Anhang zei- und Verfassungsschutzbehörden des Bundes und der Länder zurückgegrif- fen. Dieses gesetzlich nicht vorgesehene Verfahren soll nunmehr beliebigen weiteren Veranstaltungen als Vorbild dienen. Solche Zuverlässigkeitsüberprüfungen greifen in das Grundrecht auf informati- onelle Selbstbestimmung ein. Grundrechtseingriffe dürfen nicht unter Umge- hung gesetzlicher Vorschriften durchgeführt werden, die Voraussetzungen und Begrenzungen solcher Verfahren regeln. Die Sicherheitsüberprüfungsgesetze des Bundes und der Länder sind für die Durchführung von allgemeinen Zuver- lässigkeitsprüfungen, z. B. anlässlich von Veranstaltungen, nicht einschlägig. Eine generelle rechtliche Grundlage für Zuverlässigkeitsüberprüfungen besteht außerhalb der spezialgesetzlichen Bestimmungen nicht. Einwilligungen können - auch wenn die Betroffenen über die Umstände infor- miert wurden - diese Maßnahme alleine nicht legitimieren. Dies nicht nur des- halb, weil Betroffene oft Nachteile befürchten müssen, wenn sie die Einwilligung verweigern und insoweit eine echte Freiwilligkeit fehlt. Viele Regelungen zu Überprüfungsverfahren verlangen - zusätzlich - zu den materiellen und verfah- rensrechtlichen Regelungen die Mitwirkung der betroffenen Personen in Form einer schriftlichen Erklärung bei der Einleitung einer solchen Überprüfung. Au- ßerdem sollen die Vorschriften ein transparentes Verfahren gewährleisten, in dem u.a. die Rechte Betroffener geregelt sind, so etwa das Recht auf Auskunft oder Anhörung vor negativer Entscheidung. Diese flankierenden Schutzmecha- nismen sind bei Überprüfungsverfahren unerlässlich. 75. Datenschutzkonferenz am 3./4. April 2008 ‹    Mehr Augenmaß bei der Novellierung des BKA-Gesetzes Der vom Bundesministerium des Innern erarbeitete Referentenentwurf eines Gesetzes zur Abwehr des internationalen Terrorismus durch das Bundeskrimi- nalamt hat zum Ziel, das Bundeskriminalamt mit umfassenden polizeilichen Befugnissen zur Verhütung von terroristischen Straftaten und zur Abwehr von Gefahren für die öffentliche Sicherheit in diesem Zusammenhang auszustatten. Insbesondere sind Befugnisse zur Durchsuchung, Rasterfahndung, Wohnraum- überwachung und Telekommunikationsüberwachung vorgesehen. Außerdem will das Bundesinnenministerium eine Befugnis zum heimlichen Zugriff auf in- formationstechnische Systeme ("Online-Durchsuchung") in das BKA-Gesetz aufnehmen. Die Datenschutzbeauftragten des Bundes und der Länder sprechen sich dage- gen aus, dass dem Bundeskriminalamt nach dem Gesetzentwurf mehr Befug- nisse eingeräumt werden sollen, als einzelnen Landespolizeien zur Erfüllung ihrer eigenen Gefahrenabwehraufgaben zustehen. Sie halten es daher für ge- boten, im weiteren Gesetzgebungsverfahren die Befugnisse des BKA auf die zur Aufgabenerfüllung zwingend notwendigen Kompetenzen zu beschränken. Die bisherige informationelle Gewaltenteilung zwischen den Polizeien der Län- der und dem BKA diente auch dem Datenschutz. Die Konferenz fordert deshalb eine klare, d. h. hinreichend trennscharfe Abgrenzung der spezifischen Befug- nisse des Bundeskriminalamts einerseits zu denen der Landespolizeien und Verfassungsschutzbehörden andererseits. LDI NRW 19. Datenschutzbericht 2009                                           165

Anhang Dem Referentenentwurf zufolge soll die Aufgabenwahrnehmung durch das Bun- deskriminalamt die Zuständigkeit der Landespolizeibehörden auf dem Gebiet der Gefahrenabwehr unberührt lassen. Dies führt zu erheblichen datenschutz- rechtlichen Problemen, da nach geltendem Recht auch die Länder bei Abwehr einer durch den inter-nationalen Terrorismus begründeten Gefahr parallele Ab- wehrmaßnahmen ergreifen können. Angesichts der Weite der für das Bundes- kriminalamt vorgesehenen und den Landespolizeibehörden bereits eingeräum- ten Datenerhebungs- und Datenverarbeitungsbefugnisse steht zu befürchten, dass es zu sich überlappenden und in der Summe schwerwiegenderen Eingrif- fen in das informationelle Selbstbestimmungsrecht Betroffener durch das Bun- deskriminalamt und die Landespolizeibehörden kommen wird. Ebenso stellt sich die grundsätzliche Frage der Abgrenzung von Polizei und Verfassungsschutz. In den vergangenen Jahren sind die Polizeigesetze des Bundes und der Länder zunehmend mit Befugnissen zur verdeckten Datenerhe- bung (z. B. heimliche Video- und Sprachaufzeichnungen, präventive Telekom- munikationsüberwachung) ausgestattet worden. Zudem wurden die Eingriffs- befugnisse immer weiter ins Vorfeld von Straftaten und Gefahren erstreckt. Damit überschneiden sich die polizeilichen Ermittlungsbefugnisse zunehmend mit denen des Verfassungsschutzes. Das Bundesverfassungsgericht hat in seinem Urteil zur "Online-Durchsuchung" vom 27. Februar 2008 den Gesetzgeber erneut verpflichtet, den unantastbaren Kernbereich privater Lebensgestaltung zu gewährleisten. Diese Vorgabe des Gerichts gilt nicht nur für eine etwaige gesetzliche Regelung zur "Online- Durchsuchung",        sondern     für     alle     Eingriffsmaßnahmen.      Die Datenschutzbeauftragten des Bundes und der Länder fordern den Gesetzgeber deshalb auf, im Rahmen der Novellierung des BKA-Gesetzes den Schutz des Kernbereichs privater Lebensgestaltung für alle Eingriffsmaßnahmen zu regeln. ‹    Unzureichender Datenschutz beim deutsch-amerikanischen Ab- kommen über die Zusammenarbeit der Sicherheitsbehörden Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder beo- bachtet mit Sorge, dass die Datenschutzrechte der Bürgerinnen und Bürger im Rahmen der internationalen Zusammenarbeit der Sicherheitsbehörden immer häufiger auf der Strecke bleiben. Aktuelles Beispiel ist das am 11.3.2008 para- phierte deutsch-amerikanische Regierungsabkommen über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerwiegender Kri- minalität. Die Konferenz fordert Bundestag und Bundesrat auf, dem Abkommen solange nicht zuzustimmen, bis ein angemessener Datenschutz gewährleistet ist. Mit dem Abkommen wurde ein gegenseitiger Online-Zugriff auf Fundstellenda- tensätze von daktyloskopischen Daten und DNA-Profilen im hit/no-hit-Verfah- ren nach dem Muster des Prümer Vertrages vereinbart. Zudem wurden dessen Regelungen über den Austausch personenbezogener Daten zur Verhinderung terroristischer Straftaten weitgehend übernommen. Eine Übertragung des als Bedingung für diese umfangreichen Zugriffs und Übermittlungsbefugnisse im Prümer Vertrag geschaffenen Datenschutzregimes erfolgte jedoch nicht. Die Voraussetzungen, unter denen ein Datenaustausch erlaubt ist, sind nicht klar definiert. Der Datenaustausch soll allgemein zur Bekämpfung von Terro- 166                                       LDI NRW 19. Datenschutzbericht 2009

Anhang rismus und schwerer Kriminalität möglich sein. Welche Straftaten darunter konkret zu verstehen sind, wird nicht definiert. Es erfolgt hier lediglich der Ver- weis auf das jeweilige nationale Recht. Damit trifft nach dem Abkommen die USA einseitig eine Entscheidung über die Relevanz der abgerufenen Daten. Bevor in so großem Umfang zusätzliche Datenübermittlungen erlaubt werden, muss zunächst geklärt werden, warum die bisherigen Datenübermittlungsbe- fugnisse für die internationale Polizeizusammenarbeit mit den USA nicht ausrei- chen. Für die weitere Verarbeitung aus Deutschland stammender Daten in den USA bestehen für die Betroffenen praktisch keine Datenschutzrechte. Das Abkom- men selbst räumt den Betroffenen keine eigenen Rechte ein, sondern verweist auch hierzu auf die Voraussetzungen im Recht der jeweiligen Vertragspartei. In den USA werden aber Datenschutzrechte, wie sie in der Europäischen Union allen Menschen zustehen, ausschließlich Bürgerinnen und Bürgern der Verei- nigten Staaten von Amerika und dort wohnenden Ausländerinnen und Auslän- dern gewährt. Anderen Personen stehen Rechtsansprüche auf Auskunft über die Verarbeitung der eigenen Daten, Löschung unzulässig erhobener oder nicht mehr erforderlicher Daten oder Berichtigung unrichtiger Daten nicht zu. Au- ßerdem besteht in den USA keine unabhängige Datenschutzkontrolle. Vor die- sem Hintergrund sind die im Abkommen enthaltenen weiten Öffnungsklauseln für die weitere Verwendung der ausgetauschten Daten sowie der Verzicht auf Höchstspeicherfristen aus datenschutzrechtlicher Sicht nicht akzeptabel. ‹    Herausforderungen       für   den    Datenschutz    zu   Beginn      des   21. Jahrhunderts Regelungen insbesondere zum großen Lauschangriff, zur Telekommunikations- überwachung, zur Rasterfahndung, zur Online-Durchsuchung, zur automati- schen Auswertung von Kfz-Kennzeichen und zur Vorratsspeicherung von Tele- kommunikationsdaten haben die verfassungsrechtlich zwingende Balance zwi- schen Sicherheitsbefugnissen der staatlichen Behörden und persönlicher Frei- heit der Bürgerinnen und Bürger missachtet. Das Bundesverfassungsgericht hat mit einer Reihe von grundlegenden Entscheidungen diese Balance wieder her- gestellt und damit auch den Forderungen der Datenschutzbeauftragten des Bundes und der Länder größtenteils Rechnung getragen. Die Herausforderungen für den Datenschutz gehen aber weit über die genann- ten Bereiche hinaus. Datenverarbeitungssysteme dringen immer stärker in alle Lebensbereiche ein und beeinflussen den Alltag. Das Internet ist zum Massen- medium geworden. Vielfältig sind dabei die Möglichkeiten, das persönliche Ver- halten zu registrieren und zu bewerten. Der nächste Quantensprung der Infor- mationstechnik steht unmittelbar bevor: Die Verknüpfung von Informations- technik mit Körperfunktionen, insbesondere bei der automatisierten Messung medizinischer Parameter und bei der Kompensation organischer Beeinträchti- gungen. Die Miniaturisierung von IT-Systemen geht so weit, dass demnächst einzelne Komponenten nicht mehr mit bloßem Auge wahrgenommen werden können (Nanotechnologie). Das Handeln staatlicher und nicht-öffentlicher Stellen ist verstärkt darauf ge- richtet, viele Daten ohne klare Zweckbestimmung zu sammeln, um sie an- schließend vielfältig auszuwerten, beispielsweise um versteckte Risiken aufzu- LDI NRW 19. Datenschutzbericht 2009                                             167

Anhang decken oder um persönliches Verhalten unbemerkt zu beeinflussen. Geht es der Wirtschaft etwa darum, durch Scoringverfahren die Kundinnen und Kunden vorab einzuschätzen, gewinnt die immer exzessivere Registrierung und auto- matisierte Beobachtung für staatliche Stellen an Bedeutung. In beiden Berei- chen wird ganz normales Verhalten registriert, unabhängig von konkreten Ge- fahren oder Verdachtsmomenten. Auch diejenigen, die sich nichts haben zu schulden kommen lassen, werden einem verstärkten Kontroll- und Anpas- sungsdruck ausgesetzt, der Einschüchterungseffekte zur Folge haben wird. Der Schutz der Grundrechte, nicht zuletzt des Datenschutzes, dient in einer demokratischen Gesellschaft auch dem Gemeinwohl und ist zunächst Aufgabe jeglicher Staatsgewalt. Darüber hinaus ist er eine gesamtgesellschaftliche Auf- gabe. Schließlich ist jede Bürgerin und jeder Bürger auch zur Eigenverantwor- tung aufgerufen. Hilfen zum informationellen Selbstschutz müssen zur Verfü- gung gestellt werden, die es den Betroffenen ermöglichen, eine Erfassung ihres Verhaltens zu vermeiden und selbst darüber zu entscheiden, ob und wem ge- genüber sie Daten offenbaren. Von zunehmender Bedeutung sind auch Pro- jekte, die das Datenschutzbewusstsein fördern, um vor allem jüngere Men- schen von einem fahrlässigen Umgang mit ihren persönlichen Daten abzuhal- ten. Alle diese Maßnahmen tragen zur Entwicklung einer neuen Datenschutzkultur bei. Voraussetzung dafür ist auch, dass nicht länger versucht wird, die verfas- sungsrechtlichen Grenzen und Spielräume auszureizen. Stattdessen muss dem Gebot der Datenvermeidung und –sparsamkeit Rechnung getragen werden. ‹    Datenschutzförderndes       Identitätsmanagement       statt    Personen- kennzeichen Elektronische Identitäten sind der Schlüssel zur Teilnahme an der digitalen Welt. Die Möglichkeiten der pseudonymen Nutzung, die Gewährleistung von Datensparsamkeit und -sicherheit und der Schutz vor Identitätsdiebstahl und Profilbildung sind wichtige Grundpfeiler moderner Informations- und Kommuni- kationstechnologien. Darauf hat die Bundesregierung zu Recht anlässlich des Zweiten Nationalen IT-Gipfels im Dezember 2007 (Hannoversche Erklärung) hingewiesen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist darauf hin, dass der gesetzliche Rahmen für die anonyme oder pseudonyme Nutzung elektronischer Verfahren bereits seit langem vorhanden ist. Beispiels- weise hat jeder Diensteanbieter die Nutzung von Telemedien und ihre Bezah- lung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist (§ 13 Abs. 6 Telemediengesetz). Bisher werden jedoch anonyme oder pseudonyme Nutzungsmöglichkeiten nur sehr selten angeboten. Vielmehr speichern Wirtschaft und Verwaltung immer mehr digitale Daten mit direktem Personenbezug. Erschlossen werden diese Datenbestände in der Regel über einheitliche Identifizierungsnummern. Mit der lebenslang    geltenden,    bundeseinheitlichen   Steuer-Identifikationsnummer (Steuer-ID) oder der mit der Planung der Gesundheitskarte zusammenhängen- den, ebenfalls lebenslang geltenden Krankenversichertennummer werden der- zeit solche Merkmale eingeführt. Auch mit der flächendeckenden Einführung des ePersonalausweises wird jeder Bürgerin und jedem Bürger eine elektroni- 168                                        LDI NRW 19. Datenschutzbericht 2009

Anhang sche Identität zugewiesen, mit der sie bzw. er sich künftig auch gegenüber eGovernment-Portalen der Verwaltung oder eCommerce-Angeboten der Wirt- schaft identifizieren soll. Einheitliche Personenkennzeichen bergen erhebliche Risiken für das Recht auf informationelle Selbstbestimmung. So könnte sich aus der Steuer-ID ein Perso- nenkennzeichen entwickeln, über das alle möglichen Datenbestände personen- bezogen verknüpft und umfassende Persönlichkeitsprofile erstellt werden. An- gesichts der stetig verbesserten technischen Möglichkeiten, zunächst verteilt gespeicherte Daten anwendungsübergreifend zu verknüpfen, wachsen entspre- chende Begehrlichkeiten. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist darauf hin, dass die effektive Nutzung von Informationstechnik und hohe Da- tenschutzstandards keinen Widerspruch bilden. Ein datenschutzförderndes Identitätsmanagement kann den Einzelnen vor unangemessener Überwachung und Verknüpfung seiner Daten schützen und zugleich eine moderne und effek- tive Datenverarbeitung ermöglichen. Entsprechende EU-Projekte wie PRIME (Privacy and Identity Management for Europe) und FIDIS (Future of Identity in the Information Society) werden im Rahmen des 6. Europäischen Forschungs- programms "Technologien für die Informationsgesellschaft" gefördert. Identitätsmanagement sollte auf der anonymen oder pseudonymen Nutzung von elektronischen Verfahren und der dezentralen Haltung von Identifikations- daten unter möglichst weitgehender Kontrolle der betroffenen Bürgerinnen und Bürger basieren. Datenschutzfördernde Identitätsmanagementsysteme schlie- ßen Verknüpfungen nicht aus, wenn die Nutzenden es wünschen oder wenn dies gesetzlich vorgesehen ist. Sie verhindern jedoch, dass unkontrolliert der Bezug zwischen einer elektronischen Identität und einer Person hergestellt werden kann. Unter bestimmten, klar definierten Bedingungen kann mit Hilfe von Identitätsmanagementsystemen sichergestellt werden, dass ein Pseudo- nym bei Bedarf bezogen auf einen bestimmten Zweck (z.B. Besteuerung) einer Person zugeordnet werden kann. Identitätsmanagementsysteme werden nur dann die Akzeptanz der Nutzerin- nen und Nutzer finden, wenn sie einfach bedienbar sind, ihre Funktionsweise für alle Beteiligten transparent ist, möglichst alle Komponenten standardisiert sind und die Technik von unabhängigen Dritten jederzeit vollständig nachprüf- bar ist. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung daher auf, den Absichtserklärungen des IT-Gipfels Taten folgen zu lassen und den Einsatz datenschutzfördernder Identitätsmanage- mentsysteme voranzutreiben. Sowohl die öffentliche Verwaltung als auch die Wirtschaft sollte die Einführung solcher datenschutzfördernder Systeme unter- stützen. ‹    Vorgaben       des     Bundesverfassungsgerichts     bei   der   Online- Durchsuchung beachten 1.   Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt, dass das Bundesverfassungsgericht die Regelung zur Online- Durchsuchung im Verfassungsschutzgesetz Nordrhein-Westfalen für nichtig LDI NRW 19. Datenschutzbericht 2009                                         169

Anhang erklärt hat. Hervorzuheben ist die Feststellung des Gerichts, dass das all- gemeine Persönlichkeitsrecht auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst. 25 Jahre nach dem Volkszählungsurteil hat das Bundesverfassungsgericht damit den Datenschutz verfassungsrechtlich weiter gestärkt und ihn an die Herausforderungen des elektronischen Zeitalters angepasst. 2.  Ein solches Grundrecht nimmt auch den Staat in die Verantwortung, sich aktiv für die Vertraulichkeit und Integrität informationstechnischer Sys- teme einzusetzen. Das Bundesverfassungsgericht verpflichtet den Staat, im Zeitalter der elektronischen Kommunikation Vertraulichkeit zu gewähr- leisten. Nunmehr ist der Gesetzgeber gehalten, diesen Auftrag konsequent umzusetzen. Dazu müssen die Regelungen, welche die Bürgerinnen und Bürger vor einer "elektronischen Ausforschung" schützen sollen, gemäß den Vorgaben des Gerichts insbesondere im Hinblick auf technische Ent- wicklungen verbessert werden. Hiermit würde auch ein wesentlicher Bei- trag geleistet, Vertrauen in die Sicherheit von E-Government- und E-Com- merce-Verfahren herzustellen. 3.  Die Konferenz unterstützt die Aussagen des Gerichts zum technischen Selbstschutz der Betroffenen. Ihre Möglichkeiten, sich gegen einen unzu- lässigen Datenzugriff zu schützen, etwa durch den Einsatz von Verschlüs- selungsprogrammen, dürfen nicht unterlaufen oder eingeschränkt werden. 4.  Die Konferenz begrüßt außerdem, dass das Bundesverfassungsgericht das neue Datenschutzgrundrecht mit besonders hohen verfassungsrechtlichen Hürden vor staatlichen Eingriffen schützt. Sie fordert die Gesetzgeber in Bund und Ländern auf, diese Eingriffsvoraussetzungen zu respektieren. Die Konferenz spricht sich in diesem Zusammenhang gegen Online-Durchsu- chungen durch die Nachrichtendienste aus. 5.  Das Bundesverfassungsgericht hat den Gesetzgeber erneut verpflichtet, den unantastbaren Kernbereich privater Lebensgestaltung auch bei Ein- griffen in informationstechnische Systeme zu gewährleisten. Unvermeidbar erhobene kernbereichsrelevante Inhalte sind unverzüglich zu löschen. Eine Weitergabe oder Verwertung dieser Inhalte ist auszuschließen. 6.  Auch wenn Online-Durchsuchungen innerhalb der durch das Bundesverfas- sungsgericht festgelegten Grenzen verfassungsgemäß sind, fordert die Konferenz die Gesetzgeber auf, die Erforderlichkeit von Online-Durchsu- chungsbefugnissen kritisch zu hinterfragen. Sie müssen sich die Frage stellen, ob sie den Sicherheitsbehörden entsprechende Möglichkeiten an die Hand geben wollen. Die Konferenz bezweifelt, dass dieser weiteren Einbuße an Freiheit ein adäquater Gewinn an Sicherheit gegenüber steht. 7.  Sollten gleichwohl Online-Durchsuchungen gesetzlich zugelassen werden, sind nicht nur die vom Bundesverfassungsgericht aufgestellten verfas- sungsrechtlichen Hürden zu beachten. Die Konferenz hält für diesen Fall zusätzliche gesetzliche Regelungen für erforderlich. Zu ihnen gehören vor allem folgende Punkte: a.   Soweit mit der Vorbereitung und Durchführung von Online- Durchsuchungen der Schutzbereich von Art. 13 GG (Unverletzlich- keit der Wohnung) betroffen ist, bedarf es dafür jedenfalls einer besonderen Rechtsgrundlage. 170                                       LDI NRW 19. Datenschutzbericht 2009

Anhang b.   Der vom Bundesverfassungsgericht geforderte Richtervorbehalt ist bei Online-Durchsuchungen mindestens so auszugestalten wie bei der akustischen Wohnraumüberwachung. Ergänzend zu einer richterlichen Vorabkontrolle ist eine begleitende Kontrolle durch eine unabhängige Einrichtung vorzuschreiben. c.   Gesetzliche Regelungen, welche Online-Durchsuchungen zulassen, sollten befristet werden und eine wissenschaftliche Evaluation der dabei gewonnenen Erkenntnisse und Erfahrungen anordnen. d.   Informationstechnische Systeme, die von zeugnisverweige- rungsberechtigten Berufsgruppen genutzt werden, sind von heim- lichen Online-Durchsuchungen auszunehmen. e.   Für die Durchführung von "Quellen-Telekommunikations-überwa- chungen", die mit der Infiltration von IT-Systemen einhergehen, sind die gleichen Schutzvorkehrungen zu treffen wie für die On- line-Durchsuchung selbst. 8.   Schließlich sind die Gesetzgeber in Bund und Ländern aufgrund der Aus- strahlungswirkung der Entscheidung des Bundesverfassungsgerichts gehalten, die sicherheitsbehördlichen Eingriffsbefugnisse in Bezug auf in- formationstechnische Systeme, z.B. bei der Überwachung der Telekommu- nikation im Internet sowie der Beschlagnahme und Durchsuchung von Speichermedien, grundrechtskonform einzuschränken. ‹    Keine Vorratsspeicherung von Flugpassagierdaten Die EU-Kommission hat den Entwurf eines Rahmenbeschlusses des Rates zur Speicherung von Flugpassagierdaten und zu deren Weitergabe an Drittstaaten vorgelegt. Künftig sollen die Fluggesellschaften bei Flügen aus der EU und in die EU zu jedem Fluggast insgesamt 19 Datenelemente, bei unbegleiteten Min- derjährigen sechs weitere Datenelemente, an eine von dem jeweiligen Mitglied- staat bestimmte "Zentralstelle" übermitteln. Die Daten sollen bei den Zentral- stellen anlass- und verdachtsunabhängig insgesamt 13 Jahre lang personenbe- zogen gespeichert werden und zur Durchführung von Risikoanalysen dienen. Unter im Einzelnen noch unklaren Voraussetzungen sollen die Daten an Straf- verfolgungsbehörden von Nicht-EU-Staaten (z.B. die USA), übermittelt werden dürfen. Neben Grunddaten zur Person, über Reiseverlauf, Buchungs- oder Zahlungsmodalitäten und Sitzplatzinformationen sollen auch andere persönliche Angaben gespeichert werden. Unklar ist, welche Daten unter "allgemeine Hin- weise" gespeichert werden dürfen. Denkbar wäre, dass beispielsweise beson- dere Essenswünsche erfasst werden. Mit der beabsichtigten Vorratsspeicherung und der Datenübermittlung wird die EU es auswärtigen Staaten ermöglichen, Bewegungsbilder auch von EU-Bürge- rinnen und –Bürgern zu erstellen. In Zukunft besteht die Gefahr, dass Men- schen Angst haben werden, durch ihre Reisegewohnheiten aufzufallen. Die in dem Rahmenbeschluss vorgesehene Vorratsdatenspeicherung von Daten sämtlicher Fluggäste, die EU-Grenzen überschreiten, verstößt nicht nur gegen Art. 8 der Europäischen Menschenrechtskonvention und die Europaratskonven- tion 108, sondern ist auch mit dem im Grundgesetz verankerten Recht auf in- formationelle Selbstbestimmung nicht vereinbar. Grundrechtseingriffe "ins LDI NRW 19. Datenschutzbericht 2009                                           171

Anhang Blaue hinein", also Maßnahmen ohne Nähe zu einer abzuwehrenden Gefahr sind unzulässig. Der Vorschlag für den Rahmenbeschluss erfolgte, ohne den Nutzen der erst jüngst in nationales Recht umgesetzten Richtlinie 2004/82/EG¹, die bereits alle Beförderungsunternehmen verpflichtet, die Daten von Reisenden an die Grenz- kontrollbehörden zu übermitteln, auszuwerten. Hinzu kommt, dass der Vor- schlag kaum datenschutzrechtliche Sicherungen enthält. Er bezieht sich nur auf eine bisher nicht bestehende und im Entwurf mit Mängeln behaftete EU-Daten- schutzregelung. Diese Mängel wirken sich dadurch besonders schwerwiegend aus, dass in den Drittstaaten ein angemessenes Datenschutzniveau nicht im- mer gewährleistet ist und eine Änderung dieser Situation auch in Zukunft nicht zu erwarten ist. Die EU-Kommission hat nicht dargelegt, dass vergleichbare Maßnahmen in den USA, in Kanada oder in Großbritannien einen realen, ernst zu nehmenden Bei- trag zur Erhöhung der Sicherheit geleistet hätten. Sie hat die kritischen Stel- lungnahmen der nationalen und des Europäischen Datenschutzbeauftragten sowie der Art. 29-Datenschutzgruppe nicht berücksichtigt. Die Konferenz fordert die Bundesregierung auf, den Entwurf abzulehnen. Sie teilt die vom Bundesrat geäußerten Bedenken an der verfassungsrechtlichen Zulässigkeit der Speicherung der Passagierdaten. ‹     Keine Daten der Sicherheitsbehörden an Arbeitgeber                   zur Überprüfung von Arbeitnehmerinnen und Arbeitnehmern Die Datenschutzbeauftragten des Bundes und der Länder wenden sich ent- schieden gegen die Übermittlung polizeilicher und nachrichtendienstlicher Er- kenntnisse an Arbeitgeber zur Überprüfung von Bewerberinnen und Bewerbern, Beschäftigten und Fremdpersonal (z. B. Reinigungskräfte) außerhalb gesetzli- cher Grundlagen. In zunehmendem Maß bitten Arbeitgeber die Betroffenen, in eine Anfrage des Arbeitgebers bei der Polizei oder dem Verfassungsschutz zu etwaigen dort vorliegenden Erkenntnissen zu ihrer Person einzuwilligen. In an- deren Fällen sollen die Betroffenen eine solche Auskunft ("fremdbestimmte Selbstauskunft") selbst einholen und ihrem Arbeitgeber vorlegen. Eine solche "Einwilligung des Betroffenen" ist regelmäßig keine wirksame Einwilligung. Die Betroffenen sehen sich oftmals dem faktischen Druck des Wohlverhaltens zum Zwecke des Erhalts und der Sicherung des Arbeitsplatzes ausgesetzt. Die gesetzliche Grundentscheidung, in einem "Führungszeugnis" dem Arbeitge- ber nur ganz bestimmte justizielle Informationen zu einer Person verfügbar zu machen, wird dadurch unterlaufen. Es stellt einen Dammbruch dar, wenn jeder Arbeitgeber durch weitere Informationen direkt oder indirekt an dem Wissen der Sicherheitsbehörden und Nachrichtendienste teilhaben kann. Die Übermitt- lung dieser Informationen an Arbeitgeber kann auch den vom Bundesarbeits- gericht zum "Fragerecht des Arbeitgebers" getroffenen Wertentscheidungen wi- dersprechen. Danach darf der Arbeitgeber die Arbeitnehmerinnen und Arbeit- nehmer bei der Einstellung nach Vorstrafen und laufenden Ermittlungsverfahren fragen, wenn und soweit die Art des zu besetzenden Arbeitsplatzes dies erfor- dert. 172                                       LDI NRW 19. Datenschutzbericht 2009

Anhang Polizei und Nachrichtendienste speichern – neben den in ein "Führungszeugnis" aufzunehmenden Daten – auch personenbezogene Daten, die in das Bundes- zentralregister gar nicht erst eingetragen werden oder Arbeitgebern in einem "Führungszeugnis" nicht übermittelt werden dürfen. Es stellt eine grundsätzlich unzulässige Durchbrechung des Zweckbindungsgrundsatzes dar, wenn ein Ar- beitgeber diese Daten – über den Umweg über die Polizei oder einen Nachrich- tendienst – für Zwecke der Personalverwaltung erhält. Dabei ist besonders zu beachten, dass polizeiliche oder nachrichtendienstliche Daten nicht zwingend gesicherte Erkenntnisse sein müssen, sondern oftmals lediglich Verdachtsmo- mente sind. Die Folgen von Missdeutungen liegen auf der Hand. ‹    Medienkompetenz und           Datenschutzbewusstsein       in  der  jungen "online-Generation" 1.   Die Nutzung moderner Informationssysteme ist auch mit Risiken verbunden. Diese begründen ein besonderes Schutzbedürfnis der Bürgerinnen und Bürger. Dieses verlangt aber nicht nur rechtliche Vorkehrungen und Sicherungen, sondern auch Aufklärung und Information darüber, mit welchen Risiken die Nutzung dieser Informationssysteme verbunden sind. Dies gilt vor allem für die junge "online-Generation", die in der Altersgruppe der 14- bis 19-Jährigen zu 96 % regelmäßig das Internet nutzt und zwar im Durchschnitt länger als zweieinhalb Stunden täglich. 2.   Die Datenschutzbeauftragten des Bundes und der Länder sehen es daher als wichtige Aufgabe an, Kinder und Jugendliche für einen sorgsamen und verantwortungsbewussten Umgang mit den eigenen Daten und den Daten anderer zu sensibilisieren. Diese Aufgabe obliegt gesellschaftlichen Einrichtungen ebenso wie staatlichen Organen. 3.   Die Erfahrungen, die anlässlich des 2. Europäischen Datenschutztages am 28. Januar 2008 gemacht wurden, stützen dies. Zu dem Motto "Datenschutz macht Schule" wurde von den Datenschutzbeauftragten des Bundes und der Länder eine Vielzahl von Veranstaltungen und Schulbesuchen organisiert. Eltern, Lehrkräfte, Schülerinnen und Schüler, aber auch Studierende hatten dabei die Möglichkeit, sich z.B. bei Podiumsdiskussionen, Rollenspielen und Workshops über daten- schutzrelevante Fragen bei der Nutzung moderner Medien zu informieren. Die dabei gewonnenen Erfahrungen lassen nicht nur einen enormen Informationsbedarf, sondern auch ein großes Informationsinteresse erkennen, und zwar bei allen Beteiligten, bei den Jugendlichen ebenso wie bei ihren Eltern und den Lehrkräfte. 4.   Bei den Informationsangeboten, die derzeit den Schulen angeboten werden, um die Medienkompetenz junger Menschen zu verbessern, spielt das Thema "Datenschutz" aber nur eine untergeordnete Rolle. Es beschränkt sich überwiegend auf Fragen der Datensicherheit und wird zudem häufig von Fragen des Jugendmedienschutzes und des Verbraucherschutzes überlagert. 5.   Die Datenschutzbeauftragten des Bundes und der Länder halten es daher für notwendig, dass die für die schulische Bildung zuständigen Ministerinnen und Minister der Landesregierungen bei der Förderung LDI NRW 19. Datenschutzbericht 2009                                           173

Anhang der Medienkompetenz von Kindern und Jugendlichen – schon im Grundschulalter - deren Datenschutzbewusstsein stärken. Der Datenschutz muss bei den Angeboten und Projekten zur Förderung der Medienkompetenz eine größere Rolle spielen. Die bisherigen Ansätze reichen bei weitem nicht aus. Gerade bei jungen Menschen muss das Bewusstsein über den Datenschutz als Bürgerrecht und Bestandteil unserer demokratischen Ordnung stärker gefördert werden. Entschließung zwischen den Datenschutzkonferenzen ‹    Entschlossenes Handeln ist das Gebot der Stunde (16. September 2008) Nie haben sich in der jüngeren Geschichte die Skandale um den Missbrauch privater Daten in der Wirtschaft so gehäuft wie heute und damit deutlich ge- macht, dass nicht nur im Verhältnis Bürger-Staat das Grundrecht auf informati- onelle Selbstbestimmung bedroht ist. Die Konferenz der Datenschutzbeauf- tragten des Bundes und der Länder hat wiederholt - zuletzt in ihrer Berliner Er- klärung vom 4. April dieses Jahres - auf diese Gefahren hingewiesen, die von massenhaften Datensammlungen privater Unternehmen und ihrer unkontrol- lierten Nutzung ausgehen. Sie hat auch deshalb den Gesetzgeber zu einer grundlegenden Modernisierung und Verbesserung des Datenschutzrechts auf- gefordert und eine neue Datenschutzkultur angemahnt. Dass jetzt endlich im politischen und gesellschaftlichen Raum die Problematik erkannt und diskutiert wird, ist zu begrüßen. Dabei kann und darf es aber nicht bleiben, nur entschlossenes Handeln kann die Bürgerinnen und Bürger vor weiterem Missbrauch ihrer persönlichen Daten schützen und das verlorene Vertrauen wiederherstellen. Das vom Grundgesetz garantierte Recht eines Jeden, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu entscheiden, muss end- lich die ihm gebührende Beachtung finden. Die Weitergabe von persönlichen Angaben zu Werbezwecken darf nur mit ausdrücklicher Einwilligung der Be- troffenen zulässig sein. Daten sind mit einem Vermerk über ihre Quelle zu kennzeichnen. Der Abschluss von Verträgen darf nicht von der Einwilligung in die Datenübermittlung zu Werbezwecken abhängig gemacht werden. Verstöße gegen den Datenschutz dürfen nicht ohne Konsequenzen bleiben, sondern müssen strikt geahndet werden. Deshalb müssen die bestehenden Lücken in den Bußgeld- und Strafbestimmungen geschlossen und der Bußgeld- und Strafrahmen für Datenschutzverstöße deutlich erhöht werden. Diese Sofort- maßnahmen, die bereits Gegenstand des Spitzentreffens im Bundesministerium des Innern am 4. September 2008 waren, können vom Deutschen Bundestag noch in den bereits vorliegenden Gesetzentwurf zur Änderung des Bundesda- tenschutzgesetzes aufgenommen werden. Gesetzgeberische Maßnahmen allein helfen aber nicht weiter, wenn ihre Ein- haltung nicht ausreichend kontrolliert und Verstöße nicht sanktioniert werden können. Die Konferenz der Datenschutzbeauftragten des Bundes und der Län- der fordert deswegen, die Datenschutzaufsichtsbehörden endlich organisato- risch, personell und finanziell in die Lage zu versetzen, ihren Beratungs- und 174                                        LDI NRW 19. Datenschutzbericht 2009