JVA
Einem weiteren datenschutzrechtlichen Anliegen wurde aus meiner Sicht nicht hinreichend Rechnung getragen. So sollten Akten nach der Entlassung des Gefangenen nur so lange aufbewahrt werden, wie dies aus nachvollziehbaren Gründen erforderlich ist, weil andernfalls eine erhebliche Datenspeicherung auf Vorrat erfolgt. In dem Gesetz beträgt jetzt die Aufbewahrungsfrist für Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter 20 Jahre und für Gefangenenbücher 30 Jahre. Ich hatte eine Aufbewahrungsfrist von 10 20 Jahren als hinreichend lange angesehen und vorgeschlagen.
Als weitere Datenspeicherung über den Entlassungszeitpunkt hinweg sieht das Gesetz nunmehr vor, dass die von Gefangenen während des Vollzuges angefertigten Lichtbilder (XIII 29.2) sowie die Beschreibungen von körperlichen Merkmalen von der Vernichtung nach der Entlassung ausgenommen sind. Auch dies stellt aus meiner Sicht eine unzulässige Datenspeicherung auf Vorrat dar.
Folgen überalterter Strafregisterauszüge
Ein Strafgefangener beschwerte sich darüber, dass er im Vollzug so behandelt würde, als sei er vorbestraft. Aus diesem Grunde sei von der Justizvollzugsanstalt seine Aussicht auf vorzeitige Entlassung zum Zwei- Drittel-Zeitpunkt als gering eingeschätzt worden.
Was war geschehen? Die Strafvollstreckungsbehörde hatte bei Einleitung der Vollstreckung der Justizvollzugsanstalt einen fast zwei Jahre alten Bundeszentralregisterauszug zugesandt, der noch fünf Eintragungen enthielt. Zum Zeitpunkt der Urteilsverkündung waren diese Vorstrafen jedoch bereits getilgt, und der Gefangene hatte als unbestraft zu gelten. Nach § 31 Abs. 1 Buchst. b Strafvollstreckungsordnung hätte der beigefügte Bundeszentralregisterauszug möglichst nicht älter sein sollen als sechs Monate. Mit der Übersendung des überalterten Strafregisterauszuges hat die JVA zu Unrecht Kenntnis von bereits getilgten Eintragungen erhalten. Wie sich im Laufe meiner Kontrolle jedoch herausstellte, hat im konkreten Falle der Strafgefangene entgegen seiner Annahme letztendlich keine Nachteile durch diese Fehlinformation erleiden müssen.
Das Niedersächsische Justizministerium hat anläßlich dieses Falles in seiner neuen Allgemeinen Verfügung zur Vorbereitung der Entlassung aus der Strafhaft vom 21. April 1997 (Nds. Rpfl. S. 93), geregelt, dass die Staatsanwaltschaft in Vorbereitung der vorzeitigen Entlassung zur Bewährung ihrem Antrag an die Strafvollstreckungskammer u. a. auch einen aktuellen Bundeszentralregisterauszug des Gefangenen beifügen soll. Auf diese Weise ist zumindest gewährleistet, dass dem zuständigen Gericht nur der aktuelle Stand der Vorstrafen übermittelt wird.
Übermittlung von Gefangenendaten an Optiker
Die Annahme eines Gefangenen, die Justizvollzugsanstalt habe mit einem Brillenantrag (Formular Reg.Nr. 18) Daten zu seiner Haft (z. B. Haftbeginn und ende, Hausgeld usw.) an den Optiker übermittelt, erwies sich als richtig. Die Anstalt hatte, wie sie einräumte, mit diesem Formular personenbezogene Daten erfasst und an den Optiker übermittelt, die nicht erforderlich waren, um Gefangene mit Sehhilfen durch den Optiker auszustatten. Es handelte sich dabei um ein altes Formblatt, das entweder aus Nachlässigkeit oder falschverstandener Sparsamkeit - dies ließ sich letztendlich nicht aufklären - verwendet worden war. Ich habe von einer datenschutzrechtlichen Beanstandung dieser rechtswidrigen Datenübermittlung abgesehen, da die Justizvollzugsanstalt inzwischen nur noch die Neufassung des Formblattes benutzt. Dieses enthält die im alten Vordruck noch vermerkten persönlichen Gefangenendaten nicht mehr.
Datenschutz im nicht-öffentlichen Bereich (§ 22 Abs. 6 Satz 3 NDSG) 29 Grundsätzliches zum Datenschutz in der Wirtschaft
Die im letzten Tätigkeitsbericht (XIII 31) angesprochene Expansion des Aufgabengebiets „Datenschutz im nicht-öffentlichen Bereich" hält an. Die Datenverarbeitung in diesem Bereich ist außerordentlich vielgestaltig, und die privatwirtschaftlich angelegten Datensammlungen entwickeln sich wildwuchsartig. Das derzeitige Datenschutzrecht geregelt im Wesentlichen im Dritten Abschnitt des BDSG ist nach wie vor schwach ausgestaltet; die Betroffenen haben wenig Schutz, und die Sanktionsmöglichkeiten bei Rechtsverletzungen sind dürftig.
Die Hoffnungen der Datenschutzbeauftragten des Bundes und der Länder sind auf eine kurzfristige Umsetzung der EU-Datenschutzrichtlinie gerichtet; eine solche kurzfristige Umsetzung wurde in der Bonner Koalitionsvereinbarung vom 20. Oktober 1998 festgelegt. Die Zügigkeit darf aber nicht zu Lasten materieller Substanz gehen.
30 Kontrolltätigkeit: Zahlen, Fakten und Erfahrungen
Meldepflicht nach § 32 BDSG Unternehmen der Wirtschaft, die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, zum Zwecke der anonymisierten Übermittlung oder im Auftrag als Dienstleistungsunternehmen verarbeiten oder nutzen, haben mir die Aufnahme oder Beendigung ihrer Tätigkeit mitzuteilen.
Am 1. Oktober 1998 waren insgesamt 404 Firmen zum Register gemeldet. Dies entspricht einer Zunahme gegenüber Ende 1996 von knapp 20%; damals waren 338 Firmen registriert. Nach wie vor stellen die Kleinbetriebe mit 55% den größten Anteil der gemeldeten Unternehmen.
Die Datensicherheit wird in besonderem Maße von dem verwendeten Betriebssystem beeinflusst. Eine Auswertung des Registers nach Betriebssystemen zeigt große Unterschiede in diesem Bereich (siehe Abb. 4). Ein genauerer Blick in das Register macht jedoch auch deutlich, dass die Vielfalt der Betriebssysteme nicht so groß ist, wie sie auf den ersten Blick zu sein scheint. Die vier Betriebssysteme MVS/VS, UNIX, Novell Netware und DOS/Windows decken bereits ca. 2/3 aller Systeme ab. Diese Informationen benutze ich bei der Planung meiner Aufsichtstätigkeit. So ist z. B. die Erstellung meiner Prüfkonzepte aufgrund dieser Zahlen erfolgt. Auch die Prüfungen vor Ort berücksichtigen diese Daten.
Abb.3: Aufteilung der registrierten Unternehmen nach Betriebsgrößen im Register nach § 32 BDSG