Es ergab sich dabei noch die Frage wie mit einem bei der Zulassungsstelle eingetragenen Sperrvermerk umzugehen ist

Zulassungsstellen aufmerksam. Mit dem Abgleich soll festgestellt werden, ob ein Hilfeempfänger den Besitz eines Kfz verschwiegen und so möglicherweise ihm nicht zustehende Leistungen erhalten hat.

Es wird verglichen, ob am Stichtag des Datenabgleichs ein Empfänger von Leistungen nach dem Bundessozialhilfegesetz (BSHG) oder dem Asybewerberleistungsgesetz auch als Halter eines Fahrzeugs bei der Zulassungsstelle gemeldet ist. Berücksichtigt werden alle Fahrzeuge ab 125 ccm (Motorräder, PKW, LKW, Anhänger). Grundlage für den grundsätzlich zulässigen Abgleich ist § 117 Abs. 3 BSHG. Bei der Diskussion mit der für die Durchführung des Abgleichs verantwortlichen Stelle, dem Amt für Soziale Dienste ergaben sich aber zwei datenschutzrechtlich relevante Aspekte: Zum einen stellte sich die Frage, auf welchen (zurückliegenden) Zeitraum sich der Abgleich am Stichtag beziehen darf. Denn gerade für den ersten Abgleich mag die Information von Interesse sein, ob jemand bereits in der Vergangenheit Halter eines Kfz war. Nach der eindeutigen Formulierung des § 117 Abs. 3 f BSHG ist es jedoch lediglich zulässig, zu ermitteln, ob ein Hilfeempfänger aktuell, d. h., im Abgleichsmonat, Halter ist. Ich habe diesen Punkt mit dem erörtert und darauf geachtet, dass sich die Datenverarbeitung in dem gesetzlich zulässigen Rahmen bewegt.

Es ergab sich dabei noch die Frage, wie mit einem bei der Zulassungsstelle eingetragenen Sperrvermerk umzugehen ist. Gemäß § 41 Abs. 3 Straßenverkehrsgesetz ist die Übermittlung trotz bestehender Sperre im Einzelfall zulässig, wenn an der Kenntnis der gesperrten Daten ein überwiegendes öffentliches Interesse, insbesondere an der Verfolgung von Straftaten, besteht. Diesbezüglich habe ich gegenüber dem die Rechtsauffassung vertreten, dass in einem solchen Fall ein automatisierter Abgleich nicht vorgenommen, sondern dann nur anlassbezogen für eine konkrete Person abgefragt werden darf, ob sie als Halter eines Kfz eingetragen ist. Wegen der Auslegung des § 41 habe ich den Bundesbeauftragten für den Datenschutz um Stellungnahme gebeten.

Funk-LAN-Verbindung im Amt für Jugend und Familie Bremerhaven

Im März des Berichtsjahres wurde ich von der für die EDV-Organisation und die Gestaltung technischer Datenschutzmaßnahmen zuständigen Stelle des Amtes für Jugend und Familie darüber informiert, dass das Stadtteilbüro Nord aufgrund räumlicher Engpässe planen würde, eine Zweigstelle mit drei PC-Arbeitsplätzen einzurichten, die per Funk in das bestehende Subnetz eingebunden werden sollten. Die zum Einsatz kommende Technik sollte das auf dem Standard IEEE 802. basierende WLAN sein. Die Einbindung ist erforderlich, um zentrale Dienste (Fax, E-Mail) nutzen und auf Fachanwendungen zugreifen zu können.

WLAN bedeutet wireless local area network und ist eine Kabellostechnologie. Ein WLAN kann als eigenständiges drahtloses Subnetz über einen Access Point (Funkzelle) per Kabel an ein Verwaltungsnetz angeschlossen werden.

Bisher war das Stadtteilbüro über eine Standleitung an das Subnetz des Amtes für Jugend und Familie angebunden. Dieser Sicherheitsstandard ist im Konzept zur Gewährleistung des Datenschutzes und der Datensicherheit im Bereich des Amtes für Jugend und Familie (vgl. 24. JB, Ziff. 9.1 und 25. JB, Ziff. 9.1) festgelegt.

Funkstrecken haben grundsätzlich eine höhere Anfälligkeit in Bezug auf die Zugangs- und Abhörsicherheit. Die Authentifikation gegenüber dem Access Point (dieser wird direkt per Kabel an das Verwaltungsnetz angeschlossen) und die auf dem RC4-Algorithmus basierende WEB-Verschlüsselung sind wesentliche Schwachstellen, denen mit entsprechender Sicherheitstechnik begegnet werden muss. Es sind daher verschiedene Bereiche sicher zu gestalten.

- Die Authentifikation der Maschine gegenüber dem Access-Point.

Hierzu ist nicht die standardmäßige Authentifizierung über die MAC-Adresse zu zählen (Hardwareadresse der Netzwerkkarte), die der Methode des MACSpoofings, dem Vortäuschen einer meistens vorher abgehörten MAC-Adresse, nicht standhält und

- die Benutzerauthentifikation gegenüber dem Netz des Amtes für Jugend und Familie.

- Aufgrund der Sensibilität der Daten ist es außerdem wichtig, die Daten selbst auf der Funkstrecke sicher zu verschlüsseln. Ich habe deshalb gegenüber dem Amt für Jugend und Familie folgende Anforderungen definiert:

- Abschottung des Funknetzes durch die Bildung eigener Subnetze,

- Verschlüsselung der Inhaltsdaten,

- Integriertes Sicherheitsmanagement unter Einbeziehung der WLANKomponenten,

- VPN-Verschlüsselung unter Einbeziehung einer Firewall (diese trennt zwei Netzwerke mit unterschiedlichen Sicherheitsanforderungen).

Das Amt für Jugend und Familie hat mir die Umsetzung sämtlicher Anforderungen zugesagt.

Telefonische Hinweise auf illegale Beschäftigung in der Stadtgemeinde Bremen

Bereits im letzten Jahr habe ich berichtet, dass das Arbeitsressort einen Telefonanschluss geschaltet und öffentlich bekannt gemacht habe, über den seine Koordinierungsstelle zur Bekämpfung illegaler Beschäftigung Hinweise auf Schwarzarbeit und illegale Beschäftigung entgegennimmt (vgl. 25. JB, Ziff. 9.4). Ich hatte daraufhin im November 2002 das Ressort angeschrieben und um Darlegung der Zuständigkeit, die Daten der durch Hinweise betroffenen Bürger zu verarbeiten, und um Auskünfte zur Ausgestaltung der Datenverarbeitung gebeten. Im Februar 2003 erhielt ich schließlich die erbetenen Auskünfte. Die eingegangenen Hinweise ­ so wurde berichtet ­ würden auf einem Formblatt festgehalten, das als Text auf einem Stand-alone-PC gespeichert werde. Zugleich würden die Identitätsdaten der Betroffenen unter Zusammenfassung des Sachverhalts in einer Tabelle gespeichert. Die Formblätter würden per Fax an als zuständig erkannte Verfolgungsbehörden, etwa das Stadtamt, das Hauptzollamt, Sozialversicherungsträger oder Finanzbehörden, übermittelt. Diese würden dann eine Rückmeldung veranlassen, wenn ein Verfahren eingeleitet worden ist. Bisher seien Auskunftsansprüche Betroffener nicht erhoben worden. Es seien noch keine, aufgrund der Hinweise gespeicherten Daten gelöscht. Festlegungen über Löschfristen seien nicht getroffen worden.

Ich bezweifelte gegenüber dem Ressort, dass ihm die Befugnis zur Verarbeitung der Daten der Betroffenen zustehe, da in den vielfältigen Vorschriften zur Bekämpfung illegaler Arbeit und Schwarzarbeit eine oberste koordinierende Landesbehörde nicht aufgeführt sei. Diese Aufgabe komme nach dem SGB III vielmehr der Bundesagentur für Arbeit (vormals Bundesanstalt für Arbeit) zu. Darüber hinaus habe man es versäumt, die nach § 8 gebotenen Festlegungen über die automatisierte Verarbeitung personenbezogener Daten (Datenschutzkonzept) zu treffen. Insbesondere sei es nicht akzeptabel, dass das Ressort seiner Verantwortung für die Pflege der Dateien (Berichtigung bzw. Löschung widerlegter oder nicht bestätigter Hinweise, Festlegung regelmäßiger Löschfristen), wie für die Erteilung von Auskünften an Betroffene nicht gerecht werde.

Der Senat teilte in seiner Stellungnahme zu meinem 25. Jahresberichts mit, es werde an Ansätzen zur Lösung der datenschutzrechtlichen Probleme gearbeitet.

Dennoch erfuhr ich, selbst auf eine Erinnerung hin, nichts über etwaige Arbeitsergebnisse. Erst in der Sitzung des Rechtsausschusses der Bremischen Bürgerschaft am 5. November 2003 erklärte ein Vertreter des Ressorts, bis zum Ende des Jahres werde man einen Vorschlag vorlegen können. In der Sitzung des Rechtsausschusses Anfang Januar 2004 erklärte ein Vertreter des Arbeitsressorts, er werde dem Ausschuss bis Ende Februar 2004 ein Datenschutzkonzept für die in der Koordinierungsstelle geführte automatisierte Datei mit den Daten aus den eingegangenen Hinweisen vorlegen. Egal, wie sich dieser Bereich in Zukunft neu gestalten wird, wenn die unter Ziff. 13.5 dieses Berichts dargestellten bundesgesetzlichen Regelungen umgesetzt werden, so lange personenbezogene Daten im Ressort verarbeitet werden, muss hierbei den datenschutzrechtlichen Belangen Rechnung getragen werden.

Es bleibt festzuhalten, dass, jedenfalls weit über ein Jahr lang, Bürgerdaten ohne Festlegung eines geordneten Verfahrens verarbeitet wurden. Mit dieser Kritik ist nicht die Absicht verbunden, illegale Beschäftigung und Schwarzarbeit zu beschönigen oder gar zu decken. Aber auch die Bürger, die in diesem Zusammenhang zu Recht oder zu Unrecht in Verdacht geraten, haben Anspruch darauf, dass ihre Daten in einem rechtsstaatlichen Verfahren verarbeitet werden.

Spendenaktion Weihnachtshilfe

In der Weihnachtszeit ist in Bremer Tageszeitungen täglich über das Gute zu lesen, das die Weihnachtshilfe durch einmalige, mittels Spenden der Leser ermöglichte Beihilfen hat bewirken können. Jemand, dessen Hilfeantrag abgelehnt worden war, hatte vergeblich um Rückgabe der eingereichten, seine Bedürftigkeit belegenden Unterlagen gebeten und sich anschließend an mich gewandt. Vom Senator für Arbeit, Frauen, Gesundheit, Jugend und Soziales, der die Durchführung der gemeinsam mit der Bremer Tageszeitungen AG verantworteten Aktion übernommen hat, erfuhr ich, dass man die Unterlagen der erfolgreichen Bewerber aus steuerlichen Gründen für die Dauer von fünf Jahren aufbewahren müsse. Über den Umgang mit Unterlagen abgelehnter Bewerber aber hatte man sich noch keine Gedanken gemacht. Ich schlug vor, diese Unterlagen nach Ablauf des folgenden Jahres zu vernichten, sofern sie nicht zuvor auf Wunsch des Betroffenen zurückgegeben worden seien. Entsprechende Fristen schlug ich für die aus den Anträgen in eine Excel-Tabelle übernommenen Daten der Antragstellerinnen und Antragsteller vor. Als Reaktion erhielt ich ein Datenschutzkonzept für die Spendenaktion Weihnachtshilfe, in dem meine Vorschläge aufgegriffen worden sind.

Auch im Übrigen trifft das Konzept die durch § 8 Bremisches Datenschutzgesetz vorgegebenen Festlegungen.

Supervision für Adoptiveltern

In Bremerhaven bietet ein Verein, in dem sich Adoptiv- und Pflegeeltern organisiert haben, Supervision für seine Mitglieder durch einen Psychologen an. Das Amt für Jugend und Familie zahlt Zuschüsse zur Honorierung der Supervisoren.

Vor der Entscheidung über die Zuwendung für das Jahr 2003 verlangte das Amt vom Verein, ihm die Namen der Teilnehmer der Supervision in 2002 zu nennen.

Öffentliche Mittel könnten nur bewilligt werden, wenn die Teilnehmer bekannt seien. Der Verein lehnte dies ab. Er berief sich auf die berufliche Schweigepflicht des Psychologen nach § 203 und darauf, dass ihre Anonymität Voraussetzung dafür sei, dass die Eltern das Angebot wahrnehmen.

Ich habe das Amt darauf aufmerksam gemacht, dass die Teilnehmer des vorausgegangenen Jahres mit seinem Verlangen nicht hätten rechnen müssen. Sie hätten schon deshalb den Psychologen nicht von seiner Schweigepflicht entbinden können. Auch der Verein selbst, dem der Psychologe nach deren Einwilligung die Namen der Teilnehmer genannt habe, sei durch § 39 Abs. 1 BDSG, daran gehindert, diese Daten an Dritte weiterzuleiten. Deshalb müssten die Eltern zunächst um ihre Einwilligung in die Weiterleitung gebeten werden. Daneben habe ich das Amt darauf hingewiesen, dass der hier einschlägige § 44 der Landeshaushaltsordnung (LHO) und die ergänzenden Nebenbestimmungen (Ziff. 11.2 der VVLHO zu § 44 und die Allgemeinen Nebenbestimmungen zur Projektförderung in der Anlage 2 zu den VV-LHO zu § 44) nicht verlangten, die Identitätsdaten der Teilnehmer offen zu legen.

Das Amt hat daraufhin auf die Nennung der Teilnehmer des Projekts in 2002 verzichtet und sich mit anonymisierten Angaben begnügt. Für 2003 ­ und damit voraussichtlich auch für die Folgejahre ­ besteht man auf die Benennung der Teilnehmer, sichert allerdings im Gegenzug zu, die Daten nur zur Prüfung der ordnungsgemäßen Verwendung der Zuwendung durch die dafür zuständigen Mitarbeiterinnen und Mitarbeiter nutzen zu wollen. Nachdem der Verein sich damit einverstanden erklärt hatte, erhob ich keine Bedenken mehr gegen das Verfahren. Die Folge ist, dass der Verein nunmehr die Einwilligung in die Weitergabe des jeweiligen Namens zur Voraussetzung der Teilnahme wird machen müssen.