Anfertigung einer Kopie des Dokumentes für die Mieterakte
Auch Akten und Aktensammlungen können dem Dateibegriff in § 3 Abs. 2 Satz 2 BDSG unterfallen. Dies ist dann der Fall, wenn diese nach bestimmten Merkmalen (z. B. Objekt, Wohnungsnummer usw.) geordnet und nach der Betreffangabe oder dem Namen (z. B. des Mieters) umgeordnet werden können. Mietverträge lassen sich nach den genannten Merkmalen ordnen bzw. umordnen. Dass dies nicht automatisiert erfolgt, ist für die datenschutzrechtliche Bewertung unerheblich. Ungeachtet dessen ergibt eine lebensnahe Betrachtung, dass ein Vermieter zur Verwaltung der Mieterdaten entweder z. B. zur Berechnung der Betriebskosten, Führung der Mietkonten, zum Schriftwechsel mit den Vertragspartnern einen Computer einsetzt oder die Mieterakten zumindest systematisch ordnet. Insofern sind die Bestimmungen des BDSG bei der Verarbeitung von Mieterdaten durch den Vermieter anzuwenden.
Bei der Speicherung von Daten aus den Personalausweisen der Mieter in den Mieterakten handelt es sich um die Verarbeitung von personenbezogenen Daten innerhalb eines Mietvertragsverhältnisses. Diese Datenverarbeitung ist nur zulässig, wenn es der Zweckbestimmung des Vertragsverhältnisses mit dem Betroffenen dient (§ 28 Abs. 1 Nr. 1 BDSG).
Die zweifelsfreie Feststellung der Identität des Vertragspartners dient der Zweckbestimmung des Vertragsverhältnisses. Insofern hat jeder Vermieter ein berechtigtes Interesse daran zu erfahren, von welchen Personen die Wohnungen tatsächlich bewohnt werden, bzw. die Schlüssel nur an diejenigen herauszugeben, die zur Entgegennahme vertraglich berechtigt sind.
Zur Feststellung der Identität ist es jedoch ausreichend, dass sich der Vermieter beim Vertragsabschluss oder wie im vorliegenden Fall bei der Schlüsselübergabe den Personalausweis bzw. ein anderes amtliches Lichtbilddokument des Abholers zur Einsichtnahme und Überprüfung vorlegen lässt. Die Anfertigung einer Kopie des Dokumentes für die Mieterakte und damit eine Speicherung der Daten ist für diesen bzw. jeden anderen mietvertraglichen Zweck nicht erforderlich und damit unzulässig.
Datenabgleich bei Besuchern des Reaktorbereichs im Hahn-Meitner-Institut Kurzbesucher mit Zugang zum Sicherheitsbereich von Reaktoranlagen, für die keine Zuverlässigkeitsüberprüfung nach § 12 Atomgesetz (AtomG) durchgeführt wurde, sollen nach den Vorgaben des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit unter Abgleich polizeilicher Datensammlungen kurzfristig überprüft werden. In Berlin betrifft dies jährlich ca. 120 Besucher (z. B. Wissenschaftler) des Hahn- 94 Meitner-Institutes, die in kleinen Gruppen durch die sensitiven Bereiche des Forschungsreaktors BER II geführt werden. Von der Senatsverwaltung für Stadtentwicklung wurden wir gebeten zu prüfen, unter welchen datenschutzrechtlichen Voraussetzungen diese Personen überprüft werden können.
In Ermangelung einer Rechtsgrundlage sowohl im AtomG wie auch im ASOG ist die Übermittlung von Daten aus den polizeilichen Datensammlungen durch den Polizeipräsidenten in Berlin an die Senatsverwaltung für Stadtentwicklung nur mit Einwilligung der betroffenen Besucher zulässig. Die Einwilligung bedarf grundsätzlich der Schriftform (§ 6 Abs. 4 BlnDSG), und der Betroffene ist zuvor über die Bedeutung der Einwilligung, den Verwendungszweck der Daten und die Rechtsfolgen einer Verweigerung der Einwilligung aufzuklären (§ 6 Abs. 3 BlnDSG).
Derzeit erfolgt mit Einwilligung der Betroffenen innerhalb von 24 Stunden nach Anmeldung des Besuches ein Datenabgleich in den bundesweiten Dateien INPOL und APIS. Die dafür erforderliche Einwilligungserklärung der Betroffenen wurde inhaltlich mit uns abgestimmt.
Von dem Landeskriminalamt Berlin und der Senatsverwaltung für Inneres wurde jedoch angeregt, den Datenabgleich mit Einwilligung der Betroffenen um eine Abfrage des Datenbestandes im ISVB zu erweitern.
Die Einwilligung des Betroffenen in die Datenverarbeitung kann in keinem Fall bestehende gesetzliche Einschränkungen der Datenverarbeitung umgehen bzw. außer Kraft setzen. Die Verarbeitung von personenbezogenen Daten ist daher auch wenn sie auf die Einwilligung des Betroffenen gestützt wird nur zulässig, wenn sie zur rechtmäßigen Erfüllung der durch Gesetz der Daten verarbeitenden Stelle zugewiesenen Aufgabe und für den jeweils damit verbundenen Zweck erforderlich ist (§ 9 Abs. 1 BlnDSG). Entscheidend für die datenschutzrechtliche Zulässigkeit eines Datenabgleichs mit dem ISVB und die Übermittlung von Erkenntnissen an die Senatsverwaltung für Stadtentwicklung ist somit unter Beachtung des Erforderlichkeitsgrundsatzes die Ausgestaltung des Verfahrens. Das ISVB als zentrales Vorgangsverwaltungssystem des Polizeipräsidenten in Berlin enthält Datensätze über eine Vielzahl von Personen egal, ob diese lediglich eine Anzeige erstattet haben oder selbst Täter, Opfer oder Zeuge einer Straftat oder Ordnungswidrigkeit sind. Eine ungefilterte Übermittlung dieser polizeilichen Erkenntnisse an die Senatsverwaltung für Stadtentwicklung wäre unzulässig. Für die Sicherheitsüberprüfung der Kurzbesucher des HMI sind nur die Daten im ISVB relevant, die Aufschluss über ein mögliches Gefährdungspotenzial, das von dem Besucher ausgeht, geben. Die entsprechende Analyse hat
- 95 unter Berücksichtigung sicherheitsbehördlicher Erkenntnisse und Erfahrungen zu erfolgen und kann nur von der Polizei in keinem Fall von der Senatsverwaltung für Stadtentwicklung
durchgeführt werden. Nur das Ergebnis dieser Analyse und die dafür relevanten Daten dürfen gestützt auf die vorherige Einwilligung des Betroffenen an die Senatsverwaltung für Stadtentwicklung übermittelt werden. Die Übermittlung weiterer, anderer Daten aus dem ISVB oder von Daten zu Delikten, aus denen sich kein Gefährdungspotenzial ergibt, ist für die Sicherheitsüberprüfung und somit für die Erfüllung der Aufgaben nicht erforderlich und damit unzulässig.
Wissen und Bildung:
Wissenschaft und Forschung Medizinische Forschungsnetze erste Früchte der Mühen:
Im Jahresbericht 2002 erläuterten wir die nunmehr abschließend vorgelegten generischen Modelle der Telematikplattform „Medizinische Forschungsnetze". Nunmehr ergab sich ein großer Beratungsbedarf bei der Erarbeitung einer Datenschutzpolice einschließlich der Formulierung datenschutzrechtlicher Rahmenbedingungen und Muster für Patienteneinwilligungserklärungen bei der Nutzung pseudonymisierter Patientendaten. Diese beiden „Handwerkszeuge"für den Aufbau medizinischer Forschungsdatennetze wurden einer ausführlichen Prüfung unterzogen.
Die Datenschutzpolice enthält jeweils Musterbeispiele für die Satzung eines eingetragenen Vereins als Träger des Kompetenznetzes, für die Geschäftsordnung des Vorstandes und der Datenschutzkommission, für die Verträge mit den Ärzten, für die Patienteninformation, für die Zertifizierung des Pseudonymisierungsdienstes und der Transportverschlüsselung, für Nutzerordnungen der verschiedenen Dienste, für Nutzungsoptionen von Smart-Cards und das Verfahren bei auftretenden Fehlern oder des Verlustes bzw. der Kompromittierung von geheimen Informationen.
Die erarbeiteten Rahmenbedingungen für die Patienteneinwilligungserklärungen enthalten in Form einer Scheckliste fast 70 Bausteine und die dazugehörigen Fragestellungen, die für das jeweilige Projekt abzuklären sind. Diese zunächst sehr aufwendigen Vorarbeiten haben sich gelohnt.