Steuer
Dienstanweisung für das bezirkliche Bürgerbüro
Die datenschutzrechtlichen Anforderungen, die bei der Bündelung verschiedener, eigentlich den Fachämtern obliegenden Aufgaben in den Bürgerbüros der Bezirksämter zu beachten sind, hatten wir bereits ausführlich dargestellt200. Damit jeder Mitarbeiter des Bürgerbüros weiß, wie er sich aus datenschutzrechtlicher Sicht verhalten muß, hatten wir auch gefordert, seine Befugnisse und Verpflichtungen in einer Dienstanweisung zu regeln. Diese sollte wenigstens folgende für eine datenschutzkonforme Verfahrensweise wesentliche Punkte berücksichtigen: Mitarbeiter des Bürgerbüros müssen über Grundkenntnisse des Datenschutzrechts verfügen und auf das Datengeheimnis (§ 8 BlnDSG) verpflichtet werden, wobei unabhängig hiervon im Einzelfall die Zulässigkeit der Datenverarbeitung nach den Vorschriften des BlnDSG bzw. den bereichsspezifischen Regelungen zu beurteilen ist. Der Leiter des Bürgerbüros ist für die regelmäßige Schulung der Mitarbeiter in Datenschutzangelegenheiten verantwortlich. Die Mitarbeiter sollten dahingehend unterwiesen werden, dass die in der Beratung oder Bearbeitung eines Sachgebietes erworbenen Erkenntnisse nicht zur zweckfremden Verwendung in einem anderen Sachgebiet herangezogen werden sollten. Die besondere Sensibilität von Sozialdaten sowie der Daten, die der ärztlichen Schweigepflicht unterliegen, sollte ebenso hervorgehoben werden wie der Umstand, dass in den Vorschriften des Sozialdatenschutzes nach dem SGB I und X eine besondere Schulung stattfinden muß.
Ein Hinweis darauf, dass das Bürgerbüro als datenverarbeitende Stelle selbst die Verantwortlichkeit in Datenschutzfragen trägt und der behördliche Datenschutzbeauftragte neben seinen (weisungsfrei durchzuführenden) Beratungs- und Kontrolltätigkeiten auch mit der Umsetzung datenschutzrechtlicher Belange befaßt werden kann, ist für das bessere Verständnis der im Bürgerbüro tätigen Mitarbeiter ebenso hilfreich wie derjenige, dass eine unbefugte Datenverarbeitung nach § 32 BlnDSG, § 85 SGB X bzw. § 43 BDSG strafbar ist. Die Mitarbeiter des Bürgerbüros sind verpflichtet, die Einwilligung des betroffenen Bürgers, die auch in mündlicher Form erteilt werden darf, einzuholen, wobei der Bürger vorher in hinreichendem Maße über die Datenverarbeitung aufgeklärt werden muss (§ 6 Abs. 3, 4 BlnDSG). Ein Aufklärungsschreiben sollte gut sichtbar als Aushang angebracht werden und vor allem auch den Hinweis enthalten, dass der Bürger weiterhin die Wahlmöglichkeit hat zwischen der Inanspruchnahme des Bürgerbüros und der des Fachamtes.
Geschäftsordnung
In den Jahren 1984 und 1986 hatten wir die in der Zentralen Hauptverteilungsstelle des Landesverwaltungsamtes durchlaufende Post stichprobenartig201 daraufhin durchgesehen, ob und wie sie gegen unbefugte Einsichtnahme geschützt ist. Die Senatsverwaltung für Inneres hatte die Feststellungen seinerzeit zum Anlaß genommen, mit einem Rundschreiben über die Geheimhaltung beim Dienstpostaustausch in der Berliner Verwaltung202 auf die Rechtslage hinzuweisen.
Wir haben in der Hauptverteilungsstelle des Landesverwaltungsamtes erneut eine stichprobenartige Prüfung durchgeführt.
Das Ergebnis war insgesamt erfreulich. Die langjährigen Bemühungen, die Beschäftigten in der Berliner Verwaltung für den Datenschutz bei dem Versand von Unterlagen mit personenbezogenem Inhalt zu sensibilisieren, haben dazu geführt, dass ein Großteil der Sendungen verschlossen (überwiegend in Briefumschlägen oder verschließbaren Umlaufmappen) war.
Dennoch haben wir wiederum eine Vielzahl von offen versandten Akten und Schriftstücken mit sensiblen personenbezogenen Daten vorgefunden, die zum Teil besonderen Geheimhaltungsvorschriften unterliegen (z. B. Steuer- oder Sozialgeheimnis). Darunter befanden sich Ermittlungs- und Prozeßakten, Steuerakten, Akten des Ausgleichsamtes, Gewerbeakten sowie Schriftstücke im Zusammenhang mit Zwangsvollstreckungen, Mitteilungen
JB 1994, 3.4 vgl. JB 1985, 2.4; JB 1986, 4.5
DBl. I Nr. 19 vom 18. Dezember 1985 und DBl. I Nr. 15 vom 11. September 1987
Bereits in dem vom Projekt „Modellbezirksamt" der Senatsverwaltung für Inneres herausgegebenen Erfahrungsbericht zum Teilprojekt „Bürgeramt" vom März 1995 wurde hingewiesen, daß die Projektgruppe sich mit dem Berliner Datenschutzbeauftragten darauf verständigt hat, für die Modellbürgerämter in Weißensee und Köpenick eine Dienstanweisung zu erlassen, „in der alle für diesen Bereich spezifizierten Regelungen zu Datenschutz und Datensicherheit aufgenommen werden." Bis zum Abschluß des Projekts „Modellbezirksamt" wurde gemeinsam mit den beiden Bezirken an einer entsprechenden Dienstanweisung gearbeitet, die anschließend in eigener Verantwortung von den Bezirken fertiggestellt werden mußte. Ein Muster für einen Hinweis zum Datenschutz hat die Senatsverwaltung für Inneres in dem ebenfalls im März 1995 erschienenen Leitfaden zur Einrichtung von Bürgerämtern veröffentlicht. Beide Hinweise gelten weiterhin als Handlungsempfehlungen für weitere bezirkliche Bürgerämter.
Begrüßenswert ist, dass der Berliner Datenschutzbeauftragte in seinem Jahresbericht zum 31. Dezember 1997 diese Empfehlungen weiter konkretisiert hat.
Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats über Vaterschaftsanerkennung, Auskünfte aus dem Zentralen Schuldnerverzeichnis, Ersuchen um Erlaß eines Haftbefehls oder Unfallanzeigen. Vereinzelt befanden sich die Akten oder Schriftstücke
- in nicht verklebten Briefumschlägen,
- in verschließbaren Umlaufmappen, die nicht mit den dafür vorgesehenen Klebestreifen verschlossen waren, oder
- die Schriftstücke waren gefaltet und mit einem „Tacker" geheftet.
Diese Formen der Versendung sind unzureichend, da keine Sicherung der personenbezogenen Daten vor dem Zugriff Unbefugter besteht. Es wird nicht gewährleistet, dass die so versandten Unterlagen bei dem Transport nicht gelesen werden können, wie es § 5 Abs. 2 BlnDSG vorschreibt. Somit haben wir die wenigen in der eben beschriebenen Weise versandten Unterlagen dem offenen Versand zugerechnet.
Im übrigen haben wir festgestellt, dass entgegen der Überprüfungen in den Jahren 1984 und 1986 das Spektrum der betroffenen Behörden nicht mehr quer durch die Berliner Verwaltung zieht. Bei dieser Stichprobe sind nur einige wenige Verwaltungen besonders aufgefallen, erneut wiederum die Justizverwaltung.
Dateienregister
Das Berliner Datenschutzgesetz sieht in § 19 vor, dass die behördlichen Datenschutzbeauftragten der öffentlichen Stellen des Landes für jede personenbezogene automatisierte Datei, die nicht nur vorübergehend aus verarbeitungstechnischen Gründen vorgehalten wird, und für jede nichtautomatisierte Datei, aus der Daten übermittelt werden, eine Dateibeschreibung zu führen haben, die genaue Aussagen zu Inhalt, Zweckbestimmung, Rechtsgrundlagen, Übermittlungen, Lösch- und Sperrfristen, technisch-organisatorische Schutzmaßnahmen und Angaben zur informationstechnischen Umgebung enthält. Sie haben ferner eine Geräteverzeichnis, welches für alle informationstechnischen Systeme, mit denen personenbezogene Daten verarbeitet werden, die aktuelle Ausstattung mit Hard- und Software beschreibt sowie den jeweiligen Standort der wichtigsten Komponenten benennt.
Diese internen Verzeichnisse sind dem Berliner Datenschutzbeauftragten für die Führung des Dateienregisters vorzulegen.
Dabei sind Formvorschriften zu beachten, die in der Dateienregisterverordnung genauer festgelegt sind. Abgesehen von bestimmten Ausnahmen haben die Bürger das Recht, ohne Angabe von Gründen in das Dateienregister einzusehen. Ansonsten dient das Dateienregister der Prüftätigkeit des Berliner Datenschutzbeauftragten.
Voraussetzung dafür, dass das Dateienregister sinnvoll für die vorgesehenen Zwecke genutzt werden kann, ist seine Vollständigkeit und Aktualität. Dies bedeutet, dass die öffentlichen Stellen des Landes ihrer Meldepflicht pünktlich und umfassend nachkommen und an eine regelmäßige Aktualisierung denken. Viele öffentliche Stellen sehen sich dazu jedoch nicht in der Lage. Dies hat verschiedene Gründe:
Auch viele große öffentliche Stellen haben ihre behördlichen Datenschutzbeauftragten nur mit einem geringen Zeitbudget für ihre Aufgaben ausgestattet. Der Vollzeit-Datenschutzbeauftragte ist auch bei den Bezirksämtern, den Senatsverwaltungen und den großen nachgeordneten Behörden eine sehr seltene Ausnahme.
Die behördlichen Datenschutzbeauftragten haben meistens mit mühsamer Sammel- und Forschungstätigkeit die Erstmeldungen erstattet. Aber insbesondere beim Geräteregister können sie dem häufigen Aktualisierungsbedarf, der durch die schnelle Entwicklung der Informationstechnik gegeben ist, nicht mehr nachkommen. Dies wird auch dadurch erschwert, dass innerhalb der Behörden die Meldungen zu den internen Registern und dem Dateienregister als nicht nachvollziehbares bürokratisches Hindernis für den Aufbau der Informationstechnik angesehen werden.
Die Unvollständigkeit des Registers hat zur Folge, dass Dateien, die nicht gemeldet worden sind bzw. nicht in die internen Verzeichnisse aufgenommen wurden, der Kontrolle durch den BerAuch der Senat hält es für sachgerecht, wenn im Zuge der Anpassung des BlnDSG an die EU-Datenschutzrichtlinie eine Reform hinsichtlich der Meldepflichten zum Dateienregister erfolgt, die im übrigen auch § 2 Abs.2 IVG betrifft. Die jetzigen Meldepflichten stehen in Anbetracht ihres bürokratischen Aufwandes in keinem Verhältnis zum Nutzen des zentralen Dateienregisters.
Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats liner Datenschutzbeauftragten bzw. durch den behördlichen Datenschutzbeauftragten praktisch entzogen sind. Die gesetzeswidrige Unterlassung der Meldung wird mit einer Verschonung mit Kontrollen „belohnt".
Die mangelnde Aktualität des Registers macht es für die Vorbereitung von Kontrollmaßnahmen praktisch unbrauchbar. Vor Kontrollen bleibt es wichtig, Informationen zur Vorbereitung zeitnah gesondert einzuholen.
Die Einsichtnahme durch Bürger erfolgt sehr selten, wenn überhaupt, dann für empirische Erhebungen oder zur Vorbereitung politischer Initiativen. Der wichtigste Grund für die Öffentlichkeit des Dateienregisters, nämlich die Unterstützung des Bürgers bei der Durchsetzung seiner eigenen Datenschutzrechte, spielt überhaupt keine Rolle.
Angesichts dieser Erkenntnisse ist festzustellen, dass der erhebliche, aber meist vergebliche bürokratische Aufwand, den die meldepflichtigen Stellen für die Umsetzung der Meldepflicht treiben und der ebenfalls erhebliche technische und organisatorische Aufwand zur Führung des öffentlichen Dateienregisters beim Berliner Datenschutzbeauftragten, in keinem angemessenen Verhältnis zu dem Nutzen für den Datenschutz steht.
Die Meldepflicht bedarf also einer Reform, die den Meldeaufwand der meldepflichtigen Stellen reduziert, den Aktualisierungsbedarf erheblich verringert und von der technischen Entwicklung unabhängiger ist.
Allerdings sollten auch nach der Reform die für Kontrollzwecke notwendigen Mindestinformationen vor Ort und beim Berliner Datenschutzbeauftragten zur Verfügung stehen und dem Bürger ein zweckmäßiges Mittel zur Gewinnung von Transparenz bei der behördlichen Datenverarbeitung in die Hand gegeben werden.
Die EU-Datenschutzrichtlinie vom 24. Oktober 1995 sieht ebenfalls Meldepflichten an die unabhängigen Kontrollstellen vor, die im Vergleich zu den Meldepflichten des Berliner Datenschutzgesetzes eingeschränkt sind. Sie erlaubt ferner eine Vereinfachung der Meldung oder sogar eine Ausnahme von der Meldepflicht, wenn unabhängige Datenschutzbeauftragte die Umsetzung des Datenschutzrechts kontrollieren und die datenverarbeitenden Stellen ein eingeschränktes internes Register zur Einsichtnahme der Öffentlichkeit bereithalten. Das neue EU-Recht gibt also bereits Denkrichtungen an und die Anpassung des Berliner Datenschutzgesetzes an das EU-Recht sollte der Anlaß sein, die Meldepflicht zum Dateienregister grundlegend zu reformieren.
Der Berliner Datenschutzbeauftragte
Die Dienststelle
Beim Personalbestand der Dienststelle gab es im vergangenen Jahr keine Veränderungen. Trotz der vergleichsweise guten Ausstattung steht die Anzahl der Mitarbeiterinnen und Mitarbeiter nach wie vor in einem krassen Mißverhältnis zu den zu bewältigenden Aufgaben. So steht etwa für die technisch-organisatorischen Prüfungen bei PCs ein einziger Experte zur Verfügung (für sämtliche Geräte in Verwaltung und Privatwirtschaft), entsprechend verhält es sich mit den anderen Techniken wie proprietäre Systeme, Netzwerke oder Client-Server-Anwendungen.
Auch bei den Juristen haben die Mitarbeiterinnen und Mitarbeiter Arbeitsgebiete zu bewältigen, die sich jeweils über mehrere Geschäftsbereiche und Wirtschaftszweige erstrecken.
In dieser Situation können systematische Prüfungen nur in allergeringstem Umfang durchgeführt werden. Vielmehr muß sich die Arbeit auf exemplarische Sachverhalte beschränken, die uns üblicherweise durch Eingaben, Beratungsersuchen oder öffentliche Diskussionen bekannt werden. Große Bedeutung kommt der Verbreitung der Arbeitsergebnisse, auch in Form von Veröffentlichungen zu. Sollte es auf Grund der Haushaltssituation nicht möglich sein, mit der rasanten Ausbreitung der Informationstechnik auch die Kontrollbehörde zu verstärken, müssen künftig auf dem Gebiet der Öffentlichkeitsarbeit mehr Mittel bereitgestellt werden.
Zusätzliche Beschränkungen insbesondere der Prüftätigkeit müssen wir uns seit Mitte vergangenen Jahres auferlegen.