Podcast "Digital leben" Datenschutz: Tausende Menschen in Sachsen-Anhalt können Einwohnermeldedaten lesen
Hauptinhalt
von Marcel Roth, MDR SACHSEN-ANHALT
09. Dezember 2023, 14:20 Uhr
Diese Geschichte ging 2023 etwas unter: Unikliniken, Krankenkassen, Jobcenter oder Behörden können die Adressen aller gemeldeten Einwohner in Deutschland digital abrufen. Zum Beispiel, um Rechnungen, Mahnungen oder amtliche Bescheide zu verschicken. Das ist legitim. Aber wie viele Menschen haben einen solchen Zugriff? Allein in Sachsen-Anhalt sind es wohl mehr als 4.000. Ein Missbrauchspotenzial, das nicht kontrolliert wird.
- Eine Anfrage der Linksfraktion im Landtag hat ergeben: In Sachsen-Anhalt können etwa 4.000 Menschen auf die Daten aller Einwohner in Deutschland zugreifen.
- Dass es so viele sind, damit hat auch der amtierende Datenschützer nicht gerechnet. Er sieht großes Missbrauchspotenzial.
- Dabei lässt sich das Problem lösen: indem die Abrufe protokolliert und stichprobenartig kontrolliert werden. Aber darüber sind Sachsen-Anhalts Datenschutzbehörde und das Innenministerium uneins.
Es geht um die aktuelle oder die frühere Adresse, Geburtsdatum, Geschlecht, Familienstand, Staatsangehörigkeit. All diese Daten haben die Einwohnermeldeämter in Deutschland. Und ist zum Beispiel eine Person der Meinung, eine andere Person schulde ihm oder ihr Geld, kann die Person sich beim Einwohnermeldeamt die Adresse besorgen.
Ähnliches gilt für Behörden, Jobcenter, Gerichte, Abfallbetriebe oder Jobcenter. Sie können sich sogar bei Sachsen-Anhalts Innenministerium registrieren lassen, um digital auf die Daten zugreifen zu können – für die sogenannte automatisierte Datenabfrage.
Zugriff auf deutschlandweite Meldedaten möglich
In Sachsen-Anhalt gibt es 265 öffentliche Stellen, die einen solchen Zugang zum bundesweiten zentralen Melderegister haben. Das hat eine Auswertung der Linksfraktion im Landtag von Sachsen-Anhalt ergeben, über die netzpolitik.org im Frühjahr berichtet hat. In mehreren Anfragen an die zuständigen Ministerien zählt die Linksfraktion 73 Landesbehörden, die zur automatisierten Datenabfrage berechtigt sind. Darunter sind auch Industrie- und Handelskammern, Kliniken, Studentenwerke, das Landesverwaltungsamt, die Landesanstalt für Medien, das Statistische Landesamt, das Verbraucherschutzamt und das Amt für Landwirtschaft.
Aus den Anfragen geht außerdem hervor, dass insgesamt etwa 4.000 Menschen im Land Zugriff haben. "Insgesamt dürfte die Zahl sogar noch deutlich höher sein", sagt Ingo Dachwitz, Datenschutzjournalist bei netzpolitik.org. Denn neben den 265 Stellen hätten grundsätzlich auch Polizei, Justiz – also alle Strafverfolgungsbehörden – und Geheimdienste Zugriff. "Das sind sehr viele Behörden. Und dann ist die Frage, wie viele Leute in diesen Behörden haben Zugriff."
Datenschutzbeauftragter: Anzahl der Berechtigten überraschend hoch
Sachsen-Anhalts amtierender Landesdatenschutzbeauftragter, Albert Cohaus, sagt: "Die hohe Zahl hat uns überrascht, auch weil wir uns mit dem Thema aus Kapazitätsgründen bislang nicht befassen konnten." Die automatisierten Datenabfragen hatte Cohaus bis dahin nicht als Problem gesehen. "Es gibt auch nicht viele Voraussetzungen, damit das Innenministerium einer anfragenden Stelle einen Zugang gewährt", sagt Cohaus im MDR SACHSEN-ANHALT Podcast "Digital leben".
Dabei kritisieren weder Cohaus und Dachwitz grundsätzlich, dass es solche Zugänge für berechtigte Stellen gibt. Schließlich würden solche Systeme auch dafür sorgen, dass Behörden schneller arbeiten könnten, weil sie die Daten ohne Aufwand und klassischen Briefwechsel abfragen können. Cohaus und Dachwitz geht es vor allem darum, dass die Zugriffe weder protokolliert noch testweise geprüft wird, ob die Zugriffe erlaubt waren.
Hohes Missbrauchspotenzial
Denn das Missbrauchspotenzial schätzen beide als groß ein. Dachwitz sagt: "In den vergangenen Jahren standen meistens Polizisten im Fokus. Sie haben zum Beispiel Daten einer Frau abgerufen, die sie bei einer Verkehrskontrolle gesehen haben oder konnten Drohbriefe an Menschen schreiben."
Ingo Dachwitz Ingo Dachwitz ist Datenschutzjournalist und arbeitet für netzpoltik.org, einer Spenden-finanzierten Nachrichten-Website zu netzpolitischen Themen. Dachwitz hat in diesem Jahr unter anderem berichtet, wie die Werbedaten-Industrie funktioniert. "Wir haben einen Einblick bekommen: Hunderte Firmen sortieren uns in mehr als 650.000 Kategorien. Erstmals konnten wir nachvollziehen, wie granular und detailliert das ist", sagt Dachwitz. Dabei würden auch Tochterfirmen von ProSiebenSat1 und Telekom mitmischen. Jetzt könne man wirklich sehen, wie wenig die informierte Einwilligung nach der DSGVO funktioniert, so Dachwitz.
Dachwitz wundert sich darüber, wie unterschiedlich die Zahl der Zugriffsberechtigten in Stellen ist, die die gleichen Tätigkeiten nachgehen. Bei Krankenkassen gibt solche Unterschiede: Die DAK hat bundesweit 2.053 Menschen, die AOK 377, die IKK gesundplus und die Barmer in Sachsen-Anhalt 14 Menschen mit Zugriff. Auch bei Jobcentern wirken die Zahlen willkürlich: Beim Jobcenter Halle haben 119 Personen das Recht – beim Jobcenter Dessau-Roßlau sind es vier. "Bei Dessau-Roßlau merkt man, da hat sich jemand Gedanken gemacht haben und sie haben vielleicht ein Datenschutzkonzept mit klar verteilten Zugängen für die Leute, die sie wirklich brauchen."
Lösung: Protokolle und Stichprobenkontrollen
Dachwitz und Cohaus wünschen sich, dass jedes Mal, wenn ein Behördenmitarbeiter eine Abfrage macht, der Vorgang protokolliert wird. Solche Protokolle sollten dann kontrolliert werden. "Die Leute müssen Angst haben oder wissen, das kann auffliegen, wenn zum Beispiel jede fünfzigste oder jede hundertste Anfrage stichprobenartig überprüft wird", sagt Datenschutzjournalist Dachwitz.
Albert Cohaus sieht dabei auch den IT-Dienstleister des Landes, Dataport, in der Verantwortung. Er könnte solche Abruf-Protokolle bereitstellen, würde sie aber nicht ohne Weiteres herausgeben. Darüber würde seine Behörde und Sachsen-Anhalts Innenministerium gerade eine Diskussion ausfechten, sagt Cohaus: "Das Innenministerium sagt, dafür gäbe es keine Rechtsgrundlage. Wir sind anderer Ansicht. Denn Datenschutzbeauftragte sollten und müssten das regelmäßig prüfen. Das geben die Datenschutzgesetze her."
Datenschutzbeauftragte müssten kontrollieren
Und weil jede öffentliche Behörde eigene Datenschutzbeauftragte hat, könnten sie solche Stichprobenprüfungen machen, meint Cohaus. Für seine Landesdatenschutz-Behörde schließt Cohaus aus, dass sie sich derzeit regelmäßig darum kümmert. "Allein anhand der Anzahl der Abfragen wird klar, dass wir dafür nicht zusätzlich jemanden einstellen können", sagt Cohaus.
Ohnehin hat Cohaus’ Landesdatenschutzbehörde das Problem, dass sie seit Jahren unterbesetzt ist. Allein, weil es keinen gewählten Landesdatenschutzbeauftragten gibt, konnten in den vergangenen Jahren mehr als 5.000 Arbeitsstunden nicht geleistet werden. Im Landtag sind mittlerweile drei Bewerber für den Chef-Posten mehrfach nicht gewählt worden. Darunter auch Albert Cohaus, der eigentlich als Direktor bei der der Datenschutzbehörde arbeitet und seit Januar 2021 auch die Arbeit des Behördenchefs und des Pressesprechers macht.
Das Stiefkind der Politik in Sachsen-Anhalt: Datenschutz
Seiner Behörden fehlen zwölf Stellen. "Es brennt so, dass ich drei Stellen ganz dringend brauche", sagt Cohaus. Er will zum Beispiel die E-Akte einführen: "Wir müssen da mithalten können. Denn wie will ich etwas kontrollieren, was ich selbst gar nicht kenne, weil ich noch mit Papierakten arbeite?" Doch bekommen hat seine Behörde keine einzige Stelle.
Und so bleibt fraglich, ob das Missbrauchspotenzial der automatisierten Datenabfragen in Sachsen-Anhalt in nächster Zeit eingedämmt werden kann. Aber das gibt es auch in anderen Bundesländern, sagt Datenschutzjournalist Ingo Dachwitz. Dort sei die Lage nicht besser: "Wir wissen es jetzt nur über Sachsen-Anhalt, weil die Linksfraktion diese Anfrage gestellt hat."
Und Dachwitz sagt, das ganze Problem existiere auch deshalb, weil es eine rechtliche Lücke gibt: Der Bund hat die Kontrolle über die automatisierten Datenabfragen an die Länder abgegeben. "Um Sicherheitsmaßnahmen zu ergreifen, braucht es also eigene Initiativen der Landesgesetzgeber." Aber dafür müsse sich ein Landesgesetzgeber auch für Datenschutz interessieren.
MDR (Marcel Roth)
pwsksk vor 20 Wochen
Sagt mir Bescheid MDR, wenn ihr mich endgültig sperrt.
Da ihr ja reale Lebenserfahrungen nicht mehr zulasst, möchte ich wenigstens wissen, ob es noch sinnvoll ist, hier überhaupt zu kommentieren. Die AfD scheint leider in allen Belangen Recht zu haben.
Ich nicht vor 20 Wochen
Es macht aber schon einen Unterschied ob ich freiwillig den Inhalt meines Kühlschrank mit Google, Facebook &Co teile oder ob jemand, unkontrolliert, meine Adresse usw an gewaltbereite Personen weitergibt.
Wir im Artikel beschrieben geht es nicht um die Abfrage an sich sondern darum dass nicht protokolliert wird wer warum etwas abfragt.
Dabei ist das Problem schnell zu lösen.
Interessant ist auch das die Anfrage von der Linksfraktion kam und nicht von den lautesten Pöblern im Landtag!
Karl-W vor 20 Wochen
Und jetzt werden deine Krankheiten über die Chipkarte an alle weitergegeben, (Rezept über Chipkarte) wenn da der Apoteker nicht die Schnauze hält und verrät was alles auf der Karte ist.