Jahresbericht 2016 der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Jahresbericht 2016

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellt heute ihren Tätigkeitsbericht für das Jahr 2016 vor.

Neben den Schwerpunktthemen

  • Post-Safe Harbor: Das neue EU-US Privacy Shield
  • Europäische Datenschutz-Grundverordnung
  • Starker Verbesserungsbedarf beim Gesundheitsdatenschutz in der öffentlichen Verwaltung
  • Rechtliche Grenzen des Outsourcings von Patientendaten im Krankenhausbereich am Beispiel der Digitalisierung und Archivierung von Patientenakten
  • Einsatz von Stillen SMS in strafrechtlichen Ermittlungsverfahren

enthält der Bericht 96 Beiträge zu Bürgerbeschwerden, Überprüfungen von Amts wegen in der Berliner Verwaltung und bei Berliner Unternehmen, zu Gesetzgebung und Rechtsprechung.

Post-Safe Harbor: Das neue EU-US Privacy Shield wurde im Juli von der Europäischen Kommission veröffentlicht, nachdem der Europäische Gerichtshof im Oktober 2015 das Vorgänger-Abkommen mit den USA gekippt hatte. Daran sind auch die Aufsichtsbehörden gebunden. Die Diskussion über die Instrumente zur Datenübermittlung in Drittstaaten ist allerdings noch im Gange. Die bevorstehende Evaluierung des Privacy Shields bringt hoffentlich Klarheit (S. 13).

Europäische Datenschutz-Grundverordnung (S. 20): Sie entfaltet Ende Mai 2018 unmittelbare Wirkung. Damit bleibt nur wenig Zeit für gesetzgeberische Aktivitäten im Bereich der Öffnungsklauseln, die zu einer Neufassung des Bundesdatenschutzgesetzes führen (S. 21). Nicht nur der Gesetzgeber muss schnell handeln. Der Countdown für Unternehmen läuft ebenfalls (S. 27)! Auch sie müssen sich frühzeitig mit den neuen Rahmenbedingungen vertraut machen. Der Umsetzungsbedarf im Bankenbereich ist besonders groß (S. 29). Die Grundverordnung hat zudem Auswirkungen auf die Sanktionsverfahren der Aufsichtsbehörden (S. 31). Insbesondere müssen Unternehmen mit erheblich höheren Bußgeldern rechnen. Was Forscher und Wissenschaftler zu beachten haben, ist mangels konkreter inhaltlicher Forschungsklausel nicht einfach zu beantworten (S. 34). Auswirkungen der Grundverordnung auf die Informationsfreiheit sind nicht zu erwarten, denn die Aufgaben als Datenschutzbehörde sind mit denen als Informationsfreiheitsbeauftragte gut vereinbar. Die Personalunion führt zu einem konstruktiven Interessenausgleich (S. 36).

Starker Verbesserungsbedarf zeigte sich beim Gesundheitsdatenschutz in der öffentlichen Verwaltung (S. 37). Überfällig sind Regelungen zu notwendigen Datenflüssen zwischen den Behörden und zum Umgang mit den sensitiven Patientendaten. Auch der technische Schutz lässt oft zu wünschen übrig. So ist das Klinische Krebsregister der Länder Berlin und Brandenburg zwar feierlich, aber ohne die erforderliche sichere IT-Infrastruktur eröffnet worden.

Viele Kliniken haben Tochtergesellschaften gegründet, um Dienstleistungen auszulagern. Dabei ist die Verarbeitung von medizinischen Daten aus Patientenakten problematisch. Die Übermittlung an Dritte, die nicht der Schweigepflicht unterliegen, ist unzulässig (Rechtliche Grenzen des Outsourcings von Patientendaten im Krankenhausbereich am Beispiel der Digitalisierung und Archivierung von Patientenakten, S. 43).

Bei unserer Stichprobenprüfung haben wir in Bezug auf den Einsatz von Stillen SMS in strafrechtlichen Ermittlungsverfahren gravierende Mängel festgestellt. Nicht nur wenden Polizei und Staatsanwaltschaft unterschiedliche – unkonkrete – Rechtsgrundlagen an. Auch zeigten sich strukturelle Defizite, was uns zu einigen Empfehlungen veranlasste (S. 46).

Weitere Themen des Jahresberichts:

Speicherautomaten für biometrische Daten in den Bürgerämtern können durchaus datenschutzgerecht eingesetzt werden, wie unsere Prüfung im Bezirksamt Marzahn-Hellersdorf gezeigt hat (S. 54).

Wir haben die Polizeiliche Datei „Szenekunde Sport“ stichprobenhaft geprüft: Es wurden nicht (mehr) erforderliche Daten von Tatverdächtigen, Beschuldigten oder Gefahrenverursachern im Zusammenhang mit Sportveranstaltungen gespeichert (S. 63).

Die Übermittlung von Gefährdungsbewertungen und Verlaufsberichten von der Polizei an den Verfassungsschutz zu Versammlungen und sonstigen Veranstaltungen für nachrichtendienstliche Zwecke war in drei Fällen rechtswidrig. Das soll künftig durch neue organisatorische Maßnahmen bei der Polizei verhindert werden (S. 66).

Nicht nur die Videoüberwachung bei der Deutschen Bahn AG soll angesichts jüngster Terroranschläge ausgeweitet werden. Das neue Videoüberwachungsverbesserungsgesetz soll allen privaten Stellen den Betrieb von Kameras erleichtern, um Anschläge zu verhindern – eigentlich eine staatliche Aufgabe (S. 69). Bei der Prüfung der Videoüberwachung im Berliner Hauptbahnhof stellten wir die fehlende Vorabkontrolle in Bezug auf den Ausbau fest; sie wurde von der DB AG nachgeholt: Die ursprünglich 215 Kameras wurden auf 82 reduziert (S. 70). Ob der Einsatz von Bodycams bei der Deutschen Bahn AG geeignet ist, Straftaten zu verhindern, wird die Auswertung des Pilotprojekts zeigen (S. 72).

Datensicherheitsprobleme bei der VBB-fahrCard gab es durch technische Fehler bei den Lesegeräten der BVG-Busse. Dadurch wurden Bewegungsprofile von Karteninhabern ermöglicht. Sie waren über das Problem und Löschungsmöglichkeiten zu informieren (S. 76).

Intelligente Messgeräte ermitteln und speichern Verbrauchsgrößen wie Wasser und Strom. Doch viele der digitalen Zähler übertragen Daten zu häufig und unverschlüsselt (Smart Meter und das vernetzte Zuhause – neue Entwicklungen und mögliche Risiken, S. 80).

Fünf Kinderschutzambulanzen stehen neuerdings für Berlin als kompetente Anlaufstellen zur Verfügung, um Verdachtsfälle auf Kindeswohlgefährdungen besser aufklären zu können. Wir haben das Errichtungskonzept beratend begleitet und konnten an dem Leitfaden mitwirken, mit dem die Abläufe bei der Zusammenarbeit mit den bezirklichen Jugend- und Gesundheitsämtern auch für Eltern transparent gemacht werden (S. 86).

Die unverschlüsselte Datenübermittlung per E-Mail zwischen Schulämtern und Schulen betrifft auch sensitive Schülerdaten und ist seit Jahren ein Problem, das trotz unserer Hinweise, Nachfragen und Aufforderungen nicht behoben ist. Das halten offenbar weder die Bezirksämter noch die für Bildung zuständige Senatsverwaltung für geboten (S. 91).

Ein Lehrer darf keine gemeinsame „WhatsApp“-Gruppe für Eltern der Kinder aus der Schulklasse einrichten, denn der Einsatz von sozialen Medien zur dienstlichen Kommunikation von Lehrern mit Eltern oder Schülern ist unzulässig (Klassenlehrer eröffnet „WhatsApp“-Gruppe für Eltern, S. 94).

Viele Bibliotheken bieten zeitgemäß die Online-Ausleihe von E-Books, Hörbüchern, Musik, Filmen und sogar von Lesegeräten für elektronische Bücher an. Wir haben den Verbund der Öffentlichen Bibliotheken Berlins und die Zentral-und Landesbibliothek zu verschiedenen Digitalisierungsprojekten beraten (Bibliotheken im Zeitalter der Digitalisierung, S. 98).

Ein Krankenhausunternehmen möchte seinen Patienten Behandlungsdaten online zur Verfügung stellen. Wir haben in Bezug auf angemessene technische Schutzmaßnahmen beraten, damit die sensitiven Daten nicht in falsche Hände geraten (Patientenportale: Wer greift zu?, S. 105).

Ein Bezirksamt hat die Antragsformulare für Parkerleichterungskarten von Schwerbehinderten auf unsere Veranlassung um den Hinweis ergänzt, dass medizinische Unterlagen bis auf die erforderlichen Merkzeichen geschwärzt werden können (Keine Anforderung medizinischer Unterlagen für Schwerbehinderungs-Parkausweis, S. 113).

Will ein Unternehmen eine Online-Bewerbungsplattform mit Datenverarbeitung auf US-amerikanischen Servern nutzen, bedarf es dazu Betriebs- und Datenschutzvereinbarungen, die einen gleichartigen Schutz bieten wie das Bundesdatenschutzgesetz (S. 114).

Ärztliche Diagnosen sind grundsätzlich nur im Einzelfall und nur im erforderlichen Umfang von der Dienststelle beim amtsärztlichen Dienst zu erfragen; so bei festgestellter Dienstunfähigkeit, die die Grundlage zur anfechtbaren Ruhestandsversetzung bildet (Vorlage amtsärztlicher Untersuchungsbefunde an die Dienstbehörde, S. 119).

Unter welchen Umständen darf der Dienstherr von Beamteten verlangen, dass sie ihm konkrete Krankheiten offenlegen? Eine Beschwerde veranlasste uns zur Prüfung (Offenbarung von Diagnosedaten vor Anordnung einer amtsärztlichen Untersuchung, S. 120).

Berlin ist die Stadt der Jungunternehmensgründer. Sie sollten keine Berührungsängste in Bezug auf den Datenschutz haben, sondern ihn bei ihren innovativen Geschäftsmodellen von Anfang an berücksichtigen. Wie das am besten geht, erklären wir in kostenlosen Extra-Sprechstunden, die wir neuerdings zweimal monatlich anbieten (Start-ups, S. 122).

Zahlungsmethoden wie der Kauf auf Rechnung sind für Online-Händler mit einem Ausfallrisiko verbunden. Daher nutzen einige die problematische Zahlartensteuerung. Dabei wird während des Bestellvorgangs die Bonität des Kunden bei Auskunfteien abgefragt und ihm dann eine Vorabauswahl der Zahlungsarten angeboten (S. 126).

Die wachsende Zahl von Online-Banken und sog. FinTech-Unternehmen birgt zahlreiche neue Datenschutzprobleme bei Online-Finanzdienstleistern. Intransparenz bei der Datenverarbeitung ist nur eines davon (S. 137).

Wer Petitionsplattformen zur Unterstützung einer Initiative nutzt, sollte sich im Klaren sein, welche persönlichen Informationen er damit preisgibt. Die oft sensiblen Sachverhalte können Aufschluss über eigene politische oder weltanschauliche Überzeugungen geben. Auch die Betreiber der Plattformen müssen einiges beachten (S. 142).

Das Finanzamt und die Putzfrau – Probleme bei der Gewerbeanmeldung gab es für sie, weil die Steuerbehörde zur Erteilung der Steuernummer vollständige Mietvertragsunterlagen, Nachweise über entrichtete Mieten und eine Passkopie verlangte. Das war unzulässig (S. 148).

Wir haben Strafantrag wegen unbefugter Datenerhebung mit Bereicherungsabsicht gegen einen Gläubiger gestellt, der ein Ortungsgerät am Kfz des Schuldners angebracht hatte, um dessen Adresse herauszufinden (Privatvollstreckung mit GPS-Tracker?, S. 157).

Bewegungsprofile aus Standortdaten der Telekommunikationsanbieter sind leicht zu erstellen und schwer zu anonymisieren. Wir berieten ein Unternehmen, das Daten über den Aufenthaltsort von Mobilfunknutzenden ohne deren Einwilligung für die Analyse von Verkehrsströmen aufbereiten möchte (S. 166).

Neue Datenschutzrichtlinie von WhatsApp – mehr Daten an Facebook, weniger Selbstbestimmung? Davon ist auszugehen, nachdem Facebook entgegen früheren Aussagen bekannt gab, nun auch Daten der WhatsApp-Nutzer und einzelne Nutzungsstatistiken zu erhalten. Wir raten dringend zu Messenger-Alternativen (S. 170).

Ein unzumutbarer Umgang mit dem IFG beim Landesamt für Bürger- und Ordnungsangelegenheiten veranlasste uns zum Einschreiten, nachdem ein Akteneinsichtsantrag eines Bürgers – mehrfach falsch begründet – abgelehnt und über seinen Widerspruch jahrelang nicht entschieden wurde (S. 180).

Die schleppende Auskunft durch das Bezirksamt Tempelhof-Schöneberg zur Sanierung der Yorckbrücke 5 machte deutlich, dass dort die gesetzliche Pflicht zur unverzüglichen Bescheidung von IFG-Anträgen nicht bekannt war (S. 183).

Der Jahresbericht ist im Internet unter der Adresse www.datenschutz-berlin.de abrufbar.