Veröffentlicht am Kategorien News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , , , , , , , , , ,

Datenschutz: BfDI Peter Schaar stellt Tätigkeitsbericht für die Jahre 2009 und 2010 vor

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Herr Peter Schaar, hat heute (12. April 2011) seinen Tätigkeitsbericht für die Jahre 2009 und 2010 (PDF) vorgestellt. Der Bericht gibt einen guten Überblick der Datenschutz-Themen der vergangenen zwei Jahre und listet eine Reihe von Empfehlungen für die Politik auf. Im Detail:

Zusammenfassung der Empfehlungen von Herrn Peter Schaar:

  • Ich empfehle dem Gesetzgeber, das Eckpunktepapier der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Modernisierung des Datenschutzrechts bei der überfälligen grundlegenden Neukonzeption des Datenschutzrechts zu berücksichtigen (Nr. 1.1/1.2).
  • Technische und rechtliche Lösungen können den Datenschutz internetfähig machen. Dazu gehört auch das Löschen von personenbezogenen Daten. Der Gesetzgeber ist hier gefragt. (Nr. 1.6).
  • Das Urteil des EuGH zur Unabhängigkeit der Datenschutzaufsicht muss auch für den BfDI umgesetzt werden. Für seine Aufsichtstätigkeit bei Post- und Telekommunikationsdienstleistern benötigt der BfDI die erforderlichen Durchsetzungsbefugnisse, insbesondere zur Verfolgung von Ordnungswidrigkeiten (Nr. 2.1).
  • Die gesetzlichen Benachrichtigungspflichten der Betroffenen sollten durch den Gesetzgeber verbessert werden (Nr. 2.6).
  • Ein selbstbestimmtes Identitätsmanagement kann die Bürgerinnen und Bürger vor Identitätsdiebstahl und Profilbildung schützen. Der Staat sollte die rechtlichen und technischen Voraussetzungen hierfür schaffen (Nr. 3).
  • Berechtigungszertifikate zur elektronischen Identifikation mit dem neuen Personalausweis sollten nur an solche Diensteanbieter vergeben werden, die ein ausreichendes Datenschutz- und Datensicherheitsniveau nachweisen (Nr. 3.2).
  • Die Finanzverwaltung sollte den Steuerpflichtigen die Möglichkeit eröffnen, ihre Kommunikation durch eine qualifizierte elektronische Signatur (qeS) abzusichern. Soweit andere Identifikationsverfahren zum Einsatz kommen sollen, müssen sie mindestens das Sicherheitsniveau der qeS gewährleisten (Nr. 3.6).
  • Der Gesetzgeber sollte den Betroffenen ein Widerspruchsrecht gegen Internetveröffentlichungen einräumen. Ein bei einer vertrauenswürdigen Stelle eingerichtetes Widerspruchsregister kann die datenschutzfreundliche Inanspruchnahme des Widerspruchsrechts gewährleisten (Nr. 4.1/4.2).
  • Ich empfehle den gesetzlichen Krankenkassen und anderen meiner Datenschutzkontrolle unterstehenden Stellen, den Einsatz von nicht datenschutzgerechten Systemen zur Reichweitenmessung bei Online-Angeboten umgehend einzustellen und die vorhandenen Daten zu löschen (Nr. 4.3.1).
  • Ich empfehle der Bundesregierung, eine Änderung des Telemediengesetzes, um eine Einwilligungslösung für das Setzen von cookies und anderen Techniken zur Verfolgung des Nutzerverhaltens im Internet zu normieren (Nr. 4.4).
  • Ich empfehle dem Gesetzgeber, eine ausdrückliche Rechtsgrundlage für die Veröffentlichung von Wahlvorschlägen im Internet zu schaffen (Nr. 4.10).
  • Ich empfehle den öffentlichen Stellen, die in der Nationalen E-Government-Strategie definierten Ziele Datenschutz und Informationsfreiheit und damit die Idee des Open Government mit Leben zu erfüllen (Nr. 5).
  • Ich empfehle dem Gesetzgeber, bei der Novellierung des Energiewirtschaftsgesetzes angemessene Datenschutzregelungen für die Nutzung der neuen intelligenten Stromzähler vorzusehen, damit der gläserne Stromkunde vermieden wird (Nr. 5.1).
  • Ich empfehle der Bundesverwaltung und den meiner Datenschutzkontrolle unterliegenden sonstigen Stellen, das Einscannen von Personalaktendaten manipulationssicher und datenschutzgerecht zu organisieren und nur durch Beschäftigte der Personalabteilung durchführen zu lassen. Die Integrität der eingescannten Dokumente sollten durch eine qualifizierte digitale Signatur geschützt werden (Nr. 5.5 und 12.3).
  • Ich empfehle der Bundesverwaltung und den meiner Datenschutzkontrolle unterliegenden sonstigen Stellen, Dienstleitungen über Cloud Computing nur dann zu realisieren, wenn der Datenschutz rechtlich, technisch und organisatorisch sichergestellt wird. Voraussetzungen sind insbesondere gesicherte gesetzliche Grundlagen für den Datenschutz und eine unabhängige Datenschutzkontrolle. Sensible Daten dürfen auch beim Cloud Computing grundsätzlich nicht außerhalb des EWR verarbeitet werden (Nr. 5.6).
  • Ich empfehle der Bundesregierung, für die bei den Sicherheitsbehörden des Bundes betriebenen Datenbanken Systeme vorzusehen, die zum Zwecke der Datenschutzkontrolle eine Protokollierung aller Transaktionen gewährleisten (Nr. 5.7 und 7.1.3).
  • Ich empfehle der Bundesregierung, anstelle der anlasslosen Vorratsdatenspeicherung die Einführung des Quick-Freeze-Verfahrens (Nr. 6.1).
  • Ich empfehle der Bundesregierung, die anstehenden Evaluierungen der Sicherheitsgesetze auf der Grundlage eines umfassenden Bewertungsansatzes durch eine unabhängige Stelle nach wissenschaftlichen Kriterien durchführen zu lassen (Nr. 7.1.1).
  • Ich empfehle dem Gesetzgeber, Befugnisse zur polizeilichen Recherche im Internet, deren Inhalt und Grenzen spezialgesetzlich zu regeln (Nr. 7.1.7).
  • Ich empfehle dem Deutschen Bundestag, die Beteiligung der Sicherheitsbehörden an Zuverlässigkeitsüberprüfungen im Rahmen von Akkreditierungsverfahren bei Großveranstaltungen auf eine gesetzliche Grundlage zu stellen (Nr. 7.2.3).
  • Ich empfehle der Bundesregierung, einen regelhaften Einsatz von Körperscannern auf deutschen Flughäfen erst dann vorzunehmen, wenn der derzeit durchgeführte Versuch den Nachweis eines Sicherheitsgewinns und der Einsatztauglichkeit derartiger Geräte erbracht hat und der Schutz der Persönlichkeitsrechte gewährleistet ist. Zudem sollte sich die Bundesregierung auf europäischer Ebene für einen hohen Mindeststandard beim Einsatz von Körperscannern einsetzen (Nr. 7.3.1).
  • Ich empfehle der Bundesregierung, den beabsichtigten Ausbau des nachrichtendienstlichen Informationssystems NADIS zu einem umfassenden Wissensnetz bis zur Schaffung einer entsprechenden Gesetzesänderung auszusetzen (Nr. 7.5.1).
  • Ich erwarte von der Bundesregierung, dass sie bei der Durchführung des Zensus 2011 die Einhaltung der gesetzlichen Zweckbindungsregelungen sicher stellt, auf die frühestmögliche Datenlöschung achtet sowie für eine hohe Datensicherheit sorgt (Nr. 8.1.1).
  • Ich empfehle dem Gesetzgeber, die europarechtlichen Vorgaben zum Schutz personenbezogener Daten von Unionsbürgern auch bei einer Speicherung dieser Daten im Ausländerzentralregister vollumfänglich umzusetzen (Nr. 8.2.1).
  • Ich empfehle dem Gesetzgeber, im Errichtungsgesetz für ein Nationales Waffenregister den Vorkehrungen zum Persönlichkeitsschutz einen hohen Stellenwert einzuräumen und die erforderlichen datenschutzrelevanten Regelungen zu treffen (Nr. 8.3).
  • Ich empfehle dem Gesetzgeber, die gesetzlichen Grundlagen für das Register der Entscheidungen in Staatsangehörigkeitsangelegenheiten (EStA) über die derzeitigen Bestimmungen des § 33 StAG hinaus im erforderlichen Umfang zu konkretisieren (Nr. 8.4).
  • Ich empfehle dem Gesetzgeber, Regelungslücken zur Auftragsdatenverarbeitung im StUG analog § 11 BDSG zu schließen (Nr. 8.5.3).
  • Ich empfehle dem Gesetzgeber, sämtliche zeugnisverweigerungsberechtigten Berufsgeheimnisträger in den absoluten Schutz des § 160a Absatz 1 StPO einzubeziehen (Nr. 8.10).
  • Ich empfehle dem Gesetzgeber, konkrete Regelungen zum Umgang mit Angeboten von Daten zu Steuersachverhalten zu schaffen, die aus illegalen Quellen stammen. Damit würden die rechtlichen Rahmenbedingungen für behördliche Ermittlungshandlungen vorgegeben und die betroffenen widerstreitenden Interessen in einen angemessenen Ausgleich gebracht werden können (Nr. 9.1).
  • Ich empfehle dem Gesetzgeber, Regelungen im Zusammenhang mit der Erhebung und Verarbeitung der Steuer-Identifikationsnummer durch nicht-öffentliche Stellen so auszugestalten, dass Steuerpflichtige der Erhebung und Verwendung widersprechen können und ihnen dabei auch alternative Formen des Nachweises über die relevanten steuerlichen Sachverhalte gegenüber der Finanzverwaltung offen stehen (Nr. 9.2).
  • Ich empfehle der Finanzverwaltung, im Zusammenhang mit der Umstellung des Verfahrens von der Papier- auf die Elektronische Lohnsteuerkarte die erforderlichen technisch-organisatorischen Maßnahmen zu ergreifen, die einen unzulässigen Abruf der in der zentralen Datenbank gespeicherten Elektronischen Daten soweit wie möglich ausschließen. (Nr. 9.3).
  • Ich empfehle dem Gesetzgeber, die Abgabenordnung möglichst zeitnah um Regelungen zu einem voraussetzungslos gewährleisteten Auskunftsrecht des Steuerpflichtigen gegenüber der Finanzverwaltung zu erweitern (Nr. 9.4).
  • Ich empfehle dem Gesetzgeber, bei dem künftigen Verfahren zum Kirchensteuerabzug auf Kapitalerträge die besonderen Anforderungen zu beachten, die sich aus der Verwendung des sensiblen Merkmals der Religionszugehörigkeit ergeben. Kreditinstitute sollten Kenntnis von der Religionszugehörigkeit ihrer Kunden nur mit deren Einwilligung erhalten (Nr. 9.5).
  • Die neuen gesetzlichen Regelungen zum Scoring bedürfen weiterer Verbesserung (Nr. 10.5).
  • Trotz der neuen gesetzlichen Regelungen kommt die sog. SCHUFA-Klausel weiter zur Anwendung. Hier sollte der Gesetzgeber Klarheit schaffen (Nr. 10.6).
  • Ich empfehle der Bundesregierung, sich bei der Umsetzung der Interoperabilitätsrichtlinie zu europäischen Mautsystemen für die Beibehaltung des Verbots zweckändernder Nutzung von Mautdaten einzusetzen (Nr. 10.8).
  • Ich empfehle den am ELENA-Verfahren beteiligten Stellen, an den während der JobCard-Projekte und des Gesetzgebungsverfahrens zum ELENA-Verfahrensgesetz verabredeten Sicherheitsniveau keine Abstriche vorzunehmen (Nr. 11.1.3.1).
  • Ich empfehle dem Bundesministerium der Finanzen, dem Steuerpflichtigen bei der steuerlichen Berücksichtigung Beiträge zur privaten und gesetzlichen Kranken- und Pflegeversicherung (Vorsorgeaufwendungen) eine Alternative des Nachweises der Vorsorgeaufwendungen zur Verfügung zu stellen, beispielsweise durch Vorlage von entsprechenden Bescheinigungen beim Finanzamt (Nr. 11.1.6).
  • Ich empfehle den gesetzlichen Krankenkassen, meine „Empfehlungen zur Protokollierung in zentralen IT-Verfahren der Gesetzlichen Krankenversicherung“ zu beachten (Nr. 11.1.7).
  • Ich empfehle der DRV Bund, beim aktuellen und künftigen Einsatz medizinisch-technischer Geräte besonders darauf zu achten, dass beim beschriebenen Umgang mit diesen sensiblen personenbezogenen Daten die Persönlichkeitsrechte der Betroffenen gewahrt bleiben (Nr. 11.1.8).
  • Ich empfehle dem Gesetzgeber, mit Blick auf die Neugestaltung der Aufsichtszuständigkeiten meiner Behörde über die Jobcenter die zur Aufgabenerledigung notwendigen Planstellen einzurichten. Nur dann kann ich dauerhaft meinen gesetzlichen Auftrag erfüllen (Nr. 11.5.1).
  • Ich empfehle dem Gesetzgeber, bei der Schaffung des Beschäftigtendatenschutzgesetzes die Bestimmung über Datenabgleichverfahren so zu fassen, dass diese nur bei Vorliegen eines konkreten Anlasses zulässig sind. Die Regelungen zur Verwendung von Beschäftigtendaten zur Verhaltens- und Leistungskontrolle und zur offenen Videoüberwachung sollten enger gefasst werden. Der Umgang mit Daten bei der „gemischten“ dienstlichen und privaten Nutzung von Telekommunikationsdiensten sollte gesetzlich geregelt werden. Das Petitionsrecht des Beschäftigten darf nicht beschnitten werden (Nr. 12.1).
  • Ich empfehle der Bundesverwaltung, eine dauerhafte parallele Führung gleicher Teile der Personalakte – in Papierform und in eingescannter elektronischer Version – zu vermeiden und zeitlich auf ein Minimum zu reduzieren (Nr. 12.3).
  • Ich empfehle der Bundesregierung, sich beim weiteren Ausbau eines Raums der Freiheit, der Sicherheit und des Rechts auf europäischer Ebene für ein hohes Datenschutzniveau einzusetzen und die Kommission in ihrer Absicht zu unterstützen, das Datenschutzrecht auch im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zu modernisieren (Nr. 13.5).
  • Ich empfehle der Bundesregierung, in der Frage, in welchem Umfang Kunden- und Mitarbeiterdaten von deutschen Unternehmen mit den Antiterrorlisten der EU abzugleichen sind, weitere Schritte zu mehr Rechtssicherheit zu unternehmen (Nr. 13.7).
  • Ich empfehle dem Gesetzgeber, im Melderecht dem Schutz der Persönlichkeit einen hohen Stellenwert einzuräumen und hierfür erforderliche organisatorisch und informationstechnisch orientierte Vorgaben festzulegen (Nr. 15.12).

 

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *