Sozialhilfe
Zwischenzeitlich hat sich auch die Art. 29-Datenschutzgruppe der Thematik angenommen. Bei Konferenzen in Brüssel und. Den Haag, wo im Rahmen einer Anhörung zu den Erfahrungen mit dem WP 74 sowohl Aufsichtsbehörden auch wir als auch Unternehmensvertreter zu Wort gekommen sind, wurde die Erarbeitung von Arbeitspapieren in Aussicht genommen, die sowohl die Koordinierung des Verfahrens der europaweiten Anerkennung von Unternehmensregelungen als auch die inhaltlichen Anforderungen an Unternehmensregelungen konkretisieren. Grundlage hierfür ist eine Checkliste, die von der britischen Aufsichtsbehörde für die Beratung von Unternehmen entworfen worden ist. Die Entwürfe der Arbeitspapiere sollen in einer Unterarbeitsgruppe weiterentwickelt werden, in die wir die Vorstellungen und Erfahrungen in Deutschland einbringen werden.
AG „Internationaler Datenverkehr"
Die Arbeit der AG „Internationaler Datenverkehr" des Düsseldorfer Kreises war in diesem Jahr maßgeblich von den Entwicklungen auf europäischer Ebene geprägt. Daneben ist es gelungen, nach den Erfolgen in den vergangenen Jahren eine weitere Unternehmensregelung auf den Weg zu bringen:
Die Schering AG hat den Entwurf einer „Unternehmensrichtlinie zum Umgang mit personenbezogenen Daten innerhalb des Schering-Konzerns" vorgelegt. Sie gilt für die Verarbeitung sämtlicher personenbezogener Daten über Mitarbeiter und Vertragspartner, Probanden und Patienten in klinischen Prüfungen, Medizinpersonal und Kunden und soll für ausreichende Datenschutzgarantien nach Übermittlung dieser Daten in Konzernteile sorgen, die in Drittländern ohne angemessenes Datenschutzniveau ansässig sind (§ 4 c Abs. 2 BDSG). Von den weltweit tätigen 26.000 Mitarbeitern sind nur 10.000 in Deutschland beschäftigt.
Da der Konzernhauptsitz in Berlin ist, haben wir als zuständige Aufsichtsbehörde die Verhandlungen mit dem Konzern über die unabdingbaren Inhalte der Unternehmensregelung geführt. Der Entwurf wurde sodann in der AG „Internationaler Datenverkehr" behandelt, in der letzte offene Fragen der übrigen Aufsichtsbehörden mit den Vertretern des Konzerns geklärt wurden. Nach Übernahme der letzten Änderungen in die Unternehmensrichtlinie und Mitteilung durch die Schering AG, aus welchen anderen EU-Mitgliedstaaten internationale Datentransfers auf der Grundlage der Unternehmensrichtlinie erfolgen, werden wir die Koordinierung der Anerkennung dieser Unternehmensrichtlinie durch die beteiligten Aufsichtsbehörden in Europa betreiben. Am Ende des Koordinierungsverfahrens steht die Genehmigung der Datenübermittlung durch uns, denn internationale DatentransJahresbericht BlnBDI 2004
4.7.2 den international zu übermittelnden Daten oder der Ort, an dem Datenschutzfragen des Unternehmens entschieden werden, wurden als Anknüpfungspunkte diskutiert.
Im Workshop wurden fünf „Testfälle" im Hinblick auf die Federführung bei der Erarbeitung einer gemeinsamen Stellungnahme zur Unternehmensregelung besprochen: DaimlerChrysler, General Electric (GE), Philips, KPMG International und British Petrol BP. In Bezug auf die Unternehmensregelung von DaimlerChrysler für Kunden-/Lieferantendaten und die Unternehmensregelung von General Electric Company für Mitarbeiterdaten wurde beschlossen, dass Deutschland die Federführung in Europa nicht übernehmen kann, da die Unternehmensregelungen hier bereits formal anerkannt worden waren und auf ihrer Grundlage Genehmigungen für Datenübermittlungen (§ 4 c Abs. 2 BDSG) erteilt worden sind. Da zum Zeitpunkt des Workshops bereits Verhandlungen von DaimlerChrysler mit der französischen Aufsichtsbehörde CNIL anstanden, hat die CNIL zugleich die Federführung bei der europaweiten Koordinierung der Anerkennung übernommen. Bei der Unternehmensregelung von General Electric für Mitarbeiterdaten konnte trotz des europäischen Hauptsitzes in Brüssel die belgische Aufsichtsbehörde die Federführung nicht übernehmen, da auch in Belgien die Unternehmensregelung bereits anerkannt war. Angesichts von 20 % der in Europa tätigen Mitarbeiter von General Electric in Ungarn lag es nahe, dass die Aufsichtsbehörde in Ungarn die Federführung bei der Koordinierung übernimmt. Diese übergab die Federführung jedoch an die britische Aufsichtsbehörde, die sich angesichts der Anzahl der Niederlassungen von GE und des Hauptsitzes eines der größten Unternehmen von GE in Großbritannien für die geeignetere Aufsichtsbehörde im Hinblick auf die Federführung hielt. Das Beispiel zeigt, dass den Unternehmen, aber auch den Aufsichtsbehörden nicht zuviel Ermessen bei dieser Entscheidung eingeräumt werden darf.
Die Federführung für die Unternehmensregelung von Philips liegt angesichts des Hauptsitzes des Konzerns bei der niederländischen Aufsichtsbehörde. Die Unternehmensregelung von KMPG International mit Hauptsitz in Amsterdam war von einem deutschen Mitglied des Unternehmens uns zur Überprüfung vorgelegt worden und ist an die für den Hauptsitz zuständige Aufsichtsbehörde in den Niederlanden übergeben worden. Die Unternehmensregelung für den Konzern British Petrol war von der deutschen Niederlassung bei der Aufsichtsbehörde in Hamburg zur Überprüfung eingereicht worden und wurde von ihr angesichts des Hauptsitzes des Konzerns in Großbritannien an die britische Aufsichtsbehörde geleitet.
Leider hat sich bei Folgeveranstaltungen gezeigt, dass einige Aufsichtsbehörden in Europa von der Idee der Federführung abrücken und Stellungnahmen der übrigen Aufsichtsbehörden zu einzelnen Fragestellungen einholen,
Moderne Arbeitsplatzrechner und Notebooks sind mit USB-Schnittstellen (Universal Serial Bus) ausgestattet. Diese Schnittstellen dienen dem Anschluss verschiedener Hardwarekomponenten wie Drucker, Laufwerke für externe Speichermedien (Disketten, CD oder DVD), Festspeichermedien oder Netzwerkhardware bis hin zu digitalen Kameras. Da die modernen Betriebssysteme die neu angeschlossenen Geräte automatisch erkennen und einbinden, entfallen aufwändige Installationsprozeduren für Hard- und Software.
Dadurch sinkt die Hemmschwelle in den Dienststellen, nicht freigegebene oder auch private Technik zu nutzen. Die bisher eingerichteten Nutzungsbeschränkungen für CD- und Floppy-Laufwerke sind bei USB-Anschlüssen nicht mehr ausreichend wirksam. Folglich müssen Mechanismen gefunden werden, mit denen der Zugriff auf den USB eines bestimmten, zugelassenen Geräts beschränkt werden kann.
Lösungen hängen im Wesentlichen von dem zum Einsatz kommenden Betriebssystem ab. Mit Windows kann der Zugriff auf USB-Geräte derzeit noch nicht auf einfache Weise verhindert werden. Mit moderatem zusätzlichem Aufwand kann die Installation nicht zugelassener Gerätetypen jedoch erkannt und blockiert werden. Unter Linux ist es ebenfalls mit geringem bis moderatem Aufwand möglich, den Zugriff auf ausdrücklich benannte Geräteklassen oder -typen zu beschränken.
Details zum Schutz vor Missbrauch von USB-Schnittstellen sind der Orientierungshilfe „Datensicherheit bei USB-Geräten" des Arbeitskreises „Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu entnehmen.
Workshop der behördlichen Datenschutzbeauftragten der Amtsgerichte
Beim Erfahrungsaustausch der Datenschutzbeauftragten der Amtsgerichte nahm die Erstellung einer Checkliste breiten Raum ein, die für die Kontrollen nach § 5 BlnDSG zur Anwendung kommen soll. Hierfür wurde eine Arbeitsgruppe eingesetzt, die auf die Verhältnisse und die technisch-organisatorische Umgebung in den Amtsgerichten zugeschnitten die wichtigsten Prüfkriterien zusammenstellte. Das Spektrum reicht von der Kontrolle der Zugangsbedingungen, der Berechtigungen für einen Zugriff auf personenbezogene Daten bis hin zu Fragen der Protokollierungen und der Dokumentation, unter anderem auch behördlichen und verfahrensspezifischen Sicherheitskonzepten.
Zwei Datenschutzbeauftragte erklärten sich bereit, die Checkliste probeweise in ihren Gerichten anzuwenden. Bei der nächsten Sitzung berichteten sie von ihren Erfahrungen: Dabei stellte sich heraus, dass es bei den meisten Verantwortlichen an Datenschutzbewusstsein mangelt. Da die Hauptanwendung das IT-Verfahren AULAK (Automatische Verfahren Land-, Amts-, Jahresbericht BlnBDI 2004
4.8.1 fers aus Deutschland auf der Basis der Unternehmensrichtlinie sollen nur vom Konzernhauptsitz in Berlin erfolgen. Der europäische Binnenmarkt zollt also seinen Tribut: Einen deutschen „Alleingang" in Bezug auf die Anerkennung von Unternehmensregelungen und die Genehmigung von Datenübermittlungen wird es angesichts der hoffentlich unumkehrbaren Bestrebungen zur Verfahrenskoordinierung und europaweiten Anerkennung nicht mehr geben.
Organisation und Technik
Behördliche Datenschutzbeauftragte Gesprächskreis der behördlichen Datenschutzbeauftragten der Bezirke
Im Berichtszeitraum fanden erneut drei Treffen der behördlichen Datenschutzbeauftragten der Bezirke statt.
Am Beispiel des neuen IT-Verfahrens EvASta (Einbürgerung von Ausländern und Staatsangehörigkeitsangelegenheiten) wurde die Durchführung der mit der Novellierung des Berliner Datenschutzgesetzes im Jahre 2001 neu eingeführten Vorabkontrolle durch die behördlichen Datenschutzbeauftragten der Bezirke erörtert.
Die Vorabkontrolle ist nach § 5 Abs. 3 Satz 2 BlnDSG geboten, wenn in einem Verfahren Daten verarbeitet werden, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen oder zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erhoben werden. § 19 a Abs. 1 Satz 3 Nr. 1 BlnDSG bestimmt als eine Aufgabe der behördlichen Datenschutzbeauftragten die Durchführung solcher Vorabkontrollen bei den mit besonderen Risiken für Rechte und Freiheiten von Betroffenen verbundenen Verarbeitungen. Das Einbürgerungsverfahren fällt nicht unter § 5 Abs.3 Satz 2 BlnDSG, jedoch werden Angaben zur Volkszugehörigkeit (im Unterschied zur Staatsangehörigkeit) verarbeitet, die als personenbezogene Daten über die rassische und ethnische Herkunft zu den besonderen Kategorien personenbezogener Daten gehören, die nach § 6 a BlnDSG nur unter sehr eingeschränkten und strengen rechtlichen Voraussetzungen verarbeitet werden dürfen. Dies rechtfertigt auch die Durchführung der Vorabkontrolle.
Die Verarbeitung solcher Daten verlangt angemessene Garantien zum Schutze des Rechts auf informationelle Selbstbestimmung und konkret eine besondere Rechtsvorschrift, die den Zweck der Verarbeitung bestimmt. Für das Einbürgerungsverfahren gibt es keine solche Rechtsvorschrift, so dass die Verarbeitung der sensitiven Daten nur zulässig ist, wenn der Betroffene ausdrücklich eingewilligt hat.
Jahresbericht BlnBDI 2004
4.8.1 als Hilfskraft eingesetzt, der bei seiner Tätigkeit sogar Einsicht in Strafakten nehmen konnte.
Gegen den Einsatz von Hilfskräften ist nichts einzuwenden, sofern darauf geachtet wird, dass diese Mitarbeiter keine personenbezogenen Daten zur Kenntnis nehmen können. Durch geeignete Maßnahmen (z. B. Vergabe von Aufgaben, bei denen man nicht mit personenbezogenen Daten in Berührung kommt; strengere Aufsicht) ist zu gewährleisten, dass die erforderliche Vertraulichkeit beim Umgang mit diesen Daten gewahrt bleibt.
Behördliche Datenschutzbeauftragte in den Stellenpool!
Der Datenschutzbeauftragte eines Bezirksamtes war der erste, der uns alarmierte, weil seine Personalstelle ihm die Versetzung in den Stellenpool angekündigt hatte. In diese bei der Senatsverwaltung für Finanzen angesiedelte Behörde für das Personalüberhangmanagement werden Beamte und Angestellte auf Lebenszeit abgeordnet, deren Aufgabengebiet im Rahmen der Straffung öffentlicher Aufgaben entfallen ist. Der Stellenpool hat die Aufgabe, diese Bediensteten wieder in andere Aufgabengebiete oder auf Arbeitsplätze in der Privatwirtschaft zu vermitteln.
Der Datenschutzbeauftragte des Bezirks konnte offensichtlich seine Behörde von der Rechtswidrigkeit ihres Handelns überzeugen und verblieb im Amt, ohne dass wir intervenieren mussten.
Anders war die Lage im Landesverwaltungsamt, einer nachgeordneten Behörde der für die Datenschutzgesetzgebung zuständigen Senatsverwaltung für Inneres. Das Landesverwaltungsamt ist verantwortlich für das zentrale IT-Großverfahren IPV (Integrierte Personalverwaltung), in dem die Personaldaten fast aller im öffentlichen Dienst des Landes Beschäftigten verarbeitet werden. Das Amt ist zentrale Beihilfestelle des Landes Berlin und verarbeitet automatisiert und manuell Personaldaten, die auch medizinische Daten enthalten. Es hat noch viele weitere Aufgaben im Zusammenhang mit personenbezogen Daten: als Pensionsstelle für die Versorgung der Pensionäre, als Gehalts-, Vergütungs- und Lohnstelle für diverse Behörden und als Entschädigungsbehörde zur Entschädigung der Opfer des Nationalsozialismus.
Dem behördlichen Datenschutzbeauftragten und seinem Vertreter wurde kurzerhand mitgeteilt, dass sie in den Stellenpool versetzt werden, weil das Aufgabengebiet des behördlichen Datenschutzes gestrichen worden sei und in Zukunft nur noch als Funktion erhalten bliebe. Diese Funktion könne man auch aus dem Stellenpool aus erfüllen, so dass man noch nicht einmal die als rechtswidrig erkannte Abbestellung des Datenschutzbeauftragten durchführen müsse. Wenn er von dort aus auf andere Arbeitsplätze vermittelt würde, könne er die Funktion nicht mehr wahrnehmen und es läge dann ein wichtiger Grund vor, ihn nach § 626 BGB außerordentlich zu kündigen.
Jahresbericht BlnBDI 2004
4.8.1
Kammergericht) vom LIT betreut wird, verwiesen die meisten Befragten beim überwiegenden Teil der Fragen auf die Zuständigkeit des IT-Dienstleisters. Offensichtlich fehlt das Bewusstsein, dass die Gewährleistung des Datenschutzes bei der Daten verarbeitenden Stelle also bei ihnen selbst liegt. Daten verarbeitende Stelle ist nach § 4 Abs. 3 Nr. 1 BlnDSG jede Behörde oder sonstige öffentliche Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt.
Auffällig war insbesondere die fehlende Zugangssicherung in vielen Räumen, in denen personenbezogene Unterlagen aufbewahrt werden, aber auch in sicherheitsrelevanten Serverräumen. Mangelfeststellungen der behördlichen Datenschutzbeauftragten der Gerichte betrafen hier vorwiegend fehlende Sicherheitsschlösser und nicht abschließbare Schränke. Die Verteidigung der Befragten war in diesen Fällen stets die gleiche, nämlich dass für besondere Sicherheits- und Schutzmaßnahmen kein Geld vorhanden sei und dass man im Übrigen schon immer so verfahren habe.
Diese Reaktion offenbart Gleichgültigkeit gegenüber den gesetzlichen Forderungen. Die sichere Unterbringung personenbezogener Daten sollte mittlerweile eine Selbstverständlichkeit sein und entsprechend durch Prioritätsverlagerung bei den Haushaltsmitteln finanziert werden.
Aus einem Amtsgericht wurde berichtet, dass der Fachpostverkehr sehr nachlässig gehandhabt wird. Hier wird eine Fremdfirma für den Aktentransport eingesetzt und es wurde mehrmals beobachtet, dass der Aktenwagen samt Aktenmappen und Transportkisten längere Zeit unbeaufsichtigt z. T. auch in Bereichen mit regem Publikumsverkehr herumstand.
Der behördliche Datenschutzbeauftragte hatte als Anschauungsobjekt eine leere Transportkiste mitgebracht, die sogar vorschriftsmäßig mit einer Plombe versehen war; er demonstrierte jedoch anschaulich, wie er aus der Kiste durch einfaches Öffnen der Plombe (leichtes Herausziehen und Zurückstecken des Haltedrahts) leicht an Unterlagen gelangen konnte, ohne dass der Zugriff bemerkt werden konnte.
Bei solchen Transportvorkehrungen die offensichtlich nicht ausreichend getestet wurden liegt ein Verstoß nach § 5 Abs. 4 i.V. m. § 5 Abs. 2 Nr. 1 und 3 BlnDSG vor (mangelnder Schutz der Vertraulichkeit und der Verfügbarkeit der nicht automatisiert verarbeiteten Daten).
Ein Teilnehmer fragte, ob es auch in anderen Amtsgerichten zulässig sei, dass Hilfskräfte von außerhalb des Hauses bei den Geschäftsstellen der Amtsgerichte mitarbeiten dürfen. Bei diesen Kräften handelt es sich meist um Sozialhilfeempfänger und Resozialisierungsfälle, manchmal aber auch Praktikanten. Sie bekommen im Rahmen ihrer Tätigkeit Einblicke in Sachakten, wobei es sich mitunter auch um Unterlagen mit sehr sensiblen Inhalt handelt, z. B. zu Zwangsvollstreckungen und Auszüge aus dem Schuldnerverzeichnis. In einem Fall wurde ein Straftäter Jahresbericht BlnBDI 2004