Berliner Beauftragter für Datenschutz und   DATEN Informationsfreiheit j  Bi     ä Bi    1  |  4 As,        &_ >   dm;       j Jahresbericht 2008 I.TYABELUINDGNLBVIESY  mn                    NZ FREIHEIT .rlo73=

BERICHT des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2003 Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat dem Abgeordnetenhaus und dem Regierenden Bürgermeister              jährlich einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen ($$ 29 Berliner Datenschutzgesetz,        18 Abs. 3 Berliner Informationsfreiheitsgesetz).     Der vorliegende Bericht schließt an den am 25. März 2003 vorgelegten Jahres- bericht 2002 an und deckt den Zeitraum zwischen 1. Januar und 31. Dezem- ber 2003 ab. Wiederum werden die über Berlin hinaus bedeutsamen Dokumente in einem gesonderten Anlagenband (, Dokumente zu Datenschutz und Informa- tionsfreiheit 2003“) veröffentlicht, der gemeinsam mit dem Landesbeauf- tragten für den Datenschutz und für das Recht auf Akteneinsicht des Landes Brandenburg herausgegeben wird. Dieser Jahresbericht ist über das Internet (http://www.datenschutz-ber- lin.de) abrufbar; wir bemühen uns, dort alle im Bericht zitierten Fundstellen ich  zu machen. Jahresbericht BInBDT 2003                                                        1

Impressum Herausgeber: Berliner Beauftragter für Datenschutz und Informationsfreiheit An der Urania 4-10, 10787 Berlin Telefon:  (030) +138 89-0 Telefax:  (030)    2155050 E-Mail:   mailbox@datenschutz-berlin.de Internet: http://www.datenschutz.berlin.de Redaktion:   Laima Nicolaus Druck:       Druckerei Conrad GmbH 2                                                 Inch BinBD2003 I

Inhaltsverzeichnis Entwicklung des Datenschutzrechts 1.1     Deutschland und Europa 1.2     Berlin Technische Rahmenbedingungen 2.1     Entwicklung der Informationstechnik 2.2      Datenverarbeitung in der Berliner Verwaltung Schwerpunkte im Berichtsjahr 3.1      Neue Sicherheitsideen — zu Lasten der Freiheit 3.2      Der Ruf nach dem genetischen Fingerabdruck 3.3      Elektronische Werbung 3.4      Controlling bei sozialen Transferleistungen — ein Modellprojekt der Verwaltungsreform? 3.5      Risikoanalysen und Sicherheitskonzepte — der Weg zu einer sicheren Datenverarbeitung Aus den Arbeitsgebieten Öffentliche Sicherheit 4.1.1     Polizei 4.1.2     Verfassungsschutz 4.2      Ordnungsverwaltung 4.2.1     Melde- und Personenstandswesen 4.2.2     Straßen- und Verkehrsverwaltung 4.3      Justiz und Finanzen 4.3.1     Justiz 4.3.2     Finanzen 44       Sozialordnung 4.4.1     Personaldatenschutz 4.4.2     Gesundheit 4.4.3     Sozial- und Jugendverwaltung 4.44      Bauen, Wohnen und Umwelt Jahresbericht BInBDI 2003

4.5 Wissen und Bildung 4.5.1   Wissenschaft und Forschung 4.5.2   Statistik 4.5.3   Schule 4.6 Wirtschaft 4.6.1   Banken 4.6.2   Verkehrsunternehmen 4.6.3   Detekteien und Auskunfteien 4.6.4   Was wir sonst noch geprüft haben ... 4.7 Europäischer und internationaler Datenschutz 4.7.1   Ergebnisse aus Brüssel 4.7.2   AG Internationaler Datenverkehr 4.8 Organisation und Technik 4.8.1   Behördliche Datenschutzbeauftragte 4.8.2  Netzwerksicherheit in einem Bezirksamt 4.8.3   Der Einsatz von Firewalls 4.8.4   Postdienstleistungen und Datenschutz 49  Informationsfreiheit 4.9.1  Jahr der Informationsfreiheit 4.9.2   Stillstand in der Bundes- und Landesgesetz igebung 4.9.3  Weitere Erfahrungen Telekommunikation und Medien 5.1 Telekommunikation und Teledienste 5.2 Datenschutz und Medien Aus der Dienststelle 6.1 Entwicklung 6.2 BürgerOffice 6.3 Zusammenarbeit mit dem Parlament 6.4 Kooperation mit anderen Stellen 6.5 Europäische Akademie für Informationsfreiheit un:     Datenschutz Jah) tesbericht BInBDI 2003

Anhang l.        Ergebnisse der Beratungen des Unterausschusses „Datenschutz und Informationsfreiheit“ 2.        Reden im Abgeordnetenhaus am 29. Januar 2004 zur Beschluss- empfehlung über den Jahresbericht 2001 des Berliner Beauftragten für Datenschutz und Informationsfreiheit 3.        Auszug aus dem Geschäftsverteilungsplan des Berliner Beauftragten für Datenschutz und Informationsfreiheit Stichwortverzeichnis Jahresbericht BInBDI 2003                                                -

Jahresbericht BInBDI 2003

11 1.    Entwicklung des Datenschutzrechts 1.1 Deutschland und Europa Die Neugestaltung der Kommunikationsbeziehungen der staatlichen Insti- tutionen untereinander einerseits, zu Wirtschaft, Bürgerinnen und Bürgern andererseits durch den verstärkten, ja teilweise ausschließlichen Einsatz von Informationstechnik (eGovernment) war eines der Ziele zweier großer Reformprojekte, die die öffentliche Diskussion des vergangenen Jahres dominierten: der Steuerreform und der Gesundheitsreform. Mit dem Steueränderungsgesetz 2003 wurden die elektronische Lohn- steuerkarte eingeführt und die Datenflüsse zwischen Arbeitgeber und Finanzbehörden auf eine neue Basis gestellt. Die Einführung eines einheit- lichen Identifikationsmerkmals für alle Steuerpflichtigen (‚„E-Tin“) birgt trotz aller datenschutzrechtlichen Absicherungen die Gefahr, dass sich dar- aus eine (verfassungswidrige) Personenkennzahl entwickelt!. Noch weit größere Bedeutung für die Entwicklung des eGovernment wird dem Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GMG) zukommen. In das Sozialgesetzbuch Buch V (SGB V) wurde der programmatische Satz aufgenommen: „Zur Verbesserung der Qualität und Wirtschaftlichkeit der Versorgung soll die papiergebundene Kommunikation unter den Leistungserbringern so bald und so umfassend wie möglich durch die elektronische und maschinell verwertbare Übermittlung von Befunden, Diagnosen, Therapieempfehlungen und Behandlungsberichten, die sich auch für eine einrichtungsübergreifende fallbezogene Zusammenarbeit eignet, ersetzt werden.“ Neben der Verpflichtung der beteiligten Stellen, ähnlich wie bei der Finanzverwaltung, die Kommunikationsbeziehungen auf elektronische Übermittlungen umzustellen, werden zwei Medien eingeführt, die die Kran- kenversicherten persönlich stark betreffen werden: die persönliche elektroni- sche Gesundheitsakte und die über die Funktionen der bisherigen Kranken- versichertenkarte weit hinausgehende elektronische Gesundheitskarte. Ein völlig neues System zur Herstellung der Datentransparenz wird eine Flut von Datenflüssen zwischen den verschiedensten Stellen mit dem Ziel aus- lösen, die Kosten des Gesundheitswesens besser durchschaubar zu machen. Das GMG setzt in großem Maßstab zwei Regelungen ein, die das Bundes- datenschutz 2001 (BDSG) neu eingeführt hat: Bei der Gesundheitskarte müssen die Anforderungen an mobile personenbezogene Speicher- und Ver- arbeitungsmedien erfüllt werden, die Verfahren zur Herstellung der Daten- transparenz realisieren ein Pseudonymisierungsmodell, das bisher einmalig ist?, vg1.43.2 2   vgl.4.42 Jahresbericht BInBDI 2003                                                    7

11 Das Bundesdatenschutzgesetz (BDSG) selbst wurde Anfang des Jahres neu bekannt gemacht‘, was die Handhabung des ohnehin schwer lesbaren Gesetzes durch die Einbeziehung zwischenzeitlich erfolgter gesetzestechni- scher und redaktioneller Änderungen wenigstens erleichtert. Von der grund- sätzlichen Modernisierung des Datenschutzes‘, die im Koalitionsvertrag für die laufende Legislaturperiode vereinbart worden war, waf nichts zu hören. Auch das ebenfalls vereinbarte Informationsfreiheitsgesetz\des Bundes‘ kam nicht voran, ebensowenig das seit vielen Jahren geforderte nd angekündigte Arbeitnehmerdatenschutzgesetz. Die öffentlichen Diskussionen über die Fortentwicklung des Datenschut- zes konzentrierten sich auf neue sicherheitspolitische Instrumente‘ sowie auf die Diskussion über Vorzüge der Chipkarte (Gesundheitskarte, Job-Card) oder weiterer Rasterfahndungen im Gesundheits- und Sozialwesen’. Zumindest ein positives Signal setzte die ehemalige Präsidentin des Bundesverfassungsgerichtes Jutta Limbach bei dem Festakt zum 25-jährigen In-Kraft-Treten des Bundesdatenschutzgesetzes am 11. Juni in Berlin’. Sie schloss den Festvortrag mit den Worten: „Wenn wir die m dernen Informa- tions- und Kommunikationschancen ohne Reue benutzen wollen, müssen wir für einen vorbeugenden Schutz des Rechts auf informationelle Selbstbe- stimmung sorgen. Denn der Datenschutz gewährleistet die staatsbürger- lichen Freiheiten, die ihrerseits das Lebenselixier einer) demokratischen Gesellschaft sind.“ Sie fügt an, und der vorliegende Berich t möge dies hof- fentlich erneut bestätigen: „Die Institution des Datenschutzbeauftragten ist daher einer der wichtigsten Garanten einer lebendigen Demokratie.“ Die höchstrichterliche Rechtsprechung musste sich wiederum mit einer Reihe datenschutzrechtlicher Probleme beschäftigen. Im Juli 2003 entschied das Bundesverfassungsgericht’, dass Schriftstücke, für die ein Abgeordneter glaubhaft macht, dass sie ihm im Zusammenhang mit seiner parlamentarischen Arbeit anvertraut sind, in en Räumen des Bundestages auch bei einem Mitarbeiter eines Abgeordnete! nicht beschlag- nahmt werden dürfen. Mit dem Zeugnisverweigerungs recht und dem Beschlagnahmeprivileg nach Artikel 47 Grundgesetz (GG) schütze die Ver- fassung das Vertrauensverhältnis, das im Einzelfall zwischd n dem Abgeord- neten und einem Dritten in Rücksicht auf die Mandatsau übung zustande Neufassung des Bundesdatenschutzgesetzes vom 14. Januar 2003. BGBl I, S. 4 16 =  Roßnagel, Alexander; P        ann, Andreas; Garstka, Hansjürgen: Modernisie! ung des Datenschutz- rechts. Berlin: Bundesministerium des Innern, 2001. — Gutachten; vgl. hierz! Forderungen der 65. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27./2 . März 2003, Anlagen- band „Dokumente zu Datenschutz und Informationsfreiheit 2003“, S. 11 vgl. 4.9.2 vgl. 3.1 vgl.4.43 abgedruckt in: RDV 2002, S. 164 Urteil vom 30. Juli 2003, Az.: 2 BvR 508/01 und 2 BvE 1/01 8                                                                        Jahre  bericht BInBDI 2003

11 gekommen ist. Das Gericht hat dabei unterschieden zwischen der unmittel- baren Herrschaftsmacht über Schriftstücke, die dem Direktionsrecht des Abgeordneten unterliegen, und den Fällen, in denen die rechtliche und tat- sächliche Beherrschungsmöglichkeit des Abgeordneten soweit gelockert ist, dass der Schutzbereich des Artikel 47 GG verlassen wird. Danach dürfen Unterlagen, die sich in einem Mitarbeiterbüro befinden, nicht beschlag- nahmt werden. Sie befinden sich nach der Entscheidung des Bundesverfas- sungsgerichts noch im Herrschaftsbereich des Abgeordneten. Überraschenderweise hat das Bundesverfassungsgericht noch nicht über die Verfassungsbeschwerden gegen den „Großen Lauschangriff“ entschie- den, die am 1. Juli Gegenstand einer mündlichen Verhandlung waren, bei der sich auch der Berliner Datenschutzbeauftragte geäußert hat. Sehr kritische Fragen der Richter, etwa dahingehend, ob tatsächlich nur technische Schwie- rigkeiten ein Garant für die informationelle Selbstbestimmung seien, lassen vermuten, dass das Gericht dieses neue, aber weitgehend ungenutzte Instru- ment der Strafverfolgung einer äußerst sorgfältigen Prüfung unterzieht. Erstmals befasste sich der Bundesgerichtshof (BGH) mit den Aufgaben und der Unabhängigkeit eines Datenschutzbeauftragten'®. Dem sächsischen Datenschutzbeauftragten war von der Landesregierung, der sich die Staats- anwaltschaft anschloss, vorgeworfen worden, durch die Veröffentlichung von Datenschutzverstößen des Landesjustizministers gegen seine Dienst- pflichten verstoßen zu haben. Wie bereits zuvor das Landgericht Dresden!! sprach der BGH den Landesbeauftragten frei, da er mit der Veröffentlichung pflichtgemäß gehandelt habe. Auch in einem anderen Urteil unterstrich der BGH die Bedeutung der informationellen Selbstbestimmung. In einem Amtshaftungsverfahren hat er!? einen Schadensersatzanspruch wegen eines 20 Monate dauernden rechtswidrigen Lauschangriffs bestätigt. Der Entscheidung des BGH liegt ein strafrechtliches Verfahren wegen Brandstiftung zugrunde, in dessen Ver- lauf die Polizei eine richterliche Anordnung über den verdeckten Einsatz technischer Mittel zur Erhebung personenbezogener Daten in der Wohnung des Vaters des Beschuldigten und später auch in der Wohnung des Beschul- digten selbst erwirkt hatte. Die Eröffnung des Hauptverfahrens war von der zuständigen Strafkammer abgelehnt worden, weil diese einen hinreichenden Tatverdacht nicht als gegeben ansah. Das Bundesarbeitsgericht bestätigte, dass eine versteckte Videoüberwa- chung am Arbeitsplatz ausnahmsweise zulässig ist, wenn ein hinreichend konkreter Verdacht einer Straftat besteht und andere weniger beeinträchti- gende Instrumente nicht zur Verfügung stehen'?. ‘0 Urteil vom 9. Dezember 2002, Az.: 5 StR 276/02. In: RDV 2003, S.84 I   Urteil vom 7. November 2001, Az.: 4 KLs 420 Js 49212/00 2 Urteil vom 23. Oktober 2003, Az.: III ZR 9/03 13  Urteil vom 27. März 2003, Az.: 2 AZR 51/02 Jahresbericht BInBDI 2003                                                 9