Hunderte Behörden mit tausenden Angestellten, die Zugriff auf personenbezogene Daten wie Adressen und Geburtsdaten von Bürger:innen haben, werden in Sachsen-Anhalt nur unzureichend kontrolliert. Das zeigen Kleine Anfragen der Linksfraktion im Magdeburger Landtag. Demzufolge protokolliert kaum eine Behörde, wer die Informationen aus welchem Grund abruft.
Dass viele Behörden Zugang zu den Daten haben, die bei den Meldeämtern gespeichert sind, ist grundsätzlich bekannt. Damit Krankenkassen, Jobcenter, Gerichte, Abfallbetriebe und andere öffentliche Stellen effizient arbeiten können, haben sie hierfür oft die Möglichkeit zum automatisierten Abruf. Statt aufwendige Anträge in Schriftform stellen zu müssen, erhalten sie die Daten von Bürger:innen mit wenigen Klicks. Mit dutzenden Kleinen Anfragen hat die Linksfraktion in den vergangenen Monaten erstmals systematisch erfasst, ob und wie die Daten vor Missbrauch geschützt werden.
“Das läuft hier nebenher“
Insgesamt zählt die Partei zusätzlich zu Strafverfolgungsbehörden gut 265 öffentliche Stellen in Sachsen-Anhalt, die Zugang zum Zentralen Melderegister haben. Mit ihren Kleinen Anfragen hat die Linke-Fraktion 73 Landesbehörden in den Blick genommen, die beim Landesinnenministerium für die automatisierte Datenabfrage registriert waren. Die Kommunale Ebene und öffentliche Stellen, die nicht der Aufsicht des Landes unterliegen, sind nicht erfasst.
Allein in diesen 73 Behörden haben nach Auskunft der Landesregierung insgesamt mehr als 4.000 Mitarbeitende Zugriff auf die Daten. „Es gibt defacto kaum Kontrollmechanismen, wie die Befugnisse genutzt werden, wie umfassend Datenabfragen stattfinden und ob alle datenschutzrechtlichen Regelungen eingehalten werden“, kritisiert die innenpolitische Sprecherin der Landtagsfraktion, Henriette Quade, gegenüber netzpolitik.org.
Ein systematisches Monitoring gebe es nur im Ausnahmefall. „Vielfach ist nicht mal klar, wie viele Personen diese Berechtigung eigentlich haben und es gibt nichtmal ein Vier-Augen-Prinzip“, so Quade. Die Politikerin weist in diesem Zusammenhang auf eine Regelungslücke hin: Die Rechtsgrundlage für den automatisierten Datenabruf wurde mit dem Bundesmeldegesetz geschaffen, für die Kontrolle sind jedoch die Bundesländer zuständig.
„Hier läuft das ganze quasi als Verwaltungsakt nebenher“, sagt Quade über Sachsen-Anhalt. Für andere Bundesländer liegen keine ähnlichen Erhebungen vor. Allerdings ist davon auszugehen, dass ein zentrales Monitoring der Datenzugriffe, wie Quade es fordert, auch dort nicht stattfindet.
Hundertfacher Datenmissbrauch an Uniklinik
Krasse Fälle von Datenmissbrauch durch Beamte haben in den vergangenen Jahren das öffentliche Bewusstsein für die Thematik geschärft. Insbesondere Polizist:innen sorgten immer wieder für Schlagzeilen, weil sie unbefugt Daten über Bürger:innen abriefen und diese Informationen nutzten, um politische Gegner:innen einzuschüchtern, Ex-Frauen zu stalken oder minderjährige Missbrauchsopfer anzubaggern.
Die Polizei hat Zugriff auf dutzende Datenbanken mit sehr weitreichenden Informationen. Wie problematisch auch schon der Zugriff auf einfache Meldedaten wie die Adresse sein kann, zeigte 2021 ein Fall in Sachsen-Anhalts Landeshauptstadt Magdeburg. Eine Mitarbeiterin des dortigen Universitätsklinikums hatte über 300 Mal Daten von Menschen abgerufen, die sie dienstlich nicht brauchte.
Medienberichten zufolge rief sie auch die Adressen von Rechtsextremen und einer Leipziger Immobilienmaklerin ab, die wenige Zeit später in ihrer Privatwohnung von zwei vermummten Männern zusammengeschlagen worden war, mutmaßlich aus der linksradikalen Szene. Die Staatsanwaltschaft vermutet laut der Zeitung Die Welt einen Zusammenhang und ermittelt unter anderem wegen des Verdachts der Beihilfe zur gefährlichen Körperverletzung.
“Niemand will zuständig sein“
Die Uniklinik entließ damals die Mitarbeiterin, wies jedoch jegliche Schuld von sich, dass diese so lange ungehindert walten konnte. Die Protokollierung der Zugriffe und stichprobenartige Überprüfungen seien dem Krankenhaus gar nicht möglich gewesen, hieß es in einer Pressemitteilung. Schließlich habe nur Dataport auf die Daten zugreifen können, der Dienstleister für den Meldedatenzugriff. Tatsächlich musste das Klinikum bislang lediglich ein kleines Bußgeld zahlen, weil es die Datenpanne zunächst unter dem Teppich halten wollte und den Landesbeauftragten für Datenschutz nicht freiwillig informierte.
Laut der Antwort auf eine der Kleinen Anfragen stellte das Klinikum außerdem „das automatisierte Abrufverfahren bis zur Klärung einer rechtskonformen automatisierten Verfahrensweise mit dem Landesbeauftragten für den Datenschutz in ein schriftliches Abrufverfahren“ um.
Nicht nur angesichts dieses Falles fordert Henriette Quade von der Linkspartei Verbesserungen beim Datenschutz. „Derzeit erleben wir an vielen Stellen, dass für Datenschutz niemand zuständig sein will und Verantwortung hin und her geschoben wird“, so die innenpolitische Sprecherin der Landtagsfraktion. „Es muss endlich Normalzustand werden, dass Befugnisse beziehungsweise deren Anwendung auch umfassend und selbstverständlich unabhängig kontrolliert werden.“
Quade sieht zum einen die Fachaufsicht der Ministerien in der Pflicht, zum anderen die Datenschutzbeauftragten. Diese seien zu schlecht ausgestattet, um der großen Aufgabe nachzukommen. „In Sachsen-Anhalt wie auch in anderen Bundesländern klagen die Datenschutzbeauftragten seit Jahren über fehlende personelle Ressourcen zur Erfüllung ihrer Aufgaben. Auch hier gibt es dringenden Handlungsbedarf.“
Je größer der Kreis, desto größer das Risiko
Doch auch jenseits von Protokollierung und externen Kontrollen gibt es Wege zum Schutz vor Datenmissbrauch in Behörden. Im Datenschutz üblich sind etwa organisatorische Maßnahmen, etwa dass möglichst wenige Personen Zugangsrechte bekommen. Denn je größer dieser Kreis ist, desto höher ist das Missbrauchsrisiko.
„Nötig wäre eine grundsätzliche Überprüfung, ob tatsächlich alle Stellen, die die Befugnis im Moment haben, diese tatsächlich zur Erfüllung ihrer Aufgaben benötigen. Ich bezweifle das“, sagt deshalb auch Quade. Vielfach werde auf Zeit- und Kommunikationsersparnis verwiesen. Das sei aber nicht das, was die Formulierung „zur Aufgabenerfüllung benötigen“ eigentlich meine.
Dass der Personenkreis der Zugriffsberechtigten kleiner ausfallen könnte als es heute oft der Fall ist, deuten auch die Daten der Linksfraktion aus den Kleinen Anfragen an. So kommt das Jobcenter Dessau-Roßlau mit lediglich vier Personen aus, die diese Befugnisse haben. Beim Jobcenter Halle sind es hingegen 119 Angestellte.
Der Kreis der Zugriffsberechtigten könne zunächst auf Führungskräfte eingeschränkt werden, so die Linkspartei. Außerdem könnten die Behörden ein zentrales Berechtigungsmanagement einführen, bei dem Beschäftigte für den automatisierten Datenabruf auf Antrag freigeschaltet werden. Dann könnte halbjährlich überprüft werden, ob die Berechtigung noch nötig ist.
Eigentlich sollet es im Idealfall so sein, dass jeder eine bspw. schriftliche Benachrichtigung bekommt, wer, wann und zu welchem Zweck auf welche Daten zugegriffen hat. Dann dürfte auch ziemlich schnell klar werden, wer sich an den Daten illegaler Weise vergreift, bzw. vergriffen hat.
Hier ist auch noch eine Einschätzung zu den Risiken des BMG aus 2014:
https://freiheitsfoo.de/2014/03/04/bmg/
Die dazugehörige Verfassungsbeschwerde hat das BVerfG damals (Nichtannahme in 2015) – wohl auch mangels öffentlichen Interesses – links liegen gelassen:
https://freiheitsfoo.de/2016/01/05/bmg-verfassungsbeschwerde-gescheitert/
Moin Micha, danke für den Hinweis auf freiheitsfoo!
Und auf die berechtigte, aber gescheiterte Verfassungsbeschwerde.
Zitat: „Eine Mitarbeiterin des dortigen Universitätsklinikums hatte über 300 Mal Daten von Menschen abgerufen, die sie dienstlich nicht brauchte.“
Kann mir bitte jemand erklären, warum Krankenhäuser auf Meldedaten zugreifen können? Werden eingelieferte Patienten auf Plausibilität gecheckt? Ich sehe keinen Sinn darin.
Mich wundert es denn nicht, wenn Rechtsextreme an Adressen ihrer Gegner gelangen. Dazu braucht es kein NSU 2.0 und die daran beteiligten Polizisten, sondern eine(n) Kumpel/Kumpelin im Krankenhaus. Die 300 Daten werden bestimmt nicht just for fun abgefragt worden sein.
> warum Krankenhäuser auf Meldedaten zugreifen können
Sollte meiner Ansicht nach klar der Ausnahmefall sein. Ein Anlass wäre das nicht verfügbar sein von nachweisfähigen Identifikationsdaten bei Notfalleinlieferung(en), nicht mehr zutreffende Adressdaten (Rückläufer/Rechnungen) in/auf der Karte. Da Regelanfragen mit Genehmigungsvorbehalt wohl auch nur ein Klick wären (nicht das Feld „Ach, nur so. Grad Lust zu.“ ankreuzen) kann das ja auch gleich offen stehen.
> Der Kreis der Zugriffsberechtigten könne zunächst auf Führungskräfte eingeschränkt werden, so die Linkspartei.
Das finde ich kritisch. Führungskräfte sollen eigentlich die Arbeit kontrollieren, nicht die zu kontrollierende Arbeit selbst durchführen. Wenn nur die Führungskräfte Zugriff hätten, müsste ihre Untergebenen die Führungskraft kontrollieren – schwierig. Normalerweise ist es im Einwohnermeldeamt daher sogar umgekehrt: Führungskräfte haben keinen direkten Zugriff auf diese Daten, sondern nur die Mitarbeiter.
Ich halte es für sinnvoller, da lieber die Sachbearbeiter vor dem Zugriff einer Sicherheitsprüfung zu unterziehen.