Drucksache 17/5200
– 112 –
tendaten über alle Grenzen hinweg austauscht – mich gebeten, federführend das europaweite Verfahren zur Prüfung verbindlicher Unternehmensregelungen nach den
Vorgaben der Artikel-29-Gruppe durchzuführen. Da während des Abstimmungsprozesses das Verfahren der gegenseitigen Anerkennung etabliert wurde, konnte auch die
Prüfung der BCR der Deutschen Post AG im Dezember
2010 nach dieser Vorgehensweise auf europäischer Ebene
abgeschlossen werden. Ebenso habe ich die nach mehrheitlicher Auffassung der Aufsichtsbehörden erforderliche
einmalige Genehmigung der Datenübermittlung nach
Maßgabe der vorgelegten BCR gemäß § 4c Absatz 2
BDSG erteilt. Mit der Einführung der verbindlichen Unternehmensregelungen wird die Deutsche Post AG nunmehr ein Netz von Datenschutzbeauftragten im gesamten
Konzern aufbauen.
10.2
Kontrolle des Verfahrens zur „Kfz-Umweltprämie“ beim Bundesamt für
Ausfuhrkontrolle
Bei dem unter großem Zeitdruck eingeführten Verfahren
zur Bearbeitung von Anträgen zur Gewährung einer
„Kfz-Umweltprämie“ gab es vielfältige Datenschutzprobleme, die mich veranlassten, gegenüber dem Bundesministerium für Wirtschaft und Technologie zwei formelle
Beanstandungen auszusprechen. Meinen Forderungen
und Empfehlungen wurde Rechnung getragen.
Anfang 2009 konnte man den Eindruck gewinnen, ganz
Deutschland verschrottet seine Gebrauchtwagen und erwirbt neue Fahrzeuge. Ganz Deutschland? Nein, nur diejenigen, die sich die im Volksmund als „Abwrackprämie“
bezeichnete Leistung sichern wollten. Die Prämie von
2 500 Euro wurde vom Bundesamt für Wirtschaft und
Ausfuhrkontrolle (BAFA) bei Vorliegen bestimmter Voraussetzungen ausgezahlt.
Zunächst hatte das BAFA nur ein einstufiges Verfahren
eingerichtet, wonach der Antragsteller einen Vordruck
aus dem Internet herunterladen und diesen ausgefüllt zusammen mit diversen Unterlagen an das BAFA senden
musste. Dabei mussten zunächst das Altfahrzeug verschrottet und das neue Fahrzeug zugelassen sein, bevor
der Antrag gestellt werden konnte. Käufer von Fahrzeugen mit langen Lieferzeiten waren in diesem „Windhundverfahren“ benachteiligt. Um auch diesem Personenkreis
die Inanspruchnahme der Prämie zu ermöglichen, wurde
das Verfahren ab dem 30. März 2009 durch ein zweistufiges Online-Reservierungsverfahren abgelöst, mit dem die
Umweltprämie durch Vorlage eines gültigen Kaufvertrags
reserviert werden konnte.
In meiner Dienststelle ging in den ersten Stunden nach
dem Start des Online-Verfahrens eine Vielzahl von Beschwerden ein. So wurde das von dem BAFA online gestellte Antragsformular, in dem eine Vielzahl personenbezogener Daten anzugeben waren, nur über eine nicht
verschlüsselte Internetverbindung übertragen. Hinzu kam,
dass die Website wegen der enormen Resonanz (in den ersten Tagen wurden bereits über 650 000 Anträge gestellt)
schnell überlastet war und auf das Online-Formular nicht
mehr zugegriffen werden konnte. Daraufhin nahm das
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
BAFA ein technisches Duplikat der Online-Antragsumgebung auf zusätzlichen Computersystemen in Betrieb. Dies
führte jedoch zu einem weiteren Problem: Automatisch
generierte Eingangsbestätigungen, die neben einer fortlaufenden Registriernummer auch alle vom Antragsteller angegebenen Daten enthielten, wurden an die falschen
Adressaten gesandt. Die Duplizierung hatte zu einer doppelten Vergabe von Registriernummern geführt.
Ich habe umgehend beim BAFA darauf hingewirkt, diese
Probleme unverzüglich abzustellen. Die Fehlerquelle, die
für die doppelte Vergabe von Registriernummern verantwortlich war, wurde schnell gefunden und beseitigt; betroffen waren etwa 200 Antragsteller. Leider war das
BAFA nicht in der Lage, die Internetverbindung kurzfristig sicher zu gestalten. Erst gut zwei Wochen später konnten die notwendigen Komponenten für eine verschlüsselte
Übertragung der Formulardaten installiert werden. Dieser
Umstand hat mich veranlasst, zwei Beanstandungen gegenüber dem Bundesministerium für Wirtschaft und Technologie auszusprechen.
Letztlich wurden rund 2 Millionen Anträge bearbeitet.
Ich habe mir deshalb auch einen Überblick über die Datenerhebung und -verarbeitung bei Beantragung und Gewährung der Umweltprämie beim BAFA-Standort in Eschborn verschafft.
Dabei habe ich berücksichtigt, dass dieses aufwändige
Massenverfahren aufgrund der politischen Vorgaben innerhalb weniger Arbeitstage vollständig umzusetzen war
und sich das BAFA deshalb diverser externer Dienstleister
bedienen musste. Mit allen Auftragnehmern hat das BAFA
entsprechende Verträge geschlossen. Die datenschutzrechtlichen Vorgaben des § 11 BDSG zur Auftragsdatenverarbeitung waren im Großen und Ganzen eingehalten
(vgl. zu § 11 BDSG auch Nr. 2.4). Ich habe empfohlen, bei
künftigen Aufträgen z. B. Vor-Ort-Kontrollen des behördlichen Datenschutzbeauftragten bei den Auftragnehmern
durchzuführen.
Meine Empfehlung, die im Zuge der Antragstellung bei
den Dienstleistern entstandenen redundanten Datenbestände zu löschen, wurde inzwischen umgesetzt. Ich habe
dem BAFA nahegelegt, für vergleichbare künftige Verfahren die Löschung von personenbezogenen Daten unmittelbar nach Wegfall der Erforderlichkeit sicherzustellen.
Im Zuge der Antragsbearbeitung musste das BAFA sein
Stammpersonal intern umsetzen und auch zusätzlich Zeitarbeitskräfte beschäftigen; insgesamt waren bis zu 250 Personen mit der Bearbeitung von Anträgen betraut. Auch
wurde eine Telefon-Hotline eingerichtet, um allgemeine
Fragen schnellstmöglich zu beantworten. Die Mitarbeiter
dieser Hotline hatten keinen Zugriff auf die Datenbank;
auch hatte das BAFA dafür Sorge getragen, dass die Anträge bearbeitenden Mitarbeiter nur ihren Aufgaben entsprechenden Zugriff auf die Datenbank hatten.
Die von meinen Mitarbeitern vor Ort festgestellten Mängel der Systemadministration wurden behoben. So wurden die Vorgaben zur Gestaltung des Passwortes überarbeitet und verändert. Auch wurde meiner Empfehlung