Tätigkeitsbericht 2005 – Kommunales und anderes

26. Tätigkeitsbericht 2005 – 4. Teil: Kommunales und anderes

1. Abschnitt: Kommunales

1. Kontrollbesuch beim Gutachterausschuss

2. Was hat der Fahrzeughalter mit der Kurtaxe zu tun?

3. Datenerhebung beim Schwimmbadbesuch

2. Abschnitt: Personalwesen

1. Streichkonzert mit ungefragter Stellensuche

2. Veröffentlichung von Personaldaten

3. Abschnitt: Schul- und Hochschulwesen

1. Evaluation an den Schulen

2. PISA und IGLU

3. Zum weiteren rechtlichen Schicksal der Schülerindividualdatei

4. Veröffentlichung von Schülerfotos auf der Internet-Seite einer Schule

5. Einführung allgemeiner Studiengebühren

6. Nochmals: Zur Filterung von E-Mails

4. Abschnitt: Finanzen und Steuern

1. Kontendatenabrufe nach dem Gesetz zur Förderung der Steuerehrlichkeit

2. Warum müssen Finanzämter in Baden-Württemberg bundesweit auf sämtliche Lohnsteuerbescheinigungen zugreifen können?
2.1 Das Verfahren ELSTER-Lohn
2.1.1 Datenübertragung von Arbeitgebern an die Clearingstellen
2.1.2 Verarbeitung innerhalb der Clearingstellen
2.1.3 Landesspeicher (eSpeicher)
2.2 Die datenschutzrechtlichen Mängel
2.2.1 Unklarheit über datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten in den Clearingstellen sowie den Landesspeichern
2.2.2 Fehlende Authentifizierung der Absender elektronischer Lohnsteuerbescheinigungen
2.2.3 Keine technische Beschränkung der Zugriffsmöglichkeiten

5. Abschnitt: Sonstiges

1. Die wissbegierige Fahrerlaubnisbehörde

2. Verarbeitung von Gewinnspieldaten ohne wirksame Einwilligung

3. Das Projekt MigVIS des Innenministeriums

4. Begehungsrecht und Geheimhaltungspflicht des Schornsteinfegers

5. Schornsteinfeger als Datenquelle?


1. Abschnitt: Kommunales

1. Kontrollbesuch beim Gutachterausschuss

Bei Gütern des täglichen Lebens haben wir eine relativ genaue Vorstellung davon, welcher Preis für welches Produkt angemessen ist. Was aber ist ein Grundstück wert, was darf es kosten? Da der einzelne Bürger derartige Käufe nur selten in seinem Leben tätigt, die Preise oft schon innerhalb eines Gemeindegebiets stark differieren und sich unter Umständen auch schnell wieder ändern, fällt eine Einschätzung hier schwerer.

Eine wertvolle Hilfestellung bei der Bestimmung des Werts bieten die Gutachterausschüsse, die bei den Gemeinden eingerichtet sind. Zu deren Aufgaben gehört es, eine Kaufpreissammlung zu führen. Aus dieser geht hervor, welches Grundstück wann zu welchem Preis im Gemeindegebiet verkauft wurde. Aufgrund der Kaufpreissammlung ermittelt der Gutachterausschuss anschließend durchschnittliche Werte für die unterschiedlichen Lagen eines Gemeindegebiets, die sog. Bodenrichtwerte. Diese sollen, insbesondere auf dem privaten Sektor, für Transparenz auf dem Grundstücksmarkt sorgen. Deshalb kann auch jedermann von der Geschäftsstelle des Gutachterausschusses Auskunft über die Bodenrichtwerte verlangen. Auskünfte aus der Kaufpreissammlung erteilt der Gutachterausschuss bei Vorliegen bestimmter Voraussetzungen.

Um den Gutachterausschüssen das Führen der Kaufpreissammlung zu ermöglichen, sieht das Baugesetzbuch vor, dass jeder Vertrag über den Kauf eines Grundstücks von der beurkundenden Stelle in Abschrift an den Gutachterausschuss zu übersenden ist. Diese Verpflichtung verschafft einen ersten Eindruck davon, was ein Gutachterausschuss an personenbezogenen Daten verarbeitet. Eine weitere Aufgabe des Gutachterausschusses ist es – z. B. auf Antrag des Eigentümers -, Gutachten über den Verkehrswert eines Grundstücks zu erstellen.

Die Geschäftsstelle eines solchen Gutachterausschusses war dieses Jahr Ziel eines unserer Kontrollbesuche.

  • Der PosteingangVor Ort fiel uns zunächst auf, dass Kaufverträge den Eingangsstempel der zentralen Poststelle der Gemeinde trugen. Dies ist deswegen problematisch, weil der Gutachterausschuss eine unabhängige Institution ist, die außerhalb der Hierarchie der Gemeindeverwaltung steht. Hieraus folgt, dass erkennbar an den Gutachterausschuss gerichtete Schreiben von der zentralen Poststelle der Gemeindeverwaltung ungeöffnet der Geschäftstelle des Gutachterausschusses vorzulegen sind. Die Gemeinde will hierfür künftig Sorge tragen, indem sie die Mitarbeiter ihrer Poststelle entsprechend schriftlich anweist.
  • Pflichten der GutachterDer Vorsitzende des Gutachterausschusses und die weiteren ehrenamtlichen Gutachter werden von den Gemeinden auf vier Jahre bestellt. Personenbezogene Daten, von denen sie aufgrund ihrer Tätigkeit Kenntnis erlangen, haben sie auch nach Ende ihrer Tätigkeit geheim zu halten. Auf diese Geheimhaltungspflicht sind die Gutachter ausdrücklich hinzuweisen. Bei unserem Besuch stellte sich heraus, dass ein solcher Hinweis bisher noch nicht erfolgt war.Außerdem erfuhren wir, dass der Vorsitzende des Ausschusses seine Gutachten zu Hause fertigt. Hiergegen ist zunächst einmal nichts einzuwenden. Zu beachten ist aber, dass gerade im häuslichen Umfeld personenbezogene Angaben einer erhöhten Gefahr zufälliger Kenntnisnahme durch Familienmitglieder oder Besucher ausgesetzt sind. Das Recht eines Bürgers auf ordnungsgemäße Verarbeitung seiner personenbezogenen Daten muss aber auch gewährleistet sein, wenn die Datenverarbeitung in den eigenen vier Wänden des Gutachters stattfindet.Aus diesem Grund baten wir, den Vorsitzenden darauf hinzuweisen, dass er geeignete Maßnahmen zu treffen habe, die eine Kenntnisnahme und Nutzung der Daten durch private Mitbewohner oder Besucher ausschließen. Beim Transport personenbezogener Unterlagen zwischen Behörde und häuslichem Arbeitsbereich sind verschlossene Behältnisse zur Aufbewahrung zu verwenden. Schlussendlich ist – soweit zu Hause mit dem PC gearbeitet wird – sicherzustellen, dass nur dem Gutachter ein Zugriff auf die gespeicherten Daten möglich ist.
  • Aufbewahrung der GutachtenDie Gutachten neueren Datums wurden in einem Schrank in den Räumen der Geschäftsstelle aufbewahrt. Ältere Gutachten hingegen gelangten nach den Ausführungen der Geschäftsstellenmitarbeiterin in die Registratur des Rathauses. Dort waren sie jedem Mitarbeiter der Stadtverwaltung zugänglich. Was aber aufgrund der Eigenständigkeit des Gutachterausschusses für den Posteingang gilt, hat selbstverständlich auch für die Aufbewahrung der Unterlagen Gültigkeit. Deshalb haben wir empfohlen, die in der Registratur eingestellten Wertgutachten keinesfalls so aufzubewahren, dass sie jedem Mitarbeiter der Stadtverwaltung zugänglich sind. Zudem ist auszuschließen, dass der für die Erstellung der Wertgutachten zuständige Gutachter zusätzlich eine Abschrift zu Hause aufbewahrt.
  • Auskünfte aus der KaufpreissammlungBei unserem Besuch bekamen wir mit, dass die Geschäftsstelle Auskünfte aus der Kaufpreissammlung auch telefonisch erteilt. Dies ist deswegen problematisch, weil die Geschäftsstelle vor Auskunftserteilung zu überprüfen hat, ob der Empfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft macht, überwiegende schutzwürdige Interessen des Betroffenen nicht entgegenstehen und eine sachgerechte Verwendung der Daten gewährleistet scheint. Insoweit sieht bereits die Gutachterausschussverordnung vor, dass Auskünfte nur auf schriftlichen Antrag zu erteilen sind. Die Geschäftsstelle will dies künftig beachten.
  • Personenbezug in StatistikenDie Stadt setzte seit wenigen Monaten ein Programm zur Verwaltung der Kaufpreissammlung ein. Dieses Programm wurde nach den Vorgaben des Geschäftsführers eines Gutachterausschusses von der Datenzentrale Baden-Württemberg programmiert. Obwohl vermutlich nicht dem Datenschutz das Hauptaugenmerk bei der Entwicklung gegolten hat, kann sich das Ergebnis insgesamt durchaus sehen lassen. Nur bei den statistischen Auswertungen ist den Entwicklern ein datenschutzrechtlicher Fehler unterlaufen:Das Programm erlaubt zwei verschiedene statistische Auswertungsmöglichkeiten. Zum einen gibt es Statistiken für interne Zwecke. Zum anderen ist die Stadt, wie alle Kommunen, gehalten, dem Statistischen Landesamt eine Aufstellung der Übereignungen von Immobilien mitzuteilen. Wir konnten nur die Erzeugung und das Ergebnis einer internen Statistik prüfen, da das Programmmodul für die externe Statistik nicht installiert war. Die Entwickler und deren fachliche Berater machten bei der internen Statistik den Fehler, dass von dem Programm eine Auflistung der übereigneten Immobilien an Hand der Straße und Hausnummer generiert wurde. In eben dieser Statistik wurde auch der Kaufpreis genannt. Es wäre für einen Ortskundigen ein Leichtes gewesen, beispielsweise bei Einfamilienhäusern, deren Eigentümer zum überwiegenden Teil ihre Immobilie bewohnen, eine Zuordnung von der Straße und der Hausnummer auf den Namen der Bewohner herzustellen. Daraus hätte wiederum geschlossen werden können, wer welche Immobilie zu welchem Preis erworben hat.Wenn man nun weiß, dass diese interne Statistik nicht nur den Mitarbeitern der Geschäftsstelle des Gutachterausschusses und dessen Mitgliedern, sondern auch Mitarbeitern der Gemeindeverwaltung und Ratsmitgliedern des Stadtrats zugänglich ist, erkennt man schnell, dass diese Gestaltung der auf einzelne Personen zurückführbaren Statistik zu weit geht. Auf Anfrage wurde uns mitgeteilt, dass die Angabe der Hausnummer eigentlich nicht erforderlich ist. Daher haben wir angeregt, auf die Entwickler einzuwirken, sie mögen in einer nächsten Programmversion die Dinge so weit bereinigen, dass im Statistik-Programmteil steuerbar ist, ob die Hausnummer in Statistiken genannt wird oder nicht. Da an die externe Statistik noch höhere datenschutzrechtliche Anforderungen zu stellen sind, haben wir um Übermittlung einer derartigen Statistik gebeten, sobald das entsprechende Modul eingesetzt wird.

2. Was hat der Fahrzeughalter mit der Kurtaxe zu tun?

Ein Bürger eines anderen Bundeslandes wunderte sich, als er im Mai Post von einer kleinen Fremdenverkehrsgemeinde im Schwarzwald erhielt. Diese teilte ihm mit, er habe im Februar seinen Urlaub in der Gemeinde verbracht. Begründet wurde die schriftliche Kontaktaufnahme damit, ein bestimmter örtlicher Beherbergungsbetrieb habe bisher leider noch keine Angaben über die Aufenthaltsdauer des Adressaten sowie über dessen Mitreisende gemacht. Diese Angaben benötige die Gemeinde, um eine “ordnungsgemäße Anmeldung und Abrechnung” durchführen zu können. Mit dieser verklausulierten Formulierung wollte der Bürgermeister zum Ausdruck bringen, dass der Zimmervermieter seine Meldepflicht nach der Kurtaxesatzung nicht erfüllt und diese Kommunalabgabe nicht an die Gemeinde abgeführt habe.

Der empörte Bürger wandte sich an uns, weil er sich durch die Gemeinde in seinem Persönlichkeitsrecht verletzt fühlte. Die zur Stellungnahme aufgeforderte Gemeinde begründete ihr Vorgehen wie folgt:

Nach den Schätzungen der Schwarzwald Tourismus GmbH würden 10 bis 20 % der kurtaxepflichtigen Übernachtungen von den Zimmervermietern den Gemeinden nicht gemeldet. Davon ausgehend entstehe der Gemeinde ein jährlicher Einnahmeausfall von 30.000 bis 60.000 Euro. Die Gemeinden seien gesetzlich verpflichtet, Abgaben nach Maßgabe der Gesetze gleichmäßig festzusetzen und zu erheben. Deshalb sei die Gemeinde hinsichtlich einiger Beherbergungsbetriebe folgendermaßen vorgegangen: Die Kennzeichen auswärtiger Fahrzeuge, die vor den Betrieben abgestellt waren, wurden notiert. Meldete der Zimmervermieter der Gemeinde keinen Gast aus dem Zuständigkeitsbereich der Zulassungsstelle, veranlasste die Gemeinde über den Polizeivollzugsdienst eine Halterabfrage. Die betroffenen Fahrzeughalter wurden von der Gemeinde – manchmal auch mehrmals – angeschrieben.

Wir haben die Vorgehensweise der Gemeinde datenschutzrechtlich so beurteilt:

Es trifft zwar zu, dass die Gemeinden Abgaben gleichmäßig festzusetzen und zu erheben haben. Richtig ist auch, dass die Beteiligten und andere Personen der Gemeinde ggf. die erforderlichen Auskünfte erteilen müssen. Das Auskunftsverlangen der Gemeinde muss aber nicht nur erforderlich, sondern auch verhältnismäßig, erfüllbar und zumutbar sein. Im vorliegenden Fall stand jedoch, ehe die Gemeinde an den Petenten schrieb, weder fest, dass der Petent Fahrer des von der Gemeinde notierten Fahrzeugs war und sich zum fraglichen Zeitpunkt dort aufgehalten hatte, noch dass er kurtaxepflichtig war, geschweige denn, dass er sich dieser Pflicht entziehen wollte. Es ist nämlich allgemein bekannt, dass Halter und Fahrer eines Kraftfahrzeugs – nicht nur bei Firmen- und Mietwagen – häufig nicht identisch sind. Im vorliegenden Fall kam hinzu, dass der Bürgermeister den Petenten noch Mitte Juni mit seinen Fragen drangsalierte, obwohl dem Zimmervermieter bereits Anfang März ein entsprechender Kurtaxebescheid der Gemeinde zugegangen war.

Wir haben deshalb gegenüber der Gemeinde erhebliche Zweifel daran geäußert, ob das von ihr praktizierte Verfahren verhältnismäßig, geeignet und damit rechtlich zulässig ist. Eine Halterabfrage kann unseres Erachtens in solchen Fällen allenfalls ausnahmsweise und nur dann in Betracht kommen, wenn Maßnahmen gegenüber dem Beherbergungsbetrieb, der der Gemeinde gegenüber meldepflichtig ist und für den Einzug der Kurtaxe haftet, nicht zum Erfolg führen und die Gemeinde, z. B. durch Hinweise von Dritten, konkrete Anhaltspunkte dafür hat, dass ein Kurgast zugleich Halter und Fahrer des Fahrzeugs ist. Wir haben die Gemeinde gebeten, unsere Rechtsauffassung künftig zu beachten.

Die – oben verkürzt wiedergegebenen – Ausführungen der Gemeinde veranlassten uns ferner, diese auf Folgendes hinzuweisen:

Rechtlich ist zu unterscheiden zwischen dem besonderen Meldeschein für Beherbergungsstätten (Hotelmeldeschein) und dem Kurtaxemeldeschein. Der Hotelmeldeschein ist melderechtlich vorgeschrieben, von den beherbergten Personen am Tag der Ankunft handschriftlich auszufüllen und zu unterschreiben. Er verbleibt bei der Beherbergungsstätte und darf ausschließlich vom Polizeivollzugsdienst und von anderen Sicherheitsbehörden eingesehen werden. Eine Auswertung oder sonstige Nutzung durch die Meldebehörde bzw. durch die Gemeinde ist rechtlich unzulässig.

Dagegen findet sich die Rechtsgrundlage für die Kurtaxemeldepflicht in der auf dem Kommunalabgabengesetz beruhenden örtlichen Kurtaxesatzung. Demnach hat der Beherberger den Kurtaxemeldeschein innerhalb von 24 Stunden nach Ankunft bzw. Abreise der Gemeinde zuzuleiten; für die Meldungen sind die von der Gemeinde ausgegebenen Vordrucke zu verwenden.

Wird ein Durchschreibesatz verwendet, dürfen auf dem Hotelmeldeschein und auf dem Kurtaxemeldeschein nur diejenigen Daten erhoben werden, die zur jeweiligen Aufgabenerfüllung benötigt werden.

3. Datenerhebung beim Schwimmbadbesuch

Nicht nur in Reisepässen sollen biometrische Merkmale die Sicherheit erhöhen, sondern selbst Schwimmbadbesuche, von denen wir bisher annahmen, dass sie sicher genug sind, sollen auf diese Weise noch sicherer gemacht werden. So lässt das Einlasskontrollsystem eines kommunalen Schwimmbads Dauerkarteninhaber nur ein, wenn sie beim Erwerb einer Chipkarte einen Fingerabdruck hinterlassen, der dann auf einem zentralen Server gespeichert wird. Auf der Chipkarte ist eine Kennung gespeichert, unter der der jeweilige Fingerabdruck auf dem Server abgerufen werden kann. Bei jedem Eintritt muss ein Dauerkarteninhaber die Chipkarte in ein Lesegerät einstecken und einen Finger auf ein Abtastgerät legen, das erneut einen elektronischen Abdruck seines Fingers erzeugt. Dann wird vom Rechner geprüft, ob die beiden Abdrücke ähnlich sind. Bestätigt sich dies, darf der Badegast eintreten. Mit dieser Verfahrensweise soll die missbräuchliche Verwendung der nicht übertragbaren Jahreskarten verhindert werden. Auf diesen Sachverhalt wurden wir durch die Eingaben mehrerer Betroffener aufmerksam, die sich durch die Vorgehensweise einer Großen Kreisstadt in ihren Persönlichkeitsrechten verletzt fühlten.

Bei biometrischen Daten wie Fingerabdrücken handelt es sich um sensitive personenbezogene Daten. Es wird deshalb auch die Rechtsauffassung vertreten, die Verarbeitung solcher Daten bedürfe in jedem Fall einer speziellen Rechtsgrundlage (z. B. im Strafprozess-, Ausländer- oder Passrecht). Selbst wenn man nicht ganz so strenge Maßstäbe anlegt, muss man verlangen, dass ein Erlaubnistatbestand des allgemeinen Datenschutzrechts erfüllt ist. Jedenfalls halten wir die Verarbeitung von biometrischen Daten nur dann für zulässig, wenn diese zur Aufgabenerfüllung erforderlich ist. Das ist bei der von der Stadt praktizierten Vorgehensweise nicht der Fall.

Die Prüfung der Verhältnismäßigkeit kam den kommunalen Betreibern gar nicht in den Sinn. Diese Frage hätte spätestens bei der nach § 12 LDSG erforderlichen Vorabkontrolle, die bei Ausgabe eines Datenträgers wie einer Chipkarte durchgeführt werden muss, geprüft werden müssen. Die Vorabkontrolle hat der Betreiber aber unterlassen. In seiner Stellungnahme hat er versucht, dies damit zu entschuldigen, dass der Lieferant, der seinen Sitz in einem der Europäischen Union assoziierten Land hat, ihn nicht auf die Erforderlichkeit einer Vorabkontrolle hingewiesen habe.

Auf Grund der Sensitivität der verarbeiteten Daten ist der Verlust an Vertraulichkeit, d. h. die nicht auszuschließende Offenbarung gegenüber Unberechtigten, unter keinen Umständen hinnehmbar. Die technischen Systeme, die bei der Anwendung eingesetzt werden, müssen daher hohen Anforderungen gerecht werden. Ebenso muss die Konfiguration des Systems professionell durchgeführt werden. Letztendlich geht es darum, den in § 9 LDSG formulierten Anforderungen an den technischen Datenschutz gerecht zu werden. Ob man sich im vorliegenden Fall über die Sicherheit des Systems überhaupt Gedanken gemacht hat, ist fraglich. Entsprechende Datenschutz- und Sicherheitskonzepte, die das Resultat derartiger Überlegungen gewesen wären, wurden uns jedenfalls nicht übermittelt.

In der Stellungnahme der Stadt wurde auch der Eindruck erweckt, dass die verformelte Darstellung von Einzelmerkmalen (sog. Minutien) eines Fingerabdrucks nicht personenbezogen sei. Im Wesentlichen würden nur zwei nicht auf eine Person rückführbare verformelte Abdrücke verglichen. Wie viele Einzelmerkmale bzw. was genau gespeichert wird, war der Stellungnahme nicht zu entnehmen. Hierzu ist zu sagen, dass dann unzweifelhaft von einem Personenbezug auszugehen ist, wenn acht Einzelmerkmale und das Grundmuster oder ersatzweise zwölf Einzelmerkmale ohne Grundmuster gespeichert werden.

Ebenso scheint man Implementierungsalternativen nicht verfolgt zu haben. Denn selbst wenn Daten in dem oben genannten Umfang im System zu speichern sind, hätte dies auch auf der Chipkarte selbst geschehen können und man hätte den gravierenden Nachteil der zentralen Speicherung auf einem Server umgangen. Außerdem wäre bei der dezentralen Speicherung der Benutzer immer Herr seiner Daten geblieben – ein Qualitätsmerkmal, das datenschutzrechtlich nicht hoch genug eingeschätzt werden kann. Kartensysteme mit entsprechender Speicherkapazität von ca. 1 000 Zeichen sollten für einen verformelten Fingerabdruck ausreichen. Sie sind vermutlich auch nicht wesentlich teurer als die gewählte Lösung.

Da damit zu rechnen ist, dass Systeme, zu deren Funktionieren die Speicherung biometrischer Merkmale erforderlich ist, zunehmend eingesetzt werden, weisen wir darauf hin, dass es insbesondere bei zentraler Speicherung von biometrischen Merkmalen erforderlich ist, die Verhältnismäßigkeit der Maßnahme sorgfältig zu prüfen. Denn fraglich ist, ob mit dem hierdurch erhofften Sicherheitsgewinn überhaupt derartig weitgehende Eingriffe in das Recht auf informationelle Selbstbestimmung zu rechtfertigen sind. Würden wir bei der Sicherung unserer Häuser und Wohnungen den gleichen Aufwand betreiben, müssten wir Türen und Fenster durch Stahlplatten und Panzerglas ersetzen.

2. Abschnitt: Personalwesen

1. Streichkonzert mit ungefragter Stellensuche

Bevor sie ihre Jugendmusikschule schloss, fragte eine Gemeinde alle anderen Gemeinden, öffentlichen Jugendmusikschulen, Landkreise und Ministerien in Baden-Württemberg, ob diese eine ihrer zu kündigenden Lehrkräfte beschäftigen könnten. Dazu übersandte die Gemeinde sämtlichen Adressaten u. a. eine Tabelle mit Angaben zu Lehrkräften und zum Leiter der Jugendmusikschule. Die Tabelle enthielt zwar nicht die Namen der 32 Beschäftigten, doch Angaben insbesondere zu Fächern, Geschlecht, Geburtsjahr, Kindern bzw. Ortszuschlag, Familienstand (verheiratet oder nicht verheiratet), Studienabschlüssen, Studienorten, Beschäftigungsumfang und Beginn der Beschäftigungszeit.

Diese Daten waren auch ohne Namen zumindest hinsichtlich derjenigen Beschäftigten personenbezogen, deren Fächer in der Tabelle lediglich einmal (jeweils bei einer Lehrerin oder bei einem Lehrer) genannt waren, etwa Kontrabass, Harfe, Musikgarten und Gesang. Entsprechendes gilt für nur einmal aufgeführte Fächerkombinationen. Personenbezogen waren auch die Angaben zum Leiter der Jugendmusikschule. Wenn jemand wusste oder herausfand, wer beispielsweise die Jugendmusikschule leitete oder wer dort Kontrabass unterrichtete, so konnte er in der Tabelle u. a. ohne weiteres nachlesen, ob diese Person verheiratet war und ob sie Kinder hatte.

Die Gemeinde durfte wegen dieses – von ihr bestrittenen – Personenbezugs die Daten ihrer Beschäftigten nur übermitteln, wenn eine Rechtsvorschrift dies erlaubte oder soweit die Beschäftigten eingewilligt hatten.

Etwa die Hälfte der Beschäftigten, deren Daten in der Tabelle aufgeführt waren, war nach dem Bundes-Angestelltentarifvertrag ordentlich unkündbar. Hinsichtlich dieser Beschäftigten musste die Gemeinde, worauf sie zu Recht hinwies, vor Ausspruch betriebsbedingter Kündigungen – vereinfacht gesagt – auch prüfen, ob eine Beschäftigung bei anderen Arbeitgebern möglich war. Soweit die Gemeinde personenbezogene Daten übermittelte, weil das aufgrund dieser arbeitsrechtlichen Vorgabe notwendig war, war das datenschutzrechtlich zulässig. Davon, dass die Gemeinde alle Angaben in der Tabelle (etwa die Angabe, ob eine Lehrkraft verheiratet ist) allen Adressaten mitteilen musste, um diese Vorgabe zu erfüllen, kann jedoch keine Rede sein. Hierbei begegnete nicht das Übermitteln personenbezogener Daten als solches datenschutzrechtlichen Bedenken, sondern der Umfang und der Adressatenkreis der übermittelten personenbezogenen Daten.

Bei den ordentlich kündbaren Beschäftigten galt diese arbeitsrechtliche Vorgabe nicht. Auch die Fürsorgepflicht der Gemeinde sowie das von ihr angenommene Interesse der Beschäftigten an der Stellensuche waren datenschutzrechtlich unerheblich: Es fehlte an einer Rechtsvorschrift, welche diese Stellensuche erlaubte. Deswegen hatten die ordentlich kündbaren Beschäftigten insoweit das Recht, selbst zu bestimmen, ob und ggf. welche Informationen über sie die Gemeinde weitergab – eben das Recht auf informationelle Selbstbestimmung. Da es eine Arbeitsplatzsuche um jeden Preis – so wichtig dies auch für die Allgemeinheit sein mag – ohne Zustimmung des Betroffenen nicht geben kann, war die ungefragte Fürsorge unzulässig.

Wir haben die Gemeinde gebeten, diese Rechtslage bei etwaigen künftigen vergleichbaren Fällen zu beachten.

2. Veröffentlichung von Personaldaten

Wegen aktueller Anfragen behandeln wir ergänzend zu den Ausführungen in unserem 23. Tätigkeitsbericht (LT-Drucksache 13/1500) hier insbesondere das Veröffentlichen personenbezogener Daten von Beschäftigten mit regelmäßigen Außenkontakten. Dies ist ohne Einwilligung nur zulässig, soweit es zur Abwicklung des Dienstbetriebs oder Geschäftsverkehrs erforderlich ist, wobei die Interessen des Dienstherrn oder Arbeitgebers mit denjenigen des Beschäftigten abzuwägen sind – wie stets vor dem Veröffentlichen von Personaldaten.

Zunächst stellt sich die Frage, welche Angaben in welcher Form überhaupt veröffentlicht werden müssen, damit Externe unmittelbar den Zuständigen erreichen können. Bei der zunehmend verbreiteten Veröffentlichung im Internet ist eben auch daran zu denken, dass die Daten weltweit abrufbar sowie vielfältig auswertbar und miteinander verknüpfbar sind. Deshalb sollte stets sorgfältig geprüft werden, ob nicht auf die Angabe des Namens des Beschäftigten verzichtet werden kann, weil die Angabe der dienstlichen Funktion und der dienstlichen Erreichbarkeit genügt. Eine funktionsbezogene E-Mail-Adresse kommt z. B. ohne den Namen des Beschäftigten aus.

Veröffentlicht eine Behörde lediglich funktionsbezogene Angaben, verringert sie damit zugleich die Gefahr, bei Abwesenheit eines Beschäftigten über das Ziel hinauszuschießen, etwa indem sie, wie in dem von uns beanstandeten Fall, auf ihrer Internet-Seite nicht nur die Funktion und den Namen eines Beschäftigten mitteilt, sondern – offenbar als besonderes Entgegenkommen gedacht – auch die Dauer und den Grund seiner Abwesenheit. Zudem führen persönliche E-Mail-Adressen häufig dazu, dass E-Mails im persönlichen elektronischen Postfach eines abwesenden Bearbeiters unbearbeitet bleiben (zum Umgang mit solchen E-Mails vgl. unseren 22. Tätigkeitsbericht, LT-Drucksache 13/520).

Bevor der Dienstherr oder Arbeitgeber Namen von Beschäftigten im Internet nennt, muss er zudem prüfen, ob dann Daten über den Beschäftigten dadurch aufzuspüren wären, dass dessen Name als Suchbegriff in eine Suchmaschine eingegeben wird (zu technischen Fragen dazu vgl. in diesem Tätigkeitsbericht 5. Teil, Nr. 8.1). Ein solcher Zugriff auf personenbezogene Daten mag zwar für Dritte interessant sein, etwa um zu erfahren, wo der Nachbar arbeitet, ist jedoch nicht von dem Zweck gedeckt, Externen den unmittelbaren Kontakt mit dem für ihr Anliegen Zuständigen zu erleichtern. Daher darf in diesem Fall bei einer solchen Suchmöglichkeit der Name des Beschäftigten nur nach dessen wirksamer Einwilligung ins Internet.

3. Abschnitt: Schul- und Hochschulwesen

1. Evaluation an Schulen

Mit “§ 114 Evaluation” überschrieben war der Entwurf eines neuen Paragrafen im Schulgesetz, den das Kultusministerium uns einschließlich Gesetzesbegründung mit der Bitte um Stellungnahme übersandt hatte. Da der Entwurf grundlegende Fragen zur Verarbeitung personenbezogener Daten offen ließ, konnten wir uns lediglich in allgemeiner Form damit befassen. Der Entwurf ließ beispielsweise nicht erkennen,

  • welche Eingriffe in das Recht auf informationelle Selbstbestimmung etwa der Lehrer aufgrund der vorgesehenen Regelung im Einzelnen zulässig sein sollten, z. B.
    • ob die Aussage in der Begründung, die Schulen würden über die Methoden und die Untersuchungstiefe der Selbstevaluation entscheiden, so zu verstehen war, dass die Schulen durch solche Entscheidungen in das Recht auf informationelle Selbstbestimmung eingreifen können (z. B. indem die Schule bestimmt, welche Angaben zu Lehrern und deren Unterricht erfragt werden) und
    • ob das Landesinstitut für Schulentwicklung, das nach der Begründung bei der Fremdevaluation die Qualitätsdokumentation der Schule auswertet und zusätzlich weitere Erhebungen an der Schule durchführt, dabei jeweils personenbezogene Daten verarbeiten darf,
  • was die im Entwurf verwandten Begriffe “Selbstevaluation” und “Fremdevaluation” bedeuten sollten und
  • was unter “Zwecken der Schulverwaltung” zu verstehen sein sollte; dies war deswegen bedeutsam, weil das Kultusministerium Schüler und Lehrer verpflichten können sollte, an Lernstandserhebungen von internationalen, nationalen oder landesweiten Vergleichsuntersuchungen teilzunehmen, die schulbezogene Tatbestände beinhalten und Zwecken der Schulverwaltung oder der Bildungsplanung dienen (zu Lernstandserhebungen vgl. auch den folgenden Beitrag im 4. Teil, 3. Abschnitt, Nr. 2).

Zwischenzeitlich hat das Kultusministerium einen in einigen Punkten geänderten Gesetzentwurf übersandt. Den Vorschlag zu einem abklärenden Gespräch haben wir aufgegriffen.

Aus aktuellem Anlass hatten wir das Kultusministerium auch darauf hingewiesen, dass es geboten sein kann, über den Erlass von Vorschriften hinaus Maßnahmen zu treffen, um rechtswidrige Eingriffe in das Recht auf informationelle Selbstbestimmung zu vermeiden. Hintergrund dafür war u. a. Folgendes: Ein nicht unbeachtlicher Teil der Meldungen über den Einsatz und die wesentliche Änderung automatisierter Verfahren, die Schulen uns zusandten, hatte weiterhin nicht den gesetzlich vorgeschriebenen Inhalt, obwohl die Anforderungen an solche Meldungen Gegenstand unseres vorangegangenen Tätigkeitsberichts gewesen waren (LT-Drucksache 13/3800). Das Kultusministerium hat hierauf reagiert und nicht nur die Schulen wiederholt schriftlich auf die Anforderungen hingewiesen, sondern dazu auch eine entsprechende neue Verwaltungsvorschrift erlassen. Das Kultusministerium ist dankenswerterweise auch darüber hinaus darum bemüht, den Schulen praktische Hilfestellung zu leisten, und bereitet gegenwärtig Musterhinweise für die Erarbeitung datenschutzrechtlicher Verfahrensverzeichnisse an Schulen vor.

2. PISA und IGLU

Mein Amt befasste sich in diesem Jahr zum wiederholten Mal mit datenschutzrechtlichen Aspekten der Befragungsreihe, die unter dem Kürzel PISA (Programme for International Student Assessment) Gegenstand breiter öffentlicher Erörterung war. Denn, so die Mitteilung des für die “Projektkoordination PISA 2006″ zuständigen Universitätsinstituts, im Mai 2006 steht die dritte Datenerhebung der geplanten PISA-Zyklen an. Zeitgleich soll mit IGLU (Internationale Grundschul-Lese-Untersuchung) auch eine weitere Untersuchung, welche die Bildungspolitik mit Informationen zur Qualität des Schulsystems versorgen soll, mit einem zweiten Zyklus fortgesetzt werden (vgl. die Beiträge im 20. Tätigkeitsbericht 1999, LT-Drucksache 12/4600 und im 21. Tätigkeitsbericht 2000, LT-Drucksache 12/5740). Diesmal ging es um Folgendes:

Das Kultusministerium teilte uns mit, dass im Zusammenhang mit der von der Kultusministerkonferenz beschlossenen “IGLU-Grundschuluntersuchung 2006″ Baden-Württemberg als eines der fünf Bundesländer ausgewählt worden sei, die am Feldtest zur Überprüfung der Untersuchungsinstrumente beteiligt seien. Hinsichtlich dieser sog. IGLU-Voruntersuchung übersandte uns das Kultusministerium verschiedene Unterlagen (u. a. eine sog. Prozedurenbeschreibung, den Entwurf eines Elternanschreibens sowie Entwürfe von Fragebögen für Schulleiterinnen und Schulleiter, Deutschlehrkräfte, Schülerinnen und Schüler sowie für deren Eltern) und bat uns um kurzfristige datenschutzrechtliche Prüfung unter Einbeziehung anderer Landesbeauftragter für den Datenschutz.

Leider gaben die vom Kultusministerium übersandten Unterlagen Anlass, auf verschiedene datenschutzrechtliche Unzulänglichkeiten und Unklarheiten hinzuweisen. So enthielt, um nur ein Beispiel zu nennen, der Entwurf eines Elternanschreibens die vieldeutigen Aussagen, dass sich Deutschland “auf Beschluss der Kultusminister der Länder dem IGLU-Projekt angeschlossen” habe und in Deutschland “eine größere Anzahl von Wissenschaftlern aus verschiedenen Fachdisziplinen von mehreren Universitäten und Forschungseinrichtungen befasst” sei, “die wissenschaftliche Koordination” am Institut für International und Interkulturell Vergleichende Erziehungswissenschaft einer (namentlich genannten, nicht in Baden-Württemberg gelegenen) deutschen Universität stattfinde und “mit der praktischen Organisation der Untersuchung” eine auf die technische Durchführung derartiger Studien spezialisierte Einrichtung in Hamburg (das IEA Data Processing Center, kurz DPC) beauftragt sei. Damit blieb unklar, welche Stelle oder welche Personen für die vorgesehene Verarbeitung personenbezogener Daten verantwortlich sein sollen. Die Klärung dieser Frage ist aber grundlegende Voraussetzung für eine sachgerechte datenschutzrechtliche Beurteilung. Denn solange keine Klarheit besteht, wer in welchem Bundesland als verantwortlich zu betrachten ist, bleibt zwangsläufig bereits die Frage offen, wer aus dem Kreis der Datenschutzbeauftragten des Bundes und der Länder für die datenschutzrechtliche Beurteilung überhaupt zuständig ist; aber auch für eine inhaltliche Bewertung des Projekts ist es wichtig zu wissen, bei wem die datenschutzrechtliche Verantwortung liegt.

Darüber hinaus ist es natürlich erforderlich, die Personen, deren personenbezogene Daten verarbeitet werden sollen, klar und unmissverständlich darüber zu informieren, wer für diese Datenverarbeitung verantwortlich ist. Erst durch eine solche Information werden die Betroffenen in Baden-Württemberg, deren Teilnahme an der IGLU-Voruntersuchung durchweg freiwillig war, beispielsweise in die Lage versetzt, darüber zu befinden, ob sie dem für die Datenverarbeitung Verantwortlichen vertrauen und deshalb an der Studie teilnehmen wollen. Daneben ist die Frage nach der datenschutzrechtlichen Verantwortung auch dafür entscheidend, mit wem sich die Betroffenen – eventuell auch rechtlich – auseinander zu setzen haben, wenn sich hinsichtlich der Verarbeitung personenbezogener Daten Unstimmigkeiten oder Probleme ergeben sollten. Ich habe das Kultusministerium u. a. auf das Erfordernis hingewiesen, die Personen, deren personenbezogene Daten verarbeitet werden sollen, hinsichtlich der Verantwortung für die Verarbeitung personenbezogener Daten deutlich zu informieren. Auf diesen Hinweis gegenüber dem Kultusministerium leitete uns das IEA DPC einen überarbeiteten Entwurf eines Elternanschreibens zu, in welchem die Verantwortung für die Verarbeitung personenbezogener Daten mit hinlänglicher Deutlichkeit zum Ausdruck kam. In der Kürze der zur Verfügung stehenden Zeit war es uns allerdings nicht möglich, unsere datenschutzrechtliche Beurteilung mit anderen Landesbeauftragten für den Datenschutz abzustimmen. Wir haben daher dem Kultusministerium auch mitgeteilt, dass es zu begrüßen gewesen wäre, wenn wir früher die Gelegenheit erhalten hätten, die relevanten Unterlagen einzusehen und datenschutzrechtliche Fragen mit anderen Landesbeauftragten für den Datenschutz abzustimmen.

Dieser Gedanke wurde offenbar von dem für die Durchführung der IGLU-Studie zuständigen Institut der Universität Dortmund und dem für die PISA-Studie zuständigen Institut der Universität Kiel aufgegriffen. Auf Einladung dieser Institute wird nunmehr eine Informationsveranstaltung unter Beteiligung von Vertretern der Kultusverwaltungen und der Datenschutzbeauftragten der Länder stattfinden. Ich begrüße diesen Ansatz ausdrücklich. Diese Veranstaltung könnte, im angemessenen zeitlichen Vorfeld der im Mai 2006 vorgesehenen weiteren Zyklen von PISA und IGLU, dazu dienen, grundlegende datenschutzrechtliche Fragen dauerhaft zu klären und somit jeweils neue Diskussionen vor weiteren Studien oder Voruntersuchungen in der Zukunft zu vermeiden oder wenigstens abzukürzen.

3. Zum weiteren rechtlichen Schicksal der Schülerindividualdatei

Im Tätigkeitsbericht für das Jahr 2004 (LT-Drucksache 13/3800) wurden einige datenschutzrechtliche Aspekte des vom Kultusministerium entwickelten EDV-Verfahrens E-Stat und der damit vorgesehenen Einführung einer landesweiten Schülerindividualdatei angesprochen. Dabei war insbesondere problematisch, dass nach dem ursprünglichen Gesetzentwurf des Kultusministeriums eine weit über den bisherigen Umfang hinausgehende Vielzahl personenbezogener Daten aller Schülerinnen und Schüler von öffentlichen Schulen an das Kultusministerium übermittelt werden sollte. Es war aber nicht erkennbar, dass das Kultusministerium alle diese Daten zur Erfüllung eigener dienstlicher Aufgaben benötigt. Insofern begegnete das Projekt des Kultusministeriums zunächst gravierenden datenschutzrechtlichen Bedenken. Um diese auszuräumen, hatte ich im letzten Tätigkeitsbericht (und bereits zuvor in einem Schreiben an das Kultusministerium) einen aus datenschutzrechtlicher Sicht gangbaren Lösungsweg unter Nutzung des vom Landesdatenschutzgesetz vorgesehenen Instrumentariums der Datenverarbeitung im Auftrag aufgezeigt: Die jeweiligen öffentlichen Schulen beauftragen eine andere Stelle, beispielsweise das Kultusministerium, mit der zentralen Speicherung und sonstigen Verarbeitung personenbezogener Daten, bleiben damit aber die für die Datenverarbeitung jeweils verantwortlichen Stellen.

Überraschenderweise gestaltete sich die weitere Abstimmung mit dem Kultusministerium etwas langwierig. Der Stellungnahme der Landesregierung zum letzten Tätigkeitsbericht war u. a. noch zu entnehmen, dass meine Anregung, die zentrale Schülerindividualdatei rechtstechnisch als Datenverarbeitung im Auftrag der Schulen zu konstruieren, geprüft werde. Allerdings leitete mir das Kultusministerium dann einen im Wesentlichen unveränderten Gesetzentwurf zu, mit dem meine bis dahin geäußerten datenschutzrechtlichen Bedenken in keiner Weise aufgegriffen, geschweige denn ausgeräumt waren.

Erfreulicherweise gelang es letztlich doch noch, “den Knoten zu lösen” und das Kultusministerium mit Unterstützung des Innenministeriums von der Notwendigkeit der datenschutzgerechten Überarbeitung des Gesetzentwurfs zu überzeugen. Der abgestimmte Gesetzestext sieht u. a. vor, dass

  • die Schulen für die zentrale Speicherung und sonstige Verarbeitung personenbezogener Daten verantwortlich bleiben,
  • die Schulen unter Nutzung des Instruments der Datenverarbeitung im Auftrag insofern jeweils als Auftraggeber der Datenverarbeitung fungieren,
  • das Kultusministerium mit Wirkung für die Schulen eine oder mehrere Stellen entsprechend beauftragen kann und
  • die Schulen verpflichtet sind, die Daten an die beauftragte Stelle weiterzugeben.

Diese Regelungen sind mit der Novellierung des Schulgesetzes am 22. Oktober 2005 in Kraft getreten.

4. Veröffentlichung von Schülerfotos auf der Internet-Seite einer Schule

Aufgrund einer Eingabe befasste sich mein Amt zum wiederholten Mal mit datenschutzrechtlichen Aspekten der Veröffentlichung von Schülerfotos auf der Internet-Seite von öffentlichen Schulen. Die Eltern eines minderjährigen Schülers teilten uns u. a. mit, dass ohne ihr Einverständnis auf der Internet-Seite einer Schule, die ihr Sohn besucht hatte, ein Klassenfoto veröffentlicht sei, auf welchem u. a. ihr Sohn erkennbar sei. Um den Dingen auf den Grund zu gehen, führten Mitarbeiter meiner Dienststelle einen Informations- und Kontrollbesuch bei der betroffenen Schule durch. Dabei teilte uns die Schule Folgendes mit:

Der Betroffene sei zu der Zeit, als das Klassenfoto gefertigt und von der Schule ins Internet gestellt wurde, 15 Jahre alt gewesen. Die Schule sei bislang so verfahren, dass sie sich wegen einer datenschutzrechtlichen Einwilligung bei minderjährigen Schülerinnen und Schüler immer an deren Erziehungsberechtigte gewandt habe. Eine schriftliche Einwilligung in die Veröffentlichung des angesprochenen Klassenfotos gebe es allerdings nicht.

Dies war so nicht in Ordnung. Öffentliche Schulen dürfen Fotos von (ehemaligen) Schülerinnen und Schülern nur dann im Internet veröffentlichen, wenn sie zuvor die grundsätzlich schriftliche Einwilligung der Betroffenen eingeholt haben. Die Schule hat das beanstandete Klassenfoto dann innerhalb weniger Tage nach diesem Kontrollbesuch aus ihrem Internet-Angebot gelöscht.

Die Beschwerde und unsere eigenen Recherchen im Internet-Angebot der Schule, das eine Vielzahl weiterer Klassenfotos und anderer Gruppen- und Portraitfotos enthielt (Letztere mit jeweils zugeordneten Vor- und Nachnamen der abgebildeten Personen), gaben Anlass, der Frage nachzugehen, ob bei den anderen auf den Fotos erkennbaren Personen die jeweils erforderlichen datenschutzrechtlichen Einwilligungen erteilt wurden. Die Schule musste einräumen, dass dies vielfach nicht der Fall war. Nach einem weiteren Besuch meiner Mitarbeiter bei der Schule erhielten wir von dort u. a. die Mitteilung, dass Personen-Fotos aus dem Internet-Angebot entfernt worden seien und seitens der Lehrerinnen und Lehrer sowie bestimmter weiterer Personen mittlerweile datenschutzrechtliche Einwilligungserklärungen vorliegen würden.

Ich habe die festgestellten datenschutzrechtlichen Verstöße gegenüber dem Kultusministerium als der zuständigen obersten Landesbehörde beanstandet und um Stellungnahme gebeten. Bislang gibt es hierzu keine Reaktion.

Angesichts der in diesem Fall und auch in anderem Zusammenhang deutlich gewordenen Unsicherheiten und Probleme hinsichtlich der Veröffentlichung von Klassenfotos und anderen personenbezogenen Daten durch öffentliche Schulen im Internet sollen die datenschutzrechtlichen Anforderungen im Folgenden nochmals in allgemeiner Form dargestellt werden:

Wenn öffentliche Schulen in Baden-Württemberg Namen von Personen oder Fotos von Schülerinnen und Schülern, deren Erziehungsberechtigten oder von Lehrerinnen und Lehrern im Internet veröffentlichen, verarbeiten sie damit personenbezogene Daten. Die Verarbeitung personenbezogener Daten durch öffentliche Stellen im Sinne des Landesdatenschutzgesetzes, zu denen öffentliche Schulen zählen, ist nach § 4 Abs. 1 LDSG nur zulässig, wenn das Landesdatenschutzgesetz oder eine andere Rechtsvorschrift sie erlaubt oder soweit der Betroffene eingewilligt hat. Nachdem sich aus dem Landesdatenschutzgesetz oder einer anderen Rechtsvorschrift keine entsprechende Erlaubnis ergibt, kann sich die Zulässigkeit einer solchen Datenverarbeitung nur aus einer Einwilligung der Betroffenen ergeben. Zur Vermeidung von Wiederholungen verweise ich auf den Beitrag “Schulen im World Wide Web” im 22. Tätigkeitsbericht für das Jahr 2001 (LT-Drucksache 13/520). Statt der darin enthaltenen Aussage, dass bei Schülern unter 14 Jahren in jedem Fall die Eltern die Einwilligung erteilen müssen, gilt nun Folgendes: Mit Vollendung des 16. Lebensjahrs ist – im Sinne einer Regelannahme – grundsätzlich vom Vorliegen der Einsichtsfähigkeit auszugehen, die es den jeweiligen Schülerinnen und Schülern erlaubt, über die Frage einer datenschutzrechtlichen Einwilligung selbst zu entscheiden. Einzelheiten sind dem Beitrag “Handlungsfähigkeit minderjähriger Schülerinnen und Schüler” in meinem 24. Tätigkeitsbericht für das Jahr 2003 (LT-Drucksache 13/2650) zu entnehmen. Zum Einstellen von Lehrerdaten ins Internet habe ich mich im 23. Tätigkeitsbericht für das Jahr 2002 (LT-Drucksache 13/1500) im Beitrag “Die Veröffentlichung von Personaldaten – im Internet und in anderer Form” geäußert. Das Erfordernis, vor der Veröffentlichung personenbezogener Daten im Internet die datenschutzrechtliche Einwilligung der Betroffenen einzuholen, gilt grundsätzlich auch für andere Personen, beispielsweise Busfahrer oder Reiseführer, die auf Fotos von Studien- und Klassenfahrten zu erkennen sind.

Somit muss eine öffentliche Schule, wenn sie die Veröffentlichung von Klassenfotos oder anderen personenbezogenen Daten im Internet anstrebt, vor der Veröffentlichung alle Betroffenen über Inhalt und Zweck der Maßnahme aufklären und um eine datenschutzrechtliche Einwilligung bitten. Eine Verpflichtung zur Erklärung einer solchen Einwilligung besteht nicht. Die Betroffenen können vielmehr eine solche Einwilligung verweigern. Sie können auch eine erteilte Einwilligung widerrufen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Die Einwilligung kann auch elektronisch erklärt werden, wenn die empfangende Stelle sicherstellt, dass

  1. die Einwilligung nur durch eine eindeutige und bewusste Handlung des Einwilligenden erfolgen kann,
  2. sie nicht unerkennbar verändert werden kann,
  3. ihr Urheber eindeutig erkannt werden kann und
  4. die Einwilligung (Tag, Uhrzeit, Inhalt) protokolliert wird.

Nicht nur aufgrund der aufgeführten Beiträge meiner Dienststelle in früheren Tätigkeitsberichten, sondern insbesondere auch aufgrund der klaren und detaillierten Regelungen des Kultusministeriums müsste den öffentlichen Schulen in Baden-Württemberg und den dort für das jeweilige Internet-Angebot verantwortlichen Personen die Rechtslage eigentlich seit Jahren klar sein. Bereits die, inzwischen außer Kraft getretene, Verwaltungsvorschrift des Kultusministeriums zur Verarbeitung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten durch öffentliche Schulen vom 18. September 2003 enthielt u. a. die folgende unmissverständliche Regelung: “Die Veröffentlichung von personenbezogenen Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten (z. B. Namen, Adressen oder Einzel- bzw. Gruppenfotografien von Schülerinnen und Schülern) in Medien wie z. B. Zeitungen oder Zeitschriften oder im Internet ist nur mit der schriftlichen oder elektronischen Einwilligung der jeweils betroffenen Person bzw. Personen zulässig.” Das Kultusministerium hat die zitierte Regelung wortgleich in die mit Wirkung vom 1. September 2005 in Kraft getretene Verwaltungsvorschrift zur Verarbeitung personenbezogener Daten durch öffentliche Schulen und Einsichtnahme in schulische Prüfungsunterlagen übernommen. Bleibt nur zu hoffen, dass diese Anweisungen des Kultusministeriums künftig nun auch beachtet werden.

5. Einführung allgemeiner Studiengebühren

Die Erhebung von Studiengebühren ist bekanntlich ein besonders umstrittenes Thema auf der politischen Bühne. Es hat aber durchaus auch mit dem Datenschutz zu tun, wie bei der Lektüre des vom Wissenschaftsministerium übersandten Entwurfs eines Gesetzes zur Änderung des Landeshochschulgebührengesetzes und anderer Gesetze rasch deutlich wurde. Das Gesetz soll der Einführung allgemeiner Studiengebühren in Höhe von 500 Euro je Semester für das Studium an den Hochschulen und Berufsakademien des Landes, erstmals im Sommersemester 2007, dienen. Dabei waren für mein Amt naturgemäß die Regelungen über die Verarbeitung personenbezogener Daten von besonderem Interesse.

Nach dem Entwurf dürfen Hochschulen und Berufsakademien von Studienbewerbern und Studierenden eine Erklärung über die von ihnen abgeleisteten Studienzeiten und die Vorlage geeigneter Unterlagen verlangen, wenn diese ein Darlehen der L-Bank (Landeskreditbank Baden-Württemberg – Förderbank) zur Finanzierung der Studiengebühren beantragen wollen. Die Hochschulen und Berufsakademien haben nämlich zu prüfen, ob der Darlehensanspruch zu Recht besteht. Außerdem kann von Studierenden im Einzelfall die Vorlage weiterer Unterlagen und nötigenfalls eine Versicherung an Eides statt verlangt werden, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass die Angaben der Studierenden über Studienzeiten unrichtig oder unvollständig sind. Bei näherer Betrachtung zeigten sich aber gewisse Ungereimtheiten: Während nach dem Wortlaut des Entwurfs die Hochschulen und Berufsakademien der L-Bank nur die zur Gewährung und Rückzahlung eines Darlehens “erhobenen”, erforderlichen Daten übermitteln dürfen, soll sich nach der Gesetzesbegründung die Datenübermittlung auch auf die “vorliegenden” personenbezogenen Daten erstrecken (d. h. auch auf solche Daten, die von den Hochschulen und Berufsakademien selbst “erzeugt” werden, beispielsweise wegen einer Exmatrikulation).

Insgesamt war von uns festzustellen, dass die vorgesehenen Regelungen zum Teil datenschutzrechtlich noch gar nicht abschließend bewertet werden konnten. Insbesondere war dem Gesetzentwurf nicht zu entnehmen, ob mit bestimmten Regelungen Eingriffe in das Recht auf informationelle Selbstbestimmung vorgesehen sind und aufgrund welcher Erwägungen und unter welchen Voraussetzungen diese ggf. zulässig sein sollen. Teilweise passten Gesetzestext und Begründung offenbar nicht zueinander, so dass für uns nicht ersichtlich war, welche der voneinander abweichenden Formulierungen nun maßgeblich sein soll. Wir haben das Wissenschaftsministerium daher auf eine Vielzahl noch klärungsbedürftiger Fragen hingewiesen und mitgeteilt, dass der Gesetzentwurf unter Berücksichtigung unserer Anmerkungen überarbeitet werden sollte.

6. Nochmals: Zur Filterung von E-Mails

Anlässlich einer Beschwerde über die Blockade bestimmter E-Mails durch eine Universität in Baden-Württemberg ist im 25. Tätigkeitsbericht für das Jahr 2004 (LT-Drucksache 13/3800) bereits in allgemeiner Form auf einige datenschutzrechtliche Aspekte der Filterung von E-Mails eingegangen worden. Die inzwischen abgeschlossene Prüfung zeigte, dass die Filterung von E-Mails nicht nur, wie bereits im letzten Tätigkeitsbericht erwähnt, datenschutzrechtliche Tücken hat, sondern auch strafrechtlich relevant sein kann.

Zunächst zu den datenschutzrechtlichen Aspekten. Aus der Stellungnahme der Universität ergab sich Folgendes:

Eine Fakultät der Universität schränkte die E-Mail-Kommunikation von Oktober 2003 bis November 2004 in drei unmittelbar aufeinander folgenden Phasen in jeweils unterschiedlicher Weise ein:

  • In der ersten Phase erfolgte die Filterung von E-Mails dadurch, dass der IP-Adressbereich, zu dem auch der vom Beschwerdeführer zum Mail-Versand benutzte Computer gehörte, vom Mail-Austausch ausgeschlossen wurde. Damit war weder eine Mail-Kommunikation von noch zu den davon betroffenen Computern möglich. Neben dem Beschwerdeführer war von dieser Sperrung eine uns nicht bekannte Zahl weiterer E-Mail-Nutzer betroffen. Der Absender einer auf diese Weise blockierten Nachricht erhielt eine Fehlermeldung darüber, dass die Mail nicht zugestellt werden konnte. Der Empfänger erhielt über den Vorgang keine Nachricht.
  • In der zweiten Phase wurden E-Mails, in deren Kopf – also z. B. unter “Absender”, “Empfänger”, “Cc” und “Betreff” – die Zeichenkette mit dem Namen des Beschwerdeführers vorkam, vom Mail-Server der Fakultät abgewiesen. Der Absender erhielt dann seine Nachricht mit einer (in der Stellungnahme der Universität nicht näher beschriebenen) Fehlermeldung zurück. Der Empfänger erhielt darüber keine Nachricht. Die Kommunikation von der Universität nach außen wurde nicht eingeschränkt.
  • In der dritten Phase erfolgte die Filterung derart, dass E-Mails, in deren Kopf die Zeichenkette mit dem Namen des Beschwerdeführers vorkam, in einem besonderen elektronischen Postfach unter einer bestimmten Mail-Adresse abgelegt wurden, auf das nach Aussage der Universität nur der Administrator Zugriff hatte. Der Absender erhielt darüber keine Nachricht. Der Empfänger wurde unverzüglich nach dem Eingang der Mail benachrichtigt, dass für ihn eine Mail zur Abholung bereit liege. Unter Mitwirkung des Administrators konnten sich die Empfänger diese Mails beispielsweise auf Diskette aushändigen oder sich diese per E-Mail zuschicken lassen. Die Kommunikation per E-Mail von der Universität nach außen war davon nicht betroffen.

Die Universität erbrachte mit Hilfe der Systeme, auf denen die Filterung erfolgte, bis in den November 2004 auch Dienstleistungen für Dritte im Bereich der Telekommunikationsdienste. Im November 2004 wurde innerhalb der Universität mit sofortiger Wirkung angeordnet, dass durch die Fakultät keinerlei E-Mail-Filterung mehr erfolgt.

Nach Mitteilung der Universität war die Anordnung der E-Mail-Filterung zur Sicherung des ordnungsgemäßen Betriebs der Fakultät erforderlich. Zur Begründung führte die Universität im Wesentlichen aus, dass wegen eines “feindschaftlichen Tons” (in Äußerungen des Beschwerdeführers) und seines unbestrittenen Wissens im Bereich der Sicherheit auch nicht ganz auszuschließen gewesen sei, dass der Beschwerdeführer versuchen würde, “an für einen Angriff nützliche Informationen zu kommen und den Kommunikationsweg per Mail dafür auszunutzen”.

Dazu ist aus datenschutzrechtlicher Sicht Folgendes zu sagen:

In den Phasen zwei und drei der Filterung verarbeitete die Universität die Zeichenfolge mit dem Namen des Beschwerdeführers elektronisch. Dabei wurden im Sinne der Begriffsbestimmungen des Landesdatenschutzgesetzes personenbezogene Daten des Beschwerdeführers sowie eventueller weiterer Personen, deren Daten ggf. im Kopf der gefilterten E-Mails (beispielsweise als Absender oder unter “Cc” als weitere Empfänger zur Kenntnisnahme) enthalten waren, verarbeitet. Eine solche Verarbeitung personenbezogener Daten durch die Universität war nur zulässig, wenn das Landesdatenschutzgesetz oder eine andere Rechtsvorschrift sie erlaubte oder soweit der Betroffene eingewilligt hat. Auf der Grundlage des für uns erkennbaren Sachverhalts ergab sich die Zulässigkeit dieser Verarbeitung personenbezogener Daten nicht. Weder hatten der Beschwerdeführer und andere betroffene Personen eingewilligt noch war das Vorgehen der Universität durch das Landesdatenschutzgesetz oder eine andere Rechtsvorschrift gedeckt. Dabei gehen wir davon aus, dass die Universität selbstverständlich Maßnahmen zur Sicherung des ordnungsgemäßen Dienstbetriebs, beispielsweise der betroffenen Fakultät, ergreifen und eine dabei eventuell erforderliche Verarbeitung personenbezogener Daten vornehmen darf. Es war aber für uns nicht ersichtlich, aufgrund welcher Umstände für die Universität durch die vom Beschwerdeführer versandten E-Mails eine massive Störung der geordneten Abläufe, vergleichbar mit der Gefahr für die Infrastruktur durch Viren oder Schadprogramme, zu erwarten war.

In Phase drei der Filterung war zudem relevant, dass die Empfänger der vom Beschwerdeführer versandten Mails durch die gewählte “Quarantäne-Lösung” erkennen konnten, dass diese Mails offensichtlich als potenzielle Störung für den Fakultätsbetrieb angesehen wurden, was für den Beschwerdeführer eine deutliche Stigmatisierungswirkung zur Folge hatte. Ferner brachte es die gewählte Lösung mit sich, dass – wenn ein Empfänger eine vom Beschwerdeführer versandte E-Mail in Empfang nehmen wollte – diese von einem Administrator aus einem speziellen E-Mail-Postfach entnommen und dem Empfänger zur Verfügung gestellt werden musste. Diese Vorgehensweise hatte zur Folge, dass neben Absender und Empfänger regelmäßig eine weitere Person Kenntnis davon erhielt, wer wann E-Mails vom Beschwerdeführer erhielt und in Empfang nahm. Zudem konnte der Administrator dabei möglicherweise auch den Betreff und ggf. den Inhalt der Nachrichten zur Kenntnis nehmen.

Soweit die Universität mit Hilfe der Systeme, auf denen die Filterung erfolgte, auch Dienstleistungen für Dritte erbrachte, nahm sie zudem die Rolle eines Telekommunikationsdiensteanbieters ein und musste die Datenschutzvorschriften des Telekommunikationsgesetzes einschließlich des Fernmeldegeheimnisses wahren. Dazu gehört, dass sie nicht ohne ausdrücklichen Wunsch der Kunden personenbezogene Verbindungs- oder Inhaltsdaten verarbeiten durfte, soweit dies nicht Gegenstand der zu erbringenden Dienstleistung war. Auf dieser Grundlage war es nicht zulässig, dass die Universität in dem Bereich, in dem sie als Telekommunikationsdienstanbieter nach dem Telekommunikationsgesetz tätig war, nach eigenem Ermessen ohne Rechtfertigungsgrund eingehende Nachrichten unterdrückte oder einer Quarantänebehandlung unterzog und dabei automatisiert personenbezogene Daten verarbeitete.

Im Ergebnis bedeutet dies, dass die im Rahmen der E-Mail-Filterung vorgenommene Verarbeitung personenbezogener Daten nicht erforderlich und damit datenschutzrechtlich nicht gerechtfertigt war. Da dieser Mangel von der Universität beseitigt wurde, habe ich von einer Beanstandung abgesehen.

Auch wenn sich meine Zuständigkeit nicht auf die strafrechtliche Seite der Angelegenheit erstreckt, verdient auch diese Erwähnung:

Der Beschwerdeführer hatte nämlich wegen der E-Mail-Filterung bei einer Staatsanwaltschaft Strafanzeige erstattet. Nachdem die Staatsanwaltschaft aus rechtlichen Gründen von der Einleitung eines Ermittlungsverfahrens abgesehen und die Generalstaatsanwaltschaft der dagegen eingelegten Beschwerde keine Folge gegeben hatte, ordnete ein Strafsenat eines Oberlandesgerichts auf Antrag des Beschwerdeführers in einem sog. Klageerzwingungsverfahren die Aufnahme von Ermittlungen wegen des Verdachts der Verletzung des Post- und Fernmeldegeheimnisses (§ 206 Abs. 2 Nr. 2 des Strafgesetzbuchs [StGB]) an. Gleichzeitig äußerte sich das Oberlandesgericht zu der bislang umstrittenen Frage, ob es sich bei einer Universität oder einer anderen öffentlichen Stelle um ein Unternehmen im Sinne des § 206 StGB handeln kann, das geschäftsmäßig Telekommunikationsdienste erbringt. Es kam zum Ergebnis, dass der Unternehmensbegriff weit auszulegen sei. Eine Universität sei dann als Unternehmen zu betrachten, wenn sie nicht ausschließlich hoheitlich tätig wird. Das sei der Fall, wenn die Universität ihre Telekommunikationsanlage ihren Mitarbeitern und anderen Nutzergruppen (beispielsweise Vereinen und außenstehenden Dritten) zum Austausch von E-Mails für private und wirtschaftliche Zwecke zur Verfügung stellt.

Diese Rechtsauffassung ist sinngemäß auf alle Behörden und sonstigen öffentlichen Stellen mit hoheitlichen Aufgaben übertragbar und gilt auch hinsichtlich anderer Telekommunikationsdienste, wie Telefon- oder Telefaxdienst. Kurz nachdem diese Gerichtsentscheidung ergangen war, habe ich u.a. sämtliche Ministerien des Landes sowie die kommunalen Landesverbände informiert. Die gerichtliche Klarstellung hat jedenfalls zur Folge, dass öffentliche Stellen beim Betrieb ihrer Telekommunikationsanlagen neben den Regeln des allgemeinen Datenschutzrechts stets auch das Fernmeldegeheimnis und die Datenschutzvorschriften des Telekommunikationsgesetzes im Blick zu behalten haben.

4. Abschnitt: Finanzen und Steuern

1. Kontendatenabrufe nach dem Gesetz zur Förderung der Steuerehrlichkeit

Im Tätigkeitsbericht für das Jahr 2004 (LT-Drucksache 13/3800) ist dargestellt, dass die Regelungen des Gesetzes zur Förderung der Steuerehrlichkeit über automatisierte Abrufe von Kontendaten mit Blick auf das verfassungsrechtliche Transparenzgebot und die Rechtsschutzgarantie des Artikels 19 Abs. 4 GG sowie auf das verfassungsrechtliche Gebot der Normenklarheit gravierenden datenschutzrechtlichen Bedenken begegnen. Wegen dieser Mängel hatten der Bundesbeauftragte für den Datenschutz und alle Landesbeauftragten für den Datenschutz gefordert, diese Regelungen zu überarbeiten. Leider ist der Bundesgesetzgeber dieser Forderung bislang nicht nachgekommen. Soweit erkennbar, kann lediglich der vom Freistaat Bayern im April 2005 im Bundesrat eingebrachte Gesetzentwurf als ernsthafter Versuch gewertet werden, die datenschutzrechtlichen Bedenken auszuräumen. Leider blieb diese Gesetzesinitiative wegen der vorgezogenen Bundestagswahl ohne greifbares Ergebnis. Es bleibt zu hoffen, dass die Initiative des Freistaats Bayern so schnell wie möglich wieder aufgegriffen wird.

Einige Einzelpersonen und eine Bank haben Verfassungsbeschwerde beim Bundesverfassungsgericht erhoben und den Erlass einer einstweiligen Anordnung beantragt, um das In-Kraft-Treten der gesetzlichen Regelungen zum 1. April 2005 zu verhindern. Diese Anträge wurden vom Bundesverfassungsgericht mit Entscheidung vom 22. März 2005 abgelehnt. Was zunächst wie eine “Niederlage für den Datenschutz” erscheint, ist nach einem Blick in die Entscheidungsgründe differenzierter zu betrachten:

Das Bundesverfassungsgericht bezeichnete den Ausgang der Verfassungsbeschwerdeverfahren ausdrücklich als offen und entschied über die Anträge auf Gewährung einstweiligen Rechtschutzes im Wege einer Folgenabwägung, die zu Lasten der Antragsteller ausging. Das Gericht gab zu erkennen, dass insbesondere durch einen Erlass des Bundesministeriums der Finanzen vom 10. März 2005 die möglichen Nachteile für die Betroffenen begrenzt wurden. Nach dem Erlass, der den datenschutzrechtlichen Bedenken in gewissem Umfang Rechnung trägt, sind Betroffene über einen automatisierten Abruf ihrer Daten in jedem Fall zu informieren. Zudem ist in diesem Erlass geregelt, dass automatisierte Abrufe auf Ersuchen von anderen Behörden als den Finanzbehörden nur zulässig sind, wenn es um die Gewährung von Sozialhilfe, Angelegenheiten der Sozialversicherung, sozialen Wohnraumförderung, Ausbildungsförderung, Aufstiegsförderung, der Gewährung von Wohngeld und Erziehungsgeld sowie um Leistungen zur Unterhaltssicherung geht.

Die mit diesem Erlass verhängte “behördliche Selbstbeschränkung” ist zunächst zu begrüßen. Gleichwohl bleibt der Bundesgesetzgeber gefordert, die aus verfassungsrechtlicher und datenschutzrechtlicher Sicht gebotenen Regelungen klar und deutlich im Gesetz selbst zu verankern und die Reparatur bedenklicher gesetzlicher Vorschriften nicht der Verwaltung oder gar den Gerichten zu überlassen. Datenschutzrechtlichen Fragen zum Vollzug der Vorschriften durch die Finanzverwaltung in Baden-Württemberg gehe ich derzeit im Kontakt mit dem Finanzministerium nach.

2. Warum müssen Finanzämter in Baden-Württemberg bundesweit auf sämtliche Lohnsteuerbescheinigungen zugreifen können?

Jeder abhängig Beschäftigte kennt die Abläufe aus dem Effeff: Alljährlich ist gegenüber dem für den eigenen Wohnort zuständigen Finanzamt eine Lohn- oder Einkommensteuererklärung abzugeben. Anders als früher üblich erhalten die Beschäftigen solcher Arbeitgeber, die eine elektronische Lohnbuchhaltung führen, heutzutage nach Ablauf eines Kalenderjahres nicht mehr ihre Lohnsteuerkarte mit den vom Arbeitgeber hinzugefügten Einträgen über die Höhe des gezahlten Gehalts sowie der abgeführten Steuern und einiger anderer Angaben. Stattdessen bekommen sie eine zum Verbleib bei ihnen bestimmte Bescheinigung darüber, welche ehemals auf der Lohnsteuerkarte dokumentierten Angaben nun auf elektronischem Weg an die Steuerverwaltung weitergeleitet wurden. Diese für den einzelnen Steuerpflichtigen möglicherweise nur unbedeutend erscheinende Änderung ist allerdings Zeichen einer grundlegenden Veränderung der Arbeitsabläufe und der Datenflüsse im Steuerwesen, die das Ziel hat, auch die für die Besteuerung relevanten Vorgänge möglichst durchgängig elektronisch abwickeln zu können. Während den Beschäftigten in ihrer Rolle als Steuerpflichtigen bislang noch die Wahl bleibt, ob sie ihre Steuererklärung wie seit jeher in Papierform abgeben wollen oder ob sie von der Möglichkeit der elektronischen Übersendung der Steuererklärung Gebrauch machen wollen (wobei allerdings die Ankündigung der Steuerverwaltung, elektronisch eingereichte Erklärungen vorrangig bearbeiten zu wollen, rechtlich mehr als fragwürdig ist), sind die Arbeitgeber, die eine elektronische Lohnbuchhaltung führen, inzwischen verpflichtet, die sog. Lohnsteuerbescheinigungen in elektronischer Form zu übersenden. Im Rahmen mehrerer bei der Oberfinanzdirektion Karlsruhe sowie einem Finanzamt durchgeführter Kontrollbesuche informierten wir uns auch darüber, wie die von den Arbeitgebern versandten elektronischen Lohnsteuerbescheinigungen den mit der Veranlagung der Lohn- und Einkommensteuer betrauten Finanzamtsbediensteten zugänglich werden.

Dabei traten gravierende Mängel bei der Nutzung des für die elektronische Entgegennahme und Weiterleitung verwendeten bundesweit eingesetzten EDV-Verfahrens ELSTER-Lohn zutage. Neben Unklarheiten über die datenschutzrechtliche Verantwortlichkeit beim Betrieb der dazu eingerichteten zentralen Komponenten (Clearingstellen, Landesspeicher) und einer fehlenden Authentifizierung der meldenden Arbeitgeber sind dabei insbesondere Mängel des Zugriffsschutzes zu erwähnen. Diese haben zur Folge, dass die mit der Veranlagung der Lohn- und Einkommensteuer betrauten Bediensteten der hiesigen Finanzämter bundesweit auf sämtliche elektronischen Lohnsteuerbescheinigungen zugreifen können.

2.1 Das Verfahren ELSTER-Lohn

Arbeitgeber, die eine maschinelle Lohnbuchhaltung führen, müssen der Steuerverwaltung für jeden ihrer Beschäftigten eine elektronische Lohnsteuerbescheinigung senden. Das EDV-Verfahren, mit dessen Hilfe die Steuerverwaltung diese Daten elektronisch entgegennimmt und den für die Besteuerung zuständigen Finanzämtern zur Verfügung stellt, wird als ELSTER-Lohn bezeichnet.

2.1.1 Datenübertragung von Arbeitgebern an die Clearingstellen

Die Datenübertragung von den Arbeitgebern an die Clearingstellen erfolgt über Internet. Dabei hat die Steuerverwaltung durch die Gestaltung der von ihr entwickelten Komponenten vorgegeben, dass die übertragenen Daten verschlüsselt sein müssen. Eine Authentifizierung der meldenden Arbeitgeber ist hingegen nicht vorgesehen. Die Systeme der Steuerverwaltung bieten bislang keine Funktionen, um eine solche Authentifizierung vornehmen zu können.

2.1.2 Verarbeitung innerhalb der Clearingstellen

Zur Entgegennahme dieser Meldungen gibt es bundesweit zwei Clearingstellen. Eine dieser Clearingstellen wird bei der bayerischen Finanzverwaltung in München betrieben, die andere bei der nordrhein-westfälischen Finanzverwaltung in Düsseldorf. Es gibt keine sachliche Aufgabenabgrenzung zwischen diesen beiden Clearingstellen. Vielmehr kann jeder Arbeitgeber nach Wahl an eine der beiden Clearingstellen melden.

Die Clearingstellen entschlüsseln die von den Arbeitgebern übersandten elektronischen Lohnsteuerbescheinigungen und prüfen, ob die darin angegebenen amtlichen Gemeindeschlüssel existieren. Ferner führen sie jeweils eine Plausibilisierung der aus dem Namen, dem Vornamen und den Geburtsdaten des Steuerpflichtigen gebildeten Identifikationsnummer (eTIN) durch. Nach erfolgreichem Abschluss dieser Plausibilitätstests leiten die Clearingstellen die elektronischen Lohnsteuerbescheinigungen, möglichst innerhalb von 24 Stunden nach ihrem Empfang, an einen der Landesspeicher weiter. An welchen Landesspeicher eine elektronische Lohnsteuerbescheinigung weitergeleitet werden soll, muss der Arbeitgeber in dem von ihm gemeldeten Datensatz festlegen. Maßgeblich dafür ist der zum Zeitpunkt der Meldung aktuelle Wohnsitz des Arbeitnehmers.

Vor der Weiterleitung einer elektronischen Lohnsteuerbescheinigung an einen Landesspeicher erfasst eine Clearingstelle den Namen und den Vornamen, das Geburtsdatum sowie die aus diesen Angaben abgeleitete eTIN des Steuerpflichtigen in ihrer Verweisdatenbank. Zudem hält sie darin fest, an welchen Landesspeicher sie die elektronische Lohnsteuerbescheinigung weiterleitet. Die beiden Clearingstellen tauschen die jeweils neu erfassten Verweisdaten regelmäßig untereinander aus. Anhand dieser Verweisdaten ist es möglich zu erkennen, in welchem Landesspeicher die zu einem Steuerpflichtigen übersandte Lohnsteuerbescheinigung auffindbar ist.

2.1.3 Landesspeicher (eSpeicher)

Für ELSTER-Lohn wurden in den einzelnen Bundesländern gleichartig aufgebaute Kommunikationsknoten und Landesspeicher installiert. In diesen werden die von den Clearingstellen weitergeleiteten Lohnsteuerbescheinigungen für zehn Jahre gespeichert und für einen Zugriff durch Bedienstete der Finanzämter bereitgehalten.

2.2 Die datenschutzrechtlichen Mängel

2.2.1 Unklarheit über datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten in den Clearingstellen sowie den Landesspeichern

Im Rahmen des Verfahrens ELSTER-Lohn werden Angaben über die Höhe des jeweils erzielten Gehalts sowie weitere besonders schutzbedürftige personenbezogene Daten von mehreren Millionen Steuerpflichtigen allein aus Baden-Württemberg verarbeitet. Diese Verarbeitung findet zum Teil in den außerhalb Baden-Württembergs angesiedelten Clearingstellen und Landesspeichern statt. Datenschutzrechtlich ist dabei entscheidend, dass sich die Frage nach der datenschutzrechtlichen Verantwortlichkeit für die dort vorgenommene Verarbeitung personenbezogener Daten eindeutig beantworten lässt. Da jedoch die Informationen, die uns die Oberfinanzdirektion Karlsruhe dazu gab, keine Klarheit über den rechtlichen Status der Clearingstellen sowie der Landesspeicher schufen, bleibt unklar, welche Stellen für die in den Clearingstellen sowie die in den Landesspeichern durchgeführte Datenverarbeitung datenschutzrechtlich verantwortlich sind.

Dass bislang noch nicht durch entsprechende Rechtsvorschriften, Vereinbarungen oder Aufträge klargestellt wurde, wer als verantwortliche Stelle für welche Phasen der Datenverarbeitung sowie für welche in den Clearingstellen sowie den Landesspeichern verarbeiteten Datenbestände anzusehen ist, stellt einen datenschutzrechtlichen Mangel dar. Um diesen abzustellen, forderten wir das Finanzministerium auf, ggf. in Absprache mit dem Bundesfinanzministerium und den Finanzministerien der anderen Bundesländer, eine Klärung der Verantwortlichkeiten für die im Rahmen des Verfahrens ELSTER-Lohn vorgenommene Verarbeitung personenbezogener Daten herbeizuführen und die im Rahmen einer möglicherweise vorliegenden Auftragsdatenverarbeitung erforderlichen schriftlichen Aufträge alsbald abzuschließen.

Mittlerweile ist uns ein Entwurf für ein Abkommen zwischen den Finanzministerien des Bundes und der Länder über die Datenverarbeitung im Projekt ELSTER (zu dem neben ELSTER-Lohn noch mehrere weitere Module gehören) bekannt geworden. Allerdings wären auch dann, wenn dieses Abkommen in der uns vorliegenden Fassung geschlossen würde, noch nicht alle oben angesprochenen Fragen geklärt. Insbesondere müsste der Auftragsgegenstand im Hinblick auf die mit ELSTER-Lohn verbundenen Besonderheiten präziser formuliert werden. Dazu sind auch ELSTER-Lohn-spezifische Festlegungen über die Zahl und die Betreiber der Clearingstellen sowie der Länderspeicher zu treffen. Zudem sind schriftliche Vereinbarungen über die notwendigen technischen und organisatorischen Maßnahmen zu vereinbaren und es ist die Befugnis des Auftraggebers festzulegen, dass er hinsichtlich der Verarbeitung personenbezogener Daten dem Auftragnehmer Weisungen erteilen darf.

2.2.2 Fehlende Authentifizierung der Absender elektronischer Lohnsteuerbescheinigungen

Bei ELSTER-Lohn ist technisch nicht ausgeschlossen, dass der Steuerverwaltung auch Meldungen übermittelt werden, die zwar im Namen eines Arbeitgebers erfolgen, aber nicht von diesem, sondern einem Dritten abgesandt wurden. Eine gezielte Falschmeldung gegenüber der Steuerverwaltung kann mithin zu einer Speicherung und Verarbeitung unrichtiger Daten über Steuerpflichtige führen und sich für diese nachteilig auswirken. Es sollten daher Maßnahmen ergriffen werden, die, soweit möglich, derartige Fehlmeldungen verhindern oder die es zumindest ermöglichen, diese besser als bisher zu erkennen. Als Maßnahme kommt hierfür der Einsatz eines Authentifizierungsverfahrens in Betracht, mit dessen Hilfe sich die Steuerverwaltung von der Identität des Absenders der elektronischen Lohnsteuerbescheinigungen, hier also der jeweiligen Arbeitgeber, überzeugen kann. Ich halte es daher für erforderlich, Maßnahmen zu ergreifen, um künftig Falschmeldungen im Rahmen von ELSTER-Lohn zuverlässig erkennen und dementsprechend behandeln zu können. Das geschilderte Problem betrifft übrigens nicht nur das Verfahren ELSTER-Lohn, sondern auch andere Verfahren, mit denen die Unternehmen der Steuerverwaltung elektronisch Umsatzsteuervoranmeldungen sowie Lohnsteueranmeldungen zuleiten. Da zumindest für Letztere bereits die Einführung eines Authentifizierungsverfahrens in Aussicht gestellt wurde (vgl. 5. Teil, Nr. 4.3), habe ich gegenüber dem Finanzministerium meine Erwartung zum Ausdruck gebracht, dass ein solches Verfahren möglichst bald auch im Zusammenhang mit der Übermittlung der Lohnsteuerbescheinigungen eingeführt wird.

2.2.3 Keine technische Beschränkung der Zugriffsmöglichkeiten

Die gegenwärtige Lösung ermöglicht es den mit der Veranlagung der Lohn- und Einkommensteuer betrauten Bediensteten der baden-württembergischen Finanzämter, auf eine beliebige, in einem der Landesspeicher zum Abruf bereitgehaltene Lohnsteuerbescheinigung zuzugreifen. Die Suche kann dabei sowohl anhand der eTIN als auch anhand von Namen, Vornamen und Wohnort erfolgen. Zur Begründung der auf diese Weise eingeräumten bundesweiten Such- und Zugriffsmöglichkeiten auf beliebige Lohnsteuerbescheinigungen wurde ausgeführt, dass auch in folgenden Fällen ein Zugriff auf die für die Besteuerung benötigte elektronische Lohnsteuerbescheinigung möglich sein müsse:

  • ein Steuerpflichtiger zieht, nachdem der Arbeitgeber die Lohnsteuerbescheinigung an die Steuerverwaltung übermittelt hat und bevor er seine Steuererklärung abgibt, von einem Bundesland in ein anderes,
  • ein Steuerpflichtiger ändert, nachdem der Arbeitgeber die Lohnsteuerbescheinigung an die Steuerverwaltung übermittelt hat und bevor er seine Steuererklärung abgibt, seinen Nachnamen, etwa aufgrund Eheschließung,
  • ein Steuerpflichtiger ändert, nachdem der Arbeitgeber die Lohnsteuerbescheinigung an die Steuerverwaltung übermittelt hat und bevor er seine Steuererklärung abgibt, Nachnamen und Wohnort,
  • ein Steuerpflichtiger gibt seinen Vornamen in anderer Schreibweise an, als dies der Arbeitgeber bei der Erstellung der elektronischen Lohnsteuerbescheinigung tat.

Wenn man sich vergegenwärtigt, dass jeder dieser Bediensteten nur für die Durchführung des Besteuerungsverfahrens bei einem im Verhältnis zur Gesamtzahl der in ELSTER-Lohn erfassten Steuerpflichtigen kleinen Teil der Steuerpflichtigen zuständig ist, so bedeutet dies, dass ELSTER-Lohn jedem einzelnen Finanzamtsbediensteten, der überhaupt Zugriff auf diese Daten erhält, viel zu umfassende Zugriffsmöglichkeiten zur Verfügung stellt. Diese weit über das erforderliche Maß hinausgehenden Zugriffsberechtigungen stellen einen datenschutzrechtlichen Mangel dar. Dieser wird auch nicht dadurch behoben, dass zumindest ein Teil der Suchanfragen protokolliert wird. Denn diese Protokollierung kann – anders als die technische Beschränkung der Zugriffsmöglichkeiten – unberechtigte Zugriffe nicht von vornherein zuverlässig verhindern, sondern lediglich helfen, unberechtigte Zugriffe nachträglich nachweisen zu können. Die Protokollierung kann daher nicht als gleichwertiger Ersatz für fehlende technische Maßnahmen der Zugriffskontrolle dienen. Um diesen Mangel abzustellen, ist es daher nötig, die Zugriffsmöglichkeiten auf das dienstlich erforderliche Maß zu beschränken.

Dabei ist zu berücksichtigen, dass Fälle vorkommen können, in denen die für einen Steuerpflichtigen ausgestellte elektronische Lohnsteuerbescheinigung nicht in dem Landesspeicher des Bundeslandes abgelegt sind, in dem der Steuerpflichtige seine Steuererklärung abgibt. Aber weder diese noch andere von der Steuerverwaltung zur Begründung der umfassenden Zugriffsmöglichkeiten angeführten Fallkonstellationen vermögen die bundesweiten Such- und Zugriffsmöglichkeiten auf elektronische Lohnsteuerbescheinigungen in ihrer bestehenden Form zu rechtfertigen.

Zur Lösung dieser datenschutzrechtlichen Probleme könnte etwa beitragen, wenn die Lohnsteuerbescheinigungen zwar, ähnlich wie im bisherigen Modell, in zentralen Clearingstellen oder den mit diesen verbundenen Landesspeichern abgelegt werden, diese Ablage aber nicht im Klartext, sondern verschlüsselt erfolgt. Die Arbeitgeber könnten dazu die für einen Steuerpflichtigen zu meldenden Daten mit Hilfe eines von ihnen für diese Meldung gebildeten Schlüssels an die Steuerverwaltung melden. Ein Bediensteter eines Finanzamts könnte die elektronische Lohnsteuerbescheinigung in diesem Fall erst dann im Klartext lesen, wenn der Steuerpflichtige ihm den zum Zugriff erforderlichen Schlüssel in seiner Steuererklärung mitgeteilt hat. Der Arbeitgeber könnte den Steuerpflichtigen im Rahmen der Lohnsteuerbescheinigung, die er ihm ohnehin zusenden muss, auch über diesen Schlüssel informieren.

Abschließend sei angemerkt, dass eGovernment-Vorhaben aufgrund der Flexibilität der zu deren Gestaltung eingesetzten IuK-Technik aus meiner Sicht durchaus zu einer Verbesserung des Datenschutzes beitragen können. Leider kann ELSTER-Lohn aufgrund der dargestellten datenschutzrechtlichen Mängel nicht als Beispiel für eine datenschutzfreundliche Einführung eines eGovernment-Vorhabens dienen. Im Gegenteil: Durch ELSTER-Lohn wird ein bislang papiergebundener Datenfluss zwischen Arbeitgebern, Arbeitnehmern und den Finanzämtern durch ein elektronisches Verfahren abgelöst, bei dem anders als zuvor bundesweite Zugriffsmöglichkeiten auf Millionen individueller Lohnsteuerbescheinigungen neu geschaffen und die damit einhergehenden Risiken für die Vertraulichkeit der Steuerdaten immens ausgeweitet wurden.

5. Abschnitt: Sonstiges

1. Die wissbegierige Fahrerlaubnisbehörde

Im Verfahren zur Erteilung einer neuen Fahrerlaubnis verwendete die Fahrerlaubnisbehörde eines Landratsamts ein Formular mit folgendem Wortlaut:

    Erteilung einer neuen Fahrerlaubnis hier: Einverständniserklärung

    1. Mit der Veranlassung von 4 polytoxikologischen Untersuchungen über einen Zeitraum von 12 Monaten beim Gesundheitsamt … bin ich einverstanden. … [Felder für Ort, Datum und Unterschrift]
    2. Gleichzeitig befreie ich die Gutachter der Untersuchungsstelle von der Schweigepflicht und erkläre mich mit der Übersendung der Ergebnisse an das Landratsamt … einverstanden. [Felder für Ort, Datum und Unterschrift]

Das war unzulässig: Hat eine Fahrerlaubnisbehörde aufgrund bekannt gewordener Tatsachen berechtigte Zweifel daran, dass jemand zum Führen von Kraftfahrzeugen geeignet ist, darf sie zwar anordnen, dass dieser ein ärztliches oder ein medizinisch-psychologisches Gutachten beibringt. Gleichwohl sieht keine Rechtsvorschrift vor, dass die untersuchende Stelle in jedem Fall der Fahrerlaubnisbehörde die Untersuchungsergebnisse mitteilt. Vielmehr ist das Gutachten nach einem Erlass des (damaligen) Verkehrsministeriums Baden-Württemberg aus dem Jahre 1992 ausschließlich dem Betroffenen zuzusenden, der dann selbst darüber zu entscheiden hat, ob er das Gutachten der Behörde vorlegt. Lässt der Betroffene sich nicht untersuchen oder legt er der Behörde kein Gutachten vor, ist die Behörde zwar berechtigt, auf seine Nichteignung zu schließen; sie kann ihn jedoch nicht unmittelbar dazu zwingen, ein Gutachten einzuholen oder ihr vorzulegen. Rechnet sich der Betroffene selbst keine Chancen aus, dass ihm die Behörde bei Vorlage des Gutachtens die Eignung zuerkennt und ihm die Fahrerlaubnis erteilt (etwa weil der Gutachter zum Ergebnis gekommen ist, dass der Betroffene voraussichtlich wieder ein Kraftfahrzeug unter Einfluss von Alkohol führen wird), kann er durch die Nichtweitergabe des Gutachtens wenigstens ausschließen, dass die Behörde die Feststellungen der untersuchenden Stelle erfährt, also etwa Informationen über die Vorgeschichte (etwa die Alkoholabhängigkeit des Betroffenen) und den gegenwärtigen Befund erhält.

Wenn das Landratsamt gleichwohl die unmittelbare Vorlage des Gutachtens forderte, hätte es den Betroffenen über den Wortlaut des genannten Formulars hinaus zumindest über die Freiwilligkeit sowie die möglichen Folgen einer solchen Einwilligung hinweisen müssen (vgl. § 4 Abs. 1 und 2 sowie § 14 Abs. 1 Satz 2 LDSG). Stattdessen war das Formular zumindest geeignet, dem Betroffenen einen unzutreffenden Eindruck über sein Recht auf informationelle Selbstbestimmung zu vermitteln: Es wurde nicht deutlich, dass der Betroffene sich zunächst die Untersuchungsergebnisse selbst anschauen darf, um dann zu entscheiden, ob er diese der Fahrerlaubnisbehörde vorlegt. Bei der gewählten Formulierung war es durchaus möglich, dass ein Betroffener unter dem Druck des Verfahrens fälschlicherweise annahm, zur Abgabe der Erklärung in jedem Fall verpflichtet zu sein.

2. Verarbeitung von Gewinnspieldaten ohne wirksame Einwilligung

Mit Befremden reagierte ein Petent, als er im Briefkasten ein Info-Schreiben einer Behörde fand, in dem die Rede von Altbau-Modernisierung war. Er konnte sich nicht erklären, woher die Behörde wusste, dass er Eigentümer eines älteren Hauses war.

Die Stellungnahme der Behörde brachte zu Tage, dass sie für ihre Schreiben Adressen von Teilnehmern an einem Gewinnspiel im Rahmen einer Informationskampagne des Landes zum Thema “Altbau” verwandt hatte. Auf der Gewinnspielkarte befand sich kein Hinweis auf die Absicht, die erbetenen Angaben über das Gewinnspiel hinaus auch für andere Zwecke personenbezogen zu verarbeiten. Falls ein solcher Hinweis an die Betroffenen erfolgt sei, sei dies mündlich geschehen, wenn z. B. ein Interessent vor Ort von sich aus wegen der Verarbeitung seiner Daten beim Personal des Info- und Gewinnspielstands nachgefragt habe, hieß es von Seiten der Behörde. Das genügte den datenschutzrechtlichen Anforderungen nicht: Die Betroffenen hätten auch ohne Nachfrage über die beabsichtigte (Weiter-)Verarbeitung ihrer Daten unterrichtet werden müssen. Weil dies nicht geschehen war, lagen keine wirksamen Einwilligungen hierzu vor (vgl. § 4 Abs. 2 LDSG). Das Verwenden der Daten über das Gewinnspiel hinaus auch für die spätere Information von Teilnehmern war deshalb unzulässig (vgl. § 4 Abs. 1 LDSG). Meine Dienststelle hat die Behörde gebeten, dies bei künftigen Vorhaben dieser Art zu beachten. Geschieht dies, ist auf jeden Fall der Datenschutz auf der Gewinnerseite.

3. Das Projekt MigVIS des Innenministeriums

Bislang werden im sog. Datenverarbeitungsverfahren-Asyl (DV-Asyl) die Daten von Flüchtlingen elektronisch verwaltet, die bei deren Unterbringung oder in ausländerrechtlichen bzw. asylverfahrensrechtlichen Verfahren anfallen. Bereits im Jahr 2003 hatte das Innenministerium angekündigt, dass es wegen der Schwachstellen dieses Verfahrens eine Neukonzeption betreibe. In diesem Jahr teilte das Innenministerium mit, dass der mittlerweile erreichte Projektstand des – nun als MigVIS (Migranten-Verwaltungs- und Informations-System) bezeichneten – Projekts eine Konkretisierung der datenschutzrechtlichen bzw. -technischen Vorgaben zulasse, übersandte mehrere datenschutzrechtlich relevante Projektdokumente (u. a. ein Datenschutz- und Sicherheitskonzept, einen Datenkatalog und ein Berechtigungskonzept) und gab erneut Gelegenheit zur Stellungnahme.

Den umfangreichen Projektdokumenten war die Beschreibung eines sehr komplexen EDV-Verfahrens mit einer Vielzahl personenbezogener Daten zu entnehmen: Als sog. Stammdaten waren neben dem Namen und Vornamen auch Geburtsdatum, Geburtsort, Familienstand, Religion, Staatsangehörigkeit, Volkszugehörigkeit und Muttersprache vorgesehen. Außerdem betrifft das Verfahren unterschiedliche Gruppen von Betroffenen (neben Asylbewerbern auch jüdische Emigranten und sonstige Flüchtlinge) und verschiedene Dienststellen (neben dem Innenministerium selbst das Regierungspräsidium Karlsruhe als Landesaufnahmestelle für Flüchtlinge und als Ausländerbehörde, die Regierungspräsidien Freiburg, Stuttgart und Tübingen als Ausländerbehörden und höhere Aufnahmebehörden sowie die Landratsämter und die Bürgermeisterämter der Stadtkreise in Baden-Württemberg als untere Aufnahmebehörden). Das Innenministerium räumte meinem Amt unter Hinweis auf bereits geschlossene vertragliche Vereinbarungen mit der Datenzentrale leider nur ein sehr knappes Zeitfenster für eine datenschutzrechtliche Beurteilung der Projektunterlagen ein. Folgende Punkte wurden von uns aufgegriffen:

  • Zugriffsmöglichkeiten des InnenministeriumsWie bereits erwähnt, soll das geplante Verfahren auch die Verarbeitung personenbezogener Daten durch das Innenministerium selbst ermöglichen. Nach dem Datenschutz- und Sicherheitskonzept soll das Innenministerium im Rahmen eines automatisierten Abrufverfahrens lesenden Zugriff auf alle gespeicherten Daten haben. Zur Begründung führte das Innenministerium u. a. an, dass sich die Erforderlichkeit des Zugriffs auf alle Personengruppen in MigVIS bereits aus der vom Innenministerium wahrzunehmenden Fach- und Rechtsaufsicht ergebe. Diese Rechtsauffassung teile ich nicht. Wenn man diesen Gedanken verallgemeinert, würde dies bedeuten, dass alle Fach- und Rechtsaufsichtsbehörden in gleichem Maß Zugriff auf personenbezogene Daten haben dürfen wie die jeweils für die unmittelbare Sacherledigung zuständigen Stellen. Ein solches Ergebnis ist mit dem geltenden Datenschutzrecht schlechterdings unvereinbar. Unter bestimmten Voraussetzungen kann es selbstverständlich für das Innenministerium zur Erfüllung seiner eigenen Aufgaben erforderlich sein, auf bestimmte in MigVIS gespeicherte personenbezogene Daten zuzugreifen und diese zu verarbeiten. Diese Voraussetzungen sind beispielsweise gegeben, soweit das Innenministerium ihm nach den Regelungen des Aufenthaltsgesetzes zugewiesene eigene Aufgaben wahrnimmt oder Petitionen bearbeitet. Es ist ohne weiteres nachvollziehbar, dass das Innenministerium in Eilfällen – z. B. zur Bearbeitung von Petitionen, die sich gegen eine unmittelbar bevorstehende Abschiebung richten – durch einen lesenden Zugriff in die Lage versetzt werden soll, auf die erforderlichen Daten zeitnah und direkt zuzugreifen, ohne erst Berichte nachgeordneter Stellen einholen zu müssen. Dagegen war nicht nachvollziehbar, warum ein lesender Zugriff des Innenministeriums auch in anderen von dort genannten Fällen, beispielsweise “zur Überwachung der Kostenerstattung” oder zur “Evaluierung der Neuregelung für die Aufnahme, Verteilung usw. der jüdischen Emigranten” erforderlich sein soll. Ich habe das Innenministerium daher gebeten zu überprüfen, ob und in welchem Umfang Mitarbeitern des Innenministeriums Zugriffsmöglichkeiten auf die in MigVIS gespeicherten personenbezogenen Daten gewährt werden dürfen. Zudem bat ich, dafür Sorge zu tragen, dass die Mitarbeiter des Innenministeriums aufgrund entsprechend zu gestaltender Zugriffsberechtigungen nur auf diejenigen Daten zugreifen können, die sie zur Erfüllung ihrer dienstlichen Aufgaben benötigen. Es ist mir nicht bekannt, ob meine Hinweise vom Innenministerium bei der weiteren Arbeit an diesem Projekt berücksichtigt wurden. Da der lesende Zugriff des Innenministeriums im Rahmen eines automatisierten Abrufverfahrens erfolgen soll, ist vom Innenministerium nach den Vorschriften des Landesdatenschutzgesetzes jedenfalls eine Vorabkontrolle unter Beteiligung des behördlichen Datenschutzbeauftragten durchzuführen. Unter Umständen werden meine Bedenken im Rahmen einer solchen Vorabkontrolle noch ausgeräumt.
  • Statistische AuswertungenDas meinem Amt zugeleitete Datenschutz- und Sicherheitskonzept sieht vor, dass
    • die in MigVIS gespeicherten Daten “in dienstlich erforderlichem Umfang” auch für statistische Auswertungen genutzt werden und
    • “über die Erstellung anonymisierter Statistiken hinaus gehende Auswertungen personenbezogenen Inhalts” aktenkundig zu machen sind.

    Wir wiesen darauf hin, dass die danach vorgesehenen statistischen Auswertungen einer datenschutzrechtlichen Rechtsgrundlage bedürfen, soweit im Rahmen dieser Auswertungen personenbezogene Daten verarbeitet werden. Dies gilt auch für den im Datenschutz- und Sicherheitskonzept enthaltenen Gliederungspunkt “Statistik bzw. statistische Auswertung”. Hierzu kommentierte das Innenministerium allerdings lapidar: “Auswertung in ‚anonymisierter Form’, d. h. aus der Auswertung kann kein Rückschluss auf konkrete Personen gezogen werden (z. B. Anzahl der Asylbewerber einer bestimmten Nationalität)”. Diesen Ausführungen liegt unter Umständen das (Miss-)Verständnis zugrunde, dass es aufgrund der “anonymisierten Form” der Auswertungen nicht erforderlich sei, eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Betracht zu ziehen und zu prüfen. Ich habe dem Innenministerium mitgeteilt, dass nach unserem Verständnis für solche Auswertungen personenbezogene Daten verarbeitet würden. Daran ändert auch der Umstand nichts, dass die aufgrund dieser Verarbeitung personenbezogener Daten gewonnenen Auswertungen für sich genommen eventuell “anonym” und somit nicht personenbezogen wären.

  • Ergänzung des Datenschutz- und SicherheitskonzeptsNach Mitteilung des Innenministeriums wurden bei der Ausarbeitung des Datenschutz- und Sicherheitskonzepts bislang vorrangig solche Aspekte aufgenommen, die in unmittelbarem Zusammenhang mit der von der Datenzentrale zu leistenden Programmentwicklung stehen. Ein Datenschutz- und Sicherheitskonzept für MigVIS muss allerdings wesentlich umfassender angelegt sein und sämtliche Datenschutz- und Sicherheitsaspekte abdecken, die sich im Zusammenhang mit dem Einsatz des Verfahrens MigVIS ergeben. Wir haben dem Innenministerium beispielhaft einige Punkte genannt, bei denen Ergänzungsbedarf besteht. Nach unseren Informationen ist der Start der Pilot-Phase Anfang 2006 vorgesehen. Sofern in dieser Pilot-Phase bereits eine Verarbeitung personenbezogener Daten stattfinden soll, müssen bis zum Beginn dieser Datenverarbeitung alle noch offenen datenschutzrechtlichen Fragen, einschließlich der Aspekte des technischen und organisatorischen Datenschutzes, so abgearbeitet sein, dass der Persönlichkeitsschutz der Betroffenen sichergestellt ist.

4. Begehungsrecht und Geheimhaltungspflicht des Schornsteinfegers

  • Begehungsrecht des SchornsteinfegersImmer wieder erkundigen sich Bürger bei unserer Dienststelle, ob das Begehungsrecht des Schornsteinfegers mit dem Datenschutz zu vereinbaren ist. Dazu ist zu sagen, dass der Bundesgesetzgeber das Begehungsrecht des Schornsteinfegers ausdrücklich gesetzlich geregelt hat, um eine lückenlose Verantwortung für die Feuersicherheit zu gewährleisten. Nach § 1 Abs. 3 des Schornsteinfegergesetzes (SchfG) sind die Eigentümer und Besitzer von Grundstücken und Räumen verpflichtet, dem Bezirksschornsteinfegermeister und den bei ihm beschäftigten Personen zum Zwecke des Kehrens und der Überprüfung der kehr- und überprüfungspflichtigen Anlagen Zutritt zu den Grundstücken und Räumen zu verschaffen. Die gleiche Pflicht besteht, wenn Beauftragte der zuständigen Verwaltungsbehörde die Tätigkeit des Bezirksschornsteinfegermeisters zu überprüfen oder eine verweigerte Kehrung oder Überprüfung auf Grund eines vollziehbaren Verwaltungsaktes zwangsweise durchzusetzen haben. Das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes) wird insoweit eingeschränkt.Nach dem Schornsteinfegergesetz hat der Bezirksschornsteinfegermeister die Aufgabe, die durch die Kehr- und Überprüfungsordnung vorgeschriebenen Arbeiten auszuführen. Verweigert der Hauseigentümer die vorgeschriebene fristgerechte Überprüfung und Reinigung der Heizungsanlage durch den Bezirksschornsteinfeger, so kann sich die zuständige Verwaltungsbehörde zur zwangsweisen Durchsetzung dieser Maßnahmen ggf. auch durch die (zuvor angedrohte) Anwendung unmittelbaren Zwangs Zutritt zu den betreffenden Räumen verschaffen. Einer vorherigen richterlichen Durchsuchungsanordnung bedarf es hierzu in der Regel nicht.
  • Geheimhaltungspflicht des SchornsteinfegersDas Schornsteinfegergesetz verpflichtet den Schornsteinfeger generell, seine Aufgaben ordnungsgemäß und gewissenhaft auszuführen. Diese sog. allgemeine Berufspflicht (vgl. § 12 Abs. 1 SchfG) umfasst auch eine besondere Sorgfalts- und Obhutspflicht, die insbesondere dann bedeutsam ist, wenn sich der Bezirksschornsteinfegermeister in die unmittelbare Intimsphäre des Bürgers begibt, wie z.B. bei Messungen an Gasfeuerstätten in Badezimmern. Es muss dann von ihm verlangt werden, dass er die aufgrund der besonderen Situation gebotene Rücksichtnahme walten lässt.Vor einigen Jahren wurde unser Amt auf das Problem aufmerksam gemacht, dass die Eigentümer und Besitzer von Grundstücken und Räumen nicht die freie Wahl zwischen mehreren Bezirksschornsteinfegermeistern haben, sondern den für ihren Bezirk amtlich bestellten Bezirksschornsteinfegermeister akzeptieren müssen. Umso mehr sollten sie sich darauf verlassen können, dass dieser auch über alles, was ihm bei der Ausübung seiner Tätigkeit zur Kenntnis gelangt, Verschwiegenheit bewahrt und diese Erkenntnisse nicht anderweitig nutzt. Rechtlich ist dies aber nicht ausreichend sichergestellt. Das Schornsteinfegergesetz regelt zwar, wie der Schornsteinfeger mit den in Ausübung seiner Tätigkeit erhobenen und gespeicherten Daten umzugehen hat. Nicht ausdrücklich geregelt ist jedoch, wie er mit den Umständen umgehen muss, die er gelegentlich seiner Tätigkeit aus dem häuslichen und privaten Bereich “mitbekommen” hat. Dieser Rechtszustand ist nach Auffassung unserer Dienststelle unbefriedigend. Wir haben uns deshalb schon vor einigen Jahren dafür eingesetzt, dass in das Schornsteinfegergesetz – gewissermaßen als Pendant zu den Duldungspflichten der Grundstückseigentümer und Nutzungsberechtigten – eine Verpflichtung des Bezirksschornsteinfegermeisters und seiner Mitarbeiter zur Verschwiegenheit auch über solche Umstände aufgenommen wird, die ihm gelegentlich seiner Tätigkeit zur Kenntnis gelangen. Als Vorbild einer solchen denkbaren Regelung hatten wir beispielhaft auf § 14 Abs. 2 des Bundesstatistikgesetzes hingewiesen. Das auf Landesebene für das Schornsteinfegerwesen zuständige Wirtschaftsministerium hat sich seinerzeit aufgeschlossen für unseren Vorschlag gezeigt und zugesagt, diesen an das Bundesministerium für Wirtschaft weiterzugeben. Zudem hat der Bundesbeauftragte für den Datenschutz das Bundesministerium für Wirtschaft und Technologie bereits vor Jahren gebeten, eine entsprechende Änderung des Schornsteinfegergesetzes zu prüfen. Leider wurde unser Vorschlag vom Bundesgesetzgeber bislang nicht aufgegriffen.

5. Schornsteinfeger als Datenquelle?

Das Wirtschaftsministerium Baden-Württemberg hatte unsere Dienststelle gebeten zu prüfen, ob der Bezirksschornsteinfegermeister in einem von ihm geschilderten Fall befugt bzw. verpflichtet ist, der unteren Wasserbehörde eines Landratsamts im Zusammenhang mit der Ausweisung eines neuen Wasserschutzgebiets personenbezogene Daten der Betreiber von Ölheizungen des gesamten Kehrbezirks zu übermitteln. Die Kernfrage war hier zunächst, ob die Datenübermittlung zur Bekämpfung der Gewässerverschmutzung und damit zur Aufgabenerledigung der unteren Wasserbehörde überhaupt erforderlich ist. Denn nach § 19 Abs. 3 des Schornsteinfegergesetzes darf der Bezirksschornsteinfegermeister personenbezogene Angaben aus seinen Aufzeichnungen an öffentliche Stellen nur dann übermitteln, wenn dies für die Erfüllung seiner Aufgaben, für die Bekämpfung der Luft-, Boden- und Gewässerverschmutzung, für die rationelle Energieverwendung, die Bauaufsicht oder für die Brandbekämpfung erforderlich ist. Diese Voraussetzungen lagen hier jedoch nicht vor. Denn wie sich letztendlich herausstellte, hatte das Landratsamt den Bezirksschornsteinfegermeister lediglich deshalb um die Übermittlung der Daten gebeten, um als Serviceleistung die Betreiber von Ölheizungen auf die mit der Ausweisung eines Wasserschutzgebiets verbundenen Rechtsänderungen hinweisen zu können.

Wie uns das Umweltministerium Baden-Württemberg auf Nachfrage mitteilte, könne bei der Ausweisung eines Wasserschutzgebiets vom Verordnungsgeber nicht verlangt werden, alle möglicherweise von der Schutzgebietsverordnung betroffenen Anlagen ausfindig zu machen und vor Ort zu prüfen. Vielmehr müssten nach Erlass der jeweiligen Schutzgebietsverordnung die Betreiber der Anlagen von sich aus aktiv werden. Die Anlagenverordnung wassergefährdender Stoffe gehe von der Betreiberverantwortung aus. Sie kenne keine Anzeigepflichten der Betreiber gegenüber der Behörde. Nur wenn besondere Umstände vorliegen, z. B. eine besondere Gefahrensituation oder Unfälle in der Vergangenheit, könne es zur Bekämpfung einer Gewässerverschmutzung erforderlich sein, die Betreiber von Tankanlagen über die rechtlichen Anforderungen einzeln zu unterrichten und deren Einhaltung zu überwachen (§ 82 des Wassergesetzes). Solche besonderen Umstände waren im vorliegenden Fall jedoch nicht gegeben. Nachdem die Datenerhebung des Landratsamts bei dem Bezirksschornsteinfegermeister zur Aufgabenerledigung der unteren Wasserbehörde nicht erforderlich war, war der Bezirksschornsteinfegermeister nicht befugt, personenbezogene Daten der Betreiber von Heizöllagertanks an das Landratsamt zu übermitteln. Das haben wir dem Wirtschaftsministerium, das zunächst eine andere Rechtsauffassung vertreten hatte, mitgeteilt.