Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW, Bettina Gayk, will einen besseren Schutz der Bürger*innen vor unberechtigtem Abruf ihrer Meldedaten erreichen. Sie hat sich deshalb nun schriftlich an die kommunalen Spitzenverbände gewandt und diese gebeten, ihre Mitglieder für das Thema zu sensibilisieren. „Kommunale Beschäftigte, die Meldedaten für private Zwecke abrufen, sind leider ein wiederkehrendes Phänomen in meiner Aufsichtspraxis“, betont Gayk. „Es ist wichtig, dass die Kommunen Maßnahmen gegen derartige Datenschutzverstöße ergreifen.“
Dabei geht es der Beauftragten vor allem um Datenabrufe, die aus rein privaten Motiven erfolgen. Zuletzt hatte eine ganze Gruppe von Beschäftigten einer Kommune geglaubt, es gehöre zum dienstlichen Miteinander, sich im Melderegister über Wohnort und Geburtsdaten der Kolleg*innen zu informieren. „Bei der Bearbeitung von Aufsichtsbeschwerden über derartige Vorfälle lässt sich teilweise feststellen, dass es Beschäftigten an Unrechtsbewusstsein fehlt, wenn es in der Kommune keine eindeutigen Regelungen gibt oder auf diese nicht regelmäßig hingewiesen wird“, schreibt Gayk in ihrem Brief an die Verbände. Auch gingen manche Beschäftigten davon aus, dass ihre datenschutzwidrigen Abrufe mangels Kontrollen von der Dienststelle nicht aufgedeckt würden.
Derartige Datenschutzverstöße missachteten nicht nur die Rechte der Bürger*innen. Sie beeinträchtigten auch das Ansehen der Verwaltung in der Öffentlichkeit. „Daher gehe ich davon aus, dass auch Ihre Mitglieder dafür Sorge tragen wollen, dass solche Datenschutzverstöße unterbeleiben“, so Gayk in ihrem Schreiben.
Sie verweist darin die verantwortlichen Kommunen auf die Pflichten im Bundesmeldegesetz und der Meldedatenübermittlungsverordnung NRW. Danach ist zunächst eine klare behördeninterne Regelung notwendig, die für Ämter und Funktionen festlegt, ob ein Zugriff auf den Meldedatenbestand erforderlich und in welchem Umfang dieser erlaubt ist. Zudem müssen die zugriffsberechtigten Beschäftigten verpflichtet werden, datenschutzrechtliche Vorgaben einzuhalten. Diese Vorgaben sollen etwa in einer Dienstanweisung näher beschrieben werden. Dort ist explizit festzulegen, dass keine Abfrage ohne dienstlichen Grund erfolgen darf und bei einem Abruf immer ein Abfragegrund (Aktenzeichen) anzugeben ist. „An diese Dienstanweisung sollte regelmäßig erinnert werden“, rät die Datenschützern.
Darüber hinaus sollten monatliche Stichprobenkontrollen durchgeführt werden. Zu diesem Zweck sind bei einer Personensuche nicht nur die abrufberechtigte Stelle, die abgerufenen Daten, der Zeitpunkt des Abrufs, das Aktenzeichen der abrufenden Behörde und der Anlass des Abrufs durch die Meldebehörde zu protokollieren. Zugleich sollen auch die Kennung der abrufenden Person oder bei einem maschinellen Abruf die Bezeichnung des Verfahrens und die jeweiligen Treffer festgehalten werden. Die Protokolldaten sind mindestens zwölf Monate aufzubewahren und zu sichern.
„Mit diesen Maßnahmen dürften sich unberechtigte Abrufe von Meldedaten durch Beschäftigte soweit wie möglich verhindern lassen“, erklärt Gayk. „Ich bin mir sicher, dass die Kommunen selbst ein großes Interesse daran haben, ein datenschutzsicheres System zu etablieren.“
Das Schreiben an die kommunalen Spitzenverbände finden Sie hier: