Hamburger Datenschutzbeauftragter listet eigene Defizite auf

Der Hamburgische Datenschutzbeauftragte hat in einem Nicht-Tätigkeitsbericht Mängel benannt, die seine Arbeit erschweren. Seiner gesetzlichen Aufgabe kann er an vielen Stellen nicht mehr angemessen nachkommen.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Überwachung, Kamera
Lesezeit: 4 Min.
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat anlässlich einer Expertenanhörung des Ausschusses für Justiz u. Datenschutz der Hamburgischen Bürgerschaft eine Analyse seiner Ausstattungssituation vorgelegt. Diese ist demnach so prekär, dass er in etlichen Bereichen seinen Aufgaben kaum oder gar nicht nachkommen kann. Deshalb fordert er, die bestehenden 16,4 Vollzeitäquivalente des Personals auf 24,9 zu erhöhen. In den vergangenen zehn Jahren blieb der Personalbestand trotz gewachsener Aufgaben mehr oder weniger konstant, wurde teilweise sogar leicht gekürzt.

Der Hamburgische Datenschutzbeauftragte Johannes Caspar

(Bild: Datenschutz Hamburg )

Üblicherweise schildern die Datenschutzbeauftragten in ihren Tätigkeitsberichten, was sie alles tun. Mit der 23-seitigen Analyse, die heise online vorliegt, hat Caspar aber nun erstmals eine Art Nicht-Tätigkeitsbericht vorgestellt.

Bereits vor zwei Jahren hatte Caspar für das Referat „Technik“ Defizite benannt, doch die Politik reagierte darauf nicht. Jetzt leistet Caspar für die gesamte Behörde eine Art Offenbarungseid: Im öffentlichen Bereich könne er „nur in einem sehr geringen Umfang“ anlasslos prüfen, im Bereich der Unternehmen „quasi gar nicht mehr“. Dabei ist er für 150.000 Hamburger Unternehmen, darunter 9000 Internetfirmen wie Xing und Parship oder Facebook und Google zuständig.

Beispielsweise liegen Caspar 400 Löschanträge an Google vor. Viele bearbeitete Fälle führen zu weiteren Eingaben, berichtet Caspar. Aufgrund der geringen Kapazitäten konnten bisher aber 150 Beschwerden nicht abgearbeitet werden. Er weist auch darauf hin, dass seine Behörde das breite Diensteangebot und die Funktionen von Facebook oder Google und seinem entwickelten Betriebssystem Android „nicht regelmäßig dokumentieren oder überhaupt angemessen verfolgen“ könne.

Caspar nennt Vorhaben, die er mangels Kapazitäten gar nicht durchführen kann. So will er etwa allgemein geltende Vorgaben für den Einsatz von Facebook, Twitter und anderen Social-Media-Diensten in der hamburgischen Verwaltung in einem „Social Media Guide“ erstellen und diese dann durchsetzen. Caspar kritisiert zudem, dass modernen Datenschutzkonzepten in Wissenschaft und Forschung oftmals der Praxisbezug fehle. Er würde daher gerne solche Projekte begleiten, aber auch dies sei nicht möglich.

Die vom Bundesverfassungsgericht angeordnete Prüfung der Antiterrordatei dauert noch immer an. Des weiteren beklagt Caspar, dass er bei Bürgerbeschwerden in der Regel Unternehmen zu Stellungnahmen auffordere und eine Vor-Ort-Prüfung aufgrund der begrenzten Kapazitäten „nur in Ausnahmefällen bei überragendem öffentlichen Interesse“ durchführen könne. Deshalb müsste die Behörde die Angaben der Unternehmen „häufig als wahr hinnehmen“.

In Sachen Videoüberwachung konstatiert Caspar einen „Mangel an Verfolgungsgerechtigkeit“: Bei jeder anlassbezogenen Kontrolle verwiesen die betroffenen Unternehmen auf Dutzend andere Stellen mit dem Hinweis „Die machen das doch auch!“. Der Datenschutzbeauftragte könne jedoch dem „Wildwuchs an Kameras“ mit dem jetzigen Personal nur in Ausnahmefällen entgegentreten.

Caspar beklagt außerdem, dass er anlassfreie Prüfungen kaum durchführen könne. Eine Überprüfung der in Hamburg bestehenden Bio-Datenbanken in Krankenhäusern etwa werde seit Jahren stetig vertagt, obwohl diese über Jahre hinweg ein gesundheitliches Profil des Betroffenen abbilden. Auch eine Prüfung des Statistikamtes Nord sei schon lange „dringend“ geboten, ebenso wie Prüfungen der in Hamburg sitzenden Anbieter von Onlinespielen, die umfangreiche Kundendaten speichern. Auch Apps, Webseiten und Telemediendienste sollten überprüft werden.

Für spezielle Prüfungen hat die Behörde sogar ein eigenes Gerät entwickelt: Den „Hamburger RaspberryPi Datenschutz-Router“ (HRDR), der den tatsächlichen Datenverkehr von Smartphones, Tablets oder anderen WLAN-Geräten aufzeichnet und analysiert. Es kann auch SSL-verschlüsselten Datenverkehr im Klartext aufzeichnen, da das mobile Jackentaschen-Gerät eine Man-in-the-middle-Position einnimmt. Der Prototyp konnte allerdings aus Kapazitätsgründen bislang „nur bei konkretem Bedarf“ zum Einsatz kommen.

Ein Interview Johannes Caspar zu diesem Thema können Sie in der aktuellen c’t lesen: "Fehlentwicklungen entgegenwirken" (kbe)