Auch mit der Einrichtung des Bürgerbüros Bremerhaven sind erhebliche datenschutzrechtliche Fragestellungen verbunden

Diese Regelung soll Betroffene vor Überraschungen schützen und sie in die Lage versetzen, auf Irrtümer und Fehler hinzuweisen.

6.11 Bürgerbüro Bremerhaven

Der Magistrat der Stadt Bremerhaven hat im Berichtsjahr im neu geschaffenen Hanse-Carre der Seestadt das Bürgerbüro Bremerhaven eingerichtet. Ähnlich wie in dem von der Stadt Bremen eingerichteten Bürger-Service-Center (vgl. 26. JB, Ziff: 6.3.2) sollen dort dem Bürger unterschiedliche Dienstleistungen der Stadt angeboten werden. Die Dienstleistungen betreffen u. a. Melde- und Passangelegenheiten, Straßenverkehrs- sowie Staatsangehörigkeits- und Ausländerangelegenheiten der Bürger.

Auch mit der Einrichtung des Bürgerbüros Bremerhaven sind erhebliche datenschutzrechtliche Fragestellungen verbunden. Da die zu verarbeitenden personenbezogenen Daten häufig sehr sensibel sind, ist die Ergreifung angemessener technischer und organisatorischer Sicherungsmaßnahmen durch das Bürgerbüro von besonderer Bedeutung. Unter anderem habe ich eine klare räumliche Trennung des Empfangs- und des Abfertigungs- bzw. Servicebereichs und innerhalb des letztgenannten Bereichs eine schützende Abgrenzung der einzelnen Service-Einheiten untereinander empfohlen. Für die einzelnen Bereiche gelten datenschutzspezifische Anforderungen. So dürfen die Mitarbeiter des Bürgerbüros bei Staatsangehörigkeits- und Ausländerangelegenheiten Anträge zwar entgegennehmen, zur weiteren Bearbeitung müssen diese dann aber an das Fachamt weitergeleitet werden.

Vom Magistrat der Stadt Bremerhaven ist mir die Umsetzung der notwendigen Maßnahmen und die Einhaltung der zu beachtenden Anforderungen zugesagt worden.

Ich werde die Einhaltung überprüfen.

6.12 Vollständige Ausländerakte an das Gesundheitsamt

Die Ausländerbehörde ersucht das Gesundheitsamt Bremen um Abgabe amtsärztlicher Gutachten zur Beurteilung, ob gemäß § 53 Ausländergesetz ein Abschiebehindernis besteht oder ob gemäß § 55 Duldungsgründe vorliegen.

Mit dem Ersuchen wird u. a. um Auskunft gebeten, ob akute Erkrankungen bestehen, die der Reisefähigkeit entgegenstehen, wie lange die Behandlung dauert oder auch welche weiteren Behandlungsschritte erforderlich sind. Dazu wurde in der Vergangenheit die gesamte Ausländerakte dem Gesundheitsamt übersandt.

Gemäß § 13 Abs. 1 Bremisches Datenschutzgesetz sind nur die Daten zu übermitteln, die zur rechtmäßigen Erfüllung der Aufgaben erforderlich sind, d. h., nur Daten, die der Ersuchte für seine Aufgabe benötigt. Dies können nur Daten sein, die die ärztliche Begutachtung unterstützen. In der Ausländerakte sind eine Vielzahl von Daten über den Betroffenen (Arbeitsverhältnisse, Strafverfahren, Fluchtdaten, Asylantragsdaten usw.), aber auch Daten über Dritte (Familienangehörige, Arbeitgeber, Zeugen, Vermieter u. v. a. m.) enthalten, die für eine amtsärztliche Begutachtung nicht erforderlich sind.

Das Gesundheitsamt hat in einem Anforderungsprofil die Informationen aufgeführt, die es für Gutachten zur Reisefähigkeit benötigt. Dies entspricht auch meinen Vorstellungen. Dieses Anforderungsprofil hat die Ausländerbehörde dem Senator für Inneres und Sport zur Entscheidung übergeben.

6.13 Rettungsdienst wird neu organisiert

Der Rettungsdienst in Bremen soll neu organisiert werden. Dazu wurde eine Untersuchung in Auftrag gegeben.

Mit der Erstellung eines entsprechenden Gutachtens wurde eine auswärtige Firma beauftragt. Dabei wurde ich beteiligt und um Darlegung datenschutzrechtlicher Kriterien für diese Untersuchung gebeten. Diesem Wunsch bin ich nachgekommen und habe einige den Datenschutz gewährleistende Hinweise und Anregungen gegeben. So sind bereits in einer frühen Untersuchungsphase personenbezogene Daten von Patienten und Mitarbeitern des Rettungsdienstes zu anonymisieren bzw. erforderlichenfalls zu pseudonymisieren. Die erforderlichen Daten werden dem Gutachter in aufbereiteter Form zur Verfügung gestellt.

6.14 Private Daten im Zugriff

Mit einer Eingabe beklagte ein Mitarbeiter der Feuerwehr Bremen, dass eine von ihm erstellte private Datei in einem Verzeichnis aufgetaucht sei, die auch anderen Kollegen des Sachgebietes zugänglich sei. Ich habe den Vorfall untersucht und die Dateiverwaltung bei der Feuerwehr in Bremen geprüft.

Es wurde dargestellt, dass es für jeden Mitarbeiter Zugriffsmöglichkeiten auf Dateien des ihm zugeordneten Sachgebietes gibt. Weiterhin verfügt jeder Anwender über einen so genannten privaten Dateiordner, in welchem er eigene Dateien ablegen kann. Im Gespräch mit dem Datenschutzbeauftragten der Feuerwehr und den Administratoren wurde allerdings deutlich, dass es über den Begriff der privaten Dateien und den Umgang mit dem entsprechenden Verzeichnis keine klaren Regelungen und Aussagen gibt. Während der Eingeber offensichtlich davon ausging, er könne hier private Dateien ohne dienstlichen Bezug speichern, verstanden die Verantwortlichen der Feuerwehr den Begriff der privaten Dateien im Sinne von Daten eines Mitarbeiters mit dienstlichem Bezug.

Die in dieser Eingabe betroffene private Datei wurde bei Auffinden gelöscht. Es ließ sich nachträglich nicht mehr klären, ob der Eingeber selbst die Datei versehentlich auf einem durch sein Sachgebiet allgemein zugänglichen Laufwerk abgelegt oder ob hier ein missbräuchlicher Zugriff auf Daten stattgefunden hat.

Meine Fragen bezüglich der Rechtevergabe auf Verzeichnisse und bezüglich der Protokollierung wurden bisher nicht beantwortet. Ich stehe diesbezüglich mit dem behördlichen Datenschutzbeauftragten der Feuerwehr in Kontakt. Ziel ist die Erhöhung der Transparenz bei der Bearbeitung und Administration von Dateien. Bei Erlaubnis der Bearbeitung privater Dateien, aber auch zum Schutz anderer sensibler personenbezogener Daten (z. B. beim Personalrat) sollten geeignete Möglichkeiten zur Verschlüsselung der Dateien zur Verfügung gestellt werden. Es sind klare Regelungen für die Mitarbeiter der Feuerwehr im Umgang mit dienstlichen und privaten Dateien zu machen. Diese sind den Mitarbeitern zur Kenntnis zu geben.

6.15 Dakota bei der Feuerwehr

Die Feuerwehr Bremen möchte zukünftig zur Abrechnung von Leistungen im Rettungsdienst durch ihre Rechnungsstelle Abrechnungsdaten zu Krankenkassen übertragen und hat sich vor Einführung entsprechender Software mit mir in Verbindung gesetzt. Für die Übertragung und Verschlüsselung soll das Produkt dakota.le eingesetzt werden.

Dakota.le (Datenaustausch und Kommunikation auf Basis Technischer Anlagen) ist ein Produkt der Informationstechnischen Servicestelle der gesetzlichen Krankenkassen (ITSG), welche im Auftrag aller Spitzenverbände der Krankenkassen Aufgaben zur Vorbereitung, Realisierung und Optimierung der Datenaustauschverfahren übernimmt, dafür spezielle Produkte und Dienstleistungen anbietet und ein Trustcenter betreibt.

Die zu übertragenden Abrechnungsdaten entstehen bei den Einsätzen der Feuerwehr z. B. bei einem Krankentransport oder Rettungseinsatz. Die Datensätze beinhalten unter anderem folgende Angaben: Name, Vorname und Geburtsdatum des Patienten sowie Versicherungsnehmer, Krankenkasse, Art und Grund des Einsatzes.

Die Teilnahme an diesem Verfahren ist durch den Antrag auf Zertifizierung bei einem Trustcenter möglich. Zum Schutz der personenbezogenen Daten findet auf dem Übertragungsweg eine Verschlüsselung statt. Die Authentizität wird von einer neutralen Stelle, dem Trustcenter, durch ein Zertifikat bestätigt.

Das Produkt dakota.le soll in das Abrechnungssystem der Feuerwehr integriert werden. Der erste Entwurf einer Verfahrensbeschreibung der Feuerwehr Bremen ist bei mir eingegangen. Es steht allerdings noch eine genauere Beschreibung der technischen und organisatorischen Maßnahmen (Sicherheitsrichtlinien) zur Absicherung des Verfahrens und insbesondere der Teilnehmerschlüssel aus.

Sobald Programmversionen mit Erweiterungen und Verbesserungen bezüglich der Verschlüsselung (z. B. Erhöhung der Schlüssellänge) oder Einsatz einer qualifizierten digitalen Signatur mit Chipkarte herausgegeben werden, sind diese zur weiteren Erhöhung des Schutzniveaus einzusetzen.

Die Einführung dieser Software wird weiter von mir verfolgt. Die Bewertung ist noch nicht abgeschlossen.

7. Justiz

Großer Lauschangriff in weiten Teilen verfassungswidrig

Im Jahr 1998 wurden durch eine Grundgesetzänderung in Artikel 13 GG ­ dem Grundrecht auf Unverletzlichkeit der Wohnung ­ die Absätze 3 bis 6 eingefügt.

Nach Artikel 13 Abs. 3 GG ist eine akustische Wohnraumüberwachung zum Zwecke der Strafverfolgung möglich. In § 100 c Abs. 1 Nr. 3 Strafprozessordnung erhielt der große Lauschangriff seine einfachgesetzliche Legitimation. Hiernach durfte das in einer Wohnung nichtöffentlich gesprochene Wort eines Beschuldigten durch die Strafverfolgungsbehörden abgehört und aufgezeichnet werden, wenn bestimmte Tatsachen den Verdacht begründeten, dass er eine der näher bezeichneten Katalogtaten begangen hatte.

Das Bundesverfassungsgericht hat am 3. März 2004 entschieden, dass die gesetzliche Regelung in der Strafprozessordnung zum großen Lauschangriff in weiten Teilen verfassungswidrig ist.

Nach dem Bundesverfassungsgericht sollen nur noch solche Maßnahmen zulässig sein, welche die Menschenwürde wahren. Der Kernbereich privater Lebensgestaltung ist vor akustischen Überwachungsmaßnahmen zu schützen.

Das Gericht hat den Artikel 13 GG Abs. 3 als solchen nicht für verfassungswidrig erklärt, sondern im Wege der systematischen Verfassungsauslegung weitere ungeschriebene Grenzen hinzugefügt:

- Abhörmaßnahmen sind dann zu unterlassen, wenn sich jemand allein oder mit Personen seines Vertrauens in der Wohnung aufhält und keine konkreten Anhaltspunkte dafür bestehen, dass die zu erwartenden Gespräche einen unmittelbaren Bezug zu Straftaten aufweisen. Im Zweifel ist für die Privatsphäre zu entscheiden.

- Der Kernbereich privater Lebensgestaltung muss durch Erhebungs- und Verwertungsverbote konkretisiert werden. Bei Rechtswidrigkeit der Erhebung muss die Maßnahme abgebrochen und die Aufzeichnungen müssen vernichtet werden.

- Anlasstaten müssen bei abstrakter Betrachtung besonders schwerwiegend sein.

Die Höchststrafe muss über fünf Jahre Freiheitsstrafe liegen.

- Art, Dauer und Umfang der Maßnahme sind in einer richterlichen Anordnung eingehend zu begründen.

- Es bestehen Benachrichtigungspflichten. Grundsätzlich sind auch Drittbetroffene zu benachrichtigen.

Da die Regelungen in der Strafprozessordnung diesen Anforderungen nicht entsprechen, hat das Bundesverfassungsgericht sie zu großen Teilen für verfassungswidrig erklärt. Der Bundesgesetzgeber wurde durch das Gericht verpflichtet, bis spätestens zum 30. Juni 2005 einen verfassungsmäßigen Zustand herzustellen.

Im September 2004 hat die Bundesregierung einen Gesetzentwurf beschlossen, der die vom Bundesverfassungsgericht geforderten Einschränkungen bei der akustischen Wohnraumüberwachung umsetzen soll. Allerdings sind zentrale Punkte, wie die Begriffsbestimmung des unantastbaren Kernbereichs der privaten Lebensgestaltung und die Bestimmung des Kreises der Menschen des persönlichen Vertrauens offen geblieben. Die Konferenz der Datenschutzbeauftragten hat im März 2004 eine Entschließung (vgl. Ziff. 15.4 dieses Berichts) verabschiedet, in welcher sie weitergehende Konsequenzen aus dem Urteil des Bundesverfassungsgerichts fordert. Diese Forderung wurde nochmals in einer Entschließung der Konferenz im Oktober 2004 (vgl. Ziff. 15.7 dieses Berichts) bekräftigt.

Darüber hinaus beschränken sich die Auswirkungen des Bundesverfassungsgerichtsurteils nicht nur auf die akustische Wohnraumüberwachung.