Unzufrieden zeigte sich der Bundesdatenschutzbeauftragte Peter Schaar bei der Vorstellung seines 238-Seiten starken Berichts mit dem Stand des Datenschutzes in Deutschland – und mit der Bundesregierung, die er offen kritisierte. Die Regierung habe 2009 im Koalitionsvertrag zwar vieles angekündigt, aber sehr wenig auf den Weg gebracht und noch nichts abgeschlossen, sagte er bei der Vorstellung des 23. Tätigkeitsberichts.
Insbesondere kritisierte er den Gesetzentwurf zum Datenschutz für Arbeitnehmer, der nachgebessert werden müsse. Auch wenn Arbeitnehmer und Arbeitgeber durch den von Bundesregierung vorgelegten Gesetzentwurf zum Beschäftigtendatenschutz mehr Rechtssicherheit bekommen würden, sei es etwa kritisch, dass die offene Videoüberwachung der Beschäftigten ausgeweitet werden solle.
Schaar kritisierte auch „Mängel bei der Umsetzung des SWIFT-Abkommens", die erneut geplante Vorratsdatenspeicherung und die Sicherheits- und Anti-Terror-Gesetze. Diese dürften „nicht ohne eine systematische, ergebnisoffene und wissenschaftlich fundierte Überprüfung" verlängert werden. Schaar erinnerte die Regierung an die geplante Einführung aber bislang nicht umgesetzte Stiftung Datenschutz.
Mit Sorge betrachtet Schaar auch den stetigen Anstieg der automatisierten Abfrage von Kontostammdaten durch die Behörden. Die Anzahl der Anfragen habe sich in fünf Jahren mehr als verfünffacht. Schaar: „Ich halte es deshalb für dringend geboten, die Befugnisse zum automatisierten Kontendatenabruf auf den Prüfstand zu stellen."
Im Jahr 2010 haben die Finanz- und Sozialbehörden mit rund 58.000 Fällen erneut deutlich mehr Daten abgefragt (2009: 44.000). Auch die Zahl der automatisierten Kontenabrufe zur Verfolgung von Straftaten durch Polizei- und Zollbehörden sowie Staatsanwaltschaften hat im Jahr 2010 um 15 Prozent im Vergleich zum Vorjahr zugenommen.
Bürger wollen nicht überwacht werden
Ein Problem sieht der Bundesdatenschützer auch durch die Datensammlungen bei Google Street View, Microsoft Street Side und den sozialen Netzwerken. International agierende Unternehmen hätten sich genauso wie einheimische an deutsches und europäisches Datenschutzrecht zu halten. Schaar: „Es kann nicht sein, dass Unternehmen heute aussagekräftige Profile im Internet bilden können, ohne dass die Nutzer vorab eingewilligt haben. Deshalb bedauere ich, dass es bisher unter dem Stichwort ‚Rote-Linie-Gesetz’ bei Ankündigungen der Bundesregierung geblieben ist und nicht einmal ein diskussionsfähiger Entwurf vorliegt."
Erfreulich: Die Bürger würden immer sensibler, was den Umgang mit ihren Daten angeht. Sie seien sich „der Tatsache, dass sie immer stärker überwacht werden, zunehmend bewusst", sagte Schaar und erwähnte die jüngsten Datenschutzskandale bei Deutscher Telekom, Deutscher Bahn und Lidl.
Schaar: „Immer mehr Bürgerinnen und Bürger sind nicht damit einverstanden, in ihrem alltäglichen Verhalten registriert und überwacht zu werden. Ich fordere die Bundesregierung und den Deutschen Bundestag daher auf, diesen Bürgerwillen ernst zu nehmen und die angekündigten datenschutzrechtlichen Vorhaben nun umzusetzen."
Immer mehr Bürger würden sich in letzter Zeit hilfesuchend an seine Behörde wenden. 11.153 schriftliche Eingaben sowie 14.204 telefonische Anfragen gab es im Berichtszeitraum. Schaar sprach sich dafür aus, dass er bei Datenschutzverstößen von Telekommunikations- und Postdienstunternehmen auch Bußgelder verhängen dürfe, was bisher nicht möglich ist. Die Vorgaben des Europäischen Gerichtshofs zur Unabhängigkeit der Datenschutzaufsichtsbehörden seien in Deutschland bislang nicht umgesetzt worden.
Bundesverfassungsgericht setzt deutliche Grenzen
Schaar betonte, dass das Bundesverfassungsgericht wiederholt der staatlichen Überwachung deutliche Grenzen gesetzt hat. „Eine umfassende Überwachung wäre mit der verfassungsrechtlichen Identität der Bundesrepublik Deutschland nicht vereinbar", so Schaar. „Ich erwarte, dass sich die Bundesregierung sowohl auf nationaler als auch auf europäischer Ebene an dieser Maxime orientiert."
Eine Auswahl der Themen und Forderungen des Bundesdatenschutzbeauftragten zu den IT-Themen in seinem Tätigkeitsbericht, die die Öffentliche Verwaltung betreffen, im Einzelnen:
Zensus 2011
Die gesetzliche Zweckbindung der beim Zensus erhobenen Daten sowie eine hohe Datensicherheit müssen gewährleistet werden. Insbesondere dürften keine personenbezogenen Angaben in die Verwaltung zurückfließen. Es sei auch wichtig, dass die für die Durchführung des Zensus benötigten personenbezogenen Daten, unverzüglich anonymisiert und gelöscht werden, sobald sie nicht mehr erforderlich sind. Ein besonderes Problem sieht Schaar im Umgang mit Daten von Personen, zu deren Schutz eine Übermittlungssperre im Melderegister eingetragen ist.
Datenverarbeitung in der Anti-Terror-Datei
Bei der Kontrolle der Datenverarbeitung des Bundesamtes für Verfassungsschutz (BfV) in der gemeinsam mit der Polizei und den Nachrichtendiensten des Bundes und der Länder geführten Anti-Terror-Datei hat Schaar „erhebliche Mängel" festgestellt. Daten, die beim BfV zur Löschung anstanden, seien in der Anti-Terror-Datei weiter vorgehalten worden. Zudem würden Daten aus heimlichen Telekommunikationsmaßnahmen, entgegen den Regelungen ohne die gesetzlich vorgesehene besondere Kennzeichnung gespeichert. Für die übrigen Nutzer der Anti-Terror-Datei sei damit nicht erkennbar gewesen, dass es sich hier um gesetzlich besonders geschützte Daten handelte.
Verzögerung bei eGK ist aus Datenschutzsicht schädlich
Datenabgleich mit Anti-Terror-Listen
Kritisch steht Schaar dem vom Zoll geforderten generellen Abgleich mit den EG-Anti-Terror-Listen bei der Zertifizierung als „Zugelassener Wirtschaftsbeteiligte" gegenüber.
De-Mail
Ziel des De-Mail Projektes sei die sichere und verlässliche elektronische Kommunikation. Trotz der Berücksichtigung wichtiger datenschutzrechtlicher und datenschutztechnischer Forderungen, etwa der optionalen Ende-zu-Ende-Verschlüsselung, seien laut Schaar weiterhin einige Fragen offen. Entscheidend würden die Sicherheit, der Datenschutz und die Transparenz des Verfahrens sowie die Akzeptanz von De-Mail bei den Bürgern sein, so Schaar.
Cloud Computing
Beim Cloud Computing stelle sich die Frage, wie der Datenschutz und die Datensicherheit gewährleistet werden können, wenn im Extremfall nicht einmal bekannt ist, von wem Daten technisch verarbeitet werden und in welchem Land sich die IT-Systeme befinden. Würden personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet, stoße der Ansatz des Cloud Computing datenschutzrechtlich gesehen an seine Grenzen.
Elektronischer Entgeltnachweis (ELENA)
Mit dem im Frühjahr 2009 beschlossenen ELENA Verfahrensgesetz wurde nach langer Diskussion eines der größten Datenverarbeitungsvorhaben im Sozialbereich gesetzlich geregelt. Seit Anfang 2010 wurden Daten von mehr als 33 Millionen Beschäftigten im ELENA-Verfahren gespeichert. Schaar weist darauf hin, dass das Verfahren kontrovers diskutiert wird und Gegenstand einer Verfassungsbeschwerde ist.
Elektronische Gesundheitskarte
Im April 2010 wurden die Verantwortlichkeiten und Aufgaben der an der Umsetzung der elektronischen Gesundheitskarte (eGK) beteiligten Interessengruppen neu verteilt. Damit soll der Einstieg in den Wirkbetrieb noch in diesem Jahr ermöglicht werden. Die Verzögerungen bei der Einführung der eGK führten zu datenschutzrechtlichen Problemen. So hat die vom Bundesamt für Sicherheit in der Informationstechnik zertifizierte Verschlüsselungstechnologie der Gesundheitskarte der ersten Generation bislang nur eine Zulässigkeit bis 2015. Ebenso verzögere sich auch das Wirksamwerden einer gesetzlichen Regelung zum Schutz von Versichertendaten.
Quelle: CIO.de