Deutscher Bundestag – 16. Wahlperiode
– 83 –
Drucksache 16/12600
K a s t e n zu Nr. 6.2
Entschließung der 76. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
am 6./7. November 2008
Weiterhin verfassungsrechtliche Zweifel am ELENA-Verfahren
Die Bundesregierung hat am 25. Juni 2008 den Gesetzentwurf über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) beschlossen (Bundestagsdrucksache 16/10492). Danach haben Beschäftigte die
monatliche Übermittlung ihrer Einkommensdaten an die Zentrale Speicherstelle zu dulden, obwohl zurzeit nicht verlässlich abgeschätzt werden kann, in welchem Umfang die Speicherung der Daten tatsächlich erforderlich ist. Ein
großer Anteil der Betroffenen wird die dem Anwendungsbereich des ELENA-Verfahrens unterfallenden Sozialleistungen niemals oder erst zu einem erheblich späteren Zeitpunkt geltend machen. Es steht somit bereits jetzt zu vermuten, dass eine große Zahl der übermittelten Daten von der Zentralen Speicherstelle wieder zu löschen sein wird,
ohne jemals für irgendein Verfahren genutzt worden zu sein.
Die Datenschutzbeauftragten des Bundes und der Länder haben deshalb wiederholt verfassungsrechtliche Bedenken
unter dem Gesichtspunkt der Verhältnismäßigkeit und speziell der Erforderlichkeit geltend gemacht und eine substantiierte Begründung gefordert. Diese ist nicht erfolgt. Bisher bestehen lediglich höchst vage Erwartungen auf langfristige Effizienzsteigerungen insbesondere der Arbeitsverwaltung. Angesichts dieser Unklarheiten verbleiben erhebliche Zweifel an der Verfassungsmäßigkeit des Gesetzes. Hinzu kommt, dass derartige umfangreiche
Datensammlungen Begehrlichkeiten wecken, die Daten für andere Zwecke zu verwenden.
Für den Fall, dass diese verfassungsrechtlichen Bedenken ausgeräumt werden können, sind unter dem Gesichtspunkt
des technisch-organisatorischen Datenschutzes noch folgende Verbesserungen durch den Gesetz- bzw. Verordnungsgeber erforderlich:
– Es muss sichergestellt werden, (z. B. durch die Einrichtung eines Verwaltungsausschusses der Zentralen Speicherstelle), dass unter Mitwirkung von Datenschutzbeauftragten gemeinsame Grundsätze zur Wahrung des Datenschutzes und der technischen Sicherheit berücksichtigt werden.
– Für die Zentrale Speicherstelle muss ein Datenschutzbeauftragter eingesetzt werden, der dazu verpflichtet ist, regelmäßig an den Verwaltungsausschuss zu berichten.
– Schlüssel zur Ver- und Entschlüsselung der bei der Zentralen Speicherstelle gespeicherten Daten dürfen nicht in
der Verfügungsgewalt der Zentralen Speicherstelle liegen. Die Ver- und Entschlüsselungskomponente muss von
einer unabhängigen Treuhänderstelle verantwortet werden.
– Mittelfristig ist ein Verfahren anzustreben, das die technische Verfügungsmöglichkeit über die individuellen Daten
den Betroffenen überträgt.
– Das im Rahmen der ELENA-Modellvorhaben erarbeitete differenzierte Löschungskonzept muss weiterentwickelt
und umgesetzt werden.
– Für abrufende Stellen sind starke Authentisierungsverfahren vorzuschreiben, die dem Stand der Technik entsprechen und den Forderungen der Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der
Länder vom 11. Oktober 2006 zur sachgemäßen Nutzung von Authentisierungs- und Signaturverfahren genügen.
– Für die technischen Komponenten muss eine Zertifizierung durch eine unabhängige Prüfung vorgeschrieben werden.
6.3
Biometrie und Datenschutz
Biometrische Systeme nehmen in unseren Alltag Einzug,
etwa der elektronische Reisepass (E-Pass) und der geplante elektronische Personalausweis (E-Personalausweis). Darüber hinaus finden viele Feldversuche zum
Einsatz von Biometrie statt. Einige von ihnen habe ich
datenschutzrechtlich begleitet.
Biometrische Systeme werten automatisiert physiologische oder verhaltenstypische Merkmale von Personen
aus. Neben den zur Identifikation jeweils notwendigen
Informationen können die biometrischen Merkmalsdaten
allerdings auch so genannte Überschussinformationen
(z. B. über Krankheiten) enthalten. Zudem können biometrische Verfahren auch heimlich oder zur routinemäßigen Massenkontrolle verwendet werden, etwa durch
Kombination mit der Videoüberwachung. Deshalb müssen beim Einsatz biometrischer Verfahren von vornherein
datenschutzrechtliche Aspekte berücksichtigt werden.
Mittlerweile wird eine Vielzahl von biometrischen Verfahren kommerziell genutzt, etwa Fingerabdruck-, Iris-,
Venen-, Sprecher- oder Unterschriftenerkennung. Mit der
stärkeren Verbreitung von Biometrie wächst das Missbrauchspotential, weil die derzeit häufig eingesetzten
BfDI 22. Tätigkeitsbericht 2007-2008