Des Weiteren stoßen die Vorschriften zur Gebührenbefreiung gemäß § 6 RGbStV auf datenschutzrechtliche Bedenken

Adressen bei kommerziellen Adresshändlern durch die GEZ im rechtlich geregelt, weil in einigen Ländern das Fehlen einer ausdrücklichen gesetzlichen Ermächtigung von den Datenschutzbeauftragten gerügt wurde.

Mit der Regelung sollte Rechtssicherheit und Gleichbehandlung aller Landesrundfunkanstalten gewährleistet werden.

Des Weiteren stoßen die Vorschriften zur Gebührenbefreiung gemäß § 6 auf datenschutzrechtliche Bedenken. Aus den bei der Antragstellung im Original oder in beglaubigter Abschrift vorzulegenden Bescheiden der Sozialleistungsträger insbesondere beim ALG II sind eine Vielzahl von Daten ersichtlich, die für das Gebührenbefreiungsverfahren bei der GEZ irrelevant sind, dort aber gleichwohl eingescannt und vorgehalten würden.

Der Landesbeauftragte für den Datenschutz rügte das vorgeschriebene Verfahren und dass er vor der durch die Ministerpräsidenten erfolgten Beschlussfassung zum 8. Rundfunkänderungsstaatsvertrag von der Senatskanzlei nicht wie im vorgesehenen beteiligt wurde. Er zeigte auch kein Verständnis dafür, dass die Sozialleistungsempfänger in Zeiten von noch mit einem derartigen Verfahren belastet würden. Die Senatskanzlei sagte in der Ausschusssitzung zu, ihn im Rahmen der Beratungen zum 9. Rundfunkänderungsstaatsvertrag frühzeitig zu beteiligen.

Die Vorlage von Originalen oder beglaubigten Kopien wird von der GEZ aus Gründen der Fälschungssicherheit verlangt. Die nunmehr in der Praxis deutlich gewordenen Schwierigkeiten im Umgang mit den teilweise sehr umfangreichen Bescheiden waren wiederholt Beratungsgegenstand mit den beteiligten Stellen. So wird die Erstellung von Annexbescheiden, die lediglich die Bestätigung des Vorliegens der Voraussetzungen zur Gebührenbefreiung enthalten, in Bremen vom Studentenwerk, Versorgungsamt und vom Amt für Soziale Dienste zwischenzeitlich sichergestellt. Die Agenturen für Arbeit sehen sich zur Erstellung von Annexbescheiden gegenwärtig nicht in der Lage, so dass die Problematik für ALG-II-Bezieher, die mehr als 60 Prozent der Betroffenen ausmachten, nicht gelöst ist.

Nach Auskunft des Vertreters der wird ein bundesweit einheitliches Programm eingesetzt, das von Bremen aus nicht isoliert verändert werden könne. Die in Bremen betreue gegenwärtig rund 41.000 Bedarfsgemeinschaften mit Anspruch auf Gebührenbefreiung, so dass bei einer vom Gesetz vorgegebenen maximalen Bewilligungsdauer von sechs Monaten ein erheblicher Verwaltungsaufwand entstehen würde. Bei 200 Sprechtagen pro Jahr werden täglich 410 Anträge in der bearbeitet. Der Vertreter der unterbreitete folgenden Lösungsweg:

Die stempelt den Antrag auf Befreiung von der Rundfunkgebührenpflicht mit dem Hinweis ab, der Originalbescheid habe vorgelegen.

Der Datenschutzbeauftragte von Radio Bremen stimmte der Lösung unter dem Vorbehalt zu, dass die Bescheinigung damit die Qualität eines zweiten Originalbescheides erhalte. Auch der Landesbeauftragte erklärte sich mit dem Vorschlag einverstanden.

Die zwischenzeitlich von der GEZ erneut erhobenen Einwände gegen die zuvor dargestellte Lösung bedürfen einer weiteren Klärung zwischen den beteiligten Institutionen.

Der Ausschuss begrüßt, dass die Beteiligten an einer allen Seiten gerecht werdenden Lösung arbeiten.

Antrag

Die Bürgerschaft (Landtag) möge beschließen:

Die Bürgerschaft (Landtag) tritt den Bemerkungen des Rechtsausschusses bei.

Weitere Themen der Beratungen im Rechtsausschuss

Über die in Ziff. 7.1 dargestellten Ergebnisse hinaus hat sich der für den Datenschutz zuständige Parlamentsausschuss u. a. auch mit nachfolgenden Themen beschäftigt:

- Einführung der elektronischen Gesundheitskarte,

- Eingrenzung der Datenverarbeitung bei der Fußball-Weltmeisterschaft 2006,

- gravierende Datenschutzmängel bei Hartz IV,

- Entwicklung der datenschutz nord

- Vertragsverletzungsverfahren wegen Nichtumsetzung der EU-Datenschutzrichtlinie,

- Dateneinträge im Kraftfahrzeugbrief,

- Elektronisches behördliches Telefonbuch (ETB),

- Veröffentlichung von Insolvenzbekanntmachungen im Internet.

Einsicht in Unterlagen des Petitionsausschusses

Ein Bürger wandte sich an mich und fragte, ob er einen Anspruch auf Einsicht in die Akten des Petitionsausschusses der Bremischen Bürgerschaft nach Beendigung eines ihn betreffenden Petitionsverfahrens mit dienstrechtlichem Hintergrund habe.

Ich habe auf meine fehlende Zuständigkeit hingewiesen, da es sich bei der Arbeit des Petitionsausschusses um eine parlamentarische Aufgabe handelt, die nicht den Bestimmungen des Bremischen Datenschutzgesetzes unterfällt. Ich habe ihn aber darauf hingewiesen, dass die Datenschutzordnung der Bremischen Bürgerschaft vorsieht, dass Betroffenen auf Antrag Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen ist.

8. Personalwesen

Technische Mängel bei der Arbeitszeiterfassung (AZE)

Im Laufe des Berichtsjahres habe ich das Verfahren zur elektronischen Arbeitzeiterfassung (AZE) einer technischen Datenschutzprüfung unterzogen. Die Datenschutzprüfung habe ich exemplarisch an mehreren AZE-Terminals beim Senator für Bau, Umwelt und Verkehr (SBUV) und dem in meiner Dienststelle neu installierten System durchgeführt. Dabei habe ich gravierende Mängel festgestellt.

So konnte ich mit einem PC, der mit dem AZE-Terminal vernetzt war, unter Ausnutzung allgemein bekannter, vom Betreiber ignorierter und daher nicht geschlossener Sicherheitslücken problemlos umfangreiche wichtige technische Informationen ermitteln: offene Ports und somit die dahinterliegenden Netzwerkdienste, eine vollständige Liste der freigegebenen Ressourcen der Terminals, wie z. B. Laufwerkfreigaben und auf den Terminals existierenden Benutzergruppen und den ihnen zugeordneten Benutzerkonten. Dazu habe ich keinerlei Zugriffsberechtigung auf das entsprechende Terminal benötigt. An einigen Terminals waren zudem offene physikalische Schnittstellen zu finden. Hier hätten beliebige Externe eine Tastatur an die Terminals anschließen können.

Für potenzielle Hackerangriffe interessant sind immer Benutzerkonten, die der Gruppe Administratoren angehören. Von diesen waren jeweils zwei auf den Terminals zugänglich. Weiterhin konnte ich noch ein Benutzerkonto mit gegenüber den Administratorenkonten eingeschränkten Zugriffsberechtigungen ermitteln. Es gelang, die Passwörter zu den Benutzerkonten zu erraten. Alarmierendes Ergebnis: Das Passwort zu allen ermittelten Benutzerkonten entsprach genau dem jeweiligen Namen des Benutzerkontos! Die Anmeldung als Administrator hätte es daraufhin jedem erlaubt, das komplette System vollständig unter seine Hoheit zu nehmen und z. B. die Konfiguration der Maschine so zu verändern, dass eine Nutzung des Geräts nicht mehr möglich gewesen wäre. Damit hätten auch die Datenbanken, in denen die zur AZE gehörenden Personaldaten der Dienststelle gespeichert und verarbeitet werden, komplett vom Terminal herunterkopiert werden können.

Danach wären Offline-Veränderungen der Datenbestände und das Rückspielen falscher Daten möglich geworden. Auf das Kopieren der Datenbanken und deren datenschutzrechtliche Analyse habe ich bei meiner Prüfung verzichtet.

Ich konnte zunächst nicht glauben, dass solche Fehler aus dem kleinen Einmaleins der Datensicherheit gemacht wurden. Nachdem ich die festgestellten Mängel aber bei mehreren der von mir überprüften AZE-Terminals feststellen konnte, war offensichtlich, dass das Konfigurationsproblem bei allen angeschlossenen AZE-Terminals vorhanden war.

Die gefundenen Mängel stellen gravierende Verstöße gegen die in § 7 des Bremischen Datenschutzgesetzes geforderten Maßnahmen dar, insbesondere sind Zugangskontrolle § 7 Abs. 4 Nr. 2), Zugriffskontrolle

§ 7 Abs. 4 Nr. 3), Eingabekontrolle § 7 Abs. 4 Nr. 5) ebenso wie die Verfügbarkeitskontrolle § 7 Abs. 4 Nr. 7) nicht gewährleistet. Auch stellen die Mängel Verstöße gegen das Datenschutz- und Datensicherungskonzept für die elektronische Arbeitszeiterfassung dar. So hätte mittels der nicht geschlossenen Sicherheitslücken eine Fernwartung mit der Möglichkeit, heimlich auf einzelne Arbeitszeitkonten zu schauen, problemlos durchgeführt werden können, was nach dem Datenschutzkonzept aber nicht zulässig ist.

Ich habe dem Senator für Finanzen meinen Prüfbericht zugesandt und ihn aufgefordert, die eklatanten und elementaren Mängel umgehend zu beseitigen. Einige Dienststellen haben daraufhin die elektronische Arbeitszeiterfassung ausgesetzt.

In Abstimmung mit mir wurden die Einstellungen grundlegend verändert und die Sicherheitslücken geschlossen. Mit der Anpassung der sich in Betrieb befindlichen AZE-Terminals wurde begonnen. Die Umstellung aller Dienststellen wird nach Einschätzung des im ersten Quartal 2006 abgeschlossen sein. Ich werde das überwachen.

Falsche Behandlung von Bewerbungsunterlagen

Im Rahmen einer Bewerbung (Geschäftsführer der Bremer Toto und Lotto hatte ein abgewiesener Bewerber die Unterlagen eines anderen Bewerbers vom Innenressort erhalten.

Auf meine Nachfrage hat Herr Bürgermeister Röwekamp in seiner Funktion als Vorsitzender des Aufsichtsrats diesen Sachverhalt bestätigt und bedauert, dass es trotz arbeitsteiliger Organisation und Endkontrolle zu diesem Fehler kommen konnte.

In einem anderen Fall hat der Personalverantwortliche der Industrie- und Handelskammer (IHK) Bremerhaven, der gleichzeitig behördlicher Datenschutzbeauftragter war, Namen und Adressen von Bewerbern zu Werbezwecken ohne deren Einwilligung an die Barmer Ersatzkasse weitergegeben.

Der Hauptgeschäftsführer hat auf meine mehrfachen Nachfragen erklärt, die unzulässigerweise übermittelten Daten seien bei der Krankenkasse vollständig gelöscht worden. Außerdem sei ein anderer zum behördlichen Datenschutzbeauftragten bei der IHK neu bestellt worden.

9. Inneres

Neues Gesetz über den Verfassungsschutz im Lande Bremen

Nachdem die in den Jahren 2000, 2002 und 2004 vorgesehenen Änderungen des Bremischen Verfassungsschutzgesetzes scheinbar politisch nicht durchsetzbar waren ­ ich habe jeweils im 25. Jahresbericht und 27. Jahresbericht über meine datenschutzrechtlichen Bedenken berichtet ­ hat nunmehr das Innenressort einen neuen Anlauf genommen. Grundlage ist die im Koalitionsvertrag getroffene Vereinbarung, die Zusammenarbeit mit dem niedersächsischen Landesamt für Verfassungsschutz zu intensivieren. Obwohl die damit verbundenen Pläne einer Zusammenlegung der Verfassungsschutzämter von Bremen und Niedersachsen nach bisherigem Kenntnisstand nicht mehr weiter verfolgt werden, soll scheinbar an einer Angleichung der Verfassungsschutzgesetze der beiden Länder festgehalten werden.

Für mich ist eine Angleichung kein eigener Wert: Unterschiedliche Länder ­ unterschiedliche politische Auffassungen von den Aufgaben und Schwerpunkten einer Verfassungsschutzbehörde. Bremen war das erste Land unter den Bundesländern mit datenschutzrechtlichen Regelungen für den Verfassungsschutz. Alle anderen Länder sind nach und nach gefolgt. Eine solche Vorbildrolle sollte Bremen weiter behalten. Auch die Zusammenarbeit der Verfassungsschutzämter von Bremen und Niedersachsen würde durch eine einheitliche Regelung nicht verbessert, denn die Zusammenarbeit unter den Verfassungschutzämtern des Bundes und der Länder ist einheitlich durch Bundesgesetz verpflichtend geregelt. Daraus ergibt sich somit kein Änderungsbedarf.

Im Juli 2005 übersandte mir der Senator für Inneres und Sport einen neuen Entwurf eines Gesetzes über den Verfassungsschutz im Lande Bremen mit Änderungen. Die von mir im vergangenen Berichtsjahr abgegebene Stellungnahme (vgl.