Stuttgart, 07. Dezember 2007

Pressemitteilung

Im Galopp zum Überwachungsstaat?
Landesbeauftragter stellt 28. Tätigkeitsbericht vor

"Beunruhigend - und dies nicht nur aus der Sicht eines von Berufs wegen mit Datenschutz befassten - ist es, wenn mit immer weiter gehenden und neuen Sicherheitsmaßnahmen die verfassungsrechtlich gebotene Balance zwischen möglicher Freiheit und notwendiger Sicherheit verloren zu gehen droht", sagte der Landesbeauftragte für den Datenschutz, Peter Zimmermann, bei der Vorstellung seines Jahresberichts am 7. Dezember 2007 in Stuttgart. Diese Tendenz sei für ihn im Berichtsjahr auf Europa-, Bundes- und Landesebene zu beobachten gewesen. Die Furcht vor Terrorismus und die Verheißung einer größtmöglichen Sicherheit stelle anscheinend für viele Bürger eine attraktive Perspektive dar und diene den Sicherheitspolitikern als Begründung für immer intensivere Dateneingriffe. Aber: "Wer die Freiheit einschränkt, um Sicherheit zu gewinnen, wird am Ende beides verlieren." Diesem von Benjamin Franklin (1706-1790) stammenden Zitat könne er sich ohne weiteres anschließen.

Beleg dafür, dass die verfassungsrechtlich gebotene Balance zwischen Freiheit und Sicherheit zunehmend nicht mehr gewahrt zu sein scheint, sei für ihn, dass das Bundesverfassungsgericht immer mehr zum "Reparaturbetrieb" für die Legislative werde. Die Zeitabfolge der von Seiten der Richter vorgenommenen Reparaturarbeiten habe sich in den letzten Jahren immer mehr verkürzt. Zu nennen seien hier insbesondere die Entscheidungen zur akustischen Wohnraumüberwachung, zum Zollfahndungsgesetz, zur Rasterfahndung, zur präventiven Telekommunikationsüberwachung und zum Luftsicherheitsgesetz. Ohne Prophet sein zu wollen, sei für ihn absehbar, dass auch noch im Rahmen der anhängigen Prüfung des Landesverfassungsschutzgesetzes von Nordrhein-Westfalen zum Thema Online-Durchsuchungen von Karlsruhe erneut deutliche verfassungsrechtliche Korrekturen vorgenommen würden. "Ob das bereits in einigen Bundesländern stattfindende elektronische Stochern im Nebel durch die massenhafte Erfassung von Autokennzeichen durch die Polizei am Ende die uneingeschränkte Billigung der Verfassungsrichter finden wird, ist nach meiner Einschätzung ebenfalls fraglich", führte Zimmermann weiter aus. In der Regel bleibe es - wie die Erfahrungen zeigten - zudem leider nicht bei den zunächst eingebauten hohen Hürden. Wenn die Technik erst einmal da sei, so befürchtet Zimmermann, nehme auch die Begehrlichkeit zu, sie für alle möglichen Zwecke zu nutzen.

Nach Aussagen Zimmermanns würden diese gerichtlichen Auseinandersetzungen zudem von einer Fülle weiterer staatlicher Maßnahmen begleitet, die die Datenerfassung der Bürger immer engmaschiger werden und auch immer weiter in Richtung einer Vorratsdatenspeicherung abdriften lasse. "Auch hier sehe ich die Tendenz des Staates, sich zunehmend - quasi ins Blaue hinein - in höchst private Lebensbereiche einzumischen", sagte Zimmermann. Belege dafür seien für ihn u. a. die Vorratsspeicherung von Telekommunikationsdaten, die Einführung einer Steueridentifikationsnummer, der Kontenabruf, eine breitere Anwendung der Videoüberwachung, die geplante Nutzung der Mautdaten für Fahndungszwecke, aktuelle Überlegungen zur Schaffung einer "Vieleinladerdatei" für visumspflichtige Ausländer und eine über das nordrhein-westfälische Landesverfassungsschutzgesetz hinausgehende Anwendung der Online-Durchsuchung auf Bundes- und Länderebene.

Als Datenschützer sehe er auch mit Sorge die Eigendynamik, die mit dem weiteren - an sich positiv zu wertenden - Zusammenwachsen der Mitgliedstaaten der Europäischen Union verbunden sei. Dass im Sicherheitsbereich eine bessere Zusammenarbeit der national zuständigen Behörden anzustreben sei, stehe für ihn außer Frage. Gleichwohl dürften dabei die Freiheitsrechte der Bürger nicht zur vernachlässigbaren Größe werden. Anzeichen hierfür seien u. a. die Pläne der EG-Kommission, Flugpassagierdaten allgemein auch für Flüge aus und in die Europäische Union auszutauschen und sich hierbei am Beispiel der mit den USA getroffenen Vereinbarung zum Austausch von Flugpassagierdaten zu orientieren.

Bekanntlich sei die als "Vorbild" dienende Regelung mit den USA größten datenschutzrechtlichen Vorbehalten begegnet.

Ganz generell - so Zimmermann weiter - müssten sich Gesetzgeber und ausführende Organe bei ihrem Handeln wieder mehr auf die grundsätzlichen Aussagen des Bundesverfassungsgerichts in seinem Volkszählungsurteil von 1983 zurückbesinnen, damit die Datensammelwut sowohl im staatlichen Bereich - wie auch in der privaten Wirtschaft (z. B. Payback-Karten, RFID-Technik) - nicht eines allzu fernen Tages orwellsche Dimensionen erreicht. Zur Erinnerung: Die Verfassungsrichter hatten seinerzeit die Gefahren einer solchen Entwicklung eindrucksvoll mit folgenden Worten beschrieben: "Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen und zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen." Der gefühlte Zwang oder auch nur die wachsende Unsicherheit könne nach den Worten Zimmermanns zu vorauseilendem Gehorsam und letztendlich zu einer Anpassungsgesellschaft - die keiner ernsthaft haben wolle - führen.

Sehr nachhaltig appellierte Zimmermann an den Landesgesetzgeber, die bürgerlichen Freiheitsrechte bei der angekündigten Novellierung des Polizeigesetzes nicht zu vernachlässigen. Zimmermann wörtlich: "Das Polizeigesetz wird für mich zur Nagelprobe, ob allgemeine politische Bekenntnisse zum Datenschutz auch ausreichend deutlich Eingang in die Gesetzgebung des Landes finden." In der Öffentlichkeit seien bereits mögliche Inhalte der Novelle im Hinblick auf eine Ausdehnung der polizeilichen Videoüberwachung und der Einführung der Online-Durchsuchung von Computern heftig und kontrovers diskutiert worden. Aufgrund der diffizilen technischen und rechtlichen Fragestellungen bei Online-Durchsuchungen forderte Zimmermann, auf jeden Fall die Entscheidung des Bundesverfassungsgerichts zum nordrhein-westfälischen Landesverfassungsschutzgesetz abzuwarten. Wenn es bei der Ankündigung des Justizministers bleibe, das Thema Online-Durchsuchung im Polizeigesetz zunächst auszuklammern, sei das nur vernünftig.

Abschließend ging Zimmermann noch auf die aktuelle Entwicklung des bereits vor zwei Jahren von der EG-Kommission gegen die Bundesrepublik Deutschland eingeleiteten Vertragsverletzungsverfahrens in Sachen unabhängiger Datenschutzkontrolle ein. Mittlerweile sei von der EG-Kommission beim Europäischen Gerichtshof eine Klage gegen die Bundesrepublik eingereicht worden, um die Beachtung der EG-Datenschutzrichtlinie durchzusetzen. Ein Erfolg dieser Klage dürfte laut Zimmermann auch rechtliche Auswirkungen auf die Stellung der Landesbeauftragten für den Datenschutz als Kontrollstellen für den öffentlichen Bereich haben. Bemerkenswert sei jedenfalls für ihn, dass mit Rheinland-Pfalz ein weiteres Bundesland die öffentliche und die nicht-öffentliche Datenschutzaufsicht zusammenzulegen beabsichtige, ohne letztlich die Entscheidung des Europäischen Gerichtshofs abzuwarten. Nach den Worten Zimmermanns zeige dieses Beispiel, dass man auch bei uns im Land schon heute modernere und effizientere Strukturen im Datenschutz schaffen könne - wenn man nur wollte.

Der Tätigkeitsbericht ist demnächst im Internet unter der Adresse http://www.baden-wuerttemberg.datenschutz.de abrufbar.

Zu folgenden Themen sind jeweils nähere Informationen angeschlossen:

1. Antiterrordatei keine Wunderwaffe
2. Staatsschutz beobachtete Tierversuchsgegner und Umweltschutzaktivisten
3. Stichprobe ergibt auffällige Fehlerquote in DNA-Analyse-Datei
4. Die steuerliche Identifikationsnummer
5. Datenschutzgerechte Umsetzung der EU-Dienstleistungsrichtlinie
6. Protokollierung der Zugriffe auf Web-Angebote

1. Antiterrordatei keine Wunderwaffe
   Datenqualität muss verbessert werden
   Erste Eindrücke von der Einführung in Baden-Württemberg

Mit der Einführung der Antiterrordatei in Baden-Württemberg hat sich der Landesbeauftragte für den Datenschutz, Peter Zimmermann, im Rahmen von Kontrollbesuchen beim Landeskriminalamt und beim Landesamt für Verfassungsschutz in diesem Jahr befasst. Erste Eindrücke hat er in seinem aktuellen Tätigkeitsbericht am 7. Dezember 2007 in Stuttgart der Öffentlichkeit vorgestellt. Der Landesdatenschutzbeauftragte erinnerte dabei an die heftigen politischen Auseinandersetzungen vor einem Jahr im Vorfeld der Verabschiedung des Antiterrordateigesetzes. Um die Datei sei es jetzt zwar merklich ruhiger geworden, dies bedeute aber nicht, dass man die Anwendung in der Praxis einfach laufen lassen könne, schon weil dauernd neue Daten hinzukämen. Am 30. März 2007 habe die Antiterrordatei ihren Betrieb beim Bundeskriminalamt mit bundesweit 38 angeschlossenen Sicherheitsbehörden aufgenommen; zuvor seien von Polizeien und Nachrichtendiensten ca. 15 000 Datensätze zu etwa 13 000 Personen eingespeichert worden, von denen sich aber nur ein knappes Viertel auf Personen mit Wohnsitz in Deutschland bezogen hätten. Zimmermann ergänzend hierzu: "Einzelheiten zu den Zahlen in Baden-Württemberg und zu den sonstigen Rahmenbedingungen darf ich leider nicht nennen, weil die Sicherheitsbehörden die ganze Datei zur Geheimsache erklärt haben. Einiges hat aber bereits der Bundesinnenminister verraten; danach ist von einem stufenweisen weiteren Ausbau der Antiterrordatei auszugehen. Zunächst wurden die sogenannten Grunddaten von terrorverdächtigen Personen aus dem islamistischen Bereich eingegeben, im zweiten Schritt kamen detaillierte Angaben zu diesem Personenkreis hinzu. Weitere Ausbaustufen, auch zu anderen Personengruppen, werden folgen."

Das vorläufige Fazit des Landesdatenschutzbeauftragten fällt ernüchternd aus: "Die politisch heiß umkämpfte Datei wird keine Wunderwaffe gegen den internationalen Terrorismus sein können, sondern allenfalls ein technisches Hilfsmittel zur Kontaktanbahnung zwischen den beteiligten Sicherheitsbehörden. Die gründliche Analyse der Motive und Hintergründe jeder einzelnen Zielperson wird diese Datei jedenfalls nicht ersetzen können." Dass diese zumindest in der Anlaufphase zu kurz kam, habe nach den Worten von Zimmermann insbesondere die Überprüfung beim Landeskriminalamt gezeigt: "In einigen Fällen ließ sich eine Verbindung zum islamistischen Terrorismus anhand der vorhandenen Unterlagen nicht belegen; vereinzelt ergab sich aus den Akten sogar das genaue Gegenteil. Bei einigen sogenannten Kontaktpersonen reichte es außerdem schon aus, dass sie mit einer sogenannten Hauptperson gemeinsam im Auto unterwegs waren, um in die Antiterrordatei zu kommen, ohne dass über die Art und Intensität des Kontakts etwas zu lesen war. In Anbetracht der möglichen Stigmatisierung, die mit der Aufnahme in die Antiterrordatei verbunden sein kann, täte etwas mehr Sorgfalt hier dringend Not", mahnte der Landesdatenschutzbeauftragte an. Er habe daher die teilnehmenden Behörden des Landes darum gebeten, bei allen Schritten zum Ausbau der Datei in jedem Einzelfall gründlich zu prüfen, ob die gesetzlichen Voraussetzungen zur Einspeicherung gegeben sind; dies sei ihm auch zugesagt worden.

Zimmermann weiter: "Ohne die gewünschte Geheimhaltung zu verletzen, kann ich jedenfalls so viel verraten: Der Aufbau der Antiterrordatei war technisch und organisatorisch komplex. Er hat von vornherein unter einem enormen - wohl auch politisch bedingten - Zeitdruck gestanden, der - vorsichtig ausgedrückt - zu Lasten der Qualität ging. Dies hat auch das Landeskriminalamt durchblicken lassen. Ich bin zwar zuversichtlich, dass mit zunehmender praktischer Erfahrung noch einige Mängel abgestellt werden, bleibe aber dennoch skeptisch. Angesichts der bereits im Antiterrordateigesetz angelegten Schwachpunkte der Datei, wie zum Beispiel des zu unbestimmten Kreises der Betroffenen, der Pflicht zur Einspeicherung und der Aufweichung des Trennungsgebots zwischen Polizei und Nachrichtendiensten wird die Antiterrordatei weiterhin fehlerbehaftet sein und uns auch in den nächsten Jahren beschäftigen." Da die Konstruktionsfehler auch eine verfassungsrechtliche Dimension hätten und bereits eine Verfassungsbeschwerde gegen das Antiterrordateigesetz anhängig sei, werde sich in absehbarer Zeit auf dem Prüfstand des Bundesverfassungsgerichts zeigen, ob die Antiterrordatei eine Zukunft hat, so der Landesdatenschutzbeauftragte abschließend.

2. Staatsschutz beobachtete Tierversuchsgegner und Umweltschutzaktivisten
   Datenschutzbeauftragter beanstandet systematische Auskunftsverweigerung

Die bereits in den beiden letzten Tätigkeitsberichten kritisierte Arbeitsdatei "Politisch motivierte Kriminalität" (AD PMK) hat auch in diesem Jahr wieder für Ärger gesorgt. Dies gab der Landesbeauftragte für den Datenschutz, Peter Zimmermann, am 7. Dezember 2007 anlässlich der Vorstellung seines diesjährigen Tätigkeitsberichts bekannt. Aufgrund mehrerer Eingaben von betroffenen Bürgerinnen und Bürgern sei er darauf gestoßen, dass der polizeiliche Staatsschutz auch völlig "legale" Verhaltensweisen registrierte, wenn die Betroffenen erst einmal in anderem Zusammenhang in der AD PMK gelandet waren. "Die Teilnahme an - wohlgemerkt: nicht verbotenen und friedlichen - politischen Versammlungen, das Betreiben von Info-Tischen und das Abhalten von Mahnwachen, um nur ein paar Beispiele zu nennen, wurden minutiös registriert. Solche Vorgänge spiegeln den demokratischen Alltag unseres Landes wider und haben in einer Datei, die der Kriminalitätsbekämpfung dienen soll, nichts zu suchen", machte Zimmermann deutlich, nicht ohne kritisch anzumerken: "Wie kann man aus geradezu demokratietypischen Verhaltensweisen auf künftige Straftaten schließen?" Die Anlässe, die zur Einspeicherung in die AD PMK geführt hätten, seien dabei ganz unterschiedlich gewesen, so der Landesdatenschutzbeauftragte: "Bei einer jungen Frau, deren Fall wir im Tätigkeitsbericht darstellen, ging es vorwiegend um Proteste gegen Tierversuche und Pelzhandel, zweimal sogar um Demonstrationen für Informationsfreiheit und Datenschutz. Eine andere Frau, deren Fall wir ebenfalls schildern, war bei etlichen Protestkundgebungen ihrer weltweit tätigen Umweltschutzorganisation, z. B. gegen das Fischsterben, die globale Klimaerwärmung, die Zerstörung des Regenwalds und den Verkauf von gentechnisch veränderten Lebensmitteln, einmal sogar wegen einer Mahnwache aus Anlass des 60. Jahrestags des Atombombenabwurfs auf Hiroshima, vom Staatsschutz registriert worden." Zimmermann hält es grundsätzlich nicht für die Aufgabe der Polizei, Informationen über derartige Aktivitäten zu speichern, selbst wenn die Betroffenen schon einmal wegen strafrechtlicher Ermittlungsverfahren erfasst worden seien. "Die geschilderte Praxis des Staatsschutzes offenbart ein merkwürdiges Demokratieverständnis", so Zimmermann. Das vom Landeskriminalamt in diesem Zusammenhang vorgebrachte Argument, es gehe darum festzustellen, ob die Betroffenen noch politisch aktiv sind, verkenne nach Auffassung Zimmermanns die Grenzen polizeilichen Handelns völlig. Die Landesregierung habe zwar bereits in ihrer Stellungnahme zum letzten Tätigkeitsbericht erklärt, dass die Wahrnehmung von Grundrechten grundsätzlich nicht registriert werde; offenbar kenne dieser angebliche Grundsatz aber zahlreiche Lücken.

Zimmermann zeigte sich außerdem befremdet über die Akribie, mit der der Ablauf der Ereignisse festgehalten wurde: "Wenn man in einem Fall lesen muss, dass die Betroffene 5-8 Teilnehmer zu einer Protestkundgebung erwarte, oder im andern Fall, dass mit einem Banner, einem ca. 2 m hohen Joghurtglas und einer 3 m hohen Milchflasche auf die Verwendung von Gen-Pflanzen in Lebens- und Futtermitteln aufmerksam gemacht wird, dann kann man schon ins Grübeln geraten. Sind derartige Nebensächlichkeiten für den Staatsschutz wirklich von Belang, vor allem angesichts der Arbeitsbelastung der Polizei im Übrigen?" Zwar seien die meisten der von ihm kritisierten Datenspeicherungen inzwischen gelöscht worden, nachdem er mit Beanstandungen gedroht habe. Er vermute aber, dass die aufgedeckten Fälle nur die Spitze des Eisbergs bildeten. Welche weiteren Einzelpersonen oder Gruppen sich in ähnlicher Weise der besonderen Aufmerksamkeit des Staatsschutzes erfreuen, sei im Moment noch nicht klar. "Von Umweltschützern über Aktivisten der Friedensbewegung bis hin zu Atomkraft- oder Globalisierungsgegnern ist hier vieles denkbar", meinte der Landesdatenschutzbeauftragte. Beispielsweise seien "Tierrechtsaktionisten" nach einem bundesweiten Definitionssystem des Staatsschutzes der Kategorie "Sonstige" zugeordnet, zu der in der AD PMK ein paar Hundert Personen gehörten.

Für Zimmermann ist es zudem besonders ärgerlich, dass das Landeskriminalamt in diesen und vergleichbaren Fällen systematisch abblocke, wenn es um die Auskunft gegenüber den Betroffenen gehe. "Die betroffenen Bürgerinnen und Bürger werden dabei in der Regel ohne weitere Begründung an mich verwiesen, aber mir wird dann auch nicht gestattet, die Betroffenen zu informieren. Stattdessen wird lapidar erklärt, die Betroffenen könnten ja vor Gericht ziehen. Da die Weigerung des Landeskriminalamts eine formale Hürde für mich darstellt, sind mir die Hände gebunden, selbst wenn ich die Auskunftsverweigerung für unzulässig halte. So wird der Datenschutz ad absurdum geführt", monierte Zimmermann. In zwei Fällen habe er die Auskunftsverweigerungen inzwischen förmlich beanstandet, weil er sie nicht nur für unzulässig, sondern sogar für rechtsmissbräuchlich halte. Der Landesdatenschutzbeauftragte hierzu: "Das Landeskriminalamt hat sich - übrigens im Einvernehmen mit dem Innenministerium - im Grunde nur darauf berufen, die Betroffenen dürften nicht erfahren, dass sie bei ihren Aktivitäten von der Polizei beobachtet werden, weil sie sonst ihr Verhalten ändern könnten. Das ist bei ‚legalen' Verhaltensweisen nicht nur ein völlig absurdes Argument. Es ist zudem ein Beleg dafür, wie gering die Bedeutung des grundsätzlich vorrangigen Auskunftsrechts der Betroffenen eingestuft wird. Landeskriminalamt und Innenministerium sollten sich lieber das Volkszählungsurteil des Bundesverfassungsgerichts mal wieder zu Gemüte führen, in dem vor den Risiken für unsere Demokratie aufgrund eines angepassten Verhaltens als Auswirkung staatlicher Beobachtung gewarnt wird." Als rühmliche Ausnahme bezeichnete Zimmermann die Landespolizeidirektion Karlsruhe, die ihm in einem vergleichbaren Fall gestattet habe, Auskunft zu erteilen, und die problematischen Einträge gelöscht habe: "Ich hoffe, dass diese vorbildliche Auskunftsbereitschaft nicht nur ein vorübergehender Anflug badischer Liberalität war, sondern auf die Kollegen im Landeskriminalamt abfärben möge."

Nach Mitteilung des Landesdatenschutzbeauftragten habe das Landeskriminalamt mittlerweile zwar zugesagt, den Datenbestand der AD PMK im Hinblick auf die jetzt aufgedeckten Fälle erneut einer kritischen Überprüfung unterziehen zu wollen, allerdings solle dies erst nach einer entsprechenden Fortbildung der Mitarbeiter und nur "im Rahmen der laufenden Sachbearbeitung" geschehen. Hierzu Zimmermann: "Die AD PMK entwickelt sich allmählich zum datenschutzrechtlichen Dauerbrenner; je tiefer man gräbt, desto mehr Fragen und Mängel tauchen auf. Wenn jetzt - nicht zum ersten Mal - eine Nachbesserung versprochen wird, dann wirft dies kein gutes Licht auf die bisherige Datenqualität. Dass die Bereinigung lediglich im Zuge der laufenden Sachbearbeitung stattfinden soll, verheißt auch nichts Gutes; auf diese Weise kann die Überprüfung auf die lange Bank geschoben werden. Hier ist nicht nur ein verbindlicherer und rascher Zeitplan, sondern im Grunde ein Umdenken in den Köpfen nötig."

3. Stichprobe ergibt auffällige Fehlerquote in DNA-Analyse-Datei
   Landesdatenschutzbeauftragter Peter Zimmermann rät zur Vorsicht bei Einwilligungserklärungen zu DNA-Untersuchungen

Eine bemerkenswerte Fehlerquote habe sich nach Mitteilung des Landesbeauftragten für den Datenschutz, Peter Zimmermann, bei einer Analyse der in die bundesweite DNA-Analyse-Datei eingespeicherten Datensätze ergeben. Wie Zimmermann im Rahmen der Vorstellung seines diesjährigen Tätigkeitsberichts am 7. Dezember 2007 in Stuttgart erklärte, hätten bei einer Stichprobe des Landeskriminalamts zahlreiche Datensätze gelöscht werden müssen, weil die rechtlichen Voraussetzungen nicht gegeben waren. Dabei sei es um die Frage gegangen, warum etliche Datensätze in der beim Bundeskriminalamt geführten Datei nicht wegen Straftaten von erheblicher Bedeutung eingespeichert worden waren, so wie es nach der Rechtslage eigentlich zu erwarten gewesen sei. Hierzu Zimmermann: "Nach der Strafprozessordnung (§ 81g StPO) darf eine DNA-Probe zur vorbeugenden Bekämpfung von Straftaten, also zur Aufnahme in die DNA-Analyse-Datei, nur dann genommen werden, wenn der Beschuldigte einer Straftat von erheblicher Bedeutung oder einer Straftat gegen die sexuelle Selbstbestimmung verdächtigt wird und die erneute Begehung entsprechender Straftaten zu befürchten ist. Auch mehrere minderschwere Straftaten reichen aus, wenn sie in ihrem Unrechtsgehalt einer Straftat von erheblicher Bedeutung gleichstehen. Für die Untersuchung der DNA-Probe ist zudem Voraussetzung, dass der Tatverdächtige schriftlich einwilligt oder ein Richter sie anordnet. Wenn nun in der Datei als Anlassdelikt eine Sachbeschädigung oder die Entziehung elektrischer Energie verzeichnet ist, dann besteht zumindest Grund, genauer hinzuschauen." Insgesamt habe das Landeskriminalamt aufgrund seiner Anregung 493 Datensätze näher unter die Lupe genommen, bei denen als Anlassstraftaten lediglich Delikte der minderschweren Kriminalität (wie etwa Sachbeschädigung, strafbarer Eigennutz, Widerstand gegen die Staatsgewalt, falsche Verdächtigung, Unterschlagung usw.) registriert waren. Bei einem Großteil habe sich die Ursache für die Eintragung derartiger Anlassdelikte rasch klären lassen, weil es Eingabefehler oder andere Anlassstraftaten gegeben habe; in diesen Fällen seien die Datensätze kurzerhand korrigiert worden. Bei fast der Hälfte der Datensätze habe es jedoch nichts mehr zu korrigieren gegeben. "In sage und schreibe 42 % der Fälle musste der Datensatz aufgrund der Einzelfallüberprüfung des Landeskriminalamts gelöscht werden", erklärte Zimmermann. "Für die Datenqualität der DNA-Analyse-Datei im Ganzen ist dies alles andere als überzeugend. Zwar betraf die Stichprobe von vornherein Fälle, bei denen schon die Bezeichnung des Anlassdelikts auf einen Fehler hindeutete; es ist aber nicht auszuschließen, dass in der DNA-Analyse-Datei auch andere Datensätze gespeichert sind, bei denen die rechtlichen Voraussetzungen einer näheren Prüfung vielleicht ebenfalls nicht standhalten."

Eine mögliche Ursache für die vergleichsweise hohe Fehlerrate könnte nach den Worten Zimmermanns darin liegen, dass in schätzungsweise über 90 % der Fälle eine DNA-Probe aufgrund einer Einwilligung des Tatverdächtigen genommen werde und nur in einem verschwindend geringen Prozentsatz die relativ differenzierte Prüfung durch einen Richter nach § 81g Abs. 3 StPO erfolge: "Die Betroffenen werden zwar von der Polizei formal schriftlich korrekt belehrt, nach meiner Einschätzung werden sie vielfach aber - gerade in einer Vernehmungssituation - mit der schwierigen Prüfung der rechtlichen Voraussetzungen überfordert sein. Wie soll ein juristischer Laie beispielsweise die Erheblichkeit der Anlassstraftat oder gar die entsprechende Vergleichbarkeit mehrerer minderschwerer Delikte zuverlässig beurteilen können? Wie viele Ladendiebstähle entsprechen einem Banküberfall? Wie soll der Betroffene in Bezug auf seine eigene Person beurteilen, ob - wie es in der Strafprozessordnung heißt - wegen der Art oder Ausführung der Tat, seiner Persönlichkeit oder sonstiger Erkenntnisse Grund zur Annahme besteht, dass er wieder eine Straftat begehen könnte? Sich selbst diese Negativprognose auszustellen, grenzt schon an Selbstverleugnung. Insofern schließe ich nicht aus, dass die diffizilen Voraussetzungen der Strafprozessordnung von der Polizei gar nicht mehr bis ins Detail geprüft werden, wenn der Tatverdächtige erst mal unterschrieben hat. Eine so gründliche und gut dokumentierte Prüfung des Einzelfalls, wie sie bei der richterlichen Entscheidung erforderlich ist, wird es im Vorfeld der Einwilligungserklärung vermutlich nicht immer geben." Zimmermann hält daher eine wirksamere Qualitätskontrolle der DNA-Analyse-Datei für geboten und kündigte eine Nachschau zu gegebener Zeit an. Angesichts der geschilderten Stichprobenergebnisse sollten sich die Betroffenen die Unterschrift unter eine schriftliche Einwilligungserklärung für eine DNA-Analyse gut überlegen und im Zweifelsfall lieber darauf bestehen, dass eine richterliche Anordnung eingeholt wird.

4. Die steuerliche Identifikationsnummer

Wie der Landesbeauftragte für den Datenschutz, Peter Zimmermann, im Rahmen der Vorstellung seines diesjährigen Tätigkeitsberichts am 7. Dezember 2007 in Stuttgart erläuterte, könne eine Nummer zur eindeutigen und raschen Identifizierung von Steuerpflichtigen aus datenschutzrechtlicher Sicht durchaus auch positiv gesehen werden. Beispielsweise wenn damit verhindert werde, dass ein Steuerpflichtiger aufgrund einer Verwechslung vom Finanzamt fälschlicherweise einen "fremden" Steuerbescheid zugeschickt bekomme. Dagegen wäre es alles andere als erfreulich, wenn die steuerliche Identifikationsnummer (Steuer-ID) auch für Lebensbereiche außerhalb der Besteuerung zur Anwendung kommen und so zu einem verfassungswidrigen allgemeinen Personenkennzeichen mutieren würde. "Genau solche Tendenzen", so Zimmermann, "sind aber bereits erkennbar". Noch bevor die im Juli 2007 begonnene Vergabe der Steuer-ID überhaupt abgeschlossen sei, bereiteten ihm zwei Punkte Anlass zu großer Sorge:

Zum einen sollen laut Zimmermann im Zusammenhang mit der ab 2011 vorgesehenen Ablösung der Lohnsteuerkarte durch ein elektronisches Abrufverfahren der Steuer-ID und anderen dann beim Bundeszentralamt für Steuern in einer bundesweiten Zentraldatei gespeicherten Daten die so genannten Lohnsteuerabzugsmerkmale (darunter die Religionszugehörigkeit als Merkmal für den Kirchensteuerabzug) hinzugespeichert werden. "Das Bundeszentralamt für Steuern hält dann die Steuer-ID, den Geburtstag, Merkmale für den Kirchensteuerabzug und Lohnsteuerabzugsmerkmale, wie z. B. die Steuerklasse und die Zahl der Kinderfreibeträge, zum automatisierten Abruf durch den Arbeitgeber bereit."

Zum anderen wollen nach Aussagen Zimmermanns die Finanzverwaltungen des Bundes und der Länder mit dem Projekt OpenELSTER (ELSTER ist ein Kürzel für ELektronische STeuerERklärung) den bislang auf den Bereich der Steuerverwaltung beschränkten Authentifizierungsdienst auch anderen staatlichen und kommunalen Stellen öffnen. Zimmermann hierzu: "Der datenschutzrechtliche Knackpunkt dabei ist: Die Steuer-ID würde unter Mitwirkung der Bürgerinnen und Bürger auch an Stellen außerhalb der Finanzverwaltung übermittelt und von diesen verarbeitet. Dies wäre mit den Ende 2003 aus gutem Grund in der Abgabenordnung verankerten Vorgaben über die strikte Zweckbindung der Steuer-ID nicht vereinbar." Der Gesetzgeber selbst habe die Hürde bewusst so hoch gelegt, dass diese Zweckbindung nicht einmal mit Einwilligung der Betroffenen überwunden werden kann.

Er werde deshalb in enger Zusammenarbeit mit dem Bundesdatenschutzbeauftragten und seinen Kollegen in den anderen Bundesländern versuchen, diesen gefährlichen Tendenzen entgegenzuwirken, führte Zimmermann weiter aus. Die Datenschutzkonferenz habe im Oktober 2007 mit ihrer Entschließung "Zentrale Steuerdatei droht zum Datenmoloch zu werden" an den Bundestag und den Bundesrat appelliert, zunächst von der Umstellung auf ein elektronisches Lohnsteuerverfahren Abstand zu nehmen. Allerdings habe sich der Bundestag von diesem Appell leider nicht beeindrucken lassen. Ob über den Bundesrat noch datenschutzrechtliche Verbesserungen erreicht werden können, sei zweifelhaft. In Sachen OpenELSTER bestehe für ihn mehr Anlass zur Hoffnung: "Ich bat das hiesige Finanzministerium, darauf hinzuwirken, dass bei der Nutzung des ELSTER-Authentifizierungsdienstes durch Behörden außerhalb der Finanzverwaltung generell auf die Übermittlung der Identifikationsnummer verzichtet wird. Die prompte Reaktion des Ministeriums lässt jedenfalls erkennen, dass man sich dort ernsthaft mit dem Thema befasst."

5. Datenschutzgerechte Umsetzung der EU-Dienstleistungsrichtlinie

Immer mehr Rechts- und Verwaltungsbereiche würden durch Vorgaben der Europäischen Union geprägt, sagte Peter Zimmermann, der Landesbeauftragte für den Datenschutz, bei der Vorstellung seines Jahresberichts. So habe die Europäische Union beispielsweise bereits im Jahr 1995 durch ihre Datenschutzrichtlinie für eine Harmonisierung des Datenschutzrechts in allen Mitgliedstaaten gesorgt. Auch gehe die mit erheblichen datenschutzrechtlichen Risiken einhergehende Vorratsdatenspeicherung in der Telekommunikation in weiten Teilen auf eine entsprechende europäische Richtlinie zurück.

Große datenschutzrechtliche Relevanz weise nach Aussagen Zimmermanns auch die im Dezember 2006 verabschiedete Dienstleistungsrichtlinie auf. Sie soll europaweit für eine einfache Nutzbarkeit vieler Behördendienstleistungen sorgen. Die Dienstleistungsrichtlinie befasst sich mit den für die Aufnahme und Ausübung einer Dienstleistungstätigkeit geltenden Verfahren und Formalitäten. Beispiele hierfür seien die Einrichtung eines Gaststättenbetriebs, Frisörsalons oder Architekturbüros. Eine besondere datenschutzrechtliche Brisanz entwickle die darin enthaltene Verpflichtung, dass alle mit der Aufnahme einer solchen Dienstleistungstätigkeit in einem anderen EU-Mitgliedstaat verbundenen Formalitäten problemlos aus der Ferne und elektronisch abwickelbar sein müssen. Zudem müsse sichergestellt werden, dass ein Dienstleister alle diese Behördendienstleistungen über einen sogenannten "einheitlichen Ansprechpartner" abwickeln könne, erläuterte Zimmermann.

Für die Umsetzung in nationales Recht stünden noch zwei Jahre zur Verfügung. Schon bald müssten daher auch für den Datenschutz relevante Vorentscheidungen zum einen bei der Rechtsetzung und zum anderen bei der IuK-Systemgestaltung getroffen werden. Wie Zimmermann ausführte, sollen in den noch zu realisierenden IuK-Systemen in großem Umfang personenbezogene Daten verarbeitet und möglicherweise auch für eine gewisse Zeit gespeichert werden. Um die IuK-Systeme datenschutzgerecht zu gestalten, seien nach Aussagen Zimmermanns unter anderem folgende Punkte relevant:

• Datenschutzrechtliche Verantwortlichkeiten klären:
  Da die noch einzurichtenden elektronischen Systeme von einer Vielzahl von Stellen in ganz Europa genutzt werden sollen, gelte es, klare Abgrenzungen vorzunehmen, welche Stellen für welche Schritte zur Verarbeitung personenbezogener Daten verantwortlich sind. Zimmermann dazu: "Klare Verantwortlichkeiten sind das A und O einer datenschutzgerechten Organisation".
   
• Datenschutzrechtliche Auftragsverhältnisse klären:
  Es sei damit zu rechnen, dass einige der für die Verarbeitung personenbezogener Daten verantwortlichen Stellen die Daten nicht auf eigenen IuK-Systemen verarbeiten, sondern, im Rahmen einer sogenannten "Datenverarbeitung im Auftrag", eine oder mehrere andere Stellen damit beauftragen. Es müsse darauf geachtet werden, dass die dazu nötigen schriftlichen Aufträge rechtzeitig erteilt werden.
   
• Spielräume für datenschutzfreundliche Lösungen nutzen:
  Die zur Umsetzung der Dienstleistungsrichtlinie noch notwendigen rechtlichen und technisch-organisatorischen Vorarbeiten würden gegenwärtig noch erhebliche Spielräume für die konkrete Ausgestaltung bieten, die möglichst datenschutzfreundlich genutzt werden sollten. Zimmermann hierzu: "Ein wichtiges Anliegen des Datenschutzes ist, dass auch bei Einführung der einheitlichen Ansprechpartner eine zuständigkeitsbezogene ‚informationelle Gewaltenteilung' der daran angeschlossenen Behörden erhalten bleibt".
  Es sei daher von Anfang an darauf zu achten, dass die "einheitlichen Ansprechpartner" keinen unbeschränkten Zugriff auf die bislang in den verschiedensten Behördencomputern gespeicherten personenbezogenen Daten erhalten. Eine Realisierungsvariante sei dabei datenschutzrechtlich umso problematischer, je umfassender die dabei vorgesehenen Zugriffsmöglichkeiten sind.
  Ferner sollten die IuK-Systeme nach Aussagen des Datenschutzbeauftragten von vornherein so ausgelegt werden, dass darin - über die in jedem Fall notwendige Nachrichtenübertragung hinaus - möglichst wenige Daten längerfristig gespeichert werden.
  Schließlich gelte es, hochwertige Verfahren zur Überprüfung der Identität der Antragsteller sowie für die elektronische Signatur vorzusehen. Zimmermann bedauerte, dass die Dienstleistungsrichtlinie keinerlei Vorgaben zu diesen wichtigen Aspekten enthält und warnte davor, "Übergangslösungen" vorzusehen, die nur mit deutlichen Einbußen gegenüber dem erreichbaren Sicherheitsniveau zu erkaufen wären.

6. Protokollierung der Zugriffe auf Web-Angebote

Eine bedenkliche Begleiterscheinung der zunehmenden Internet-Nutzung besteht nach Einschätzung des Landesbeauftragten für den Datenschutz, Peter Zimmermann, darin, dass sich Vorgänge, die in der realen Welt ganz selbstverständlich anonym abgewickelt werden können, in der elektronischen Welt vielfach nicht ohne weiteres anonym abwickeln lassen. Diese Problematik zeige sich bereits, wenn man den Umgang mit gedruckten Broschüren dem Zugriff auf Web-Seiten gegenüberstelle.

Rufe jemand eine Web-Seite auf, so ließen sich ohne weiteres und von diesem unbemerkt eine Reihe von Informationen über die einzelnen Zugriffe registrieren. Dabei könnten neben Datum und Uhrzeit des Zugriffs auch die IP-Adresse des abrufenden Computers, die Bezeichnung des abgerufenen Dokuments, Browsertyp und Betriebssystem des zugreifenden PCs sowie mitunter sogar die zuvor bei einer Suchmaschine eingegebenen Suchbegriffe erfasst werden, die den Nutzer auf das aktuell besuchte Angebot geleitet haben. Datenschutzrechtlich sei dabei insbesondere von Bedeutung, dass IP-Adressen mit Hilfe von Zusatzwissen einzelnen Personen zugeordnet werden können und die Protokolldaten insoweit als personenbezogen anzusehen seien.

Diese Überlegungen lagen, so Zimmermann, auch einem Urteil des Berliner Amtsgerichts Mitte vom 27. März 2007 (Az. 5C314/06) zugrunde, das dem Bundesjustizministerium untersagte, mit vollständigen IP-Adressen versehene Protokolldaten über den Zugriff auf dessen Internet-Angebot über das Ende der einzelnen Nutzung hinaus zu speichern. Das Gericht stellte ausdrücklich klar, dass dies auch dann gelte, wenn es sich um IP-Adressen handele, die den Nutzern von ihren Internet-Zugangs-Providern jeweils nur für eine gewisse Zeit bereitgestellt würden (dynamische IP-Adressen).

"Legt man diese Maßstäbe an die von der Landesverwaltung betriebenen Web-Angebote an, so besteht hier zum Teil noch erheblicher Änderungsbedarf" betont Zimmermann und stützt sich dabei auf die Informationen, die die Landesregierung in ihrer Antwort auf eine Kleine Landtagsanfrage zur Speicherung von Kommunikationsspuren (LT-Drs. 14/1830) gab. Danach würden bei vielen Angeboten Protokolldaten inklusive vollständiger IP-Adresse gespeichert. Bei einzelnen Angeboten sei dabei sogar eine unbefristete Speicherung vorgesehen. "Dass die Landesregierung angesichts dieser Situation mitteilt, es bestehe kein unmittelbarer Handlungsbedarf, ist mehr als verblüffend", fasste Zimmermann seine Einschätzung zusammen.

Der Datenschutzbeauftragte hatte daraufhin die im Arbeitskreis Informationstechnik zusammenwirkenden IuK-Verantwortlichen der Landesverwaltung gebeten sicherzustellen, dass den Anforderungen des Datenschutzrechts bei der Protokollierung der Nutzung der Web-Angebote künftig durchweg Rechnung getragen wird. Zimmermann begrüßte, dass das Innenministerium hierauf rasch reagierte und wissen ließ, es strebe eine Lösung an, bei der die IP-Adressen durch nicht-personenbezogene Daten ersetzt würden. In einer ersten Erörterung zeigten sich auch die Mitglieder des Arbeitskreises Informationstechnik aufgeschlossen, diese Lösung für die gesamte Landesverwaltung zu übernehmen. "Es ist zu hoffen", so Zimmermann, "dass sich nunmehr zeitnah und landesweit eine datenschutzgerechte Lösung für die Protokollierung bei Web-Angeboten erreichen lässt."

zum Tätigkeitsbericht