Datenschutz - quo vadis? - Deutsche Vereinigung für Datenschutz ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1/2009
32. Jahrgang
ISSN 0137-7767
9,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
Datenschutz - quo vadis?
www.datenschutzverein.de
BDSG-Änderung ■ Kreditkartendaten im Christstollenpaket ■ Daten-
schutzskandale durch unzureichende Datenschutzgesetze ■
Informationen bei Datenschutzvorfällen ■ Neue Befugnisse
des BKA ■ Datenschutznachrichten ■ Buchbesprechungen ■
Seite2
Inhalt
Karin Schuler Werner Hülsmann
Gut gemeint … 4 EG-Richtlinie zur Vorratsdatenspeicherung ist
auf eine geeignete Rechtsgrundlage gestützt 15
Klaus-Jürgen Roth Werner Hülsmann:
Die Kreditkartendaten im Christstollenpaket 6 Die neuen Befugnisse des Bundeskriminalamtes 16
Ingrid Pahlen-Brandt Sönke Hilbrans
Datenschutzskandale durch unzureichende Vor dem Ende einer kurzen Allianz? 18
Datenschutzgesetze 8
Datenschutznachrichten 20
Marit Hansen Deutsche Datenschutznachrichten 20
Information bei Datenschutzvorfällen: Ja, bitte! 12 Internationale Datenschutznachrichten 31
Technik-Nachrichten 36
Karin Schuler Rechtsprechung 37
Pseudo-Transparenz bei Datenschutzvorfällen:
Nein, danke! 14 Buchbesprechung 39
Der Redaktion der Zeitschrift IT-Grundschutz, SecuMedia Verlag, vielen Dank für die Einwilligung zum Abdruck
des Beitrages von Karin Schuler (Seite 4). Auch der TITANIC-Redaktion vielen Dank, siehe Seite 44.
Hinweis an unsere LeserInnen:
Dieses Heft enthält das Register des Jahres 2008.
Bitte beachten Sie die Beilage des Haufe Verlages und des Datakontext-Verlages.
Termine
Sonntag, 19. April 2009 Mittwoch, 3. Juni 2009
DVD-Vorstandssitzung in Frankfurt/M BTQ-Datenschutz-Fachtagung 2009
(Interessierte DVD-Mitglieder möchten sich bitte Arbeitnehmerdatenschutz - aktuell!
bei der Geschäftsstelle melden) Hannover, weitere Informationen unter www.btq.de
Mittwoch, 22. April 2009 Mittwoch, 15. Juli 2009
RFID - heimliche Kontrolle per Chip! Nominierungsschluss für die BigBrotherAwards 2009
Kassel , Beratungsstelle für Technologiefolgen und Qualifizierung Nähere Informationen unter www.bigbrotherawards.de/nominate
weitere Informationen siehe unter www.btq-kassel.de
Dienstag - Donnerstag, 15. - 17. September 2009
Dienstag - Donnerstag, 12. - 14. Mai 2009 Gläserne Belegschaften
Das novellierte Bundesdatenschutzgesetz Tagung dtb-Kassel
Tagung SoliSeminar in Düsseldorf weitere Informationen unter www.dtb-kassel.de
weitere Informationen unter www.soliseminar.de
Freitag, 16. Oktober 2009
Dienstag - Donnerstag, 12. - 14. Mai 2009 Verleihung der Big Brother Awards
11. Deutscher IT-Sicherheitskongress – Bielefeld, weitere Informationen unter www.bigbrotheraward.de
„Sichere Wege in der vernetzten Welt“ in Bonn-Bad Godesberg
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Nähere Informationen unter www.bsi.de (Rubrik Veranstaltungen)
2 DANA • Datenschutz Nachrichten 1/2009
Seite3
DANA
Datenschutz Nachrichten Editorial
ISSN 0137-7767
32. Jahrgang, Heft 1
Herausgeber LIDL, Deutsche Bahn, Telekom, Airbus und diverse Callcenter; um
Deutsche Vereinigung für nur die Spitze des Versagensberges zu nennen. Bei einem gravieren-
Datenschutz e.V. (DVD)
DVD-Geschäftstelle:
den Datenschutzverstoß erwischt treten die Unternehmenssprecher
Bonner Talweg 33-35, 53113 Bonn und manchmal die Chefs – auch wenn sie dann zurücktreten – vor
Tel. 0228-222498 die Mikrofone und versprechen, künftig das Datenschutzrecht
E-Mail: dvd@datenschutzverein.de
www.datenschutzverein.de
150%-tig einzuhalten. Kaum ist das Bußgeld für den letzten Verstoß
bezahlt, greift irgendwo jemand in eine Mülltonne und fördert
Redaktion (ViSdP) Vermerke mit Gesundheitsdaten von Beschäftigten zu Tage. Oops,
Hajo Köppen
c/o Deutsche Vereinigung für LIDL did it again!
Datenschutz e.V. (DVD) Die Datenschutzskandale der letzten Zeit schreien geradezu nach
Bonner Talweg 33-35, 53113 Bonn einer grundlegenden Erneuerung des Datenschutzrechts. Aber auch
dana@datenschutzverein.de
Den Inhalt namentlich gekenn- Politik und Gesetzgeber verhalten sich eher zwiespältig: Vor den
zeichneter Artikel verantworten die Mikrofonen hui, in den Gesetzentwürfen eher pfui. Über einige
jeweiligen Autoren. diese „Huis“ und „Pfuis“ wird in dieser DANA berichtet und auch
Layout und Satz kontrovers diskutiert.
Sascha Hammel, Hajo Köppen
35398 Gießen
Hammelwood@web.de
Druck
Wienands Printmedien GmbH
Linzer Str. 140, 53604 Bad Honnef
wienandsprintmedien@t-online.de
Tel. 02224 989878-0 Autorinnen und Autoren dieser Ausgabe:
Fax 02224 989878-8
Bezugspreis Karin Schuler
Einzelheft 9 Euro. Jahresabonne- Beraterin für Datenschutz und IT-Sicherheit
ment 32 Euro (incl. Porto) für vier Stellv. Vorsitzende der Deutschen Vereinigung für Datenschutz
Hefte im Jahr. Für DVD-Mitglieder ist schuler@datenschutzverein.de
der Bezug kostenlos.
Ältere Ausgaben der DANA können Klaus Jürgten Roth
teilweise noch in der Geschäftsstelle roth.licht@web.de
der DVD bestellt werden.
Ingrid Pahlen-Brandt
Copyright
Datenschutzbeauftragte der Freien Universität Berlin
Die Urheber- und Vervielfältigungs-
rechte liegen bei den Autoren. pahlen@zedat.fu-berlin.de
Der Nachdruck ist nach Geneh-
migung durch die Redaktion bei Marit Hansen
Zusendung von zwei Belegexem- Stellv. Landesbeauftragte für Datenschutz Schleswig-Holstein
plaren nicht nur gestattet, sondern marit.hansen@datenschutzzentrum.de
durchaus erwünscht, wenn auf die
DANA als Quelle hingewiesen wird. Werner Hülsmann
Dipl. Inform., selbständiger Datenschutzberater Konstanz,
Leserbriefe Vorstandsmitglied des Forums InformatikerInnen für Frieden
Leserbriefe sind erwünscht, deren
und gesellschaftliche Verantwortung (FIfF) e. V. sowie der
Publikation sowie eventuelle Kür-
zungen bleiben vorbehalten.
Deutschen Vereinigung für Datenschutz (DVD) e. V.
huelsmann@datenschutzverein.de
Abbildungen
Titelbild: Frans Jozef Valenta Sönke Hilbrans
Rückseite: Titanic Magazin Rechtsanwalt, Berlin
Vorsitzender der Deutschen Vereinigung für Datenschutz
hilbrans@diefirma.de
DANA • Datenschutz Nachchrichten 1/2009 3
Datenschutz - quo vadis?
Karin Schuler
Gut gemeint …
Kommentar zu den Änderungen des BDSG
Nach zahlreichen Datenschutz- Fast kann man sich schon gar nicht Werbeverbänden vielfältige Ausnahmen
verletzungen bei großen deutschen mehr erinnern, dass es einst eine vom Grundprinzip abschwatzen
Unternehmen im vergangenen Jahr, Initiative zur Modernisierung des lässt. Ein Novum im deutschen
wurden die Stimmen nach gesetz- Datenschutzrechts gab. Der heutige Datenschutzrecht stellt das Vorhaben
lichen Konsequenzen immer lau- unzumutbare und für Normalbürger einer Meldepflicht dar. Hierdurch
ter. Dezember 2008 wurde das völlig unverständliche gesetzliche wird bei Datenschutzverstößen die
Bundesdatenschutzgesetz novelliert – Flickenteppich sollte in ein moder- verantwortliche Stelle verpflichtet,
die Kritik daran reißt aber nicht ab. nes Datenschutzrecht aus einem Guss Aufsichtsbehörde und Betroffene zu
überführt werden. Der Gesetzgeber informieren. Diese Pflicht soll auch
IT-Fachleute, Revisoren und hat in mehr als einer Legislaturperiode im Geltungsbereich des Telemedien-
Wirtschaftsprüfer kennen den Vorgang: Versprechungen zur Umsetzung ge- und des Telekommunikationsgesetzes
Jahrelang hat man auf Missstände hin- macht. Geschehen ist bis heute jedoch Anwendung finden. Vorbilder für die-
gewiesen und Verbesserungsvorschläge nichts. Stattdessen werden nun am al- se Regelung finden sich vor allem in
gemacht – ohne Erfolg. „Zu teuer, zu ten Flickwerk weitere Läppchen ange- US-amerikanischen Staaten. Es gibt
umständlich, nicht durchsetzbar“ schall- näht, um die immer größer werdenden allerdings unter Datenschützern ei-
te es einem von den Verantwortlichen dünnen Stellen und Löcher notdürftig zu nen Dissens darüber, wie wirksam
entgegen. Schließlich kommt es, wie stopfen. diese Maßnahme die Folgen von
es kommen musste: der Misstand pro- Datenschutzverstößen mildern kann.
duziert einen kleinen oder größe- Die vorgesehene Erhöhung der
ren Skandal und plötzlich wimmelt Flickwerk BDSG Bußgelder geht einher mit einer
es nur so von Einsichtigen. Hektische Erweiterung des Bußgeldkatalogs,
Betriebsamkeit wird öffentlich zelebriert Immerhin sind diese Flicken an der rich- der nun beispielsweise auch die feh-
und weder Geld noch Aufwand werden tigen Stelle angebracht, sie betreffen lende, unvollständige oder fehlerhaf-
gescheut, um den entstandenen Schaden die am lautesten in der Öffentlichkeit te Auftragserteilung bei Outsourcing
so schnell wie möglich zu begrenzen beklagten Kritikpunkte. So wird end- (Auftrags-DV) mit Bußgeld belegt.
und für die Zukunft Vergleichbares aus- lich der Kündigungsschutz des be- Die vorgesehenen Bußgeldbeträge
zuschließen. trieblichen Datenschutzbeauftragten werden etwas erhöht – der eigentliche
Auch Datenschützer haben seit lan- (bDSB) verbessert, um diesen in sei- Qualitätsgewinn besteht allerdings in
gem mit diesem Muster zu kämpfen. ner Weisungsfreiheit und fachlichen der vorgesehenen Option, diese Beträge
Die heftigen Datenschutzskandale der Unabhängigkeit zu stärken. Das ist weiter zu erhöhen, wenn nur so der
letzten Zeit haben im Sommer 2008 so- durchaus zu begrüßen, auch wenn nach durch den Verstoß erlangte Gewinn ab-
gar das Bundesministerium des Innern Meinung vieler Fachleute die jetzt ver- geschöpft werden kann.
(BMI) zu öffentlich demonstrierter einbarten Änderungen in der Stellung Das ebenfalls in der Novellierung un-
Betriebsamkeit gezwungen. Leider weiß des bDSB bei weitem noch nicht aus- tergebrachte Datenschutzauditgesetz
man, dass hektische Betriebsamkeit nach reichen. Das bisher in den Bereichen wird weniger in der Öffentlichkeit als in
Skandalen und großem öffentlichem Werbung, Adresshandel und Markt- und der Fachwelt diskutiert. Grundsätzlich
Druck meist nicht zu den besten, effizien- Meinungsforschung vorherrschende ist zu begrüßen, dass das seit Jahren
testen und angemessensten Maßnahmen Widerspruchsprinzip (opt out: solange im § 9a des BDSG angelegte Gesetz
führt. Auch das BMI bildet da keine der Betroffene nicht widersprach, durf- nun doch endlich noch initiiert wurde.
Ausnahme, wie man den verschiedenen ten seine Daten genutzt werden), soll Analysiert man jedoch, was nach Jahren
Stadien der Referentenentwürfe und den grundsätzlich dem Einwilligungsprinzip der Fachdiskussion und Erfahrungen
heißen Diskussionen entnehmen konnte. weichen (opt in: Daten des Betroffenen mit privaten und öffentlichen
Selbst nach mehreren Kommentierungs- dürfen nur nach und mit seiner aus- Datenschutzaudits in diesen Entwurf
und Nachbesserungsrunden stellt der drücklichen Einwilligung verwendet eingeflossen ist, kann man nur ernüch-
Entwurf eines Gesetzes zur Regelung werden). Die Qualität der endgültigen tert sein. Der Text trägt mehr als deut-
des Datenschutzaudits und zur Änderung Regelung wird nur dann akzeptabel sein, lich die Handschrift eines Autors, der
datenschutzrechtlicher Vorschriften vom wenn der Gesetzgeber sich nicht wieder weder praktische Erfahrung mit Audits
10.12.2008 ein wildes Flickwerk dar. von den erbosten Adresshandels- und noch Kenntnis über die in den letz-
4 DANA • Datenschutz Nachrichten 1/2009
Datenschutz - quo vadis?
ten Jahren geführten Fachdiskussionen sachlich korrekt prüfen. Man darf sich bestimmtes System missbräuchlich
hat: vermutlich eine der typischen fragen, ob es wohl häufig vorkommen für die datenverarbeitende Stelle
Auswirkungen des eingangs beschrie- wird, dass eine vom Kunden bezahl- insgesamt genutzt wird.
benen Schnellschusseffekts. te Kontrollstelle im Falle unzureichen-
den Datenschutzniveaus ein Siegel ver- • Erteilte Zertifikate müssen ein
Ungeeigneter sagt. Das gewählte einstufige Konstrukt, Mindestmaß an Vergleichbarkeit zu-
Gegenstand bei dem keine Trennung zwischen lassen, da sie sonst für Verbraucher
Sachverständigen und der auditieren- oder sonstige Interessenten nur von
Beispielhaft seien zwei wesentli- den Stelle besteht, hat nicht zu Unrecht geringem Wert sind.
che Kritikpunkte herausgegriffen: in Fachkreisen den Ruf eines leicht kor-
Gegenstand des Audits sollen so- rumpierbaren und daher letztlich wert- • Es sollte ein einziges, gleiches
wohl Datenschutzkonzepte verant losen Modells. Zertifikat für alle Arten von daten-
wortlicher Stellen als auch informa- verarbeitenden Stellen geben, das
tionstechnische Einrichtungen von Anforderungen eine gute Datenschutzorganisation
Anbietern sein. Damit ist der mögliche und ein hohes Datenschutzniveau
Gegenstand eines Audits jedoch inhalt- Besser wäre es, nach bewähr- bescheinigt. Eine Aufteilung von
lich nicht annähernd ausreichend de- tem Modell und an internationalen Zertifikaten nach Branchen, Größe
finiert. Wegen der Einschränkung auf Zertifizierungsnormen ausgerichtet, der Stelle oder Art der Daten-
Datenschutzkonzept und informations- in einem zweistufigen Verfahren eine verarbeitung würde eine für den
technische Einrichtungen ließen sich unabhängige Zertifizierungsstelle auf Verbraucher nicht überblickbare
weder Webportale noch Online- Shops der Grundlage eines Sachver- Zersplitterung zur Folge haben.
auditieren – Anwendungen, deren ständigengutachtens über die Zerti-
Datenschutzstandard Verbraucher heut- fikatsvergabe entscheiden zu las- • Bei der Gestaltung eines Daten-
zutage ganz besonders interessiert. Auch sen. Wenn es nicht gelingt, mit einem schutzaudits sollten bisherige
mindert die Einschränkung auf das Audit Auditgesetz der Sache angemessene systematische und strukturie-
des Datenschutzkonzepts – ohne eine zu- Rahmenbedingungen zu schaffen, so rende Arbeiten (z. B. Rossnagel,
mindest stichprobenartige Überprüfung scheint die Gefahr groß, dass ein resul- Rechtgutachten zum Datenschutz-
der Umsetzung – den Wert des erteilten tierendes Zertifikat in der Öffentlichkeit audit 1999) berücksichtigt werden.
Zertifikats immens: Papier ist geduldig als nicht aussagekräftig wahrgenommen
und das wahre Datenschutzniveau zeigt wird. Ein solches Gesetz sollte folgende • Sowohl die Durchführung der
sich in der betrieblichen Umsetzung. Vorgaben umsetzen: Zertifizierung als auch die Ak-
Insbesondere ist fragwürdig, dass kreditierung der Gutachter sollte
der vorliegende Entwurf im Ergebnis • Der Gegenstand des Audits, also durch eine Stelle erfolgen,
vorsieht, das freiwillige Zertifikat be- das Prüfobjekt, sollte vorrangig die die Erfahrung in der inter-
reits für die eigentlich selbstverständ- Datenschutzorganisation der daten- nationalen Normierung von
liche, bloße Gesetzeseinhaltung zu er- verarbeitenden Stelle sein. Zertifizierungsprozessen mitbringt,
teilen. Dies transportiert nicht nur eine aber nicht selbst am Wettbewerb
falsche Botschaft, sondern stellt auch • Ein Zertifikat (als Bescheinigung teilnimmt.
keinen Wert für Verbraucher dar. Der eines erfolgreichen Audits) darf
Gesetzentwurf sieht vor, dass in einem nur bei Erreichen eines hohen • Begutachtung und Zertifizierung
bürokratisch aufwändigen, inhaltlich Datenschutzniveaus erteilt werden. sollen durch voneinander unab-
jedoch wirkungslosen Verfahren eine Die alleinige Erfüllung der gesetz- hängige Instanzen erfolgen (zwei-
verantwortliche Stelle das Führen ei- lichen Vorgaben ist nicht zertifizie- stufiges Modell). Da ein schludri-
nes Auditsiegels anmelden kann. Eine rungsfähig. ges und unambitioniertes Gesetz
Überprüfung durch die zuständige die Idee eines Datenschutzaudits
Kontrollstelle erfolgt erst nachträglich • Die Durchführung eines Daten- in der Öffentlichkeit dauerhaft dis-
und richtet sich nicht zuletzt nach deren schutzaudits ist für die datenver- kreditieren wird, erscheint derzeit
Arbeitsbelastung und der Einschätzung arbeitende Stelle freiwillig. ein vorläufiger Verzicht auf ein
der Sensibilität der verwendeten Daten. Auditgesetz als die bessere Lösung.
Die Kontrollstelle soll dafür einerseits • Die Zertifizierung einzelner
„angemessen“ von der verantwortlichen Organisationseinheiten oder An-
Stelle bezahlt werden, hat aber anderer- wendungen der datenverar-
seits die Verpflichtung, jede Stelle zu au- beitenden Stelle ist nicht wün- Quelle: Nachdruck aus
ditieren die dies wünscht. Gleichzeitig schenswert, weil die Aussagekraft IT-Grundschutz Informationsdienst
soll sie den Kunden, der sie für diese sehr begrenzt ist und die Gefahr Nr. 2, Februar 2009, Seite 6 - 8,
Leistung bezahlt hat, unabhängig und besteht, dass das Zertifikat für ein ISSN 1862-4375
DANA • Datenschutz Nachrichten 1/2009 5
Datenschutz - quo vadis?
Klaus-Jürgen Roth
Die Kreditkartendaten im Christstollenpaket
Sprecher des Bundesbeauftragten für den der Rückseite der Kreditkarte angege-
Das Postpaket Datenschutz und die Informationsfreiheit ben werden muss.“ Trost versprach der
(BfDI) bekräftigte, dass es nicht den ak- Umstand, dass im konkreten Fall die
Das Jahr 2008 war das Jahr der klei- tuellen Sicherheitsvorschriften entspre- Bank voll für die Verluste hätte haftbar
nen und der großen Datenlecks – von che, wenn die LBB solche Datenmengen gemacht werden können und die LBB
Callcenter über Kontodaten bis Telekom auf Mikrofiches speichert. ihre Einstandsbereitschaft auch signa-
und T-Mobile. Überall suppten unbeab- Mikrofiches sind nicht gerade ein lisierte. Die beteiligten Firmen hatten
sichtigt oder bewusst unzulässig per- moderner, aber wohl ein nützlicher sich zuvor gegenüber ihren KundInnen
sonenbezogene Daten heraus – aus Datenträger. In den 30er Jahren des letzten schon sensibilisiert gezeigt. Die LBB
CD-ROM, dem Internet oder über son- Jahrhunderts wurde der Mikrofilm in der hatte sich am 26.09.2008 an Kundinnen
stige elektronische Datenträger. Kurz Schweiz erfunden, daraus wurden später gewandt, Atos am 04.12.2008, wo-
vor Weihnachten wurde uns dann von die Mikrofiches. Dabei handelt es sich nach es „zur Zeit“ und „vermehrt“ zu
der Frankfurter Rundschau (FR) die ul- um Filmfolien im Karteikartenformat, Kreditkartenmissbrauch im Internet
timative analoge Jahresendgeschichte auf denen sich große Datenmengen in gekommen sei. Ein Sprecher der
beschert. Sie berichtete, dass ihr Miniaturform speichern lassen. Sie sind LBB bestätigte, dass sich die Zahl der
am Tag zuvor in einem Postpaket geeignet, Texte oder Bilder fotografisch Missbrauchsfälle seit anderthalb Jahren
Zehntausende von Kreditkartendaten für die Nachwelt zu erhalten. Mit spezi- weltweit und auch bei der LBB deut-
auf Mikrofiches in einem Postpaket zu- ellen Lesegeräten können die verfilmten lich erhöht habe, insbesondere im letz-
gespielt worden seien. Auf den Fiches Schriftstücke auf einfache Weise vergrö- ten Quartal 2008. Bezüglich der per
waren auch Geheimnummern ent- ßert werden. In Deutschland liegen zahl- Kuriersendung verloren gegangenen
halten sowie Namensangaben mit reiche kulturgeschichtlichen Dokumente Daten konnte aber kein Missbrauch
Kreditkartendaten (Adresse, Karten- und auf Mikrofiche im Barbarastollen im festgestellt werden. Doch sollen sich
Kontonummer) und Kontobewegungen Schwarzwald. Durch die digitalen Kreditkartenbesitzer an die FR gewandt
(Bezahlvorgänge, Rücküberweisungen, Speichermedien sind Mikrofiches im- und von illegalen Abbuchungen bis zu
Abwicklungen zwischen Banken und mer mehr in Vergessenheit geraten, bis 5.000 Euro von ihren Konten berich-
Firmen). Die Daten, die LBB sprach der aktuelle Kreditkartendaten-Skandal tet haben; nachdem sie - wie darge-
schließlich von 130.000 betroffenen sie wieder ans Tageslicht beförderte. Die stellt - von der LBB oder Atos über die
Kreditkartenbesitzenden, waren hochak- LBB und Atos nutzten offensichtlich die- Unregelmäßigkeiten informiert worden
tuell und stammten teilweise vom August ses Medium, das in Sachen Haltbarkeit waren. Es war aber nicht nachzuwei-
2008. Enthalten war im Paket auch eine und Lesbarkeit (im Zweifel mit einer sen, dass die illegalen Abbuchungen et-
Rechnung des Finanzdienstleisters Atos Lupe) digitalen Formaten überlegen was mit den außer Kontrolle geratenen
Worldline (AWL) an die Landesbank ist. Nicht überlegen sind Mikrofiches Mikrofiches zu tun hatten.
Berlin (LBB). Die Landesbank Berlin in Sachen Sicherheit. Daher kündigte Der LBB-Sprecher Marcus Recher
ist mit ca. 1,95 Mio. KundInnen der Atos zwei Tage nach Bekanntwerden bestätigte, dass PINs auf den verlore-
bundesweit größte Kreditkartenanbieter des Datenlecks an, es werde künf- nen Mikrofiches gespeichert seien. Es
und wickelt für eine Vielzahl von an- tig CompactDiscs (CD) mit verschlüs- handele sich aber um Nummern, die
deren Banken und Finanzanbietern das selten Daten nutzen. Mittelfristig nie aktiviert wurden, da sie nicht hät-
Kreditkartengeschäft ab. Betroffen wa- plane das Unternehmen außerdem ten zugestellt werden können, z.B. weil
ren daher von dem Datenleck auch Veränderungen in seiner Fahrzeugflotte. die Empfänger unbekannt verzogen wa-
KundInnen vom ADAC über Amazon Für Transporte heikler Daten sollten ren. Sie würden zur Vernichtung an die
bis XBox von Microsoft. Die FR- künftig „Sicherheitsfahrzeuge“ einge- Bank zurückgeschickt: „Wir können ab-
Redaktion übergab das Paket der setzt werden. solut ausschließen, dass eine aktivierte
Polizei für weitere Ermittlungen. PIN abhanden gekommen ist, die mit
Kreditkartendaten einem laufenden Konto verbunden ist.“
Mikrofiches Schon am Wochenende hatten Tausende
Tatsächlich sind diese Daten von höch- Kunden der Berliner Sparkasse, die auch
In einem ersten Kommentar mein- ster Sensibilität, wie der Stellvertreter LBB-Kreditkarten herausgibt, versucht,
te der Berliner Datenschutzbeauftragte des BlnBDI, Hanns-Wilhelm Heibey, ihre Konten zu sperren und über Stunden
(BlnBDI) Alexander Dix, es sei „äu- bestätigte: „Damit könnte man im so das Callcenter lahmgelegt .
ßerst ungewöhnlich“, dass Mikrofiches Internet überall alles kaufen, wofür
durch die Gegend geschickt würden. Ein nicht ausdrücklich die Prüfnummer auf
6 DANA • Datenschutz Nachrichten 1/2009
Datenschutz - quo vadis?
Mutmaßungen Piltz, forderte Firmen auf, offen zu le- ADAC oder die Fluggesellschaft Air
gen, „wenn sie die Verarbeitung sensibler Berlin. Den wenigsten KundInnen
Über die Hintergründe des Vorgangs be- Daten auf andere, externe Unternehmen ist bewusst, wieviele und welche
stand zunächst völlige Unklarheit. Die übertrügen“. Unternehmen im Hintergrund beteiligt
Polizei in Frankfurt vermutete zunächst, Der BfDI Peter Schaar warf der LBB sind. Eine zentrale Rolle spielt dabei
dass das Paket verloren wurde. „Erste vor, sie habe „offensichtlich kein ef- die Firma Atos Wordline mit ihren zwei
Ermittlungen haben ergeben, dass der fektives Schutzsystem“ bei der deutschen Niederlassungen, eine davon
Inhalt des Pakets vollständig ist, so dass Verarbeitung der Daten gehabt. In ei- in Frankfurt-Niederrad. Atos ist Teil des
nicht sicher ist, ob die Daten tatsächlich ner eilig einberufenen Sitzung des französischen Konzerns Atos Origin.
in die Hände unberechtigter Personen Datenschutzausschusses des Berliner Dieser Konzern setzt mit seinen welt-
gelangt sind.“ Es liege keine Erpressung Abgeordnetenhauses kritisierte auch weit 50.000 Mitarbeitenden jährlich
vor. Über die Motive könne nur speku- Daniel Holzapfel vom BlnBDI die 5,8 Mrd. Euro um. Atos wickelt elek-
liert werden. In Berliner Polizeikreisen LBB. Aus den von der LBB vorgeleg- tronische Vorgänge ab, SMS-Angebote,
wurde die Vermutung geäußert, es han- ten Verträgen lasse sich nicht erkennen, Krankenkartendatenverwaltungen oder
dele sich um einen Trittbrettfahrer, da es dass die Bank ihre Sorgfaltspflichten eben die Zahlungsabwicklung mit
bereits kurz zuvor ein Datenleck gege- gewahrt habe. Ungewöhnlich sei, dass Kreditkarten und verwaltet natür-
ben habe. Als möglich galt auch, dass der Finanzdienstleister offensichtlich lich auch die verwendeten Daten.
ein Wichtigtuer sich in den Medien durch ein selbst gewähltes externes Banken und Sparkassen haben ihr
in Szene setzen sollte. Eine weitere Unternehmen kontrolliert werde. Damit Kreditkartengeschäft weitgehend aus-
Überlegung war, dass jemand auf ein werde die LBB ihrer Verantwortung für gelagert. Sie bestimmen zwar die
gefährliches Leck beim Datentransfer den heiklen Umgang mit nahezu 2 Mio. Konditionen und Zahlungsvorgänge. Die
hinweisen wollte. Kreditkarten nicht gerecht. Ein LBB- Durchführung erfolgt aber durch Firmen
Die Politik reagierte umgehend. So Sprecher konterte, dass Atos „mehrfach wie Atos oder dem US-amerikanischen
forderte der Vorsitzende des Bundestags- zertifiziert“ sei und „hohe Standards“ Konzern First Data. Diese Spezialisten
Innenausschusses Sebastian Edathy eine unterhalte. bündeln gewaltige Datenmengen, ver-
Pflicht, Kundendaten immer zu ver- Die Regelungen zur Sicherheit bei fügen über die nötigen Technologien
schlüsseln und jeden Zugriff zu protokol- Datentransporten sind nicht gera- und Rechenzentren und können so die
lieren. Die innenpolitische Sprecherin de die neuesten. Es gibt da lediglich Leistungen billiger erbringen.
der Grünen, Silke Stokar, kritisierte die den § 9 BDSG, der keine spezifischen Die Frankfurter Polizei tappte bei der
Banken, die ihren Kunden einen sorgsa- Anforderungen enthält außer der, dass Fahndung nach den Verursachern zu-
men Umgang mit Geheimnummern ab- die Daten nicht von Unbefugten les- nächst im Dunkeln. Sie bestätigte, dass,
verlangten, „während sie selbst völlig bar sein dürfen. Von Verschlüsselung entgegen früherer Angaben der LBB,
ungesichert und unverschlüsselt Massen ist darin keine Rede. Dass Daten nicht auch PIN-Angaben im Fund enthalten
von Daten durch die Gegend schicken“. in gesicherten Behältern, sondern in waren. Die LBB bestätigte und erläuter-
Bundesjustizministerin Brigitte Zypries Pappkartons durch die Gegend gefah- te, dass es sich dabei um acht Umschläge
(SPD) forderte eine „lückenlose“ ren werden, ist zwar, so Heibey, üb- von „Adressrückläufern“ handele. Die
Aufklärung. Der Vorfall zeige, „dass lich und zugleich zumindest befremd- Polizei vernahm die beiden Kurierfahrer.
uns das Thema Datenschutz weiter in- lich: „Man war bisher der Meinung, Nach FR-Informationen handelte es sich
tensiv beschäftigen wird“. Sie kriti- dass das ausreicht; diese Meinung hat um Angestellte der in Neuenstein ansäs-
sierte die Kontrollen der Länder. Diese sich geändert.“ Die LBB habe ihm ver- sigen Firma General Logistics Systems
müssten ihre Datenschutzbehörden sichert, „künftig bei allen Transporten (GLS), die von Atos beauftragt wor-
personell besser ausstatten, da- Änderungen vorzunehmen“. Als den war, die Daten von Frankfurt nach
mit sie ihren Aufgaben gerecht wer- Realitätsbeschreibung, nicht Prognose, Berlin zu transportieren.
den könnten. Unionsfraktionsvize stellte Rouven Schellenberg von der Das kurz vor Heiligabend präsentierte
Wolfgang Bosbach plädierte für eine FR fest: „Die Unternehmen bauen ihre Ermittlungsergebnis hörte sich dann
rasche Verabschiedung der geplan- Geschäftsfelder meist wesentlich schnel- doch sehr nach Weihnachtsgeschichte
ten Datenschutzreform, da damit bun- ler aus als die Schutzwälle für die Daten an: Die Frankfurter Staatsanwaltschaft
desweit ein Datenschutzauditverfahren ihrer Kunden. Wo Marketing, Vertrieb gab bekannt, dass Atos den Kurierdienst
begründet werde. So könnten Firmen, und Verkauf schon meist 2.0-Qualität damit beauftragt habe, sechs Pakete mit
die ihren Kunden besondere Sicherheit erreicht haben, da wird der Datenschutz den Mikrofiches an die Landesbank zu
garantieren, eine Gütesiegel erhal- noch oft in 1.0-Manier organisiert.“ schicken. Der Kurierdienst hatte ein
ten. Nicht ganz sachbezogen verlangte Der Verlust der Kreditkartendaten Subunternehmen mit dem Transport
Petra Pau aus dem Vorstand der Linken warf ein Licht auf die Verwaltung und unterbeauftragt. Die Unterkuriere soll-
„ein Moratorium für alle elektronischen Abrechnung mit diesen Karten: Mehr ten auch ein Paket eines Stuttgarter
Großprojekte, die den Datenschutz ge- als JedeR vierte Deutsche hat eine Elektronikunternehmens an den
fährden“. Die innenpolitische Sprecherin Kreditkarte. Ausgebende Stellen sind Chefredakteur der FR mit einem
der FDP-Bundestagsfraktion, Gisela nicht immer Banken, sondern z.B. der Christstollen transportieren. Beim
DANA • Datenschutz Nachrichten 1/2009 7
Datenschutz - quo vadis?
Sortieren sei den Kurieren das Paket mit „Der Fall konnte dank des engagier- wundert, dass der Stuttgarter Absender
dem Stollen in die Hände gefallen. Die ten und personalintensiven Einsatzes nicht zum brisanten Inhalt des Pakets
Kollegen, 27 und 35 Jahre alt, öffne- des zuständigen Fachkommissariats passte. FR-Chefredakteur Uwe Vorkötter
ten es „und nahmen den Inhalt an sich“. schnell geklärt werden, das noch nie kommentierte: „Unter Genussaspekten
Um ihren Diebstahl zu vertuschen, mit so großem Personalaufwand den wäre mir der Stollen lieber gewesen,
klebten sie auf eines der sechs für die Diebstahl eines Weihnachtsstollens zu unter journalistischen Aspekten waren
LBB bestimmten Pakete das Etikett des ermitteln hatte.“ Den Fahrern werde nun es die Mikrofiches.“ Er warnte aber da-
Christstollen-Päckchens, das dann die der „Diebstahl einer geringen Sache“ vor, den Fall nun ins Lächerliche zu zie-
FR erreichte. Die anderen 5 Pakete ka- und eventuell das „Unterdrücken ei- hen. Er zeige, wie leicht sensible Daten
men in Berlin an: Staatsanwaltschafts- ner Postsendung“ zur Last gelegt. Von an Unbefugte gelangen können.
Sprecherin Doris Möller-Scheu: Beginn an hätten sich die Ermittler ge-
Ingrid Pahlen-Brandt
Datenschutzskandale durch unzureichende
Datenschutzgesetze
Datenschutz in Deutschland ist Not sind in der Diskussion. Nicht hinrei- des Datenschutzes: Die Forderungen
leidend. Die Skandale der jüngsten chend Beachtung geschenkt wird jedoch nach sicherer Datenverarbeitung und
Vergangenheit offenbarten diesen seinen Versäumnissen beim Erlass von Datenschutzkontrolle knüpfen lediglich
Mangel des Schutzes personenbezo- Erlaubnisnormen. Fehler werden bei- an die jeweiligen Erlaubnisse an, denn
gener Daten. Aktuell die Datenschutz- spielhaft am Berliner Hochschulgesetz nur bei sicherer Datenverarbeitung lässt
Affäre der Deutschen Bahn AG. dargestellt. sich die Einhaltung der Erlaubnisse ge-
Vorwürfe trafen regelmäßig die währleisten. Auch die Kontrolle ist auf
Verantwortlichen in Firmen. Der Rechtliche die Erlaubnisse als Vorgaben, deren
Skandal um die Rasterfahndung bei Ausgangssituation in Einhaltung zu kontrollieren ist, ange-
der Deutschen Bahn gipfelte in der wiesen.3
Rücktrittsforderung gegen ihren Chef,
Berlin - Verfassung von
gegen Hartmut Mehdorn.1 Berlin Berliner
Doch es sind nicht die verantwort- Hochschulgesetz
lichen Personen allein, die gescholten In Berlin genießt das informatio-
werden sollten. Mit verantwortlich ist nelle Selbstbestimmungsrecht so- Scheinbar hat der Berliner Hoch-
insbesondere der Gesetzgeber, der zu gar Verfassungsrang. In Artikel 33 schulgesetzgeber seine Aufgabe zur
lange seinen Verpflichtungen nicht oder der Verfassung von Berlin (VvB)
nur unzulänglich nachgekommen ist: ist es als Grundrecht festgeschrie- 3 Die Gesamtheit der technischen,
Die Versäumnisse des Gesetzgebers be- ben. Personenbezogene Daten dür- rechtlichen und organisatorischen
züglich wirksamer Datenschutzkontrolle fen hiernach nur mit Erlaubnis verar- Maßnahmen zur Gewährleistung nur
– ihnen kommt die zentrale Rolle bei den beitet werden; erlauben kann sie der erlaubter Verarbeitung von personen-
bezogenen Daten wird mit dem Begriff
Skandalen zu – sind bereits beschrie- Betroffene, aber auch der Gesetzgeber,
„Datenschutz“ bezeichnet. Geschützt
ben2, seine Versäumnisse beim Schutz sofern dies im überwiegenden wird das Recht des Einzelnen, selbst
von Verbrauchern und Arbeitnehmern Allgemeininteresses erforderlich ist. über die Preisgabe und Verwendung
Erlaubnisse bilden so das Rückgrat seiner Daten zu bestimmen.
1 WELT Online vom 16. Januar 2009; Anknüpfungspunkt sind Daten, doch
Reuters vom 5. Februar 2009 DuD 2007, 24ff.; Lehren aus der geschützt wird durch die Gewährleistung
2 Ingrid Pahlen-Brandt, Sind Daten- aktuellen Telekom-Affaire HU-Mit- dieses Freiheitsrechts die demo-
schutzbeauftragte zahnlose Papiertiger? teilungen 201, S. 4f. kratische Ordnung der Gesellschaft.
8 DANA • Datenschutz Nachrichten 1/2009Datenschutz - quo vadis?
Regelung der Verarbeitung Personen be- denn die von ihm durch die Verfassung hat die Verfassung offen gelassen, wel-
zogener Daten an Hochschulen wahrge- aufgetragene Entscheidung, ob eine che Verarbeitung welcher Daten zu
nommen, denn er hat in § 6 Abs. 1 Satz Verarbeitung von Daten im überwie- welchen Zwecken im überwiegen-
1 Berliner Hochschulgesetz (BerlHG) genden Allgemeininteresse liegt, kann den Allgemeininteresse liegt. Diese
Zwecke4 aufgezählt, zu denen ihre nur anhand konkreter Daten entschie- Entscheidung muss der Gesetzgeber
Erhebung, Speicherung und Nutzung den werden. Anhand der Erlaubnis zur treffen.
durch die Hochschulen zulässig ist; § 6 Verarbeitung personenbezogener Daten Durch sein gesetzgeberisches Ver-
Abs. 1 letzter Satz BerlHG verpflichtet in Benutzungsregelungen wird dies säumnis versagt er allen Mitgliedern der
die Hochschulen zur Datensparsamkeit. deutlich: Hochschule den ihnen grundgesetzlich
§ 6 Abs. 1 Abs. 1 S. 2 Nr. 6 BerlHG garantierten Schutz des informationellen
Ermächtigung der sieht die Verarbeitung personenbe- Selbstbestimmungsrechts; Datenschutz
Hochschulen zogener Daten zur Benutzung von bleibt ihnen versagt.
Einrichtungen der Hochschulen vor.
Die Hochschulen sollen die Verarbeitung Benutzungsregelungen können jedoch Richtlinie oder Satzung
personenbezogener Daten zu den in mit unterschiedlicher Intensität in das
§ 6 Abs. 1 Nr. 2 bis 8 BerlHG genann- informationelle Selbstbestimmungsrecht § 6 b Abs. 2 Satz 1 BerlHG stellt
ten Zwecken in Satzungen regeln, so- der Benutzer eingreifen. Die Verarbeitung Satzungen und Richtlinien in folgender
weit sie zum Erlass von Satzungen be- des Namens kann ausreichend sein, Formulierung nebeneinander:
fugt sind, im Übrigen durch Richtlinie eventuell ergänzt um Geburtsdatum oder „Die Hochschulen regeln die
(§ 6b Abs. 2 S. 1 und 2 BerlHG).5 § 6 b Matrikelnummer. Gedacht werden könn- Verarbeitung personenbezogener Daten
Abs. 2 Satz 3 BerlHG bestimmt u.a. aus- te aber auch an die Verarbeitung eines zu den in § 6 Abs. 1 Satz 1 Nr. 2 bis 8
drücklich, dass insbesondere die Art der Fotos. Chipkarten, versehen mit RFID- genannten Zwecken in Satzungen, so-
zu verarbeitenden Daten zu regeln ist. Chip, könnten eingesetzt werden; ge- weit sie zum Erlass von Satzungen be-
Der Verzicht des Gesetzgebers auf die fordert werden könnten Fingerabdrücke fugt sind, im Übrigen durch Richtlinien.
Bestimmung der Art der zu verarbeiten- oder sogar ein Irisscan. Sie regeln insbesondere die Art der zu
den Daten für die jeweiligen Zwecke In der Entscheidung über den Zweck verarbeitenden Daten….“
stellt ein gravierendes Versäumnis dar, einer Verarbeitung liegt – das ist hier gut Diese Formulierung erweckt den
zu sehen – nicht zugleich die wertende Eindruck, dass die Art der Daten in
4 Folgende Zwecke sind hier erfasst: Entscheidung, dass das überwiegen- zulässiger Weise sogar in Richtlinien
• Nr. 1 zum Zugang, zur de Allgemeininteresse die Verarbeitung bestimmt werden dürften. Das stün-
Durchführung des Studiums, auch biometrischer Daten erlaube. Aber de jedoch im Widerspruch zu dem
zur Prüfung und zur Promotion, auch das Verbot der Verarbeitung bio- Charakter von Richtlinien mit le-
• Nr. 2 Organisation von metrischer Daten zu diesem Zwecke ist diglich interner Wirkung; als bloße
Forschung und Studium mit der Entscheidung über den Zweck Verwaltungsvorschriften können sie
• Nr. 3 Aufgaben nach dem noch nicht getroffen. Die gebotene Eingriffe nicht wirksam erlauben.7
Hochschulstatistikgesetz Entscheidung ist noch offen, wenn le-
• Nr. 4 Evaluation von diglich der Zweck bestimmt wird. Hochschulautonomie -
Forschung und Studium Auch durch die Verpflichtung zur Wissenschaftsfreiheit
Datensparsamkeit hat der Gesetzgeber
• Nr. 5 Feststellung der Eignung und
Leistung von Mitgliedern der nicht die von ihm geforderte wer- Auch der Hinweis auf die Hoch-
Hochschule durch Organe, tende Entscheidung getroffen; schulautonomie kann den Berliner
Gremien oder Kommissionen Datensparsamkeit betrifft die Quantität Gesetzgeber nicht entlasten. Zwar kön-
der Hochschule der zu verarbeitenden Daten. nen sich grundsätzlich Erlaubnisse
• Nr. 6 Benutzung von Einrichtungen Der Staat erfüllt durch die Gesetzge- aus Satzungsregelungen ergeben,
der Hochschulen bung seine Aufgabe, Hüter des doch - neben der soeben dargestell-
• Nr. 7 Durchführung von Aufgaben der Gemeinwohls gegenüber Gruppen- ten ausdrücklichen Forderung in der
akademischen Selbstverwaltung interessen zu sein.6 Das Gesetz- Verfassung von Berlin nach einer
• Nr. 8 zum Einsatz von
gebungsverfahren gewährleistet einen Entscheidung durch den Gesetzgeber
Steuerungsinstrumenten, in öffentlichen Willensbildungsprozess selbst - sprechen hochschulrechtliche
besonderen Zielvereinbarungen, unter Abwägung der verschiedenen, Besonderheiten gegen die Zulässigkeit
Leistungsbewertungen, häufig widerstreitenden Interessen. von Einschränkungen des informatio-
Mittelvergabesystemen Dieses Verfahren ist in der Demokratie nellen Selbstbestimmungsrechts durch
• Nr. 9 Evaluierung der Umsetzung üblich für die Regelung von Fragen des Satzungen der Hochschulen.
des Gleichstellungsauftrages Zusammenlebens, die in der Verfassung Für das Bundesverfassungsgericht
5 Richtlinien können als Regelungen offen gelassenen sind. Bezogen auf das ist es für die Anerkennung von au-
mit lediglich interner Wirkung informationelle Selbstbestimmungsrecht tonom gesetzten Regelungen mit
Eingriffe nicht wirksam erlauben.
Auf sie wird im Folgenden daher 7 Simitis u. a. BDSG 5. Auflage 2003,
nicht eingegangen. 6 BVeErfGE 33, 125 (158) Simitis zu § 1 Rdnr. 98
DANA • Datenschutz Nachrichten 1/2009 9Datenschutz - quo vadis?
Eingriffscharakter wichtig, dass sie ser Regelungen bis zum 31. Dezember
das Ergebnis eines demokratischen
Grenzen der 2006 fordert. Gleichwohl fehlen die-
Willensbildungsprozesses im Inneren Wissenschaftsfreiheit se notwendigen Regelungen in gro-
der Organisation sind.8 Diese demo- ßem Umfang in Berlin. Angesichts der
kratische Legitimation fehlt jedoch den Aus der Wissenschaftsfreiheit folgt Tatsache, dass die Verarbeitung zu den
Hochschulsatzungen aufgrund der ge- die Pflicht des Staates, durch geeigne- in § 6 Abs. 1 Satz 1 Nr. 2 bis 8 BerlHG
setzlich geregelten Vorrangstellung der te organisatorische Maßnahmen da- genannten Zwecken fortwährend ge-
Hochschullehrer. für zu sorgen, dass das Grundrecht der schieht, ist das Fehlen sehr erstaunlich,
Das Berliner Hochschulgesetz ge- freien wissenschaftlichen Betätigung denn die Praxis der Verarbeitung von
währt den Professoren ein bestimmen- soweit unangetastet bleibt, wie das Personendaten wäre ja lediglich in eine
des Übergewicht in den Akademischen unter Berücksichtigung der an- Regelung zu gießen. 14
Senaten, in Fachbereichs- und deren legitimen Aufgaben der Fehlendes Interesse der treibenden
Institutsräten (vgl. § 60 BerlGH zu Wissenschaftseinrichtungen und der Kräfte an den Hochschulen an daten-
Akademischen Senaten, § 70 BerlHG Grundrechte der verschiedenen Be- schutzgemäßen Zuständen ist sicher
zu Fachbereichsräten und § 75 BerlHG teiligten möglich ist; die einzelnen einer der Gründe dieses datenschutz-
für die Institutsräte). In diesen Gremien Träger des Grundrechts, also jedenfalls rechtlichen Missstands. Hinzu kommt
haben sie stets eine Stimme mehr als die die Professoren, haben einen Anspruch die inhaltliche Ferne dieser Regelung
anderen in den Gremien vertretenen drei auf organisatorische Maßnahmen zum zur Wissenschaft. Die Bestimmung der
Statusgruppen9 gemeinsam. Schutze des grundrechtlich gesicherten Daten, deren Verarbeitung im über-
Demokratische Prinzipien werden Freiheitsraumes.11 wiegenden Allgemeininteresse zu den
so eingeschränkt und ein gerechter Die Wissenschaftsfreiheit gilt je- in § 6 Abs. 1 Satz 1 BerlHG genann-
Interessenausgleich ist unter diesen doch nicht ohne Grenzen, auch weist ten Zwecken liegt, hat keinen unmittel-
Umständen nicht gewollt. Es besteht das Bundesverfassungsgericht bereits baren Bezug zu den Kernaufgaben der
dadurch die Gefahr, dass aus Gründen in seinem Hochschulurteil hin.12 Die Hochschulen, dem Forschen und der
der Praktikabilität Freiheitsrechte der Verpflichtung des Staates, das irgend Lehre. So bedeutete dies eine Entlastung
übrigen Hochschulangehörigen ein- erreichbare Maß an Freiheit der wis- der Hochschulen und somit einen
geschränkt werden. senschaftlichen Tätigkeit zu verwirkli- Gewinn, wenn der Gesetzgeber seine
In der Facharztentscheidung10 hat das chen, trifft auf die natürlichen Grenzen, Aufgabe endlich selbst wahrnähme.
Bundesverfassungsgericht eine solche die sich aus dem Zusammentreffen der
Versuchung für Verwaltungen beschrie- Anliegen mehrerer Grundrechtsträger Verordnungs-
ben. Es führt hier zur Ermächtigung und aus Rücksicht auf andere wich- ermächtigung
zum Erlass von Verordnungen aus, dass tige Gemeinschaftsinteressen erge-
dieser Versuchung der Verwaltung – ben. Hierfür steht auch die Feststel- § 6 b Abs. 1 BerlHG ermächtigt
in Verordnungen praktisch-effiziente lung des Bundesverfassungsgerichts, die für Hochschulen zuständige
Regelungen auf Kosten der Bürger zu „Wissenschaftsfreiheit ist kein Recht Senatsverwaltung zur Regelung der
treffen – Artikel 80 Abs. 1 Satz 2 GG …, das eine … Verfügungsmacht Verarbeitung personenbezogener Daten
dadurch Rechnung trägt, dass es die über den Freiheitsstatus der übrigen durch eine Rechtsverordnung zu den
Bestimmung von Inhalt, Zweck und Hochschulmitglieder gewährt“.13 in § 6 Abs. 1 Satz 1 Nr. 115 genann-
Ausmaß vom Gesetzgeber selbst for- Hochschulrechtliche Besonderheiten ten Zwecken. Es handelt sich um
dert. Eine vergleichbare ausdrück- erlauben es dem Gesetzgeber so- den Zugang, die Durchführung des
liche Vorgabe zur Einschränkung mit nicht, seine Befugnis zur Ein- Studiums, um Prüfung und Promotion.
der Satzungsautonomie enthält die schränkung des informationellen Selbst- § 6 b Abs. 1 Satz 2 BerlHG fordert auch
Verfassung von Berlin – wie auch das bestimmungsrechts den Hochschulen zu hier, insbesondere die Art der zu verar-
Grundgesetz - nicht. Gleichwohl gilt übertragen. beitenden Daten und die Löschfristen zu
die Wissenschaftsfreiheit, aus der die regeln.
Bestimmungen zur Hochschulautonomie Gewinn für die Wie bereits oben festgestellt, hat der
abgeleitet werden, nicht ohne Grenzen. Hochschulen Gesetzgeber selbst neben den Zwecken,
zu denen personenbezogene Daten ver-
Zwar ist die Verpflichtung der arbeitet werden dürfen, auch die Art
8 Beschluss der Ersten Senats vom Hochschulen rechtswidrig, doch dem der für diese Zwecke zu verarbeiten-
13. Juli 2004 – 1BvR 1298, 1299/94, Wortlaut des Gesetzes nach sind sie
1332/95, 613/97 Notarkassen, zum Erlass von Regelungen verpflich- 14 Vgl. Wettern, M.; Lerherevulation an
BVerfGE 33, 125 – Facharztentscheidung tet. Diese Pflicht besteht seit dem Hochschulen, DANA 1/2008, 18 ff.
6. Dezember 2004, das den Erlass die- zum Regelungsdefizit in Niedersachsen
9 Neben den Hochschullehrern gibt 15 Die Senatsverwaltung wird zudem zum
es die Gruppen der wissenschaftlichen 11 VerfGE 35, 79,149 (Hochschulurteil) Erlass einer Verordnung ermächtigt be-
Mitarbeiter, der Studierenden und der 12 BVerfGE 35,79, 147f. züglich der Verarbeitung der Daten
sonstigen Mitarbeiter. durch die Studierendenschaft. Bleibt hier
13 BVerfGE 56,79, 163
10 BVerGE 33, 125 außer Betracht.
10 DANA • Datenschutz Nachrichten 1/2009Datenschutz - quo vadis?
den Daten selbst festzusetzen. Der die Entlastung von der Pflicht, wissen- genwärtig auch dadurch, dass das Fehlen
Gesetzgeber hat für jedes Merkmal zu schaftsferne Regelungen zu erlassen von Erlaubnisregelungen ohne Folgen
entscheiden, ob seine Verarbeitung für – als auch dem Datenschutz gedient. bleibt. Sein Ziel, die Gewährleistung
den beabsichtigten Zweck im überwie- Für die Hochschulgremien sind die zu der Rechte und Freiheiten der Einzelnen
genden Allgemeininteresse erforder- treffenden Entscheidungen offensicht- im Interesse der Aufrechterhaltung
lich ist. Der Verordnungsgeber ist nicht lich vollkommen unerheblich, andern- freiheitlicher und demokratischer
befugt, wirksame Erlaubnisse zu Ein- falls hätten Sie innerhalb der vergan- Verhältnisse, würde nur allzu leicht
griffen in das Grundrecht der informa- genen vier Jahre ihre Regelungspflicht vergessen werden. Oder ist dieser Fall
tionellen Selbstbestimmung zu regeln. erfüllt16. Werden die Gremien zum vielleicht sogar bereits eingetreten?
Das Berliner Hochschulgesetz Erlass von Regelungen verpflichtet, an Doch nicht nur für den Hoch-
verstößt durch diese Verordnungs- denen sie offensichtlich nicht interessiert schulbereich ist der Gesetzgeber
ermächtigung zugleich gegen Artikel sind, so schwächt das den Datenschutz, aufgerufen zu prüfen, ob er alles
64 Abs. 1 Satz 2 VvB, nach dem eine der dann als störende Formalie wahrge- Notwendige geregelt hat. Versäumnisse
wirksame Ermächtigung die Regelung nommen werden kann, der Regelungen der beschriebenen Art gilt es auch in
von Inhalt, Zweck und Ausmaß im fordert, die keinen interessieren. anderen Bereichen zu finden und nicht
ermächtigenden Gesetz selbst ver- Geschwächt wird der Datenschutz ge- nur in Berlin zu beheben.
langt. Hieran mangelt es, wenn dem 16 Wäre die Übertragung der Satzungs-
Verordnungsgeber lediglich Zwecke befugnis nicht bereits aus anderen
benannt werden und die Regelung der Gründen rechtswidrig, könnte angesichts
Art dem Verordnungsgeber übertragen der langen Dauer der Untätigkeit an die
wird. Verwirkung des Rechts der
Satzungsgebung zu denken sein. Am
2. Dezember 2004 beschloss der
Fazit Gesetzgeber das Gebot, Regelungen
bis zum 31. 12. 2006 zu treffen. Die
Schnell sollte der Gesetzgeber tätig wer- Hochschulen hatten somit zwei Jahre
den, um den Mitgliedern der Hochschule hierfür Zeit. Bis heute sind bereits vier
Jahre vergangen, ohne dass an den
Datenschutz zu gewähren. Hiermit wäre Berliner Hochschulen Regelungen in
sowohl den Hochschulen – diesen durch nennenswertem Umfang ergangen sind.
Meldepflicht bei Datenschutzpannen: Ja, bitte oder nein, danke?
Als im August 2008 Meldungen über den Diebstahl von 41 Millionen Kreditkarten-Nummern
in den USA hierzulande durch die Presse gingen, forderte der Bundesdatenschutzbeauftragte
Peter Schaar, US-Amerikanischem Beispiel folgend, die Einführung einer Meldepflicht für
Unternehmen bei Datenmissbrauch. In den USA gibt es in 44 Bundesstaaten eine Meldepflicht
für Unternehmen, denen Personendaten gestohlen wurden.
Macht eine solche Informationspflicht bei Datenschutzpannen auch im deutschen
Datenschutzrecht Sinn oder trägt sie zur Verbesserung des Datenschutzes eher nichts bei?
Mit dieser Fragestellung beschäftigen sich die beiden folgenden Beiträge von Marit Hansen
und Karin Schuler, wobei die Autorinnen zu unterschiedlichen Antworten kommen.
DANA • Datenschutz Nachrichten 1/2009 11Datenschutz - quo vadis? Marit Hansen Informationen bei Datenschutzvorfällen: Ja, bitte! Nach den Datenschutzgesetzen sind sche und organisatorische Maßnahmen konkrete Handlungsempfehlungen zur Daten verarbeitende Stellen für die Datenschutzpannen bereits im Vorfeld Schadensminimierung gegeben werden. von ihnen verarbeiteten personen- zu verhindern (Schneier 2009). Um Ähnliche Überlegungen stammen auch bezogenen Daten verantwortlich. im Fall einer Datenschutzpanne sowie aus der Arbeit in den EU-Projekten Ziel der Datenschutzgesetzgebung in der verpflichtenden Benachrichtigung „PRIME – Privacy and Identity Deutschland ist die Gewährleistung den Vertrauensverlust bei den Kunden Management for Europe“1 (2004-2008) des Rechts auf informationelle zu minimieren, werden in zahlreichen und PrimeLife2 (2008-2011), in denen Selbstbestimmung für jeden Menschen: Unternehmen präventiv Notfallpläne er- Konzepte und Prototypen für ein nutz- Jeder soll wissen können, wer was wann arbeitet. Statistiken aus den USA zeigen ergesteuertes Identitätsmanagement ent- über ihn weiß (BVerfG 1983). Dies übrigens, dass mehr Kunden abwan- wickelt wurden und werden: ist nur möglich, wenn die geforder- dern, wenn ein Datenskandal ungesteu- Herzstück des PRIME-Identitäts- te Transparenz nicht nur die planmäßi- ert durch die Medien veröffentlicht wird managementsystems ist nutzerseitig der ge Datenverarbeitung betrifft, sondern (Hanloser 2009). sogenannte „Data Track“, in dem mit- auch im Fall von Sicherheitsvorfällen Auch für Deutschland, wo im gespeichert wird, welche Transaktionen und Datenschutzpannen die Information Entwurf zur Novelle des Bundes- der Nutzer abgewickelt hat, bei de- darüber umfasst, welche der eigenen datenschutzgesetzes ebenso wie bei nen seine personenbezogenen Daten Daten in unberechtigte Hände gelangt der Umsetzung der EU-Vorgabe im eine Rolle spielten. Der „Data Track“ sind. Medienrecht Informationspflichten bei gibt also Anhaltspunkte darüber, was So forderte im November 2008 die Datenschutzpannen vorgesehen sind, der Transaktionspartner über einen Konferenz der Datenschutzbeauftragten wird eine solche bußgeldbewehrte weiß. Diese Grundfunktionalität wur- des Bundes und der Länder, „alle verant- Verpflichtung Wirkung in vermutlich de nicht nur um einen Abgleich mit wortlichen Stellen – grundsätzlich auch zwei Richtungen entfalten: Erstens den serverseitigen Datenschutz-Policies alle öffentlichen Stellen – gesetzlich zu werden Unternehmen stärker versu- und erste Ansätze zur automatisierten verpflichten, bei Verlust, Diebstahl oder chen, gar nicht erst Datenschutzpannen Rechtewahrnehmung erweitert, sondern Missbrauch personenbezogener Daten entstehen zu lassen – in vielen der es wurde auch ein „Security Feed“ inte- unverzüglich die hiervon betroffenen jüngsten Datenskandale waren die griert, mit dem sich Sicherheitsvorfälle Bürgerinnen und Bürger und die zustän- Datensicherheitsmaßnahmen mangel- melden und an den Nutzer kommunizie- digen Aufsichts- oder Kontrollbehörden haft gewesen. Und zweitens wird we- ren ließen (Nageler 2006, Hansen et al. sowie gegebenenfalls auch die niger vertuscht werden, weil dies ein 2007), siehe Abb. 1. Öffentlichkeit zu unterrichten. Dies erhebliches Bußgeld nach sich ziehen In der Praxis könnte es diver- entspricht ihrer datenschutzrechtlichen kann – hier sind die Aufsichtsbehörden se Newsfeeds mit Informationen Verantwortung und ermöglicht es den gefragt. zu Datenschutzpannen und Sicher- Betroffenen, negative Konsequenzen Die für Deutschland diskutierten heitsrisiken geben, die in einem stan- solcher Datenschutzpannen abzuwenden Mitteilungs- und Benachrichtigungs- dardisierten Format Meldungen an oder einzugrenzen.“ (DSB-Konferenz pflichten sollen zunächst auf be- diejenigen Nutzer weiterleiten wür- 2008). sonders sensible Daten, z.B. im den, die den jeweiligen Newsfeed Dass eine solche Informationspflicht Bereich Medizin oder bei Bank- und abonniert hätten. Verfasser dieser nicht unrealistisch ist, zeigen die Kreditkarteninformationen, beschränkt Meldungen könnten beispielsweise Erfahrungen aus den USA, wo sog. werden, da man bei einer Ausdehnung die verantwortlichen Daten verarbei- „Security Breach Notification Laws“ auf weniger sensible Fälle einen kon- tenden Stellen, Computer Emergency in der Mehrheit der Staaten gelten, traproduktiven Abstumpfungseffekt bei Response Teams, Online-Redaktionen die die Unternehmen verpflichten, bei den Betroffenen fürchtet. Wichtig ist bei oder beliebige Organisationen oder Datenschutzpannen die Betroffenen dem Umfang der Benachrichtigung von Einzelpersonen sein, die mit einer di- – oder falls dies nicht möglich ist, die Betroffenen, dass sie nach Möglichkeit gitalen Signatur die Authentizität Öffentlichkeit – zeitnah zu informieren. abschätzen können sollen, von wem der Meldungen bestätigten würden. Dabei wirkt diese Verpflichtung nicht welche rechtswidrige Nutzung ihrer Das Identitätsmanagementsystem des nur im nachgelagerten Bereich, son- Daten droht und ob gegenwärtig eine dern sie motiviert Unternehmen dazu, konkrete Gefahr besteht (Hanloser 1 http://www.prime-project.eu/ durch Datensparsamkeit sowie techni- 2009). Ebenso sollen den Betroffenen 2 http://www.primelife.eu/ 12 DANA • Datenschutz Nachrichten 1/2009
Sie können auch lesen
