sen etwa der Akten bei den Gerichten durchgeführt. An die Verarbeitung der sensitiven Daten müssen besondere Anforderungen gestellt werden. Eine Besonderheit stellten bei dem Forschungsprojekt zum Warnschussarrest die niedrigen Fallzahlen dar. Nach unseren Informationen wurde 2013 in Ber- lin nur ein Warnschussarrest verhängt. 2014 gab es zehn männliche Arrestanten und eine weibliche Arrestantin. Dies schließt praktisch eine Anonymisierung aus. Niedrige Fallzahlen ermöglichen es auch, mit nur geringem Zusatzwissen die jeweiligen Betroffenen zu identifizieren. Die Anonymisierung der für ein bestimmtes Forschungsvorhaben erhobenen personenbezogenen bzw. perso- nenbeziehbaren Daten, sobald es der Forschungszweck zulässt, gehört allerdings zu den grundlegenden Anforderungen an die zulässige Datenverarbeitung im Forschungsbereich. Es besteht ein hohes Stigmatisierungsrisiko, wenn sich die erhobenen Anga- ben einer oder einem bestimmten Betroffenen zuordnen lassen. Für die Akten- analysen trifft dies jedenfalls zu. Aber auch Angaben der Praktiker können Spezifika enthalten, die eine Identifikation der oder des Jugendlichen zulas- sen. Die Angaben aus dem Strafverfahren sind geeignet, die Jugendlichen in ihrem persönlichen Ansehen und Fortkommen erheblich zu beeinträch- tigen. Bei Forschungsprojekten im Bereich der Jugendkriminalität sind die schutzwürdigen Interessen der betroffenen Jugendlichen im besonderen Maße Jahresbericht BlnBDI 2015                                                125

Kapitel 10 Forschung zu berücksichtigen. Hierauf ist auch bei der Auslegung von Forschungsklauseln, etwa in der Strafprozessordnung, zu achten. Bei einer tiefgreifenden Datenverarbeitung wie der Aktenanalyse muss daher zur Wahrung der schutzwürdigen Interessen der Betroffenen jedenfalls eine ausreichende Transparenz gewährleistet werden. Die Betroffenen – sowie bei fehlender Einsichtsfähigkeit die Erziehungsberechtigten – müssen mit ausrei- chend zeitlichem Vorlauf darüber informiert werden, dass eine Analyse des kon- kreten Einzelfalls für Zwecke des Forschungsprojekts stattfindet. Es muss ein Widerspruchsrecht eingeräumt und ein Verfahren zur Umsetzung von Wider- sprüchen eingerichtet werden. Hierfür kann ein sog. Adressmittlungsverfahren eingesetzt werden, bei dem die Justizbehörden die entsprechenden Informati- onen und Unterlagen an die Betroffenen vermitteln. In Anbetracht der niedri- gen Fallzahlen hätte hierin auch kein unverhältnismäßiger Aufwand bestanden. Zudem haben wir bei der Beratung zu diesem Forschungsprojekt darauf hinge- wiesen, dass das Anliegen des Forschungsvorhabens weitestgehend durch eine nicht personenbeziehbare Befragung der Praktiker hätte erfüllt werden kön- nen. Fragen zur generellen Einstellung und zur Beurteilung der Qualität des Warnschussarrests sowie die Erhebung von Vorschlägen der Praktiker zur Ver- besserung der Praxis sind datenschutzrechtlich unproblematisch, sofern keine potenziell identifizierenden Daten wie demografische Angaben oder spezifische Angaben zur Tätigkeit erhoben werden. Angaben aus Strafverfahren sind geeignet, die Betroffenen erheblich in ihrem persönlichen Ansehen und Fortkommen zu beeinträchtigen. Bei For- schungsprojekten im Bereich der Jugendkriminalität sind die schutzwürdigen Interessen der betroffenen Jugendlichen im besonderen Maße zu berück- sichtigen. 126                                                      Jahresbericht BlnBDI 2015

10.4 Falschparker auf dem Radar 10.4 Falschparker auf dem Radar Im Frühjahr berichtete die Presse über das Siemens-Forschungsprojekt Aus der Praxis City2.e 2.0. Getestet werden im Rahmen des Projekts in Straßenlaternen eingebaute Sensoren, die freie Parkplätze erkennen. Über eine App sollen suchende Autofahrer zu Parklücken navigiert werden. Neben der Siemens AG sind insbesondere die Senatsverwaltung für Stadtent- wicklung und Umwelt und die Verkehrsmanagementzentrale Berlin Betreiber- gesellschaft mbH an dem Projekt beteiligt. Die neue Technologie wird in der Bundesallee unter realen Bedingungen getestet. Für das Erkennen freier Park- plätze werden Radarsensoren eingesetzt. Diese registrieren nur, ob eine Fläche frei oder besetzt ist. Weitergehende Informationen etwa über Fahrzeuge oder Halter werden nicht erfasst. Insofern stellt der Einsatz der Radarsensoren aus Datenschutzsicht kein Problem dar. Die in Straßenlaternen integrierten Radarmodule enthalten allerdings auch einen RFID-Scanner. Diese sind zwar nicht vom aktuellen Testbetrieb umfasst, zukünftig könnten mithilfe der Scannerkomponente jedoch weitergehende Informationen (z. B. zur Abrechnung von Parktickets, Erfassung von Ver- kehrsvergehen) aus dem Straßenraum erhoben werden. Ermöglichen würde dies etwa die Vergabe von scannbaren und personalisierten Parkberechtigungen, die z. B. als RFID-Chip an der Windschutzscheibe angebracht werden. Diese Ausweitung der Funktionalität würde massive datenschutzrechtliche Pro- bleme aufwerfen. Werden Anwohnerparkausweise und sonstige Parkberech- tigungen nur noch etwa über Vignetten bzw. RFID-Transponder vergeben, denen eine eindeutige Seriennummer zugeordnet ist, können bei einer Verbrei- tung der Technologie umfangreiche Bewegungsprofile erstellt werden. Selbst mit einer Einwilligung der Autofahrer ist das Vorgehen problematisch. Denn die Autofahrer wollen ggf. lediglich von der bequemen Abrechnungsmöglich- keit profitieren. Jedenfalls muss eine Alternative zu dem personenbeziehbaren Parkberechtigungsnachweis bestehen bleiben. Erfreulich war zwar, dass die Projektpartner schon frühzeitig auf uns zuge- kommen sind. So konnten wir schon vor Beginn des Testbetriebs bera- tend Hinweise geben. Bedauerlicherweise lagen uns allerdings zunächst nur Jahresbericht BlnBDI 2015                                               127

Kapitel 10 Forschung unvollständige Informationen vor. Erst zu einem späteren Zeitpunkt ergab sich, dass im Rahmen des Testverfahrens im Bereich der Bundesallee zur Kontrolle der Radarsensorik auch Bildaufnahmen des öffentlichen Straßenraums gemacht werden. Wir halten für diesen Zweck eine niedrige Auflösung der Bilder für ausreichend. Keinesfalls ist die Erkennbarkeit personenbezogener Merkmale der Verkehrsteilnehmer wie Kfz-Kennzeichen oder Gesichter erforderlich. Für die Betroffenen muss mit geeigneten Mitteln Transparenz hinsichtlich des Testbe- triebs und der Videobeobachtung hergestellt werden. Der Einsatz von Radarsensoren zur Registrierung freier Parkplätze ist als datenschutzfreundliche Technologie zu begrüßen. Die positiven Effekte für Autofahrer dürfen allerdings nicht mit weiteren Datenerfassungen verknüpft werden, die zu einer weitreichenden Überwachung führen können. Zudem dürfen auch in der Forschungsphase nur im erforderlichen Umfang personen- bezogene Daten erhoben und verarbeitet werden. 128                                                       Jahresbericht BlnBDI 2015