Die ersuchte Stelle hat den Betroffenen über die übermittelten Daten und den Empfänger zu

§ 9 Abs. 5 BWG

Auf Ersuchen der Gemeindebehörden sind zur Sicherstellung der Wahldurchführung die Behörden des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, der Länder, der Gemeinden, der Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts verpflichtet, aus dem Kreis ihrer Bediensteten unter Angabe von Name, Vorname, Geburtsdatum und Anschrift zum Zweck der Berufung als Mitglieder der Wahlvorstände Personen zu benennen, die im Gebiet der ersuchenden Gemeinde wohnen.

Die ersuchte Stelle hat den Betroffenen über die übermittelten Daten und den Empfänger zu benachrichtigen.

Ob die erforderliche Benachrichtigung in diesem Fall ordnungsgemäß erfolgt ist, konnte nicht aufgeklärt werden.

Die Gemeinde jedoch hat bei ihrer Aufnahme des Datensatzes in die Wahlhelferdatei für die Landtagswahl im Januar 2008 eine wichtige rechtliche Voraussetzung nicht erfüllt. Zwar sind die Gemeinden sowohl nach dem Landtagswahlgesetz als auch nach dem Kommunalwahlgesetz berechtigt, Daten von Mitgliedern der Wahlvorstände auch für zukünftige Wahlen zu speichern. Dies gilt allerdings nur, wenn die davon betroffenen Personen gegen die weitere Speicherung keinen Widerspruch eingelegt haben. Die Gemeinden sind deshalb verpflichtet, die Mitglieder der Wahlvorstände darauf hinzuweisen, dass sie beabsichtigen, diese Daten für weitere Wahlen zu speichern, wenn der Betroffene dagegen keinen Widerspruch einlegt. Das heißt, sie müssen diesen Personenkreis eindeutig auf dieses bestehende Widerspruchsrecht hinweisen.

§ 15 Abs. 4 LWG

Die Gemeindebehörden sind befugt, personenbezogene Daten von Wahlberechtigten zum Zweck ihrer Berufung zu Mitgliedern von Wahlvorständen zu erheben und zu verarbeiten. Zu diesem Zweck dürfen personenbezogene Daten von Wahlberechtigten, die zur Tätigkeit in Wahlvorständen geeignet sind, auch für künftige Wahlen verarbeitet werden, sofern der Betroffene der Verarbeitung nicht widersprochen hat. Der Betroffene ist über das Widerspruchsrecht zu unterrichten.

An dieser Unterrichtung hat es im vorliegenden Fall gefehlt. Die Überprüfung bei der betroffenen Verwaltung ergab, dass es keinen formularmäßig vorbereiteten Brief an die Wahlhelfer gab, in dem ein Hinweis auf das Widerspruchsrecht enthalten war. Ganz offensichtlich war diese Verpflichtung nicht bekannt. Die Stadt hat zugesichert, das Verfahren umgehend zu ändern.

Eine stichprobenartige Nachfrage bei weiteren hessischen Kommunen ergab, dass die Regelung des § 15 Abs. 4 LWG und § 6 Abs. 4 KWG nur teilweise ordnungsgemäß umgesetzt ist. Aus einigen Kommunen wurde bekannt, dass dort schon seit Jahrzehnten sogenannte Wahlhelferlisten fortgeschrieben werden. Ich habe insoweit die Umsetzung der o.g. Normen gefordert.

Vereinsförderung durch Kommunen

Die Erforderlichkeit setzt der Erhebung personenbezogener Daten aller Vereinsmitglieder in einer Kommune im Zusammenhang mit Vereinsförderungen Grenzen. Entsprechende Regelungen in den Richtlinien zur Vereinsförderung müssen geändert werden.

Vereine aus verschiedenen Kommunen fragten an, ob es datenschutzrechtlich unbedenklich sei, den Kommunen mit ihren Anträgen auf Vereinsförderung auch eine aktuelle Liste aller Vereinsmitglieder zu übersenden.

Meine Recherchen bei einigen Kommunen ergaben, dass die jeweiligen Richtlinien zur Vereinsförderung vorsehen, dass alle geförderten Vereine jährlich eine Liste mit personenbezogenen Daten aller Vereinsmitglieder zusammen mit dem Förderungsantrag einreichen müssen. Ohne dass ich an der bisherigen ordnungsgemäßen Behandlung der Vereinsmitgliederdaten durch die Kommunen zweifele, gehört es zu meinen Aufgaben als Hessischer Datenschutzbeauftragter, die Speicherung von personenbezogenen Daten auf das erforderliche Maß zu begrenzen. Zur Berechnung der jedem Verein zustehenden Zuschussbeträge ist die generelle Übersendung aktueller Mitgliederlisten nicht erforderlich. Für die Berechnung und Auszahlung von Förderbeträgen genügen Informationen zur Mitgliederzahl, zur Altersstruktur sowie zum Wohnort der Vereinsmitglieder.

Selbstverständlich habe ich keine datenschutzrechtlichen Bedenken, wenn jährlich zur Überprüfung der Richtigkeit der Vereinsangaben einige geförderte Vereine aufgefordert werden, durch Übersendung einer aktuellen Mitgliederliste die Angaben zur Mitgliederstruktur nachzuweisen. Werden die stichprobenartig angeforderten Mitgliederlisten gründlich geprüft und führen fehlerhafte Angaben, z. B. zu einem Ausschluss vom Förderprogramm, kann man sich wirkungsvoll vor falschen Angaben schützen.

Die anfragenden Vereine und die jeweils betroffenen Kommunen habe ich entsprechend informiert.

Hepatitiswarnung im Einwohnermeldeamt

Die Polizei darf Gesundheitsdaten, die anlässlich einer polizeiärztlichen Untersuchung nach einem Unfall angefallen sind, nicht dem Einwohnermeldeamt übermitteln. Durch klare Anweisungen ist sicherzustellen, dass in ein Freitextfeld des Einwohnermeldedatensatzes nur zulässige Inhalte eingetragen werden.

Ein Einwohner einer hessischen Stadt fragte mich, ob es rechtens sei, dass das Bürgerbüro seiner Stadt über seine HepatitisInfektion informiert sei. Zwar habe er vor kurzem der Polizei bei einer polizeiärztlichen Untersuchung gesagt, dass er an Hepatitis-C erkrankt sei, doch habe er nicht damit gerechnet, einige Monate später bei einer Stelle der Stadtverwaltung dieser Information wieder zu begegnen. Als er einen Reisepass beantragte, habe er auf dem Bildschirm gesehen, dass nach dem Aufrufen des zu seiner Person gespeicherten Einwohnerdatensatzes ein gelb leuchtendes Feld aufblinkte. Darin sei unter Angabe seiner Hepatitis C-Infektion vor ihm gewarnt worden. Er fragte mich, ob er diese Datenspeicherung hinnehmen müsse und ob die vorangegangene Datenübermittlung der Polizei an die Stadtverwaltung rechtmäßig gewesen sei.

Beim Bürgerbüro seiner Stadtverwaltung, welches u.a. die Aufgaben der Einwohnermeldebehörde und der Passstelle wahrnimmt, sah ich den zu seiner Person gespeicherten Einwohnerdatensatz ein. Dort kommt das in Hessen von den Stadt- und Gemeindeverwaltungen oft angewendete DV-Verfahren für das Einwohnerwesen PAMELA (Plattformunabhängiges Melde, Lohnsteuer- und Ausweiswesen) zur Anwendung. Das Verfahren bietet die Möglichkeit - neben den formatierten und vom Meldegesetz vorgegebenen Datenfeldern - in einem Freitextfeld weitere Informationen zu speichern. Dieses "Sachbearbeiterinfo" genannte Datenfeld wird durch Anklicken eines mit "I" gekennzeichneten Button geöffnet. Hat das Datenfeld einen Inhalt, so ist das ansonsten blassblaue "I" leuchtend rot. Im Datensatz der betroffenen Person leuchtete unverkennbar das rote "I". Nach dem Anklicken öffnete sich das leuchtend gelbe Info-Feld. Es enthielt die Angabe: "lt. Auskunft der Polizei, hat Herr XY Hepatitis C! Bitte Vorsicht!".

Der Fall macht in besonderem Maße die Problematik der Verwendung sog. Freitextfelder deutlich. Selbstverständlich hat ein derartiger Hinweis nichts im Einwohnermelde-Datensatz zu suchen. Die Leiterin des Bürgerbüros hat deshalb auch sofort die Löschung dieser Eintragung vorgenommen.

Andere Einwohnermeldeverfahren kommen auch ohne derartige Freitextfelder aus. Datenschutzrechtlich ist die Verwendung solcher Felder stets kritisch, weil - wie der dargestellte Fall zeigt - auch unzulässige Inhalte gespeichert werden können. Wenn man auf die Verwendung von Freitextfeldern nicht verzichten will, ist organisatorisch sicherzustellen, dass sie keine unzulässigen Inhalte enthalten. Aus diesem Grund bedarf es klarer Hinweise an die Mitarbeiter, was in diese Felder eingetragen werden darf. Derartige Hinweise gab es nicht. Ich habe deshalb gefordert, dass ein Leitfaden erstellt wird, aus dem sich für die Mitarbeiter klare Handlungsanweisungen zum Ausfüllen dieser Felder ergeben. Dieser wird derzeit unter Mitarbeit der behördlichen Datenschutzbeauftragten erarbeitet. In einer vorläufigen Anweisung wird darauf hingewiesen, dass die Sachbearbeiter-Info nur für wichtige, dienstliche Belange zu verwenden ist.

Beispiele:

- Örtliche Ermittlung

- Hinweis über einen anderen Wohnsitz oder anderen Familienstand

- Personenstandsurkunde ist nachzureichen

- Fehlende Unterlagen

- Abzuholende oder angeforderte Unterlagen liegen an der Info

Aufgrund dieses Vorfalls habe ich zudem gefordert, dass alle Datensätze mit einer ausgefüllten Sachbearbeiterinfo unter Kontrolle der behördlichen Datenschutzbeauftragten überprüft werden. Bei dieser Auswertung hat sich ergeben, dass noch weitere unzulässige Einträge im Feld Sachbearbeiterinfo vorgenommen wurden. Diese sind inzwischen ebenfalls gelöscht worden.

Danach galt es noch festzustellen, ob die Information auch tatsächlich wie von dem Betroffenen angenommen von der Polizei übermittelt worden war und ob die Datenerhebung bei der Polizei registriert und was genau dort dokumentiert ist.

Die von dem Betroffenen erwähnte polizeiärztliche Untersuchung konnte zeitlich und örtlich genau bestimmt werden. Ich suchte also die zuständige Polizeibehörde auf, bat um Vorlage der Unterlagen zu der in Rede stehenden Unfallaufnahme und sah die in diesem Zusammenhang angefallene Blattsammlung ein. Tatsächlich war die Hepatitis-C-Infektion im ärztlichen Untersuchungsbericht angeführt. Eine Speicherung der Information in den ansonsten zur Person des Betroffenen vorhandenen automatisiert geführten polizeilichen Informationssammlungen lag nicht vor. Auch eine Dokumentation der Übermittlung der Information an die Stadtverwaltung war nicht zu finden. Es blieb mir lediglich festzustellen: Die Information über die Erkrankung ist nach dem Unfallaufnahmebogen an einem späten Freitagabend bei der Polizei registriert und nach dem Protokoll des DV-Verfahrens der Stadtverwaltung am darauffolgenden Montag bei der Meldebehörde eingespeichert worden.

Das zuständige Polizeipräsidium Südosthessen bat ich um eine Stellungnahme zu dem Geschehen. Denn aufgrund des zeitlichen und sachlichen Zusammenhangs bin ich von einer Datenübermittlung der Polizei ausgegangen. Ich fragte, welche Stellen der betreffende Bedienstete noch über die Erkrankung des Betroffenen informiert hat, warum er die Datenübermittlung nicht dokumentiert hat und - falls Fürsorgeüberlegungen sein Handeln bestimmt haben sollten - warum er die Information nicht in den polizeilichen Informationssammlungen hinterlegt hat.

Die Polizei antwortete, der Betroffene habe sich bereits nach seiner Ankunft auf der Polizeistation völlig unangemessen gegenüber den Beamten verhalten. So habe er einen Schreibtisch mit Blut und anderen Körpersekreten benetzt und dabei erwähnt, an Hepatitis C erkrankt zu sein. Die näheren Umstände der Datenübermittlung konnten allerdings nicht geklärt werden. Insbesondere konnte die verantwortliche Person nicht zweifelsfrei ermittelt werden. Die Polizei teilte aber meine Überzeugung, dass sie die Datenübermittlung zu verantworten hat. Als Motiv des unbekannten Polizeibeamten sei anzunehmen, dass er die Mitarbeiter der Stadtverwaltung, die im Rahmen der Überprüfung der Meldedaten mit dem Betroffenen in Kontakt kommen müssten, aufgrund seines Verhaltens auf der Polizeistation zu deren Schutz warnen wollte. Als Rechtsgrundlage hierfür führte die Polizei § 22 Abs. 2 Nr. 2 HSOG an. Danach können Polizeibehörden personenbezogene Daten an Behörden übermitteln, soweit dies zur Abwehr einer Gefahr für die empfangende Stelle erforderlich ist. Zwar sei die Gefahr nicht sonderlich konkret und die Wahrscheinlichkeit des Schadeneintritts eher gering gewesen, doch seien daran umso geringere Anforderungen zu stellen, je größer und folgenschwerer der möglicherweise entstehende Schaden ist. Zwar sei die für diesen Fall nach § 21 Abs. 1 HSOG gebotene Dokumentation der Datenübermittlung unterblieben. Auch sei der Umgang mit der Information nicht stringent gewesen, weil die polizeiinternen Datenspeicherungen der Polizei nicht um die Warnung angereichert worden ist. Die als Einzelfall bewertete Angelegenheit sei auch intern aufbereitet und entsprechend kommuniziert worden, grundsätzlich könne aber die Datenübermittlung auf § 22 Abs. 2 Nr. 2 HSOG gestützt werden.

Diese Darstellung überzeugt mich im Ergebnis nicht. Weder aus dem Bericht des Arztes noch aus dem des bearbeitenden Polizeibeamten gehen Anhaltspunkte für ein besonderes Vorkommnis oder ein unangemessenes Verhalten hervor. Diesen Unterlagen lässt sich eher das Gegenteil entnehmen. Nachteilig wirkt sich hier die fehlende Dokumentation der Datenübermittlung aus. Der Darstellung, dass es sich um einen Einzelfall gehandelt hat, kann allerdings nicht widersprochen werden.

Zu hoffen bleibt, dass mit der internen Aufbereitung und entsprechenden Kommunikation Wiederholungsfällen begegnet ist.

Ich habe den Betroffenen darüber informiert, dass die unzulässige Datenspeicherung in der Meldebehörde gelöscht wurde.

Ebenso habe ich dargelegt, dass meiner Ansicht nach die Datenübermittlung durch die Polizei unzulässig war.

Chipkarte als Eintrittskarte und elektronische Geldbörse

Die dauerhafte Speicherung von Konsumationsdaten auf der Zugangskarte zu einem Thermalbad ist datenschutzrechtlich unzulässig. Ich habe deshalb die Neuprogrammierung des Systems gefordert.

Bereits in meinem 33. Tätigkeitsbericht hatte ich über das Zugangssystem zu einem Thermalbad berichtet (Ziff 6.7), bei dem die Dauerkarte als Chiparmband herausgegeben wurde. Dabei hatte ich zum damaligen Zeitpunkt das System nicht beanstandet, da die Speicherung personenbezogener Daten auf dem Chip nur mit Einwilligung der betroffenen Badegäste erfolgte. Es gab auch die Möglichkeit, eine anonyme Dauerkarte in Form eines Chiparmbandes zu erwerben.

Inzwischen gab es erneut Beschwerden über das Zugangssystem. Nicht alle vorgetragenen Vorwürfe erwiesen sich bei der Überprüfung als korrekt. Der anonyme Erwerb einer Dauerkarte war trotz gegenteiliger Behauptung möglich. Allerdings stellte sich bei der Überprüfung heraus, dass die Datenspeicherungen auf der Chipkarte sehr viel umfangreicher waren, als zunächst angenommen. Der besondere Service des Systems ist es, dass Badegäste mit Chipkarte im Schwimmbad kein Bargeld benötigen. Will der Badegast zwischenzeitlich im Schwimmbadrestaurant etwas essen oder trinken oder auch die Sauna besuchen, so kann er diese Leistungen über seinen Chip verbuchen lassen. Diese Informationen werden dann auf dem Server des Betreibers gespeichert. Verlässt der Badegast das Schwimmbad, wird an der Schranke deutlich, ob noch solche Zusatzleistungen abzurechnen sind. Diese Zusatzkonsumationen werden dann an der Kasse des Bades bar oder per ECKarte beglichen. Das Chipband dient hier nur der Identifikation des Gastes und der Kontrolle der Eintritte.

Man sollte meinen, dass damit für den Badegast der Zahlungsvorgang abgeschlossen ist. Die Überprüfung ergab aber, dass sämtliche Konsumationsvorgänge zu jeder Karte dauerhaft gespeichert werden. Das Schwimmbad konnte auch nach einem Jahr noch genau nachlesen, zu welcher Karte welche Zusatzleistungen abgerechnet wurden. Kein Kunde dürfte davon ausgegangen sein, dass diese Daten nach Verlassen des Schwimmbades weiter gespeichert werden. Die Kundeninformationen erhielten dazu keinerlei Hinweis. Ich halte die Speicherung dieser Daten für datenschutzrechtlich unzulässig, unabhängig davon, ob es sich um eine namensgebundene oder namensungebundene Zugangskarte handelt. Die Abrechnungsdaten für Zusatzkonsumationen sind unmittelbar nach dem Bezahlvorgang durch den Schwimmbadbesucher von den Kartendaten zu trennen. Sicher werden sie noch zu Abrechnungszwecken mit dem Pächter des Lokals benötigt, aber nicht kartenbezogen im System des Thermalbades. Ich habe deshalb gefordert, dass das System umgehend umprogrammiert wird.

Dieser Mangel wiegt noch aus einem weiteren Grund schwer. Die zunächst zur Verfügung stehenden Chipkartenlesegeräte für die Kunden, haben diese Information nicht angezeigt. Der Kunde konnte auch durch das eigene Auslesen die zusätzliche Datenspeicherung gar nicht erkennen. Die Anzeige gab ihm lediglich die Information, wie viele Schwimmbadbesuche noch auf der Karte gespeichert waren.

Wegen technischer Schwierigkeiten liegt das Ergebnis der Umprogrammierung noch nicht vor.

Zur Nachweispflicht von ledigen Studierenden bei der Begründung eines Nebenwohnsitzes am Studienort

Die Meldebehörde hat für die Richtigkeit des Melderegisters Sorge zu tragen. Sie darf zu diesem Zweck nachprüfen, ob die Zuordnung von Haupt- und Nebenwohnsitz zutreffend ist. Ledige Studierende, die am Studienort einen Nebenwohnsitz begründen und ihren Hauptwohnsitz am entfernten Heimatort beibehalten, sind zur Vorlage von schriftlichen Nachweisen verpflichtet. Diese Nachweispflicht endet jedoch an dem Recht der Meldepflichtigen auf Schutz ihrer Privatsphäre.

Durch zwei Datenschutzbeschwerden wurde ich darauf aufmerksam, dass die Meldebehörde der Universitätsstadt Gießen bei ledigen Studierenden, deren Heimatort mehr als 100 km entfernt ist, überprüft, ob der Status des gemeldeten Nebenwohnsitzes auch tatsächlich zutrifft.

In den Beschwerdefällen forderte die Meldebehörde die Betroffenen auf, detaillierte Angaben zu den Aufenthaltszeiten am Studienort und am Heimatort (zeitliche Gegenüberstellung) zu machen, ihren Studienplan vorzulegen, die Heimfahrten zu belegen und, für den Fall, dass keine eindeutige Aussage getroffen werden kann, bereits vorsorglich eine Angabe zum Lebensmittelpunkt zu machen. Sie kündigte weiterhin an, andernfalls von einer - angeblich durch Rechtsprechung begründeten - Regelvermutung Gebrauch zu machen, nach der bei ledigen Studierenden, deren Heimatort mehr als 100 km vom Studienort entfernt ist, der überwiegende Aufenthalt am Studienort und dieser damit Hauptwohnsitz sei. Das Melderegister sei insoweit von Amts wegen zu berichtigen.