12.1 Defizite beim automatisierten Abrufverfahren

Im Zusammenhang mit der anlassbezogenen Kontrolle wegen eines unzulässigen Datenabrufs in einem Polizeirevier, welches über ein automatisiertes Abrufverfahren Zugriff auf das Melderegister einer Stadt hatte (vgl. Ziff. 17.4), waren bei der Stadt weitere Defizite bei der Umsetzung und Anwendung datenschutzrechtlicher Normen zu verzeichnen.
Diese Defizite bestanden bereits nach alter Rechtslage, denn gem. § 7 Abs. 4 DSG-LSA a.F. hätte die Stadt ihrer Unterrichtungspflicht über die Einführung eines automatisierten Abrufverfahrens nachkommen müssen. Dies war jedoch nicht der Fall. Die damalige Meldung zum Dateienregister (§ 25 DSG-LSA a.F.) enthielt keine Information über die Einrichtung eines automatisierten Abrufverfahrens.
Eine Kontrolle der Protokollierung der Abrufe ergab, dass keine Differenzierung möglich war, um festzustellen, wer seitens der Polizei wann welche Abrufe getätigt hatte. Alle Mitarbeiter nutzten beim Abruf von Meldedaten den gleichen Benutzernamen und das gleiche Passwort. Damit lag auch ein schwerwiegender Verstoß gegen die Protokollierungspflicht vor.
Mit der Novellierung des DSG-LSA vom 21. August 2001 wurde unter Beachtung der Entwicklung in der Informationstechnik, insbesondere dem Ausbau lokaler Netze bei den Behörden sowie des Landesnetzes, der bisherige Gesetzesvorbehalt für die Einrichtung automatisierter Abrufverfahren in § 7 Abs. 1 DSG-LSA a.F. durch einen zweistufigen Kontrollmechanismus ersetzt.
Hierzu gehört als erste Stufe die Vorabkontrolle gem. § 14 Abs. 2 Nr. 1 DSG-LSA, bei der die datenschutzrechtliche Zulässigkeit des Verfahrens sowie die ausreichende Umsetzung der technischen und organisatorischen Maßnahmen durch die verantwortliche Stelle zu überprüfen sind. Diese Vorabkontrolle hat vor der Freigabe oder bei einer wesentlichen Änderung des Verfahrens zu erfolgen. Die beteiligten Stellen haben darüber hinaus zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Dazu sind schriftliche Festlegungen gem. § 7 Abs. 2 Satz 2 DSG-LSA zu treffen.
Als zweite Stufe der Kontrolle ist die Unterrichtung des Landesbeauftragten vor der Einrichtung des Abrufverfahrens gem. § 7 Abs. 3 DSG-LSA unter Mitteilung der genannten Festlegungen durch die verantwortliche Stelle vorgesehen. Beides, sowohl die Vorabkontrolle als auch die vorherige Unterrichtung des Landesbeauftragten, hatte die Stadt als die verantwortliche Stelle versäumt, obwohl durch den Einsatz einer neuen Software im Meldeamt eine wesentliche Änderung des Verfahrens gegeben war.

Nach der Intervention durch den Landesbeauftragten wurden durch die Stadt umgehend die aufgezeigten datenschutzrechtlichen Mängel beseitigt und die erforderlichen Maßnahmen zur Vorabkontrolle und die Unterrichtung des Landesbeauftragten nachgeholt.
In Abstimmung mit dem beteiligten Polizeirevier, welches ebenfalls intern organisatorische Maßnahmen zur Verbesserung des Datenschutzes getroffen hatte, wurden die Zugriffsrechte überarbeitet und dafür Sorge getragen, dass nunmehr durch die Vergabe mehrerer Benutzernamen und Passwörter die Revisionsfähigkeit gem. § 6 Abs. 2 Nr. 5 DSG-LSA bei Datenabrufen durch die Polizei sichergestellt ist.
Der Empfehlung des Landesbeauftragten, als Benutzernamen Pseudonyme zu vergeben und im Polizeirevier eine Liste (für Kontrollzwecke) zu führen, aus der die Verbindung vom Benutzernamen zum jeweiligen Polizeibeamten hervorgeht, wurde gefolgt.
Für eine Festlegung und Überprüfung der Übermittlung personenbezogener Daten gem. § 7 Abs. 4 Satz 3 DSG-LSA durch das Meldeamt als übermittelnde Stelle ist nur das Pseudonym erforderlich, denn auch Protokolldateien selbst stellen Sammlungen personenbezogener Daten dar und sollten nur die unbedingt erforderlichen Daten für eine Protokollierung enthalten.
Der Landesbeauftragte empfiehlt deshalb den Beauftragten für den Datenschutz in den öffentlichen Stellen des Landes, bei der zukünftigen Einrichtung von automatisierten Abrufverfahren ihr Augenmerk auf die ordnungsgemäße Durchführung der Vorabkontrolle, die rechtzeitige Unterrichtung des Landesbeauftragten sowie die Sicherstellung der Revisionsfähigkeit durch Implementierung einer Protokollierung im erforderlichen Umfang zu richten. Aber auch die bereits eingeführten automatisierten Abrufverfahren sollten durch die jeweils verantwortlichen Stellen hinsichtlich der Revisionsfähigkeit von Datenabrufen kritisch überprüft werden.
Zu beachten ist weiterhin, dass für die Einrichtung automatisierter Abrufverfahren innerhalb einer öffentlichen Stelle, mit Ausnahme der Vorabkontrolle, die Regelungen des § 7 Abs. 1 und Abs. 4 DSG-LSA zu beachten sind.
Gemäß § 14a Abs. 2 Satz 2 DSG-LSA kann sich der Beauftragte für den Datenschutz bei der Vorabkontrolle in Zweifelsfällen direkt an den Landesbeauftragten wenden.

Abschließend sei noch darauf hingewiesen, dass die in § 32 Abs. 3 DSG-LSA vorgesehene Übergangsfrist von drei Jahren zur Anpassung an die neue Gesetzeslage bereits mit dem 28. Juni 2004 abgelaufen ist.