Steuerberater
I. Generell bemerkt der Senat zu dem 20. Tätigkeitsbericht:
1. Soweit der Sachverhalt im 20. Tätigkeitsbericht umfassend und erschöpfend dargestellt wird, sieht der Senat von eigenen Ausführungen ab, wenn keine weitergehende Stellungnahme erforderlich ist.
2. Soweit der Hamburgische Datenschutzbeauftragte die generellen Entwicklungstendenzen im Bereich E-Government mit seinen vielfältigen technischen, rechtlichen und gesellschaftlichen Folgewirkungen darstellt, sieht der Senat keine Veranlassung zu einer Stellungnahme. Dies betrifft die Tzn. 1.1, 1.7, 1.8 und 1.9.
II. Im Einzelnen nimmt der Senat zum 20. Tätigkeitsbericht wie folgt Stellung:
Zu 1.2 HamburgGateway das Tor zu den E-Government-Anwendungen
Für das HamburgGateway sind in diesem Jahr strukturelle Erweiterungen geplant. Dazu gehört auch die Einführung der Verarbeitung von Signaturen und Zertifikaten. Abhängig von der Schutzwürdigkeit der Anwendungen kann dann auch eine digitale Signaturkarte eingesetzt werden. Zusätzlich wird im Laufe des Jahres auch die Möglichkeit geschaffen, über die vorhandene sichere SSL-Verbindung im HamburgGateway Informationen und Dateien elektronisch an die Behörden und Ämter der hamburgischen Verwaltung zu senden.
Der Hamburgische Datenschutzbeauftragte spricht sich dafür aus, dass der Einsatz von Clearingstellen gänzlich durch OSCI-Verbindungen ersetzt wird. Hierbei handelt es sich um grundsätzlich unterschiedliche Verfahren. Das HamburgGateway ist die Internet-Plattform und damit der Zugang für Kunden zu den Online-Services der Stadt. OSCI ist dagegen bundesweit als einheitlicher Standard für E-GovernmentAnwendungen geschaffen worden. Dem Hamburgischen Datenschutzbeauftragten wurde schon im Januar dieses Jahres mitgeteilt, dass auch in Hamburg die Möglichkeit der Endezu-Ende-Verschlüsselung mit OSCI bei der Datenübermittlung zum Einsatz kommen wird. Die Melderechtsreferenten von Bund und Ländern haben sich darauf geeinigt, OSCI für Rückmeldungen zu nutzen. Gleichzeitig haben sie sich gemeinsam auf die Einrichtung von Clearingstellen verständigt.
Der Senat teilt die Ansicht des Hamburgischen Datenschutzbeauftragten, dass mit dem Einsatz von OSCI-Verbindungen eine durchgehende Sicherheit bei der Datenübermittlung vom Versand bis zum Empfang besteht, der rechtsverbindliche Transaktionen erlaubt. Die hamburgische Verwaltung lässt schon heute die überwiegende Mehrheit aller personenbezogenen Daten im Auftrag bei der Anstalt öffentlichen Rechts Dataport verarbeiten. Die Zugriffe der Meldedienststellen innerhalb Hamburgs auf die ausschließlich im Rechenzentrum bei Dataport gespeicherten Meldedaten erfolgen wie bisher über das sichere Netz der Freien und Hansestadt Hamburg. Da auch die elektronischen Rückmeldungen über dieses Netz veranlasst und dann von Dataport entsprechend dem OSCI-Standard an die richtigen Empfänger außerhalb Hamburgs übermittelt werden, ist der Einbau von OSCI in die Fachanwendung anstelle der Nutzung einer zentralen Clearingstelle für die gesamte Stadt nicht mit einem Sicherheitsgewinn verbunden.
Dabei wird entgegen der Auffassung des Hamburgischen Datenschutzbeauftragten der Einsatz von Clearingstellen keine Übergangslösung darstellen. Allein für das Meldewesen erBÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache18/4965 Mitteilung des Senats an die Bürgerschaft
I. Generelle Bemerkung des Senats zum 20. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten
II. Stellungnahme des Senats zum 20. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten (Drucksache 18/4100) gäben sich durch die Vielzahl der Meldestellen, die jeweils alle anderen ansprechen müssten, komplexe Kommunikationsprobleme, wenn keine Clearingstellen genutzt werden würden.
Wird wie geplant zukünftig OSCI auch für andere Fachverfahren als länderübergreifender Standard eingesetzt, so vergrößert sich das geschilderte Problem zusätzlich, da die Kommunikation dann jeweils im Fachverfahren geregelt werden müsste. Hamburg würde dann nicht als ein einheitlicher Kommunikationspartner, sondern als vielfacher Kommunikationspartner auftreten, abhängig von der Anzahl der Fachverfahren, die OSCI nutzen. Daher hält es der Senat aus wirtschaftlichen und organisatorischen Gründen für geboten, nur einmal bei Dataport die technischen Voraussetzungen zu schaffen und vorzuhalten, um mit anderen Meldeämtern außerhalb Hamburgs und weiteren Fachverfahren außerhalb Hamburgs über den OSCI-Standard zu kommunizieren.
Zu 1.5 Dokumentenverwaltung ELDORADO
Die für dieses Verfahren erforderliche Risikoanalyse gemäß § 8 Absatz 4 des Hamburgischen Datenschutzgesetzes wird gegenwärtig mit dem Hamburgischen Datenschutzbeauftragten umfassend erörtert. Dabei wird sichergestellt werden, dass auch bei den Schutzbedarfskategorien „hoch" und „sehr hoch" ein angemessenes Schutzniveau erreicht wird.
Zu 1.6 Verschlüsselter E-Mail-Verkehr in der hamburgischen Verwaltung
Der Senat verweist hierzu auf seine Stellungnahmen zum 18. und 19. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten (Drucksachen 17/1240 vom 18. August 2002 und 18/929 vom 21. September 2004).
Seit der Einführung der Erweiterten Sicherheit wurden insgesamt 58 Beglaubigungsstellen eingerichtet und rund 6000 Zertifikate ausgerollt. Für den Berichtszeitraum 2004 bis 2005 bedeutet dies, dass rund 5000 Zertifikate und 21 Beglaubigungsstellen hinzugekommen sind. Dabei hat sich gezeigt, dass mit der Einrichtung der Erweiterten Sicherheit auch gewisse Erschwernisse für die Anwender einhergehen können (Zurücksetzen des Zertifikats bei fehlerhafter Verwendung; bei der Umstellung auf neue Betriebssysteme sind die Zertifikate zu kopieren, damit diese weiterhin ihre Gültigkeit behalten).
Weiterhin hat die Erweiterte Sicherheit auch zu Akzeptanzproblemen geführt, da verschlüsselte Mails nicht von den Stellvertretern bzw. Stellvertreterinnen gelesen werden können (dem kann technisch nur mit der zusätzlichen Einrichtung von kostenträchtigen Funktionspostfächern begegnet werden).
Unter Zugrundelegung dieser Sachverhalte, die auch Ursache der im Tätigkeitsbericht angesprochenen Probleme in der Justizbehörde sind, und unter Maßgabe einer wirtschaftlichen und sparsamen Haushaltsführung wird der Senat weiterhin das Ziel verfolgen, die Erweiterte Sicherheit bedarfsorientiert einzurichten.
Zu 3.2 SP-Expert Zeitwirtschaftsverfahren
Einrichtung von permanenten und anlassunabhängigen Zugriffsrechten für Vorgesetzte auf die „Kommt-GehtZeiten":
Der Zugriff der Vorgesetzten auf die „Kommt-Geht-Zeiten" der Mitarbeiterinnen und Mitarbeiter dient nicht der permanenten und anlassunabhängigen Kontrolle. Die Vorgesetzten sind vielmehr für die sachlich und zeitlich richtige Aufgabensteuerung und -wahrnehmung in ihren Bereichen verantwortlich. Hierzu sind Überblicke über die Zeitkontostände und Urlaubspläne unerlässlich. Durch den Zugriff auf die Zeitkonten kann der Vorgesetzte im Rahmen seiner Zuständigkeit Korrekturen und Ergänzungen an den Zeitkonten vornehmen. Die bisherigen Erfahrungen mit Zeitwirtschaftssystemen zeigen, dass die alternative Wahrnehmung dieser Aufgabe durch zentrale Stellen (z. B. Planer, Zeitwirtschaftsbeauftragte) unter wirtschaftlichen Gesichtspunkten nicht vorteilhaft ist.
Die geplanten Auswertungsrechte für Vorgesetzte stehen auch nicht im Widerspruch zu den Durchführungshinweisen zur Verwaltungsanordnung über die Dienstzeit vom 18. Dezember 1996. Die bis zum Abschluss einer neuen Vereinbarung nach § 94 PersVG weiterhin vorgesehene stichprobenartige Kontrolle der Arbeitszeiten erfolgt über vordefinierte Auswertungsverfahren (z. B. Stundennachweise). Der Zugriff und die sie anfordernden Vorgesetzten werden dabei protokolliert. Über die vorgesehene Auswertung werden die Mitarbeiterinnen und Mitarbeiter im Voraus informiert.
Bis zum Abschluss einer den Komplex regelnden § 94erDienstvereinbarung mit den Spitzenorganisationen wird ein Missbrauch durch organisatorische Maßnahmen und Handlungsanweisungen oder durch technische Sperrung der Ansicht von Zeitsalden für Vorgesetzte verhindert.
Generelle Festlegung der Speicherdauer auf 5 Jahre:
Die Zusammenführung verschiedener Teilsysteme in der Zeitwirtschaft führt zu unterschiedlichen Aufbewahrungsfristen. Sofern Daten nach der Landeshaushaltsordnung zu behandeln sind, werden diese 5 Jahre aufbewahrt. Sind weitere gesetzliche Regelungen zu beachten, wird dem im weiteren Verfahren Rechnung getragen. Längerfristig wird für die gesamte Anwendung ein Archivkonzept erarbeitet.
Dabei soll auch die Frage geklärt werden, ob Daten aus dem aktiven Bestand genommen und in ein Archiv mit restriktiven Zugriffsregelungen gestellt werden können. Die Erörterungen sind noch nicht abgeschlossen.
Personalnummer als Benutzerkennung:
Die Verwendung der Personalnummer als Benutzerkennung wurde zwischenzeitlich präzisiert. Sie dient als Benutzerkennung der Beschäftigten für das SP-Expert OnlineModul und als verbindendes Merkmal zum Abrechnungsverfahren PAISY. Zugriff auf die Anmeldeprotokolle haben nur wenige zentrale Administratoren, nicht aber die Vorgesetzten. Hierüber wurde mit dem Hamburgischen Datenschutzbeauftragten Einvernehmen hergestellt.
Nicht benötigte Datenfelder:
Das Verfahren ist inzwischen so implementiert, dass bei dem wöchentlichen Datenimport aus PAISY die nicht benötigten Datenfelder leer überschrieben werden. Damit wird eine unrechtmäßige Speicherung von nicht benötigten Daten wirksam unterbunden.
Vereinbarung mit den Spitzenorganisationen nach § 94
Hamburgisches Personalvertretungsgesetz:
Der Senat hält es für erforderlich, die behördenübergreifenden mitbestimmungsrelevanten Aspekte des IT-gestützten Zeitwirtschaftssystems in einer Rahmenvereinbarung mit den Spitzenorganisationen der Gewerkschaften und Berufsverbände nach § 94 Hamburgisches Personalvertretungsgesetz (HmbPersVG) zu regeln. Der Hamburgische Datenschutzbeauftragte wird dabei beteiligt.
Zu 3.3 CLIX Zentrale Fortbildung
Bei der Prüfung datenschutzrechtlicher Fragen wird der Hamburgische Datenschutzbeauftragte aktuell in den
Klärungsprozess einbezogen. Hinsichtlich der Speicherung der Fortbildungsdaten der Mitarbeiter (Kurshistorie) wird daran festgehalten, dass dies aus personalentwicklerischen Gründen und für die Durchführung einer bedarfsorientierten Fortbildung erforderlich ist. Zur inhaltlichen Ausgestaltung wird das Personalamt den Hamburgischen Datenschutzbeauftragten beteiligen.
Zu 4.1 Datenübermittlung zur Durchführung von Schulstatistiken
Eine zwischen den Ländern abgestimmte Bildungsberichterstattung auf einheitlicher nationaler Grundlage kann einen wertvollen Beitrag zur Weiterentwicklung des Schulwesens leisten. Die Bürgerschaft hat in den neu gefassten §§ 98 101 HmbSG erstmals eine ausdrückliche Rechtsgrundlage für schulstatistische Erhebungen geschaffen. Zudem befasst sich bereits die KMK mit der Schaffung einer länderübergreifenden Rechtsgrundlage, um datenschutzrechtliche Bedenken auszuräumen.
Zu 4.2 Erfassung betreuter Personen für die Kinder- und Jugendhilfestatistik
Die in dem Tätigkeitsbericht geforderte physische Trennbarkeit der Hilfsmerkmale (Adressangaben der unterstützten Person) von den für die Bundesstatistik zu erfassenden Erhebungsmerkmalen ist bei den aktuellen Fragebögen dadurch gewährleistet, dass die Fragenblöcke auf unterschiedlichen Blättern abgedruckt sind.
Zu 5. Authentifizierung bei der elektronischen Steuererklärung
Der Senat teilt nicht die im 20. Tätigkeitsbericht vertretene Einschätzung, dass sich durch die elektronische Übermittlung von Steuererklärungsdaten mit der Steuersoftware ELSTER erhöhte Manipulationsmöglichkeiten ergeben. In Übereinstimmung mit dem Bundesministerium der Finanzen weist der Senat darauf hin, dass es keine besondere Manipulationsanfälligkeit gibt, die auf dem Verfahren ELSTER bzw. auf der ab dem 1. Januar 2005 verpflichtenden elektronischen Übermittlung von Umsatzsteuer-Voranmeldungen und LohnsteuerAnmeldungen beruht. Der Sicherheitsstandard ist auf dem neuesten Stand der Technik und wird ständig überprüft und weiter verbessert. Gegen „falsche" Steueranmeldungen sind sowohl im herkömmlichen als auch im elektronischen Anmeldungsverfahren entsprechende Sicherheitsmaßnahmen getroffen worden. Hinzuweisen ist insbesondere darauf, dass eine Änderung der Bankverbindung im Rahmen des Steueranmeldungsverfahrens nicht möglich und damit eine unberechtigte Erstattung an Dritte ausgeschlossen ist.
Ergänzend weist der Senat darauf hin, dass das vom Hamburgischen Datenschutzbeauftragen angesprochene Authentifizierungsverfahren für 2006 nunmehr bundesweit im Einsatz ist. Seit Januar 2006 ist es daher auch in Hamburg möglich, sich für die Abgabe von authentifizierten Steuererklärungen anzumelden und registrieren zu lassen. Danach erhält man ein kostenloses elektronisches Zertifikat, welches die Unterschrift ersetzt und eine zweifelsfreie Identifizierung sicherstellt. Für die Übermittlung von Lohnsteuerbescheinigungen ist eine Registrierung und Authentifizierung vorgeschrieben. Optional nutzbar ist das Authentifizierungsverfahren für die Übermittlung von Jahressteuererklärungen, Lohnsteuer- und Umsatzsteuervoranmeldungen. Dieses Vorgehen stellt eine weitere Verbesserung der Verfahrenssicherheit dar, welche die Aufklärung etwaiger Manipulationen erleichtert. In Hamburg wird das Verfahren gut angenommen, so sind seit Anfang 2006 bis Ende Mai 2006 rund 4.500 Registrierungsanträge eingegangen. Allerdings kann auf Grund der Anträge nicht auf endgültige Zahlen geschlossen werden, weil jeder Steuerberater, jede Lohnsteuerstelle etc. nur eine Registrierungsnummer hat und unter dieser Nummer beliebig viele Anträge von verschiedenen Mandanten eingereicht werden können.
Zu 6. Übertragung von Eheschließungen im Internet
Das Standesamt Hamburg-Wandsbek hat die notwendigen Vorarbeiten unter Berücksichtigung der datenschutzrechtlichen Vorgaben für eine Inbetriebnahme der beiden Webcams in seinem Trauraum im Wesentlichen abgeschlossen. Sämtliche Forderungen des Hamburgischen Datenschutzbeauftragten werden erfüllt. Darüber hinaus erhält der Hamburgische Datenschutzbeauftragte im Rahmen seiner Beteiligungsrechte vor Aufnahme des Echtbetriebes die Möglichkeit zur Überprüfung des Vorhabens im Hinblick auf die Übereinstimmung mit datenschutzrechtlichen Anforderungen. Auch die endgültige Fassung der schriftlichen Einwilligungserklärungen sowie des Informationsblattes und des Hinweisschildes werden dem Hamburgischen Datenschutzbeauftragten vor der Aufnahme des Echtbetriebes zur Stellungnahme zugeleitet.
Zu 7.2 Präventive Telekommunikationsüberwachung
Eine dem niedersächsischen Polizeirecht entsprechende Regelung zur präventiven Telekommunikationsüberwachung, welche die Entscheidung des Bundesverfassungsgerichts für nichtig erklärt hat, ist im Hamburgischen Gesetz über die Datenverarbeitung bei der Polizei (PolDVG) nicht enthalten.
Zurzeit wird jedoch intensiv geprüft, welche möglichen Auswirkungen die Entscheidung des Gerichtes auch auf das hiesige Gesetz über die Datenverarbeitung der Polizei haben könnte.
Zu 8.1 Weitere Neuregelung der DNA-Analyse im Strafverfahren
Die Bedenken des Hamburgischen Datenschutzbeauftragten hinsichtlich des Gesetzes zur Novellierung der forensischen DNA-Analyse waren den zuständigen Stellen frühzeitig bekannt; sie haben jedoch letztlich im Gesetzgebungsverfahren keine Berücksichtigung gefunden.
Zu 9. Behördlicher Aktentransport
Aus Sicht des Senats handelt es sich bei den Verstößen um fehlerhaftes Verhalten der Bediensteten, die teilweise nicht erkannt hatten, um welche Art von Vorgängen es sich handelt.
Dies hat dazu geführt, dass die Bediensteten in den entsprechenden Stellen der Verwaltung auf die Einhaltung der datenschutzrechtlichen Bestimmungen hingewiesen worden sind.
Die Finanzämter haben die Beanstandungen zum Anlass genommen, die betreffenden Bediensteten über ihre Pflichten zu belehren. Ergänzend hierzu hat die Finanzbehörde einen Erlass an alle Bediensteten entworfen, der die relevanten Regelungen in den Geschäftsordnungsbestimmungen der Finanzbehörde über den Postversand noch einmal ausführlich und praxisnah erläutert. Der Entwurf befindet sich zurzeit in der Abstimmung mit dem Hamburgischen Datenschutzbeauftragten.
Zu 10.1 Begutachtung der wirtschaftlichen Lage des Taxigewerbes
Die Auffassung des Hamburgischen Datenschutzbeauftragten, dass ein detailliertes Datenschutzkonzept für das langfristig angelegte Gutachten erforderlich war, wird geteilt.