III. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.1995 - 31.03.1997
21.5 Länderübergreifendes staatsanwaltschaftliches Verfahrensregister
Aufgrund der durch das Verbrechensbekämpfungsgesetz vom 28.10.1994 geschaffenen gesetzlichen Grundlagen für ein bundesweites Zentrales staatsanwaltschaftliches Verfahrensregister (ZStV), das der Speicherung aller im Bundesgebiet anhängigen Ermittlungs- und Strafverfahren dienen soll, hatte das Bundesministerium der Justiz in Abstimmung mit den Landesjustizverwaltungen eine Errichtungsanordnung zu erstellen. Der Landesbeauftragte hat bereits in seinem II. Tätigkeitsbericht (S. 118) auf zum Teil erhebliche datenschutzrechtliche Mängel in der Errichtungsanordnung hingewiesen. Die Kritikpunkte sind vom Ministerium der Justiz nicht aufgegriffen worden. Die Errichtungsanordnung wurde zwischenzeitlich vom Bundesministerium der Justiz im Einvernehmen mit den Landesjustizverwaltungen nahezu unverändert erlassen.
Neu in die Diskussion kamen während des Berichtszeitraumes die technisch-organisatorischen Leitlinien für das ZStV, die auch seitens des Landesbeauftragten kritisch überprüft worden sind. Bedenken ergaben sich insbesondere gegen die darin vorgesehene Möglichkeit, Auskünfte auch telefonisch, fernschriftlich oder per Telefax anzufordern und auf gleichem Weg zu erhalten.
Auch dazu hat der Landesbeauftragte wiederholt deutlich gemacht, daß Auskünfte über das Telefon oder per Telefax mit erheblichen Sicherheitsrisiken für die übermittelten Daten verbunden sind (vgl. hierzu auch Ziff. 13).
Nicht unproblematisch ist auch die Regelung, wonach immer dann, wenn bei der Einspeicherung eines Ermittlungsverfahrens ein Beschuldigter mit „gleichen” Personendaten im ZStV bereits registriert ist, das neue Ermittlungsverfahren dem bereits gespeicherten Datensatz des Beschuldigten zugespeichert wird. Aufgrund der in den Leitlinien vorgesehenen weiten Voraussetzungen für die Beantwortung der Frage, wann „gleiche” Personendaten vorliegen, ist es nicht auszuschließen, daß Datensätze auch dann einer (falschen) Person zugeordnet werden, wenn die Personenmerkmale nicht vollständig übereinstimmen und es sich tatsächlich um zwei verschiedene Personen handelt.
Um hierbei Fehlerquellen zu vermeiden, hat der Landesbeauftragte empfohlen, grundsätzlich nur dann ein neu gemeldetes Ermittlungsverfahren einer bereits erfaßten Person zuzuspeichern, wenn alle Personenmerkmale (Geburts- und Familienname, alle Vornamen, das Geburtsdatum, Geburtsort und Geschlecht) vollständig angegeben sind und jeweils völlig übereinstimmen.
Des weiteren hat der Landesbeauftragte darauf hingewiesen, daß bei einer Auskunftserteilung über Eintragungen von „ähnlichen” Personen (Ähnlichen-Service) stets klar und deutlich darauf hingewiesen werden muß, daß die Auskunft aufgrund „ähnlicher” und/oder nur „partiell übereinstimmender” Personenmerkmale zustande gekommen ist und die Identität der genannten Personen nur zu vermuten ist, nicht aber feststeht.
Schließlich enthielten die technisch-organisatorischen Leitlinien in dem Abschnitt, der mit „Datenschutz und Datensicherheit” überschrieben wurde, anstelle einer vollständigen und systematischen Übersicht über die einzelnen erforderlichen Maßnahmen lediglich die Ankündigung, daß eine Bedrohungs- und Risikoanalyse durchgeführt werden soll, die Grundlage für kurz-, mittel- und langfristig zu verwirklichende Sicherheitsmaßnahmen bilden soll.
Aus der Sicht des Landesbeauftragten ist nicht nachvollziehbar, warum diese Analyse nicht so rechtzeitig erarbeitet werden kann, daß die Ergebnisse schon vor Inbetriebnahme des Registers (voraussichtlich 1999) vorliegen. Der Beginn einer automatisierten Verarbeitung der besonders sensiblen personenbezogenen Daten, ohne detaillierte Kenntnis der zu erwartenden Risiken, ist mehr als bedenklich. Anders als in den technisch-organisatorischen Leitlinien vorgesehen, hält der Landesbeauftragte auch von Anfang an besondere Maßnahmen zur Sicherung der Vertraulichkeit und Integrität der übertragenen Daten für erforderlich.
An dieser Stelle sei auf die Entschließung der Datenschutzbeauftragten von Bund und Ländern vom 9. Mai 1996 (Anlage 6) hingewiesen, die Forderungen zur sicheren Übertragung elektronisch gespeicherter personenbezogener Daten beinhaltet.
Eine Antwort des Ministeriums der Justiz auf die Bedenken und Empfehlungen des Landesbeauftragten vom August 1996 lag bis Redaktionsschluß nicht vor.