Zuletzt, noch in einer heiteren Weihnachtsgeschichte verpackt, ging es auf unserem Blog im Dezember 2022 um Datenschutz im Melderecht – und um den Umstand, dass über die einfache Melderegisterauskunft nach § 44 Bundesmeldegesetz (BMG) jeder die aktuelle Meldeadresse einer anderen Privatperson ohne Angabe von Gründen einfach abfragen kann.

Was in der fiktiven Geschichte im Blogbeitrag nur in einem unerwarteten Besuch des angeheiterten Ex-Freundes endete, kann, insbesondere im Kontext des sog. Doxing, über das wir ebenfalls im letzten Jahr berichteten, aber auch ganz andere Gefährdungslagen für die Betroffenen herbeiführen.

Kritik des Bundesdatenschutzbeauftragten a. D.

Dahingehend äußerte sich nun auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar gegenüber MDR aktuell: Die Möglichkeit, jederzeit die Adressdaten beliebiger Personen abfragen zu können, halte er für „mit dem heutigen Verständnis von Datenschutz […] nicht mehr vereinbar“, insbesondere, da dies eben durchaus auch für missbräuchliche Zwecke getan werden könnte.

Die Linksfraktion des Bundestages schlägt laut Berichterstattung des MDR für Journalist*innen, die typischerweise besonders Doxing-gefährdet sind, eine Art „Beweislastumkehr“ vor: Die Auskunftssperre nach § 51 BMG, welche nach aktueller Rechtslage von Betroffenen beantragt und begründet werden muss, sollte für diese nicht die Ausnahme, sondern die Regel darstellen. Peter Schaar kann sich zudem eine Widerspruchslösung vorstellen, die Betroffenen die Kontrolle über ihre Meldedaten in großen Teilen zurückgeben würde.

Viele Verbesserungsmöglichkeiten sind denkbar

Nach dem datenschutzrechtlichen Transparenzgedanken sollte als Mindestmaß eine Information an die Betroffenen erfolgen, wenn ihre Adresse durch eine dritte Person abgefragt und an diese herausgegeben wurde.

Sicherlich sind Fälle vorstellbar, in denen umgekehrt auch ein Widerspruchsrecht missbraucht werden könnte. Wenn bspw. ein Gläubiger Ansprüche gegenüber seinem Schuldner gerichtlich geltend machen möchte und hierzu eine ladungsfähige Anschrift benötigt. Könnte der Schuldner einfach der angefragten Auskunft widersprechen, käme der Gläubiger u. U. nie zu seinem Recht. Eine naheliegende Lösung für diese Zwickmühle wäre jedoch, dass das Gericht im Rahmen des Verfahrens selbst die Meldeadresse des Schuldners ermitteln lässt.

Schwieriger: Der Umgang mit Datenmissbrauch in Behörden und öffentlichen Einrichtungen

Die vorgeschlagenen Beschränkungen mögen zwar im privaten Bereich zum Schutz Betroffener beitragen, jedoch ist dies nicht der einzige Kontext, in dem Meldedaten außerhalb ihrer Zweckbestimmung abgefragt und genutzt werden.

netzpolitik.org berichtet in einem aktuellen Artikel exemplarisch über die Lage in Sachsen-Anhalt: Genau wie der Beitragsservice Meldedaten erhält, um seine Gebühren einfordern zu können, so erhalten auch diverse andere öffentliche Stellen über automatisierte Datenabfragen Zugriff auf Melderegisterdaten. Ob die handelnden Personen im Einzelfall tatsächlich berechtigt sind, die Daten zu erhalten oder diese für die Wahrnehmung ihrer Aufgaben wirklich benötigen, wird dabei nicht überprüft; ebenso wenig wie der Personenkreis innerhalb der zugriffsberechtigten Behörde, der konkret Kenntnis von den Daten nehmen kann.

Dass leider auch seitens öffentlicher Stellen ein Missbrauch von Meldedaten möglich ist, veranschaulicht der Artikel unter Nennung einiger öffentlichkeitswirksamer Beispiele: Sei es die Klinikmitarbeiterin, die ihren Zugang zur Meldedatenbank zum hundertfachen Abruf von Datensätzen nutzte, die dienstlich gar nicht benötigt wurden, oder der Polizist, dem der Zugriff auf die Kontaktdaten einer Zeugin sehr gelegen kam, die er privat gerne einmal näher kennenlernen wollte.

Es liegt in der Verantwortung öffentlicher Stellen, die Daten, mit denen sie umgehen, sorgsam zu behandeln und vor einem Missbrauch zu schützen – auch vor Missbrauch durch die eigenen Mitarbeiter*innen. Dazu gehört aus datenschutzrechtlicher Sicht zumindest ein am Need-to-know-Prinzip orientiertes Rechte- und Rollenkonzept innerhalb der zugriffsberechtigten Behörden. Auch eine Protokollierung und Kontrolle der Zugriffe kann bei einem konkreten Verdacht der Zweckentfremdung von Daten eine verhältnismäßige Maßnahme darstellen.

Fazit

Personenbezogene Daten sind und bleiben ein schützenswertes Gut – auch wenn es sich „nur“ um vermeintlich harmlose Informationen wie die Postanschrift handelt. Sowohl im Verhältnis zu anderen Privatpersonen als auch zu staatlichen Einrichtungen müssen die Daten Betroffener effektiv geschützt werden, um deren Rechte und Freiheiten zu gewährleisten. Dass auch bisher ganz selbstverständliche Einrichtungen und Vorgänge wie das Melderegister und seine Abfragemöglichkeiten mittlerweile im politischen Diskurs von Datenschützer*innen thematisiert und kritisch betrachtet werden, ist in diesem Zusammenhang sehr zu begrüßen.