– 70 –
Nach § 4f Abs. 1 BDSG sind sowohl öffentliche wie auch
nicht-öffentliche Stellen verpflichtet, einen Beauftragten
für den Datenschutz zu bestellen. Der gesetzlichen Verpflichtung folgend, hat das BMVg mit Wirkung vom
1. Oktober 2003 einen „Beauftragten für den Datenschutz
in der Bundeswehr“ (BfDBW) bestellt. Dessen Zuständigkeit erstreckt sich auf den gesamten Ressortbereich,
d. h. auf die Bundeswehr insgesamt und damit auch auf
den MAD als integraler Bestandteil der Bundeswehr. Zur
Begründung verweist das BMVg auf die Regelung des
§ 4f Abs. 1 Satz 5 BDSG. Danach genügt die Bestellung
eines Beauftragten für den Datenschutz für mehrere Bereiche, soweit dies aufgrund der Struktur der öffentlichen
Stelle erforderlich ist. Beim MAD-Amt ist für den
BfDBW ein ziviler Dienstposten eingerichtet worden.
Gegenüber dem BMVg vertrete ich die Auffassung, dass
angesichts der besonderen Stellung und Funktion des
MAD als Geheim- bzw. Nachrichtendienst die Bestellung
eines rechtlich eigenständigen Beauftragten für den Datenschutz beim MAD-Amt erforderlich ist. Als Nachrichtendienst erhebt, verarbeitet und nutzt der MAD in erheblichem Umfang auch höchst sensible und damit äußerst
schutzbedürftige personenbezogene Daten. Das MADAmt ist beispielsweise in seiner Funktion als „mitwirkende Behörde“ (vgl. § 3 Abs. 2 Sicherheitsüberprüfungsgesetz (SÜG)) jährlich an der Durchführung von
ca. 42 000 Sicherheitsüberprüfungen beteiligt, d. h. an
der Überprüfung von Personen, die mit einer sicherheitsempfindlichen Tätigkeit betraut werden sollen (vgl.
§ 1 Abs. 1 SÜG). Im Rahmen dieser Überprüfungen werden auch höchstpersönliche Daten (ggf. auch über Gesundheit, Sexualleben, politische Meinungen etc.) gemäß
§ 3 Abs. 9 BDSG der Betroffenen erhoben und verarbeitet. Ein ablehnendes Votum der „mitwirkenden Behörde“
kann den Ausschluss der betroffenen Person von der sicherheitsempfindlichen Tätigkeit und ggf. auch dienstoder arbeitsrechtliche Konsequenzen bis hin zum Verlust
des Arbeitsplatzes zur Folge haben. Zur Begründung meiner Forderung habe ich zudem auf eine mögliche Interessenkollision in Bezug auf die datenschutzrechtliche Bewertung eines Sachverhaltes aus ministerieller und
spezifisch nachrichtendienstlicher Sicht des MAD-Amtes
hingewiesen. Diese Gefahr ließe sich im Falle der Bestellung eines eigenständigen behördlichen Datenschutzbeauftragten des MAD-Amtes vermeiden.
Das BMVg hat meiner Forderung, an der ich nach wie
vor festhalte, bislang nicht entsprochen.
5.6.3
EXA 21
Die mit der Einführung des „Elektronischen Büros“ beim
MAD verbundenen Datenschutzprobleme konnten weitgehend gelöst werden.
Die Informationsverarbeitung im MAD-Amt soll durch
die Einführung eines Dokumentenmanagement-, Archivund Workflowsystems (EXA 21) wesentlich verbessert
und erweitert werden (vgl. 19. TB Nr. 18.2).
Folge der elektronischen Aktenführung ist, dass das komplette Schriftgut des MAD elektronisch erfasst und ge-
BfD
20. Tätigkeitsbericht
2003–2004
speichert wird und somit auch Daten von Personen erfasst
werden, die der MAD nach geltendem Recht nicht speichern darf (vgl. § 6 Abs. 1 Satz 1 MADG i.V.m. § 10
Abs. 1 BVerfSchG). Insofern besteht ein vergleichbares
Problem wie bei der Einführung der elektronischen Akte
im Bundesamt für Verfassungsschutz (vgl. Nr. 5.5.2).
Meine Forderung, dass nur gesetzlich zulässigerweise
speicherbare Daten recherchiert werden dürfen, hat der
MAD nicht nur durch eine entsprechende Dienstanweisung, sondern auch systemtechnisch umgesetzt. Recherchierbar sind nur diejenigen gespeicherten Daten, die von
den zuständigen Bearbeitern elektronisch markiert worden sind.
In Bezug auf den aktuellen technischen Systementwurf
von EXA 21 hat der MAD zugesagt, meine weiteren datenschutzrechtlichen Forderungen weitestgehend umzusetzen. So wird beispielsweise eine Löschroutine eingeführt, wodurch bestimmte Dokumente nach einem
festgelegten Zeitablauf automatisiert gelöscht werden.
Zugesagt wurde auch die von mir geforderte technische
Umsetzung einer physischen Löschung der auf den Datenträgern (WORM-Platten) gespeicherten Daten sowie
die Beschränkung der Höchstspeicherfrist für diese Daten.
Hinsichtlich der Verwendung von Protokolldaten habe ich
den MAD aufgefordert, die gesetzliche Zweckbeschränkung für diese Daten zu beachten. Danach dürfen Protokolldaten ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung
eines ordnungsgemäßen Betriebs der Datenverarbeitungsanlage verwendet werden (vgl. § 7 Abs. 1 MADG i.V.m.
§ 12 Abs. 4 BVerfSchG). Eine Verwendung zu sonstigen,
beispielsweise spezifisch nachrichtendienstlichen Zwecken, ist demnach ausgeschlossen. Ob der MAD insoweit
meinem Petitum folgt, stand zum Zeitpunkt des Redaktionsschlusses noch nicht fest.
5.7
Bundesnachrichtendienst
5.7.1
Artikel 10-Gesetz (G 10)
Auch nach der Novellierung des G 10 im Jahre 2001 sieht
die Bundesregierung gesetzgeberischen Handlungsbedarf.
Bei der Beschlussfassung über die Novellierung des G 10
(vgl. 19. TB Nr. 19.2) im Mai 2001 hat der Gesetzgeber
die Bundesregierung aufgefordert, ihn nach Ablauf von
zwei Jahren über die mit der Novellierung gemachten Erfahrungen, insbesondere unter dem Gesichtspunkt des
Datenschutzes, zu unterrichten. Dieser Unterrichtung
habe ich mit großem Interesse entgegen gesehen, weil mit
dem Terrorismusbekämpfungsgesetz vom 9. Januar 2002
(BGBl I. S. 361) erstmals eine gesetzliche Verpflichtung
zur Evaluierung statuiert wurde. Die Bundesregierung ist
dem Petitum des Parlaments mit einem Bericht über die
Erfahrungen mit dem G 10 im November 2003 nachgekommen (vgl. Bundestagsdrucksache 15/2042).
Bei den Vorarbeiten zu dem Bericht hatte ich darauf hingewiesen, dass der Bundestag zwar keine Evaluierung der
Befugnisse aber die Darlegung von Erfahrungen mit den