Hamburg. Datenschützer Caspar kritisiert Senat: Zusage über Verschlüsselung auch nach zwei Jahren nicht umgesetzt
Die Daten der Bürger sind bei den Hamburger Behörden nicht ausreichend geschützt. Das bemängelt der oberste Datenschützer der Stadt, Johannes Caspar, der gestern seinen aktuellen Tätigkeitsbericht vorlegte. Man stelle sich vor, der Bürgermeister trifft mit einem Senatsmitglied eine vertrauliche Absprache, Finanzamtsmitarbeiter tauschen sich über brisante Angaben eines Steuerzahlers aus, oder Polizisten beraten über einen Mordfall – wenn sie das per E-Mail tun, gilt in allen Fällen: Unbefugte Dritte können mitlesen.
„Die Prüfung hat gezeigt, dass sich Administratoren der Stadt bei Dataport mit wenigen Klicks Zugriff auf jede E-Mail verschaffen könnten“, heißt es im Bericht des Datenschutzbeauftragten.
Dataport ist der IT-Dienstleister von Hamburg und Schleswig-Holstein. Die Vertraulichkeit von sensiblen Daten sei „stark gefährdet“, so Caspar, und die Wahrscheinlichkeit, dass ein Missbrauch aufgedeckt werde, nur „minimal“. Zwar habe die zuständige Finanzbehörde erklärt, alle Computer der Stadt mit Verschlüsselungssoftware auszustatten – das sei aber zwei Jahre nach der Zusage noch nicht abgeschlossen. Und die Polizei habe sogar erklärt, dass sie die Vorgabe zur Verschlüsselung nicht umsetzen werde.
Auch bei der externen Kommunikation, also zwischen Behörden und Bürgern, sei die Datensicherheit nicht gewährleistet, kritisierte Caspars Kollege Sebastian Wirth. „Fünf Termine hat uns die Finanzbehörde genannt, alle fünf sind verstrichen, ohne dass der gravierende Mangel behoben wurde.“
Mehr als 5000 Mitarbeiter der Stadt haben den Datenschützern zufolge Zugriff auf zwei Millionen Datensätze von Bürgern, die sie dienstlich nichts angehen. Dabei geht es zum Beispiel um Adressen und Bankdaten, die in dem elektronischen Buchungssystem „Herakles“ gespeichert sind. „Da steht jeder drin, der schon mal ein Knöllchen bezahlt hat“, so Wirth. Immerhin habe die Finanzbehörde zugesagt, die Zugriffspraxis bis April zu ändern.
Auch mit den privaten Internetgiganten Google und Facebook gingen die Datenschützer hart ins Gericht. So kritisierten sie die Art, wie Google Nutzerprofile zu Werbezwecken erstelle. Und gegen Facebook, das wie Google seinen Deutschland-Sitz in Hamburg hat, hat Caspar eine Anordnung erlassen, Nutzern das Auftreten unter Pseudonym zu erlauben. Weil Facebook das verweigert und auf der Nennung des Klarnamens bestehe, liege der Fall nun vor dem Verwaltungsgericht.
Angesichts der wachsenden Herausforderungen hat Caspar eindringlich eine Stärkung seiner Behörde angemahnt. „Der Datenschutz in Hamburg ist schon über dem Limit“, sagte er. Viele dringend gebotene Prüfungen könnten nicht durchgeführt werden. Zusätzlich zu den jetzigen 16 forderte er daher weitere 8,5 Stellen vom Senat.
Seite 2 Kommentar Seite 12 Bericht