Mitarbeitende sächsischer Behörden haben unkontrollierten Zugriff auf sensible Bürgerdaten

Eine grundlegende Aufgabe von funktionierendem Datenschutz ist die Sicherung von persönlichen Informationen über Bürger gegen willkürlichen und kritischen Zugriff durch Unbefugte in großem Stil. Eigentlich – denn eine Anfrage der Linksfraktion im Landtag von Sachsen-Anhalt hat ergeben, in welch großem Umfang Daten der Einwohnermeldeämter zirkulieren. Selbst der oberste Datenschützer von Sachsen-Anhalt, Albert Cohaus, war sich offenbar der Dimensionen nicht bewusst.

Zentrales Melderegister als Quelle für über 4000 Mitarbeiter

Ob Amtsbescheide, Rechnungen oder individuelle Aufforderungen: Alle behördlichen Institutionen, wie Gerichte, Krankenhäuser oder Jobcenter, benötigen regelmäßig personenbezogene Daten für die Kommunikation mit Bürgern. Die erhalten sie durch den Zugang zum zentralen Bundes-Melde-Register, in dem alle Bundesbürger erfasst sind. Neben der Adresse sind dort auch Informationen wie Geschlecht, Geburtsdatum oder Familienstand gesammelt, die automatisiert abgefragt werden können. Wie die Linksfraktion in Magdeburg herausfand, gibt es allein in Sachsen-Anhalt 265 öffentliche Stellen, die diesen Weg des digitalen Datenzugriffs nutzen. Insgesamt sind damit rund 4000 Menschen befasst. Vermutlich liegt diese Zahl sogar noch deutlich darüber, weil beispielsweise auch die Behörden des Strafvollzugs darauf Zugriff erhalten, wenn sie darum bitten.

Der Vorstoß der Linksfraktion veranlasste Albert Cohaus zu einem Statement gegenüber dem MDR: „Die hohe Zahl hat uns überrascht, auch weil wir uns mit dem Thema aus Kapazitätsgründen bislang nicht befassen konnten. (…) Es gibt auch nicht viele Voraussetzungen, damit das Innenministerium einer anfragenden Stelle einen Zugang gewährt.“ Damit räumte der Landesdatenschutzbeauftragte Handlungsbedarf ein.

Durch mangelnde Kontrolle hohes Missbrauchs-Risiko

Dass der digitale Zugriff von Behörden auf diese personenbezogenen Daten absolut notwendig ist, steht außer Frage. Was den Landesdatenschutzbeauftragten jedoch in Sorge versetzt, ist der Umstand, dass die behördlichen Zugriffe nicht protokolliert werden und es keinerlei Kontrollen gibt, ob diese überhaupt rechtens sind. Der MDR führt Beispiele für den sich daraus ergebenden Missbrauch an und berichtet beispielsweise von einem Fall, in dem Polizeibeamte Daten aus allgemeinen Verkehrskontrollen dazu nutzen, mit betroffenen Frauen Kontakt aufzunehmen. Gleichwohl liegen Fälle vor, in denen unwissenden Bürgern seitens zwielichtiger Behördenmitarbeiter Drohbriefe zugestellt worden sind.

Wie lax die Datenzugriffe gestattet werden, zeigt die höchst unterschiedliche Zahl von Zugriffsberechtigten bei Behörden vergleichbarer Größen. In vergleichbaren Institutionen sind es mal wenige, mal überproportional viele Personen, die das Recht auf Datenzugriff im Melderegister haben. Hier müssten sowohl Regularien für die Berechtigungen generell wie auch Kontroll-Mechanismen eingeführt werden.

Protokolle wären ein wichtiger Schritt in die richtige Richtung

Noch gibt es keine Pflicht, Datenzugriffe zu protokollieren. Auf diesem Weg entstandenen Protokolle müssten in der Folge zumindest in Stichproben von einer Kontroll-Instanz, die noch zu schaffen ist, überprüft werden. Wie Albert Cohaus zugibt, werde aber noch geprüft, auf welcher Rechtsgrundlage der involvierte IT-Dienstleister von Sachsen-Anhalt Abruf-Protokolle überhaupt herausgeben darf. Zwischen dem Datenschutzbeauftragten und dem Innenministerium gibt es darüber keinen Konsens. Die Prüfung müssten ohnehin die Datenschutzbeauftragten der jeweiligen Behörden vornehmen, da der Landesdatenschutz-Behörde dafür kein Personal zur Verfügung steht. Wann sich die Missbrauchsgefahr durch den massenhaften behördlichen Datenzugriff abstellen lässt, ist demnach noch unklar. Es liegen derzeit auch keine Erkenntnisse darüber vor, ob der massenhafte Zugriff ein Problem ist, das ausschließlich in Sachsen-Anhalt auftritt und wie sich die Situation in den anderen Bundesländern darstellt.