Auswärtiges Amt
z.Hd. des Datenschutzbeauftragten
Herrn VLR I G.
11013 Berlin
Bitte geben Sie das vorstehende Geschäftszeichen bei allen Antwortschreiben unbedingt an.
BETREFF Beratungs-und Kontrollbesuch nach §§ 24 Abs. 1, 26 Abs. 3 BDSG bei der deutschen Botschaft in Kiew vom 8. bis 10. April 2008
BEZUG Mein Schreiben vom 5. März 2008; Az.: II-205/031#0163
Vom 8. bis 10. April 2008 haben meine Mitarbeiter MR B., RD E. und RR z.A. Dr. W. die deutsche Botschaft Kiew datenschutzrechtlich beraten und kontrolliert. Der Besuch erstreckte sich auf nahezu alle Aufgabenfelder der Botschaft. Von besonderem Interesse war hierbei, in welcher Weise der Runderlass des Auswärtigen Amtes zum Betreff: „Datenschutz im Auswärtigen Amt und an den Auslandsvertretungen“ in der Praxis umgesetzt worden ist.
Der Beratungs-und Kontrollbesuch führte zu folgenden Feststellungen:
Im Jahre 2002 hat das Auswärtige Amt mit meiner Unterstützung den „Runderlass Datenschutz“ (Runderlass) herausgegeben (Gz.: DSB-204.02/32-RIS 20-81). Der Beratungs-und Kontrollbesuch in Kiew hat gezeigt, dass dessen konkrete -gerade auch personelle -Umsetzung und die Information der Mitarbeiter vor Ort über die einschlägigen Inhalte des Runderlasses unzureichend sind.
Nach dem Ordnungsplan der Botschaft Kiew (Stand: 07.03.2008) ist die Funktion des behördlichen Datenschutzbeauftragten dem Kanzler zugewiesen. Da der Kanzler auch Personalangelegenheiten wahrnimmt, kommt es zwangsläufig zu erheblichen Interessenskonflikten zwischen dieser Aufgabe und der des behördlichen Datenschutzbeauftragten. Aus datenschutzrechtlicher Sicht -aber auch im Interesse der betroffenen Mitarbeiter/innen -ist die Verantwortung für die Verarbeitung sensibler personenbezogener Daten (hier vor allem Personaldaten) von datenschutzrechtlichen Zuständigkeiten organisatorisch und personell zu trennen (Simitis in Simitis (Hrsg.), Bundesdatenschutzgesetz, Kommentar, 6. Auflage 2006, § 4f Rdnr. 102; m. w. A.; s. auch BfDI-Info 4 „Der behördliche Datenschutzbeauftragte“, Seite 11). Nicht zuletzt aufgrund meiner Intervention (s. mein Kontrollbericht über den Beratungs-und Kontrollbesuch beim Generalkonsulat und der Ständigen Vertretung bei den Vereinten Nationen in Genf und der deutschen Botschaft in Bern vom 7. bis 10. September 1999 -Schreiben vom 14. Dezember 1999 -II-205/19) hat das Auswärtige Amt eindeutige Regelungen hierzu für seine Auslandsvertretungen getroffen. Der Runderlass (Nr. 5.4.1) untersagt ausdrücklich die Bestellung eines Kanzlers zum behördlichen Datenschutzbeauftragten. Diese strikte Vorgabe ist im Fall der Botschaft Kiew nicht beachtet worden. Es konnte festgestellt werden, dass der seit drei Jahren als Kanzler und behördlicher Datenschutzbeauftragte amtierende Mitarbeiter des Auswärtigen Amtes diese eindeutige Weisung nicht kannte.
Ebenso wenig wurde die Vorgabe des Runderlasses beachtet, eine(n) Stellvertreter(in) des behördlichen Datenschutzbeauftragten zu bestellen. Dies halte ich angesichts der erheblichen Größe der Botschaft Kiew und nicht zuletzt für den Fall der Abwesenheit des behördlichen Datenschutzbeauftragten zur Gewährleistung des Datenschutzes für unabdingbar.
Auch war festzustellen, dass der Status des Kanzlers als behördlicher Datenschutzbeauftragter den Mitarbeitern der Botschaft Kiew nur vereinzelt bekannt war.
Schließlich blieben weitere Vorgaben unbeachtet. So sieht der Runderlass (Nr. 5.5) u.a. jährliche Wiedervorlagen des Runderlasses bei Führungskräften vor und verpflichtet den Kanzler einer jeden Auslandsvertretung dazu, die beim Umgang mit personenbezogenen Daten einschlägige Anlage 1 („Acht Gebote des Datenschutzes“) „jedem Beschäftigten einmal jährlich zur Kenntnis zu bringen“. Auch ist nach dem Runderlass (Nr. 5.5) die „Broschüre des BfDI „Info 1“ ... in den Auslandsvertretungen beim behördlichen Datenschutzbeauftragten und in den Arbeitseinheiten der Zentrale in den Sekretariaten so aufzubewahren, dass sie allen Mitarbeiterinnen und Mitarbeitern zugänglich ist“. O.a. Broschüre war in der Botschaft Kiew jedoch nicht vorhanden.
Aus all diesen Gründen halte ich -über die Botschaft Kiew hinaus -jährliche botschaftsweite Informationsveranstaltungen bzw. datenschutzrechtliche Einweisungen in Verbindung mit einer verpflichtenden Belehrung eines jeden Mitarbeiters -vergleichbar der Praxis an der Botschaft in Sachen Korruption und Sicherheitsfragen – für erforderlich. Damit kann die konkrete Kenntnis des Runderlasses und auch der Person des Datenschutzbeauftragten sichergestellt werden und das datenschutzrechtliche Bewusstsein geschärft werden.
Die Beauftragung des Kanzlers mit dem Amt des behördlichen Datenschutzbeauftragten stellt einen Verstoß gegen § 4f Abs. 2 Satz 1 BDSG und damit einen erheblichen datenschutzrechtlichen Mangel dar, den ich gem. § 25 Abs. 1 BDSG beanstande.
Ich bitte, alle Auslandsvertretungen in diesem Sinne zu überprüfen und ggf. entsprechende Maßnahmen bei der Kollision von Aufgaben mit dem Amt des behördlichen Datenschutzbeauftragten zu treffen.
Hinsichtlich der Botschaft Kiew und Auslandsvertretungen mit entsprechender Größe und Personal bitte ich um Ernennung eines Stellvertreters/-in des Datenschutzbeauftragten.
Das Veranlasste bitte ich mir zu erläutern.
Nach § 18 Abs. 2 Satz 1 BDSG haben die öffentlichen Stellen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen zu führen. Damit soll es dem Datenschutzbeauftragten ermöglicht werden, einen Überblick zu bekommen, in welchen Bereichen welche Arten von personenbezogenen Daten verarbeitet werden.
Das Verzeichnis in der meinen Mitarbeitern vorgelegten Form entspricht den Vorgaben nicht und ist für eine Kontrolle ungeeignet, da hieraus nicht unmittelbar erkennbar ist, in welchen Bereichen welche Hardware eingesetzt wird und welche Arten personenbezogener Daten dort verarbeitet werden.
Die mangelnde Führung des Verzeichnisses der Datenverarbeitungsanlagen -der Runderlass weist auf § 18 Abs. 2 Satz 1 BDSG ausdrücklich hin (Nr. 5.2.1) -stellt einen erheblichen Datenschutzverstoß dar, den ich gem. § 25 Abs. 1 BDSG beanstande.
Ich bitte um Stellungnahme.
1.3 Festlegung der automatisierten Verarbeitungen i.S.v. § 4e BDSG
Nach § 18 Abs. 2 Satz 2 BDSG haben öffentliche Stellen für ihre automatisierten Verarbeitungen die Angaben nach § 4e BDSG sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen.
Für die in der Botschaft Kiew erfolgten automatisierten Verarbeitungen sind diese Anforderungen nicht erfüllt.
Auch dies stellt einen beachtlichen datenschutzrechtlichen Mangel dar, den ich als Verstoß gegen § 4e BDSG gem. § 25 Abs. 1 BDSG beanstande.
Da das Bundesministerium der Finanzen bereits seit Jahren zur Vereinfachung der Verwaltung das Programm „DATSCHA“ entwickelt hat und dieses kostenlos an interessierte Ressorts abgibt, empfehle ich die Übernahme des Programms DATSCHA.
Ich bitte um Stellungnahme.
Gem. § 24 Abs. 4 BDSG sind alle öffentlichen Stellen des Bundes zu meiner und meiner Beauftragten Unterstützung verpflichtet. Während im Vorfeld des Besuchs die Unterstützung durch den Datenschutzbeauftragten des Auswärtigen Amtes als sehr kooperativ hervorzuheben war, bot sich meinen Mitarbeitern in Kiew teilweise ein anderes Bild. Im Botschaftsgebäude selbst stand kein eigenes, mit der erforderlichen IT ausgerüstetes Arbeits-und Besprechungszimmer während der dortigen Prüfungsarbeiten zur Verfügung. Inwieweit sich der Kanzler als behördlicher Datenschutzbeauftragter in die dreitägigen Prüfungsarbeiten eingebracht hat, war im Einzelnen nicht zu erkennen.
Während der Vorbereitung der Abschlussbesprechung am 10. April 2008 überbrachte der Datenschutzbeauftragte des Auswärtigen Amtes die Weisung des zeitgleich in der Botschaft weilenden Leiters der Rechtsabteilung des Auswärtigen Amtes, meinen Mitarbeitern keine Kopien von Akten auszuhändigen. Als Begründung wurde angegeben, ich sei nur zur Einsicht in Akten befugt; Kopien von Akten dürfe ich nicht anfertigen bzw. anfertigen lassen. Meine Mitarbeiter legten dar, dass die Unterstützungspflicht nach § 24 Abs. 4 Satz 1 BDSG umfassend sei und auch die Anfertigung bzw. Anforderung von Kopien umfasse, soweit dies aus meiner Sicht eine möglichst effektive und praktikable Durchführung der Kontrolltätigkeit erfordere. In der Abschlussbesprechung haben meine Mitarbeiter diesen Vorgang ebenfalls thematisiert und im Nachgang des Beratungs-und Kontrollbesuchs dem Auswärtigen Amt durch eine per E-Mail vom 16. April 2008 übersandte Stellungnahme ausführlich erläutert. Per E-Mail vom 25. April 2008 hat der Datenschutzbeauftragte des Auswärtigen Amtes sodann die Zusendung der angeforderten Kopien -und einer Kurzbeschreibung des Bereichs jüdische Zuwanderung (Altfälle) -schließlich per Kurier zugesagt. Eingegangen ist die Kuriersendung in meinem Haus jedoch erst am 20. Mai 2008.
Auch wenn ich die Angelegenheit damit auf sich beruhen lasse, bitte ich in zukünftigen Fällen meine Kontrollmöglichkeiten nicht in der o.a. Form in Frage zu stellen. Ich halte es für erforderlich, den Runderlass entsprechend zu konkretisieren.
Ich bitte um Stellungnahme.
Die ausgelagerte Visastelle der Botschaft Kiew besteht aus einem Behelfsbau, in dem sich -auf zwei Stockwerke verteilt -Schalter-und Büroräume befinden. Um den Strom der Antragsteller nach Durchlaufen der Sicherheitsschleuse zu lenken, wurden unter einem großen Vordach durch Stangen voneinander getrennte Wartereihen eingerichtet. Von dort betreten die Antragsteller die eigentliche Visastelle und sprechen am Schalter vor. Die Daten der Antragsteller werden mit Hilfe des Programms VISA+ Version 5.0 erfasst und verarbeitet; sie werden in den von §§ 69 und 70 Aufenthaltsverordnung (AufenthV) vorgesehenen Dateien („Visadatei“ und „Datei über Visaversagungen“) geführt. An den Schaltern arbeiten Ortskräfte, die auch deutsch sprechen. Im Wege einer durchschnittlich acht Minuten dauernden Befragung erstellen sie die Antragsdatensätze, die sie sodann den sog. Entscheidern als Ausdrucke zuleiten. Pro Visumantrag haben die Entscheider dem Vernehmen nach drei bis vier Minuten Zeit zur Bearbeitung.
Eine stichprobenhafte Überprüfung des Programms ergab keine datenschutzrechtlichen Mängel. Insbesondere wurde seitens der Visastelle deutlich gemacht, dass die programmtechnische Umsetzung der Löschungsvorschriften des § 69 Abs. 4 AufenthV (erteilte Visa) und des § 70 Abs. 3 Nr. 2 AufenthV (versagte Visa) im Hinblick auf die elektronisch gespeicherten Daten der Antragsteller gewährleistet ist.
Dieser positive datenschutzrechtliche Standard wird bei der Archivierung und Vernichtung der Visaakten nicht erreicht.
2.2.1 Die Archivierung der Visaakten erfolgt nur zum Teil in Räumen des Gebäudes der Visastelle. Der überwiegende Teil der Visaakten befindet sich in vier Containern, die sich zwar im Freien, aber noch auf dem Gebiet der Visastelle befinden. Die Zugangssicherung der Container stellte sich meinen Mitarbeitern allerdings als völlig unzureichend dar. Drei von vier Schlössern dieser Container weisen keine dem Stand der Technik entsprechende Schlüsselblätter auf. Ein Container war deutlich beschädigt. Ein anderer Container grenzt unmittelbar an den etwa 1,80 m hohen Zaun der Visastelle, sodass ein unmittelbarer Einbruch in das auf dieser Seite gelegene Fenster des Containers über den Zaun hinweg möglich ist. Hinzukommt, dass Teile der Container (darunter Türen) sich im toten Winkel der Videokameras befinden, die zudem abends und über Nacht abgeschaltet werden.
2.2.2 Gem. § 69 Abs. 4 AufenthV sind die Akten der erteilten Visa ein Jahr nach deren Ablauf zu vernichten. § 70 Abs. 3 Nr. 2 AufenthV sieht für die abgelehnten Visaanträge eine Frist von fünf Jahren vor. Am 2. April 2008 hatte die Visastelle zuletzt eine Vernichtung von Akten und sonstigen Dokumenten durch eine Fremdfirma in Begleitung des Hausmeisters der Visastelle vornehmen lassen. Diese Aktenvernichtung wurde -wie schon in der Vergangenheit -nicht protokolliert. Im Rahmen der stichprobenweisen Überprüfung der vier Container fanden meine Mitarbeiter Akten, die bereits hätten vernichtet sein müssen. Seitens der Visastelle wurde vorgetragen, dass die Vernichtung aus praktischen Gründen nicht immer entsprechend den §§ 69 Abs. 4, 70 Abs. 3 Nr. 2 AufenthV erfolgen könne.
Wie meine Mitarbeiter vor Ort bereits ausgeführt haben, besteht auch aus meiner Sicht durchaus ein gewisser, zeitlich eng begrenzter Toleranzbereich, solange regelmäßig Vernichtungsaktionen vorgenommen werden. Für unerlässlich halte ich eine Protokollierung der Vernichtung.
Ich bitte, mich über das Veranlasste in Kenntnis zu setzen.
2.2.3 Die unzureichende Zugangssicherung der archivierten Akten stellt einen erheblichen datenschutzrechtlichen Mangel dar, den ich gem. § 25 Abs. 1 BDSG i.V.m. § 9 BDSG mit Anlage beanstande.
Der Einsatz der Videokameras bitte ich zu überprüfen. Ich rate, ihn räumlich und zeitlich in o.a. Sinne zu verbessern.
Ich bitte um Stellungnahme.
Meine Mitarbeiter haben festgestellt, dass auch die Entsorgung sonstiger Dokumente mit personenbezogenen Daten im internen (Arbeits-) Bereich der Visastelle -teilweise -verbesserungsbedürftig ist. Im Flur des Erdgeschosses wurden aufeinander gestapelte Kartons aufgefunden, die zu entsorgende Dokumente mit personenbezogenen Daten enthielten. Ein Karton war offen und damit jedem Mitarbeiter der Visastelle unmittelbar zugänglich. Gleichzeitig wurde festgestellt, dass die Visastelle über mehrere Reißwölfe verfügt. Es wurde bereits im Rahmen der Prüfung gefordert, die beiden ungesicherten Kartons nicht mehr zu benutzen und stattdessen eine verschließbare massive Papiertonne zu beschaffen und zu verwenden.
Ich bitte, diese Maßnahmen zu treffen, wenn nicht eine unmittelbare Vernichtung durch den Reißwolf erfolgen kann. Über das Veranlasste bitte ich mich zu unterrichten.
Für den Publikumsverkehr sind sowohl in der Visastelle als auch in der Botschaftszentrale Räume mit mehreren Schaltern eingerichtet, die den Besuchern auch als Warteräume dienen. Zwar sind bisher nach Angaben der Botschaft noch keine Beschwerden von Antragstellern eingegangen. Doch bin ich der Ansicht, dass Verbesserungen notwendig und möglich sind. Meine Mitarbeiter haben in Erfahrung gebracht, dass bereits intern über Verbesserungen diskutiert wurde. Entsprechenden Vorschlägen sei jedoch wegen angeblich zu hoher Kosten nicht gefolgt worden.
2.4.1 An den Schaltern der Visastelle können die Antragsteller immerhin auf eine Art Telefonhörer mit integriertem Mikrofon zurückgreifen. Auch sind Abstandsmarkierungen vorhanden. Die räumliche Enge führt jedoch dazu, dass Umstehende den geführten Gesprächen zu beträchtlichen Teilen folgen können und damit die erforderliche Diskretion nicht gewährleistet wird. Eine Möglichkeit, in einem separaten Raum vorzusprechen, besteht hier nicht.
2.4.2 An den Schaltern der Botschaftszentrale muss auf beiden Seiten relativ laut in -nach Angaben einer Mitarbeiterin des Bundesamtes für Migration und Flüchtlinge (s.u.) nicht ordnungsgemäß arbeitende Mikrofone gesprochen werden. Infolgedessen ist ohne Weiteres die gesamte Schalterkommunikation für Anwesende vernehmbar. Zudem fehlt es an Abstandsmarkierungen. Insbesondere für die detaillierten und intimen Befragungen, die bei Verdacht auf das Vorliegen einer Scheinehe durchgeführt werden, sind zwar ein sog. Diskretionsraum (Erdgeschoss) und eine sog. Diskretionsdoppelkabine (Obergeschoss) vorhanden. Wie jedoch festzustellen war, hört man dennoch die Gespräche in der Nähe der Tür. Gut sichtbare Hinweise auf die Möglichkeit, in dem Diskretionsraum bzw. der Diskretionsdoppelkabine vorzusprechen, sind nicht vorhanden.
2.4.3 Bereits in mehreren Berichten (vgl. mein Schreiben vom 14. Dezember 1999 -II-205/19) habe ich auf die Problematik bei Diskretionszonen hingewiesen (s. auch meinen 20. Tätigkeitsbericht Nr. 23.2). Ungeachtet der Tatsache, dass in der Botschaft Kiew in diesem Bereich erhebliche datenschutzrechtliche Mängel vorhanden sind, die eine Beanstandung nach § 25 Abs. 1 BDSG i.V.m. § 9 BDSG mit Anlage rechtfertigen könnten, bitte ich unter Hinweis auf § 9 Satz 2 BDSG um Prüfung, wie der datenschutzrechtlich bedenkliche Zustand behoben oder zumindest gemildert werden kann. Ich denke hier insbesondere an die Installation schallabsorbierender Trennwände oder die Errichtung von Kabinen.
Ich bitte um Mitteilung -und zwar für den gesamten Bereich der Auslandsvertretungen -, was Sie hierzu veranlasst haben oder noch veranlassen werden.
Der deutschen Botschaft Kiew obliegt gem. Art. 7 Konsulargesetz auch die Betreuung inhaftierter deutscher Staatsangehöriger in der Ukraine. Mehrere Weisungen hierzu enthält der Runderlass des Auswärtigen Amtes vom 21. Mai 2007 -Gz.: 506-02-531.45-RES 53-6). Danach dürfen Häftlingsakten grundsätzlich nur personenbezogene Daten des Betroffenen enthalten. Daten Dritter dürfen nur ausnahmsweise, wenn hierfür ein sachlicher Grund existiert, in die Akte gelangen (s. III.). Diese Vorgaben gehen zurück auf meine kritischen Anmerkungen aus dem Jahre 2003 (Bericht zum Beratungs-und Kontrollbesuch bei der deutschen Botschaft Lissabon -Schreiben vom 2. Juni 2003 -II-205/026#0098, Nr. II.a, aa). Die stichprobenhafte Überprüfung einiger Haftakten zeigte einen Problemfall (xxxxxxxxxxxxxxxxxxxxxxx). Diese Haftakte enthielt auch die personenbezogenen Daten eines ukrainischen Staatsangehörigen, der im Rahmen eines Gefangenenaustausches von Deutschland in die Ukraine überstellt worden war. Dieser Bezug zwischen Häftling und dritter Person stellt aus meiner Sicht keinen sachlichen Grund dar, wie er etwa bei gemeinschaftlicher Deliktverübung bestehen würde (vgl. Runderlass vom 21. Mai 2007, III.).
Ich bitte um Stellungnahme.
Nach § 6 Abs. 2 Satz 2 und 3 Bundesvertriebenengesetz (BVFG) müssen Spätaussiedler im Rahmen einer einmaligen Anhörung nachweisen, dass sie aufgrund einer familiären Vermittlung der deutschen Sprache zumindest ein einfaches Gespräch auf deutsch führen können. Ehegatten und Abkömmlinge der Spätaussiedler müssen dagegen seit dem 1. Januar 2005 zur Erlangung eines Anspruchs auf Aufnahme in das Bundesgebiet -wiederholbare -sog. Sprachstandstests ablegen und dadurch Grundkenntnisse der deutschen Sprache (§ 27 Abs. 1 BVFG) nachweisen, soweit sie diese nicht durch Sprachzertifikate belegen können. Einzelheiten regelt die allgemeine Verwaltungsvorschrift zum BVFG, die das Bundesministerium des Innern am 22. Februar 2008 erlassen hat (GMBl. 2008, Seite 235 ff.).
Sowohl für die Durchführung der Anhörungen als auch der Sprachstandstests ist das Bundesverwaltungsamt (BVA) zuständig. Die Anhörungen nehmen an das Auswärtige Amt abgeordnete sog. Sprachtester des BVA vor. Die Sprachstandstests werden demgegenüber vom Goethe-Institut durchgeführt. Die deutsche Botschaft Kiew ist in vielerlei Hinsicht eingebunden: Sie ist Anlaufstelle für die Antragsteller, nimmt erste Befragungen vor, leitet die Anträge an das BVA weiter, fungiert als Vermittlerin für die Sprachtests und leitet die Ergebnisprotokolle der Sprachtests an das BVA weiter. Entsprechende Verfahren in Moldawien werden von der deutschen Botschaft Kiew mit betreut.
Eine stichprobenhafte Kontrolle dieses Arbeitsbereiches an der deutschen Botschaft Kiew hat keine datenschutzrechtlichen Mängel ergeben, die sich speziell auf die Spätaussiedlerverfahren bezögen.
Für jüdische Zuwanderer aus den Nachfolgestaaten der ehemaligen Sowjetunion, darunter der Ukraine, oblag die verfahrensrechtliche Regelung von Einreise, Aufnahme und Verteilung zunächst den Ländern, deren Ministerpräsidenten sich in einem Beschluss aus dem Jahr 1991 auf die analoge Anwendung des Gesetzes über Maßnahmen für im Rahmen humanitärer Hilfsaktionen aufgenommener Flüchtlinge (HumHAG) stützten und auf eine zahlenmäßige Kontingentierung verzichteten.
Im Jahr 2003 übernahm das Bundesamt für Migration und Flüchtlinge (BAMF) das Verfahren für die Verteilung jüdischer Zuwanderer auf die Länder. Mit Inkrafttreten des Zuwanderungsgesetzes zum 1. Januar 2005 entfiel das HumHAG als Rechtsgrundlage und wurde durch das Aufenthaltsgesetz (AufenthG) ersetzt. Die dadurch notwendige Neuregelung des Aufnahmeverfahrens für jüdische Zuwanderer nahm die Innenministerkonferenz der Länder im Wesentlichen mit den Beschlüssen vom 23./24. Juni 2005 vor. Rechtsgrundlage für das Aufnahmeverfahren sind nunmehr die §§ 23 Abs. 2, 75 Nr. 8 AufenthG i.V.m. der Anordnung des Bundesministeriums des Innern vom 24. Mai 2007 -M I 1-125 225-3/6. Die Anordnung des BMI begrenzt die Zuständigkeit des BAMF zur Durchführung des Neuaufnahmeverfahrens und Verteilung von Ausnahmezusagen auf sog. Neufälle. Darunter fallen alle Anträge auf Aufnahme, die seit dem 1. Januar 2005 gestellt worden sind; dazu kommen sog. Übergangsfälle II, d.h. zwischen dem 1. Juli 2001 und dem 31. Dezember 2004 gestellte Anträge, für die bis heute noch keine Aufnahmeentscheidung des aufnehmenden Landes existiert (vgl. Infoblatt des BAMF vom 15. November 2007 -332/9470/G).
Dieses Regelungsgeflecht macht es notwendig, die praktische Durchführung des Aufnahmeverfahrens an der Botschaft Kiew organisatorisch und personell zweigleisig vorzunehmen: Die sog. Altfälle bearbeiten weiterhin Mitarbeiter der Botschaft (s. dazu 3.3.1), während die sog. Neufälle seit September 2006 von Vertretern des BAMF in der Botschaft Kiew bearbeitet werden, bevor sie zur Entscheidung an das BAMF weitergeleitet werden (s. dazu 3.3.2).
Die die Altfälle betreffenden Akten sind, soweit es um Ablehnungen, Remonstrationen oder Klagen geht, bislang nicht vernichtet worden. Seitens der Botschaft wurde darauf hingewiesen, dass auf diese Akten ggf. noch das BAMF zurückgreifen müsse. Von den übrigen Akten sind nur diejenigen vernichtet worden, die aus der Zeit vor 1997 stammen. In Bezug auf die vorhandenen Akten existieren offenbar keine festen Löschungsregeln.
Ich werde hierzu mit dem BAMF die Frage erörtern, ob und inwieweit die weitere Aufbewahrung der noch vorhandenen Akten für die weitere Aufgabenerledigung noch erforderlich ist.
Die Zuständigkeit der Vertreter des BAMF bezieht sich auf die Entgegennahme und Bearbeitung der die Neufälle betreffenden Anträge und deren Weiterleitung an das Grundsatzreferat 332 im BAMF. Im Wesentlichen geht es hierbei um die Prüfung der vorgelegten Personenstandsurkunden zum Nachweis der jüdischen Nationalität bzw. Abstammung und den Nachweis über die notwendigen Grundkenntnisse der deutschen Sprache. Über die Tätigkeit der Vertreter des BAMF in ihren Räumen übt die deutsche Botschaft Kiew durch die Leitung der Rechts-und Konsularangelegenheiten die Dienstaufsicht aus, nicht die Fachaufsicht.
Eine wesentliche Aufgabe für die Vertreter des BAMF an der deutschen Botschaft Kiew besteht darin, die Stammdaten (persönliche Daten der Antragsteller und deren Angehöriger) im „Migrations-IntegrationsDaten-AufnahmeverfahrenSystem“ (MIDAS, Version 1.9.5) zu erfassen. Das System MIDAS wurde als webbasiertes Workflowsystem mit verteilter Erfassung (beteiligte Auslandsvertretungen sind Moskau, St. Petersburg und Kiew -in den restlichen Auslandsvertretungen der Nachfolgestaaten der Sowjetunion erfolgt keine elektronische Erfassung der Anträge) zur Datenverwaltung und Informationsbereitstellung konzipiert. Nach Angaben des BAMF sind in Kiew bislang 316 Neuanträge mit 493 Personen und 984 Übergangs-II-Anträge mit 1.747 Personen erfasst worden. In MIDAS werden nicht nur die Neufälle, sondern auch die sog. Altfälle erfasst (in MIDAS unter „Altsystem“ geführt).
Eine stichprobenhafte Überprüfung des APC einer der beiden Vertreterinnen des BAMF ergab keine datenschutzrechtlichen Mängel.
Die ausgefüllten Anträge auf Erteilung einer Aufnahmezusage (sog. Selbstauskunft, die auch eine datenschutzrechtliche Einwilligungserklärung enthält) sowie eine Anlage (sog. Selbstauskunft Familienangehörige) werden in Kisten verstaut und an das BAMF versandt. Nach Angaben des BAMF erfolgt die Versendung der Papierunterlagen über die Luftbeutelpost des Auswärtigen Amtes. Wie meine Mitarbeiter erfahren haben, ist in der Vergangenheit eine Kiste mit Dokumenten auf dem Weg zum BAMF in Nürnberg allerdings verloren gegangen. Wie der Nachweis solcher Lieferungen zu führen ist, blieb sowohl in diesem Fall wie auch im Übrigen offen.
Die Vertreter des BAMF in der deutschen Botschaft Kiew versenden ihre E-Mails an das BAMF innerhalb des Intranet des Auswärtigen Amtes über hochverschlüsselte Datenleitungen nach Deutschland. Dort werden diese E-Mails sodann über die hochverschlüsselten Behördennetze IVBB und IVBF zum BAMF geleitet. Die Verschlüsselung erfolgt mit den vom BSI zugelassenen Verfahren CHIASMUS, symmetrisch, Schlüssellänge 160 bit.
Ich werde BMI und BAMF bitten, in Bezug auf den Aktenversand ein Nachweissystem zu entwickeln.
Zur Sicherung des Botschaftsgebäudes sowie der Visastelle sind auf dem Gelände mehrere Videokameras installiert. Eine Aufzeichnung findet allerdings nur bei den Kameras der Botschaft statt; dieser Umstand war dem Kanzler unbekannt. Im Falle der Visastelle handelt es sich lediglich um eine Anlage zur Beobachtung. Die Videobilder werden im Falle der Botschaft fünf Tage in einem Ringspeicher gespeichert und anschließend automatisch überschrieben. Eine Datensicherung der Videobilder findet nicht statt. Zugang zu der Anlage hat neben dem Sicherheitspersonal nur der Hausmeister. Auch ist es ausschließlich diesem Personenkreis möglich, etwaige Aufzeichnungen zu sichern und auf externen Datenträgern zu speichern. Im Falle der VISA-Stelle ist eine Aufzeichnung technisch nicht möglich, da die entsprechende Ausstattung derzeit nicht vorhanden ist. Durch die Kameras erfasst werden in beiden Fällen auch öffentliche Räume (Zugang zur Botschaft bzw. VISA-Stelle sowie Teile des Fußgängerbereiches vor den Gebäuden).
Grundsätzlich habe ich gegen die Überwachung durch eine Videoanlage, z.B. zur Sicherung des Hausrechts, keine Einwände. Gleichwohl sind beim Betrieb der Anlage die Vorgaben des § 6b BDSG zu beachten. Gem. § 6b Abs. 2 BDSG ist der Umstand der Beobachtung kenntlich zu machen und der Name der verantwortlichen Stelle mitzuteilen.
Diese Vorschrift wurde bisher von der Botschaft Kiew nicht beachtet. Die Besucher der Botschaft und der VISA-Stelle können nicht erkennen, dass sie sich im Blickfeld einer Videokamera bewegen.
Ich halte es für unverzichtbar, durch die Installation eines geeigneten Hinweises – beispielsweise in Gestalt eines Piktogramms gem. DIN 33450 mit Angabe der verantwortlichen Stelle
– die erforderliche Transparenz für die Betroffenen herzustellen und so § 6b BDSG Rechnung zu tragen. Ich bitte, entsprechende Maßnahmen in allen Botschaften zeitnah zu ergreifen und mich über das Veranlasste zu informieren.
Nach Nr. 3 der Anlage zu § 9 BDSG hat die verantwortliche Stelle zu gewährleisten, dass die Nutzer ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.
Meine Mitarbeiter haben festgestellt, dass diesen Anforderungen nicht hinreichend entsprochen wird. So konnten Personen auf Daten zugreifen, die sie für ihre Aufgabenerledigung nicht benötigen, etwa von einem Arbeitsplatz im Konsularbereich auf die Urlaubs-und Krankheitsdaten der VISA-Stelle. Auch wurde festgestellt, dass an jedem Arbeitsplatz beliebige Abfragen mit sog. „Wildcards“ durchgeführt werden können, obgleich dies nur in Ausnahmefällen erforderlich ist, da den Nutzern bei konkreten Abfragen in der Regel sämtliche Daten bekannt sind.
Ich bitte zeitnah um Prüfung der Zugriffsrechte und eine entsprechende Änderung, soweit diese über das erforderliche Maß hinausgehen. Das Ergebnis bitte ich mir mitzuteilen.
Zur Abwicklung eines möglichst reibungslosen und korruptionsunanfälligen Visa-Verfahrens wurde die Firma VF Worldwide Holdings Ltd. mit Sitz in Mauritius damit beauftragt, ein Web-basiertes Terminreservierungssystem bereitzustellen. Antragsteller können unter der Adresse http://www-contactcentre-de-ua.com/Germany-Ukraine/ einen Termin zur Abgabe eines Visums erhalten.
Der Vertrag mit der o.a. Firma, der mir vorliegt, enthält allerdings keine Aussage darüber, welche Daten auf welchen Servern gespeichert werden. Außerdem ist nicht erkennbar, inwieweit dabei die bundesdeutsche Rechtsordnung zum Tragen kommt. Die Speicherung von IP-Adressen ist nach gängiger Rechtsauffassung nicht zulässig, auch soweit sie lediglich zur Verhinderung von Missbrauch erfolgt. Zudem lässt der Vertrag nicht erkennen, ob eine Speicherung überhaupt stattfindet, wie lange die Daten gespeichert werden und welche Auswertungen erfolgen. Entsprechende Auskünfte waren in der Botschaft Kiew nicht zu erhalten.
Ich überprüfe derzeit den Vertrag vor dem Hintergrund, ob hier eine Datenverarbeitung im Auftrag vorliegt und werde auf die Angelegenheit noch gesondert zurückkommen.
Der unverschlüsselte Versand von E-Mails ist nach allgemeiner Auffassung mit dem Versand einer Postkarte gleichzusetzen. Der Versand von E-Mails mit personenbezogenen Daten ist daher nicht zulässig, soweit keine Verschlüsselung vorgenommen wird.
Soweit meine Mitarbeiter E-Mails vorfanden, die innerhalb des Netzes des Auswärtigen Amtes versandt worden sind, sind keine datenschutzrechtlichen Probleme ersichtlich, da die Verbindung über die eingesetzten SINA-Boxen abgesichert wird. Gleichwohl wurde eine beträchtliche Anzahl von E-Mails vorgefunden, die an Adressen versandt wurden, die außerhalb des Netzes des Auswärtigen Amtes liegen. Hierzu zählen Stellen der Bundespolizei, Außenstellen der Goethe-Institute, Hochschulverwaltungen, Verwaltungsstellen der Bundesländer wie Ausländerbehörden, Sozialämter, aber auch Stellen außerhalb der öffentlichen Verwaltung wie Firmen und Banken. In all diesen Fällen wurden personenbezogene Daten per E-Mail versandt, z.T. auch Daten, die unter § 3 Abs. 9 BDSG (besonders schützenswerte Daten) fallen.
Ich bitte daher, die Sicherheit der E-Mail-Übermittlung durch geeignete Verschlüsselungsmaßnahmen sicherzustellen und ansonsten von einer Übersendung Abstand zu nehmen. Über das Veranlasste bitte ich mich in Kenntnis zu setzen.
Im Netz der Botschaft war auf den Rechnern, die kontrolliert wurden, das Programm „Eraser“ installiert, das eine datenschutzgerechte Löschung von gespeicherten Daten erlaubt. Dies ist zu begrüßen.
Jedoch war keinem Nutzer bekannt, welchen Zweck das Programm erfüllt und wie es zu bedienen ist. Deshalb fehlte es auch an Wissen über den Unterschied der allen Nutzern bereitgestellten Funktionen „löschen“ und „erase“.
Der Einsatz eines datenschutzgerechten Löschprogramms wie dem in der Botschaft Kiew vorgefundenen wird nachdrücklich unterstützt. Damit es in Zukunft sinnvoll genutzt werden kann, müssten die Nutzer allerdings in geeigneter Form über die Funktionen und die Bedienung des Programms informiert werden.
Ich bitte daher, die Nutzung dieses Löschprogramms für alle Auslandsvertretungen verbindlich vorzuschreiben. Über das Veranlasste bitte ich mich zu informieren.
Nach Nr. 7 der Anlage zu § 9 BDSG hat die verantwortliche Stelle zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.
Wie meine Mitarbeiter feststellen mussten, verfügt der Rechnerraum (Serverraum) der Botschaft in Kiew jedoch über keine ausreichende Klimatisierung. Obwohl am Besuchstag kein besonders warmer Tag zu verzeichnen war (Außentemperatur ca. 18°C), war die Temperatur im Serverraum deutlich höher. Im Sommer ist deshalb mit einem starken Anstieg der Temperatur zu rechnen. Dies kann zu einem Ausfall durch Überhitzung der Server oder anderer wichtiger Komponenten führen.
Die fehlende bzw. falsche Klimatisierung des Rechnerraums der Deutschen Botschaft Kiew stellt somit einen Verstoß gegen Nr. 7 der Anlage zu § 9 BDSG dar.
Ich bitte geeignete Maßnahmen zu treffen und mich über das Ergebnis in Kenntnis zu setzen.
Ich bitte das Auswärtige Amt, der beteiligten Auslandsvertretung dieses Schreiben zur Kenntnis zu geben und bin für eine Stellungnahme
bis zum 30. November 2008
dankbar.
Das Bundesministerium des Innern und das Bundesamt für Migration und Flüchtlinge werde ich über den diese Stellen betreffenden Teil meines Schreibens (Nr. 3.3) in Kenntnis setzen.
In Vertretung
2) Referat VI m.d.B. um Mitzeichnung
3) Herrn BfDI über
Herrn LB
m.d.B.u. Zeichnung des Schreibens zu 1)
4) Umlauf im Referat
5) Wv.:
[Home] [Impressum] [Familienvisum] [Das Verfahren] [Persönliche Vorsprache?] [FAQ]