Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Nach einem Datenskandal um eine Magdeburger Klinik-Mitarbeiterin wollte die Linkspartei wissen: Wer hat in Sachsen-Anhalt eigentlich dienstlichen Zugriff auf das Melderegister und wie wird das überprüft? Das Ergebnis ist erschreckend.
Mit wenigen Klicks haben viele Landesangestellten die Anschrift von Bürger:innen (Symbolbild) – CC-BY 2.0 Cursor, CC-by: Lordalpha1 / Klingelschild, alle Rechte vorbehalten: IMAGO / SchöningHunderte Behörden mit tausenden Angestellten, die Zugriff auf personenbezogene Daten wie Adressen und Geburtsdaten von Bürger:innen haben, werden in Sachsen-Anhalt nur unzureichend kontrolliert. Das zeigen Kleine Anfragen der Linksfraktion im Magdeburger Landtag. Demzufolge protokolliert kaum eine Behörde, wer die Informationen aus welchem Grund abruft.
Dass viele Behörden Zugang zu den Daten haben, die bei den Meldeämtern gespeichert sind, ist grundsätzlich bekannt. Damit Krankenkassen, Jobcenter, Gerichte, Abfallbetriebe und andere öffentliche Stellen effizient arbeiten können, haben sie hierfür oft die Möglichkeit zum automatisierten Abruf. Statt aufwendige Anträge in Schriftform stellen zu müssen, erhalten sie die Daten von Bürger:innen mit wenigen Klicks. Mit dutzenden Kleinen Anfragen hat die Linksfraktion in den vergangenen Monaten erstmals systematisch erfasst, ob und wie die Daten vor Missbrauch geschützt werden.
“Das läuft hier nebenher“
Insgesamt zählt die Partei zusätzlich zu Strafverfolgungsbehörden gut 265 öffentliche Stellen in Sachsen-Anhalt, die Zugang zum Zentralen Melderegister haben. Mit ihren Kleinen Anfragen hat die Linke-Fraktion 73 Landesbehörden in den Blick genommen, die beim Landesinnenministerium für die automatisierte Datenabfrage registriert waren. Die Kommunale Ebene und öffentliche Stellen, die nicht der Aufsicht des Landes unterliegen, sind nicht erfasst.
Allein in diesen 73 Behörden haben nach Auskunft der Landesregierung insgesamt mehr als 4.000 Mitarbeitende Zugriff auf die Daten. „Es gibt defacto kaum Kontrollmechanismen, wie die Befugnisse genutzt werden, wie umfassend Datenabfragen stattfinden und ob alle datenschutzrechtlichen Regelungen eingehalten werden“, kritisiert die innenpolitische Sprecherin der Landtagsfraktion, Henriette Quade, gegenüber netzpolitik.org.
Ein systematisches Monitoring gebe es nur im Ausnahmefall. „Vielfach ist nicht mal klar, wie viele Personen diese Berechtigung eigentlich haben und es gibt nichtmal ein Vier-Augen-Prinzip“, so Quade. Die Politikerin weist in diesem Zusammenhang auf eine Regelungslücke hin: Die Rechtsgrundlage für den automatisierten Datenabruf wurde mit dem Bundesmeldegesetz geschaffen, für die Kontrolle sind jedoch die Bundesländer zuständig.
„Hier läuft das ganze quasi als Verwaltungsakt nebenher“, sagt Quade über Sachsen-Anhalt. Für andere Bundesländer liegen keine ähnlichen Erhebungen vor. Allerdings ist davon auszugehen, dass ein zentrales Monitoring der Datenzugriffe, wie Quade es fordert, auch dort nicht stattfindet.
Hundertfacher Datenmissbrauch an Uniklinik
Krasse Fälle von Datenmissbrauch durch Beamte haben in den vergangenen Jahren das öffentliche Bewusstsein für die Thematik geschärft. Insbesondere Polizist:innen sorgten immer wieder für Schlagzeilen, weil sie unbefugt Daten über Bürger:innen abriefen und diese Informationen nutzten, um politische Gegner:innen einzuschüchtern, Ex-Frauen zu stalken oder minderjährige Missbrauchsopfer anzubaggern.
Die Polizei hat Zugriff auf dutzende Datenbanken mit sehr weitreichenden Informationen. Wie problematisch auch schon der Zugriff auf einfache Meldedaten wie die Adresse sein kann, zeigte 2021 ein Fall in Sachsen-Anhalts Landeshauptstadt Magdeburg. Eine Mitarbeiterin des dortigen Universitätsklinikums hatte über 300 Mal Daten von Menschen abgerufen, die sie dienstlich nicht brauchte.
Medienberichten zufolge rief sie auch die Adressen von Rechtsextremen und einer Leipziger Immobilienmaklerin ab, die wenige Zeit später in ihrer Privatwohnung von zwei vermummten Männern zusammengeschlagen worden war, mutmaßlich aus der linksradikalen Szene. Die Staatsanwaltschaft vermutet laut der Zeitung Die Welt einen Zusammenhang und ermittelt unter anderem wegen des Verdachts der Beihilfe zur gefährlichen Körperverletzung.
“Niemand will zuständig sein“
Die Uniklinik entließ damals die Mitarbeiterin, wies jedoch jegliche Schuld von sich, dass diese so lange ungehindert walten konnte. Die Protokollierung der Zugriffe und stichprobenartige Überprüfungen seien dem Krankenhaus gar nicht möglich gewesen, hieß es in einer Pressemitteilung. Schließlich habe nur Dataport auf die Daten zugreifen können, der Dienstleister für den Meldedatenzugriff. Tatsächlich musste das Klinikum bislang lediglich ein kleines Bußgeld zahlen, weil es die Datenpanne zunächst unter dem Teppich halten wollte und den Landesbeauftragten für Datenschutz nicht freiwillig informierte.
Laut der Antwort auf eine der Kleinen Anfragen stellte das Klinikum außerdem „das automatisierte Abrufverfahren bis zur Klärung einer rechtskonformen automatisierten Verfahrensweise mit dem Landesbeauftragten für den Datenschutz in ein schriftliches Abrufverfahren“ um.
Nicht nur angesichts dieses Falles fordert Henriette Quade von der Linkspartei Verbesserungen beim Datenschutz. „Derzeit erleben wir an vielen Stellen, dass für Datenschutz niemand zuständig sein will und Verantwortung hin und her geschoben wird“, so die innenpolitische Sprecherin der Landtagsfraktion. „Es muss endlich Normalzustand werden, dass Befugnisse beziehungsweise deren Anwendung auch umfassend und selbstverständlich unabhängig kontrolliert werden.“
Quade sieht zum einen die Fachaufsicht der Ministerien in der Pflicht, zum anderen die Datenschutzbeauftragten. Diese seien zu schlecht ausgestattet, um der großen Aufgabe nachzukommen. „In Sachsen-Anhalt wie auch in anderen Bundesländern klagen die Datenschutzbeauftragten seit Jahren über fehlende personelle Ressourcen zur Erfüllung ihrer Aufgaben. Auch hier gibt es dringenden Handlungsbedarf.“
Je größer der Kreis, desto größer das Risiko
Doch auch jenseits von Protokollierung und externen Kontrollen gibt es Wege zum Schutz vor Datenmissbrauch in Behörden. Im Datenschutz üblich sind etwa organisatorische Maßnahmen, etwa dass möglichst wenige Personen Zugangsrechte bekommen. Denn je größer dieser Kreis ist, desto höher ist das Missbrauchsrisiko.
„Nötig wäre eine grundsätzliche Überprüfung, ob tatsächlich alle Stellen, die die Befugnis im Moment haben, diese tatsächlich zur Erfüllung ihrer Aufgaben benötigen. Ich bezweifle das“, sagt deshalb auch Quade. Vielfach werde auf Zeit- und Kommunikationsersparnis verwiesen. Das sei aber nicht das, was die Formulierung „zur Aufgabenerfüllung benötigen“ eigentlich meine.
Dass der Personenkreis der Zugriffsberechtigten kleiner ausfallen könnte als es heute oft der Fall ist, deuten auch die Daten der Linksfraktion aus den Kleinen Anfragen an. So kommt das Jobcenter Dessau-Roßlau mit lediglich vier Personen aus, die diese Befugnisse haben. Beim Jobcenter Halle sind es hingegen 119 Angestellte.
Der Kreis der Zugriffsberechtigten könne zunächst auf Führungskräfte eingeschränkt werden, so die Linkspartei. Außerdem könnten die Behörden ein zentrales Berechtigungsmanagement einführen, bei dem Beschäftigte für den automatisierten Datenabruf auf Antrag freigeschaltet werden. Dann könnte halbjährlich überprüft werden, ob die Berechtigung noch nötig ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Ingo Dachwitz
