Arbeitgeber

Das Organisationskomitee übermittelt die für die Überprüfung erforderlichen Daten an das Bundeskriminalamt, das die Daten nach dem Wohnortprinzip in Länderpakete an die Polizei sowie Pakete für das Bundesamt für Verfassungsschutz, die Bundespolizei und das Bundeskriminalamt aufteilt und verteilt. Das Bundesamt für Verfassungsschutz verteilt seinen Datensatz wiederum nach dem Wohnortprinzip an die Landesämter für Verfassungsschutz. Die Sicherheitsbehörden überprüfen die Daten bei der Entgegennahme auf ihre Plausibilität, etwa Schreibfehler und Zahlendreher, und weisen sie ggf. zurück. Die qualifizierten Voten der Sicherheitsbehörden (akkreditiert/nicht akkreditiert) werden nach der Überprüfung ohne Begründung wieder an das Bundeskriminalamt übermittelt, das ein Gesamtvotum erstellt und dem Organisationskomitee mitteilt. Die Ablehnung einer einzelnen Sicherheitsbehörde führt zu einem ablehnenden Gesamtvotum für die betroffene Person. Dem Organisationskomitee werden weder die Gründe noch die ablehnende Sicherheitsbehörde genannt. Das Organisationskomitee teilt das Ergebnis bei Einzelakkreditierungen den Betroffenen persönlich, bei Sammelakkreditierungen hingegen dem Arbeitgeber mit, der seinerseits den betroffenen Arbeitnehmer informiert.

Die Sicherheitsüberprüfung und die vorherige Benachrichtigung des Arbeitgebers bedeuten für die Betroffenen einen erheblichen Eingriff in ihr Grundrecht auf informationelle Selbstbestimmung. Das Negativvotum führt zu einem partiellen Berufsausübungsverbot für die Betroffenen, bei Arbeitnehmern droht der Arbeitsplatzverlust, so dass auch das Grundrecht der Berufsfreiheit und bei Journalisten die Presse- und Rundfunkfreiheit berührt sind. Das Überprüfungsverfahren erweist sich aus datenschutzrechtlicher Sicht in mehrerlei Hinsicht als bedenklich: Fehlende gesetzliche Eingriffsgrundlage: Die gesetzlichen Voraussetzungen für eine Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz (SÜG) liegen nach Auffassung aller Beteiligten nicht vor. Die Einwilligung der Betroffenen stellt keine ausreichende Rechtsgrundlage für eine Überprüfung durch den Verfassungsschutz oder in diesem Ausmaß durch die Polizeibehörden dar. So fehlt es z. B. für die Beteiligung des Verfassungsschutzes an einer Zuverlässigkeitsüberprüfung bereits an einer Aufgabenzuweisung im Bremischen Verfassungsschutzgesetz. Eine Einwilligung kann dies nicht ersetzen. Die allein auf der Einwilligung der Betroffenen beruhende Sicherheitsüberprüfung ist ein Präzedenzfall und umgeht die strenge Zweckbindung der von den beteiligten Verfassungsschutzbehörden mit nachrichtendienstlichen Mitteln erlangten Erkenntnisse, die für die Überprüfung herangezogen werden. Da diese Erkenntnisse den Betroffenen nicht bekannt sind, scheidet auch insoweit eine Einwilligung aus.

Fehlende Authentizität und Wirksamkeit der Einwilligung: Das Akkreditierungsverfahren gewährleistet nicht die Authentizität der Einwilligungserklärung. Die Betroffenen erklären ihre Einwilligung in die Durchführung des Akkreditierungsverfahrens selbst oder über ihren Arbeitgeber mittels eines Online-Antragsformulars gegenüber dem Organisationskomitee. Die Sicherheitsbehörden erhalten damit keinen authentischen Nachweis, der die Urheberschaft des Einwilligenden sicherstellt. Im Prinzip könnte man so Freunde und Bekannte mit überprüfen lassen. Zweifel sind auch an der Freiwilligkeit und damit Wirksamkeit der Einwilligungserklärung angebracht. Eine Vielzahl von Arbeitnehmern wird die Erklärung nur deswegen abgeben, um negative Folgen im Arbeitsverhältnis zu vermeiden, da die fehlende Einwilligung zwingend zur Ablehnung der Akkreditierung führt.

Fehlende Verhältnismäßigkeit: Für die ablehnende Empfehlung der Sicherheitsbehörden des Bundes und der Länder genügt das negative Votum eines einzelnen Landeskriminalamtes oder Landesamtes für den Verfassungsschutz. Berücksichtigt werden auch Erkenntnisse aus eingestellten Ermittlungsverfahren oder Strafverfahren ohne gerichtliche Verurteilung. Bei den Verfassungsschutzbehörden genügt sogar der Verdacht einer Bestrebung gegen die freiheitlich demokratische Grundordnung für eine zwingende Ablehnung. Im Zweifel soll aus Gründen der Sicherheit eine Ablehnung erfolgen. So wurde bei der Endrundenauslosung zur Fußball-Weltmeisterschaft 2006 im Dezember 2005 mehrfach die Akkreditierung verweigert, weil der Personalausweis oder Reisepass des Betroffenen zu einem früheren Zeitpunkt als verloren oder gestohlen gemeldet war. Dies scheint im Hinblick auf die unter Umständen gravierenden Folgen der Nicht-Akkreditierung und dem rechtsstaatlichen Verhältnismäßigkeitsgrundsatz bedenklich.

Defizite beim Rechtsschutz: Die von den Datenschutzbeauftragten des Bundes und der Länder geforderte Rückmeldung der Ergebnisse zunächst an den Betroffenen wurde abgelehnt. Das Organisationskomitee teilt bei Sammelakkreditierungen nur dem Arbeitgeber ohne Begründung mit, dass die Akkreditierung verweigert wird.

Dem betroffenen Arbeitnehmer drohen damit berufliche oder wirtschaftliche Nachteile, bevor er die Möglichkeit erhält, Fehlinformationen zu korrigieren oder Stellung zu nehmen.

Der Rechtsschutz der Betroffenen ist zudem sehr umständlich organisiert. Für den Betroffenen ist nicht erkennbar, welche Stelle für die Nicht-Akkreditierung wegen Sicherheitsbedenken verantwortlich ist. Nach außen tritt das Organisationskomitee in Erscheinung, dass seine Ablehnung nicht begründet. Der Betroffene muss sich an das Landeskriminalamt seines Landes wenden, dass über das Bundeskriminalamt die für die Ablehnung verantwortliche Stelle anschreibt, z. B. das Bundesamt für Verfassungsschutz, das sich seinerseits an das entsprechende Landesamt für Verfassungsschutz wendet. Kritisch zu betrachten ist auch, dass die Polizeibehörden (Bundes-, Landeskriminalamt) auf diese Weise Kenntnis erlangen, dass Informationen über den Betroffenen beim Verfassungsschutz vorliegen.

9.10 Mobile Videoüberwachung durch die Polizei

Es bestehen Planungen bei der Polizei, Videoüberwachung künftig auch mobil einzusetzen. Soweit es sich um die mobile Videoüberwachung zum Zwecke der Eigensicherung der eingesetzten Polizeibeamten handelt, verweise ich auf Ziff. 9.3 dieses Berichts. Daneben bestehen aber auch Überlegungen, vorhandene Videoüberwachungsgeräte, die gemäß § 29 Abs. 3 des eingesetzt werden, wahlweise an verschiedenen, festgelegten Orten einzusetzen, ohne dass die begleitenden Maßnahmen, z. B. Hinweisschilder, jeweils konkret auf den Einsatz der Anlage hinweisen. Diese Pläne stehen nicht im Einklang mit § 29 Abs. 3 hierauf habe ich die Polizei Bremen hingewiesen.

9.11 Stalkerdatei

Im August des Berichtsjahres hat die Polizei Bremen in das Polizeiinformationssystem ISA die Gefährderdatei Stalker und Beziehungstäter eingeführt. Täter von Stalking oder häuslicher Gewalt werden im Polizeiinformationssystem mit dem personenbezogenen Hinweis Gefährder aufgeführt, so dass Polizeibeamte bei ihren Einsätzen das Gefährdungspotential dieser Personen frühzeitig erkennen und entsprechend reagieren können. Das hierfür erforderliche Datenschutzkonzept wurde mit mir abgestimmt.

9.12 Datenverarbeitung bei der Feuerwehr in Bremen

Der behördliche Datenschutzbeauftragte der Feuerwehr Bremen hat mir aufgrund der Eingabe eines Mitarbeiters eine Dokumentation zur Regelung des Zugriffs auf die Dateien bei der Feuerwehr Bremen (vgl. 27. JB, Ziff. 6.14) vorgelegt. Zu diesem Konzept habe ich Stellung genommen.

Die Dokumentation ist um eine Beschreibung des Beantragungsverfahrens sowie um die Darstellung der Zugriffs- und Verzeichnisstrukturen zu vervollständigen, zur Zugangskontrolle habe ich Empfehlungen abgegeben. Weitere wesentliche Themen sind Probleme bei dezentraler Datenspeicherung (mangelnde Zugriffs- und Verfügbarkeitskontrolle), Fragen zur Vergabe von Gruppenberechtigungen sowie zu benennende Maßnahmen zur Weitergabe-, Verfügbarkeits-, Eingabe- und Auftragskontrolle. Ein Konzept zur Erhöhung der Transparenz der Administratorentätigkeit, welches beispielweise die Festlegung von Verantwortlichkeiten sowie Rechte und Pflichten, Möglichkeiten der Protokollierung und Revision darlegen soll, steht ebenfalls aus.

Zur Auftragskontrolle habe ich dargelegt, dass die Fremdwartung ein Sicherheitskonzept erfordert, durch das geeignete technische und organisatorische Maßnahmen getroffen werden, um personenbezogene Daten vor unberechtigtem Zugriff zu schützen.

Weiterhin habe ich der Bitte des Datenschutzbeauftragten der Feuerwehr Bremen entsprochen und zu Fragen der Netzwerkadministration, der Vergabe von Berechtigungen im Netz (Rollenkonzept, Zugriffskontrolle) und zu einzelnen Positionen des Netzwerksicherheitskonzeptes Stellung genommen. Der behördliche Datenschutzbeauftragte teilte mir mit, dass er voraussichtlich ab Mitte Februar 2006 Ergebnisse zu einzelnen Fragestellungen vorlegen könne.

9.13 Einsatz von Unfalldatenspeichern bei der Feuerwehr Bremen

Die Feuerwehr in Bremen informierte mich über den Einsatz von Unfalldatenspeichern, mit denen Rettungsfahrzeuge, Intensivkrankentransportwagen, Großraumkrankentransportwagen sowie Notarzteinsatzfahrzeuge ausgestattet werden. Ein Unfalldatenspeicher (UDS) ist ein Gerät, welches bei eingeschalteter Zündung permanent und uhrzeitgenau Fahrzeugbewegungen, Stellung bzw. Bedienung angeschlossener Bedienelemente erfasst und interne Vorgänge überwacht. So werden beispielsweise Daten zur Fahrzeugrichtung, Quer- und Längsbeschleunigung, Geschwindigkeit, Fahrtrichtungsanzeiger, Signallicht, Blaulicht, Standlicht, Abblendlicht etc. aufgezeichnet.

Das Datenspeicherprogramm ist sehr komplex. Sobald bestimmte Merkmale erreicht sind, werden die Daten zu einem Ereignis zusammengefasst und in einem von neun Ereignisspeichern gespeichert. So sollen bei einem Unfall die letzten 28

Sekunden vor sowie 15 Sekunden nach dem Ereignis automatisch gespeichert werden. Darüber hinaus besteht die Möglichkeit, dass der Fahrzeuglenker durch Betätigung der UDS-Taste (manuelles Ereignis) die Daten der letzten 43 Sekunden und ca. 100 folgenden Meter speichert (z. B. bei dem Überfahren einer auf Rot stehenden Lichtsignalanlage). Weiterhin werden Daten in einem von drei Stillstandsspeichern gesichert, wenn das Fahrzeug länger als drei Sekunden steht, sowie interne Ereignisse (z. B. Zündung an/aus, UDS-Taste gedrückt, UDS-Speicher ausgelesen) aufgezeichnet.

Mit den UDS-Daten soll der Unfallverlauf rekonstruiert und ggf. das korrekte Verhalten der Fahrzeugführer nachgewiesen werden.

Die Daten sollen mittels eines ausschließlich hierfür vorgehaltenen Notebooks aus dem UDS heruntergeladen werden. Dieser Vorgang geschieht mit einer hierfür vorgesehenen und durch einen Hardlock gesicherten Software. Zusätzlicher Schutz des Notebooks vor missbräuchlicher Nutzung wird durch weitere technische und organisatorische Maßnahmen geschaffen. Die heruntergeladenen Daten werden auf einem kennwortgeschützten USB-Stick gespeichert und an einen vom Hersteller autorisierten und von der Feuerwehr schriftlich beauftragten Sachverständigen weitergegeben, dem die Auswertung der Daten obliegt. Die Feuerwehr Bremen besitzt keine weiterführende Software, die eine Auswertung der Daten ermöglicht.

Der Datenschutzbeauftragte der Feuerwehr Bremen legte mir die nach dem Bremischen Datenschutzgesetz erforderliche Verfahrensbeschreibung sowie die Dienstanweisung und Bekanntmachung vor. Hierzu habe ich im Berichtsjahr Stellung genommen und Vorschläge und Anforderungen zur Gestaltung der Dienstvereinbarung sowie insbesondere zur Speicherung und zu den technischen und organisatorischen Maßnahmen gemacht.

Ich habe darauf hingewiesen, dass der betroffene Fahrzeugführer in jedem Fall über das Auslesen des UDS zu benachrichtigen ist. Klärungsbedarf gibt es derzeit noch zum Umfang der aufgezeichneten Betriebsdaten des Fahrzeugs wie auch zur tatsächlichen Speicherdauer und zur Löschung hoher Bewertungen. Die Messdaten werden mit einer bestimmten Bewertung durch den UDS gespeichert. Die Löschung der Daten soll durch Überschreiben der Ereignisspeicher mit einer höheren Bewertung erfolgen. Eine abschließende Stellungnahme der Feuerwehr Bremen liegt noch nicht vor.

9.14 Internetnutzung bei der Feuerwehr Bremen

Ich habe die Feuerwehr in Bremen zur Nutzung von E-Mail und Internet am Arbeitsplatz beraten. Die mir hierzu vorgelegten Dienstvereinbarungen und Dokumente bezogen sich auf veraltete Regelwerke, was formale und inhaltliche Anpassungen erfordert hätte. Ich begrüße daher die Entscheidung der Feuerwehr Bremen, stattdessen die Richtlinie für die Nutzung der Elektronischen Post vom 7. März 2002 sowie die Richtlinie für die Bereitstellung und Nutzung von vom 10. Februar 2004 einzuführen, nach dessen Vorgaben die Protokollierung ausgerichtet wird.

Hinsichtlich der Aufstellung zusätzlicher PC zur ausschließlichen privaten Nutzung des Internets habe ich auf die Einhaltung der Vorgaben zum Datenschutz und zur Protokollierung (z. B. Untersagung dezentraler Protokollierung bei privaten Zugriffen) gedrungen.