Stuttgart, 14. Dezember 2009

Pressemitteilung
Die Verteidigung der Privatsphäre und der Datenschutz gewinnen in der globalisierten Informationsgesellschaft an Bedeutung Landesbeauftragter für den Datenschutz stellt Tätigkeitsbericht vor

 

„Die Verteidigung der Privatsphäre und damit der Menschenwürde wird in einer globalisierten Informationsgesellschaft mit unzähligen Datenspuren nach meiner Überzeugung immer wichtiger – sowohl für den Einzelnen wie auch für die Gesellschaft. Damit wächst prinzipiell auch die Bedeutung des Datenschutzes.“ So lautete das Resümee des Landesbeauftragten für den Datenschutz, Jörg Klingbeil, bei der Vorstellung seines ersten Tätigkeitsberichts für die Jahre 2008 und 2009 am 14. Dezember 2009 in Stuttgart. „Leider wird dem im Behördenalltag nicht immer Rechnung getragen. Wir brauchen daher mehr Datenschutzbewusstsein der Verantwortlichen und mehr Zurückhaltung beim Sammeln von Informationen.“ Aufgrund echter oder vermeintlicher Datenschutzskandale sei das Thema Datenschutz in den Medien und in der Öffentlichkeit in den zurückliegenden Monaten so präsent gewesen wie selten zuvor. Dies habe zwar in erster Linie den nichtöffentlichen Bereich betroffen, dennoch habe auch das Vertrauen in den Staat gelitten. „Der demokratische Rechtsstaat ist auf das Vertrauen seiner Bürgerinnen und Bürger angewiesen. Wenn aber 72 % der Bevölkerung erklären, sie würden dem Staat hinsichtlich des Umgangs mit ihren Daten misstrauen, dann ist das ein Alarmsignal“, erklärte der Landesdatenschutzbeauftragte unter Verweis auf eine Umfrage des Instituts für Demoskopie Allensbach. Hier müsse massiv gegengesteuert werden, vor allem müssten die Verantwortlichen endlich mehr Datenschutzbewusstsein an den Tag legen und den Datenschutz nicht nur als lästige Pflichtübung abtun. Insofern könne er sich dem Appell von Herrn Innenminister Rech MdL vom 25. August 2009 – damals allerdings an die Adresse der Unternehmen gerichtet -, dass der Datenschutz „Chefsache“ sein müsse, in Bezug auf die öffentliche Verwaltung nur anschließen. Dazu Jörg Klingbeil: „Wenn der Innenminister die Unternehmen auffordert, gut ausgebildete Datenschutzbeauftragte einzusetzen, diesen ausreichend Zeit für ihre Kontrolltätigkeit zu geben und auf deren Vorschläge in Sachen Datenschutz zu hören, dann ist das ohne Einschränkungen zu begrüßen. Paradoxerweise tut das Land aber in seinem eigenen Verantwortungsbereich nicht das, was es von den Unternehmen verlangt. Im Unterschied zu den Unternehmen ist es den Behörden des Landes und der Kommunen nach Landesrecht nämlich freigestellt, ob sie einen Datenschutzbeauftragten bestellen. Dies sollte im Zuge der nächsten Änderung des Landesdatenschutzgesetzes geändert werden. Misslich ist es auch, wenn behördliche Datenschutzbeauftragte oft andere zeitraubende Aufgaben zu erfüllen haben und sich dem Thema Datenschutz nur mit einem geringen Bruchteil ihrer Arbeitszeit widmen können.“

Auf diese Weise sei es nach Meinung des Landesdatenschutzbeauftragten kein Wunder, dass der Datenschutz im Behördenalltag immer wieder unter die Räder gerät. Hinzu komme in unserer Gesellschaft eine zunehmende Sorglosigkeit im Umgang mit den eigenen persönlichen Daten, die zu dem gestiegenen Misstrauen gegenüber der Datenverarbeitung bei Unternehmen oder durch staatliche Stellen in einem merkwürdigen Kontrast stehe. Hierzu Jörg Klingbeil: „Allein in Deutschland nutzen über 70 % der Bevölkerung das Internet; in der Altersgruppe der 14- bis 29-Jährigen sind es schon knapp 95 %, davon sind knapp 90 % Mitglied in einem sozialen Netzwerk wie Xing, Facebook oder StudiVZ. Wenn man sich anschaut, wie viele sensible Daten dort freiwillig preisgegeben werden, dann kann man schon von einer ‚Generation Sorglos‘ reden. Da das Internet ‚nichts vergisst‘, liegt das Risikopotenzial auf der Hand: Viele Arbeitgeber nutzen zum Beispiel heikle Informationen über Bewerber für Recherchen vor einem Einstellungsgespräch, wie eine Umfrage im Auftrag der Bundesregierung ergeben hat.“

Um den Datenschutzgedanken in den Behördenalltag hineinzutragen, sollten nach Ansicht des Landesdatenschutzbeauftragten zumindest für die großen Verwaltungsbereiche Netzwerke von fachkundigen Ansprechpartnern geschaffen werden. Im Bereich der Polizei gebe es dafür bereits gute Ansätze, auch dank verstärkter Schulungsaktivitäten der Akademie der Polizei. Hierzu der Landesdatenschutzbeauftragte: „Eine deutliche Qualitätssteigerung halte ich bei der polizeilichen Datenverarbeitung aber auch für dringend erforderlich. Ein guter Anlass hierzu wäre die Einführung des neuen Verfahrens zur computergestützten Vorgangsbearbeitung ComVor. Statt wahllos Bagatelldelikte zu speichern, sollte sich die Polizei auf ihre Kernaufgabe Gefahrenabwehr konzentrieren. Wenn die Datenspeicherung nur als polizeilicher Tätigkeitsnachweis dienen sollte, dann würde eine statistische Erfassung völlig ausreichen. Außerdem haben wir den Eindruck, dass die Polizei bei Ermittlungsverfahren in den eigenen Reihen in Sachen Datenspeicherung wesentlich zurückhaltender als bei ‚Normalsterblichen‘ verfährt.“ (siehe hierzu Anlage 1). Das sei angesichts der Erleichterungen, die bei der Novellierung des Polizeigesetzes im Jahr 2008 durch den Wegfall des Prüfungskriteriums der Wiederholungsgefahr bei Ersttätern eingeführt wurden, eigentlich nicht nachvollziehbar.

Zu begrüßen ist nach Ansicht des Landesbeauftragten auch die Gründung eines „Kommunalen Netzwerks Datenschutz“, das vor kurzem auf Initiative behördlicher Datenschutzbeauftragter und der Hochschule für öffentliche Verwaltung in Kehl erfolgt sei. Auch für den Schulbereich schlägt Jörg Klingbeil die Schaffung von behördlichen Datenschutzbeauftragten vor: „Aus meiner Sicht sind die Schulen in Sachen Datenschutz partiell noch ein echtes Notstandsgebiet. Wie wir im Zusammenhang mit dem Verfahren ‚Kompetenzanalyse Profil AC‘ an Haupt- und Sonderschulen erfahren mussten, sind die Schulen zwar datenschutzrechtlich selbst verantwortlich, müssen faktisch aber die EDV-Verfahren umsetzen, die ihnen die Kultusverwaltung vorgibt. Ich habe den Eindruck, dass die Schulleiter mit Datenschutzproblemen vielfach allein gelassen werden. Hier halte ich eine stärkere Betreuung durch die Kultusverwaltung für erforderlich. In den Schulbehörden sollten daher geeignete Mitarbeiter die Funktion als behördliche Datenschutzbeauftragte für die Schulen übernehmen.“ (Siehe hierzu Anlage 2)

Ein anderer Streitpunkt mit dem Kultusministerium war nach Aussagen des Landesdatenschutzbeauftragten im zurückliegenden Jahr der „Orientierungsplan für Bildung und Erziehung in baden-württembergischen Kindergärten und weiteren Kindertageseinrichtungen“ (vgl. 29. Tätigkeitsbericht, 3. Teil, Nummer 1, Seite 97 f.). Dazu Jörg Klingbeil: „Bereits mein Vorgänger hatte die fehlende Rechtsgrundlage moniert. Wenn den Kindergärten verbindlich vorgegeben wird, frühkindliche Entwicklungsprozesse umfassend in Wort und Bild festzuhalten, dann stellt das einen Eingriff in das informationelle Selbstbestimmungsrecht der Kinder dar, für den – ungeachtet der lobenswerten pädagogischen Zielsetzung des Orientierungsplans – eine entsprechende gesetzliche Grundlage erforderlich ist. Darüber hinaus habe ich unter dem Aspekt der Datenvermeidung grundsätzliche Bedenken gegen immer stärker ausufernde Beobachtungs- und Dokumentationspflichten im Umfeld von menschlicher Zuwendung und persönlicher Betreuung; die Erfahrungen im Krankenhaus- und Pflegebereich sollten zumindest eines deutlich gemacht haben: Die Zeit, die für die Dokumentation erforderlich ist, steht für die persönliche Zuwendung nicht mehr zur Verfügung.“ Insofern begrüßte der Landesdatenschutzbeauftragte die jüngste Verständigung der Landesregierung mit den Kommunalen Landesverbänden, wonach die Umsetzung in erster Linie den Kindergartenträgern überlassen werden soll: „Ob der Orientierungsplan mehr ‚Orientierung‘ oder mehr ‚Plan‘ sein wird, muss jetzt die Praxis zeigen. Ich bleibe dabei: Frühkindliche Entwicklungsverläufe und Bildungsprozesse sollten allenfalls bei konkretem Bedarf und auch dann nur auf wirklich freiwilliger Basis dokumentiert und ausgewertet werden.“

Ein ähnlicher Konfliktherd, allerdings aus dem Geschäftsbereich des Sozialministeriums, war im Berichtszeitraum die neue Einschulungsuntersuchung. Der Landesbeauftragte für den Datenschutz hält ebenso wie sein Amtsvorgänger angesichts unzureichender Rechtsgrundlagen und zweifelhafter Fragebögen datenschutzfreundlichere Alternativen wie den „Stuttgarter Weg“ für sinnvoller. In dieser Auffassung sehe er sich auch nach einem Kontrollbesuch seiner Mitarbeiter bei einem Gesundheitsamt, einem städtischen Kindergarten und einer Grundschule bestärkt (siehe hierzu Anlage 3).

Der Tätigkeitsbericht des Landesbeauftragten für den Datenschutz beleuchtet aber nicht nur Entwicklungen im Land, sondern auch in Europa und auf Bundesebene; hierzu beispielhaft:

  • Mit dem am 1. Dezember 2009 in Kraft getretenen Vertrag von Lissabon ergeben sich nach den Worten von Jörg Klingbeil auch einige nicht unerhebliche Veränderungen für den Datenschutz. Die Grundrechte-Charta mit ihrem Grundrecht auf Datenschutz werde zum europäischen Primärrecht und die zwischenstaatliche polizeiliche und justizielle Zusammenarbeit werde vergemeinschaftet; allerdings müsse erst noch ein einheitliches, möglichst hohes Datenschutzniveau geschaffen werden. „Es bleibt zu hoffen, dass es dabei nicht zum einem Datenschutz-Dumping in Europa kommt“, meinte der Landesdatenschutzbeauftragte hierzu. Die aktuelle Diskussion über den Abschluss eines Abkommens zur Übermittlung von Banktransaktionsdaten aus SWIFT-Rechnern in die USA zeuge immerhin von einem zunehmenden Datenschutzbewusstsein des EU-Parlaments, auf das die nationalen Regierungen nun mehr Rücksicht nehmen müssten.
  • Die neue Bundesregierung räumt nach dem Eindruck des Landesdatenschutzbeauftragten in ihrer Koalitionsvereinbarung vom 26. Oktober 2009 dem Datenschutz einen hohen Stellenwert ein: „Nicht nur eine umfassende Modernisierung des Datenschutzrechts, sondern auch eine gesetzliche Regelung des Arbeitnehmerdatenschutzes wird hier in Aussicht gestellt. Damit werden langjährige Forderungen der Datenschutzbeauftragten von Bund und Ländern aufgegriffen. Auch lassen einige Äußerungen auf eine größere Zurückhaltung bei neuen gesetzlichen Befugnissen im Sicherheitsbereich hoffen. Die Aussage der neuen Bundesjustizministerin, der Koalitionsvertrag beinhalte einen Paradigmenwechsel, hin zu einer stärkeren Beachtung der Freiheits- und Bürgerrechte, scheint mir allerdings etwas zu optimistisch zu sein, zumindest steht die Nagelprobe hierfür noch aus. Bei Lichte betrachtet orientiert sich der Koalitionsvertrag nur an den Grenzen des verfassungsrechtlich Zulässigen, die das Bundesverfassungsgericht im Berichtszeitraum dem Gesetzgeber erneut mehrfach aufgezeigt hat.“ Jörg Klingbeil erinnerte in diesem Zusammenhang insbesondere an die Entscheidung vom 27. Februar 2008, mit der das Bundesverfassungsgericht die Online-Durchsuchung im nordrhein-westfälischen Verfassungsschutzgesetz gekippt hatte. Dabei habe das Gericht dem bekannten „Grundrecht auf informationelle Selbstbestimmung“ ein neues „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ an die Seite gestellt, das seines Erachtens im staatlichen Handeln künftig stärker zu berücksichtigen sei. Nur der Verweis auf die Selbstverantwortung der Nutzer sei zu wenig.
  • Auf dem Prüfstand des Bundesverfassungsgerichts steht auch die jüngste Änderung des Gesetzes über das Bundeskriminalamt, das nach Auffassung des Landesdatenschutzbeauftragten nicht nur die Gefahr einer Kompetenzüberlappung zwischen Bundes- und Landespolizei, sondern auch zahlreiche verfassungsrechtlich fragwürdige Ermittlungsbefugnisse – wie die Online-Durchsuchung – mit sich gebracht habe. Er gehe davon aus, dass auch dieses Gesetz – ebenso wie die Vorratsdatenspeicherung im Hauptsacheverfahren – nicht ungestreift davonkommen werde.
  • Ein datenschutzrechtliches Ärgernis erster Güte, das von der Öffentlichkeit noch kaum bemerkt worden sei, steht nach den Worten des Landesdatenschutzbeauftragten kurz vor der Einführung: Ab 1. Januar 2010 müssen alle Arbeitgeber die Einkommensdaten ihrer Beschäftigten an eine zentrale Speicherstelle übermitteln, damit diese Daten im Fall des Bezugs von Sozialleistungen von dort abgerufen werden können. Dazu Jörg Klingbeil: „Mit dem Elektronischen Entgeltnachweis (ELENA) entsteht ein riesiger Datenspeicher auf Vorrat, obwohl ein Großteil der Betroffenen die entsprechenden Leistungen niemals in Anspruch nehmen wird.“ (siehe hierzu Anlage 4).

Im Tätigkeitsbericht wird aber auch auf zahlreiche Einzelfälle eingegangen, die an den Datenschutzbeauftragten des Landes durch aufmerksame Bürgerinnen und Bürger herangetragen werden. So auch auf den „Datenschutz-GAU“ des Jahres. Eine Gemeinde im Kraichgau hatte 2007 nach dem Test eines neuen Servers vergessen, die probehalber aufgespielten Echtdaten löschen zu lassen. Nach zwei Jahren war der Rechner bei einer Beratungsfirma in Nordrhein-Westfalen aufgetaucht, die umgehend Jörg Klingbeil alarmierte (siehe hierzu Anlage 5).

„Die weitere technische Entwicklung und der Wunsch nach einer immer individuelleren Steuerung des menschlichen Verhaltens werden künftig noch zahlreiche Zumutungen für den Datenschutz mit sich bringen,“ wagt der Landesbeauftragte für den Datenschutz einen Blick in die Zukunft, „hierfür sind der bevorstehende Einsatz intelligenter Stromzähler und die politischen Diskussionen über die Einführung der PKW-Maut und deren Berechnung der beste Beweis. Wenn wirtschaftliches und umweltgerechtes Verhalten belohnt werden soll, dann ist aber die Vermeidung von Datenspuren als gleichrangiges Ziel von vornherein einzuplanen.“

Die in den zurückliegenden Tätigkeitsberichten immer wieder thematisierte Zusammenlegung seiner Dienststelle mit der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich rückt nach den Worten von Jörg Klingbeil näher, nachdem nunmehr auch die CDU-Landtagsfraktion grünes Licht gegeben habe. „Nun wird es darauf ankommen, die Dienststelle im neuen Zuschnitt vernünftig mit Stellen und Sachmitteln auszustatten, damit die politisch gewünschte Schlagkraft der Datenschutzaufsicht Realität werden kann. Datenschutz sollte eher im Vorfeld greifen und nicht erst als Reparaturkolonne auftreten, wenn das Kind schon in den Brunnen gefallen ist. Nicht zuletzt sollte das Thema Datenschutz stärker im Bereich der Aus- und Fortbildung, insbesondere bei der Vermittlung von Medienkompetenz, Berücksichtigung finden; schließlich ist Datenschutz auch eine Bildungsaufgabe“, meinte der Landesdatenschutzbeauftragte abschließend.

 

Zu folgenden Themen sind jeweils nähere Informationen angeschlossen:

  1. Misst die Polizei mit zweierlei Maß? Landesbeauftragter für den Datenschutz fordert deutliche Qualitätssteigerung der polizeilichen Datenverarbeitung
  2. Landesdatenschutzbeauftragter Jörg Klingbeil: Schulen sind in Sachen Datenschutz Notstandsgebiet
  3. Neue Einschulungsuntersuchung verbesserungswürdig
  4. Keine „schöne Elena“ – weiterhin datenschutzrechtliche Bedenken gegen den elektronischen Entgeltnachweis
  5. Datenschutz-GAU im Kraichgau

 

 

  1. Misst die Polizei mit zweierlei Maß? Landesbeauftragter für den Datenschutz fordert deutliche Qualitätssteigerung der polizeilichen Datenverarbeitung

Anlass war eine Zeitungsnotiz: Einem Mitarbeiter des Landesbeauftragten für den Datenschutz war eine Meldung über die Einstellung eines Strafverfahrens aufgefallen, die ein Polizeibeamter durch Zahlung einer Geldbuße erreicht hatte. Im Normalfall führt dieser Verfahrensausgang trotzdem zu einer Einspeicherung im zentralen polizeilichen Auskunftssystem des Landes (POLAS-BW), da im Polizeirecht die Unschuldsvermutung des Strafprozesses nicht gilt und der Polizeivollzugsdienst Daten zur vorbeugenden Bekämpfung von Straftaten speichern darf. Denn bei der Aufklärung von Straftaten sollen möglicherweise schon zu einem Täter gespeicherte Daten die Ermittlungsarbeit fördern. Gerichtlich ist dies schon seit Jahren bis hin zum Bundesverfassungsgericht geklärt. In diesem Fall ergab eine Nachschau im Polizeicomputer jedoch, dass der fragliche Polizeibeamte nicht gespeichert worden war. Dies weckte die Neugier des Landesbeauftragten für den Datenschutz. „Das Innenministerium hat auf meinen Wunsch hin etliche Disziplinarakten der letzten Jahre durchschauen lassen“, erläuterte Jörg Klingbeil anlässlich der Vorstellung seines Tätigkeitsberichts am 14. Dezember 2009 in Stuttgart, „was dabei herauskam, war erstaunlich: Von 415 Ermittlungsverfahren gegen Polizeibeamte waren 275 Vorgänge, also immerhin 66 %, nicht in POLAS-BW gespeichert, obwohl nur in 61 Fällen kein Tatverdacht gegeben war. Von dieser Quote können ‚normale‘ Bürgerinnen und Bürger vermutlich nur träumen.“ Zwar führe die Polizei keine Statistik darüber, in wie vielen „normalen“ Fällen trotz eines eingeleiteten Ermittlungsverfahrens keine Einspeicherung erfolge, aus seiner tagtäglichen Praxis habe er aber den Eindruck gewonnen, dass die Bürger in der Regel selbst bei Bagatelldelikten (z.B. Beleidigung) schon beim geringsten Tatverdacht eingespeichert werden. Auch eine Einstellung des Ermittlungsverfahrens wegen fehlenden öffentlichen Interesses an der Strafverfolgung und der Verweis auf den Privatklageweg bewahre die Betroffenen zumeist nicht davor, in der polizeilichen Datensammlung zu landen. Dies passiere vereinzelt selbst dann, wenn die Staatsanwaltschaft ausdrücklich einen Straftatverdacht verneint habe.

Außerdem gibt es nach Einschätzung des Landesdatenschutzbeauftragten spezifische Unterschiede hinsichtlich der Verweildauer im polizeilichen Auskunftssystem: „‚Otto Normalverbraucher‘ muss sich vielfach darauf einstellen, dass seine Daten mit der Regelfrist von fünf Jahren gespeichert werden und ein Antrag auf vorzeitige Löschung nur selten zum Erfolg führt“, erläuterte Jörg Klingbeil. Fälle mit „amtlicher Beteiligung“ würden hingegen offenkundig wesentlich gründlicher und differenzierter behandelt, wie eine Durchsicht der einschlägigen Akten durch seine Dienststelle ergeben habe: In der Regel seien die Vorgesetzten eingebunden gewesen; vielfach sei auch erst der justizielle Verfahrensausgang abgewartet worden. Teilweise seien Daten des Ermittlungsverfahrens von vornherein nur statistisch erfasst (sog. PKS-Fälle) und andere Fälle vor Ablauf des Aussonderungsprüfdatums auf Antrag des Betroffenen gelöscht worden. Hierzu Jörg Klingbeil: „Ich kann es zwar nicht in Zahlen belegen, aber der Eindruck einer Ungleichbehandlung drängt sich da schon auf. Zudem wird in den einzelnen Polizeidienststellen mit den Daten aus Ermittlungsverfahren ganz unterschiedlich umgegangen. Aus meiner Sicht liefert die polizeiliche Speicherpraxis den eindeutigen Beleg, dass die Qualität der Daten im Auskunftssystem dem gesetzlichen Zweck der vorbeugenden Straftatenbekämpfung nicht gerecht werden kann. Die massenhafte Datenspeicherung von Kleinstkriminalität, die – begünstigt durch die rechtlichen Vorgaben – teilweise über Jahre mitgeschleppt wird, lässt sogar Zweifel am Nutzen dieses Auskunftssystems aufkommen.“ Nach seinen Informationen sei vielen Polizeipraktikern die mangelnde Datenqualität des Systems durchaus bewusst, die wohl auch die Folge personeller Engpässe sei. Die Polizei habe zwar eine Projektgruppe zur Verbesserung der Datenqualität eingesetzt, notwendig seien aber grundlegende strukturelle Veränderungen. Er habe dem Innenministerium deshalb folgende Vorschläge gemacht, zu denen er eine zeitnahe Reaktion erwarte:

      • Datenschutz in der Aus- und Fortbildung der Polizei stärker thematisieren;
      • justizielle Verfahrensausgänge unverzüglich in der Datei berücksichtigen;
      • Speicherungen von Daten ohne strafrechtlichen Tatverdacht verhindern oder umgehend löschen;
      • automatisierte Überwachung bestimmter Datenfelder prüfen;
      • Nachvollziehbarkeit der Datenverarbeitung im Aktenrückhalt verbessern;
      • Speicherung von Fällen geringer Bedeutung mit einer dreijährigen Frist sicherstellen;
      • statistische Erfassung von strafrechtlichen Ermittlungsverfahren als PKS-Fälle erleichtern und auf Bagatelldelikte ausdehnen.

Jörg Klingbeil abschließend: „Innenministerium und Polizeiführung sollten bereit sein, die von meiner Dienststelle gewonnenen Erkenntnisse über Sinnhaftigkeit und Nutzen der Datenverarbeitung aufzunehmen und die zentrale Datenbank POLAS-BW zu einem wirklich tauglichen Instrument weiterzuentwickeln. Hierzu bietet der eingeleitete Umstieg auf das neue EDV-Verfahren der computergestützten Vorgangsbearbeitung (Projekt ComVor) den geeigneten Anlass. Es gilt auch hier: Weniger wäre mehr!“

(Für weitere Einzelheiten wird auf den 2. Teil, 1. Abschnitt, Nr. 2.2 des Berichts verwiesen.)

 

 

  • Landesdatenschutzbeauftragter Jörg Klingbeil: Schulen sind in Sachen Datenschutz Notstandsgebiet

„Die Schulleiter werden nach meinem Eindruck mit datenschutzrechtlichen Problemen vielfach allein gelassen und müssten daher von der Kultusverwaltung intensiver betreut werden.“ Diese Auffassung vertrat der Landesbeauftragte für den Datenschutz, Jörg Klingbeil, anlässlich der Vorstellung seines Tätigkeitsberichts am 14. Dezember 2009 in Stuttgart. Anlass für seine Kritik waren seine Erfahrungen mit dem landesweiten EDV-Verfahren „Kompetenzanalyse Profil AC“, mit dem auf Anordnung des Kultusministeriums an Haupt- und Sonderschulen seit dem Schuljahr 2007/2008 die Schülerinnen und Schüler auf ihre Stärken und Schwächen getestet werden. Hieraus werden dann individuelle Kompetenzprofile erstellt und dabei viele sensible personenbezogene Daten verarbeitet. „Ich war“, bedauert Jörg Klingbeil, „vom Kultusministerium im Vorfeld nicht beteiligt worden und habe erst durch eine Landtagsdrucksache quasi zufällig von dem Verfahren erfahren, obwohl die datenschutzrechtliche Brisanz offensichtlich war.“ Die eingeholten Stellungnahmen des Kultusministeriums und zufällig ausgewählter Schulen hätten einige grundlegende Missverständnisse offengelegt, die letztlich weit über das konkrete EDV-Verfahren hinausreichen. So habe das Kultusministerium mitgeteilt, dass die jeweilige Schule selbst datenschutzrechtlich verantwortlich sei und dementsprechend das EDV-Verfahren in ein schulisches Verfahrensverzeichnis aufzunehmen und der Dienststelle des Landesbeauftragten für den Datenschutz zu melden habe. Dagegen hätten einige Schulleiter mit entwaffnender Offenheit eingeräumt, dass man sich gar keiner datenschutzrechtlichen Verantwortung bewusst gewesen und das Verfahren zentral vorgegeben worden sei. Bei den Schulungen sei zudem erklärt worden, datenschutzrechtlich sei „alles in Ordnung“. Kein Wunder – so der Landesdatenschutzbeauftragte -, dass mancher Schulleiter die Welt nicht mehr verstand. Für Jörg Klingbeil in zweifacher Hinsicht ein Alarmsignal: „Es ist zum einen natürlich haarsträubend, wenn landauf, landab massenhaft sensible Daten verarbeitet werden und die Beteiligten jeweils andere für verantwortlich halten.“ Zum anderen sei hier wie auch früher in anderen Fällen zu erkennen, dass vielen Schulleitern elementare datenschutzrechtliche Grundkenntnisse fehlen. Das Kultusministerium habe zwar nachgebessert und an die betroffenen Schulen ein Muster-Verfahrensverzeichnis herausgegeben. Das Ergebnis war für den Landesbeauftragten gleichwohl enttäuschend: „Die bei mir inzwischen eingegangenen Verfahrensverzeichnisse waren ganz überwiegend unvollständig und inhaltlich nicht korrekt oder gar völlig inhaltsleer.“ Eine abschließende datenschutzrechtliche Prüfung des Verfahrens „Kompetenzanalyse Profil AC“ sei ihm daher bis heute nicht möglich gewesen.

Für die Reaktion der Schulleiter hat der Landesdatenschutzbeauftragte sogar Verständnis: „Die Schulleiter, gerade an Hauptschulen, haben heutzutage eine Menge um die Ohren. Sie sind ja auch keine Verwaltungsexperten, insbesondere wenn es um die nicht ganz einfache Materie Datenschutz geht. Ich halte es daher für dringend geboten, dass die Schulleiter von der Kultusverwaltung datenschutzrechtlich stärker an die Hand genommen und hierdurch zugleich entlastet werden.“ Er halte es für fraglich, ob dafür allein Dienstbesprechungen oder Verwaltungsvorschriften, wie sie das Kultusministerium in Aussicht gestellt habe, ausreichen. Der Landesdatenschutzbeauftragte verspricht sich mehr davon, wenn bestimmte Stellen innerhalb der Kultusverwaltung, sei es auf Kreisebene oder auf Ebene der Regierungsbezirke oder in einer zentralen Einrichtung des Ressorts, für die Schulen die Rolle der behördlichen Datenschutzbeauftragten übernehmen. Vor einigen Tagen habe er seine Vorstellungen dem Ministerialdirektor des Kultusministeriums in einem persönlichen Gespräch vorgetragen und hoffe nun, dass diese rasch aufgegriffen und umgesetzt werden.

 

 

  1. Neue Einschulungsuntersuchung verbesserungswürdig

„Die umfangreichen Datenerhebungen bei Eltern und Erzieherinnen für die Einschulungsuntersuchung sind weder aus fachlicher noch aus datenschutzrechtlicher Sicht erforderlich“, so lautete das Fazit des Landesbeauftragten, Jörg Klingbeil, anlässlich der Vorstellung seines Tätigkeitsberichts am 14. Dezember 2009 in Stuttgart. Dabei sei das Ziel, durch das Vorziehen der Einschulungsuntersuchung in das vorletzte Kindergartenjahr Kindern mit Förderbedarf eine gezielte Förderung für einen leichteren Schulstart zukommen zu lassen, im Grunde unstreitig. Bereits sein Amtsvorgänger, Peter Zimmermann, habe wiederholt grundsätzliche Bedenken hinsichtlich der neuen Einschulungsuntersuchung geäußert, insbesondere die fehlende gesetzliche Grundlage und die Eltern- und Erzieherinnenfragebögen kritisiert. Dabei würden nicht nur medizinische Informationen erhoben, sondern auch Fragen zum häuslichen Umfeld und zu auffälligen Verhaltensweisen des Kindes gestellt. Diese datenschutzrechtlichen Bedenken fanden beim fachlich zuständigen Ministerium für Arbeit und Soziales nur teilweise Gehör. Grund genug für den Datenschutzbeauftragten, sich nach der flächendeckenden Einführung in Baden-Württemberg in einem Gesundheitsamt, in einem Kindergarten und in einer Grundschule über die Umsetzung der Einschulungsuntersuchung zu informieren.

„Wir haben festgestellt, dass wir mit unserer datenschutzrechtlichen Beurteilung nicht völlig falsch liegen“, betonte Klingbeil. So habe der von seinen Mitarbeitern besuchte Kindergarten die vorgesehenen Fragebögen für nicht notwendig gehalten. Erzieherinnen führten regelmäßig Elterngespräche und dokumentierten den Entwicklungsstand des Kindes und etwaige Besonderheiten. Damit seien die wesentlichen Informationen bekannt. Fragen, die aus Sicht der Erzieherinnen für die Beurteilung der Schulreife nicht relevant seien, würden daher auch nicht beantwortet.

Zwar habe das Gesundheitsamt die Befragung mittels Fragebögen für wichtig erachtet, um ein möglichst differenziertes Bild des einzelnen Kindes zu erhalten und die geeigneten Fördermaßnahmen treffen zu können. „Das Gesundheitsamt verkennt jedoch, dass mit Hilfe der Einschulungsuntersuchung die Schulfähigkeit des Kindes beurteilt werden soll und daher auch nur die dafür geeigneten und erforderlichen Daten erhoben werden dürfen“, so Klingbeil weiter. „Nicht alle Daten, die zu irgendeinem Zeitpunkt zu einem bestimmten Zweck erforderlich sein könnten und deren Erhebung daher wünschenswert erscheint, dürfen erhoben werden.“ Vor allem sei es aus datenschutzrechtlichen Gründen nicht hinnehmbar, dass Informationen auf Vorrat oder für Zwecke gespeichert würden, die mit dem eigentlichen Ziel der Einschulungsuntersuchung nichts zu tun haben.

Wie der Landesdatenschutzbeauftragte weiter ausführte, werde diese Auffassung offenbar von anderen Gesundheitsämtern geteilt. Das Gesundheitsamt der Landeshauptstadt Stuttgart verzichte beispielsweise auf den Elternfragebogen und befrage stattdessen die Eltern bei der Untersuchung durch einen Kinderarzt. Mit diesem „Stuttgarter Weg“ könne sichergestellt werden, dass im Einzelfall auch nur die für die Beurteilung der Schulfähigkeit des Kindes erforderlichen und geeigneten Daten erhoben werden. Der „Stuttgarter Weg“ zeige aber auch, dass datenschutzfreundlichere Vorgehensweisen durchaus möglich seien, die das Ziel der Einschulungsuntersuchung mindestens in gleichem Maße wie das übliche Verfahren erreichen.

„Ich empfehle daher, das Verfahren der Einschulungsuntersuchung in diesem Sinne nochmals kritisch und selbstbeschränkend zu hinterfragen“, appellierte der Datenschutzbeauftragte sowohl an das Ministerium für Arbeit und Soziales als auch an die verantwortlichen Gesundheitsämter. Der „Stuttgarter Weg“ könne hier Vorbild sein, andere Wege seien denkbar. Eine Beurteilung, welche Auswirkungen die Erkenntnisse aus der Einschulungsuntersuchung bei der Einschulung durch die Grundschulen haben, sei noch nicht möglich gewesen, da die ausgewählte Schule in das Verfahren noch nicht eingebunden gewesen sei. Der Landesdatenschutzbeauftragte kündigte an, die Einschulungsuntersuchung auch weiterhin im Auge zu behalten.

(Für weitere Einzelheiten wird auf den 5. Teil, 1. Abschnitt, Nr. 1 des Berichts verwiesen.)

 

 

  1. Keine „schöne Elena“ – weiterhin datenschutzrechtliche Bedenken gegen den elektronischen Entgeltnachweis

Vom 1. Januar 2010 an sind Arbeitgeber bundesweit verpflichtet, die Entgeltdaten ihrer Beschäftigten monatlich an eine zentrale Speicherstelle bei der Deutschen Rentenversicherung zu übertragen, wo sie verschlüsselt gespeichert werden. Dies regelt das im April 2009 in Kraft getretene Bundesgesetz über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz). Ab Beginn des Regelbetriebs im Jahr 2012 ruft die zuständige Behörde die für die Bewilligung von Anträgen auf Arbeitslosengeld, Wohngeld und Bundeselterngeld erforderlichen Daten unter Einsatz von Signaturkarten der Leistungsbezieher bei der zentralen Speicherstelle ab; papiergebundene Arbeitgeberbescheinigungen sollen dadurch entfallen.

„Das Verfahren ist eines der größten datenschutzrechtlichen Ärgernisse der letzten Jahre“ sagte der Landesbeauftragte für den Datenschutz, Jörg Klingbeil, anlässlich der Vorstellung seines Tätigkeitsberichts am 14. Dezember 2009 in Stuttgart. Er erinnerte daran, dass die nun mitregierende FDP das Verfahren noch im Juni 2008 als „Datenmonster“ bezeichnet hatte. Das Gesetz führe zu einem riesigen zentralen Datenspeicher, obwohl die meisten Betroffenen (z. B. auch Beamte, Soldaten und Richter) die entsprechenden Sozialleistungen niemals oder erst zu einem sehr viel späteren Zeitpunkt geltend machen werden. Eine solche Datensammlung auf Vorrat ist nach Auffassung Klingbeils unverhältnismäßig und daher verfassungsrechtlich bedenklich, worauf die Datenschutzbeauftragten des Bundes und der Länder wiederholt hingewiesen haben. „Ob die Regelungen tatsächlich verhältnismäßig sind, muss sich in der Praxis und gegebenenfalls auf dem Prüfstand des Bundesverfassungsgerichts erst noch erweisen“, so das Fazit des Landesdatenschutzbeauftragten. Dies gelte umso mehr, als der zu übermittelnde Datensatz nicht nur Entgeltdaten, sondern weitere höchst sensible Daten, wie z. B. die Mitteilung, ob die Kündigung eines Arbeitsverhältnisses wegen vertragswidrigen Verhaltens des Arbeitnehmers erfolgte und worin dieses bestand, enthalten soll. Fraglich sei auch, wer schlussendlich die Kosten für die Zertifikate trage, die für die Erstellung der Signaturkarten der Arbeitnehmer benötigt werden.

(Für weitere Einzelheiten wird auf den 1. Teil, Nr. 3.4 des Berichts verwiesen.)

 

 

  1. Datenschutz-GAU im Kraichgau

„Eine leichtfertige Einstellung zum Datenschutz kann letztendlich zum Datenschutz-GAU führen“, dies machte der Landesbeauftragte für den Datenschutz, Jörg Klingbeil, anlässlich der Vorstellung seines Tätigkeitsberichts am 14. Dezember 2009 an einem Beispiel aus dem kommunalen Bereich deutlich. Eine Stadt im Kraichgau hatte sich im März 2007 ein EDV-System installieren lassen. Getestet werden sollte, ob die Sicherung der Daten mit dem System durchgeführt werden konnte. Die Tests selbst seien – wie der Landesbeauftragte im Nachhinein feststellte – jedoch mit Echtdaten von Bürgern und Mitarbeitern durchgeführt worden, obwohl hierfür nicht personalisierte Testdaten genauso gut geeignet gewesen waren. Nachdem die Tests negativ ausgingen, habe die Stadt den Rechner abgeschaltet und zurückgegeben, berichtete Klingbeil und kommentiert: „Auf die Idee, dass der gesamte Schriftverkehr der Stadt mit brisanten personenbezogenen Daten von Bürger und Mitarbeitern auf den Festplatten des Rechners gespeichert ist, die vor der Weitergabe hätten gelöscht werden müssen, kam bei der Stadt anscheinend niemand“. Stattdessen habe man sich auf eine fernmündliche Mitteilung des beauftragten Unternehmens verlassen, dass die Festplatten formatiert und der Rechner neu installiert werden. Bloße Mitteilungen, so der Landesdatenschutzbeauftragte, reichen aber nicht aus. Aus offensichtlich gutem Grund fordere das Landesdatenschutzgesetz, dass die Löschung personenbezogener Daten durch ein damit beauftragtes Unternehmen in einem schriftlichen Vertrag festzuhalten ist. Außerdem hätte die Stadt sich davon überzeugen müssen, dass die Daten auch auftragsgemäß gelöscht werden. Jetzt habe es sich gerächt, dass die Stadt keinen behördlichen Datenschutzbeauftragten hatte. So sei es gekommen, wie es unter diesen Bedingungen wohl kommen musste: Der Rechner sei mit den darauf gespeicherten Daten verkauft worden und im Frühjahr 2009 in die Hände einer auf EDV-Sicherheit spezialisierten Unternehmensberatung in Nordrhein-Westfalen geraten, die sofort den Landesbeauftragten alarmiert und so entscheidend dazu beigetragen habe, den Schaden zu begrenzen. Für das fehlende datenschutzrechtliche Problembewusstsein der Stadt sei nicht nur der sorglose Umgang mit dem Computer bezeichnend gewesen, sondern auch die zögerliche Reaktion auf seine kritischen Fragen, so Klingbeil: „Man wusste nichts, konnte sich nur ganz vage erinnern und deshalb auch nichts Genaues sagen.“ Erst als dem Bürgermeister die Brisanz durch Kopien seines privaten Schriftwechsels verdeutlicht worden sei, habe dieser den Ernst der Lage erkannt und sich bemüht, wenigstens so weit für Aufklärung zu sorgen, wie die Beweislage unbestreitbar war. Inzwischen habe die Stadt eine Reihe von Maßnahmen angekündigt, die das Datenschutzniveau anheben sollen. Ob aber beispielsweise die punktuelle datenschutzrechtliche Unterstützung durch externe Berater zielführend ist, müsse sich noch zeigen, gibt der Landesbeauftragte zu bedenken und ergänzt: „Entscheidend wird sein, dass sich was in den Köpfen tut“.

(Für weitere Einzelheiten wird auf den 7. Teil, Nr. 2 des Berichts verwiesen.)

 

zum Tätigkeitsbericht

nach oben