Lehren aus der Meldedaten-Panne

C. Hanken: 03.07.2008

Lehren aus der Meldedaten-Panne

Welche Lehren kann die öffentliche Verwaltung aus dem Datenunfall ziehen, der gerade durch die Medien gegangen ist (siehe etwa SPIEGEL Online, netzpolitik.org und FTD)? Ende Juni wurde über die ARD-Sendung “Report München” bekannt, dass die bei Behörden gespeicherten Daten tausender Bürger über das Internet abrufbar waren - durch eine Verknüpfung ungünstiger Umstände und Nachlässigkeiten.

Teilweise war später vereinfachend lediglich vom Zugriff auf Meldedaten die Rede. Dass auch auf Passfotos zugegriffen werden konnte, ist allerdings ein bemerkenswertes Detail. Passbilder sind kein Bestandteil der Meldedaten und müssen aus Datenschutzgründen in der Behörde getrennt von diesen gespeichert sein. Der Online-Abruf von Lichtbilddaten auf Pass- und Personalausweisregister durch Polizei- und Ordnungsbehörden ist nach § 22a PaßG und § 2c PersAuswG mittlerweile unter bestimmten Voraussetzungen zulässig (hierzu aufschlussreich eine Stellungnahme des Bundeskriminalamts).
Für die Bereitstellung im Internet wird aber weder das Melderegister noch das Passregister genutzt, sondern eine dritte Datenbank, das Informationsregister. Polizeiliche Informationsregister, enthalten in der Regel Teildatenbestände aus Melderegistern und sollen - insbesondere für polizeiliche Zwecke - rund um die Uhr bereitstehen. (Diese sind nicht zu verwechseln mit den Informationsregistern nach Informationsfreiheitsgesetz, wie z.B. in Bremen). Die Einführung polizeilicher Informationsregister ist in Deutschland vielerorts geplant. Einige Bundesländer, darunter Rheinland-Pfalz, Sachsen, Baden-Württemberg, Bayern und Hessen haben solche Datenbanken mit Teilbeständen aus dem Melderegister sogar zentral auf Landesebene eingeführt.
In der Stadt Henningsdorf wurden (nach Auskunft des Softwareunternehmens HSH) sowohl Daten aus dem Melderegister als auch Lichtbilddaten aus dem Passregister in das online zugängliche Informationsregister eingestellt. Grundsätzlich war der Abruf der Lichtbilder nur für Fälle vorgesehen, in denen die Daten außerhalb der Dienstzeiten dringend benötigt werden, aber kein Verwaltungsmitarbeiter diese Daten bereitstellen kann. Hier stellt sich die Frage, ob in Brandenburg die gemeinsame Speicherung von personenbezogenen Daten aus zwei Registern zulässig ist oder ob die Kommune bewusst gegen Datenschutzrecht verstoßen hat. Wie viele deutsche Behörden stellen heute ähnliche Mischregister im Internet bereit?
Die Planungen für ein zentrales Bundesmelderegister nehmen inzwischen klare Formen an (siehe hierzu die Nachricht bei Philip Banse - dort ist auch ein Gesetzesentwurf abrufbar). Die vorgeschlagene Datenbank hat starke Ähnlichkeit mit den Informationsregistern der Länder. Die Gesetzesentwurf sieht zunächst keine Speicherung von biometrischen Daten vor. Technisch ist eine Ergänzung oder Verknüpfung mit Lichtbildaten selbstverständlich nicht ausgeschlossen.

Passbild
(Foto: schoschie bei flickr unter CC)

Was kann die öffentliche Verwaltung also aus der Meldedaten-Panne lernen? Zum einen sollte sich eine Kommunalverwaltung nicht darauf verlassen, dass ihre Datenbanken ein unattraktives Ziel für Computerkriminelle sind. Dort wo der Zugriff auf Bürgerdaten über das Internet erfolgt, muss auf sichere Datenübertragung nach dem Stand der Technik gesetzt werden. Der Einsatz von Transport Layer Security (Übertragung per https) und Passwörtern wie hier ist zwar ein Schritt in die richtige Richtung. Schöner wäre der Einsatz eines Verfahrens, bei dem weitestgehend sichergestellt ist, dass nur ein berechtigter Empfänger Daten erhält (etwa OSCI-Transport). Bei E-Government-Konzepten und in der Ausbildung sollte mehr auf Datenschutz und die Risikofaktoren Bequemlichkeit und Nachlässigkeit Rücksicht genommen werden. So könnte die Wahrscheinlichkeit für eine ähnliche Datenpanne in Zukunft gesenkt werden. Zum anderen sollte verhindert werden, dass durch die unkontrollierte Zusammenführung von personenbezogenen Bürgerdaten potentiell gefährliche Sammelregister entstehen, sei es nun auf kommunaler, auf Landes- oder Bundesebene.


Weitere Beiträge zum Thema: E-Government
Zuordnung: KommentareNachrichten
Adressaten: Öffentliche Verwaltung

(0) KommentarePermalink

Nächster Eintrag: Vortrag von Prof. Kubicek auf der PISTA 2008
Vorheriger Eintrag: ELENA kommt - aber wie?






Mit dem Absenden eines Kommentars erklären Sie sich mit der Verarbeitung Ihrer Daten gemäß der Datenschutzerklärung einverstanden.




ifib: Institut für Informationsmanagement Bremen GmbH
Am Fallturm 1, 28359 Bremen
Tel: 0421 218-56590, Fax: 0421 218-56599, info@ifib.de