— 1 — B R E M I S C H E B Ü R G E R S C H A F T Landtag 18. Wahlperiode Drucksache 18 / 1361 Kleine Anfrage der Fraktion der SPD vom 18. März 2014 Missbräuchliche Datenabfrage auch in Bremen? In verschiedenen Bundesländern, wie beispielsweise Brandenburg, wurden Fälle bekannt, in denen Finanzbeamte ohne Zuständigkeit auf Steuerdaten von Bürgerinnen und Bürgern zugegriffen haben. Aus reiner Neugier wurden die Einkommensverhältnisse von Nachbarn, Bekannten oder Verwandten eingesehen oder der Bearbeitungsstand der eigenen Steuererklärung abgefragt. Der Schutz von personenbezogenen Daten muss innerhalb der Verwaltung gewährleistet sein. Dies gilt nicht nur im Bereich Steuern, sondern auch wenn es um polizeiliche oder für die Verfolgung von Straftaten relevante Daten geht. Der Personenkreis mit Zugriffsberechtigung auf solche personenbezogenen Daten muss sich auf jene beschränken, die die Daten unbedingt zur Erfüllung ihrer Aufgaben benötigen. Das Bundesdatengesetz schreibt entsprechend Zugriffsregeln vor. Wir fragen den Senat: 1. Sind im Land Bremen Fälle der Verletzung des Steuergeheimnisses durch Finanzbeamte bekannt? 2. Wie wird sichergestellt, dass nur berechtigte Personen Zugriff auf Steuerdaten haben? 3. Wie bewertet der Senat eine umfassende Überprüfung der Finanzämter im Land nach dem Vorbild Brandenburgs? 4. Wie groß ist der Personenkreis, der jeweils Zugriff auf polizeiliche Daten von Bürgerinnen und Bürgern hat? Wie wird der Zugriff auf personenbezogene Daten protokolliert? 5. Wie groß ist der Personenkreis, der jeweils Zugriff auf für die Verfolgung von Straftaten relevanten Daten bei der Staatsanwaltschaft hat? Werden Zugriffe auf personenbezogene Daten protokolliert? Rainer Hamann, Björn Tschöpe und Fraktion der SPD D a z u Antwort des Senats vom 22. April 2014 1. Sind im Land Bremen Fälle der Verletzung des Steuergeheimnisses durch Finanzbeamte bekannt? Im Land Bremen sind keine Fälle der Verletzung des Steuergeheimnisses durch Finanzbeamte bekannt. — 2 — 2. Wie wird sichergestellt, dass nur berechtigte Personen Zugriff auf Steuerdaten haben? Nach den Vorschriften der Steuerdatenabrufverordnung (StDAV) vom 13. Oktober 2005 in Verbindung mit § 30 Abs. 6 der Abgabenordnung (AO) sind automatisierte Abrufe von Daten, die dem Steuergeheimnis unterliegen, zu protokollieren, sofern die Abrufbefugnis nicht durch technische Maßnahmen ausschließlich auf die Daten oder Arten von Daten beschränkt worden ist, die zur Erledigung der jeweiligen Aufgabe erforderlich sind (§ 6 Abs. 2 in Verbindung mit Abs. 1 StDAV). Anhand der Aufzeichnungen ist dann zeitnah und in angemessenem Umfang zu prüfen, ob der Abruf nach § 30 Abs. 6 S. 1 AO zulässig war (§ 7 StDAV). Zulässig ist ein Datenabruf nur, wenn er dienstlich veranlasst war. Alle Datenzugriffe werden in Bremen mithilfe von bundesweit zur Verfügung stehenden Programmen des KONSENS-Verbundes (= Koordinierte neue Softwareentwicklung der Steuerverwaltung) protokolliert und ausgewertet. Welche Datenabrufe aufgezeichnet werden, wird im integrierten Dialogverfahren der Steuerverwaltung über die zentrale Berechtigungsdatenbank ACUSTIG (= Automatisierte Computerunterstützung in den Geschäftsstellen) gesteuert, in der über die Geschäftsverteilungspläne der Finanzämter alle Zuständigkeiten tagesaktuell hinterlegt sind. Über diese maschinell hinterlegten, durch die Geschäftsstellen der Finanzämter gepflegten Zuständigkeiten hinausgehende Zugriffe werden mit der jeweiligen Benutzerkennung protokolliert. Im Wege eines Zufallsgenerators wird in einem kleinen Teil dieser protokollierten Fälle der/die Abfragende aufgefordert, in ein elektronisches Begründungsfeld eine Begründung für den Zugriff einzugeben, welche dem Protokollfall hinzugefügt und gespeichert wird. Auf diese Weise werden alle Finanzbeamten, die Zugriffe auf Daten außerhalb ihrer originären Zuständigkeit tätigen, in unregelmäßigen Abständen an die Protokollierung und die geltenden Regeln der StDAV erinnert. Zusätzlich werden jede Woche pro Amt zehn ausgewählte Protokollfälle durch einen StDAV-Prüfer (Datenschutzbeauftragter des Finanzamts) im Wege eines persönlichen Gesprächs (Interview) hinsichtlich der dienstlichen Veranlassung überprüft. Das Ergebnis der Prüfung wird im Auswertungsprogramm dokumentiert. Bei ernsthaften begründeten Zweifeln an der dienstlichen Veranlassung von Datenabrufen eines Bediensteten kann die Amtsleitung unter schriftlicher Dokumentation der Gründe veranlassen, dass für einen zurückliegenden Zeitraum (z. B. Datenabrufe eines bestimmten Tages), oder für einen künftigen Zeitraum von 14 Tagen sämtliche Datenabrufe des Bediensteten aufgezeichnet werden; bei Bedarf kann der Zeitraum verlängert werden. Die Amtsleitung entscheidet über die Notwendigkeit weiterer Ermittlungen bzw. über die Einleitung dienstrechtlicher Maßnahmen und gegebenenfalls über die Hinzuziehung der Innenrevision. Die Protokollierung und Auswertung nach StDAV erfolgt ausschließlich zur Prüfung der Zulässigkeit der Abrufe (§ 6 Abs. 3 StDAV); eine Auswertung von Protokolldaten zu anderen Zwecken ist nicht zulässig. Gemäß § 6 Abs. 4 StDAV werden die Daten programmgesteuert nach zwei Jahren gelöscht. 3. Wie bewertet der Senat eine umfassende Überprüfung der Finanzämter im Land nach dem Vorbild Brandenburgs? Die unter zweitens beschriebene Vorgehensweise entspricht im Wesentlichen den in Brandenburg geltenden Regeln für eine Überprüfung der Finanzämter. 4. Wie groß ist der Personenkreis, der jeweils Zugriff auf polizeiliche Daten von Bürgerinnen und Bürgern hat? Wie wird der Zugriff auf personenbezogene Daten protokolliert? Der Zugriff auf die polizeilichen Informationssysteme ist zur Erfüllung polizeilicher Aufgaben unerlässlich. Polizeivollzugsbeamtinnen und Polizeivollzugsbeamte der Polizei Bremen und der Ortspolizeibehörde Bremerhaven können auf dort gespeicherte Daten zugreifen, wenn dies zur Wahrnehmung ihrer Aufgaben erforderlich ist. Genauso können für Mitarbeiterinnen und Mitarbeiter außerhalb des Polizeivollzugsdienstes Zugriffsrechte einzelfallbezogen realisiert werden. Hinter allen Systemen steht ein entsprechendes Berechtigungskonzept. Es werden im Rahmen von Einzel- und Gruppenberechtigungen nur die Zugriffsrechte eingeräumt, die für die jeweilige Tätigkeit benötigt werden. — 3 — Alle Zugriffe auf polizeiliche Informationssysteme werden lückenlos protokolliert . Es ist für einen Zeitraum von zwei Jahren nachvollziehbar, wer zu welchem Zeitpunkt auf welche personenbezogenen Daten zugegriffen hat. Die Protokollierungsdaten können zum Zwecke der Datenschutzkontrolle oder zur Verfolgung von Ordnungswidrigkeiten oder Straftaten ausgewertet werden. Die Angabe des konkreten zugriffsberechtigten Personenkreises zu einzelnen Systemen bzw. Systemteilen ist nur mit einem unverhältnismäßig hohen Aufwand zu leisten. 5. Wie groß ist der Personenkreis, der jeweils Zugriff auf für die Verfolgung von Straftaten relevanten Daten bei der Staatsanwaltschaft hat? Werden Zugriffe auf personenbezogene Daten protokolliert? Um einen zügigen Informationsfluss zu gewährleisten, haben grundsätzlich alle mit der Bearbeitung von Ermittlungs-, Straf- und Vollstreckungsverfahren befassten Mitarbeiterinnen und Mitarbeiter der Staatsanwaltschaft Bremen einen lesenden Zugriff auf die in der Fachanwendung web.sta eingetragenen Verfahren. Damit können sich die Bediensteten der Staatsanwaltschaft unverzüglich einen Überblick über den Sachstand auch in jenen nicht unmittelbar in die eigene Zuständigkeit fallenden Verfahren verschaffen, die für die konkret anfallende Tätigkeit in dem eigenen zu bearbeitenden Verfahren relevant sind. Inhaltliche Einzelheiten der nicht in das eigene Dezernat fallenden Verfahren sind mithilfe des elektronischen Lesezugriffs nicht ersichtlich. Durch den Lesezugriff werden unnötige behördeninterne schriftliche Sachstandsanfragen sowie Aktenübersendungen vermieden, die nicht nur zu zusätzlicher personalintensiver Arbeit in der Staatsanwaltschaft, sondern auch zu zeitlichen Verzögerungen in den zu bearbeitenden Verfahren führen würden. Die lesenden Zugriffe in der genannten Fachanwendungssoftware werden nicht protokolliert; das von neun Bundesländern im Verbund betriebene staatsanwaltschaftliche Fachverfahren ist technisch dafür nicht ausgelegt. Selbstverständlich wäre es eine Dienstpflichtverletzung, welche entsprechend geahndet würde, wenn eine Mitarbeiterin oder ein Mitarbeiter dienstlich erlangte Informationen sachfremd verwenden würde. Druck: Anker-Druck Bremen