Hartz
Nach Absatz 2 dieser Vorschrift dürfen Abfragen von Sicherheitsbehörden melderegisterübergreifend und als Gruppenabfrage durchgeführt werden. Die durch diese Vorschrift eröffneten Möglichkeiten berücksichtigen weder die Grundsätze der Datensparsamkeit noch die der Verhältnismäßigkeit und sind meines Erachtens daher eindeutig überzogen. Aufgrund meiner Stellungnahme konnte ich im weiteren Gesetzgebungsverfahren wenigstens eine bescheidene Konkretisierung der Abfrage durch Eingabe weiterer Merkmale erreichen, die ursprünglich erst bei einer Trefferzahl von 200 Personen vorgesehen war und nunmehr auf eine Trefferzahl von 100 Personen begrenzt wurde.
Bei der Datenübermittlung an öffentlich-rechtliche Religionsgemeinschaften nach § 9 MeldDÜV wurde seitens des Gesetzgebers meinem Vorschlag gefolgt, die Terminologie des § 32
Abs.1 Nr.11 Saarländisches Meldegesetz wortgleich zu übernehmen, um einen gegensätzlichen Rechtscharakter zu vermeiden.
Auch meiner Forderung auf die Datenübermittlung des Ein- und Auszugstages schulpflichtiger Kinder an Grundschulen, mangels Notwendigkeit, zu verzichten, wurde in der derzeit gültigen Fassung des § 10 MeldDÜV Rechnung getragen.
§ 18 Absatz 2 MeldDÜV regelt das Abrufverfahren für Gerichte. Die Zulässigkeitsvoraussetzungen dieser Norm wurden nach meiner Auffassung nicht hinreichend definiert. Darüber hinaus erscheint fraglich, ob der im Abrufverfahren übermittelte Informationsgehalt aufgrund fehlender Eilbedürftigkeit für besagte Stellen stets bereitgehalten werden muss. Hierfür hält das Melderecht andere Instrumentarien (Melderegisterauskunft) bereit.
Die in den §§ 24 bis 37 MeldDÜV geregelte Datenübermittlung in automatisierter Form räumt nunmehr die Möglichkeit ein, an zusätzliche Daten des Betroffenen zu gelangen, ohne dass, wie von mir postuliert, das datenschutzrechtliche Primat der „Datenerhebung beim Betroffenen" oder zumindest eine Beschränkung auf die Grunddatenerhebung beachtet wurde.
Bedauerlicherweise musste ich nach der Veröffentlichung der Meldedatenübermittlungsverordnung im Amtsblatt des Saarlandes vom 08. Juni 2007 feststellen, dass zwei weitere Vorschriften, nämlich § 15 (Datenübermittlung an Jugendämter) und § 33 (Abrufverfahren für die Sozialämter) in das Gesetzeswerk ohne die Beteiligung meiner Dienststelle eingearbeitet wurden.
Abschließend möchte ich daher festhalten, dass die Meldedatenübermittlungsverordnung in Ihrer derzeit gültigen Fassung eine erhebliche Ausweitung der regelmäßigen Datenübermittlung darstellt, wobei der Verordnungsgeber hier seiner Begründungspflicht nur äußerst spärlich nachkam.
9 Kommunales:
Parkgebühren zahlen mit dem Handy Unterstützt durch das Innen- und finanziell gefördert durch das Wirtschaftsministerium wurde im Jahr 2005 in den Städten Neunkirchen und Saarbrücken ein System zur Zahlung der Parkgebühren über das Handy eingeführt. Über das Vorhaben wurde ich zwar nicht frühzeitig, aber dennoch rechtzeitig informiert um es datenschutzrechtlich zu begleiten.
Betreiber des Systems ist eine saarländische Firma. Der Verkehrsteilnehmer, der das System nutzen will, meldet sich über Internet beim Betreiber an. Der Betreiber speichert Name, Vorname, Adresse, Handynummer, Kfz-Kennzeichen, Bankverbindung, sowie einen Benutzernamen und eine PIN. Diese Daten werden einerseits für die Abrechnung der Parkgebühren benötigt und andererseits um den städtischen Parkraumkontrolleuren anzuzeigen, ob ein Kfz im System als parkend eingebucht ist. Bei einem Parkvorgang ruft der Nutzer mit seinem Handy eine in der Parkzone angegebene Nummer an und erhält eine Bestätigungs-SMS.
Diesen Vorgang muss er wiederholen, wenn er die Parkzone verlässt.
Aus durchaus nachvollziehbaren Gründen wollte der Betreiber die persönlichen Daten der Nutzer auch für Zwecke kommerzielle Natur verwenden. Unter anderem wurde der Versand von Werbenachrichten per SMS genannt.
Da der Parkende jedoch ausschließlich in eine Rechtsbeziehung zu der Kommune eintritt, die den Parkraum zu verwalten hat, bleibt die Kommune alleine Herr der Daten. Nichtöffentliche Stellen können im vorliegenden Fall lediglich als unselbständige Verwaltungshelfer ohne eigene Entscheidungskompetenz gegenüber dem Parkenden mit technischorganisatorischen Hilfstätigkeiten betraut werden. Aus Sicht des Datenschutzes war mit dem Betreiber ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Auftragnehmer nicht dazu legitimiert im Rahmen eines öffentlich-rechtlichen Vorgangs parallel eine nicht weisungsgebundene private Rechtsbeziehung zu eröffnen.
Dieser Auffassung haben sich die betroffenen Kommunen angeschlossen und sind entsprechende Verträge zur Auftragsdatenverarbeitung mit dem Betreiber eingegangen.
Videoüberwachung von Müllcontainern durch eine Kommune
Bereits im Februar 2004 hatte ich durch Presseveröffentlichungen erfahren, dass in einer saarländischen Gemeinde die Videobeobachtung der Müllcontainer in Erwägung gezogen werde. In einem an den Bürgermeister gerichteten Schreiben wies ich darauf hin, dass im Saarland für dieses Vorhaben eine gesetzliche Grundlage fehlt und bat, von der geplanten Maßnahme abzusehen.
Eine personenbezogene Videoüberwachung stellt einen tiefen Eingriff in das Recht auf informationelle Selbstbestimmung dar, der nur auf Grund eines Gesetzes im überwiegenden Interesse der Allgemeinheit zulässig ist.
Im August 2006 berichtete der Saarländische Rundfunk (SR1) über durchgeführte Videoüberwachungen der Müllcontainer in dieser Gemeinde. Der Bürgermeister sprach dabei von einem dreimonatigen, erfolgreichen Test. In dieser Zeit seien Personen ermittelt worden, denen ein Bußgeld auferlegt worden sei.
Da es sich um einen bewussten und gravierenden Datenschutzverstoß handelte, habe ich die Vorgehensweise nach § 27 Saarländisches Datenschutzgesetz unter gleichzeitiger Unterrichtung der für die Stadt zuständigen Aufsichtsbehörde beanstandet.
10 Soziales:
Hartz IV:
Ein Schwerpunktthema in meiner Dienststelle waren datenschutzrechtliche Probleme im Zusammenhang mit der Umsetzung von Hartz IV. Neben einer Reihe von Petitionen, die ich in diesem Zusammenhang zu bearbeiten hatte, mussten sich der Bundesbeauftragte und die Landesbeauftragten für den Datenschutz mit gravierenden grundsätzlichen Problemen beschäftigen.
So mussten verschiedene Landesbeauftragte für den Datenschutz erleben, dass ihnen von den zuständigen ARGEn das Recht abgesprochen wurde, ihre Dienststellen zu kontrollieren.
Es wurde argumentiert, dass wegen der geteilten Zuständigkeiten innerhalb der ARGEn (die Bundesagentur als Trägerin der Leistungen zur Eingliederung in Arbeit und der Geldleistungen zur Sicherung des Lebensunterhaltes, die Kommunen als Leistungsträger für die Kosten der Unterkunft und Heizung) eine geteilte Kontrollkompetenz zwischen dem Bundesbeauftragten für den Datenschutz und den Landesbeauftragten für den Datenschutz bestehe. Dem steht gegenüber, dass der Gesetzgeber den ARGEn diese Aufgaben zur einheitlichen Wahrnehmung übertragen hat; die ARGEn sind berechtigt, zur Erfüllung ihrer Aufgaben Verwaltungsakte und Widerspruchsbescheide zu erlassen.
Auf ihrer 72. Konferenz am 26./27. Oktober 2006 hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder folgenden Beschluss gefasst:
1. Die Kontrollkompetenz der LfD bezieht sich auf alle Leistungen nach dem SGB II.
2. Die ARGEn sind unmittelbar Adressaten von eventuellen Beanstandungen der LfD. In Fällen grundsätzlicher Art sollte der BfDI über Beanstandungen informiert werden.
3. Auch wenn der BfDI Kontrollstelle für die zentralen IT-Verfahren der BA ist, sind die ARGEn verpflichtet, den LfD Einblick in oder Auskunft über die technischen Verfahren zu geben, die zu bestimmten Beschwerden Anlass geben. Entsprechendes gilt auch für die Hinweise zu Verfahren, Empfehlungen usw. der BA. Die LfD können diese Verfahren/Hinweise selbst nicht datenschutzrechtlich bewerten, aber sie müssen diese zur Kontrolle der datenschutzgemäßen Aufgabenerledigung der ARGEn direkt (vor Ort) zur Kenntnis nehmen können.
4. Die Bestellung von behördlichen Datenschutzbeauftragten in den ARGEn richtet sich nach Landesrecht.
5. Im Einzelfall können sich die LfD auch direkt an die BA wenden.
Das Bundesministerium für Arbeit und Soziales trägt diesen Beschluss mit, die Bundesagentur für Arbeit hat die Regionaldirektionen und die ARGEn auf diese Datenschutzkontrollzuständigkeiten und die damit verbundenen Rechte und Pflichten hingewiesen. Das saarländische Ministerium für Wirtschaft und Arbeit teilt ebenfalls die Auffassung der Datenschutzbeauftragten und hat zugesagt, im Rahmen seiner Rechtsaufsicht über die ARGEn darauf hinzuwirken, dass wir unsere Befugnisse innerhalb der ARGEn ordnungsgemäß ausüben können.