Staatsanwaltschaft

Personen, die nicht Betroffene sind, und andere als die in § 30 Abs. 1 bezeichneten öffentlichen Stellen erteilt werden. Während sich der Datenkatalog bei der einfachen Melderegisterauskunft nach § 32 Abs. 1 auf Vorund Familiennamen, akademische Grade und Anschriften beschränkt, können bei der erweiterten Melderegisterauskunft nach § 32 Abs. 2 zusätzliche Angaben, wie z. B. Geburts- und Sterbedaten, Familienstand, frühere Namen und Anschriften sowie die Staatsangehörigkeit, beauskunftet werden. Hiervon zu unterscheiden sind die nach § 32 Abs. 3 von den Meldebehörden erteilten Gruppenauskünfte.

Im Hinblick hierauf hat die bremische Meldebehörde bereits vor mehreren Jahren ein PC-gestütztes Auskunftsverfahren für Adressauskünfte aus dem Melderegister entwickelt, bei dem für Auskunftsersuchen mit vielen Einzelanfragen von großen Kunden, wie z. B. der Handelskammer Bremen, der Sparkasse Bremen, der Bremer Straßenbahn AG, Adress-Research/Deutsche Bundespost, statt Papier auch Disketten verwendet werden können. Für die Erteilung der Sammelauskünfte wird ein standardisiertes Datensatzformat verwendet, das zwischen der Meldebehörde und den Kunden vereinbart wird. Die Auskunftsdaten werden von der Meldebehörde auf die von der um Auskunft ersuchenden Stelle übersandten Diskette im vereinbarten Format ausgegeben. Der Datenträgertransport erfolgt dann entweder per Post oder per Botendienst.

Ich habe das Sammelauskunftsverfahren geprüft und dabei folgendes festgestellt:

Seit dem vergangenen Jahr kann der Datenträgertransport auch elektronisch erfolgen, indem die Dienste der bremen online services & Co. KG (bos) genutzt werden. Statt eine Diskette zu transportieren, können Großkunden mit vielen Einzelanfragen ihre Auskunftsersuchen neuerdings auch über das Internet verschicken. Hierzu besorgen sich die Großkunden eine Signaturkarte und lassen sich zur Teilnahme an dem neuen Verfahren bei der bos registrieren. Die Einzelanfragen werden vom jeweiligen Kunden erfasst, von ihm mit der Signaturkarte signiert und verschlüsselt und dann über Leitung an die bos geschickt; dort werden sie in einer für die Meldebehörde eingerichteten E-Mail-Box eingespeichert.

Nach Eingang einer neuen Anfragedatei benachrichtigt bos die Meldebehörde per E-Mail. Die Meldebehörde holt sich sodann per Leitung/Internet die abgelegte Anfragedatei, verifizirt den Absender, entschlüsselt sie und gibt sie auf Diskette aus. Diese Diskette wandert dann zu dem Auskunftsplatz und wird dort genauso wie andere Diskettenanfragen auch bearbeitet, d. h., eingelesen, mit dem DEMOS-Datenbestand verglichen und das Ergebnis wird auf Bildschirm in Tabellenform dargestellt. Bei eindeutigen Treffern erscheint der Name mit neuer Anschrift und ggf. weiteren Angaben (z. B. verstorben, evtl. das Geburtsdatum und das Sterbedatum). Bei nicht eindeutigen Fällen muss der Bearbeiter jeden Fall einzeln am Bildschirm/PC (DEMOS-Zugriff) bearbeiten. Das Ergebnis wird auch in diesem Fall auf Diskette ausgegeben und dann wieder zum transportiert, dort eingelesen, mit der Signaturkarte signiert und an die bos in die E-Mail-Box des Kunden bzw. Datenempfängers verschickt. Von dort holt er sich dann seine Melderegisterauskünfte ab.

Bei dem dargestellten PC-Verfahren wird nicht nach der Art der Melderegisterauskunft differenziert. Obgleich das erforderliche berechtigte Interesse möglicherweise nicht vorliegt, hat die anfragende Stelle stets die Möglichkeit von der Meldebehörde alle die Daten zu erhalten, die Teil der sog. erweiterten Melderegisterauskunft (vgl. Ziff. 14.16 dieses Berichts) sind. Eine Überprüfung dahingehend, ob ein berechtigtes Interesse bzw. gar ein rechtliches Interesse für eine erweiterte Melderegisterauskunft tatsächlich bei der Anfrage vorliegt, erfolgt durch die Meldebehörde nicht, auch nicht stichprobenweise. Ein Benachrichtigungsschreiben der Meldebehörde, das bei erweiterten Auskünften nach § 32 Abs. 2 außerdem vorgeschrieben ist, fehlt ebenfalls. Auf dies könnte bei der Erteilung einer erweiterten Melderegisterauskunft nur verzichtet werden, wenn ein rechtliches Interesse vorliegt.

Ich habe die undifferenzierte Erteilung von Sammelauskünften gegenüber der Meldebehörde Bremen kritisiert. Eine Antwort steht derzeit noch aus.

6.12.3 Verordnung über das Verfahren bei der elektronischen Anmeldung

Nach § 17 Abs. 5 bremisches Meldegesetz kann der Meldepflichtige die von ihm zu erhebenden Daten unter Beachtung der Vorgaben des Signaturgesetzes auch elektronisch an die Meldebehörde senden, soweit eine Rechtsverordnung nach § 36 Abs. 2 dies zulässt. Dabei ist sicherzustellen, dass bei der elektronischen Übertragung der Daten eine unbefugte Kenntnisnahme nicht erfolgen kann.

Hierzu hat der Senator für Inneres, Kultur und Sport nun im Berichtszeitraum die Verordnung über die elektronische Erfüllung der Meldepflicht erlassen. Nach dieser Verordnung kann der Meldepflichtige die von ihm zu erhebenden Daten auch elektronisch an die zuständige Meldebehörde senden. Dies ist jedoch nur bei einem Wohnungswechsel innerhalb der Stadtgemeinden Bremen und Bremerhaven zulässig. Darüber hinaus enthält die Verordnung Regelungen zur Gestaltung des Verfahrens und der Art der Daten, die dabei übertragen werden dürfen.

In meiner Stellungnahme zu der Verordnung habe ich u. a. eine Konkretisierung des Katalogs der von der Meldebehörde bei der Anmeldung zu erhebenden Daten verlangt. Außerdem habe ich darauf hingewiesen, dass, um Veränderungen der Daten auf dem Wege der Datenübertragung auszuschließen, nur eine verschlüsselte Übertragung zulässig sein darf und die Daten nur innerhalb des Melderegisterverfahrens entschlüsselt können werden dürfen. Außerdem habe ich eine Regelung verlangt, nach der nur am Meldeverfahren beteiligte und hierzu befugte Personen Kenntnis von den Daten der Meldepflichtigen erhalten dürfen. Bei der Signatur und der Verschlüsselung der Daten für die Übertragung ist zudem zu gewährleisten, dass ein standardisiertes sicheres Verfahren eingesetzt wird, das mindestens dem OSCI-Standard entspricht.

Der Senator für Inneres, Kultur und Sport hat meine Anregungen beim Entwurf der Verordnung weitgehend berücksichtigt. Die Verordnung wurde von der Innendeputation bereits beschlossen, sie ist aber noch nicht erlassen worden. Der Grund liegt darin, dass das zugrunde liegende systemtechnische Verfahren noch nicht realisiert werden konnte.

7. Justiz

Zugriffe auf kinderpornographische Internetseiten Skandal um schmuddelige Kinderpornos, Verfahren gegen Richter eingestellt titelte im Oktober 2002 eine Bremer Tageszeitung. Diese Presseberichterstattung hat viele Beschäftigte verunsichert. Sie befürchteten eine Vollprotokollierung aller ihrer Internetzugriffe, verbunden mit einer personenbezogenen Auswertung. Ich bin deshalb der Sache nachgegangen.

Mitarbeiter beim Senator für Finanzen haben im Rahmen einer nicht personenbezogenen Teilprotokollierung in Form von URL-Hitlisten innerhalb eines Zeitraums von vier Wochen der aus dem Bremer Verwaltungsnetz (BVN) heraus aufgerufenen Internet-Seiten Hinweise darauf erlangt, dass rechtswidrige Inhalte von Mitarbeitern der bremischen Verwaltung in größerem Umfang heruntergeladen wurden. Diese Anhaltspunkte führten zu einer Strafanzeige gegen Unbekannt bei der Staatsanwaltschaft Bremen Bedingt durch die Struktur des Verwaltungsnetzes (BVN) ist eine zentrale Vollprotokollierung der Internet-Nutzung der einzelnen PC in der Regel nicht durchführbar, weil die Internet-Nutzung aus dem BVN heraus nur möglich ist, wenn dazu Proxy-Server genutzt werden. Teilweise wird aus einzelnen Dienststellen heraus direkt von den Arbeitsplätzen auf die Proxy-Server der zugegriffen, teilweise betreiben die einzelnen Dienststellen eigene Proxy-Server oder nutzen für den Internet-Zugriff Terminalserver. Dies hat zur Folge, dass eine Vollprotokollierung auf den Proxy-Servern der nicht direkt die IP-Adresse des Arbeitsplatzrechners der Beschäftigten liefern kann, von denen aus rechtswidrige Inhalte aus dem Internet genutzt werden. Da die nur die IPAdressen der Proxy-Server in den Dienststellen erkennen können, nicht jedoch die IP-Adressen der daran angeschlossenen Arbeitsplatz-PC erhält, musste eine Vollprotokollierung der Internetzugriffe an den Proxy-Servern der einzelnen betroffenen Dienststellen durchgeführt werden.

Die hat zunächst ein Ermittlungsverfahren gegen Unbekannt eröffnet und bei Gericht insgesamt sechs richterliche Beschlüsse für die Protokollierung auf den entsprechenden Proxy-Servern in verschiedenen Bereichen der Verwaltung erwirkt. Die Beschlüsse gem. §§ 103, 105 lauteten auf eine Protokollierungsdauer von vier Wochen und enthielten die Kennung von ganz bestimmten Internet-Seiten (URL) und bestimmten Suchbegriffen, die den Verdacht auf den Zugriff auf kinderpornographische Inhalte nahe legen. Auf eine Nennung der genauen Adressen aus den richterlichen Beschlüssen soll hier verzichtet werden.

Alle im Folgenden angefallenen IP-Adressen-bezogenen Protokolldaten, die von den betroffenen Stellen geliefert wurden, sind zur UJs-Akte der genommen worden und sollen dort verbleiben. Sie sollen das Schicksal der Akte teilen und sollen daher nach Ablauf der Aufbewahrungsfrist von fünf Jahren gelöscht werden.

Mit Ausnahme der im Bereich Justiz protokollierten Daten sind die aus den anderen Bereichen von den entsprechenden Dienststellen gelieferten Protokolldaten zur weiteren Auswertung und Verdichtung der Kriminalpolizei (Polizei Bremen) übergeben worden. Die Rücklieferung der Auswertungsergebnisse von der Kripo an die steht noch aus, sie wird nicht vor Ablauf eines Jahres erwartet. Damit wird das Beweismaterial weitgehend wertlos werden, weil entsprechende Zuordnungen auf den PC nicht mehr vorgenommen werden können, weil sie in der Regel dann dort gelöscht sind. Bei gleichgelagerten Fällen im Privatbereich werden die zugehörigen PC nach Auskunft der in der Regel für die Dauer des Ermittlungsverfahrens beschlagnahmt.

Für den Bereich Justiz wurden die Auswertungen der Protokolldaten im Auftrag der von Judit durchgeführt. Dort wurden die Protokolldaten nach den Kriterien aus den richterlichen Beschlüssen ausgewertet und aufbereitet. Die gewonnenen Daten sind auf CD-Rom an die Staatsanwaltschaft geliefert worden. Die Staatsanwaltschaft hat somit von Judit nur gefilterte Protokolldaten erhalten.

Aufgrund dieser Auswertung verdichteten sich die Anhaltspunkte aus einer Menge von rund 20 PC schließlich auf vier konkrete Fälle (Rechner/IP-Adressen). Die hat für diese Arbeitsplatz-PC im Bereich der Justiz richterliche Beschlüsse zur Überprüfung der im Einzelnen auf den PC konkret gespeicherten Daten erwirkt.

Bei diesen Fällen hat sich anhand der Protokolldaten der Verdacht erhärtet, dass gezielt nach Seiten mit kinderpornographischen Inhalten gesucht wurde und die Inhalte dieser Seiten dann auf die Festplatte der Arbeitsplatz-PC heruntergeladen und abgespeichert wurden.

Die hat sodann bei vier Personen die Ermittlungsverfahren weiter betrieben.

In diesem Rahmen hat es zwei Durchsuchungen (Arbeitsplatz-PC und privater häuslicher PC) gegeben. In einem Fall führte das gefundene kinderpornographische Bildmaterial zu einer vorläufigen Einstellung nach § 153 a mit der Auflage, ein Bußgeld zu zahlen und sich einer Therapie zu unterziehen. Die anderen Fälle wurden eingestellt.

Alle in diesem Zusammenhang angelegten Js-Ermittlungsakten werden nebst der aufbereiteten Protokolldaten auf CD direkt bei der Leitung der Staatsanwaltschaft unter Verschluss gehalten und voraussichtlich ebenfalls nach Ablauf von fünf Jahren vernichtet.

Als vorläufig datenschutzrechtliche Beurteilung möchte ich festhalten:

Die eingangs genannten Befürchtungen der Beschäftigten können im Wesentlichen relativiert werden. Zum einen wurden nur genau bestimmte Internetseiten mit (kinder)pornographischen Inhalten protokolliert. Es wurden also nicht alle, sondern streng ausgewählte Zugriffe protokolliert. Von einer zulässigen dienstlichen Nutzung in diesen Fällen konnte somit niemand ausgehen. Zum anderen wurden die protokollierten Daten zunächst näher untersucht, ob es sich tatsächlich um strafbewährte Inhalte handelte, denn unter den Adressen befinden sich auch andere Inhalte. Schließlich wurde nur in den Fällen, in denen sich der konkrete Verdacht tatsächlich erhärtete die IP-Adresse einem konkreten Rechner zugeordnet und dann wurde geprüft, welche Person die tatsächliche Verfügungsgewalt über den Rechner hatte. Unabhängig davon, dass ich die richterlichen Beschlüsse nicht zu würdigen habe und auch keinen rechtlichen Grund dazu sehe, habe ich bei meiner Prüfung im Dezember 2002 den Eindruck gewonnen, dass die Staatsanwaltschaft sehr behutsam mit den Ergebnissen umgegangen ist.