Freitag, 25. Juni 2010

Zeigt her eure Briefchen

"Bild" scheint dem ganz großen Skandal auf der Spur: "Post soll Arbeitslosen-Briefe öffnen", und auf den ersten Blick sieht es tatsächlich so aus, als sei die Bundesagentur für Arbeit diesmal völlig durchgedreht und lasse in den Verteilzentren der Deutschen Post AG grundsätzlich jeden Brief öffnen, den Arbeitslose und Kindergeldempfänger auf den Weg bringen. Liest man den - ich unterstelle: bewusst - missverständlich geschriebenen Artikel genauer durch, versteht man, worum es tatsächlich geht: Statt dass Mitarbeiter der Bundesagentur an sie adressierte Briefe zu Archivierungszwecken selbst einscannen, soll dies bereits im Vorfeld durch die Post geschehen. Das hinterlässt zunächst einmal ein flaues Gefühl, ist aber grundsätzlich in Ordnung, wenn man sich an die Regeln hält.

§ 11 des Bundesdatenschutzgesetzes behandelt ausführlich die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Weniger pompös ausgedrückt regelt er die Situation, dass beispielsweise ein Versandhaus sich auf die Abwicklung des eigentlichen Versands konzentrieren möchte und auch gar nicht Personal und Infrastruktur hat, die Kundendaten vernünftig zu verwalten. Bevor sie also den Praktikanten anheuern, am PC des Chefs mal eben mit PHP und Javascript eine Kundenverwaltung zusammenszuklimpern, geben sie den Auftrag lieber an eine darauf spezialisierte Firma. Damit kann sich das Versandhaus aber nicht bequem zurücklehnen und die Sache als erledigt ansehen. Im Gegenteil: Absatz 1 besagt klar, dass die Verantwortung beim Auftraggeber bleibt. Schadensersatz- und Auskunftsansprüche kann er nicht auf die externe Firma abwälzen. Darüber hinaus verpflichtet ihn Absatz 2 zur besonderen Sorgfalt bei Auswahl der Fremdfirma, genauer schriftlicher Festlegung, wie die Daten behandelt werden müssen, sowie regelmäßigen Kontrollen. Erst in Absatz 3 regelt das Gesetz, dass die Fremdfirma ihrerseits verpflichtet ist, genau so vorzugehen, wie es der Auftraggeber wünscht, aber bei mutmaßlichen Datenschutzverstößen unverzüglich auf diese hinzuweisen.

Natürlich denkt man beim Lesen der "Bild"-Schlagzeile nicht sofort an das Bundesdatenschutzgesetz, sondern an das in Artikel 10 des Grundgesetzes festgelegte Brief-, Post- und Fernmeldegeheimnis. Das ist natürlich nicht außer Kraft gesetzt, bezieht sich in seiner vollen Strenge aber auf private Kommunikation. Beim Umgang mit Behörden und Firmen muss man davon ausgehen, dass Briefe auch von anderen als den direkt Adressierten gelesen werden, allein schon, weil es ja weniger um den konkreten Sachbearbeiter, sondern um den von ihm behandelten Vorgang geht. Als Antragssteller möchte ich in erster Linie mein Arbeitslosengeld haben. Wer genau den Antrag genehmigt und ob er das als Urlaubs- oder Krankheitsvertretung für jemanden erledigt, ist mir so lange egal, wie das Geld pünktlich bei mir eintrifft. Das entbindet die Mitarbeiter zwar nicht von ihrer Pflicht, persönliche Daten diskret zu behandeln, aber Artikel 10 greift hier nicht.


Kurz: Dass die BA Briefe, die sie ohnehin einzuscannen gedenkt, von der Post im Auftrag einscannen lässt, ist rechtlich nicht zu beanstanden. Interessant ist dabei jedoch die Frage, ob dabei mit der nötigen Sorgfalt vorgegangen wird. Immerhin handelt es sich bei den Daten, mit denen die Bundesagentur umgeht, nicht gerade um Kleinigkeiten, sondern tief gehende Einblicke in die persönlichen Verhältnisse der Betroffenen. Derart heikle Informationen wie beabsichtigt von billigen Hilfskräften verarbeiten zu lassen, wirft zumindest starke Zweifel auf, ob hier mit der nötigen Sorgfalt vorgegangen wird. Natürlich werden die Mitarbeiter schriftlich auf Einhaltung des Datenschutzes verpflichtet, aber wer schon einmal in einer Firma gearbeitet hat, die solche Verpflichtungen unterschreiben lässt, weiß, wie so etwas vor sich geht: Da knallt der Vorgesetzte einen hastig fotokopierten Zettel hin, auf dem es vor Verweisen auf Paragrafen nur so wimmelt, raunzt irgendwas von "hier unterschreiben", ist in der Regel weder willens noch in der Lage, Fragen zu dem Wisch zu beantworten und droht gern auch mal mit Rausschmiss, wenn man nicht sofort unterschreibt. Mir sind Fälle bekannt, in denen selbst der betriebliche Datenschutzbeauftragte einfach nicht auf die Bitte von Mitarbeitern reagierte, über die zu unterzeichnende Erklärung reden zu wollen. Glaubt irgendwer, dass auf diese Weise dem Datenschutz auch nur ansatzweise Rechnung getragen wird?

Sie sehen schon: So einfach und reißerisch wie von "Bild" in die Welt posaunt ist die Lage nicht. Zum Glück gibt es auch Journalisten, die es mit sauberer Berichterstattung etwas genauer nehmen und eine erheblich differenziertere Meldung schreiben. Als Ergebnis bleibt: Die geplante Aktion der BA ist rechtlich zwar grundsätzlich in Ordnung, wirft im Detail aber Fragen auf und sollte von der Öffentlichkeit kritisch begleitet werden. In den vergangenen Jahren wurde mit Arbeitslosen zu viel Schindluder getrieben, als dass man hier stillschweigend den Verantwortlichen vertrauen kann.

Nachtrag: Die Bundesagentur hat mit einer Pressemitteilung auf die "Bild"-Meldung reagiert. Natürlich muss man die für solche Anlässe übliche Beschwichtigungsrhetorik berücksichtigen, aber selbst danach bleibt vom angeblichen Datenschutzskandal sehr wenig. Insbesondere sieht es so aus, als hätte man sich bei den Mitarbeitern nicht mit der obligatorischen Datenschutzerklärung zufrieden gegeben, sondern sie auch noch einer Sicherheitsüberprüfung unterzogen. Interessant wäre es noch zu wissen, as genau unter dieser Überprüfung steckt und wie die BA das Sicherheitsniveau sicherzustellen gedenkt.

Zweiter Nachtrag: Inzwischen gibt es auch eine offizielle Stellungnahme der Post vor.Auch hier verdichtet sich der Eindruck, dass die "Bild"-Meldung noch viel journalistisches Potential nach oben bietet:



Bereits seit Jahren bieten wir zuverlässig den sogenannten digitalen Posteingangsservice (DiPS) für Banken, Versicherungen und Behörden an. Dabei werden Schreiben, die an den Auftraggeber gerichtet sind, in den DiPS-Stationen per Scan digitalisiert und dem Auftraggeber zur weiteren Bearbei-tung elektronisch zur Verfügung gestellt. Dieses Verfahren ist mit den Datenschutzbeauftragten abgestimmt und erfüllen höchste Sicherheitsanfor-derungen am Umgang mit und Integrität von Daten.

Die DiPS-Stationen sind hoch zugangsgeschützt. Alle Mitarbeiter werden nach dem Sicherheitsüberprüfungsgesetz überprüft. Sie verpflichten sich zusätzlich schriftlich zur Einhaltung des Datenschutzes - und damit auch zur Verschwiegenheit - und müssen natürlich auch das grundgesetzlich geschützte Briefgeheimnis wahren. Zudem befinden sich die Kundendaten jederzeit in einem datengeschützten Kreislauf.

Keine Kommentare: