Der Berichtszeitraum war unter dem Aspekt des Datenschutzes im Land - wie in anderen Ländern auch - von folgenden Bedingungen geprägt:
- Durchdringung aller Lebensbereiche mit der Internet-Technologie; Vordringen der Internet-Telefonie; im Bereich der öffentlichen Verwaltung wurde e-Government selbstverständlich.
- Überwachungsmaßnahmen der Sicherheitsbehörden wurden durch wegweisende Verfassungsgerichtsurteile beschränkt.
- Große Kartenprojekte wie Gesundheits- (Krankenversicherungs-), Job- und Sozialkarte wurden vorangetrieben (s. Tz. 10.1, 23.1, 23.2). Sie versprechen erhebliche Effizienzsteigerungen, begründen aber auch neue Gefährdungen.
- Biometrische Merkmale auf einem berührungslos ablesbaren Chip im Reisepass wurden eingeführt.
- Der Videoeinsatz in besonderen Bereichen ist weiter vorgedrungen (Justizvollzugsanstalten, Tz. 7.3, Streifenwagen, Tz. 5.5.6 ), die polizeiliche Videobeobachtung im öffentlichen Raum durch Behörden (Polizei, Kommunen) blieb allerdings marginal.
- Polizeiliche Sicherheitsanstrengungen im Zusammenhang mit Großereignissen (Bush-Besuch, Fußball-WM 06) führten zu besonderen Notwendigkeiten bei der Datenverarbeitung (Tz. 5.9, 5.10).
- Hartz IV und ALG II haben datenschutzrechtliche Probleme gebracht, die sehr viele Menschen betreffen (Tz. 11.1).
Der Datenschutz muss sich vor diesem Hintergrund immer mehr technisch orientieren. Die selbstverständliche Internet-Nutzung fordert den Bürger zu eigenen Schutzanstrengungen auf. Die Bereitschaft der Landesbehörden, auf Anregungen und Bedenken des Landesbeauftragten einzugehen, ist erfreulich stark ausgeprägt und besonders hervorzuheben.
Die Zahl der Eingaben hat sich nicht wesentlich verändert. Nach wie vor ist unerwünschte Werbung ein häufiger Anlass, den Datenschutzbeauftragten anzurufen. Befürchtete falsche polizeiliche Datenspeicherungen, Ärger mit dem Sozialamt (oder den Arbeitsgemeinschaften nach Hartz IV), der Schufa oder der Krankenkasse führten ebenfalls häufig zu Eingaben.
Besonders möchte ich folgende Aktivitäten des Landesbeauftragten für den Datenschutz hervorheben:
- Im Gesundheitswesen stellt die nach der jetzigen Gesetzeslage zum 1.1.2006 einzuführende elektronische Gesundheitskarte ein auch für den Datenschutz außerordentlich bedeutsames Vorhaben dar. Im Berichtszeitraum begleitete der _LfD intensiv das in diesem Zusammenhang stehende und in der Region Trier angesiedelte Modellprojekt Elektronische Gesundheitskarte in Rheinland-Pfalz, das im Schwerpunkt die aus datenschutzrechtlicher Sicht wichtige Anwendung einer elektronischen Patientenakte erprobt (Tz. 10.1).
- Im Berichtszeitraum wurde die grundlegende Neuordnung des rheinland-pfälzischen Meldewesens abgeschlossen. Die rechtlichen und technischen Rahmenbedingungen für diese Entwicklung sind mit dem Landesbeauftragten abgestimmt worden. Im Übrigen wurde das Meldegesetz des Landes an die rahmenrechtlichen Vorgaben des Bundes angepasst (s. Tz. 4.1). In diesem Zusammenhang wurde die Rechtsgrundlage für eine Online-Melderegisterauskunft geschaffen. Sofern die Meldebehörden künftig daran interessiert sind, einen entsprechenden Zugang zu eröffnen, haben die Einwohnerinnen und Einwohner das Recht, der Melderegisterauskunft an Private über das Internet zu widersprechen (vgl. Tz. 4.1.2).
- Das Inkrafttreten des SGB II und die darin verankerte Zusammenlegung der bisherigen Sozial- und Arbeitslosenhilfe zur neuen Grundsicherung für Arbeitsuchende (Hartz IV) war begleitet von zahlreichen klärungsbedürftigen Eingriffen in das informationelle Selbstbestimmungsrecht der Betroffenen (Tz. 11.1). Die Wahrung eines datenschutzrechtlichen Mindeststandards in diesem Bereich bleibt auch für die Zukunft eine wichtige Aufgabe.
- Der vereinzelt beabsichtigte Einsatz privater Sicherheitsdienste durch kommunale Ordnungsämter bleibt zumindest dann, wenn dabei zielgerichtet und planmäßig personenbezogene Daten erhoben bzw. übermittelt werden sollen, aus datenschutzrechtlicher Sicht problematisch (Tz. 18.2).
- Die Einführung der sog. Kontenabfrage in die Abgabenordnung (Tz. 13.1) beschäftigt die Datenschutzbeauftragten des Bundes und der Länder bereits seit geraumer Zeit. Seit April 2005 ist es Finanz- und anderen Behörden gestattet, Kontostammdaten von Steuerschuldnern bei den Kreditinstituten abzurufen. Aus datenschutzrechtlicher Sicht sind die Vorschriften zu allgemein gehalten und werfen daher Zweifel an der Übereinstimmung mit dem verfassungsrechtlichen Gebot der Normenklarheit auf. Lediglich die Herausgabe eines Anwendungserlasses des Bundesfinanzministeriums mit näheren Vorgaben hat den Erlass einer einstweiligen Anordnung durch das Bundesverfassungsgericht, die das Inkrafttreten der Vorschriften gestoppt hätte, verhindert. Das Hauptsacheverfahren ist noch anhängig. Nur wenn die Vorgaben des Anwendungserlasses ins Gesetz umgesetzt werden, kann dies aus Sicht des _LfD mitgetragen werden.
- Um die Sicherheit zu erhöhen, planten einige Schulen die Einführung von Videoüberwachungen (Tz. 8.1.6). Die Voraussetzungen für deren Einsatz sind seit der Novellierung des LDSG dort geregelt. Nur unter bestimmten Voraussetzungen kommt eine Videoüberwachung in Frage, z.B. dann, wenn es in der Vergangenheit bereits zu massiven Sachbeschädigungen gekommen ist, die den Schulen hohe Kosten verursachen. Der _LfD hat entsprechende Empfehlungen abgegeben insbesondere mit dem Hinweis, zunächst weniger einschneidende Maßnahmen zu prüfen.
- Bei Polizeidienststellen des Landes wurden regelmäßige Kontrollbesuche durchgeführt (Tz. 5.3). Spektakuläre Missstände oder Fehler wurden nicht festgestellt, Verbesserungen im Detail wurden angeregt und akzeptiert.
- Unzureichende Absicherung von Funknetzen (WLAN, Tz. 21.3.3) Die verbreitet genutzte drahtlose Anbindung von Rechnern an Computernetze oder Internet-Zugänge ist - besonders im privaten oder geschäftlichen Umfeld - häufig nicht oder nur unzureichend abgesichert. So wurden bei einer Kontrolle im Innenstadtbereich von Mainz ca. 290 Funknetze lokalisiert, wovon ca. 5 % ohne jeglichen Schutz offen zugänglich waren. Bei mehr als der Hälfte der vorgefundenen Netze (56 %) wurde der Datenverkehr nicht verschlüsselt, so dass jegliche Kommunikation mitgeschnitten werden konnte. Bei den verschlüsselt betriebenen Funknetzen wurde in 95 % der Fälle eine Lösung genutzt (WEP-Wired Equivalent Privacy), die innerhalb von 10-15 Sekunden überwunden werden konnte. Nur bei einem Bruchteil der vorgefundenen Netze kam eine Verschlüsselung zum Einsatz, die ein hinreichendes Schutzniveau bietet. Soweit von den Schwachstellen Funknetze aus dem Bereich der Verwaltung betroffen waren, hat der _LfD empfohlen, diese zu überprüfen und die Sicherheitsmaßnahmen anzupassen. Die verwendeten Netzkennungen und die Art der eingesetzten Komponenten wiesen jedoch darauf hin, dass der Großteil der Schwachstellen bei Funknetzen bestand, die im privaten bzw. geschäftlichen Umfeld eingesetzt wurden (weitere Hinweise und Empfehlungen: Datenschutz in drahtlosen Netzen
- Die europäischen Vorgaben aus der Datenschutzrichtlinie für elektronische Kommunikation wurden mit der Überarbeitung des Telekommunikationsgesetzes in nationales Recht umgesetzt (Tz. 19.1). Im Zuge der Gesetzesnovellierung hat sich der Bundesgesetzgeber im Einklang mit den Forderungen der Datenschutzbeauftragten dafür entschieden, bei der Telekommunikation anfallende Verkehrsdaten nicht auf Vorrat für Strafverfolgungszwecke zu speichern (Tz. 19.1.1). Allerdings hat sich die Befürchtung des Landesbeauftragten, dass es über die Europäische Union auch in Deutschland zu einer Vorratsspeicherung von Kommunikationsdaten kommen könnte (vgl. Tz. 19.2), inzwischen bestätigt: Am 14.12.2005 hat das Europäische Parlament eine Richtlinie beschlossen, die die Anbieter von Telekommunikations- und Internetdiensten verpflichtet, umfangreiche Verkehrsdaten auf Vorrat für die Sicherheitsbehörden zu speichern. Der Landesbeauftragte wird sich im Sinne einer datenschutzfreundlichen Lösung dafür einsetzen, die Spielräume der Richtlinie bei der Umsetzung in deutsches Recht auszuschöpfen.
- Mangelnde Überwachung von Sicherheitsvorfällen (Tz. 21.3.4) Mehrere Online-Kontrollen des _LfD haben ergeben, dass Internet-Anwendungen der Verwaltungen im Blick auf Sicherheitsvorfälle zum Teil nur mangelhaft überwacht werden. Ein automatisierter Angriff des _LfD auf den Passwortschutz einer Internet-Anwendung wurde auch nach ca. 600.000 Versuchen nicht erkannt. Das Beispiel steht stellvertretend für eine Reihe ähnlicher Situationen. Mit Blick auf den zunehmenden Einsatz von eGovernment-Lösungen in der rheinland-pfälzischen Verwaltung bedarf es aus Sicht des _LfD einer stärkeren Sensibilisierung der Verwaltungen hinsichtlich der Notwendigkeit geeigneter Mechanismen zur Erkennung und Abwehr von Angriffen.