22. Jahresbericht des Landesbeauftragten für den
Contents
1. 424440444400rH nn 28 Bek mpfung der Korruption in der bremischen Verwaltung 4444444nnnn nenn ennnnn nenn 29 Telearbeit und das fehlende Technikkonzept 44444444nnnnnennnnnnnnnennnnnnnennnnnnnnn nennen 29 Inneres 2 7 14 20 ae ea ea Eu nn Bea ae a ea a en Pe kan en A E a ae nie 30 Briemisches Polizeigesetz una Hu Lk er u 30 Der Auftrag der Koalition 444404444nn a ea aa A Kaaa Aaa aa ia Aa aaae anai 30 Zur Entwicklung des Polizeirechts uuu s44r0044nnnnennnnnnnonnnnnnnnnnnnnnnnnnnnnnnennnnnnn en nnen 30 Inhalt des Gesetzentwurfs Hu nen ek iin 33 Konkrete datenschutzrechtliche Vorschl ge u 4444444n44nennnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 33 Weiteres Verfahren mierna aaa a aia aaa aiaa t aiai aa aada anne aaa aa ai iea 34 Zur polizeilichen Datenverarbeitung sssscssssserriisenrtresrrresenrtteerntteenttteenntecenntecenneneennnne 35 Richtlinien zur Telefon berwachung u 2 24444444sennnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 35 Informationssystem der Polizei INPOL neu us4ss4nnnnsnnnennnsnnnnnnnnnnnnnnnnnnnnn anna 36 Neues polizeiliches Landesinformationssystem 4u4444sennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 36 E Mail Server bei der Polizei 4444444444nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn 37 DNA Analyse D tei r 0 ee in Euch 38 Umzu2. 244444424nennnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnnnnn nn 80 Mith ren und Aufzeichnen von Telefongespr chen in Gall Centern 4444n nn 83 Vernichtung von Bewerbungsunterlagen 2444444424nnnnnn nenn nnnnnnnnnnnnnnnnnnnnennnnnnnnnn nn 84 Offenbarung von Pa w rtern durch einen Provider 44444444nnnnn nenn nnnnnnnn nennen 85 Datenverarbeitung im Verein u444snnnnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn 85 Ticket Service kann Daten nicht l schen 44444444Hnnsn nen nnnnnn nn nnnnnnennnnnennnnnnrennnnn ern 86 Kreditwirtschaft Handel Auskunfteien z 2 0220220020220ennnnennnnnnnnn nenne nenne nenne nenne nenn 87 Bankgeheimnis beim Lastschriftverfahren uu 4444444nnn nenn nnnnnnnnnnnnnnn anne nnnnnnn nn 87 Gegen den Willen des Kunden den Magnetstreifen der Scheckkarte eingelesen 87 BSAG Pilotprojekt Elektronisches Ticket uuunn4sennnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnn nn 87 GeldK rte 2 2 2 ea edlen 89 Geldw schepr vention der Kreditwirtschaft durch Research Systeme u nn 90 Wirtschafts und Handelsauskunfteien 444444444nnnnnnnnennnnnnnennnnnnnnnnnnnnnennnnnnnnnn nenn 91 Versicher ngswirtsch ft r n ee es sn 94 Versicherungen im Internet us ss4400n04nnnonnnnnnnnn nenne AEE ENAR ETNEA A EA 94 Datenerhebung in Antragsf
3. 110 Die von Strafgefangenen erteilte Einwilligung zur Entnahme Analyse und Speicherung kann keine Grundlage f r einen derartigen Eingriff sein Eine wirksame Einwilligung setzt voraus da sie frei von psychischem Zwang freiwillig erfolgt Da Strafgefangene annehmen k nnen da die Verweigerung der Einwilligung Auswirkungen z B auf die Gew hrung von Vollzugslockerungen hat kann hier von Freiwilligkeit keine Rede sein Ausschlaggebend f r die Beurteilung der Freiwilligkeit einer Einwilligung ist die subjektive Einsch tzung des Betroffenen Auch wenn im Einzelfall die Weigerung von Strafgefangenen sich einer DNA Analyse zu unterziehen die Entscheidung ber Vollzugslockerungen nicht beeinflusst ist dennoch davon auszugehen da die Bef rchtung die Verweigerung habe negative Folgen die freie Willensentscheidung beeintr chtigen Die Datenschutzbeauftragten des Bundes und der L nder halten deshalb die Praxis einiger L nder DNA Analysen abweichend von den gesetzlich vorgesehenen Verfahren systematisch auf der Grundlage von Einwilligungen durchzuf hren f r eine Umgehung der gesetzlichen Reglung und damit f r unzul ssig Die m glicherweise mit der Beantragung richterlicher Anordnungen verbundene Mehrarbeit ist im Interesse der Rechtm igkeit der Eingriffsma nahmen hinzunehmen Die Datenschutzbeauftragten fordern daher DNA Analysen zum Zweck der Identit tsfeststellung f r k nftige Strafverfahren nur noch auf der
4. F r die Darstellung und Pr sentation von Sch ler und Elterndaten im Internet durch ffentliche Schulen im Lande Bremen bedeutet dies Die Darstellung und Pr sentation von Sch ler und Elterndaten einschlie lich etwaiger Texte Be schreibungen Bilder bzw Photos im Internet Daten bermittlung ist nicht zul ssig auch nicht mit Einwilligung der Sch ler bzw ihrer Erziehungsberechtigten Die bermittlung ist zur Erreichung des schulischen Zwecks nicht erforderlich Die bermittlungstatbest nde der 5 bis 10 BrSchulDSG liegen nicht vor Eine fehlende Einwilligung kann wegen des fehlenden schulischen Zwecks auch nicht vom Schulleiter ersetzt werden 4 Abs 2 und 3 BrSchulDSG Lediglich Name Funktion und schulische Erreichbarkeit der Elternvertretung der Schule nicht Klassenvertretung d rften gem 2 Abs 6 BrSchulDSG wegen ihrer Funktionstr gerschaft ins Internet eingestellt werden empfehlenswert ist hier aber auch die Einwilligung der Betroffenen Die Sch lervertretung der Schule darf nicht auch nicht bei Einwilligung in das Internet eingestellt wer den das BrSchulDSG enth lt zur bermittlung von Sch lerdaten durch die Schulen eine abschlie Bende Regelung Es w re allenfalls zul ssig wenn die Gesamtvertretung der Sch lerschaft mit Einwilligung der Betroffenen sich im Internet pr sentiert Die Nutzung des Internets durch Sch ler sollte nur im Rahmen einer Nutzungsordnung zugelassen werden z B
5. Verhandlungen und Abstimmungen haben sich durch den Berichtszeitraum hingezogen und sind noch nicht abgeschlossen 10 Bildung und Wissenschaft 10 1 PISA Studie Die Organisation f r wirtschaftliche Zusammenarbeit und Entwicklung OECD f hrt im Rahmen ihres Indikatorenprogramms zu den Bildungssystemen der Mitgliedsstaaten INES Indicator of Educational Systems eine internationale Schulleistungsstudie PISA Programme for International Student Assessment durch an der sich auch die Bundesrepublik Deutschland beteiligt Die Kultusminister der Bundesl nder haben neben der Beteiligung auch beschlossen die PISA Studie national zu erg nzen und Leistungsvergleiche zwischen den Bundesl ndern durchzuf hren Ziel der internationalen Schulvergleichsstudie PISA ist es die Schulleistungen von 15 j hrigen Sch lern und Sch lerinnen sowie von Sch lern der 9 Klasse in den Bereichen Lesen Mathematik Naturwissenschaften sowie in f cher bergreifenden Kompetenzen die f r methodisches Vorgehen selbstt tiges Lernen und kooperatives Arbeiten notwendig sind zu beschreiben und nach Gr nden f r gefundene Unterschiede zu suchen PISA soll sich ber mehrere Projektzyklen erstrecken Derzeit l uft der erste Zyklus in dem der Bereich Lesen im Vordergrund stehen soll Verantwortlich f r die Durchf hrung der Studie in der Bundesrepublik Deutschland ist ein Konsortium mehrerer Universit ten und Forschungseinrichtungen unter Federf h
6. insbesondere das Recht am eigenen Bild der betroffenen Dritten z B Besucher wie der Mieter zu 81 wahren z B 242 823 und 1004 BGB und 22 KunstUrh6 Diese Regelungen sind jedoch nicht so pr zise da sie eine klare Einsch tzung zulassen ob der Einsatz der vorgef hrten Technik rechtlich zul ssig w re Es gibt zwar Rechtsprechung zur Anwendung einfacher Videotechnik mit analoger Aufzeichnung nach der der Einsatz solcher Videotechnik zum Schutz des eigenen Grundst cks in seinen Grenzen akzeptiert wird Ich habe aber Zweifel ob diese unmittelbar auf das in der Vorf hrung verwendete Ger t mit seinen vielf ltigen technischen M glichkeiten bertragen werden kann Zum einen geht der ffentlich gewidmete Raum nahtlos ber in die im Eigentum des Wohnungsunternehmens stehenden Zuwegungen und Fl chen Anders als die nachbarlich durch Z une und Pforten abgegrenzten Grundst cksfl chen von Einfamilienh usern stellen die vom Wohnungsunternehmen gehaltenen Fl chen quasi ffentliche Fl chen dar weil sie jedermann zug nglich sind Aber auch die bei der Vorf hrung verwendete Technik ist keinesfalls mit der von der Rechtsprechung bewerteten herk mmlich eingesetzten Videotechnik mit festen Brennweiten und analoger Aufzeichnung vergleichbar Der BGH formuliert in einem Urteil vom 25 04 1995 Az VI ZR 272 94 KG da auch die Herstellung von Bildnissen einer Person insbesondere die Filmaufzeichnung mittels Videoger t i
7. Das Bremische Meldegesetz 33 Abs 1 l t die bermittlung der Daten aller Wahlberechtigten die der Weitergabe ihrer Daten nicht widersprochen haben wegen der ausdr cklichen Festlegung des Auswahlkriteriums Lebensalter der Betroffenen nicht zu Es d rfen nur die Daten bestimmter Altersgruppen z B Jungw hler Senioren bermittelt werden Eine Aufteilung der Wahlberechtigten in mehrere Auswertungsgruppen mit der M glichkeit diese Gruppen wieder zu einem Ganzen zusammenzuf gen bedeutet im Ergebnis da der gesamte Datenbestand d h alle Wahlberechtigten ohne Widerspruchsmerkmal bermittelt wird Dies verst t gegen das Bremische Meldegesetz Besonders pikant ist in diesem Zusammenhang da die Meldebeh rde in Bremen sich geweigert hatte die Adressen aller Wahlberechtigten ohne Widerspruchsvermerk an die DVU zu bermitteln Erst nachdem die Bremer Meldebeh rde sich mehrfach an den Senator f r Inneres gewandt hatte und 40 die DVU beim Verwaltungsgericht Bremen schon eine einstweilige Anordnung zur Herausgabe der von ihr gew nschten Adre daten aus dem Melderegister beantragt hatte haben sich beide Seiten auf den oben geschilderten Kompromi geeinigt Die Bremerhavener Meldebeh rde indes hatte den bei ihr von der DVU angeforderten Gesamtdatenbestand ohne zu Z gern bermittelt Eine Abstimmung zwischen den Beh rden in Bremen und Bremerhaven hatte es nicht gegeben Dieses Beispiel zeigt sehr eindringlich wie notw
8. Insbesondere kl rungsbed rftig sind folgende Punkte Der Entwurf erweitert die Aufgaben der Krankenkassen auch auf eine steuernde und durch die Patientinnen und Patienten nicht geforderte Beratung ber Gesundheitserhaltungsma nahmen und auf eine Pr fung der u a durch die rztinnen und rzte erbrachten Leistungen Er sieht daf r umfangreiche Datenerhebungs und verarbeitungsbefugnisse vor Der Wortlaut des Entwurfes beschreibt diese Aufgabe allerdings nur vage Er l t nicht erkennen was auf die Patientinnen und Patienten zukommt Weder ist klar geregelt wie weit die Beratung reichen darf noch mit welchen Rechtsfolgen die oder der Einzelne rechnen muss Es ist zu bef rchten da diese Beratung dazu dienen wird die Patientinnen und Patienten rztinnen und 106 rzte und die sonstigen Leistungserbringer zu kontrollieren und zu beeinflussen und da hierdurch das Arzt Patienten Vertrauensverh ltnis belastet wird gt Wegen der vagen Aufgabenbeschreibung sind auch die damit verbundenen Datenverarbeitungs und zusammenf hrungsbefugnisse in gleicher Weise unklar und verschwommen Eine Pr zisierung und Eingrenzung ist dringend erforderlich Der Entwurf sieht im Gegensatz zum bisherigen System vor da Abrechnungsdaten und Diagnosen aus der ambulanten rztlichen Behandlung generell patientenbezogen an die Krankenkassen bermittelt werden Dadurch entstehen bei den Kassen umfangreiche sensible Datenbest
9. Kassenzahn rztliichen Vereinigungen zwischengeschaltet waren d h ffentlichrechtliche K rperschaften denen ihrerseits das Gesetz Kontrollaufgaben gegen ber den rzten bertragen hatte Dies hatte zur Folge da die Kassen selbst fallbezogen keine quartals bergreifenden Auswertungen mehr vornehmen konnten und seither bestrebt sind ihre Datenbasis und deren Auswertung zu komplettieren Dies wiederum rief wiederholt den Widerstand der Datenschutzbeauftragten hervor Dabei ging es nicht um rztliche Standesinteressen sondern um die Daten und damit um die Pers nlichkeitsrechte der gesetzlich krankenversicherten Patienten vgl dazu ausf hrlich der 18 JB unter Z 15 1 ber meine erfolgreichen Interventionen in diesem Zusammenhang berichtete ich bereits vgl 17 JB Ziff 13 1 2 und 18 JB Ziff 15 2 4 Weitere Beispiele sind 60 Angesichts der Installation von Datenbanksystemen die beliebige Auswertungen der gespeicherten Versichertendaten erlauben versuchten die Datenschutzbeauftragten die hierf r gesetzlich zust ndigen Spitzenverb nde der Krankenversicherung zu veranlassen ihren Mitgliedskassen aufzugeben und Hilfestellung dabei zu leisten technische Vorkehrungen zur Begrenzung der Auswertungen auf das gesetzlich zul ssige Ma zu entwickeln und umzusetzen bislang ohne greifbaren Erfolg vgl 20 JB Ziff 16 3 Die heutigen EDV Systeme f hren dazu da die Sachbearbeiter einer Krankenkasse im ganzen Bu
10. verantwortlich sind Die Daten bermittlung in den station ren Terminals an die BSAG erfolgt regelm ig ber ISDN In den mobilen Terminals erhobene Daten werden per Funk an die Herstellerserver bei der BSAG bertragen sobald die Fahrzeuge in den Betriebshof einfahren Laut Auskunft der BSAG werden die unverschl sselt bertragenen Daten nach erfolgreicher Daten bernahme in den station ren und mobilen Terminals gel scht Auf jedem Herstellerserver werden die bermittelten Daten gespeichert und eine Bezahldatei f r die Einreichung bei der Evidenzzentrale erzeugt Die Bezahldatei wird der BSAG zur Verf gung gestellt und von ihr an die Evidenzzentrale weitergeleitet Das Pilotprojekt in Bremen ist deshalb von so herausragender Bedeutung weil nicht nur die BSAG sondern eine Vielzahl anderer Verkehrsbetriebe nicht zuletzt die Deutsche Bahn AG die Zusatzanwendung Elektronisches Ticket nach erfolgreichem Versuch einf hren wollen Ich koordiniere daher meine Aktivit ten zur Verbesserung des Datenschutzes mit den anderen Obersten Aufsichtsbeh rden f r den Datenschutz einerseits und mit dem Zentralen Kreditausschu ZKA als Gesamtvertretung der im ZKA zusammengeschlossenen Dachverb nde der Kreditwirtschaft andererseits Bremen hat wie schon bei der datenschutzrechtlichen Beurteilung der Geldkarte die Federf hrung bei der datenschutzrechtlichen Einsch tzung des auf dem Chip gespeicherten Fahrscheines bernommen Ende Februar w
11. 17 2 17 3 17 4 18 1 18 2 Datenerhebung zum Thema Jugendkriminalit t und Gewalt in der Schule 66 Internet Nutzung der Schulen 44444444444nnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nnnnnnenn 67 Bau Verkehr und Umwelt 22220222022s0sssunenenenennennnenenennnennnennnennnnnnnnnnnnnnnene nenn nnnnenn 71 Neues Wohngeldverfahren in Bremen und Bremerhaven uu 2444snnnsnennnnnnnen nennen 71 Neues DV Programm f r die Erteilung von Berechtigungsscheinen in Bremerhaven 72 Datenerhebung beim Antrag auf Fahrerlaubnis u44444Hnnnsnennnnnnnnnnnnnnnnnnnnnnnnn 72 Datenschutzbestimmungen im Bremischen Naturschutzgesetz uunnssssennnsnennnnnnnnen 72 Finanzen NA Eat 73 GHIPSMOBIL 2 ea lern Lea en aaia 73 SER ee ae Een SE Eee ende nee 74 Unvollst ndige Aufkl rung der Schuldner der LHK uu 244444444440nnnnnnnennnnnnnnn nennen 75 Fehlende Datenschutzregelungen in der Abgabenordnung u mmnnssennnnnnnen nennen nenn 75 Abgabenordnung allgemein uus4s44r0nnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnenennnnnen en nnen 75 Steuerdatenabrufverordnung us ss4sennssnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen 76 Online und Offline Zugriffe der Steuerverwaltung auf DV Finanzverwaltungssysteme 76 Regelungen ber den Schadensersatz
12. Der Entwurf sah ein schrankenloses und ungeregeltes Abrufrecht f r das Rechnungspr fungsamt auf elektronisch gef hrte Daten der Bremerhavener Verwaltung vor Hier habe ich auf die eindeutige Vorschrift im Bremischen Datenschutzgesetz 14 hingewiesen die pr zise festlegt f r welche Zwecke in welchem Umfang unter welchen Voraussetzungen und Sicherheitsvorkehrungen Abrufverfahren eingerichtet werden d rfen gt Pr fungsrecht in Unternehmen an denen die Stadt Bremerhaven beteiligt ist Eine solche Vorschrift w re eine wesentliche Erweiterung der Pr frechte in den Unternehmen Die entsprechende Vorschrift in der Landeshaushaltsordnung 92 l t keine Pr fung im Betrieb zu sondern nur eine Pr fung ob die Bet tigung der ffentlichen Hand im Rahmen des ffentlichen Rechts als Aufgabe der Verwaltung wirtschaftlich zu rechtfertigen ist Durchsuchungsrecht f r das Rechnungspr fungsamt in den Amtsstuben Sehr erstaunt war ich hinsichtlich eines in dem Entwurf vorgesehenen Durchsuchungsrecht f r das Rechnungspr fungsamt Dieses Recht sollte die Befugnis zur Durchsuchung von Schreibtischen Schr nken und sonstigen Beh ltnissen durch das Rechnungspr fungsamt er ffnen Abgesehen davon da ein solches Recht in der Landeshaushaltsordnung nicht vorgesehen ist habe ich auch Zweifel ob dieses der Aufgabenstellung des Rechnungspr fungsamtes entspricht das insbesondere die Rechnung der Verwaltung das Verm gen und die Schulden
13. Gesetzge bungsverfahrens z gig verabschiedet werden Zu den Punkten die keinen Aufschub dulden geh rt auch die Verbesserung der Voraussetzungen f r eine effektive Datenschutzkontrolle e Die v llig unabh ngige Gestaltung der Kontrolle im nicht ffentliichen Bereich mu institutionell sichergestellt und durch eine sachgerechte finanzielle und personelle Ausstattung unterst tzt werden Gegenw rtig noch bestehende Einschr nkungen der Kontrollkompetenzen im ffentlichen Bereich m ssen abgebaut den Aufsichtsbeh rden m ssen wirksamere Befugnisse an die Hand gegeben werden Zum Schutz der B rgerinnen und B rger sind bei massenhaften Datenerhebungen mit unkalkulierbaren Datenverarbeitungsrisiken oder ungekl rter Zweckbestimmung klare materielle Grenzen durch den Gesetzgeber zu ziehen Die bereichsspezifischen Gesetze z B die Sicherheitsgesetze d rfen nicht vom Bundesdatenschutzgesetz mit den dort zu erwartenden substantiellen Fortschritten f r die B rgerinnen und B rger wie beispielsweise einem verbesserten Auskunftsrecht abgekoppelt werden Notwendig ist nach Auffassung der Konferenz da das Datenschutzrecht auch in Zukunft b rgerfreundlich und gut lesbar formuliert ist Dies ist eine unverzichtbare Akzeptanzvoraussetzung f r den Datenschutz bei B rgern Wirtschaft und Verwaltung 18 2 Entschlie ung zur geplanten erweiterten Speicherung von Verbindungsdaten in der Telekommunikation Entschlie ung der 57 Kon
14. Inhalts und Verbindungsdaten verringert sich bei Einsatz der vorhandenen Technik die Kapazit t f r die Durchf hrung von berwachungen Geplant wurde daher die Beschaffung eines neuen Systems in dem die Gespr chsdaten zun chst auf Fest platte gespeichert und auf optische Datentr ger MOD bertragen werden sollen Die Datentr ger sollen zentral in einer an das System angeschlossenen Juke Box vorgehalten werden Vorgesehen ist dabei die Anlage von zwei MOD f r jede Telefon berwachungs Ma nahme mit gleichem Inhalt eine Beweis MOD und eine Arbeits MOD Die Beweis MOD ist nicht beschreibbar und wird zentral ver wahrt Der Zugriff auf die Arbeits MOD soll f r jede Ma nahme einem zust ndigen Sachbearbeiter zur Verschriftung erteilt werden Auf den MOD s soll jedes Gespr ch in eine eigene WAVE Datei gespei chert und jeder Zugriff auf die Arbeits MOD auf dem Administrations PC protokolliert werden Vorge sehen ist die Implementierung des neuen Systems in den R umen des neuen Polizeipr sidiums Mir sind in diesem Zusammenhang noch n here Informationen ber die eingesetzte Technik versprochen Mit der berarbeitung der Richtlinien ist nach Beseitigung eines Personalengpasses vgl 20 JB Ziff 12 3 begonnen worden Mir ist im Sommer der Entwurf eines Erlasses vorgelegt worden der Rah mencharakter hat Den geschilderten Ver nderungen kann damit allein in keiner Weise ausreichend Rechnung getragen werden In einem Gespr ch legten
15. Mitteilungspflichten erlaubten andere Regelungen als Auskunftsbefugnisse Voraussetzungen Inhalte und Adressaten der vorgeschriebenen bermittlungen seien je nach Rechtsgrundlage unterschiedlich Besondere Amtsgeheimnisse wie das Sozial und das Steuergeheimnis seien zu beachten gt Einige potenzielle Auftraggeber haben grunds tzliche rechtliche Bedenken gegen die Einschaltung einer zentralen Datenannahme und Verteilstelle ge u ert und meinten sie d rften nur direkt an die im Gesetz genannten Adressaten bermitteln Andere bef rchteten ihren gesetzlichen Verpflichtungen nicht schon durch die Einstellung von Daten in die Zentraldatei sondern nur durch bermittlung direkt an die im Gesetz genannten Adressaten nachkommen zu k nnen gt Es wurde bezweifelt ob die Zwischenschaltung einer zentralen Stelle erforderlich und zweckm ig sei bzw es wird bef rchte da dies zu zeitlichen Verz gerungen bermittlungsfehlern und Mehrarbeit f hre Die Bau Berufsgossenschaft Hannover lehnt die Beteiligung an dem Vorhaben aus rechtlichen Gr nden ab In den anderen F llen ist mir ein abschlie ender Stand der bilateralen Verhandlungen nicht bekannt Ich habe darauf hinweisen m ssen da nicht ich sondern die Auftraggeber d h auch Stellen des Bundes ber deren Beteiligung zu entscheiden haben Diese m ssen dar ber hinaus zust ndigkeitshalber die Abstimmung mit dem Bundesbeauftragten f r den Datenschutz einleiten Die 64
16. W hlerverzeichnis Auslegung des Ziff 6 4 2 Windows NT nennenn Ziff 1 7 3 2 Wohngeldverfahren esseere Ziff 11 1 Z Zentrales Staatsanwaltschaftliches Verfahrensregister ZStV neenenenn Ziff 7 6
17. Zusammen mit dem Hamburgischen Datenschutzbeauftragten habe ich im Januar 2000 eine Bro sch re herausgegeben die Sicherheitsma nahmen f r Windows NT sowohl f r die ffentliche Verwaltung als auch f r Unternehmen beschreibt Die Brosch re richtet sich an Administratoren und luK Verantwortliche beh rdliche und betriebliche Datenschutzbeauftragte sowie an Personal und Betriebsr te die sich mit Windows NT aus Sicht des Arbeitnehmerdatenschutzes besch fti gen Den weiteren Ausbau des bremischen Verwaltungsnetzes insbesondere die Umsetzung von sensi blen Client Server Anwendungen werde ich konstruktiv im Interesse des Datenschutzes begleiten 3 3 Privatisierung der ID Bremen Daten der bremischen Verwaltung wurden bislang entweder von den Beh rden selbst oder in deren Auftrag von der Informations und Datentechnik Bremen ID Bremen verarbeitet einem Eigenbetrieb der Stadtgemeinde Bremen Das bisherige Prinzip da Daten ffentlicher Stellen auch nur durch f fentliche Stellen verarbeitet werden wird nunmehr durch die Gr ndung einer Gemeinschaftsgesell schaft Gesellschafter sind das Land Bremen und das debis Systemhaus GmbH dSH erstmals in Bremen durchbrochen Zwar wird das Gemeinschaftsunternehmen dem ein Gro teil der bislang von der ID Bremen wahrgenommenen Aufgaben bertragen werden soll s mtliche personenbezogenen 18 Daten zun chst auch weiterhin am jetzigen Standort des ID Bremen verarbeiten Es ist j
18. der Preis die Zonennummer die Linie und der Verfallzeitpunkt gespeichert F r die Tickets wird ein Verfallzeitpunkt 87 abh ngig von der Fahrkartenart festgelegt Nach berschreiten des Verfallzeitpunktes wird ein abgelaufenes Ticket beim Kauf eines weiteren Tickets berschrieben Der Kartenbesitzer kann mit einem mobilen Kundenleseger t die zu den letzten 15 Bezahlvorg ngen und den letzten drei Ladevorg ngen gespeicherten Daten im Teil Bezahlfunktion der Geldkarte einsehen Dar ber hinaus kann er die den gesamten Inhalt des Fahrscheinverzeichnisses lesen Die L schung gespeicherter Tickets ist f r ihn nicht m glich auch wenn diese bereits abgelaufen sein sollten F r die Kontrolleure dbt es ein Kartenleseger t mit dem nur die im Fahrscheinverzeichnis gespeicherten Datens tze ausgelesen werden k nnen In den station ren und mobilen Terminals werden die durch die Transaktion erhobenen Daten gespeichert und regelm ig an die BSAG weitergeleitet Bei Buchung des Bezahlvorganges wird die auf der Geldkarte gespeicherte Geldkartennummer ausgelesen und f r Abrechnungszwecke mit der Evidenzzentrale an die BSAG weitergeleitet Am Pilotprojekt sind drei Firmen beteiligt die f r die Durchf hrung der Transaktion an den station ren und mobilen Terminals die korrekte Daten bertragung von den Terminals an die Leitrechner Server bei der BSAG und f r die Aufbereitung der Datei f r die Einreichung bei der Evidenzzentrale
19. nde aus denen sich f r jede einzelne Patientin und jeden einzelnen Patienten ein vollst ndiges Gesundheitsprofil erstellen l sst Wegen der Verpflichtung die Diagnosen nach dem international g ltigen ICD 10 Schl ssel zu codieren sind diese medizinischen Informationen z B im Bereich der Psychotherapie auch hochdifferenziert Die zur Begr ndung besonders angef hrten Punkte Unterrichtung der Versicherten ber die in Anspruch genommenen Leistungen Kontrolle der Einhaltung der zweij hrigen Gew hrleistungspfictt bei den Zahn rzten Unterst tzung der Versicherten bei Behandlungsfehlern verm gen insoweit nicht zu berzeugen Bereits jetzt k nnen die Versicherten ber die beanspruchten Leistungen und deren Kosten informiert werden und von ihrer Krankenkasse auch im brigen Unterst tzung erbitten so da keine Notwendigkeit f r die Anlegung derart sensibler umfangreicher und zentraler Datenbest nde ersichtlich ist Der Eingriff in die Rechte der Patientinnen und Patienten steht damit in keinem Verh ltnis zu den angegebenen Zwecken Die beabsichtigte Einf hrung von zentralen Datenannahme und verteilstellen bei denen nicht einmal klar ist in welcher Rechtsform ffentlich oder privat sie betrieben werden sollen hat eine weitere diesmal Krankenkassen bergreifende zentrale Sammlung medizinischer personenbezogener Patientendaten zur Folge Wegen des hohen weiteren Gef hrdungspotentials von derart umfassenden
20. nur f r Unterrichtszwecke nur zu bestimmten Zeiten und f r bestimmte speziell konfigurierte Ger te Mi br uche und Verst e m ten mit Nutzungsausschlu geahndet werden Aufstellung und Ausstattung dieser Ger te m ten der Nutzung entsprechend sein Klarnamen von Sch lern nicht Klassen oder Jahrgangsstufen sind zu vermeiden z B als E Mail Adresse Diese Grunds tze habe ich erst gegen Berichtsende zur Diskussion gestellt vgl hierzu auch Ziff 1 9 so da ich R ck u erungen erst in der kommenden Zeit erwarte 11 Bau Verkehr und Umwelt 11 1 Neues Wohngeldverfahren in Bremen und Bremerhaven F r Bremen und Bremerhaven ist durch die ID Bremen das Verfahren f r die Wohngeldbearbeitung BREWOG entwickelt und im Berichtszeitraum f r den Echtbetrieb freigegeben worden Bei dem Verfahren handelt es sich um eine Client Server L sung Der Server f r die zentrale Datenhaltung befindet sich in der ID Bremen Zugriff auf die Daten erhalten das Amt f r Wohnung und St dtebau in Bremen und das Amt f r Bauf rderung in Bremerhaven ber angeschlossene PC F r die Verbindung der mter mit der ID Bremen steht in jedem Amt ein Kommunikationsserver zur Verf gung F r die Daten bertragung zwischen Magistrat und ID Bremen stehen Datenleitungen der BreKom und der NordKom zur Verf gung die nur f r diese bermittlungen genutzt werden Die Erstellung der Bescheide und der Bundes und Landesstatistiken erfolgt durch ID Bre
21. ohne Verschl sselung der Daten vornehmen wollte Ferner sollten die Zugriffsrechte nicht nur individuell sondern auch f r Gruppen m glich sein damit w re eine Kontrolle der Abrufe unm glich geworden Da es beim Erla der Verordnung Schwierigkeiten gab wollte die Steuerverwaltung diese Materie zun chst auf der Grundlage einer Allgemeinen Verwaltungsregelung gestalten 12 4 3 Online und Offline Zugriffe der Steuerverwaltung auf DV Finanzverwaltungssysteme Die Entw rfe zum Steuerbereinigungsgesetz und jetzt da die nderung in der Beratung des Vermittlungsausschusses nicht konsensf hig war zum Uhnternehmenssteuergesetz sahen eine nderung des 147 Abs 6 AO dergestalt vor da die Steuerbeh rden befugt werden bei der Steuerpr fung vor Ort die DV Systeme der Steuerpflichtigen f r ihre Zwecke zu nutzen und Online Zugriffe auf die Daten der Steuerpflichtigen vom Finanzamt aus durchzuf hren Gegen diese hier nur skizzenartig beschriebene Regelung haben sich nicht nur die Datensch tzer sondern auch viele Verb nde und Publikationen ausgesprochen Nunmehr scheint sich eine Regelung abzuzeichnen die folgende Festlegungen trifft Nutzung der DV Systeme der Steuerpflichtigen nur soweit auf ihnen f r die Steuerberechnung relevante Daten gespeichert sind Der Steuerpflichtige selbst oder ein Beauftragter haben das Recht auf Anwesenheit gt Datentr ger d rfen nur mit Zustimmung und Kenntnis des Steuerpflichtigen ent
22. r Untersuchungsgefangene Entschlie ung der Datenschutzbeauftragten des Bundes und der L nder vom 16 August 1999 Die Datenschutzbeauftragten des Bundes und der L nder begr en da die Bundesregierung den Entwurf eines Gesetzes zur Regelung des Vollzuges r Untersuchungshaft vorgelegt hat Damit wird die seit Jahren erhobene Forderung der Datenschutzbeauftragten nach einer bereichsspezifischen gesetzlichen Regelung aufgegriffen Diese Regelung mu das Strafverfolgungs und Sicherheitsinteresse des Staates im Rahmen des gesetzlichen Zwecks der Untersuchungshaft ber cksichtigen Gleichzeitig sind jedoch das Pers nlichkeitsrecht der Gefangenen sowie die Unschuldsvermutung und der Anspruch auf wirksame Verteidigung im Strafverfahren angemessen zur Geltung zu bringen 104 Der Gesetzentwurf der Bundesregierung tr gt diesem Anliegen durch differenzierende Vorschriften teilweise Rechnung l t allerdings noch Raum f r datenschutzrechtliiche Verbesserungen Die Stellungnahme des Bundesrates betont demgegen ber einseitig das staatliche Vollzugsinteresse und entfernt sich damit deutlich vom Ziel einer sorgf ltigen G terabw gung Nach Auffassung der Datenschutzbeauftragten des Bundes und der L nder mu die gesetzliche Regelung insbesondere folgenden Anforderungen gen gen Entgegen dem Vorschlag des Bundesrates von einer inhaltlichen berwachung nur ausnahmsweise nach dem Ermessen des Gerichts abzusehen sollte i
23. tzlich zu bzw unab h ngig von dieser intensivierten parlamentarischen berwachung auch die teilweise noch bestehen den Restriktionen ihrer Kontrollbefugnisse im Bereich sicherheitsbeh rdlicher Datenverarbeitung be 13 seitigt wissen Beispiel daf r ist 24 Abs 2 Satz 3 Nr 1 Bundesdatenschutzgesetz der der Kontrolle der G10 Kommission unterliegende Daten der berwachungsbefugnis des Bundesbeauftragten f r den Datenschutz entzieht 2 1 3 Konsequenzen f r Gesetzgebung und Sicherheitsbeh rden Welche Konsequenzen hat diese Entscheidung Das Urteil erzeugt Handlungsbedarf f r die Gesetz gebung vor allem f r das BNDG sowie das G10 Auf ihre Verfassungsm igkeit genauer die jetzt strikter formulierten Anforderungen des BVerfG hin zu berpr fen sind aber auch die Vorschriften in anderen Gesetzen die Eingriffe in das Fernmeldegeheimnis und die Weitergabe daraus gewonnener Daten erlauben Handlungsbedarf entsteht auch f r die Exekutive Beispiel Die Pflicht zur Kennzeich nung von aus berwachungsma nahmen gewonnenen Angaben Voraussetzung f r die Wahrung der strikten versch rften Zweckbindung s o mu im Verwaltungsvollzug d h in den Datensamm lungen der selbst berwachenden wie den Empf ngerbeh rden konkret umgesetzt werden Auch die dar ber hinaus vom Gericht statuierten Protokollierungspflichten die sowohl die zweckgebundene wie eine zweck ndernde Verwendung der Daten trifft entfaltet Wirkun
24. 32 BDSG ist kein Selbstzweck Urspr nglich war es in erster Linie gedacht zur Information der ffentlichkeit heute ist es vor allem Grundlage und wesentliche Orientierung f r meine Pr ft tigkeit nach 38 Abs 2 BDSG Die Entwicklung im Bereich der Informations und Kommunikationstechnik die Dezentralisierung der Datenverarbeitung die Auslagerung betrieblicher Funktionen insbesondere auch der DV Aktivit ten sowie neuartige DV Tele und TK Dienstleistungen f hren zu h ufigen nderungen im Register Aktuellstes Beispiel ist hier die Call Center Branche mit ihren z T neuartigen Dienstleitungen Soweit diese Betriebe bzw Unternehmen gesch ftsm ig personenbezogene Daten dateibezogen verarbeiten was in allen mir bekannten F llen wegen der T tigkeit und der eingesetzten Technik gegeben ist gelten f r sie insbesondere die datenschutzrechtlichen Bestimmungen des BDSG Ich habe inzwischen mehrere Call Center als DV Dienstleister in meinem Register nach 32 BDSG Ihre 98 Zahl d rfte sich im Hinblick auf die st rmische Entwicklung dieses Bereichs in den n chsten Jahren deutlich erh hen Register nderungen ergeben sich auch dadurch da ich Betriebe bei denen ich aufgrund von Handelsregistereintragungen oder von Branchenzuordnungen eine datenschutzrechtliche Meldepflicht vermute anschreibe und um Pr fung ihrer Meldepflicht deren Nichtbefolgung ja bu geldbewehrt ist bitte Bei einigen angeschriebenen Betrieb
25. 7 TDDSG 816 Abs 1 MDStV Sachdarstellungen ohne Personenbezug sind im Rahmen einer Selbstdarstellung und Pr sentation der Schule im Internet aus datenschutzrechtlicher Sicht unproblematisch Gleiches gilt f r die Darstellung interner Gliederungs und Organisationspl ne f r Telefonverzeichnisse sowie sonstige Informationen ohne Personenbezug F r Stundenpl ne und Vertretungspl ne sowie Adre listen der schulischen Gremien gelten wegen des Personenbezugs besondere Zul ssigkeitsregeln G steb cher innerhalb derer Dritte Mitteilungen f r allgemeinen Zugriff ablegen k nnen sollten besonders kritisch auf ihre Erforderlichkeit gepr ft werden Dem meist nur geringen Nutzen f r die Aufgabenerf llung der Schule oder die Attraktivit t des Internet Angebotes stehen neben dem laufenden Betreuungsaufwand und m glichen Haftungsfolgen auch Gef hrdungen f r das informationelle Selbstbestimmungsrecht der G ste gegen ber Auf die Risiken die mit der Nutzung dieser M glichkeit verbunden sind sollte aufmerksam gemacht werden Die Verarbeitung hierbei gewonnener Nutzerdaten durch die Schule f llt unter die Regelungen des TDDSG Sofern die Schule die M glichkeit der Kontaktaufnahme per E mail anbietet sollten die elektronischen Briefe verschl sselt verschickt werden k nnen Hierzu sollte die Schule auf ihrer Homepage einen ffentlichen Schl ssel bekanntgeben der von den Absendern einer Nachricht benutzt werden kann Als Verschl ss
26. Abs 1 BremNatSchG gelten im brigen die Bestimmungen des Bremischen Datenschutzgesetzes Ich habe zu verschiedenen Gesetzentw rfen mehrfach Stellung genommen meine Anregungen wurden weitgehend ber cksichtigt 12 Finanzen 12 1 CHIPSMOBIL Aufgrund des Senatsbeschlusses vom 16 12 97 zur Erneuerung des bremischen Haushalts Kassen und Rechnungswesens HKR initiierte der Senator f r Finanzen das Projekt CHIPSMOBIL Contolling Haushalt Integration Planung Standard Modular Online Buchf hrung Informatik Logistik 73 Im Verlauf der ersten Projektphase wurde ein Anforderungsprofil f r die erforderliche Software erstellt Diese Projektphase begleitet ein Fachausschu Hier beteiligte ich mich insbesondere an der Beschreibung technischer Datenschutzanforderungen und an der Kl rung von Fragen bei der Verarbeitung personenbezogener Daten in einzelnen Kernprozessen Durch den Einsatz eines diesem Anforderungsprofil entsprechenden HKR Verfahrens wird eine hohe Transparenz finanztechnischer Abl ufe entstehen Hauptziel meiner Beratung war es deshalb die Erhebung von personenbezogenen Daten Mitarbeiter und Klientendaten auf ihre Erforderlichkeit f r die definierten Ziele des Verfahrens zu pr fen und die Zweckbindung dieser Daten technisch sicherzustellen d h insbesondere die M glichkeit zentraler personenbezogene Auswertungen auszuschlie en Gem dem Anforderungsprofii der vom Senator f r Finanzen e
27. Datenbest nden m sste der Entwurf im Einzelnen begr nden warum eine konsequente Umsetzung der schon bisher m glichen Kontrollmechanismen nicht ausreicht Die angesprochenen Punkte stellen besonders gewichtige aber keineswegs die einzigen Probleme dar Zu nennen sind hier nur beispielsweise die Verl ngerung der Speicherdauer von Patientendaten beim Medizinischen Dienst der Krankenversicherung MDK von 5 auf 10 Jahre unzureichende Regelungen bei den Speicherfristen bei Umfang Zweckbindung und Freiwilligkeit der Datenerhebung beim Hausarztmodell der integrierten Versorgung und den Bonus Modellen sowie unzureichende Pseudonymisierung bei den Arbeitsgemeinschaften Abzulehnen ist auch die v llig mangelhafte Zweckbindung der Daten bei den Krankenkassen 107 18 8 Aufbewahrung des Schriftguts der ordentlichen Gerichtsbarkeit und Staatsanwaltschaften Entschlie ung der 58 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 7 8 Oktober 1999 Die Datenschutzbeauftragten des Bundes und der L nder haben bereits in ihrer Entschlie ung zu Aufbewahrungsbestimmungen und Dateiregelungen im Justizbereich am 09 10 03 1995 gefordert da insbesondere die Dauer der Aufbewahrung von Strafakten nach rechtskr ftigem Abschlu eines Strafverfahrens ihre Aussonderung und Vernichtung einer Regelung durch formelles den Grunds tzen des Volksz hlungsurteils entsprechendes Gesetz bedarf Mit Beschlu vom 16 08 1998 hat das
28. Die rasante Entwicklung der Informationstechnologie in den letzten Jahren und die Notwendigkeit f r die Bremerhavener Stadtverwaltung ihre Datenverarbeitungs und Kommunikationstechnik den neuen technischen M glichkeiten anzupassen haben zu der Entscheidung gef hrt die automatisierten Gro verfahren der Verwaltungspolizei Einwohnermeldewesen Kfz Zulassung F hrerscheinwesen Ausl nderwesen Ordnungswidrigkeiten abzul sen und durch neue rechtlich organisatorisch und technisch aktuellere DV Verfahren zu ersetzen Das abzul sende DV Verfahren Einwohnermeldewesen war eine Eigenentwicklung der Stadt Die auf dem Rechner installierten Verfahren hinkten seit langem der rechtlichen organisatorischen und technischen Entwicklung hinterher Sie h tten nur mit hohem Aufwand auf einen aktuellen Stand gebracht werden k nnen Geplant ist im M rz 2000 f r die Meldebeh rde Bremerhavens ein neues Client Server Verfahren auf Windows Basis mit mindestens gleicher Funktionalit t wie bisher von einem privaten Softwareanbieter einzuf hren Meso 96 Meldebeh rdensoftware und das alte Gro rechnerverfahren Einwohnermeldewesen dann einzustellen Ich werde ber den bernahmeproze regelm ig informiert Zur Testinstallation Anfang 2000 soll ich eingeladen werden um dann aus datenschutzrechtlicher Sicht zu einzelnen Punkten des Meso 96 41 Verfahrens Stellung nehmen zu k nnen Hinsichtlich der Sicherheit des Client Server Verfah
29. Durch eine Eingabe bin ich auf die beiden Vereinbarungen aufmerksam gemacht worden Meine Anfrage bei der Handwerkskammer und der Handelskammer Bremen hat ergeben da beide Kammern keine Rechtsgrundlagen f r die geplanten Datenabgleiche erkennen k nnen und sich daher an dem Datenaustausch nicht beteiligt haben Auf Intervention des Bundesbeauftragten f r den Datenschutz bei der Bundesanstalt f r Arbeit wurde die Aktion bundesweit nicht weiterverfolgt Beide Kammern brachten bei ihrer Antwort an mich zum Ausdruck da sie die Idee f r geeignet halten und sie sich in einem rechtlich zul ssigen Rahmen beteiligen w rden Soll das Projekt also weiterverfolgt werden w re zun chst der Bundesgesetzgeber aufgerufen die Voraussetzungen f r einen Datenaustausch zu schaffen 16 Datenschutz in der Privatwirtschaft 16 1 Video berwachung in Gro wohnanlagen Ein _Wohnungsunternehmen beabsichtigt zur Verhinderung bzw Verringerung von Sachbesch digungen z B Br nde in Tiefgaragen Beschmierungen und Zerst rungen in Eingangsbereichen ihre Gro wohnanlagen mit Videokameras zu berwachen Sie hat mich unter 80 Datenschutzgesichtspunkten gebeten die Zul ssigkeit einer derartigen Video berwachung zu bewerten Dazu hat sie mir ein digitales Videosystem vorgef hrt das von einem Sicherheitsdienst eingesetzt werden soll Die Demonstration hat deutlich gemacht da berwachungsanlagen dieser Qualit t in der Lage sind Bilder
30. Grundlage richterlicher Anordnungen durchzuf hren 18 13 Zugriff der Strafverfolgungsbeh rden auf Verbindungsdaten in der Telekommunikation Entschlie ung der 58 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 7 8 Oktober 1999 Die Ausbreitung moderner Telekommunikationsneze und die Fortentwicklung der Informationstechnologie erfolgen in gro en Schritten Dieser technische Fortschritt hat einerseits zu einer massenhaften Nutzung der neuen M glichkeiten der Telekommunikation und damit zu einer grundlegenden Ver nderung des Kommunikationsverhaltens der Bev lkerung gef hrt Andererseits erhalten dadurch die herk mmlichen Befugnisse der Strafverfolgungsbeh rden zur berwachung des Fernmeldeverkehrs eine neue Dimension weil aufgrund der weitreichenden Digitalisierung immer mehr personenbezogene Daten elektronisch bertragen und gespeichert werden Die bei der Telekommunikation anfallenden Daten k nnen mit geringem Aufwand in gro em Umfang kontrolliert und ausgewertet werden Anhand von Verbindungsdaten l t sich nachvollziehen wer wann mit wem kommuniziert hat wer welches Medium genutzt hat und wer welchen weltanschaulichen religi sen und sonstigen pers nlichen Interessen und Neigungen nachgeht Bereits auf der Ebene der blo en Verbindungsdaten k nnen so Verhaltensprofile erstellt werden die die Aussagekraft von Inhaltsdaten erreichen oder im Einzelfall sogar bertreffen Eine staatliche berwachung d
31. Komprimierung ersetzt nicht Kryptierung Tz 8 2 Das Datenschutzkonzept zu dem in allen senatorischen Beh rden und nachgeordneten Dienststellen zur Personalverwaltung und f r das Personalmanagement eingesetzten Verfahren PuMa sieht f r DV Ger te mit Schreibzugriff auf das Diskettenlaufwerk ein Programm zur Verschl sselung der Daten vor Wie der Landesbeauftragten f r den Datenschutz bei einer Pr fung einer senatorischen Beh rde festgestellt hat ist dort eine entsprechende Verschl sselung nicht eingesetzt worden Der Ausschuss begr t da es nach den bereinstimmenden Erkl rungen des Landesbeauftragten f r den Datenschutz und des Vertreters des Senators f r Finanzen vor dem Ausschuss aufgrund viel f ltiger Bem hungen nunmehr gelungen ist entsprechend der Forderung des Ausschusses ein geeig netes Verschl sselungsprogramm mit der Bezeichnung PGP Disk zu finden Der Ausschuss geht davon aus da die konkreten Einsatzbedingungen bei den personaldatenver arbeitenden Stellen nunmehr unverz glich abgestimmt werden damit die ausgew hlte Verschl sse lungssoftware bei PuMa m glichst bald zum Einsatz kommen kann Stagnation im Melderecht Tz 9 6 Im Jahre 1994 nderte der Bund das Melderechtsrahmengesetz MRRG das in seiner neuen Fas sung am 20 M rz 1994 in Kraft trat Eine Anpassung des Bremischen Meldegesetzes ist bis heute nicht erfolgt Die Frist zur Anpassung der Landesmeldegesetze an das MRRG ist im M rz 19
32. Kultur und Sport beabsichtigt einen im Haus abgestimmten Ent wurf zu erarbeiten den er dann auch mir zur Verf gung stellen will Ich gehe davon aus da die dann noch aus datenschutzrechtlicher Sicht verbleibenden Kritikpunkte auch in der politischen Diskussion noch eine Rolle spielen werden 34 R ckblickend l t sich positiv hervorheben da insbesondere unter Ber cksichtigung der Erfahrun gen mit anderen Gesetzentw rfen bei den Beratungen des Polizeigesetzentwurfs in jeder Phase meine Beteiligung sichergestellt war und soweit es aus politischer Sicht des Hauses vertretbar schien weitgehend versucht wurde meinen Verbesserungsvorschl gen Rechnung zu tragen 6 2 Zur polizeilichen Datenverarbeitung 6 2 1 Richtlinien zur Telefon berwachung Aufgrund meiner Pr fergebnisse bei der Durchf hrung von Telefon berwachungs Ma nahmen durch die Polizei vgl 19 JB Ziff 9 2 habe ich dem Senator f r Inneres die berarbeitung der v llig ver alteten Richtlinien f r das taktische Vorgehen anl lich einer berwachung des Fernmeldeverkehrs nach 100 a und 100 b StPO vorgeschlagen Bei Durchf hrung meiner Pr fung wurden die Telefon berwachungs Ma nahmen noch dezentral von den einzelnen Organisationseinheiten durchgef hrt Inzwischen hat sich einiges ge ndert So erfolgt die Durchf hrung von Telefon berwachungs Ma nahmen durch eine zentrale Organisationseinheit Durch die bermittlung richtungsgetrennter Daten
33. Stelle konnte in vollem Umfang erst wieder zum 01 01 2000 kompetent besetzt werden Dadurch entstand eine besonders lange Durststrecke zumal eine qualifizierte technische Beratung verschiedener Verfahren heute mehr denn je gefordert ist Dies machen auch weite Teile des Berichts deutlich Da dennoch viel auf diesem Gebiet geleistet werden konnte verdanken wir dem engagierten Einsatz zweier Kolleginnen Am 31 12 1999 schied der Landesbeauftragte f r den Datenschutz Herr Dr Walz dessen Wahlperi ode noch bis zum 31 05 2000 ging vorzeitig aus Herr Dr Walz der das Amt am 01 06 92 angetreten hatte war somit rund 7 1 2 Jahre Landesbeauftragter r den Datenschutz in Bremen Die Stelle ist noch nicht wieder besetzt der Senat bestellte gem 24 Abs 2 BrDSG nach vorheriger Anh rung des Datenschutzausschusses mich zum Vertreter Die brigen beim Landesbeauftragten f r den Datenschutz zum Teil langj hrig Besch ftigten blieben auch im Berichtsjahr der Dienststelle treu 1 7 Statistik der Eingaben und ffentlichkeitsarbeit Auf die Darstellung einer dezidierten Statistik der schriftlichen und m ndlichen B rgereingaben verteilt auf ffentlichen und nicht ffentlichen Bereich habe ich verzichtet weil die Zahlen im Verh ltnis zum Vorjahr in etwa gleich geblieben sind Auch im Berichtsjahr haben der Landesbeauftragte und die Mitarbeiter der Dienststelle verschiedene Fortbildungs und Vortragsveranstaltungen durchgef hrt darunter ein Da
34. Vertreter des Senators f r Inneres und der Polizei dar da der Erla um eine von der Polizei zu erstellende Dienstanweisung mit entsprechend technischen personellen und rechtlichen Regelungen erg nzt werden solle Eventuell wird auch eine nderung der Errichtungsanordnung und des Datenschutzkonzeptes erforderlich Ich habe darauf hingewiesen da in diesem Fall Erla und Dienstanweisung nur zusammen bewertet werden k nnen Ich erwarte da neben dem Erla die Dienstanweisung sowie soweit erforderlich auch die nde rungen der Errichtungsanordnung bzw des Datenschutzkonzeptes im Fr hjahr vorgelegt und der Abstimmungsproze im ersten Halbjahr abgeschlossen werden kann 35 6 2 2 Informationssystem der Polizei INPOL neu Bereits im letzten Jahresbericht 21 JB Ziff 9 4 1 habe ich ber die geplante bundesweite Einf h rung von INPOL neu zum 01 01 2000 berichtet Die Erstellung der Fachkonzepte ist abgeschlossen Zur Zeit sind Systemtests durch die Arbeitsgruppe AGIL mit Vertretern fast aller Bundesl nder vorge sehen Geplant ist die Fahndungsabfrage aller Verbundteilnehmer bis zum Mai 2000 zu realisieren Daf r sollen die in der Arbeitsgruppe vertretenen L nder ber Clients mit dem Zugangsserver des Bundeskriminalamtes BKA verbunden werden Die Client Anbindung ist noch nicht verifiziert m g lich w re diese ber eine Emulation im HTML Format oder ber auf dem PC ablaufende ausf hrbare Programme Der Produ
35. beginnen soll in dem die Verbindung stattfand kann dies in Einzelf llen dazu f hren da die Daten bis zu drei Jahre lang vorgehalten werden Hiergegen wenden sich die Datenschutzbeauftragen des Bundes und der L nder mit Entschiedenheit Sie sehen darin einen unverh ltnism igen Eingriff in das Grundrecht der Telefonkundinnen und kunden auf unbeobachtete Kommunikation Auch das Telekommunikationsgesetz hebt die Grunds tze der Verh ltnism igkeit und der Zweckbindung ausdr cklich hervor Personenbezogene Daten die f r Zwecke der Telekommunikation erhoben und verarbeitet werden d rfen nur solange gespeichert bleiben wie es zu diesen Zwecken erforderlich ist Auch die vom Gesetz geforderte H chstfrist f r die Speicherung von Verbindungsdaten mu sich am Grundsatz der Datensparsamkeit orientieren solange sich die Kundin und der Kunde nicht ausdr cklich f r eine l ngere Speicherung entscheiden Die Dauer einer zivilrechtlichen Verj hrungsfrist kann ebenfalls kein rechtfertigender Anla f r eine solche Datenspeicherung sein Jedenfalls m ssen die Daten unverz glich gel scht werden wenn die Rechnung beglichen und unbestritten ist und damit der vertragliche Speicherzweck erledigt ist Da eine telekommunikations oder zivilrechtliich bedingte Notwendigkeit f r eine derart lange Speicherfristt der Verbindungsdaten somit nicht ersichtlich is w rde sie eine unzul ssige Datenspeicherung auf Vorrat zu unbestimmten Zwecken
36. da s mtliche Eintragungen rechtzeitig getilgt werden Eintragungen ber die jeweilige Tilgungsfrist hinaus sind nicht festgestellt worden 5 1 4 Fazit Insgesamt zeigt die Pr fung da die Richtlinien nur unzureichend eingehalten werden Weil bei den Pr fgespr chen teilweise Unkenntnis ber die einzelnen Bestimmungen festzustellen war halte ich es f r erforderlich die Besch ftigten regelm ig auf die geltenden die Richtlinien hinzuweisen und sie ber die Handhabung zu unterrichten Dar ber hinaus bietet das Aus und Fortbildungszentrum j hr lich die zweit gige Veranstaltung Datenschutz im Personalwesen an Die Personalsachbearbeiter sollten verst rkt darauf hingewiesen werden 5 2 Amts rztliche Untersuchungen wegen Dienstunf higkeit Seit dem 01 Dezember 1998 gilt 47a Bremisches Beamtengesetz BremBG wonach bei einer rztlichen Untersuchung zur Feststellung der Dienstunf higkeit eines Beamten der Arzt nur im Ein zelfall auf Anforderung der Beh rde das die tragenden Feststellungen und Gr nde enthaltene Gut 27 achten mitteilt und zwar soweit deren Kenntnis f r die Beh rde unter Beachtung des Grundsatzes der Verh ltnism igkeit f r die von ihr zu treffende Entscheidung erforderlich ist Aufgrund dieser Neuregelung hat mir in 1999 die damalige Senatskommission f r das Personalwesen den Entwurf einer Vereinbarung mit dem Gesundheitsressort ber amts rztliche Untersuchungen von Beamtinnen und Beamten
37. darstellen Diese Speicherung von Kommunikationsdaten w re auch nicht mit der berlegung zu rechtfertigen da diese Daten zum Zwecke eventueller k nftiger Strafverfolgung ben tigt werden k nnten Die mit einer solchen Speicherung verbundene vorsorgliche berwachung unverd chtiger B rgerinnen und B rger w re unzul ssig 18 3 Entwurf einer Ratsentschlie ung zur berwachung der Telekommunikation ENFO POL 98 Entschlie ung der 57 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 25 26 M rz 1999 Die Konferenz der Datenschutzbeauftragten h lt es f r inakzeptabel da der entsprechende Entwurf bisher geheimgehalten und ohne Einbeziehung der Datenschutzbeauftragten beraten wird 102 Sie fordert die Bundesregierung auf der Schaffung gemeinsamer Standards zur grenz berschreitenden berwachung der Telekommunikation nur insoweit zuzustimmen als damit nicht zus tzliche Eingriffe in das Grundrecht auf unbeobachtete Kommunikation und das Fernmeldegeheimnis verbunden sind und die Nutzung datenschutzfreundlicher Technologien z B prepaid cards nicht konterkariert wird 18 4 Transparente Hard und Software Entschlie ung der 57 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 25 26 M rz 1999 Die Datenschutzbeauftragten des Bundes und der L nder haben sich wiederholt f r die Nutzung datenschutzfreundlicher Technologien eingesetzt Sie sehen jedoch mit Sorge die Entwic
38. der Frey Firmen in Anspruch nahm Das Bremische Meldegesetz l t eine regionale Sortierung der Angaben aus dem Melderegister ebenso wenig zu wie die Mitteilung der Anrede Dies mag bedauern wer die Verteilung durch ehrenamtliche Helfer oder Parteimitglieder organisiert Auch liegt mit dem Vornamen in aller Regel auch die Anredeform offen Gleichwohl sind diese Kriterien von den geltenden Bestimmungen nicht zugelassen Eine bestimmte Art von Datentr gern f r die Meldedaten bermittlung wird vom Meldegesetz nicht vorgeschrieben mit der Folge da heute meist elektronisch verwertbare Datentr ger wie z B Disketten verwendet werden gt Von der Bremerhavener Meldebeh rde wurden insgesamt zweimal Meldedaten an die DVU bermittelt Bei der ersten Daten bermittlung die per Liste erfolgte waren mehr Daten von Wahlberechtigten weitergegeben worden als von der Partei angefordert Beim zweiten bermittlungsvorgang waren unterteilt in zwei Gruppierungen 18 bis 30 j hrige sowie 31 j hrige aufw rts bis unendlich sogar die Daten aller Bremerhavener Wahlberechtigten die der Weitergabe nicht widersprochen hatten an die DVU bermittelt worden Die Daten bermittlung erfolgte auf Diskette Au erdem wurden in beiden F llen mehr Daten als im Katalog des Meldegesetzes vorgesehen weitergegeben z B Namensbestandteile Auch die Bremerhavener Meldedaten wurden von der rtlichen Gliederung der DVU an die M nchener Parteizentrale weitergereicht
39. die Polizei Bremen neu organisiert Mehrere Polizeibeamte haben mir mitgeteilt die Gesch ftsverteilung in der Fachdirektion Personal sehe vor da der Leiter des Abschnitts Grundsatzangelegenheiten Planung Organisation und Personalentwicklung gleich zeitig f r die Freie Heilf rsorge der Polizeibeamten zust ndig sein solle Sie bef rchteten da durch Krankheitsdaten bei Personalentscheidungen verwertet w rden Ich fand dies im Gesch ftsver teilung best tigt Ich habe die Polizei Bremen darauf hingewiesen da dies gegen 93b Bremisches Beamtengesetz verst t Danach sollen Angelegenheiten der Freien Heilf rsorge in einer von der brigen Personalverwaltung getrennten Organisationseinheit bearbeitet werden Dieses Trennungs gebot soll die besondere Schutzbed rftigkeit der Unterlagen auch und gerade gegen ber den mit anderen Personalangelegenheiten befassten Besch ftigten gew hrleisten Im Ergebnis soll der Be amte insgesamt hinsichtlich der Offenbarung und Verwendbarkeit seiner Krankheitsunterlagen grund s tzlich so stehen wie er stehen w rde wenn er seine Behandlungskosten nicht mit dem Dienstherrn sondern allein mit einer dem Dienstherrn fremden Versicherung abzurechnen h tte Der Senator f r Inneres Kultur und Sport hat in diesem Zusammenhang erkl rt diese Gesch ftsver teilung gelte nur vorl ufig Es werde gepr ft die Freie Heilf rsorge auf die Beihilfestelle der Senats 28 kommission f
40. die Zusammenarbeit Die dort gefa ten Beschl sse die in der Regel auf Ergebnissen aus Arbeitskreisen beruhen die von einzelnen L ndern betreut werden sind h ufig richtungsweisend f r die Fortentwicklung des Datenschutzes Im vergangenen Jahr waren Gegen stand derartiger Beschl sse u a die BDSG Novelle die Telekommunikation und die Kryptopolitik vgl Ziff 18 Im Bereich der Obersten Aufsichtsbeh rden f r den Datenschutz denen die Kontrolle im privaten Bereich bertragen ist wird die Koordinierung im D sseldorfer Kreis geleistet der sich ebenfalls zweimal im Jahr stets in D sseldorf unter Vorsitz des dortigen Innenministeriums trifft Wichtige The men hier habe ich unter Ziff 16 9 dargestellt 1 9 Ausblick Neben der intensiven Vorbereitung auf die neuen Aufgaben die durch die Novellierung des Bundes datenschutzgesetzes auf die Dienststelle zukommen vgl Ziff 16 10 werden die Beratungen des neuen Polizeigesetzes vgl Ziff 6 1 der erwarteten melderechtlichen Regelungen vgl Ziff 6 3 1 und in Folge der EU Datenschutz Richtlinie auch die Beratungen zur Novellierung des Bremischen Datenschutzgesetzes aufzunehmen sein Im ffentlichen Sektor werden die technischen aber auch rechtlichen Beratungen des Bremer Verwaltungsnetzes BVN vgl Ziff 3 2 und von MEDIA Komm vgl Ziff 3 1 im Vordergrund stehen Daneben ist absehbar da Internetanwendungen und nutzungen der Verwaltung z B das Angebot von T Online
41. die der B rger via Internet seine Verwaltungsangelegenheiten erledigen kann MEDIA Komm bindet dabei nicht nur die Verwaltungsseite ein sondern an dem Projekt beteiligen sich auch namhafte Firmen Als End User sind neben den B rgern auch Firmen und Gewerbe treibende gefragt MEDIA Komm ist damit ein Projekt das in die Zukunft gerichtet ist Am Ende k nnte stehen da der B rger und Privatfirimen und ber Serviceterminals sog Kiosk auch der B rger der ber keinen eigenen Internetanschlu verf gt alle Verwaltungskontakte weitgehend online abwickeln k nnen Am Anfang steht zwar lediglich die mediale Kontaktvermittlung zur Verwaltung Dabei wird es aber nicht bleiben Unabh ngig vom Projekt MEDIA Komm ist absehbar Wenn die Verwaltung online geht werden langfristig auch die Verwaltungsabl ufe dadurch beeinflu t werden Aber nicht nur das es ist auch zu erwarten da die Verwaltungsstrukturen dadurch beeinflu t werden Bremen hat mit dem Projekt die Chance in der Bundesrepublik eine Vorreiterrolle zu spielen Es steht au er Frage da dies eine Entwicklung mit weitreichenden Folgen ist Auch der Datenschutz betritt mit seiner Teilnahme an dem Projekt Neuland Es bedarf daher einer besonders gr ndlichen und BE berlegten Beratung des Datenschutzkonzeptes Den Vorteil der darin liegt bereits fr hzeitig bei der Gestaltung des Verfahrens auf die Entwicklung Einflu nehmen zu k nnen um einen datenschutz gerecht
42. es damit beim bisherigen verfassungsrechtlich bedenklichen Rechtszustand belassen Die Datenschutzbeauftragten des Bundes und der L nder wenden sich entschieden gegen eine Verl ngerung der Geltungsdauer des 12 FAG und fordern statt dessen eine Neufassung der Eingriffsbefugnis unter Beachtung der grundrechtlichen Bindungen und Anforderungen die sich aus dem von Art 10 Grundgesetz gesch tzten Telekommunikationsgeheimnis ergeben Die gesetzliche Erm chtigung f r den Zugriff auf Verbindungsdaten geh rt sachlich in die Strafprozessordnung Die gesetzlichen Zugriffsvoraussetzungen sollten in Abstimmung mit 100 a StPO neu geregelt werden 18 14 Eckpunkte der deutschen Kryptopolitik ein Schritt in die richtige Richtung Entschlie ung der 58 Konferenz der Datenschutzbeauftragten des Bundes und der L nder vom 07 08 10 1999 Das Brief Post und Fernmeldegeheimnis z hlt zu den traditionellen und wichtigsten Garantien einer freiheitliichen Verfassung Artikel 10 Grundgesetz gew hrleistet deshalb die freie Entfaltung der Pers nlichkeit durch einen privaten vor Dritten verborgenen Austausch von Nachrichten Gedanken und Informationen Deshalb darf nur in Ausnahmef llen im berwiegenden Allgemeininteresse auf gesetzlicher Grundlage in dieses Grundrecht eingegriffen werden Im Zuge der Privatisierung der Telekom hat der Staat sein Post und Fernmeldemonopol verloren so da zum Grundrechtsschutz die blo e Abwehr unrechtm i
43. f r freien Netzzugang der Schulen insbesondere EMail vgl auch Ziff 3 4 den Datenschutz in Atem halten werden Die meisten der bereichsspezifischen Datenschutzregelungen sind nicht mit Blick auf das Medium Internet konzipiert worden Ich gehe deshalb davon aus da in der kommenden Zeit ein Untersuchungsbedarf besteht ob Anpassungen erforderlich sind Die zun chst einmal restriktiv formulierten Ans tze im Artikel Internet Nutzung durch Schulen vgl Ziff 10 3 machen dies deutlich Auch der verst rkte Einsatz von Videotechnik im ffentlichen und privaten Bereich werden Datenschutzberatungen und kontrollen nach sich ziehen vgl auch Ziff 6 1 3 und 16 1 Neben den im Kapitel 16 Datenschutz in der Privatwirtschaft angesprochenen Feldern wird ein Beratungsschwerpunkt im Bereich der Tele und Telekommunikationsdienste liegen In der Privatwirtschaft eingesetzte moderne Computersysteme lassen eine Vielzahl von berwachungsm glichkeiten zu vgl z B Ziff 16 2 die Konflikte zwischen Arbeitnehmern und Arbeitgebern sind vorprogrammiert Zu erwarten ist da insgesamt das Thema Arbeitnehmerdatenschutz wieder einen h heren Stellenwert einnehmen wird Die auch im Bericht feststellbare rasche Entwicklung der IuK Technik mit ihren Auswirkungen im ffentlichen insbesondere aber im privaten Bereich wird noch an Fahrt zunehmen Um eine ange messene Datenschutzberatung sicherzustellen ist es erforderlich mehr als bisher Schwer
44. f r verschiedene Fachgebiete zu benutzen Beispielsweise w rden Anfragen an einzelne mter nicht an deren Server weitergeleitet sondern bereits von der BOS Plattform bearbeitet Dies setzt jedoch voraus da die jeweiligen Verwaltungs Server in kurzen Abst nden mit der Datenbank der BOS Plattform synchroni siert w rden ber die Plattform sollen zun chst folgende Lebens und Gesch ftssituationen abgewickelt werden Umzug und Wohnen Studium Heirat gt Freizeit gt Bau eines Hauses gt Kauf eines Autos Steuern gt Rechtsanw lte und Notare gt ffentliche Auftragsvergabe 16 Der B rger ben tigt f r die Teilnahme am MEDIA Komm Projekt einen speziell konfigurierten Browser der Anfangskontakt zu BOS kann jedoch ber einen Standard Browser erfolgen Der Browser wird so konfiguriert da nur zertifizierte Java Applets aufgerufen werden k nnen Das Nachladen von Java Klassen erfolgt ber ein spezielles Interaktions Applet Die Authentisierung des B rgers gegen ber der BOS Plattform erfolgt durch ein Challenge Response Verfahren Der hierf r clientseitig ben tigte Schl ssel wird auf einer speziellen Chipkarte langfristig ist eine Erweiterung der EC Karte vorgesehen gespeichert so da sich der B rger lediglich mittels PIN gegen ber dem entsprechenden Chipkarten Modul authentisieren muss Diese PIN ist nicht mit der PIN identisch die bei der Benutzung von Geldautomaten oder Electron
45. mit dem Landesbeauftragten f r den Datenschutz Datenschutzkonzepte entwickelt und umge setzt haben Diese stellen durch technische und organisatorische Vorkehrungen sicher da die Ver trauensstelle die bei ihr gespeicherten Identit tsdaten der gemeldeten Patienten nur zu den gesetzlich erlaubten Zwecken nutzen kann und da die Registerstelle die ihr von der Vertrauensstelle bermit telten medizinischen Daten nicht auf bestimmte Personen beziehen kann Der Datenschutzausschuss begr t weiterhin den durch das BremKRG und dessen Umsetzung e reichten hohen Standard des Schutzes der Pers nlichkeitsrechte bremischer Krebspatienten Er bittet den Senat diesen Standard bei der anstehenden Novellierung des BremKRG aufrechtzuerhalten Kindergarten Informationssystem KIS Tz 12 3 Das Kindergarten Informationssystem KIS ist ein vom damaligen Senator f r Frauen Gesundheit Jugend Soziales und Umweltschutz entwickeltes EDV Projekt mit dem teilweise sehr sensible Daten von Eltern und Kindern f r die Aufnahme in Kindertagesheimen und f r die Beitragsberechnung ver arbeitet werden Wie dem Ausschuss vom zust ndigen Ressort und vom Landesbeauftragten f r den Datenschutz bereinstimmend mitgeteilt worden ist sind anf ngliche Probleme die dadurch entstanden waren da zun chst kein Datenschutzkonzept vorlag inzwischen behoben Zudem hat eine vom Landesbe auftragten f r den Datenschutz in j ngster Zeit in zwei Kindertagesheimen vor
46. ndern um eine Verbesserung des Datenschutzes in der Abgabenordnung AO Zielrichtung ist dabei den B rgern normenklar die vergleichbaren Rechte wie sie das allgemeinene Datenschutzrecht z B Bundesdatenschutzgesetz garantiert auch zu gew hrleisten Es gibt zwar eine starke Auspr gung des Steuergeheimnisses und eine relativ klare Ausgestaltung der Offenbarungsregelungen bis hin zur Hundesteuer dennoch ist die Zweckbegrenzung innerhalb der Steuerverwaltung nicht eindeutig beschrieben Insbesondere enth lt die AO keine Regelungen ber das Auskunfts und Akteneinsichtsrecht der Steuerpflichtigen sowie ber Aufk rungspflichten der Steuerverwaltung Ebenso sind keine gesetzlichen Regelungen entwickelt worden unter welchen Voraussetzungen Daten online verarbeitet werden d rfen Hier ist der Bundesgesetzgeber gefordert Die Datenschutzbeauftragten sind sich weitgehend ber folgende noch zu erreichende Verbesserungen einig 75 12 4 2 Steuerdatenabrufverordnung 30 Abs 6 AO ist die Erm chtigungsgrundlage f r den Erla von Verordnungen die den Abruf online von Steuerdaten durch andere Steuerbeh rden und andere ffentliche Stellen regeln Nach mehr als 6 Jahren befindet sich eine derartige Verordnung z Zt in der Endphase der Abstimmung in den Erla gremien Dieser lange Zeitraum zeigt wie unterentwickelt das Datenschutzrecht in der Steuerverwaltung ist So war ich berrascht da die Steuerverwaltung online Abrufm glichkeiten
47. noch einmal ausf hrlich ber die korrekte Durchf hrung von Datenerhebungen Untersuchungen und Forschungsvorhaben an Schulen und die dabei anzuwendenden funktionellen Trennungsgebote unterrichtet 10 3 Internet Nutzung der Schulen Viele bremische Schulen besch ftigen sich mit der Nutzung des Internets und haben bereits eigene Homepages eingerichtet Schon bei fl chtiger Betrachtung derartiger Internet Pr sentationen fallen der gro e Wildwuchs und die offenkundige Unkenntnis datenschutzrechtlicher Erfordernisse auf Leider hat der Senator f r Bildung und Wissenschaft bisher keine landesweiten Empfehlungen f r eine datenschutzgerechte Nutzung dieses neuartigen Mediums erlassen Bei allem Verst ndnis f r die Technikbegeisterung und die allgemeine F rderung des Mediums Schulen ans Netz Internet Zugang f r alle Schulen mu doch auf die datenschutzrechtliichen Rahmenbedingungen hingewiesen werden die bei Nutzung dieses Mediums zu beachten sind Ich habe in einem ersten Anlauf ein Anforderungspapier erarbeitet das ich mit den Schulbeh rden und den Schulen m Lande 67 Bremen diskutieren und abstimmen will um zu einer datenschutzgerechten Nutzung des Mediums durch Schulen zu gelangen Folgende Punkte erscheinen mir dabei wesentlich Die Internet Nutzung durch Schulen ber hrt verschiedene datenschutzrechtliiche Regelungen auch wenn dieses Medium teilweise unterrichtlich genutzt werden sollte Konkret handelt es sich hie
48. r das Personalwesen jetzt Performa Nord zu bertragen wie dies bereits bei der Freien Heilf rsorge der Feuerwehr der Fall sei Inzwischen hat der Senator f r Inneres Kultur und Sport mitgeteilt die Verlagerung dieser Aufgabe von der Polizei Bremen auf Performa Nord solle bis zum 31 M rz 2000 abgeschlossen sein 5 4 Bek mpfung der Korruption in der bremischen Verwaltung Der Senat hat Anfang 1999 einen Beschluss zur Bek mpfung der Korruption gefasst Danach ist die Einrichtung von Antikorruptionsbeauftragten und Innenrevisionen in den Ressorts bzw nachgeordne ten Dienststellen sowie einer zentralen Antikorruptionsstelle AKS beim Senator f r Finanzen vorge sehen Au erdem soll dort eine Melde und Informationsstelle f r Vergabesperren geschaffen werden Die AKS ist inzwischen beim Senator f r Finanzen angesiedelt worden und hat mir Entw rfe einer Verwaltungsvorschrift zur Vermeidung und Bek mpfung der Korruption sowie einer Richtlinie Innen revision zur Stellungnahme vorgelegt Danach unterstehen die Antikorruptionsbeauftragten und Innenrevisionen direkt den jeweiligen Dienstvorgesetzten Die damit verbundene Verarbeitung perso nenbezogener Daten richtet sich nach 12 Abs 3 Bremisches Datenschutzgesetz BrDSG Danach git die Wahrnehmung von Aufsichts und Kontrollbefugnissen nicht als Verarbeitung f r andere Zwecke Gleichwohl haben diese Stellen die Grunds tze der Verh ltnism igkeit und Erforderlichkeit
49. sich im Geltungsbereich eines Landschaftsplanes einer landschaftsplanerischen Festsetzung in einem Bebauungsplan u a befinden Verursacher von beantragten oder angezeigten Eingriffen im Rahmen eines Verfahrens gt Grundst ckseigent mer und Nutzungsberechtigte von Grundst cken auf denen die Durchf hrung von Ausgleichs und Ersatzma nahmen angeordnet ist Mitglieder der unabh ngigen Beir te und ihrer Vertreter sowie Naturschutzwarte zur Unterst tzung der berwachung der Verbote und Gebote nach diesem Gesetz sowie Personen die im Auftrag der Naturschutzbeh rden oder der Verursacher von Eingriffen Bestands erhebungen Kartierungen durchf hren Des weiteren regelt Abs 3 dieser Vorschrift da an Beh rden deren Belange ber hrt werden diese Daten auch ohne Kenntnis der Betroffenen nur dann durch Auskunft aus dem Grundbuch dem Liegenschaftskataster oder dem Altlastenkataster mitgeteilt werden d rfen soweit es f r die genannten gesetzlichen Aufgaben erforderlich ist Die Daten k nnen nach 48a Abs 4 BremNatSchG an die Beh rden deren Belange ber ht werden bermittelt werden soweit dies zur Abgabe eigener Stellungnahmen der empfangenden Stelle in den Verfahren zur Aufstellung des Landschaftsprogramms des Landschaftsplanes oder zum Erlass einer Rechtsverordnung oder zur rechtm igen Wahrnehmung von Aufgaben der empfangenden Stelle im Zusammenhang mit eingreifenden Vorhaben erforderlich ist Nach 48a
50. sie darf nicht heimlich erfolgen Auch das Bundesarbeitsgericht hat mit Urteil vom 30 08 1995 Az 1 ABR 4 95 zu einem hnlich gelagerten Fall entschieden da keine Bedenken gegen das Mith ren von gesch ftlichen Telefongespr chen in der Einarbeitungsphase der neuen Mitarbeiter bestehen soweit dies zur Wahrung der berechtigten Interessen des Arbeitgebers sowie im Rahmen der Zweckbestimmung der Arbeitsvertragsverh ltnisse erforderlich ist und kein Grund zu der Annahme besteht da dadurch schutzw rdige Interessen der Kunden oder Arbeitnehmer beeintr chtigt werden Ich habe daher angeregt das Verfahren bei dem Call Center im Einzelnen festzulegen und betriebsintern zu ver ffentlichen Au erdem habe ich geraten die Kunden dar ber zu informieren zumindest mit der Ver ffentlichgung der Service Nummern auf Werbeplakaten oder in Anzeigen Die betriebliche Datenschutzbeauftragte hat mir zwischenzeitlich mitgeteilt da entsprechend meinen Vorschl gen gehandelt wurde Auch eine Delegation des Datenschutzausschusses der Bremischen B rgerschaft hat sich aufgrund wn Berichten in den Medien interessiert und dem Unternehmen einen Besuch abgestattet 16 3 Vernichtung von Bewerbungsunterlagen Im Berichtszeitraum sind zweimal Personalunterlagen in M llcontainern geworfen worden die somit jedermann zug nglich wurden Die Unterlagen haben mir durch aufmerksame B rger ausgeh ndigt In einem Fall handelte es sich um Unterlagen offensich
51. sowie Richterinnen und Richtern der Freien Hansestadt Bremen Land und Stadtgemeinde im Zusammenhang mit der Versetzung in den Ruhestand wegen Dienstunf higkeit vorgelegt Ich konnte folgende Verbesserungen erreichen Die Vereinbarung regelt da das Gesundheitsamt der Beh rde die das Gutachten anfordert nur das mitteilt was der Wortlaut des 23 Abs 4 GDG erlaubt n mlich das Ergebnis und soweit erforderlich t tigkeitsbezogene Risikofaktoren Dies ist eine Verbesserung gegen ber dem Ent wurf Die Verpflichtung zur Versendung der Untersuchungsbefunde in einem gesonderten verschlossen und versiegelten Umschlag und dessen verschlossene Aufnahme in die Personalakte ist in die Vereinbarung aufgenommen worden Meinen Bedenken gegen den vorgesehenen Umfang des zu bermittelnden Untersuchungsergebnis ses wurden beim Abschluss der Vereinbarung leider nicht Rechnung getragen Nach Ziff 3 3 der Ver einbarung geh ren dazu das Krankheitsbild einschlie lich der Prognose ber den weiteren Krank heitsverlauf und Einzelergebnisse des Untersuchungsbefundes Ich halte es f r erforderlich die Ver einbarung insoweit nach Ablauf eines Jahres zu berpr fen Die Vereinbarung ist inzwischen von beiden senatorischen Beh rden unterzeichnet und im Bremi schen Amtsblatt vom 25 August 1999 S 635 ver ffentlicht worden 5 3 Trennung der Freien Heilf rsorge von der Personalverwaltung Mit Wirkung vom 01 Januar 1999 wurde
52. und den anderen L ndern spielt das Bem hen eine Rolle f r die Datenerhebung und verwendung durch die Polizeibeh rden umfassende Erhebungs Speicherungs Verwertungs und bermittlungsregelungen zu schaffen Im Grunde genommen ist solcherma en neben dem Einflu der technischen Entwicklung durch das Datenschutzrecht die Fortentwicklung des Polizeirechts vor angetrieben worden Verbunden ist damit aber auch die Verbreiterung der M glichkeiten zum Einsatz besonderer und geheimer polizeilicher Methoden zur Informationsgewinnung Mittlerweile kann man feststellen es gibt in Deutschland ein neues Polizeirecht Die Novellierungen der Polizeigesetze in den Bundesl ndern und die nderungen des Bundeskriminalamts und Bundes grenzschutzgesetzes erweitern jedenfalls die Handlungsgrundlage der Sicherheitsbeh rden erheblich War parallel zum Innenbereich diese Entwicklung im Justizbereich zun chst dadurch gepr gt da der Bundesgesetzgeber in manchen Bereichen der Strafverfolgung noch z gerte besondere Eingriffs methoden zuzulassen ist der angesprochene Bereich auch bei der Strafverfolgung mittlerweile weit gehend durch neue Regelungen in der StPO abgedeckt man denke nur an die erst vor kurzem folgte Grundrechts nderung zur Einf hrung des Lauschangriffs So gesehen liegt der vorliegende Gesetzentwurf des Senators f r Inneres Kultur und Sport im Mainstream Zu fragen ist aber inwieweit f r Zwecke der vorbeugenden Straft
53. uu4444ssnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 76 Regelungen ber die Berichtigung bzw die Sperre von Daten u 24444sssene nennen 76 Erteilung von Teilausz gen aus den Steuerbescheiden u4444440sss nennen anne 76 Regelung ber die Anonymisierung von Daten nach 88a AO ssssennsnennennennnnn 77 e VA TIRAT TE TA E T N A AT 77 VONS UEC EUN nE A E N T E 77 Wirtschaft und H fen inen e a a ar san 77 Ne e Schlachte ETET T E E T 77 BrePos und der Anschlu privater Stellen usssnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 78 Bremerhaven 41 ma HIHI nr 78 Rechnungspr fungsamt Bremerhaven uuusssssnsnnnssenennnsnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 78 Anforderung von Sozial und Ausl nderakten durch das Rechnungspr fungsamt 78 nderungsvorschl ge zur Rechnungspr fungsordnung der Stadt Bremerhaven 78 Stadtk mmerei Bremerhaven Neues DV Verfahren Haushalts und Kassenwesen 79 Verweisungen rn ee ee ee ee nn 80 Handels und Handwerkskammer u 44444444nn4senennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn nn 80 Datenabgleich ber Ausbildungsverh ltnisse mit den Arbeits mtern u rs 80 Datenschutz in der Privatwirtschaft u 0suessssnnnensesnnnnensnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 80 Video berwachung in Gro wohnanlagen
54. w rde jeder Health Professional mit der Einstellung von Daten seiner Patienten in ein Netz gegen seine berufliche Schweigepflicht versto en die ausweislich der rztlichen Berufsordnungen auch den Austausch wn Patientendaten mit Fachkollegen einschr nkt In das Netz m ssen durch technischen Vorkehrungen Regelst be eingebaut werden die die Kommunikation mit den gesetzlichen Vorgaben synchronisieren Zum Schutz der Pers nlichkeitsrechte der betroffenen Patienten konkretisiert durch die rztliche Schweigepflicht und das Datenschutzrecht ist insbesondere zu beachten Den Zugriff auf in ein Netz eingestellte rztliche pflegerische Dokumentationen d rfen nur Health Professionals haben gt Will ein Health Professional Patientendaten bei einem anderen abrufen bzw an einen anderen bermitteln so mu der betroffene Patient zuvor ihm gegen ber eingewilligt haben vgl 140a Abs 2 SGB V i d F der Gesundheitsreform 2000 Beide Vorgaben k nnen am sichersten durch die Verwendung von Chipkarten realisiert werden die Legitimation durch das Einlesen der Health Professional Card und die Einwilligung durch das Einlesen der Patientenkarte Die Dokumentationen sind weiterhin dezentral zu f hren Die Speicherung von Patientendaten in einer zentralen Datenbank ist nicht erforderlich und erzeugt h here Risiken Die Daten sind auf dem Transportwege wirksam zu verschl sseln Dies gilt insbesondere f r den Fall da d
55. waren die Freiwilligkeit der Teilnahme die informierte Einwilligung der Befragungspersonen die Gestaltung der Anschreiben die Sicherung der zugesicherten Anonymit t und die anonyme Weiterverarbeitung der erhobenen Daten 65 Als Ergebnis ist festzustellen da die datenschutzrechtlichen Anforderungen vom Projekt weitgehend ber cksichtigt werden so da einer Durchf hrung der PISA Haupterhebung im Fr hjahr 2000 aus Datenschutzsicht keine Hindernisse im Wege stehen 10 2 Datenerhebung zum Thema Jugendkriminalit t und Gewalt in der Schule Auch im vergangenen Jahr war ich wieder mit zahlreichen Untersuchungen Erhebungen und Forschungsvorhaben befa t die an Schulen in Bremen und Bremerhaven durchgef hrt werden sollten Bei der Pr fung der mir vorgelegten Vorhaben mu te ich mehrfach auf die Beachtung wichtiger datenschutzrechtlicher Anforderungen hinweisen Besonders erw hnt werden soll an dieser Stelle eine Befragungsaktion an der Heinrich Heine Schule in Bremerhaven bei der Sch ler und Lehrer umfangreiche und auch sehr sensible pers nliche Bereiche betreffende Fragen zum Thema Jugendkriminalit t und Gewalt in der Schule beantworten sollten Ursache dieser Befragungsaktion war die zunehmende Kriminalit ts und Gewaltbereitschaft von Sch lern f r deren Bek mpfung an Schulen es noch der Erarbeitung geeigneter Konzepte bedarf So wie mir die Befragungsaktion vor ihrer Durchf hrung seitens der Schule dargeste
56. zu beachten Unter dieser Pr misse habe ich die vorgenannten Entw rfe mit der AKS er rtert und nderungen vorgeschlagen Diese beziehen sich u a auf den Umfang der und Berechtigung zur Unterrichtung gt den Umfang von Einsicht in Akten und Dateien durch die Innenrevision sowie auf Auskunftspflich ten gt Aufbewahrungs und L sch bzw Vernichtungspflichten von Unterlagen bei den Antikorruptionsbe auftragten Auskunftsverfahren ber die Zuverl ssigkeit von Bietern und Bewerbern gt Aufkl rung der Bieter und Bewerber ber das Verfahren und die dabei verarbeiteten Daten Die mir bisher vorgelegten Entw rfe haben zwar schon eine Reihe meiner Anregungen aufgegriffen bed rfen aber noch weiterer berarbeitung f r eine datenschutzgerechte Ausgestaltung des gesam ten Verfahrens 5 5 Telearbeit und das fehlende Technikkonzept Im Berichtszeitraum tagte die Arbeitsgruppe Telearbeit ber deren Einsetzung ich berichtet habe vgl 21 JB Ziff 8 1 Es ging um die Anbindung der in den Privatwohnungen der Besch ftigten stehenden Rechner ber ein Netz Zun chst wurde in der Arbeitsgruppe ein Technikkonzept mit zwei Alternativen f r den Fernzugriff Remote Access vom Telearbeitsplatz auf die Netze der Dienststellen vorgestellt Eine Alternative sah die dezentrale Einwahl vom Telearbeitsplatz in das Dienststellennetz vor Bei dieser Alternative m ssten alle Sicherheitsma nahmen lokal umgesetzt werden In der zweiten Al
57. zusammen ergibt nach Aussage des Bundesbeauftragten f r den Datenschutz eine Summe von weit ber 60 nderungen gegen ber dem urspr nglichen Entwurf der alten Bundesregierung aus 1997 Da hier ein erneuter nicht zu untersch tzender Abstimmungsbedarf entstanden ist liegt auf der Hand Zuletzt am 28 Januar diesen Jahres hat es in diesem Zusammenhang ein Gespr ch zwischen den zust ndigen L ndervertretern und dem federf hrenden Bundesministeriums des Innern gegeben Gleichwohl festzuhalten bleibt da zum Zeitpunkt des Redaktionsschlusses zu diesem Bericht noch kein Regierungsentwurf vorliegt Die Zeit dr ngt denn die Europ ische Kommission hat nach berschreiten der bergangsfrist der Bundesregierung bereits zweimal schriftlich dies in Erinnerung gerufen und sie wird nicht z gern mit der Einleitung eines Vertragsverletzungsverfahrens zu beginnen in dessen Verlauf die Festsetzung eines Zwangsgeldes droht Es ist daher w nschenswert da die Vorarbeiten an dem Gesetzentwurf nun bald beendet werden k nnen denn die parlamentarische Behandlung nimmt schlie lich auch noch Zeit in Anspruch Vor allem aber ist w nschenswert da endlich die Kapazit ten auch genutzt werden k nnen um auf dem dann in Kraft befindlichen neuen BDSG fu end damit anzufangen die jetzt in die zweite Stufe verschobenen nicht minder dr ngenden Datenschutzprojekte in Angriff nehmen zu k nnen 96 Die Regelungen in einem neuen BDSG h tten auch Auswirku
58. 22 Jahresbericht des Landesbeauftragten f r den Datenschutz Hiermit erstatte ich der B rgerschaft Landtag und dem Pr sidenten des Senats ber das Ergebnis der T tigkeit im Jahre 1999 den 22 Jahresbericht zum 31 M rz 2000 33 Abs 1 Bremisches Datenschutzgesetz BrDSG Die Gliederung und die im Bericht geschilderten Arbeitsergebnisse sind ganz berwiegend in der Zeit entstanden als Dr Walz noch Landesbeauftragter f r den Datenschutz war Mit Ausnahme des Vorworts entspricht die Darstellung somit den Vorgaben Der Bericht enth lt wie der Leser feststellen wird wieder einen bunten Strau von Vorg ngen unterschiedlicher Qualit t aus verschiedenen Bereichen Da Dr Walz Ende des Jahres 1999 ausgeschieden ist obliegt es mir als dem vom Senat bestellten Vertreter den Bericht vorzulegen Redaktionsschlu f r die Beitr ge war der 31 Januar 2000 Ich war bem ht alle bis dahin eingehenden u erungen zu ber cksichtigen Sven Holst Vom Senat bestellter Vertreter des Landesbeauftragter f r den Datenschutz Inhaltsverzeichnis 1 VOO ARE TEE EE A E E a LEITETE a aS a ELTERN 5 1 1 Millennium ee Bee He emailen 5 1 2 Neue Trends und Bedrohungen f r das informationelle Selbstbestimmungsrecht 5 1 3 Vormarsch des technischen Datenschutzes u 44444444nnnnnnnnennnnnnnennnnnnnnnnnnnnn nn nn 7 1 4 B rgerservice der Bremer Verwaltung ber Internet 444444sennnnn nenn nnnnn
59. 96 amp gelaufen Der Datenschutzausschuss der 14 Wahlperiode hat wiederholt auf dieses Vers umnis hin gewiesen zuletzt in seinem Bericht und Antrag vom 21 Januar 1999 zum 20 Jahresbericht des Lan desbeauftragten f r den Datenschutz Drs 14 1321 wobei der Ausschuss die Erwartung ge u ert hat da noch in der 14 Legislaturperiode ein Gesetzentwurf zur Novellierung des Bremischen Melde gesetzes vorgelegt werde Auch zahlreiche Beschwerden von B rgern ber die nach dem Meldegesetz m gliche bermittlung von W hlerdaten an politische Parteien im Vorfeld von Wahlen sind wiederholt Gegenstand von Er r terungen im Datenschutzausschuss gewesen Sowohl in seinem Bericht und Antrag vom 6 Februar 1996 zum 17 Jahresbericht Drs 14 214 als auch in seinem Bericht und Antrag vom 21 Januar 1997 zum 18 Jahresbericht Drs 14 564 hat der Ausschuss den Senator f r Inneres aufgefordert f r eine landeseinheitliche Handhabung der Weitergabe von W hlerdaten an die Parteien Sorge zu tragen und sicherzustellen da Daten aus den Melderegistern Bremens und Bremerhavens nur zu dem nach dem Meldegesetz erlaubten Zweck verwendet und insbesondere nicht an Parteigliederungen au er halb Bremens weitergegeben werden In seinem Bericht und Antrag vom 11 M rz 1998 zum 19 Jahresbericht Drs 14 981 hat der Daten schutzausschuss gefordert da entsprechend der Ank ndigung des Senators f r Inneres vor dem Ausschuss in das an das ge nderte M
60. A Komm Projekt verwendeten Zertifikaten pdoch nicht rechtsverbindlich da sie nicht von einem zertifizierten Trust Center generiert werden Die zentrale Zertifizierungsinstanz und das Key Management System werden von der BreKom betrieben Um die Vertraulichkeit s mtlicher per EMail bertragenen Daten zu garantieren sollte nach erfolg reicher Einf hrung des Key Management Systems in den Projekten PuMa und SEKT die Verschl s selung elektronischer Post m glichst bald auch im gesamten bremischen Verwaltungsnetz angeboten werden 3 4 4 Zunehmendes Datenschutzrisiko durch Trojanische Pferde Ein zunehmendes Problem stellen Viren und Trojanische Pferde dar die entweder als Anlage oder angesichts HTML f higer Client Software als direkter Bestandteil einer Mail verschickt und lokal auf dem Arbeitsplatz PC zur Ausf hrung gelangen k nnen Da im Internet Werkzeuge verf gbar sind die die Entwicklung von Viren vereinfachen bzw das Muster von Viren entscheidend ver ndern kann auf die Wirksamkeit von Virenscannern allein nicht mehr vertraut werden Durch Trojanische Pferde wie beispielsweise Back Orifice oder NetBus besteht einerseits die Gefahr da die Trojanischen Pferde ber den Mail Server selbstst ndig Daten aus dem lokalen Netz heraus an beliebige Internetadressen versenden ohne da es der Benutzer bemerken w rde Andererseits besteht das Risiko da die Trojanischen Pferde Server Funktionen enthalten die von anderen Netzanwen
61. Bundesministerium f r Gesundheit und den Datenschutzbeauftragten wurde ein gesetzlicher Rahmen f r die Pseudonymisierung der Daten abgestimmt innerhalb dessen die Leistungserbringer den Krankenkassen zu den Zwecken von Abrechnung sowie Kontrolle von Wirtschaftlichkeit und Qualit t ihres Handelns s mtliche Daten zu bermitteln haben Datenannahmestellen deren Einschaltung ohnehin geplant war sollten die ihnen von den Leistungserbringern bermittelten Daten vor der Weiterleitung an die jeweilige Kasse so aufbereiten da diese zwar die gewollten Auswertungen vornehmen aber nicht die Identifizierung einzelner Versicherter erm glichen vgl die Entschlie ung vom 08 10 99 unter Ziff 19 11 Lediglich in einem besonderen Verfahren sollten die einzelnen Versicherten reidentifiziert werden k nnen damit den Kassen ein versichertenbezogener Datensatz zur Verf gung gestellt werden kann der die Nutzung ausschlie lich in gesetzlich definierten Ausnahmef llen erm glicht Das technische Instrumentarium f r dieses Verfahren steht inzwischen bei vergleichsweise geringem Aufwand zur Verf gung Der Bundestag verabschiedete am 04 11 99 diese innovative Regelung BR Drs 609 99 Leider fiel sie am 26 11 99 der Ablehnung des Gesamtkonzepts der Gesundheitsreform 2000 im Bundesrat zum Opfer Im VermittlungsausschuB wurde der Vorschlag des Bundesministeriums und einzelner Datenschutzbeauftragter die Regelung in Gestalt eines Gesetzes zur Verbesserung des Da
62. DV Systeme 8 1 1 EDV Sicherheitsstruktur in der Vertrauensstelle des Bremer Krebsregisters Nach 6 Abs 2 BremKRG hat die Vertrauensstelle sicherzustellen da sie die durch sie gespeicherten Identit tsdaten nur zu den in 4 Abs 1 BremKRG aufgef hrten Zwecken nutzen kann Die Vertrauensstelle definierte hierf r in einem Datenschutzkonzept Erster Entwurf Mai 1998 mit mir abgestimmte Fassung Dezember 1998 umfassende technische Vorkehrungen ber deren Zielsetzung und Art bestand grunds tzlich Einigkeit Probleme warf aber die Durchf hrung auf So waren bei einer Pr fung im September 1999 einige Systemeinstellungen auf den Ebenen der Hardware des Betriebssystems und der Protokollierung noch nicht umgesetzt Bei der Nachpr fung im Dezember 1999 konnte ich aber feststellen da die Einstellungen ge ndert waren und mit dem Datenschutzkonzept bereinstimmten Wesentliche Punkte waren 52 Hardware Abschaltung serieller Schnittstellen ber das BIOS Betriebssystem Mitarbeiterinnen der Vertrauensstelle k nnen auf MS Office auf ein gemeinsames Netzverzeichnis und auf Home directories zugreifen Die Registratur ist mit Hilfe von Berechtigungen so gesch tzt da nur der Administrator im Zusammenwirken mit einer Nutzerin die Konfigurationsdateien ndern kann ber eine Dom ne ist eine zentrale Sicherheitsstruktur realisiert gt Protokollierung Transaktionen des Datenexports und ausgehender Datentr ger werden im geb
63. Dateienpr fung auf Viren vor Versendung und bermittlung des Pr fprotokolls als Anlage der E Mail und auf eine Pa wortspeicherung in der Mail Software wird verzichtet Die Benutzerordnung wird jedem E Mail Anwender ausgeh ndigt Die Dienstanweisung regelt den Geltungsbereich und die Organisation f r das Handling der E Mails Im Kapitel Datenschutz wird u a auf den Einsatz von Verschl sselung und digitaler Signatur hingewiesen die bermittlung von aus f hrbaren Programmen verboten und die Verpflichtung zur Pr fung bersandter Programme und Dateien betont Das Konzept beinhaltet u a Regelungen f r das Namenskonzept und die Ausstattung der PC auf denen EMail m glich ist Die EMail Einf hrung in der Polizeibeh rde wird stufenweise unter Einbe ziehung vorhandener Hardwarekomponenten erfolgen Jede angeschlossene Organisationseinheit ist f r die Bearbeitung der E Mails verantwortlich Nach Durchsicht der Unterlagen habe ich der Polizei die Ber cksichtigung der unter Ziff 5 4 aufge f hrten Punkte empfohlen Die Unterlagen werden derzeit von der Polizei berarbeitet und mir anschlie end zugesandt Ich werde die E Mail Einf hrung bei der bremischen Polizei weiter beraten 37 6 2 5 DNA Analyse Datei Im Sommer 1999 bersandte mir der Senator f r Inneres Kultur und Sport den ihm vom Bundes minister des Innern zugegangenen Entwurf einer Errichtungsanordnung f r die DNA Analyse Datei In meiner Stellungnahme habe ic
64. Dateiservern zugeordnet sind Der Anwender wechselt je nach Erforderlichkeit zwischen den beiden Umgebun gen indem er sich beim Betriebssystem ab und wieder anmeldet ein Neustart des Systems ist daf r nicht erforderlich Zus tzlich zu den beiden Arbeitsumgebungen ist es notwendig da die f r E Mail und Web Zugriff ben tigten TCP IP Ports entweder durch den Mail Server durch einen Proxy Server oder durch die eingesetzte Firewall benutzerbezogen gefiltert bzw aktiviert werden gt Virtual Network Computing VNC S mtliche sicherheitskritischen Internetdienste werden auf einem VNC Server ausgef hrt so da Webseiten oder Inhalte von elektronischer Post lediglich in Form einer Grafik vom VNC Server an die jeweiligen Arbeitsplatz PC bertragen werden Da der VNC Server die eigentliche Datenver arbeitung bernimmt k nnen auch keine unerw nschen Fehlfunktionen auf dem Arbeitsplatz PC zur Ausf hrung gelangen Dies setzt jedoch voraus da die Verbindung zwischen VNC Server und dem zu sch tzenden lokalen Netz durch eine Firewall kontrolliert wird und die sicherheitsrelevan ten Dienste aus dem lokalen Netz ausgelagert werden gt Laufzeit berwachung von Programmen Per elektronischer Post oder ber das Internet bertragene Programme werden einer Lauf zeit berwachung mit der Java Sandbox vergleichbar unterstellt Die Laufzeit berwachung kann sich auf bestimmte sensible Dateien beziehen die auf der Festplatte gespeicher
65. Dienststellennetz angewiesen sind Die Aufgabenerledigung erfolgt am Telearbeitsplatz der f r die Aufgabenerledigung als stand alone PC genutzt wird Sollte ein Daten transport erforderlich sein so erfolgt dieser auf Diskette Neue Teilnehmer werden bis zum Vorliegen eines abgestimmten Technikkonzeptes nicht mehr zugelassen 6 Inneres 6 1 Bremisches Polizeigesetz 6 1 1 Der Auftrag der Koalition Der Senator f r Inneres Kultur und Sport hat mir im August einen Referentenentwurf zur nderung des Bremischen Polizeigesetzes bersandt und um Stellungnahme gebeten Mit dem Entwurf kommt der Senator einem Auftrag aus der Koalitionsvereinbarung nach die vorsieht das Bremische Polizei gesetz entsprechend den Vorgaben des Bundesverfassungsgerichts umfassend zu reformieren Der Entwurf enth lt eine Vielzahl von Bestimmungen die in erheblichem Umfang die polizeiliche Daten verarbeitung ber hren und die von datenschutzrechtlicher Relevanz sind 6 1 2 Zur Entwicklung des Polizeirechts Das geltende Bremische Polizeigesetz BremPoIG ist am 21 03 83 in Kraft getreten Es hat zwar in den zur ckliegenden Jahren einige kleine nderungen erfahren ist aber bezogen auf die Regelungen der polizeilichen Datenverarbeitung in seinen wesentlichen Z gen erhalten geblieben Es stammt daher im gro en und ganzen wenn man den Zeitraum der politischen Diskussion mit einbezieht aus den Jahren 1982 83 also aus einer Zeit vor der Verk ndung des Volksz hl
66. Hansestadt Bremen beim St dtewettbewerb Multimedia bereits 1998 unter den letzten zehn f rderungsw rdigen deutschen St dten platzieren konnte gelang es nun in einer weite ren Phase sich zusammen mit der Stadt Esslingen und der Region N rnberg gegen ber den noch verbliebenen Mitbewerbern als Gesamtsieger erfolgreich durchzusetzen Dies ist aus datenschutz rechtlicher Sicht insofern erfreulich als das MEDIA Komm Projekt u a die M glichkeit bietet Ver schl sselungsverfahren und insbesondere digitale Signaturen in unterschiedlichen Bereichen aus giebig zu testen und unter Beteiligung meiner Dienststelle zu evaluieren zur grunds tzlichen Bedeutung des Projekts vgl Ziff 1 4 Zur Koordinierung des Projekts wurde eigens die Projektgesellschaft Bremen Online Service BOS gegr ndet die im Herbst 1999 Ihre Arbeit aufgenommen hat Vorrangiges Ziel des Projekts ist es eine Plattform f r rechtsverbindliche und vertrauensw rdige Internettransaktionen aufzubauen die sowohl den B rger als auch Unternehmen im digitalen Umgang mit Beh rden und anderen ffentlichen Stel len unterst tzt Die Plattform soll soweit im Verfahren erforderlich in Verbindung mit einem Trust Center die Identit t des B rgers bzw des Unternehmens pr fen Antr ge entgegennehmen und an die jeweils zust ndigen Stellen weiterleiten sowie ggf die Abrechnung der Dienstleistungen ber nehmen Dar ber hinaus ist geplant die BOS Plattform als Datenbank Plattform
67. Oberlandesgericht Frankfurt am Main festgestellt da der derzeitige Zustand zwar f r eine bergangsfrist noch hinzunehmen sei da die Schaffung einer gesetzlichen Grundlage f r die Aufbewahrung von Akten jedoch nicht als nur mittelfristige Aufgabenstellung des Gesetzgebers betrachtet werden d rfe sondern alsbald in Angriff zu nehmen sei In gleicher Weise hat auch das OLG Hamm mit Beschlu von 17 09 1998 darauf hingewiesen da die Aufbewahrung von Strafakten einer gesetzlichen Grundlage bedarf Auch der Entwurf des Strafverfahrens nderungsgesetzes 1999 enth lt insoweit keine Regelung Die Datenschutzbeauftragten des Bundes und der L nder halten es daher f r dringend geboten da unverz glich mit der Umsetzung dieser Aufgabe begonnen wird Sie weisen ferner darauf hin da auch f r die Aufbewahrung von Zivilakten und Akten im Bereich der freiwilligen Gerichtsbarkeit umgehend gesetzliche Regelungen zu schaffen sind die die Dauer der Aufbewahrung auf das erforderliche Ma festlegen 18 9 Entschlie ung zu T ter Opfer Ausgleich und Datenschutz Entschlie ung der 58 Konferenz der Datenschutzbeauftragten des Bundes und der L nder vom 7 8 Oktober 1999 Kernst ck datenschutzrechtlicher berlegungen zum T ter Opfer Ausgleich ist die Frage ob Institutionen zur Durchf hrung des Ausgleichsverfahrens umfassende Informationen insbesondere ber Opfer von Straftaten erhalten d rfen ohne da diese davon Kenntnis erlangt und ein
68. RRG anzupassende Meldegesetz eine Bestimmung aufge 23 nommen wird die die Weitergabe von W hlerdaten auf Parteigliederungen innerhalb des Landes Bremen beschr nkt In seinem Bericht und Antrag vom 21 Januar 1999 zum 20 Jahresbericht Drs 14 1321 hat der Ausschuss diese Forderung erneut erhoben und dazu weiter ausgef hrt er gehe davon aus da bei der Novellierung des Meldegesetzes auch die bisherige Regelung zur bermitt lung von Meldedaten an Adressbuchverlage berpr ft werde In der Sitzung des Datenschutzausschusses am 1 Dezember 1999 hat der Vertreter des Innensena tors einger umt da die Novellierung des Meldegesetzes auch im Hinblick auf die Entwicklung in anderen Rechtsgebieten dringend erforderlich sei und dazu weiter ausgef hrt da bis zum Ende des Jahres 2000 mit dem In Kraft Treten des ge nderten Bremischem Meldegesetzes zu rechnen sei F r die Verz gerung seien personelle Engp sse im Innenressort verantwortlich Bei allem Verst ndnis daf r da Sparzw nge eine nicht immer zeitgerechte Erledigung der Aufgaben eines Ressorts zur Folge haben k nnen ist der Datenschutzausschuss der Auffassung da derartig lange Verz gerungen wie sie bei der Anpassung des Bremischen Meldegesetzes aufgetreten sind nicht mehr hinnehmbar sind Der Ausschuss erwartet da der Gesetzentwurf zur Novellierung des Bremischen Meldegesetzes nunmehr unverz glich erstellt und nach Abstimmung mit dem Landesbe auftragten f r d
69. Realisierung der Pr sentation und Abwicklung von Gesch ften der Versicherungswirtschaft im Internet engagiert Dabei wurde deutlich da auf Seiten der Versicherungswirtschaft noch Erl uterungsbedarf zu den Anforderungen und der Umsetzung der Datenschutzvorschriften des Teledienstedatenschutzgesetzes und des Mediendienstestaatsvertrages insbesondere f r Kundeninformationen Verschl sselung und Anbieterkennzeichnung bestehen Es ist beabsichtigt diese Fragen noch im Jahre 2000 voranzubringen 16 8 2 Datenerhebung in Antragsformularen der Versicherungswirtschaft Ein weiterer Punkt der erst am Ende des Berichtsjahres aufgetaucht ist und in den kommenden Jahren noch weiterer Beobachtung bedarf betrifft die Datenerhebung in Antragsformularen der Versicherungswirtschaft Im konkreten Fall bin ich aufgrund einer Anfrage darauf aufmerksam gemacht worden da in einem Antragsformular zum Abschlu einer Kfz Versicherung unter Fragen zur Familie auch Geburtstag monat und jahr des j ngsten Kindes abgefragt wird wie auch die Frage gestellt wird ob Haus und Wohnungseigentum vorhanden ist Da diese beiden Fragen nicht urs chlich im Zusammenhang mit dem F hren eines Kraftfahrzeuges stehen habe ich mich an das betreffende Versicherungsunternehmen gewandt und um Auskunft gebeten ob die Fragen in irgendeinem Zusammenhang Relevanz bei der vertraglichen Ausgestaltung entfalten In dem Antragsformular hei t es konkret Ich oder mein Ehe bzw in h us
70. Sta tistikverfahren des Statistischen Landesamts DV Verfahren der Ordnungswidrigkeiten des Stadtamts Bremen die Verfahren ISA und ISA D der Polizei Bremen sowie Daten aus dem DV Verfahren Sijus Straf der Staatsanwaltschaft Bremen Ob und unter welchen Rahmenbedingungen die hoheitlich ver arbeiteten Daten k nftig durch das Gemeinschaftsunternehmen bernommen werden k nnen wird im Jahr 2000 noch ausf hrlich zu er rtern sein Alle anderen Verfahren ffentlicher Stellen k nnen so wurde es in dem Konzept festgelegt auf das neue Gemeinschaftsunternehmen bertragen werden Neben einer Darstellung der baulichen organisatorischen und personellen Ma nahmen ging es in dem Sicherheitskonzept daher zum einem darum die von der neuen Gemeinschaftsgesellschaft und der ID Bremen in den n chsten Jahren noch jeweils getrennt verarbeiteten Daten auf Betriebs systemebene durch entsprechende MVS und RACF Mechanismen geeignet voneinander abzu schotten Zum anderen soll durch die Gr ndung einer bei der ID Bremen angesiedelten aufsicht f hrenden Stelle die berwachung und Kontrolle der odnungsgem en Datenverarbeitung beim Ge meinschaftsunternehmen gew hrleistet werden Das in einer Erstversion vorliegende und mit meiner Dienststelle in bislang vorbildlicher Weise abge stimmte Datenschutzkonzept wird im Jahr 2000 weiter fortgeschrieben Ziel wird es vor allem sein vor dem Hintergrund einer m glichen Standortverlagerung f r die Themenbereiche
71. User Help Desk Client Server Anwendungen und Netzwerkverbindungen datenschutzkonforme L sungen zu erar beiten 19 3 4 Elektronische Post in der bremischen Verwaltung In der bremischen Verwaltung werden immer mehr Schreiben per elektronischer Post verschickt S mtliche Dienstellen sind ber Sammelpostf cher erreichbar individuelle Postf cher stehen mittler weile an fast einem Drittel der 12 000 Bildschirmarbeitspl tze zur Verf gung Damit ist die seinerzeit projektierte Erprobungsphase praktisch abgeschlossen so da die hierbei gemachten Erfahrungen nunmehr in eine abschlie ende Regelung zum Einsatz von Elektronischer Post n der bremischen Verwaltung einflie en sollten Neben Vertretungs und Abwesenheitsregelungen sollte eine derartige Vereinbarung auf Verschl sselungsma nahmen einschlie lich Schl sselverwaltung auf Zugriffs rechte der Mail Administratoren sowie lokale Sicherheitsma nahmen eingehen Ein Anwendungs beispiel stellen die unter Ziff 8 8 beschriebenen Regelungen der Polizei Bremen dar 3 4 1 Rechtliche Regelungen Elektronische Post ist sowohl als Telekommunikationsdienst als auch je nach Auspr gung als Tele dienst zu bewerten Damit sind nicht nur das Bremische Datenschutzgesetz BrDSG und das Bun desdatenschutzgesetz BDSG sondern auch das Teledienstedatenschutzgesetz TDDSG und das Telekommunikationsgesetz TKG einschl gig Das TDDSG und das TKG insbesondere 85 TKG ber das Fernmeldegeheim
72. aber auch den einzelnen Mitgliedern individuelle Versicherungsangebote unterbreiten will Oder aber ein Wassersportverein fragt nach ob er die zum Arbeitsdienst eingesetzten Vereinsmitgliederdaten ver ffentlichen Aushang Vereinsblatt usw darf Oder ein anderer will wissen ob die Geburtstage im Vereinsblatt ver ffentlicht werden d rfen Die meisten Fragen betreffen jedoch die ordnungsgem e Sicherung der Vereinsmitgliederdaten und der Vereinsprotokolle Da diese Unterlagen h ufig in den h uslichen Bereichen der Vorst nde 85 aufbewahrt werden bekommt einer ordnungsgem en Datensicherung eine besondere Bedeutung zu Da viele dieser Fragen auch bei anderen Kollegen immer wieder eine Rolle pielen haben die Datenschutzbeauftragten im Internet einen Leitfaden ver ffentlicht der unter www datenschutz de abgerufen werden kann Gegen bersendung eines frankierten und r ckadressierten Briefumschlages versende ich den Leitfaden aber auch auf Diskette an interessierte Vereine 16 6 Ticket Service kann Daten nicht l schen Ein Ehepaar aus Bremen hatte telefonisch Eintrittskarten f r ein Konzert in der Glocke bestellt Bei dieser Bestellung wurden die pers nlichen Daten wie Name Adresse Telefonnummer abgefragt und in einer Bestelldatei abgespeichert Als das Ehepaar ein paar Tage sp ter die Karten beim Ticket Center abholte mu te es sich mit einer Bestellnummer identifizieren und die Karten wurden ausgedruckt Auf die Fra
73. age einer Schule und das Einstellen von Pr sentations und Angebotsseiten der Schule ins Internet erfolgt in Verantwortung der jeweiligen Schule speichernde Stelle im Sinne des Datenschutzrechts Sie mu dabei u a folgende spezifische Anforderungen ber cksichtigen Es besteht nach 6 TDG 6 MDStV eine Pflicht zur Anbieterkennzeichnung Die Schule mu also sich und die verantwortliche Leitungsperson namentlich mit schulischer Anschrift benennen Links d h Verweise auf Homepages von Privatpersonen Betrieben Vereinen Organisationen o dgl sollten regelm ig berpr ft werden Es sollte ausgeschlossen werden da auf Homepages mit rechtswidrigem Inhalt verwiesen wird vgl 8 MDStV v Der Anbieter Schule darf die Erbringung von Diensten nicht von einer Einwilligung des Nutzers in die Verarbeitung und Nutzung seiner Daten f r andere Zwecke z B Werbung abh ngig machen 3 Abs 3 TDDSG 12 Abs 4 MDStV Nutzungsprofile z B wie oft hat ein bestimmter Nutzer die Homepage der Schule aufgerufen sind nur bei Verwendung von Pseudonymen zul ssig 4 Abs 4 TDDSG 13 Abs 4 MDStV Das Setzen sog Cookies durch die Schule sollte unterbleiben nur mit ausdr cklicher Einwilligung des v jeweiligen Nutzers berhaupt zul ssig 68 Jeder Nutzer ist grunds tzlich berechtigt jederzeit die zu seiner Person oder zu seinem Pseudo nym gespeicherten Daten unentgeltlich beim Anbieter Schule einzusehen
74. allation auf dem Vorplatz des Bremer Hauptbahnhofs eine Thematik die im Kontext der Novellierung des Bremischen Polizeigesetzes vgl Ziff 6 1 noch debat tiert werden wird Angesprochen wurden auch die Konsequenzen der Novellierung des Bundesdatenschutzgesetzes f r die Presse und das ihr grundgesetzlich gew hrleistete Redaktionsgeheimnis Die im November 1999 bundesweit in den Medien ge u erte Kritik an den entsprechenden Regelungen im Referentenentwurf des Bundesinnenministeriums wurde allerdings dadurch gegenstandslos da der Bundesinnen minister f r den inzwischen vorgelegten Regierungsentwurf eine berarbeitung der entsprechenden Bestimmungen zugesagt hatte 5 Personalwesen 5 1 Pr fung bei Personalstellen ber die Aufbewahrung sensibler Personaldaten Im Jahre 1994 sind gesetzliche Regelungen ber die Verarbeitung von Personalaktendaten in das Bremische Beamtengesetz BremBG aufgenommen worden vgl 16 JB Ziff 4 3 Die Senats kommission f r das Personalwesen hatte damals die nach 93 BremBG erforderlichen Richtlinien ber die Erhebung und Verarbeitung von Daten in Personalakten bereits im Jahre 1996 erlassen vgl 19 JB Ziff 8 4 Inzwischen hat auch der Magistrat als oberste Dienstbeh rde f r die Stadtgemeinde Bremerhaven entsprechende Richtlinien mit datensch tzendem Charakter erlassen Sie entsprechen im wesent lichen den bremischen Richtlinien und sind am 01 Januar 1999 in Kraft getreten Im Ber
75. ammlung ber bestimmte schwere Straftaten mit Auslandsbezug u a in den Bereichen Terrorismus Drogen und Geldw sche Anders ausgedr ckt Die Erlaubnis f r den BND alle im und mit dem Ausland gef hrten sowie ber das Gebiet der Bundes republik gehenden nicht leitungsgebundenen also ber Richtfunk oder Satellit laufenden Gespr che abzuh ren aufzuzeichnen Staubsaugerprinzip und nach bestimmten Suchbegriffen durchzu rastern wurde auf diesen neuen Erkenntniszweck erstreckt Dabei gewonnene Informationen k nnen den anderen Nachrichtendiensten Verfassungsschutz Milit rischer Abschirmdienst weiterhin dem Zollkriminalinstitut und den Strafverfolgungsbeh rden bermittelt werden 11 Nicht Gesetz geworden ist der im Entwurf noch enthaltene Vorschlag da die Staatsanwaltschaften von sich aus an den BND herantreten und von diesem verlangen k nnen sollten ganz bestimmte f r die Strafverfolgung in einzelnen F llen relevante Suchbegriffe bei der Rasterung des Fernmeldever kehrs zu verwenden 2 1 1 Zweifel an der Verh ltnism igkeit der Abh rbefugnisse Die Datenschutzbeauftragten haben seinerzeit wie andere Kritiker auch vor allem eingewandt da unverh ltnism ig in das Fernmeldegeheimnis eingegriffen und gleichzeitig das in Verfassungsrang stehende Trennungsgebot zwischen Polizei und Geheimdiensten bzw zwischen Strafermittlung und nachrichtendienstlicher T tigkeit partiell aufgehoben werde Das Staubsaugerpr
76. as Internet benutzt wird In den F llen in denen der Empf nger Abrufer den Patientenbezug nicht oder nur in Ausnahmef llen ben tigt sind die Daten derart zu codieren da er nur mit Hilfe des Absenders oder eines Treuh nders den Patientenbezug herstellen kann vgl hierzu die f r 294 SGB V vorgeschlagenen Regelungen in der urspr nglich vom Bundestag verabschiedeten aber vom Bundesrat abgelehnten Fassung der Gesundheitsreform 2000 59 Bisherige Er rterungen mit Projektverantwortlichen und dem Senator f r Arbeit Frauen Gesundheit Jugend und Soziales berechtigen zu der Hoffnung da zu den oben skizzierten Anforderungen kein Dissens besteht 8 8 Gesundheitsreform 2000 eine vorerst vertane Chance f r Datenschutz durch Technik Im Meinungsstreit um die Gesundheitsreform 2000 d h die Novellierung des SGB V durch die Regierungskoalition in Berlin standen im Herbst 1999 Schlagworte wie gedeckeltes Budget und Positivliste im Vordergrund Mit der Ablehnung des durch den Bundestag beschlossenen Gesetzes im Bundesrat und das Inkrafttreten der abgespeckten Gesundheitsreform bleibt aber vorerst auch ein Vorhaben unrealisiert das Datenschutz durch Technik heute privacy enhancing technology pet genannt zum Schutz der Gesundheitsdaten der gesetzlich Krankenversicherten realisiert h tte und dar ber hinaus Signalwirkung f r den Pers nlichkeitsschutz in anderen gesellschaftlichen Bereichen h tte entfalten k nnen W
77. atenbek mpfung s mtliche in den Polizeigesetzen normierten besondere Eingriffsbefugnisse unter dem Gesichtspunkt der Erforderlich keit noch ihren Bestand und ihre Berechtigung haben Dies ist bisher genau so wenig untersucht wor den wie ihre Effektivit t Auch Instrumente der Strafproze ordnung wie die Rasterfahndung die be reits fr hzeitig in Kraft gesetzt wurden wurden bisher nicht evaluiert Die Konferenz der Datenschutz beauftragen des Bundes und der L nder hat auf dieses Manko in einer Entschlie ung vom 05 06 10 1998 hingewiesen vgl 21 JB Ziff 20 6 Insoweit stehen wissenschaftlich aufbereitete Er fahrungen anderer L nder hinsichtlich der Erforderlichkeit und der Effektivit t neuer polizeirechtlicher Erhebungsmethoden f r die Diskussion des BremPoIG E nicht zur Verf gung Im Ergebnis kann festgehalten werden da die Regelungen zur geheimen Datenerhebung in den Polizeigesetzen anderer L nder rasch eingef hrt wurden w hrend die entsprechenden Regelungen f r Zwecke der Strafverfolgung erst nach sorgf ltiger Diskussion erlassen wurden Viele Polizei gesetze anderer L nder die in drei vier Novellierungssch ben alle neuen Entwicklungstendenzen aufgenommen haben sind verschachtelt und un bersichtlich geworden so da sie im Grunde ge nommen selbst ihre rechtm ige Handhabung in Frage stellen Diesen Fehler hat der bremische Ge setzgeber nicht gemacht Vielmehr kesteht hier die Chance einen schlanken einheitlich
78. auf dem Gel nde der JVA Oslebshausen Die zentralen Netzkomponenten sind f r Gefangene nicht zug nglich Die Daten waren bisher auf zwei UNIX Anlagen getrennt gespeichert wobei die Datenbest nde der Justizvollzugsanstalten Oslebshausen und Blockland auf einer Anlage und die Datenhaltung der JVA Bremerhaven in einer UNIX Anlage in der Justizvollzugsanstalt Bremerhaven erfolgte Die UNIX Anlagen werden ab 01 01 2000 nicht mehr eingesetzt da sie durch die Herstellerfirma nicht mehr gewartet werden Angeschlossen an die UNIX Anlagen waren i d R Terminals Die Serveranbindung erfolgt nun durch PC auf denen das Betriebssystem WNT und Office 97 Tabellenkalkulation und Datenbank nur bei Bedarf implementiert werden Die Diskettenlaufwerke der PC sollen gesperrt werden f r den Zugriff auf die CD ROM Laufwerke soll nur Leserecht erteilt werden Bis zum 31 12 1999 waren die Verfahren JUWIL ADV unterst tzte Beschaffung und Lagerhaltung der Bewirtschaftungsg ter und Entgelt Lohnabrechnung der Insassen bei der ID Bremen im Einsatz Da diese Verfahren nicht Y2K f hig sind und die neuen Verfahren auf Servern der JUDIT implementiert sind ist die Verbindung zur ID Bremen zum 31 12 1999 beendet worden Ab 01 12 1999 werden die Verfahren BASIS VG BASIS AV Arbeitsverwaltung Entgelte und BASIS Zalo Verwaltung der Gelder der Gefangenen eingesetzt Die PC des rztlichen Dienstes sollen ein eigenes Netz bilden und vom brigen Net
79. ber Erkrankungen Beihilfe u a f nf Jahre nach Ablauf des Jahres aufzubewahren in m die Bearbeitung eines einzelnen Vorgangs abgeschlossen wurde Teilweise werden neben den Urlaubs und Krankheitsakten auch Karteikarten gef hrt Meine Pr fung ergab folgendes Bild In zwei Personalstellen enthielten die berpr ften Akten zwar nur Unterlagen ber die letzten f nf Jahre Allerdings wurden auf den Karteikarten weit ber 10 bis 20 Jahre zur ckliegende Krankmeldungen aufgef hrt In einer Personalstelle war die Vorschrift zwar bekannt es wurde aber darauf verwiesen da schon immer so verfahren worden sei Inzwischen haben die Personalstellen in denen die f nfj hrige Aufbewahrungsfrist nicht beachtet wurde erkl rt sie w rden die Akten unverz glich bereinigen und neue Karteikarten anlegen Dar ber hinaus verf gten zwei Personalstellen noch ber alte Beihilfeakten obwohl sich die Beihilfesachbearbeitung zentral bei der Senatskommission f r das Personalwesen befindet die Antr ge dort direkt zu stellen sind und die Beihilfeakten seitdem dort gef hrt werden Die alten Beihilfeakten sind nach Mitteilung der beiden Personalstellen inzwischen vernichtet worden 5 1 3 Unterlagen ber Disziplinarma nahmen und Abmahnungen Ziffer 20 der Rili enth lt dezidierte Regelungen ber die Tilgung von Vorg ngen die zu den Personal akten genommen wurden Die berpr ften Personalstellen f hren hierzu Wiedervorlagen die ge w hrleisten
80. breitungsgrad von Internetanschl ssen in Deutschland Ende 1999 zwischen rund 20 und 27 Prozent darunter sollen 40 Frauen vertreten sein Der Verbreitungsgrad in Deutschland soll einer Studie zufolge bis 2003 knapp 40 erreichen Ob hierbei bereits die neuen Handys mit WAP Funktion ber cksichtigt sind konnte ich nicht feststellen Es liegt auf der Hand da sich Deutschland im Wandel befindet die Industriegesellschaft wird erg nzt durch eine Informationsgesellschaft Die neuen Informationstechnologien und Netze beeinflussen mittlerweile fast alle Bereiche des Pri vatlebens und nahezu die gesamte Arbeitswelt F r die Datenschutzaufsichtsbeh rden stellen sich immense neue Aufgaben Die Zeichen sind erkannt neue Konzepte liegen auf dem Tisch Sie m ssen unter dem Stichwort Der neue Datenschutz noch ausgef llt und den st ndigen Ver nderungen an gepa t werden Dabei besteht nat rlich die Gefahr da eine Vielzahl die neuen Medien nutzt ohne die Gefahren f r das informationelle Selbstbestimmungsrecht zu erkennen Pessimisten behaupten das auch beim Internet Anschlu vorherschende Prinzip plug and play frei bersetzt anschlie en und loslegen f hre dazu da die Nutzer sich bereits aller Daten ent u ert haben die zu einer Identifizierung erforderlich sind bevor sie ein dem Medium ad quates Bewu tsein entwickelt haben Andererseits bin ich der Meinung da das Datenschutzbewu tsein der deutschen Bev lkerung nicht unt
81. che Daten zugreifen kann werden f r zusammenh ngende Lebensbe reiche eigene Datenbanken mit jeweils der Fachbeh rde zugeordneten Datenbank Administratoren eingerichtet Dar ber hinaus sollte soweit wie m glich versucht werden die auf der BOS Plattform gespeicherten personenbezogenen Daten einzelner Fachanwendungen zu pseudonymisieren Anstelle des Namens und der Adresse des B rgers w rden auf der Ebene der BOS Plattform lediglich ein Pseudonym speichert m glicherweise die Karten Nummer Durch die Pseudonymisierung lie en sich die bei einem verfahrens bergreifenden Zugriff entstehenden Datenschutzprobleme erheblich reduzieren Mit MEDIA Komm wird der Schritt unternommen unter Einbringung von privaten Firmen als Ent wickler wie auch als User und dem B rger Verwaltungsverfahren ber das Internet abzuwickeln Mein Ziel ist es durch intensive Befassung und Beratung die vielf ltigen sich immer weiter entwickelnden technischen M glichkeiten zu einem datenschutzvertr glichen Einsatz zu verhelfen 17 3 2 Bremisches Verwaltungsnetz BVN Neben elektronischer Post wird das Bremische Beh rdennetz BVN zunehmend f r Anwendungen genutzt bei denen sensible personenbezogenen Daten verarbeitet werden beispielsweise Perso naldaten im Rahmen von PUMA Der Aufbau einer beh rden bergreifenden Netzinfrastruktur setzt daher gleichzeitig die Schaffung einer Sicherheitsinfrastrukur voraus Hierzu hat es im Berichtszeit raum wei
82. chen verbindlichen Codex man kann auch sagen Kultur fehlt es eben noch wie sich am besten am Beispiel des Internet nachweisen l t Da agieren alle m glichen Suchmaschinen Datamining Firmen und Geheimdienste und greifen jedwede Information ab Keiner der Internet B rger wei wann was und wieviel von ihm selbst irgendwo abgesogen wird Studien kommen denn auch zu dem Ergebnis da deutlich ber 50 der befragten Internetnutzer den Mi brauch ihrer Daten im Netz oder beim Versenden von EMails be f rchten Kein Wunder wer hat es nicht schon selbst erlebt da er eben nur mal auf ein interessantes Banner geklickt hat um zu sehen was dort geboten wird und schon ist er eingeschlossen Er kann sich zwar innerhalb der Anbieterseiten hoch und runter klicken der R cksprung auf die urspr ngliche Seite funktioniert einfach nicht Man kann dann nur noch ganz aussteigen und die Anmeldeprozeduren neu durchlaufen Oder um ein anderes Beispiel zu nennen man besucht eine Homepage und als erstes wird man gefragt ob ein Cookie auf dem eigenen Rechner installiert werden darf Man klickt auf Nein und denkt die Sache ist damit erledigt Aber schon ist der Cookie Button wieder auf dem Bild schirm und nicht nur zwei dreimal sondern zwanzig bis dreizigmal in unregelm igen Abst nden Man kann ihn auch nicht ignorieren denn alle anderen Funktionen auf dem Bildschirm sind nicht an sprechbar bevor der Cookie Button nicht seine Antwort hat Nu
83. ches Ticket Bei der Bremer Stra enbahn AG BSAG ist im Berichtszeitraum mit der Einf hrung des elektronischen Tickets ein Pilotprojekt begonnen worden Ich habe mich zweimal bei der BSAG ber den Projektverlauf informiert Grundlage f r den Erwerb des elektronischen Fahrscheines ist der Besitz einer Geldkarte Die Geldkarte mit ihrer herk mmlichen Bezahlfunktion ist die Basis der Elektronische Fahrschein ist eine von der Kreditwirtschaft mitautorisierte Zusatzanwendung Die Karte kann sowohl kontogebunden ber das eigene Kreditinstitut als auch kontounabh ngig white Card bei Kreditinstituten oder der BSAG erworben werden Die Tickets k nnen an station ren Terminals die sich an bestimmten Haltestellen im BSAG Zentrum oder im Sparkassen Foyer befinden oder in ausgew hlten Linien direkt im Fahrzeug an mobilen Terminals erworben werden Der Fahrpreis wird vom Guthaben der Geldkarte abgebucht und das Ticket auf der Karte in einem Fahrscheinverzeichnis gespeichert Sofern das Verzeichnis in dem bis zu zehn Fahrscheine gespeichert werden k nnen noch nicht vorhanden ist wird es auf der Karte nachtr glich erstellt Bei lteren Geldkarten Ausgabe vor 1999 wird nur der Betrag von der Geldkarte abgebucht und automatisch ein Fahrschein ausgedruckt da die Anlage eines Fahrscheinverzeichnisses und somit die Speicherung des Tickets aufgrund der Kartenstruktur nicht m glich ist Im Fahrscheinverzeichnis werden pro Fahrschein die Ticketart
84. cht 1989 B rgerschafts Drs 12 815 vergriffen 13 Jahresbericht 1987 B rgerschafts Drs 12 1187 vergriffen 14 Jahresbericht 1991 B rgerschafts Drs 13 97 vergriffen 15 Jahresbericht 1992 B rgerschafts Drs 13 520 vergriffen 16 Jahresbericht 1987 B rgerschafts Drs 13 859 vergriffen 17 Jahresbericht 1994 B rgerschafts Drs 13 1181 vergriffen 18 Jahresbericht 1995 B rgerschafts Drs 14 272 Restexemplare 19 Jahresbericht 1996 B rgerschafts Drs 14 627 Restexemplare 20 Jahresbericht 1997 B rgerschafts Drs 14 1005 vergriffen 21 Jahresbericht 1998 B rgerschafts Drs 14 1399 vergriffen Brosch re Tips zum Adressenhandel und gegen die Werbepapierflut im Briefkasten Brosch re Mobilfunk und Datenschutz Brosch re Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der ffentlichen Verwaltung an das Internet Faltblatt Der betriebliche Datenschutzbeauftragte Faltblatt Handels und Wirtschaftsauskunfteien Brosch re Datenschutz in der Freien Hansestadt Bremen Brosch re Datenschutz bei WindowsNT BfD Info 1 Bundesdatenschutzgesetz Text und Erl uterungen BfD Info 2 Der B rger und seine Daten 114 20 Index A Abgabenordnung unesenneeeenneneeennnnerer Ziff 12 4 Abh rbefugnisse des BND Arztbrief elektronischer Ziff 8 7 Arztpraxis Verkauf Ziff 8 4 Asylverfahren nnenennnnneneennnnnennnnennnen Ziff 6 6 1 Auskunfteien Maraea ntn Z
85. cht gew hrleistet Zum Auftrag der Schule geh rt es nicht Forschungsvorhaben durchzuf hren Nach dem Bremischen Schuldatenschutzgesetz 1 ist der Schule die Verarbeitung personenbezogener Daten ihrer Sch ler Eltern Lehrer oder sonstiger Mitarbeiter nur insoweit gestattet als diese zur Erf llung des Unterrichts und Erziehungsauftrags und zur Wahrnehmung der gesetzlichen Mitwirkungsrechte erforderlich ist Dar ber hinaus verlangen sowohl die Bestimmungen des Bremischen Schulverwaltungsgesetzes als auch die des Gesetzes zum Datenschutz im Schulwesen eine klare Trennung zwischen der T tigkeit der Schule und derjenigen des Schulpsychologen funktionelle Trennung Die T tigkeiten d rfen nicht miteinander vermischt werden Die notwendige Trennung war bei der Datenerhebung an der Heinrich Heine Schule nicht gew hrleistet Deutliche Kritik rief bei mir au erdem hervor da die Schule mich nur sehr z gerlich ber den Fortgang des Vorhabens informiert hat Die von mir ben tigten Ausk nfte habe ich erst ca neun Monate nachdem die Erhebung stattgefunden hatte erhalten Die in 27 Abs 3 BrDSG enthaltene Verpflichtung zur Unterst tzung und zur Auskunft gegen ber dem Landesbeauftragten f r den Datenschutz wurde mi achtet ber die von mir festgestellten M ngel informierte ich neben der Schule auch den zust ndigen Stadtrat der Stadt Bremerhaven Ich halte es f r dringend erforderlich da dieser die Bremerhavener Schulen
86. cht nach 32 BDSG sowie die Richtigkeit der Meldung die Bestellung und T tigkeit des betrieblichen Datenschutzbeauftragten nach den 36 37 BDSG die Verpflichtung der Mitarbeiter auf das Datengeheimnis gem 5 BDSG und ggf die Beachtung der f r die DV Servicebetriebe geltenden Regelungen zur Auftragsdatenverarbeitung nach 11 BDSG Technisch organisatorische Sicherungsma nahmen die Umsetzung der datenschutzrechtlichen Betroffenenrechte sowie die Zul ssigkeit der personenbezogenen Datenverarbeitung werden hierbei nicht gepr ft dies bleibt gesonderten Pr fungen vorbehalten Dabei ist darauf hinzuweisen da die Zul ssigkeit der personenbezogenen Datenverarbeitung die bei den mir gemeldeten Auftragsdatenverarbeitern stattfindet von den jeweiligen Auftraggebern datenschutzrechtliich zu verantworten ist Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten Bei der eingeschr nkten Datenschutzpr fung bei dem bremischen Internet Provider nach 38 BDSG habe ich auch die Umsetzung der Regelungen des Teledienstedatenschutzgesetzes TDDSG berpr ft Bei meinen Pr fungen habe ich auch dieses Jahr wieder M ngel feststellen m ssen Die wesentlichen M ngel lagen im Bereich der Registermeldungen z B fehlende Meldung Aktualit t der Meldung beim betrieblichen Datenschutzbeauftragten z B fehlende bzw nicht formgerechte Bestellung B ndelung mehrerer Funktionen bei den Verpflichtungen der M
87. chten 7 Justiz 7 1 DV Entwicklung bei JUDIT 46 Im Berichtszeitraum habe ich mich bei JUDIT ber die geplanten nderungen im DV Bereich informiert So werden durch die Einrichtung eines JUDIT Synergiezentrums und die fehlende Y2K F higkeit Jahr 2000 F higkeit einiger bisher bei der ID Bremen eingesetzter DV Verfahren nderungen in den Bereichen Vernetzung sowie Hardware und Software Einsatz erforderlich Im Synergiezentrum werden die Server der bremischen Justizanwendungen weitgehend zusammengefa t und die Bereiche Administration und Datensicherung zentralisiert sowie das JUDIT Datennetz betrieben F r das JUDIT Synergiezentrum wurde mir der Grobentwurf eines Datenschutzkonzeptes vorgelegt in dem u a die Regelungen f r die Anbindung externer Stellen z B Bundeszentralregister Verkehrszentralregister ID Bremen DVZ Bremerhaven zentrales staatsanwaltschaftliches Verfahrensregister E Mail noch fehlen In diesem Konzept ist auch der Zugriff der Fachverfahrensbetreuer auf die PC der Mitarbeiter und innen vorgesehen Hierzu habe ich n here Informationen angefordert die ich wie weitere Unterlagen zum Grobkonzept noch nicht erhalten habe 7 2 JUDIT Datennetz Das Rechenzentrum ist im OLG StA Geb ude untergebracht ber das vom Synergiezentrum betriebene JUDIT Datennetz sollen die Justizstandorte Bremen und Bremerhaven miteinander verbunden werden wobei einige der Dienststellen in Bremen und Bremerhaven sowohl mitei
88. d von den Nutzerinnen und Nutzern in eigener Verantwortung bedienbare Sicherheitsfunktionen zur Verf gung stehen Deshalb erwarten die Datenschutzbeauftragten des Bundes und der L nder von Herstellern von Informations und Kommunikationstechnik Hard und Software so zu entwickeln und herzustellen da Anwender und unabh ngige Dritte sich jederzeit von der Wirksamkeit von Sicherheitsvorkehrungen berzeugen k nnen Den Anwendern moderner Technik empfehlen die Datenschutzbeauftragten nur solche Produkte einzusetzen welche auch eine Transparenz der Verfahrensabl ufe gew hrleisten 103 18 5 Parlamentarische Kontrolle von Lauschangriffen in den Bundesl ndern Entschlie ung der Datenschutzbeauftragten des Bundes und der L nder vom 17 Juni 1999 Bei der Einf hrung der Befugnis zum Gro en Lauschangriff hat der Gesetzgeber im Grundgesetz ein Verfahren zur parlamentarischen Kontrolle weitreichender Eingriffe in das Grundrecht auf Unverletzlichkeit der Wohnung verankert Artikel 13 Abs 6 GG Dieses Verfahren dient nach dem Willen des Gesetzgebers der parlamentarischen Kontrolle der Normeffizienz hervor Auch wenn es die berpr fung von Lauschangriffen durch die Gerichte und Datenschutzbeauftragten nicht ersetzt hat es gleichwohl eine grundrechtssichernde Bedeutung Jetzt ist jedoch bekannt geworden da einige Landesjustizverwaltungen der Ansicht sind Art 13 Abs 6 GG sehe eine Berichtspflicht ber Lauschangriffe z
89. dergrund der Beratungen steht allerdings das Handling dienstlicher EMails Noch zu schaf fende Regelungen betreffen vor allem die Vertretungs und Abwesenheitsregelungen in den einzelnen Dienststellen Um das Fernmeldegeheimnis zu wahren sollten ohne Zustimmung des Betroffenen keine Mails an andere E Mail Adressen weitergeleitet werden Und auch mit Zustimmung des Betrof fenen ist eine Weiterleitung problematisch da hiervon ebenso der Absender der Nachricht betroffen ist Dieser m sste vorab ebenfalls um Zustimmung gebeten werden Um die Komplexit t datenschutzkonformer Vertretungs und Abwesenheitsregelungen in der bremi schen Verwaltung zu reduzieren wird daher vorgeschlagen derartige Regelungen nur f r Sammel 20 postf cher zu treffen Potentielle Absender sollten darauf hingewiesen werden wichtige rechtsver bindliche elektronische Post die auch in Abwesenheit des Absenders ge ffnet werden soll nur an Sammelpostf cher zu senden und nicht an individuelle Postf cher 3 4 3 Datenverschl sselung und digitale Signatur Personaldaten Projekt PUMA und Haushaltsanordnungen Projekt SEKT vgl Ziff 12 2 k nnen demn chst innerhalb des bremischen Verwaltungsnetzes auf der Basis des X 509 Standards verschl sselt und digital signiert verschickt werden Damit wird sowohl die Vertraulichkeit als auch die Authentizit t der bertragenen Daten in ausreichendem Ma e sichergestellt Die Signaturen sind im Vergleich zu den im MEDI
90. dern aufgerufen und zur Fernsteuerung des jeweiligen PC genutzt werden Zwar wird die Fernsteuerung eines Arbeitsplatz PC aus dem Internet oder aus dem bremischen Verwaltungsnetz heraus durch eine Adressumsetzung auf Firewallebene sowie durch die zentrale Struktur des bremischen Verwaltungsnetzes zurzeit weitgehend verhindert Dennoch k nnen Trojanische Pferde wie Back Orifice oder NetBus zumindest innerhalb eines Beh rdennetzes in der Regel ungehindert von jedem Client PC aus aufgerufen werden Diese Risiken k nnen durch den Einsatz einer Firewall nicht wirksam unterbunden werden da Troja nische Pferde in einer rechtm igen Umgebung aufgerufen werden und sich von anderen Anwen dungsfunktionen technisch kaum unterscheiden lassen ber den Einsatz von aktuellen Viren scannern hinaus ist es daher erforderlich den Zugriff potentieller Viren auf personenbezogene Daten von vornherein einzuschr nken Dies kann durch unterschiedliche Ma nahmen erreicht werden 21 Getrennte Arbeitsumgebungen Auf dem Internet PC werden zwei getrennte Arbeitsumgebungen eingerichtet In der sog Produk tionsumgebung wird auf Client Server Anwendungen einschliesslich B rokommunikation zuge griffen w hrend die Transportumgebung ausschlie lich f r elektronische Post und auch f r den Internetzugang zur Verf gung steht Die beiden Umgebungen werden auf zwei verschiedene NT Kennungen abgebildet denen verschiedene Rechte im lokalen System und auf den
91. dlagen in den von der Beh rde herausgegebenen Hinweisen zur Datenerhebung durch die Fahrerlaubnisbeh rde und zur Daten bermittlung an das Kraftfahrtbundesamt konkret anzugeben Denn gem 3 Abs 2 BrDSG ist der Betroffene auf die Erhebungsvorschrift des 10 Abs 4 BrDSG hinzuweisen Meine nderungsvorschl ge sind inzwischen umgesetzt worden 11 4 Datenschutzbestimmungen im Bremischen Naturschutzgesetz Bereits im Jahre 1992 hat mich der damalige Senator f r Umweltschutz und Stadtentwicklung dar ber unterrichtet da er im Rahmen der Novellierung des Bremischen Naturschutzgesetzes BremNatSchG bereichsspezifische Datenschutzregelungen vorbereite e Nunmehr sind diese 72 Regelungen im Ersten Gesetz zur nderung des BremNatSchG vom 01 Juni 1999 BremGBl S 90 in der Vorschrift des 48a enthalten Nach 48a Abs 2 BremNatSchG d rfen die Naturschutzbeh rden zur Wahrnehmung ihrer Aufgaben nach diesem Gesetz dem Bundesnaturschutzgesetz und den aufgrund dieser Gesetze erlassenen Rechtsverordnungen die erforderlichen personenbezogenen Daten erheben und speichern Es handelt sich dabei vorwiegend um Namen und Anschriften folgender Personengruppen Diejenigen die bei der Aufstellung des Landschaftsprogramms und der Aufstellung von Landschaftspl nen Bedenken und Anregungen vorgebracht haben gt Eigent mer und sonstige Nutzungsberechtige von Grundst cken auf denen sich besonders gesch tzte Biotope befinden oder die
92. e Bundesamt f r die Anerkennung ausl ndischer Fl chtlinge Sozialbeh rde und Arbeits mter Daten auf der Asyl Card speichern und ndern k nnen ist fraglich wer f r die Richtigkeit und die Gew hrleistung der Datenschutzrechte des Betroffenen verantwortlich ist Da der Zugriffsschutz auf die in der Asyl Card zur Speicherung vorgesehenen Daten aufgrund des breiten Nutzerkreises erwartungsgem als sehr niedrig bewertet werden kann ist das unberechtigte Auslesen durch Dritte auch private Dritte nicht hinreichend sicher ausgeschlossen Gerade angesichts der in der Karte gespeicherten sensiblen Sozialdaten ist ein h heres Schutzniveau anzustreben gt Es ist nicht auszuschlie en da der Betroffene nicht mehr konkret nach den Angaben gefragt wird die im Einzelfall erforderlich sind Vielmehr wird ihm die Karte abverlangt und Einblick in alle auf ihr gespeicherten Daten genommen Ist die Karte erst einmal im Gebrauch ist auch nicht auszuschlie en da Private vor Abwicklung von Gesch ften die Herausgabe der Karte verlangen um Einsicht in die auf ihr gespeicherten Daten zu nehmen Dies ist insbesondere deshalb nicht ausgeschlossen weil dem Betroffenen auch das f r seine Karte g ltige Pa wort mitgeteilt wird Das in der Studie vorgesehene Systemdesign birgt gewisse Sicherheitsrisiken Trotzdem kommt die Studie zu dem Ergebnis da die Einf hrung einer Asyl Card technisch machbar ist Da die Einf hrung der Asyl Ca
93. e die in Art 10 GG eingreifen nicht nur die Ein griffsvoraussetzungen rormenklar regeln m ssen Auch die Zul ssigkeit der anschlie enden Speiche rung Nutzung und bermittlung mu genau definiert werden Dazu geh rt z B da sowohl die ab h renden mter selbst als auch die Stellen die zul ssigerweise Daten aus Ma nahmen mit Eingriff scharakter in Art 10 erhalten haben diese Daten kennzeichnen m ssen um die strenge Zweck bindung der Angaben gew hrleisten zu k nnen Dies gilt z B f r die Einspeisung von BND Daten in polizeiliche Informationssysteme Die Richter unterstreichen auch die Bedeutung der Transparenz f r die Betroffenen Die nachtr gliche Benachrichtigung ist Voraussetzung daf r da B rgerinnen und B rger die ja heimlich ausgeforscht werden von den ihnen zustehenden Datenschutzanspr chen und Rechtsschutzm glichkeiten jeden falls nachtr glich Gebrauch machen k nnen Folgerichtig hat der entscheidende Senat die Vorschrift wonach die Unterrichtungspflicht nur f r l nger als drei Monate gespeicherte Daten gelten sollte ver worfen Schlie lich verlangt das h chste Gericht Kontrolll cken zu schlie en und der G10 Kommission nicht nur wie bisher die Entscheidung ber die Zul ssigkeit der Abh rma nahme selbst zu geben sondern ihr dar ber hinaus die Befugnis zur berwachung des gesamten Prozesses der Erfassung und Ver wertung der Daten zu geben Die Datenschutzbeauftragten wollen brigens zus
94. e auch mit der Kreditwirtschaft Da dies erst auf unserer n chsten Sitzung im Fr hjahr gelingen kann m chte ich an dieser Stelle den Ergebnissen nicht vorgreifen und verzichte auf eine Darstellung einzelner Vorschl ge Insgesamt l t sich aber schon die Prognose wagen da die Datenschutzaufsichtsbeh rden unter den gegebenen Rahmenbedingungen der GeldKarte keine gravierenden M ngel des Gesamtsystems feststellen wohl aber noch einige Anregungen zur Verbesserung des Datenschutzes vorschlagen werden 89 Wenn man das Prinzip der m glichst weitgehenden Verwirklichung eines spurenlosen Bezahlvorganges vor Augen hat wie es beim Bezahlen mit Bargeld der Fall ist bleibt allerdings ein Mangel Das gr te Defizit der GeldKarte entsteht aus meiner Sicht n mlich dain da aufgrund von Vorgaben aus dem Bundesministerium der Finanzen gem 257 HGB 147 AO die gesamten Einzeltransaktionen kartenbezogen ber 10 Jahre gespeichert bleiben sollen Hier mu noch die entscheidende juristische Auseinandersetzung mit Unterst tzung des Bundesbeauftragten f r den Datenschutz gef hrt werden 16 7 5 Geldw schepr vention der Kreditwirtschaft durch Research Systeme Ein Bremer Kreditinstitut hat sich an mich gewandt mit der Frage in welchem Umfang unter Ber cksichtigung datenschutzrechtlicher Aspekte Research Systeme zur Abwehr von Geldw sche eingesetzt werden d rfen Hintergrund ist die Neufassung der Verlautbarung des Bundesaufsichtsa
95. e freie Verf gbarkeit von Verschl sselungsprodukten nicht einschr nken zu wollen wird von den Datenschutzbeauftragen des Bundes und der L nder ausdr cklich begr t Damit wurde ein erster wichtiger Schritt in die richtige Richtung getan dem jedoch weitere folgen m ssen Der im Sinne des Artikels 10 des Grundgesetzes legitime und grundrechtlich gesch tzte Anspruch Aller auf unbeobachtete Telekommunikation und auf den Schutz ihrer personenbezogenen Daten sollte von der Bundesregierung noch st rker unterst tzt werden Um der Bedeutung gesch tzter Telekommunikation unter den Bedingungen der Informationsgesellschaft gerecht zu werden sind konkrete Ma nahmen notwendig Vorrangig sind zu nennen gt Aktive F rderung des Einsatzes von Verschl sselungstechniken in der ffentlichen Verwaltung bei Privatpersonen und in Wirtschaftsunternehmen gt Erbringung von Serviceleistungen die den Gebrauch von effektiven Verschl sselungsprogrammen f r jedermann erleichtern gt Ma nahmen zum besonderen Schutz der Telekommunikation von Berufsgruppen die besonderen Verschwiegenheitspflichten unterliegen z B rzte und rztinnen Anw lte und Anw ltinnen Psychologen und Psychologinnen gt Unterst tzung von Wirtschaftsunternehmen beim Schutz ihrer gesch ftlichen Telekommunikation F rderung einer neutralen Bewertung von Verschl sselungsprodukten mit dem Ziel den Verbrauchern Empfehlungen f r ihren Gebrauch zu geben F
96. e ich das Ressort jetzt erinnert und um Unterrichtung gebeten 9 3 Informationsverbund illegale Besch ftigung Im 21 JB berichtete ich unter Ziff 13 1 ausf hrlich ber das Vorhaben des Senats beim Senator f r Arbeit einen Informationsverbund zur Bek mpfung illegaler Besch ftigung in Gestalt einer zentralen Datei einzurichten Mit deren Hilfe sollen alle mit dieser Aufgabe beauftragten ffentlichen Stellen instandgesetzt werden Daten darunter auch auf Arbeitgeber und Besch ftigte bezogene Daten untereinander auszutauschen Ich hatte in diesem Zusammenhang auf bundesrechtliche Regelungen hingewiesen die die Verfolgungs Kontroll und Koordinierungsaufgaben die Zust ndigkeiten die Mitteilungspflichten die bermittlungsbefugnisse und die Auskunftsrechte einer Vielzahl im einzelnen genannter ffentlicher Stellen Arbeits mter und andere Sozialversicherungstr ger Finanzbeh rden Staatsanwaltschaften Ordnungsbeh rden Gewerbeaufsichts mter im einzelnen regeln Die Fragen wurden auch in der letzten Legislaturperiode im Datenschutzausschu eingehend diskutiert Inzwischen hat der Senator f r Arbeit den in Frage kommenden Auftraggebern Entw rfe f r die Vereinbarungen vorgelegt Bei den konkreten Verhandlungen traten bei den Verantwortlichen Bedenken gegen das Vorhaben auf Von denen wurden insbesondere folgende Gesichtspunkte eingebracht Die unterschiedliichen Rechtsgrundlagen w rden unterschiedliche L sungen erfordern
97. edoch in kei ner Weise auszuschlie en da Verwaltungsdaten in einigen Jahren auch au erhalb Bremens bei spielsweise beim debis Standort in Hamburg gespeichert werden Da mit der Gr ndung der Gemeinschaftsgesellschaft zahlreiche Datenschutzfragen verbunden sind wurde ein umfangreiches Datenschutzkonzept erarbeitet das nicht nur den bisherigen Sicherheits standard des ID Bremen f r die Gemeinschaftsgesellschaft festschreibt sondern auch f r die neuen T tigkeitsfelder wie beispielsweise den inzwischen schon eingerichteten User Help Desk ange messene Sicherheitsstandards definiert Besondere Bedeutung fiel den senatorischen Bereichen Inneres Justiz und Finanz zu bei denen die Datenverarbeitung sehr eng mit hoheitlichen Aufgaben verbunden ist und deshalb zum Teil zus tzlichen Geheimhaltungs und Sicherungspflichten unterliegt Dies gilt vor allem f r die Finanzverwaltung bei der die Datenverarbeitung sogar ausdr cklich Inhalt des hoheitlichen Handelns ist Um die Gr ndung des Gemeinschaftsunternehmens nicht gleich zu Beginn mit u erst problema tschen Datenschutzaspekten zu konfrontieren wurde in dem Datenschutzkonzept festgelegt da s mtliche DV Verfahren in denen Daten hoheitlich verarbeitet werden zun chst auch weiterhin im Auftrag der jeweiligen ffentlichen Stelle von der ID Bremen verarbeitet werden Dies sind s mtliche Steuerverfahren der Oberfinanzdirektion einschlie lich des Zwangsvollstreckungsverfahrens
98. ein Datenschutz und ein Datensicherungskonzept angek ndigt Vorsorglich machte ich darauf aufmerksam da darin auch folgende Festlegungen zu treffen seien gt Differenzierung der Zugriffsberechtigungen je nach interner Aufgabenverteilung Kontrolle und Protokollierung der Zugriffe durch die zentrale Netzwerkadministration gt ggf Schutz vor unerlaubten Zugriffen aus dem Internet und gt ggf Rahmenbedingungen f r externe Online Abrufe Den Unterlagen konnte ich entnehmen da geplant ist eine Art Data Warehouse zu realisieren d h eine aufbereitete strukturierte Sammlung von Daten aus allen Bereichen des Ressorts zur Entscheidungsunterst tzung und zum Controlling Auf meinen Hinweis da wegen der damit geplanten umfassenden Verf gbarkeit und Nutzbarkeit in diesem Zusammenhang jedenfalls keine Sozialdaten zur Verf gung gestellt werden d rften erhielt ich zur Antwort daran sei nicht gedacht sofern ein Data Warehouse eingerichtet werde sollten nur anonymisierte Daten zur Verf gung gestellt werden Weiter scheinen die Vorbereitungen f r die Einf hrung der Elektronischen Fallakte in der Jugendhilfe vorangetrieben worden zu sein f r die die interne Vernetzung gleichfalls die technische Grundlage bietet Auch hierzu erhielt ich im Berichtsjahr Unterlagen Bei den Vorbereitungen eines entsprechenden Projekts hatte mich das Amt f r Jugend und Familie in Bremerhaven beteiligt Beim Vergleich der Unterlagen zu beiden Vorhab
99. einem Fall ber den ich bereits im letzten Jahresbericht vgl 21 JB Ziff 11 6 berichtete hatte die Klinik B die aus der Kooperation entstandene Kenntnis ber den Patienten ohne sein Wissen genutzt und hatte seine ber ihn in der Klinik A archivierte Krankenakte angefordert und in einem durch den Patienten gegen sie gef hrten Arzthaftpflichtproze verwendet Ich habe den Fall zum Anla genommen darauf hinzuweisen da generell darauf zu achten ist da die Verantwortung des einzelnen Krankenhauses f r die Einhaltung der rztlichen Schweigepflicht und die Sperrung archivierter Unterlagen ehemaliger Patienten durch Kooperationsvertr ge nicht aufgehoben wird Vor diesem Hintergrund ist es zu begr en da die beiden beteiligten Kliniken aus dem dargestellten Einzelfall die Konsequenz 56 gezogen haben ihre Kooperationsvereinbarung zu erg nzen Sie haben klargestellt da die in der Klinik A t tigen rzte der Klinik B die Daten der dort von ihnen behandelten Patienten nur zur Erf llung ihrer Aufgaben in der Klinik A nutzen d rfen Jede dar ber hinausgehende Verarbeitung insbesondere die Entsperrung und bermittlung von in der Klinik A archivierten Daten bed rfen der Zustimmung des zust ndigen leitenden Arztes der Klinik A und des Einverst ndnisses des betroffenen Patienten Ich habe gegen ber dem Senator f r Arbeit Frauen Gesundheit Jugend und Soziales angeregt vergleichbare Regelungen auch in andere Kooperationsvert
100. eis die abschlie ende Aufkl rung und Einsch tzung der Datenverarbeitungsvorg nge im Zusammenhang mit der Verwendung der Geldkarte und der ebenfalls mit der Geldkarte in Verbindung stehende elektronische Fahrausweis vgl Ziff 16 7 3 Bei beiden Themen hat Bremen die Federf hrung Nachdem wie berichtet vgl 21 JB Ziff 18 1 mir im vergangenen Berichtsjahr bei einem Besuch bei einer Evidenzzentrale Einblick in die zentralen Datenverarbeitungs und Verteilvorg nge gegeben wurde die im Zusammenhang mit dem Aufladen dem Bezahlen und der Abwicklung des Vorganges mit der Geldkarte stehen hatte ich die Hoffnung gehegt da die Aufsichtsbeh rden im letzen Jahr z gig zu einer einvernehmlichen Einsch tzung der Datenverarbeitungsvorg nge kommen w rden Damit verbunden war aber da noch einige offene Fragen von seiten der Kreditwirtschaft beantwortet werden mu ten Dies ist auch im zweiten Halbjahr 1999 erfolgt verbunden allerdings mit der bersendung einer CD ROM auf der die gesamten Spezifikationen des GeldKarte Verfahrens auf sch tzungsweise ber 1000 Seiten abgelegt sind So konnte nicht mehr rechtzeitig zu der Herbstsitzung eine abschlie ende und umfassende datenschutzrechtliche Einsch tzung aller damit im Zusammenhang stehenden Fragen vorgenommen werden Den Abschlu der Arbeiten habe ich aber noch im Berichtszeitraum erreichen k nnen es bedarf aber noch einer Abstimmung der Ergebnisse unter den Aufsichtsbeh rden wi
101. eit der Darstellung und Pr sentation von Daten des brigen Schulpersonals wie z B Hausmeister Sekret rinnen sonstige Mitarbeiter gelten analoge Regelungen 22 BrDSG mit Verweis auf 93 ff Bremisches Beamtengesetz Die Einstellung von Daten Texten Bildern oder Photos ist nur mit ausdr cklicher schriftlicher Einwilligung zul ssig Sie ist im Einwilligungsfall beschr nkt auf die rein dienstlichen Funktionen Dieses Personal hat f r die Au enrepr sentation der Schule keine Bedeutung sondern eine rein interne Funktionen Dies bedeutet da immer eine Einwilligung erforderlich ist Es gilt im brigen das zuvor Gesagte F r die Zul ssigkeit der Darstellung und Pr sentation von Sch ler und Elterndaten im Internet gilt das BrSchulDSG Auch hier gelten das Zweckbindungsgebot und das Erforderlichkeitsprinzip des 1 Abs 1 BrSchulDSG Erf llung des Unterrichts und Erziehungsauftrages der Schule sowie Wahrnehmung der gesetzlichen Mitwirkungsrechte Bestimmte Sch lerdaten z B die Bewertung von Leistungskontrollen pers nliche Notizen des Lehrers ber Sch ler Klassenbucheintragungen gelten 70 dabei nicht als Daten im Sinne des BrSchulDSG f r sie gelten aber das Verarbeitungsverbot des 3 Abs 2 BrSchulDSG keine Verarbeitung auf privatem Rechner oder auf Rechnern au erhalb der Schule die bermittlungsbestimmungen des BrSchulDSG 88 5 bis 10 und die besondere Sorgfaltsverpflichtung nach 1 Abs 5 BrSchulDSG
102. elungsverfahren wird PGP Pretty Good Privacy empfohlen Die Schule sollte sich im brigen der Gefahren bewu t sein die mit der Benutzung dieses Dienstes verbunden sind Au erdem m ten die Schulen interne Regelungen f r die Entgegennahme und Behandlung von E Mails schaffen vgl Ziff 3 4 in diesem Bericht F r die Zul ssigkeit der Darstellung und Pr sentation von Lehrerdaten im Internet Lehrer Lehrmeister Referendare durch ffentliche Schulen im Lande Bremen gelten die 1 und 2 Abs 7 BrSchulDSG i V mit 22 BrDSG mit Verweis auf 93 ff Bremisches Beamtengeseitz Nach 1 Abs 1 BrSchulDSG d rfen ffentliche Schulen Lehrerdaten nur verarbeiten soweit es zur Erf llung ihres Unterrichts und Erziehungsauftrages und zur Wahrnehmung gesetzlicher Mitwirkungsrechte erforderlich ist Zweckbindungsgebot und Erforderlichkeitsprinzip Die Zul ssigkeit der Datenverarbeitung ber Lehrer selbst richtet sich gem 2 Abs 7 BrSchulDSG nach den Regelungen des 22 BrDSG Danach d rfen ffentliche Stellen personenbezogene Daten ber Bewerber Bedienstete und ehemalige Bedienstete nur nach Ma gabe der 93 ff Bremisches Beamtengesetz verarbeiten wobei die Verarbeitung dieser Daten in automatisierten Verfahren z B Internet Pr sentation der Zustimmung der obersten Dienstbeh rde bedarf 22 Abs 2 BrDSG Als Verarbeitungszwecke werden in 93 Bremisches Beamtengesetz genannt Begr ndung Beendigung oder Abwicklung d
103. en Auch eine vertragliche Einwilligungserkl rung der Besch ftigten k nnte unwirksam sein weil die Einwilligung offensichtlich aufgrund des Abh ngigkeitsverh ltnisses des Mitarbeiters zu seinem Arbeitgeber unter faktischem Zwang und demnach nicht ohne jeden Zweifel erteilt wird Da eine gesetzliche Erlaubnis f r eine Gespr chsaufzeichnung nicht vorliegt habe ich dem Call Center erkl rt da das Aufzeichnen der Telefongespr che unzul ssig ist und gebeten diese Praxis unverz glich einzustellen Dies ist mir inzwischen best tigt worden Eine andere Rechtslage ergibt sich beim Mith ren bzw Abh ren von Telefongespr chen Gem 201 Abs 2 Satz 1 StGB wird zwar bestraft wer unbefugt das nicht zu seiner Kenntnis bestimmte nicht ffentliiche Wort eines anderen mit einem Abh rger t aufzeichnet Allerdings hat der Bundesgerichtshof in seinem Urteil vom 08 Oktober 1993 2 StR 400 93 ausgef hrt zu den Abh rger ten im Sinne des 201 Abs 2 Satz 1 StGB z hlten bliche und von der Post zugelassene Mith reinrichtungen nicht Ein strafbares Abh ren liegt demnach nicht vor soweit es sich nur um derartige Mith reinrichtungen handelt Da in dem Call Center offensichtlich nur die vorgenannten Mith reinrichtungen eingesetzt werden ist das Mith ren von Telefongespr chen zwar m glich es ist aber nur unter Beachtung der nachstehenden Voraussetzungen zul ssig Es darf keine permanente berwachung der Arbeitnehmer stattfinden und
104. en Dazu geh ren insbesondere die Definition der zul ssigen Datenkataloge und die entsprechende Festlegung der Datenfelder im Anwendungsprogramm KIS eine angemessene Konfiguration des Betriebssystems WINDOWS NT und gt ein sicheres Backup Verfahren Das Ressort hat versichert da diese Sicherheitseinstellungen in allen KTH der Stadtgemeinde Bremen implementiert werden bevor in ihnen KIS genutzt wird KIS wird aber auch bereits derzeit in KTH freier Tr ger in der Stadtgemeinde Bremen genutzt Freie Tr ger die in ihren KTH KIS installieren m ssen das gleiche Datenschutzniveau gew hrleisten Ich 62 habe das Ressort f r Jugend unter Hinweis darauf da es an der Entscheidung der freien Tr ger f r den Einsatz von KIS beteiligt gewesen ist und da berdies 61 Abs 4 SGB VIII ihm die Verantwortung f r die Wahrung des Sozialgeheimnisses bei den freien Tr gern bertr gt gebeten mich dar ber zu unterrichten ob diese ihre KIS Systeme mit vergleichbaren Sicherungsvorkehrungen ausgestattet haben oder ob daran gedacht ist sie entsprechend nachzur sten Sollte ich keine befriedigende Antwort erhalten werde ich mich direkt an die freien Tr ger wenden 9 2 Ressortinternes Informationssystem Elektronische Fallakte Der Senator f r Gesundheit Jugend und Soziales plant seine Abteilungen und mter miteinander zu vernetzen Im Berichtsjahr bersandte mir das Ressort Unterlagen ber ein Netzkonzept Darin wurden
105. en Ablauf bei den Verfahren zu implementieren will ich nutzen 1 5 Weltweite Datenschutzkultur nicht in Sicht In den vergangenen Jahren wurde zwischen den Kontinenten weiter die Diskussion ber den richtigen Weg zu einem effektiven Datenschutz gef hrt Im Vordergrund stand dabei die Frage auf welche Weise die B rger besser in ihren Rechten auf informationelle Selbstbestimmung zu sch tzen sind Durch mehr staatliche Regulierung oder durch St rkung ihrer Rechte und der Eigenverantwortlichkeit Der europ ischen Rechtstradition entspricht eher der Weg verst rkter Regulierung und diesen Weg geht auch die EU Datenschutz Richtlinie Insbesondere in den USA hingegen wo vor dem Hinter grund der schnellen Entwicklung der neuen Medien dem Schutz der Privatsph re wieder mehr Bedeu tung geschenkt wird wird in der Selbstregulierung die L sung gesehen vgl Safe Harbour Ziff 16 11 Sie soll durch vertragliche Bindung und Selbstverpflichtung der Datenverarbeiter wie auch durch eine st rkere Einbeziehung der Betroffenen selbst erreicht werden Wie der aus den Grundrechten entwickelte Begriff des informationellen Selbstbestimmungsrechts schon aussagt geht es auch in Deutschland prim r um die Selbstentscheidung durch die Betroffenen Ein Entscheidungsrecht kann nur dann tats chlich ausge bt werden wenn ein Rahmen eine allge meine gesellschaftiche Konvention oder Gesetze eben die Aus bung eines solchen Rechtes erm g lichen An einem sol
106. en Datenschutz so rechtzeitig der B rgerschaft Landtag vorgelegt wird da er noch im Laufe dieses Jahres in Kraft treten kann Die Vertreterin der Fraktion von B ndnis 90 Die Gr nen tritt im brigen daf r ein die Weitergabe von Daten aus dem Melderegister k nftig von der vorherigen Zustimmung der Betroffenen abh ngig zu machen ID Cash Haushaltskontrolle mit B rgerdaten Tz 9 8 Das der Haushaltskontrolle dienende Verfahren ID Cash Control Access System Haushalt bietet dem Innenressort die M glichkeit alle Zahlungsbewegungen seines senatorischen Bereichs ein schlie lich der nachgeordneten mter laufend zu beobachten Die entsprechenden Datens tze ent halten auch personenbezogene Daten von B rgerinnen und B rgern die entstehen wenn diese dne Zahlung von der Landeshauptkasse erhalten oder an sie leisten Die dagegen vom Landesbeauftrag ten f r den Datenschutz vorgetragenen Bedenken die sich im Wesentlichen auf im Umfang rechtlich nicht zul ssige Daten bermittlungen und ein nicht ausreichendes Datenschutzkonzept bezogen wur den vom Datenschutzausschuss geteilt Nachdem der Datenschutzausschuss die Beteiligten aufgefordert hatte weiterhin um eine L sung des Problems bem ht zu sein haben sich der Datenschutzbeauftragte und der Senator f r Inneres Kultur und Sport unter Beteiligung der Informations und Datentechnik Bremen GmbH darauf verst ndigt da durch den Einsatz entsprechender Filter dem Verfahren ID Cash
107. en Stellen auf was sie zu erledigen haben Bei einer ordnungsgem en Einf hrung eines DV Verfahrens d rften die von 8 BrDSG abverlangten Informationen quasi als Abfallprodukt anfallen denn ber die meisten Fragen mu sich die speichernde Stelle ohnehin vor Inbetriebnahme eines Verfahrens Klarheit verschaffen Im Januar 2000 habe ich erneut an die Erstellung eines Datenschutzkonzeptes erinnert 6 6 3 Neues DV Verfahren bei der Ausl nderbeh rde Bremen ohne Datenschutzkonzept In der Ausl nderbeh rde Bremen wurde im letzten Jahr ein vernetztes DV Verfahren Ausl nder installiert welches zun chst nur auf die Daten im Ausl nderzentralregister zugreifen sollte und sonst als Formularserver und Schreibsystem eingesetzt werden sollte Dazu hat mir das Stadtamt bisher trotz Erinnerung kein Einsatz und Datenschutzkonzept vorgelegt Im brigen gelten meine Ausf hrungen zu 8 BrDSG im vorgehenden Abschnitt Elektronisches Einb rgerungsverfahren Kurz vor Redaktionsschu B habe ich dar ber hinaus erfahren da ein umfassendes Datenverarbeitungsverfahren ausgew hlt wurd da die Ausl nderverwaltung umfassend unterst tzen soll ohne da ich hier ber vorher unterrichtet worden bin Sollte diese Information zutreffen w rde dies einen Versto gegen 27 Abs 4 BrDSG darstellen danach bin ich rechtzeitig ber Planungen zum Aufbau automatisierter Informationssysteme die personenbezogene Daten verarbeiten sollen zu unterri
108. en Vorgaben in gr blicher Weise ignoriert So ist trotz meiner Empfehlung nicht darauf geachtet worden die erforderlichen individuellen Einwilligungserkl rungen der Erziehungsberechtigten einzuholen Die Schule begr ndete dieses damit da vom Schulpsychologen und einer an der Schule ebenfalls t tigen Sozialarbeiterin im Rahmen ihrer T tigkeit zu Beginn der Schullaufbahn der Sch ler eine generelle schriftliche Einverst ndniserkl rung f r die Teilnahme an Befragungen bzw psychologischen Testverfahren eingeholt werde so da die Schule keine weitere Erkl rung der Erziehungsberechtigten mehr f r erforderlich hielt Die zu Beginn der Schullaufbahnen eingeholten generellen 66 Einverst ndniserkl rungen reichten in datenschutzrechtlicher Hinsicht aber keinesfalls aus Eine informierte Einwilligung wie sie das Gesetz verlangt kann vom Betroffenen bzw dessen Erziehungsberechtigten nur erteilt werden wenn er vor der Durchf hrung des jeweils beabsichtigten Erhebungsvorhabens ber dieses ausreichend informiert wird Zu bem ngeln war auch da die Erhebung nicht wie urspr nglich vorgesehen von Mitarbeitern der Universit t Bielefeld sondern von an der Schule t tigen Mitarbeitern dem Schulpsychologen und einer Sozialarbeiterin durchgef hrt wurde F r die Sch ler stellte sich die Befragungsaktion als Pflicht im Rahmen des Unterrichts dar eine Trennung zwischen freiwilliger Teilnahme und schulischem Pflichtprogramm war ni
109. en ergibt sich z T auch aufgrund tats chlicher Feststellungen da meldepflichtiige T tigkeiten ausge bt werden die dann zu einer Registereintragung f hren Einzelheiten zum Stand des Registers zeigt die nachfolgende bersicht Art der T tigkeit insgesamt Bremen Bremerhaven Speicherung personenbezogener Daten zum 6 4 2 Zwecke der bermittlung insgesamt Auskunfteien 4 3 1 Adre verlage Adre h ndler 2 1 1 Speicherung personenbezogener Daten zum 4 4 Zwecke der anonymisierten bermittlung insgesamt Markt u Meinungsforschung 4 4 2 Verarbeitung oder Nutzung personenbezogener 130 111 19 Daten im Auftrag insgesamt Datenerfassung 5 5 Dienstleistung Rechenzentren 93 79 14 Mikroverfilmer 14 10 4 Mailboxdienste Provider 8 8 gt Datenl schung Datentr gervernichtung 8 8 Call Center 6 5 1 Gesamt 140 119 21 Stand 01 01 2000 17 3 Ergebnisse der Registerpr fungen Ich habe im Berichtsjahr vor Ort bei insgesamt 8 nach 32 BDSG meldepflichtigen Stellen einfache Registerpr fungen aufgrund des 38 Abs 2 BDSG durchgef hrt Dar ber hinaus habe ich aufgrund von Beschwerden oder wegen Presseberichten eine eingeschr nkte Datenschutzpr fung bei einem bremischen Internet Provider sowie Pr fungen bei einem Kreditinstitut und bei Versicherungsmakler und Anlageberatungsb ros durchgef hrt 99 Bei den einfachen Registerpr fungen nach 38 Abs 2 BDSG berpr fe ich lediglich das Bestehen der Meldepfli
110. en immer mehr Varianten in ihre Produkte integrier um die vielf ltige Verwendbarkeit sicherzustellen bzw zu erh hen Dies kommt dem Anliegen des Datenschutzes h ufig entgegen es bedeutet aber auch da sich der Beratungsbedarf auf diesem Gebiet erh ht denn von den Herstellern selbst werden die Ger te h ufig mit der Einstellung wide range ausge liefert und die Systembetreuer stehen dann vor der Aufgabe die systemseitigen Einstellungen zur Verbesserung des Datenschutzes wie in 7 Abs 2 BrDSG angelegt vorzunehmen Dies ist allerdings im Grunde genommen eine Implementierung des Datenschutzes auf vorletzter Stufe Der weitergehende Ansatz ist Datenschutzelemente bereits bei der Produktionsplanung zu ber cksichtigen Da dies von den Datenschutzbeauftragten nicht unmittelbar beeinflu t werden kann sind berlegungen einer Produktzertifizierung und eines Datenschutzaudits angestellt worden Es ist zu erwarten da eine entsprechende Regelung im BDSG aufgenommen wird vgl Ziff 16 10 Auch der Datenschutz in Bremen hat sich um eine verst rkte Beratung der technischen Datenschutzkompo nenten bem ht dies hat auch seinen Niederschlag im Jahresbericht gefunden 1 4 B rgerservice der Bremer Verwaltung ber Internet Die bremische Verwaltung pr sentiert sich bisher unterschiedlich intensiv im Internet Nun soll mit dem Projekt MEDIA Komm ein weiterer Schritt getan werden Mit dem Projekt MEDIA Komm wird eine Plattform gebildet ber
111. en und ber 31 sichtlichen Entwurf des Bremischen Polizeigesetzes vorzulegen Wenn es gelingt die mit dem ber sandten Entwurf bereits vorgegebene klare Struktur zu erhalten und in einigen Punkten noch zu wr bessern ist dies die beste Gew hr daf r da die vom Gesetz gegebenen Vorgaben von dem einzel nen Polizeibeamten auch noch handhabbar sind Schlie lich mu ber cksichtigt werden da viele polizeiliche Situationen z B bei Gefahr im Verzuge schnelle Entscheidungen erfordern In den letzten 15 Jahren ist es zu tiefgreifenden nderungen und damit verbunden zu Aufweichungen hergebrachter Grunds tze des bisherigen Polizei und Ordnungsrechts in Deutschland gekommen Man kann daher festhalten da die bisher in Bund und L ndern erfolgten bzw im Land Bremen jetzt mit der Novellierung des Polizeigesetzes beabsichtigten Rechts nderungen zu denen noch solche des europ ischen Sicherheitsrechts hinzutreten und hinzutreten werden hingewiesen sei in diesem Zusammenhang nur auf das Schengener Informationssystem und auf Europol in den gew hlten Handlungsformen und Instrumenten im Grunde genommen den eigentlichen Funktionswandel des ffentlichen Sicherheits und Ordnungsrechts abbilden Und diese Entwicklung h ngt nicht mit dem Volksz hlungsurteil zusammen Dieser Entwicklung kann und will sich der Datenschutz nicht verschlie en Im Gegenteil immer wieder wird deutlich da durchaus gemeinsame Interessen bestehen wenn e
112. en war auff llig da die hier in Aussicht genommene Standard Software die Speicherung von Klientendaten lediglich in vorstrukturierten Datenfeldern vorsieht Deren erste Durchsicht lie erkennen da es sich dabei um die Daten handeln d rfte die f r die Entscheidung ber die Gew hrung kostenrelevanter Hilfen erheblich sind d h um Verwaltungsdaten im eigentlichen Sinne Gegen deren Verarbeitung in einem amtsinternen Netz bestehen keine grunds tzlichen Bedenken vorausgesetzt sie stehen lediglich f r die Zugriffe der Mitarbeiter zur Verf gung die sie zur Erf llung ihrer Aufgaben ben tigen Auch m ssen sie vor unbefugten Zugriffen gesch tzt sein Dagegen lie en die Unterlagen aus Bremen erkennen da man hier zwar dieselbe Software einsetzen will jedoch sollen alle Daten aus der fachlichen Sachbearbeitung im p dagogischen Bereich digitalisiert gespeichert und in das Netz eingestellt werden Dies gab Anla zu der Bef rchtung da berufliche Schweigepflichten und der besondere Vertrauensschutz den 65 SGB VIII den Klientendaten einr umt die einem Mitarbeiter eines ffentlichen Tr gers der Jugendhilfe zum Zwecke pers nlicher und erzieherischer Hilfe anvertraut worden sind gef hrdet werden k nnten Auf meinen im September 1999 gemachten Vorschlag 63 dar ber zu sprechen reagierte das Ressort nicht Auch die Zusage vom Juni 1999 mich weiterhin ber den Sachstand zu informieren wurde bislang nicht eingel st Daran hab
113. enbezogenen Daten die aus Anla des Umzuges vernichtet worden sind f hren zwar nicht zu dem Wunsch die Polizei m ge alle zehn Jahre umziehen gleichwohl zeigt es aber da in regelm igen Abst nden 38 berpr ft werden sollte ob die vielen Akten mit personenbezogenen Daten tats chlich noch f r die Aufgabenerf llung erforderlich sind Aber auch hier k nnte mit der Novellierung des Bremischen Polizeigesetzes eine Verbesserung eintreten wenn bereichsspezifische Pr ffristen und L schungsbestimmungen verabschiedet werden 6 2 7 B rgereingaben zur polizeilichen Datenverarbeitung Auch nn diesem Berichtsjahr habe ich zusammen mit dem polizeilichen Datenschutzbeauftragten eine Reihe von B rgereingaben erledigen k nnen In dem einen oder anderen Fall konnten f r den B rger insbesondere durch L schungen von Daten in polizeilichen Informationssystemen datenschutzrechtliche Verbesserungen erreicht werden In einem Fall in dem ein Betroffener mir gegen ber behauptete ein Bremer Polizeibeamter habe ber ihn Daten aus den Polizeicomputern abgefragt und diese privat gegen ber einer Mitbewohnerin offenbart habe ich eine Protokollauswertung verlangt Im bremischen Informationssystem ISA haben wir eine Vollprotokollierung aller Zugriffe auf personenbezogene Datens tze Diese Protokolldaten k nnen dazu genutzt werden rechtm iges Handeln der Polizeibeamten zu berpr fen gleichzeitig wirkt eine Vollprotokollierung pr ventiv E
114. endig landeseinheitliche Ausf hrungsbestimmungen bzw Verwaltungsvorschriften sind ber die festgestellten M ngel habe ich den Senator f r Inneres Kultur und Sport sowie den Datenschutzausschu der Bremischen B rgerschaft unterrichtet Zugleich habe ich meine Vorschl ge zur nderung der Gesetzesbestimmung formuliert Der Katalog der an die Parteien bermittelbaren Daten m te pr ziser definiert werden Es sollte sichergestellt werden da nur bremische Parteiorganisationen W hlerdaten f r Zwecke der Wahlwerbung erhalten und weiterverarbeiten d rfen Auch sollte der f r die bermittlung zu verwendende Datentr ger bereits im Gesetz vorgeschrieben werden Papierlisten und Adre aufkleber sollten den Vorzug erhalten Bei elektronischen oder optischen Datentr gern ist eine beliebige Umsortierbarkeit der Daten und ihre Verkn pfung mit weiteren Daten m glich Eine Bindung an den bermittlungszweck Wahlwerbung kann hier nicht sichergestellt werden Dem Datenschutzausschu B habe ich dar ber informiert da die Konferenz der Datenschutzbeauftragen einen Beschlu gefa t hat in dem sie darauf hinweist da das informationelle Selbstbestimmungsrecht der Betroffenen sich besser wahren l t wenn die in vielen Meldegesetzen enthaltene Widerspruchsl sung durch eine Einwilligungsl sung ersetzt w rde Viele B rgerbeschwerden w ren dann gegenstandslos 6 3 3 Neues DV Verfahren f r das Einwohnermeldewesen in Bremerhaven
115. enneneeneenn Ziff 16 7 5 Gesundheitsreform 2000 Ziff 8 8 18 7 Grundbuch elektronisches Ziff 7 3 l ID Bremen Privatisierung ne Ziff 3 3 ID easha zn ne aha dt Ziff 4 1 Identit tsdiebstahl enene Ziff 1 2 Informationsmaterial unesnsneneeeeeseesennenenn Ziff 19 INPOL NeEW ri a Ziff 6 2 2 Intel Chip Pentium Ill Ziff 15 Intelligente Einkaufswagen Ziff 1 2 Internet Ziff 1 2 1 9 10 3 3 4 4 16 8 1 J Jahresberichte fr here 22 2202200220020 Ziff 19 ON D D 2222 Ziff 7 1 ff EIERN Ziff 2 1 Ziff 3 2 115 K Kindergarten Informationssystem Ziff 4 1 9 1 Krankenunterlagen Einsicht in Ziff 8 6 Krebsregister Bremisches Ziff 4 1 8 1 Kreditwirtsch ft eeeeeeeeseesensennensennenennennenn Ziff 16 7 M Mailboxdienste n0u0eeeenennensennneenennenn Ziff 17 2 MEDIA Komn eseenseenennen Ziff 1 4 3 1 Meinungsumfrage nenesensenennnennennnnennnnenn nen Ziff 13 1 Meldedaten an Parteien Ziff 6 3 2 Meldegesetz Bremisches Ziff 4 1 6 3 1 Mith ren von Telefongespr chen Ziff 16 2 N Naturschutzgesetz nmsnseseneennennenennnnene nen Ziff 11 4 P Parlamentarische Kontrolle Ziff 6 1 3 18 5 Patienten Bonit t de
116. er Telekommunikationsdienstleister sowie Versand und Einzelhandel denen die von ihnen angeforderten Daten auch online zur Verf gung gestellt werden In das Informationssystem der Auskunftei flie en neben allgemein zug nglichen Informationen auch Daten und Mitteilungen der beiden beteiligten Auskunfteien der Kunden sowie spezifischer Register wie z B das Schuldnerverzeichnis ein Auf rechtliche Bedenken bei den Obersten Aufsichtsbeh rden f r den Datenschutz waren nach der Gr ndung der Creditreform Experian GmbH im Jahre 1998 insbesondere die Art und der Umfang der Daten die in das Informationssystem der Auskunftei einflie en bzw dort verarbeitet werden gesto en Das Unternehmen beabsichtigte zun chst neben Informationen zu Einkommen Krediten Zahl der Familienangeh rigen Daten ber das Wohnumfeld und den Haustyp gute und schlechte Adressen im Hinblick auf ein kreditorisches Risiko auch Daten ber Arbeitsverh ltnisse und Arbeitgeber zu speichern und weiterzugeben Zu den Krediten sollten u a die Finanzierungsgr nde M bel Kleidung Hochzeit oder auch Gesundheit angegeben werden Vorgesehen war auch 92 Angaben ber die Zahlungsweise z B bar oder mit Kreditkarte in das Informationssystem aufzunehmen Besonders heftig kritisierten die Obersten Aufsichtsbeh rden die vorgesehene Einwilligungserkl rung f r die bermittlung der Daten an die Auskunftei Die bermittlung allgemeiner Vertrags und Positivdaten eine
117. er vieler Orts Ma nahmen ergriffen worden um Fehler zu verhindern aber als kurz vor dem Jahreswechsel Bescheide der Stadt M nchen auftauchten die bei Forderungen der Stadt f r einhundert Jahre Ver zugszinsen berechneten waren die Signale doch auf Alarm gestellt In den Betrieben wie auch im ffentlichen Dienst gab es Urlaubssperren Notdienste und schnelle Eingreifgruppen wurden gebildet Zum Gl ck blieb ein Desaster aus Von kleinen Pannen einmal abgesehen insbesondere bei lteren PC mit entsprechend betagter Software sind mir keine gravierenden Pannen im Land bekannt gewor den 1 2 Neue Trends und Bedrohungen f r das informationelle Selbstbestimmungsrecht Da der Landesbeauftragte f r den Datenschutz sowohl im ffentlichen wie als Datenschutzaufsichts beh rde im privaten Bereich Aufgaben hat mu er die Entwicklung in beiden Bereichen im Auge haben Mittlerweile haben wir die Schwelle zum 20 Jahrhundert berschritten und eine Vielzahl neuer Tendenzen sind erkennbar die das informationelle Selbstbestimmungsrecht in der realen wie in der virtuellen Welt entscheidend beeintr chtigen k nnen Um nur ein Beispiel zu nennen der Verbraucher wird gezielt aufs Korn genommen Seine Ver brauchsgewohnheiten Interessen und W nsche wecken die Begehrlichkeiten vieler Es ist bekannt da im Internet sp testens dann alle weiteren und vorherigen Bewegungen im Netz personenbezogen zugeordnet werden k nnen wenn entweder bei einer Bestellu
118. erentwickelt ist Die 1998 durchgef hrte Repr sentativumfrage des BAT Freizeit Forschungsinsti tuts Der gl serne Mensch Multimedia und Datenschutz hat ergeben da 42 der Befragten die Hauptursache f r Verst e gegen den Datenschutz im eigenen sorglosen Umgang mit den Daten sehen Eine Untersuchung in den USA Privacy and American Business Commerce Communication and Privacy Online kommt sogar zu dem Ergebnis da 50 der Internetnutzer den Mi brauch ihrer Angaben beim Versand von E Mails bef rchten Das Datenschutzbewu tsein scheint also doch nicht so gering entwickelt zu sein wie manche bef rchten Gleichwohl weitere Aufkl rung ber die Risiken tut Not aber noch wichtiger ist das Erlernen von Vermeidungsstrategien Auch hier ist der Daten schutz gefordert dies den B rgern n her zu bringen 1 3 Vormarsch des technischen Datenschutzes Waren fr her die gelieferten Hard und Softwarekomponenten starr unflexibel und lie sich Daten schutz oft nur durch organisatorische und personelle Ma nahmen erreichen so ist in den letzten Jah ren ein Wandel zu verzeichnen Als w re das Bitten der Datenschutzbeh rden nach vielf ltigen Ge staltungsm glichkeiten der Technik erh rt worden kommen immer mehr neue Produkte auf den Markt die eine zum Teil schon nicht mehr von einem Einzelnen berschaubare Vielzahl von Varia tions und Einstellungsm glichkeiten technischer Art beinhalten Die Hersteller von Informationstechnik hab
119. es Bremerhavener B rgers Dieser beklagte sich bei mir ber eine aus dem Jahre 1985 stammende Eintragung zu seiner Person bei der Auskunftei Creditreform Aufgrund der Eintragung hatte sich ein Einzelhandelsunternehmen das bei Creditreform zu seiner Person angefragt hatte geweigert dem Petenten einen Computer auf Rechnung zu verkaufen Auch beschwerte sich der B rger dar ber da er ber die bermittlung seiner Daten nicht benachrichtigt worden war Wie mir der Petent weiter mitteilte und mir die Auskunftei dann auch best tigte war bei Creditreform ber den Betroffenen zuletzt im Jahre 1985 eine Abfrage get tigt worden Seit der damaligen Auskunftserteilung war bei der Auskunftei der von ihr recherchierte Datenbestand zum gr eren Teil mit einem Sperrvermerk versehen gespeichert geblieben F r die mit der Beauskunftung besch ftigten Auskunfteimitarbeiter standen immer noch die Adre daten des Betroffenen mit einigen internen Vermerken u a dem Datum der letzten Recherche im Jahre 1985 und einem Hinweis da noch ein gesperrter Datensatz besteht f r die Auskunftserteilung bereit Die gespeicherten Angaben waren ohne die gesperrten Daten jedoch mit Sperrhinweis an den Computerh ndler weitergegeben worden was dort zur Ablehnung des Rechnungskaufs f hrte Die bermittelten Angaben waren von dem H ndler offenbar als Negativinformation ber den Betroffenen verstanden worden Gem 35 Abs 2 Nr 4 BDSG haben Auskunfteien
120. es Dienstverh ltnisses Durchf hrung organisatorischer personeller und sozialer Ma nahmen insbesondere auch Personalplanung und Personaleinsatz Dem Erforderlichkeitsprinzip werden hier zus tzlich noch die schutzw rdigen Belange der Betroffenen gegen bergestellt Gem 93g Bremisches Beamtengesetz d rfen Personal akten daten in Dateien nur f r die genannten Zwecke verarbeitet werden Ihre bermittlung ist nur nach Ma gabe des 93e 69 Bremisches Beamtengesetz zul ssig Ein automatisierter Datenabruf Internet und Intranet Abruf durch andere Beh rden und damit besonders auch private Stellen ist unzul ssig soweit durch besondere Rechtsvorschrift nichts anderes bestimmt ist Nach 93g Bremisches Beamtengesetz ist dem Beamten bei erstmaliger Speicherung die Art der ber ihn gespeicherten Daten mitzuteilen bei wesentlichen nderungen ist er zu benachrichtigen Ausk nfte an Dritte z B die Bereitstellung von Lehrerdaten im Internet d rfen nach 93e Abs 2 Bremisches Beamtengesetz nur mit Einwilligung des Beamten erteilt werden es sei denn es liegen bestimmte Ausnahmen vor Beeintr chtigung des Gemeinwohls der Schutz berechtigter h herrangiger Interessen des Dritten Inhalt und Empf nger der Auskunft sind dem Beamten schriftlich mitzuteilen F r die Pr sentation von Lehrerdaten im Internet bedeutet dies Die Pr sentation von Lehrerdaten im Internet einschl evtl Texten Beschreibungen Bildern oder Phot
121. ferentenentwurf im Oktober bermittelt Da die Stellungnahme rund 45 Seiten umfa t k nnen an dieser Stelle nur auszugsweise einige Vorschl ge aufgegriffen werden So habe ich darauf hingewiesen da prinzipiell nur das bereichsspezifisch im Polizeigesetz geregelt werden sollte was unbedingt erforderlich ist und daher verlangt Regelungen zur ckzunehmen die im Bezug auf die Rechte von Betroffenen von den Regelungen des Bremischen Datenschutzgesetzes abweichen und damit eine nicht begr ndete Verschlechterung der Rechtstellung dieses Personen kreises bewirken w rde Die Polizei ist ber Jahre mit den allgemeinen Regelungen der Betroffenen rechte im BrDSG gut gefahren im brigen tr gt eine Vermeidung von Parallelregelungen zur Begren zung der oft beklagten Normenflut bei Auch bedarf es nach meiner Auffassung einer Rechtsg terab w gung mit den Interessen des Betroffenen wenn seine Rechte auf informationelle Selbstbestimmung wegen der Gef hrdung der Erf llung jeglicher polizeilicher Aufgabe oder eines unverh ltnism igen Aufwandes zur cktreten sollen 33 Soweit besondere Vertrauensverh ltnisse wie z B zwischen Arzt und Patient oder Rechtsanwalt und Mandanten vom Einsatz besonderer technischer Mittel betroffenen sein k nnen habe ich gefordert da vom Gesetz ein umfassender Schutz und ein absolutes Verwertungsverbot sicherzustellen sind Dies gilt insbesondere auch dann wenn sich erst nachtr glich herausstellen sol
122. ferenz der Datenschutzbeauftragen des Bundes und der L nder vom 25 26 M rz 1999 Die Bundesregierung und der Bundesrat werden demn chst ber den Erla der seit l ngerem berf lligen Rechtsverordnung zum Datenschutz in der Telekommunikation auf Grund des Telekommunika tionsgesetzes zu entscheiden haben Im Gegensatz zur fr heren analogen Vermittlungstechnik erzeugt und verarbeitet das digitalisierte Telekommunikationsnetz ISDN Netz in gro em Umfang personenbezogene Verbindungsdaten Dies 101 zwingt zu begrenzenden am Grundsatz der Datensparsamkeit orientierten Regelungen um das Fernmeldegeheimnis und das Grundrecht der Telefonkundinnen und kunden auf unbeobachtete Kommunikation zu garantieren Die bisher geltende Telekommunikationsdienstunternehmen Datenschutzverordnung von 1996 sieht vor da die Verbindungsdaten unter K rzung der Zielrufnummer regelm ig bis zu 80 Tagen nach Versendung der Rechnung gespeichert werden d rfen ber diese Frist hinaus d rfen Verbindungsdaten nur gespeichert bleiben wenn Streit zwischen dem Telekommunikationsunternehmen und den Kunden ber die Richtigkeit der Abrechnung entsteht Demgegen ber gibt es berlegungen f r eine neue Telekommunikations Datenschutzverordnung da alle Verbindungsdaten in der Regel selbst bei unbestrittenen oder bezahlten Rechnungen zwei Jahre lang nach Ende der Verbindung gespeichert bleiben k nnen Da die Speicherungsfrist erst am Ende des Jahres
123. festgelegt werden m ten Der vom Bundesminister des Innern im M rz 1996 vorgelegte Vorentwurf zur nderung des Personenstandsgesetzes hatte in diesem Punkte bereits einige bedeutsame Verbesserungen enthalten die bei der Verabschiedung der bisherigen Gesetzes nderungen jedoch keine Ber cksichtigung fanden Der Bundesgesetzgeber ist aufgefordert auch den 61 PStG neu zu regeln 6 6 Ausl ndische B rger und G ste 6 6 1 Kommt die Chipkarte f r Asylbewerber Bereits 1995 vgl 17 JB Ziff 9 24 habe ich ber die Vorstellungen einer Bund L nder Arbeitsgruppe beim Bundesministerium des Innern zum Einsatz einer Chip Karte im Asylverfahren berichtet Diese Arbeitsgruppe kam zu dem Ergebnis da die berlegungen f r eine Asyl Card in einer Machbarkeitsstudie untersucht werden sollten Mit der Durchf hrung der Studie wurde eine 44 private Firma beauftragt die Studie wurde im Juni 1998 dem Bundesministerium des Innern vorgelegt Mir wurde diese Studie erst im M rz 1999 zug nglich gemacht Obwohl die Verfasser der Studie eine Reihe von Datenschutz und Datensicherungskriterien der Datenschutzbeauftragten aufgegriffen haben sind bei der Mehrheit der Datenschutzbeauftragten grunds tzliche Datenschutzbedenken gegen die Asyl Card geblieben An dieser Stelle will ich einige Kritikpunkte zusammenfassen gt Auf der Chipkarte k nnen eine Vielzahl von Daten gespeichert werden Da mehrere Stellen wie z B Ausl nderbeh rd
124. g auf dem Gebiet der Datenverarbeitung ist so rasant da man es sich heutzutage nicht mehr leisten kann an einem Projekt ber Jahre festzuhalten ohne parallel nach Alternativen zu suchen die auch andere moderne technische Entwicklungen ber cksichtigen 6 6 2 Stand des elektronischen Einb rgerungsverfahrens Der Senator f r Inneres hat 1998 ein elektronisches Einb rgerungsverfahren eingef hrt Ich habe mir das technische Verfahren angesehen und erl utern lassen Es gibt bisher keine Verfahrensbeschreibung und keine Festlegungen ber die Nutzung dieses Verfahrens Zu dem Verfahren liegt trotz Zusage im Fr hjahr 1999 noch immer kein Datenschutzkonzept vor Es bedarf aber z B eindeutiger Festlegungen welche Daten wie lange aufbewahrt werden und wann sie gel scht bzw zu sperren sind Der Senator f r Inneres Kultur und Sport erkl rte dazu die aktuelle Novelle zum Staatsangeh rigkeitsrecht habe zu einer Vielzahl von Neuantr gen auf Einb rgerung gef hrt Dadurch seien die Arbeiten an dem Datenschutzkonzept zur ckgeworfen worden Gerade die Vielzahl von neuen Einb rgerungsverfahren die vorhersehbar waren h tten aus meiner Sicht ein fertiges Konzept erfordert Es d rfte bekannt sein da nach 8 BrDSG Dateibeschreibung und Ger teverzeichnis die speichernden Stellen verpflichtet sind in einer Beschreibung gewisse datenschutzrechtliche Standards festzuhalten In einer innumerativen Aufz hlung gibt 8 BrDSG den speichernd
125. g der Daten und Verh ltnism igkeitsprinzip w rden dabei ignoriert Ende Januar 2000 haben die beiden Regierungsfraktionen einen berarbeiteten Entwurf eines Zweiten Gesetzes zur nderung des Melderechtsrahmengesetzes MRRG in den Bundestag eingebracht Soweit datenschutzrechtlichen Einw nde fortbestehen unterst tze ich die Bem hungen diese Probleme im weiteren Gesetzgebungsverfahren zu bereinigen 6 4 2 Auslegung des W hlerverzeichnisses Die W hlerverzeichnisse werden in Bremen von den Meldebeh rden aus dem Meldebestand erstellt In dem Meldebestand sind jedoch eine Vielzahl von Personen enthalten f r die zu deren Schutz vor Bel stigungen oder Bedrohungen ein Sperrvermerk eingetragen ist Dieser Sperrvermerk bewirkt da keine Privatpersonen ber diese Personen Auskunft erhalten Diese Sperrvermerke werden jedoch nicht bei der Erstellung der W hlerverzeichnisse ber cksichtigt so da Privatpersonen w hrend der Auslegungsfrist der W hlerverzeichnisse auch Kenntnis von den Daten von Personen mit Sperrvermerk erhalten Der Senator f r Inneres hat bereits mehrfach zugesagt vgl 17 JB Ziff 9 4 2 oder 20 JB Ziff 12 10 diese Regelungsl cke im Wahlgesetz zu schlie en Leider ist bisher keine konkrete Umsetzung erfolgt 6 5 Personenstandswesen 6 5 1 Keine ausreichenden Regelungen durch den Bund H ufig schon habe ich in den vergangenen Jahren eine nderung und Erg nzung des Personenstandsgesetzes PStG u
126. g der Polizei Bemer nann e e aa a KEA EAA E ATERA 38 B rgereingaben zur polizeilichen Datenverarbeitung eessseessssrrisssrrirssrrrissrrrrssrrrrserrrens 39 Meldewesen ee Er aa Pea iaa aaan 39 nderung des Landesmeldegesetzes noch keine Fortschritte eeaeenceeneeneenneeneennenneen 39 M ngel bei der bermittlung von Meldedaten an die Parteien vor der B rgerschaftswahl 39 Neues DV Verfahren f r das Einwohnermeldewesen in Bremerhaven mssn een 41 Statistik und W hlen 2 20 a nn Aa Ea A RETES 42 Volksz hlung 2001 aktueller Stand der Debatte 4444444ennnnn nenn nnnnnnnn nennen 42 Auslegung des W hlerverzeichnisses u 4444444444nnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnn nennen 43 Personenstandswesen uu s4sssnnnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnn 43 Keine ausreichenden Regelungen durch den Bund u 4s4snssennnnnnnennnnnnnnnnnnnnnnnn nn 43 Datenzugang f r Zwecke der Forschung uumsnssennnnnsnnnennnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnn 44 Ausl ndische B rger und G ste r ceii iaoei K eA E TAN ER nn nnnn 44 Kommt die Chipkarte f r Asylbewerber u 22244s4nnssenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 44 Stand des elektronischen Einb rgerungsverfahrens 444444444nnnnnn nenn nnnnnnennnnnnnenn nn 46 Neues DV Verfahren bei der Ausl nderbeh rde Bremen ohne Datenschutzko
127. ge was denn jetzt mit den Daten passieren w rde wurde dem Ehepaar geantwortet da die Daten gespeichert blieben Auf den Einwand da man nicht weiter in dieser Datei gespeichert werden m chte wurde geantwortet man k nne diesen Datensatz gar nicht l schen Das Ehepaar hat sich darauf hin an mich gewandt Ich habe mich mit dem Kartenvorverkaufsunternehmen in Verbindung gesetzt das im wesentlichen die Angaben der Beschwerdef hrer best tigte Allerdings wurde zugesichert da man sich im vorliegenden Fall um eine Einzell schung der Daten der Beschwerdef hrer k mmern wolle Insgesamt aber sei es nicht m glich routinem ig Daten aus dem System zu l schen Das System werde in vielen Gro st dten der Bundesrepublik eingesetzt der Softwareanbieter habe jedoch noch kein entsprechendes L schprogramm entwickelt Es sei allerdings nunmehr beabsichtigt ein entsprechendes Programmmodul aufzulegen Ich habe das Unternehmen auf 35 BDSG hingewiesen nach dem personenbezogene Daten die f r eigene Zwecke verarbeitet werden zu l schen sind sobald ihre Kenntnis f r die Erf llung des Zwecks der Speicherung nicht mehr erforderlich ist Deshalb ist das Unternehmen gehalten nicht nur auf Wunsch eines Kunden sondern per Gesetz generell verpflichtet nach Abwicklung und vollst ndiger Bezahlung die Daten von Kunden zu l schen Weiter habe ich den Hinweis auf Softwareprogramme anderer Sparten gegeben die routinem ige L schfristen nach gewi
128. gen nicht nur f r die nderungen im BDSG sondern auch im Bereich von StPO und Polizeigesetzen Weiter ist die Benachrichtigungs praxis den richterlichen Vorgaben anzupassen Hier verwirft das Urteil eine Regelung die vorsah Betroffenen nur ber solche Daten zu unterrichten de l nger als drei Monate gespeichert werden Es ist zu hoffen da die St rkung des Art 10 GG durch das BVerfG auch d mpfend auf die Anord nungspraxis der Ermittlungsrichter wirkt die bisher nach der Statistik nur in den seltensten F llen Be h rdenantr ge auf Telefon berwachung ablehnen Das Urteil bietet aber Anla f r weitergreifende rechtspolitische Konsequenzen Die Datenschutz beauftragten Berlins Brandenburgs Bremens Nordrhein Westfalens und Schleswig Holsteins haben vor der Bundespressekonferenz in Berlin am 25 August 1999 eine prinzipielle Trendwende in der deutschen Telekommunikationspolitik gefordert und zwar unter der berschrift Weg vom Anspruch auf l ckenlose berwachung hin zu einem effektiven Schutz des Telekommunikationsgeheimnisses vgl Ziff 2 2 2 2 Trendwende in der Telekommunikationspolitik erforderlich Das Internet boomt Immer mehr B rgerinnen und B rger nutzen E Mail Mobiltelefon und Tele dienste St ndig werden technische Neuerungen pr sentiert mit denen noch mehr Menschen schneller und bequemer die Neuen Medien nutzen k nnen z B Eltern deren Kinder im Zuge eines Sch leraustausches sich im Ausland a
129. genommene Pr fung ergeben da die gesetzlichen Vorgaben zum Datenschutz nunmehr auch in der konkreten Anwen dung beachtet werden Der Datenschutzausschuss sieht die Angelegenheit damit als erledigt an 4 2 Aktuelle Themen Nach der B rgerschaftswahl ist der Datenschutzausschu in personell ver nderter Form zusammen getreten Die Tatsache da mehrheitlich neu in das Parlament gew hlte Abgeordnete Mitglieder des Ausschusses geworden sind hat das Interesse an der Er rterung aktueller Themen noch verst rkt Behandelt und diskutiert wurden u a die Datenschutzprobleme eines Bremer Call Centers vgl Ziff 16 2 die in einer bundesweiten Fernsehsendung ARD Panorama aufgezeigt worden waren Kritisiert wurde in der Ausstrahlung vor allem die technische M glichkeit sich von au en in Telefonate 25 zwischen Kunden und Mitarbeitern innen ohne deren Kenntnis einzuw hlen Der LfD hatte die betrieb liche Datenschutzbeauftragte bereits bei der Betriebsaufnahme beraten Ein Mitarbeiter des Landes beauftragten hat nach Bekanntwerdens des Berichts die Firma umgehend aufgesucht und den Sach verhalt sowie die zu ziehenden Konsequenzen mit der Gesch ftsf hrung gekl rt Der Daten schutzausschu hat eine Einladung des Unternehmens zu einem Besuch vor Ort Anfang des Jahres 2000 angenommen Angesprochen wurde auch das Thema Video berwachung auf ffentlichen Pl tzen anl lich von Medienberichten ber eine m gliche Inst
130. ger staatlicher Eingriffe nicht mehr gen gt Dar ber hinaus bestehen die M glichkeiten der staatlichen Datenschutzkontrolle in offenen Netzen nur in eingeschr nktem Ma e Der Schutz personenbezogener Daten w hrend der Verarbeitung und bertragung ist h ufig nicht ausreichend gew hrleistet Deshalb sind erg nzende staatliche Ma nahmen zum Schutz Aller gegen neugierige Dritte z B Systembetreiber Unternehmen mit wirtschaftlichen Interessen Hacker und Hackerinnen ausl ndische Geheimdienste erforderlich Die Privatsph re l t sich jedoch nur mit Rechtsvorschriften nicht ausreichend sch tzen Neben bestehenden Ge und Verboten sind wirksame technische Vorkehrungen n tig Systemdatenschutz und datenschutzfreundliche Technologien sind unverzichtbar Den B rgerinnen und B rgern m ssen 112 effektive Instrumente zum Selbstschutz an die Hand gegeben werden Der Datenverschl sselung kommt deshalb in einem modernen Datenschutzkonzept eine herausragende Bedeutung zu Bislang mu te bef rchtet werden da auf Betreiben der staatlichen Sicherheitsbeh rden in Deutschland das Recht auf Verschl sselung eingeschr nkt w rde Jetzt jedoch hat die Bundesregierung mit dem Eckpunktepapier vom 2 Juni 1999 die Diskussion auf eine v llig neue Basis gestellt Richtigerweise wird darin die Kryptographie als eine entscheidende Voraussetzung f r den Datenschutz der B rger besonders hervorgehoben Die Position der Bundesregierung di
131. gewilligt haben Darin w re ein unverh ltnism iger Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen zu sehen Dies ist nach geltendem Recht unzul ssig Der nunmehr vorliegende Gesetzentwurf der Bundesregierung BR Drs 325 99 vom 28 05 1999 sieht in 155 a Satz 3 StPO Entwurf vor da nur der ausdr cklich ge u erte entgegenstehende Wille der oder des Verletzten dazu f hrt da keine Daten bermittlungen an Schlichtungsstellen erfolgen sollen Das bedeute da solche im Einzelfall gleichwohl m glich sind Dies halten die Datenschutzbeauftragten nicht f r ausreichend Der Bundesrat ist sogar dem Gesetzentwurf der Bundesregierung nicht gefolgt er hat vielmehr angeregt im Gesetz klarzustellen da es f r solche Daten bermittlungen auf den Willen der Opfer nicht ankommen soll Folgende Argumente werden daf r genannt Eine vor der Einschaltung von 108 Schlichtungsstellen durch die Justiz einzuholende Einwilligung f hre dazu da s kriminalpolitisch wichtige Institut des T ter Opfer Ausgleichs nicht ausreichend genutzt werde Erst die professionelle T tigkeit der Schlichtungsstellen mit ihrem Selbstverst ndnis als objektive Dritte mit dem Gebot der Unterst tzung jeder Partei k nnte wirksame berzeugungsarbeit leisten nur dann k nne der Rechtsfriede dauerhafter als bei herk mmlichen Verfahren sichergestellt werden wenn durch die fachlich geleitete Auseinandersetzung der am
132. h der rztlichen Schweigepflicht unterliegen 93 Nach herrschender Rechtsprechung wird bereits durch die Mitteilung da sich eine bestimmte Person in rztlicher Behandlung befindet die Schweigepflicht durchbrochen Die bermittlung von Patientendaten ist ohne Wissen und Einwilligung des Betroffenen unzul ssig Die rztliche Schweigepflicht darf nur durchbrochen werden wenn der Patient vorher ber die beabsichtigte Weitergabe seiner Daten informiert worden ist und er in sie ausdr cklich schriftlich eingewilligt hat Ich vertrete deshalb die Auffassung da f r die F lle in denen die rztliche Honorarforderung an eine privat rztliiche Verrechnungsstelle abgetreten wurde die Erkl rung mit der der Patient in die bermittlung seiner Daten an die Verrechnungsstelle einwilligt dahingehend erg nzt werden muss da die Verrechnungsstelle zu dem Betroffenen Ausk nfte bei einer Kreditschutzorganisation oder einer Auskunftei einholen darf Rechnet der Arzt mit dem Patienten selbst ab so k nnte die auch in diesem Fall erforderliche schriftliche Einwilligung in Verbindung mit einem Kostenvoranschlag f r die Behandlung eingeholt werden Die m gliche L sung des Problems soll unter den Mitgliedern des D sseldorfer Kreises schriftlich abgestimmt werden 16 8 Versicherungswirtschaft 16 8 1 Versicherungen im Internet Zusammen mit anderen Datenschutzaufsichtsbeh rden habe ich mich im Berichtsjahr erneut um eine datenschutzgerechte
133. h einige Anregungen zur Verbesserung des Datenschutzes gemacht Der Senator f r Inneres Kultur uns Sport hat diese in die Beratungen eingebracht Im Zustimmungs verfahren mit den L ndern gem 34 Abs 2 BKAG sind einige Punkte ge ndert worden Der Senator f r Inneres Kultur und Sport hat mir die mittlerweile in Kraft getretene Errichtungsanordnung DNA Analyse Datei Ende des Jahres zur Kenntnis gegeben 6 2 6 Umzug der Polizei Bremen Die Polizei Bremen ist im letzten Quartal 1999 im Schwerpunkt im November 1999 aus verschiede nen H usern insbesondere aus dem Polizeipr sidium in neue R umlichkeiten in das Dienstgeb ude in der Vahr umgezogen Deshalb hatte ich mich bereits rechtzeitig vor dem Umzug ber die getroffenen Sicherheitsma nahmen durch die Polizei Bremen informiert Zugesichert war da die Beamten das schutzw rdige Material selbst in entsprechende Umzugscontainer verpacken Diese sollten verschlossen und in der Dienststelle registriert werden So entstandene Begleitlisten sollten dann dazu genutzt werden beim Eingang im neuen Dienstgeb ude die Vollst ndigkeit der angelieferten Container sicherzustellen Gleichzeitig hatte ich mir eine Umzugsliste von der Polizei Bremen geben lassen und in einer Stichprobe die Einhaltung der zugesicherten Ma nahmen berpr ft Selbstverst ndliich habe ich in diesem Zeitraum auf Pr fungen verzichte Nur soweit dies unabweisbar war und der Sachverhalt eine zeitnahe Aufkl rung erf
134. hbar erkannt werden kann Ebenso sollte das System so voreingestellt sein da nach sehr kurzen Intervallen die gespeicherten Bildsequenzen die keinen Grund zum Einschreiten der Sicherheitskr fte geben berschrieben oder gel scht werden Bereits eine so eingestellte Anlage w rde es dem Sicherheitsdienst erm glichen sein Personal zu erkannten Brennpunkten zu beordern Soweit Bilder zu Beweiszwecken weiter gespeichert bleiben sollen sind Regelungen zur Zweckbindung zum Zugriffsschutz und Befugnisse der Herausgabe an Dritte festzulegen Au erdem konnte man durch den Standort der Probeinstallatiion hoch ber den D chern der Wohnanlage schr g nach unten in alle Fenster der umliegenden Wohnungen blicken und zwar auch der hochgelegenen Stockwerke Ich habe daher darauf hingewiesen da eine Wohnraum berwachung ebenso wenig in Betracht kommen kann wie die berwachung ffentlicher nicht im Eigentum des Wohnungsunternehmens stehender Fl chen Ich habe aber auch deutlich gemacht da ich keine Bedenken habe wenn nach Anbringung entsprechender Hinweisschilder die im Eigentum des Wohnungsbauunternehmens befindliche Tiefgarage video berwacht w rde Inzwischen hat eine von dieser beabsichtigten Video berwachung betroffene Stadtteilgruppe dar ber ffentlich diskutiert Das Wohnungsunternehmen hat zudem erkl rt vor dem Einsatz des Video systems ein Konzept vorzulegen und mit mir abzustimmen 16 2 Mith ren und Aufzeichnen von Telefonge
135. heben die lediglich Vergleichszwecken dienen Diese Daten werden nicht konkret f r ein Steuerverfahren ben tigt und sollten deshalb nach Aufnahme in das Vergleichs oder Auswertungprogramm unverz glich anonymisiert werden 12 4 8 Fazit Diese vorgenannten Beispiele zeigen wie notwendig eine datenschutzrechtliche Anpassung der AO ist um normenklar und verfassungskonform den Datenschutz in der Steuerverwaltung zu gew hrleisten 12 5 Vollstreckung Die zentrale Vollstreckungsstelle der Finanz mter in Bremen hat u a auch das Recht Forderungen die ein Steuerschuldner gegen ber Dritten hat zu pf nden Bei der Durchf hrung sind verschiedene Datenschutzprobleme aufgetaucht auf die ich von Drittschuldnern hingewiesen wurde So waren der Briefumschlag und die beigef gte Empfangsbekenntnis so ausgestaltet da von au en erkennbar war da es sich um eine Zwangsvollstreckungsma nahme handelte Ich habe erreichen k nnen da die Kennzeichnung der Zustellungsurkunde so gestaltet wurde da Au enstehende nicht mehr auf die Ma nahme schlie en k nnen 13 Wirtschaft und H fen 13 1 Neue Schlachte Mit F rderung des Senator f r Wirtschaft und H fen wurde die Neue Schlachte erstellt Wie diese F rderungsma nahme von den Bremern und B rgern im Umland aufgenommen wurde wollte die Beh rde durch eine Telefonumfrage ermitteln Ferner sollte der Bekanntheitsgrad und die Attraktivit t der Neuen Schlachte festgestellt und Verbe
136. herige Einwilligung seines Patienten seine Schweigepflicht verletze Deshalb habe ich mich f r eine Einwilligungsl sung stark gemacht vgl 20 JB Ziff 14 3 und 21 JB Ziff 11 8 Die rzte und die Zahn rztekammer Bremen beschlossen im Rahmen der Neufassung ihrer Berufsordnungen die vorsehen da der Praxisnachfolger seinerseits die ihm bergebenen Unterlagen unter Verschlu halten und sie nur mit Einwilligung des Patienten einsehen oder weitergeben darf Der Senator f r Gesundheit hat diese Regelung im Widerspruchsverfahren genehmigt zur Begr ndung vgl die Stellungnahme des Senats zum 21 JB B rgerschaft Drs 15 75 S 7 Dies bedauere ich sehr Somit kann passieren da ein behandelnder Arzt den ein Patient vor wenigen Jahren im Streit verlassen hat als Praxisnachfolger erneut ber Unterlagen zu diesem Patienten verf gt Auch ist zu bef rchten da der Patient in vielen F llen lange Zeit nichts davon erfahren wird da seine Unterlagen im Besitz eines ihm unbekannten Arztes sind 8 5 Wahrung der rztlichen Schweigepflicht bei Kooperation zwischen Krankenh usern Zunehmend kooperieren Krankenh user zwecks Kostensenkung und Qualit tsverbesserung miteinander Dies betrifft Funktionsdienste wie Reinigung K che und Technik aber auch Pflegedienste und rzte Auf diese Weise arbeiten zunehmend rzte einer Klinik Klinik A auf der Grundlage von Personal berlassungsvertr gen auch in einer anderen Klinik Klinik B In
137. herung von Patientendaten im ffentlichen Gesundheitsdienst Rechtssicherheit geschaffen Insbesondere aber hat die Verordnung Klarheit dar ber geschaffen da die Sozialpsychiatrischen Dienste bei der Datenverarbeitung dem Rechnung 55 zu tragen haben da ihre rzte zum einen Angebote freiwilliger Beratung Behandlung und Hilfe bereithalten zum anderen aber auch als Gutachter in Verfahren zur zwangsweisen Unterbringung psychisch Kranker t tig werden Wie bereits durch das Gesetz vorgezeichnet sind die im erstgenannten Zusammenhang erhobenen Daten getrennt von den im zweitgenannten Zusammenhang erhobenen Daten zu speichern Die Daten d rfen nur unter besonderen im Gesetz genannten Umst nden zusammengef hrt werden Dadurch werden das Vertrauen der Patienten in die Wahrung der rztlichen Schweigepflicht der Sozialpsychiatrischen Dienste gesch tzt und indirekt deren Funktionsf higkeit gest rkt Es ist zu erwarten da diese nunmehr auf dieser Grundlage die Verarbeitung der Daten ihrer Patienten auf EDV umstellen Ich werde mich daher in K rze an die Gesundheits mter wenden Ich gehe davon aus da ich bei der Erarbeitung von Datenschutzkonzepten beteiligt werde 8 4 Verkauf der Arztpraxis Wahrung der Schweigepflicht Der Bundesgerichtshof BGH NJW 92 737 hatte in einer Entscheidung zum Umfang der Schweigepflicht beim Verkauf von Arztpraxen erkannt da der abgebende Arzt durch eine bergabe der rztlichen Unterlagen ohne vor
138. ic Cash eingegeben werden muss Nach erfolgreicher Authentisierung wird ein Sitzungsschl ssel mit einer L nge von 128 Bit erzeugt mit dem die bertragenen Daten verschl sselt werden Die Verbindung zwischen dem Personalcomputer eines B rgers bzw eines Unternehmens und der Server Plattform von BOS soll auf einem eigens von BOS spezifizierten Standard OSCI Online Services Computer Interface basieren der im wesentlichen auf HBCI Home Banking Computer Interface aufbaut W hrend HBCI nur zur Abwicklung von Bankgesch ften dient deckt OSCI auch andere Gesch ftsvorf lle ab Neben der BOS Plattform existiert noch ein Formular Server der aller dings ohne Nutzung des OSCI Protokolls kontaktiert werden kann MEDIA Komm ist wie im Vorwort dargestellt ein Projekt mit weitreichenden Folgen Meine Kontakte und Beteiligungsm glichkeiten sind im bisherigen Verlauf als gut zu bezeichnen Ohne auf die vielf l tigen datenschutzrechtlichen technischen und rechtlichen Fragen im Einzelnen einzugehen l t sich folgendes sagen Aus Datenschutzsicht ist es notwendig bei der Gestaltung der Datenbank Plattform nicht nur zwischen ffentlichem und nicht ffentlichem Bereich zu trennen sondern auch Verfahren ffentlicher Stellen gegeneinander abzuschotten Hierf r w rde es ausreichen die Trennung auf Datenbankebene zu vollziehen Anstelle einer fach bergreifenden Datenbank und eines Datenbank Administrators der fach bergreifend auf s mtli
139. ichtszeitraum habe ich bei sechs Personalstellen berpr ft ob besonders sensible Perso naldaten entsprechend den Richtlinien ber die Erhebung und F hrung von Personalaktendaten RiLi aufbewahrt werden Es handelt sich hierbei um folgende Datenarten gt rztliche Unterlagen Gesundheitszeugnisse und Untersuchungsergebnisse Unterlagen ber Erkrankungen rztliche Atteste sonstige Krankmeldungen und Beihilfe Unterlagen ber Disziplinarma nahmen und Abmahnungen 5 1 1 rztliche Unterlagen Nach Ziffer 7 Abs 2 und 3 der RiLi sind diese Unterlagen in einem verschlossenen Umschlag in der Personalakte aufzubewahren soweit sie zur Personalakte zu nehmen sind Auf dem Umschlag ist ein Hinweis auf den Inhalt anzubringen Der Umschlag darf nur wn zugangsberechtigten Personen ge ff 26 net und eingesehen werden f r die die Kenntnisnahme des Inhalts im Einzelfall erforderlich ist Die Einsichtnahme ist auf dem Umschlag durch Namenszeichen unter Datumsangabe zu vermerken Lediglich zwei der berpr ften Personalstellen haben diese Vorschrift beachtet Bei den anderen Dienststellen befanden sich die rztlichen Unterlagen offen in der Personalakte so da der besondere Schutz dieser Personaldaten nicht gew hrleistet war Letztgenannte Personalstellen haben inzwischen erkl rt sie w rden in Zukunft die besondere Regelung einhalten 5 1 2 Unterlagen ber Erkrankungen Nach Ziffer 21 Abs 3 der RiLi sind Unterlagen
140. ieht nun die Rechtslage aus In dem Moment in dem Bilder auf Dauer gespeichert und nach bestimmten Kriterien personenbezogen ausgewertet werden k nnen wie z B eine Serie von Kfz Kennzeichen Bilder von Hauseing ngen mit Hausnummern und Bewohnern o w re auf solche Sammlungen das Bundesdatenschutzgesetz BDSG anzuwenden Diese Fragen sind unmittelbar verkn pft mit der Form und Dauer der Speicherung der systematischen Sammlung von Bildern und den M glichkeiten der Auswertung Angesichts der vielf ltigen und intensiven M glichkeiten der berwachung die das vorgef hrte System bietet w rde es den tats chlichen Umst nden aber nicht gerecht wenn man auf alle Vorg nge die allgemeinen Bestimmungen des BDSG anwenden w rde Das BDSG ist bisher weder den neuen Bedingungen angepa t worden die die EU Datenschutz Richtlinie setzt noch hat der Gesetzgeber bei Erla dieser Vorschriften jemals auch nur im entferntesten an die dramatische technische Weiterentwicklung im Videobereich und die Verkn pfung dieser Technik mit einem Computer sowie an die M glichkeiten moderner Bildbe und verarbeitung gedacht Eine rechtliche Gestaltung des Einsatzes derartiger Videotechnik kann daher datenschutzrechtlich nur in einer bereichsspezifischen Regelung getroffen werden Eine rudiment re Regelung ist diesbez glich mit 6b BDSG Novelle in Diskussion Weiter verbleibt die Verpflichtung des Wohnungsunternehmens das allgemeine Pers nlichkeitsrecht
141. iese Differenzierung zwischen Daten von Bund und Land fallengelassen wird Eine Alternative w re ein kostenloses Angebot der f r INPOL neu ent wickelten Datenbanksoftware f r die L nder durch das BKA Ein weiterer offener Punkt ist die Protokollierung Das BKA sieht eine Protokollierung aller Transaktio nen vor m chte aber nur 10 der Protokolldaten f r Zwecke der Datenschutzkontrolle zur Verf gung stellen Die L nder sprechen sich f r eine Vollprotokollierung der positiven Abfragen Treffer aus Der BfD hat ein Thesenpapier zur Protokollierung von Abrufen des polizeilichen Informationssystems INPOL neu vorgelegt Eine Stellungnahme durch den BfD ist noch nicht erfolgt Ich werde mich weiterhin in regelm igen Zeitabst nden ber die Entwicklung der einzelnen Stufen und deren Umsetzung informieren 6 2 3 Neues polizeiliches Landesinformationssystem Ich habe bereits im letzten Bericht vgl 21 JB Ziff 9 4 2 ber die Auswirkungen bei der Einf hrung von INPOL neu auf die polizeiliche Informationsverarbeitung im Lande Bremen berichtet Im Berichts zeitraum habe ich mich bei der Polizei ber die Entwicklungen im Bereich Hard und Software Be 36 schaffung und die daraus resultierenden organisatorischen Ma nahmen informiert Im Herbst wurde eine Arbeitsgruppe f r die Evaluation eines Vorgangsbearbeitungssystems f r die Polizei einschlie lich Wasserschutzpolizei und Polizei Bremerhaven gegr ndet Im Fr hjahr sol
142. ieser Vorg nge greift daher tief in das Telekommunikationsgeheimnis der Betroffenen ein und ber hrt auf empfindliche Weise die Informationsfreiheit und den Schutz besonderer Vertrauensverh ltnisse Die bisherige rechtliche Grundlage f r den Zugriff der Strafverfolgungsbeh rden auf Verbindungsdaten in 12 des Fernmeldeanlagengesetzes FAG stammt noch aus einer Zeit in der die analoge Vermittlungstechnik vorherrschte nicht f r jedes Gespr ch personenbezogene 111 Verbindungsdaten erzeugt wurden und die Telekommunikationsdienste in wesentlich geringerem Ma e als heute genutzt wurden Die Vorschrift erlaubt auch Zugriffe auf Verbindungsdaten wegen unbedeutenden Straftaten bei denen eine inhaltliche berwachung der Telekommunikation unzul ssig w re Unter Ber cksichtigung der Digitaltechnik der vollst ndigen Datenerfassung und der M glichkeit zur Bildung von Verhaltensprofilen verst t 12 FAG daher gegen den Verh ltnism igkeitsgrundsatz und ist somit nicht mehr geeignet Eingriffe in das Telekommunikationsgeheimnis zu rechtfertigen In einem fr heren Gesetzesentwurf war vorgesehen den Zugriff auf Verbindungsdaten grunds tzlich auf nicht wnerhebliche Straftaten zu beschr nken Beschlossen wurde aber lediglich die unver nderte Fortgeltung des 12 FAG zuletzt befristet bis zum 31 12 1999 Nunmehr wollen der Bundesrat und die Justizministerkonferenz die Befristung f r die Weitergeltung dieser Vorschrift aufheben und
143. iff 16 7 16 7 6 Ausl nderbeh rde 2 Ziff 6 6 1 6 6 3 B BDSG Novelle n Ziff 16 10 17 1 18 1 Berufsgeheimnis Ziff 2 2 6 1 4 8 5 Betriebliche Datenschutzbeauftragte Ziff 1 7 Bewerbungsunterlagen Vernichtung Ziff 16 3 Bild und Tonaufzeichnungen aus Wohnungen urssnssnnnnnennnneenennnnnnenrnnnarn Ziff 6 1 3 Bremen Online Service BOS Ziff 3 1 Bremisches Verwaltungsnetz BVN Brustkrebs Screening nneeenee Ziff 8 2 BSAG area Ziff 16 7 3 c Call Center Ziff 16 2 17 2 Chipkarte f r Asylbewerber Ziff 6 6 1 CGhipsmobil 2 22 822 sn ziff 12 1 GOOKIE 4 2 20a ee ET Ziff 1 5 D Datenexport in Drittstaaten Ziff 16 11 DatenschutzausschUu nenemnnnsenneneenenenenen Ziff 4 Digitale Signatur eneeeeeeee Ziff 3 4 3 DNA Analyse nnnneee Ziff 6 2 5 7 9 18 12 E E Commerce san Ziff 1 2 Einb rgerungsverfahren elektronisches Ziff 6 6 2 Eingaben 4 2 2a Ziff 1 7 6 2 7 Elektronisches Ticket Ziff 16 7 3 EMail etante Ziff 1 5 2 2 3 4 E Mail Server annnssessensensensennennennenn Ziff 6 2 4 7 5 EU Datenschutz Richtlinie Ziff 1 5 1 9 G GeldK afle 2 anna Ziff 16 7 4 Geldw schepr vention der Kreditwirtschaft eeseseeeesersensennenn
144. ine Protokollauswertung kann zwar einen Polizeibeamten belasten sie kann aber eben auch einen Verdacht entkr ften So war es im vorliegenden Fall der Verdacht des B rgers best tigte sich nicht 6 3 Meldewesen 6 3 1 nderung des Landesmeldegesetzes noch keine Fortschritte Die obsuleten nderungen des Landesmeldegesetzes vgl auch 20 JB Ziff 12 8 und 21 JB Ziff 9 6 efolgten bisher nicht Obwohl dem Datenschutzausschu der Bremischen B rgerschaft bereits in der letzten Legislaturperiode Zusagen seitens des Innensenators gemacht worden sind ist es auch im Berichtsjahr nicht zur Vorlage eines Gesetzentwurfes gekommen Es lag bis zum Redaktionsschlu dieses Berichtes noch nicht einmal ein Referentenentwurf vor Im Datenschutzausschu der Bremischen B rgerschaft wurde im Zusammenhang mit der Diskussion meines letzten Jahresberichts ausf hrlich auch ber die Stagnation im Melderecht diskutiert Im DatenschutzausschuB wurde der Vorgang als Mi achtung eines eindeutig ge u erten parlamentarischen Willens ger gt Der Datenschutzausschu erwartet da ein Entwurf unverz glich erstellt wird und der Bremischen B rgerschaft Landtag so rechtzeitig vorgelegt wird da das Gesetz noch im Laufe des Jahres 2000 in Kraft treten kann vgl Ziff 4 1 6 3 2 M ngel bei der bermittlung von Meldedaten an die Parteien vor der B rgerschaftswahl Auch der folgende Sachverhalt war bereits Gegenstand der Beratungen des Datenschutza
145. inwilligung des Betroffenen kompensiert werden k nne verm ge nicht zu berzeugen Der 50 Generalstaatsanwalt Bremen teile seine Auffassung Mit dem Leitenden Oberstaatsanwalt Bremen sei abgesprochen da auch bei Vorliegen einer Einverst ndniserkl rung des Betroffenen ein richterlicher Beschlu erwirkt werden solle Es bleibt abzuwarten wie die Rechtsprechung zum Richtervorbehalt des 81f StPO sich entwickeln wird 51 8 Gesundheit und Krankenversicherung 8 1 Bremer Krebsregister In meinem 20 JB unter Ziff 14 1 und in meinem 21 JB unter Ziff 11 1 hatte ich ber die Besonderheiten des im Oktober 1997 in Kraft getretenen Bremischen Krebsregistergesetzes und ber die Probleme bei der Einrichtung des Registers berichtet Der nachfolgend geschilderte Sachverhalt ist bereits im Datenschutzausschu behandelt worden vgl Ziff 4 1 Zwei Besonderheiten haben mich dazu veranla t sowohl die Vorbereitung des Gesetzes als auch die Installation des Registers mit besonderer Aufmerksamkeit zu begleiten Die Vertrauensstelle die die Meldungen der rzte und Kliniken entgegennimmt bermittelt zwar unverz glich den medizinischen Datensatz an die Registerstelle speichert aber die Identit tsdaten auf Dauer zwecks Ausschlu von Doppelmeldungen zur Reidentifizierung der gemeldeten Patienten f r wissenschaftiiche Untersuchungen und f r Ausk nfte an Betroffene Als Risikoausgleich gibt das bremische Gesetz der Vert
146. inzip werde unver meidlich eine gro e Mehrheit Unbeteiligter in Abh rma nahmen einbeziehen Eine ausreichende Datenschutzkontrolle durch den Bundesbeauftragten sei nicht gegeben Die Unterrichtung der Betrof fenen erfolge unzul nglich Das Bundesverfassungsgericht hat erstmals am 5 Juli 1995 und dann durch regelm ig wiederholte Beschl sse den Vollzug der Neuregelung partiell au er Kraft gesetzt F r die Verwendung von durch den BND aufgezeichneten Daten und deren Weitergabe an die Sicherheitsbeh rden verlangten die Richter bestimmte Tatsachen statt lediglich so die Gesetzesfassung tats chliche Anhaltspunkte f r die Begr ndung eines Verdachts f r eine Tatplanung oder begehung Schon die Begr ndung der einstweiligen Anordnung lie erkennen wie hoch die Verfassungsrichter die Eingriffswirkung der neu eingef hrten Ma nahmen einsch tzten So verwundert es nicht da der Inhalt des Judikats vom 14 Juli 1999einige zentrale Bedenken auf greift indem es mehrere der 1994 eingef hrten BNDG Bestimmungen f r mit dem Gundgesetz w vereinbar erkl rt Der Gesetzgeber erh lt eine Frist bis zum 30 Juni 2001 um den verfassungs m igen Zustand wiederherzustellen Im brigen werden aber die Verfassungsbeschwerden zur ck gewiesen Entscheidender Wermutstropfen des Urteils ist da das Gericht die Zweck nderung von BND Informationen f r Zwecke der Strafverfolgung mit anderen Worten die Verwendung m
147. ird es zu einem ersten Meinungsaustausch ber von mir erarbeitete Vorschl ge zur Verbesserung des Datenschutzes bei der BSAG kommen Im Vordergrund stehen dabei ein berschaubarer Zeitraum in dem der Fahrschein mit Daten der Bezahlfunktion der Geldkarte verkn pft ist M glichkeiten individueller L schung abgelaufener Fahrscheine auf der Karte durch den Karteninhaber 88 keine kartenbezogenen Auswertungen aller Fahrscheindaten ohne Einwilligung des Betroffenen und gt Zugriffe bei jeweiligen Kontrollen nur auf die Fahrscheindaten im Verzeichnis die f r den jeweiligen Fahrtabschnitt erforderlich sind Bei einer fr hzeitigen Beteiligung der Aufsichtsbeh rden durch die Kreditwirtschaft im Stadium der Planung w ren einige Punkte sicherlich leichter zu realisieren gewesen Gleichwohl gehe ich davon aus da eine Nachbesserung ohne gro en Aufwand m glich sein wird da die Forderungen die Anwendung im Kernbereich nicht tangieren Im ersten Halbjahr 2000 werden die in Bremen erzielten Ergebnisse auf Bundesebene diskutiert werden 16 7 4 GeldKarte Die AG Kreditwirtschaft ist ein Beratungsgremium An ihr nehmen Vertreter der Datenschutzaufsichtsbeh rden und des Zentralen Kreditausschusses ZKA dem Zusammenschlu der drei gro en Spitzenverb nde des Kreditgewerbes BdB BVR und DSGV teil Im vergangenen Jahr standen f r die Bremer Aufsichtsbeh rde zwei Themen im Vordergrund der Beratungen in diesem Kr
148. ister der L nder in Abstimmung mit den wichtigsten organisierten Beteiligten am Gesundheitswesen ist ein Dokument mit dem Namen Charta der Patientenrechte Charta vorgestellt worden Leider schlie en sowohl diese Charta selbst die letztlich auf Wunsch der Bundes rztekammer auf einen Gemeinsamen Standpunkt herabgestuft wurde als auch ein abgespecktes Konkurrenzpapier das eben diese Bundes rztekammer unter der Bezeichnung Charta der Patientenrechte der ffentlichkeit vorstellte Charta Il das Einsichtsrecht des behandelten Patienten in subjektive Aufzeichnungen und Bewertungen des Arztes aus Immerhin wurde auf Intervention der erst sp t zu den Beratungen hinzugezogenen Datenschutzbeauftragen in das erstgenannte gemeinsame Dokument der Hinweis aufgenommen da aus datenschutzrechtlicher Sicht auch dieser Teil der rztlichen Aufzeichnungen zu offenbaren sei Die Datenschutzbeauftragten legten auf diesen Zusatz insbesondere deshalb solchen Wert weil der Standpunkt der anderen Beteiligten dazu f hrt da psychiatrisch oder psychotherapeutisch behandelten Patienten das Einsichtsrecht in seinem Kern vorenthalten bleibt denn welche rztliche u erungen in diesem Zusammenhang sind eigentlich nicht subjektiver Art Zwar m gen auch bei Psychiatriepatienten Blutdruck und Temperatur gemessen werden um diese objektiven Werte aber wird es dem Einsicht begehrenden Patienten nur selten gehen 57 Beide Dokumente zu den Patien
149. it nachrichten dienstlichen Mitteln erlangter Informationen in Ermittlungsverfahren in denen bisher die personen bezogenen Erkenntnisse mit den Mitteln und unter den Kautelen der Strafproze ordnung beschafft werden mu ten im Grundsatz anerkannt hat Anders ausgedr ckt Das Trennungsgebot wurde mit h chstrichterlichem Segen aufgeweicht F r die bermittlung vom BND an die Sicherheitsbeh rden hat das BVerfG allerdings oder je nach Sichtweise nur die Einhaltung der Verh ltnism igkeit als gesetzliche bermittlungsschwelle ange mahnt s o Diesem Pr fungsma stab ist zwar zun chst nur die im Ausland begangene Geld f lschung zum Opfer gefallen und auch nur dann wenn sie nicht die Geldwertstabilit t der Bundes republik Deutschland bedroht Doch h lt dar ber hinaus dem Gericht den umfangreichen Deliktskata log f r die zul ssigen bermittlungen der auch mittelschwere Taten wie z B die Euroscheck F l schung enth lt nur f r tolerabel wenn daf r die Voraussetzungen f r den Tatverdacht bzw die Tat prognose versch rft werden 12 2 1 2 Bekr ftigung der Grunds tze des Volksz hlungsurteils Ist die vielfach ge u erte Kritik zu desem zentralen Punkt des Trennungsgebots auch durchaus ver st ndlich gibt es gleichwohl viele gute Gr nde f r eine Bewertung der Entscheidung die die Bedeu tung der St rkung des Art 10 GG und die Bekr ftigung der Grunds tze des Volksz hlungsurteils aus dem Jahr 1983 in de
150. it weiterhin in der Pflicht 6 5 2 Datenzugang f r Zwecke der Forschung Den datenschutzrechtlichen Anforderungen besser angepa t werden sollten auch die Bestimmungen des Personenstandsgesetzes die die Einsicht in die Personenstandsb cher deren Durchsicht und die Erteilung von Personenstandsurkunden regeln derzeit 61 PStG Immer wieder erhalte ich gerade zur datenschutzrechtliichen Auslegung des 61 PStG Anfragen von Wissenschaftlern Ahnenforschern oder Medienvertretern die sich bei mir dar ber beklagen von den Standes mtern keine Ausk nfte zu erhalten obwohl die Person nach der sie sich dort erkundigten l ngst verstorben ist Durch die Weigerung der Standes mter ihnen Auskunft zu erteilen seien sie nicht in der Lage ihre Forschungsaktivit ten fortzusetzen bzw abschlie end durchzuf hren Die Standes mter begr nden ihre Entscheidung zumeist damit da die restriktive Rechtssituation nichts anderes zulie e Ausk nfte d rften an Personen die nicht Ehegatten Vorfahren oder Abk mmlinge sind nur erteilt werden wenn hierf r ein rechtliches Interesse bestehe Auch berechtigte Interessen hinsichtlich bedeutsamer Informationen ber Personen die w hrend der Zeit des Dritten Reichs lebten wurden auf diesem Wege z B nicht erf llt Aus meiner Sicht erscheinen hier andere L sungsm glichkeiten denkbar die den Datenschutzanliegen der Betroffenen entsprechen die aber durch entsprechende gesetzgeberische Ver nderungen
151. itarbeiter auf das Datengeheimnis und bei der Gestaltung des Vertragsverh ltnisses zur Auftragsdatenverarbeitung Bei dem gepr ften Internet Provider habe ich in allen Pr fpunkten M ngel feststellen m ssen 17 4 Bu geldverfahren Gegen eine private Abrechnungsgesellschaft hatte ich in 1998 ein Bu geldverfahren wegen Versto es gegen die Meldepflicht nach 32 BDSG eingeleitet dieses Verfahren habe ich eingestellt Das im Vorjahr gegen eine bei mir gemeldete Wirtschafts und Handelsauskunftei eingeleitete Bu geldverfahren wegen unzureichender Benachrichtigung von Betroffenen nach 33 Abs 1 BDSG wurde im Berichtsjahr vom Amtsgericht Bremerhaven gem 47 Abs 2 OwiG eingestellt Ein Versicherungsunternehmen da mir auf einen von einem Ehepaar behaupteten Datenschutzversto zun chst keine Antwort gab reagierte sofort nachdem ich mit einer Anh rung die Verh ngung eines Bu geldes angedroht hatte 18 Die Entschlie ungen der Datenschutzkonferenzen im Jahr 1999 18 1 Modernisierung des Datenschutzes umfassende Novellierung des BDSG nicht aufschieben Entschlie ung der 57 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 25 26 M rz 1999 Die deutschen Datenschutzbeauftragten haben bereits fr h gefordert die Novellierung des BDSG zur Umsetzung der EG Datenschutzrichtliniie zu einer gr ndlichen Modernisierung des veralteten deutschen Datenschutzrechts zu nutzen Da die dreij hrige Anpassungsfrist im O
152. izeilicher Ma nahmen als Ma stab legislativen Handelns spielen bei einer vornehmlich an den praktischen Bed rfnissen der Polizei ausgerichteten Gesetzgebung dagegen oft nur eine unter geordnete Rolle Anliegen des Datenschutzes ist es sicherzustellen da nicht eine Umkehrung der Rolle und damit auch eine Umkehrung der Beweispflicht der B rger bei der Informationsverarbeitung eintritt Es darf nicht passieren da jedermann als potentielles Sicherheitsrisiko eingestuft werden und daher jeder zeit in Anspruch genommen werden kann es sei denn er oder ihn begleitende Dritte beweisen da 32 sie kein Sicherheitsrisiko darstellen Ein weiteres Anliegen des Datenschutzes ist die Normen so pr zise zur formulieren und die Tatbestandsvoraussetzungen so klar zu beschreiben da nur dann ein Eingriff in das informationelle Selbstbestimmungsrecht erfolgen darf wenn die tats chliche Situation auch der jeweils vom Gesetzgeber angenommenen Gefahrenlage entspricht Schlie lich wird versucht durch gesetzlich vorgeschriebene Verfahrensvorschriften eine ausufernde Anwendungspraxis zu verhindern Die Entscheidung dar ber welche Methoden zur Datenerhebung im Lande der Polizei zur Verf gung gestellt werden sollen ist aber zun chst auch politischer Natur und daher insoweit den parlamentari schen Beratungen berantwortet 6 1 3 Inhalt des Gesetzentwurfs Abweichend von den Regelungen des bisherigen Polizeigesetzes werden im Gesetzentwu
153. kenunterlagen der Stadtgemeinde Bremen zu f hren hatte Diese beschr nkte die Einsicht gleichfalls auf objektive Feststellungen Auch mein Hinweis da 5 des Bremischen Krankenhausdatenschutzgesetzes diese Einschr nkung nicht vorsehe fruchtete zun chst nicht Die Auffassung der Datenschutzbeauftragten st tzt auch der Beschlu des Bundesverfassungsgerichts vom 16 09 98 BVerfGE RDV 1999 S 216 der die Rechtsprechung des Bundesgerichtshofs aus den Achtzigerjahren aufgreift Das Gericht stellt fest da das im Recht auf Selbstbestimmung in der personalen W rde des Patienten begr ndete Einsichtsrecht sich grunds tzlich auf die gesamte rztliche Dokumentation bezieht Nur wegen entgegenstehender gleichfalls grundrechtlich fundierter Interessen des Arztes oder Dritter sowie wegen therapeutischer Vorbehalte d h der begr ndeten Bef rchtung da der Patient durch die Einsichtnahme gesundheitlichen Schaden nehmen k nne k nne das Einsichtsrecht eingeschr nkt werden Der Arzt d rfe nicht auch nicht nach einer psychiatrischen Behandlung pauschal die Einsicht in nicht objektivierbare Befunde verweigern sondern m sse die entgegenstehenden Gr nde n her kennzeichnen Auf meinen entsprechenden Hinweis hin wurde zun chst die Richtlinie berarbeitet und der Rechtsprechung angepa t 8 7 Elektronischer Arztbrief Vernetzte Praxen Integrierte Versorgung Elektronische Patientenakte Im Land Bremen wird eine Reihe von Projekte
154. klung im Bereich der Informationstechnik die zu neuen Industriestandards und Produkten f hrt die f r die Benutzerinnen und Benutzer kaum durchschaubar und selbst f r Fachleute nur noch eingeschr nkt revisionsf hig sind Beispielsweise sind seit kurzem mit dem Intel Pentium Ill Prozessor best ckte PCs auf dem Markt deren Prozessor bei der Herstellung mit einer eindeutigen Nummer Processor Serial Number PSN versehen wurde Intel sieht vor das Auslesen der PSN durch die Nutzerinnen und Nutzer kontrollieren zu lassen Die mittlerweile bekannt gewordenen Manipulationsm glichkeiten der daf r erforderlichen Software machen deutlich da die Existenz einer solchen eindeutigen Kennung kaum kontrollierbare Nutzungsm glichkeiten er ffnet die dem Datenschutz diametral zuwider laufen Die durch den Intel Pentium III initiierte Debatte um eindeutige Kennungen brachte ans Tageslicht da Softwarehersteller Nutzern neuerer Office Produkte ohne deren Wissen eindeutige Kennungen zuordnen Diese Kennungen k nnen in Dokumenten versteckt sein und bei der Nutzung des hternets von Softwareherstellern verdeckt abgefragt werden Werden Daten der Nutzerinnen und Nutzer bermittelt ohne da sie dies bemerken kann deren mi br uchliche Verwendung die Anonymit t der Anwender von Informationstechnik weiter aush hlen Den Erfordernissen des Datenschutzes wird aber nur dann ausreichend Rechnung getragen wenn zum Schutz der Privatheit transparente un
155. ktionsbetrieb soll Mitte 2002 aufgenommen werden wobei Test und Produk tionsbetrieb zeitlich begrenzt parallel laufen sollen Mit Aufnahme des Produktionsbetriebes wird die Abschaltung der Falldateien aus INPOL alt erfolgen Entw rfe f r die Errichtungsanordnungen zu den Anwendungen von INPOL neu sind dem BfD vorge legt worden Die Entw rfe sollen gemeinsam von der INPOL Arbeitsgruppe der INPOL Projektgruppe dem BMI und dem BfD beraten werden Ungekl rt ist noch die Migration der in INPOL alt gespeicherten Daten in INPOL neu Vorgesehen ist Daten die nicht die Kriterien des BKAG erf llen nicht ungepr ft in INPOL neu zu berf hren Eine automatisierte Filterung der Daten ist mangels Definition von Kriterien nicht m glich Unklar ist immer noch die Frage eigener Landesdatenhaltungen oder Auftragsdatenverarbeitung durch das BKA Die Innenverwaltungen einiger L nder favorisieren eine Auftragsdatenverarbeitung durch das BKA um sich zu entlasten Der Bundesbeauftragte f r den Datenschutz BfD und eine Reihe von Landesbeauftragten f r den Datenschutz sprechen sich dagegen aus da aus Sicht der Datenschutzbeauftragten eine zentrale Datenhaltung f r Deutschland entstehen w rde Auch sieht das BKA Gesetz eine Auftragsdatenverarbeitung in diesem Umfang nicht vor Aus der Sicht des Datenschutzes ist bei enger technischer Abstimmung ein eigenes System f r die L nderdaten zu favo risieren weil sonst langfristig zu bef rchten ist da d
156. ktionsdaten Abk rzung SEKT berichtet Gegenstand dieser Anwendung ist die verschl sselte und doppelt signierte bertragung von Daten zur Zahlbarmachung von Auszahlungen und zur Entgegennahme von Einnahmen im Verkehr zwischen den einzelnen Haushalts und Rechnungsstellen in den bremischen Beh rden und der Landeshauptkasse jetzt Performa Nord Bei der Konzeption dieses Projektes hatten mich der Senator f r Finanzen und das ehemalige Tul Referat der Senatskommission f r das Personalwesen fr hzeitig beteiligt Wie wichtig diese Beteiligung ist wird besonders deutlich weil dieses ehrgeizige Projekt auf Grund der hochkomplexen 74 Sicherheitstools immer noch nicht zur Zufriedenheit l uft Offensichtlich treten die Schwierigkeiten insbesondere bei den Nutzern auf die nicht in das eigentliche Verwaltungsnetz integriert sind 12 3 Unvollst ndige Aufkl rung der Schuldner der LHK Die Gerichtskasse der Landeshauptkasse jetzt Performa Nord ist f r die Einziehung von durch Gerichte festgesetzte Forderungen der Freien Hansestadt Bremen zust ndig Um diese Aufgabe zu erledigen steht ihr ein umfassendes Instrumentarium zur Durchsetzung der Anspr che zur Verf gung Sie kann Pf ndung und berweisungsbeschl sse erwirken Abtretungserkl rungen entgegennehmen die eidesstattliche Versicherung zum Verm gen gem 807 ZPO erwirken und Ratenzahlungen und Stundungen mit den Schuldnern vereinbaren Um ihre Informationsbasis zu
157. ktober 1998 verstrichen ist besteht jetzt ein erheblicher Zeitdruck F r die Neuregelung die derzeit in der Bundesregierung und in Koalitionsgremien vorbereitet wird ist daher ein Zwei Stufen Konzept vorgesehen Einem ersten in K rze vorzulegenden Novellierungsgesetz soll zu einem sp teren 100 Zeitpunkt eine zweite nderung folgen die weitere Verbesserungen enthalten soll Die Konferenz geht davon aus da das Zweistufenkonzept von dem festen politischen Willen getragen wird die zweite Stufe nach Einbindung des ersten Gesetzentwurfes z gig in Angriff zu nehmen und noch in dieser Legislaturperiode abzuschlie en Auch der in dieser Stufe bestehende Handlungsbedarf duldet keinen Aufschub Die Konferenz begr t da jetzt mit Hochdruck an der BDSG Novellierung gearbeitet wird und Verantwortliche in Regierung und Fraktionen zugesagt haben die erste Stufe der Neuregelung werde sich nicht auf das von der Richtlinie geforderte Minimum beschr nken Sie unterst tzt die Vorschl ge Regelungen zur Video berwachung zu Chipkarten und zum Datenschutzaudit aufzunehmen Gleiches gilt f r die bernahme der zukunftsweisenden Bestimmungen zur Datenvermeidung sowie zur anonymen bzw pseudonymen Nutzung von Telediensten aus dem Multimediarecht Diese snd wichtige und dringend notwendige Regelungen zur Modernisierung des Datenschutzrechts Die Konferenz dr ckt daher ihre Erwartung dar ber aus da diese Vorschriften in der ersten Stufe des
158. l die Auswahl getroffen und der Einf hrungsproze gestartet werden Die Polizei hat meinen Hinweis ber die Verbesserung des Zugangsschutzes zu den Systemen vgl 21 JB Ziff 9 4 3 aufgegriffen Die neubeschafften PC verf gen ber eine Cherry Tastatur mit inte griertem Chipkarten Leseger t Die Anmeldung ber Chipkarte wird umgehend nach Lieferung der Karten umgesetzt Bis dahin wird der Zugangsschutz ber das Betriebssystem gew hrleistet Nach Entfernen der Karte aus dem Leseger t soll automatisch eine Abmeldung des laufenden Programms erfolgen und der Anmeldebildschirm angezeigt werden Die Polizei hat zugesagt den bisherigen Standard der Protokollierung bei Abfragen beizubehalten 6 2 4 E Mail Server bei der Polizei Die durch den Umzug des Polizeipr sidiums vorgenommene Neukonzeption der DV Landschaft bein haltet die Einf hrung von E Mail f r den Polizeibereich F r die Polizei wird eine eigene Dom ne ein gerichtet ber einen Server mit zwei Netzkarten werden die Verbindungen zum BVN und zum ISA D Netz realisiert Vor der Einf hrung wurden mir ein Konzept eine Benutzerordnung und eine Dienstanweisung f r den E Mail Einsatz vorgelegt Wichtige Punkte der Benutzerordnung sind u a der Verzicht auf die Versendung sensibler personenbezogener Daten ohne Verschl sselung sowie die Verschl sselung von Attachments gt ein Hinweis auf Sicherung der Nachrichten und Dateianh nge durch eine digitale Signatur gt eine
159. l zu den Abh rbefugnissen des Bundesnachrich tendienstes vgl Ziff 2 1 diese Gef hrdung auf den Punkt gebracht Die Bef rchtung einer berwa chung kann schon im Vorfeld zu einer Befangenheit in der Kommunikation zu Kommunikations st rungen und zu Verhaltensanpassungen f hren Der Landesbeauftragte f r den Datenschutz Bremen hat zusammen mit den Datenschutzbeauftragten Berlin Brandenburg Nordrhein Westfalen und Schleswig Holstein angesichts dieser aktuellen techni schen und rechtlichen Entwicklungen am 25 August 1999 vor der Bundespressekonferenz in Berlin eine eindeutige Kehrtwende der deutschen Telekommunikationspolitik gefordert Das Konzept staat liche Kontrollen auf immer mehr Bereiche der elektronischen Kommunikation auszudehnen mu auf gegeben werden Statt dessen mu der Staat das Telekommunikationsgeheimnis der B rgerinnen und B rger aktiv und wirksam sch tzen ggf in einem besonderen Gesetz zur Sicherung der freien Telekommunikation Folgende Forderungen im einzelnen wurden vorgetragen Alle Telekommunikationsanbieter sind bei der Gesch ftsabwicklung zu Datensparsamkeit und Datenvermeidung zu verpflichten Optionen f r anonyme und pseudonyme Nutzungen sind zur Verf gung zu stellen Verschl sselung ist als kostenlose Standardleistung anzubieten Das Eckpunktepapier der Bun desregierung zur deutschen Kryptopolitik ist ein wichtiger Schritt in die richtige Richtung gt Ein Mediennutzu
160. lcher Begleitung sie den Weg begangen haben sondern auch in welcher Stimmung mit welchem Gesichtsausdruck etc sie dies getan haben Die hierin liegende Beeintr chtigung der Kl ger werde nicht dadurch gemindert da die beklagte Partei die Videoaufzeichnung nach berpr fung wieder l sche Diee BGH Entscheidung macht deutlich da die Installation und Inbetriebnahme der vorgef hrten Video berwachungsanlage mit erheblichen rechtlichen Risiken verbunden ist solange der Gesetzgeber keine klaren Vorgaben gemacht hat unter welchen Bedingungen und in welchem Umfange zum Schutze anderer Rechtsg ter in die allgemeinen Pers nlichkeitsrechte Dritter eingegriffen werden darf Angesichts dieser Rechtslage habe ich das Wohnungsunternehmen 82 gebeten noch einmal zu berpr fen ob eine derartige Video berwachungsanlage eingef hrt werden soll oder ob nicht andere weniger gravierende Ma nahmen zum Schutze der Anlagen des Wohnungsunternehmens und zur Sicherheit der Bewohner getroffen werden k nnen Sollte sie sich dennoch f r den Einsatz einer solchen Video berwachungsanlage entscheiden w rden die rechtlichen Bedenken gegen den Einsatz einer solchen Anlage jedenfalls in dem Ma e geringer als die berwachungsanlage durch technische Vorwahl so ausgestaltet w rde da zwar Personen an sich und deren Handlungen ber den Bildschirm wahrnehmbar w ren die einzelne Identit t der Personen aber nicht individualisiert und personenbezie
161. ler zugestanden und ein B roversehen daf r verantwortlich gemacht Im Ergebnis ist festzuhalten da in einem solchen Fall einem Makler und damit auch seinem Rechtsanwalt Auskunft aus Grundbuch und Grundakte dar ber zu geben ist ob einer seiner Klienten das Grundst ck erworben hat dar ber hinaus auch ber die H he des Kaufpreises wenn es darum geht sich ber die Entstehung und H he eines Provisionsanspruchs zu vergewissern 79 DNA Analyse von K rperzellen nur mit richterlicher Anordnung Die Konferenz der Datenschutzbeauftragen des Bundes und der L nder hat aufgrund der Entwicklung in einigen L ndern darauf hingewiesen da eine Untersuchung von DNA Material zum Zwecke der Identit tsfeststellung in k nftigen Strafverfahren nach den Vorschriften der StPO nur auf Anordnung des Richters erfolgen darf vgl Ziff 18 12 Dies habe ich auch dem Senator f r Justiz und Verfassung mitgeteilt Ich konnte feststellen da kein Dissens besteht denn der Senator f r Justiz und Verfassung erkl rte dazu in einem Schreiben da in seinem Gesch ftsbereich die Auffassung vertreten werde da die molekulargenetische Untersuchung von K rperzellen f r Zwecke der Identit tsfeststellung in k nftigen Strafverfahren ausschlie lich auf der Grundlage einer richterlichen Anordnung nach 81g Abs 3 i V m 81f StPO bzw 2 Abs 2 DNA IFG i V m 81f StPO erfolgen d rfe Die Gegenmeinung wonach die fehlende richterliche Anordnung durch die E
162. les selbst und der sie interpretierenden Texte Frequentiy Asked Questions war Ende 1999 noch teilweise in der Diskussion Schwer tut sich die europ ische Seite auch mit dem Wunsch der US Regierung den amerikanischen Firmen eine berganggstrist grace period einzur umen Diese u erst schwierigen Verhandlungen werden sowohl von den Datenschutzinstanzen der Mitgliedstaaten in der Art 29 Gruppe als auch von den nationalen Regierungsvertretern in der Art 31 Gruppe intensiv begleitet Beide Gespr chspartner EG Kommission und US Regierung sind dringend 97 an einer schnellen L sung interessiert um Probleme im transatlantischen Datenverkehr zu verhindern die insbesondere in den Bereichen Kreditkarten Flugreservierung Kreditinformationen und Direktmarketing auftauchen k nnten Dabei hat die EG Seite allerdings insofern eine besondere Datenschutzverantwortung als der mit den USA vereinbarte Rechtsrahmen auch anderen Drittstaaten angeboten werden mu Er kann damit zu einer Art Weltstandard f r den Umgang mit ins Ausland bermittelten Daten europ ischer B rgerinnen und B rger werden 17 Meldepflichtige Stellen Statistische bersicht Pr fergebnisse Bu geldverfahren 17 1 Umstellung des Registers nach BDSG Novellierung Durch die zu erwartende Novellierung des BDSG wird sich die Meldepflicht der nicht ffentlichen Stellen gegen ber den Datenschutzaufsichtsbeh rden sowohl was den Kreis der verpflichteten S
163. licher Gemeinschaft lebender Lebenspartner bin ist Eigent mer eines selbst bewohnten Ein oder Zweifamilienhauses f r das eine Wohngeb udeversicherung bei a Versicherungsunternehmen des Kfz Versicherers b einer anderen Gesellschaft besteht Bitte Nachweis beif gen Die gleiche Frage bezieht sich auf eine selbst bewohnte Eigentumswohnung Auch hier wird ein Nachweis erbeten 94 Das Versicherungsunternehmen hat daraufhin mir gegen ber erkl rt da bei Haus und Wohnungseigentum ein Preisnachla in der Kfz Versicherung nur gew hrt wird wenn diese beim gleichen Versicherungsunternehmen versichert sind Aus meiner Sicht sollte die Frage sich pr zise nur auf diese Konstellation beziehen und nicht alle Haus und Wohnungseigent mer verpflichtet werden durch Beif gung einer entsprechenden Versicherungsbescheinigung dem Versicherungsunternehmen nicht ben tigte Informationen mitzuliefern Zur Frage nach dem Geburtsdatum des j ngsten Kindes wurde von dem Versicherungsunternehmen geantwortet man habe herausgefunden da Kraftfahrzeughalter mit Kindern vorsichtiger fahren w rden Auch hier erscheint mir ausreichend wenn man lediglich das Geburtsjahr des Kindes abfragen w rde nicht hingegen auch noch Tag und Monat Im konkreten Fall habe ich daher die zust ndige Datenschutzaufsichtsbeh rde informiert und sie gebeten den aufgeworfenen Datenschutzfragen nachzugehen Insgesamt liegt auf der Hand da die abgefragten Daten
164. licht bei Kooperation zwischen Krankenh usern 56 Recht des Patienten auf Einsicht in seine Krankenunterlagen Charta der Patientenrechte und Richtlinie f r Krankenh user der Stadtgemeinde Bremen 444444nn nenne nennen 57 Elektronischer Arztbrief Vernetzte Praxen Integrierte Versorgung Elektronische Patientsnakte r 22 22 ag a aan erada Ha eh een Hrn RN naeh 58 Gesundheitsreform 2000 eine vorerst vertane Chance f r Datenschutz durch Technik 60 Jugend Soziales und Arbeit 444444444nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 62 Kindergarten Informationssystem KIS u 44444nn4nennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 62 Ressortinternes Informationssystem Elektronische Fallakte 44444004e nn 63 Informationsverbund illegale Besch ftigung u 44ss4nnnnnnnnnnnsnnnnnnnnnnnennnnnnnn anna 64 Bildung und Wissenschaft u 44Hennssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 65 RISA ST dIes Ares re een ee ern a A E E ETES 65 10 2 10 3 11 1 11 2 11 3 11 4 12 1 12 2 12 3 12 4 12 4 1 12 4 2 12 4 3 12 4 4 12 4 5 12 4 6 12 4 7 12 4 8 12 5 13 1 13 2 14 1 14 1 1 14 1 2 14 2 14 3 15 15 1 16 1 16 2 16 4 16 5 16 6 16 7 16 7 1 16 7 2 16 7 3 16 7 4 16 7 5 16 7 6 16 8 16 8 1 16 8 2 16 9 16 10 16 11 17 1
165. llt worden war sollte die Erhebung im Rahmen eines wissenschaftliichen Forschungsvorhabens der Universit t Bielefeld durchgef hrt werden deren Mitarbeiter selbst an der Schule die Befragungsaktion vornehmen sollten Nach der Auswertung der erhobenen Daten an der Universit t Bielefeld sollten die Ergebnisse der Befragungsaktion an der Schule im Rahmen einer schulinternen Lehrerfortbildung genutzt werden Den Wunsch vieler Schulen Kriminalit t und Gewalt unter ihren Sch lern mit geeigneten Mitteln zu begegnen halte auch ich f r begr enswert Doch wenn zur Feststellung von Sachverhalten bei Sch lern und Lehrern personenbezogene Daten erhoben werden sollen dann d rfen die datenschutzrechtlichen Anforderungen f r derartige Erhebungsaktionen nicht au er acht gelassen werden Der bremische Gesetzgeber hat die Durchf hrung von Erhebungen Untersuchungen und Forschungsvorhaben an Schulen an strenge rechtliche Voraussetzungen gekn pft die sich im wesentlichen aus dem Gesetz zum Datenschutz im Schulwesen BrSchulDSG und dem Bremischen Datenschutzgesetz BrDSG ergeben In den Bestimmungen dieser Gesetze speziell des 13 BrSchulDSG und des 21 BrDSG ist weitgehend festgelegt was in datenschutzrechtlicher Hinsicht bei der Durchf hrung solcher Vorhaben an Schulen zu beachten ist Bei der Durchf hrung der Datenerhebung zum Thema Jugendkriminalit t und Gewalt in der Schule an der Heinrich Heine Schule wurden die datenschutzrechtliich
166. lte da in diesem Feld von der Polizei Daten erhoben worden sind Sind Daten durch den verdeckten Einsatz technischer Mittel oder mit anderen verdeckten Erhe bungsmethoden von der Polizei gewonnen worden k nnen diese Erkenntnisse selbstverst ndlich auch in anderen Verfahren von Interesse sein Auch k nnten von der Strafproze ordnung aufgebaute Schutzmechanismen dadurch umgangen werden da die Daten durch den pr ventiven Einsatz glei cher Mittel gewonnen w rden um dann im Strafverfahren verwendet zu werden Ich habe daher eine Gleichwertigkeitsregelung gefordert die sicherstellen soll da bei der Verwendung mit besonderen Mitteln und Methoden nach dem Polizeigesetz erhobener und gespeicherter Daten diese Daten f r Zwecke anderer Aufgaben nach dem Polizeigesetz nur verwendet werden d rfen wenn bei den anderen Sachverhalten auch die tatbestandlichen Voraussetzungen f r den Einsatz dieser Mittel gegeben w ren Soweit besondere Verfahrensregelungen vorgesehen sind wie z B richterliche Kontrolle mu genauso wie dieses Prinzip auch in der Strafproze ordnung konsequent durchge halten wird dieses Verfahren auch vorgeschaltet werden wenn diese verdeckt mit besonderen Methoden erhobenen Daten f r ein anderes Verfahren oder f r andere Zwecke nach dem Polizei gesetz verwendet werden sollen Weiter habe ich zur Vereinfachung und besseren bersichtlichkeit m glichst einheitliche Verfahrensregelungen hinsichtlich der Entscheid
167. m 7 8 Oktober 1999 Der Europ ische Rat hat anl lich seiner Zusammenkunft am 4 Juni 1999 in K ln die Ausarbeitung einer Charta der Grundrechte der Europ ischen Union beschlossen In dem Ratsbeschlu hei t es Im gegenw rtigen Entwicklungszustand der Union ist es erforderlich eine Charta dieser Rechte zu erstellen um die berragende Bedeutung der Grundrechte und ihre Tragweite f r die Unionsb rger sichtbar zu verankern Die Datenschutzbeauftragten des Bundes und der L nder unterst tzen nachhaltig die Initiative des Europ ischen Rates zur Ausarbeitung einer europ ischen Grundrechtscharta Sie fordern Bundesregierung Bundestag und Bundesrat auf sich f r die Einf gung eines Grundrechts auf Datenschutz in den zu schaffenden Katalog europ ischer Grundrechte und dessen Verankerung in den Vertr gen der Europ ischen Union einzusetzen Damit w rde der herausragenden Bedeutung des Datenschutzes in der Informationsgesellschaft Rechnung getragen Die europ ische Datenschutzrichtlinie verpflichtet die Mitgliedstaaten zur Gew hrleistung des Schutzes der Grundrechte und Grundfreiheiten und insbesondere des Schutzes der Privatsph re Art 1 Abs 1 Die Datenschutzbeauftragten weisen darauf hin da einige europ ische L nder ein Datenschutzgrundrecht in ihre Verfassung aufgenommen haben in einigen anderen L ndern wurde 109 ihm durch die Rechtsprechung Grundrechtsgeltung zuerkannt In Deutschland wird das vom Bundesve
168. m weiteren Gesetzgebungsverfahren an der Konzeption der Bundesregierung festgehalten werden Der Gesetzentwurf der Bundesregierung differenziert bei der berwachung der Unterhaltung mit Besucherinnen und Besuchern sowie bei der Kontrolle des Textes von Schriftst cken sachgerecht nach Haftgr nden Nur im Falle der Untersuchungshaft wegen Verdunkelungsgefahr sollten diese Ma nahmen unmittelbar und generell durch Gesetz vorgeschrieben werden w hrend sie bei Vorliegen anderer Haftgr nde z B Fluchtgefahr nur im Einzelfall aufgrund richterlicher Anordnung erfolgen d rfen Dar ber hinaus sollte im weiteren Gesetzgebungsverfahren die M glichkeit un berwachter Kontakte der Gefangenen zu nahen Angeh rigen mit Zustimmung der Staatsanwaltschaft auch in F llen der Untersuchungshaft wegen Verdunkelungsgefahr erwogen werden Stichprobenar tige berpr fungen von Schriftst cken durch die Vollzugsanstalt anstelle einer Textkontrolle sollten nicht den gesamten Schriftverkehr einzelner Gefangener umfassen Dies k nnte sich im Ergebnis als verdachtsunabh ngige Totalkontrolle ohne richterliche Entscheidung auswirken Das Recht auf ungehinderten und un berwachten telefonischen Kontakt zwischen Verteidigung und Beschuldigten mu auch in der Uhntersuchungshaft gew hrleistet sein Mit dem rechtsstaatlichen Gebot wirksamer Strafverteidigung w re es nicht vereinbar diesen Kontakt von einer besonderen Erlaubnis des Gerichts abh ngig zu machen wie v
169. m wichtige Datenschutzanliegen angemahnt vgl zuletzt den 19 JB Ziff 9 4 Bis heute ist in dieser Sache nichts geschehen Obgleich der Bundesgesetzgeber in den letzten Jahren einige Ver nderungen am Personenstandsgesetz vorgenommen hat indem z B der Umfang der vom Standesbeamten zu erhebenden Daten und die Mitteilungspflichten erweitert wurden vers umte er es auch den datenschutzrechtlichen Notwendigkeiten Rechnung zu tragen Aus meiner Sicht sind insbesondere pr zisere Bestimmungen mit denen die Einhaltung des Adoptionsgeheimnisses gew hrleistet wird dringend erforderlich Mit den geltenden Regelungen des 43 Personenstandsgesetzes ist die Einhaltung des Offenbarungs und Ausforschungsverbotes nach 1758 BGB nicht ausreichend sichergestellt Weiterhin m te bereits im Personenstandsgesetz festgelegt werden da die Herausgabe personenbezogener Daten durch die Standes mter zum Zwecke der Ver ffentlichung nur mit Einwilligung der Betroffenen zul ssig ist Gesetzlich definiert werden m te dabei auch in welchen F llen in welchem Umfang und unter welchen Voraussetzungen eine Bekanntgabe von Daten m glich ist An einer Unterst tzung durch den Senator f r Inneres mangelt es nicht hatte doch der Senat in seiner Stellungnahme zu meinem 19 JB bereits erkl rt er werde meine Anregungen in seine Stellungnahme gegen ber dem Bundesminister f r Justiz einbeziehen vgl B rgerschafts Drs 14 779 S 4 Der Bund ist dam
170. men Bereits vor Inbetriebnahme des Verfahrens habe ich verschiedene Unterlagen zur Stellungnahme erhalten darunter ein Datenschutz und Datensicherungskonzept ein Rollenkonzept ein Datenmodell 71 und Tabellenkalkulationen sowie Dienstanweisungen f r Bremen und Bremerhaven Die von mir anhand der Unterlagen angesprochenen Themen wie z B die Aufbewahrung von Protokolldaten und die Aufbewahrungsdauer der Falldaten wurden in einem Gespr ch nach einer Vorf hrung des Testsystems diskutiert und in die Papiere eingearbeitet Die Dienstanweisung f r Bremerhaven ist bereits mit mir abgestimmt bei der Dienstanweisung f r Bremen steht ein Abschlu kurz bevor Zur Zeit erfolgt eine Umstellung der Client Software auf WindowsNT 4 0 Die sich dadurch ergebenden nderungen sollen in die Dienstanweisung eingearbeitet werden Auch Gesetzes nderungen m ssen noch in das Verfahren eingearbeitet und das Benutzerhandbuch redaktionell berarbeitet werden 11 2 Neues DV Programm f r die Erteilung von Berechtigungsscheinen in Bremerhaven Im Amt f r Bauf rderung in Bremerhaven ist eine ACCESS Eigenentwicklung f r die softwaregest tzte Erteilung von Berechtigungsscheinen bereitgestellt worden Alle Arbeitspl tze sind im Rahmen einer eigenst ndigen Containerverwaltung d h die Daten k nnen innerhalb der Organisationsstruktur des Amtes administriert werden in das Magistratsnetz eingebunden und die zust ndigen Sachbearbeiter haben ber ange
171. mmten Zwecken und die Definition strikter Zweckbindung dieser Daten durchgesetzt werden 18 12 DNA Analysen zur k nftigen Strafverfolgung auf der Grundlage von Einwilligungen Entschlie ung der 58 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 7 8 Oktober 1999 In der Strafprozessordnung ist der Einsatz der DNA Analyse zur vorbeugenden Verbrechensbek mpfung nur mit richterlicher Anordnung vorgesehen In einigen deutschen L ndern werden DNA Analysen ohne richterliche Anordnung gest tzt allein auf die Einwilligung der Betroffenen durchgef hrt Soweit die dabei erhobenen Daten zum Zweck der Identit tsfeststellung in k nftigen Strafverfahren genutzt werden sollen ked rfen DNA Analysen nach der klaren gesetzlichen Regelung des DNA Identit tsfeststellungsgesetzes jedoch einer richterlichen Anordnung Der Richter oder die Richterin hat u a die Prognose zu treffen ob Grund zur Annahme besteht da gegen Betroffene k nftig erneut Strafverfahren wegen des Verdachts erheblicher Straftaten zu f hren sind Wenn nunmehr auch DNA Analysen gespeichert und zum Zweck der zuk nftigen Strafverfolgung genutzt werden d rfen die auf freiwilliger Basis also ohne richterliche Anordnung erstellt worden sind und dies sogar durch die Errichtungsanordnung f r die DNA Analyse Datei beim BKA festgeschrieben werden soll werden damit die eindeutigen gesetzlichen Vorgaben des DNA Identi t tsfeststellungsgesetzes unterlaufen
172. mtes f r das Kreditwesen BAKred zum Geldw schegesetz GWG vom 30 03 1998 Damit wird die Kreditwirtschaft verpflichtet neue Wege in der Geldw schebek mpfung zu beschreiten Im Mittelpunkt der vom BAKred intendierten intelligenten Geldw schebek mpfung steht die aktive Nachforschungspflicht Research der Kreditinstitute u a durch Schaffung interner Organisationsanweisungen um auf diejenigen Finanztransaktionen besondere Aufmerksamkeit zu lenken die bereits in der Vergangenheit in dem jeweiligen Kreditinstitut unter Geldw schegesichtspunkten auff llig geworden sind wobei insbesondere die jeweillige Gesch ftskundenstruktur des Kreditinstituts Ber cksichtigung finden soll Die Nachforschungspflicht begr ndet auch das sogenannte Monitoring wonach die Kreditinstitute bei Transaktionen die nach der Beurteilung des Kreditinstitutes die Schwelle zu einem anzeigepflichtigen Sachverhalt mangels eines hinreichenden Verdachts noch nicht berschritten haben die Gesch ftsbeziehung bis zur Ausr umung der Zweifel ggf auch l ngerfristig berwacht werden sollen Die Kreditwirtschaft hat daraufhin Konzepte von Research Systemen zur Geldw schebek mpfung entwickelt Ich habe mich ber diese Frage intensiv mit anderen Datenschutzaufsichtsbeh rden ausgetauscht wobei festzustellen ist da die im Zentralen Kreditausschu ZKA und im Bankenfachverband organisierten Kreditinstitute unterschiedliche Wege beschreiten Die von beiden Verb nden v
173. n Alle diese Teilprojekte habe ich neben anderen Verfahren datenschutzrechtlich begleitet auch wenn es nicht immer m glich war die Verwaltung in allen Verfahren mit gleich hoher Intensivit t zu beraten In einigen F llen war die neue anwenderfreundliche Software im wesentlichen in die bisherigen Anwendungen zu implementieren Dennoch gab es an verschiedenen Punkten Gestaltungsbedarf insbesondere auf der Netzstrukturebene Hinsichtlich der Administration der Zugriffsrechte und der Protokollierung waren Festlegungen zu treffen Einige dieser Anwendungen befinden sich noch in der Pilotphase andere bereits im Echtbetrieb 14 3 Verweisungen Weitere Themen aus Bremerhaven betreffen finden sich unter der Ziff 5 1 Erhebung und F hrung von Personaldaten Ziff 6 3 2 Meldedaten an politische Parteien Ziff 6 3 3 DV Verfahren Einwohnermeldewesen Ziff 10 2 Jugendkriminalt t an Schulen Ziff 11 1 Neues Wohngeldverfahren Ziff 11 2 Neues DV Programm f r die Erteilung von Berechtigungsscheinen und f r den nicht ffentlichen Bereich unter Ziff 16 7 6 Auskunfteien dieses Jahresberichts 15 Handels und Handwerkskammer 15 1 Datenabgleich ber Ausbildungsverh ltnisse mit den Arbeits mtern Die Bundesanstalt f r Arbeit Berufsberatung hat mit dem Deutschen Industrie und Handelstag bzw dem Handwerkskammertag 1998 Vereinbarungen ber den Abgleich von Daten ber eingetragene Ausbildungsverh ltnisse geschlossen
174. n Vordergrund stellt Das Gericht betont die Bedeutung des Fernmeldegeheimnisses f r die Herstellung bzw Aufrecht erhaltung des wie die Datenschutzbeauftragten es gerne formulieren Rechts auf unkontrollierte telekommunikative Selbstbestimmung das ja die Grundvoraussetzung einer rechtsstaatlich demokra tischen Informationsgesellschaft darstellt Die Richter sehen das Risiko da die Bef rchtung einer berwachung mit der Gefahr einer Aufzeichnung sp teren Auswertung etwaigen bermittlung und weiteren Verwendung durch andere Beh rden schon im Vorfeld zu einer Befangenheit in der Kom munikation zu Kommunikationsst rungen und Verhaltensanpassungen f hren kann Von zentraler Bedeutung ist die wiederholte Bezugnahme auf das Volksz hlungsurteil vom 15 12 1983 Die grundrechtlichen Bindungen und Ma gaben die das BVerfG dort anhand des Rechts auf informationelle Selbstbestimmung entwickelt hatte werden jetzt weitgehend auch auf das Fern meldegeheimnis des Art 10 GG bertragen Dies ist um so wichtiger weil dieses Grundrecht nicht nur Telefonate sondern jede Kommunikation ber TK Netze wie E Mails Telefaxe etc sch tzt Es betrifft nicht nur das Abh ren bzw die Kenntnis nahme selbst sondern und dies ist neu erstreckt seine Schutzwirkung auch auf den anschlie en den Informations und Datenverarbeitungsproze sowie den Gebrauch der von den erlangten Infor mationen gemacht wird Daraus folgt da Gesetz
175. n der ffentlichkeit zug nglichen Bereichen auch ohne Verbreitungsabsicht einen unzul ssigen Eingriff in das Pers nlichkeitsrecht des Betroffenen darstellt Im vom BGH entschiedenen Fall berwachte ein Hauseigent mer gezielt und regelm ig ein bestimmtes St ck eines ffentlichen Weges ber l ngere Zeitr ume Die berwachung war darauf angelegt Benutzer des Weges in einer Vielzahl von F llen abzubilden und aufzuzeichnen Dabei sei es um den Zugangsweg zu Wohngrundst cken darunter demjenigen der Kl ger gegangen Der BGH weist in diesem Zusammenhang darauf hin da die Kl ger der Videoaufnahme nicht ausweichen k nnen wenn sie sich auf dem Weg von oder zu ihrem Grundst ck befinden Die Kl ger k nnen weder beeinflussen wann sie bei solchen Gelegenheiten aufgenommen werden noch k nnen sie feststellen ob solche Aufzeichnungen gefertigt worden sind oder nicht Sie m ssten daher wenn sie den Weg benutzen st ndig mit der der berwachung dienenden Aufzeichnung ihres Bildes rechnen Der BGH stellt daher fest da derartige Ma nahmen eine schwerwiegende Beeintr chtigung des allgemeinen Pers nlichkeitsrechts der Kl ger bewirken Denn diese m ssen sich praktisch stets wenn sie von ihrem Haus kommend oder zu ihrem Haus gehend den ffentlichen Zugangsweg benutzen in einer jede ihrer Bewegung geradezu dokumentierenden Weise kontrolliert f hlen Auf dem jeweiligen Videofilm ist nicht nur festgehalten wann wie oft und in we
176. n umfangreicher medizinischer Patientendatenbest nde bei den Krankenkassen vermeiden ungeeignet sein sollen die Wirtschaftliichkeit und Qualit t rztlicher Leistungserbringung sicherzustellen Der Entwurf gibt das bisherige Konzept der Datenverarbeitung in der gesetzlichen Krankenversicherung auf Insbesondere standen bisher aus dem ambulanten Bereich personenbezogene Abrechnungsdaten mit medizinischen Inhalten und Diagnosedaten den Krankenkassen nur ausnahmsweise zu Pr fzwecken zur Verf gung k nftig sollen diese Informationen den Krankenkassen dagegen generell versichertenbezogen bermittelt werden Damit entstehen bei den gesetzlichen Krankenkassen vollst ndige personenbezogene medizinische Datenbest nde der gesetzlich Versicherten mit der M glichkeit f r jede einzelne Person umfassende Darstellungen ihres Gesundheitszustandes zu bilden Bei den Kassen entstehen gl serne Patientinnen und Patienten Das Patientengeheimnis wird ausgeh hlt Die Datenschutzbeauftragten richten an den Gesetzgeber die dringende Bitte die bisher vers umte eingehende Pr fung von Erforderlichket und Verh ltnism igket der weiterreichenden Datenverarbeitungsbestimmungen nachzuholen Der Bundesbeauftragte f r den Datenschutz mit dem der Entwurf entgegen anders lautenden u erungen von Regierungsvertretern in der Sache bisher in keiner Weise abgestimmt wurde sowie die Datenschutzbeauftragten der L nder stehen hierf r zur Diskussion zur Verf gung
177. n vorangetrieben die den digitalisierten Austausch medizinischer Daten zwischen rzten Kliniken und oder Pflegeeinrichtungen zum Inhalt haben Als Beispiele seien genannt Der Elektronische Arztbrief Eine Reihe von Kliniken und niedergelassenen rzten wollen Informationen ber ihre Patienten digitalisiert austauschen Als Einstiegsprojekt hat man den f r den nachbehandelnden Arzt bestimmten Entlassungsbericht der Klinik ausgew hlt 58 Der Gesundheits und Soziallotse f r Bremerhaven Angestrebt wird die Vernetzung der Einrichtungen der gesundheitlichen Versorgung und der Pflege untereinander Die Teleradiologie Die Radiologischen Abteilungen der Bremer Kliniken und sonstige radiologische Institute sollen miteinander vernetzt werden Das ICUNET Die intensivmedizinischen Abteilungen von Krankenh usern im Lande Bremen sollen miteinander vernetzt werden All diese Projekte werden im Ergebnis die Voraussetzung f r die Entwicklung der elektronischen bzw digitalisierten Patientenakte schaffen Darunter ist zu verstehen da die Dokumentationen der an der gesundheitlichen Versorgung m glicherweise auch an der Pflege beteiligten rzte und anderen Fachkr fte auch kurz Health Professionals genannt digitalisiert und miteinander vernetzt werden Das Netz k nnte es erm glichen da ein Health Professional in der Lage sein wird jede der in das Netz eingestellten Dokumentationen abzurufen In dieser Konsequenz
178. nander als auch mit dem Synergiezentrum in einem LAN Local Area Network verbunden sind Die Inhouse Datennetze und IAN Strecken werden von JUDIT erstellt und betreut Au erhalb gelegene Beh rden oder Geb udekomplexe zusammenh ngende oder benachbarte Geb ude werden ber LWL Leitungen verkn pft werden ber eine WAN Strecke World Area Network an das Synergiezentrum angebunden F r die WAN Verbindungen wird das BreKom Netz genutzt Deshalb ist die BreKom mit dem Betrieb und dem Netzwerkmanagement beauftragt Die eingesetzten bertragungsverfahren codieren die Daten auf den WAN Strecken Sobald geeignete technische L sungen zur verschl sselten Daten bertragung vorliegen sollen diese eingesetzt werden 7 3 Elektronisches Grundbuch Im vorletzten Jahresbericht vgl 20 JB Ziff 13 3 habe ich ber die Einf hrung des elektronischen Grundbuches berichtet Im Berichtszeitraum wurden die f r die Software Anwendung erforderlichen Voraussetzungen geschaffen Jetzt sind LAN und WAN Vernetzung sowie die Beschaffung der Hardwarekomponenten abgeschlossen F r die Erfassung der vorhandenen Grundbuchdaten wurde in Bremen eine Scan Strecke eingerichtet in der alle Grundbuchdaten zentral eingescannt elektronisch erfa t werden Die Speicherung erfolgt zentral auf FM Worm Platten in nicht codierter Form NCI Format Neueingaben oder nderungen werden in codierter Form Cl Format gespeichert Eine Trennung der Datenbest nde auf den Daten
179. ndere Interessenten die Namen Anschriften Bankverbindungen und Pa worte der Interessenten auf dem Rechner des Providers auslesen Bei einer Pr fung vor Ort konnte ich nur noch feststellen da der Verantwortliche des Dienstes durch andere Nutzer bereits auf den Fehler aufmerksam gemacht worden war Er hatte seinen Server bereits stillgelegt und einen anderen Betreiber mit Sitz in S ddeutschland mit diesem Dienst beauftragt Ich habe ihn daraufhin aufgefordert alle Online Anmelder ber das Sicherheitsleck zu informieren da durch die offenbarten Pa worte nat rlich weitere Gefahren f r die Kunden auftreten k nnen da viele Nutzer nicht f r jeden Dienst ein eigenes Passwort verwenden Inwieweit sp terhin durch das Sicherheitsleck Kunden z B durch Mi brauch der Kreditkartennummer tats chlich ein Schaden entstanden ist habe ich nicht verfolgen k nnen 16 5 Datenverarbeitung im Verein In jedem Jahr erreichen mich viele Nachfragen von Vereinen und Clubs Es wird die Frage gestellt wie der Datenschutz im Verein richtig gestaltet wird oder ob der Vereinsvorstand durch diese oder jene Mitteilung an Trainer oder Vereinsmitglieder nicht gegen den Datenschutz versto en habe Es kommen sehr viele Fragestellungen verschiedenenster Natur So will der eine Vereinsvorstand wissen ob er die Daten der Mitglieder an eine Versicherung weitergeben darf die gleichzeitig die Haftpflichtversicherung f r die sportlichen Aktivit ten bernommen hat
180. ndesgebiet auf die Daten aller bei dieser Versicherten zugreifen k nnen Die Datenschutzbeauftragten von Bund und L ndern bem hen sich seit Jahren zu erreichen da der Versicherte selbst entscheiden kann ob seine Daten organisationsweit verf gbar sein sollen oder nicht vgl die im 18 JB Ziff 20 7 abgedruckte Entschlie ung Der Bundesverband der Betriebskrankenkassen entwickelte ein Projekt bei dessen Realisierung Versichertendaten bundesweit vernetzt und f r beliebige Auswertungen verf gbar w ren Nachdem die Datenschutzbeauftragten bundesweit Bedenken erhoben und ihre Beteiligung eingefordert hatten scheint das Projekt derzeit nicht weiterverfolgt zu werden Die Bundesregierung legte im Sommer 1999 den Entwurf zur Gesundheitsreform 2000 mit neuen Instrumentarien zur Kontrolle der rzte und anderen Leistungserbringer mit Hilfe der Verarbeitung versichertenbezogener Daten vor Die Datenschutzbeauftragten intervenierten siehe Entschlie ung vom 25 08 99 unter Ziff 18 7 Die Bundesregierung ging auf das von Datenschutzseite vorgeschlagene Konzept ein den Kassen zwar die f r erforderlich erachteten Daten zur Verf gung zu stellen dies aber generell f r alle mit den Kassen abgerechneten Leistungen und zwar nicht versichertenbezogen Damit war die langj hrig verfestigte f r den durch die Datenschutzbeauftragten vertretenen Schutz der Pers nlichkeitsrechte der Versicherten wenig effektive Konstellation aufgehoben Zwischen dem
181. ne bestimmte Telefonnummer angerufen worden ist Das Handy bertr gt die Rufnummer des K ufers und die Abrechnung des Automatenkaufs erfolgt ber die Telefonrechnung Eines machen die drei Beispiele deutlich in immer gr erem Umfange fallen personenbezogene personenbeziehbare oder pseudonymisierte Daten an in vielen F llen ist dem Verbraucher nicht mehr bekannt in welchem Umfange ber seine Person Daten gespeichert und verarbeitet werden und es ist derzeit noch kein Zahlungsmittel in Sicht das die anonymisierende Wirkung von Bargeld erreicht Eine weitere Tendenz ist erkennbar Mit aller Macht soll dem Internet als Medium f r kommerzielle Anwendungen zum Durchbruch verholfen werden Das Stichwort hierf r hei t E Commerce Erst vor kurzem meldete eine gro e deutsche Tageszeitung ein Automobilkonzern wolle seinen rund 350 000 Besch ftigten kostenlos Personalcomputer mit Internetzugang zur Verf gung stellen Die Mitarbeiter sollen ber ein spezielles Portal Zugang zum Internet haben das es ihnen erm glicht ihre Optionen Preferenzen und Kurzbefehle individuell anzupassen Der Pr sident des Unternehmens sagte denn auch Wir sind entschlossen unseren Kunden besser zu dienen in dem wir ihre Denk und Hand lungsweisen verstehen Andere Informationsgewinnungsmethoden sind noch subtiler ber Gewinn spiele Bonussysteme und Dumping Preise wird dem Kunden versucht die Identit t zu entlocken Laut Presseberichten lag der Ver
182. ng Name und Lieferanschrift genannt werden oder wenn vor Inanspruchnahme einer Dienstleistung die Bezahlung ber Kreditkarte geregelt wird Dar ber hinaus besteht die Gefahr weiterer Beeintr chtigungen Presseberichten zufolge sind n den USA bis heute bereits 400 000 F lle von Identit tsdiebstahl bekannt geworden Aber auch im Kaufhaus wird bald jeder Schritt nachvollziehbar sein In der Entwicklung befinden sich n mlich sogenannte Intelligente Einkaufswagen Nicht nur da ber ein Ortungssystem festgestellt werden kann wann wo und wie lange sich ein Einkaufswagen aufgehalten hat nein der am Wagen angebrachte Chip registriert auch die in den Warenkorb eingelegte Ware Wird ein solcher Warenkorb durch die Kasse geschoben sitzt dort nicht mehr eine Kassiererin die die Artikel einzeln erfassen mu sondern per Funkkontakt tauscht der Chip die gespeicherten Daten mit dem Kassenterminal aus und wenn dann auch noch unbar wom glich mit einer Kundenkreditkarte gezahlt wird ist das Profil personenbezogen erstellt Nach dem gleichen Prinzip funktioniert nat rlich auch der geplante Intelligente M lleimer Er erkennt nach Einwurf der Verpackung den Verbrauch von Konsumg tern und bestellt diese automatisch via Internet beim H ndler nach der z B einmal die Woche die verbrauchten Lebensmittel nachliefer um den K hlschrank des Konsumenten wieder aufzuf llen Oder der Verkaufsautomat der ein Produkt erst freigibt nachdem mit dem Handy ei
183. ngen auf die Datenschutzaufsicht Um gewappnet zu sein habe ich mich nat rlich schon im Berichtsjahr darum gek mmert welche neuen Aufgaben durch das neue BDSG wenn es so wie im Referentenentwurf bisher vorgesehen in Kraft treten w rde auf die Aufsichtsbeh rde zukommen w rden Meine belegungen habe ich in einem Papier zusammengestellt und in einem Workshop der Datenschutzaufsichtsbeh rden zur Diskussion gestellt Die Ergebnisse habe ich in das Papier eingearbeitet und allen Interessierten zur Verf gung gestellt Im Ergebnis komme ich zu der Einsch tzung da eine ganze Reihe neuer Beratungspflichten und Pr faufgaben auf die Datenschutzaufsichtsbeh rden zukommen z B bei Fragen zum Datentransfer in Drittstaaten au erhalb der EU bei der Vorabkontrolle besonders riskanter automatisierter Datenverarbeitung wie mobile Speicher und Verarbeitungsmedien und nicht zuletzt die nderungen im Meldeverfahren haben Auswirkungen auf Inhalt und Umfang des von mir zu f hrenden Registers Bei all diesen Punkten habe ich allerdings den Eindruck da Bremen im Vergleich zu den Aufsichtsbeh rden der anderen L nder gut im Rennen liegt und schon jetzt Anstrengungen unternimmt sich auf die kommenden Aufgaben vorzubereiten 16 11 Datenexport in Drittstaaten Probleme mit dem Safe Harbor Konzept der USA Schwerpunkt der T tigkeit der Gruppe nach Art 29 der Datenschutzrichtlinie 95 46 EG an der auch der ausgeschiedene Landesbeauftragte f r den Da
184. ngsgeheimnis ist einzuf hren Wie Zeitung Buch oder Fernsehen m ssen auch die Neuen Medien unkontrolliert genutzt werden k nnen Die Mitwirkungspflichten bei Abh rma nahmen sind auf lizenzpflichtige Unternehmen z B Tele fongesellschaften zu begrenzen Nebenstellenanlagen in Hotels Betrieben oder Krankenh usern sind auszunehmen Die Anwendung der berwachungsbefugnisse muss regelm ig von unabh ngiger Seite evaluiert werden gt Datenschutzfreundliche Techniken sind zu f rdern Sie m ssen erforscht und entwickelt sowie kundenfreundlich auf dem Markt angeboten werden gt Berufliche Schweigepflichten z B von rzten oder Anw lten sind besonders wirksam zu sch tzen Der bestehende strafrechtliche Schutz des Kommunikationsgeheimnisses muss endlich ernst nommen werden St rkere polizeiliche Pr vention Beendigung des freien Verkaufs von Abh r 15 technik Effektivierung der Strafverfolgung sowie Straffreiheit f r die Aufdeckung von Sicherheits l cken ethical hacking m ssen der Bagatellisierung von Straftaten gegen den Schutz der Pri vatsph re ein Ende setzen Die Pressekonferenz hatte ein breites in der Mehrzahl zustimmendes Medienecho Die Datenschutz beauftragten werden genau verfolgen ob und wenn ja welche rechtspolitischen Reaktionen dieser Forderungskatalog ausl sen wird 3 Datenschutz durch Technikgestaltung und bewertung 3 1 MEDIA Komm Nachdem sich die
185. nis und 89 TKG ber den Datenschutz gelten allerdings nur wenn der Telekommunikationsdienst Dritten zur Verf gung gestellt wird Dritte im Sinne des TKG sind Beh rden und Unternehmen f r die elektronische Post weitergeleitet und in Postf chern gespeichert wird Dritte sind aber auch darauf wird in der Gesetzesbegr ndung explizit hingewiesen solche Mitarbeiter die den Dienst der elektronischen Post f r private Zwecke nutzen bzw bei denen die private Nutzung vom Arbeitgeber geduldet wird wie es in den Empfehlungen f r die Erprobungsphase des E Mail Systems und der elektronischen Informationsordner in der bremischen Verwaltung zum Ausdruck kommt Individuelle Postf cher der bremischen Verwaltung die sich gem der Namenskonvention aus dem Nachnamen und dem ersten Buchstaben des Vornamens des jeweiligen Mitarbeiters zusammen setzen und damit neben der dienstlichen auch eine private Nutzung suggerieren unterliegen demnach dem Fernmeldegeheimnis gem 85 TKG Die Anwendbarkeit des TKG das den Inhalt der elektro nischen Post unter das grundrechtlich gesch tzte Fernmeldegeheimnis stellt hat zur Folge da indi viduelle Postf cher nicht von den f r den Mail Server zust ndigen Administratoren eingesehen wer den d rfen Auch d rfen keine fehlgeleiteten pers nlich adressierten Mails ge ffnet werden um anhand des Inhalts den korrekten Absender zu ermitteln 3 4 2 Vertretungs und Abwesenheitsregelungen Im Vor
186. nnenn 18 3 4 Elektronische Post in der bremischen Verwaltung u444444nnnnsnnnnnnnnnnn anne anna 20 3 4 1 Rechtliche Regelungen 0044444400HRRR non AEE AR nn NN AAR SPEEN AASENS 20 3 4 2 Vertretungs und Abwesenheitsregelungen s444244nnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnn nn 20 3 4 3 Datenverschl sselung und digitale Signatur uus 244s44ssnnennnnnnnennnnnnnennnnnnnn nennen 21 3 4 4 Zunehmendes Datenschutzrisiko durch Trojanische Pferde 4444444 nennen een 21 4 B rgerschaft Die Arbeit des Datenschutzausschusses 4444444Hsnn nenn 22 4 1 Ergebnisse der Beratung des 21 Jahresberichts uu 4444HHnnssennnnnnnn anne nase 22 4 2 Aktuelle THEMEN u ann ta Dion aan aa ni an A TEE ent 25 5 Personalwesen rona ne a pm Reue neuen 26 5 1 Pr fung bei Personalstellen ber die Aufbewahrung sensibler Personaldaten 26 511 Arztiche Unterlagen nee else 26 5 1 2 Unterlagen ber Erkrankungen 44444nnssenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 27 5 1 3 Unterlagen ber Disziplinarma nahmen und Abmahnungen 2444s4ssssenennnnnneennnnn een 27 52174 Fazit we a RE Denia nA TIER Heer here here 27 5 2 Amts rztliche Untersuchungen wegen Dienstunf higkeit uusnssnnnnsnnnnnnnnnn een ern 27 yi Trennung der Freien Heilf rsorge von der Personalverwaltung
187. nnnn 103 Parlamentarische Kontrolle von Lauschangriffen in den Bundesl ndern 104 Angemessener Datenschutz auch f r Untersuchungsgefangene us s2ssnennnnneeen nn 104 Ges ndheitsreform 2000 4 3 ira ae usb ne Ballack 106 Aufbewahrung des Schriftguts der ordentlichen Gerichtsbarkeit und Staatsanwaltschaften 108 T ter Opfer Ausgleich und Datenschutz u0 4404444004ennnnnnnnnnnnnnennnnnnen nennen nnnnn 108 Zum Beschlu des Europ ischen Rates zur Erarbeitung einer Charta der Grundrechte der Eur p lschen Union u u 7 23 22 ei ebene 109 Patientenschutz durch Pseudonymisierung s24444Hnnssnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnn nennen 110 DNA Analysen zur k nftigen Strafverfolgung auf der Grundlage von Einwilligungen 110 Zugriff der Strafverfolgungsbeh rden auf Verbindungsdaten in der Telekommunikation 111 Eckpunkte der deutschen Kryptopolitik ein Schritt in die richtige Richtung 112 Liste des verf gbaren Informationsmaterials urHHnnnnnen nassen anne 114 Index 22 2 a nn La Re LAT LERNTE 115 1 Vorwort 1 1 Millennium Auch von den Datenschutzbeauftragten wurde mit Spannung der Jahrtausendwechsel erwartet denn die weltweit bef rchteten Computerpannen h tten nat rlich schnelle Entscheidungen erforderlich ge macht bei denen auch Datenschutzfragen eine Rolle spielen konnten Zwar waren lange vorh
188. nnnnnnnnnnnn nn 7 1 5 Weltweite Datenschutzkultur nicht in Sicht u 4444Hnnsennennnnnnnennnnnnnennnnnnnnnnnnnnn nn nnnnen 8 1 6 Personelle Situation der Dienststelle en aaa ee 9 1 7 Statistik der Eingaben und Offentlichkeitsarbeit 44444444nnnnn nenn nnnnnnnnnnnnnn en 9 1 8 Kooperation mit anderen Datenschutzbeh rden uu 44444snnnnnennnnnnnnnnnnnnnnn nenn nennen 10 1 9 Ausblick u een ne EE a ee 10 2 Telekommunikation Teledienste und Medien 2002202220220 0000 ennn nenn 11 2 1 Bundesverfassungsgericht st rkt Fernmeldegeheimnis 4444444H ss nnnn nenn nnnnnn nenn 11 2 1 1 Zweifel an der Verh ltnism igkeit der Abh rbefugnisse 444444444nnnn nennen 12 2 1 2 Bekr ftigung der Grunds tze des Volksz hlungsurteils 4444404444 nn nennen 13 2 1 3 Konsequenzen f r Gesetzgebung und Sicherheitsbeh rden 4444444nsnn nennen 14 2 2 Trendwende in der Telekommunikationspolitik erforderlich 4444444HRR Rennen 14 3 Datenschutz durch Technikgestaltung und bewertung 444444444 nennen 16 3 1 MEBIA KONM HH ern ne en en weile 16 3 2 Bremisches Verwaltungsnetz BVN uu 2224ssnnssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn nennen 18 3 3 Privatisierung der ID Bremen u 4444444H4nnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nnnn
189. nommen werden gt Online Zugriffe mit schriftlicher Einwilligung des Steuerpflichtigen vom Finanzamt aus sind nach dem neuen Entwurf nicht mehr vorgesehen 12 4 4 Regelungen ber den Schadensersatz Es ist eine Vorschrift unerl lich die den Schadensersatz bei fehlerhafter Datenverarbeitung und bermittlung regelt da gerade im Bereich der Steuer durch Datenverarbeitungsfehler f r den Steuerpflichtigen Schaden entstehen kann 12 4 5 Regelungen ber die Berichtigung bzw die Sperre von Daten Ebenso ist eine Vorschrift erforderlich die die Steuerverwaltung verpflichtet unrichtige Daten zu berichtigen und nicht beweisbare Daten die der Steuerpflichtige bestreitet f r eine weitere Nutzung durch die Steuerverwaltung zu sperren 12 4 6 Erteilung von Teilausz gen aus den Steuerbescheiden In der Vergangenheit hat sich immer wieder gezeigt da die bei vielen Stellen vorzulegenden Steuerbescheide z B zur Festsetzung des Kindergartenbeitrages zur Berechnung des BAF G oder 76 zur Festsetzung des Wohngeldes Daten des Betroffenen oder von Dritten nichtunterhaltspflichtiger Ehepartner enthalten die f r diese Berechnungsstellen nicht ben tigt werden Deshalb sollte die M glichkeit er ffnet werden da entsprechend reduzierte Ausz ge vom Steuerpflichtigen angefordert werden k nnen 12 4 7 Regelung ber die Anonymisierung von Daten nach 88a AO Nach 88a AO sind die Steuerbeh rden befugt Daten zu er
190. nur noch anonymisierte Daten zur Verf gung gestellt werden Damit sind die grunds tzlichen Probleme gel st Der Datenschutzausschuss begr t da ein Weg gefunden worden ist der einerseits dem Senator f r Inneres Kultur und Sport die f r seine Haushaltskontrolle erforderlichen Daten zur Verf gung stellt und andererseits eine bermittlung personenbezogener Daten vermeidet 24 Bremisches Krebsregister Einf hrungsprobleme Tz 11 1 Insbesondere zur Erforschung der Ursachen von Krebskrankheiten ist durch das am 1 Oktober 1997 in Kraft getretene Gesetz ber das Krebsregister der Freien Hansestadt Bremen BremKRG ein Krebsregister eingerichtet worden Das Krebsregister besteht aus der Vertrauensstelle und der Re gisterstelle Die Vertrauensstelle nimmt die Meldungen der rzte und Kliniken entgegen De Meldun gen enthalten die Identit tsdaten und die medizinischen Daten der einzelnen gemeldeten Patienten Die medizinischen Daten hat die Vertrauensstelle unverz glich an die Registerstelle zu bermitteln und anschlie end aus ihrem Bestand zu l schen Die Identit tsdaten hingegen bleiben auf Dauer bei der Vertrauensstelle gespeichert Diese hat sicherzustellen da diese Daten nur f r die gesetzlich zugelassenen Zwecke genutzt werden k nnen Die Registerstelle ihrerseits speichert auf Dauer die medizinischen Daten Der Datenschutzausschuss begr t da inzwischen Vertrauensstelle und Registerstelle in Abstim mung
191. nzept 46 Justiz 2 ee ET ri nme neue 46 BV Ent wicklung bei JUDIT 3 04 40 et tie a aa ira aa dreier 46 JUBI ADEGI A T E R T ETE 47 Elektronisches Grundbuch aa nee a Rah 47 DV Entwicklung in der Justizvollzugsanstalt us444444Rnnnnennnnnnnnnnnnnnnnnnnnnnnn anna 48 E Mail Server beiJJWBDIT creire ter ins need ee ne dr dan 49 Zentrales Staatsanwaltschaftliches Verfahrensregister ZStV 24444444sn anne nenn 49 Verschiedene Theme aiaeeiiee a ea ETAN IR AEEA S be V nn nnnnennn rennen 49 Zum Auskunftsanspruch des Grundst cksmaklers sssssssssnessneserrserrerrrrrrreerrernnsrnsrre nnt 50 DNA Analyse von K rperzellen nur mit richterlicher Anordnung 4444444 nn nennen 50 Gesundheit und Krankenversicherung 44444444H44nn nen nnnn nen nnnnnnnn nennen 52 Bremer Krebsfegister en la ae he se 52 EDV Sicherheitsstruktur in der Vertrauensstelle des Bremer Krebsregisters 52 EDV Sicherheitsstruktur in der Registerstelle des Bremer Krebsregisters 53 Bremer Brustkrebs Screening Programm uuu424444snnnsnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 54 Sozialpsychiatrischer Dienst Datenschutzverordnung 4444440444H00nnnn anne nennen 55 Verkauf der Arztpraxis Wahrung der Schweigepflicht 4444444Bnnn nen nnnnnnenn 56 Wahrung der rztlichen Schweigepf
192. om Bundesrat bef rwortet Bei Daten bermittlungen an ffentliche Stellen au erhalb der Vollzugsanstalt z B Sozialleistungstr ger Ausl nderbeh rden und an Forschungseinrichtungen m ssen die schutzw rdigen Interessen der Betroffenen im Rahmen einer Abw gung ber cksichtigt werden Auch die Erteilung von Ausk nften an die Verletzten der Straftat sollte der Gesetzgeber unter Beachtung der Unschuldsvermutung regeln Die vom Bundesrat vorgeschlagene erhebliche Einschr nkung des Auskunfts und Akteneinsichtsrechts von Gefangenen im Hinblick auf den Zweck der Untersuchungshaft w rde wesentliche Datenschutzrechte in einem besonders sensiblen Bereich weitgehend entwerten und ist daher abzulehnen 105 18 7 Gesundheitsreform 2000 Entschlie ung der Datenschutzbeauftragten des Bundes und der L nder vom 25 08 1999 Die Datenschutzbeauftragen von Bund und L ndern erkl ren zu dem Entwurf eines Gesetzes Gesundheitsreform 2000 Die Datenschutzbeauftragen haben gro es Verst ndnis f r die Bem hungen die Kosten im Gesundheitswesen zu begrenzen und eine gute Versorgung der Patientinnen und Patienten sicherzustellen Bei der Wahl der Mittel ist es aber Aufgabe des Gesetzgebers beim Eingriff in das Recht auf informationelle Selbstbestimmung das Prinzip der Erforderlichkeit und der Verh ltnism igkeit zu wahren Der Entwurf l t jede Begr ndung vermissen warum die bisherigen Kontrollmechanismen die das Entstehe
193. on Nebenwohnungen j ngeren mobilen Einwohnern Ausl ndern Des weiteren sollen die ffentlichen Stellen denen Meldedaten zur Erf llung ihrer Aufgaben bermittelt wurden verpflichtet werden ohne R cksicht auf etwaige Geheimhaltungsbestimmungen ihrerseits festgestellte Unstimmigkeiten oder Abweichungen bei den Daten den Meldebeh rden mitzuteilen 42 Gegen beide Neuerungen werden erhebliche Datenschutzbedenken geltend gemacht Inhabern von Nebenwohnungen mobilen j ngeren Einwohnern und Ausl ndern generell ein nachl ssiges Meldeverhalten zu unterstellen ist durch Fakten nicht belegt Im brigen ist auch unklar wie die Gruppen berpr fungen seitens der Meldebeh rden durchgef hrt werden sollen Ortsbegehungen Einsatz der Schutzpolizei als Au endienst der Meldebeh rde Evtl bestehende Defizite hinsichtlich des Meldeverhaltens dieser Einwohner k nnten durch andere mildere Ma nahmen wie z B eine verbesserte Aufkl rung dieser Einwohner Unterst tzungsangebote der Verwaltung oder dgl gemindert werden Die Verpflichtung anderer Beh rden denen Meldedaten bermittelt werden zur R ckmeldung evtl unstimmiger Daten an die Meldebeh rde ohne R cksicht auf bestehende Geheimhaltungs und Verschwiegenheitsverpflichtungen ist im Hinblick auf das ffentliche Interesse an einem richtigen und vollst ndigen Melderegister nicht gerechtfertigt Wesentliche Datenschutzprinzipien wie z B die informationelle Aufgabenteilung Zweckbindun
194. orderte habe ich im Einzelfall auf Datenschutzprobleme hingewiesen Ein solcher Fall ergab sich als im November ein Journalist einer auch in Bremen erscheinenden Tageszeitung mich darauf hinwies da aus dem Umzug stammende erkennungsdienstliche Unterlagen in der ffentlichkeit aufgefunden worden seien Nachforschungen ergaben da scheinbar beim Abtransport alter M bel aus dem bereits teilweise ger umten Polizeipr sidium entsprechendes Fotomaterial von Besch ftigten der Entsorgungsfirma gefunden wurde Ich habe mich daraufhin umgehend mit dem beh rdlichen Datenschutzbeauftragten bei der Polizei Bremen in Verbindung gesetzt auf die Schwachstelle hingewiesen und ihn gebeten die Dienststellen bei denen noch der Umzug ansteht sofort auf diese Schwachstelle hinzuweisen und noch m Polizeipr sidium zur ckgelassenes Mobiliar daraufhin zu untersuchen ob sich in ihm noch personenbezogenes Datenmaterial befindet Weiter habe ich darum gebeten das abhanden gekommene Datenmaterial bei der Redaktion herauszuverlangen und seinem rechtm igen Gebrauch zuzuf hren oder zu vernichten Angesichts des immensen Datenmaterials das transportiert werden mu te betrachte ich die von der Presse aufgedeckte Schlamperei als einen geringf gigen Versto Insgesamt bin ich froh da das gesamte Umzugsprojekt scheinbar ohne gravierende Datenschutzverst e von statten gegangen ist Nur eins sei noch zum Umzug angemerkt Die Mengen von Materialien mit person
195. orgelegten Konzepte wurden intensiv beraten Entscheidend dabei scheint mir da die vom Geldw schegesetz insbesondere von 11 des GWG vorgeschriebenen Rahmenbedingungen nicht verlassen werden Wenn sich daher zeigen sollte da v llig neue Wege zu beschreiten sind m ssen daf r vorher auch die rechtlichen Voraussetzungen geschaffen werden Wenn daher von den Datenschutzaufsichtsbeh rden die Vorschl ge der Keditwirtschaft zum Teil als akzeptable Ans tze gesehen wurden die den einzelnen Bankinstituten im Rahmen der Eigenverantwortlichkeit gen gend Spielraum lassen hinsichtlich der Entscheidung ob und in welchem Umfang Kundenaktivit ten berpr ft werden sollen so wurde von den Vertretern der Datenschutzaufsichtsbeh rden auch darauf hingewiesen da eine umfassende und st ndige technische berwachung aller Kundenkonten durch einzelne Kreditinstitute vergleichbar einer polizeilichen Rasterfahndung durch das Konzept eines der Verb nde nicht ausgeschlossen ist Die Vertreter der Datenschutzaufsichtsbeh rden haben daher deutlich gemacht da eine solche permanente umfassende berwachung unter Einbeziehung aller Kundenkonten unter datenschutzrechtlichen Gesichtspunkten nicht in Betracht kommen kann Es 90 kommt daher darauf an da die einzelnen Kreditinstitute in Abh ngigkeit zu den besonderen Usancen ihrer Kunden einen eingeschr nkten Kriterienkatalog entwickeln der eine Total berwachung sowohl in tempor rer wie quanti
196. ormularen der Versicherungswirtsch ft 40ssnnn 94 Bundesweite Themen der Obersten Aufsichtsbeh rden f r den Datenschutz 95 Wo bleibt die BDSG Novelle u0s0s44400nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnn nenn nnnnn 96 Datenexport in Drittstaaten Probleme mit dem Safe Harbor Konzept der USA 97 Meldepflichtige Stellen Statistische bersicht Pr fergebnisse Bu geldverfahren 98 Umstellung des Registers nach BDSG Novellierung 2 0022000000000000n000000000nnnnnnnen nn 98 Statistische bersicht Entwicklungen s4442444444s nen nnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnn nn 98 Ergebnisse der Registerpr fungen uus4sssnnnnsnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nnnnnnenn 99 Bu geldverf hren 2 u 2 42 2 2H ee ee re neuen 100 Die Entschlie ungen der Datenschutzkonferenzen im Jahr 1999 100 Modernisierung des Datenschutzes umfassende Novellierung des BDSG nicht aufschieben 100 Zur geplanten erweiterten Speicherung von Verbindungsdaten in der Telekommunikation 101 3 18 3 18 4 18 5 18 6 18 7 18 8 18 9 18 10 18 11 18 12 18 13 18 14 20 Zum Entwurf einer Ratsentschlie ung zur berwachung der Telekommunikation 102 Transparente Hard und Software u s ussssnnnsnsnnnnnnnsnnnnnnnnnnnn nen nennnnnnnn nenn rr
197. orum ging es Seit Verabschiedung des Gesundheitsreformgesetzes in 1988 weiter vorangetrieben durch das Gesundheitsstrukturgesetz von 1993 ist es gesetzliches Ziel und Auftrag den gesetzlichen Krankenkassen zum Zweck von Kostensenkung und Qualit tsverbesserung neue Kontrollverfahren und instrumente an die Hand zu geben die sich auf eine verbesserte Datenbasis st tzen Die zur Auswertung verwendete Datenbasis der Krankenkassen bezog sich nicht nur auf die Leistungserbringer sondern bestand auch aus versicherten bzw patientenbezogenen Daten wie Befunde Diagnosen rztliche und rztlich verordnete Leistungen Aus Sicht der Datenschutzbeauftragten galt es den oft beschworenen gl sernen Patienten zu verhindern Die Datenschutzbeauftragten versuchten mit Hilfe der reichlich unklaren Regelungen des SGB V zur Zweckbindung versichertenbezogenen Abgleichen und Auswertungen seitens der Kassen Grenzen zu setzen Leider oft vergeblich Dabei hatte der Gesetzgeber selbst durch die von ihm vorangetriebene automatisierte Datenverarbeitung bei Leistungserbringern und Kassen Datenschutzrisiken hervorgerufen Deshalb begr ten sie es als in 1993 der Gesetzgeber in 295 Abs 2 SGB V anordnete da die Kassen die f r die Abrechnung erforderlichen Daten ber die Leistungen niedergelassener rzte und Zahn rzte nur fallbezogen nicht aber versichertenbezogen erhalten d rften Diese Regelung machte es sich zunutze da insoweit die Kassen rztlichen bzw
198. os ist nur mit ausdr cklicher schriftlicher Einwilligung der Betroffenen zul ssig Hierbei gelten das Zweckbindungsgebot rein schulischer Zweck und das Erforderlichkeitsprinzip nur die zur Zweckerf llung notwendigen Daten Die schutzw rdigen Belange der Betroffenen sind trotz Einwil ligung zu ber cksichtigen Die Internet Pr sentation ist auch bei Einwilligung auf rein schulische Daten beschr nkt Bei Repr sentanten der Schule z B Schulleiter Vertreter und bei f r die Au endarstellung der Schule wichtigen Funktionstr gern sind das Zweckbindungsgebot und das Erforderlichkeitsprinzip anders einzusch tzen als bei den brigen Lehrern Das prinzipielle Einwilligungserfordernis k nnte hier durch das Ausnahmekriterium Schutz berechtigter h herrangiger Interessen der ffentlich keit ersetzt werden Zul ssig f r eine Pr sentation im Internet w ren danach dann der Name die dienstliche Funktion die dienstliche Anschrift und Angaben zur dienstlichen Erreichbarkeit wie z B dienstliche Telefonnummer oder Faxnummer Die oberste Dienstbeh rde mu der Pr sentation von Lehrerdaten im Internet zustimmen Bei der erstmaligen Speicherung der Daten Einstellung ins Internet ist den Betroffenen die Art der Daten mitzuteilen bei wesentlichen Daten nderungen sind sie zu benachrichtigen Im brigen haben die Betroffenen die nach dem BrDSG blichen Rechte z B Auskunft Sperrung L schung Berichti gung F r die Zul ssigk
199. otenen Umfang automatisch protokolliert ebenso der Aufruf des Registerprogramms TRUST KR Mitarbeiterinnen k nnen das Protokoll nur lesen nicht ndern 8 1 2 EDV Sicherheitsstruktur in der Registerstelle des Bremer Krebsregisters Die Vertrauensstelle bermittelt der Registerstelle die medizinischen Daten der ihr gemeldeten Patienten zusammen mit den von ihr jeweils vergebenen Registernummern dies aber ohne Nennung von Namen Geburtsdaten und Anschriften Der Registerstelle darf die Deanonymisierung d h die Verkn pfung der medizinischen Daten mit den betroffenen Patienten nicht m glich sein so ausdr cklich 86 Abs 1 Nr 4 BremKRG Ihr w re dies aber m glich k nnte sie zu den gesetzlichen Registerdaten und zu den gesetzlich vorgesehenen Auswertungen weitere Daten als Zusatzinformationen und oder Zusatzprogramme in ihr EDV System einspielen Im Verlauf eines vom Juni 1998 bis zum November 1999 dauernden Er rterungsprozesses gelang es mit der Registerstelle ber diese Zielsetzung und die zu deren Realisierung gebotenen und in ihrer Wechselwirkung geeigneten Vorkehrungen Einvernehmen zu erzielen gt Hardware Deaktivierung der seriellen Schnittstellen Sperrung externer Laufwerke CD ROM Diskette gt Betriebssystem Anwendung der Administratorkennung die vollen Zugriff auf das Betriebssystem erm glicht nur gemeinsam mit Anwendern geteiltes Passwort gt Datenbank Rechtestruktur Individueller Zugang zu den Registerda
200. personenbezogene Daten zu l schen wenn eine Pr fung am Ende des f nften Kalenderjahres nach der erstmaligen Speicherung der Daten ergibt da eine l ngerw hrende Speicherung nicht erforderlich ist und Gr nde die zu einer Sperrung anstelle der L schung h tten f hren k nnen nicht ersichtlich sind Diese sehr nachgiebige gesetzliche Regelung 91 auf den vorliegenden Fall angewendet ergibt folgendes Zun chst einmal nennt das Gesetz selbst eine Regelfrist von f nf Kalenderjahren Nach Ablauf dieser gesetzlichen Frist sind in aller Regel zu einer Person gespeicherte Negativdaten zu l schen Gr nde f r eine weitere Speicherung der Negativdaten des Petenten hat auch die Auskunftei nicht gesehen denn sie hat schlie lich die Daten gesperrt Gesperrte Daten stehen f r eine Auskunft an Dritte nicht mehr zur Verf gung Eine Sperrung von Daten kann erfolgen wenn besondere Gr nde im Innenverh ltnis zwischen Kunden und Auskunftei vorliegen wie z B bei einem anh ngigen oder zur erwartenden Rechtsstreit oder bei einer Beweisnot des Kunden oder der Auskunftei In jedem Falle m ssen aber besondere Gr nde vorliegen die eine Aufrechterhaltung der Speicherung der gesperrten Daten erforderlich machen Solche Gr nde konnten von der Auskunftei nicht genannt werden Im vorliegenden Fall h tten die gesperrten Daten die nunmehr die gesetzliche L schfrist um rund 10 Jahre berlebt hatten l ngst gel scht werden m ssen Dann h tte der Ausk
201. punkt der Auskunftserteilung errechneten Score Wert umfassen ber den Auskunftsanspruch gegen ber den Anschlusskunden der Schufa k nne zudem der zum Zeitpunkt der Kreditanfrage errechnete Score Wert erfragt werden Die privat rztlichen Verrechnungsstellen sowie rzte und Zahn rzte haben Interesse bekundet die Bonit t der von ihnen zu behandelnden Patienten durch entsprechende Anfragen bei einem Kreditschutzunternehmen oder einer Auskunftei berpr fen zu k nnen Der Wunsch wird damit begr ndet da bei umfangreichen rztlichen und zahn rztlichen Behandlungen z B unter Beteiligung von Zahntechnikern finanzielle Vorleistungen erforderlich werden k nnen die mit einem erheblichen Risiko mangelnde Zahlungsf higkeit des Patienten verbunden sind Das Risiko kann sowohl bei privat rztliche Verrechnungsstellen an die eine rztliche Honorarforderung zum Einzug abgetreten wurde als auch bei rzten die mit ihren Patienten selbst abrechnen entstehen Datenschutzrechtliiche Bedenken ergeben sich insbesondere daraus da der anfragende Arzt den Betroffenen gegen ber dem Kreditschutzunternehmen oder der Auskunftei eindeutig identifizieren muss bevor er die gew nschte Auskunft erhalten kann Durch die bermittlung der zur Identifikation ben tigten Angaben wird zugleich offenbart da sich der Betroffene in rztlicher Behandlung befindet Es werden somit besonders schutzw rdige Daten weitergegeben die nach 203 Strafgesetzbuc
202. punkte zu setzen Um eine effektive Beratung dieser Punkte zu erm glichen bedarf es eines flexiblen Konzep 10 tes was auch auf die Organisationsstruktur der Dienststelle durchschlagen mu Dar ber hinaus mu die arbeitsteilige Kooperation mit den anderen Datenschutzbeh rden verst rkt werden Eine Pr senz der Dienststelle im Internet ist bald m glich zu realisieren Sie ist heute unabdingbares Hilfsmittel zur schnellen Abwicklung bzw Vermeidung von Arbeit und hilft dem leichteren Zugang sowie der ein facheren Verbreitung von Informationen Neben verbesserter Aktualit t l t sich auch eine interaktive Beratung realisieren An die Dienststelle wird eine Vielzahl von Anforderungen unterschiedlichster Art herangetragen B r gereingaben und beschwerden ist uneingeschr nkt nachzugehen Im brigen darf sie sich aber nicht verzetteln mu immer auf der H he der technischen Entwicklung sein und sich schwerpunktm ig mit den gro en Projekten mit Breitenwirkung intensiv besch ftigen 2 Telekommunikation Teledienste und Medien 2 1 Bundesverfassungsgericht st rkt Fernmeldegeheimnis Das Urteil des Bundesverfassungsgerichts vom 14 Juli 1999 zu den Verfassungsbeschwerden gegen das Gesetz zu Art 10 in der Fassung des Verbrechensbek mpfungsgesetzes vom 28 10 1994 Az 1 BvR 2226 94 2420 95 und 2437 95 hat gro e ffentliche Aufmerksamkeit ausgel st Ein Meilenstein f r den Datenschutz so u erte sich de
203. r Bundesbeauftragte f r den Datenschutz Jacob nach dem Urteilsspruch aus Karlsruhe Bundesverfassungsgericht weist Grundrechtsein schr nkung zur ck war die Pressemitteilung von einigen L nderkollegen und mir betitelt Die Bundes regierung u erte sich zufrieden Kritische Einsch tzungen gab es dagegen von den Kl gern selbst sowie von B rgerrechts und Strafverteidigerorganisationen Eine so heterogene Bewertung berrascht einerseits verst rkt aber andererseits das Interesse an der Analyse dessen was die Richter gesagt und was sie nicht gesagt haben Ausgangspunkt und Pr fungsgegenstand waren die die Abh rbefugnisse des Bundesnachrichten dienstes BND betreffenden Vorschriften des sog Verbrechensbek mpfungsgesetzes das am 1 12 1994 in Kraft getreten ist Dieses Gesetz f hrte neue Strafvorschriften ein etwa zur Verfolgung von rechtsradikalen Delikten versch rfte Strafandrohungen zum Beispiel gegen Schlepperbanden und nderte Vorschriften der Strafproze ordnung Der Deutsche Anwaltsvererein die Humanistische Union etc kritisierten seinerzeit das neue Gesetz scharf Die neuen in das BND Gesetz eingef gten Bestimmungen in 8 3 und 7 BNDG erweitern zun chst die Befugnis des BND zur sog strategischen berwachung des internationalen Fernmeldeverkehrs die zuvor auf die Gewinnung von Erkenntnissen ber das Ausland von au en und sicherheitspoliti scher Bedeutung beschr nkt war auf die Nachrichtens
204. r erm glichen Dies wird es erforderlich machen da die Vertrauensstelle ein Verfahren zur Codierung in diesem Zusammenhang Verschmutzung genannt einsetzt Die in meinem 21 JB unter Ziff 11 1 2 dargestellte Diskussion dar ber ob Vertrauens oder Registerstelle im Falle sich inhaltlich widersprechender Meldungen zu einem Patienten zwecks Kl rung mit den Meldern Verbindung aufnehmen sollen ist inzwischen datenschutzgerecht abgeschlossen worden Es kann nicht Aufgabe der Registerstelle sein da ihr die Identit t der betroffenen Patienten nicht bekannt ist und auch nicht bekannt werden darf Man ist sich einig da es sich um eine Aufgabe der Vertrauensstelle handelt Die Vertrauensstelle hat die medizinischen Daten der gemeldeten Patienten nach der bermittlung an die Registerstelle umgehend sp testens aber vor Ablauf von drei Monaten in ihren Dateien zu l schen Andernfalls w rde die Aufteilung des Registers in Vertrauens und Registerstelle unterlaufen Dies wurde in der Anlaufzeit des Registers nicht ausreichend beachtet da die Registerstelle Schwierigkeiten mit dem Einlesen der ihr bermittelten Datens tze in ihr EDV System hatte Auf meine Intervention hin erkl rte die Vertrauensstelle sie werde k nftig die gesetzliche Vorgabe beachten Ich konnte mich davon bei einer Pr fung mittels einer Stichprobe berzeugen Der erreichte Stand wurde bereits im Datenschutzaussschu behandelt Dabei erkl rte das Gesundheitsressor
205. r ganz hart gesottene bleiben stand haft bei ihrem Nein Manch einer hat bestimmt l ngst aufgegeben und r Cookie Installation zuge stimmt Ja und was steht eigentlich in dem Cookie Was genau macht er mit meinen Daten Nur in den seltensten F llen werden auf die Fragen Anbieterantworten bereitgehalten Oder um noch ein Beispiel zu nennen der Intel Chip Pentium Ill der letztes Jahr auf den Markt kam enth lt eine ein 8 malige Fabrikationsnummer die ber eine Schnittstelle ausgelesen werden kann Man fragt sich wie kann ein Unternehmen das auch nach Europa liefert nur auf de Idee kommen das Verfahren so auszugestalten Erst auf den weltweiten Protest der Datenschutz und Verbraucherorganisationen hin wurde das Verfahren so realisiert da der K ufer selbst entscheiden kann ob er sich dieser Kenn ziffer bedienen will und sie einschalten will Das sind Beispiele f r eine unterentwickelte Daten und Verbraucherschutzkultur und solange die fehlt kann man wohl kaum auf rechtlich vorgegebene Rahmenbedingungen verzichten Von allein stellt sich eine solche Kultur nicht ein Ohne verbindliche Grundprinzipien und ein Mindestma an zu erbringender Transparenz an durchsetzbaren Rechten f r die Betroffenen und auch an Kontroll mechanismen w rde der Einzelne noch lange das Nachsehen haben 1 6 Personelle Situation der Dienststelle Am Anfang des Berichtsjahres schied unser Diplominformatiker der Leiter des Referats 40 aus Die
206. rauensstelle vor sicherzustellen da sie die bei ihr gespeicherten Identit tsdaten von Krebspatienten nicht zu anderen als zu den gesetzlich definierten Zwecken nutzen kann und da diese Daten nicht unbefugt eingesehen und genutzt werden k nnen 4 Abs 1 Satz 2 i V m 6 Abs 2 BremKRG gt Zweck der Aufteilung des Registers in Vertrauens und Registerstelle ist es die Identifizierung der einzelnen Krebspatienten anhand der ber sie gespeicherten medizinischen Daten zu verhindern Dies so ausdr cklich das Gesetz ist durch einen dem Stand der Technik angemessenen Schutz zu gew hrleisten Das Gesetz sieht kleinr umige Untersuchungen zu Krebsrisiken vor Dazu sind neben den medizinischen Daten auch Daten die zum Wohnsitz des gemeldeten Patienten geh ren erforderlich Deshalb z hlen diese Angaben zu der Kategorie von Daten die an die Registerstelle bermittelt werden sollen Im Ausgleich hierzu wiederum verlangt das Gesetz in seinem 6 Abs 1 Nr 4 BremKRG ausdr cklich es d rfe nicht m glich sein anhand dieser Angaben die Anschrift und damit die Identit t der Betroffenen festzustellen Ich habe bei Vertrauens und Registerstelle wr Ort Datenschutzpr fungen durchgef hrt Ziel meiner von technischen Pr fungen begleiteten Er rterungen war die Durchsetzung der oben genannten zentralen gesetzlichen Vorgaben und zwar sowohl in den Festlegungen der Datenschutzkonzepte beider Stellen als auch bei der technischen Installation der E
207. rbei um das Telekommunikationsgesetz TKG das Gesetz ber die Nutzung von Telediensten Teledienstegesez TDG das Gesetz ber den Datenschutz bei Telediensten Teledienstedatenschutzgesetz TDDSG den Mediendienstestaatsvertrag MDStV sowie bei ffentlichen Schulen im Bundesland Bremen um das Bremische Gesetz zum Datenschutz im Schulwesen BrSchulDSG und daneben um das Bremische Datenschutzgesetz BrDSG Wegen der erheblichen Datenschutz und Datensicherheitsrisiken bei Nutzung des allgemein zug nglichen Internet m ssen seitens der Schulen besondere technisch organisatorische Sicherheitsma nahmen 19 20 BrSchulDSG 7 BrDSG ergriffen werden Diese bestimmen sich je nach Art des Rechneranschlusses und der Internet Nutzung Die Nutzung des Internets im Unterricht ist hier eingeschlossen Es empfiehlt sich verantwortliche Personen f r die Beschaffung Betreuung und Administration der gesamten DV und TK Technik der Schule sowie f r die Beratung und Kontrolle in Datenschutzrechtsfragen zu bestimmen Die Betreuung und Pflege des Internet Angebots der Schule ist ebenfalls verantwortlich sowie fachkundig zu regeln Die Rechner der Schulverwaltung evtl eingebunden in ein Netz der Gesamtverwaltung und die Rechner der unterrichtlichen Nutzung samt Internet sind gem 19 BrSchulDSG strikt zu trennen kein Netzverbund keine gemischte Nutzung kein Ger teaustausch kein Datentr geraustausch Die Gestaltung der Homep
208. rd auf der Basis des derzeit g ltigen Asyl und Ausl nderrechts nicht m glich ist haben die Innenminister am 18 19 November 1999 beschlossen einen Probelauf auf der Grundlage einer freiwilligen Beteiligung der Betroffenen zu pr fen Ergebnisse hierzu liegen mir f r Bremen bisher nicht vor Einem solchen Versuchslauf haben die Datenschutzbeauftragten des Bundes und vieler L nder widersprochen weil eine Zustimmung eines Betroffenen nur dann wirksam erteilt ist wenn er hinreichend ber die Datenverarbeitung und die Nutzung der Daten aufgekl rt worden ist Dies ist naturgem bei Asylbewerbern wegen der Sprachprobleme und der Herkunft aus einem anderen Rechts und Kulturkreis schwierig Angesichts der Tatsache da in den Jahren 1992 bis 1994 eine ausf hrliche Debatte ber das Asylverfahren gef hrt wurde die zu grundlegenden rechtlichen und technischen nderungen gef hrt hat ist zu pr fen ob mit der Einf hrung einer Asyl Card berhaupt der richtige Weg beschritten w rde Es ist festzuhalten da aufgrund der geltenden rechtlichen Bestimmungen bereits jetzt die Abnahme von Fingerabdr cken obligatorisch ist Dieses erkennungsdienstliche Material wird per Computer verformelt und in das zentrale Fingerabdrucknachweissystem AFIS beim Bundeskriminalamt eingestellt wo diese Daten jederzeit abrufbar sind Mit diesen Daten kann also 45 jederzeit eine eindeutige Identit ts berpr fung durchgef hrt werden Die technische Entwicklun
209. rderung der Entwicklung europ ischer Verschl sselungsprodukte mit offengelegten Algorithmen Vor diesem Hintergrund fordern die Datenschutzbeauftragten die ffentlichen Stellen auf mit gutem Beispiel voranzugehen Sie sollten vorbehaltlos die technischen M glichkeiten des Einsatzes kryptographischer Verfahren zum Schutz personenbezogener Daten pr fen und derartige L sungen h ufiger als bisher einsetzen K nftig mu Kryptographie der Standard in der Informations und Kommunikationstechnik werden auf deren Einsatz nur dann verzichtet wird wenn wichtige Gr nde dagegen sprechen Hersteller von Produkten der Informations und Telekommunikationstechnik werden aufgefordert die guten Voraussetzungen zur Entwicklung von Verschl sselungsprodukten in Deutschland zu nutzen um sichere leicht bedienbare und interoperable Produkte zu entwickeln und den Anwendern kosteng nstig anzubieten Die Datenschutzbeauftragten des Bundes und der L nder bieten hierf r ihre Kooperation an 113 19 Liste des verf gbaren Informationsmaterials Folgende Informationsmaterialien k nnen beim Landesbeauftragten f r den Datenschutz der Freien Hansestadt Bremen Postfach 10 03 80 27503 Bremerhaven Telefon 0471 9 24 61 0 Telefax 0471 9 24 61 31 e mail office datenschutz bremen de angefordert werden 10 Jahresbericht 1987 B rgerschafts Drs 12 163 vergriffen 11 Jahresbericht 1987 B rgerschafts Drs 12 499 vergriffen 12 Jahresberi
210. rens habe ich wegen der Vielzahl hnlicher Verfahren ein Einsatz und Administrationskonzept f r den zentralen Server Rechner sowie besondere anwendungsorientierte Sicherheitsma nahmen f r die einzelnen Clients Arbeitspl tze der Meldebeh rde verlangt Ferner wurden von mir ein Sicherheitskonzept f r die geplante Fernwartung und die Einbindung des Meso 96 Verfahrens in das Verwaltungsnetz des Magistrats samt evtl Internet und E Mail Anschlu verlangt 6 4 Statistik und Wahlen 6 4 1 Volksz hlung 2001 aktueller Stand der Debatte Die letzte geplante gro e Volksz hlung 1983 hat ja bekanntlich zu erheblichen B rgerprotesten Anla gegeben Ich widme mich daher besonders aufmerksam allen neuen Bestrebungen in dieser Sache In meinem letzten Jahresbericht vgl 21 JB Ziff 9 5 hatte ich die berlegungen zur n chsten Volksz hlung im Jahre 2001 dargestellt Diese Z hlung soll in der gesamten Europ ischen Union durchgef hrt werden Geplant ist auch ein statistischer Methodenwechsel d h nicht mehr alle Einwohner sollen direkt befragt werden sondern es sollen vorhandene ffentliche Register und Datenbest nde sowie laufende amtliche Statistiken genutzt werden Zwei L sungsmodelle wurden diskutiert Im Berichtsjahr wurde beschlossen Test und Qualit tsuntersuchungen f r die beiden Modellvarianten Bundesmodell umfassenderes Landesmodell durchzuf hren Nach dem Ergebnis dieser Untersuchungen soll dann ber die konkrete Ausge
211. rf ge unter Beteiligung kommunaler Kliniken der Stadtgemeinde Bremen aufzunehmen 8 6 Recht des Patienten auf Einsicht in seine Krankenunterlagen Charta der Patientenrechte und Richtlinie f r Krankenh user der Stadtgemeinde Bremen Basis f r eine rztliche Heilbehandlung ist das Vertrauen das der Patient in seinen Arzt setzt Zum Schutz dieses Vertrauensverh ltnisses sichert die Rechtsordnung die rztliche Schweigepflicht Die Schweigepflicht gilt aber nicht gegen ber dem behandelten Patienten Der Patient kann ein Interesse daran haben Einsicht in die Dokumentation zu nehmen die der Arzt ber seine Behandlung anlegen mu Die Rechtsprechung Krankenhausgesetize der L nder im Lande Bremen das Krankenhausdatenschutzgesetz und die rztlichen Berufsordnungen erkennen seit geraumer Zeit bereinstimmend das Einsichtsrecht der Patienten an Allerdings bleibt bemerkenswert wie oft noch immer rzte sich schwer tun ihre damit korrespondierenden Pflichten zu erf llen Dies gilt wohl nicht so sehr wenn zur Vorbereitung oder im Rahmen eines gerichtlichen Verfahrens ein Rechtsanwalt mit Vollmacht seines Mandanten Einsicht verlangt Jedoch sto en Patienten die selbst ihre Rechte in Anspruch nehmen wollen weiterhin h ufig auf rztliches Unverst ndnis Hiermit im Zusammenhang steht folgendes Auf der Grundlage eines Gutachtens des Instituts f r Gesundheits und Medizinrecht der Universit t Bremen und auf Initiative der Gesundheitsmin
212. rf die Auf gaben der Polizei u a in dem Vorfeldbereich von Gefahren dahin erweitert da sie Vorbereitungen trifft insbesondere auch durch vorsorgliche Datenerhebung um k nftige Gefahren abwehren zu k n nen Weiter werden Regelungen zur Video berwachung auf ffentlichen Pl tzen und bei Veranstal tungen vorgeschlagen dar ber hinaus soll ein Kanon von verdeckten polizeilichen Ma nahmen er m glicht werden hierzu z hlen die polizeiliche Beobachtung die l ngerfristige Observation der Ein satz verdeckter technischer Mittel zur Aufnahme von Bild und Tonaufzeichnungen des nicht ffentlich gesprochenen Wortes auch aus Wohnungen sowie die Datenerhebung durch sogenannte Vertrau enspersonen V Personen und durch Polizeibeamte die unter einer falschen Identit t agieren der sog verdeckte Ermittler Dar ber hinaus pr zisiert der Entwurf die bisher geltenden Regelungen zur Datenerhebung Speicherung Verwendung und L schung Neu ist auch eine Regelung die dem Senator f r Inneres Kultur und Sport eine Auskunftspflicht gegen ber einem von der B rgerschaft zu bildenden Ausschu vorsieht um neben der allgemeinen Datenschutzkontrolle durch den Landesbe auftragten f r den Datenschutz auch eine regelm ige parlamentarische Kontrolle eines Teils der mit verdeckten Methoden erhobenen Daten zu erm glichen 6 1 4 Konkrete datenschutzrechtliche Vorschl ge Ich habe dem Senator f r Inneres Kultur und Sport meine Stellungnahme zu dem Re
213. rfassungsgericht aus dem Pers nlichkeitsrecht Art 2 Abs 1 i V m Art 1 Abs 1 GG abgeleitete Grundrecht auf Datenschutz als solches von zahlreichen Landesverfassungen ausdr cklich erw hnt 18 11 Patientenschutz durch Pseudonymisierung Entschlie ung der 58 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vom 7 8 Oktober 1999 Im Gesundheitsausschu des Deutschen Bundestages wird derzeit der vom Bundesministerium f r Gesundheit vorgelegte Gesetzesentwurf zur Gesundheitsreform 2000 dahingehend ge ndert da die Krankenkassen k nftig von den Leistungserbringern z B rztinnen und rzte Krankenh user Apotheken die Patientendaten nicht in personenbezogener sondern in pseudonymisierter Form erhalten Dieses neue Modell nimmt eine zentrale Forderung der Datenschutzbeauftragten auf f r die Verarbeitung von Patientendaten solche technischen Verfahren zu nutzen die die Pers nlichkeitsrechte der Betroffenen wahren und so die Entstehung des gl sernen Patienten verhindern Auch anhand von pseudonymisierten Daten k nnen die Krankenkassen ihre Aufgaben der Pr fung der Richtigkeit der Abrechnungen sowie der Wirtschaftlichkeit und der Qualit t der Leistungen erf llen Die Konferenz unterst tzt den Bundesbeauftragten f r den Datenschutz dabei da in den Ausschu beratungen die Wirksamkeit der Pseudonymisierung die gesetzliche Festlegung von Voraussetzungen f r die Identifizierung der Versicherten zu besti
214. rstellten Ausschreibung des Verfahrens pr sentierten vier Firmen ihre Angebote Die Pr sentationen wurden von mir aufgrund der vorgestellten Datenschutzfeatures nach folgenden Kriterien bewertet Zugangsorganisation auf den Ebenen Betriebssystem HKR und Datenbank Berechtigungskonzept unter den Gesichtspunkten Differenzierungsgrad Transparenz der Berechtigungsstruktur und Bildung komplexer Strukturen durch Hierarchisierung und Verkn pfung Bei den Systemrechten die differenzierte Zuweisungsm glichkeit von Systemadministratorrechten Protokollierungsfunktionen Meine Einsch tzung aller Produkte nach den o g Kriterien ergab qualitative Unterschiede in den Ausgestaltungsm glichkeiten und im Umfang der zur Verf gung gestellten Funktionen Der Senator f r Finanzen entschied sich f r eine HKR Software Sie enth lt nach Darstellung des Herstellers die eben beschriebenen Datenschutzfeatures Eine als von mir besonders kritisch bewertete ffnung der Datenbank unterhalb der Berechtigungsstruktur f r Reporttools soll bei diesem Produkt nicht m glich sein Im weiteren Verfahren ist es nun erforderlich die Implementierung der durch das ausgew hlte neue HKR Verfahren bereitgestellten Funktionen konzeptionell festzulegen und zu realisieren 12 2 SEKT Im letzten Jahresbericht 21 JB Ziff 17 4 habe ich bereits von dem in der bremischen Verwaltung vorangetriebenen Projekt sichere E Mail Kommunikation f r den Austausch von Transa
215. rung des Max Planck Instituts f r Bildungsforschung Berlin Die Feldarbeit und die Datenverarbeitung hat das Data Processing Center der International Association for the Evaluation of Educational Achievement IEA DPC Hamburg bernommen Im Fr hjahr 1999 fand der sog PISA Feldtest Pretest statt in dem die Instrumente und Prozeduren wie z B Testfragen und Frageb gen Begleitschreiben Erhebungs und Aufbereitungsverfahren erprobt werden sollten Auch bremische Schulen Sch ler Eltern der Stichprobensch ler Schulleiter waren hier beteiligt Nach Auswertung des Feldtests und berarbeitung der Instrumente und Prozeduren soll nach den Osterferien 2000 mit der PISA Haupterhebung begonnen werden Ich wurde Ende 1998 erstmalig vom Senator f r Bildung Wissenschaft Kunst und Sport in allgemeiner Form ber das Vorhaben informiert und um datenschutzrechtliche Beurteilung gebeten Ohne damals schon n here Einzelheiten des Projekts zu kennen habe ich in allgemeiner Form ber die im Bundesland Bremen zu beachtenden Datenschutzerfordernisse informiert und auf die 21 BrDSG und 13 BrSchulDSG sowie auf mein Merkblatt zum Datenschutz bei Forschungsprojekten hingewiesen Im April 1999 habe ich nach Eingang weiterer Informationen seitens des Bildungsressorts und von Stellungnahmen meiner Kollegen aus den anderen Bundesl ndern endg ltig zum PISA Pretest im Lande Bremen Stellung genommen Zentrale Punkte in den Stellungnahmen
216. s u 00 Ziff 16 7 6 Patientenakte elektronische Ziff 8 7 Patientenschutz durch Pseudonymisierung sesers Ziff 18 11 Personaldaten uu0uuuneeeneeeseeeseeeennne Ziff 5 1 6 1 Polizeigesetz Bremisches Ziff 4 2 6 1 Polizeiliche Beobachtung Ziff 6 1 3 Provider Ziff 16 4 17 2 17 3 PuMa trea Ziff 3 4 3 4 1 S Schule Datenerhebung in der Ziff 10 2 Schule Internet Nutzung ne Ziff 10 3 Schulleistungsstudie PISA Ziff 10 1 SERTEA HE en a Ziff 3 4 3 12 2 Sozialpsychiatrischer Dienst Ziff 8 3 Stadtk mmerei Bremerhaven Ziff 14 2 T Telearbeilz 2 2 22sH 2t2mensetafned Ziff 5 5 Telefon berwachung Ziff 2 2 6 2 1 18 3 V Verbindungsdaten in der Telekommunikation 22 22 022 02 0 Ziff 18 2 18 3 Verein Datenverarbeitung im Ziff 16 5 Verschl sselung ee Ziff 2 2 3 4 3 Versicherungswirtschaft Ziff 16 8 16 8 2 Vertrauenspersonen V Personen Ziff 6 1 3 Video berwachung auf ffentlichen Pl tzen Ziff 4 2 6 1 3 bei Veranstaltungen essees Ziff 6 1 3 in Gro wohnanlagen nneee Ziff 16 1 Virtual Network Computing VNC Ziff 3 4 4 Volksz hlung 2001 Ziff 6 4 1 wW
217. s Betroffenen ist nur auf der Grundlage einer Einwilligungserkl rung die den Anforderungen des 2 Abs 4 BDSG entsprechen muss zul ssig Die zun chst von dem Unternehmen vorgeschlagene bernahme des Wortlautes der Schufa Klausel kam den datenschutzrechtlichen Vorstellungen allerdings nicht entgegen da die beabsichtigte Datenverarbeitung sich hinsichtlich Umfang und angeschlossenem Teilnehmerkreis wesentlich von dem Schufa Verfahren unterscheidet Die Kritikpunkte sind auch heute noch nicht abschlie end ausger umt Beim Scoring Verfahren der Schufa werden mittels mathematisch statistischer Verfahren aus dem Schufa Datenbestand insgesamt und unter Be cksichtigung der individuellen Daten sog Score Werte ermittelt die den einzelnen Betroffenen dann zur Beurteilung ihrer Kreditw rdigkeit zugeordnet und an die Kreditgeber bermittelt werden Kritsiert worden war von den Obersten Datenschutzaufsichtsbeh rden u a die mangelnde Transparenz des Berechnungsverfahrens sowie der dem Betroffenen zun chst nicht zugestandene Auskunftsanspruch Die Schufa hat sich zwischenzeitlich bereit erkl rt bei der beabsichtigten Neufassung der Schufa Klausel einen Hinweis auf das Scoring Verfahren aufzunehmen und ein Merkblatt mit Erl uterungen zu dem Score Verfahren zu erstellen Das Merkblatt soll in Verantwortung der Kreditwirtschaft erstellt und den Bankkunden auf Wunsch ausgeh ndigt werden Der Auskunftsanspruch des Betroffenen soll auch den zum Zeit
218. s Kreditinstituts wie auch nach den Vorschriften des Lastschriftverfahrens die Datenweitergabe unzul ssig waren Das Kreditinstitut hat sich gegen ber der Kundin entschuldigt und wollte f r den Schaden einstehen 16 7 2 Gegen den Willen des Kunden den Magnetstreifen der Scheckkarte eingelesen Ein anderer B rger hatte bei einem Einkauf den Kaufbetrag mit einem komplett ausgef llten Euroscheck beglichen Auf Anforderung der Kassiererin h ndigte er dieser zur berpr fung seine Scheckkarte aus Die Kassiererin hat daraufhin gegen den Willen des Kunden den Magnetstreifen der Scheckkarte eingelesen Meine Nachforschungen haben ergeben da beim Auslesen des Magnetstreifens der Scheckkarte an den Kassen des Kaufhauses nur die Daten ausgelesen und gespeichert werden die f r die Abwicklung bei Scheckeinreichung erforderlich sind Die Firma erh lt also nur Informationen ber die Bankleitzahl und die Kontonummer des Kontoinhabers Diese Daten werden zusammen mit der Schecknummer der Scheckkartennummer und dem ausgestellten Betrag zum Zweck der automatisierten Kassenabrechnung und dem Bankeinzug der Scheckbetr ge ben tigt Die Eingabe der genannten Daten w re ebenso manuell m glich sie lassen sich n mlich auch von der Scheckkarte bzw dem Scheck ablesen Ich mu te daher dem Beschwerdef hrer mitteilen da soweit er dies nicht wolle ihm in Zukunft nur die M glichkeit bleibe mit Bargeld zu zahlen 16 7 3 BSAG Pilotprojekt Elektronis
219. s darum geht das Recht kon kreten Lagen anzupassen Soweit daher polizeipflichtige Personen in dem Umfang zur Informations verarbeitung herangezogen werden in dem sie f r eine Gefahrenlage verantwortlich sind bestehen keine Probleme diese Personen in verfassungsrechtliich angemessenem Ma e mit in die Pflicht zu nehmen und zwar auch bei der Informationsverarbeitung Problematisch wird es jedoch wenn unbeteiligten Dritten Rechtspflichten vom Gesetz auferlegt wer den die zugleich einen tiefen Eingriff in ihre Freiheitsrechte darstellen Beispiele hierf r sind die im Gesetzentwurf enthaltene technische Wohnraum berwachung mit Ton und Bildaufzeichnung oder die polizeiliche Beobachtung sogenannter anderer Personen die auch ber Monate erfolgen kann Die neueren Polizeigesetze auch der Entwurf des Bremischen Polizeigesetzes versuchen zur Er leichterung der polizeilichen Arbeit zunehmend jedermann polizeipflichtig zu machen sei es zur Mit wirkung durch Ausk nfte sei es zur Duldung von Kontrollen wenn es zur Gefahrenvorsorge opportun erscheint Dem polizeilichen Pragmatismus entsprechen dabei oft nur solche Regelungen die durch weit reichende Eingriffserm chtigungen und in hohem Ma e auslegungsf hige Begrifflichkeiten ge w nschte Flexibilit t polizeilicher Arbeit sicherstellen Die Aufrechterhaltung der empfindlichen Machtbalance im Rechtsstaat und die Gew hrleistung von Rechtssicherheit wie auch die Vorherseh barkeit pol
220. s schon sehr intensiv die europ ische Diskussion von Regierung und einer L ndervertretung begleitet Dann gab es erste Entw rfe zur nderung des Bundesdatenschutzgesetzes Gleichwohl erreichte keiner der verschiedenen Referentenentw rfe Kabinettsreife Schlie lich so verlautete aus dem Innenministerium blockierte r anstehende Wahlkampf die Ministerialb rokratie wie die Politik Die neue Regierungskoalition vereinbarte dann im Oktober 1998 die notwendigen Anpassungen des nationalen Rechts an die EG Richtlinie kurzfristig umzusetzen So die Ausgangslage Doch die reue Bundesregierung wollte auch neuen Anspr chen gen gen und nicht nur das von der Richtlinie unbedingt Geforderte umsetzen Sie sah sich pl tzlich einer Vielzahl weiterer W nsche ausgesetzt Andererseits dr ngte die Zeit und man konnte ohne eine ordentliche Vorbereitung nicht weitere gravierende nderungen und neue Komplexe im BDSG unterbringen So entschied man sich zu einer Vorgehensweise in zwei Stufen In der ersten Stufe sollen alle unumg nglichen gesetzgeberischen Anpassungen an die Richtlinie erfolgen und dar ber hinaus einige auch von der Konferenz der Datenschutzbeauftragten geforderte Modernisierungsregelungen eingearbeitet werden Hierzu z hlen z B Regelungen zu Chipkarten die Verpflichtung zur Datenvermeidung und zur Datensparsamkeit die Verpflichtung zu einer fr hzeitigen Anonnymi oder Pseudonymisierung sowie die Einf hrung eines Datenschutzaudits Dies
221. schaften vgl Beschlu unter Ziff 18 8 gt Umfang von Auskunftsersuchen durch Staatsanwaltschaften und Gerichte bei der Schufa hier werden h ufig alle bei der Schufa gespeicherten Daten abverlangt obwohl amp lediglich um eine einzelne Information geht Oder aber die Schufa ist gar nicht in der Lage die in Rede stehende Anfrage zu beantworten gleichwohl werden oft s mtliche Daten der zur Person gespeicherten Daten bei der Schufa abverlangt 7 8 Zum Auskunftsanspruch des Grundst cksmaklers Vom Nieders chsischen Landesbeauftragten f r den Datenschutz wurde mir eine B rgerbeschwerde zur weiteren Bearbeitung bersandt Ein Ehepaar hatte im Bremer Randgebiet ein Hausgrundst ck erworben Ein Bremer Immobilienmakler behauptete Anspr che gegen dieses Ehepaar aus diesem Hauskauf Das Ehepaar war nicht auskunftsbereit Der Makler beauftragte daraufhin einen in Bremen ans igen Notar und Rechtsanwalt mit der Informationsbeschaffung ber den Grundst ckskauf Dieser besorgte als Notar Grundbuchauszug und Grundakte inwieweit er selbst oder durch einen Korrespondenzanwalt dann diese Daten zur Vorbereitung einer Klage verwertete blieb unklar Im Zuge meiner Pr fung bin ich zu dem Ergebnis gekommen da er als Notar diese Ausk nfte nicht verlangen durfte Die ebenfalls mit der Frage konfrontierte Hanseatische Rechtsanwaltskammer hatte auch Bedenken an der Rechtm igkeit des Auskunftsersuchens des Notars der Notar hat einen objektiven Feh
222. schlossene Clients Zugriff auf die dort gespeicherten Daten Das Programm wurde mir vorgef hrt und ein Datenschutz sowie Datensicherungskonzept zur Stellungnahme vorgelegt Verschiedene technische Komponenten waren nicht hinreichend sicher installiert In der Antwort auf meine Stellungnahme wurde meinen Anregungen Rechnung getragen Die Sperre von CD ROM und Diskettenlaufwerk f r die Sachbearbeitungs PC der Einsatz von ACCESS Runtime Versionen die Begrenzung der Anmeldeversuche auf drei Anmeldungen und die Festlegung der L schfrist f r archivierte Daten auf 5 Jahre wurden schriftlich zugesagt Im Konzeptentwurf fehlte auch die Festlegung der L schzeitpunkte f r das Datensicherungsarchiv Die Einarbeitung der genannten Punkte in die Konzepte die Erstellung einer Dienstanweisung sowie die Dateibeschreibung sind noch nicht abgeschlossen 11 3 Datenerhebung beim Antrag auf Fahrerlaubnis Nach Inkrafttreten des novellierten Stra enverkehrsgesetzes StVG und der Fahrerlaubnisverordnung im Jahre 1998 vgl 19 JB Ziff 14 1 habe ich gepr ft ob die Formulare die beim Antrag auf Fahrerlaubnis zu verwenden sind den neuen Vorschriften angepa t worden sind Gegen den Umfang der Datenerhebung hatte ich mit Ausnahme der Frage nach der Staatsangeh rigkeit keine Einw nde Die Frage ist nicht zul ssig insbesondere weil dieses Datum nicht im abschlie enden Katalog des 50 StVG enthalten ist Des weiteren habe ich vorgeschlagen die neuen Rechtsgrun
223. sdaten der anzusprechenden Bremerinnen durch Registerauskunft der Meldestellen ist das Bremische Meldegesetz zu beachten Die in das Projekt einbezogenen Frauen sind um eine schriftliche Einwilligung in die Verarbeitung ihrer Daten zu bitten Zuvor sind sie auf die Zwecke der Speicherung und vorgesehene bermittlungen ihrer Daten sowie darauf hinzuweisen da ihre Beteiligung freiwillig ist gt Jeder auf die Person der betroffenen Frauen kezogene Abgleich von Daten aus dem Projekt mit Daten aus dem Krebsregister bedarf der Einwilligung der einzelnen betroffenen Frauen Bisher hat keine der genannten Stellen mit mir Kontakt aufgenommen um die anstehenden Datenschutzfragen zu kl ren Ich gehe aber davon aus da man den Datenschutz schon deshalb ernst nehmen wird weil man f r das Gelingen des Projekts auf das Vertrauen der Bremerinnen angewiesen sein wird 8 3 Sozialpsychiatrischer Dienst Datenschutzverordnung Entsprechend dem Auftrag des 33 Abs 3 des Gesetzes ber den ffentlichen Gesundheitsdienst im Lande Bremen das bereits 1995 in Kraft getreten ist hat der Senator f r Arbeit Frauen Gesundheit Jugend und Soziales in Zusammenarbeit mit den Gesundheits mtern Bremen und Bremerhaven und in Abstimmung mit mir die Verordnung ber die Verarbeitung personenbezogener Daten in Beh rden und Einrichtungen des ffentlichen Gesundheitsdienstes Brem GBl 2000 S 2 in Kraft gesetzt Damit wird ber Umfang und Dauer der Speic
224. selbstverst ndlich auch zu anderen Zwecken als zum Abschlu eines Kfz Versicherungsvertrages genutzt werden k nnen Da zu bef rchten ist da nicht nur in der Kfz Versicherung ber einen Vertrag weitere Informationen ber den Kunden abgefragt werden die nicht f r den einzelnen Vertrag relevant sind habe ich beschlossen auf diesen Bereich in Zukunft ein besonderes Augenmerk zu richten 16 9 Bundesweite Themen der Obersten Aufsichtsbeh rden f r den Datenschutz Die Obersten Datenschutzaufsichtsbeh rden der Bundesl nder haben sich im sog D sseldorfer Kreis einem informellen Beratungs und Abstimmungsgremium zusammengeschlossen Unter Federf hrung des Innenministeriums des Landes Nordrhein Westfalen als der f r dieses Bundesland zust ndigen Obersten Datenschutzaufsichtsbeh rde werden datenschutzrechtliche Fragen von bergreifender oder berregionaler Bedeutung er rtert Zu bestimmten Themenfeldern wie z B Kreditwirtschaft Versicherungen Auskunfteien Telekommunikation Tele und Mediendienste hat der D sseldorfer Kreis Arbeitsgruppen eingerichtet die unter sich aber auch mit Verbandsvertretern der Wirtschaft Softwareh usern oder anderen Institutionen datenschutzrelevante Fragen er rtern Wichtige Themenfelder im Berichtsjahr waren u a die Novellierung des BDSG nicht ffentlicher Teil die Umsetzung der EG Datenschutzrichtlinie in den L ndern die elektronische H user und Geb udekarte City Server Research Sy
225. sowie die Wirtschaftlichkeit der Verwaltung zu pr fen hat Dabei greift es auf die entsprechenden Belege und B cher zur ck die von der Verwaltung vorzulegen sind Da ich bisher keinen Fortgang in der Sache feststellen konnte gehe ich davon aus da die Novellierung insoweit nicht weiterverfolgt wird 14 2 Stadtk mmerei Bremerhaven Neues DV Verfahren Haushalts und Kassenwesen Im Rahmen eines Projektes wird aus verschiedenen Gr nden z B 2000 Problem die DV Landschaft beim Magistrat der Stadt Bremerhaven in einzelnen Schritten von einer Host Anwendung auf eine Clint Server L sung umgestellt Bei der Gestaltung dieses ehrgeizigen Projektes bin ich von Anfang an beteiligt worden Die Umstellung betrifft auch das Haushalts und Kassenwesen das ma geblich von der Stadtk mmerei betrieben wird Ich habe bei dem Projekt CHIPSMOBIL in Bremen vgl Ziff 15 1 in entsprechendem Zusammenhang darauf hingewirkt eine Software auszuw hlen die die Zugriffsrechte klar abgrenzen und die Rechteverwaltung transparent gestalten kann sowie die Nutzung protokolliert Das Projekt scheint sich insgesamt auf einem guten Weg zu befinden Von der eben beschriebenen Umstellung sind auch andere DV Verfahren innerhalb der Ortspolizeibeh rde betroffen In Teilprojekten werden z B die folgenden Verfahren umgestellt 79 Einwohnermeldewesen Kfz Zulassung F hrerscheine gt Ausl nderangelegenheiten und gt Ordnungswidrigkeite
226. spr chen in Call Centern Ein Call Center hat mich um rechtliche Beratung zur Frage der Zul ssigkeit des Mith rens und Aufzeichnens von gesch ftlichen Telefongespr chen mit Kunden gebeten Den Angaben zufolge sollten per Zufall ausgew hlte Telefongespr che aufgezeichnet werden Diese sollten dann von den jeweiligen Mitarbeitern und ihren direkten Vorgesetzten angeh rt werden um den Trainingsbedarf der Besch ftigten zu analysieren oder direkte Hilfestellungen zu besprechen Au erdem sitzen in der Einarbeitungsphase erfahrene Mitarbeiter bei den neuen Mitarbeitern um Gespr chsabl ufe mitzuh ren Ich habe dem Call Center mitgeteilt da das Aufzeichnen von Telefongespr chen strafbar ist soweit dieses unbefugt im Sinne des 201 Abs 1 Strafgesetzbuches StGB erfolgt Danach wird das unbefugte Aufnehmen des nicht ffentlich gesprochenen Wortes eines anderen auf einem Tontr ger mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe geahndet Eine Befugnis zum Aufzeichen von Telefonaufzeichnungen durch das Call Center besteht nur dann wenn die jeweiligen Gespr chsteilnehmer also die Kunden und die Besch ftigten hierin eingewilligt haben oder eine gesetzliche Erlaubnis vorliegt 83 Die Absicht des Call Centers im Zusammenhang mit der Ver ffentlichung der Service Telefon nummern etwaige Kunden auf die Aufzeichnung eingehender Kundengespr che hinzuweisen kann nicht als wirksame Einwilligung durch den Kunden gewertet werd
227. ssen Zeitabl ufen vorsehen Im brigen w rde dadurch eine arbeitsaufwendige Einzelfalll sung die jeweils manuell angesto en werden mu vermieden Der Zeitablauf bestimmt sich nach den f r das jeweilige Gesch ft blichen Usancen Ist also z B in einem Gesch ftsbereich zu erwarten da es zu einem regelm igen Gesch ftskontakt kommt k nnte die Software vorsehen da der Datensatz f r einen gewissen Zeitraum gespeichert bleibt kommt es innerhalb eines solchen Zeitraumes zu keiner Anschlu buchung w rde eine automatische L schung erfolgen Nachdem das Softwareunternehmen das Bremer Unternehmen im Jahre 1999 mehrfach vertr stet hatte habe ich mich direkt an die f r das Softwaresystemhaus zust ndige Datenschutzaufsichtsbeh rde in S dhessen gewandt Diese hat mir Anfang Januar mitgeteilt auch das Softwaresystemhaus habe nunmehr erkannt da das System hinsichtlich der L schungsm glichkeiten von Kundendaten nicht besonders bedienerfreundlich f r den Nutzer sei Weiter hei t es wir haben uns auch auf Ihre Anregung hin entschlossen dies zu verbessern Immerhin stellt das Softwarehaus im zweiten Halbjahr 2000 die Realisierung in Aussicht 86 16 7 Kreditwirtschaft Handel Auskunfteien 16 7 1 Bankgeheimnis beim Lastschriftverfahren Ein Kreditinstitut hatte gegen ber einem Kaufhaus in der Bremer Innenstadt Name und Anschrift der Kunden herausgegeben obwohl nach den Allgemeinen Gesch ftsbedingungen de
228. sserungsvorschl ge aufgegriffen werden Mit der Durchf hrung wurde ein Call Center beauftragt Schon bei der Konzeption der Telefonumfrage hat mich der Senator f r Wirtschaft und H fen beteiligt Dabei habe ich ihn auf die wesentlichen Punkte die bei einer solchen Umfrage aus datenschutzrechtlicher Sicht zu beachten sind hingewiesen Die Datenerhebung wurde auf freiwilliger Grundlage gem 3 Abs 1 Nr 2 BrDSG durchgef hrt Der Fragenkatalog wurde durch den Auftraggeber eindeutig festgelegt und der Kreis der Befragten sollte mittels eines Zufallsgenerators ausgew hlt werden Es wurde auch festgelegt wie zu verfahren sei falls einer der Interviewten Kontakt zur Beh rde w nschen w rde Das Call Center wurde nach sorgf ltiger Auswahl durch schriftlichen Vertrag gem 89 BrDSG beauftragt Es hat sich meiner Kontrolle unterworfen An Hand des Fragenkataloges wurden vom Call Center die Antworten der B rgerinnen anonym erfa t aufbereitet und ausgewertet an den Senator f r Wirtschaft und H fen weitergeleitet Die Ergebnisse der Telefonbefragung wurden in anonymer Form ver ffentlicht 77 Durch meine fr he Beteiligung konnte eine datenschutzrechtliich unbedenkliche Meinungsumfrage durchgef hrt werden 13 2 BrePos und der Anschlu privater Stellen Beim Hansestadt Bremischen Hafenamt wurde auch im vergangenen Jahr an einer Fortentwicklung des Programms BrePOS Bremen Port Operating System gearbeitet Dieses Programm beruht a
229. staltung der neuen Volksz hlung und damit ber ein konkretes Gesetzesvorhaben entschieden werden Die Durchf hrung der Testuntersuchungen soll auf der Basis eines spezifischen Gesetzes erfolgen das bisher allerdings noch nicht erlassen ist Die von der EU Eurostat Statistisches Amt der Europ ischen Union im Jahre 2001 erwarteten Zensusdaten sollen deshalb aus der laufenden Bev lkerungsstatistik einem zeitnahen Mikrozensus sowie Statistiken der Bundesanstalt f r Arbeit bereitgestellt werden Der bisher bestehende Zeitdruck f r die Vorbereitung und Durchf hrung eines gemeinschaftsweiten Zensus 2001 w re damit entfallen Im Zusammenhang mit der geplanten neuen Volksz hlung steht auch ein Gesetzesvorhaben des Bundes mit Folgewirkungen f r das Land mit dem das Melderechtsranmengesetz MRRG erneut ge ndert werden soll Entwurf eines 2 Gesetzes zur nderung des MRRG Stand 28 9 1999 Mit den geplanten nderungen soll u a die Qualit t der kommunalen Melderegister verbessert werden die Melderegister sollen also zensustauglich gemacht werden Hierzu sieht der Gesetzentwurf u a die Schaffung einer Befugnisnorm f r die Meldebeh rden zur berpr fung der Meldedaten von solchen Einwohnern vor bei denen aufgrund ihres gruppentypischen Meldeverhaltens davon ausgegangen werden m sse da die im Melderegister gespeicherten Daten in gr erem Umfang unrichtig geworden sind Gruppen berpr fung von Amts wegen z B bei Inhabern v
230. steme der Banken zur Bek mpfung der Geldw sche Geldkarte Elektronische Geldb rse Mustervereinbarung des Bankenfachverbandes zum gebiets bergreifenden Datenschutz rztliche Schweigepflicht Bonit tsanfragen vor rztlicher zahn rztlicher Behandlung Datenverarbeitung durch Privat rztliche Verrechnungsstellen Schweigepflicht der Mitarbeiter von privat rztliichen Verrechnungsstellen Verwendung von Rezeptdaten durch Apotheken Rechenzentren Auskunftei Creditreform Experian GmbH Scoringverfahren einzelner Auskunfteien Erstellung von Nutzerprofilen mittels Cookies im Internet Der D sseldorfer Kreis und seine Arbeitsgruppen fassen keine f rmlichen Beschl sse die dann f r die Datenschutzaufsichtsbeh rden bindend w ren Die hier erfolgende Meinungsbildung pr gt allerdings die Meinung der Datenschutzaufsichtsbeh rden wesentlich mit Leider ist die Abstimmung 95 in diesen Gremien gelegenlich relativ schwerf llig dies liegt oft an der mangelnden Informations und Kooperationsbereitschaft der Gespr chspartner d h der jeweiligen Branchenverb nde 16 10 Wo bleibt die BDSG Novelle Wie war die Ausgangslage am Anfang des Berichtsjahres Nun im Oktober 1995 war die EG Datenschutzrichtlinie verabschiedet worden Danach standen den EG Mitgliedsstaaten und damit auch Deutschland drei Jahre f r die Umsetzung der Richtlinie in nationales Recht zur Verf gung Wie es damals schien ein ausreichend langer Zeitraum wurde doch damal
231. strafrechtlich relevanten Konflikt beteiligten Parteien im Idealfall Verst ndnis und wechselseitige Toleranz geweckt werden Dieser Argumentation widersprechen die Datenschutzbeauftragten entschieden Die Achtung und wirksame Unterst tzung der Opfer ist ein wesentliches Anliegen des Strafverfahrens Rechtsfriede und Toleranz k nnen nur verwirklicht werden wenn die Strafverfolgungsbeh rden bei Daten bermittlungen an Schlichtungsstellen z B in der Rechtsform von Vereinen den Willen und die Eigenverantwortung der Opfer uneingeschr nkt respektieren Auch die Sicht der Beschuldigten ohne deren Mitwirkung der T ter Opfer Ausgleich nicht durchgef hrt werden kann sollte von den Strafverfolgungsbeh rden dabei ber cksichtigt werden Die Konferenz der Datenschutzbeauftragten fordert deshalb da an der Voraussetzung der unzweifelhaften Einwilligung vor solchen Daten bermittlungen festgehalten wird Ferner sollte der Gesetzgeber festlegen da die Berichte der Schlichtungsstellen an Staatsanwaltschaft und Gericht nur f r Zwecke der Rechtspflege verwendet werden d rfen Das besondere Vertrauensverh ltnis zwischen den Schlichtungsstellen und den am T ter Opfer Ausgleich Beteiligten muss gesetzlich gesch tzt werden 18 10 Entschlie ung zum Beschlu des Europ ischen Rates zur Erarbeitung einer Charta der Grundrechte der Europ ischen Union Entschlie ung der 58 Konferenz der Datenschutzbeauftragen des Bundes und der L nder vo
232. t auch da es intensiv darauf hinwirken werde da nur das vorgesehene Formular f r die Meldung zum Register von rzten und Kliniken verwendet werde und nicht Arztbriefe und Entlassungsberichte bermittelt w rden die weit mehr Daten enthalten als f r die Meldung erforderlich Dar ber hinaus steht nach Informationen aus dem Gesundheitsressort eine umfassende berarbeitung des Bremischen Krebsregistergesetzes an Anla ist das Auslaufen des Krebsregistergesetzes des Bundes zum 31 12 99 ber cksichtigt werden sollen die im Verlauf der Einrichtung des Bremischen Krebsregisterss gesammelten Erfahrungen Mit dem Datenschutzausschu der Bremischen B rgerschaft bin ich darin einig da der im geltenden Recht festgeschriebene und inzwischen auch technisch und organisatorisch umgesetzte Datenschutzstandard erhalten bleiben mu 8 2 Bremer Brustkrebs Screening Programm Im September 1999 erhielt die Stadtgemeinde Bremen auf ein bundesweites Ausschreibungsverfahren hin das unter Regie des Bundesausschusses f r rzte und Krankenkassen steht den Zuschlag f r ein Modellprojekt zur Fr herkennung von Brustkrebs Alle Bremerinnen im Alter von 50 bis 70 Jahren sollen eingeladen werden sich in einem eigens hierf r gegr ndeten Mamma Zentrum einer Untersuchung mittels eines in dem unversit tsnahen Institut MeVis 54 entwickelten digitalen Verfahrens zu unterziehen Zwecks wissenschaftlicher Auswertung des Projekts wird eine Beteilig
233. t werden Vor und Nachteile der jeweiligen Ma nahmen werden derzeit in der Arbeitsgruppe Sicherheit im BVN vgl Ziff 3 2 er rtert 4 B rgerschaft Die Arbeit des Datenschutzausschusses 4 1 Ergebnisse der Beratung des 21 Jahresberichts Nach intensiver Beratung des 21 JB des Landesbeauftragten f r den Datenschutz vom 24 04 1999 B rgerschafts Drs 14 1399 und der Stellungnahme des Senats vom 12 10 1999 B rgerschafts Drs 15 75 hat der Datenschutzausschu einen Bericht und Antrag vom 23 02 2000 verabschiedet Die Behandlung soll in der M rz Sitzung der B rgerschaft Landtag erfolgen Die Abgeordneten haben dann ber folgenden Antrag zu befinden Die B rgerschaft Landtag tritt den Bemerkungen des Datenschutzausschusses bei Der vom Ausschu angenommene Text hat folgenden Wortlaut Die B rgerschaft Landtag hat in ihrer Sitzung am 20 Mai 1999 den 21 Jahresbericht des Landes beauftragten f r den Datenschutz und in ihrer Sitzung am 18 November 1999 die Stellungnahme des Senats zur Beratung und Berichterstattung an den Datenschutzausschuss berwiesen 22 Der Ausschuss hat bei der Behandlung des Jahresberichts und der Stellungnahme des Senats den Landesbeauftragten f r den Datenschutz und Vertreter der betroffenen Ressorts angeh rt Die wesentlichen Beratungsergebnisse sind nachfolgend aufgef hrt Die Textziffern in den verwendeten berschriften sind identisch mit denen des 21 Jahresberichts PuMa
234. tativer Hinsicht ausschlie t Insbesondere bedarf es aber dar ber hinaus durch das jeweilige Kreditinstitut einer pers nlichen Interpretation der mit Research Systemen gefilterten Daten bevor eine Mitteilung an die Strafverfolgungsbeh rden erfolgt Da derzeit verschiedene Research Systeme mit unterschiedlichen Ans tzen erwogen werden die auf ihre praktische Verwendbarkeit berpr ft werden sollen bin ich zusammen mit anderen Datenschutzaufsichtsbeh rden bereingekommen die weitere Entwicklung zu beobachten und die Problematik zu gegebener Zeit erneut zu er rtern 16 7 6 Wirtschafts und Handelsauskunfteien Im Berichtszeitraum erhielt ich wieder eine Reihe von Eingaben von Petenten die sich bei mir ber die Verarbeitung ihrer Daten durch die in Bremen und Bremerhaven ans ssigen Auskunfteien beklagten Die Eingaben hatten unterschiedliche datenschutzrechtliche Fragestellungen und Probleme zum Gegenstand So betrafen sie u a die nachtr gliche Speicherung von Negativmerkmalen in den Datenbestand der Schufa das Nachmeldeverfahren der Schufa die Richtigkeit von Datenspeicherungen das Vorliegen des f r Daten bermittlungen durch Auskunfteien erforderlichen berechtigen Interesses die Einhaltung der L schungsfristen und den Umfang des Auskunftsanspruchs des Betroffenen Erneut ging es in den Eingaben somit um Themen ber die ich in fr heren Jahresberichten schon berichtet habe Besonders erw hnen m chte ich hier die Eingabe ein
235. tellen als auch was den Inhalt der Meldung anbetrifft erheblich ver ndern Das bedeutet da sich auch die Registerf hrung der Datenschutzaufsichtsbeh rden wesentlich ver ndern wird Die bisherigen Registerverfahren inzwischen weitgehend dv gest tz m ssen umgestellt und die Datenbest nde in bereinigter Form bergeleitet werden Auch die Verfahrensweisen zur F hrung des Registers und zur Einsichtnahme in das Register m ssen neu gestaltet werden Das gilt auch f r mein Registerverfahren Ich strebe an da bundeseinheitliche Vorgaben f r ein neues Registerverfahren erarbeitet werden Dieses k nnte dann auf der Basis der einheitlichen Vorgaben und eines Standard Datenbank Systems programmiert und lauff hig realisiert werden Ein solches neues DV Verfahren k nnte nach Fertigstellung dann von allen Aufsichtsbeh rden bernommen und eingesetzt werden Dies w re auch f r die meldepflichtigen Stellen sicher sehr hilfreich 17 2 Statistische bersicht Entwicklungen Die Zahl der Stellen die mir zum Register nach 32 BDSG gemeldet sind hat sich im Berichtszeitraum wiederum leicht erh ht Insgesamt weist das Register Anfang Januar 2000 die Zahl von 140 Stellen gegen ber 130 Stellen im Vorjahr aus Davon befinden sich 119 Stellen in Bremen und 21 in Bremerhaven Die Mehrzahl der angemeldeten Stellen ist dem Bereich der Auftragsdatenverarbeiter insbesondere den DV und TK Dienstleistungsanbietern zuzuordnen Das Register nach
236. ten mit eingeschr nkten Rechten Trennung von Administrations und Nutzungsebene Installation einer entsprechend leistungsf higen Datenbank gt Protokollierung der Logins und aufgerufener Programme ber die Ebene des Betriebssystems Protokollierung auf Datenbankebene Protokollierung von Datenexporten per Diskette durch ein manuelles Verfahren gt Physikalische L schung von Daten falls wie etwa auf nachtr glichen Widerspruch hin deren L schung geboten ist Die im September 1999 anl lich eines Pr fbesuchs in der Registerstelle festgestellten Defizite bei der Protokollierung der Transparenz der Systemadministration und der physikalischen L schung waren bei einer Nachpr fung im Dezember 1999 behoben Lediglich die Datenbankprotokollierung war noch nicht realisiert Dies soll bis Ende Januar 2000 nachgeholt werden Ich habe die Registerstelle gebeten mir bis Mitte Februar 2000 eine Fassung ihres Datenschutzkonzepts 53 vorzulegen in der die miteinander abgestimmten Sicherungsvorkehrungen vollst ndig dokumentiert werden Die Vertrauensstelle bermittelt die f r kleinr umige Untersuchungen erheblichen Wohnsitzdaten bislang noch nicht an die Registerstelle da die technischen Einzelheiten noch nicht gekl rt sind Es besteht aber bereinstimmung mit der Vertrauensstelle da diese Daten zwar ausreichend differenziert sein m ssen Sie d rfen aber der Registerstelle nicht die Identifizierung einzelner Betroffene
237. tenrechten beschneiden im Vergleich zur Rechtsprechung erst recht im Vergleich zur Datenschutzgesetzgebung die Rechte der Patienten Immerhin aber erreichten die Gutachter der Universit t Bremen im Verlauf eines durch sie organisierten fachlichen Diskussionsprozesses ber die Umsetzung der Charta im Lande Bremen da die Beteiligten darunter auch die Vertreter von rztekammer kassen rztlicher Vereinigung und des Senators f r Gesundheit den pauschalen Ausschlu von Unterlagen mit subjektiven oder bewertenden rztlichen Aussagen doch weitgehend relativierten So soll die Unterscheidung bei der Dokumentation von Verdachtsdiagnosen und von Behandlungen im Krankenhaus keine Rolle spielen Lediglich in der Psychiatrie und bei psychotherapeutischer Behandlung k nnten in relevantem Umfang der obengenannte therapeutische Vorbehalt oder schutzw rdige Interessen des Arztes der Einsichtnahme entgegenstehen Es bleibt abzuwarten ob und inwieweit diese schriftlich dokumentierten Beratungsergebnisse in Zukunft das rztliche Verhalten gegen ber Einsicht verlangenden Patienten beeinflussen werden Wie schwer dies angesichts des z hen Widerstandes des rztlichen Berufsstandes gegen eine ihren Patienten zugute kommenden Transparenz ihrer Dokumentation sein wird zeigen Verlauf und bisheriges Ergebnis der Diskussion die ich zeitgleich mit dem Senator f r Arbeit Frauen Gesundheit Jugend und Soziales ber dessen Richtlinie zur Einsichtnahme in Kran
238. tenschutz Bremen regelm ig teilgenommen hat war auch im Jahr 1999 die Begleitung der Gespr che der EG Kommission mit der amerikanischen Regierung ber die Zul ssigkeit von Datenexporten aus EU Mitgliedstaaten in die USA vgl zuletzt 21 JB Ziff 5 4 Das Ziel diese Gespr che auf den EU US Gipfeln abzuschlie en konnte in 1999 nicht erreicht werden Noch nicht endg ltig gekl rt ist nach wie vor die zentrale Frage wie berpr ft werden kann da amerikanische Unternehmen die Daten aus der EU importieren und sich durch eine Erkl rung gegen ber dem amerikanischen Handelsministerium den Datenschutzprinzipfien des sog Safe Harbor Konzepts unterworfen haben diese Grunds tze auch tats chlich einhalten Erst sehr sp t d h im November hat die US Seite den lange angeforderten Bericht dar ber geliefert welche Rolle die verschiedenen US Beh rden wie etwa die Federal Trade Commission bei der Kontrolle der Einhaltung der Prinzipien spielen Die Kommission kann die Ad quanz des Datenschutzniveaus in den USA nach Art 25 Abs 6 der Richtlinie nur feststellen wenn die US Seite in der Lage ist zu zeigen da ihr Konzept der Selbstregulierung der Wirtschaft im Bereich des Datenschutzes effektiv durchgesetzt wird In diesem Zusammenhang bleibt auch zu kl ren welche Befugnisse den europ ischen Datenschutzbeh rden etwa gegen ber dem datenexportierenden Unternehmen verbleiben Aber auch der Inhalt der Safe Harbor Princip
239. tenschutz Wochenseminar In der Tendenz zeigt sich allerdings da gezielte ein oder zweit gige Veranstaltungen f r einzelne berufliche und dienstliche Bereiche mit gr erem Interesse aufgenommen werden Meine Pr senz im Erfa Kreis dem Treffpunkt der betrieblichen Datenschutzbeauftragten ist obligatorisch dar ber hinaus habe ich verschiedene neu bestellte betriebliche Datenschutzbeauftragte vor der Aufnahme ihrer Arbeit beraten und ihnen Hilfestellung gegeben wie sie ihren gesetzlichen Verpflichtungen am besten nachkommen k nnen Im brigen habe ich im Berichtsjahr Brosch ren und Faltbl tter herausgebracht Hierzu z hlen auch eine Gesetzessammlung aller im Lande Bremen relevanten rechtlichen Datenschutzregelungen die bei mir weiterhin angefordert werden kann deren Titel Datenschutz in der Freien Hansestadt Bremen lautet sowie eine Brosch re Datenschutz bei WindowsNT Eine Liste noch weiterhin bei mir verf gbarer Materialien befindet sich am Ende dieses Jahresberichts 9 1 8 Kooperation mit anderen Datenschutzbeh rden 27 Abs 5 BrDSG erm chtigt und verpflichtet mich zur Zusammenarbeit mit anderen Stellen die mit der Kontrolle des Datenschutzes betraut sind In der Konferenz der Datenschutzbeauftragten des Bundes und der L nder die im vergangenen Jahr am 25 26 M rz in Schwerin und am 07 08 Okto ber in Rostock unter Vorsitz des Landesbeauftragten von Mecklenburg Vorpommern Dr Werner Kessel tagte b ndelt sich
240. tenschutzes und der Datengrundlage der gesetzlichen Krankenkassen zu verabschieden leider 61 nicht aufgegriffen Im anschlie end vom Bundestag verabschiedeten Gesetz zur Gesundheitsreform 2000 fehlt sie Die bislang geltenden Vorschriften zur Datengrundlage der Krankenkassen gelten weiter und damit bleiben die oben dargestellten Konflikte weiterhin ungel st berdies sind neue Konflikte vorprogrammiert So sehen die 136a 137e des SGB V nunmehr ein differenziertes Instrumentarium zur Qualit tssicherung in der Medizin vor Unter den im unver ndert gebliebenen 284 SGB V aufgef hrten Zwecken f r die Krankenkassen versichertenbezogene Daten verarbeiten d rfen fehlt nun aber weiterhin die Sicherung oder Verbesserung der Qualit t W re der urspr nglich verabschiedete Entwurf Gesetz geworden d rften Versichertendaten auch zu diesem Zweck verarbeitet werden allerdings lediglich in pseudonymisierter Form Nun ist zu bef rchten da entgegen der sowohl aus Sicht der Krankenkassen als auch aus Sicht des Datenschutzes unbefriedigenden Gesetzeslage Qualit tssicherung mit versichertenbezogenen Daten betrieben wird und die Datenschutzbeauftragten in Erf llung ihrer gesetzlichen Aufgaben Gefahr laufen als Qualit tsgegner diffamiert zu werden Ich kann nur hoffen da der Gesetzgeber sein letztes Wort noch nicht gesprochen hat sondern da die Pseudonymisierung der Daten Krankenversicherter bei n chster Gelegenheit erneut auf der Tagesordn
241. ter ZStV melden Das ZStV wird wie auch das Bundeszentralregister von der Bundesgeneralstaatsanwaltschaft in Berlin gef hrt Eine umfassendere Darstellung der Aufgaben und der Datenverarbeitung beim ZStV sowie der daran zu kn pfenden Datenschutzvorkehrung befindet sich in meinem 17 JB Ziff 10 2 Ein Bericht des ZStV zum Stand der Verfahrensentwicklung und Verfahrenseinf hrung vom M rz 1999 weist begr enswerterweise aus da die datenschutzrechtliche Forderung nach Verschl sselung des Datenverkehrs mit dem ZStV grunds tzlich akzeptiert wird Da allerdings die erforderlichen Hard und Softwarekomponenten noch nicht vorliegen soll der Echtbetrieb f r eine bergangszeit zun chst ohne Verschl sselung stattfinden Weiter diskutiert werden soll in welchem Umfang neben den Staatsanwaltschaften auch andere Beh rden wie Polizei und Nachrichtendienste mittels automatisierten Abrufverfahren Informationen aus dem ZStV abfragen k nnen Wann das ZStV in vollem Umfange betriebsbereit sein wird ist noch nicht abzusehen 7 7 Verschiedene Themen 49 Weiter habe ich mich gegen ber den Datenschutzbeauftragten des Bundes und der L nder oder dem Senator f r Justiz und Verfassung an der Diskussion folgender Themen beteiligt Datenschutzrechtliichee Probleme bei der Durchf hrung des T ter Opfer Ausgleichs bei Erwachsenen Gesetzgebung zur Aufbewahrung des Schriftguts der ordentlichen Gerichtsbarkeit und der Staatsanwalt
242. tere Aktivit ten gegeben gt Im Rahmen der Projekte PUMA und SEKT vgl Ziff 12 2 wird eine Infrastruktur aufgebaut zur Verschl sselung von elektronischer Post vgl Ziff 3 4 gt Im November 1999 hat sich die bereits seit l ngerem angek ndigte Arbeitsgruppe Sicherheit im BVN konstituiert Die Arbeitsgruppe die sich aus Vertretern der SKP der BreKomm des Gesamt personalrats des Rechnungshofs und des Landesbeauftragten f r den Datenschutz zusammen setzt wird auf der Basis einer detaillierten Istanalyse m gliche sicherheitstechnische Schwach stellen zun chst konzeptionell analysieren Hierauf aufbauend sollen einzelne Netzkomponenten einem gezielten Sicherheitstest unterzogen werden Geplant sind zudem konkrete Handlungs anleitungen zu den Themen Telearbeit Fernwartung und Protokollierung Vom Tul Referat des Senators f r Finanzen sind sogenannte NT Security Guidelines herausge geben worden die Vorgaben zum Aufbau zur Installation und zu Sicherheitseinstellungen von WindowsNT Servern und Workstation enthalten Die Richtlinie geht u a detailliert auf zu ver gebene Zugriffsrechte f r einzelne ystemverzeichnisse ein und benennt Parameter f r Benutzer konten und zur Protokollierung von Datei und Objektzugriffen Die NT Guidelines sollen in Koope ration mit der Arbeitsgruppe Sicherheit des BVN regelm ig aktualisiert und auf Servern der bremischen Verwaltung ffentlich zur Verf gung gestellt werden gt
243. ternative wurde die zentrale Einwahl beschrieben bei der der Anmeldeserver mit krypto graphischen Verfahren die Authentizit t pr ft Nach erfolgreicher Anmeldung teilt der Anmeldeserver 29 einen Schl ssel zu und baut eine verschl sselte Verbindung zum lokalen Netz auf in dem der Benut zer mit den dort geltenden Rechten im Netz zugelassen wird Virtuelles privates Netzwerk VPN In der Arbeitsgruppe wurde die zweite Alternative bef rwortet und die BreKom beauftragt Machbarkeit und Kosten festzustellen Eine Stellungnahme sowie ein Sicherheitskonzept f r die Anbindung von Telearbeitspl tzen an das BVN liegen bisher nicht vor Eine Voraussetzung f r die Telearbeit soll die Erreichbarkeit der Telearbeiterinnen per E Mail f r die Kommunikation mit der Dienststelle sein Da die Anbindung der Telearbeitspl tze an das BVN Netz und damit die Nutzung der elektronischen Post in der bremischen Verwaltung vgl Ziff 3 4 bisher nicht realisiert wurde wurden die erforderlichen EMail Postf cher ohne Abstimmung mit mir bei einem privaten Provider eingerichtet Dieses habe ich nur hingenommen weil von den Arbeitspl tzen aus keine personenbezogenen Daten bertragen werden und dort auch nicht gespeichert sind In der zun chst letzten Sitzung der Arbeitsgruppe im Oktober 1999 ist zwar vereinbart worden den Modellversuch mit den bisherigen Teilnehmerinnen weiterzuf hren da diese Telearbeitspl tze nicht auf eine Verbindung zum
244. tlich abgewiesener Bewerber die u a Lebensl ufe und beglaubigte Kopien von Zeugnissen der Betroffenen enthielten Ich habe die Unterlagen den Betroffenen zugesandt mit dem Hinweis da ich den verantwortlichen Arbeitgeber 84 einen Hotelbetrieb auf die Missachtung der Vertraulichkeit von Personalunterlagen hingewiesen habe Ein anderer Fall betraf Personalunterlagen aus den Jahren 1988 bis 1993 Lebensl ufe sonstige Bewerbungsunterlagen und von Besch ftigten unterzeichnete Erkl rungen ber erhaltene Trinkgelder usw Da die Anschriften der Betroffenen nicht vorhanden waren habe ich die verantwortliche Arbeitgeberin eine Friseurmeisterin aufgefordert die Unterlagen bei mir abzuholen ordnungsgem zu entsorgen und mir die datenschutzgerechte Vernichtung der Unterlagen schriftlich zu best tigen was inzwischen geschehen ist 16 4 Offenbarung von Pa w rtern durch einen Provider Am Anfang des Jahres wurde ich durch mehrere Anrufe darauf aufmerksam da ein Bremer Internet Provider der ein besonders g nstiges Angebot ver ffentlicht hatte mit den Daten der Interessenten nicht korrekt umging Dieser Provider hatte die Bestellungen f r seinen Dienst u a ber das Internet entgegen genommen Dieses ist f r sich gesehen nicht problematisch wenn entsprechende Sicherheitsvorkehrungen getroffen werden Die technische Gestaltung in diesem Fall war auf Grund mangelnder DV Kenntnisse u erst mangelhaft So konnten a
245. tr gern nach Gerichten ist bei Neuanlagen m glich Eine differenzierte Rechtevergabe entsprechend der Aufgabenzust ndigkeit innerhalb einer Grundbuchabteilung sieht die Software nicht vor Jeder Berechtigte der Grundbuchabteilung hat Lese und Schreibzugriff auf alle Daten der Grundbuchabteilung Der online Zugriff f r Externe z B Notare ist noch nicht realisiert Es 47 wird gepr ft die ID Bremen mit der Realisierung zu beauftragen Vorgesehen ist hierbei die Protokollierung aller Abrufe f r eine detaillierte Rechnungstellung Ich habe darauf hingewiesen da u a folgende Punkte in das noch zu erstellende Datenschutzkonzept aufzunehmen sind Protokollierung interner Lese und Schreibzugriffe Zugriff Auswertung und L schung auf die Protokolldateien Regelungen zur digitalen Signatur personalisierter Schl ssel oder Schl ssel des Prozesses und L schung bzw Sperrung von Datens tzen auf den FM WORM Datentr gern bei unzul ssiger Speicherung 7 4 DV Entwicklung in der Justizvollzugsanstalt In der ersten Stufe werden alle vorhandenen Kupferleitungen durch LWL ersetzt und in der zweiten Stufe im Jahr 2000 sollen alle B roarbeitsr ume mittels LWL vernetzt werden Der Netzzugang wird bei Aufgabenerforderlichkeit freigeschaltet Im JUDIT Synergiezentrum werden die Datenbest nde der Justizvollzugsanstalten auf einem Server vorgehalten Die Netzzentrale der JVA mit Anbindung an den Server und das JUDIT Datennetz befinden sich
246. u Strafverfolgungszwecken gegen ber den Landesparlamenten nicht vor Im Gegensatz dazu vertritt die Konferenz der Datenschutzbeauftragten des Bundes und der L nder die Auffassung da die Verfassung eine effektive parlamentarische Kontrolle von Lauschangriffen auf Landesebene vorschreibt die der Kontrolle auf Bundesebene gleichwertig sein mu Bei Ma nahmen zur Strafverfolgung durch Landesbeh rden besteht die parlamentarische Verantwortlichkeit gegen ber den Landesparlamenten Die Landtage m ssen die M glichkeit haben die ihnen in anonymisierter Form bermittelten Berichte der Landesregierungen ffentlich zu er rtern Die Landesparlamente sollten deshalb durch Gesetz eine regelm ige Berichtspflicht der Landesregierung f r pr ventivpolizeiliiche und repressive Lauschangriffe vorsehen Nur auf diese Weise ist eine wirksame parlamentarische Kontrolle der Aus bung dieser einschneidenden berwachungsbefugnisse gew hrleistet Wird durch dne solche Kontrolle deutlich da die akustische Wohnraum berwachung f r Zwecke der Strafverfolgung in der Praxis nicht die vom Gesetzgeber angestrebte Effizienz im Verh ltnis zur H ufigkeit und Intensit t der Grundrechtseingriffe zeigt k nnen Landesregierungen die das Bundesrecht in eigener Verantwortung auszuf hren haben ber den Bundesrat darauf hinwirken die Befugnis f r eine derartige berwachung wieder aufzuheben oder zumindest zu modifizieren 18 6 Angemessener Datenschutz auch f
247. uf entsprechenden Vorschriften im Hafengesetz und der Hafenordnung und b ndelt die mit der Verkehrslenkung der Versorgung der Sicherheit und der Abrechnung der verschiedenen Geb hren von Schiffen Ladung und Containern im Hafen erforderlichen Daten Meine Beteiligung war ber die Jahre sichergestellt ber BrePOS berichtete ich bereits vgl 14 JB Ziff 2 9 Im Dezember 1999 wurde zwischen den f r das Programm Verantwortlichen und mir festgelegt da die reinen Verkehrsdaten der Schiffe ohne Personenbezug auch an Lotsen Festmacher und Schlepperfirmen weitergeben werden d rfen damit sie bei der Abfertigung der Schiffe mit verl lichen und aktuellen Daten ihre Aquisition vornehmen und ihre Arbeit erledigen k nnen 14 Bremerhaven 14 1 Rechnungspr fungsamt Bremerhaven 14 1 1 Anforderung von Sozial und Ausl nderakten durch das Rechnungspr fungsamt Durch eine Eingabe und andere Hinweise wurde ich davon unterrichtet da das Rechnungspr fungsamt Bremerhaven jeweils eine gezielte Akte der Ausl nder und der Sozialbeh rden einer bestimmten Person angefordert hatte Diese Anforderungen erfolgten auf der Grundlage der Rechnungspr fungsordnung der Stadt Bremerhaven 7 Dabei fiel den Hinweisgebern auf da bei der gezielt angeforderten Ausl nderakte keinerlei haushaltsrechtliche Vorschriften zu pr fen waren so da Anla zur Bef rchtung bestand da eine Nutzung der Daten au erhalb der Zust ndigkeit des Rechnungspr f
248. ufhalten sind dazu bergegangen ber das Internet Tele fonate mit ihren Kindern abzuwickeln Dies ist h ufig als Bildtelefon realisiert Die Furcht vor ber wachung ist realistisch Niemand wei ob und von wem die eigenen u erungen in den Netzen re gistriert und aufgezeichnet werden In den letzten Jahren sind immer neue Befugnisse zur daatlichen Kontrolle der Telekommunikation geschaffen worden Vorschriften die fr her nur das Abh ren von Telefongespr chen betrafen wurden zun chst ohne Rechts nderung auf Telefaxanschl sse erweitert und sollen jetzt auch f r E Mails und f r den Abruf von Informationen aus dem Internet gelten Die rechtlichen M glichkeiten werden ex tensiv genutzt 1998 wurden mehr als doppelt so viele Telefon berwachungen angeordnet wie 1995 14 Auch die neue Bundesregierung bereitet weitere Kontrollbestimmungen vor z B die Telekommuni kations berwachungsverordnung Gro e Privatunternehmen und Geheimdienste werten systema tisch den Internetverkehr aus Das von der Verfassung garantierte Recht der Einzelnen unkontrolliert elektronisch zu kommuni zieren ist unverzichtbare Grundvoraussetzung einer offenen demokratischen Informationsgesell schaft Dieses Recht ist in unserem Land durch weitgreifende berwachungsvorschriften stark gef hr det Au erdem gibt es bislang keine ausreichende Informationssicherheit im Internet Das Bundes verfassungsgericht hat im Juli 1999 in seinem Urtei
249. und Ausschnitte von nicht gekannter und nicht erwarteter G te und Pr zision zu liefern Das erschwert u a die Aufkl rung der Betroffenen erheblich denn ein blo er Hinweis darauf da ein gewisser Bereich video berwacht wird w rde bei den Betroffenen keineswegs die Vorstellung entstehen lassen da mit derartiger Pr zision und Erfassungstiefe gearbeitet werden kann wie sie in der Vorf hrung vorgestellt worden ist Die Vorf hrung mit den vielf ltigen technischen M glichkeiten wie z B die Alarmschaltung die Voralarmschaltung die digitale Bildbearbeitung die Aufhellung dem blo en Auge als dunkler Bereich nicht erkennbarer Ausschnitte der um 360 rundum schwenkbare berwachungsausschnitt oder der beeindruckende Zoombereich haben deutlich gezeigt wie intensiv die berwachung eines Lebensbereiches werden kann Bedenkt man die Reaktionen der Bev lkerung auf die beabsichtigte Durchf hrung einer Volksz hlung im Jahre 1983 so sind entsprechend heftige Reaktionen gegen ber dieser Technik nicht auszuschlie en wenn den Betroffenen bekannt wird wie total und genau eine solche Video berwachungsanlage rund um die Uhr alle menschlichen Verhaltensweisen in ihrem Erfassungsbereich erheben und festhalten kann Denn auch wie im Falle der Volksz hlung geht es bei der Video berwachung um einen Eingriff in das grundrechtlich gesch tzte informationelle Selbstbestimmungsrecht der von der Video berwachung Betroffenen Wie s
250. unftei der Fehler gar nicht unterlaufen k nnen auch das Vorliegen des Merkmals Sperrvermerk mit zu beauskunften Im brigen gehe ich davon aus da generell wegen seiner negativen Folgen auch der Sachverhalt das ein Sperrvermerk vorliegt nicht an Dritte mitgeteilt werden darf denn Sinn und Zweck der Sperrung ist da die Daten nur noch f r den Zweck zur Verf gung stehen sollen die Grund daf r sind da die Daten nicht gel scht sondern gesperrt werden Dies ergibt sich aus Sinn und Zweck der Sperrungsregelungen in den Datenschutzgesetzen im allgemeinen W rde ein Sperrvermerk mit beauskunftet w rde die Intention des Gesetzgebers geradezu kontakariert Ob im geschilderten Fall auch gegen die gem 833 Abs 1 BDSG vorgesehene Benachrichtigungspflicht versto en worden ist lie sich nicht mehr feststellen Die Obersten Datenschutzaufsichtsbeh rden haben sich im D sseldorfer Kreis unter folgenden Aspekten mit der Datenverarbeitung der Auskunfteien befasst Die Creditreform Experian GmbH ist ein bundesweit t tiges Gemeinschaftsunternehmen des Verbandes der Vereine Creditreform e V und der Experian Deutschland GmbH mit Sitz in Neuss das sich als Ziel gesetzt hat als Konsumenten Auskunftei alle national verf gbaren Daten ber das Zahlungsverhalten von Konsumenten in den Kreditpr fungsprozess ihrer Kunden einzubringen Zu den Kunden der Creditreform Experian GmbH z hlen Unternehmen aus den Bereichen Banken Finanzdienstleist
251. ung von Bundestag und Bundesrat stehen wird ffentlichen Verlautbarungen des Ministeriums sind solche Absichten zu entnehmen 9 Jugend Soziales und Arbeit 9 1 Kindergarten Informationssystem KIS KIS dient der automatisierten Verarbeitung der Sozialdaten von Eltern mit Kindern in Kindertagesheimen KTH Es wurde im Herbst 1997 in einigen KTH der Stadtgemeinde Bremen mit einem Modul f r das Aufnahmeverfahren installiert Im Jahre 2000 soll es zus tzlich mit einem Modul f r die Beitragsberechnung ausger stet und in allen st dtischen KTH in Betrieb genommen werden Bereits in vorangegangenen Jahren hatte ich berichtet vgl zuletzt 21 JB Ziff 12 3 Nach Pr zisierung einiger Details lag im April 1999 ein mit mir abschlie end abgestimmtes Datenschutzkonzept vor Dessen technische Umsetzung pr fte ich im August 1999 exemplarisch in einem st dtischen KTH Ich mu te feststellen da wesentliche rechtlich gebotene technische Vorkehrungen wie etwa die Einschr nkung der Zugriffe der Nutzer auf erforderliche Systemressourcen die Protokollierungen und die Sicher heitseinstellungen des KTH Verzeichnisses im Rahmen des Betriebssystems nicht umgesetzt worden waren Dies teilte ich dem Ressort mit Mir wurde umgehende Nachbesserung zugesichert Im November 1999 nahm ich in zwei st dtischen KTH eine exemplarische Nachpr fung vor diesmal mit dem Ergebnis da die gebotenen und zugesagten Sicherungsvorkehrungen weitgehend umgesetzt worden war
252. ungsamtes nicht ausgeschlossen werden konnte Noch eindeutiger war der Fall bei der Anforderung der Sozialakte F r die Pr fung dieser Ausgaben ist der Bundesrechnungshof zust ndig und es ist auch nicht bekannt da er diese Zust ndigkeit auf das Rechnungspr fungsamt abgetreten hat Es war mithin nicht erkennbar zu welchem Pr fzweck das Rechnungspr fungsamt die beiden Akten ben tigt F r eine Wirtschaftlichkeitsuntersuchung des Verwaltungshandelns in der Ausl nder oder der Sozialbeh rde f r die das Rechnungspr fungsamt zust ndig ist erscheinen jedenfalls zwei einzelne Akten ungeeignet Da f r die Aktenherausgabe der Magistrat zust ndig ist habe ich ihm meine Stellungnahme zugesandt und ihn gebeten die Erforderlichkeitspr fungen in eigener Zust ndigkeit zu kl ren 14 1 2 nderungsvorschl ge zur Rechnungspr fungsordnung der Stadt Bremerhaven Die Befugnisse des Rechnungspr fungsamtes der Stadt Bremerhaven sind in der Rechnungspr fungsordnung geregelt Diese Befugnisse entsprechen im wesentlichen denen des Rechnungshofes der Freien Hansestadt Bremen und haben ihre Erm chtigung in der Landeshaushaltsordnung 78 Nunmehr hat der Leiter des Rechnungspr fungsamtes dem Magistrat einen Entwurf zur nderung der Rechnungspr fungsordnung vorgelegt Ich habe aus datenschutzrechtlicher Sicht u a zu folgenden Punkten Stellung genommen Online Abrufe durch das Rechnungspr fungsamt auf DV Verfahren der Verwaltung
253. ungsebenen der Anordnungs befugnis der Eilzust ndigkeit der Fristen und der Dokumentationspflicht gefordert wenigstens aber eine Harmonisierung empfohlen Hinsichtlich der neu eingef hrten Erhebungsmethoden die zum Teil einen verdeckten Einsatz beinhalten habe ich auf prinzipielle in Literatur und Rechtsprechung vertre tene Bedenken hingewiesen besondere verfahrenssichernde Ma nahmen vorgeschlagen und bei einer starken tatbestandlichen Abweichung auf gleichwertige Bundesregelungen wie sie die Regelungen im Bundeskriminalamtsgesetz in der Strafproze ordnung und im Strafverfahrens nderungsgesetz darstellen hingewiesen und auf eine Harmonisierung gedrungen Schlie lich habe ich Verbesserungsvorschl ge unterbreitet soweit die vorgeschlagenen Regelungen nicht im Einklang mit der Rechtsprechung verschiedener Verfassungsgerichtsh fe anderer L nder zu Regelungen der dortigen Landespolizeigesetze standen 6 1 5 Weiteres Verfahren Der Senator f r Inneres Kultur und Sport hat mir im Dezember einen berarbeiteten Gesetzentwurf bersandt in dem eine Vielzahl meiner Anregungen bernommen worden sind Im Januar sind dar aufhin in einer Gespr chsrunde zusammen mit einem Vertreter des Senators f r Justiz und Verfas sung noch einmal die verbleibenden Kritikpunkte angesprochen worden Die fachlich offen gef hrte Diskussion war fruchtbar und wird zu weiteren Verbesserungen des Gesetzentwurfes f hren Der Vertreter des Senators f r Inneres
254. ungsquote von mindestens 70 angestrebt Auch sollten im Rahmen des Projekts Datenabgleiche mit dem Bremer Krebsregister stattfinden Dieses Projekt setzt die Verarbeitung der Identit tsdaten von 70 000 Bremerinnen voraus und strebt die Verarbeitung medizinischer Daten von mindestens 50 000 Bremerinnen an und dies in einem g nzlich neu aufzubauenden organisatorischen Zusammenhang ein anspruchsvolles Unterfangen Deshalb wandte ich mich bereits Ende 1998 als ich von dem Projekt erfahren hatte dann wieder veranlasst durch die Presseberichterstattung im September 1999 an die beteiligten Stellen d h an den Senator f r Arbeit Frauen Gesundheit Jugend und Soziales an MeVis an die kassen rztliche Vereinigung an das Zentralkrankenhaus St J rgen Stra e und an das Bremer Institut f r Pr ventionsforschung und Sozialmedizin BIPS Ich machte auf die datenschutzrechtlichen Anforderungen aufmerksam und bat darum das Datenschutzkonzept rechtzeitig zu erarbeiten und mit mir abzustimmen damit vor Anlaufen des Projekts die gebotenen technischen Sicherungsvorkehrungen getroffen werden k nnen Dabei lie ich mich durch die im Zusammenhang mit der Einrichtung des Bremer Krebsregisters gemachten Erfahrungen leiten da Konzeption und Installation einer auf die Spezifika eines derartigen neuen Projekts ausgerichteten Hard und Software Zeit kostet Im Zusammenhang mit dem Projekt stehen auch folgende Anforderungen Bei der Beschaffung der Adres
255. ungsurteils Dies bedeutet aber nicht da das Bremische Polizeigesetz wie die meisten anderen Polizeigesetze der L nder der damaligen Zeit keine Regelungen zur Informationsverarbeitung enth lt Vielmehr war der Gesetzgeber auf der H he der damaligen datenschutzrechtlichen und datenschutzpolitischen Diskussion und hat bereits damals die mit dem Volksz hlungsurteil des Bundesverfassungsgerichts aufgestellten Grunds tze in weiten Teilen antizipiert und aufgenommen Die im geltenden Gesetz enthaltene enge Ausgestaltung der Informationsgewinnung Datenerhebung hat daher ihre wesent 30 liche Ursache nicht darin da die vielf ltigen Formen m glicher Datenerhebungen nicht gesehen wurden Sie beruht vielmehr darauf da aufgrund intensiver politischer Diskussionen der Gesetzgeber sich entschieden hat polizeirechtliche Eingriffe in das informationelle Selbstbestimmungsrecht m g lichst restriktiv und nicht intensiv zu regeln Fachleute bezeichnen daher das geltende Bremische Poli zeigesetz auch als liberalstes Polizeigesetz der L nder Es dabei bewenden zu lassen w rde aber die neue Entwicklung des Polizeirechts in Bund und L n dern und die damit verbundene breit angelegte und facettenreiche Diskussion um die zul ssige Reichweite und notwendige Regelungstiefe staatlicher Informationsverarbeitung im Sicherheitsbereich au er acht lassen Denn bei allen Entw rfen der letzten Jahre zur Novellierung des Polizeirechts im Bund
256. usschusses vgl Ziff 4 1 Zahlreiche B rger haben sich im Vorfeld der B rgerschaftswahlen an mich gewendet und sich ber unverlangt zugesandte Wahlwerbung beschwert Ich habe deshalb bei den Meldebeh rden in Bremen und Bremerhaven berpr ft welche Daten bermittlungen es 1999 an politische Parteien gegeben hat und welche rechtlichen Pr fungen dem vorgeschaltet waren Bei dieser berpr fung ergaben sich folgende M ngel 39 gt Von der Bremer Meldebeh rde waren an mehrere politische Parteien SPD F D P DVU B ndnis 90 Die Gr nen Meldedaten Adre daten wahlberechtigter B rger die der Weitergabe ihrer Daten an politische Parteien nicht widersprochen hatten auf auswertbaren Disketten z T sortiert nach bestimmten st dtischen Regionen bzw Postleitzahl Bereichen bermittelt worden Auch die Anrede war enthalten In Einzelf llen sind diese Daten an Empf nger au erhalb Bremens weitergegeben worden Besondere Bedenken wurden von den B rgern der Daten bermitlung an die DVU entgegengebracht Tats chlich betraf der Umfang alle wahlberechtigten B rger im Alter von 18 bis 35 Jahren sowie ab dem 60 Lebensjahr aufw rts die der Datenweitergabe an politische Parteien nicht widersprochen hatten Bef rchtungen wurden auch ge u ert wegen der Art des verwendeten Datentr gers Diskette und der Weitergabe der Daten durch die Landesgliederung der DVU an die M nchener Parteizentrale die m glicherweise die Rechnerleistungen
257. verbessern hat sie u a die M glichkeit unter bestimmten Voraussetzungen Daten von den Sozialleistungstr gern Sozial mtern und Arbeits mtern zu erhalten um von vornherein auf Zwangsma nahmen verzichten oder aber moderate Vereinbarungen treffen zu k nnen Ein Teil dieser Informationen erh lt die Gerichtskasse durch freiwillige Angaben des Schuldners oder mit seiner Zustimmung von Dritten Anl lich einer Pr fung stellte ich fest da die Aufkl rung der Betroffenen die einer Offenbarung ihrer Verm gens und Einkommensverh ltnisse zugestimmt haben unvollst ndig und zweideutig war So war f r den Erkl renden nicht klar in was er einwilligt welche Folgen die Einwilligung hat und welche Alternativen er hat In Zusammenarbeit mit den zust ndigen Mitarbeitern der Gerichtskasse wird derzeit ein Fragebogensatz und Informationspapier entworfen die diese Defizite beseitigen So wird in Zukunft f r jeden Betroffenen klar sein welche Daten die Gerichtskasse bei Dritten abrufen darf wie lange seine Zustimmung wirkt und welche Folgen eine Offenbarungsverweigerung hat Mein Hauptanliegen ist dabei neben einer gr tm glichen Transparenz auch zu erreichen da die Zustimmungserkl rung nur solange Wirkung entfaltet wie es f r die Zwecke der Gerichtskasse erforderlich ist 12 4 Fehlende Datenschutzregelungen in der Abgabenordnung 12 4 1 Abgabenordnung allgemein Seit Jahren bem hen sich die Datenschutzbeauftragten in Bund und L
258. vorgeschriebenen Richtlinien eines Datenschutzkonzeptes entsprechen beantragte aber dennoch bei der SKP die Aufnahme der Beh rden im Gesch ftsbereich des Senators f r Justiz und Verfassung in den EMail Verbund Die SKP wies JUDIT darauf hin da vor Inbetriebnahme der E mail Server erst ein mit dem LfD abgestimmtes Datenschutz und sicherungskonzept vorliegen m sse Mir war eine Stellungnahme binnen weniger Tage zu einem solch komplexen Bereich nicht m glich vgl auch Ziff 3 4 Ich wollte aber der Beschaffung die aus haushaltsrechtlichen Gr nden unbedingt noch in 1999 erfolgen sollte nicht im Wege stehen Inwieweit eine auch von 27 Abs 4 Nr 1 BrDSG verlangte rechtzeitige Unterrichtung ber die Planungen m glich gewesen w re vermag ich nicht zu beurteilen Bei meiner Entscheidung die Beschaffung nicht zu verz gern stand im Vordergrund da ich davon ausging da es gelingen wird den Einsatz der E Mail Server datenschutzgerecht auszugestalten Ich habe daher auf die Erstellung eines Datenschutzkonzeptes hingewiesen 7 6 Zentrales Staatsanwaltschaftliches Verfahrensregister ZStV Durch nderung der Strafproze ordnung StPO im Jahre 1997 wurden die Voraussetzungen zur Schaffung eines zentralen staatsanwaltschaftliichen Informationssystems geschaffen Die Staatsanwaltschaften aller L nder sollen Daten ber Einleitung und Ausgang strafrechtlicher Ermittlungsverfahren an das Zentrale Staatsanwaltschaftliche Verfahrensregis
259. z abgeschottet werden Ihm soll lediglich ein Zugriff auf die Stammdaten der Gefangenen erm glicht werden Zugriff auf die medizinischen Daten sollen nur der Arzt und die befugten Mitarbeiterinnen des rztlichen Dienstes erhalten Die Vollzugsbediensteten im brigen haben keinen Zugriff Das in BASIS vorhandene Modul BASIS rzte soll f r die elektronische Gefangenenkrankenakte zum Einsatz kommen Ich habe die Speicherung des Gesamtdatenbestandes auf einem Server die Anbindung von PC sowie die Einbindung des Netzes des rztlichen Dienstes gegen ber JUDIT angesprochen und auf die Festschreibung von Ma nahmen zur Gew hrleistung des bisherigen Datenschutzniveaus hingewiesen Das bisherige Datenschutzkonzept wird im Laufe des Jahres angepa t und ein 48 Berechtigungskonzept f r die Vergabe von Zugriffsberechtigungen erstellt Ich werde die Umsetzung der Planungen datenschutzrechtlich begleiten 7 5 E Mail Server bei JUDIT Im November 1999 bin ich von JUDIT kurzfristig ber Planungen zur kompletten Anbindung der Justiz Dienststellen an das BVN unterrichtet wurden Vorgesehen war die Beschaffung von 13 E Mail Servern wobei ein sog Head Server die Routing Funktion innerhalb von JUDIT wahrnehmen soll Die Anbindung der E Mail Server an das BVN soll ber einen zentralen Router erfolgen um einen dienststellen bergreifenden Zugriff zu verhindern JUDIT war sich bewu t da nicht alle in Kurzform aufgef hrten Punkte den
Download Pdf Manuals
Related Search