Deutscher Bundestag – 17. Wahlperiode
89 –
–
–– 89
Kfz-Halterabfragen der Polizei) ist so gegen unbefugtes
Mithören geschützt.
Für den Aufbau und Betrieb des BOS-Funksystems ist zentral die Bundesanstalt für den Digitalfunk der Behörden
und Organisationen mit Sicherheitsaufgaben (BDBOS) zuständig. Nutzbar gemacht wird der Digitalfunk für die
BOS (z. B. Beschaffung, Freischaltung und Inbetriebnahme von Funkgeräten, technische Betreuung) durch die
sog. Autorisierten Stellen von Bund und Ländern, die als
„Service-Provider“ auftreten. Bei Beratungs- und Kontrollbesuchen habe ich sowohl die BDBOS als auch die
Autorisierte Stelle Bund für den Digitalfunk (AS Bund)
aufgesucht, um mich über die konkreten Aufgaben und
die Einhaltung des Datenschutzes zu informieren.
Beratungs- und Kontrollbesuche bei der BDBOS
Im Rahmen des BDBOS-Gesetzes (BDBOSG) wurde von
der BDBOS ein privates Unternehmen mit dem Aufbau
und dem technischen Betrieb der Systemtechnik beauftragt. Da beim Betrieb personenbezogene Daten (Teilnehmernummern) erhoben, gespeichert und verarbeitet
werden, musste die BDBOS dafür auch einen Vertrag zur
Auftragsdatenverarbeitung schließen, der die Einhaltung
des Datenschutzes beim technischen Netzbetrieb sicherstellt. Während diese Beauftragung datenschutzrechtlich
nicht zu beanstanden war, halte ich jedoch die pauschale
Speicherung sämtlicher Verkehrsdaten für einen Zeitraum
von drei Monaten (und im Einzelfall sogar von bis zu
120 Tagen) in Form von Call Data Records (CDR) für unzulässig. Begründet wird die lange Speicherdauer damit,
dass im Fehlerfall eine Analyse auch rückwirkend durchgeführt werden können müsse. Aus meiner Sicht rechtfertigt dies jedoch nicht die pauschale Speicherung der
durchaus sensiblen Verkehrsdaten ohne konkrete Zweckbindung. In diesem Zusammenhang habe ich auch Bedenken gegen die pauschale Herausgabe dieser Verkehrsdaten an die Autorisierten Stellen des Bundes und der
Länder, insbesondere deshalb, weil hier zurzeit keine verbindlichen Dienstanweisungen existieren. Hierzu bin ich
weiter im Gespräch mit der BDBOS, um eine datenschutzgerechte Lösung herbeizuführen, die die speziellen
Aspekte dieses Funksystems berücksichtigt. Bei meinem
letzten Besuch bei der BDBOS ist mir aufgefallen, dass
die behördliche Datenschutzbeauftragte nur nach vorheriger Anmeldung Zutritt zum Netzbetriebszentrum des privatwirtschaftlichen Unternehmens erhält, was im Gegensatz zu ihrer Aufsichtspflicht steht. Eine Anpassung an
die Vorgaben des BDSG wurde mir hier bereits zugesagt.
Beratungs- und Kontrollbesuche bei der Autorisierten
Stelle Bund für den Digitalfunk
Die beim Bundespolizeipräsidium angesiedelte Autorisierte Stelle Bund (AS Bund) ist verantwortlich für die
Nutzbarmachung des Digitalfunks für alle Bundesbehörden (auch ressortübergreifend). Zusätzlich trägt die
AS Bund die Verantwortung für die Einführung und Nutzung des digitalen Behördenfunks innerhalb der Bundespolizei.
Drucksache 17/13000
Wie ich bei meiner Kontrolle festgestellt habe, ist durch
die technischen Teilnehmernummern des zugrunde liegenden TETRA-Funksystems und die namentliche Erfassung der Beschäftigten bei Ausgabe von Funkgeräten ein
Personenbezug möglich und der jeweilige Nutzer bestimmbar. Dieser datenschutzrechtliche Aspekt war den
Verantwortlichen vorher nicht klar. Ich habe verdeutlicht,
dass es sich deswegen beim Funkverkehr bzw. der Nutzung eines Funkgerätes um einen Umgang mit personenbezogenen Daten handelt, deren Erhebung, Verarbeitung
und Nutzung nur zulässig ist, soweit eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat.
Eine entsprechende Rechtsgrundlage konnte mir aber
zum Zeitpunkt meines letzten Besuches nicht genannt
werden; eine Einwilligungslösung scheidet hier wegen
der dienstlichen Verwendung des TK-Systems aus. Hier
muss der Gesetzgeber nachbessern.
Ich habe ferner auf die strikte Einhaltung der Zweckbestimmung beim Umgang mit diesen Daten und auf die erforderliche Beteiligung der zuständigen Personalvertretung hingewiesen, da die Verkehrsdaten zur Verhaltensund Leistungskontrolle der Digitalfunk nutzenden Beschäftigten verwendet werden könnten. Die von mir bereits während meines ersten Besuchs im November 2011
angeregte Dienstanweisung zur Nutzung des Digitalfunks
wurde kurz vor meinem zweiten Besuch im November 2012 in Kraft gesetzt. Zu dieser Dienstanweisung
habe ich während meines Besuchs im Detail datenschutzrechtliche Änderungs- und Ergänzungsempfehlungen gegeben.
Obwohl der digitale BOS-Funk aufgrund der verschlüsselten Sprachübertragung eindeutige Datenschutzvorteile
gegenüber dem analogen BOS-Funk bei der täglichen
Anwendung aufweist, müssen auch die datenschutzrechtlichen Anforderungen hier ausreichende Berücksichtigung finden.
6.12
Deutsche Post AG
6.12.1 Konzerndatenschutzrichtlinie der
Deutschen Post DHL – ein langer Weg
Die Konzerndatenschutzrichtlinie regelt die datenschutzkonforme Übermittlung von Daten aus der Europäischen
Union in Drittstaaten. Die Umsetzung der erteilten Genehmigung dauert länger als erwartet.
In meinem letzten Tätigkeitsbericht (vgl. 23. TB Nr. 10.1)
hatte ich über den Abschluss des Genehmigungsverfahrens auf europäischer Ebene berichtet. Spätestens nachdem ich im Februar 2011 die „Deutsche Post DHL Data
Privacy Policy (Konzerndatenschutzrichtlinie)“ gebilligt
und das Genehmigungsschreiben dem Vorstand überreicht hatte, ging ich von einer zügigen Umsetzung innerhalb des Konzerns aus. Die Deutsche Post DHL (DPDHL) war nun berechtigt, personenbezogene Daten nach
Maßgabe ihrer Data Privacy Policy ins Ausland zu übermitteln, ohne dafür im Einzelfall eine Genehmigung einzuholen. Sie war damit das erste deutsche Unternehmen,
dessen verbindliche unternehmensweite Datenschutzregelung (BCR – Binding Corporate Rules) nach einem
BfDI 24. Tätigkeitsbericht 2011-2012