Im Rahmen der durchgeführten Kontrollen wurden auch andere datenschutzrechtliche Probleme
Da zur Kontrolle der Ablauf der Fernwartung, insbesondere die ergriffenen Sicherheitsmaßnahmen sowie der Umfang der Zugriffe des Auftragsnehmers bei der Einleitung von Fehlerbehebungsmaßnahmen, nicht ausreichend dargelegt werden konnten, wurde das ZIV gebeten, kurzfristig die diesbezüglichen Informationen nachzureichen und die Verfahrensweise der Fernwartung nachvollziehbar zu dokumentieren.
Seitens des ZIV wurde dem nachgekommen.
Besucherdaten in Gemeinschaftsunterkünften/Kontrollen
Den mit der Verarbeitung personenbezogener Daten von Besuchern in Gemeinschaftsunterkünften verbundenen datenschutzrechtlichen Fragen bin ich, wie im 4. TB (5.1.9) angekündigt, im Berichtszeitraum weiter nachgegangen. In den kontrollierten Fällen erfolgte die Verarbeitung personenbezogener Daten von Besuchern durch private Wachfirmen als Auftragsdatenverarbeitung und wurde mit erhöhtem Sicherheitsbedarf oder der Sicherstellung, dass die Besucher die Gemeinschaftsunterkunft auch wieder verlassen, begründet. Ein Träger einer betroffenen Gemeinschaftsunterkunft hatte sich auf den Standpunkt gestellt, durch die Beauftragung eines Privaten zum Betrieb der Gemeinschaftsunterkunft und zur Bewachung sei dieser auch für die Zulässigkeit der Verarbeitung und Nutzung personenbezogener Daten verantwortlich. Ein Blick in § 8 stellt allerdings klar, dass der Auftraggeber weiterhin verantwortlich bleibt und die erforderlichen Vorgaben, insbesondere aber auch die technischen und organisatorischen Maßnahmen in der Vereinbarung zur Auftragsdatenverarbeitung festzulegen hat. Soweit es zulässig war, personenbezogene Daten zu verarbeiten, waren darüber hinaus angemessene Aufbewahrungsfristen festzulegen. Die nicht den Anforderungen des § 8 entsprechenden Vereinbarungen wurden den Forderungen und Empfehlungen des folgend geändert. Ausweise von Besuchern werden nicht mehr einbehalten, es werden wenige erforderliche personenbezogene Daten im Besucherbuch festgehalten, die nach kurzen Aufbewahrungsfristen gelöscht werden. Die Besucher werden über den Zweck der Verarbeitung ihrer Daten entsprechend informiert.
Im Rahmen der durchgeführten Kontrollen wurden auch andere datenschutzrechtliche Probleme festgestellt.
In einer Einrichtung standen für die Bewohner keine Briefkästen oder Brieffächer zur Verfügung. Daher mussten sich die Bewohner zur Aushändigung ihrer Post bei der Heimleitung melden, die vom Postboten alle eingehenden Sendungen entgegennahm. Zu diesem Zweck wurde eine täglich aktualisierte Liste der Namen von Bewohnern ausgehängt, die Post abholen können. Briefe von Behörden oder Anwälten wurden sogar in ein eigens hierfür geführtes Postbuch eingetragen und nur gegen Unterschrift ausgehändigt. Diese Vorgehensweise sah man als erforderlich an, um eventuelle Rückfragen von Absendern beantworten zu können. Dies war weder durch den Betreibervertrag gedeckt noch rechtlich zulässig, da es weder die Aufgabe der Heimleitung ist, den Eingang nicht eingeschriebener Postsendungen an Bewohner zu dokumentieren noch auf Nachfragen von Absendern zu bestätigen. Nachdem es nach der Mitteilung des kommunalen Trägers nicht möglich ist, für die Bewohner jeweils eigene Briefkästen bereitzustellen, hielt ich es für akzeptabel, dass die Bewohner bei Aufnahme die Möglichkeit erhalten, entweder darin einzuwilligen, dass sie per Aushang über eingegangene Post informiert werden oder regelmäßig entsprechend nachfragen. Die Praxis, nicht eingeschriebene Behörden- oder Anwaltsschreiben in das Postbuch einzutragen, wurde aufgegeben.
Darüber hinaus wurde bei Aufnahme eines Bewohners ein Hausausweis gefertigt, den dieser bei der Wache zu hinterlegen hatte und nur bei Verlassen der Einrichtung ausgehändigt bekam. Als Zweck wurde angegeben, die Hausausweise dienten der Übersicht, welche Personen anwesend seien. Da aber die Einhaltung der Bestimmung in der Praxis nur teilweise erfolgte, war diese Verfahrensweise ungeeignet und wurde in der Folge aufgegeben. Gleichzeitig war bei der Wache auch die Kopie der Aufenthaltserlaubnisse der Betroffenen hinterlegt, die bei endgültigem Verlassen der Einrichtung auszusondern war. Dies sollte gegebenenfalls die Feststellung der Identität eines Bewohners durch das Wachpersonal erleichtern. Aufenthaltserlaubnisse enthalten aber personenbezogene Daten, die für die Aufgabenerfüllung des Objektschutzes nicht erforderlich waren. Die Kopien waren daher zu vernichten.
Im Rahmen einer Kontrolle wurde seitens der anderen kontrollierten Stelle auch die Gelegenheit genutzt, Empfehlungen des in die vorgesehene Installation einer Videoüberwachung des Eingangsbereichs einer Gemeinschaftseinrichtung einzubeziehen. Da nicht beabsichtigt war, das Kommen und Gehen von Bewohnern und Besuchern aufzuzeichnen, musste lediglich sichergestellt werden, dass der unmittelbar angrenzende öffentliche Verkehrsraum nicht erfasst wurde und damit gänzlich unbeteiligte Passanten durch die Videokameras auch nicht auf die Monitore übertragen werden. Der Hinweis für die Betroffenen auf die Videoüberwachung wurde ebenfalls vorgenommen.
Kommunales
Neuregelungen im Melderecht
Am 3. April 2002 wurde das Gesetz zur Änderung des Melderechtsrahmengesetzes und anderer Gesetze vom 25. März 2002 (BGBl. I, S. 1343) in Kraft gesetzt. Es enthält umfassende Änderungen zum Umgang mit Meldedaten, insbesondere im Hinblick auf die Nutzung moderner Informations- und Kommunikationstechnologien. Danach wird es künftig nach Maßgabe des Landesrechts erlaubt sein, auch auf dem Weg des automatisierten Abrufs über das Internet Auskünfte an öffentliche und nicht öffentliche Stellen zu erteilen. Als Voraussetzung dafür sind geeignete Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, insbesondere zur Gewährleistung der Vertraulichkeit und Unversehrtheit der Meldedaten. Als technische Möglichkeiten stehen dafür vor allem moderne Verschlüsselungsverfahren sowie die qualifizierte elektronische Signatur nach dem Signaturgesetz zur Verfügung.
Bei der Novellierung des Gesetzes wurde die Forderung der DSB, dass die einfache Melderegisterauskunft an private Stellen über das Internet von der ausdrücklichen Einwilligung der Betroffenen abhängig gemacht werden sollte, nicht erfüllt. Statt dessen sieht das Gesetz nunmehr ein Widerspruchsrecht der Betroffenen vor. Keine Berücksichtigung fand gleichfalls die Forderung der DSB, die bestehende Widerspruchslösung für Melderegisterauskünfte an politische Parteien zu Wahlwerbezwecken dahingehend zu ändern, dass dies nur noch erlaubt wird, wenn der Betroffene dies wünscht.
Abgeschafft wurde die bisher normierte Nebenmeldepflicht des Wohnungsgebers. Statt dessen wurde jedoch eine Regelung aufgenommen, die es künftig erlaubt, den Eigentümern von Wohnungen bzw. den Wohnungsgebern die Namen der in seiner Wohnung gemeldeten Einwohner mitzuteilen. Voraussetzung hierfür ist die Glaubhaftmachung eines rechtlichen Interesses an der Kenntnis der Bewohnerdaten. Mit dieser Regelung wurde insbesondere einer häufig geäußerten Bitte von Eigentümern entsprochen, die bei der Durchsetzung ihrer Rechtsansprüche (z. B. im Rahmen der Umlegung von Müllgebühren bei der Betriebskostenabrechnung) von den Meldebehörden keine Gruppenauskünfte über die bei ihnen gemeldeten Personen erhielten.