Insolvenz
Das Gericht hat wie folgt Stellung genommen:
Es habe nicht damit gerechnet, dass aus den Angaben in der Pressemitteilung, die sehr allgemein gewesen seien, ein Rückschluss auf eine konkrete Person möglich sein könnte. Es bedauerte, dass es offensichtlich entgegen seiner Erwartung doch zur Reidentifizierung des Betroffenen gekommen sei. In künftigen Fällen werde man noch mehr darauf bedacht sein, jede Personenbeziehbarkeit auszuschließen.
Der LfD geht davon aus, dass damit die Sensibilität für das Problem deutlich erhöht wurde und dass sich vergleichbare Fälle in Zukunft nicht wiederholen werden.
Zivilrecht
Elektronisches Grundbuch Rheinland-Pfalz: datenschutzrechtliche Chancen und Risiken
Das automatisiert geführte Grundbuch ist in Rheinland-Pfalz inzwischen nahezu flächendeckend eingeführt. Die Bereitschaft des Ministeriums der Justiz, aber auch des für die Zulassung zum elektronischen Abrufverfahren auf das Grundbuch landesweit zuständigen OLG Zweibrücken zur umfassenden Information des LfD ist als ausgesprochen positiv hervorzuheben.
Die Automation bietet generell im Bereich des Grundbuchs zwar Chancen, sie begründet aber auch neue Risiken. Für die erste Alternative steht die Möglichkeit, Grundbuchauszüge so zu gestalten, dass sie auf das für den Einsichtbegehrenden Wesentliche reduziert sind. Insoweit hat das Ministerium der Justiz Vorschläge des LfD positiv aufgenommen. Das Ministerium stimmt mit dem LfD überein, dass im herkömmlichen Verfahren Auszüge aus dem Grundbuch so weit wie möglich auf den Umfang zu beschränken sind, der durch das vorgetragene berechtigte Interesse begrenzt wird. Künftig ist aufgrund der Umgestaltung des automatisierten Grundbuchs zur Datenbankanwendung mit Änderungen zu rechnen, die die Verwirklichung dieses Anliegens noch in einem weiteren Umfang möglich machen. Dies ist ausgesprochen erfreulich.
Für die Begründung von neuen Risiken ist das Direktabrufverfahren von Grundbuchdaten durch Dritte als Beispiel zu nennen.
Derzeit können Kommunen von der kleinen Verbandsgemeinde bis zur Großstadt eine Vielzahl von Terminals einrichten, von denen aus die Mitarbeiter einen technisch uneingeschränkten Zugriff auf alle Grundbuchblätter im Land künftig sogar bundesweit haben. Unter den derzeitigen Bedingungen wird nicht protokolliert, welcher Bedienstete zu welcher Zeit auf welches Grundbuchblatt zugegriffen hat: Die Protokollierung beschränkt sich darauf, den Zugriff der Gebietskörperschaft zu erfassen. Welche Stelle und welche Person innerhalb der Stadt oder Gemeinde zugegriffen haben, bleibt unklar. Eine effektive Prüfung, ob missbräuchliche Zugriffe erfolgt sind, scheint dem LfD damit jedenfalls dann, wenn die abrufende Kommune über zahlreiche Abrufterminals verfügt kaum möglich zu sein.
Das Ministerium der Justiz ist in Übereinstimmung mit den Justizverwaltungen aller anderen Bundesländer der Auffassung, derzeit bestehe kein zwingender Änderungsbedarf. Aus folgenden Gründen kann der LfD dieser Bewertung nicht folgen:
1. Auch die Grundbucheinsicht von Behörden hängt vom Vorliegen eines berechtigten Interesses in jedem Einzelfall ab; darin besteht Übereinstimmung mit dem Ministerium der Justiz.
2. Dass beim automatisierten Abrufverfahren in allen Fällen, auch in denen des Abrufs durch Behörden, eine nachträgliche Überprüfung des Vorliegens eines berechtigten Interesses für jeden einzelnen getätigten Abruf durch die zuständige Aufsichtsbehörde möglich sein muss, ergibt sich eindeutig aus § 83 Abs. 1 GBV. Daraus ergibt sich auch, dass zu diesem Zweck eine geeignete Protokollierung vorhanden sein muss.
3. Die Regelung des § 82 GBV, die nur von einer Kennung spricht, steht dem nicht entgegen. Diese Vorgabe ist keinesfalls als erschöpfende und abschließende Regelung über den Inhalt der vorzusehenden Protokollierung zu verstehen. Sie regelt vielmehr nur eine erforderliche besondere technische Datenschutzmaßnahme zur Abwehr missbräuchlicher externer Zugriffsversuche auf den Datenbestand des automatisierten Grundbuchs. Diese Regelung hat mit Fragen des Inhalts von Protokollierungen und zu diesem Zweck zu vergebenden Identitätsmerkmalen nichts zu tun.
4. Vor dem Hintergrund des derzeit landesweiten und künftig sogar bundesweiten Zugriffs und der genannten unzureichenden Protokollierungen fehlt es aus der Sicht des LfD in Anbetracht der schutzwürdigen Belange der Grundstückseigentümer und der sonstigen Betroffenen an der Angemessenheit des automatisierten Zugriffsverfahrens durch die Gemeinden. Die Voraussetzungen des § 133 Abs. 1 Nr. 1 GBO liegen unter diesem Aspekt nicht vor.
5. Gerade weil eine erteilte Erlaubnis nach § 133 Abs. 7 GBO tendenziell bundesweite Wirkung hätte und den Zugriff auf den Datenbestand aller Grundbuchämter bundesweit erlauben würde (was derzeit nur aus technischen Gründen noch nicht realisiert ist), wäre das Vorliegen dieser Voraussetzung besonders intensiv unter Berücksichtigung dieser Reichweite der Zulassung zu prüfen. Es ist kaum vorstellbar, dass auch nur eine rheinland-pfälzische Gemeinde unter diesen Bedingungen plausibel geltend machen könnte, ihre berechtigten Interessen forderten den bundesweiten Grundbuchzugriff.
6. In den zugrunde liegenden Verwaltungsvereinbarungen zwischen dem Land und den Gemeinden werden die jeweiligen Zwecke der beabsichtigten Zugriffe auf das Grundbuch nicht genügend klargestellt.
7. Nicht nur der LfD, auch andere Datenschutzbeauftragte beurteilen die Sach- und Rechtslage gleichermaßen. Der sächsische Datenschutzbeauftragte z. B. hat im Hinblick auf die hier erörterte Situation in seinem Tätigkeitsbericht von 1999 u. a. ausgeführt: „Umso bedauerlicher ist es, dass aufgrund der zurzeit eingesetzten Technik das vom Gesetz gebotene Datenschutzniveau nicht eingehalten wird... Angesichts dieser erheblichen datenschutztechnischen Defizite werde ich mich auch weiterhin für eine Ausgestaltung des EDV-Grundbuchs einsetzen, die den Vorgaben der GBO und der GBV entspricht."
Vor diesem Hintergrund bemüht sich auch der LfD weiterhin um eine Änderung der technischen Bedingungen des Direktzugriffs auf das automatisierte Grundbuch. Dies ist auf der Ebene des Landes aber auch deshalb schwierig, weil die Systementwicklung im bundesweiten Verbund erfolgt und ein allgemeines Problembewusstsein aller Beteiligten noch nicht besteht. Das Ministerium der Justiz hat signalisiert, dass es das datenschutzrechtliche Anliegen grundsätzlich für nachvollziehbar hält, dass in Übereinstimmung mit den Justizressorts der anderen Bundesländer aus seiner Sicht allerdings die gesetzlichen Regelungen auch das derzeitige Verfahren zulassen.
Internet-Veröffentlichung von Wertgutachten bei Grundstücks-Zwangsversteigerungen
Die in Schleswig-Holstein ansässige Firma Hansen Marketing betreibt das Internet-Angebot www.hanmark.de als „Dienstleister für Amtsgerichte" und veröffentlicht dort Zwangsversteigerungstermine mit den zugehörigen Wertgutachten für Gebäude und Grundstücke. Nach der im Internet zugänglichen Liste nutzen derzeit dreizehn rheinland-pfälzische Amtsgerichte diesen Service, aber auch eine Reihe von Amtsgerichten der Länder Baden-Württemberg, Hessen, Nordrhein-Westfalen, Saarland und Schleswig Holstein sind vertreten.
Der LfD geht davon aus, dass weder aus §§ 39, 40 noch aus § 42 ZVG die Befugnis für die Vollstreckungsgerichte resultiert, Wertgutachten im Internet zu veröffentlichen. § 39 ZVG betrifft allein die Veröffentlichung der Terminbestimmung; darüber hinausgehende Informationen über die Zwangsversteigerung werden von § 42 ZVG speziell geregelt. Danach steht zwar jedem ein Akteneinsichtsrecht ohne jede nähere Begründung zu; Voraussetzung dieses Rechts ist aber zumindest eine Antragstellung. Keinesfalls ist von dieser Bestimmung die Befugnis zur Veröffentlichung umfasst: Schon eine Veröffentlichung des Inhalts der Akten in einem herkömmlichen Publikationsorgan käme danach nicht in Betracht, noch weniger aber eine entsprechende Internet-Veröffentlichung, die mit besonderen Gefahren für die Betroffenen verbunden ist.
Vor dem Hintergrund der Besonderheiten bei Internet-Veröffentlichungen hat der Gesetzgeber die entsprechende Veröffentlichung von Insolvenzdaten genau und unter einschränkenden Bedingungen geregelt (§ 9 Abs. 2 InsO). Diese Regelung war erforderlich, um Internet-Veröffentlichungen in diesem Bereich zuzulassen; sie ist für diesen Bereich als abschließend anzusehen (vgl. die Stellungnahme des BMJ in der Bundestagsdrucksache 15/181 vom 12. Dezember 2002).
Soweit die Auffassung vertreten wird, vorliegend handele es sich nicht um personenbeziehbare Daten, kann sich der LfD dem nicht anschließen. Aus seiner Sicht sind die im Internet-Angebot www.hanmark.de veröffentlichten Informationen „personenbezogene Daten" im Sinne des Datenschutzrechts. Zwar werden der Name und die Anschrift von Schuldner und Eigentümer der betroffenen Liegenschaften nicht veröffentlicht. Die Angaben über das betroffene Grundstück sind aber so genau (Flurstück, häufig auch Straße und Hausnummer, außerdem Fotos der Außenansicht), dass für einen beliebig großen Personenkreis durch einfach zu erlangende Zusatzinformationen (häufig durch einen Blick in das Telefonbuch) Bewohner und auch Eigentümer der Liegenschaften zu eruieren sind. Damit greifen die gesetzlichen Schranken für den Umgang öffentlicher Stellen mit personenbezogenen Daten ein.
Das Ministerium der Justiz hat die Bedenken des LfD für nicht durchgreifend erklärt. Von dessen Argumentation ist der LfD allerdings nicht überzeugt. Er bemüht sich derzeit um eine bundesweite Abstimmung unter den Datenschutzbeauftragten, um entweder eine bundesgesetzliche Rechtsgrundlage für diese Vorgehensweise oder eine Änderung der Veröffentlichungspraxis zu erreichen.
Wenn eine solche Gesetzesänderung nicht erfolgen sollte, wäre aus seiner Sicht zumindest die Einwilligung der Betroffenen vor einer solchen Veröffentlichung einzuholen.
Strafrecht, Strafverfahrensrecht
Eurojust Zwischenzeitlich hat sich die europäische Eurojust-Behörde (s. 18. Tb., Tz. 7.12.2) in. Den Haag etabliert. Die Datenschutzbeauftragten des Bundes und der Länder haben in ihrer 62. Konferenz am 25./26. Oktober 2001 einen Beschluss gefasst, in dem sie ihre Anforderungen an die für diese Stelle erforderlichen Rechtsgrundlagen sowie die Tätigkeit dieser Behörde formuliert haben (vgl. Anlage 2).
Auf der europäischen Ebene entspricht der Eurojust-Beschluss des Rates weitgehend diesen Anforderungen (vom 28. Februar 2002, ABl. EG Nr. L 63, 6. März 2002, S. 1). Inzwischen hat die Bundesregierung einen Gesetzentwurf in den Bundestag eingebracht, um die gesetzlichen Voraussetzungen dafür zu schaffen, dass die deutschen Staatsanwaltschaften Daten von Verdächtigen bzw. Beschuldigten an Eurojust übermitteln dürfen (Entwurf eines Eurojust-Gesetzes vom 15. August 2003, Bundestagsdrucksache 545/03).
Die Datenschutzbeauftragten haben in unterschiedlichem Umfang Änderungswünsche an dieses Gesetz formuliert; die vom LfD geforderten Klarstellungen, die vom BfD unterstützt worden sind, haben Eingang in den Gesetzentwurf gefunden.
Zu prüfen bleibt, ob die Kontrollinstitutionen für Eurojust wirksam arbeiten werden und ob die berechtigten Ansprüche Betroffener auf fairen Umgang mit ihren Daten und insbesondere auf Auskunft wenn dies die Ermittlungsverfahren nicht hindert effektiv erfüllt werden. An diesen Feststellungen wird sich der LfD im Rahmen seiner Möglichkeiten gemeinsam mit den anderen Datenschutzbeauftragten, insbesondere mit dem Bundesdatenschutzbeauftragten, beteiligen.
Es ist zu erwarten, dass Eurojust entsprechend den Ankündigungen von maßgeblichen europäischen und nationalen Stellen nur eine Vorstufe für den allseits geforderten europäischen Staatsanwalt sein wird. Die mit einer solchen Institution verbundenen Probleme sind vielfältig; ihr gegenüber ist insbesondere eine wirksame justitielle Kontrolle zu fordern. Das für Eurojust gefundene Modell einer speziellen unabhängigen Kontrollkommission wird angesichts der für den europäischen Staatsanwalt zu erwartenden erheblichen Eingriffsbefugnisse (z. B. Durchsuchung, vorläufige Sicherungs- und Aufklärungsmaßnahmen etc.) nicht ausreichen.
Probleme der Telekommunikationsüberwachung
Die TKÜ steht aus verschiedenen Gründen besonders intensiv im Blickfeld der Datenschutzbeauftragten: Diese eingreifende Maßnahme in das Datenschutzgrundrecht und das Telekommunikationsgeheimnis nimmt zahlenmäßig jedenfalls insgesamt, im Bundesdurchschnitt zu. Auf der Ebene des Landes ist der Zuwachs allerdings eher moderat.
Zweifelhaft ist bzw. war, ob der Erfolg dieser Maßnahmen es rechtfertigt, in diesem Umfang in Grundrechte der Bürger einzugreifen. Hierzu hat die inzwischen vorliegende Studie des Max-Planck-Instituts für Strafrecht, die auch veröffentlicht wurde und jedermann zugänglich ist, tragfähige Erkenntnisse geliefert. Die Datenschutzbeauftragten haben das Ergebnis dieser Studie mit der in der Anlage 27 beigefügten Entschließung gewürdigt.
Aber auch die Weiterentwicklung der Technik ist eine Ursache für das zunehmende Unbehagen der Datenschutzbeauftragten: IMSI-Catcher und SMS-Blaster (Tz. 7.3.3) lassen aus dem Handy einen Peilsender werden, der ständig Standortinformationen über den Nutzer liefert.
Schließlich sind in diesem Zusammenhang die Bestrebungen der Sicherheitsbehörden auf europäischer und nationaler Ebene zu erwähnen, die Verbindungsdaten aller Nutzer von modernen Kommunikationsmitteln auf Vorrat für den Fall, dass sie zur Strafverfolgung benötigt werden durch die TK-Dienstleister speichern zu lassen. Dagegen haben sich sowohl die Konferenz der europäischen Datenschutzbeauftragten wie die des Bundes und der Länder entschieden gewandt (vgl. Anlage 12; Entschließung vom 24./25. Oktober 2002, Zur systematischen verdachtslosen Datenspeicherung in der Telekommunikation und im Internet).
Der LfD bemüht sich gemeinsam mit den Datenschutzbeauftragten des Bundes und der Länder weiterhin um eine tragfähige Balance zwischen Grundrechten und staatlichen Befugnissen, die in immer neuen Diskussionen und Auseinandersetzungen herzustellen ist (s. auch oben Tz. 5.1 zur geplanten Verankerung der TKÜ im Polizeirecht).
SMS-Blaster: Neue Wege der Handy-Ortung
Die Länderpolizeien sowie der BGS nutzen seit ca. einem Jahr die Möglichkeit, über sog. „stille SMS" Positionsmeldungen aktiver Mobiltelefone zu erzeugen und zu erfassen, wenn eine Telekommuniaktionsabhörmaßnahme gem. § 100 a StPO angeordnet und durchgeführt wird. Die Rückmeldung erfolgt ohne Zutun und Kenntnis des Handy-Besitzers. Der Versand der SMS wird über Provider, die einen entsprechenden SMS-Server betreiben, vorgenommen.
Die Aufforderung zur Standortmeldung kann automatisch periodisch wiederholt werden, um bei aktivem Mobiltelefon ein Bewegungsprofil zu bilden. Weiterhin besteht die Möglichkeit, die Anfrage bei vorübergehend nicht erreichbaren Mobiltelefonen in eine Warteschleife zu stellen. Die Nutzung der Stealth-Ping-Funktion ist an eine Registrierung beim Betreiber des SMS-Servers gebunden.
Die (stille) Entgegennahme der Nachricht durch das Mobiltelefon stellt eine Aktivität dar, die im Rahmen einer laufenden TÜMaßnahme erfasst wird. Der damit erzeugte S-Record enthält neben den Verbindungsangaben die Kennung der aktuellen Funkzelle und die Geokoordinaten von deren Sendeanlage (Basisstation). Unabhängig davon sieht das SNPP-Protokoll vor, dass auf das PING-Kommando hin eine Rückantwort an den SMS-Server erfolgt, ebenfalls mit Standortangaben. Um welche Informationen es sich dabei konkret handelt, inwieweit und für welchen Zeitraum diese bei dem in Anspruch genommenen Serverbetreiber gespeichert werden, ist gegenwärtig nicht bekannt. Die Polizei verarbeitet die Rückantwort auf das PING-Kommando bislang nur insoweit, als erkennbar wird, ob eine SMS überhaupt zugestellt werden konnte.
Der Versand einer stillen SMS wird mit Datum, Uhrzeit und Anschlussnummer im Journal der eingesetzten Client-Software protokolliert.