Der Hamburgische Datenschutzbeauftragte. Presseerklärung

Transkript

1 Der Hamburgische Datenschutzbeauftragte 11. April 2006 Presseerklärung zum Tätigkeitsbericht 2004/2005 (abzurufen unter Die alltägliche elektronische Erfassung des Menschen durch Staat und Wirtschaft Der Hamburgische Datenschutzbeauftragte fordert: Die Strukturen der Informationsgesellschaft müssen auf eine freiheitliche selbstbestimmte Kommunikation ausgerichtet werden, nicht auf Überwachung. Nicht: Ich denke, also bin ich. gilt unter den Funktionsbedingungen der Informationsgesellschaft und der Konsumgesellschaft, in der wir leben, sondern: Ich kommuniziere, also bin ich. und Ich konsumiere, also bin ich. Für den Staat und seine Sicherheitsbehörden ist daraus geworden: Ich kommuniziere, also bin ich potenziell verdächtig. Also wird mein Kommunikationsverhalten erfasst und gespeichert. Für die Wirtschaft und ihre Marketingstrategen ist daraus geworden: Ich konsumiere, also bin ich ein potenzieller Kunde. Also wird mein Konsumentenverhalten erfasst und gespeichert und ausgewertet. Noch nie zuvor wurde unser Kommunikations- und unser Konsumverhalten so extrem elektronisch unterstützt und konnte technisch so perfekt und eindeutig abgebildet und aufgezeichnet und gespeichert werden wie heute. Wir kommunizieren ganz überwiegend elektronisch vermittelt über Telefon, Handy, und Internet. Alle bei diesen Kommunikationsformen anfallenden Verbindungsdaten werden lückenlos elektronisch erfasst und gespeichert. Wir kaufen immer häufiger personalisiert per Im Homepage Internet Sammelpostfach* Öffentliche Verkehrsmittel U-Bahnstation Steinstraße (Linie U1) Busse 112, 120,124, 34 (Steinstraße *Vertrauliche Informationen sollten auf elektronischem Weg nur verschlüsselt an uns übermittelt werden. Unser öffentlicher PGP-Schlüssel ist im Internet verfügbar (Fingerprint: 53D9 64DE 6DAD 452A 3796 B5F9 1B5C EB0E)

2 2 Bankkarte, Kundenkarte, Kreditkarte, wir bestellen im Internet, buchen online. Unser Kaufverhalten wird dadurch elektronisch erfasst und gespeichert. Aber die elektronische Erfassung des Menschen geht noch viel weiter. Unser Bewegungsverhalten im öffentlichen Raum und in der Freizeit wird vielfältig beobachtet und ist weitgehend nachvollziehbar, denn jedes Handy wird automatisch geortet, im öffentlichen Raum und im Einkaufszentrum findet Videoüberwachung statt. Auf den Autobahnen erfolgt die Fahrzeugregistrierung per Toll Collect und die automatische Kennzeichenerfassung. Mit der RFID-Technologie kommt die automatische Zutritts- und Bewegungserfassung. Die Gehaltsdaten aller Beschäftigten in Deutschland sollen im Rahmen des JobCard-Verfahrens in einem zentralen Register gespeichert werden. Unsere Identität wird biometrisch erfasst und gespeichert in biometrischen Passdaten. Unsere genetische Disposition wird durch Gentests immer vorhersagesicherer feststellbar. Es werden Tests entwickelt, die Aussagen über Lebenserwartung, Eigenschaften, Leistungsfähigkeiten sowie Veranlagungen zu Krankheiten ermöglichen. Körperliche Spuren wie Haare, Speichelreste, die wir hinterlassen, sind anhand des DNA-Identifikationsmusters uns eindeutig zuzuordnen. Nehmen wir alle diese persönlichen Daten zusammen, die von uns erfasst werden, so ergibt sich ein Befund, auf den die Metapher gläserner Mensch zutrifft. Heute gilt wie nie zuvor: Ich werde erfasst, also bin ich. Dieser Befund scheint bei der Mehrheit der Bürgerinnen und Bürger heute keine Ängste auszulösen. Wir müssen feststellen, dass in den 80er Jahren, als sich die Risiken einer massenhaften und schnellen automatischen Verarbeitung personenbezogener Daten gerade erst abzeichneten, der Datenschutz im Mittelpunkt des öffentlichen Interesses stand. Heute aber, da sich diese Risiken infolge technischer Machbarkeit zu realen Gefahren und Missbräuchen verdichtet haben, also der damals nur als Schlagwort beschworene gläserne Mensch zur Realität wird, scheint die Sensibilität für die Bedeutung des Datenschutzes als Schutz des Persönlichkeitsrechts des Bürgers und seiner Privatsphäre weitgehend abhanden gekommen zu sein. Was sind die Gründe? Die inzwischen alltägliche Gewöhnung an Informations- und Kommunikationstechnik, die allgegenwärtige Datenverarbeitung lässt Warnungen vor Missbräuchen als Ausdruck von Technikfeindlichkeit und Rückständigkeit erscheinen.

3 3 Dabei nehmen die Begehrlichkeiten sowohl auf Seiten des Staates als auch der Wirtschaft nach einer Erfassung, Sammlung und Nutzung personenbezogener Daten immer stärker zu. Die Polizei fordert verdachtsunabhängige Personenkontrollen, Videoüberwachung im öffentlichen Raum, Vorratsdatenspeicherung aller Telekommunikationsverbindungen. Die Wirtschaft will den Kunden in seiner Kreditwürdigkeit und Zahlungsfähigkeit kategorisieren und berechnen. Die Möglichkeiten der immer kostengünstiger werdenden Genanalyse lassen die Begehrlichkeit von Versicherern, Arbeitgebern und sonstigen Interessenten steigen, diese Daten zur Risikoabschätzung zu erlangen. Wir liefern aber unsere persönlichen Daten oft auch freiwillig an die Datensammler, indem wir uns an Gewinnspielen, Bonusprogrammen und Life Style Umfragen beteiligen. Wir machen uns keine Gedanken, was mit diesen Daten passiert, wie diese Daten vernetzt und verknüpft werden mit anderen Datenbeständen, um Kundenprofile, Bewegungsprofile, zu erstellen. Welche Herausforderungen für den Datenschutz ergeben sich daraus? Sehen wir uns ausgelöst durch den auch in Deutschland einer staatlichen Überproduktion von Sicherheit ausgesetzt? Lassen wir es uns gefallen, dass Sicherheitsinteressen als Gemeinwohl-Interessen definiert werden, denen gegenüber die Einforderung von Freiheitsrechten als Egoismus, als Luxus hingestellt wird? Nehmen wir wahr, dass der Bereich, in dem sich der Bürger unbeobachtet und unerfasst bewegen kann, immer enger wird, dass der Bürger auch durch gesetzestreues Verhalten einer Überwachung nicht mehr ausweichen kann? Welche Sicherheit ist genug? Ist uns bewusst, dass wir mit jedem Schritt, der zu mehr Sicherheit führen soll, zugleich etwas von unserer Freiheit und unserem Recht auf Selbstbestimmung aufgeben? Sehen wir uns durch den Verlust von Anonymität in unserer Entscheidungsfreiheit gefährdet oder empfinden wir Personalisierung als Entscheidungshilfe und Serviceleistung? Wird uns der Verlust von Anonymität überhaupt bewusst in einer Zeit, in der viele Menschen die Selbstaufgabe ihrer Privatheit öffentlich demonstrieren? Um dieser Schieflage, in die der Datenschutz geraten ist, zu begegnen, müssen wir über die freiheitssichernde Funktion des Datenschutzes einen breiten gesellschaftlichen Diskurs in Gang setzen, damit das Grundrecht auf informationelle Selbstbestimmung nicht ausgehöhlt wird.

4 4 Datenschutz-Forderungen des Hamburgischen Datenschutzbeauftragten - Sicherheit darf nicht absolut gesetzt werden. Ich fordere die Wiederherstellung der Balance von Freiheit und Sicherheit. - Sicherheit darf nicht durch den Abbau von Freiheitsrechten erkauft werden. - Jeder hat grundsätzlich das Recht, sich im öffentlichen Raum unbeobachtet und unerfasst zu bewegen. Deshalb keine Ausweitung der Videoüberwachung im öffentlichen Raum vor einer sorgfältigen unabhängigen und ergebnisoffenen Evaluierung der Videoüberwachung der Reeperbahn. - Keine Videoüberwachung zur gezielten Beobachtung von Anwohnern und Hauseingängen. - Keine Videoüberwachung von Mitarbeitern und Arbeitnehmern. - Keine heimliche Videoüberwachung. - Keine Videoüberwachung in Schulen zur Überwachung von Unterricht und laufendem Schulbetrieb. - Keine Ausweitung verdachtsunabhängiger Kontroll- und Überwachungsmaßnahmen. - Keine Vorratsdatenspeicherung der Telekommunikations-Verkehrsdaten. - Ermöglichung eines anonymen Zugangs zum Internet. - Keine Überprüfung der ( ) Menschen, die anlässlich der Fußball-WM in Fußballstadien beruflich oder gewerblich tätig sein werden, durch den Verfassungsschutz und den Bundesnachrichtendienst. - Kein Kredit-Scoring ohne Offenlegung der Daten, die in den Score-Wert einfließen.

5 5 - Keine Telefonwerbung ohne vorherige Einwilligung der Betroffenen. - Keine verdeckte Handy-Ortung von einem Teilnehmer zum anderen. - Kein personenbezogener Einsatz von RFID-Technologie ohne Einwilligung der Betroffenen. Beispiele für erfolgreiche Datenschutz-Tätigkeit Forschungsrechner von Patientennamen gesäubert Ein Forschungsrechner im UKE, der Ärzten, Labormitarbeiterinnen und Doktoranden frei zugänglich war, enthielt eine Vielzahl von Datensätzen und Arztberichten mit den vollen Namen der betroffenen Patientinnen und Patienten. Dies war für die Forschungsarbeiten weder erforderlich noch den Betroffenen bekannt. Unserer Forderung, die entsprechenden Dokumente und Datensätze bereits bei der Quelle, nämlich der behandelnden Klinikeinheit, sicher zu pseudonymisieren, kam das UKE umgehend nach. Ebenso wurde für den Forschungsrechner auf unser Verlangen sofort ein individueller Passwortschutz eingeführt, der nur Zugang zu den eigenen Dateien gewährt. Patienten von umfangreichen Einwilligungserklärungen entlastet Zur Beschaffung von Proben für Forschungsprojekte einerseits und den Aufbau von Biobanken andererseits müssen die Patienten aufgeklärt und um ihre Einwilligung gebeten werden. Um die Kranken zu entlasten, haben wir die Formschreiben übersichtlicher gefasst und auf das Unverzichtbare beschränkt. Durch die Zusammenführung mehrerer Sachverhalte (Forschungs- und Behandlungsproben, aktuelle Forschungsprojekte und Sammlung in einer Biobank) konnte die Anzahl der Erklärungen reduziert werden. Wir haben uns auch auf Bundesebene für das Ziel einer Entlastung der Betroffenen eingesetzt. Zugriffe auf Labordaten auf das Notwendige beschränkt Die Prüfung eines privaten Großlabors (täglich über 2000 Analysen) ergab, dass seit 18 Jahren Befunddaten mit Patientennamen im EDV-System gespeichert wurden und die über hundert Mitarbeiterinnen und Mitarbeiter diese auch in vollem Umfang einsehen konnten. Diese Mängel wurden durch den Einsatz einer Lösch- bzw. Passwortverwaltung behoben. Nun können die Mitarbeiterinnen nur entsprechend ihren Aufgaben und rückwirkend nur für 1 Jahr auf die Patientendaten zugreifen. Auch die bisher über 8 Jahre gesammelten Überwei-

6 6 sungsscheine werden nun nach einem Jahr datenschutzgerecht vernichtet. Schließlich wurde der Schutz vor Schad-Software aus dem Internet entsprechend unserer Forderung durch die Installation sog. Virtueller PC s wesentlich erhöht. Betroffenen zur Auskunft und Akteneinsicht verholfen Immer wieder bitten uns Patienten um Hilfe, weil behandelnde Ärzte, Krankenhäuser oder Gutachter ihnen keinen Einblick in die Behandlungsunterlagen oder Gutachten gewähren wollen. In vielen Fällen konnten wir durch Hinweise auf die gesetzliche Auskunfts- und Akteneinsichtsrechte die Offenlegung der Gutachten erreichen. Mehr Sicherheit für die Datenverarbeitung in der Verwaltung Arbeitsplätze mit einem Internet-Zugang müssen vor Angriffen aus dem Internet besonders geschützt werden. Dies gilt vor allem, wenn dort Steuerdaten, Sozialdaten oder andere sensible personenbezogene Daten verarbeitet werden. Der Hamburgische Datenschutzbeauftragte Hartmut Lubomierski ist erfreut, dass jetzt endlich eine benutzerfreundliche Technik flächendeckend in der hamburgischen Verwaltung genutzt werden kann. Damit sind seine intensiven Bemühungen zu einem positiven Abschluss gekommen. Risiken, die das Surfen im Internet mit sich bringt (Viren, Spionage-Software etc.) bleiben dabei auf besondere Rechner (Terminal-Server) begrenzt, die ausschließlich dem Internet-Zugang dienen. Der Schaden, der dort entstehen kann, ist aufgrund dieser eingeschränkten Funktionalität minimal. Die Arbeitsplätze selbst und die schützenswerten Daten bleiben unberührt. Auch bei der -Nutzung innerhalb der Verwaltung verweist der Datenschutzbeauftragte auf Erfolge. Immer mehr Mitarbeiterinnen und Mitarbeiter können ihre Mails jetzt verschlüsseln und so sensible Daten auch vor den Blicken nicht zuständiger Kolleginnen und Kollegen oder Dritter wirksam schützen. Doch ausruhen darf sich die Verwaltung auf diesem Stand nicht. Lubomierski betont, dass sowohl der -Verkehr zwischen Bürgern und der Verwaltung als auch der Datenaustausch zwischen den Behörden verschlüsselt erfolgen muss, wenn sensible Daten übertragen werden. Vor dem Hintergrund des immer wichtiger werdenden egovernments fordert Lubomierski daher, dass die Voraussetzungen für eine sichere -Kommunikation mit der und durch die Verwaltung nun zügig geschaffen werden.